Задать вопрос
  • Машрутизация в микротик?

    @Ragnar1
    Linux teacher for beginners.
    1 условие: firewall не блокирует forward трафик
    2 условие: данный микрот является шлюзом по умолчанию для обоих сетей
    ничего дополнительно настраивать не надо
    Ответ написан
    Комментировать
  • Виртуальная локальная через впн?

    @Ragnar1
    Linux teacher for beginners.
    Если у вас железка на ARM обновитесь до ROS 7 и поставьте пакет ZeroTier. ZeroTier, говоря простым языком, l2 через интернет, не l3 как привыкли, используя vpn.
    Ответ написан
    Комментировать
  • Причина медленной работы сети?

    @Ragnar1
    Linux teacher for beginners.
    CRS125 - cloud router switch - ключевое слово switch.
    под такое количество точек вам бы взять rb4011, rb5009, или что-нибудь на TILE (CCR). Ещё как вариант трафик пустить через CHR на одном из компов с двумя сетевыми портами, если не желаете разоряться на новую железку.
    Ответ написан
    Комментировать
  • Когда планируется поддержка wpa3 в mikrotik?

    @Ragnar1
    Linux teacher for beginners.
    Цитата с официальной wiki:
    As of the release of RouterOS 7.1, this means it is compatible with 4 devices:

    hAP ac³ (non-LTE)*
    Audience*
    Audience LTE6 kit*
    RB4011iGS+5HacQ2HnD**


    Оригинал
    Ответ написан
    Комментировать
  • Чем Capsman отличается от 2-ух одинаковых точек wifi?

    @Ragnar1
    Linux teacher for beginners.
    Бесшовного роуминга не существует! ДА, совсем!

    Есть не успокаиваетесь, то скажу, что есть протоколы, которые помогают устройствам, поддерживающим эти протоколы переключаться от точки к точке с минимальными задержками.
    CAPsMAN помогает настраивать wifi-сеть централизовано. На CAPsMAN контроллере в datapath НЕ_включаете local forwarding, так трафик с точек будет уходить на контроллер и там разворачиваться и уходить дальше. При таком конфиге потери будут минимальными и незначительными. Также ваши точки не должны вещать на полную мощность, лучше уменьшить их уровень сигнала, так клиентам будет легче принять решение о переключении.

    Если всё ещё желаете типа бесшовность, а точек 2-3, изучите Mesh и реализуйте сеть на этой технологии.
    Ответ написан
    Комментировать
  • Как установить CHR (MikroTik) на VPS?

    @Ragnar1
    Linux teacher for beginners.
    После того как вы установили CHR на сервер, перезапустили машину, вам необходимо подключиться к интерфейсу машины через хостера, указать ip, dns, default gateway, нового пользователя и отключить админа. После этих манипуляций ваш CHR станет доступен по SSH.
    Я бы рекомендовал в IP -> SSH активировать параметр Strong Crypto, увеличить длину ключа до 4096 и сгенерировать ключи снова.
    Ответ написан
    Комментировать
  • Можно ли на микротике настроить бесплатный VPN?

    @Ragnar1
    Linux teacher for beginners.
    Если вы желаете замаскировать трафик идущий от вашего клиента миркотик до сервера, вам в любом случае понадобится свой собственный сервер, хоть на linux, хоть на CHR - что вам удобнее будет админить.

    Для того, чтобы замаскировать трафик от провайдера подойдут два типа протоколов: OpenVPN и SSTP. Оба протокола могут использовать протоколы SSL/TLS (SSTP работает так по умолчанию). Вам всего лишь надо на сервере указать порт 443, транспорт TCP, после данных манипуляций ваш трафик при sniff'е будет походить на HTTPS.
    Ответ написан
    8 комментариев
  • VLANы на маршрутере Mikrotik, как настроить?

    @Ragnar1
    Linux teacher for beginners.
    Тема животрепещущая и в микротик настройка вланов это несколько способов, но я в общих чертах расскажу как это сделать без страницы switch.

    Для начала вам надо создать бридж и поместить в него все порты.
    На странице бридж, во вкладке VLANs добавляете id vlan'ов и порты, указывая untegged access порты, а в tagged транки. Если вам нужно, чтобы само устройство принимало участие в сетевом взаимодействии, то во вланы надо сам bridge как tagged, во все вланы с которых устройство должно отвечать по ip.
    возвращаетесь на вкладку портс (в которой добавляли порты в бридж) и каждому порту на его вкладке vlan указываете ID влана на котором должно работать устройство. Повторить действие на всех портах, которые будут access.
    Замыкая настройку бриджа возвращаетесь на самую первую вкладку Bridge, заходите в свойство бриджа и на вкладке ставите галку VLAN Filtering. после всех совершенных манипуляций у вас начинают работать vlan'ы.

    Если вы добавили во вкладке VLANs страницы Bridge во вланы сам бридж, тогда не забудьте создать виртуальный интерфейс VLAN с id, указав в качестве мастера сам bridge, а затем какобвчному интерфейсу присваивайте интерфейсу vlan IP или подключайте dhcp client.

    В вашей ситуации порты устройств, которые должны использовать провайдерскую сеть напрямую должны уметь во vlanы. То есть их порты на коммутаторе отправляете в состояние tagged, а на устройствах сетевым картам прописываете работать с таким-то ID.

    Писал данный ответ с первого дубля
    На этом пожалуй всё.
    Если есть вопросы и пожелания, welcome в комментарии.

    Успехов!
    Ответ написан
    2 комментария
  • Как прокинуть трафик клиентов mikrotik через Openvpn?

    @Ragnar1
    Linux teacher for beginners.
    Весь трафик уходит через туннель очень простым способом: статический роут до openvpn сервера, дефолт маршрут через интерфейс ovpn
    Ответ написан
    1 комментарий
  • Возможен ли туннель между Linux машиной и Mikrotik за NAT?

    @Ragnar1
    Linux teacher for beginners.
    Обновляйте вашу микротик-железку до RouterOS v7 и используйте UDP в openvpn или сразу wireguard.
    Ответ написан
    Комментировать
  • Как делится адресное пространство при использовании l3 коммутаторов на уровне доступа?

    @Ragnar1
    Linux teacher for beginners.
    Как разделить адресное пространство с l3-коммутаторами? Также как в привычной схеме с маршрутизаторами.
    L3-коммутаторы применяются, чтобы разгрузить и без того загруженные процессоры маршрутизаторов, выполняющих функции файерволинга, натирования, какого-нибудь контроллера, конечно маршрутизатора и много чего ещё. И что делать, если 16-ядерного маршрутизатора не хватает? Купить ещё дороже с ещё бОльшим количеством ядер. Но как известно деньги не берутся из воздуха, а покупать новую железку, когда лежит ещё свежая, но "менее производительная" нерационально.
    Именно поэтому есть l3 коммутаторы которые снимают с маршрутизатора нагрузку в межвлановой маршрутизации.
    На коммутаторах фирмы MikroTík с версии RouterOS 7 на некоторых коммутаторах появилась аппаратная маршрутизация, т.е. на свитч-чипе.

    Подытог.
    Планируйте свою сеть также как и с маршрутизатором, но на коммутаторах.
    Возможно придётся применять динамическую маршрутизацию, так как схема стала чуть сложнее.

    Успехов.
    Ответ написан
    Комментировать
  • На каком оборудовании построить беспроводную сеть для офиса?

    @Ragnar1
    Linux teacher for beginners.
    никаких hap ac^2 не хватит. Ставите везде где необходима сеть cAP AC, заводите их на CAPsMAN, с него рулите трафиком и всеми настройками. ядром рекомендую взять TILE устройство (CCR), за ним коммутатор с PoE к которому подключаются все Access Points (сэкономите на розетках, но и всегда будете иметь управление питанием централизовано, т.е. сможете перезагрузить какую надо точку ).
    Так как вы делаете для компании и вам это всё потом обслуживать, как я предполагаю, то не экономьте на железе. сэкономленная копейка обернётся вам в сто крат большей головной болью.
    Ответ написан
    Комментировать
  • Как настроить nat во VLAN?

    @Ragnar1
    Linux teacher for beginners.
    Повесить vlan интерфейсы на бридж. условно интерфейсы vlan10 vlan-id=10 и vlan20 vlan-id=20, накинуть на них адреса
    То, что вы хотите называется InterVLAN routing. Он реализуется как я описал выше.
    далее в качестве шлюза указывать ip этих интерфейсов для своей сети соответственно
    Ответ написан
    Комментировать
  • Есть ли возможность полностью пркрыть доступ к соцсетям средствами Микротика?

    @Ragnar1
    Linux teacher for beginners.
    Конечно способ есть.

    Опишу основные шаги:
    шаг 1. составить address list с ip адресами всех сайтов, доступ к которым желаете перекрыть. Address list на современных ROS умеет в резолв доменных имён.
    шаг 2. Промаркировать соединения по этим ip адресам.
    шаг 3. промаркировать маршруты на основе предыдущего шага.
    шаг 4. заворачивать весь трафик в blackhole маршрут, либо куда хотите, всё на ваше усмотрение
    шаг 5. (опционально) На основе шага 3 с помощью L7 фильтра определять dns запросы в заголовках пакетов и блокировать их

    Как-то так. ;)
    Ответ написан
    Комментировать
  • Как правильно установить Linux на внешний ssd?

    @Ragnar1
    Linux teacher for beginners.
    Разницы в установке между SSD подключенным по SATA и подключенным по USB принципиально нет если внешний диск определяется в BIOS как USB-HDD, за исключением скорости передачи разумеется.
    Ос на Linux имеет множество различных драйверов уже встроенных в ядро, однако не смотря на этот факт могут возникнуть проблемы на разных конфигурациях железа. Однако выход есть.
    Рекомендую устанавливать на внешний SSD в качестве ОС Manjaro Linux, тк в manjaro присутствует утилита hardware detected, с ней шанс получить работающую систему на другом "железе" повышается.
    Проводить установку системы на внешний диск рекомендую с USB flash и отключённом внутренним диском с Windows. Таким образом минимизируете риски стереть не тот раздел и удалить все ваши данные
    Ответ написан
  • Почему sudo apt install не устанавливает файл с расширением .deb?

    @Ragnar1
    Linux teacher for beginners.
    нужно указывать путь до .deb файл.
    если он лежит у вас в текущей директории, то команда будет выглядеть так:
    apt install ./<package_name>.deb
    Ответ написан
    Комментировать
  • Iptables как заблокировать все порты для всех ип кроме одного?

    @Ragnar1
    Linux teacher for beginners.
    Ответ будет чуть больше, чем просто набор двух команд:
    * разрешить все установленные (established) и связанные (related) соединения
    * разрешить подключение по ssh (вы же не хотите потерять связь с сервером)
    * разрешить подключение с адреса источника который вам нужен
    * установить политику по умолчания DROP

    теперь в виде команд:
    iptables --append INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
    iptables --append INPUT --protocol tcp --dport 22 --jump ACCEPT
    iptables --append INPUT --source WWW.ZZZ.YYY.XXX --jump ACCEPT 
    iptables --policy INPUT DROP

    (заменить WWW.ZZZ.YYY.XXX на адрес, с которого нужно разрешить подключения)
    Ответ написан
    Комментировать
  • Как настроить Mikrotik на работу с Wireguard?

    @Ragnar1
    Linux teacher for beginners.
    Отлично, раз у вас beta 7.1, то этот момент сразу пропускаем.

    И так.
    На сервере вы настраиваете всё точно также как и обычно - добавляете нового peer в файл настроек wireguard.
    На микротик настраиваете подключение согласно одной из множества инструкций по настройке WG на MikroTik

    Как только коннект установлен и линки подняты начинается интересное.
    На vps уже должны быть разрешены форфардинг пакетов с и на интернфейс wireguard (обычно это wg0) и включен форвардинг пакетов на уровне ядра (соответствующая настройка в файл sysctl.conf)

    Теперь настройки микротик:
    настроить новый NAT на интерфейс wireguard
    в настройках firewall в address list добавить адрес вашей локальной сети (например имя LAN, адрес 192.168.88.0/24)
    Там же в firewall в mangle настраиваете маркировку соединений: prerouting - src. address list "LAN" - action "Mark Connetion" - New connection mark "bh-conn"
    рядом же маркируете маршруты по этому соединению: prerouting - connection mark "bh-conn" - src. address list "LAN" - action "mark routing" new routing mark "bh-rt"
    После заходите в ip - route, добавляете новый статический маршрут с большой "ценой", пусть будет 100, gateway выбираете интерфейс wireguard, route mark выбираете bh-rt
    после всех этих манипуляций весь трафик из вашей локальной сети должен пойти в тоннель на vps
    Ответ написан
    Комментировать
  • Увидит ли провайдер второй пк в сети?

    @Ragnar1
    Linux teacher for beginners.
    всё делается достаточно просто.
    Выписываете mac-адрес устройства, которое провайдер разрешает подключать к его сети,
    подключаете роутер к провайдеру и меняете mac внешнего интерфейса роутера, на mac из первого пункта
    далее идёт стандартная настройка роутера.

    Эх, скольким знакомым пришлось помогать в своё время с такими провайдерами..
    Ответ написан
    1 комментарий
  • Почему не работает линк, если я переношу его в другую директорию?

    @Ragnar1
    Linux teacher for beginners.
    Чтобы разобраться с symbolic link нужно разобраться с типами путей, а именно знать, что есть абсолютный путь - путь, перечисляющий маршрут до папки/файла назначения от корня файловой системы, например ls /usr/bin - просмотр содержимого папки bin с помощью абсолютного пути; и знать, что есть относительный путь - путь, относительный текущей рабочей директории. например, чтобы попасть в /usr/bin из домашней папки пользователя, используя относительный путь, понадобится указать следующий маршрут: cd ../../usr/bin

    Теперь о самих софт-линках. Софт-линк - это, если вкратце, файл, который содержит в себе путь до файла на который он указывает.

    Теперь зная о путях и как работает symbolic link вы больше не будете путаться в этой теме! ;)
    Ответ написан
    Комментировать