Сообщения без ответов | Активные темы


Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 627 • Страница 32 из 32<  1 ... 28  29  30  31  32
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
  Cool'D
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ

Обновление RouterBOOT (Factory Firmware) - пост с инструкциями


Базовые правила firewall + защита от брутфорса Winbox и VPN PPTP сервера + правила для l2tp+ipsec/OVPN сервера
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="PPTP" dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input comment="Drop WinBox" dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=black_list time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=OVPN dst-port=1194 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=L2TP+IPsec in-interface-list=WAN port=\
1701,500,4500 protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=forward comment="accept in ipsec policy" \
in-interface-list=WAN ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec out-interface-list=WAN
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 27.09.2019 14:47, всего редактировалось 16 раз(а).

Реклама

Партнер
  Vovchikzzz

Member
Статус: Не в сети
Регистрация: 28.01.2009
Фото: 0
Evil_Side
Их можно найти по одинаковой цене
  Nicholaz

Member
Статус: Не в сети
Регистрация: 24.01.2015
Фото: 2
Друзья. Подскажите с подбором микротика.
На 2011м в данный момент висит 12 pptp тоннелей. В лучшем случае ещё 2-3 тоннеля переварит. Постоянный трафик по каждому тоннелю в среднем 20 мегабит +/-.
Нужно заменить на железку которая переварит до 25.

З.Ы. В идеале хотелось бы перейти на l2tp + ipsec (минимум 22 тоннеля). Возможно ли за вменяемые деньги?

___________________________
Взял 4011.

_________________
5900x/arctic 420/x570 velocita/4x8gb g.skill 3200cl14/kingston kc2500 2tb/palit rtx3080ti gamingpro/sf leadex 3 850 watt/flex vrb-20/meshify 2 dark tg

  Dr.Power

Member
Статус: Не в сети
Регистрация: 16.06.2003
Откуда: Ростов-на-Дону
Фото: 1
Всем привет. Есть задача, помгите дельными советами, или ключевыми словами.
Есть офис, у него два канала интернет. оба на белых адресах, везде стоят микротики. Но вот не задача бывает что отваливается один из каналов, а на нем сидят РДП. НА сервере вручную меняем шлюз на второй микрот и пользователи по новой входят.
Появилась мысль, что если арендовать VPS с роутерОС и его сделать "точкой входа". Логика такая. Пользователи указывают для соединения адрес VPS, там их перенаправляют на офис. и если ложиться в офисе один канал трафик идет по другому.

_________________
Деньги существуют на то, чтобы их тратить (МАРКС Карл )
Если не в деньгах счастье, то отдайте их соседу...

  Godlike66

Member
Статус: Не в сети
Регистрация: 15.07.2013
Фото: 112
Dr.Power
как видишь, ветка чуть ли не мертвая
вот тебе тг каналы:
https://t.me/MikrotikRus
https://t.me/mikrotikclub
https://t.me/mikrotiklab
https://t.me/router_os
  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
Dr.Power так включи галку Check gateway в свойствах актуального шлюза, оно раз в несколько секунд пингует (или arp, как барин пожелает) доступность. Если отвалился - автоматом юзает следующий доступный. Делов 10 сек, а радости на килограмм)

_________________
i7 10700k, ASUS Z490-P, Palit 4070TiS (Gaming PRO OC), 2*8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

  Dr.Power

Member
Статус: Не в сети
Регистрация: 16.06.2003
Откуда: Ростов-на-Дону
Фото: 1
Ni9999 писал(а):
Dr.Power так включи галку Check gateway в свойствах актуального шлюза, оно раз в несколько секунд пингует (или arp, как барин пожелает) доступность. Если отвалился - автоматом юзает следующий доступный. Делов 10 сек, а радости на килограмм)

Я так понимаю, это если мы говорим о 2wan на одной железке, и судя по всему разговор идет о выходе в инет, а у меня входящий трафик.
Так же вопрос к вам, если вы считаете что у вас достаточные знания в данной теме, то может спишемся как то лично, мне нужна помощь в реализации данного проекта, нюансы можем там же и обсудить.

_________________
Деньги существуют на то, чтобы их тратить (МАРКС Карл )
Если не в деньгах счастье, то отдайте их соседу...

  Ni9999

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
Dr.Power Сорян, не хочу. Все что надо есть в интернете, в том числе правило "откуда пришел туда ушел", которое тебе нужно в случае входящего трафика на разные WAN, там буквально 4 строчки на каждый интерфейс, две cтроки на input/output и две для forward`ов (маскарадинг, пробросы и пр).

_________________
i7 10700k, ASUS Z490-P, Palit 4070TiS (Gaming PRO OC), 2*8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI

Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 627 • Страница 32 из 32<  1 ... 28  29  30  31  32
-

Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan