Ответы пользователя по тегу Mikrotik
  • Чем мониторить активность в сети?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Конечно прокси. Не микротиковское в смысле встроенное прокси, а нормальный полноценный squid. Который в частности решает и задачу обломать юзера, возжелавшего слить фильмец на пару гигов в рабочее время :)
    Ответ написан
  • Какой самый чувствительный/мощный репитер?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Поставив мощный репитер Вы рискуете себе повредить кое-что :) indoor-антенны вовсе не зря ограничены по мощности. В вашем здании просто обязаны быть слаботочные шахты между этажами - прокладывайте провод через них. На репитерах Вы не построите сколько-нибудь устойчивой сети.
    Ответ написан
  • Как можно администрировать большое количесвто IP Адресов?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Это что, гуглопереводчик что ли, так перевел? И что значит "администрировать"? Выделять? Торговать? ARP привязывать? :)
    Ответ написан
  • Как объединить сети?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Выкинуть такую циску, в которой isakmp нет :) и купить микротик. На двух микротиках IPSec настраивается буквально в несколько команд, особенно если по PSK, а не по сертификатам. Или линух поставить сo strongswan-ом - он не менее просто интегрируется.
    Ответ написан
  • Как проверить работу ipsec в туннеле l2tp с динамической маршрутизацией?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Если в SA пусто, значит SA не установилась, значит ipsec не работает. Включите подробный лог ipsec, там правда непросто ориентироваться (в микротике стоит racoon, он вываливает столько отладки, что просто аще), но лучше много чем нисколько.
    Ответ написан
  • RSYSLOG - как разделять логи с помощью фильтрации?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Ну вот несколько примеров.
    # Все от программы ntpdate в файл /var/log/ntpdate
    if $programname == 'ntpdate' then                       /var/log/ntp
    
    # все остальное в файл /var/log/daemon
    if $programname != 'ntpdate' \
        and $syslogfacility-text == 'daemon' then           /var/log/daemon
    
    # Сообщения MARK в файл /var/log/marks
    if $msg == '-- MARK --' then                            /var/log/marks
    
    # остальные в /var/log/kernel
    if $msg != '-- MARK --' \
        and $syslogfacility-text == 'kern' then             /var/log/kernel


    У Rsyslog несмотря на наличие документации с примерами бяда-бяда...
    Ответ написан
  • Mikrotik IPsec: белый IP ---- серый IP?

    CityCat4
    @CityCat4 Куратор тега VPN
    Если я чешу в затылке - не беда!
    При линке двух микротиков там есть несколько нечевидных моментов, не описанных ни в одной документации

    1. При формировании политик нужно указывать серые IP.
    2. Шифрование SHA256 работает только при линке двух микротиков между собой.

    Пример настройки:
    (микротик с IP 1.2.3.4 связывается с микротиком с адресом 172.16.1.1, перед которым стоит роутер с адресом 4.3.2.1. За первым микротиком сетка с адресом 10.1.1.0/24, за вторым - 192.168.1.0/24)

    Cо стороны микротика с серым IP
    /ip ipsec peer
    add address=1.2.3.4/32 dpd-interval=disable-dpd enc-algorithm=\
        aes-128,aes-192,aes-256 hash-algorithm=sha256 proposal-check=strict
    /ip ipsec policy
    add dst-address=10.1.1.0/24 sa-dst-address=1.2.3.4 sa-src-address=\
        172.16.1.1 src-address=192.168.1.0/24 tunnel=yes


    Cо стороны микротика с белым IP:
    /ip ipsec peer
    add address=4.3.2.1/32 dpd-interval=disable-dpd enc-algorithm=\
        aes-128,aes-192,aes-256 hash-algorithm=sha256 passive=yes proposal-check=strict
    /ip ipsec policy
    add dst-address=192.168.1.0/24 sa-dst-address=4.3.2.1 sa-src-address=\
        1.2.3.4 src-address=10.1.1.0/24 tunnel=yes


    Пример конечно без сертификатов, только на PSK, но наличие или отсутствие сертификатов не влияет на настройку
    Ответ написан
  • Можно ли перенести настройки Mikrotik на другую версию роутера?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Подключиться терминалом или открыть новую терминальную сессию в winbox
    export file config
    Скопировать с микротика файл config.rsc (текстовый файл). Это и есть полный конфиг, заполненный командами, которые настроят устройство.
    К вышеприведенным советам можно добавить, что если устройство работает в условиях производства, то не лишним будет его прочистить от пыли. При всей своей невесомости - пыль электропроводная штука!
    Ответ написан
  • Как запретить on-line радио?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    У меня как-то стояла обратная задача - как разрешить слушать онлайн-радио через прокси. Решилась разрешением подключений по порту 8052. Ну, а как известно всюду есть две стороны - как разрешают, так можно и запретить.
    Ответ написан
  • Как построить IPSec VPN с одним пиром в разные подсети?

    CityCat4
    @CityCat4 Куратор тега VPN
    Если я чешу в затылке - не беда!

    Но по факту, при чистом Installed SAs листе у меня работает только один туннель из двух...


    Разумеется, поскольку в записи SA в том виде, как она хранится в ядре - одно поле под индекс записи SP. Поэтому SA можно связать только с одной политикой. А раз так - значит надо построить политику так, чтобы нужная подсеть покрывалась одной маской. Например, указать в качестве dst-address 172.20.0.0/16 - тогда под действие этой политики будут попадать пакеты на оба хоста.
    Ответ написан
  • Как настроить Mikrotik, чтобы на одном порту выходили iptv+интернет на Ростелеком?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    По настройке iptv на микротике есть множество руководств - при этом напрямую пихать его в сеть провайдера не только не нужно но и опасно - мало ли что там у него. Ключевое слово - multicast.
    1. Установить на микротик пакет multicat. Этот пакет не ставится по умолчанию, нужно идти на сайт микротика, качать его оттуда, загружать на микротик по FTP. Потом микротик перегрузить, он сам новый пакет установит.
    2. Настроить IGMP Proxy. После перезагрузки в меню Routing появится пункт IGMP Proxy, его нужно настроить. У меня ether1 - порт прова, ether4 - мастер-порт внутреннего свитча, в который обьединены остальные порты.
    /routing igmp-proxy interface
    add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
    add interface=ether4

    Главное указать правильно, какой порт апстрим. Все остальное микротик найдет сам.
    3. Обеспечить прохождение пакетов IGMP. Если идет контроль за адресами RFC1918 (у меня есть), то нужно чтобы из него были исключены диапазоны 169.254.0.0/16 и 224.0.0.0/4. Кроме того, нужно добавить в микротик три правила:
    add action=accept chain=input comment="Allow IGMP (for IPTV)" in-interface=ether1 protocol=igmp
    add action=accept chain=output comment="Allow IGMP (for IPTV)" out-interface=ether1 protocol=igmp
    add action=accept chain=forward comment="Allow this port for IPTV" dst-port=1234 in-interface=ether1 protocol=udp

    4. Тыкаем внутреннее устройство в любой порт внутреннего свитча - вуаля, IPTV есть.
    Ответ написан
  • Как сбросить/восстановить пароль mikrotik?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Если заходили хотя бы один раз через winbox, то в кэше winbox-а он лежит. В открытом тексте :( Я так недавно восстановил пару паролей к устрйоствам, которые уже морально был готов ресетить.
    Ответ написан
  • Как настроить IPSec VPN (Site-to-Site) между Mikrotik и Zyxel Zywall?

    CityCat4
    @CityCat4 Куратор тега VPN
    Если я чешу в затылке - не беда!
    Политики где? Отдельная маршрутизация - ну по крайней мере на микротике - не нужна. Микротик сам разберется куда что направить. Но естественно нужны правила файрволла, пропускающие трафик после его расшифровки.
    Именно политики увязывают вирутальные подсети и туннель.
    То есть если на пальцах, что происходит после того, как соединение есть.
    1. Входящий пакет.
    Микротик получил ESP-пакет. Если правила файрволла его пропустили (цепочки input/output, а не forward!), то микротик смотрит ассоциации безопасности (SA) - есть ли ассоциация с данным ID? Если есть, то пакет расшифровывается и повторно проходит файрволл - на этот раз цепочку forward - и уходит в нужный интерфейс.
    2. Исходящий пакет
    Микротик получил пакет из внутренней сети. Если правила цепочки forward его пропустили, то он смотрит политики безопасности (SP) - нужно ли этот пакет шифровать. Если нужно, то из политики берутся адреса начала и конца туннеля, по ним ищется SA, из SA берется ключ, пакет шифруется и снова проходит файрволл - в шифрованном виде. Если его пропустили - он пошел.
    Нету тут нигде маршрутизации, тут ESP вместо нее. Зухель точно расшифровывает пакеты от микротика? Если используете SHA256 - откажитесь, у микротика какая-то своя собственная реализация, совместимая только с микротиком, поставьте SHA1.
    Ответ написан
  • Как настроить 2х Mikrotik ipsec в разных филиалах?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    На самом деле дока по IPSec у микротика довольно бестолковая - например того, что хэш SHA256 не работает ни с чем кроме другого микротика, там не отражено.
    Подьем туннелей на IPSec - имеется в виду "чистный" IPSec, а не L2TP/IPSec - их обычно путают состоит из нескольких этапов.
    1. Создание "предложения" на каждом микротике - это такой корявый перевод термина proposal. В proposal указываются методы шифрования, хэши и группы Диффи-Хеллмана, которые могу применяться при согласовании параметров. Крайне важно, чтобы оба микротика нашли хотя бы один общий алгоритм шифрования и хэш, и чтобы группы Диффи-Хеллмана совпадали! Здесь же указывается время жизни второй фазы, после чего будет повторный "быстрый" обмен ключами.
    2. Создание политики на каждом микротике, которая определяет, что собственно говоря будет шифроваться и что с этим шифрованным контентом делать. Здесь указываются виртуальные маршрутизируемые подсетки, адреса реальных концов туннеля, метод шифрования, используемый proposal
    3. Создание удаленного подключения (peer), которое задает многое множество параметров. Здесь указывается IP и порт удаленной стороны, метод аутентификации, метод первичного обмена ключами - базовый или агрессивный, необходимость NAT Travesal (если один из микротиков за натом), проверку proposal, алгоритмы хэша и шифрования, группы Диффи-Хеллмана, время жизни первой фазы, необходимость DPD. Если аутентификация по сертификатам - указывают имена сертификатов, которые должны быть к этому времени уже импортированы. Если аутентификация по ключам - указывают значение ключа.

    Если устройство само не инициирует установление туннеля, ставится флаг пассивности, иначе сразу после создания Peer-а, микротик начинает к нему долбиться. Если что-то не так - включите логирование. В микротике используется racoon, поэтому лог там ракуновский, strongswan-а нет, поддержки IKEv2 нет.
    Ответ написан
  • Как Вы блокируете TeamViewer с помощью Mikrotik?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Самым неэлегантным, можно даже сказать топорным способом:
    add action=drop chain=forward comment="TeamViewer: block port 5938" dst-port=5938 out-interface=ether1 protocol=tcp
    add action=drop chain=forward comment="TeamViewer: block TeamViewer servers" dst-address-list=teamviewer out-interface=ether1

    Адреслистом teamviewer могу поделиться - он весьма немаленький
    Ответ написан
  • Каким туннелем соединить офисы?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Мне кажется лучше всего будет просто IPSec. А кому куда ходить - это разруливается правилами файрволла. Работать по схеме "звезда" будет при любом количестве офисов (на FreeBSD у меня работало с двумя десятками), только политики нужно разруливать вручную и IP-адресацию сразу планировать на всю предполагаемую сеть.
    Ответ написан
  • Открытые порты Mikrotik после базовой настройки. Есть ли опасность?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Ну, 443 - это вебморда. 8291 - это winbox. Остальные не знаю.
    Ответ написан
  • Какой роутер (шлюз) купить?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Не, советовать RB1100AHx2 на компанию в 50 человек - это сильно. 3011UiAS за глаза, если только конечно не безразмерное количество VPN будет. Но конечно, если бюджет позволит, можно и RB1100AHx2 - там аппаратное шифрование.
    Ответ написан