Сообщения без ответов | Активные темы


Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 622 • Страница 14 из 32<  1 ... 11  12  13  14  15  16  17 ... 32  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
  Cool'D
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ

Обновление RouterBOOT (Factory Firmware) - пост с инструкциями


Базовые правила firewall + защита от брутфорса Winbox и VPN PPTP сервера + правила для l2tp+ipsec/OVPN сервера
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="PPTP" dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input comment="Drop WinBox" dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=black_list time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=OVPN dst-port=1194 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=L2TP+IPsec in-interface-list=WAN port=\
1701,500,4500 protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=forward comment="accept in ipsec policy" \
in-interface-list=WAN ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec out-interface-list=WAN
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 27.09.2019 14:47, всего редактировалось 16 раз(а).

Реклама

Партнер
  DKR

Member
Статус: Не в сети
Регистрация: 18.06.2009
Откуда: СССР
Фото: 66
Заказал MikroTik SXT LTE kit ( RBSXTR&R11E-LTE ) затра заберу и посмотрю что за зверь.

_________________
Не пытайтесь встретиться с Богом, смерть - это надолго....

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
DKR писал(а):
MikroTik SXT LTE kit ( RBSXTR&R11E-LTE )


у меня 3 штуки есть в строю первой SXT LTE - вещь. Иногда неделями аптаймы были :)
  DKR

Member
Статус: Не в сети
Регистрация: 18.06.2009
Откуда: СССР
Фото: 66
Cool'D Насчет Bound ( Agregation ) посмотрел на RG750Gr3 да 1Гбит каналы и всего 2 мало
39965

Что посоветуешь поставить после RG750Gr3, быстро глянул ничего вменяемого не нашёл если только снимать RG750Gr3 и ставить Mikrotik RB4011iGS+5HacQ2HnD-IN - но что то жирно получается и опять же функционал - я его буду использовать на 5-10% !

_________________
Не пытайтесь встретиться с Богом, смерть - это надолго....

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
DKR писал(а):
Что посоветуешь поставить после RG750Gr3


У меня стоит HP коммутатор управляемый. Он умеет LACP. Ставлю лоадбаланс и всё. Когда были i350-t4 ставил 4 интерфейса в тим и получал 4 гигабита :)

В 750gr3 использую первых 2 порта :). Без бриждей и прочего. 1 порт - WAN, 2 порт - LAN
  DKR

Member
Статус: Не в сети
Регистрация: 18.06.2009
Откуда: СССР
Фото: 66
Забрал MikroTik SXT LTE kit тест без подробной настройки и в поганых условиях ( связь не фонтан ), но где стоять будет там лучше и другой оператор будет.

Int Speed
39984


Cool'D Решил взять HPE 1820-8G-PoE+ заодно избавлюсь от кучи адаптеров питания и poe инжекторов, RG750Gr3 посажу на Преобразователь PoE Ubiquiti INS-3AF-I-G, mikrotik cAP ac поддерживает 802.3af/at, как и Ubiquiti UniFi AP AC LR. Да и LACP HPE 1820-8G-PoE+ поддерживает... но информацию по управляемым свитчам я искать заколебался, да-же на офф сайтах пока найдёшь с ума сойти можно....

_________________
Не пытайтесь встретиться с Богом, смерть - это надолго....

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
DKR писал(а):
да-же на офф сайтах пока найдёшь с ума сойти можно....


Я если что от HP надо - просто в сапорт пишу и они на прошивки и прочее для устройства прикрепляют ссылки :).
  DKR

Member
Статус: Не в сети
Регистрация: 18.06.2009
Откуда: СССР
Фото: 66
Cool'D писал(а):
Я если что от HP надо - просто в сапорт пишу и они на прошивки и прочее для устройства прикрепляют ссылки :).


Ты меня не понял, у HP как раз все нормально, я сначала смотрел Ubiquti EdgeSwitch XP 8 портовый, так и не понял умеет он LACP или нет, потом ещё что то смотрел... у HP всё сразу нашёл!

_________________
Не пытайтесь встретиться с Богом, смерть - это надолго....

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
DKR писал(а):
Ubiquti EdgeSwitch XP 8 портовый, так и не понял умеет он LACP


ааа, все управляемые свичи умеют LACP, даже mikrotik (в режиме SWOS)
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Добавил в шапку ссылку на пост с инструкцией по обновлению factory firmware (включает маленькие фиксы касаемые RB). Самый простой и безпроблемный - обновить/даунгрейднуть ROS до версии 6.43.7, так же обновить/даунгрейднуть firmware и после этого закинуть универсальный файл для обновления RouterBOOT firmware до версии 6.43.7 (обновляются не все CPU, читайте в статье).
  N1ghtwish

Member
Статус: Не в сети
Регистрация: 12.01.2005
Нужен роутер с поддержкой 4G модема от mikrotik, модель не помню, какая то от МТС (вроде бы Huawei E3372h). Работа 24\7, висеть будут видеорегистратор (обычный домашний) с камерой, для доступа к камерам, через интернет, комп и телефон. С неадекватными ценами от 4-5т.р.+ не предлагать. Mагазины технопоинт, ситилинк, онлайнтрейд.

_________________
Солдатушки-ребятушки, нашему царю показали фигу. Умрём все до последнего!

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
N1ghtwish писал(а):
Нужен роутер с поддержкой 4G модема от mikrotik


любой с усб который бери и норм. Тот же hAP AC^2. У него мощный USB ^^)
  N1ghtwish

Member
Статус: Не в сети
Регистрация: 12.01.2005
Cool'D
>4т.р. это перебор
А как насчет вот этого MikroTik hAP ac lite RB952UI-5AC2ND-TC

_________________
Солдатушки-ребятушки, нашему царю показали фигу. Умрём все до последнего!

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
N1ghtwish писал(а):
А как насчет вот этого MikroTik hAP ac lite RB952UI-5AC2ND-TC


лучше взять в обычном корпусе не TC . Нормальная вещь.
  Mr. ID1986

Member
Статус: Не в сети
Регистрация: 14.03.2007
Откуда: СПБ
Фото: 2
Приплыли, обновил до крайней беты 6.45 beta 19, отвалился модуль 5 ГГЦ на моем hAP AC, в логах пишет defconf gen: unable to find wireless interface(s)

З.Ы. Откатился до стабильной 6.44.1 вроде все заработало, но имейте ввиду

_________________
i7 13700KF, 32GB RAM, RX RADEON™ 7900XTX, 512GB A-Data XPG GAMMIX S11 Pro

  dKenGuru

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
Ага, те же грабли.
Как они умудрились. И главное перед выходными.
  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Mr. ID1986 писал(а):
обновил до крайней беты 6.45 beta 19


А зачем до beta обновлять? Она же тестовая - так, что на свой страх и риск :)
  Mr. ID1986

Member
Статус: Не в сети
Регистрация: 14.03.2007
Откуда: СПБ
Фото: 2
Cool'D Ну я наивно пологал, что такие баги не должны быть в бета версии, для этого есть всякие альфы и пре-альфы

_________________
i7 13700KF, 32GB RAM, RX RADEON™ 7900XTX, 512GB A-Data XPG GAMMIX S11 Pro

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Mr. ID1986 писал(а):
Ну я наивно пологал, что такие баги не должны быть в бета версии, для этого есть всякие альфы и пре-альфы


они сейчас все под крыло beta перешли. Да и проблема скорее всего в том, что надо было через netinstall ставить, а не просто через пакет.
  Evil_Side

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
Уязвимость в RouterOS позволяет вывести из строя оборудование MikroTik
Цитата:
Проблема (CVE-2018-19299) проявляется на устройствах MikroTik с включенной поддержкой протокола IPv6. Для того чтобы вывести из строя маршрутизатор, атакующему потребуется всего лишь отправить специально сформированные IPv6 пакеты, приводящие к повышенному использованию ОЗУ.

_________________
"Для человеческой глупости нет патча"

  Cool'D

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Evil_Side писал(а):
Уязвимость в RouterOS позволяет вывести из строя оборудование MikroTik


Ну прям вывести из строя ... Там просто оперу забивает и скорее всего борд уйдёт в перезагрузку. Но в целом, ребятам стоит уже ядро новое пилить, ибо очень много костылей из за старого ядра.

p.s. Фикс уже выпустили, и как обычно стоит обновиться.

p.p.s. Очень часто вижу в сетях провайдеров версии ros 6.3x и ниже, и беспокоиться о ipv6 (который по дефолту выключен) стоит в самый последний момент...
Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 622 • Страница 14 из 32<  1 ... 11  12  13  14  15  16  17 ... 32  >
-

Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  

Лаборатория

Обзор ноутбука ASUS Zenbook DUO (UX8406)


Обзор и тестирование модульного блока питания MSI MAG A850GL PCIE5


Обзор и тестирование процессорного кулера APNX AP1-V


Обзор и тестирование материнской платы MSI Z790 Gaming Plus WIFI


Обзор и тестирование смартфона Honor X9b 5G





Новости
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan