Задать вопрос
Ответы пользователя по тегу MikroTik
  • Из 6 сайтов блокируются только 2 сайта?

    @dronmaxman
    VoIP Administrator
    Advanced-> Dst.Address List: gpt


    Ты не можеш заблокировать ресурс который находиться за CDN используя подход блокировки по dst.address.

    В твоем случае единственный способ это блокировать по DNS. Чтобы люди не обходили DNS блокировки так же надо заблокировать DOH.

    ## Включаем DNS на микротике
    /ip dns
    set allow-remote-requests=yes
    
    
    ## Создаем записи для gpt домена
    /ip dns static
    add name="openai.com" address=127.0.0.1
    add name="chat.openai.com" address=127.0.0.1
    add name="platform.openai.com" address=127.0.0.1
    add name="auth0.openai.com" address=127.0.0.1
    add name="cdn.openai.com" address=127.0.0.1
    add name="api.openai.com" address=127.0.0.1
    add name="status.openai.com" address=127.0.0.1
    add name="auth.openai.com" address=127.0.0.1
    add name="help.openai.com" address=127.0.0.1
    add name="chatgpt.com" address=127.0.0.1
    add name="sora.com" address=127.0.0.1
    add name="android.chat.openai.com" address=127.0.0.1
    add name="operator.chatgpt.com" address=127.0.0.1
    add name="ab.chatgpt.com" address=127.0.0.1
    
    
    ## Перехватываем запросы DNS от клиентов
    /ip firewall nat
    add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53 comment="Redirect all DNS to MikroTik"
    add chain=dstnat protocol=tcp dst-port=53 action=redirect to-ports=53 comment="Redirect TCP DNS to MikroTik"
    
    
    ## Создаем записи для популярных DOH доменов
    /ip dns static
    add name="dns.google" address=127.0.0.1
    add name="cloudflare-dns.com" address=127.0.0.1
    add name="mozilla.cloudflare-dns.com" address=127.0.0.1
    add name="dns.quad9.net" address=127.0.0.1
    add name="doh.opendns.com" address=127.0.0.1
    add name="dns.adguard.com" address=127.0.0.1
    
    ## Создаем адрес лист с популярными DOH доменами
    /ip firewall address-list
    add list=doh-block address=1.1.1.1 comment="Cloudflare"
    add list=doh-block address=1.0.0.1
    add list=doh-block address=8.8.8.8 comment="Google"
    add list=doh-block address=8.8.4.4
    add list=doh-block address=9.9.9.9 comment="Quad9"
    add list=doh-block address=149.112.112.112
    add list=doh-block address=94.140.14.14 comment="AdGuard"
    add list=doh-block address=94.140.15.15
    
    ## Блокируем DOH по dst address
    /ip firewall filter
    add action=drop chain=forward dst-address-list=doh-block protocol=tcp dst-port=443 comment="Block DoH Providers"
    
    ## Блокируем DOH по SNI, не идеально но пуcть будет
    /ip firewall layer7-protocol
    add name=doh-https pattern="(dns\\.google|cloudflare-dns\\.com|dns\\.adguard\\.com|doh\\.opendns\\.com)"
    
    /ip firewall filter
    add action=drop chain=forward layer7-protocol=doh-https protocol=tcp dst-port=443 comment="Drop DoH via L7"
    Ответ написан
    3 комментария
  • Как пробросить vlan через 2 mikrotik из одной lan в другую на отдельный порт?

    @dronmaxman
    VoIP Administrator
    ### Настройка MikroTik1
    
    # Создание нового моста
    /interface bridge
    add name=bridge1 protocol-mode=none
    
    # Добавление портов в новый мост
    /interface bridge port
    add bridge=bridge1 interface=ether1 # порт интернет
    add bridge=bridge1 interface=ether2 # порт ПК
    
    # Настройка VLAN
    /interface bridge vlan
    add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2
    
    # Активация VLAN фильтрации
    /interface bridge
    set bridge1 vlan-filtering=yes
    
    # Установка PVID для access порта
    /interface bridge port
    set [find interface=ether2] pvid=100
    
    ### Настройка MikroTik2
    
    # Создание нового моста
    /interface bridge
    add name=bridge1 protocol-mode=none
    
    # Добавление портов в новый мост
    /interface bridge port
    add bridge=bridge1 interface=ether1 # порт интернет
    add bridge=bridge1 interface=ether2 # порт ПК
    
    # Настройка VLAN
    /interface bridge vlan
    add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2
    
    # Активация VLAN фильтрации
    /interface bridge
    set bridge1 vlan-filtering=yes
    
    # Установка PVID для access порта
    /interface bridge port
    set [find interface=ether2] pvid=100
    
    
    Так же надо перенести IP адрес интернет подключения с ether1 на bridge1 и добавить bridge1 
    в интерфейс список WAN. В моем примере vlan 100, у тебя должен быть другой. 
    В процессе у тебя может отвалится интернет, так что буть акуратнее и используй safe mode.
    Ответ написан
  • Как обновить ПО mikrotik hap ax3?

    @dronmaxman
    VoIP Administrator
    out of memory - не хватает места, причины
    - установлены доп пакеты
    - что-то левое лежит на флешке
    - флешка умирает
    - у некоторых встречается такой баг на 7 прошивке.

    Решение
    - сбросить к заводским и попробовать еще раз обновить
    - обновить через Netinstall
    Ответ написан
    Комментировать
  • Как авторизовывать сотрудников компании на wifi?

    @dronmaxman
    VoIP Administrator
    Если есть домен, то EAP и Radius.

    Если нет домен и не хочется поднимать радиус, то на микроте можна для каждого указать свой уникальный PSK для доступа к wifi.
    /interface wireless access-list
    add comment=Jayden mac-address=5C:1D:D9:C3:C6:15 private-pre-shared-key=supersecretpasswordexample vlan-mode=no-tag
    Ответ написан
    8 комментариев
  • Как ограничить доступа во внешнюю сеть на Mikrotik?

    @dronmaxman
    VoIP Administrator
    есть в локалке некоторое количество айпишников

    Если DHCP то добавить в резервацию что бы адреса не менялись.

    Создаем address-list из потерпевших
    /ip firewall address-list
    add list=allowed_ips address=192.168.1.100
    add list=allowed_ips address=192.168.1.101


    Добавляем правила в firewall
    # Allow access to 1.1.1.1 for addresses in the 'allowed_ips' list
    /ip firewall filter
    add action=accept chain=forward src-address-list=allowed_ips dst-address=1.1.1.1 protocol=tcp comment="Allow access to 1.1.1.1"
    
    # Block all other internet access for addresses in the 'allowed_ips' list
    add action=drop chain=forward src-address-list=allowed_ips comment="Block all other access"
    Ответ написан
    Комментировать
  • Как настроить macros в zabbix-е?

    @dronmaxman
    VoIP Administrator
    В новых шаблонах для zabbix уже реализована фильтрация в discovery ruls через макросы. Заходим в нужный discovery ruls -> filter и смотрим какие фильтры используются, можем так же выполнить Test этого rule что бы посмотреть какие значения какой переменной соответствуют.

    Например на уровне хоста можно переопределить макрос (НЕ НА УРОВНЕ ТЕМПЛЕЙТА!!!!)
    {$NET.IF.IFNAME.MATCHES} = ether1

    если надо два интерфейсайса
    {$NET.IF.IFNAME.MATCHES} = ether1|ether2
    Ответ написан
    Комментировать
  • Как реализовать работающий скрипт на RouterOS 7.15.3?

    @dronmaxman
    VoIP Administrator
    :local msg "192.168.1.123 parsing packet failed, possible cause: wrong password"
    :local ipAddress [:pick $msg 0 [:find $msg " parsing packet failed"]]
    :log info "IP Address: $ipAddress"
    Ответ написан
    1 комментарий
  • Объясните, можно ли выпустить еще сертификаты на подобии CA или продлить существующий на MikroTik для SSTP?

    @dronmaxman
    VoIP Administrator
    дата действия CA 365 дней

    знатно промахнулся) лет на 20 стоило выпускать. Как только он заканчивается, то все сертификаты которые он подписал стают не валидны.

    По хорошему надо все переделать с нуля.

    Если нужен как-то промежуточный этап, то можна сделать кросс подпись. Выпускаем новый сертификат CA со сроком жизни 20 лет, и выпустить новый сертификат для sstp но подписать его зразу двумя сертификатами CA - это кросс подпись. Это даст тебе время обновить CA на клиентах, т.к. этому сертификату sstp будут доверять клиенты и с новим и со старым CA.
    Ответ написан
  • Как получить статистику по WireGuard соединениям на Mikrotik?

    @dronmaxman
    VoIP Administrator
    - Как заставить Mikrotik выдавать значения в Byte?

    никак
    - Как получить аналогичную статистику по SNMP? (я не нашел)

    SNMP нет, через API (https://help.mikrotik.com/docs/display/ROS/REST+API)

    #!/bin/bash
    
    ROUTER_IP="1.1.1.1"
    USERNAME="admin"
    PASSWORD="admin"
    
    RESOURCE=$(curl -k -u $USERNAME:$PASSWORD \
                http://${ROUTER_IP}/rest/interface/wireguard/peers \
                | jq '.[] | { "allowed-address": .["allowed-address"], "tx": .tx, "rx": .rx }')
    echo $RESOURCE

    66688176b4a18637577555.jpeg
    Ответ написан
    7 комментариев
  • Реализация NAT в сети с mikrotik crs326?

    @dronmaxman
    VoIP Administrator
    Не такой уж он и слабый для NAT, большенство домашних роутеров имеют схожие характеристики. С минимальным набором правил с NAT он справиться, а вот на VPN умрет. Хотя все таки это просчет, банально hap ac2 будет в разы лучше в качестве NAT, при это он стоит копейки. Я бы все таки продавил доп закупку.

    Использовать виртуальный роутер это как стрелять себе в ногу, он обязательно в какой-то момент не запустится и удаленно этот вопрос решить не получиться.

    Если сотрудников не много (до20). Как бы я сделал
    Настроил бы на нем NAT с минимальными правилами и fasttrack, а если мне нужен VPN то поднял бы виртуалку и пробросил на нее нужные порты.
    Ответ написан
    8 комментариев
  • Можно ли настроить NAT в пределах одной сети?

    @dronmaxman
    VoIP Administrator
    /ip firewall mangle
    add chain=prerouting comment="NAT Loopback detect" dst-address=192.168.0.1 dst-port=3389 protocol=tcp in-interface-list=LAN connection-state=new action=mark-packet new-packet-mark=nat-loopback passthrough=yes
    
    /ip firewall nat
    add chain=srcnat packet-mark=nat-loopback action=masquerade comment="NAT Loopback replace address" 
    
    /ip firewall nat
    add chain=dstnat dst-address=192.168.0.1 protocol=tcp dst-port=3389 action=dst-nat to-addresses=192.168.0.10 to-port=3389
    Ответ написан
    1 комментарий
  • Из-за роутера (mikrotik) не открываются сайты, как исправить?

    @dronmaxman
    VoIP Administrator
    В теории твой роутер могли взломать, но это легко проверить если подключить пк к интернет на прямую минуя роутер. Скорее всего провайдер модифицирует начало tls сессии что бы исключить tls 1.3. Возможно провайдер так блокирует ресурсы которые попали в не милость.
    Ответ написан
    Комментировать
  • Как скрыть в Winbox Neighbors для всех, кроме management интерфейса?

    @dronmaxman
    VoIP Administrator
    ip neighbor
    Нажимаем Discovery Setting и настраиваем на свой вкус.
    Ответ написан
    5 комментариев
  • Как настроить, чтобы изнутри сети открывались внутренние web-сайты?

    @dronmaxman
    VoIP Administrator
    Когда я изнутри сети хочу получить доступ по имени этих веб-ресурсов, то у меня открывается веб-морда микрота.

    Потому что DNS на него указывает. Клиент получает белый адрес ресурса, пытает зайти на белый адрес микротика из локальной сети, а по умолчанию микротик так не делает.

    Добавлял статические записи в микрот, указывал основным DNS в микроте локальные DNS-сервера, ему пофиг.

    Добавляешь статические записи для всех доменов, что бы указывали на внутренний адрес прокси 192.168.1.5. Меняешь настройки DHCP что бы клиенты в локальной сети получали в качестве DNS адрес микротика 192.168.1.1 и только его.
    Ответ написан
  • Как присоединить 4 филиала по Mikrotik GRE?

    @dronmaxman
    VoIP Administrator
    Максим, Так дело не пойдет, mikrotik не умеет GRE multipoint по этому каждый тунель должен иметь свою сеть.

    https://help.mikrotik.com/docs/display/ROS/GRE
    Обарати внимание, что для туннеля используется /30 сеть.
    Ответ написан
  • Как получить доступ ко второму роутеру при подключении по vpn к первому?

    @dronmaxman
    VoIP Administrator
    Маршруты
    1. У VPN клиента должен быть маршрут в сеть 172.16.0.0/21, или дефол в VPN завернут
    2. На микротик 1 должен быть маршрут в сеть 172.16.0.0/21
    3. На микротик 2 должен быть маршрут в сеть 10.123.0.10-100 или на микротик 1 МАСКАРАД для сети 10.123.0.10-100 в сторону 172.16.0.0/21
    Ответ написан
    Комментировать
  • Почему не работает RDP после переустановки?

    @dronmaxman
    VoIP Administrator
    Если в микротик ничего не менялось, то скорее всего ограничение в firewall на стороне windows 10.
    Ответ написан
    2 комментария
  • Как выдать статику контейнеру или вм в proxmox?

    @dronmaxman
    VoIP Administrator
    Deman1, Как уже написал Артем Кайбагоров, надо:

    1. Cоздать еще один бридж (bridge-WAN)
    2. Добавить ether1 в этот бридж
    /interface/bridge/port/ add bridge=bridge-wan interface=ether1 pvid=10
    /interface/bridge/vlan/ add bridge=bridge-wan tagged=ether3 untagged=ether1 vlan-ids=10
    3. Переназначить с ether1 ip адрес на bridge-WAN
    4. Включить фильтрацию
    /interface/bridge/set bridge-wan vlan-filtering=yes

    В таком случае трафик входящий в 1 порт будет тегом отдаваться на 3ем порту.
    Потом в настройках proxmox -> ВМ -> network interface, указываем использовать 10 vlan.
    64fb18d70785d545715934.png
    Ответ написан
    3 комментария
  • Зачем при настройке IPsec IKEv2 в Mikrotik требуется задать IP Pool?

    @dronmaxman
    VoIP Administrator
    IPsec может работать в туннельном и транспортном режиме, ты включил туннельный режим. При использовании gre не надо отдельно настраивать IPsec , достаточно в gre поставить галочку IPsec и задать пароль, правила IPsec создадутся динамически.
    Ответ написан
    Комментировать