• Настройка Morotik, как сделать мост Wlan1 с внеутренней сетью и VirtualAP в мосте с WAN?

    HawK3D
    @HawK3D
    Нужно создать отдельный бридж, добавить в него порт провайдера и VirtualAP. Настройки IP этого бриджа нужно сделать такими же как и на порту провайдера.
    Ответ написан
    Комментировать
  • Как настроить Mikrotik на двух провайдеров, один PPPoE, а второй PPTP?

    HawK3D
    @HawK3D
    В общем случае, вам нужно определить ип-адрес шлюза и маршруты, которые выдаются dhcp-сервером провайдера. Сделать это проще всего на пк с windows, подключенному непосредственно в сеть провайдера. Затем добавляете dhcp-клиента в микротике, указав параметр Add Default Route=no и прописываете в маршрутах то, что должно выдаваться dhcp-сервером, указав в качестве шлюза ип-адрес, а не интерфейс. Убедитесь, что адрес pptp-сервера совпадает с добавленными маршрутами, если нет - добавьте маршрут к pptp-серверу, также указав в качестве шлюза ип-адрес, получаемый по dhcp.
    Ответ написан
    Комментировать
  • Какой туннель использовать для двух офисов?

    HawK3D
    @HawK3D
    Как говорится, на вкус и цвет товарищей нет. За много лет перепробовал, наверное, все возможные варианты, в итоге как-то само собой получилось что везде l2tp.
    Если нужно зашифровать туннель - замечательное руководство по настройке L2TP + IPsec на сайте Кирилла Васильева.
    Если между офисами нужен L2 - предпочтительней настроить VPLS поверх туннеля.
    Ответ написан
    Комментировать
  • Как перезагрузить Mikrotik по результату проверки порта?

    HawK3D
    @HawK3D
    Возможно поможет, отключить auto negotiation и принудительно установить скорость 100M, но как сказано выше - надо проверить линию, лучше разобраться с причинами, а не со следствиями.
    Ответ написан
    Комментировать
  • Как исправить доступ к модемам после настройки балансировки на Mikrotik?

    HawK3D
    @HawK3D
    Нужно добавить локальные маршруты во все таблицы маршрутизации, либо в /ip route rules добавить правило, например для dst-address 192.168.0.1 через таблицу main. Также можно исключить локальную подсеть в правилах маркировки mangle.
    Ответ написан
  • Как правильно блокировать DNS в mikrotik?

    HawK3D
    @HawK3D
    Для блокировки определенных доменных имен можно указать в ip/dns/static соответствующий домен в поле Name, а в поле Address подменить ип-адрес, например на 127.0.0.1.
    Конкретно в вашем случае, в поле Regexp нужно указать doubleclick.net, для блокировки доменного имени и всех его поддоменов.
    Если же целью является блокировка всей рекламы, а также других нежелательных компонентов в сети, например телеметрии Microsoft, сбора статистики Google, Yandex и т.д. - для Mikrotik существует решение на https://stopad.cgood.ru/, с помощью которого можно сгенерировать скрипт, автоматически добавляющий нужные записи в ip/dns/static.
    Ответ написан
  • Как на микротике-сервере посмотреть пароль входящего клиента l2tp при ошибке авторизации?

    HawK3D
    @HawK3D
    При использовании клиентом MS-CHAP v.2 однозначно - никак. Там реализована двусторонняя проверка подлинности, как раз для таких случаев, чтобы нельзя было определить пароль, подменив сервер.
    Ответ написан
    Комментировать
  • Почему не создаются динамические правила в Mangle?

    HawK3D
    @HawK3D
    Release 6.39 2017-04-28
    What's new in 6.39 (2017-Apr-27 10:06):
    ...
    !) ppp - implemented internal algorithm for "change-mss", no mangle rules necessary;
    ...

    Если в таблице mangle создаются динамические правила - обновите версию Router OS.
    Ответ написан
  • Как фильтровать клиентов VPN у которых динамические IP?

    HawK3D
    @HawK3D
    Пропишите нужные ddns имена в address-list, и создайте правило в цепочке input, запрещающее tcp-подключения на порт 1723, кроме соответствующего адрес-листа.
    Ответ написан
  • Как запретить динамическое соединение l2tp на Микротике?

    HawK3D
    @HawK3D
    Попробуйте уменьшить keepalive timeout в настройках l2tp-сервера, либо измените настройки, таким образом, чтобы не использовать L2TP Server Binding. Похоже проблема в том, что l2tp-клиенты получают один и тот же, статически прописанный ip-адрес. Можно попробовать решить проблему, создав отдельный ip-pool для l2tp-клиентов.
    Ответ написан
    Комментировать
  • Как настроить DHCP в EoIP сети?

    HawK3D
    @HawK3D
    EoIP-интерфейс обычно добавляется в bridge, для организации L2-доступа между удаленными сетями, если это ваш случай - настраивается два DHCP-сервера на обоих роутерах, в качестве интерфейса DHCP нужно указать ваш bridge-интерфейс. DHCP network должна быть единой на обоих роутерах, а вот диапазоны (pool) выдачи адресов должны быть непересекающимися, входящие в обозначенную подсеть. Также нужно создать правило, блокирующее DHCP-запросы между удаленными сетями, например так:
    /interface bribge filter
    add action=drop chain=forward comment="Drop DHCP requests over EoIP bridge" disabled=no in-interface=eoip-tunnel1 ip-protocol=udp mac-protocol=ip src-port=68
    Ответ написан
    Комментировать
  • Как настроить два ip на два устройства mikrotik winbox?

    HawK3D
    @HawK3D
    Если хотите повесить ип-адреса провайдера на сетевые интерфейсы ПК - вам нужен не маршрутизатор, а коммутатор и настраивать надо не микротик, а сетевые интерфейсы ПК. Объединив на микротике порты в bridge можно достичь тех же результатов, что и при использовании коммутатора.
    Ответ написан
    1 комментарий
  • Есть ли бесплатный впн сервис для микротика?

    HawK3D
    @HawK3D
    Идентифицировать, маркировать и маршрутизировать трафик к заблокированным сайтам через дополнительные соединения - это костыль, в большинстве случаев попытки локальных операторов связи нарушить работу российского сегмента глобальной сети нейтрализуются гораздо проще и эффективнее.. Для винды существует замечательная программа GoodbyeDPI, устанавливаете как службу и забываете о блокировках.
    Ответ написан
    Комментировать
  • Возможна ли статическая маршрутизация на имя, а не на ип-адрес в microtik?

    HawK3D
    @HawK3D
    Технические специалисты большинства провайдеров - люди умеющие мыслить системно, их мировоззренческая грамотность на порядок выше чем у их руководителей и госрыл. У них есть понимание того, что какие-либо ограничения в отдельно взятом государстве не только противоречит самой сути интернета, как надгосударственного явления, но и практически невозможно и бессмысленно, поэтому требование госорганов по блокировке выполняются лишь формально, в той степени, чтобы блокировки гарантированно работали в отношении тех, кто инициирует подобные блокировки)
    Не пытались разобраться с механизмом работы блокировок у вашего провайдера? Обычно решается с помощью указания любого публичного dns-сервера вместо провайдерского. Как нейтрализовать блокировки ростелекома можно найти здесь. В случае других провайдеров нужно провести анализ трафика и настроить MikroTik соответствующим образом. А вообще, если провайдер блокирует "наглухо", стоит задуматься, почему этот провайдер осуществляет блокировку в большей степени, чем этого требует Роскомпозор и обрекает своих абонентов на дополнительные расходы и трудности, связанные с vpn и пр.
    Ответ написан
    Комментировать
  • Настройка mikrotik на провайдер и vpn?

    HawK3D
    @HawK3D
    Безусловно, можно скачать выгрузки реестра, например здесь, обработать их, скормить в address-list, маркировать трафик и направлять его через VPN, но MikroTik позволяет сделать все гораздо проще и красивее. Подробнее об этом - здесь.
    В случаях других провайдеров - нужно анализировать работу блокировок и создавать соответствующие правила. В принципе, согласно рекомендациям размещенных на сайте Роскомпозора, достаточно, чтобы блокировки работали для стандартной автоматической настройки абонентского оборудования при подключении к сети оператора. Самый простой способ блокировки, удовлетворяющий этим требованиям - подмена ип-адресов запрещенных ресурсов в ответах от DNS-сервера провайдера на ип-адрес заглушки. В этом случае, вы просто прописываете любой публичный днс-сервер (например, 8.8.8.8) в настройках сетевого интерфейса и все.
    Если же ваш провайдер использует более изощренные способы блокировок - стоит задуматься о том, почему этот провайдер ограничивает своих пользователей в большей степени, чем того требует Роскомпозор. В случае с Ростелекомом все предельно просто - это аффилированная с государством структура, но даже там используют способ блокировки, для обхода которой необходимо чуть-чуть больше знаний о сетях, чем у пресловутого премьер-министра)
    Ответ написан
    Комментировать
  • Почему скрипт выполняется только один раз?

    HawK3D
    @HawK3D
    Очень похоже на то, что скрипты в /ppp profile отрабатывают только при переключениях состояний ppp-интерфейса disable/enable, а переключения состояний running/not running не запускают скрипты. Можно добавить ваш скрипт в /system script и назначить выполнение с нужным интервалом в /system scheduler.
    Ответ написан
    Комментировать
  • Почему пищит Mikrotik?

    HawK3D
    @HawK3D
    В MikroTik hAP отсутствует встроенный динамик. Скорее всего, неверно указана модель роутера, либо аппаратная неисправность.
    Ответ написан
    Комментировать
  • Как подключить VPN на Mikrotik для определенного маршрута?

    HawK3D
    @HawK3D
    В RouterOS очень просто и гибко настраивается маршрутизация, помимо таблиц маршрутизации (Routes) есть правила маршрутизации (Rules), которые позволяют вертеть трафиком как угодно, а в сочетании с /ip firewall mangle можно маркировать трафик по всевозможным признакам для последующей маршрутизации.
    Ответ написан
    Комментировать