Ответы пользователя по тегу Mikrotik
  • Почему не работает новый стандарт AX (IEEE 802.11ax) на роутере Mikrotik?

    @TheBigBear
    СтарОдмины мы
    Установи новый пакет WifiWave2 с сайта mikrotik (Extra packages)
    Ответ написан
  • MikroTik, может ли отслеживать состояние постоянного тока от ИБП?

    @TheBigBear
    СтарОдмины мы
    Повторю свой очень старый ответ:
    Если ваша модель микротика поддерживает контроль питания, то вот мой скрипт в пару строк всего
    :global volt [/system health get voltage];
    :if ($volt < 131) do={
    /tool e-mail send to="admin@my-company.ru" body="$volt" subject="Power crash"
    }
    Пара пояснений
    Если у вас Микторик с резервированием питания - то psu1-voltage и psu2-voltage
    У меня микротики (RB450G и RB3011) питаются через блоки питания типа ББП-20 (12 вольт и аккум 7 АЧ - на деле выдает 13,7 на розетке и 12.8 на полностью заряженном аккуме) напряжения хватает, глюков нет
    Значение 131 = 13.1 В Почему именно это - в момент отключения питания напряжение на аккуме снижается до номинального плавно - вот и подобрал среднее
    body= - пишите что хотите
    почта настраивается в Tools - E-mail
    Шедулер запускает раз в час - Вы можете сделать хоть раз в минуту (микротики на аккумуляторе могут работать до двух дней, так что мне не принципиально)
    Проверку на то, что письмо уже отправлено и повторять не нужно делать не стал

    Возможность контроля питания проверяется просто
    System -> Health
    Если строчка Voltage есть - то вам повезло
    Дерзайте
    Ответ написан
    Комментировать
  • Как изолировать подсеть без VLAN на микротик?

    @TheBigBear
    СтарОдмины мы
    Если конфигурация из Quick Set а не с нуля написанная и файервол настроен почти по-дефолту, то
    Добавь в Interface List второй порт в LAN (сейчас скорей всего у тебя там LAN только бридж)
    Ответ написан
  • Как выдать белый айпи из ДЦ серверу, находящемуся в офисе?

    @TheBigBear
    СтарОдмины мы
    VPN-канал от офисного микротика до ДЦ (любой, я лично похожее реализовывал на L2TP)
    далее EoIP-туннель поверх VPN
    В офисе создать бридж, в который добавить EoIP-туннель и интерфейс, к которому подключен сервер - в ДЦ - в CHR создать бридж, в который добавить EoIP-туннель и интерфейс, смотрящий наружу (крайне рекомендую все настройки микротика делать включив SAFE MODE!!!!)
    Вот только самое лучшее - простой проброс нужных портов до сервера. Почему он не подходит?
    Ответ написан
    7 комментариев
  • Как правильно прописать маршрут на Mikrotik?

    @TheBigBear
    СтарОдмины мы
    Доступ по RDP?
    А не проще натравить клиентов на 10.10.10.1?
    И на Микротике прописать dstNAT с 10.10.10.1:3389 на 192.168.1.7:3389
    Это ещё хорошо и тем, что в случае необходимости перейти на другой сервер - достаточно поменять IP в dstnat

    Использование сети 192.168.1.0/24 крайне неразумно.
    А если дома у клиента стоит Кинетик (который по дефолту имеет домашнюю сеть 192.168.1.0/24) - и тогда прописанный маршрут будет сильно мешать
    Ответ написан
    6 комментариев
  • Доступ в web-интерфейс Zabbix по внешнему IP?

    @TheBigBear
    СтарОдмины мы
    не пробрасывайте никогда 80 порт, он может быть заблокирован или быть постоянно атакован ботами
    Оно Вам надо?
    Лучше так
    На микротике
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-port=10080 protocol=tcp to-addresses=192.168.20.127 to-ports=80

    Стучитесь на свой Zabbix
    http://мой_внешний_IP_адрес:10080
    обязательно указывайте http в начале, так как если не указать - по умолчанию сейчас все браузеры стучатся по https
    Ответ написан
  • Почему не работает rdp в локалке через микротик?

    @TheBigBear
    СтарОдмины мы
    С большой долей вероятности ваш Микротик является DHCP сервером?
    А RDP-сервер не в домене и на Windows?
    При включении он обнаружил себя в новой сети и автоматически пометил её как "общественную" и включил файервол.
    Надо зайти на сервер консольно и сменить тип сети
    Ответ написан
    Комментировать
  • Какой выбрать Микротик?

    @TheBigBear
    СтарОдмины мы
    Не озвучили бюджет
    Но в принципе на такую сеть RB3011UIAS-RM должно хватить.
    У меня парочка таких стоят на похожих сетях и не напрягаются
    Есть и USB для модема, и порт SFP для оптики, и 10 портов гигабитных для сегментации сети
    Ответ написан
  • Какой тип оборудования требуется для усиления WiFI сигнала?

    @TheBigBear
    СтарОдмины мы
    Прежде чем покупать какую-либо железку
    - Поставь на телефон программу WiFi Analyser и походи по квартире. Посмотри как каких каналах вещает твой WiFi и есть ли на этих каналах ещё кто. Часто для устойчивой работы достаточно сменить канал
    - В настройках WiFI у микротика какая страна стоит? Поставь Боливию, Бразилию или Новую Зеландию (на свой страх и ответственность) Это снимет ограничение в мощности передатчика в 200 mW
    - Попробуй сдвинуть или перенести роутер левей-правей-выше-ниже
    - почитай про технологии MESH и CAPsMAN и уже из этого выбирай доп оборудование. (MESH проще и позволяет пользовать других производителей, для CAPsMAN нужен ещё один Микротик) В схеме не понял - в крестиках это только розетки или ещё протянут Ethernet-кабель от роутера? Если да, то не понял как он подключен к именно твоей модели Микротика.
    Ответ написан
    Комментировать
  • Где найти пароль от микротика?

    @TheBigBear
    СтарОдмины мы
    "Зашел через винбокс в микротик hap ac2, пара логин/пароль заполнилась автоматически"
    посмотри внизу в винбоксе во вкладке Managed - обычно там с логином-паролем сохраняется
    "и переключился на второй микрот-свич"
    как переключился? ввёл новый IP или всё-таки выбрал из сохранённого списка?

    Поищи на компе файл Addresses.cdb
    Обычно AppData\Roaming\Mikrotik или в сохранённых где-нибудь
    там пароли в незашифрованном виде
    Ответ написан
  • Как узнать с какого внутреннего ip адреса состоялась сессия с внешнем IP адресом в Mikrotik-е?

    @TheBigBear
    СтарОдмины мы
    /ip firewall filter
    add action=accept chain=forward dst-address=117.223.41.73 log=yes log-prefix=alarm

    log-prefix обзовите как угодно чтобы в логах Микротика отлавливать
    Правило поставить ВЫШЕ запрещающих

    а ещё можно добавить
    /system logging
    add action=disk prefix=alarm topics=firewall,info

    и лог будет отдельно в файл записываться
    Ответ написан
    1 комментарий
  • Как сделать, чтобы в сетевом пути указывался не айпи адрес, а имя сервера или пк?

    @TheBigBear
    СтарОдмины мы
    Если IP не меняются - достаточно прописать в Static DNS микротика в филиале

    /ip dns static
    add address=192.168.1.3 name=serv1

    Если компы в офисе и филиале в одном домене вообще никаких проблем - в филиале в настройках DHCP указать использовать первичным DNS офиса
    Ответ написан
  • Почему не выдается IP устройствам по Wi-Fi?

    @TheBigBear
    СтарОдмины мы
    Дай угадаю:
    в основном проблема с айфонами?
    Lease time на DHCP-сервере стоит по умолчанию 10 минут?
    Увеличь хотя бы до 2-3 часов
    У себя (микротик+UniFi) я похожую проблему решил именно так несколько лет назад (я поставил 8 часов - как раз рабочий день)
    Ответ написан
    1 комментарий
  • Mikrotik. Изоляция портов?

    @TheBigBear
    СтарОдмины мы
    Создай новый bridge, например bridge2
    Загони в него Eth1 и Eth5
    Всё
    Внутри bridge трафик гоняется независимо от IP адресации
    Фактически получишь два независимых коммутатора, даже без сброса конфигурации
    Ответ написан
    5 комментариев
  • Как можно создавать или менять конфигурацию RouterOS не подключаясь к роутеру(локально)?

    @TheBigBear
    СтарОдмины мы
    В Winbox заходи на роутер
    открывай New terminal
    Вводи команду export file=myconf.rsc (ну или как сам обзовёшь)
    открывай Files
    найди файл с названием myconf.rsc и перетащи себе на рабочий стол
    Это обычный текстовый файл, который можно редактировать простом блокнотом имеющий простые и почти понятные команды
    Можешь даже временно расширение .rsc заменить на .txt
    И потом хоть обредактируйся по самое нехочу
    Ну и в обратку потом перетащи файл в нужный микротик в Files
    сбрасывай микротик в Reset без восстановления конвигурации
    открывай New terminal
    import file=myconf.rsc
    Всё
    Ответ написан
  • Как получить доступ в другую локальную сеть с серым ip?

    @TheBigBear
    СтарОдмины мы
    Зачем Вы сами себе усложняете жизнь?
    Я так понимаю - видеонаблюдение еще не установлено?
    Возьмите регистратор или камеры с поддержкой P2P и не заморачивайтесь
    Рекомендую IMOU - есть приложение на телефон, на комп
    Ставите приложение, регистрируйтесь, сканируете QR-код с коробки регистратора или камеры и пользуйтесь
    Причем по фигу какой интернет, какой IP (белый или серый) - 4G или местечковый провайдер - картинку всё равно получите
    Хотите поизвращаться с имеющейся техникой - так просто смените внутреннюю подсеть у микротика на другую (и не понимаю - нафига его было по openwrt перепрошивать - RouterOS - вещь!)
    да и PPTP сейчас пользовать... уж лучше L2TP или OpenVPN
    Ответ написан
  • Случайно удалился bridge1. Что делать?

    @TheBigBear
    СтарОдмины мы
    Во вкладке Neighbors ты его видишь?
    попробуй подключиться по МАС адресу
    Воткни кабель от компа в Eth1 и так же посмотри вкладку Neighbors

    Ну на крайний случай резет в дефолт и в следующий раз не забывай при работе в WinBox включать режим Safe Mode
    Ответ написан
  • Настройка l2tp на микротике, и как откуда что взять?

    @TheBigBear
    СтарОдмины мы
    По первому вопросу
    У клиентов-микротиков вовсе не обязательно иметь постоянный внешний IP адрес
    Прописывать у них нужно ВНЕШНИЙ IP микротика назначенного L2TP сервером. А ему по-барабану - есть ли у тех внешний IP или нет. Главное - не забыть открыть UDP-порты в файерволе (500,1701,4500)
    IP который даётся при подключении Микротику к L2TP серверу ДЕЙСТВИТЕЛЬНО берётся из головы сисадмина
    Просто есть правила которых стараются придерживаться
    Т.е. принимается, что диапазон (Pool) например 10.10.10.1-10.10.10.200 или 10.12.1.1-10.12.1.200. или 172.16.0.1-172.16.0.200 будет назначаться подключаемым устройствам
    По второму
    Будешь прописывать Secret (пользователей) - можно просто указать этот Pool адресов и автоматически назначать - но лучше писать ручками
    local address - 10.12.1.1 (адрес сервера L2tp)
    remote address - 10.12.1.2 (адрес клиента l2tp)
    и у каждого свой. Легче маршруты прописывать
    И крайне желательно, чтобы подсети не совпадали
    например
    центральный офис - 192.168.0.0/24
    филиал1 - 192.168.1.0/24
    филиал2 - 192.168.2.0/24

    А сами маршруты можно отдать на откуп OSPF - справится
    Или ручками прописать - ничего сложного если их немного
    По третьему
    подключение будет постоянное если не настроишь иное (таймаут, лимит, расписание)
    причем как на стороне сервера, так и клиента (желательно - тогда он не будет "доставать" сервер попытками подключения когда тот отрубит соединение)
    Ответ написан
    Комментировать
  • Как запретить атаки с публичной сети?

    @TheBigBear
    СтарОдмины мы
    Если Вы из России, то просто не имеете права просто так раздавать интернет всем желающим
    (97-ФЗ от 05.10.2014 года, ПП № 758 от 31 июля 2014 г., № 801 от 12 августа 2014 г.)
    Рекомендую посмотреть тут
    Настройка Микротика тут
    Во всяком случае, это либо отпугнёт хацкера, либо даст вам смотреть логи, а главное, в случае чего избежать штрафа
    Ответ написан
    Комментировать
  • Как посмотреть, через какой интерфейс произошло VPN соединение на Микротике?

    @TheBigBear Автор вопроса
    СтарОдмины мы
    Сам задал, сам отвечу
    Спасибо добрым людям с другого форума

    В PPP-профиль On Up надо скрипт добавить, который в лог будет писать:
    /log info "$"user", $"called-id""
    Ответ написан
    Комментировать