Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 240 • Страница 1 из 121  2  3  4  5 ... 12  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
 
Прилепленное (важное) сообщение

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ


AdBlock - MikroTik StopAD [ кушает нормально RAM, поэтому не переусердствуйте ] [Пример настройки]

Хороший блог с обзорами и гайдами по Mikrotik и Ubiquiti

Защита winbox от брутфорса
/ip firewall filter
add action=drop chain=input dst-port=8291 protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list address-list-timeout=1d chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp
add chain=input comment="Allow winbox" dst-port=8291 protocol=tcp


Базовые правила firewall
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=accept chain=input comment=\"defconf: accept established,related,untracked" connection-state=\established,related,untracked
add action=drop chain=input comment="Drop WinBox" dst-port=8291 protocol=tcp \src-address-list=black_list
add action=add-src-to-address-list address-list=black_list \address-list-timeout=1d chain=input connection-state=new dst-port=8291 \protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \address-list-timeout=1m chain=input connection-state=new dst-port=8291 \protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \address-list-timeout=1m chain=input connection-state=new dst-port=8291 \protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \address-list-timeout=1m chain=input connection-state=new dst-port=8291 \protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 protocol=\tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \connection-state=established,related
add action=accept chain=forward comment=\"defconf: accept established,related, untracked" connection-state=\established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \connection-state=invalid
add action=drop chain=forward comment=\"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 21.05.2018 23:39, всего редактировалось 10 раз(а).


Партнер
 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Чехов
Фото: 27
Надо модерам еще сказать, чтобы сообщеньки из темы перенесли сюда ))

_________________
"Для человеческой глупости нет патча"


 

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Evil_Side писал(а):
Надо модерам еще сказать, чтобы сообщеньки из темы перенесли сюда ))

Написал, что сообщения были в той теме. Но думаю не стоит их переносить и начать, так сказать, с нового листа :)


По поводу 256 или 128 RAM ... ни разу не встречал чтобы 128 не хватало (да даже 64). Будем надеяться, что будет конечно 256 :oops:


 

Member
Статус: Не в сети
Регистрация: 12.03.2003
Откуда: Калининград
У меня 2011 микротик на работе. 128 Мб. ХВАТАЕТ !

Добавлено спустя 1 минуту 42 секунды:
Не на правах рекламы - но нашел интересную ссыль поскриптовой балансировке(если 2+ провайдера):



может кому пригодится.

_________________
Как Kimser общается на форуме : https://www.youtube.com/watch?v=Q5Qmag2aUts


 

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
cypher1999 писал(а):
может кому пригодится.


нет 100% уверенности, что заведётся на 6.41+, с описания тестировалось только на очень древних релизах.


Желательно делиться скриптами/правилами, которые работают на свежих релизах и очень желательно, которые проверялись лично :-)


 

Member
Статус: Не в сети
Регистрация: 14.05.2006
Откуда: Москва
Микротик это не Асус с Зюхилем, тут все по взрослому))


 

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Поставил 6.42rc46 на hAP AC^2 RAM стало 106mb вместо 233mb :lol:


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Чехов
Фото: 27
Cool'D пожалуй, я не буду обновлять)я и 128 врятли заюзаю, да и скорее всего чип там 128 все-таки
https://forum.mikrotik.com/viewtopic.php?f=3&t=132051#p649314

_________________
"Для человеческой глупости нет патча"


 

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Evil_Side писал(а):
пожалуй, я не буду обновлять)


Вчера ради прикола поднял самбу, подключил ssd usb и закинул гиговый файл- скорость под 35-40 мегабайт, НО оперативку 100+ мегабайт тут же съело. Есть подозрение, что всё же там не 233 мб :)


 

Member
Статус: Не в сети
Регистрация: 02.11.2009
Фото: 6
Это хорошо что появилась такая ветка, у меня вопрос назревал пару месяцев.

Купил домой, раздавать интернет на 1 телефон, точку доступа Mikrotik hAP lite RB941-2nD.
Где-то месяц было все хорошо, но потом интернет начал очень долго загружаться и вообще перестал работать по WI-FI.
К этой точке подключен компьютер проводом, так вот если компьютер работает, все нормально открывается, но если выключен, телефон часто показывает значок, что не доступен интернет по WI-FI и всё медленно открывается, а чаще всего вообще не открывается.
Перезагружал(хватает на день наверное потом вообще не помогает), перенастраивал несколько раз (делал резет много раз), выбирал разные преднастройки в квик сетап. Последний раз долго работало когда выбрал Basic AP, где нужно прописать только пароль от WI-FI.
Когда это начинается с телефона даже в веб интерфейс не заходит.
Прошивка вроде самая новая. Что-то можно с этим сделать ?


 

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
LostLunatik писал(а):
Прошивка вроде самая новая. Что-то можно с этим сделать ?


фирмварю обновлял? Надо смотреть настройки. Если есть возможность могу по ТВ зайти быстро глянуть или может если ип белый могу через винбокс


 

Member
Статус: Не в сети
Регистрация: 29.04.2008
Откуда: Тольятти
Фото: 3
cypher1999 так Вы меня не поняли, двойной доступ провайдера, когда сначала получаешь серый ип из локалки провайдера, потом уже поднимается впн например, как у моего провайдера сейчас. Я думаю при всем желании никто не сделает за недорого или в домашних роутерах балансинг и фейловер, не саму возможность дуал ван, а именно нормально работающие эти фишки. Низя лезть не в свой сегмент, тогда многие не купят циски или зивалы, зачем платить больше.
Вы же привели ссылку на скрипты инлариона, видели скока стоит? Причем сами разработчики микротика могли бы изначально дать такой функционал, но у них даже квиксет по сути не рабочий для простого коннекта к провайдеру. Что говорить, много лет не могли сделать коннект по имени к впн серверу провайдера, приходилось городить скриптом.


 

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
z36 писал(а):
Я думаю при всем желании никто не сделает за недорого или в домашних роутерах балансинг и фейловер, не саму возможность дуал ван, а именно нормально работающие эти фишки.

z36 писал(а):
двойной доступ провайдера, когда сначала получаешь серый ип из локалки провайдера, потом уже поднимается впн например


чего ?


 

Member
Статус: Не в сети
Регистрация: 29.04.2008
Откуда: Тольятти
Фото: 3
Cool'D я просто здесь ответил, начали в теме выбора роутеров, чтобы там опять про микротики не писать или что то не понятно? Вроде не пятница.


 

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
z36 писал(а):
просто здесь ответил, начали в теме выбора роутеров, чтобы там опять про микротики не писать или что то не понятно? Вроде не пятница.


не понимаю чем тебя микротиковский фаервол не устраивает и балансинг? Так же не понимаю, что за костыли в виде vpn для белого айпишника (если я правильно понял.)


 

Member
Статус: Не в сети
Регистрация: 29.04.2008
Откуда: Тольятти
Фото: 3
Cool'D на примере моего провайдера, впн сервер провайдера на домене server.avtograd.ru, за этим доменом целая пачка серверов 192.168.0.1-192.168.0.26, при коннекте днс резолвит менее нагруженный сервер. Так вот раньше если в РРР интерфейсе вписать имя впн сервера, то при первом коннекте имя перепишется на ип который отдал днс, а потом при реконнекте может не взлететь, ибо конкретно этот впн сервер не отзывается. Вот и приходилось городить скриптом коннект. Такой доступ еще у билайна, любой копеечный роутер умеет по имени, а микротик очень долго чесались реализовать элементарное.

Я не про фаервол писал, а про фейловер=failover, если не понятно чем не устраивает резервирование и балансинг, значит Вы просто не сталкивались с такой ситуацией, не всегда на интерфейсах белая статика без всяких РРР, да еще с одинаковой шириной канала.

Если в микротике озаботятся созданием встроенных скриптов для таких вещей, будет уже более интересная железка.


 

Member
Статус: Не в сети
Регистрация: 12.03.2003
Откуда: Калининград
z36 по факту на вопрос ты не ответил. Ну и конечно де, любая домохозяйка на зухеле/асусе настроит лоад балансинг и фэйловер. А самое главное они им нужны.
Далее. Ты распинаешься про простую настройку и ненужный функционал. Однако совершенно "забываешь" о том, что функционал для домохозяек у микротика сосредоточен в квик сете. И в асусах зухелях то же самое. Но ! В микротике есть еще куча функционала, который,при необходимости можно использовать. В асусах и щухелях его нет. Так же не щабываем про стоимость. Асусозухели всегда дороже. Если, конечно, не совсем кастраты.
Опять же. Домохозяйке настроит все мастер или шарящий муж. А ты тут про сложности настройки распинаешся.
Вот и возникают лично у меня вопросы - либо за твою компетентность, либо за ум, либо за засланность.
PS: домохозяйкам вообще пофиг что ставить.

Добавлено спустя 1 час 4 минуты 34 секунды:
z36 писал(а):
Я не про фаервол писал, а про фейловер=failover, если не понятно чем не устраивает резервирование и балансинг, значит Вы просто не сталкивались с такой ситуацией, не всегда на интерфейсах белая статика без всяких РРР, да еще с одинаковой шириной канала.


У меня PPPoE от местного провайдера+L2TP от пчелайна. С т.н. "двойной авторизацией" :) Настроен лоад балансинг+фэйловер на микротике. Из минусов - ниасилил скрипт, который автоматом подставляет нужный IP, полученный от прова для L2TP - поэтому пока что при реконнекте этот IP, полученный от провайдера, приходится прописывать вручную. Благо, пчела не отваливается месяцами (звонил в пчелу и просил - пошли на встречу, за что отдельное им спасибо). Так же работает телевидение без проблем. И да - это не сильно просто. Домохозяйка не сможет. НО ! Сделай то же самое на асусе\зухеле ?Не получается ? то-то же.
Ты спросишь, зачем мне лоад балансинг ? Отвечу - для скорости, мне нравится, когда кино загружается не 20 минут на скорости 100 мегабит - а 10 минут на скорости 200 :) Опять же - вероятность того, что оба прова отвалятся одновременно - довольно мала, т.к. они используют разные каналы и разные провода. К тому же у местного прова лучше пингасики в европу (30 мс против 40-50 мс у пчелы), а у пчелы лучше пингасики в Россию (25 мс против 40-50). А я имею неосторожность поигрывать в тунки и в овервоч...

_________________
Как Kimser общается на форуме : https://www.youtube.com/watch?v=Q5Qmag2aUts


 

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
cypher1999 писал(а):
лоад балансинг и фэйловер


Для этого нужно просто купить ubiquiti - там что балансинг, что фэйловер настраивается в 2 клика. ER-X модель - вещь убойная.

На микротике тоже всё настраивается, просто не в 2 клика.


 

Member
Статус: Не в сети
Регистрация: 29.04.2008
Откуда: Тольятти
Фото: 3
cypher1999 да вроде ответил, нет ессно в бытовых роутерах настройки балансировки кликами, даже заявленный в кинетиках резервный канал нормально не работает, обратно с резерва тока ручками уйтить можно.
вот че нашел http://demoui.asus.com/Advanced_WANPort_Content.asp
эмулятор rt 5300 параметр Dual WAN Mode можно резерв или балансировка, но только два интерфейса.
Потом есть такие заковыки как ип телефония, сайты которые мониторят постоянно откуда коннект, например логика робота безопасности какойнить биржи или банка может заблочить, если на ходу переобулись и лезем уже с другого ип. Здесь уже только микротик поможет и скрипты, многие спотыкались именно с ип телефонией и решали что микротик шляпа и нужна циска, проблема решалась одной строчкой в скрипте.

Теперь за компетентность, ум и засланость, я не гуру микротика, не совсем дурак, ибо "асилил скрипт, который автоматом подставляет нужный IP, полученный от прова для L2TP" и как могу быть засланцем, если вовсю использую микротики на работе, так как нет альтернативы за такую стоимость. Кстати зачем Вам сейчас осилять этот скрипт? Микротик давно умеет по имени, о чем я писал выше.


 

Member
Статус: Не в сети
Регистрация: 12.03.2003
Откуда: Калининград
Cool'D писал(а):
Для этого нужно просто купить ubiquiti - там что балансинг, что фэйловер настраивается в 2 клика. ER-X модель - вещь убойная.


Л2ТР там тоже в 2 клика с ПППоЕ вместе забалансиш ? ;)

z36 писал(а):
Потом есть такие заковыки как ип телефония, сайты которые мониторят постоянно откуда коннект, например логика робота безопасности какойнить биржи или банка может заблочить, если на ходу переобулись и лезем уже с другого ип. Здесь уже только микротик поможет и скрипты, многие спотыкались именно с ип телефонией и решали что микротик шляпа и нужна циска, проблема решалась одной строчкой в скрипте.


Да просто получается, что типа в дом нужен только асус-тплинк-зухель, т.к. их легко настраивать. А если копнуть немного - то для тех задачь, которые нужны "виртуальным домохозяйкам" микротик даже проще настроить, чем зухель. Или вообще не-специалисты никогда не трогают роутер своими руками. А специалисту нас рать что настраивать - зухель или микротик, даже микротик проще, ибо логика ясная.

Добавлено спустя 1 час 17 минут 13 секунд:
z36 писал(а):
ибо "асилил скрипт, который автоматом подставляет нужный IP, полученный от прова для L2TP"


Прям таки асилил ;)
Что-то с трудом верится, учитывая, что для человека, который асилил такой скрипт - пользоваться асусней по меньшей мере стыдно.

_________________
Как Kimser общается на форуме : https://www.youtube.com/watch?v=Q5Qmag2aUts


Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 240 • Страница 1 из 121  2  3  4  5 ... 12  >
-

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: -A1z- и гости: 5


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  



Лаборатория














Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan