Ответы пользователя по тегу Mikrotik
  • Mikrotik, сколько клиентов максимально возможно подключить по WireGuard и не упереться в полку производительности скажем начиная с CCR1009?

    Если нужна максимальная пропускная способность + шифрование, то на микротиках нужно использовать IPSEC, т.к. для него поддерживается аппаратное ускорение шифрования, и производитель выкладывает официальные результаты тестов (поддержка есть не для всех моделей, но для CCR она имеется). Я не видел новостей, что для Wireguard реализовано то же самое. Простейший вариант - создать интерфейс IP tunnel с активированной опцией "IPSEC secret".
    Ответ написан
  • Как выгрузить из Mikrotik с помощью скрипта определенные поля в файл?

    execute "foreach a in=[/ip dhcp-server lease print as-value where !static] do={:put (\$a->\"address\" .\"\t\". \$a->\"mac-address\" .\"\t\". \$a->\"last-seen\" .\"\t\". \$a->\"host-name\")}" file=1dhcp

    Проверено в RouterOS 7.10.1, работает.
    Ответ написан
    Комментировать
  • Mikrotik Как блокировать соединения по ASN?

    Под linux можно получить список маршрутов следующим образом:
    whois -h whois.radb.net -- '-i origin AS47764' | grep route:
    Ответ написан
    1 комментарий
  • Как произвести быструю настройку через терминал?

    Настройте один раз как нужно через Quick Set с нуля, потом дайте в консоли команду
    /export compact terse
    Она выдаст конфиг устройства в виде списка команд. Если до этого роутер был с дефотным заводским конфигом, то в первом приближении это и будет то, что вам нужно.
    Ответ написан
    Комментировать
  • Какой MikroTik способен маршрутизировать 10G?

    https://wiki.mikrotik.com/wiki/Manual:CRS3xx_serie...
    Но годно ли оно для продакшна - есть большие сомнения. Ибо RouterOS v7 only (которая все еще бета).
    Ответ написан
    Комментировать
  • Почему регистрация проходит с внешним ip?

    Правила NAT проверьте на микротиках, возможно где-то трафик натится там, где не должен. Если между Asterisk и телефонами нет NAT, то попробуйте выключить на микротиках обработку sip в разделе IP -> Firewall -> Service Ports. Но если Asterisk использует sip-транки в Интернет, то это может повлиять на их работу.
    Ответ написан
    Комментировать
  • Как запустить выполнение действия в скрипте Mikrotik в зависимости от записи в логах?

    Если реально нужно перехватывать события в логах реалтайме, то можно придумать один способ, правда весьма извратный и расточительный. Нужно настроить отсылку логов Syslog на локальный адрес роутера, в правилах файрвола в цепочке создать правило, которое будет перехватывать нужное сообщение с логами (по полю Content) и создавать динамическую запись address-list, а в шедулере проверять наличие такой записи и по её появлении делать какие-то действия.
    Концепт-конфиг, которой отслеживает появление в логе отправленной из какого-либо скрипта или командной строки строчки "testtest" (правила файрвола должны быть до правила, разрешающего трафик established+related):
    # создаем интерфейс, на который можно повесить ip-адрес
    /interface bridge add name=logging-bridge
    # создаем локальный ip-адрес, на который будем слать Syslog
    /ip address add address=127.0.0.2 interface=logging-bridge
    # прописываем Syslog-сервер, на который будут отправляться логи
    /system logging action add name=remote2logwarch remote=127.0.0.2 target=remote
    # задаем отправку логов ни этот сервер, в topics прописываем нужные разделы вместо script
    /system logging add action=remote2logwarch topics=script
    # создаем правило, которое создает запись в address-list при наличии нужной подстроки в полученном syslog-пакете
    /ip firewall filter add action=add-src-to-address-list address-list=_logwatch_testtest address-list-timeout=1m chain=input content=testtest dst-address=127.0.0.2 dst-port=514 protocol=udp
    # создаем шедулер, который проверяет наличие нужной записи в address-list и выполняет какие-либо действия
    /system scheduler add interval=1s name=logwatch_testtest_1sec on-event=":if [ /ip firewall address-list find where dynamic && list=\"_logwatch_testtest\" ] do={ /ip firewall address-list remove [find dynamic && list=\"_logwatch_testtest\"]; /log info \"log entry catched!\" }\r\n" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=jan/01/2021 start-time=00:00:00
    Ответ написан
    Комментировать
  • Что Microsoft TMG умеет такого, что не может MikroTik?

    Mikrotik - это в первую очередь роутер, функционал прокси-сервера там тоже есть, но достаточно скудный. А TMG - это именно прокси+файрвол, серверное решение, c интеграцией в AD, отчетами, и т.д., ориентированный именно на разграничение доступа и безопасность.
    Только вот поздновато вы про TMG вспомнили.
    "9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG. Основная поддержка будет прекращена после 14 апреля 2015 года, а расширенная поддержка закончится 14 апреля 2020 года. Продукт не будет доступен для приобретения после 1 декабря 2012 года[2]. На сегодняшний день доступен только в составе аппаратных решений OEM партнёров Microsoft. "
    Ответ написан
    Комментировать
  • Mikrotik: пропадает пинг до шлюза по кабелю. В чем может быть причина?

    Сколько всего устройств в сети, с учетом WiFi-клиентов? У провайдеров может быть ограничение на количество mac-адресов, одновременно допустимых в L2 VPN. Поэтому всегда лучше на концах таких каналов держать какие-то свои маршрутизаторы, которые будут инкапсулировать передаваемый трафик. Хорошо бы уточнить у провайдера у провайдера этот момент.
    Если есть техническая возможность, попробуйте точки CAP использовать в этом качестве (завернув трафик локалки например в EoIP), хотя бы для теста, у них два проводных интерфейса, насколько я помню. Кстати CAPSMAN в зависимости от настроек тоже может инкапсулировать трафик WiFi-клиентов.
    Ответ написан
    3 комментария
  • Почему подсети не видят друг друга?

    В IP -> Route -> Rules добавьте перед тем правилом, которое на скриншоте, еще одно правило, в котором в dst-address будут адреса второй локальной сети, а в table - дефолтная таблица маршрутизации (main)
    Ответ написан
  • Какой LTE модем идеально совместим с Mikrotik?

    Озадачивался недавно тем же самым вопросом, необходимо было заказать несколько десятков LTE-модемов для работы с роутерами Mikrotik. Huawei E3372h-320 точно так же отпал. Взяли на тест Alcatel IK41VE1, в течение месяца отработал стабильно, без проблем. Совместим с RouterOS начиная с 6.48. Из минусов - нет возможности нормально мониторить параметры сотовой сети (уровень сигнала отображается только в виде "палок" в веб-интерфейсе). Заявленный потребляемый ток - 400 ма, так что нагрузочной способности USB-портов должно хватать на любых устройствах.
    UPD. Как выяснилось, у модема есть скрытые настройки и диагностика, доступные по прямым ссылкам. Список тут - https://disk.yandex.ru/i/vOw5wsDEOSWNLg
    Ответ написан
    6 комментариев
  • Сколько PPPOE сеccий поддерживает MIKROTIK?

    Емкость таблицы mac-адресов и некоторые другие параметры коммутаторов Mikrotik можно посмотреть по ссылке https://help.mikrotik.com/docs/display/ROS/CRS3xx+...
    Для CRS354-48G-4S+2Q+ это значение составляет 32000.
    Ответ написан
    Комментировать
  • Виноват провайдер или моя настройка роута на Микротике?

    Вместо создания маршрута в 0.0.0.0/0 вручную, в настройках DHCP Client для порта ether2 в поле "Add Default Route" установите значение "Yes". Это сделает тоже самое более правильным образом.
    P.S. Но вы точно уверены, что провайдер выдает интернет по DHCP, а не по какому-либо протоколу инкапсуляции вроде PPPOE или L2TP? При ваших настройках пинг до 8.8.8.8 должен был бы проходить, если конечно нет чего-то экзотического в настройках маршрутизации или файрвола. Проверьте кстати, что порт ether2 не состоит в каком-либо бридже (меню Bridge, вкладка Ports).
    Ответ написан
  • Возможно ли подключить одинарный lc кабель в сдвоенный разъем?

    Двумя одинарными кабелями - можно, если соблюсти полярность. Одним - нет. По одному кабелю работать могут только одноволоконные WDM-модули.
    Ответ написан
    Комментировать
  • Как настроить белую подсеть на микротике?

    Самый простой способ сделать нужное - выделить отдельный интерфейс для внешней подсети и организовать маршрутизацию через нужный внешний канал с помощь правил маршрутизации по источнику. Можно и натить, но этот вариант на самом деле хуже.
    1. Выделяете порт или бридж для подсети /29, которую купили у провайдера
    2. Вешаете на него первый ip из диапазона (если подсеть 100.100.100.0/29, то это будет с указанием маски 100.100.100.1/29)
    3. Создаете в IP -> Route -> Routes дополнительный дефотный маршрут (в 0.0.0.0/0) через провайдера, у которого купили подсеть, с явным указанием имени таблицы маршрутизации (поле Routing Mark, в которое можно прописать wan2 или что-то вроде)
    4. Создаете правило маршрутизации в IP -> Route -> Rules, которое маршрутизирует трафик с интерфейса, которому назначена провайдерская подсеть, через эту таблицу маршрутизации. Т.е. в в правиле заполняете поля Interface (интерфейс, на который назначена подсеть провайдера), Action (оставляете дефолтное значение Lookup) и Table (туда вписываете wan2 или свое название таблицы маршрутизации из предыдущего пункта)
    5. Проверяете, что в IP -> Firewall -> Filter нужный трафик из/в подсеть разрешен, а в IP -> Firewall -> NAT нет правил ната, которые срабатывают для такого трафика.

    В случае, если хотите натить, то это можно сделать практически аналогичным образом. Также потребуется второй именованный дефолтный маршрут, и правило маршрутизации, только вместо интерфейса в нем нужно будет в Src. Address вписать вашу внешнюю подсеть.
    Ответ написан
  • Как пробросить порты Mikrotik?

    Обычно для такого требуется прописывать два правила (по крайней мере, при настройках, сгенерированных через Quick Set). Одно вы сделали (собственно проброс порта в IP -> Firewall -> NAT). Второе правило нужно прописать в IP -> Firewall -> Filter, в цепочке forward, оно должно разрешать трафик с внешнего интерфейса до внутреннего ip-адреса сервера по нужному порту, и стоять выше, чем созданное по умолчанию правило, запрещающее трафик с внешнего интерфейса на внутренние интрерфейсы или ip-адреса.
    Ответ написан
    6 комментариев
  • Почему Wi-Fi роутер выдаёт IP-адреса, перебивая MikroTik?

    Отключите на TP-Link функционал dhcp-сервера и переключите патчкорд из порта WAN в один из LAN-портов. Но также не исключена ситуация, что где-то еще есть неучтенная точка доступа или иное сетевое оборудование, раздающее ip-адреса. Отловить можно сниффером (по крайней мере, получится узнать его mac-адрес).
    Ответ написан
    1 комментарий
  • Как выпускать пользователей через второго провайдера mikrotik?

    Самый простейший вариант - использовать правила маршрутизации, задаваемые в ip -> route -> rules.
    Чуть подробнее:
    1. в ip -> routes создаете второй дефолтный шлюз с меткой (т.е. не пустым routing mark)
    2. в ip -> routes -> rules создаете правила, которые по заданному критерию (в вашем случае по Src. Address) отправляют трафик в таблицу с именем этой метки (т.е. нужно поставить Action = lookup, table = имя_метки)
    3. возможно потребуется создать правило SNAT / Masquerade в ip -> firewall -> nat в сторону второго внешнего интерфейса, если нужно выпустить в интернет "серую" подсеть, а также разрешающие правила в ip -> firewall -> filter rules
    Ответ написан
    Комментировать