Сообщения без ответов | Активные темы


Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 627 • Страница 17 из 32<  1 ... 14  15  16  17  18  19  20 ... 32  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
  Cool'D
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ

Обновление RouterBOOT (Factory Firmware) - пост с инструкциями


Базовые правила firewall + защита от брутфорса Winbox и VPN PPTP сервера + правила для l2tp+ipsec/OVPN сервера
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="PPTP" dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input comment="Drop WinBox" dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=black_list time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=OVPN dst-port=1194 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=L2TP+IPsec in-interface-list=WAN port=\
1701,500,4500 protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=forward comment="accept in ipsec policy" \
in-interface-list=WAN ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec out-interface-list=WAN
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 27.09.2019 14:47, всего редактировалось 16 раз(а).

Реклама

Партнер
  Shinkirou

Member
Предупреждение 
Статус: Не в сети
Регистрация: 20.03.2014
Фото: 8
Спасибо, попробую

_________________
celeron 1100 -> athlon xp 2500+ -> athlon ii x2 250 -> phenom ii x4 965 be -> fx8300 -> r7 1700 ->10700kf -> 7800x3D

  DKR

Member
Статус: Не в сети
Регистрация: 18.06.2009
Откуда: СССР
Фото: 66
Реализовал capsman (mesh), 3 точки cAP ac и контроллер в виде hex ac2, вся настройка заняла минут 20 и то большее время потратил на пошивку устройств ( про прокладку навесные потолки вообще молчу ). Настройка понравилась больше чем на ubiquiti. А свитч Poe использовал TP-Link TL-SG1005P. На самом hex ac2 WiFi не стал заводит в capsman - висит отдельной сетью да и находиться рядом с одной из cAP ac.

Работает пока без нареканий. Но и нагрузка небольшая 5 человек и не постоянно.

_________________
Не пытайтесь встретиться с Богом, смерть - это надолго....

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
DKR писал(а):
Работает пока без нареканий. Но и нагрузка небольшая 5 человек и не постоянно.

у меня на старых hap ac по 30 -40 висело без проблем (на 1 точке) :-)

Добавлено спустя 2 минуты 15 секунд:
DKR писал(а):
и контроллер в виде hex ac2


я обычно для маршрутизатора + капсмана юзаю hEX (750gr3)/hEX S.

Добавлено спустя 10 минут 26 секунд:
DKR писал(а):
Настройка понравилась больше чем на ubiquiti.


Там вроде по началу всё прикольно, но потом понимаешь - очень пёстро + нужен контролер.
  DKR

Member
Статус: Не в сети
Регистрация: 18.06.2009
Откуда: СССР
Фото: 66
Cool'D писал(а):

я обычно для маршрутизатора + капсмана юзаю hEX (750gr3)/hEX S.


Так как уже был hex ac2 и знал что большой нагрузки не будет не стал менять, если что то измениться поменяю, летом открывали офис в другом городе взял Mikrotik RB4011iGS+5HacQ2HnD-IN, и знаю что он избыточен для них, но бюджету был не ограничен поставил его, там вообще 4 человека сидят.

Дома стоит 750gr3 и cAP ac, сейчас взял вторую cAP ac - вот надо себя перебороть и то-же capsman настроить.

Cool'D писал(а):
Там вроде по началу всё прикольно, но потом понимаешь - очень пёстро + нужен контролер.


Ну с Ubiquiti у меня был такой подход: UniFi Cloud Key Gen2 Plus у меня был в апреле привезли с загранки, UniFi Switch 48 (500W), UniFi AC Pro 3 штуки но думаю ещё пак возьму на 5 штук, UniFi Video G3-PRO Camera - 3 штуки - но камер штук ещё 10 будет и других возможно, пока все устраивает по камерам, но прогресс не стоит на месте.
А ну ещё сразу взял UniFi Video Camera NVR - и сейчас с камер пишет на него, хотя можно писать и на UniFi Cloud Key Gen2 Plus, но не стал пока перенастраивать.

С Ubiquiti понимаешь что прогеры индусы и эта Хреновая джава ну вообще жесть... у меня пока единственное нарекание это софт их и да цветовая гамма в этом софте... зато по железу очень да же, а вот к mikrotik вопросы по железу есть, а вот софт великолепен иногда не интуитивно понятен зачем так далеко какие то настройки прятать, но все более менее норм.

_________________
Не пытайтесь встретиться с Богом, смерть - это надолго....

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Обновил шапку. Обновил правила фаервола + добавил необходимое.
  vault_dll

Member
Статус: Не в сети
Регистрация: 13.01.2007
Откуда: Google
Фото: 77
Evil_Side
Это всё понятно. Благодарю.

В итоге, взяли Zyxel'и и всё настроили с полпинка.

_________________
Бывает...

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
vault_dll писал(а):
В итоге, взяли Zyxel'и и всё настроили с полпинка.


а на микротике как будто танцы с бубном были :)
  vault_dll

Member
Статус: Не в сети
Регистрация: 13.01.2007
Откуда: Google
Фото: 77
Cool'D
Вообще, да. Zyxel'и взяли из-за простоты настройки и беспроблемной работы с провайдером.
Полосатый провайдер редко, но меняет маршруты до брасов, и н-р, на openwrt L2TP проблема стабильной работы - каждую минуту рвёт сессию. Т.к., OpenWRT/LEDE и RouterOS - это Linux, проблемы будут одинаковыми.

_________________
Бывает...

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
vault_dll писал(а):
Т.к., OpenWRT/LEDE и RouterOS - это Linux, проблемы будут одинаковыми.


Первый раз такое слышу. Или вы неправильно настраиваете или я даже не понимаю как там может что то не работать.
  vault_dll

Member
Статус: Не в сети
Регистрация: 13.01.2007
Откуда: Google
Фото: 77
Cool'D
Я микротиками не пользуюсь. Мне проще Асу настроить, чем изучать микротики.

Касательно разрывов, можете на ixbt почитать ветки по openwrt, beeline l2tp разрывы.
Сам не так давно с таким столкнулся. Работало только в стоковой прошивке tp-link'а. На openwrt/lede - разрывы каждую минуту.
Кто в теме был, посоветовали на микротик не переходить - проблему не решит, а усугубить может запросто.
Через 3 месяца проблема решилась. Провайдер завершил переход на nat для Клиентов. Маршруты поправили. Снова стало работать на любой версии wrt/lede.

_________________
Бывает...

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
vault_dll писал(а):
Касательно разрывов, можете на ixbt почитать ветки по openwrt, beeline l2tp разрывы.


зачем сравнивать ROS и openwrt/lede ? Это вообще 2 разные темы.
  vault_dll

Member
Статус: Не в сети
Регистрация: 13.01.2007
Откуда: Google
Фото: 77
Cool'D
Основа одна - Linux. Проблемы те же, не?

_________________
Бывает...

  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
vault_dll, не. Если заглянешь в логи зухелей, то с удивлением увидишь все того же зверька по имени линукс, вернее одного из его вида.

_________________
i7 10700k, ASUS Z490-P, Palit 4070TiS (Gaming PRO OC), 2*8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
Пригодился USB порт на Микротике. Запитал Raspberry Pi Zero W на которой поставил Pi-Hole и сделал из нее DNS сервер с фильтрацией. Микротик теперь DNS запросами не занимается вообще. Решило это так же их проблему с Allow Remote Request.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Kuja писал(а):
Пригодился USB порт на Микротике. Запитал Raspberry Pi Zero W на которой поставил Pi-Hole и сделал из нее DNS сервер с фильтрацией. Микротик теперь DNS запросами не занимается вообще. Решило это так же их проблему с Allow Remote Request.


Круто! Было бы неплохо написать краткий гайд :)
  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
А зачем? Гайдов в инете полно. Пиху ставить очень просто, методом одной строки через консоль.
А в микротике прописать локальный ip этой малинки в днс сервер и днс для dhcp сервера.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Kuja писал(а):
А в микротике прописать локальный ip этой малинки в днс сервер и днс для dhcp сервера.


Как я понимаю она по вафле работает?
  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
Cool'D
Да. Там других вариантов подключения и нет. А более дорогую плату под это дело и не нужно.
Там запросов не так много и задержки минимальные. Плюс она возле самого роутера весит.
  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
Kuja, вот это ты извращенец.

_________________
i7 10700k, ASUS Z490-P, Palit 4070TiS (Gaming PRO OC), 2*8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

  Evil_Side

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 71
Ni9999 писал(а):
вот это ты извращенец.

а в чем, собственно, изврат?

_________________
"Для человеческой глупости нет патча"

Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 627 • Страница 17 из 32<  1 ... 14  15  16  17  18  19  20 ... 32  >
-

Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan