Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    anton04
    А галка "Allow guests" в настройках не подходит?
    https://wiki.mikrotik.com/wiki/Manual:IP/SMB

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:21 10-04-2018
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
     
    К сожалению нет, всё ровно запрос имени пользователя и пароля есть. Понятно что пароль может быть пустым, но это не подходит...

    Всего записей: 2803 | Зарегистр. 14-06-2006 | Отправлено: 12:54 10-04-2018
    vcrank

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток.
    В связи с безумием от РКН задумался об аренде сервака в Чехии за 12 евро в год и поднять там прокси/vpn
    Вот по этой инструкции https://www.iphones.ru/iNotes/799317
    Существует ли возможность настроить микротик так, чтобы он юзал VPN только для определённых (заблокированных) адресов?
     
    Понятно, что торренты и телега без проблем сейчас работают. Но всякие friGate и подобные сервисы иногда отваливаются + на мобильных надо использовать другие решения. Короче, хочется настроить на железке способ обхода, добавлять нужные адреса в список и чтобы на всех  компах работало

    Всего записей: 1067 | Зарегистр. 24-10-2005 | Отправлено: 21:37 18-04-2018
    Fatal500



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Легко. Mangle и метки маршрутов в помощь. Сам так делаю, создал отдельный адрес лист, для использования с меткой маршрутизации. И туда добавляю все что залочено, подсети. И все это идет через мой впн.  
     
    Добавлено:
    Интересно а микроты CHR в аренду на хостингах сдаются где нибудь?

    Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 05:09 19-04-2018
    YDen1978

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте.
    Подскажите пожалуйста, в логах файрволла:
    dstnat: in:wan outunknown 0), src-mac 00:18:74:ab:89:88, proto TCP (SYN), 95.6.7.210:59032->**.***.**.**:445, len 48
     
    Что делаю: через windows проводник пытаюсь стукнуться на шару за ** адресом. Не открывает. До запроса пароля не доходит.
     
    благодарю

    Всего записей: 8 | Зарегистр. 05-08-2017 | Отправлено: 06:43 19-04-2018 | Исправлено: YDen1978, 07:01 19-04-2018
    Jilted



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Fatal500
    Краем уха слышал, что здесь разворачивали:
    https://www.arubacloud.com/
    Но это не точно )))

    Всего записей: 1875 | Зарегистр. 17-12-2001 | Отправлено: 08:28 19-04-2018 | Исправлено: Jilted, 08:29 19-04-2018
    Fatal500



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вот тоже погуглил - пока не нашел вменяемых провайдеров которые бы позволяли CHR развернуть без проблем.

    Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 08:43 19-04-2018
    vcrank

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Легко. Mangle и метки маршрутов в помощь. Сам так делаю, создал отдельный адрес лист, для использования с меткой маршрутизации. И туда добавляю все что залочено, подсети. И все это идет через мой впн.  

    Можете более подробную инструкцию выложить? Прям в картинках было бы идеально.  
    Для рукожопа вроде меня )

    Всего записей: 1067 | Зарегистр. 24-10-2005 | Отправлено: 08:45 19-04-2018
    Fatal500



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Создаем в мангле правило с chain=prerouting,  dst-address-list= наш лист айпишников, экшен= mark routing и вводим свою метку роутинга, например ban. Далее в ip-routes  создаем 0.0.0.0/0  где шлюзом будет ваш интерфейс vpn и метка роутинга та, что создали в мангле. Все. Теперь все запросы на ip адреса, которые содержатся в указанном листе айпишников пойдут через этот впн шлюз.

    Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 09:55 19-04-2018
    CrazyCooler



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Fatal500
    Западных провайдеров не знаю, а у наших CHR работает на славу. Провайдер firstvds.ru

    Всего записей: 43 | Зарегистр. 13-02-2006 | Отправлено: 10:18 19-04-2018
    Fatal500



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Fatal500
    Западных провайдеров не знаю, а у наших CHR работает на славу. Провайдер firstvds.ru

    Эгеге, вот как раз наших то провайдеров вдсов и на дух не надо) Ибо орган один торчащий из РКН проник в них по самое немогу. Все собственно и затевается для того чтобы был забугорный ip

    Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 10:26 19-04-2018
    MSSIGN



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Всего записей: 608 | Зарегистр. 11-08-2006 | Отправлено: 10:57 19-04-2018 | Исправлено: MSSIGN, 12:46 23-04-2018
    KurskFORUM

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как завернуть DST Addr/port через внешний HTTP/Socks5 прокси? + если прокси с авторизацией?

    Всего записей: 18 | Зарегистр. 15-04-2009 | Отправлено: 16:52 22-04-2018
    YDen1978

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый всем.
    Для рукожопа как я поделитесь плиз стоящим мануалом базовой настройки файлвола - обезопасить сеть за микротиком.
     
    благодарю
     
    Добавлено:
    Добрый.
    Вроде нашел скрипт, делающий базовую защиту сети за микротиком. Девайс - map lite. Посмотрите пожалуйста, нет доступа к интернету клиентов, и что нужно добавить\убрать.
    Микротик будет использоваться в командировках\отпуске для работой по vpn с домашней сетью.
     
    /ip firewall filter
     
    # INPUT
    add chain=input connection-state=invalid action=drop comment="drop invalid connections"
    add chain=input connection-state=related action=accept comment="allow related connections"
    add chain=input connection-state=established action=accept comment="allow established connections"
     
    # ext input
     
    # local input
    add chain=input src-address=192.168.14.0/24 action=accept in-interface=ether1
     
    # drop all other input
    add chain=input action=drop comment="drop everything else"
     
    # OUTPUT
    add chain=output action=accept out-interface=ether1 comment="accept everything to internet"
    add chain=output action=accept out-interface=ether1 comment="accept everything to non internet"
    add chain=output action=accept comment="accept everything"
     
    # FORWARD
    add chain=forward connection-state=invalid action=drop comment="drop invalid connections"  
    add chain=forward connection-state=established action=accept comment="allow already established connections"
    add chain=forward connection-state=related action=accept comment="allow related connections"
        
    add chain=forward src-address=0.0.0.0/8 action=drop
    add chain=forward dst-address=0.0.0.0/8 action=drop
    add chain=forward src-address=127.0.0.0/8 action=drop
    add chain=forward dst-address=127.0.0.0/8 action=drop
    add chain=forward src-address=224.0.0.0/3 action=drop
    add chain=forward dst-address=224.0.0.0/3 action=drop
     
    # (1) jumping
    add chain=forward protocol=tcp action=jump jump-target=tcp
    add chain=forward protocol=udp action=jump jump-target=udp
    add chain=forward protocol=icmp action=jump jump-target=icmp
     
    # (3) accept forward from local to internet
    add chain=forward action=accept in-interface=ether1 out-interface=ether1 comment="accept from local to internet"
     
    # (4) drop all other forward
    add chain=forward action=drop comment="drop everything else"
     
    # (2) deny some types common types
    add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP"
    add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper"
    add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC portmapper"
    add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT"
    add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs"
    add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS"
    add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus"
    add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"
    add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice"
    add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"
     
    add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"
    add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper"
    add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper"
    add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"
    add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"
    add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"
     
    add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="echo reply"
    add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="net unreachable"
    add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="host unreachable"
    add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="host unreachable fragmentation required"
    add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="allow source quench"
    add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow echo request"
    add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow time exceed"
    add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow parameter bad"
    add chain=icmp action=drop comment="deny all other types"
     
    # (5) drop all other forward
    add chain=forward action=drop comment="drop (2) everything else"
     
     
    благодарю

    Всего записей: 8 | Зарегистр. 05-08-2017 | Отправлено: 03:21 23-04-2018
    jaxumi



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    YDen1978
    маскарадинга не вижу
    /ip firewall nat  
    add chain=srcnat out-interface=интерфейс провайдера action=masquerade

    Всего записей: 217 | Зарегистр. 21-07-2008 | Отправлено: 08:52 23-04-2018 | Исправлено: jaxumi, 10:06 23-04-2018
    arxont



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ВНИМАНИЕ! Обнаружена уязвимость в #Mikrotik #RouterOS
    Подверженные версии: от 6.29 до 6.43rc3 (включительно)
     
    Краткое описание: злоумышленник может вытащить информацию о пользователях роутера. Настраивайте фаерволы и ограничивайте адреса, которым можно подключаться к WinBox  
     
    Я пострадал?  
    В настоящее время нет точного способа, чтобы узнать, были ли вы взломаны.  
    Если ваш порт Winbox открыт для ненадежных сетей, предположите, что вы затронуты и обновитесь + смените пароли всех пользователей + добавьте правила брандмауэра. В логах может появиться неудачная попытка входа в систему, а затем удачная попытка входа в систему с неизвестных IP-адресов.  
     
    Что делать:  
     
    1) Firewall - запретить доступ к порту Winbox из WAN-интерфейсов и из ненадежных сетей. Лучше всего, если вы разрешаете только известным IP-адресам подключаться к вашему маршрутизатору к любым службам, а не только к Winbox. Мы предлагаем это должно стать обычной практикой.  
    В качестве альтернативы, возможно, проще использовать меню «IP -> Services», чтобы указать адреса «Разрешено с». Включите локальную сеть и общедоступный IP-адрес, с которого вы будете получать доступ.  
     
    2) Измените свои пароли.  
     
    Что ожидать в ближайшие часы / дни: обновленные версии RouterOS будут доступны как можно скорее. Безопасность базы данных пользователей RouterOS будет упрочнена, и расшифровка будет невозможна таким же образом.
     
    https://forum.mikrotik.com/viewtopic.php?f=21&t=133533

    Всего записей: 85 | Зарегистр. 03-07-2006 | Отправлено: 15:26 23-04-2018 | Исправлено: arxont, 15:27 23-04-2018
    jaxumi



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    arxont
    уже пофиксили
     
    What''''s new in 6.42.1 (2018-Apr-23 10:46):
     
    !) winbox - fixed vulnerability that allowed to gain access to an unsecured router;
    *) bridge - fixed hardware offloading for MMIPS and PPC devices;
    *) bridge - fixed LLDP packet receiving;
    *) crs3xx - fixed failing connections through bonding in bridge;
    *) ike2 - use "policy-template-group" parameter when picking proposal as initiator;
    *) led - added "dark-mode" functionality for hAP ac and hAP ac^2 devices;
    *) led - improved w60g alignment trigger;
    *) lte - allow to send "at-chat" command over disabled LTE interface;
    *) routerboard - fixed "mode-button" support on hAP lite r2 devices;
    *) w60g - allow to manually set "tx-sector" value;
    *) w60g - fixed incorrect RSSI readings;
    *) w60g - show phy rate on "/interface w60g monitor" (CLI only);
    *) winbox - fixed bridge port MAC learning parameter values;
    *) winbox - show "Switch" menu on cAP ac devices;
    *) winbox - show correct "Switch" menus on CRS328-24P-4S+;
    *) wireless - improved compatibility with BCM chipset devices;

    Всего записей: 217 | Зарегистр. 21-07-2008 | Отправлено: 16:14 23-04-2018
    CrazyCooler



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    YDen1978
    Вот ещё вариант настройки http://www.helpset.ru/как-настроить-и-защитить-mikrotik-от-вражески/

    Всего записей: 43 | Зарегистр. 13-02-2006 | Отправлено: 00:49 24-04-2018
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    del

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 10:24 24-04-2018 | Исправлено: leshiy_odessa, 10:25 24-04-2018
    lamut



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем добрый. Не могу настроить впн соединение. Вроде создаю по мануалу, а соединения нет. Пишет: l2tp-out1: waiting for packets... Пытался соединиться с разными серверами, а ответ один и тот же. Кстати созданное в windows 10 впн соединение, тоже не фурычит. Ошибка 720 или 789, 800, 770.

    Всего записей: 646 | Зарегистр. 18-04-2007 | Отправлено: 17:18 24-04-2018 | Исправлено: lamut, 17:22 24-04-2018
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru