Сообщения без ответов | Активные темы


Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 622 • Страница 16 из 32<  1 ... 13  14  15  16  17  18  19 ... 32  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
  Cool'D
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ

Обновление RouterBOOT (Factory Firmware) - пост с инструкциями


Базовые правила firewall + защита от брутфорса Winbox и VPN PPTP сервера + правила для l2tp+ipsec/OVPN сервера
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="PPTP" dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input comment="Drop WinBox" dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=black_list time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=OVPN dst-port=1194 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=L2TP+IPsec in-interface-list=WAN port=\
1701,500,4500 protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=forward comment="accept in ipsec policy" \
in-interface-list=WAN ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec out-interface-list=WAN
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 27.09.2019 14:47, всего редактировалось 16 раз(а).

Реклама

Партнер
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Вышло обновление с фиксами безопасности 6.45.1 (Stable) . https://blog.mikrotik.com/security/cve- ... 11479.html
  Shinkirou

Member
Статус: Не в сети
Регистрация: 20.03.2014
Откуда: NCH
Фото: 8
привет. пытаюсь настроить capsman, есть роутер hap ac^2 (rbd52g-5hacd2hnd-tc) и точка доступа cap ac (rbcapgi-5acd2nd). по гайдам активировал на роутере capsman manager, в бридж все порты (wan+lan), настроил канал, датапаф и секурити конфиг, включил их в конфигурации и включил провайзинг. на роутере же включил CAP. и тут уже стало видно, что есть расхождения с гайдами: managed by capsman появилось, а вот какие конфиги подтянул - нет, и собсвенно конфиги не работают. сеть открытая, без пароля, ssid тот, который был по умолчанию в wifi интерфейсе. подскажите, почему так, вроде все по гайдам делаю, а не хочет?

config
Вложение:
Annotation 2019-08-19 164212.png
Вложение:
Annotation 2019-08-19 164538.png


У вас нет необходимых прав для просмотра вложений в этом сообщении.
_________________
celeron 1100 -> athlon xp 2500+ -> athlon ii x2 250 -> phenom ii x4 965 be -> fx8300 -> r7 1700 ->10700kf

  Mr. ID1986

Member
Статус: Не в сети
Регистрация: 14.03.2007
Откуда: СПБ
Фото: 2
Кто ставил крайнюю бэту, у вас нормально работает авторизация по МАК адресу для WIFI устройств? Такое чувство что поломали... Добавляю устройство в Access List, снимаю галочку default authenticate на нужном интерфейсе, пытаюсь подключиться, нифига....

_________________
i7 13700KF, 32GB RAM, RX RADEON™ 7900XTX, 512GB A-Data XPG GAMMIX S11 Pro

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Mr. ID1986 писал(а):
Кто ставил крайнюю бэту, у вас нормально работает авторизация по МАК адресу для WIFI устройств? Такое чувство что поломали... Добавляю устройство в Access List, снимаю галочку default authenticate на нужном интерфейсе, пытаюсь подключиться, нифига....


на то она и бета :). Возможно в релизе в следующем пофиксят.

Shinkirou писал(а):
привет. пытаюсь настроить capsman,


Перед настройкой лучше обновиться на последнюю стабильную, обновить фирмварю. Постом сделать полсный резет без концига и только потом настраивать. Если настраивать из быстрого конфига или поверх - могут быть проблемы.
  Shinkirou

Member
Статус: Не в сети
Регистрация: 20.03.2014
Откуда: NCH
Фото: 8
Cool'D писал(а):
Если настраивать из быстрого конфига или поверх - могут быть проблемы.

понял, спс

благодарю, сброс без стандартной конфигурации помог :good:

_________________
celeron 1100 -> athlon xp 2500+ -> athlon ii x2 250 -> phenom ii x4 965 be -> fx8300 -> r7 1700 ->10700kf

  Shinkirou

Member
Статус: Не в сети
Регистрация: 20.03.2014
Откуда: NCH
Фото: 8
а можно еще подсказку, как в капсман второй диапазон подцепить? две отдельных конфигурации делать? я честно, еще ни разу с двухдиапазоннамы роутерами не сталкивался и даже не знаю, разные ли ssid нужны (хотя скорее всего да)

_________________
celeron 1100 -> athlon xp 2500+ -> athlon ii x2 250 -> phenom ii x4 965 be -> fx8300 -> r7 1700 ->10700kf

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Shinkirou писал(а):
а можно еще подсказку


Тут поподнобрее https://2keep.net/mikrotik-capsman-v2-hap-ac-lite/
  elek

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 09.02.2006
Откуда: на белорусь ?
Фото: 0
Добрый день, может кому-то пригодится. Раутер HAP ac2.
Пару дней назад упала скорость download, он был раз в 10 меньше upload'a(у wifi). Сначала грешил на обновление винды, потом проверил на других девайсах - та же хрень. Ковырялся с диапазонами, мощностью и тд, но помогло обновление прошивки с 6.44.2 до 6.45.3.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
elek писал(а):
6.44.2 до 6.45.3


А зачем на старье сидеть, при том ещё и с уязвимостью? При этом в 6.45.2 было:
*) wireless - improved 802.11ac stability for all ARM devices with wireless;
  elek

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 09.02.2006
Откуда: на белорусь ?
Фото: 0
Cool'D
Ну тут было по принципу работает - не трогай :). Правда сейчас отвалился IPTV на приставках от билайна, показывает картинку пару секунд и потом пишет, что сигнал потерян.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
elek писал(а):
Правда сейчас отвалился IPTV на приставках от билайна, показывает картинку пару секунд и потом пишет, что сигнал потерян.


проверь IGMP snooping на бридже
  elek

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 09.02.2006
Откуда: на белорусь ?
Фото: 0
Cool'D
Не хватало пакета "multicast", взял от новой версии и все заработало.
  Shinkirou

Member
Статус: Не в сети
Регистрация: 20.03.2014
Откуда: NCH
Фото: 8
я что-то нажал и оно сломалось
в общем, почему-то winbox перестал коннектить к точке доступа cap ac, путти не коннектится, ручной ввод мака в винбоксе тоже не помогает. на точке горит питание, и по очереди мигают 2g и 5g
сброс не хочет работать. пробовал и с включенным питанием и зажимать и просто нажимать ресет. пробовал и перед включением питания зажимать ресет

//подрубился по рабочему вифи, сделал ресет. зря сделал, теперь и вифи нет) чото с передачей данных по порту?

_________________
celeron 1100 -> athlon xp 2500+ -> athlon ii x2 250 -> phenom ii x4 965 be -> fx8300 -> r7 1700 ->10700kf

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Shinkirou писал(а):
//подрубился по рабочему вифи, сделал ресет. зря сделал, теперь и вифи нет) чото с передачей данных по порту?

настроил криво.

Сделай сброс без дефолтных настроек и настрой по новому или пиши пм по удёлёнке пмогу настроить
  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
Shinkirou сохраненной конфигурации нигде нет? Даже старой, лишь бы рабочей? У меня при каких-то действиях (с вайфай) роутер резко отключает винбокс с вебом, и кроме как по маку через провод не зайти, но даже по маку заходит на 2 секунды, лишь ssh и работает достаточное для сброса время. И как ни парадоксально, сброс настроек и восстановление из бэкапа все починяет, даже можно сделать все что приводило к отвалу. Началось на последних прошивках.

_________________
i7 10700k, mb ASUS Z490-P, MSI GeForce GTX1080 Gaming X, 8+8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Ni9999 писал(а):
Началось на последних прошивках.


нет таких проблем. Обновите winbox на последний.
  Shinkirou

Member
Статус: Не в сети
Регистрация: 20.03.2014
Откуда: NCH
Фото: 8
так не сбрасывает в дефолт кнопкой. а когда я смог подцепиться по вифи, сделал сброс без дефолтного конфига, так вообще сдохла. ро маку тоже не хочет

_________________
celeron 1100 -> athlon xp 2500+ -> athlon ii x2 250 -> phenom ii x4 965 be -> fx8300 -> r7 1700 ->10700kf

  vault_dll

Member
Статус: Не в сети
Регистрация: 13.01.2007
Откуда: Google
Фото: 62
Ребята, подскажите. В планах приобрести 2 штуки Mikrotik HAP AC2. Между ними нада организовать VPN-канал. 1 микротик будет в роли сервера со статическим ip адресом. А второй будет в роли Клиента к нему подключаться. Соответственно, со стороны Клиента должен быть доступ во внутренние ресурсы Сервера. Такое возможно? Есть более-менее подробный мануал?

Благодарю.

_________________
Бывает...

  Evil_Side

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
vault_dll писал(а):
Соответственно, со стороны Клиента должен быть доступ во внутренние ресурсы Сервера.

ну как минимум нужны маршруты на обоих концах
http://mikrotik.vetriks.ru/wiki/VPN:L2TP_site-to-site_(%D0%BE%D0%B1%D1%8A%D0%B5%D0%B4%D0%B8%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BE%D1%84%D0%B8%D1%81%D0%BE%D0%B2)

_________________
"Для человеческой глупости нет патча"

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Shinkirou писал(а):
так не сбрасывает в дефолт кнопкой. а когда я смог подцепиться по вифи, сделал сброс без дефолтного конфига, так вообще сдохла. ро маку тоже не хочет


потому, что стоит галка протект роутер бут. Нетинсталом последнюю накати ос
Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 622 • Страница 16 из 32<  1 ... 13  14  15  16  17  18  19 ... 32  >
-

Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 13

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  

Лаборатория

Ретроклокинг: влияние поколений интерфейсов SSD на производительность


Обзор ноутбука ASUS Zenbook DUO (UX8406)


Обзор и тестирование модульного блока питания MSI MAG A850GL PCIE5


Обзор и тестирование процессорного кулера APNX AP1-V


Обзор и тестирование материнской платы MSI Z790 Gaming Plus WIFI





Новости
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan