Ответы пользователя по тегу Сетевое оборудование
  • В чем разница роутера Mikrotik от свитча той же марки?

    @moneron89
    Сертифицированный тренер Mikrotik
    Свитч компании Mikrotik -- штука крайне производительная и бодрая, когда она работает в роли коммутатора. В роли маршрутизатора 125 и 109 модели будут ещё ничего, примерно как 2011 роутер, но многого от них ждать не стоит -- процессор может не справиться. Хватит одного коммутатора или нет -- зависит от того, какой ширины у Вас каналы. Я бы взял лучше ещё маршрутизатор вдобавок к коммутатору, например, hEX.
    Ответ написан
    Комментировать
  • Откуда на маршрутизаторе берётся TX-трафик, если нет RX?

    @moneron89
    Сертифицированный тренер Mikrotik
    А ещё есть замечательная утилита Torch, которой можете посмотреть, что за трафик на порту. И да, закрыайте ДНСы
    Ответ написан
    Комментировать
  • Mikrotik CRS226. Как настроить маршрутизацию между VLAN и раздать интернет?

    @moneron89
    Сертифицированный тренер Mikrotik
    Я бы на Вашем месте не делал это всё только на 226, а докупил, например, hEX. На 226 просто разрулил вланы по портам, а на роутере уже настраивал бы маршрутизацию и дхцп сервера. Посмотрите в сторону этого решения, новый hEX r3 недорогой и весьма хорош по производительности. 226, всё-таки, свитч со всеми вытекающими
    Ответ написан
    Комментировать
  • Перенос настроек Mikrotik Routerboard?

    @moneron89
    Сертифицированный тренер Mikrotik
    Если сделаете export на 751, а затем import на hAP ac lite – проблем не будет. А если сделаете бинарный бэкап – то, конечно, будут!
    Ответ написан
    Комментировать
  • Какие есть ресурсы по обучению MikroTik?

    @moneron89
    Сертифицированный тренер Mikrotik
    Здравствуйте! Онлайн-видео курса Вы не найдёте:
    1. Это противоречит политике компании
    2. Это не даст Вам тех знаний, которые получите, посетив очный курс

    Я провожу обучение первому курсу MTCNA по разным городам России и приемлимым ценникам. Буду рад видеть Вас в числе своих студентов. Мой сайт с расписанием и ценами. Все вопросы задавайте на e-mail.
    Ответ написан
    Комментировать
  • Как запретить доступ ко всем сайтам кроме одного на Mikrotik?

    @moneron89
    Сертифицированный тренер Mikrotik
    Обновляетесь до 6.36 или выше, добавляете нужный домен onedrive.live.com в адрес-лист. Назовём его onedrive
    Добавляете в другой адрес-лист адреса машин, которые хотите ограничить, назовём его restrict
    Далее пишем правило в фаерволе:
    /ip firewall filter
    add chain=forward src-address-list=restrict dst-address-list=!onedrive action=drop

    Всё )
    Ответ написан
  • Провайдер дает пул адресов, как организовать правильную маршрутизацию трафика с разных vlan на разные внешние адреса?

    @moneron89
    Сертифицированный тренер Mikrotik
    Если у Вас провайдер отдаёт пул, то зачем использовать 5 интерфейсов с одним адресом, если можно использовать один интерфейс с пятью адресами? А дальше уже src-nat делайте такого вида: сорс - серая подсеть какого-либо влана, аут-интерфейс - wan, действие - src-nat в нужный вам адрес на wan'e.
    Ответ написан
    Комментировать
  • Как настроить запреты служб на микротике снаружи?

    @moneron89
    Сертифицированный тренер Mikrotik
    Фаервола, который есть в конфигурации по умолчанию, достаточно, чтобы защитить Вас от атак снаружи, при условии что ether1 - это WAN-интерфейс. Если это не WAN - тогда поменяйте интерфейс в drop-правилах на необходимый. А так - отключайте неиспользуемые службы. Я для себя всегда оставляю только winbox и ssh, всё остальное нафиг (ну ладно, иногда нужен ftp). Цепочка для фильтрации входящего (направленного непосредственно к микротику) трафика - это input. А вообще - учите мат.часть, сходите, отучитесь на MTCNA, получите хорошее представление о принципах работы фаервола.
    Ответ написан
    Комментировать
  • Как настроить приоритет интерфейсов в mikrotik?

    @moneron89
    Сертифицированный тренер Mikrotik
    Здравствуйте! Честно скажу - в приоритезации не очень силён. Однозначно могу сказать, что нужно использовать дерево очередей. Посмотрите презентацию моего друга и коллеги с МУМа в Казахстане. Он рассказывает как о хардварной, так и о софтварной приоритезации.
    Ответ написан
    Комментировать
  • Каким образом Mikrotik/RouterOS знает ip адрес шлюза, если я задал в качестве шлюза физический интерфейс?

    @moneron89
    Сертифицированный тренер Mikrotik
    У циско включен прокси-арп на интерфейсах. Если вы заглянете в ip-arp, увидите, что куче ип-адресов сопоставлен один мак. Юзать эту фичу можно, но она поджирает оперативку. Поэтому я за классическую маршрутизацию. Маска подсети в данном случае не имеет значения, хоть /8
    Ответ написан
    Комментировать
  • Какой коммутатор выбрать?

    @moneron89
    Сертифицированный тренер Mikrotik
    Я бы из предложенного не раздумывая купил бы микротик.
    Ответ написан
    Комментировать
  • Почему Mikrotik dhcp раздаёт не ту подсеть?

    @moneron89
    Сертифицированный тренер Mikrotik
    Могу подсказать простой способ найти баг в конфиге. Сделайте /export file=config, затем скопируйте config.rsc на компьютер и выполните поиск по файлу в текстовом редакторе по выдаваемому айпишнику. 100% найдёте ошибку. Отпишите потом, где был баг. Даже интересно )
    Ответ написан
    Комментировать
  • Произвольное отключение клиентов Wi-Fi?

    @moneron89
    Сертифицированный тренер Mikrotik
    Не следует забывать, что wifi - сеть коллизионная. Если клиенты начинают вещать одновременно - ни к чему хорошему это не приводит. Также распространена проблема скрытого узла (hidden node). Решение - использовать поллинговые или tdma протоколы. Но у микротика они свои, проприеритарные. Если у вас в посёлке достаточно много клиентов - лучше каждому из них установить что-то типа SXT lite2 или lite5 в режиме бриджа, в зависимости от используемой частоты на груве. Далее у каждого клиента дома роутер с его собственным вайфаем., При такой топологии (точка-мультиточка) настраивайте либо протокол NStreme либо NV2. У каждого из них есть преимущества и недостатки. Но при их использовании именно точка управляет передачей данных с клиентов, не позволяя им вещать одновременно. Да, затраты больше, чем просто воткнуть одну точку на огромную площадь, влупить ей 20 dBm + ещё антенну на 6 dBi и поджаривать ею пролетающих галок. Но зато будет работать. Если прозрачность между клиентами нужна - не сильно сложнее будет её настроить.
    Ответ написан
    9 комментариев
  • Совет, организация сети,какой выбрать роутер Mikrotik?

    @moneron89
    Сертифицированный тренер Mikrotik
    Посмотрите в сторону этой модели. Во-первых, уже гигабитный свитч на всех портах, плюс возможность вертеть трафик как угодно.
    Ответ написан
    Комментировать
  • Как решить проблему с видимостью за Mikrotik?

    @moneron89
    Сертифицированный тренер Mikrotik
    На wAP добавляйте оба интерфейса в бридж, wifi в режим station bridge, обязательно отключите DHCP-server. В таком случае точка должна быть прозрачной и дополнительных настроек не потребуется. Если же не хотите прозрачности, то убирайте бридж, вайфай в station, в NAT правило с out-interface=wlan1 action=masquerade, на лан-порт DHCP сервер. Но по мне, это не имеет большого смысла.
    Ответ написан
    Комментировать
  • Раздать интернет по Ethernet на MikroTik RouterBOARD951-2n?

    @moneron89
    Сертифицированный тренер Mikrotik
    Я бы не советовал использовать WDS в силу некоторых особенностей и резкого снижения пропускной способности. Если домашний вайфай раздаётся не микротиком, используйте режим station. Порты нужно объеденить в свитч-чип (в настройках всех портов, кроме первого, назначьте masterport ether1). Навесьте ip-адрес на порт, создайте DHCP-server с помощью волшебной кнопки DHCP setup. Не забудьте сделать правило в NAT:
    /ip firewall nat add chain=srcnat out-interface=ISP1 action=masquerade

    Подключайте компьютеры витухой к роутеру и радуйтесь :)
    Ответ написан
    Комментировать
  • Как настроить Mikrotik как Wi-Fi клиент?

    @moneron89
    Сертифицированный тренер Mikrotik
    Как вариант - добавьте в connect list точку вручную, указав SSID и профиль безопасности (создав предварительно профиль безопасности). После чего в режиме выберите station bridge, поле SSID сделайте неактивным и примените настройки. Попробуйте. И, конечно же, логи в студию!
    Ответ написан
    Комментировать
  • Mikrotik RB2011UiAS-RM vs RB3011UiAS-RM?

    @moneron89
    Сертифицированный тренер Mikrotik
    Если сеть будет расти (как описано в первом ответе) - ждите 3011, очень вкусная железка. А если задача такая, как Вы описали - тут, действительно, хватит и RB951G-2HnD. А так - смотрите сами.
    Ответ написан
  • Атака на мой бедный микротик через ssh- это боты или кому то мой бедный роутер понадобился?

    @moneron89
    Сертифицированный тренер Mikrotik
    Я могу посоветовать использовать следующую цепочку в файерволе:
    /ip firewall filter
    
    add action=jump chain=input comment="sshbruteforces chain" connection-state=\
        new dst-port=22 jump-target=sshbruteforces protocol=tcp
    add action=drop chain=sshbruteforces comment="drop ssh brute forcers" \
        src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist \
        address-list-timeout=1w3d chain=sshbruteforces connection-state=new \
        src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 \
        address-list-timeout=1m chain=sshbruteforces connection-state=new \
        src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 \
        address-list-timeout=1m chain=sshbruteforces connection-state=new \
        src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 \
        address-list-timeout=1m chain=sshbruteforces connection-state=new
    add chain=sshbruteforces dst-port=22 protocol=tcp
    add action=drop chain=forward comment="drop ssh brute downstream" disabled=\
        no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
    add chain=sshbruteforces dst-port=22 protocol=tcp connection-state=new
    add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
        protocol=tcp src-address-list=ssh_blacklist

    Ко мне тоже постоянно ломятся, это ботнет. Первое правило разместите над запрещающим input правилом. Остальные - неважно куда, на них будет произведён jump (это снижает нагрузку на процессор). Работает так: если в течение минуты с одного IP производится более 3х попыток входа - данный IP блокируется на 10 дней.
    Данная цепочка подходит тем, кто не хочет менять стандартный порт SSH и нуждается в доступе с любого ip-адреса. Так же можно настроить port-knocking, но это немного сложнее, приходится использовать дополнительный софт
    UPDATED Немного обновил и оптимизировал цепочку. Суть осталась прежней
    Ответ написан
    8 комментариев