Сообщения без ответов | Активные темы


Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 627 • Страница 1 из 321  2  3  4  5 ... 32  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
  Cool'D
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ

Обновление RouterBOOT (Factory Firmware) - пост с инструкциями


Базовые правила firewall + защита от брутфорса Winbox и VPN PPTP сервера + правила для l2tp+ipsec/OVPN сервера
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="PPTP" dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input comment="Drop WinBox" dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=black_list time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=OVPN dst-port=1194 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=L2TP+IPsec in-interface-list=WAN port=\
1701,500,4500 protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=forward comment="accept in ipsec policy" \
in-interface-list=WAN ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec out-interface-list=WAN
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 27.09.2019 14:47, всего редактировалось 16 раз(а).

Реклама

Партнер
  Evil_Side

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 63
Надо модерам еще сказать, чтобы сообщеньки из темы перенесли сюда ))

_________________
"Для человеческой глупости нет патча"

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Evil_Side писал(а):
Надо модерам еще сказать, чтобы сообщеньки из темы перенесли сюда ))

Написал, что сообщения были в той теме. Но думаю не стоит их переносить и начать, так сказать, с нового листа :)


По поводу 256 или 128 RAM ... ни разу не встречал чтобы 128 не хватало (да даже 64). Будем надеяться, что будет конечно 256 :oops:
  cypher1999

Member
Статус: Не в сети
Регистрация: 12.03.2003
Откуда: Калининград
У меня 2011 микротик на работе. 128 Мб. ХВАТАЕТ !

Добавлено спустя 1 минуту 42 секунды:
Не на правах рекламы - но нашел интересную ссыль поскриптовой балансировке(если 2+ провайдера):

http://mikrotik.axiom-pro.ru/scripts.php


может кому пригодится.

_________________
Lorichic писал(а):Память покупается на весь срок жизни.
АМ4 - Сокет свободных людей (с)XRR

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
cypher1999 писал(а):
может кому пригодится.


нет 100% уверенности, что заведётся на 6.41+, с описания тестировалось только на очень древних релизах.


Желательно делиться скриптами/правилами, которые работают на свежих релизах и очень желательно, которые проверялись лично :-)
  briancev

Member
Статус: Не в сети
Регистрация: 14.05.2006
Откуда: Москва
Микротик это не Асус с Зюхилем, тут все по взрослому))
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Поставил 6.42rc46 на hAP AC^2 RAM стало 106mb вместо 233mb :lol:
  Evil_Side

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 63
Cool'D пожалуй, я не буду обновлять)я и 128 врятли заюзаю, да и скорее всего чип там 128 все-таки
https://forum.mikrotik.com/viewtopic.php?f=3&t=132051#p649314

_________________
"Для человеческой глупости нет патча"

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Evil_Side писал(а):
пожалуй, я не буду обновлять)


Вчера ради прикола поднял самбу, подключил ssd usb и закинул гиговый файл- скорость под 35-40 мегабайт, НО оперативку 100+ мегабайт тут же съело. Есть подозрение, что всё же там не 233 мб :)
  LostLunatik

Member
Статус: Не в сети
Регистрация: 02.11.2009
Фото: 6
Это хорошо что появилась такая ветка, у меня вопрос назревал пару месяцев.

Купил домой, раздавать интернет на 1 телефон, точку доступа Mikrotik hAP lite RB941-2nD.
Где-то месяц было все хорошо, но потом интернет начал очень долго загружаться и вообще перестал работать по WI-FI.
К этой точке подключен компьютер проводом, так вот если компьютер работает, все нормально открывается, но если выключен, телефон часто показывает значок, что не доступен интернет по WI-FI и всё медленно открывается, а чаще всего вообще не открывается.
Перезагружал(хватает на день наверное потом вообще не помогает), перенастраивал несколько раз (делал резет много раз), выбирал разные преднастройки в квик сетап. Последний раз долго работало когда выбрал Basic AP, где нужно прописать только пароль от WI-FI.
Когда это начинается с телефона даже в веб интерфейс не заходит.
Прошивка вроде самая новая. Что-то можно с этим сделать ?
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
LostLunatik писал(а):
Прошивка вроде самая новая. Что-то можно с этим сделать ?


фирмварю обновлял? Надо смотреть настройки. Если есть возможность могу по ТВ зайти быстро глянуть или может если ип белый могу через винбокс
  z36

Member
Статус: Не в сети
Регистрация: 29.04.2008
Откуда: Тольятти
Фото: 11
cypher1999 так Вы меня не поняли, двойной доступ провайдера, когда сначала получаешь серый ип из локалки провайдера, потом уже поднимается впн например, как у моего провайдера сейчас. Я думаю при всем желании никто не сделает за недорого или в домашних роутерах балансинг и фейловер, не саму возможность дуал ван, а именно нормально работающие эти фишки. Низя лезть не в свой сегмент, тогда многие не купят циски или зивалы, зачем платить больше.
Вы же привели ссылку на скрипты инлариона, видели скока стоит? Причем сами разработчики микротика могли бы изначально дать такой функционал, но у них даже квиксет по сути не рабочий для простого коннекта к провайдеру. Что говорить, много лет не могли сделать коннект по имени к впн серверу провайдера, приходилось городить скриптом.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
z36 писал(а):
Я думаю при всем желании никто не сделает за недорого или в домашних роутерах балансинг и фейловер, не саму возможность дуал ван, а именно нормально работающие эти фишки.

z36 писал(а):
двойной доступ провайдера, когда сначала получаешь серый ип из локалки провайдера, потом уже поднимается впн например


чего ?
  z36

Member
Статус: Не в сети
Регистрация: 29.04.2008
Откуда: Тольятти
Фото: 11
Cool'D я просто здесь ответил, начали в теме выбора роутеров, чтобы там опять про микротики не писать или что то не понятно? Вроде не пятница.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
z36 писал(а):
просто здесь ответил, начали в теме выбора роутеров, чтобы там опять про микротики не писать или что то не понятно? Вроде не пятница.


не понимаю чем тебя микротиковский фаервол не устраивает и балансинг? Так же не понимаю, что за костыли в виде vpn для белого айпишника (если я правильно понял.)
  z36

Member
Статус: Не в сети
Регистрация: 29.04.2008
Откуда: Тольятти
Фото: 11
Cool'D на примере моего провайдера, впн сервер провайдера на домене server.avtograd.ru, за этим доменом целая пачка серверов 192.168.0.1-192.168.0.26, при коннекте днс резолвит менее нагруженный сервер. Так вот раньше если в РРР интерфейсе вписать имя впн сервера, то при первом коннекте имя перепишется на ип который отдал днс, а потом при реконнекте может не взлететь, ибо конкретно этот впн сервер не отзывается. Вот и приходилось городить скриптом коннект. Такой доступ еще у билайна, любой копеечный роутер умеет по имени, а микротик очень долго чесались реализовать элементарное.

Я не про фаервол писал, а про фейловер=failover, если не понятно чем не устраивает резервирование и балансинг, значит Вы просто не сталкивались с такой ситуацией, не всегда на интерфейсах белая статика без всяких РРР, да еще с одинаковой шириной канала.

Если в микротике озаботятся созданием встроенных скриптов для таких вещей, будет уже более интересная железка.
  cypher1999

Member
Статус: Не в сети
Регистрация: 12.03.2003
Откуда: Калининград
z36 по факту на вопрос ты не ответил. Ну и конечно де, любая домохозяйка на зухеле/асусе настроит лоад балансинг и фэйловер. А самое главное они им нужны.
Далее. Ты распинаешься про простую настройку и ненужный функционал. Однако совершенно "забываешь" о том, что функционал для домохозяек у микротика сосредоточен в квик сете. И в асусах зухелях то же самое. Но ! В микротике есть еще куча функционала, который,при необходимости можно использовать. В асусах и щухелях его нет. Так же не щабываем про стоимость. Асусозухели всегда дороже. Если, конечно, не совсем кастраты.
Опять же. Домохозяйке настроит все мастер или шарящий муж. А ты тут про сложности настройки распинаешся.
Вот и возникают лично у меня вопросы - либо за твою компетентность, либо за ум, либо за засланность.
PS: домохозяйкам вообще пофиг что ставить.

Добавлено спустя 1 час 4 минуты 34 секунды:
z36 писал(а):
Я не про фаервол писал, а про фейловер=failover, если не понятно чем не устраивает резервирование и балансинг, значит Вы просто не сталкивались с такой ситуацией, не всегда на интерфейсах белая статика без всяких РРР, да еще с одинаковой шириной канала.


У меня PPPoE от местного провайдера+L2TP от пчелайна. С т.н. "двойной авторизацией" :) Настроен лоад балансинг+фэйловер на микротике. Из минусов - ниасилил скрипт, который автоматом подставляет нужный IP, полученный от прова для L2TP - поэтому пока что при реконнекте этот IP, полученный от провайдера, приходится прописывать вручную. Благо, пчела не отваливается месяцами (звонил в пчелу и просил - пошли на встречу, за что отдельное им спасибо). Так же работает телевидение без проблем. И да - это не сильно просто. Домохозяйка не сможет. НО ! Сделай то же самое на асусе\зухеле ?Не получается ? то-то же.
Ты спросишь, зачем мне лоад балансинг ? Отвечу - для скорости, мне нравится, когда кино загружается не 20 минут на скорости 100 мегабит - а 10 минут на скорости 200 :) Опять же - вероятность того, что оба прова отвалятся одновременно - довольно мала, т.к. они используют разные каналы и разные провода. К тому же у местного прова лучше пингасики в европу (30 мс против 40-50 мс у пчелы), а у пчелы лучше пингасики в Россию (25 мс против 40-50). А я имею неосторожность поигрывать в тунки и в овервоч...

_________________
Lorichic писал(а):Память покупается на весь срок жизни.
АМ4 - Сокет свободных людей (с)XRR

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
cypher1999 писал(а):
лоад балансинг и фэйловер


Для этого нужно просто купить ubiquiti - там что балансинг, что фэйловер настраивается в 2 клика. ER-X модель - вещь убойная.

На микротике тоже всё настраивается, просто не в 2 клика.
  z36

Member
Статус: Не в сети
Регистрация: 29.04.2008
Откуда: Тольятти
Фото: 11
cypher1999 да вроде ответил, нет ессно в бытовых роутерах настройки балансировки кликами, даже заявленный в кинетиках резервный канал нормально не работает, обратно с резерва тока ручками уйтить можно.
вот че нашел http://demoui.asus.com/Advanced_WANPort_Content.asp
эмулятор rt 5300 параметр Dual WAN Mode можно резерв или балансировка, но только два интерфейса.
Потом есть такие заковыки как ип телефония, сайты которые мониторят постоянно откуда коннект, например логика робота безопасности какойнить биржи или банка может заблочить, если на ходу переобулись и лезем уже с другого ип. Здесь уже только микротик поможет и скрипты, многие спотыкались именно с ип телефонией и решали что микротик шляпа и нужна циска, проблема решалась одной строчкой в скрипте.

Теперь за компетентность, ум и засланость, я не гуру микротика, не совсем дурак, ибо "асилил скрипт, который автоматом подставляет нужный IP, полученный от прова для L2TP" и как могу быть засланцем, если вовсю использую микротики на работе, так как нет альтернативы за такую стоимость. Кстати зачем Вам сейчас осилять этот скрипт? Микротик давно умеет по имени, о чем я писал выше.
  cypher1999

Member
Статус: Не в сети
Регистрация: 12.03.2003
Откуда: Калининград
Cool'D писал(а):
Для этого нужно просто купить ubiquiti - там что балансинг, что фэйловер настраивается в 2 клика. ER-X модель - вещь убойная.


Л2ТР там тоже в 2 клика с ПППоЕ вместе забалансиш ? ;)

z36 писал(а):
Потом есть такие заковыки как ип телефония, сайты которые мониторят постоянно откуда коннект, например логика робота безопасности какойнить биржи или банка может заблочить, если на ходу переобулись и лезем уже с другого ип. Здесь уже только микротик поможет и скрипты, многие спотыкались именно с ип телефонией и решали что микротик шляпа и нужна циска, проблема решалась одной строчкой в скрипте.


Да просто получается, что типа в дом нужен только асус-тплинк-зухель, т.к. их легко настраивать. А если копнуть немного - то для тех задачь, которые нужны "виртуальным домохозяйкам" микротик даже проще настроить, чем зухель. Или вообще не-специалисты никогда не трогают роутер своими руками. А специалисту нас рать что настраивать - зухель или микротик, даже микротик проще, ибо логика ясная.

Добавлено спустя 1 час 17 минут 13 секунд:
z36 писал(а):
ибо "асилил скрипт, который автоматом подставляет нужный IP, полученный от прова для L2TP"


Прям таки асилил ;)
Что-то с трудом верится, учитывая, что для человека, который асилил такой скрипт - пользоваться асусней по меньшей мере стыдно.

_________________
Lorichic писал(а):Память покупается на весь срок жизни.
АМ4 - Сокет свободных людей (с)XRR

Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 627 • Страница 1 из 321  2  3  4  5 ... 32  >
-

Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan