Часовой пояс: UTC + 3 часа




Куратор(ы):   Cool'D   



Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 209 • Страница 8 из 11<  1 ... 5  6  7  8  9  10  11  >
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
 
Прилепленное (важное) сообщение

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Собственно, решили вынести устройства Mikrotik в отдельную тему, чтобы не засорять другие темы.

Будем обсуждать софт, устройства, настройку и эксплуатацию. Гайды, скрипты и прочее.

По мере будем добавлять ссылки на гайды, руководства, модернизацию, кастомизацию и прочее..

Ссылка на ФОРУМ

Ссылка на ЖЕЛЕЗО

Ссылка на СОФТ


AdBlock - MikroTik StopAD [ кушает нормально RAM, поэтому не переусердствуйте ] [Пример настройки]

Хороший блог с обзорами и гайдами по Mikrotik и Ubiquiti

Защита winbox от брутфорса
/ip firewall filter
add action=drop chain=input dst-port=8291 protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list address-list-timeout=1d chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp
add chain=input comment="Allow winbox" dst-port=8291 protocol=tcp


Базовые правила firewall
Не забываем, что перед назначением правил нужно добавить LAN и WAN в интерфейс лист.

/ip firewall filter
add action=accept chain=input comment=\"defconf: accept established,related,untracked" connection-state=\established,related,untracked
add action=drop chain=input comment="Drop WinBox" dst-port=8291 protocol=tcp \src-address-list=black_list
add action=add-src-to-address-list address-list=black_list \address-list-timeout=1d chain=input connection-state=new dst-port=8291 \protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 \address-list-timeout=1m chain=input connection-state=new dst-port=8291 \protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 \address-list-timeout=1m chain=input connection-state=new dst-port=8291 \protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \address-list-timeout=1m chain=input connection-state=new dst-port=8291 \protocol=tcp
add action=accept chain=input comment="Allow winbox" dst-port=8291 protocol=\tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \connection-state=established,related
add action=accept chain=forward comment=\"defconf: accept established,related, untracked" connection-state=\established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \connection-state=invalid
add action=drop chain=forward comment=\"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \connection-state=new in-interface-list=WAN


Милости просим :D

Просьба, в теме не разводить срачи, видео с матами и прочим не прикреплять :).
По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы


Последний раз редактировалось Cool'D 21.05.2018 23:39, всего редактировалось 10 раз(а).


Партнер
 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Чехов
Фото: 27
Mr. ID1986 писал(а):
hAP AC

Ну как минимум в новинке нет WiFi :old_haha:

_________________
"Для человеческой глупости нет патча"


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Evil_Side писал(а):
Ну как минимум в новинке нет WiFi


И не нужен он там :). Уже заказал, должны 28 привезти, будем смотреть :-)


 

Member
Статус: Не в сети
Регистрация: 14.03.2007
Откуда: СПБ
Фото: 2
Evil_Side Пардон, не посмотрел :oops:

_________________
i7 8700 4.3 GHz, 16GB RAM, Palit GeForce 1070 GTX GameRock (2126/9500), Samsung 840 Pro 256 GB, Win 10 x64
Steam: [OVER]Dark, Origin: Dark_Scr_86


 

Member
Статус: Не в сети
Регистрация: 03.03.2003
Откуда: Москва
Фото: 4
Был бы с вафлёй на борту,я б заказал моментально! :oops:

_________________
БФ старпёр!
Верталето-самолётный нагибатор!


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
NOFX писал(а):
Был бы с вафлёй на борту,я б заказал моментально!

hAP AC^2 с вафлей и быстрым процом, cAP AC тоже, но портов только 2(точка доступа).


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Чехов
Фото: 27
#77

_________________
"Для человеческой глупости нет патча"


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Ну да рихтуют потихоньку, а в чём собственно проблема?)


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Добавлю в шапку ссылочку на https://weblance.com.ua/ . Хорошие обзоры и гайды, будет полезно почитать всем.


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Чехов
Фото: 27
Cool'D скинь свой конфиг для wireless, что-то я наворотил и не могу понять, где косякнул)

_________________
"Для человеческой глупости нет патча"


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Evil_Side писал(а):
скинь свой конфиг для wireless, что-то я наворотил и не могу понять, где косякнул)


А что именно не работает? Там же по сути и ошибиться то сложно при настройке:).


 

Member
Статус: Не в сети
Регистрация: 02.01.2012
Откуда: Чехов
Фото: 27
Cool'D да знаю, больно намудрил с мощностью, шириной канала, регионом, короч наваял.

_________________
"Для человеческой глупости нет патча"


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Evil_Side писал(а):
да знаю, больно намудрил с мощностью, шириной канала, регионом, короч наваял.


Мощность ставишь 15-17 all rate fixed.

Ширину можно ставить 20/40 XX (для 2) и 20/40/80 XXX (для 5)

Диапазон G/N (для 2) и N/AC (для 5)

Регион можешь Россию, а можешь no country set.


 

Member
Статус: Не в сети
Регистрация: 05.05.2010
Откуда: Астрахань
Вот уж не ожидал, вчера обновляя в очередной раз как обычно RC-прошивку на 951G до последней, после ребута понял, что не могу зайти на него ни через винбокс, ни через вебморду. :roll: Инет работает, вафля работает. Только сброс через кнопку?


 

Member
Статус: Не в сети
Регистрация: 14.03.2007
Откуда: СПБ
Фото: 2
FTW_260 Обновил hAP AC, да, через винбокс не заходит, но если мы внимательно читали ченджлог, то там сказано, что внедряется новая продвинутая система аутентификации, которая поддерживается только начиная с винбокса 3.14, а последний 3.13, через веб морду у меня заходит

_________________
i7 8700 4.3 GHz, 16GB RAM, Palit GeForce 1070 GTX GameRock (2126/9500), Samsung 840 Pro 256 GB, Win 10 x64
Steam: [OVER]Dark, Origin: Dark_Scr_86


 

Member
Статус: Не в сети
Регистрация: 06.01.2005
Откуда: Санкт-Петербург
Чтобы долго не искать
https://www.mikrotik.com/download/share/winbox.exe - 3.14RC

Цитата:
Ширину можно ставить 20/40 XX (для 2)

Лучше просто 20. С 40 не всегда корректно работает, т.к. 40 вообще даже в стандарт 2.4 не вписали толком.


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
Kuja писал(а):
Лучше просто 20. С 40 не всегда корректно работает


Тут наверное стоило всё таки дописать, что надо смотреть - новые устройства работают нормально, а вот со старыми могут быть тупняки.


 

Member
Статус: Не в сети
Регистрация: 05.05.2010
Откуда: Астрахань
Mr. ID1986, вот я затупил :oops:


 

Member
Статус: Не в сети
Регистрация: 12.01.2005
ППЦ этот RouterOS дырявый, я в шоке:

В открытом виде мне выдал мои логин и пароль
Цитата:
Address: h
Time: 125 ms
Authorization: login:password \\\тут прямым текстом был написан логин и 15-значный пароль...
Device: MikroTik RouterOS v6.41.3
BSSID: DELETE
LAN IP: 1.2.3.4
LAN Subnet Mask: 255.255.255.252
WAN IP: 5.6.7.8
WAN Subnet Mask: 255.255.255.252
WAN Gateway: 9.8.7.6
Domain Name Servers: 1.2.3.4 4.3.2.1

Единственное, я проверял из локальной сети, из внешки я доступ отрубил...
Даже ссаный асус rt-N11 такого не выдал..


Обновил до последней версии 6.42. перестал выдавать. Стоит в шапке указать, уязвимость новая и крайне критичная, RouterScan ломает за полсекунды..


 

Куратор темы
Статус: Не в сети
Регистрация: 02.11.2008
Откуда: Москва
N1ghtwish писал(а):
ППЦ этот RouterOS дырявый, я в шоке:


если юзер открывает доступ из вне, я думаю это не проблема микротика... да ещё и самбу юзает на нём...

N1ghtwish писал(а):
Стоит в шапке указать, уязвимость новая и крайне критичная, RouterScan ломает за полсекунды..


её ещё в марте закрыли релиз 6.41.3, о чём тут писали. Так же в шапке написано чёрным по серому - "По возможности, старайтесь обновлять ROS и Firmware на последние стабильные релизы"


 

Member
Статус: Не в сети
Регистрация: 12.01.2005
Cool'D писал(а):
да ещё и самбу юзает на нём...

Ну я самбу не настраивал (по дефолту она, наверное, отключена?), сейчас я даже не могу найти где она включается.
Cool'D писал(а):
её ещё в марте закрыли релиз 6.41.3, о чём тут писали.

А вот не фига, у меня как раз Device: MikroTik RouterOS v6.41.3 и стояла, router scan мне 15-значный пароль за полсекунды выдал, сбрутить нереально, это рандомные букво-цифры.
Насчет фаирвола, настрaивал его почти год назад, честно говоря, уже подзабыл что к чему, не каждый день это делаю, что может лишнее?
Доступы: l2tp к роутеру и к 2м ПК: хост по rdp (3389), и виртуалка - архивный сайт (80).
И еще тупой вопрос, что означают fasttrack connection и passthrough forward?
Коннекта из внешки нет.
Вложение:
Безымянный.png


У вас нет необходимых прав для просмотра вложений в этом сообщении.


Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 209 • Страница 8 из 11<  1 ... 5  6  7  8  9  10  11  >
-

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  



Лаборатория














Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan