Сообщения без ответов | Активные темы


Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 622 • Страница 18 из 32<  1 ... 15  16  17  18  19  20  21 ... 32  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
  Cool'D
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ

Обновление RouterBOOT (Factory Firmware) - пост с инструкциями


Базовые правила firewall + защита от брутфорса Winbox и VPN PPTP сервера + правила для l2tp+ipsec/OVPN сервера
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="PPTP" dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input comment="Drop WinBox" dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=black_list time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=OVPN dst-port=1194 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=L2TP+IPsec in-interface-list=WAN port=\
1701,500,4500 protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=forward comment="accept in ipsec policy" \
in-interface-list=WAN ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec out-interface-list=WAN
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 27.09.2019 14:47, всего редактировалось 16 раз(а).

Реклама

Партнер
  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
А чего?
Блокирует рекламу на всех девайсах дома, блокирует все ответные логи от винды и т.д.
Это можно было бы и на сам микротик повесить, но так проще и не будет грузить сам роутер.
  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
Evil_Side ну ты же сам понимаешь что любой микрот может обрабатывать трафик любыми способами, вплоть до 7 уровня считай по содержимому, хватило бы проца. А тут какой-то DNS регламентировано ходящий через 53 udp, который можно крутить как куртизанку. Я бы еще понял, если бы ты внедрил dns over https, о котором так долго твердили народу большевики. Микроты их только обещают добавить когда будет RFC, кстати.

_________________
i7 10700k, mb ASUS Z490-P, MSI GeForce GTX1080 Gaming X, 8+8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

  Evil_Side

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
Ni9999 писал(а):
хватило бы проца

ну может там 951й и куча правил, а малинка глаза мозолит)

_________________
"Для человеческой глупости нет патча"

  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
Evil_Side Kuja Ну если только так, только скромный Оккам нам кое чего брить завещал в таких случаях)

_________________
i7 10700k, mb ASUS Z490-P, MSI GeForce GTX1080 Gaming X, 8+8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
У Пихи готовые большие списки блокировок. Они готовые, рабочие и постоянно обновляемые.
Брать эти списки с лямом доменов (это только 16 листов без лишних и совсем упоротых блокировок всего)
Микротик сдохнет все это обрабатывать. Это не его задача.

А тут и готовый интерфейс, статистика, обновления и т.д.
Я читал как сделать подобное на микротике. Это не вариант.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Kuja писал(а):
Микротик сдохнет все это обрабатывать. Это не его задача.


Наш человек:). Зачем всё вещать на роутер, когда есть для этого специальные дисты? Я понимаю, что можно всё запихнуть в роутер, но зачем? Его задача гонять трафик, отсекать ненужный и выступать в роли capsman контролера/vpn сервака всё остальное - уже не его головняк. Если не хватает - добро пожаловать к untangle - там есть всё из коробки и снорт и эдблок и ovpn в 2 кнопки и http/https фильтр и спам фильтр и чё ток нет:)
  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
Бета 7ки вышла на все устройства. Ну думаю, обновлюсь.
Обновляюсь и SFP модуль не работает. Роутер его видит и понимает, то пакеты не ходят. Устройство запитано через USB. Видим, выдадим IP, но пакеты не ходят. Сброс в дефолт не помог.
Откатил все в зад.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Kuja писал(а):
Бета 7ки вышла


Ну яб сказал это прям очень ранняя бетка. Месяца 2 точно будет в "бете" если не дольше.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Вышла 6.45.7 (Stable) и 6.44.6 (Long-term)

Фиксы уязвимостей в отношении DNS и пакетов обновлений.

!) package - accept only packages with original filenames (CVE-2019-3976);
!) package - improved package signature verification (CVE-2019-3977);
!) security - fixed improper handling of DNS responses (CVE-2019-3978, CVE-2019-3979);
  V1Rey

Member
Статус: Не в сети
Регистрация: 07.07.2018
Подскажите пожалуйста, купил домой HAP AC², уже несколько месяцев фурычит настроенный по дефолту. (выбирал по принцыпу железа, чтобы мощный и имел 2 сети 2.4 и 5 ггц).
Но максимум осилил шаги по-инструкции, а хотелось бы разбираться, а не тупо кнопочки нажимать. Пробовал возиться методом тыка, да забросил после нескольких безрезультатный вечеров.
Вот наткнулся на тему, решил спросить совета.
В сетях не шарю, какую книжку порекомендуете? Пробовал "Компьютерные сети. Нисходящий подход", но не осилил. Есть что-нибудь по-проще? Что-то совсем для не шарящих?

Цели следуюище:
Сделать дома 3 сети,
1 - для 2.4 Ггц устройств
2 - для 5 Ггц устройств
3 - гостевую сеть, для которой будет резаться приоритет трафика и скорость. Ибо нефиг ну и пароль простенький в прихожей на самом видном месте.

Ну и также настроены нужные фильтры. Правда чтобы их настроить понимание надо, а его пока нету.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
V1Rey писал(а):
Подскажите пожалуйста, купил домой HAP AC², уже несколько месяцев фурычит настроенный по дефолту.


Первое что советую обновить до последней стабильной + обновить FW.

По настройке есть большое количество статей. Но добавлять в квик сет свои настройки не рекомендуется - надо делать полный сброс и настраивать с 0. Настраивать лучше всего через winbox. Правила фаервола есть в шапке они в принципе перекрывают 99% домашних нудж.
  V1Rey

Member
Статус: Не в сети
Регистрация: 07.07.2018
Cool'D у меня пока роутер работает в режиме bridge, на форуме шнуп оптический воткнуть умельцы пробовали, но он не фурычит.
Настроить провайдерский роутер в режиме мост можно, тогда микротик будет полноценной машиной.
Но пока не особо получилось.

Прошивки обновил, хотя не особо уверен, что смысл от этого был учитывая, что сам роутер в режиме мост. Хотя и раздает интернет по проводу компу и wifi.
  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
V1Rey
Если у вас ПОН, то воткнуть оптику через SFP модуль не получится. Ибо гнилой оператор имеет спец прошивку в своих роутерах.
  Водка_Мэн

Junior
Статус: Не в сети
Регистрация: 25.10.2019
Откуда: Фрунзе
V1Rey писал(а):
Подскажите пожалуйста, купил домой HAP AC², уже несколько месяцев фурычит настроенный по дефолту. (выбирал по принцыпу железа, чтобы мощный и имел 2 сети 2.4 и 5 ггц).
Но максимум осилил шаги по-инструкции, а хотелось бы разбираться, а не тупо кнопочки нажимать. Пробовал возиться методом тыка, да забросил после нескольких безрезультатный вечеров.
Вот наткнулся на тему, решил спросить совета.
В сетях не шарю, какую книжку порекомендуете? Пробовал "Компьютерные сети. Нисходящий подход", но не осилил. Есть что-нибудь по-проще? Что-то совсем для не шарящих?

Цели следуюище:
Сделать дома 3 сети,
1 - для 2.4 Ггц устройств
2 - для 5 Ггц устройств
3 - гостевую сеть, для которой будет резаться приоритет трафика и скорость. Ибо нефиг ну и пароль простенький в прихожей на самом видном месте.

Ну и также настроены нужные фильтры. Правда чтобы их настроить понимание надо, а его пока нету.
что бы разобраться в том что делаешь одной книжки мало. Сейчас всё прекрасно гуглится. По другому ни как да и всегда знания по кирпичикам собирать учись. Много статей по настройке есть в гугле. На ютубе есть вебинары , не супер информативные но общие понятия и тонкости можно почерпнуть. Правила для фаервола из шапки достаточно для дом использования. За раз всё не настроишь .
https://youtu.be/wbmHmCDce5Y

_________________
i5 9400f/asus maximus 8 extreme/16G 3200Mhz-FuryHyperX/Asus gtx 970 strix/Deepcool DQ750evo Quanta

  V1Rey

Member
Статус: Не в сети
Регистрация: 07.07.2018
Kuja да, все так. Поэтому нужно перевести родной роутер в режим мост, а потом уже в первое гнездо микротика подключать.
Водка_Мэн понял, спасибо за комментарий. Будем разбираться.
  mac_man

Member
Статус: Не в сети
Регистрация: 08.12.2017
Откуда: KZ, Aqtobe
Cool'D
Большое спасибо тебе!
во второй раз уже выручаешь!
  mac_man

Member
Статус: Не в сети
Регистрация: 08.12.2017
Откуда: KZ, Aqtobe
Привет народ,
прошу подсобить скриптом для отключения и включения Wi-fi по заданному времени.
имеется hex S настроеный в CAPsMAN + 3 точки (два cap ac и один hap ac^2)
нашел статью - За основу был взят скрипт от тов. Base122, адаптирован под версию 6.30.1 и опционально доработан
насколько он приспособлен под последнюю прошивку?
https://blog.hook.sh/mikrotik/on-off-wifi-script/
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
mac_man писал(а):
прошу подсобить скриптом для отключения и включения Wi-fi по заданному времени.


а смысл? Надо просто не врубать на большую мощность и всё будет норм.
  mac_man

Member
Статус: Не в сети
Регистрация: 08.12.2017
Откуда: KZ, Aqtobe
Cool'D
Да и так уже на 8 скрутил. Жена хочет чтоб прям уащпе ночью сотки в авиарежим и все точки отрубать 🤦🏻‍♂️

Добавлено спустя 4 минуты 22 секунды:
И еще вопрос. К примеру отрубил точку доступа через “shutdown”
А можно как нибудь включить не «вырубая-врубая» питальник?
Типа прогой Wake-on-lan
Попытался уже) вбил ip и мас. Не заводится точка(
Может что-то на самой точке можно настроить?
Вложение:
BD2C0541-E9ED-4F52-B256-EAD37264E203.jpeg


У вас нет необходимых прав для просмотра вложений в этом сообщении.

  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
mac_man ты шо, всю точку тушишь вместе с ОС? Что за сумасшедший способ?

_________________
i7 10700k, mb ASUS Z490-P, MSI GeForce GTX1080 Gaming X, 8+8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 622 • Страница 18 из 32<  1 ... 15  16  17  18  19  20  21 ... 32  >
-

Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  

Лаборатория

Ретроклокинг: влияние поколений интерфейсов SSD на производительность


Обзор ноутбука ASUS Zenbook DUO (UX8406)


Обзор и тестирование модульного блока питания MSI MAG A850GL PCIE5


Обзор и тестирование процессорного кулера APNX AP1-V


Обзор и тестирование материнской платы MSI Z790 Gaming Plus WIFI





Новости
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan