Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 627 • Страница 3 из 32<  1  2  3  4  5  6 ... 32  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
 
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ

Обновление RouterBOOT (Factory Firmware) - пост с инструкциями


Базовые правила firewall + защита от брутфорса Winbox и VPN PPTP сервера + правила для l2tp+ipsec/OVPN сервера
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="PPTP" dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input comment="Drop WinBox" dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=black_list time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=OVPN dst-port=1194 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=L2TP+IPsec in-interface-list=WAN port=\
1701,500,4500 protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=forward comment="accept in ipsec policy" \
in-interface-list=WAN ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec out-interface-list=WAN
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 27.09.2019 14:47, всего редактировалось 16 раз(а).


Партнер
 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Mr. ID1986 писал(а):
какую лучше в таких случаях выставлять ширину канала - 20 или 40 MHz?


20/40 Ce или eC . Попробуй посмотреть на какой будет поменьше загруженность. Мощность лучше больше 17-18 не выставлять (all rates fixed).

Так же заметил, что стабильнее выставлять mix band типа G/N (для 2.4 Ghz ) и N/AC (5 GHz) . При N- only и AC-only бывает скорости немного проседают или устройства особенно старые не могут нормально стабильно скорость держать.


 

Member
Предупреждение Предупреждение 
Статус: Не в сети
Регистрация: 14.03.2007
Откуда: СПБ
Фото: 2
Cool'D Ок, попробую, а с мощностью я все таки врубил manual_txpower, no_country_set, шпарит на все 29 dbi, пробовал убавлять, связь ощутимо хуже, то ли стены толстые, то ли расположение роутера не оптимальное

_________________
i7 13700KF, 64GB RAM, RX RADEON™ 7900XTX, 512GB A-Data XPG GAMMIX S11 Pro


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Mr. ID1986 писал(а):
на все 29 dbi


пожалейте себя и устройство :).


 

Member
Предупреждение Предупреждение 
Статус: Не в сети
Регистрация: 14.03.2007
Откуда: СПБ
Фото: 2
Cool'D

Так вот почему я так резко лысеть начал :D

_________________
i7 13700KF, 64GB RAM, RX RADEON™ 7900XTX, 512GB A-Data XPG GAMMIX S11 Pro


 

Member
Статус: Не в сети
Регистрация: 03.03.2003
Откуда: Москва
Фото: 5
Mr. ID1986
Максимум 20dB усиление ставьте! :-)
Выше ставить смысла нет совершенно.

_________________
R9 5950x/ASUS ROG CH8 Dark Hero/G.Skill@F4-3200C14D-32GTZR/Samsung 980Pro 1Tb/Liquid Devil RX6900XT/SF Leadex Titanium 1000W/Lian Li Dynamic XL/OLEDC2


 

Member
Предупреждение Предупреждение 
Статус: Не в сети
Регистрация: 14.03.2007
Откуда: СПБ
Фото: 2
Подскажите плиз, затупил, пришлось откатится на старую конфигурацию, как мне теперь включить на портах hardware offload? я так понял, что при первоначальной настройке bridge он включается автоматически, как только я пытаюсь пересобрать бридж, меня выкидывает и больше уже к роутеру не подключится, приходится восстанавливать бэкап, можно ли как то вручную включить hw на портах?

_________________
i7 13700KF, 64GB RAM, RX RADEON™ 7900XTX, 512GB A-Data XPG GAMMIX S11 Pro


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Mr. ID1986 писал(а):
Подскажите плиз, затупил, пришлось откатится на старую конфигурацию, как мне теперь включить на портах hardware offload? я так понял, что при первоначальной настройке bridge он включается автоматически, как только я пытаюсь пересобрать бридж, меня выкидывает и больше уже к роутеру не подключится, приходится восстанавливать бэкап, можно ли как то вручную включить hw на портах?


если ты на 6.41 обновился - собирай порты в бридж. Так же не рекомендуют старыми бэкапами восстанавливать на новые прошивки. Лучше будет сбросить настройки в " no default configuration", обновить на последнюю стабильную версию и перенастроить с 0.


 

Member
Предупреждение Предупреждение 
Статус: Не в сети
Регистрация: 14.03.2007
Откуда: СПБ
Фото: 2
Cool'D

Ну пока худо бедно работает, будет свободное время - займусь перенастройкой с нуля. вчера по памяти восстанавливал правила файервола:

Код:
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough

 1    chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""

 2    ;;; accept established/related connections from network
      chain=forward action=accept connection-state=established,related log=no log-prefix=""

 3    ;;; DNS Flood
      chain=input action=drop protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix=""

 4    ;;; BOGON
      chain=input action=drop src-address-list=BOGON in-interface=ether1 log=no log-prefix=""

 5    ;;; allow icmp ping from router
      chain=input action=accept protocol=icmp log=no log-prefix=""

 6    ;;; accept established/related connections from router
      chain=input action=accept connection-state=established,related log=no log-prefix=""

 7    ;;; allow UDP from router
      chain=input action=accept protocol=udp log=no log-prefix=""

 8    ;;; allow UDP from local network
      chain=forward action=accept protocol=udp log=no log-prefix=""

 9    ;;; Access to Internet from local network
      chain=forward action=accept src-address=192.168.1.0/24 in-interface=bridge1 log=no log-prefix=""

10    ;;; RDP
      chain=forward action=accept protocol=tcp dst-port=3389 log=no log-prefix=""

11    ;;; Winbox Remote
      chain=input action=accept protocol=tcp src-address= **** dst-port=8291 log=no log-prefix=""

12    ;;; drop invalid connections from router
      chain=input action=drop connection-state=invalid log=no log-prefix=""

13    ;;; drop invalid connections from network
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

14    ;;; All other drop
      chain=input action=drop in-interface=ether1 log=no log-prefix=""

Может не совсем оптимально, восстанавливал уже ближе к ночи :oops:

_________________
i7 13700KF, 64GB RAM, RX RADEON™ 7900XTX, 512GB A-Data XPG GAMMIX S11 Pro


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Mr. ID1986 писал(а):
Может не совсем оптимально, восстанавливал уже ближе к ночи


Там есть стандартные правила, я сейчас в шапку добавлю, для удобства. Они так сказать базовые :-)


 

Member
Предупреждение Предупреждение 
Статус: Не в сети
Регистрация: 14.03.2007
Откуда: СПБ
Фото: 2
Cool'D Да я помню :-) а так то более менее адекватно настроено? просто как настроил год назад, так и забыл :D По сути нужно настроить RDP с одного айпишника внешнего, доступ винбокс оттуда же, ну и все остальное перекрыть, всякие telnet и ssh доступны только из локалки

_________________
i7 13700KF, 64GB RAM, RX RADEON™ 7900XTX, 512GB A-Data XPG GAMMIX S11 Pro


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Mr. ID1986 писал(а):
более менее адекватно настроено?


Сначала написал, потом понял что туплю :). Лучше юзать те что с шапки и уже к ним добавлять свои, особенно если версия 6.41 и выше. Дальше не забыть отключить всякие сервисы типа www , telnet, ssh...оставив только winbox .


 

Junior
Статус: Не в сети
Регистрация: 20.01.2017
Всем доброго времени суток, нужен роутер для домашнего использования. Обратил внимание именно на микротик, дом частный и довольно большой. Поэтому нужен достаточно мощный wifi. На данный момент стоит такое чудо Tp-Link TL-W941ND собственно хотелось дабы дальности wifi была как минимум не меньше этого. Интернет adsl (да да, знаю. Но другов на той местности нету) Также было бы неплохо дабы он обладал возможностью процедить через себя iptv (но это уже не критично) Что бы вы могли посоветовать? (С настройкой разберусь, сложность именно в вафле. Совсем не разбираюсь в радиосетях и для меня все эти цифры с коэффициентами усиления филькина грамота)


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 63
а я как то не припомню микротика с адсл :?:

_________________
"Для человеческой глупости нет патча"


 

Junior
Статус: Не в сети
Регистрация: 20.01.2017
Evil_Side писал(а):
а я как то не припомню микротика с адсл :?:


Ну так нужен роутер а не модем, до микротика будет стоять модем.


 

Member
Статус: Не в сети
Регистрация: 02.10.2009
Откуда: Мск.Измайлово.
Фото: 3
alloha28 писал(а):
Ну так нужен роутер а не модем, до микротика будет стоять модем.


не проще взять сразу adsl роутер ?
типа -
https://keenetic.com/ru/zyxel-keenetic-dsl


 

Junior
Статус: Не в сети
Регистрация: 20.01.2017
Тоже думал, на keenetik vox засматривался. Но больно понравились скрипты в микротике. Поэтому думал просто модем в бридж а дальше инет микротиком поднимать.


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
alloha28 писал(а):
Тоже думал, на keenetik vox засматривался. Но больно понравились скрипты в микротике. Поэтому думал просто модем в бридж а дальше инет микротиком поднимать.


Новая моделька неплоха hAP AC^2 . Но если прям реально большой дом, то лучше роутер + потолочные точки доступа.


 

Junior
Статус: Не в сети
Регистрация: 20.01.2017
Cool'D писал(а):
Новая моделька неплоха hAP AC^2 . Но если прям реально большой дом, то лучше роутер + потолочные точки доступа.


330 квадратов, прошлого тплинка с горем пополам хватало, а на улице уже репитер был. Ежели этот не хуже то шикарно. Большое спасибо.


 

Member
Предупреждение Предупреждение 
Статус: Не в сети
Регистрация: 14.03.2007
Откуда: СПБ
Фото: 2
Товарищи, или лыжи не едут или я .... проверьте пожалуйста на версии 6.42rc49, стоит в винбоксе открыть Quick Set, как конфиг летит к херам, само окно быстрых настроек начинает хаотично мигать, и через пару секунд винбокс вылетает и больше уже не подключиться... Я сегодня плюнул, сбросил в дефолт, настроил с нуля, сохранил конфиг, открыл Quick Set и такая петрушка :roll: кэш винбокса, если что, чистил

_________________
i7 13700KF, 64GB RAM, RX RADEON™ 7900XTX, 512GB A-Data XPG GAMMIX S11 Pro


 

Member
Статус: Не в сети
Регистрация: 09.10.2004
Откуда: Украина,Донбасс
Перепроверь на нормальной прошивке, у меня на 6.41.3 все нормально, но модель другая.
Channel release candidat, 6.42rc49 - это по сути своей, бета версия.


Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 627 • Страница 3 из 32<  1  2  3  4  5  6 ... 32  >
-

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan