Сообщения без ответов | Активные темы


Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 627 • Страница 25 из 32<  1 ... 22  23  24  25  26  27  28 ... 32  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
  Cool'D
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ

Обновление RouterBOOT (Factory Firmware) - пост с инструкциями


Базовые правила firewall + защита от брутфорса Winbox и VPN PPTP сервера + правила для l2tp+ipsec/OVPN сервера
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="PPTP" dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input comment="Drop WinBox" dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=black_list time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=OVPN dst-port=1194 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=L2TP+IPsec in-interface-list=WAN port=\
1701,500,4500 protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=forward comment="accept in ipsec policy" \
in-interface-list=WAN ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec out-interface-list=WAN
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 27.09.2019 14:47, всего редактировалось 16 раз(а).

Реклама

Партнер
  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
Cool'D
А смысл, если деньги теже будут. А этот самый адекватный, давно работающий провайдер.
Вопрос тут только в том, что Микротик перестали поспевать по части софта за современными возможностями.
  linux_user

Member
Статус: Не в сети
Регистрация: 11.01.2010
Откуда: Украина
Мне все равно за чем там микротик не поспевает я обновился один раз когда купил его, поотключал и закрыл все входы на него, сменил адрес захода через браузер так что ни я и никто иной не сможет зайти на него вообще и забил на все обновления.Он сам выключается ночью а днем я его перетыкаю снова когда дома.Микротик для меня -это беспроблемная железка не требующая возни,настроил и забыл и лишь бы молния не ударила в провайдера.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
linux_user писал(а):
и забил на все обновления


Ну это зря. Если прям так влом ставить обновы - есть ветка LT (переход на которую делать через netinstall) - там обновы не частые, но зато стабильность выше чем у current.
  gadpaw

Member
Статус: Не в сети
Регистрация: 10.02.2018
Фото: 35
Подскажите, если роутер на текущий момент используется просто как домашняя точка доступа, без внешнего подключения, то из правил firewall достаточно:
1
/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp

add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN

add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

Фактически те что и формируются при QuickSet?
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
gadpaw писал(а):
Подскажите, если роутер на текущий момент используется просто как домашняя точка доступа


Тут надо понимать - точка внутри сети или всё же светит порт в инет?
  gadpaw

Member
Статус: Не в сети
Регистрация: 10.02.2018
Фото: 35
Cool'D писал(а):
Тут надо понимать - точка внутри сети или всё же светит порт в инет?

Подключение через ppoe, только iptv через свитч (входящий и порт приставки объединены в bridge)
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
gadpaw писал(а):
Подключение через ppoe, только iptv через свитч (входящий и порт приставки объединены в bridge)


Да в принципе с квиксета можно юзать. Главное - если что то вносишь - лучше сбрасывать и настраивать с 0.
  gadpaw

Member
Статус: Не в сети
Регистрация: 10.02.2018
Фото: 35
Cool'D писал(а):
Да в принципе с квиксета можно юзать. Главное - если что то вносишь - лучше сбрасывать и настраивать с 0.

Квик сет вносит какие-то скрытые настройки?
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
gadpaw писал(а):
Квик сет вносит какие-то скрытые настройки?


Нет, но ребятки из микро не рекомендуют поверх него что то своё серьёзно настраивать
  Sl1ngeR

Member
Статус: Не в сети
Регистрация: 11.09.2008
Откуда: Питер
Всем привет. Помогите советом.
Есть два микротика, белые IP, между ними простой тунель, даже без ipsec (руки пока не дошли его нормально настроить, на дефолте скорость крайне низкая + нагрузка на проц)
Адресация в сетях разная (192.168 и 10.). Роутинг настроен, правила прописаны. Нужные устройства на обоих сторонах видят друг друга, трафик ходит.

Проблема банальна - за вторым микротом есть телевизор, на нём есть VLC. За первым микротом есть synology с медиатекой.
В VLC видятся только медиа устройства из своей сети (192.168), руками кастомный путь не добавить.

Как "прокинуть" synology в другую сетку? Как запасной вариант - на synology есть второй сетевой интерфейс... но как правильно его прокинуть на "другую" сторону.

Подскажите пожалуйста :beer:


Последний раз редактировалось Sl1ngeR 14.02.2020 21:49, всего редактировалось 1 раз.

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Sl1ngeR писал(а):
руки пока не дошли его нормально настроить, на дефолте скорость крайне низкая + нагрузка на проц


что за устройства?

Sl1ngeR писал(а):
руками кастомный путь не добавить.


разве в VLC нельзя ручками самбу прикрутить?
  Sl1ngeR

Member
Статус: Не в сети
Регистрация: 11.09.2008
Откуда: Питер
Cool'D писал(а):
что за устройства?

hAP ac и hAP ac lite
Cool'D писал(а):
разве в VLC нельзя ручками самбу прикрутить?

В том то и фокус, там на телевизоре стоит какая то "обрезанная" версия, руками не добавить - только autodiscovery...
По идее конечно можно поставить другой плеер, или вообще отдельную приставку с kodi - но научить родителей пользоваться этим будет трудно :) Они только научились пользоваться vlc )))
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Sl1ngeR писал(а):
autodiscovery...


Если сами ресурсы доступны с обоих сторон (например можешь с одной сетки подключится по ip у другой и наоборот) - то наверное он не умеет другую сеть сканить. Он может сканить по принципу "я в 192.168.1.x сети сканить буду /24"
  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
Sl1ngeR писал(а):
за вторым микротом есть телевизор
Sl1ngeR писал(а):
За вторым микротом есть synology
Sl1ngeR писал(а):
Как "прокинуть" synology в другую сетку?
Чот не понял взаимосвязи описания и вопроса. Ничего не напутал?:)

_________________
i7 10700k, ASUS Z490-P, Palit 4070TiS (Gaming PRO OC), 2*8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

  Sl1ngeR

Member
Статус: Не в сети
Регистрация: 11.09.2008
Откуда: Питер
Ni9999 писал(а):
Чот не понял взаимосвязи описания и вопроса. Ничего не напутал?:)

Как обычно - напутал :) Да, телек и synology в разных подсетках
  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
Sl1ngeR писал(а):
только autodiscovery
Sl1ngeR писал(а):
телек и synology в разных подсетках
при таких вводных я бы действовал таким образом:
1) Выяснить как именно ищет телек ресурсы, скорее всего это броадкасты или мультикасты
2) Сделать чтоб телек входил в первую подсеть, способы разные. Можно на втором интерфейсе прописать айпишник и маску аналогично первой подсети. можно расширить маску телека чтоб она захватывала первую подсеть.
3) На микротах разрешить броадкаст/мультикаст через туннель
Из недостатков... Довольно неприятно увеличится трафик, а без доп.настройки все устройства начнут "видеть" различные ресурсы, получать DHCP и прочие сервисы, обычно гуляющие в пределах одной подсети.

_________________
i7 10700k, ASUS Z490-P, Palit 4070TiS (Gaming PRO OC), 2*8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

  gadpaw

Member
Статус: Не в сети
Регистрация: 10.02.2018
Фото: 35
Как работает Interface Queues?

Т. е. создаю pcq с некоторым ограничением, но ограничивает только download, а upload не ограничивается, хотя навешивается на ether с wan и ether компьютера.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
gadpaw писал(а):
Как работает Interface Queues?


Тут хороший гайдик https://habr.com/ru/post/420117/
  gadpaw

Member
Статус: Не в сети
Регистрация: 10.02.2018
Фото: 35
Cool'D писал(а):
Тут хороший гайдик https://habr.com/ru/post/420117/

Там simple que и que tree...
Хочу ограничить fasttrack, он конечно ограничивается через que tree, но может быть interface que меньше нагружает роутер.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
gadpaw писал(а):
Хочу ограничить fasttrack


с фастом - отключаются очереди, или работают только в "accept" правилах поставленных перед fasttrack
Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 627 • Страница 25 из 32<  1 ... 22  23  24  25  26  27  28 ... 32  >
-

Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: ukur и гости: 2

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan