Ответы пользователя по тегу Mikrotik
  • Почему медленно работает интернет и не открываются сайты с https?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Я не имею ни малейшего понятия, как восстановить нормальную работу роутера.

    Зачем тогда лезли что-то менять? Найдите того, кто придет (ногами), посмотрит и починит. Скорее всего, это будет стоить денег.
    Зато на будущее наука:

    Работает - не трогай!
    Трогаешь - будь уверен, что сможешь как минимум вернуть как было!
    Ответ написан
  • Что нужно настроить что бы проходит трафик из ipsec за mikrotik?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Если вопрос касается "чистого" IPSec, то:
    - в нем нет маршрутизации, как таковой. Вся информация заложена в SAD и SPD. SPD - это закладка Policies в окне IPSec, SAD - закладка Installed SAs, она формируется динамически.
    Что здесь нужно помнить:
    IPSec проходит файрволл два раза. Для четкого понимания, как это все фурычет - всегда рекомендую вот эту картинку.
    Разберем на пример моего домашнего роутера (RB450G), где 1.1.1.1 - мой внешний IP, 2.2.2.2 - внешний IP удаленной сети. Моя подсетка - 10.54.2.0/24, удаленная - 10.54.1.0/24
    Самое первое - это настройка политик (policy). Именно политика решает - нужно данный пакет шифровать или нет?
    /ip ipsec proposal
    add auth-algorithms="" enc-algorithms=aes-256-gcm lifetime=1h name=proposal1
    /ip ipsec policy
    add comment="To Cat's Home main VPN" dst-address=10.54.1.0/24 proposal=proposal1 sa-dst-address=\
        2.2.2.2 sa-src-address=1.1.1.1 src-address=10.54.2.0/24 tunnel=yes

    Что сделали:
    Добавили proposal1, в котором в качестве алгоритма шифрования выбран ASES256 со счетчиком Галуа . Поскольку он самоаутентифицирующийся, отдельного алгоритма аутентификации задавать не надо. Замена ключей шифрования через каждый час.
    Задали политику, согласно которой все пакеты в сеть 10.,54.1.0/24 от 10.54.2.0/24 будут превращены в пакеты протокола ESP от IP 1.1.1.1 до IP 2.2.2.2. Собственно это и есть наша "таблица маршрутизации".
    /ip ipsec peer
    add address=2.2.2.2/32 auth-method=rsa-signature certificate=\
        "RB2011 cert (SHA256) with key" comment="To Cat's Home main VPN" dpd-interval=\
        disable-dpd enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=2h nat-traversal=no \
        proposal-check=strict remote-certificate="RB450G cert (SHA256)"

    Что сделали:
    Добавили пира - удаленный сервер. Аутентификация по сертификатам, шифрование AES256, повторный обмен ключами через 2 ч.
    Теперь нужно настроить файрволл. Потому что как нарисовано на картинке, пакеты IPSec проходят его два раза.
    Предположим я на компе с адресом 10.54.2.1 набираю команду "ping 10.54.1.1".
    Пакет проходит таблицы mangle prerouting, nat prerouting, mangle forward, filter forward (и вот тут, если у Вас строгая фильтрация и нет правила, разрешающего трафик от 10.54.2.0/24 на 10.54.1.0/24, он и помрет), mangle postrouting, nat postrouting и уже готов отправиться на default gateway, но в этот момент ведро проверяет его по SPD - а не надо ли его зашифровать и переотправить? Ага, пакет подпадает под политику, значит мы его шифруем и преобразовываем. И пакет icmp от 10.54.2.1 на 10.54.1.1 шифруется и упаковывается в пакет esp от 1.1.1.1 на 2.2.2.2!
    Вот здесь надо не забыть подстраховаться от NAT. Дело в том, что когда пакет проходил nat postrouting, общее правило
    /ip firewall nat
    add action=src-nat chain=srcnat out-interface=ether6 to-addresses=1.1.1.1

    заменило IP источника, чтобы "обратный адрес" был уникальным и теперь пакет не подходит под политику. А не подходит под политику - не будет зашифрован, а пойдет по общим правилам маршрутизации. А default gateway роутера повертит пакет, повертит - да и скажет "ты кто такой? Давай, до свидания".
    Чтобы избежать этого, нужно указать не трогать пакеты, к которым применима политика IPSec - пусть проходят за NAT неизменными, все равно их шифровать:
    add chain=srcnat comment="Does not touch IPSec ESP packets to avoid break packets checksum" \
        ipsec-policy=out,ipsec log-prefix="NAT avoid" out-interface=ether6

    Пошифрованный пакет ведро снова ренижектит в сетевой стек, он снова - уже в своем новом качестве - проходит mangle output, nat output, filter output (и вот тут, если нет разрешения на трафик в сторону 2.2.2.2 или на протокол esp, он и помрет), mangle postrouting, nat postrouting - и отправляется в тырнет на удаленную точку.

    Предоплагаем, что с другой стороны роутер настроен таким же образом, то есть у него есть и своя SPD и свой список пиров. Что произойдет, когда пакет будет получен:
    пакет пройдет mangle prerouting, nat prerouting, mangle input, filter input (и , если трафик от 1.1.1.1 или протокол esp не разрешен, то тут и помрет)...и уже готов к передаче на более верхние уровни OSI, но тут ведро проверяет - а не нужно ли его расшифровать? (и вот тут, если контрольная сумма не сходится - он и помрет). Если пакет подпадает под политику - он будет расшифрован и превратится из esp-пакета от 1.1.1.1 к 2.2.2.2 в icmp пакет от 10.54.1.1 к 10.54.2.1 - и будет заново помещен в сетевой стек. И заново пойдет mangle prerouting, nat prerouting, mangle forward, filter forward (и вот тут, если не разрешен трафик от 10.54.2.0/24 к 10.54.1.0/24 он и помрет), mangle postrouting, nat postrouting - и наконец-то попадет на выходной интерфейс туда, где у нас подключен 10.54.2.1.
    Таблица маршрутизации (та, что в ведре) - не использовалась, весь трафик для роутеров выглядит локальным :)
    Ответ написан
  • Как организовать proxy-сервер для журнала посещений?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Подскажите - может есть что-то еще ?

    Мне не известны. Возможно и есть, но решение AD + squid - оно уже настолько разобрано по полочкам, как его настроить во всех мыслимых и немыслимых комбинациях.
    Но сразу:
    Сейчас большинство трафика https, поэтому сразу понадобится бампинг, что автоматом тащит за собой свой CA и распихивание ключа этого CA по всем рабочим станциям политикой домена.
    Есть ли какие то рекомендуемый на 2019 год анализаторы логов, веб панели ?

    Вот как ни странно, никто не озабоитлся написать более-менее стоящий, более-менее красивый и более-менее удобный анализатор логов для squid. Поэтому тут каждый извращается настолько, насколько подскажет его фантазия и некромансерские умения :) - потому что запускать sarg, sams и прочее образца года лохматого - это нужно быть прокачанным некромантом :D А другого просто нет.
    либо брать NetFlow.

    netflow дает только статистику о соединениях - кто куда ходил. В качестве дополнительной аналитики можно, но не основной. Под что годится? Ну, например, выловить тех, кто всевозможные лайфхаки использует для обхода ограничений корпоративного прокси :)
    или он может стоять как контроллер домена, воткнутый одним портом в коммутатор

    Может. И обычно он так и стоит. Потому что обычно на этой же тачке крутится сервис анализа логов и веб-сервер для внутренней статистики...
    Ответ написан
  • Какое WiFi оборудование взять для офиса? Или что не так с Mikrotik?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    небольшой офис, состоящий из опенспейса и переговорки

    В пике наблюдается до 42 клиентов в сети

    пинги даже до маршрутизатора иногда внезапно прыгают до 300 мс

    Логично же, не? Сорок человек толкутся возле одного "начальника" - и каждый пытается через головы других передать свою бумажку! Или Вы думаете, убалбешенные геймеры просто так используют только проводные мыши и клавы?
    Кого можно - всех пересадить на провод. Для прочих - взять план помещения, взять диаграммы направленностей антенн - и разместить точки доступа так, чтобы они не "глушили" друг друга.
    JFYI: Ожидать, что по wifi одновременно сорок человек смогут болтать по скайпу с комфортной скоростью - это надо быть оооооочень большим оптимистом...
    Ответ написан
  • Как два айпи адреса прописать в ipsec policy Mikrotik?

    CityCat4
    @CityCat4 Куратор тега VPN
    Если я чешу в затылке - не беда!
    Либо подсетку указать, либо создать другую политику и соответственно другую пировую запись, в которой будет привязана эта политика.
    Ответ написан
  • Единая авторизация на различных ресурсах в LAN через MikroTik - возможно ли?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    создать единый центр авторизации сотрудников?

    Все придумано до Вас. Единый центр авторизации называется LDAP :) Винды, я так понял нет? Ставите самбу, разворачиваете AD. Продукты Atlassian прекрасно интегрятся с AD, полки тоже запросто - у них внутри та же самба.
    (т.е. каждому сотруднику - своя сеть с маской "/24" ).

    Боже, зачем???
    можно ли, используя встроенные механизмы RouterOS

    Вряд ли. Но даже если можно - зачем? Микротик не может быть ядром сети - он роутер. Он всего-навсего роутер.
    Ответ написан
  • Может ли Mikrotik сам сменить пароль доступа?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Его мог сменить вирус. Оставлять микротики без пароля - все равно что девушке идти ночью в короткой юбке и рассчитывать, что никто не ... остановит :D
    Ответ написан
  • Защита от ддос для домашнего сервера?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    пошли атаки нужно же как-то от них защитится,

    Правда? Вы - скрытая медийная персона? Обычного человека никто никогда не ддосит на домашнем сервере. Или у Вас за ддос идут атаки перебора пароля на ssh микротика и атаки поиска дыр на веб-сервере (если есть таковой дома)?
    Все просто, как полено. Сервисы настройки микротика унести на случайные порты, логин admin залочить, завести какой-нибудь логин bublik :)
    Если в локалке не стоит серваков, принимающих соединения, то можно добавить правило, банящее все новые соединения, если syn пришел с внешнего интерфейса.
    Ответ написан
  • Как настройть доступ к интернету на роутере microtik?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Привязка по маку у провайдера?
    Ответ написан
  • Как создать VPN l2tp+ipsec на Mikrotik для начинающего?

    CityCat4
    @CityCat4 Куратор тега VPN
    Если я чешу в затылке - не беда!
    RouterOS концептуально не изменился ни с 2016, ни даже с 2014 года. Проблема видимо не в том, что "литература не подходит", а в том, что Вы пытаетесь повторить на уровне "жмякни там, тыкни здесь". Так работать не будет.
    Ответ написан
  • Запрет скачивания файла определенного расширения на Mikrotik?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Только на нешифрованном трафике через L7-фильтр, но как я уже отметил - L7-фильтр очень сильно грузит микротик.
    Шифрованный трафик не проконтролировать никак - только прокси с бампингом.
    Ответ написан
  • Есть центральный офис и порядка 25 внешних "точек", почти везде стоят Mikrotik, как правильнее построить VPN?

    CityCat4
    @CityCat4 Куратор тега VPN
    Если я чешу в затылке - не беда!
    Если "точкам" не нужен доступ к сетям друг друга, то тут естественная схема "звезда", когда все тики точек цепляются к одному центральному тику. В центре разумеется должен стоять большой толстый тик с аппаратным шифрованием, а по точкам - по потребностям, если там трафик небольшой, потянут и тики с программным шифрованием. Шифровать разумеется надо - сейчас слишком много охотников до чужого добра :) И даже до бобра :)
    Ответ написан
  • Как настроить Ipsec туннель между Mikrotik и Centos 7?

    CityCat4
    @CityCat4 Куратор тега VPN
    Если я чешу в затылке - не беда!
    Прочитать документацию по швану - там все расписано до маразматических подробностей.
    Ответ написан
  • Авто блокировка MAC в mikrotik за конфликт IP возможна? и как связано с этим видеонаблюдение?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Теоретически должно быть пофиг на обжим. Но практически умные свитчи да и микротик должны попытаться обнаружить MDI/MDIX - и вполне могут на этом затупить. Ну или банальный недожим, или например там многожилка и несоответствующий коннектор или тупо провод внутри кабеля обломился...
    Надо во-первых пережимать на стандартную схему, а во-вторых все провода тестить.
    Ответ написан
  • Организация wi-fi mesh сети микропровайдера?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Имеет ли идея право на жизнь с технической и юридической стороны (никаких лицензий и юр лица нет)?

    Если Вы юридически подкованы, свободно изьясняетесь на "канцелярите судебном", имеете нахрапистый и склочный характер и любите ходить по судам - это самое оно :) Потому что Вы "одним махом шестерых побивахом", то есть одним этим действом нарушаете столько законов, что тут можно ставки делать - кто вперед прибежит. Налоговая за незаконное предпринимательство, ФСБ за провайдерство без лицензии (а причем тут ФСБ - а при СОРМ, который Вы обязаны поставить), или Роскомнадзор за незаконное использование частоты.
    Ответ написан
  • Построение сети на Mikrotik, какие модели лучше?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    маршрутизатор вполне нормальный. Насчет шифрования не понял - чего и куда шифровать? Откуда взялся pfSense - ведь изначально просто сеть делали? Или нужно еще прокси?

    У решения "полноценная тачка роутером" есть как преимущества так и недостатки

    Преимущества:
    - расширяемость
    - дохрена функционала навешивается в одно касание
    - большой диск для логов/статистики не проблема
    - ремонтопригодность (заменил узел и снова работает)

    Недостатки:
    - обязательно нужен монитор и клава
    - требуется человек достаточной квалификации, чтобы поднять его в случае падения, причем требуется он локально, так как связи не будет.

    Поэтому я обычно ставлю роутером микротик, а уже за ним прокси и все что нужно - микротик уронить довольно сложно.
    Ответ написан
  • На каком железе лучше построить домашнюю сеть?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    MikroTik RB2011UiA S-2HnD-IN

    Экономичный вариант, либо если бесплатно где-то отламывается. Серия устарела, посмотрите RB4011. Кстати, за оптику. Если там реально оптика - провайдер вполне может поставить свою железку и рулить ею не даст.

    Насчет провода пофиг, но если будете сами обжимать - заведите тестер и нормальную обжимку.

    Что касается полки. Если в качестве исключительно файлопомойки, сгодится любой самый дешевый Synology/QNAP. Если хотите еще что-то на нее навесить - учтите, что железо там ... у меня наверное телефон мощнее :) Платят там в основном за фирменную морду, которая более-менее решает задачу "линух для тех кто его не знает и не хочет знать".
    Ответ написан
  • Умеет mikrotik записывать на usb поток rtsp? или даже ffmpeg выполнять?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Данная модель работает на проце Qualicomm Atheros QCA9557. Посмотрите в таблице его характеристики, а потом сами подумайте - сможет ли такой проц запустить ffmpeg :)
    Микротик - это роутер. Данная модель - домашний роутер, то есть самый скромный по параметрам. Ему дай Бог поток бы записать, и то мне в голову не приходит, чем.
    Ответ написан
  • Возможно ли использование нескольких mac-адресов на одном физическом порту Mikrotik?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Необходимо, используя возможности Router OS, реализовать получение 2-х ip-адресов на одном физическом порту


    "... Ответ Надсистемы мгновенно разрушил радужные надежды: "Задача не имеет решения"..." (С) Л. Резник "Магический треугольник"
    Ответ написан