Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 622 • Страница 30 из 32<  1 ... 27  28  29  30  31  32  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
 
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ

Обновление RouterBOOT (Factory Firmware) - пост с инструкциями


Базовые правила firewall + защита от брутфорса Winbox и VPN PPTP сервера + правила для l2tp+ipsec/OVPN сервера
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment="accept established,related,untracked" \
connection-state=established,related,untracked in-interface-list=WAN
add action=accept chain=input comment="accept ICMP" in-interface-list=WAN \
protocol=icmp
add action=drop chain=input comment="drop pptp brute forcers" dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_blacklist
add action=add-src-to-address-list address-list=pptp_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp src-address-list=pptp_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="PPTP" dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=drop chain=input comment="Drop WinBox" dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=black_list time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=OVPN dst-port=1194 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=L2TP+IPsec in-interface-list=WAN port=\
1701,500,4500 protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=forward comment="accept in ipsec policy" \
in-interface-list=WAN ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" \
ipsec-policy=out,ipsec out-interface-list=WAN
add action=drop chain=input comment="drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment=fasttrack \
connection-state=established,related
add action=accept chain=forward comment=\
"accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 27.09.2019 14:47, всего редактировалось 16 раз(а).


Партнер
 

Member
Статус: Не в сети
Регистрация: 03.08.2015
Купил в прошлом месяце Hap Lite самый бюджетный за 1750 руб. и на версии RouterOS 6.46.8,кажется, многие настройки в плане безопасности были уже как рекомендуют на разных профильных сайтах, но вот пинг по mac -адресу был с галочкой, установил последние версии и тоже с галочкой и в long-term, и в stable, и в development. В общем, не знаю, это мелочь с точки зрения безопасности, но вот VPNы не подключить уже несколько дней вот это неприятно, по неопытности чего-то не знаю.


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
approcher писал(а):
Купил в прошлом месяце Hap Lite самый бюджетный за 1750 руб. и на версии RouterOS 6.46.8,кажется, многие настройки в плане безопасности были уже как рекомендуют на разных профильных сайтах, но вот пинг по mac -адресу был с галочкой, установил последние версии и тоже с галочкой и в long-term, и в stable, и в development. В общем, не знаю, это мелочь с точки зрения безопасности, но вот VPNы не подключить уже несколько дней вот это неприятно, по неопытности чего-то не знаю.


Смотря что там было настроено. По дефолту всё глушится правилами фаервола, а не галочками в настройках.

Так же производитель рекомендует при переходе между ветками софта делать установку через netinstall, а не просто через обновление. Так же вносить изменения поверх дефолтного конфига очень нежелательно.

Вы как вообще его с самого начала настраивали?


 

Member
Статус: Не в сети
Регистрация: 03.08.2015
Cool'D писал(а):
По дефолту всё глушится правилами фаервола, а не галочками в настройках.

Так же производитель рекомендует при переходе между ветками софта делать установку через netinstall, а не просто через обновление. Так же вносить изменения поверх дефолтного конфига очень нежелательно.

Спасибо за дополнительную информацию.
Цитата:
Вы как вообще его с самого начала настраивали?

Скачал и установил последнюю версию long term, провайдер автоматом даёт настройки на роутер, поменял пароль, полазил по нему для знакомства, стал отключать лишние вещи по рекомендациям из интернета - neighbors, web proxy, порт 53, там, 2000 порт кажется ещё, UPnP(включил и отключил и заработал sip-телефон, кстати, но провайдер sipnet так и не заработал, другие заработали). Попытался PPTP VPN-client подключить по различным инструкциям из интернета и вот тут конкретная засада случилась, роутер и зависал нещадно, я его ресетил по всякому на различных версиях OS и ничего, - живой пока.


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
approcher писал(а):
ничего, - живой пока.


Ну почти в 99.9% ему нифига не будет и можно будет через netinstall реанимировать. По натсройкам соверую сделать всё ручками. Если хотите что бы нормально работали vpn и прочее. Дефолтные настройки конечно хороши, но если что-то своё хотите - лучше настроить с 0.


 

Member
Статус: Не в сети
Регистрация: 03.08.2015
Cool'D писал(а):
Ну почти в 99.9% ему нифига не будет...

Да, я это уже понял, мучаю, его мучаю, а он дня на 2-3 вырубится и не отзывается никак, ни по web-интерфейсу, ни по winbox с мас-адресом, - никак, поначалу думал накрылся, но нет приходит в себя в конце концов и так уже несколько раз. На этот случай купил "проходной адаптер rg -45" и подключаю витую пару напрямую в сетевую карту, минуя роутер. Но реально, в таком хорошем, богатом по функционалу и дешёвом устройстве мог бы быть слой максимально упрощающий, буквально до "двух-трёх кликов" настройку VPN для любого дилетанта, поскольку в современном мире это актуальная тема.


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
approcher писал(а):
Но реально, в таком хорошем, богатом по функционалу и дешёвом устройстве мог бы быть слой максимально упрощающий, буквально до "двух-трёх кликов" настройку VPN для любого дилетанта, поскольку в современном мире это актуальная тема.


Там всё есть. Просто с самого начала вы его не так скорее всего настроили. Я же говорю - прошейте последней стабилкой через netinstall, обновите fw, сбросьте на заводские (у микрота есть сброс на заводские и есть "под 0"). Потом зайдите к квиксет и там настройте. Или лучше всего по гайдам - там настраивать 10-15 минут для новичка.


 

Member
Статус: Не в сети
Регистрация: 03.08.2015
Cool'D писал(а):
Там всё есть. Просто с самого начала вы его не так скорее всего настроили.

Буду пробовать это делать, настраивать, спасибо.


 

Member
Статус: Не в сети
Регистрация: 12.01.2008
Откуда: Раменское, МО
Приветствую!
Поясните, пожалуйста, следующий момент.
Настроил Микротик по чуть ли по первому запросу в гугле. Правила в фаер взял в шапке темы (спасибо авторам). Айпи белый. Ну, все в общем и целом, норм. Кабель вставил и интернет поднялся (PPTP).
В чем вопрос - во время настройки я не вводил логин и пароль и имя хоста провайдера. Но при этом интернет поднялся. Я, очевидно, что-то не понимаю и наличие белого айпи это уже является "ключом" к доступу в интернет? И, таки может стоит все же сделать эту настройку? И где это делать в Микротике?


 

Member
Предупреждение Предупреждение 
Статус: Не в сети
Регистрация: 18.08.2017
Lavrik писал(а):
Приветствую!


А провайдер кто? Или это большой секрет?)

_________________
zx spectrum


 

Member
Статус: Не в сети
Регистрация: 12.01.2008
Откуда: Раменское, МО
over_ писал(а):
А провайдер кто? Или это большой секрет?)

Да нет =) Авиэл.


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
Hello Comrades
микрот перестал сохранять dhcp leases и правило в фаерволе не сохранил
точнее как, после ребута все лизы и новое правило сбрасывается, прошлые же правила на месте
втф
40 дней без ребута отпахал, стоит 6.48.2, не хочет обновляться до 6.48.3

Добавлено спустя 56 минут 52 секунды:
так, прошивка через нетинсталл вроде помогла)

_________________
"Для человеческой глупости нет патча"


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
рано радовался, после выключения электричества не запомнил изменений, втф

_________________
"Для человеческой глупости нет патча"


 

Member
Статус: Не в сети
Регистрация: 02.02.2015
Откуда: Краснодар
Фото: 1
Evil_Side вопрос канеш тупой, но ты случаем сэйф мод не врубил в винбоксе?

_________________
i7 10700k, mb ASUS Z490-P, MSI GeForce GTX1080 Gaming X, 8+8 DDR4 Samsung, SSD 256 850Pro+512 860Evo+4Тб+4Тб, БП CHIEFTEC GPM-750S, мон S27BG650EI


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
Ni9999 не, не уж то флеш умирает
опять ROS не дает обновить

_________________
"Для человеческой глупости нет патча"


 

Member
Статус: Не в сети
Регистрация: 09.10.2004
Откуда: Украина,Донбасс
Bad Blocks какие-нибудь показывает на флеше?
Вложение:
Безымянный.jpg


У вас нет необходимых прав для просмотра вложений в этом сообщении.


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
Zakovor по нулям, только сейчас заметил, что Factory Software у меня аж 6.40.5 :?:

_________________
"Для человеческой глупости нет патча"


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
#77

Добавлено спустя 1 час 16 минут 16 секунд:
зашился еще раз нетинсталом, добавил в дхцп статичные аренды, отредактировал правило проброса, перезагрузил
все сохранилось
выключил по питанию на несколько минут, после включения тоже сохранились изменения
:?:

_________________
"Для человеческой глупости нет патча"


 

Member
Статус: Не в сети
Регистрация: 09.04.2011
Фото: 10
Настраивал кто ikev2 на нем? У меня не поднимается соединение:
""
apr/19 00:25:25 ipsec,info,account peer failed to authorize: <my ip>[4500]-185.242.6.3[4500] spi:f7bba07c96a6d926:0d4278f24b5f3122
apr/19 00:25:25 ipsec,info killing ike2 SA: <my ip>[4500]-185.242.6.3[4500] spi:f7bba07c96a6d926:0d4278f24b5f3122
apr/19 00:25:37 ipsec,info new ike2 SA (I):<my ip>[4500]-185.242.6.3[4500] spi:922e0dae717b7b79:89103cd690335b9c
apr/19 00:25:37 ipsec,error peer's ID does not match certificate

Подключиться пытаюсь к ProtonVPN по гайду https://protonvpn.com/support/vpn-mikrotik-router/


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Evil_Side писал(а):
выключил по питанию на несколько минут, после включения тоже сохранились изменения


Советую обновить на 7.2.1 и не забыть обновить FW

musicman321 писал(а):
ipsec,error peer's ID does not match certificate


Ну судя по всему на сертификат ругается или на его отсутствие.


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Щербинка
Фото: 57
Cool'D полгода уж прошло с поста) видимо, что то поправили, пока такой проблемы больше не было)

_________________
"Для человеческой глупости нет патча"


Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 622 • Страница 30 из 32<  1 ... 27  28  29  30  31  32  >
-

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: Vadim++ и гости: 4


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  

Лаборатория














Новости

Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan