Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 622 • Страница 8 из 32<  1 ... 5  6  7  8  9  10  11 ... 32  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
 
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ

Обновление RouterBOOT (Factory Firmware) - пост с инструкциями


Базовые правила firewall + защита от брутфорса Winbox и VPN PPTP сервера + правила для l2tp+ipsec/OVPN сервера
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="PPTP" dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input comment="Drop WinBox" dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=black_list time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=OVPN dst-port=1194 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=L2TP+IPsec in-interface-list=WAN port=\
1701,500,4500 protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=forward comment="accept in ipsec policy" \
in-interface-list=WAN ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec out-interface-list=WAN
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 27.09.2019 14:47, всего редактировалось 16 раз(а).


Партнер
 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
Mr. ID1986 писал(а):
hAP AC

Ну как минимум в новинке нет WiFi :old_haha:

_________________
"Для человеческой глупости нет патча"


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Evil_Side писал(а):
Ну как минимум в новинке нет WiFi


И не нужен он там :). Уже заказал, должны 28 привезти, будем смотреть :-)


 

Member
Статус: Не в сети
Регистрация: 14.03.2007
Откуда: СПБ
Фото: 2
Evil_Side Пардон, не посмотрел :oops:

_________________
i7 13700KF, 32GB RAM, RX RADEON™ 7900XTX, 512GB A-Data XPG GAMMIX S11 Pro


 

Member
Статус: Не в сети
Регистрация: 03.03.2003
Откуда: Москва
Фото: 5
Был бы с вафлёй на борту,я б заказал моментально! :oops:

_________________
R9 5950x/ASUS ROG CH8 Dark Hero/G.Skill@F4-3200C14D-32GTZR/Samsung 980Pro 1Tb/Liquid Devil RX6900XT/SF Leadex Titanium 1000W/Lian Li Dynamic XL/OLEDC2


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
NOFX писал(а):
Был бы с вафлёй на борту,я б заказал моментально!

hAP AC^2 с вафлей и быстрым процом, cAP AC тоже, но портов только 2(точка доступа).


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
#77

_________________
"Для человеческой глупости нет патча"


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Ну да рихтуют потихоньку, а в чём собственно проблема?)


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Добавлю в шапку ссылочку на https://weblance.com.ua/ . Хорошие обзоры и гайды, будет полезно почитать всем.


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
Cool'D скинь свой конфиг для wireless, что-то я наворотил и не могу понять, где косякнул)

_________________
"Для человеческой глупости нет патча"


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Evil_Side писал(а):
скинь свой конфиг для wireless, что-то я наворотил и не могу понять, где косякнул)


А что именно не работает? Там же по сути и ошибиться то сложно при настройке:).


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
Cool'D да знаю, больно намудрил с мощностью, шириной канала, регионом, короч наваял.

_________________
"Для человеческой глупости нет патча"


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Evil_Side писал(а):
да знаю, больно намудрил с мощностью, шириной канала, регионом, короч наваял.


Мощность ставишь 15-17 all rate fixed.

Ширину можно ставить 20/40 XX (для 2) и 20/40/80 XXX (для 5)

Диапазон G/N (для 2) и N/AC (для 5)

Регион можешь Россию, а можешь no country set.


 

Member
Статус: Не в сети
Регистрация: 05.05.2010
Вот уж не ожидал, вчера обновляя в очередной раз как обычно RC-прошивку на 951G до последней, после ребута понял, что не могу зайти на него ни через винбокс, ни через вебморду. :roll: Инет работает, вафля работает. Только сброс через кнопку?


 

Member
Статус: Не в сети
Регистрация: 14.03.2007
Откуда: СПБ
Фото: 2
FTW_260 Обновил hAP AC, да, через винбокс не заходит, но если мы внимательно читали ченджлог, то там сказано, что внедряется новая продвинутая система аутентификации, которая поддерживается только начиная с винбокса 3.14, а последний 3.13, через веб морду у меня заходит

_________________
i7 13700KF, 32GB RAM, RX RADEON™ 7900XTX, 512GB A-Data XPG GAMMIX S11 Pro


 

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
Чтобы долго не искать
https://www.mikrotik.com/download/share/winbox.exe - 3.14RC

Цитата:
Ширину можно ставить 20/40 XX (для 2)

Лучше просто 20. С 40 не всегда корректно работает, т.к. 40 вообще даже в стандарт 2.4 не вписали толком.


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Kuja писал(а):
Лучше просто 20. С 40 не всегда корректно работает


Тут наверное стоило всё таки дописать, что надо смотреть - новые устройства работают нормально, а вот со старыми могут быть тупняки.


 

Member
Статус: Не в сети
Регистрация: 05.05.2010
Mr. ID1986, вот я затупил :oops:


 

Member
Статус: Не в сети
Регистрация: 12.01.2005
ППЦ этот RouterOS дырявый, я в шоке:

В открытом виде мне выдал мои логин и пароль
Цитата:
Address: h
Time: 125 ms
Authorization: login:password \\\тут прямым текстом был написан логин и 15-значный пароль...
Device: MikroTik RouterOS v6.41.3
BSSID: DELETE
LAN IP: 1.2.3.4
LAN Subnet Mask: 255.255.255.252
WAN IP: 5.6.7.8
WAN Subnet Mask: 255.255.255.252
WAN Gateway: 9.8.7.6
Domain Name Servers: 1.2.3.4 4.3.2.1

Единственное, я проверял из локальной сети, из внешки я доступ отрубил...
Даже ссаный асус rt-N11 такого не выдал..


Обновил до последней версии 6.42. перестал выдавать. Стоит в шапке указать, уязвимость новая и крайне критичная, RouterScan ломает за полсекунды..

_________________
Солдатушки-ребятушки, нашему царю показали фигу. Умрём все до последнего!


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
N1ghtwish писал(а):
ППЦ этот RouterOS дырявый, я в шоке:


если юзер открывает доступ из вне, я думаю это не проблема микротика... да ещё и самбу юзает на нём...

N1ghtwish писал(а):
Стоит в шапке указать, уязвимость новая и крайне критичная, RouterScan ломает за полсекунды..


её ещё в марте закрыли релиз 6.41.3, о чём тут писали. Так же в шапке написано чёрным по серому - "По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы"


 

Member
Статус: Не в сети
Регистрация: 12.01.2005
Cool'D писал(а):
да ещё и самбу юзает на нём...

Ну я самбу не настраивал (по дефолту она, наверное, отключена?), сейчас я даже не могу найти где она включается.
Cool'D писал(а):
её ещё в марте закрыли релиз 6.41.3, о чём тут писали.

А вот не фига, у меня как раз Device: MikroTik RouterOS v6.41.3 и стояла, router scan мне 15-значный пароль за полсекунды выдал, сбрутить нереально, это рандомные букво-цифры.
Насчет фаирвола, настрaивал его почти год назад, честно говоря, уже подзабыл что к чему, не каждый день это делаю, что может лишнее?
Доступы: l2tp к роутеру и к 2м ПК: хост по rdp (3389), и виртуалка - архивный сайт (80).
И еще тупой вопрос, что означают fasttrack connection и passthrough forward?
Коннекта из внешки нет.
Вложение:
Безымянный.png


У вас нет необходимых прав для просмотра вложений в этом сообщении.

_________________
Солдатушки-ребятушки, нашему царю показали фигу. Умрём все до последнего!


Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 622 • Страница 8 из 32<  1 ... 5  6  7  8  9  10  11 ... 32  >
-

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  

Лаборатория














Новости

Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan