Задать вопрос
  • Автокликер для страницы аутентификации на хотспоте Cisco, есть опыт?

    @kurvimetr Автор вопроса
    alexalexes, спасибо, дойду до серверной - попробую еще порыться в этом направлении. С первой попытки не удалось - хром почти ничего не выдавал. Попроблвал через вивальди - тот собирает более детально, но сейчас по делам отошел.
  • Как удалить рекламу в видеороликах Яндекс Дзен?

    @kurvimetr
    shurshur,
    а еще лучше так:

    /ip/firewall/filter add chain=forward dst-address=dzen.ru out-int
    erface-list=wan action=drop
    на рекламу в дзене перестанут жаловаться вообще все в доме =)))
  • Mikrotik, обновил ROS с 6 на 7 версию, как теперь настроить OVPN сервер шлюзом??

    @kurvimetr Автор вопроса
    Дмитрий Александров, решил дополнить ответ по WG. В организации хотспот-сеть вообще веселая, она, по ходу, не пропускает наружу некоторый (возможно, только исходящий) UDP трафик, поскольку не работает вообще никакой ни WG, ни OVPN через UDP. Долго в прошлом еще году долбился - нивкакую. Так что остается только OVPN через TCP, ну и на том спасибо.
  • Mikrotik, обновил ROS с 6 на 7 версию, как теперь настроить OVPN сервер шлюзом??

    @kurvimetr Автор вопроса
    Спасибо за ответ, маркировать соединения еще не пробовал, кстати) Сейчас займусь)
  • Mikrotik, обновил ROS с 6 на 7 версию, как теперь настроить OVPN сервер шлюзом??

    @kurvimetr Автор вопроса
    Valdemar Smörman, долго гуглил, ибо по ROS 7, скажем так, мало очень еще пока по специфическим настройкам, а очень многое из шестерки на семерке неактуально - на тех местах тупо нет таких пунктов или даже целых разделов настроек. Что-то разве что по логике получается настроить. По статьям сделал вообще все по-другому. AWS FREE TIER у меня все равно на аккаунте истекает в этом месяце. Настроил по статье "Настройка antifilter.download в связке с vpn сервисом cloudflare warp на mikrotik ROS v7.1" BGP и Wireguard до Cloudflare WARP, появилась куча маршрутов в обход отечественной цепочки маршрутизаторов. Это VPN наружу. Осталось в принципе настроить нормальное течение траффика до рабочего микрота, но если между рабочим и домашним микротом поднимать BGP, то роутер получит маршруты с домашнего, и тут может быть проблемка: все тащится через Cloudflare с IP 1.1.1.1, а WAN у меня в виде халявного вайфая, и там за шлюзом регистрация на хотспоте через местный 1.1.1.1, причем сессия убивается в полночь, плюс минус полчаса. Утром приходится снова заходить на страницу авторизации и жать кнопку входа. Как бы конфликта не возникло. Хотя, по идее, при потере доступа в интернет через WAN отключится OVPN до дома, и протухнут маршруты все, так что, думаю, норм все будет. Во вторник попробую этим заняться, как приеду на работу. Заодно попробую еще разок WG настроить между рабочим и домашним.
  • Mikrotik, обновил ROS с 6 на 7 версию, как теперь настроить OVPN сервер шлюзом??

    @kurvimetr Автор вопроса
    Valdemar Smörman, ну да, кстати, бывают приколы, что с одними и теми же настройками в некоторых отличных обстоятельствах не работает. У меня уже ощущение, что какая-то дичь с провайдерским NAT. Ибо интернет берется с халявного вайфая завода. Там куча своих фильтров. VPN, к примеру, там не пашет никакой. Хотя с микрота OVPN нормально к дому бьет.
  • Mikrotik, обновил ROS с 6 на 7 версию, как теперь настроить OVPN сервер шлюзом??

    @kurvimetr Автор вопроса
    Обновлял, везде свежие firmware. Вообще, эта кутерьма постоянная еще с момента когда ставил семерку впервые (тогда была 7.1.2). Если какой-то сайт не пашет - приходится гнать траффик напрямую, отключяя правило Mangle
    add chain=prerouting src-address-list=home action=mark-routing home
    Вот яндекс почта, к примеру, может грузиться минуту целую. Другие сайты могут мгновенно загружаться. Вот сейчас с рабочего ПК, к примеру, сайт kp.ru может тупо не грузиться. То есть тупит полминуты, затем бац, ошибка страницы, причем нет, чтобы на DNS Response ругаться или там ресурс не отвечает - просто "ERR_TIMED_OUT"
    Хотя с прямым маршрутом в интернет (через WAN) все пашет. Дома, ессно, сижу через АС2 напрямую, и тоже нет проблем с сайтами.

    Может в файрволе что-то не так, хз.

    /ip firewall filter

    1. add action=accept chain=input comment="Allow input DNS from LTE" in-interface=lte1 protocol=udp src-address=192.168.8.1 src-port=53 - разрешает DNS запросы на резервный канал (свисток с симкой) в случае отвала основного интернета, свисток подключается редко на самом деле.
    2. add action=accept chain=input comment="Allow input home IP only for LTE" in-interface=lte1 src-address=хх.хх.хх.хх - входящий траффик с домашнего роутера для LTE модема (чтоб остальные соединения от микрота траффик не жрали)
    3. add action=drop chain=forward comment="Drop all forward except MASTERCOMP for LTE if" dst-address=!192.168.100.239 in-interface=lte1 out-interface=all-ethernet
    разрешает forward траффик со свистка только на админский комп - чтобы остальная сетка траффик не жрала
    4. add action=drop chain=input comment="Drop all input from LTE" in-interface=lte1
    Запрещает весь остальной input траффик со свистка. Чисто на всякий.
    5. add action=accept chain=forward comment="Allow forward traffic from home OVPN" in-interface=ovpn-out1 разрешает forward траффик с интерфейса OVPN до домашнего роутера
    6. add action=accept chain=input comment="Allow NTP input" dst-port=123 in-interface-list=LAN protocol=udp Микрот является NTP серваком в сети
    7. add action=accept chain=input comment="Defconf input accept all established, related, untracked" сonnection-state=established,related,untracked
    8. add action=accept chain=forward comment="Defconf forward accept all established, related, untracked" connection-state=established,related,untracked
    9. add action=drop chain=forward comment="Defconf forward drop all invalid" connection-state=invalid
    10. add action=drop chain=input comment="Defconf input drop all invalid" connection-state=invalid
    ну это дефолтные правила
    11. add action=drop chain=input comment=Drop_all_WAN_input in-interface-list=WAN
    собсно тоже. Запрещает весь прочий траффик input WAN, не попавший в категории выше

    Кстати, а что за корректировка?
  • Mikrotik, обновил ROS с 6 на 7 версию, как теперь настроить OVPN сервер шлюзом??

    @kurvimetr Автор вопроса
    Дык я тоже все с нуля настраивал. Кстати, с WG вообще лотерея, я пробовал настраивать. Соединение с телефона на микрот работает отлично, а между микротами (рабочий находится за NAT организации, а домашний с белым адресом) - это тупо лотерея. Настроил, пашет, а завтра (или через три часа, к примеру) вдруг бац, и не пашет с этими же настройками. А настройки простые:
    MTU уменьшил до 1412
    -На "сервере" : для пира allowed addresses адрес клиента, даваемый ему на интерфейсе, ну и обязательный параметр keealive iinterval не нулевой. Endpoind peer и address не указываю, ибо клиенты без белого IP.
    -На клиенте то же самое, разве что endpoint адрес и порты указаны, allowed addresses - вообще вся 24 подсеть, в которой задаю адреса для WG интерфейсов. Плюс ессно keepalive time.
    В итоге "хочу коннекчусь. хочу не коннекчусь". А в логах пишет "Handshake for peer did not complete after 5 seconds, retrying (try 8)".
    Посему пока что забил болт WG между рабочим и домашним. Где-то, кстати, писали, что микрот как WG клиент работает нестабильно. OpenVPN по UDP, кстати, между ARM и MIPS микротами тоже не хочет подыматься - матерится на ошибку TLS. Так что между микротами пока OVPN@TCP, по старинке.

    Ладно, не суть. Касаемо OVPN. В общем, я с нуля все настраивал дома и на работе - все равно все работает нестабильно. Траффик идет, но сайты работают рандомно. Такое все-таки ощущение, что с рабочего микрота DNS-запросы летают рандомно - то через провайдерский WAN, то через домашний микрот. Странно, но с шестеркой вообще все было как часы.