Ответы пользователя по тегу Mikrotik
  • Wifi мост на mikrotik и netgear. Сложности, кто поможет?

    @LAA
    1. Вам нужно на вашем роутере MikroTik настроить бридж между wlan (wifi) и портами езернет.
    2. Другая конфигурация (службы dhcp-сервер, нат, файервол, и тд) должна быть выключена.

    Предлагаю так:
    1. сбросить в заводские настройки
    2. настроить рутер:

    (удаляем существующие бриджи все)
    /interface bridge remove [find where name ~".*"] 
    
    (добавляем бридж)
    /interface bridge add name=bridge
    
    (потом 2, 3....)
    /interface bridge port add bridge=bridge interface=ether1
    
    /ip dhcp-client remove [find where interface~".*" ]
    
    (добавление dhcp-client-а для бриджового интерфейса)
    /ip dhcp-client add interface=bridge disabled=no  
    
    (сброс настроек wifi)
    /interface wireless reset-configuration [find where name ~".*"]
    
    (задается собственный security profile для беспроводной сети, клиент)
    /interface wireless security-profiles add name=my-client \
     mode=dynamic-keys authentication-types=wpa2-psk \
     wpa2-pre-shared-key=WiFiPassWord
    
    (и дальше настраиваете wifi-интерфейс со своими параметрами)
    /interface wireless set 0 disabled=no security-profile=my-client mode=station-bridge ssid=..... 
    
    (удаление всех правил файервола)
    /ip firewall filter remove [ find where chain ~".*" ]


    Надеюсь я ничего не забыл и, что у вас получится.
    Я специально написал в командной строке. Это дальше пригодиться и эти знания не будут лишними.

    Скорее всего у вас не получилось, потому что у вас режим wifi mode=station и у вас еще включен firewall/nat/dchp-server.

    Успехов!
    Ответ написан
    8 комментариев
  • Mikrotik RB750 и IP камера?

    @LAA
    1. Нужно понять какой динамический ип-адрес выдал камере ваш роутер.
    для этого нужно дать команду:
    /ip dhcp-server lease print

    2. По номеру строки (предположим -- 5) привязать в списке dhcp-аренд адрес вашей камеры:
    /ip dhcp-server lease make-static 5

    3. Адрес вашей камеры нужно указать в пробросе портов. Сделать это можно так:
    /ip firewall nat add action=dst-nat chain=dstnat \
     comment="port forward for my ip-cam-1" dst-port=52855 \
     in-interface=ether1 protocol=tcp to-addresses=192.168.88.161 to-ports=80

    -- поясняю: в этой строке настраивается проброс внешнего порта 52855 на внешнем интерфейсе ether1 протокола tcp на локальный хост 192.168.88.161 (пример) на локальный порт 80.

    4. В файерволе нужно убедиться, что ваш внешний порт 52855 будет доступен снаружи. Для этого до блокирующего правила нужно прописать разрешение:
    /ip firewall filter add chain=input \
     comment="allow port fwd to my ip-cam-1" dst-port=52855 protocol=tcp place-before=5

    -- пояснение надеюсь не нужно. :)

    З.Ы. Настоятельно советую убедиться, что доступы на ваш роутер извне открыты только доверенным хостам или лучше вообще закрыты. Не стоит давать шансы кому-то на подбор пароля к вашему роутеру.
    Ответ написан
    3 комментария
  • Mikrotik блокирует часть трафика при включении "Bridge", в чем причина?

    @LAA
    Похоже, что у вас конфликт ип-адресов между локальными сетями.
    попробуйте в момент проблемы сделать трассировку на проблемные ресурсы и понять уходит ли трасса дальше вашего роутера, и, если уходит -- то точно туда куда нужно (в локальный шлюз, а не по туннелю в удаленный).

    Нужно больше информации для понимания проблемы. Какие вы используете ип-адреса на каждой стороне? Какие маршруты на роутерах?

    По поводу туннеля: Попробуйте поднять sstp туннель, он работает с mtu=1500 на туннеле и его можно на обоих сторонах прекрасно включить в бриджи каждой стороны. И он более секьюрный по сравнению с вашим выбором.
    Ответ написан
    4 комментария
  • Как настроить приоритезацию SIP звонков в Mikrotik?

    @LAA
    Просили ткнуть носом, ок: wiki.mikrotik.com/wiki/Voip
    :-)
    Ответ написан
    Комментировать
  • RDP черзе OpenVPN mikrotik не конектит?

    @LAA
    1. Сверьте адреса и маршруты у беспроводных и проводных пользователей.
    2. Проверьте на рдп-сервере ответные маршруты на пользователей.
    3. Если по предыдущим пунктам все ок -- пробуйте ставить ethereal на рдп-сервер и смотреть как проходят пакеты icmp, rdp.
    Удачи.
    Ответ написан
    Комментировать
  • Слетит ли лицензия на Микротик?

    @LAA
    А вы не пробовали?
    Я ответа не знаю, но, похоже быстрее попробовать чем ждать ответ. :-)
    Удачи.
    Ответ написан
    Комментировать
  • Точка Wi-Fi в офис: MikroTik SXTG-5HPacD-SA имеет ли смыл?

    @LAA
    Привет!
    У SXT слишком узкая диаграмма направленности для офиса, но, похоже, если вы про эту именно точку
    i.mt.lv/routerboard/files/SXTac-140718123939.pdf -- то она идет уже с лицензией 4 уровня, что позволяет ей быть WiFi-AP. Так что, скорее всего, она подойдет под ваши задачи!

    Возможно, она подойдет под вашу задачу, но, лично мне кажется, что лучшие результаты получаются на самосборных комплектах: материнка + антенна + корпус. В таком случае можно взять подходящую под задачу антенну и остальное железо.

    Желаю удачи!
    Ответ написан
    5 комментариев
  • Как осуществить обработку Exception в скриптах Microtrik?

    @LAA
    Попробуйте как-то так:

    :if ( [/ip address find interface=ether2 ] != "" ) do={\
     :local InterfaceISP2Address [/ip address get [find interface=ether2] address];\
    }


    Удачи!
    Ответ написан
    Комментировать
  • Как лучше перенаправить весь http(s) трафик через VPN?

    @LAA
    Мне кажется, что имея MikroTik, ответ напрашивается сам. :)

    Попробуйте так:
    /ip firewall mangle
    add action=mark-routing chain=prerouting dst-port=80,443 in-interface=br0 \
    new-routing-mark=to-vpn protocol=tcp
    
    /ip route
    add gateway=[тут укажите шлюз куда направлять] routing-mark=to-vpn


    Удачи!
    Ответ написан
    1 комментарий
  • Как "выпустить" подсеть наружу в mikrotik?

    @LAA
    Похоже, что вы не передали нужные маршруты своим опенвпн-пользователям.
    Внешний адрес они пингают по дефолт-маршруту.
    Проверяйте маршруты у клиентов.
    Ответ написан
  • Почему firmware на Mikrotik routerboard более свежая чем доступная для обновления?

    @LAA
    Такое может быть из-за загрузок прошивок и не выполнения:
    /system routerboard upgrade

    То есть загрузили новую прошивку, перегрузили маршрутизатор, затем загрузили прошивку младшей версии. Вот такие действия могут быть причиной.

    Судя по routerboard.com/RB912UAG-2HPnD текущий загрузчик 3.17

    Если нет веских причин использовать старые версии -- я советую обновиться, а после обновления выполнить команду выше.

    Удачи.
    Ответ написан
    Комментировать
  • Как настроить правила проброса порта на микротик с ovpn-server?

    @LAA Автор вопроса
    Сам решил проблему путем статического имени овпн-подключения:

    /interface ovpn-server
    add name=ovpn1 user=user1


    и указания имени интерфейса ovpn1
    Ответ написан
  • Настройка двух изолированных WiFi сетей на RouterOS

    @LAA

    Привет!
    Идея, на мой взгляд правильная.
    Надо организовать влан интерфейс на груве.
    Этот влан и радио-интерфейс объединить в единый бридж.
    При этом на езернет-интерфейсе надо оставить ип-адрес из 88-ой сети, чтобы не потерять доступ.
    Далее, такой же влан создать на 88.2 на том физическом интерфейсе, в который включен грув.
    Ну а дальше все просто.
    Если что -- в личку.

    Ответ написан
    Комментировать
  • Настройка беспроводного моста Mikrotik SXT 5HnD

    @LAA
    +1
    Возможно!
    Вам надо на SXT который оборудования провайдера сделать изменения.
    Для этого надо сперва зайти на ближний к вам sxt, дабы быть в одной сети с дальним sxt.
    Далее пишу навскидку, но принцип такой:

    /int bridge port print
    /int bridge port rem 1 (если 1 это ether1-gateway, таким образом вы из бриджа удалите ether1-gateway)
    /ip add add int=ether1-gateway addr=192.168.203.30/24 (назначаете ип-адрес на eth-интерфейсе, возможно у вас уже есть там адрес, проверьте)
    /ip route add dst-address=0.0.0.0/0 gateway=192.168.203.1 (тут указать шлюз провайдера)
    /ip firewall nat print (найти правило action=masquerade chain=srcnat)
    /ip firewall nat set X out-interface=ether1-gateway (где X — это номер правила ната).

    Также еще проверьте на каком конкретно интерфейсе сейчас задан ип-адрес 192.168.88.1, может быть на бридже, а может и на езернете… Важно его сохранить чтобы не потерять удаленный доступ к устройству.
    Ответ написан