Задать вопрос
  • Как завернуть весь трафик определенных пользователей c микротик на внешний прокси?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Никита Решетняк Для простоты , используйте adress list, что бы не писать кучу правил в firewall.
    Там укажите нужные ip, которые вам надо завернуть

    5cdfec440ea21097379189.jpeg

    у меня тут banlist виден, но сути этого не меняет. Я одним правилом блокирую ботов из интернета.

    Далее вам надо перенаправить все запросы на порт 80 на адрес и порт proxy сервера
    это называется прозрачное проксирование

    /ip firewall nat add src-address-list=squid_list dst-port=80 action=redirect to-ports=3128 to-addresses=IP_сервера_SQUID

    Вроде как все.

    P.S. правило , должно быть выше маскарада
    Ответ написан
    Комментировать
  • Связь cisco микротик транком.. Как правильно?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Вот тут я уже отвечал по настройки vlan, посмотрите его

    Vlan, VOIP, grandstrem, mikrotik. Как же изолировать трафик?
    Ответ написан
    Комментировать
  • Vlan внутри настроенной сети Cisco с dhcp?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Chaynik_zakipel Я бы конечно рекомендовал вам настроить все и дальше на Cisco, но если такой вариации то:

    1) вам в mikrotik , надо убрать два интерфейса из bridge

    5cdfe9441effc034082811.jpeg

    2) Прописать ip на нужных интерфейсах

    5cdfe9889519f357940130.jpeg

    Настроить DHCP для раздачи на этих интерфейсах .

    Вам так же надо будет прописывать роутинг в ту сеть (где cisco) для этого нужен будет доступ к ней или эти две сетки будут за NAT.
    Ответ написан
    Комментировать
  • Как настроить Микротик чтоб работал интернет + локальная сеть одновременно?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    в цепочки forward , разрешаете для нужного ip выход через WAN

    5cdfe27d820f1547917812.jpeg

    в слд цепочку после этого , блокируйте всю сеть 101.x.x.x

    В итоге при запросе выхода в интернет, с этого ip он попадет на правило разрешающие, все остальные попадут в запрещающие.
    Ответ написан
  • Mikrotik, какой протокол использовать для объединения сетей через прямое соединение Ethernet?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Как правильно организовать защищенный канал между двумя локальными сетями.
    Каждая из сетей управляется роутером Mikrotik, сети соединены между собой через витую пару.
    Какой протокол, доступный в Mikrotik лучше использовать:


    Вариантов как это сделать много.
    В вашем варианте между сетями поднимите ipip , он уже имеет ipsec и настраивается очень просто.

    а так вообще для сетей есть 802.11x, но на тиках он реализован только для wifi.
    Каждое устройство в сети, будет передавать шифрованные данные
    Ответ написан
    Комментировать
  • Какой связкой на MIKROTIK лучше всего объединять филиалы через интернет на главный белый IP?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Kenny00
    Мы используем связку с ipip там где есть ip, там где их нет l2tp.
    При бюджете , это все можно сделать отказоустойчивым до определенных приделов.
    Что бы не было одной точки отказа.

    5cdf49257255c290836982.jpeg

    Где то были тесты по скорости через разные варианты vpn, но правда на старых прошивках. Опять же , если есть необходимость в скорости.
    Ответ написан
    Комментировать
  • Microtik HAP AC Lite можно ли настроить VPN?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    FRANZEE

    У нас много удаленных точек включая и скуд.
    Используем там где есть прямой ip - ipip , там где нет l2tp с фразой ключем (без сертификата)

    Используем 951 , хотя конечно есть и hex.

    5cdf40d193429441818176.jpeg

    Пример на одном из участков.

    Теперь про скорость , которая зависит от шифрование в том числе.
    Вы упретесь в 30-40 Mbps. CPU уйдет в 100%. )
    Если вас устраивает такой результат то в путь, если нет то однозначно только hex с поддержкой аппаратного шифрования.

    Сделал замеры и да, в районе 30.

    5cdf4543b87aa869927482.jpeg
    Ответ написан
    Комментировать
  • Vlan, VOIP, grandstrem, mikrotik. Как же изолировать трафик?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Есть хороший гайд

    https://youtu.be/Np7rAwvAzq4

    У самого сделать видео у меня руки лично не доходят.

    Если коротко:

    У tik есть несколько вариаций vlan.
    Исторически можно было настроить через switch chip или программным методом.
    При этом на коммутаторах 3xx серии все идет аппаратно.
    Программный метод вынесен в зону bridge (напомню, что в 3xx серии он аппаратный)
    Что бы понять те или иные возможности по vlan и остальному, надо смотреть wiki по tik.
    При этом на 1xx/2xx серии нас ждет еще один вариант vlan (точнее меню)
    Да это боль, увы и ах.

    Теперь про быстро настроить, накидаю bridge вариант.

    5cdf3d657fc55224366922.jpeg5cdf3d999ec47820566533.jpeg

    После того как все наметели, можно активировать в bridge vlan

    5cdf3df6e1fed197109090.jpeg

    Не рекомендую без понимание это делать удаленно, так как есть большой риск потерять управление железкой.

    ну и создаем интерфейс vlan, если нам надо туда раздавать dhcp/dns или вообще что-то делать

    5cdf3e6d44a54277264757.jpeg5cdf3eb1084af614049135.jpeg

    Будет непонятно , спрашивайте.

    PVID - простым языком, порт untaget по умолчанию. Те если вдруг там есть еще и taget , а устройство с той стороны не понимает, она получит сеть которую выставили.
    Ответ написан
  • Как лучше организовать сбор логов Mikrotik на Syslog за шлюзом?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Вы можете в логировании использовать прификсы. Например указать, что это за тик.
    Дальше уже на основе этого разгребать логи.

    5cdf3a9ab00df975182116.jpeg5cdf3ada80eed859735909.jpeg
    Ответ написан
    1 комментарий
  • Нормальные настройки MikroTik?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    /ip firewall nat
    add action=masquerade chain=srcnat src-address=192.168.231.0/24
    add action=netmap chain=dstnat comment=Hikvision dst-port=554 in-interface=\
    pppoe-out1 protocol=tcp to-addresses=192.168.231.197 to-ports=554
    add action=netmap chain=dstnat comment=Synology in-interface=pppoe-out1 protocol=tcp \
    to-addresses=192.168.231.200
    add action=netmap chain=dstnat comment="Synology VPN" in-interface=pppoe-out1 \
    protocol=udp to-addresses=192.168.231.200


    Если вы прочитали, что netmap это улучшения версия проброски портов со знаменитой статьи хабр, то советую читать не статьи , а документацию.

    netmap нужно для общение двух сетей с одинаковой адресацией.

    Далее, если у вас порты или адрес совпадает, то не надо его указывать для переназначения. Если порт 554, то он и так будет перенаправлен на 554, зачем это делать два раза по сути ? То же самое с IP.

    Выставлять камеру или другие такие вещи лицом в интернет я бы не стал, если вам конечно не все равно, что в один прекрасный момент на вас могут смотреть.
    Лучше настроить VPN.

    В остальном вроде стандартный конфиг, на сколько можно было быстро посмотреть глазами.
    Ответ написан
    Комментировать
  • Mikrotik две точки доступа + Server 2012 DHCP?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    arturcikru во втором варианте вам и bridge не нужен, у вас же просто один виртуальный (или физический) интерфейс wifi. На нем настраиваете отдельно ip,dns,dhcp и все что надо.
    Маскарад у вас будет один на всех. Главное разрешить запросы ДНС из этой сети ну или добавить этот интерфейс в LAN лист.
    Ответ написан
    4 комментария
  • Подбор Mikrotik для офиса?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Дмитрий Как тут правильно заметили 2011 все же старая машина, хотя если правильно прикинуть вам ее все же может хватить правда надо учитывать особенности:

    1) у вас там есть два switch chip, которые между собой работают через CPU.
    https://i.mt.lv/cdn/rb_files/Block-RB2011UAS-2HnD.pdf

    2) Максимальную скорость вы тут получите в районе 1400 без правил и при MTU 1500.

    3) если у вас сеть 100 мегабит и вам надо держать два канала 100 мегабит и DHCP , то тогда да, сеть будет работать но очень медленно. Все же магистраль , между сетями надо делать хотя бы в 1 gb, а вот для этого , этого роутера уже не хватит.
    Нет в теории можно расформировать bridge 1-на гигабитных интерфейсов, но мы упремся скорее всего в скорость в районе 500-600 мегабит (с учетом правил).

    От себя я бы рекомендовал, можно собрать любую машину с двумя сетевыми картами и вам этого хватит за глаза (купить лиц отдельно)

    ну или все же смотреть на 3011 хотя бы. С HEX s серией , то же не все так просто в плане портов. Смотрите блок схему портов, что бы наверняка и не думалась + можно сделать агрегацию портов , то это 1100. Внутренная скорость 7gb , 3 Группы портов.
    Хорошая цена. Тестировал, разбирал - все тесты показывают заявленную производительность. Можно посмотреть у меня на youtube, если не жалко убить 1-2 часов времени.
    Ответ написан
    2 комментария
  • Можно ли через управляемый коммутатор раздать интернет на 2 маршрутизатора?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Mikname Если я правильно понял.

    Ваш коммутатор вы разбиваете на два VLAN, что бы в каждый завести своего провайдера.

    Далее от каждого VLAN, вы можете использовать любое кол-во проводов, которые вам надо. Допустим все же по 2 провода от каждого провайдера. Итого 4.

    Каждый провод вы подключаете к маршрутизатору и на них должен быть поднят stp протокол (RSTP) ну и на коммутаторе от которого приходят провода.
    В результате, у вас будет один запасной провод от каждого провайдера.

    Можно использовать и LAG/LACP (агрегация каналов) - но это так же желательно должен уметь вышестоящий роутер, хотя тик можно настроить и например в режиме отказоустойчивости. (иногда работает так себе)

    Можно повысить градус безумия и пустить по 4 провода на два коммутатор.
    На каждый роутер мы приводим провайдера по vlan и у нас единовременно работает только один роутер с stp иил lag. Если роутер падает, то скриптами или как уже заметили по vrrp поднимается все на втором.
    Ответ написан
    Комментировать
  • USB-модем настроен на Микротик, но раздает свой диапазон IP. Как настроить другой внутренний диапазон IP или подключить его к мосту?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    F0lder Вам нужны свистки которые умеют passthrough , тогда у вас будет интерфейс от свистка ,на котором будет ip провайдера.

    https://wiki.mikrotik.com/wiki/Manual:Interface/LT...

    Если данная модель не умеет это в рамках вашего тика, тогда тут то же в общем все просто.

    Вы должны тиком принимать от модема dhcp как от провайдера или просто выключить на свистке dhcp (обычно это все же можно сделать) и маркировать трафик.
    Далее уже в зависимости от , предпринимать действия.

    Решение получение маршрута по DHCP то же есть. С ходу уже не скажу как я решал это скриптами , но примеры должны быть в сети.
    Ответ написан
    Комментировать
  • Возможно ли настроить микротик RB750Gr3 как два роутера в одном?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    В общем и целом проблем не вижу. Главное , что бы у вас было в голове вот такая таблица

    https://i.mt.lv/routerboard/files/RB750Gr3-esw2-16...

    Если скорость интернета не 1gb, то рекомендую два порта под wan перевести в режим 100.
    Между ними и switch будет 1gb канал (но условно там будет 200).
    switch между собой будет уже как нормальный switch и отдать его дальше.
    Так как у вас особых изысков нет, то и маркировать пакеты да же не надо.
    Настройки в NAT для каждой сети, свой выход.
    Ответ написан
    Комментировать
  • Действительно ли бытовой TP-Link 841 равен Mikrotik 2011?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Если уж смотреть на производительность, то смотреть кол-во пакетов в секунду.
    Сердце tplink это Atheros AR7241
    В mikrotik был в Mikrotik RB751U-2HnD , который сейчас снят с производство.
    https://mikrotik.com/product/RB751G-2HnD
    Тут можно посмотреть на производительность в пакетах в рамках mikrotik устройства для этого процессора.
    Потом посмотрите тот-же 2011
    https://mikrotik.com/product/RB2011UiAS-IN

    Можно увидеть, что 2011 действительно слегка мощнее 751. (условно в два раза)
    Но! У 2011 есть отдельный switch чип, который занимается трафиком и не идет через процессор.
    Точнее там часть портов разделена.
    https://i.mt.lv/routerboard/files/RB2011UiAS-16062...

    Поэтому, что там хотел сказать человек в итоге - можно гадать.
    Мое мнение, если вам нужно для офиса, то надо отталкиваться от задач.
    Я бы смотрел в сторону 3011 , как более нового и действительно мощного.
    Если вам такая мощность не нужна, то вполне можно взять hex который умеет аппаратное шифрование для VPN (если надо) . Вот тут он точно сделает tplink :)

    На тему wifi, я предпочитаю два разных устройства , а не комбайн.
    Ответ написан
    Комментировать
  • Pfsense и openvpn - 3 сети объединить в 1, как лучше?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Самое простое:
    Один сервер и два клиента - условно site to site.

    По хорошему конечно, было бы сделать mesh vpn, но это уже не к openvpn.
    Просто иначе трафик от одной сети C к сети B, пойдет через сеть A.
    Можно с openvpn и тут исхитрится , но не совсем удобно.
    Ответ написан
    Комментировать
  • Потребление GTX 1080 SLI?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Ваша система будет потреблять в районе 600 ватт. В итоге вам нужен блок питания с запасом.
    Я бы взял в районе 850W естественно от нормального бренда.

    Откуда я знаю ? Так как у меня собрано несколько таких систем и я замерял мощность.
    Ответ написан
    Комментировать
  • Как обеспечить работу ВПН после 1.11.2017?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    >Попробовал прокинуть PPTP внутри OpenVPN,

    Четкого ответа нет. Так как yota скоростью до абонента управляет по своим алгоритмам. Есть VPN или нет пофиг. Так же нагрузка от абонентов БС, от того, сколько бабла кто платит.
    При этом трафик за бугор, всегда на низких скоростях как и у МГС,Ростелеком,onlime, МТС итд.

    Попробуй в рамках Mikrotik завернуть в pptp eoip или в l2tp.

    Для тестов можно попробовать отдельно на компе и сервере tinc vpn и meshbird
    https://github.com/meshbird/meshbird

    пслд так вообще настраивается элементарно. Дя это все просто для тестов, я знаю что оно не работает в routeros.
    Ответ написан
  • Какая файловая система в Linux поддерживает более 4 млрд файлов?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Какая файловая система в Linux поддерживает более 4 млрд файлов?
    Как поступают крупные "хостинги фоток", вроде Facebook?


    Крупные игроки обычно используют распределенные ФС. Например Facebook использует hdfs из Hadoop.
    В yandex используют блобы (и не только они) - яркий пример - reverbrain.com/eblob
    Можно смотреть в сторону ceph и других.
    Ответ написан
    Комментировать