Рубрика: Mikrotik

Ссылки:

https://help.mikrotik.com/docs/spaces/ROS/pages/328131/WebFig

Настройка:

!!! Укажи правильный ip для вашего микротика
!!! также вы можете изменить порт для вебинтерфеса IP-> services-> www-ssl
!!! так же рекомендуется выключить IP -> services ->www

Генерация и установка ssl сертификата:
certificate add name=local-cert common-name=local-cert key-usage=key-cert-sign,crl-sign 
certificate sign local-cert 
certificate add name=webfig common-name=192.168.88.1
certificate sign webfig 

Включение веб сервера с генерированным сертификатом:
ip service
set www-ssl certificate=webfig disabled=no

https://www.wireshark.org/

0. Первым делом открываем Wireshark, выбираем интерфейс, на котором хотим “сниффить”  
и устанавливаем следующий фильтр:

udp port 37008

1. А теперь самое интересное – подключаемся к MikroTik’у через WinBox, переходим в раздел Tools далее Packet Sniffer и настраиваем Streaming

Полезное для wireshark:

Включить отображение Packet Datagram
Edit -> Preference -> Layout
Выбрать вторую и в панелях выставить:
Pane 1: Packet list
Pane 2: Packet Details
Pane 3: Packet Diagram

Не забудьте включить Show Field Value в окошке Packet Datagram для отображения данных из пакета на картинке справа:)

/system logging action set memory memory-lines=1
/system logging action set memory memory-lines=1000

Ссылки:

Настройка MikroTik Mesh, единая WiFi сеть

router gw

/interface bridge
add admin-mac=1A:D2:D1:B2:42:7A auto-mac=no name=Bridge-LAN
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=Ip-Pool-LAN ranges=10.113.96.2-10.113.96.254
/ip dhcp-server
add address-pool=Ip-Pool-LAN disabled=no interface=Bridge-LAN lease-time=3d \
name=DHCP-LAN
/interface bridge port
add bridge=Bridge-LAN interface=ether2
add bridge=Bridge-LAN interface=ether3
add bridge=Bridge-LAN interface=ether4
add bridge=Bridge-LAN interface=ether5
add bridge=Bridge-LAN interface=wlan1
add bridge=Bridge-LAN interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=Bridge-LAN list=LAN
/ip address
add address=10.113.96.1/24 interface=Bridge-LAN network=10.113.96.0
/ip dhcp-client
add disabled=no interface=ether1 use-peer-dns=no
/ip dhcp-server network
add address=10.113.96.0/24 dns-server=10.113.96.1 gateway=10.113.96.1 \
netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=accept chain=forward in-interface-list=LAN
add action=accept chain=input in-interface-list=LAN
add action=accept chain=input in-interface-list=WAN protocol=icmp
add action=drop chain=input in-interface-list=WAN
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=WAN
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Kiev
/system identity
set name=MikroTik-Mesh-1
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool mac-server ping
set enabled=no

wifi 5Ghz

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" group-key-update=20m mode=\
dynamic-keys name=Security-WiFi supplicant-identity="" \
wpa2-pre-shared-key=mikrotikconfigukr
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
country=no_country_set disabled=no frequency=auto mode=ap-bridge \
security-profile=Security-WiFi ssid=MT-Mesh wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
20/40/80mhz-XXXX disabled=no mode=ap-bridge security-profile=\
Security-WiFi ssid=MT-Mesh wds-default-bridge=Bridge-LAN wds-mode=\
dynamic-mesh wireless-protocol=802.11

mesh 1

# jan/02/1970 00:04:51 by RouterOS 6.46.8
# software id = IT5K-H6ER
#
# model = RB952Ui-5ac2nD
# serial number = D3D50C2AA773
/interface bridge
add admin-mac=EA:14:AA:61:09:9B auto-mac=no name=Bridge-LAN
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=Bridge-LAN interface=all
/ip dhcp-client
add disabled=no interface=Bridge-LAN
/system identity
set name=MikroTik-Mesh-2

mesh 2

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" group-key-update=20m mode=\
dynamic-keys name=Security-WiFi supplicant-identity="" \
wpa2-pre-shared-key=mikrotikconfigukr
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
country=no_country_set disabled=no frequency=auto mode=ap-bridge \
security-profile=Security-WiFi ssid=MT-Mesh wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
20/40/80mhz-XXXX disabled=no mode=ap-bridge security-profile=\
Security-WiFi ssid=MT-Mesh wds-default-bridge=Bridge-LAN wds-mode=\
dynamic-mesh wireless-protocol=802.11

Ссылки:

https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table
https://help.mikrotik.com/docs/display/ROS/VLAN




 



Настройка VLAN в MikroTik, trunk и access порты

https://habr.com/ru/post/578126/
https://deps.ua/knowegable-base-ru/primery-tehnicheskih-reshenij/9154.html
https://lanmarket.ua/stats/bazovye-osnovy-nastroyki-vlan-v-routeros-na-oborudovanii-mikrotik-vlan-dlya-chaynikov-segmentatsiya/
https://bozza.ru/art-353.html

Несколько вариантов настройки vlan \ винегрет

0. В интерфейсах
И на интерфейсы навешивать vlan

1. В бриджах

2. В настройках switch чипа

access \ untagged port \ cнемаем vlan tag \ конечные устройства ничего не знают tag

0. Создаем бридж
/interface bridge
add name=bridge1 vlan-filtering=yes

1. Создаем vlan на порту, pvid 50
/interface vlan
add interface=bridge1 name=bridge1.50 vlan-id=50

2. Добавляем порт в бридж и устанавливаем ему vlan, pvid=50
/interface bridge port
add bridge=bridge1 interface=ether2 pvid=50

3. Настраиваем поведение vlan на Access port
/interface bridge vlan
add bridge=bridge1 tagged=bridge1 untagged=ether2 vlan-ids=50

4. Далее настраиваем IP \DHCP \ DNS \ default route \ romon
/ip pool
add name=dhcp_pool1 ranges=192.168.50.2-192.168.50.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1.50 name=dhcp2
/ip address
add address=192.168.50.1/24 interface=bridge1.50 network=192.168.50.0
/ip dhcp-server network
add address=192.168.50.0/24 gateway=192.168.50.1
/ip dns
set servers=8.8.8.8
/ip route
add distance=1 gateway=172.16.5.10
/tool romon
set enabled=yes

Первый роутер:Trunk port \ Tagged port \ тег не снимаем \ конечное устройство должно уметь в tag

Продолжаем настройку
0. Создаем бридж bridge1.100
/interface vlan
add interface=bridge1 name=bridge1.100 vlan-id=100

1. Включаем тегирование на портах
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether3,ether4 untagged=ether2 vlan-ids=50
add bridge=bridge1 tagged=bridge1,ether3,ether4 vlan-ids=100

2. Не забываем добавить порты в бридж
/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4


3. Добавляем ip для bridge1.100
/ip address
add address=192.168.100.1/24 interface=bridge1.100 network=192.168.100.0

4. Далее настраиваем IP \ DHCP для bridge1.100
/ip pool
add name=dhcp_pool2 ranges=192.168.100.2-192.168.100.254
/ip dhcp-server
add address-pool=dhcp_pool2 disabled=no interface=bridge1.100 name=dhcp3
/ip dhcp-server network
add address=192.168.100.0/24 gateway=192.168.100.1

Второй роутер: Trunk port \ Tagged port \ тег не снимаем \ конечное устройство должно уметь в tag

0. Первым делом включаем фильтрацию vlan
/interface bridge
add ingress-filtering=no name=bridge1 vlan-filtering=yes

1. Создаем интерфейсы vlan 50 \ 100
/interface vlan
add interface=bridge1 name=bridge1.50 vlan-id=50
add interface=bridge1 name=bridge100 vlan-id=100

2.Добовляем порты в бридж и настраиваем access на портах ether3 \ ether4
/interface bridge port
add bridge=bridge1 ingress-filtering=no interface=ether1
add bridge=bridge1 ingress-filtering=no interface=ether2
add bridge=bridge1 ingress-filtering=no interface=ether3 pvid=50
add bridge=bridge1 ingress-filtering=no interface=ether4 pvid=100

3. Настраиваем vlan Trank и Access
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether1 untagged=ether3 vlan-ids=50
add bridge=bridge1 tagged=bridge1,ether1 untagged=ether4 vlan-ids=100

4. Для проверки включи dhcp-clietn
/ip dhcp-client
add interface=bridge1
add interface=bridge1.50
add interface=bridge100

Romo позволяет подключится через другой mikrotik
/tool romon
set enabled=yes

Третий роутер: Trunk port \ Tagged port \ тег не снимаем \ конечное устройство должно уметь в tag

Тут все аналогично второму роутеру

/interface bridge
add ingress-filtering=no name=bridge1 vlan-filtering=yes

/interface vlan
add interface=bridge1 name=bridge1.50 vlan-id=50
add interface=bridge1 name=bridge1.100 vlan-id=100

/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3 pvid=50
add bridge=bridge1 interface=ether4 pvid=100

/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether1 untagged=ether3 vlan-ids=50
add bridge=bridge1 tagged=bridge1,ether1,bridge1.100 untagged=ether4 vlan-ids=100

/ip dhcp-client
add interface=bridge1
add interface=bridge1.100
add interface=bridge1.50

/tool romon
set enabled=yes

info:

Начиная с прошивки 6.47 на канале stable маршрутизаторы(роутеры) MikroTik начали поддерживать долгожданную функцию proxy сервера Socks5

Настройка:

0. Активация Socks5:
IP -> Socks

1. Создание учётной записи для Socks5:
IP -> Socks -> Users

2. Ограничения
IP ->  Socks -> Access
В этом разделе можно определять правила access и deny, создавая некоторые ограничения для использования Socks.

3. Так же для работы прокси необходимо разрешить port в input
IP -> Firewall

4. Для клиента не обходимо будет настроить браузер "Proxy -> Manual Proxy -> Socks5". 

Настройка в консоли:

/ip socks
set enabled=yes port=24572 version=5
/ip socks users
add name=YO_USER_NAME password=YO_PASSWORD

Dante docker

docker pull dijedodol/simple-socks5-server
docker run -it --rm -p 1080:1080 -e 'SSS_USERNAME=your_username' -e 'SSS_PASSWORD=your_password' dijedodol/simple-socks5-server

Dante свой велосипед на debian \ ubuntu

0. Ставим пакеты:
apt-get update
apt-get upgrade
apt-get install build-essential libwrap0-dev libpam0g-dev libkrb5-dev libsasl2-dev
apt-get install libwrap0 libwrap0-dev
apt-get install gcc make
apt-get install cron

1. Качаем dante
cd /opt
wget https://www.inet.no/dante/files/dante-1.4.1.tar.gz
tar -xvf dante-1.4.1.tar.gz
cd dante-1.4.1

2. Ставим
mkdir /home/dante
./configure --prefix=/home/dante
make
make install

3. Создаем конфиг
vim  /home/dante/danted.conf
----------------------------
logoutput: syslog /var/log/danted.log
internal: eth0 port = 1080
external: eth0
 
socksmethod: username
user.privileged: root
user.unprivileged: nobody
 
client pass {
    from: 0.0.0.0/0 to: 0.0.0.0/0
    log: error
}
 
socks pass {
    from: 0.0.0.0/0 to: 0.0.0.0/0
    command: connect
    log: error
    method: username
}
----------------------------

4. Пример настройки автозапуска (Лучше рассмотреть запуск через systemd)
# нам нужно удостовериться, что сервис запустится при перезагрузке
crontab -e
# вставьте в crontab
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=your_email@some_mail.com
# запуск сервера как демона
/home/dante/sbin/sockd -f /home/dante/danted.conf -D

5.  Создаем пользователя для socks proxy
sudo useradd --shell /usr/sbin/nologin -m sockduser && sudo passwd sockduser


6. Пример простого firewall ufw на ubuntu (В принципе можно настроить iptables)
# - Инструкция - # https://wiki.dieg.info/socks
sudo apt install ufw
sudo ufw status
sudo ufw allow ssh
sudo ufw allow proto tcp from any to any port 1080
sudo ufw status numbered
sudo ufw enable

Ссылки:

https://wiki.mikrotik.com/wiki/Manual:Tools/Sms
https://weblance.com.ua/265-upravlenie-mikrotik-udalenno-pri-pomoschi-sms.html

Настройка приема смс

Tool –> SMS

Port – как несложно догадаться, это порт USB\LTE1, на котором находится наш модем

Channel – зависит от установленного модема; для Huawei E173 используется 2-й канал, для LTE нет настройки канала...

Secret – специальный пароль, без которого Mikrotik не будет выполнять команды во входящих SMS

Allowed Number – «разрешенный номер», опция необязательна, при её установке, Mikrotik будет выполнять команды только от указанного номера

Keep Max SMS – количество хранимых сообщений; все сообщения хранятся на SIM-карте, поэтому если вы укажите слишком большое количество, а количество сохраненных SMS достигнет предела, Mikrotik не сможет получать новые SMS



!!! ВНИМАНИЕ RouterOS после перезагрузки автоматически отключает приём SMS и после каждой перезагрузки эту опцию необходимо включать вручную
:delay 120s;
/tool sms set receive-enabled=yes

Отправка SMS-команд на Mikrotik Синтаксис команды следующий:

:cmd 1234567 script script_name

1234567 - Secret - специальный пароль, без которого Mikrotik не будет выполнять команды во входящих SMS
script_name - имя скрипта в System -> Scripts


:cmd 1234567 script reboot

Скрипты \ Включение приема SMS \ Перезагрузка маршрутизатора

+7НОМЕР_ТЕЛЕФОНА - номер на который отправляется смс 

/system script
add dont-require-permissions=no name=eneable_sms owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=":delay 120s;\r\
    \n/tool sms set receive-enabled=yes"
add dont-require-permissions=no name=reboot owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="/tool sms send lte1 \"+7НОМЕР_ТЕЛЕФОНА\" message=\"Rebooting Mikrotik...\"; :delay 5s; /system reboot"

Перезагрузка 3G-интерфейса

Создаем скрипт под названием «reboot3g», пишем в него код:
:log warning ("Rebooting 3G via SMS command"); 
/tool sms send usb1 channel=2 "+7НОМЕР_ТЕЛЕФОНА" message="Rebooting 3G modem..."; 
/interface ppp-client set ppp-out1 disable=yes; 
:delay 1s; 
/interface ppp-client set ppp-out1 disable=no;

Планировщик

/system scheduler
add name=eneable_sms on-event=eneable_sms policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-time=startup

mail основные параметры

/tool e-mail

address - IPv4/v6 адрес, SMTP сервера

from - имя или название почтового ящика, который будет показан получателю

password - пароль, который используется для аутентификации на SMTP сервере. 
В этом случае аутентификации не будет шифроваться. Для включения шифрования можно использовать функцию start-tls

port - порт SMTP сервера, по умолчанию 25

start-tls - может принимать значения no, yes и tls-only - разрешает только TLS шифрования без поддержки SSL

user - имя пользователя, которое будет использоваться для аутентификации на SMTP сервере.

e-mail sender / параметры отправки

/tool e-mail send

body - тело письма

cc - данный параметр позволяет поставить в копию дополнительных получателей

file - позволяет добавлять один или несколько файлов во вложении к письму

from - название или почтовый адрес, который будет показан как отправитель. 
Если ничего не указано, то будет взят from, который указывался при настройке сервера SMTP

password - пароль, который используется для аутентификации на SMTP сервере. 
Если ничего не указано, то будет взят password, который указывался при настройке сервера SMTP


port - порт SMTP сервера. 
Если ничего не указано, то будет взят port, который указывался при настройке сервера

server - адрес SMTP сервера. Если не указано, то используется параметр сервера, указанный при настройке

start-tls - использовать ли TLS шифрование

subject - тема письма

to - адрес получателя, которому предназначено письмо

user - имя пользователя, для аутентификации на сервере. 
Если не указано, то будет использоваться user из настроек сервера.

gmail настройка

Заходим в Tools -> Email.

Вводим адрес smtp сервера Gmail:
173.194.69.108

Port:
587

Start TLS:
yes

From:
ваша mail@gmail.com

User:
ваша почта (до знака @)

Password:
ваш пароль

Настройка почты в командной строке mikrotik:

!!! Без шифрования
/tool e-mail set server=192.168.1.34 set port=25 from=”mnmikrotik@mndomain.ru”

!!! Есть шифрование TLS (gmail)
/tool e-mail set address= 192.168.1.34
set port=587 
set from=mail@gmail.com
set user= "ваша почта (до знака @)"
set password= "ваш пароль"


!!! Проверка 
send to=mnadmin@mndomain.ru subject="HW!" body="Hello World!" start-tls=yes

NetWatch Пример с отправкой уведомления

На кладке Host заполняем:
Host - ip адрес которые будет пинговать
interval - через какае время утилита будет отсылать пакеты (по умолчанию 1 минута)
timeout - в течении которого времени должен прийти ответ (по умолчанию 1000 мс - 1 сек)

На вкладке Up прописываем скипт, который будет выполняться при появлении линка:
tool e-mail send to=mail@gmail.com  subject="Тема письма" body="Текст письма"

На вкладке Down прописываем скрипт который будет выполняться при обрыве линка:
tool e-mail send to=mail@gmail.com  subject="Тема письма" body="Текст письма"

Send backup to mail

Скрипт, который будет делать бэкап конфигурации роутера:
/export file=export /tool e-mail send to="mail@gmail.com"subject="$[/system identity get name] export" \ body="$[/system clock get date] configuration file" file=export.rsc

Скрипт на выгрузку конфигурации в планировщик:
/system scheduler add on-event="export-send" start-time=00:00:00 interval=24

Теперь каждый день нам на почту mail@gmail.com будет приходить свежая выгрузка резервной копии конфигурации нашего роутера.

NetWatch, перезапуск интерфейса в случи недоступности шлюза

Tool → NetWatch
NetWatch - умеет очень многое делать с интерфейсами.
Халявный VPN работает не всегда стабильно, в мое случае это пропадал шлюз 1.0.0.1.
Подключение не рвется, но доступ к веб ресурсам  работающим через vpn пропадает.
Решение банальное, пингуем шлюз 1.0.0.1 раз в 5 мин, если шлюз не доступен, 
перезапускам vpn-client public-vpn-119.opengw.net.
 


При down public-vpn-84.opengw.net:
interface l2tp-client disable public-vpn-84.opengw.net;
delay 2;
interface l2tp-client enable public-vpn-84.opengw.net;


В консоле: 
/tool netwatch
add down-script="interface l2tp-client disable public-vpn-119.opengw.net;\r\
    \ndelay 2;\r\
    \ninterface l2tp-client enable public-vpn-119.opengw.net;\r\
    \n" host=1.0.0.1 interval=5m

Встроенный WatchDog, перезагрузка устройства

Заходим в System -> Watchdog

Watchdog Timer ставим галочку для активации функции.
Watch Address — IP адрес, который будем пинговать, рекомендуется ставить адрес шлюза провайдера
Ping Start After Boot — интервал времени через который устройство будет пинговать IP адрес

Если требуется отправить уведомление о сбое на почту, заполняем следующие поля:
!!! Tools -> Email нужно предварительно настроить
Send Email To — почта на которую отправить уведомление
Send Email From — Email адрес отправителя. 
Send SMTP Server — SMTP сервер.



!!! На картинке ниже, каждый час наше устройство будет пинговать 8.8.8.8, как только они будут недоступны, MikroTik перезагрузится.

ссылки

https://habr.com/ru/post/467471/ - статья с картинками, "Душевный Mikrotik против бездушного РКН и такого же провайдера"
https://habr.com/ru/post/359268/
Простой обход блокировки сайтов Ростелекомом на маршрутизаторе MikroTik

https://weblance.com.ua/317-obhod-blokirovki-saytov-so-storony-provaydera-na-mikrotik-routeros.html
https://lantorg.com/article/nastrojka-vpn-cherez-mikrotik-pptp-i-pppoe
https://habr.com/ru/post/413049/ - Настройка BGP для обхода блокировок, версия 3, без VPS
https://habr.com/ru/post/435070/ - Введение в Layer 3 Firewall MikroTik

https://www.vpngate.net/en/ - дофига всякого VPN
https://www.softether.org/ - программа для VPN благодаря которой появился ресурс такой как www.vpngate.net

https://www.youtube.com/watch?v=7TNrETiNKAc - про скрипы на микротик

Создаем адрес лист с нужным доменами:

/ip firewall address-list
add address=rutracker.org list=site_block_provider
add address=nnmclub.to list=site_block_provider
add address=pi-hole.net list=site_block_provider
add address=loveread.ec list=site_block_provider

Пример настройки vpn клиента

https://www.vpngate.net/en/ - дофига всякого VPN

/ppp profile
add name=public-vpn use-encryption=yes use-ipv6=no

/interface l2tp-client
add allow=mschap2 connect-to=public-vpn-119.opengw.net disabled=no ipsec-secret=vpn name=public-vpn-119.opengw.net password=vpn profile=public-vpn use-ipsec=yes user=vpn

Настройка MANGALE, маркируем трафик для сайтов из листа site_block_provider , из сети 192.168.0.0/24(наша локалка)

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=site_block_provider new-routing-mark=site_block_provider passthrough=yes src-address=192.168.0.0/24

Настройка NAT

/ip firewall nat
add action=masquerade chain=srcnat comment="PUBLIC VPN" out-interface=public-vpn-119.opengw.net

Маршрут для помеченных site_block_provider маршрутов

/ip route
add distance=1 gateway=public-vpn-119.opengw.net routing-mark=site_block_provider

Немого firewall

/ip firewall filter
add action=accept chain=input comment="Allow icpm" protocol=icmp
add action=accept chain=input comment="Allow input lan  control" dst-port=8291 in-interface=LAN protocol=tcp
add action=accept chain=input comment="Allow  established, releated" connection-state=established,related

add action=drop chain=input comment="Public VPN input DROP" in-interface=public-vpn-119.opengw.net

add action=drop chain=input comment=HEAD_INVALID connection-state=invalid log-prefix=invalif
add action=drop chain=input comment="Drop input" in-interface=WAN log-prefix=_DROP_INPUT

add action=accept chain=forward comment="ALLOW VPN PUBLIC TO LAN" dst-port=80,443 in-interface=LAN out-interface=public-vpn-119.opengw.net protocol=tcp

add action=accept chain=forward comment="Allow established, releated" connection-state=established,related
add action=drop chain=forward comment="Deny Forward" connection-nat-state="" in-interface=GW log=yes log-prefix=_DROP_FORWARD

Костыль или решение проблемы с подключением к ресурсам:

Халявный VPN работает не всегда стабильно, в мое случае это пропадал шлюз 1.0.0.1.
Подключение не рвется, но доступ к веб ресурсам  работающим через vpn пропадает.
Решение банальное, пингуем шлюз 1.0.0.1 раз в 5 мин, если шлюз не доступен, 
перезапускам vpn-client public-vpn-119.opengw.net.


/tool netwatch
add down-script="interface l2tp-client disable public-vpn-119.opengw.net;\r\
    \ndelay 2;\r\
    \ninterface l2tp-client enable public-vpn-119.opengw.net;\r\
    \n" host=1.0.0.1 interval=5m

Ссылка

https://it.oneweb.pro/%D0%B1%D0%BB%D0%BE%D0%B3/zabbix-rsyslog-mikrotik/

Хотелка смотреть логи в zabbix:

mikrotik:
Настраиваем отправку логов на сервер с rsyslog

rsyslog:
module(load="imudp")  - модуль для приема логов по udp.
input(type="imudp" port="514") –udp порт который бут слушать наш rsyslog.
if $fromhost-ip contains '192.168.155.16' then /var/log/mikrotik.log

zabbix:
Имя элемента данных (называем его по имени клиента).
Тип Zabbix агент (активный) это обязательно.
Ключ - log[/var/log/mikrotik.log,,,100,skip,,] – указываем путь к файлу который будем мониторить и считывать с него данные.
Тим информации – Журнал лог.

mikrotik

1. Замена IP (SRC/DST)

Используется NAT (src-nat/dst-nat/masquerade) или mangle:

src-nat / masquerade → для подмены исходящего IP-адреса
dst-nat → для подмены назначения (редирект трафика)
mangle → для тонкой настройки (маркировка пакетов, изменение параметров)

Пример смены SRC IP:
/ip firewall nat add chain=srcnat action=src-nat to-addresses=192.168.1.100 out-interface=ether1

Пример смены DST IP:
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.200 protocol=tcp dst-port=80

2. Замена MAC-адреса (SRC/DST)

Для этого используется Bridge Filter:
src-mac-address → подмена отправителя
dst-mac-address → подмена получателя

Пример смены SRC MAC:
/interface bridge filter add chain=forward action=set-src-mac-address new-src-mac-address=00:11:22:33:44:55

Пример смены DST MAC:
/interface bridge filter add chain=forward action=set-dst-mac-address new-dst-mac-address=66:77:88:99:AA:BB

Но важный момент:
MikroTik не предназначен для полного L2 NAT (подмены MAC + IP глобально), но в рамках моста (bridge) можно менять MAC.

linux

Подмена исходящего IP (SRC IP):
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.100

Это заменит исходящий IP на 192.168.1.100 для пакетов, выходящих через eth0.
Если у тебя динамический IP, лучше использовать MASQUERADE:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Подмена назначения (DST IP):
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.200


Замена MAC-адресов (SRC/DST):
Подмена MAC-адреса источника (SRC MAC):
ebtables -t nat -A POSTROUTING -o eth0 -j snat --to-src 00:11:22:33:44:55

Подмена MAC-адреса назначения (DST MAC):
ebtables -t nat -A PREROUTING -i eth0 -j dnat --to-dst 66:77:88:99:AA:BB

Настройка:

ip proxy set enabled=yes port=8080 src-address=195.10.10.1 включение
ip proxy print показать настройки

вот так включить прозрачный прокси
ip firewall nat add chain=dstnat protocol=tcp src-address=192.168.1.0/24 \ dst-port=80 action=redirect to-ports=8080

запрет к сайтам 
ip proxy access add dst-host=www.facebook.com action=deny
ip proxy access add src-address=192.168.1.0/24 dst-host=www.facebook.com action=deny
ip proxy access add dst-host=:mail action=deny

к загружаемым файлам
ip proxy access
add path=*.flv action=deny
add path=*.avi action=deny
add path=*.mp4 action=deny
add path=*.mp3 action=deny
add path=*.zip action=deny
add path=*.rar action=deny

Источники:

http://habrahabr.ru/post/179149/

MikroTik — быстрая настройка точки доступа

Сетевые технологии*, Серверное администрирование*, Радиосвязь*
Очень часто у нынешних «Системных администраторов», возникает проблема с настройкой 802.11 оборудования, 
попробую объяснить на доходчивом уровне.
В данном посте попробую рассказать, как настроить обычную точку доступа на оборудовании MikroTIk 751,951,2011 etc 802.11 b/g/n
Я приведу пример готовой настройки и расскажу только об основных настройках, так как в рамках 
одной стати сложно описать весь принцип работы и настройки 802.11.
Прошу не считать данный пост как догму.

И так прежде чем настраивать MikroTik, я рекомендую, сбрось настройки WLAN.

Вкладка (Wireless)
Mode: — режим работы нашей карточки выбираем «ap bridge»
Band: — Какие стандарты будут поддерживаться нашей точкой доступа, выбираем «2ghz-b/g/n»
SSID: — Тут всё просто, название нашей сети

Wireless Protocol: какие протоколы для работы будет использоваться наша точка, тут стоит указать только 802.11, 
так как мы не будем делать «Новогоднюю ёлку из нашей точки доступа», а просто обычная точка доступа.

Country: Выбираем нашу страну. Наверняка возникает вопрос, а зачем? Ответ: Законодательством разных стран, 
разрешены разные частоты, чтобы нам не получить аплеуху от РОСКОМНАДЗОР-а,
MikroTik не даст нам возможности работать с другими частотами.

Antenna Gain: Если у вас есть внешняя антенна обязательно укажите её усиление, с расчётом -0,5, на соединительный узел. 
А также если вы используете кабель, посмотрите маркировку на кабеле, затухание на единицу измерения (метр, 10 метров etc) 
кабеля и введите значение с учётом затухания кабеля.

WMM Support: Если вы будите использовать Multicast, то установите эту опцию в Enabled, 
это даст большие гарантии на доставление этого пакета. Если вы настраиваете MikroTik дома то включите эту опцию, 
если же это ресторан или конференц зал, то сожрать весь канал может один клиент.

Вкладка (Data Rates)
Здесь всё просто 
Rate Selection: выбираем Legaсy расширенная поддержка (для старых устройств), 
без этой опции старый баркодер не как не хотел ужиться с Mikrotik-ом

Вкладка. (Advanced)
Distance: Очень интересный параметр, если клиенты находятся в одном помещении и примерно на одном расстоянии, 
ну допустим все в радиусе 20 метров от точки доступа то укажите indoors, если у вас открытая местность поле или конференц зал, 
и клиенты находятся на разных расстояниях более 0-20 метров то укажите значение dynamic. Ну и третье если клиенты находятся 
на одном расстоянии, допустим 1км, то так и укажите. Данная опция позволяет Mikrotik 
по вшитому алгоритму рассчитывать доставлен ли пакет до нужного адресата.

Periodic Calibration: Дело в том, что чип WiFi во время свое работы греется, и из-за этого может частота съезжать немного, 
соответственно включите эту опцию. Следующее поле оставьте равным одной минуте. 
Будет происходить калибровка частоты каждую минуту. 

Не хотел писать про этот пункт.
Hw. Protection Mode: Данный пункт может помочь в решении проблемы скрытого узла, если указать «rts cts». 
Совсем кратко: 802.11 (он же вифи) – это единая среда передачи данных (Вспомните устройство ХАБ), 
а в стандарте 802.11 указанно, что клиенты сами определяют между собой, кто и когда будет производить запись, 
НО есть один нюанс это условие будет работать, только если клиенты видят друг друга напрямую. 
Если же два клиента начнут писать одновременно, то мы получаем коллизию.
Как пример представим себе некое поле (То которое на рабочем столе Windows XP).
На нём располагается точка доступа на рисунке красная точка, и её радиус бледно красным.

А также 
Шрайбикус (A), Вася (B), Коля (С)

Шрайбикус и Вася могут быть нормальными участниками и работать в сети без сбоев, но, 
а вот из-за Коляна могут возникнуть проблемы у всех, дело в том, что Шрайбикус и 
Вася могут общаться напрямую и определять, кто из них будет вещать в данный промежуток времени. 
А вот Коля не видит не одного из участников нашей сети, и может смело вещать в любой момент даже в тот, 
когда Вася или Шрайбикус будут также вещать, из-за этого и появляются коллизии.

Вернёмся к настройке MikroTik значение rts cts, если просто то «Точка доступа сама будет управлять, 
кому вещать в данный момент», что решит проблему скрытого узла. Данный параметр слегка снизит пропускную способность, 
и увеличит нагрузку на точку доступа. (Обязательный параметр)

Adaptive Noise Immunity: этот параметр позволяет чипу 802.11, отфильтровывать шумы, 
ну как пример отражённый сигнал самой точки доступа от соседнего здания. 
Установите значение равное “ap and client mode”

Вкладка (HT)
Здесь поставить только две галки
HT Tx Chains – Установить галки в chain0 и chain1
HT Rx Chains – Установить галки в chain0 и chain1

У SOHO MikroTik обычно две встроенные антенны, 
соответственно данный параметр говорит через какие антенны принимать и передавать. 

Вкладка (TX Power)
Большинство MIkroTik используют 1W передатчики, но по нашему законодательству, 
разрешено использовать точки доступа без регистрации не более 0.1W.
В вкратце усиление в 17 dBm – Примерно 0.1W увеличение на три пункта, 
увеличивает мощность передатчика вдвое. 
И того:
18 dBm ~ 0.12W
21 dBm ~ 0.25W
24 dBm ~ 0.5W
27 dBm ~ 1W(по умолчанию обязательно убрать ) — Микроволновка )))) 

Настоятельно рекомендую установить значение, равным 15 и если не будет хватать, то поднять не белее 17-19.

Собственно всё, мы почти закончили теперь нам необходимо выбрать канал (частоту) и ширину канала.
Именно на этом этапе чаще всего допускаю ошибки, поэтому оставил на конец.
И так откинем сразу шируну канала 5 и 10 MHz, так как половина домашнего оборудования на такой ширине работать не будет. 
В следующих постах расскажу, где можно использовать такую ширину.

Нам доступен следующий диапазон 2412-2472, хитрым математическим анализом мы узнали, что нам доступна ширина в 60MHz. 
Давайте посмотрим спектральный анализ всего диапазона.
[admin@test] /interface wireless> spectral-history wlan1 range=2412-2472

Мы видим, что для нас оптимальный вариант это частоты 2425-2445 (2437)

Мы видим, что вроде всё хорошо, а теперь посмотри, кто и что сидят в эфире.
[admin@test] /interface wireless> scan wlan1
ADDRESS	SSID	BAND	CHANNEL-WIDTH	FREQ	SIG	NF	SNR
AP	AC:F1:DF:26:29:60	sunchess	2ghz -n	20mhz	2412	-88	-115	27
AP	1C:AF:F7:28:55:32	Irisha	2ghz -n	20mhz	2412	-45	-115	70
AP	54:E6:FC:CD:4D:70	PAL	2ghz -n	20mhz	2417	-87	-116	29
AP	26:FF:3F:46:1B:74	InterZet-107	2ghz -n	20mhz	2417	-82	-116	34
AP	A0:21:B7:BC:91:1A		2ghz -n	20mhz	2422	-82	-117	35
AP	90:F6:52:99:AB:F4	Igor	2ghz -n	20mhz	2432	-62	-118	56
AP	90:F6:52:C8:F2:30	TP-LINK_C8F230	2ghz -n	20mhz	2437	-78	-118	40
P	00:21:27:E9:C5:C4	SeRgey-Net	2ghz -n	20mhz	2437	-89	-118	29
AP	DE:71:44:4F:44:73	DIRECT-hB[TV]UE32ES6307	2ghz -n	20mhz	2437	-79	-118	39
AP	00:14:D1:3B:5C:B3	TRENDnet	2ghz -n	20mhz	2437	-76	-118	42
P	A0:F3:C1:84:C2:CA	Nos_FamilyNet	2ghz -n	20mhz	2442	-90	-117	27
AP	F8:D1:11:43:94:00	iz-gw-48312-160	2ghz -n	20mhz	2452	-74	-116	42
AP	B8:A3:86:1F:C3:AE	nasha	2ghz -n	20mhz	2457	-54	-116	62
AP	90:A4:DE:5C:1D:95	Connectify-me	2ghz -n	20mhz	2462	-72	-117	45
AP	54:04:A6:C6:AC:94	ASUS	2ghz -n	20mhz	2462	-58	-117	59
00:00:00:00:64:00	\AC\02\02\00\00\0F\AC\04\…	2ghz -n	20mhz	2472	-89	-117	28
P	BC:F6:85:3F:2A:9A	Dimitrakis	2ghz -n	20mhz	2437	-91	-118	27
AP	E0:91:F5:E7:D8:72	bui_family	2ghz -n	20mhz	2437	-90	-118	28

В данном выводе меня смутил одни товарищ, который выделен, название очень смахивает на телевизор, 
если на телике смотрят видео, а не телетекст то на этом канале мы можем попрощаться с нормальной работой WIFI, 
так как мультикаст и потоковое видео будет занимать весь свободный канал. (поживём увидим)
В нашем случае оптимальный канал это 2437. мы будем делить канал между 2427-2447.

Ширина канала выбирается просто, если у нас во всём диапазоне всего пару точек, и всё они без каких, либо косяков, 
что-то вроде мультикаста и т.п.д.
Каналы 2412-2457 можно использовать как Above
Каналы 2432-2472 можно использовать как Below
Но такую ширину использовать только, когда действительно у вас частота чистая.

Также стоит ещё раз напомнить, что WIFI это единая среда передачи данных. Если вдруг на тех же частотах(2452-2472), 
появится клиент с 802.11 g, то все участники этой частоты, 
будут работать со скоростью, что и наш клиент со старенькой карточкой. 

На этом всё.

Генерируем сертификаты(создавал opensslна debian7):

0. cd /etc/ssl

1. Генерируем ключ с кодовой фразой (позже мы её уберем). Имя ключа произвольное, в примере «cr».
openssl genrsa -des3 -out cr.key 4096

2. Формируем CSR запрос (важный момент)
Используем наш ключ из шага 1 и кодовую фразу.
Обратите внимание, что CN запись должна соответствовать IP адресу SSTP сервера.
openssl req -new -key cr.key -out cr.csr
вот так отвечал. 1.2.3.4 мой адрес
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:1.2.3.4
Locality Name (eg, city) []:1.2.3.4
Organization Name (eg, company) [Internet Widgits Pty Ltd]:1.2.3.4
Organizational Unit Name (eg, section) []:1.2.3.4
Common Name (e.g. server FQDN or YOUR name) []:1.2.3.4
Email Address []:mail@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: ничего не вводил
An optional company name []: ничего не вводил

3. Убираем кодовую фразу из ключа
cp cr.key cr-secret.key 
openssl rsa -in cr-secret.key -out cr.key

4. Генерируем  сертификат
openssl x509 -req -days 3650 -in cr.csr -signkey cr.key -out cr.crt

Импортируем сертификат в Mikrotik

0. копируем файлы cr.crt cr.key на микротик
1. заходим в консоль на микротик 
certificate import file=cr.crt
certificate> import file=cr.key
2. включаем SSTP сервер
interface sstp-server server
set authentication=pap,chap,mschap1,mschap2 certificate=cert1 \
default-profile=default enabled=yes keepalive-timeout=60 max-mru=1500 \
max-mtu=1500 mrru=disabled port=443 verify-client-certificate=no

Импортируем сертификат на клиенте

0.Для импорта необходимо от административной учетной записи открыть certmgr.msc. 
Далее Вид > Параметры … и установить флаг «Также показывать физические хранилища».
1.Затем, заходим в Доверенные корневые центры сертификации > Локальный компьютер и делаем в него Импорт нашего сертификата cr.crt.
2.При создании VPN в параметрах безопасности выбираете SSTP.

Страница wiki о лицензиях на Микротик wiki.mikrotik.com
Free Demo — можно получить зарегистрировавшись на www.mikrotik.com

Как сбросить настройки Микротик к заводским ?

С помощью кнопки reset:

1. Отключить питание на устройстве Микротик
2. Зажмите кнопку RESET,  например при помощи спички.
Не рекомендуется использовать твердые и металлические предметы чтобы не повредить кнопку.
Если вы все- таки повредите кнопку RESET, то практически у всех устройств Микротик есть специальные контакты для сброса конфигурации, 
замыкание которых  любым металлическим предметом, например отверткой, 
аналогично нажатию кнопки RESET.
3. Удерживая кнопку RESET в нажатом состоянии,  включите питание маршрутизатора Микротик.
4. Удерживайте кнопку RESET нажатой примерно 10 секунд- пока не начнет мигать светодиодный индикатор ACT.
5. После этого отпустите кнопку RESET и дождитесь восстановления первоначальной конфигурации и перезагрузки маршрутизатора Mikrotik (занимает примерно минуту).

Восстановление оборудования на базе RouterOS MikroTik с помощью инструмента Netinstall:

Подготовка
0. Прошивки, winbox, NetInstall скачиваем с официального сайта  http://www.mikrotik.com/download
   Распаковываем netinstall, прошивку копируем в папку к netinstall
1. На время обновления отключить все имеющиеся у вас средства мониторинга и защиты (антивирусы, брандмауэр).
   Подключить микротик к пк.
2. Назначить сетевому интерфейсу вашего ПК адрес 192.168.88.2 маска 255.255.255.0
3. Запускаем winbox и убеждаемся что устройства mikrotik не видно

Прошивка
0. Запустите Netinstall с правами администратор и в Net Booting - укажите IP адрес 192.168.88.1
1. Нажав и удерживая кнопку Reset, включите маршрутизатор.
   Удерживайте кнопку до тех пор, пока индикатор ACT не начнет и не закончит моргать ((примерно секунд 20) ждем когда появится микротик). 
   После того, как вы отпустили кнопку, в поле Routers/Drivers утилиты Netinstall должен 
   появиться ваш маршрутизатор (если не появился, подождите несколько секунд).
2. После того, как нужное вам устройство появилось, щелкните на него мышкой и 
   выберите для него необходимую прошивку (в поле From: необходимо указать путь до папки с прошивкой).
   Если устройство в списке не появилось, попробуйте сделать все заново.
   Может рано отпустили ресет или переждали.
   В тяжелых случаях поможет только СЦ.
3. Когда прошивка загрузится кнопка install станет reboot. Жмем reboot.
4. Запускаем winbox -> neighbors -> в списке выберем наш микротик по MAC (ip 0.0.0.0)
   Настраиваем по вкусу. default login:admin default password:нету

Источники:

http://it-pages.ru/mikrotik-blokirovka-sajjtov-s-pomoshhyu-layer7-na-mikrotik-routeros.html

Создаем правила:

/ip firewall layer7-protocol
add name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|fall-in-love|loveplanet|my.mail.ru).*\$"
/ip firewall filter
add action=drop chain=forward comment="Block_social" layer7-protocol=social src-address-list=CU_BLOCK_SOCIAL
Теперь у пользователь которые находятся в листе CU_BLOCK_SOCIAL не будут открываться сайты социальных сетей ,в том числе через анонимайзеры.

ссылки:

https://social.technet.microsoft.com/Forums/windowsserver/en-US/2423a8dd-787b-4a11-a6a6-ee62b6c4a6ae/windows-deployment-services-and-mikrotik?forum=winserversetup
https://community.spiceworks.com/topic/455323-pxe-works-sometimes-wds-2012
ошибка: no response from windows deployment services server
ошибка: 0xc0000001
ошибка: 0x7f8d8101

настройка mikrotik:

1) DHCP Server -> Options

pxeclient
-------------------------
Name:pxeclient
Code:67
Value:'boot\x86\wdsnbp.com'
------------------------

wds
------------------------
Name:wds
Code:66
Value:'IP_address_WDS_SERVER'
------------------------

2) DHCP Server -> Network
Выбираем dhcp-network
------------------------
Address: IP_NETWORK_MASK (пример 192.168.1.0/24)
Gateway: IP_GW (пример 192.168.1.1)
Netmask: Mask (пример 24)
Next Server: IP_WDS (пример 192.168.1.240)
DHCP Option: wds (из списка выбираем wds)

Дополнительно к mikrotik:

Options:
-----------------------
name: GMT Offset 
code: 2
value: '14400'
-----------------------
name: boofile
code: 67
value:'wdsnbp.com'
-----------------------
name: WDS TFTP Server
code: 66
value: IP_ADDRESS
-----------------------

DHCP-server:
-----------------------
boot_file_name: boot\x86\wdsnbp.com
next_server: IP_ADDRESS
------------------------


Option set
------------------------
GMT Offset
bootfile
WDS TFTP Server
------------------------

настройка wds:

!!!Рекомендуется устанавливать standalone
0) Начальная настройка проста Next...Выбор каталога...Next...
1) пкм -> сервер свойства -> 
2) Отклик PXE
x - Отвечает всем клиентским компьютерам 
3) Загрузка
Известные клиенты:
x - Всегда продолжить PXE-загрузку
Неизвестные клиенты:
x - Всегда продолжить PXE-загрузку
4) TFTP 
Максимальный размер блока:
1024
Расширение для изменения размера окна:
x - Включить расширение для изменения размера окна
5) Сеть
x - получить динамические порты от Winsock
6) Многоадресная рассылка
Ip-адрес многоадресной рассылки:
x - Использовать адреса из следующего диапазона
Параметры переноса:
x - Поддерживать одинаковую скорость для всех клиентов
7) Дополнительно
x - разрешить службам развертывания Windows динамически
обнаруживать допустимые серверы доменов (рекомендуется)

образы:

образ установки - образы установки (добавляются файлом disk:\source\install.wim)
образ загрузки - (добавляются файлом disk:\source\boot.wim) 
образ загрузки -> образ захвата \ образ записи - добавляется на основе обора загрузки (ПКМ->создать) 
Драйверы - сюда добавляем драйверы, после их можно добавить в любой образ

Решение при проблеме с загрузкой клиентов:

1.  Останавливаем службу WDS (Windows Deployment Services)
2.  В каталоге D:\RemoteInstall\Mgmt переименовываем Mgmt в Mgtm1
3.  Создаем каталог Mgtm
4.  Запускам WDS