Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 622 • Страница 29 из 32<  1 ... 26  27  28  29  30  31  32  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
 
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ

Обновление RouterBOOT (Factory Firmware) - пост с инструкциями


Базовые правила firewall + защита от брутфорса Winbox и VPN PPTP сервера + правила для l2tp+ipsec/OVPN сервера
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="PPTP" dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input comment="Drop WinBox" dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=black_list time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=OVPN dst-port=1194 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=L2TP+IPsec in-interface-list=WAN port=\
1701,500,4500 protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=forward comment="accept in ipsec policy" \
in-interface-list=WAN ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec out-interface-list=WAN
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 27.09.2019 14:47, всего редактировалось 16 раз(а).


Партнер
 

Заблокирован
Заблокирован
Статус: Не в сети
Регистрация: 09.02.2006
Откуда: на белорусь ?
Фото: 0
Отключил WPS, включил поддержку b/g/n - не помогло.
Поменял регион на Russia3 - не помогло.
Поменял регион на Russia2 - помогло.

Вернул поддержку only - N - опять не работает, G-N тоже не работает.
Рабочий вариант у меня получился - b/g/n и Russia2.
Такой вот неочевидный вариант.


 

Member
Статус: Не в сети
Регистрация: 27.04.2013
Откуда: Москва
Фото: 0
ivanvatnikov писал(а):
Почему не сбрасывает настройки RB 951G 2HnD? Везде написано и показано, что надо зажать кнопку сброса и подать питание, отпустить кнопку как заморгает ACT. У меня устройство напрочь игнорирует кнопку сброса.

Приветствую! Что делали? У меня тоже нихрена не сбрасывается.

В этом месяце работы привалило, после коровавируса, поэтому за компом почти не сидел, ничего не качал. Но на днях глянул трафик и офигел, такое ощущение, что торрент работал круглосуточно, туда и обратно. По ходу кто то присоседился и сменил пароль, так как зайти не получалось, сброс через ресет не помог, так зайти и не смог. Мог ли кто то подключиться и закрыть порт, чтоб я зайти не смог? Что теперь делать с роутером? Хоть новый покупай.
ЗЫ: роутер 951G

ЗЫ: в сетях вообще не волоку, этот настраивал по инструкции с нета, статей там валом, настроил как мог. Есть толковые люди, которые не забесплатно настроят? Настроить так, чтоб никакая падла больше не залезла :))) Если чо - в личку...


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Старый писал(а):
Приветствую! Что делали? У меня тоже нихрена не сбрасывается.


Скорее всего стоит галка "protected routerboot" если не путаю. Тогда надо 300 секунд держать, чтобы сбросить (точнее чтобы в нетинстал войти и восстановить устройство)


 

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
Cool'D писал(а):
300 секунд
Это шутка такая штоле?

_________________
i7 10700k, mb ASUS Z490-P, MSI GeForce GTX1080 Gaming X, 8+8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
Ni9999 писал(а):
Это шутка такая штоле?

Цитата:
За минимальное время удержания отвечает параметр reformat-hold-button (5-300 сек), за верхний предел – reformat-hold-button-max (5-600 сек). Изменив эти параметры, вы можете создать уникальный метод полного аппаратного сброса, который будет известен только вам, например, удержание кнопки сброса и её отпускание в промежутке между 90 и 110 секундами.

все серьезно, это же микротик, никаких шуток
https://weblance.com.ua/388-funkciya-pr ... rotik.html

_________________
"Для человеческой глупости нет патча"


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Ni9999 писал(а):
Это шутка такая штоле?


Просто перед тем, как ставить галки наугад, стоит почитать вики для чего оно надо и как оно потом может аукнуться.


 

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
После уточнения, что интервал настраивается в пределах 5-600 сек уже выглядит более вменяемой фичей!

_________________
i7 10700k, mb ASUS Z490-P, MSI GeForce GTX1080 Gaming X, 8+8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI


 

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
С RouterOS 7.1 beta2 будет реализован Wireguard.


 

Member
Статус: Не в сети
Регистрация: 10.02.2018
Фото: 35
Подскажите, если роутер (hap ac 2) при выборе quick set home ap dual - создает только 4 правила (input цепочка).
А на первых версиях прошивки 6.44, 6.45 - создавались штук 10 правил.
Сам quick set не используется. Но странно что он ведет себя так.
+ При сбоях не создает файл supout.
Может так и должно быть?


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
gadpaw писал(а):
Может так и должно быть?


Берёте netinstall > ставите стабилку последнюю >обновляете FW> reset > reset configuration и только потом делаете quick set.


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Ну что, микрот наконец таки родил роутер с внешними антенами для дома https://mikrotik.com/product/hap_ac3#fn ... ifications.


 

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
Скорости вафли ниже, чем у hap ac первого.
Где Wi-Fi 6?


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Kuja писал(а):
Скорости вафли ниже, чем у hap ac первого.


по сути это hap ac2 только с чуть лучшим корпусом, лучшим охладом и внешними антенами.


 

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
Тогда смысла перехода с hap ac не него нет. Только если хочется ARM, больше памяти, черный корпус и синий диод. Но зачем, если и так все работает и даже на половину не загружен.


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Kuja писал(а):
Но зачем, если и так все работает


вопрос другой - он стоит 99уе, что как бы = кинетику виве и если брать его именно как wifi, то он в пролёте.


 

Member
Статус: Не в сети
Регистрация: 06.01.2005
Фото: 0
Я вот думаю, менять свой hap ac на него или нет.
Как бы внешние антенны это маркетинг и не более. Внутренние работают не хуже. Но и скорости выше. SFP модуль не очень пригодился. Тем более почему-то работает как 100 мбит, хотя должен быть 1 гиг.


 

Member
Статус: Не в сети
Регистрация: 03.08.2015
Скажите пожалуйста, пользователи микротика, а не бывало ли у вас впечатления, что при отключении пинга по mac-адресу отзывчивость при открытии сайтов немножко уменьшается или это просто психологическая иллюзия вместе с оптической?


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
approcher писал(а):
Скажите пожалуйста, пользователи микротика, а не бывало ли у вас впечатления, что при отключении пинга по mac-адресу отзывчивость при открытии сайтов немножко уменьшается или это просто психологическая иллюзия вместе с оптической?


это как?


 

Member
Статус: Не в сети
Регистрация: 03.08.2015
Cool'D писал(а):
это как?

Пишут, что для пущей безопасности отключите пинг по mac-адресу, типа можно узнать какой роутер и эксплуатировать уязвимости, но дело не в этой мании преследования, а в восприятии, - только кажется, что отклик уменьшается при отключённом пинге по mac - адресу или это действительно имеет место быть?


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
approcher писал(а):
Пишут, что для пущей безопасности отключите пинг по mac-адресу, типа можно узнать какой роутер и эксплуатировать уязвимости, но дело не в этой мании преследования, а в восприятии, - только кажется, что отклик уменьшается при отключённом пинге по mac - адресу или это действительно имеет место быть?


В дефолтных настройках любые подключения из вне блокируются (и по хорошему должны быть и не в дефолтных закрыты). Так что я даже не знаю, что там может быть. Возможно просто плацебо?


Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 622 • Страница 29 из 32<  1 ... 26  27  28  29  30  31  32  >
-

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  

Лаборатория














Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan