Ответы пользователя по тегу Mikrotik
  • Какой MikroTik способен маршрутизировать 10G?

    https://wiki.mikrotik.com/wiki/Manual:CRS3xx_serie...
    Но годно ли оно для продакшна - есть большие сомнения. Ибо RouterOS v7 only (которая все еще бета).
    Ответ написан
    Комментировать
  • Почему регистрация проходит с внешним ip?

    Правила NAT проверьте на микротиках, возможно где-то трафик натится там, где не должен. Если между Asterisk и телефонами нет NAT, то попробуйте выключить на микротиках обработку sip в разделе IP -> Firewall -> Service Ports. Но если Asterisk использует sip-транки в Интернет, то это может повлиять на их работу.
    Ответ написан
    Комментировать
  • Как запустить выполнение действия в скрипте Mikrotik в зависимости от записи в логах?

    Если реально нужно перехватывать события в логах реалтайме, то можно придумать один способ, правда весьма извратный и расточительный. Нужно настроить отсылку логов Syslog на локальный адрес роутера, в правилах файрвола в цепочке создать правило, которое будет перехватывать нужное сообщение с логами (по полю Content) и создавать динамическую запись address-list, а в шедулере проверять наличие такой записи и по её появлении делать какие-то действия.
    Концепт-конфиг, которой отслеживает появление в логе отправленной из какого-либо скрипта или командной строки строчки "testtest" (правила файрвола должны быть до правила, разрешающего трафик established+related):
    # создаем интерфейс, на который можно повесить ip-адрес
    /interface bridge add name=logging-bridge
    # создаем локальный ip-адрес, на который будем слать Syslog
    /ip address add address=127.0.0.2 interface=logging-bridge
    # прописываем Syslog-сервер, на который будут отправляться логи
    /system logging action add name=remote2logwarch remote=127.0.0.2 target=remote
    # задаем отправку логов ни этот сервер, в topics прописываем нужные разделы вместо script
    /system logging add action=remote2logwarch topics=script
    # создаем правило, которое создает запись в address-list при наличии нужной подстроки в полученном syslog-пакете
    /ip firewall filter add action=add-src-to-address-list address-list=_logwatch_testtest address-list-timeout=1m chain=input content=testtest dst-address=127.0.0.2 dst-port=514 protocol=udp
    # создаем шедулер, который проверяет наличие нужной записи в address-list и выполняет какие-либо действия
    /system scheduler add interval=1s name=logwatch_testtest_1sec on-event=":if [ /ip firewall address-list find where dynamic && list=\"_logwatch_testtest\" ] do={ /ip firewall address-list remove [find dynamic && list=\"_logwatch_testtest\"]; /log info \"log entry catched!\" }\r\n" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=jan/01/2021 start-time=00:00:00
    Ответ написан
    Комментировать
  • Что Microsoft TMG умеет такого, что не может MikroTik?

    Mikrotik - это в первую очередь роутер, функционал прокси-сервера там тоже есть, но достаточно скудный. А TMG - это именно прокси+файрвол, серверное решение, c интеграцией в AD, отчетами, и т.д., ориентированный именно на разграничение доступа и безопасность.
    Только вот поздновато вы про TMG вспомнили.
    "9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG. Основная поддержка будет прекращена после 14 апреля 2015 года, а расширенная поддержка закончится 14 апреля 2020 года. Продукт не будет доступен для приобретения после 1 декабря 2012 года[2]. На сегодняшний день доступен только в составе аппаратных решений OEM партнёров Microsoft. "
    Ответ написан
    Комментировать
  • Mikrotik: пропадает пинг до шлюза по кабелю. В чем может быть причина?

    Сколько всего устройств в сети, с учетом WiFi-клиентов? У провайдеров может быть ограничение на количество mac-адресов, одновременно допустимых в L2 VPN. Поэтому всегда лучше на концах таких каналов держать какие-то свои маршрутизаторы, которые будут инкапсулировать передаваемый трафик. Хорошо бы уточнить у провайдера у провайдера этот момент.
    Если есть техническая возможность, попробуйте точки CAP использовать в этом качестве (завернув трафик локалки например в EoIP), хотя бы для теста, у них два проводных интерфейса, насколько я помню. Кстати CAPSMAN в зависимости от настроек тоже может инкапсулировать трафик WiFi-клиентов.
    Ответ написан
    3 комментария
  • Почему подсети не видят друг друга?

    В IP -> Route -> Rules добавьте перед тем правилом, которое на скриншоте, еще одно правило, в котором в dst-address будут адреса второй локальной сети, а в table - дефолтная таблица маршрутизации (main)
    Ответ написан
    Комментировать
  • Какой LTE модем идеально совместим с Mikrotik?

    Озадачивался недавно тем же самым вопросом, необходимо было заказать несколько десятков LTE-модемов для работы с роутерами Mikrotik. Huawei E3372h-320 точно так же отпал. Взяли на тест Alcatel IK41VE1, в течение месяца отработал стабильно, без проблем. Совместим с RouterOS начиная с 6.48. Из минусов - нет возможности нормально мониторить параметры сотовой сети (уровень сигнала отображается только в виде "палок" в веб-интерфейсе). Заявленный потребляемый ток - 400 ма, так что нагрузочной способности USB-портов должно хватать на любых устройствах.
    UPD. Как выяснилось, у модема есть скрытые настройки и диагностика, доступные по прямым ссылкам. Список тут - https://disk.yandex.ru/i/vOw5wsDEOSWNLg
    Ответ написан
    6 комментариев
  • Сколько PPPOE сеccий поддерживает MIKROTIK?

    Емкость таблицы mac-адресов и некоторые другие параметры коммутаторов Mikrotik можно посмотреть по ссылке https://help.mikrotik.com/docs/display/ROS/CRS3xx+...
    Для CRS354-48G-4S+2Q+ это значение составляет 32000.
    Ответ написан
    Комментировать
  • Виноват провайдер или моя настройка роута на Микротике?

    Вместо создания маршрута в 0.0.0.0/0 вручную, в настройках DHCP Client для порта ether2 в поле "Add Default Route" установите значение "Yes". Это сделает тоже самое более правильным образом.
    P.S. Но вы точно уверены, что провайдер выдает интернет по DHCP, а не по какому-либо протоколу инкапсуляции вроде PPPOE или L2TP? При ваших настройках пинг до 8.8.8.8 должен был бы проходить, если конечно нет чего-то экзотического в настройках маршрутизации или файрвола. Проверьте кстати, что порт ether2 не состоит в каком-либо бридже (меню Bridge, вкладка Ports).
    Ответ написан
  • Возможно ли подключить одинарный lc кабель в сдвоенный разъем?

    Двумя одинарными кабелями - можно, если соблюсти полярность. Одним - нет. По одному кабелю работать могут только одноволоконные WDM-модули.
    Ответ написан
    Комментировать
  • Как настроить белую подсеть на микротике?

    Самый простой способ сделать нужное - выделить отдельный интерфейс для внешней подсети и организовать маршрутизацию через нужный внешний канал с помощь правил маршрутизации по источнику. Можно и натить, но этот вариант на самом деле хуже.
    1. Выделяете порт или бридж для подсети /29, которую купили у провайдера
    2. Вешаете на него первый ip из диапазона (если подсеть 100.100.100.0/29, то это будет с указанием маски 100.100.100.1/29)
    3. Создаете в IP -> Route -> Routes дополнительный дефотный маршрут (в 0.0.0.0/0) через провайдера, у которого купили подсеть, с явным указанием имени таблицы маршрутизации (поле Routing Mark, в которое можно прописать wan2 или что-то вроде)
    4. Создаете правило маршрутизации в IP -> Route -> Rules, которое маршрутизирует трафик с интерфейса, которому назначена провайдерская подсеть, через эту таблицу маршрутизации. Т.е. в в правиле заполняете поля Interface (интерфейс, на который назначена подсеть провайдера), Action (оставляете дефолтное значение Lookup) и Table (туда вписываете wan2 или свое название таблицы маршрутизации из предыдущего пункта)
    5. Проверяете, что в IP -> Firewall -> Filter нужный трафик из/в подсеть разрешен, а в IP -> Firewall -> NAT нет правил ната, которые срабатывают для такого трафика.

    В случае, если хотите натить, то это можно сделать практически аналогичным образом. Также потребуется второй именованный дефолтный маршрут, и правило маршрутизации, только вместо интерфейса в нем нужно будет в Src. Address вписать вашу внешнюю подсеть.
    Ответ написан
  • Как пробросить порты Mikrotik?

    Обычно для такого требуется прописывать два правила (по крайней мере, при настройках, сгенерированных через Quick Set). Одно вы сделали (собственно проброс порта в IP -> Firewall -> NAT). Второе правило нужно прописать в IP -> Firewall -> Filter, в цепочке forward, оно должно разрешать трафик с внешнего интерфейса до внутреннего ip-адреса сервера по нужному порту, и стоять выше, чем созданное по умолчанию правило, запрещающее трафик с внешнего интерфейса на внутренние интрерфейсы или ip-адреса.
    Ответ написан
    6 комментариев
  • Почему Wi-Fi роутер выдаёт IP-адреса, перебивая MikroTik?

    Отключите на TP-Link функционал dhcp-сервера и переключите патчкорд из порта WAN в один из LAN-портов. Но также не исключена ситуация, что где-то еще есть неучтенная точка доступа или иное сетевое оборудование, раздающее ip-адреса. Отловить можно сниффером (по крайней мере, получится узнать его mac-адрес).
    Ответ написан
    1 комментарий
  • Как выпускать пользователей через второго провайдера mikrotik?

    Самый простейший вариант - использовать правила маршрутизации, задаваемые в ip -> route -> rules.
    Чуть подробнее:
    1. в ip -> routes создаете второй дефолтный шлюз с меткой (т.е. не пустым routing mark)
    2. в ip -> routes -> rules создаете правила, которые по заданному критерию (в вашем случае по Src. Address) отправляют трафик в таблицу с именем этой метки (т.е. нужно поставить Action = lookup, table = имя_метки)
    3. возможно потребуется создать правило SNAT / Masquerade в ip -> firewall -> nat в сторону второго внешнего интерфейса, если нужно выпустить в интернет "серую" подсеть, а также разрешающие правила в ip -> firewall -> filter rules
    Ответ написан
    Комментировать
  • Ограниченная скорость в 1Gb на Esxi на картах 10Gb, почему?

    У вас Hardware offload на порту брижда sfp-sfpplus1 по каким-то причинам не активировался, поэтому данные свичевались процессором коммутатора, а не аппаратно свич-чипом. Насколько я помню, HW. offload в коммутаторах Микротик работает только для первого созданного бриджа, а у вас порты SFP+ в bidge2, возможно причина в этом. Если ether1 используется только для управления, попробуйте вывести его из бриджа и использовать независимо, а порты SFP+ перевести в bridge1.
    Ответ написан
    2 комментария
  • Настройка сети Proxmox с дополнительным белым IP hetzner (mikrotik как gw)?

    Т.е. хостер сообщает вам mac-адрес для дополнительного ip, я верно понял? Если так, то просто прописываете этот mac-адрес в настройках виртуального сетевого интерфейса CHR, который подключен в бридж vmbr0, и все. Каких-либо специальных настроек на proxmox делать не требуется, все настройки ip-адресации и маршрутизации между vmbr0 и vmbr1 будут прописываться уже на CHR.
    Ответ написан
  • Возможно ли написать скрипт для принудительного отключения пользователя от WiFi?

    Это элементарно скриптуется. Вот такая команда добавит в шедулер скрипт, который будет запускаться каждые 20 секунд и удалять регистрации клиентов, неактивных более 150 секунд:
    /system scheduler add interval=20s name=unreg_inactive_wifi_clients on-event="/interface wireless registration-table remove  [ find  last-activity > 150 ]"  start-date=jun/01/1970 start-time=00:00:00
    Ответ написан
    Комментировать
  • Как осуществить проверку сайта на устойчивость к DDOS с помощью Mikrotik?

    Лучше бы описать задачу поподробнее. DDOS тоже бывает разных видов и мощности.
    Можно "забить" канал до сервера "мусорным" трафиком, так что для полезного просто не останется незанятой полосы. Такую проверку с помощью устройства на RouterOS устроить в принципе можно, но на практике будет проблемно, если сайт размещен у сколько-нибудь приличного хостера (каналы у хостера обычно весьма "толстые", и вполне могут стоять умные межсетвые экраны или какие-то системы Anti-DDOS, которые заблокируют такой трафик, так что до сервера он просто перестанет доходить).
    Можно создать нагрузку непосредственно на сайт, генерируя такое количество http-запросов, с обработкой которого сайт не справится. Здесь Микротик вряд ли поможет (конечно, есть команда /tool fetch и скрипты, но не думаю, что это подходящий инструмент для решения задачи).
    А еще DDOS - это по определению атака с множества ip-адресов, и с 1-2 микротиков её даже в частном случае полноценно не сымитировать.
    И вообще, если создать существенные помехи работе хостера, то теоретически можно поиметь неприятности, вплоть до разбирательств с компетентными органами. Ибо создание помех работе информационных систем - статья УК.
    Ответ написан