Задать вопрос
CityCat4

CityCat4

//COPY01 EXEC PGM=IEBGENER
Ответы пользователя по тегу Mikrotik

  • Как настроить Mikrotik, чтобы на одном порту выходили iptv+интернет на Ростелеком?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    По настройке iptv на микротике есть множество руководств - при этом напрямую пихать его в сеть провайдера не только не нужно но и опасно - мало ли что там у него. Ключевое слово - multicast.
    1. Установить на микротик пакет multicat. Этот пакет не ставится по умолчанию, нужно идти на сайт микротика, качать его оттуда, загружать на микротик по FTP. Потом микротик перегрузить, он сам новый пакет установит.
    2. Настроить IGMP Proxy. После перезагрузки в меню Routing появится пункт IGMP Proxy, его нужно настроить. У меня ether1 - порт прова, ether4 - мастер-порт внутреннего свитча, в который обьединены остальные порты.
    /routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
add interface=ether4

    Главное указать правильно, какой порт апстрим. Все остальное микротик найдет сам.
    3. Обеспечить прохождение пакетов IGMP. Если идет контроль за адресами RFC1918 (у меня есть), то нужно чтобы из него были исключены диапазоны 169.254.0.0/16 и 224.0.0.0/4. Кроме того, нужно добавить в микротик три правила:
    add action=accept chain=input comment="Allow IGMP (for IPTV)" in-interface=ether1 protocol=igmp
add action=accept chain=output comment="Allow IGMP (for IPTV)" out-interface=ether1 protocol=igmp
add action=accept chain=forward comment="Allow this port for IPTV" dst-port=1234 in-interface=ether1 protocol=udp

    4. Тыкаем внутреннее устройство в любой порт внутреннего свитча - вуаля, IPTV есть.
    Ответ написан
    5 комментариев
    5 комментариев

  • Как сбросить/восстановить пароль mikrotik?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    Если заходили хотя бы один раз через winbox, то в кэше winbox-а он лежит. В открытом тексте :( Я так недавно восстановил пару паролей к устрйоствам, которые уже морально был готов ресетить.
    Ответ написан
    Комментировать
    Комментировать

  • Как настроить IPSec VPN (Site-to-Site) между Mikrotik и Zyxel Zywall?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Политики где? Отдельная маршрутизация - ну по крайней мере на микротике - не нужна. Микротик сам разберется куда что направить. Но естественно нужны правила файрволла, пропускающие трафик после его расшифровки.
    Именно политики увязывают вирутальные подсети и туннель.
    То есть если на пальцах, что происходит после того, как соединение есть.
    1. Входящий пакет.
    Микротик получил ESP-пакет. Если правила файрволла его пропустили (цепочки input/output, а не forward!), то микротик смотрит ассоциации безопасности (SA) - есть ли ассоциация с данным ID? Если есть, то пакет расшифровывается и повторно проходит файрволл - на этот раз цепочку forward - и уходит в нужный интерфейс.
    2. Исходящий пакет
    Микротик получил пакет из внутренней сети. Если правила цепочки forward его пропустили, то он смотрит политики безопасности (SP) - нужно ли этот пакет шифровать. Если нужно, то из политики берутся адреса начала и конца туннеля, по ним ищется SA, из SA берется ключ, пакет шифруется и снова проходит файрволл - в шифрованном виде. Если его пропустили - он пошел.
    Нету тут нигде маршрутизации, тут ESP вместо нее. Зухель точно расшифровывает пакеты от микротика? Если используете SHA256 - откажитесь, у микротика какая-то своя собственная реализация, совместимая только с микротиком, поставьте SHA1.
    Ответ написан
    6 комментариев
    6 комментариев

  • Как настроить 2х Mikrotik ipsec в разных филиалах?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    На самом деле дока по IPSec у микротика довольно бестолковая - например того, что хэш SHA256 не работает ни с чем кроме другого микротика, там не отражено.
    Подьем туннелей на IPSec - имеется в виду "чистный" IPSec, а не L2TP/IPSec - их обычно путают состоит из нескольких этапов.
    1. Создание "предложения" на каждом микротике - это такой корявый перевод термина proposal. В proposal указываются методы шифрования, хэши и группы Диффи-Хеллмана, которые могу применяться при согласовании параметров. Крайне важно, чтобы оба микротика нашли хотя бы один общий алгоритм шифрования и хэш, и чтобы группы Диффи-Хеллмана совпадали! Здесь же указывается время жизни второй фазы, после чего будет повторный "быстрый" обмен ключами.
    2. Создание политики на каждом микротике, которая определяет, что собственно говоря будет шифроваться и что с этим шифрованным контентом делать. Здесь указываются виртуальные маршрутизируемые подсетки, адреса реальных концов туннеля, метод шифрования, используемый proposal
    3. Создание удаленного подключения (peer), которое задает многое множество параметров. Здесь указывается IP и порт удаленной стороны, метод аутентификации, метод первичного обмена ключами - базовый или агрессивный, необходимость NAT Travesal (если один из микротиков за натом), проверку proposal, алгоритмы хэша и шифрования, группы Диффи-Хеллмана, время жизни первой фазы, необходимость DPD. Если аутентификация по сертификатам - указывают имена сертификатов, которые должны быть к этому времени уже импортированы. Если аутентификация по ключам - указывают значение ключа.

    Если устройство само не инициирует установление туннеля, ставится флаг пассивности, иначе сразу после создания Peer-а, микротик начинает к нему долбиться. Если что-то не так - включите логирование. В микротике используется racoon, поэтому лог там ракуновский, strongswan-а нет, поддержки IKEv2 нет.
    Ответ написан
    Комментировать
    Комментировать

  • Как Вы блокируете TeamViewer с помощью Mikrotik?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Самым неэлегантным, можно даже сказать топорным способом:
    add action=drop chain=forward comment="TeamViewer: block port 5938" dst-port=5938 out-interface=ether1 protocol=tcp
add action=drop chain=forward comment="TeamViewer: block TeamViewer servers" dst-address-list=teamviewer out-interface=ether1

    Адреслистом teamviewer могу поделиться - он весьма немаленький
    Ответ написан
    7 комментариев
    7 комментариев

  • Каким туннелем соединить офисы?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    Мне кажется лучше всего будет просто IPSec. А кому куда ходить - это разруливается правилами файрволла. Работать по схеме "звезда" будет при любом количестве офисов (на FreeBSD у меня работало с двумя десятками), только политики нужно разруливать вручную и IP-адресацию сразу планировать на всю предполагаемую сеть.
    Ответ написан
    Комментировать
    Комментировать

  • Открытые порты Mikrotik после базовой настройки. Есть ли опасность?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Ну, 443 - это вебморда. 8291 - это winbox. Остальные не знаю.
    Ответ написан
    Комментировать
    Комментировать

  • Какой роутер (шлюз) купить?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    Не, советовать RB1100AHx2 на компанию в 50 человек - это сильно. 3011UiAS за глаза, если только конечно не безразмерное количество VPN будет. Но конечно, если бюджет позволит, можно и RB1100AHx2 - там аппаратное шифрование.
    Ответ написан
    Комментировать
    Комментировать