Ответы пользователя по тегу Mikrotik
  • Сбор бэкапов микротик?

    sizaik
    @sizaik
    сисадмин, Витебск
    Отправляю на FTP-сервер по расписанию через tools/fetch
    Ответ написан
    3 комментария
  • Что изменилось в прошивке 6.42.х?

    sizaik
    @sizaik
    сисадмин, Витебск
    Роутеры разных моделей, в т.ч. RB2011, RB1100, RB912, RB951. Версия РоутерОС 6.42.1. Работает l2tp, sstp, радиус, десяток vlan, NAT, mangle, firewall (на самом жирном роутере сотни две правил firewall в общей сложности). А также очереди simple queues, OSPF, GRE-туннели, IPSec по сертификатам, капсман, WiFi и хотспоты.
    С 25 апреля полет нормальный, незапланированных перезагрузок не было.
    Может, с конфигом проблемы?
    Ответ написан
  • Mikrotik - проброс порта через два провайдера?

    sizaik
    @sizaik
    сисадмин, Витебск
    Мутно у вас в конфиге mangle. Зачем-то маркировка соединений идет в цепочке input, хотя более правильно делать её на prerouting.
    Я бы делал так:
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=vlan101 new-connection-mark = cm-ISP101 passthrough=yes
    ***повторить для двух других провайдеров.
    Это правило обработает как соединения, адресованные роутеру (input) так и всё, что предназначено для передачи в nat

    /ip firewall mangle
    add action=mark-routing chain=prerouting connection-mark=cm-ISP101 new-routing-mark=rm101 passthrough=yes
    ** повторить для двух других провайдеров.
    Это правило должно быть расположено ниже предыдущего. Оно поставит метку маршрутизации для пакетов в соединениях, которые мы выше пометили как cm-ISP101 - cm-ISP103. Для тех, которые

    /ip firewall mangle
    add action=mark-routing chain=output connection-mark=cm-ISP101 new-routing-mark=rm101 passthrough=yes
    ** повторить для двух других провайдеров.
    Это правил повторяет предыдущее, но относится к тем пакетам, которые роутер формирует сам - они не проходят цепочку prerouting.
    Правила NAT и таблица маршрутизации у вас вроде бы нормальные.
    Ответ написан
    Комментировать
  • Открытые порты Mikrotik после базовой настройки. Есть ли опасность?

    sizaik
    @sizaik
    сисадмин, Витебск
    Последние два похожи на работающий NAT. 443 - веб-сервер Микротика, 8291 - Winbox (программка для управления микротиком), 2000 - см. описание.
    Почему бы в фаерволле не открыть те, которые нужны, а остальные закрыть? Тогда и разбираться не придется.

    Для вас это будет выглядеть как-то так (не тестировал, пишу по памяти):
    /ip firewall filter
    add chain=forward src-address=локальная подсеть
    add chain=input protocol=tcp dst-port=22,1723
    add chain=input protocol=gre
    add chain=forward protocol=tcp dst-port=3389 dst-address=адрес терминального сервера
    add chain=input action=drop
    add chain=forward action=drop

    1. Разрешаем локальным хостам ходить в интернет. Здесь открыто всё, я обычно открываю только http и https, остальное при необходимости.
    2. Разрешаем входящие соединения 1723 (pptp) и 22 (управление Микротиком по SSH). Использовать стандартный порт, кстати, небезопасно, но вот тут подсказали очень крутую штуку.
    3. Для PPTP еще нужен протокол GRE
    4. Доступ по RDP к терминальному серверу, или что там у вас.
    5. Все остальные входящие отбрасываем
    6. Все остальные маршрутизируемые (через NAT, например) тоже.
    Ответ написан
    Комментировать
  • 3 WAN и торренты?

    sizaik
    @sizaik
    сисадмин, Витебск
    Сначала маркируй соединения, потом пакеты с определенной меткой соединения.
    Ответ написан
    2 комментария
  • Как настроить 2 канала провайдера на mikrotik с одновременной доступностью 2х интерфейсов?

    sizaik
    @sizaik
    сисадмин, Витебск
    Можно!
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=WAN1 new-connection-mark=cmISP1
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=WAN2 new-connection-mark=cmISP2
    add action=mark-routing chain=prerouting connection-mark=cmISP1 new-routing-mark=rmISP1
    add action=mark-routing chain=prerouting connection-mark=cmISP2 new-routing-mark=rmISP2

    /ip route
    add check-gateway=ping distance=1 gateway=1.1.1.1 routing-mark=rmISP1
    add check-gateway=ping distance=1 gateway=2.2.2.1 routing-mark=rmISP2
    add check-gateway=ping comment="ISP1 default route" distance=1 gateway=1.1.1.1
    add check-gateway=ping comment="ISP2 default route" distance=2 gateway=2.2.2.1
    /ip route rule
    add comment="Access to provider gateway only via corresponding interfaces to ensure ping check works properly" dst-address=1.1.1.1/32 table=rmISP1
    add dst-address=2.2.2.1/32 table=rmISP2

    не обещаю, что прямо сразу заработает, но принцип именно такой.
    Ответ написан
    Комментировать
  • Mikrotik, блокировка всего трафика, кроме одного порта?

    sizaik
    @sizaik
    сисадмин, Витебск
    А в чем проблема? Вы так подробно всё расписали, что тут и думать не надо. Только странно как-то, не могу представить кейс, в котором будет нужна такая конфигурация.
    /ip firewall filter
    add chain=forward src-port=12345 dst-port=6336 protocol=tcp src-address=172.16.0.2 dst-address=192.168.0.2
    add action=drop chain=forward src-address=172.16.0.0/24 dst-address=192.168.0.0/24
    Ответ написан
  • Что за портом конкретного интерфейса mikrotik'a?

    sizaik
    @sizaik
    сисадмин, Витебск
    /interface ethernet switch host print
    P.S. в свитч вы объединяете правильно.
    Ответ написан
    Комментировать
  • Как разрешать разные DNS-имена через разные серверы?

    sizaik
    @sizaik Автор вопроса
    сисадмин, Витебск
    Сам нашел. Микротик хорош.
    forum.mikrotik.com/viewtopic.php?t=48607
    Через /ip firewall layer7-protocol, который умеет искать регулярные выражения внутри пакета. Его можно вставить условием в nat, дальше дело техники.
    Спасибо всем за поддержку, вопрос снимаю.
    Ответ написан
    Комментировать
  • Mikrotik+L2TP+IPSec+AD=смена паролей?

    sizaik
    @sizaik
    сисадмин, Витебск
    Пользователь может удаленно поменять/обновить пароль через Exchange OWA или Remote Desktop Web Access, если они есть. Если нет, то увы.
    Обходные решения: для пользователей, которые никогда не бывают в офисе можно сделать отдельную политику без необходимости регулярной смены паролей. Для пользователей, которые забывают сменить пароль перед выходными - есть много способов для улучшения памяти. Например, оставить без VPN до понедельника. :)
    Ответ написан
  • Как настроить QoS для потоковых данных (видеоконференции) на mikrotik?

    sizaik
    @sizaik
    сисадмин, Витебск
    Любой QoS состоит из двух частей.
    1. Отмаркировать интересующий трафик в /ip firewall mangle. Тут вам нужно проанализировать соединения на zoom.us и понять, как именно туда/оттуда передаются данные. Анализировать можно по-всякому - через текущие соединения на том же микротике, через Wireshark, как вам удобнее. Ниже пример, как я маркирую трафик для RTP-соединений с голосовым провайдером:
    // маркируем соединения
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-port=\
    16384-16538 new-connection-mark=VOIP passthrough=no protocol=udp
    // маркируем пакеты в этом соединении
    add action=mark-packet chain=prerouting comment=VOIP connection-mark=VOIP \
    new-packet-mark=VOIP passthrough=no

    2. Создать правила приоритета для интересующего трафика. Это делается через очереди:
    /queue tree
    add name=queue1 parent=wan-interface priority=1 queue=default
    add name=queue2 packet-mark=VOIP parent=queue1 priority=2 queue=default
    add name=queue3 packet-mark=no-mark parent=queue1 priority=8 queue=default

    Ну и еще несколько моментов:
    • Надо понимать, что эффективно управлять вы можете только исходящим трафиком. Входящие пакеты находятся в вашей зоне влияния, когда они уже пришли, поэтому с ними не имеет смысла что-либо делать. Если, конечно, нет задержек в локальной сети, что встречается редко.
    • Голосовая и видеосвязь критична к времени прохождения пакета. А т.к. zoom.us находится, судя по названию, за океаном, каждый пакетик по пути проходит много промежуточных устройств, на каждом из которых возможны задержки, которыми вы управлять никак не можете. Если вы устраиваете конференции с людьми из России - не лучше ли поискать что-то поближе? Если основная аудитория из США, тогда, конечно, придется терпеть.
    Ответ написан
    Комментировать
  • Microtik: несколько Public IP - нужна "привязка" PPTP-клиента на определённый интерфейс?

    sizaik
    @sizaik
    сисадмин, Витебск
    Настройте статический маршрут с аргументом pref-src туда, куда подключается ваш PPTP-клиент:
    add distance=1 dst-address=хх.хх.хх.хх/32 gateway=wan-interface pref-src=yy.yy.yy.yy

    Здесь хх.хх.хх.хх - адрес, к которому должен подключаться pptp-клиент, yy.yy.yy.yy - адрес, с которого он должен подключаться.
    Либо прописать статический маршрут через конкретный интерфейс. Зависит от того, на одном у вас интерфейсе адреса, или на разных. Вообще лучше конфиг, чтобы не гадать.
    Ответ написан
    Комментировать
  • Как сделать проброс двух внешних интернет IP в внутренние IP LAN?

    sizaik
    @sizaik
    сисадмин, Витебск
    VLAN тут не особо нужен.
    Можно тупо подключить сервера в отдельные порты (скажем, ethernet4 и ethernet 5) и добавить их в бридж с ethernet-wan:
    /interface bridge
    add mtu=1500 name=bridge-wan
    /interface bridge port
    add bridge=bridge-wan interface=ethernet-wan
    add bridge=bridge-wan interface=ethernet4
    add bridge=bridge-wan interface=ethernet5
    После этого назначить внешний адрес 95.125.125.4 бриджу
    /ip address
    add address=95.125.125.4/хх interface=bridge-wan network=92.125.xx.xx
    А адреса 95.125.125.2 и 95.125.125.3 прописать напрямую на сервера.
    Это будет работать.
    Но в этом случае функции фаерволла должны будут исполнять сами сервера. Логично централизовать эту функцию на маршрутизаторе. Поэтому я бы делал через NAT.
    прописываем все три адреса на интерфейсе ethernet-wan:
    /ip address
    add address=95.125.125.2/хх interface=ethernet-wan network=92.125.xx.xx
    add address=95.125.125.3/хх interface=ethernet-wan network=92.125.xx.xx
    add address=95.125.125.4/хх interface=ethernet-wan network=92.125.xx.xx

    делаем так, чтобы серверы ходили в интернет через свои адреса (а не через общий NAT)
    /ip firewall nat
    add action=src-nat chain=srcnat src-address=192.168.0.10 to-addresses=95.125.125.2
    add action=src-nat chain=srcnat src-address=192.168.0.11 to-addresses=95.125.125.3

    и делаем трансляцию с внешних адресов на серверы (предполагаю, что у вас веб-сервера и нужно пробрасывать только один порт)
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=95.125.125.2 dst-port=80 protocol=tcp to-addresses=192.168.0.10 to-ports=80
    add action=dst-nat chain=dstnat dst-address=95.125.125.3 dst-port=80 protocol=tcp to-addresses=192.168.0.11 to-ports=80
    Ответ написан
  • Mikrotik ovpn туннель и два провайдера?

    sizaik
    @sizaik
    сисадмин, Витебск
    Я бы рассмотрел возможность решения с использованием протокола динамической маршрутизации OSPF.
    Что на втором конце, там где сервер OpenVPN? Можете ли вы им управлять?
    Если да, и если я правильно понял задачу, решение примерно такое:
    Делайте два постоянно работающих туннеля, один с основного, второй с резервного канала.
    У первого ставьте distance = 1, у второго = 2, чтобы трафик шел через основной канал, если он работает.
    Настраивайте OSPF так, чтобы направлял весь трафик через OpenVPN.
    Если оба туннеля недоступны, по идее у вас должен сработать маршрут по умолчанию -
    # DST-ADDRESS PREF-SRC GATEWAY DISTANCE
    0 ADS 0.0.0.0/0 10.119.24.145 1
    Ответ написан
    Комментировать
  • Как настроить NAT loopback на Mikrotik без конкретного указания внешнего адреса?

    sizaik
    @sizaik
    сисадмин, Витебск
    На самом деле с DNS самый простой вариант, я не понимаю, почему он вам не подходит.
    Скрипт (если вы пользуете первый вариант) никак не связан с локальным DNS - он только проверяет, изменился ли внешний IP и отправляет его на DynDNS, если поменялся.
    Второй вариант может не работать потому что использует команду resolve без аргументов - значит, по умолчанию пытается разрешить имя на том же роутере, а роутер выдает внутренний адрес 192.168.1.10. Чтобы избежать этого, надо применять resolve с явным указанием внешнего DNS-сервера. Это делается вот так:
    :resolve "www.mikrotik.com" server=77.88.8.8
    Что касается дополнительной донастройки DNS на машинах в локальной сети - ну так вы можете раздавать их через DHCP. И вообще не очень понятно, какая дополнительная донастройка нужна, если у вас роутер прописан в качестве DNS-сервера.
    Ответ написан
    2 комментария
  • Mikrotik Router закрытие порта 53 и дальнейшие проблемы?

    sizaik
    @sizaik
    сисадмин, Витебск
    Коллеги, а почему бы вообще не закрыть всё, оставив только безусловно необходимое - скажем, управление снаружи по Winbox, если вы им пользуетесь?
    /ip firewall action=accept connection-state=new protocol=tcp in-interface=ether1 dst-port=8219 log=no log-prefix=" "
    /ip firewall action=accept connection-state=established in-interface=ether1 log=no log-prefix=" "
    /ip firewall filter add chain=input action=drop connection-state=new in-interface=ether1
    Ответ написан