Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 622 • Страница 6 из 32<  1 ... 3  4  5  6  7  8  9 ... 32  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
 
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ

Обновление RouterBOOT (Factory Firmware) - пост с инструкциями


Базовые правила firewall + защита от брутфорса Winbox и VPN PPTP сервера + правила для l2tp+ipsec/OVPN сервера
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="PPTP" dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input comment="Drop WinBox" dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=black_list time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=OVPN dst-port=1194 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=L2TP+IPsec in-interface-list=WAN port=\
1701,500,4500 protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=forward comment="accept in ipsec policy" \
in-interface-list=WAN ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec out-interface-list=WAN
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 27.09.2019 14:47, всего редактировалось 16 раз(а).


Партнер
 

Member
Статус: Не в сети
Регистрация: 19.12.2008
Откуда: From Pussy
[quote="Cool'D"][/quote]
Настройки телевидения для приставки Ростелекомовской для Ростовского региона. Настраивал по мануалам, выделял порт и т.д. поток ТВ не пошёл)

_________________
vk.com/norco77


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
VALE© писал(а):
Настройки телевидения для приставки Ростелекомовской для Ростовского региона.


И что это значит? По IGMP или как?


 

Member
Статус: Не в сети
Регистрация: 29.04.2008
Откуда: Тольятти
Фото: 11
VALE© Вы пока загадками будете вопросы ставить, то ничего не выйдет. Обрисуйте свою сеть, как что подключено, я сталкивался когда IPTV от рт ну никак не ходило через IGMP прокси, похоже что рт хочет видеть свою приставку или как то ее авторизует. Настроил так, выделил отдельный порт на микротике для приставки и завел его в мост с WAN портом. Еще вариант ставить простой комутатор перед микротиком и забирать на приставку тв с комутатора. Если же Вы хотите получить каналы например на комп в плеер, то тогда задача усложняется еще сильней. Да и зачем грузить проц роутера мультикастом, если используете приставку, я бы комутатор использовал, другое дело если нет возможности или не хочется отдельный линк до приставки тащить.


 

Member
Статус: Не в сети
Регистрация: 19.12.2008
Откуда: From Pussy
Cool'D писал(а):
И что это значит? По IGMP или как?

Честно, не в курсе даже, пока временно ( а может постоянно) решили проблему установкой свитча перед Микрот.

_________________
vk.com/norco77


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
Cool'D пробовал 6.41.4, 6.42rc56 ?)

_________________
"Для человеческой глупости нет патча"


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Evil_Side писал(а):
пробовал 6.41.4, 6.42rc56 ?)


Да. Всё вроде бы норм. На 750gr3 стоит стабильная, на hAP AC^2 - RC. На hAP AC^2 пока не завезли температуру, стал по стабильнее вай фай +мелкие фиксы. Ждём допил wifi (отображение нормально мощности и прочего.), мониторинга и решения вопроса с оперативкой, ибо я так и не въехал, как это может быть 233 оперы .

Кстати обновилась winbox и как я понял, больше не поддерживаются ROS ниже v6.


 

Member
Статус: Не в сети
Регистрация: 12.03.2003
Откуда: Калининград
обновился на 2011 микротике с 6.38 до 6.41. Вроде работает. Изменений не выявлено :)

_________________
Lorichic писал(а):Память покупается на весь срок жизни.
АМ4 - Сокет свободных людей (с)XRR


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
cypher1999 писал(а):
микротике с 6.38 до 6.41. Вроде работает. Изменений не выявлено


Там изменений дофига. Теперь нет нужды в мастер порт обьединять, а можно просто в брижд и будет HW работать, фиксы уязвимость, обновление касаемо бриджа+ фиксы


 

Member
Статус: Не в сети
Регистрация: 12.03.2003
Откуда: Калининград
Cool'D я имел ввиду изменений в работе. Все так же стабильно и без проблем.

_________________
Lorichic писал(а):Память покупается на весь срок жизни.
АМ4 - Сокет свободных людей (с)XRR


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
И так промерял пирометром температуры открытой платы hAP AC^2. Температура радиатора ~ 50-52 при минимальной нагрузке, температура самого IPQ-4018 - 53-55 и это в открытом корпусе. На форуме микротика уже подняли тему, на что микротик ответил, что устройство было протестировано при температуре окружающей среды в плоть до 50 градусов, так что можно вообще не парится :-)


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Кстати, на хабре появилась такая новость:

Цитата:
Как, выяснилось в продаже имеется еще одна модификация роутера, которая построена на базе процессора IPQ-4019 и содержит 256Мб памяти.


Вот такие вот дела. Мне только теперь интересно - это первая партия такая или как ? По размерам 4019 должен быть 18х18 мм, у меня же 14х14, маркировка 4018 на чипе. Короче не понятно.

Так же мне непонятно одно - зачем было юзать сторонний свич, если у чипа 4018/4019 свой 5GE свич... Короче ждём финала с этой ситуацией :facepalm:


 

Member
Статус: Не в сети
Регистрация: 27.01.2008
Откуда: Deep Space
Фото: 15
Evil_Side писал(а):
кот?)

Контрольный в голову... :hunter:

_________________
-=AMD POWER FAN CLUB=- *AMD OverClan*


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Удалил сообщения, думаю вы согласитесь, что они засоряли тему :D


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Вышла 6.42 стабильная. Если посмотреть ветку изменений - это по сути 6.42 RC 56. В будущей релизе должны заняться допиливаем новых устройств.


 

Member
Статус: Не в сети
Регистрация: 05.12.2005
Откуда: портовый город
Страшный страх/вулнерабилити:
https://forum.mikrotik.com/viewtopic.ph ... 55#p656255


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
troll писал(а):
Страшный страх/вулнерабилити:


Нормуль, уже прошивку с фиксом выкатили :)


 

Advanced member
Статус: Не в сети
Регистрация: 18.03.2006
Откуда: Мск, Солнцево
Фото: 0
Недавно приобрел MikroTik hAP ac2. Обновил прошивку с коробочной 6.40.5 до 6.42 (stable). Поставил в работу. Заметил вот что: в настройках DHCP Client, где интерфейс ether1, значение "Expires After" - 20 минут (и в логе, соответственно, каждые 20 минут вижу красный алярм "dhcp client on ether1 lost ip address - lease expire").
Скажите пожалуйста, эти 20 минут можно изменить в девайсе ? Или это провайдер выдает мне эти 20 минут ?
Update: закинул тикет провайдеру, тот ответил - это не вина провайдера (врёт? как его проверить.. )


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Вельд писал(а):
Update: закинул тикет провайдеру, тот ответил - это не вина провайдера (врёт? как его проверить.. )


всё просто - 20 минут установлены провайдером(судя по всему билайн). Микротик видит что ему дали аренду на 20 минут, и через 20 минут делает запрос к DHCP серваку - типа "я тут, так что могу посидеть на этом IP- продлевай аренду ещё на 20 минут", на что ему DHCP даёт ответ - "гуляй Вася и лови новый IP...". микротик такой - "ну ладно :cry: , давай новый заберу" и всё ок.

Добавлено спустя 9 минут 19 секунд:
Вельд писал(а):
6.42


И обновите на 6.42.1 там уязвимость свежую фиксанули.


 

Advanced member
Статус: Не в сети
Регистрация: 18.03.2006
Откуда: Мск, Солнцево
Фото: 0
Cool'D, нет, провайдер не билайн. Но с другим роутером (D-Link) точно такая же картина - каждые 1200 секунд запрос. Отличие в поведении: если это MikroTik, при перезапросе инет подвисает (потому что IP меняется, в большинстве случаев); если это D-Link, при перезапросе инет не подвисает (потому что IP странным образом не меняется, а продлевается аренда). И там, и там - настройки перекопаны, где эти 20 минут увеличить (либо поставить "не нужен новый IP, продлите аренду текущему IP")- не нашел. Да, обновлю прошивку MikroTik'у. Благодарю за совет!


 

Member
Статус: Не в сети
Регистрация: 18.08.2017
Вельд писал(а):
Cool'D, нет, провайдер не билайн.


Ты бы написал как подключаешься к провайдеру.

_________________
zx spectrum


Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 622 • Страница 6 из 32<  1 ... 3  4  5  6  7  8  9 ... 32  >
-

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  

Лаборатория














Новости

Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan