Задать вопрос
hempy80

Dmitry

Внесистемный администратор
Ответы пользователя по тегу Mikrotik

  • Как заблокировать сервера Fortnite на Микротике?

    hempy80
    @hempy80
    Внесистемный администратор
    Грустно, когда на системного администратора возлагают задачи по поддержанию трудовой дисциплины.
    А если по делу, проверьте, что вы блокируйте именно forward, а также проверьте, чтобы запрещающие правила были выше разрешающих. Надеюсь, вы понимаете, что любой впн сведет ваш усилия на нет?
    Ответ написан
    4 комментария
    4 комментария

  • Как в mikrotik вывести список файлов созданных в определенный день, или совпадающий с частью имени?

    hempy80
    @hempy80
    Внесистемный администратор
    /file print where creation-time~"feb/26/2019"
    Можно так
    /file print where type =file creation-time ~"2019"

    = Строгое соответствие шаблону/регулярке
    ~ вхождение шаблона/регулярки
    Ответ написан
    2 комментария
    2 комментария

  • Как настроить DMZ?

    hempy80
    @hempy80
    Внесистемный администратор
    Полагаю, что вы имеете в виду что-то другое, точно не DMZ. Вам нужно, чтобы zte провайдера выполнял лишь роль каналообразующего оборудования, т.е только модема, а микротик будет выполнять функции шлюза с двумя интернет-подключениями.? Если это так, вам необходимо перевести zte в режим бриджа (моста), а м-тик настроить соответственно. По режиму моста можно почитать тут 4pda.ru/forum/lofiversion/index.php?t848460.html впрочем, лучше обратиться ТП провайдера. а про использование LTE модема, как второго канала есть много статей, в зависимости от сценария. (Балансировка, параллельная работа или резервирование основного канала)
    Ответ написан
    Комментировать
    Комментировать

  • Как правильно настроить Маскарадинг в Mikrotik?

    hempy80
    @hempy80
    Внесистемный администратор
    Нужно использовать не маскарад, а правило snat,
    Задачу можно разделить на три этапа
    Этап 1 разделить на пять групп устанавливаемые соединения по критерию source адрес (У вас указано только четыре внешних адреса, поэтому пример будет для четырёх, также сеть 172.19.123.0/24 не может быть приватной, но хозяин-барин и в примере оставлено как указано у вас)
    Этап 2 Промаркировать соединение из каждой группы соответствующей меткой
    Этап 3 пропустить трафик групп через соответствующие им правила source nat согласно присвоенной метки

    /ip firewall mangle
    add action=mark-connection chain=prerouting new-connection-mark=1st_conn \
    per-connection-classifier=src-address:4/0 src-address=172.19.123.0/24
    add action=mark-connection chain=prerouting new-connection-mark=2st_conn \
    per-connection-classifier=src-address:4/1 src-address=172.19.123.0/24
    add action=mark-connection chain=prerouting new-connection-mark=3st_conn \
    per-connection-classifier=src-address:4/2 src-address=172.19.123.0/24
    add action=mark-connection chain=prerouting new-connection-mark=4st_conn \
    per-connection-classifier=src-address:4/3 src-address=172.19.123.0/24

    /ip firewall nat
    add action=src-nat chain=srcnat connection-mark=1st_conn out-interface=ether1 \
    to-addresses=192.168.8.2
    add action=src-nat chain=srcnat connection-mark=2st_conn out-interface=ether1 \
    to-addresses=192.168.8.3
    add action=src-nat chain=srcnat connection-mark=3st_conn out-interface=ether1 \
    to-addresses=192.168.8.4
    add action=src-nat chain=srcnat connection-mark=5st_conn out-interface=ether1 \
    to-addresses=192.168.8.5

    других правил маскарада выше этих быть не должно
    Ответ написан
    1 комментарий
    1 комментарий

  • VPN между двумя офисами с помощью Strongswan, как реализовать?

    hempy80
    @hempy80
    Внесистемный администратор
    С чем связана необходимость построения тоннеля через промежуточный сервер? У вас же белые адреса на всех концах. Проще, безопаснее и надежнее сделать "каждый с каждым". Если без промежуточного сервера никак не обойтись, то лучше GRE или IPIP тоннели + IPSec (в транспортном режиме) - появятся тоннельные интерфейсы, а следовательно возможность настраивать маршрутизацию обычным способом
    Ответ написан
    Комментировать
    Комментировать

  • Как заблокировать трафик из внутренней сети?

    hempy80
    @hempy80
    Внесистемный администратор
    Эмм, а интернет у ваших пользователей работает?
    Ответ написан
    2 комментария
    2 комментария

  • Как завернуть http-трафика в туннель gre?

    hempy80
    @hempy80
    Внесистемный администратор
    Правильнее ставить routing mark и на её основании принимать решение о маршрутизации

    Этих правил может быть несколько, по вашему вкусу
    /ip firewall mangle
    add action=mark-routing chain=prerouting dst-port=80 in-interface=bridge-lan new-routing-mark=to-gre passthrough=no protocol=tcp

    Строчка маршрута, при падении канала пакеты пойдут в шлюз по умолчанию
    /ip route
    add check-gateway=ping distance=1 gateway=10.10.10.1 routing-mark=to-gre

    10.10.10.1 - адрес gre-интерфейса удалённого сервера
    Ответ написан
    2 комментария
    2 комментария

  • Можно ли на микротик настроить локальную сеть отдельно дл 2-3 пользователей?

    hempy80
    @hempy80
    Внесистемный администратор
    Как сейчас физически подключены все пользователи? Напрямую в м-тик или есть промежуточный коммутатор? Если напрямую, достаточно сделать два бриджа (скорее всего, 1 вас уже есть) В один добавить плрты избранных пользователей, во второй порты остальных. Назначить адреса на бриджи, настроить правила фильтрации трафика между подсетями, настроить dhcp-сервер.
    Ответ написан
    Комментировать
    Комментировать

  • Openvpn не работает нат почему?

    hempy80
    @hempy80
    Внесистемный администратор
    Могу предположить , что неправильно настроена маршрутизация до заблокированных ресурсов из локальной сети - проверьте трассировкой. И ещё, мне кажется, было бы правильнее настроить nat только на vps, и на vps указать обратные маршруты в локалку через openvpn туннель.
    Ответ написан
    4 комментария
    4 комментария

  • Как настроить VPN на mikrotik чтобы был доступ в удаленную сеть, когда он сам не является основным шлюзом?

    hempy80
    @hempy80
    Внесистемный администратор
    На новом основном шлюзе добавить правило в MANGLE которое будет маркировать (mark-routing) трафик до удаленной сети, в таблицу маршрутизации добавить 0.0.0.0-маршрут для маркированного трафика, в качестве шлюза указать микротик, метрика должна быть меньше основного шлюза по умолчанию.
    Ответ написан
    Комментировать
    Комментировать