1 2 |
/system logging action set memory memory-lines=1 /system logging action set memory memory-lines=1000 |
1 2 |
/system logging action set memory memory-lines=1 /system logging action set memory memory-lines=1000 |
Ссылки:
1 |
https://xn----7sba7aachdbqfnhtigrl.xn--j1amh/nastrojka-mikrotik-mesh-edinaya-wifi-set/ |
router gw
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 |
/interface bridge add admin-mac=1A:D2:D1:B2:42:7A auto-mac=no name=Bridge-LAN /interface wireless set [ find default-name=wlan1 ] ssid=MikroTik set [ find default-name=wlan2 ] ssid=MikroTik /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=Ip-Pool-LAN ranges=10.113.96.2-10.113.96.254 /ip dhcp-server add address-pool=Ip-Pool-LAN disabled=no interface=Bridge-LAN lease-time=3d \ name=DHCP-LAN /interface bridge port add bridge=Bridge-LAN interface=ether2 add bridge=Bridge-LAN interface=ether3 add bridge=Bridge-LAN interface=ether4 add bridge=Bridge-LAN interface=ether5 add bridge=Bridge-LAN interface=wlan1 add bridge=Bridge-LAN interface=wlan2 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add interface=ether1 list=WAN add interface=Bridge-LAN list=LAN /ip address add address=10.113.96.1/24 interface=Bridge-LAN network=10.113.96.0 /ip dhcp-client add disabled=no interface=ether1 use-peer-dns=no /ip dhcp-server network add address=10.113.96.0/24 dns-server=10.113.96.1 gateway=10.113.96.1 \ netmask=24 /ip dns set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1 /ip firewall filter add action=accept chain=forward connection-state=established,related add action=accept chain=input connection-state=established,related add action=accept chain=forward in-interface-list=LAN add action=accept chain=input in-interface-list=LAN add action=accept chain=input in-interface-list=WAN protocol=icmp add action=drop chain=input in-interface-list=WAN add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=WAN add action=drop chain=input connection-state=invalid add action=drop chain=forward connection-state=invalid /ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Europe/Kiev /system identity set name=MikroTik-Mesh-1 /tool bandwidth-server set enabled=no /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN /tool mac-server ping set enabled=no |
wifi 5Ghz
1 2 3 4 5 6 7 8 9 10 11 12 13 |
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik add authentication-types=wpa2-psk eap-methods="" group-key-update=20m mode=\ dynamic-keys name=Security-WiFi supplicant-identity="" \ wpa2-pre-shared-key=mikrotikconfigukr /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \ country=no_country_set disabled=no frequency=auto mode=ap-bridge \ security-profile=Security-WiFi ssid=MT-Mesh wireless-protocol=802.11 set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\ 20/40/80mhz-XXXX disabled=no mode=ap-bridge security-profile=\ Security-WiFi ssid=MT-Mesh wds-default-bridge=Bridge-LAN wds-mode=\ dynamic-mesh wireless-protocol=802.11 |
mesh 1
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
# jan/02/1970 00:04:51 by RouterOS 6.46.8 # software id = IT5K-H6ER # # model = RB952Ui-5ac2nD # serial number = D3D50C2AA773 /interface bridge add admin-mac=EA:14:AA:61:09:9B auto-mac=no name=Bridge-LAN /interface wireless set [ find default-name=wlan1 ] ssid=MikroTik set [ find default-name=wlan2 ] ssid=MikroTik /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /interface bridge port add bridge=Bridge-LAN interface=all /ip dhcp-client add disabled=no interface=Bridge-LAN /system identity set name=MikroTik-Mesh-2 |
mesh 2
1 2 3 4 5 6 7 8 9 10 11 12 13 |
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik add authentication-types=wpa2-psk eap-methods="" group-key-update=20m mode=\ dynamic-keys name=Security-WiFi supplicant-identity="" \ wpa2-pre-shared-key=mikrotikconfigukr /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \ country=no_country_set disabled=no frequency=auto mode=ap-bridge \ security-profile=Security-WiFi ssid=MT-Mesh wireless-protocol=802.11 set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\ 20/40/80mhz-XXXX disabled=no mode=ap-bridge security-profile=\ Security-WiFi ssid=MT-Mesh wds-default-bridge=Bridge-LAN wds-mode=\ dynamic-mesh wireless-protocol=802.11 |
1 |
Ссылки:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table https://help.mikrotik.com/docs/display/ROS/VLAN https://www.youtube.com/watch?v=wbmHmCDce5Y&ab_channel=MikrotikTraining https://www.youtube.com/watch?v=h_IouVogCME&ab_channel=bozza https://www.youtube.com/watch?v=dSN4mIYe9A0&ab_channel=bozza https://xn----7sba7aachdbqfnhtigrl.xn--j1amh/nastrojka-vlan-v-mikrotik-trunk-i-access-porty/ https://habr.com/ru/post/578126/ https://deps.ua/knowegable-base-ru/primery-tehnicheskih-reshenij/9154.html https://lanmarket.ua/stats/bazovye-osnovy-nastroyki-vlan-v-routeros-na-oborudovanii-mikrotik-vlan-dlya-chaynikov-segmentatsiya/ https://bozza.ru/art-353.html |
Несколько вариантов настройки vlan \ винегрет
1 2 3 4 5 6 |
0. В интерфейсах И на интерфейсы навешивать vlan 1. В бриджах 2. В настройках switch чипа |
access \ untagged port \ cнемаем vlan tag \ конечные устройства ничего не знают tag
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 |
0. Создаем бридж /interface bridge add name=bridge1 vlan-filtering=yes 1. Создаем vlan на порту, pvid 50 /interface vlan add interface=bridge1 name=bridge1.50 vlan-id=50 2. Добавляем порт в бридж и устанавливаем ему vlan, pvid=50 /interface bridge port add bridge=bridge1 interface=ether2 pvid=50 3. Настраиваем поведение vlan на Access port /interface bridge vlan add bridge=bridge1 tagged=bridge1 untagged=ether2 vlan-ids=50 4. Далее настраиваем IP \DHCP \ DNS \ default route \ romon /ip pool add name=dhcp_pool1 ranges=192.168.50.2-192.168.50.254 /ip dhcp-server add address-pool=dhcp_pool1 disabled=no interface=bridge1.50 name=dhcp2 /ip address add address=192.168.50.1/24 interface=bridge1.50 network=192.168.50.0 /ip dhcp-server network add address=192.168.50.0/24 gateway=192.168.50.1 /ip dns set servers=8.8.8.8 /ip route add distance=1 gateway=172.16.5.10 /tool romon set enabled=yes |
Первый роутер:Trunk port \ Tagged port \ тег не снимаем \ конечное устройство должно уметь в tag
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
Продолжаем настройку 0. Создаем бридж bridge1.100 /interface vlan add interface=bridge1 name=bridge1.100 vlan-id=100 1. Включаем тегирование на портах /interface bridge vlan add bridge=bridge1 tagged=bridge1,ether3,ether4 untagged=ether2 vlan-ids=50 add bridge=bridge1 tagged=bridge1,ether3,ether4 vlan-ids=100 2. Не забываем добавить порты в бридж /interface bridge port add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 3. Добавляем ip для bridge1.100 /ip address add address=192.168.100.1/24 interface=bridge1.100 network=192.168.100.0 4. Далее настраиваем IP \ DHCP для bridge1.100 /ip pool add name=dhcp_pool2 ranges=192.168.100.2-192.168.100.254 /ip dhcp-server add address-pool=dhcp_pool2 disabled=no interface=bridge1.100 name=dhcp3 /ip dhcp-server network add address=192.168.100.0/24 gateway=192.168.100.1 |
Второй роутер: Trunk port \ Tagged port \ тег не снимаем \ конечное устройство должно уметь в tag
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 |
0. Первым делом включаем фильтрацию vlan /interface bridge add ingress-filtering=no name=bridge1 vlan-filtering=yes 1. Создаем интерфейсы vlan 50 \ 100 /interface vlan add interface=bridge1 name=bridge1.50 vlan-id=50 add interface=bridge1 name=bridge100 vlan-id=100 2.Добовляем порты в бридж и настраиваем access на портах ether3 \ ether4 /interface bridge port add bridge=bridge1 ingress-filtering=no interface=ether1 add bridge=bridge1 ingress-filtering=no interface=ether2 add bridge=bridge1 ingress-filtering=no interface=ether3 pvid=50 add bridge=bridge1 ingress-filtering=no interface=ether4 pvid=100 3. Настраиваем vlan Trank и Access /interface bridge vlan add bridge=bridge1 tagged=bridge1,ether1 untagged=ether3 vlan-ids=50 add bridge=bridge1 tagged=bridge1,ether1 untagged=ether4 vlan-ids=100 4. Для проверки включи dhcp-clietn /ip dhcp-client add interface=bridge1 add interface=bridge1.50 add interface=bridge100 Romo позволяет подключится через другой mikrotik /tool romon set enabled=yes |
Третий роутер: Trunk port \ Tagged port \ тег не снимаем \ конечное устройство должно уметь в tag
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 |
Тут все аналогично второму роутеру /interface bridge add ingress-filtering=no name=bridge1 vlan-filtering=yes /interface vlan add interface=bridge1 name=bridge1.50 vlan-id=50 add interface=bridge1 name=bridge1.100 vlan-id=100 /interface bridge port add bridge=bridge1 interface=ether1 add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 pvid=50 add bridge=bridge1 interface=ether4 pvid=100 /interface bridge vlan add bridge=bridge1 tagged=bridge1,ether1 untagged=ether3 vlan-ids=50 add bridge=bridge1 tagged=bridge1,ether1,bridge1.100 untagged=ether4 vlan-ids=100 /ip dhcp-client add interface=bridge1 add interface=bridge1.100 add interface=bridge1.50 /tool romon set enabled=yes |
info:
1 |
Начиная с прошивки 6.47 на канале stable маршрутизаторы(роутеры) MikroTik начали поддерживать долгожданную функцию proxy сервера Socks5 |
Настройка:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
0. Активация Socks5: IP -> Socks 1. Создание учётной записи для Socks5: IP -> Socks -> Users 2. Ограничения IP -> Socks -> Access В этом разделе можно определять правила access и deny, создавая некоторые ограничения для использования Socks. 3. Так же для работы прокси необходимо разрешить port в input IP -> Firewall 4. Для клиента не обходимо будет настроить браузер "Proxy -> Manual Proxy -> Socks5". |
Настройка в консоли:
1 2 3 4 |
/ip socks set enabled=yes port=24572 version=5 /ip socks users add name=YO_USER_NAME password=YO_PASSWORD |
Dante docker
1 2 |
docker pull dijedodol/simple-socks5-server docker run -it --rm -p 1080:1080 -e 'SSS_USERNAME=your_username' -e 'SSS_PASSWORD=your_password' dijedodol/simple-socks5-server |
Dante свой велосипед на debian \ ubuntu
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 |
0. Ставим пакеты: apt-get update apt-get upgrade apt-get install build-essential libwrap0-dev libpam0g-dev libkrb5-dev libsasl2-dev apt-get install libwrap0 libwrap0-dev apt-get install gcc make apt-get install cron 1. Качаем dante cd /opt wget https://www.inet.no/dante/files/dante-1.4.1.tar.gz tar -xvf dante-1.4.1.tar.gz cd dante-1.4.1 2. Ставим mkdir /home/dante ./configure --prefix=/home/dante make make install 3. Создаем конфиг vim /home/dante/danted.conf ---------------------------- logoutput: syslog /var/log/danted.log internal: eth0 port = 1080 external: eth0 socksmethod: username user.privileged: root user.unprivileged: nobody client pass { from: 0.0.0.0/0 to: 0.0.0.0/0 log: error } socks pass { from: 0.0.0.0/0 to: 0.0.0.0/0 command: connect log: error method: username } ---------------------------- 4. Пример настройки автозапуска (Лучше рассмотреть запуск через systemd) # нам нужно удостовериться, что сервис запустится при перезагрузке crontab -e # вставьте в crontab SHELL=/bin/sh PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin MAILTO=your_email@some_mail.com # запуск сервера как демона /home/dante/sbin/sockd -f /home/dante/danted.conf -D 5. Создаем пользователя для socks proxy sudo useradd --shell /usr/sbin/nologin -m sockduser && sudo passwd sockduser 6. Пример простого firewall ufw на ubuntu (В принципе можно настроить iptables) # - Инструкция - # https://wiki.dieg.info/socks sudo apt install ufw sudo ufw status sudo ufw allow ssh sudo ufw allow proto tcp from any to any port 1080 sudo ufw status numbered sudo ufw enable |
ссылки
1 2 3 4 5 6 7 8 9 10 |
https://ru.wikibooks.org/wiki/Iptables https://tools.ietf.org/html/rfc1627 https://help.mikrotik.com/docs/display/ROS/Firewall https://wiki.mikrotik.com/wiki/Basic_universal_firewall_script https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall https://b14esh.com/device-%d1%83%d1%81%d1%82%d1%80%d0%be%d0%b9%d1%81%d1%82%d0%b2%d0%b0-%d0%b6%d0%b5%d0%bb%d0%b5%d0%b7%d0%be/mikrotik/mikrotik-home-config-firewall.html https://youtu.be/F8sf6NUzQHA - видео mikrotik firewall Роман Козлов https://mum.mikrotik.com/2018/RUM/agenda/RU - видео firewall Васильев Кирилл https://www.youtube.com/watch?v=b-qFyuSnuBQ&feature=youtu.be&ab_channel=MikroTik - видео multiwan Васильев Кирилл |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
---|
!!!
1 2 3 4 |
0. Правила в firewall доминирующие, то есть применяются по порядку сверху в них. 1. Цепочка Input трафик идущий на роутер 2. Цепочка Output трафик идущий из роутера 3. Цепочка Forward трафик идущий через роутер |
Bridge
1 2 3 4 5 6 7 8 |
/interface bridge add name=br-lan /interface bridge port add bridge=br-lan interface=ether2 add bridge=br-lan interface=ether3 add bridge=br-lan interface=ether4 add bridge=br-lan interface=ether5 |
Интерфейс лист
1 2 3 4 5 6 7 |
/interface list add name=WAN add name=LAN /interface list member add interface=ether1 list=WAN add interface=br-lan list=LAN |
ip address
1 2 3 |
/ip address add address=172.16.3.1/24 interface=br-lan network=172.16.3.0 add address=10.1.1.1/24 interface=br-lan network=10.1.1.0 |
DHCP
1 2 3 4 5 6 7 8 |
/ip pool add name=dhcp_172.16.3 ranges=172.16.3.2-172.16.3.254 /ip dhcp-server add address-pool=dhcp_172.16.3 disabled=no interface=br-lan name=br-lan /ip dhcp-server network add address=172.16.3.0/24 dns-server=172.16.3.1 gateway=172.16.3.1 |
DHCP client
1 2 |
/ip dhcp-client add disabled=no interface=ether1 |
DNS
1 2 |
/ip dns set allow-remote-requests=yes |
Адрес листы для firewall
1 2 3 4 5 6 7 8 9 |
/ip firewall address-list add address=192.168.15.0/24 list=admin add address=172.16.3.0/24 list=admin add address=10.0.0.0/24 list=admin add address=10.1.1.2 list=user-block add address=10.1.1.0/24 list=user-block add address=10.1.1.2-10.1.1.10 list=user-block add address=vk.com list=site-block add address=172.16.3.0/24 list=users-pc |
Счетчики пакетов в firewall
1 2 3 4 |
/ip firewall filter add action=passthrough chain=forward add action=passthrough chain=input add action=passthrough chain=output |
Логирование цепочки Input и forward, Log
1 2 3 |
/ip firewall filter add action=log chain=forward disabled=yes log-prefix=Logging_Input add action=log chain=forward disabled=yes log-prefix=Logging_Forward |
Разрешаем подключение на mikrotik
1 2 3 4 5 6 |
/ip firewall filter add action=accept chain=input dst-port=8291 in-interface=ether1 protocol=tcp src-address=192.168.15.0/24 - для сети 192.168.0.0/24 add action=accept chain=input dst-port=22,8291 in-interface-list=WAN protocol=tcp src-address-list=admin - для адрес листа admin порты 22 и 8291 add action=accept chain=forward dst-port=8291 in-interface=br-lan protocol=tcp - на интерфейс br-lan порт 8291 add action=accept chain=forward dst-address=172.16.1.20 dst-port=8291 out-interface-list=LAN protocol=tcp - на интерфейс LAN порт 8291 add action=accept chain=input dst-port=1194 in-interface-list=WAN protocol=tcp |
Добавление в адрес листы
1 2 3 4 5 6 |
!!! Может быть полезна для отлова и создания адрес листов /ip firewall filter add action=add-src-to-address-list address-list=ping_list address-list-timeout=none-dynamic chain=forward protocol=icmp add action=add-src-to-address-list address-list=admin_8291 address-list-timeout=none-dynamic chain=forward dst-port=8291 protocol=tcp add action=add-dst-to-address-list address-list=go_internet address-list-timeout=none-dynamic chain=output |
Добавление в адрес листы на примере размера пакета ping
1 2 3 4 5 6 |
!!! может быть полезно для создания portknoking !!! по умолчанию размер пакета ping равен 28 !!! Для windows: ping -l 2 -n 5 10.0.0.25 - при такой команде будет послано пять пакетов размером 2 на адрес 10.0.0.5 !!! Для linux: ping -s 2 -c 5 10.0.0.25 - - при такой команде будет послано пять пакетов размером 2 на адрес 10.0.0.5 /ip firewall filter add action=add-src-to-address-list address-list=ping_size_2_me address-list-timeout=10m chain=input in-interface-list=WAN packet-size=30 protocol=icmp |
Состояние пакетов:
1 2 3 4 5 6 7 8 9 |
New - пакет открывает новое соединение Established - пакет принадлежит к уже открытому соединению Related - пакет открывает новое соединение, но оно имеет отношение к уже имеющемуся соединению Invalid - пакет не принадлежит ни к одному из известных соединений Untracked - пакет, настроенный для обхода отслеживания соединений в таблице RAW межсетевого экрана. |
Правила разрешающие пакеты Established \ Related \ Untracker
1 2 3 4 |
!!! Эти правила не обходимы для построение firewall !!! Разрешаются пакеты которые открыли соединение, создают соединение на основе открытого и разрешаются пакеты которые попали fastrack add action=accept chain=forward comment=Established/Related/Untracker connection-state=established,related,untracked add action=accept chain=input comment=Established/Related/Untracker connection-state=established,related,untracked |
Добавления разрешающих правил для forward
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
!!! Пример для одного порта !!! Правилами злоупотреблять не стоит, и за за большого количества правил падает производительность и пропускная способность оборудования.(см у производителя) !!! для уменьшения нагрузки можно создавать правила jamp, но они ухудшают читаемость правил firewall /ip firewall filter add action=accept chain=forward dst-port=80 out-interface=ether1 protocol=tcp add action=accept chain=forward dst-port=443 out-interface=ether1 protocol=tcp add action=accept chain=forward dst-port=8080 out-interface=ether1 protocol=tcp add action=accept chain=forward ddst-port=25 out-interface=ether1 protocol=tcp add action=accept chain=forward dst-port=110 out-interface=ether1 protocol=tcp add action=accept chain=forward dst-port=143 out-interface=ether1 protocol=tcp !!! Пример как можно указать правила выше /ip firewall filter add action=accept chain=forward dst-port=3389,443,80,8080,22,21,25 in-interface-list=WAN protocol=tcp add action=accept chain=forward dst-port=5060,36600-39999 out-interface-list=WAN protocol=tcp |
ICMP пример работы jamp (создание своей цепочки)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
!!! создаем новую цепочку icmp и заворачиваем в нее трафик icmp /ip firewall filter add action=jump chain=input comment="GO TO ICPM INPUT" jump-target=icmp protocol=icmp add action=jump chain=forward comment="GO TO ICPM FORWARD" jump-target=icmp protocol=icmp !!! создаем правила в этой цепочки для трафика ICMP /ip firewall filter add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp add action=accept chain=icmp icmp-options=12:0 protocol=icmp add action=drop chain=icmp comment="deny all other types" !!! или вместо этого примерно такая затычка add action=accept chain=input connection-rate=128k-128k in-interface-list=WAN packet-size=0-2100 protocol=icmp |
Пример блокировки reject
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
!!! Reject в отличии от drop позволяет сообщить почему не доступен ресурс. !!! Reject в отличии от drop, нет задержки. !!! Reject желательно использовать в своих сетях !!! ниже пример блокировки 80,443,8080 портов /ip firewall filter add action=reject chain=forward dst-port=80,443,8080 out-interface=ether1 protocol=tcp reject-with=tcp-reset add action=reject chain=input dst-port=80,443,8080 in-interface=ether1 protocol=tcp reject-with=tcp-reset !!! Пример блокировки сайтов по адрес листу add action=reject chain=forward comment="BLOCK VK" dst-address-list=site-block dst-port=80,443 out-interface-list=WAN protocol=tcp reject-with=tcp-reset src-address-list=user-block !!! Пример блокировки сети all-ppp из сети из сети all-wireless, при этом сообщаем причину запрета icmp-net-prohibited add action=reject chain=forward in-interface=all-ppp out-interface=all-wireless reject-with=icmp-net-prohibited |
Пример блокировки tarpit
1 2 3 4 5 6 |
!!! Tarpit работает следующим образом, постучавшему в порт посылается ACK с нулевым размером окна !!! Постучавший будет ожидать появления окна авторизации. !!! Иногда полезно при борьбе с ботами /ip firewall filter add action=tarpit chain=input dst-port=3389 in-interface=ether1 protocol=tcp |
Примеры блокировки drop
1 2 3 4 5 6 |
!!! Блокируем весь INVALID трафик INPUT,FORWARD, поступающий на интерфейс из списка WAN /ip firewall filter add action=drop chain=forward comment="DROP INVALID" connection-state=invalid in-interface-list=WAN add action=drop chain=input comment="DROP INVALID" connection-state=invalid in-interface-list=WAN !!! Блокируем весь трафик forward кроме dstnat поступающий на интерфейс из списка WAN add action=drop chain=forward connection-nat-state=!dstnat connection-state="" in-interface-list=WAN |
Включение fasttrack
1 2 3 4 5 6 |
!!! Обычно используется на домашних роутерах !!! Fasttrack позволяет повысить производительность устройства !!! Пакеты попавшие в conтectiont raker не обрабатываются firewall !!! На эти соединения не действуют очереди и т.д. /ip firewall filter add action=fasttrack-connection chain=forward disabled=yes |
NAT \ dst-nat \ src-nat
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
!!! dst-nat позволяет пробрасывать порт с микротока в локальную сеть например !!! Гибко настраиваются, можно указывать списки, менять порты и т.д. /ip firewall nat add action=dst-nat chain=dstnat dst-port=22 in-interface=ether1 protocol=tcp to-addresses=172.16.3.254 add action=dst-nat chain=dstnat dst-address=10.0.0.25 dst-port=22 in-interface=ether1 protocol=tcp to-addresses=172.16.3.254 add action=dst-nat chain=dstnat dst-address=10.0.0.25 dst-port=80,22,443 in-interface=ether1 protocol=tcp to-addresses=172.16.3.254 add action=dst-nat chain=dstnat dst-address=10.0.0.25 dst-port=33389 in-interface=ether1 protocol=tcp to-addresses=172.16.3.254 to-ports=3389 !!! src-nat и masquerade позволяет подменять ип и порты (отправителя\получателя) !!! используется для получения интернета в локальной сети !!! masquerade в теории медленнее работает чем src-nat, так как ему каждый раз приходится уточнять внешний адрес роутера для подстановки add action=masquerade chain=srcnat disabled=yes out-interface=ether1 !!! в теории srcnat работает быстрее mascarade, нужно просто указать внешний адрес роутера (в примере 10.0.0.25) add action=src-nat chain=srcnat out-interface=ether1 to-addresses=10.0.0.25 !!! netmap нужен при пересечение сетей, пример ниже с vpn, за vpn у обоих роутеров локальная сеть 10.1.1.0/24, костыль. add action=netmap chain=srcnat disabled=yes out-interface=all-ppp src-address=10.1.1.0/24 to-addresses=10.2.1.0/24 add action=netmap chain=dstnat disabled=yes dst-address=10.1.1.0/24 in-interface=all-ppp to-addresses=10.2.1.0/24 |
Стандартный конфиг из конспекта
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 |
!!! локальная сеть 172.16.3.0/24 LAN !!! интернет по dhcp 10.0.0.25 WAN !!! fastеrack включен !!! своя цепочка icmp !!! проброс порта 22 на 172.16.3.254 !!! из локальной сети можно куда угодно (Можно изменить правило forward drop !dst-nat, но тогда нужно будет городить еще правила для выхода ) /interface bridge add name=br-lan /interface list add name=WAN add name=LAN /ip pool add name=dhcp_172.16.3 ranges=172.16.3.2-172.16.3.254 /ip dhcp-server add address-pool=dhcp_172.16.3 disabled=no interface=br-lan name=br-lan /interface bridge port add bridge=br-lan interface=ether2 add bridge=br-lan interface=ether3 add bridge=br-lan interface=ether4 add bridge=br-lan interface=ether5 /ip neighbor discovery-settings set discover-interface-list=!dynamic /interface list member add interface=ether1 list=WAN add interface=br-lan list=LAN /interface pptp-server server set enabled=yes /ip address add address=172.16.3.1/24 interface=br-lan network=172.16.3.0 add address=10.1.1.1/24 interface=br-lan network=10.1.1.0 /ip dhcp-client add disabled=no interface=ether1 /ip dhcp-server network add address=172.16.3.0/24 dns-server=172.16.3.1 gateway=172.16.3.1 /ip dns set allow-remote-requests=yes /ip firewall address-list add address=192.168.15.0/24 list=admin add address=172.16.3.0/24 list=admin add address=10.0.0.0/24 list=admin add address=10.1.1.2 list=user-block add address=10.1.1.0/24 list=user-block add address=10.1.1.2-10.1.1.10 list=user-block add address=vk.com list=site-block add address=172.16.3.0/24 list=users-pc /ip firewall filter add action=passthrough chain=forward add action=passthrough chain=input add action=passthrough chain=output add action=fasttrack-connection chain=forward add action=jump chain=input comment="GO TO ICPM INPUT" jump-target=icmp protocol=icmp add action=jump chain=forward comment="GO TO ICPM FORWARD" jump-target=icmp protocol=icmp add action=accept chain=forward comment="Established Related Untracker" connection-state=established,related,untracked add action=accept chain=input comment="Established Related Untracker" connection-state=established,related,untracked add action=log chain=forward add action=drop chain=forward comment="DROP INVALID" connection-state=invalid in-interface-list=WAN add action=drop chain=input comment="DROP INVALID" connection-state=invalid in-interface-list=WAN add action=accept chain=input dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=admin add action=accept chain=forward dst-port=3389,22 in-interface-list=WAN protocol=tcp add action=accept chain=forward dst-port=3389 out-interface-list=WAN protocol=tcp add action=reject chain=forward comment="BLOCK VK" dst-address-list=site-block dst-port=80,443 out-interface-list=WAN protocol=tcp reject-with=tcp-reset src-address-list=user-block add action=drop chain=forward connection-nat-state=!dstnat connection-state="" in-interface-list=WAN add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp add action=accept chain=icmp icmp-options=12:0 protocol=icmp add action=drop chain=icmp comment="deny all other types" /ip firewall nat add action=dst-nat chain=dstnat dst-address=10.0.0.25 dst-port=22 in-interface=ether1 protocol=tcp to-addresses=172.16.3.254 add action=masquerade chain=srcnat disabled=yes out-interface=ether1 add action=src-nat chain=srcnat out-interface=ether1 to-addresses=10.0.0.25 /ip service set ssh disabled=yes |
Ссылки:
1 2 |
https://wiki.mikrotik.com/wiki/Manual:Tools/Sms https://weblance.com.ua/265-upravlenie-mikrotik-udalenno-pri-pomoschi-sms.html |
Настройка приема смс
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
Tool –> SMS Port – как несложно догадаться, это порт USB\LTE1, на котором находится наш модем Channel – зависит от установленного модема; для Huawei E173 используется 2-й канал, для LTE нет настройки канала... Secret – специальный пароль, без которого Mikrotik не будет выполнять команды во входящих SMS Allowed Number – «разрешенный номер», опция необязательна, при её установке, Mikrotik будет выполнять команды только от указанного номера Keep Max SMS – количество хранимых сообщений; все сообщения хранятся на SIM-карте, поэтому если вы укажите слишком большое количество, а количество сохраненных SMS достигнет предела, Mikrotik не сможет получать новые SMS !!! ВНИМАНИЕ RouterOS после перезагрузки автоматически отключает приём SMS и после каждой перезагрузки эту опцию необходимо включать вручную :delay 120s; /tool sms set receive-enabled=yes |
Отправка SMS-команд на Mikrotik Синтаксис команды следующий:
1 2 3 4 5 6 7 |
:cmd 1234567 script script_name 1234567 - Secret - специальный пароль, без которого Mikrotik не будет выполнять команды во входящих SMS script_name - имя скрипта в System -> Scripts :cmd 1234567 script reboot |
Скрипты \ Включение приема SMS \ Перезагрузка маршрутизатора
1 2 3 4 5 6 |
+7НОМЕР_ТЕЛЕФОНА - номер на который отправляется смс /system script add dont-require-permissions=no name=eneable_sms owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=":delay 120s;\r\ \n/tool sms set receive-enabled=yes" add dont-require-permissions=no name=reboot owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="/tool sms send lte1 \"+7НОМЕР_ТЕЛЕФОНА\" message=\"Rebooting Mikrotik...\"; :delay 5s; /system reboot" |
Перезагрузка 3G-интерфейса
1 2 3 4 5 6 |
Создаем скрипт под названием «reboot3g», пишем в него код: :log warning ("Rebooting 3G via SMS command"); /tool sms send usb1 channel=2 "+7НОМЕР_ТЕЛЕФОНА" message="Rebooting 3G modem..."; /interface ppp-client set ppp-out1 disable=yes; :delay 1s; /interface ppp-client set ppp-out1 disable=no; |
Планировщик
1 2 |
/system scheduler add name=eneable_sms on-event=eneable_sms policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-time=startup |
mail основные параметры
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
/tool e-mail address - IPv4/v6 адрес, SMTP сервера from - имя или название почтового ящика, который будет показан получателю password - пароль, который используется для аутентификации на SMTP сервере. В этом случае аутентификации не будет шифроваться. Для включения шифрования можно использовать функцию start-tls port - порт SMTP сервера, по умолчанию 25 start-tls - может принимать значения no, yes и tls-only - разрешает только TLS шифрования без поддержки SSL user - имя пользователя, которое будет использоваться для аутентификации на SMTP сервере. |
e-mail sender / параметры отправки
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
/tool e-mail send body - тело письма cc - данный параметр позволяет поставить в копию дополнительных получателей file - позволяет добавлять один или несколько файлов во вложении к письму from - название или почтовый адрес, который будет показан как отправитель. Если ничего не указано, то будет взят from, который указывался при настройке сервера SMTP password - пароль, который используется для аутентификации на SMTP сервере. Если ничего не указано, то будет взят password, который указывался при настройке сервера SMTP port - порт SMTP сервера. Если ничего не указано, то будет взят port, который указывался при настройке сервера server - адрес SMTP сервера. Если не указано, то используется параметр сервера, указанный при настройке start-tls - использовать ли TLS шифрование subject - тема письма to - адрес получателя, которому предназначено письмо user - имя пользователя, для аутентификации на сервере. Если не указано, то будет использоваться user из настроек сервера. |
gmail настройка
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
Заходим в Tools -> Email. Вводим адрес smtp сервера Gmail: 173.194.69.108 Port: 587 Start TLS: yes From: ваша mail@gmail.com User: ваша почта (до знака @) Password: ваш пароль |
Настройка почты в командной строке mikrotik:
1 2 3 4 5 6 7 8 9 10 11 12 13 |
!!! Без шифрования /tool e-mail set server=192.168.1.34 set port=25 from=”mnmikrotik@mndomain.ru” !!! Есть шифрование TLS (gmail) /tool e-mail set address= 192.168.1.34 set port=587 set from=mail@gmail.com set user= "ваша почта (до знака @)" set password= "ваш пароль" !!! Проверка send to=mnadmin@mndomain.ru subject="HW!" body="Hello World!" start-tls=yes |
NetWatch Пример с отправкой уведомления
1 2 3 4 5 6 7 8 9 10 |
На кладке Host заполняем: Host - ip адрес которые будет пинговать interval - через какае время утилита будет отсылать пакеты (по умолчанию 1 минута) timeout - в течении которого времени должен прийти ответ (по умолчанию 1000 мс - 1 сек) На вкладке Up прописываем скипт, который будет выполняться при появлении линка: tool e-mail send to=mail@gmail.com subject="Тема письма" body="Текст письма" На вкладке Down прописываем скрипт который будет выполняться при обрыве линка: tool e-mail send to=mail@gmail.com subject="Тема письма" body="Текст письма" |
Send backup to mail
1 2 3 4 5 6 7 |
Скрипт, который будет делать бэкап конфигурации роутера: /export file=export /tool e-mail send to="mail@gmail.com"subject="$[/system identity get name] export" \ body="$[/system clock get date] configuration file" file=export.rsc Скрипт на выгрузку конфигурации в планировщик: /system scheduler add on-event="export-send" start-time=00:00:00 interval=24 Теперь каждый день нам на почту mail@gmail.com будет приходить свежая выгрузка резервной копии конфигурации нашего роутера. |
NetWatch, перезапуск интерфейса в случи недоступности шлюза
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
Tool → NetWatch NetWatch - умеет очень многое делать с интерфейсами. Халявный VPN работает не всегда стабильно, в мое случае это пропадал шлюз 1.0.0.1. Подключение не рвется, но доступ к веб ресурсам работающим через vpn пропадает. Решение банальное, пингуем шлюз 1.0.0.1 раз в 5 мин, если шлюз не доступен, перезапускам vpn-client public-vpn-119.opengw.net. При down public-vpn-84.opengw.net: interface l2tp-client disable public-vpn-84.opengw.net; delay 2; interface l2tp-client enable public-vpn-84.opengw.net; В консоле: /tool netwatch add down-script="interface l2tp-client disable public-vpn-119.opengw.net;\r\ \ndelay 2;\r\ \ninterface l2tp-client enable public-vpn-119.opengw.net;\r\ \n" host=1.0.0.1 interval=5m |
Встроенный WatchDog, перезагрузка устройства
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
Заходим в System -> Watchdog Watchdog Timer ставим галочку для активации функции. Watch Address — IP адрес, который будем пинговать, рекомендуется ставить адрес шлюза провайдера Ping Start After Boot — интервал времени через который устройство будет пинговать IP адрес Если требуется отправить уведомление о сбое на почту, заполняем следующие поля: !!! Tools -> Email нужно предварительно настроить Send Email To — почта на которую отправить уведомление Send Email From — Email адрес отправителя. Send SMTP Server — SMTP сервер. !!! На картинке ниже, каждый час наше устройство будет пинговать 8.8.8.8, как только они будут недоступны, MikroTik перезагрузится. |
ссылки
1 2 3 4 5 6 7 8 9 10 11 12 |
https://habr.com/ru/post/467471/ - статья с картинками, "Душевный Mikrotik против бездушного РКН и такого же провайдера" https://habr.com/ru/post/359268/ https://tech4fun.ru/2016/02/07/rostelecom-site-unlock/ https://weblance.com.ua/317-obhod-blokirovki-saytov-so-storony-provaydera-na-mikrotik-routeros.html https://lantorg.com/article/nastrojka-vpn-cherez-mikrotik-pptp-i-pppoe https://habr.com/ru/post/413049/ - Настройка BGP для обхода блокировок, версия 3, без VPS https://habr.com/ru/post/435070/ - Введение в Layer 3 Firewall MikroTik https://www.vpngate.net/en/ - дофига всякого VPN https://www.softether.org/ - программа для VPN благодаря которой появился ресурс такой как www.vpngate.net https://www.youtube.com/watch?v=7TNrETiNKAc - про скрипы на микротик |
Создаем адрес лист с нужным доменами:
1 2 3 4 5 |
/ip firewall address-list add address=rutracker.org list=site_block_provider add address=nnmclub.to list=site_block_provider add address=pi-hole.net list=site_block_provider add address=loveread.ec list=site_block_provider |
Пример настройки vpn клиента
1 2 3 4 5 6 7 |
https://www.vpngate.net/en/ - дофига всякого VPN /ppp profile add name=public-vpn use-encryption=yes use-ipv6=no /interface l2tp-client add allow=mschap2 connect-to=public-vpn-119.opengw.net disabled=no ipsec-secret=vpn name=public-vpn-119.opengw.net password=vpn profile=public-vpn use-ipsec=yes user=vpn |
Настройка MANGALE, маркируем трафик для сайтов из листа site_block_provider , из сети 192.168.0.0/24(наша локалка)
1 2 |
/ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=site_block_provider new-routing-mark=site_block_provider passthrough=yes src-address=192.168.0.0/24 |
Настройка NAT
1 2 |
/ip firewall nat add action=masquerade chain=srcnat comment="PUBLIC VPN" out-interface=public-vpn-119.opengw.net |
Маршрут для помеченных site_block_provider маршрутов
1 2 |
/ip route add distance=1 gateway=public-vpn-119.opengw.net routing-mark=site_block_provider |
Немого firewall
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
/ip firewall filter add action=accept chain=input comment="Allow icpm" protocol=icmp add action=accept chain=input comment="Allow input lan control" dst-port=8291 in-interface=LAN protocol=tcp add action=accept chain=input comment="Allow established, releated" connection-state=established,related add action=drop chain=input comment="Public VPN input DROP" in-interface=public-vpn-119.opengw.net add action=drop chain=input comment=HEAD_INVALID connection-state=invalid log-prefix=invalif add action=drop chain=input comment="Drop input" in-interface=WAN log-prefix=_DROP_INPUT add action=accept chain=forward comment="ALLOW VPN PUBLIC TO LAN" dst-port=80,443 in-interface=LAN out-interface=public-vpn-119.opengw.net protocol=tcp add action=accept chain=forward comment="Allow established, releated" connection-state=established,related add action=drop chain=forward comment="Deny Forward" connection-nat-state="" in-interface=GW log=yes log-prefix=_DROP_FORWARD |
Костыль или решение проблемы с подключением к ресурсам:
1 2 3 4 5 6 7 8 9 10 11 |
Халявный VPN работает не всегда стабильно, в мое случае это пропадал шлюз 1.0.0.1. Подключение не рвется, но доступ к веб ресурсам работающим через vpn пропадает. Решение банальное, пингуем шлюз 1.0.0.1 раз в 5 мин, если шлюз не доступен, перезапускам vpn-client public-vpn-119.opengw.net. /tool netwatch add down-script="interface l2tp-client disable public-vpn-119.opengw.net;\r\ \ndelay 2;\r\ \ninterface l2tp-client enable public-vpn-119.opengw.net;\r\ \n" host=1.0.0.1 interval=5m |
Ссылка
1 |
https://it.oneweb.pro/%D0%B1%D0%BB%D0%BE%D0%B3/zabbix-rsyslog-mikrotik/ |
Хотелка смотреть логи в zabbix:
1 2 3 4 5 6 7 8 9 10 11 12 13 |
mikrotik: Настраиваем отправку логов на сервер с rsyslog rsyslog: module(load="imudp") - модуль для приема логов по udp. input(type="imudp" port="514") –udp порт который бут слушать наш rsyslog. if $fromhost-ip contains '192.168.155.16' then /var/log/mikrotik.log zabbix: Имя элемента данных (называем его по имени клиента). Тип Zabbix агент (активный) это обязательно. Ключ - log[/var/log/mikrotik.log,,,100,skip,,] – указываем путь к файлу который будем мониторить и считывать с него данные. Тим информации – Журнал лог. |
Настройка:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
ip proxy set enabled=yes port=8080 src-address=195.10.10.1 включение ip proxy print показать настройки вот так включить прозрачный прокси ip firewall nat add chain=dstnat protocol=tcp src-address=192.168.1.0/24 \ dst-port=80 action=redirect to-ports=8080 запрет к сайтам ip proxy access add dst-host=www.facebook.com action=deny ip proxy access add src-address=192.168.1.0/24 dst-host=www.facebook.com action=deny ip proxy access add dst-host=:mail action=deny к загружаемым файлам ip proxy access add path=*.flv action=deny add path=*.avi action=deny add path=*.mp4 action=deny add path=*.mp3 action=deny add path=*.zip action=deny add path=*.rar action=deny |
Источники:
1 |
http://habrahabr.ru/post/179149/ |
MikroTik — быстрая настройка точки доступа
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 |
Сетевые технологии*, Серверное администрирование*, Радиосвязь* Очень часто у нынешних «Системных администраторов», возникает проблема с настройкой 802.11 оборудования, попробую объяснить на доходчивом уровне. В данном посте попробую рассказать, как настроить обычную точку доступа на оборудовании MikroTIk 751,951,2011 etc 802.11 b/g/n Я приведу пример готовой настройки и расскажу только об основных настройках, так как в рамках одной стати сложно описать весь принцип работы и настройки 802.11. Прошу не считать данный пост как догму. И так прежде чем настраивать MikroTik, я рекомендую, сбрось настройки WLAN. Вкладка (Wireless) Mode: — режим работы нашей карточки выбираем «ap bridge» Band: — Какие стандарты будут поддерживаться нашей точкой доступа, выбираем «2ghz-b/g/n» SSID: — Тут всё просто, название нашей сети Wireless Protocol: какие протоколы для работы будет использоваться наша точка, тут стоит указать только 802.11, так как мы не будем делать «Новогоднюю ёлку из нашей точки доступа», а просто обычная точка доступа. Country: Выбираем нашу страну. Наверняка возникает вопрос, а зачем? Ответ: Законодательством разных стран, разрешены разные частоты, чтобы нам не получить аплеуху от РОСКОМНАДЗОР-а, MikroTik не даст нам возможности работать с другими частотами. Antenna Gain: Если у вас есть внешняя антенна обязательно укажите её усиление, с расчётом -0,5, на соединительный узел. А также если вы используете кабель, посмотрите маркировку на кабеле, затухание на единицу измерения (метр, 10 метров etc) кабеля и введите значение с учётом затухания кабеля. WMM Support: Если вы будите использовать Multicast, то установите эту опцию в Enabled, это даст большие гарантии на доставление этого пакета. Если вы настраиваете MikroTik дома то включите эту опцию, если же это ресторан или конференц зал, то сожрать весь канал может один клиент. Вкладка (Data Rates) Здесь всё просто Rate Selection: выбираем Legaсy расширенная поддержка (для старых устройств), без этой опции старый баркодер не как не хотел ужиться с Mikrotik-ом Вкладка. (Advanced) Distance: Очень интересный параметр, если клиенты находятся в одном помещении и примерно на одном расстоянии, ну допустим все в радиусе 20 метров от точки доступа то укажите indoors, если у вас открытая местность поле или конференц зал, и клиенты находятся на разных расстояниях более 0-20 метров то укажите значение dynamic. Ну и третье если клиенты находятся на одном расстоянии, допустим 1км, то так и укажите. Данная опция позволяет Mikrotik по вшитому алгоритму рассчитывать доставлен ли пакет до нужного адресата. Periodic Calibration: Дело в том, что чип WiFi во время свое работы греется, и из-за этого может частота съезжать немного, соответственно включите эту опцию. Следующее поле оставьте равным одной минуте. Будет происходить калибровка частоты каждую минуту. Не хотел писать про этот пункт. Hw. Protection Mode: Данный пункт может помочь в решении проблемы скрытого узла, если указать «rts cts». Совсем кратко: 802.11 (он же вифи) – это единая среда передачи данных (Вспомните устройство ХАБ), а в стандарте 802.11 указанно, что клиенты сами определяют между собой, кто и когда будет производить запись, НО есть один нюанс это условие будет работать, только если клиенты видят друг друга напрямую. Если же два клиента начнут писать одновременно, то мы получаем коллизию. Как пример представим себе некое поле (То которое на рабочем столе Windows XP). На нём располагается точка доступа на рисунке красная точка, и её радиус бледно красным. А также Шрайбикус (A), Вася (B), Коля (С) Шрайбикус и Вася могут быть нормальными участниками и работать в сети без сбоев, но, а вот из-за Коляна могут возникнуть проблемы у всех, дело в том, что Шрайбикус и Вася могут общаться напрямую и определять, кто из них будет вещать в данный промежуток времени. А вот Коля не видит не одного из участников нашей сети, и может смело вещать в любой момент даже в тот, когда Вася или Шрайбикус будут также вещать, из-за этого и появляются коллизии. Вернёмся к настройке MikroTik значение rts cts, если просто то «Точка доступа сама будет управлять, кому вещать в данный момент», что решит проблему скрытого узла. Данный параметр слегка снизит пропускную способность, и увеличит нагрузку на точку доступа. (Обязательный параметр) Adaptive Noise Immunity: этот параметр позволяет чипу 802.11, отфильтровывать шумы, ну как пример отражённый сигнал самой точки доступа от соседнего здания. Установите значение равное “ap and client mode” Вкладка (HT) Здесь поставить только две галки HT Tx Chains – Установить галки в chain0 и chain1 HT Rx Chains – Установить галки в chain0 и chain1 У SOHO MikroTik обычно две встроенные антенны, соответственно данный параметр говорит через какие антенны принимать и передавать. Вкладка (TX Power) Большинство MIkroTik используют 1W передатчики, но по нашему законодательству, разрешено использовать точки доступа без регистрации не более 0.1W. В вкратце усиление в 17 dBm – Примерно 0.1W увеличение на три пункта, увеличивает мощность передатчика вдвое. И того: 18 dBm ~ 0.12W 21 dBm ~ 0.25W 24 dBm ~ 0.5W 27 dBm ~ 1W(по умолчанию обязательно убрать ) — Микроволновка )))) Настоятельно рекомендую установить значение, равным 15 и если не будет хватать, то поднять не белее 17-19. Собственно всё, мы почти закончили теперь нам необходимо выбрать канал (частоту) и ширину канала. Именно на этом этапе чаще всего допускаю ошибки, поэтому оставил на конец. И так откинем сразу шируну канала 5 и 10 MHz, так как половина домашнего оборудования на такой ширине работать не будет. В следующих постах расскажу, где можно использовать такую ширину. Нам доступен следующий диапазон 2412-2472, хитрым математическим анализом мы узнали, что нам доступна ширина в 60MHz. Давайте посмотрим спектральный анализ всего диапазона. [admin@test] /interface wireless> spectral-history wlan1 range=2412-2472 Мы видим, что для нас оптимальный вариант это частоты 2425-2445 (2437) Мы видим, что вроде всё хорошо, а теперь посмотри, кто и что сидят в эфире. [admin@test] /interface wireless> scan wlan1 ADDRESS SSID BAND CHANNEL-WIDTH FREQ SIG NF SNR AP AC:F1:DF:26:29:60 sunchess 2ghz -n 20mhz 2412 -88 -115 27 AP 1C:AF:F7:28:55:32 Irisha 2ghz -n 20mhz 2412 -45 -115 70 AP 54:E6:FC:CD:4D:70 PAL 2ghz -n 20mhz 2417 -87 -116 29 AP 26:FF:3F:46:1B:74 InterZet-107 2ghz -n 20mhz 2417 -82 -116 34 AP A0:21:B7:BC:91:1A 2ghz -n 20mhz 2422 -82 -117 35 AP 90:F6:52:99:AB:F4 Igor 2ghz -n 20mhz 2432 -62 -118 56 AP 90:F6:52:C8:F2:30 TP-LINK_C8F230 2ghz -n 20mhz 2437 -78 -118 40 P 00:21:27:E9:C5:C4 SeRgey-Net 2ghz -n 20mhz 2437 -89 -118 29 AP DE:71:44:4F:44:73 DIRECT-hB[TV]UE32ES6307 2ghz -n 20mhz 2437 -79 -118 39 AP 00:14:D1:3B:5C:B3 TRENDnet 2ghz -n 20mhz 2437 -76 -118 42 P A0:F3:C1:84:C2:CA Nos_FamilyNet 2ghz -n 20mhz 2442 -90 -117 27 AP F8:D1:11:43:94:00 iz-gw-48312-160 2ghz -n 20mhz 2452 -74 -116 42 AP B8:A3:86:1F:C3:AE nasha 2ghz -n 20mhz 2457 -54 -116 62 AP 90:A4:DE:5C:1D:95 Connectify-me 2ghz -n 20mhz 2462 -72 -117 45 AP 54:04:A6:C6:AC:94 ASUS 2ghz -n 20mhz 2462 -58 -117 59 00:00:00:00:64:00 \AC\02\02\00\00\0F\AC\04\… 2ghz -n 20mhz 2472 -89 -117 28 P BC:F6:85:3F:2A:9A Dimitrakis 2ghz -n 20mhz 2437 -91 -118 27 AP E0:91:F5:E7:D8:72 bui_family 2ghz -n 20mhz 2437 -90 -118 28 В данном выводе меня смутил одни товарищ, который выделен, название очень смахивает на телевизор, если на телике смотрят видео, а не телетекст то на этом канале мы можем попрощаться с нормальной работой WIFI, так как мультикаст и потоковое видео будет занимать весь свободный канал. (поживём увидим) В нашем случае оптимальный канал это 2437. мы будем делить канал между 2427-2447. Ширина канала выбирается просто, если у нас во всём диапазоне всего пару точек, и всё они без каких, либо косяков, что-то вроде мультикаста и т.п.д. Каналы 2412-2457 можно использовать как Above Каналы 2432-2472 можно использовать как Below Но такую ширину использовать только, когда действительно у вас частота чистая. Также стоит ещё раз напомнить, что WIFI это единая среда передачи данных. Если вдруг на тех же частотах(2452-2472), появится клиент с 802.11 g, то все участники этой частоты, будут работать со скоростью, что и наш клиент со старенькой карточкой. На этом всё. |
Генерируем сертификаты(создавал opensslна debian7):
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
0. cd /etc/ssl 1. Генерируем ключ с кодовой фразой (позже мы её уберем). Имя ключа произвольное, в примере «cr». openssl genrsa -des3 -out cr.key 4096 2. Формируем CSR запрос (важный момент) Используем наш ключ из шага 1 и кодовую фразу. Обратите внимание, что CN запись должна соответствовать IP адресу SSTP сервера. openssl req -new -key cr.key -out cr.csr вот так отвечал. 1.2.3.4 мой адрес Country Name (2 letter code) [AU]:RU State or Province Name (full name) [Some-State]:1.2.3.4 Locality Name (eg, city) []:1.2.3.4 Organization Name (eg, company) [Internet Widgits Pty Ltd]:1.2.3.4 Organizational Unit Name (eg, section) []:1.2.3.4 Common Name (e.g. server FQDN or YOUR name) []:1.2.3.4 Email Address []:mail@example.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: ничего не вводил An optional company name []: ничего не вводил 3. Убираем кодовую фразу из ключа cp cr.key cr-secret.key openssl rsa -in cr-secret.key -out cr.key 4. Генерируем сертификат openssl x509 -req -days 3650 -in cr.csr -signkey cr.key -out cr.crt |
Импортируем сертификат в Mikrotik
1 2 3 4 5 6 7 8 9 |
0. копируем файлы cr.crt cr.key на микротик 1. заходим в консоль на микротик certificate import file=cr.crt certificate> import file=cr.key 2. включаем SSTP сервер interface sstp-server server set authentication=pap,chap,mschap1,mschap2 certificate=cert1 \ default-profile=default enabled=yes keepalive-timeout=60 max-mru=1500 \ max-mtu=1500 mrru=disabled port=443 verify-client-certificate=no |
Импортируем сертификат на клиенте
1 2 3 4 |
0.Для импорта необходимо от административной учетной записи открыть certmgr.msc. Далее Вид > Параметры … и установить флаг «Также показывать физические хранилища». 1.Затем, заходим в Доверенные корневые центры сертификации > Локальный компьютер и делаем в него Импорт нашего сертификата cr.crt. 2.При создании VPN в параметрах безопасности выбираете SSTP. |
Страница wiki о лицензиях на Микротик wiki.mikrotik.com
Free Demo — можно получить зарегистрировавшись на www.mikrotik.com
Level number | 0 (Trial mode) | 1 (Free Demo) | 3 (WISP CPE) | 4 (WISP) | 5 (WISP) | 6 (Controller) |
Price | no key | registration required | volume only | $45 | $95 | $250 |
Initial Config Support | — | — | — | 15 days | 30 days | 30 days |
Wireless AP | 24h trial | — | — | yes | yes | yes |
Wireless Client and Bridge | 24h trial | — | yes | yes | yes | yes |
RIP, OSPF, BGP protocols | 24h trial | — | yes(*) | yes | yes | yes |
EoIP tunnels | 24h trial | 1 | unlimited | unlimited | unlimited | unlimited |
PPPoE tunnels | 24h trial | 1 | 200 | 200 | 500 | unlimited |
PPTP tunnels | 24h trial | 1 | 200 | 200 | 500 | unlimited |
L2TP tunnels | 24h trial | 1 | 200 | 200 | 500 | unlimited |
OVPN tunnels | 24h trial | 1 | 200 | 200 | unlimited | unlimited |
VLAN interfaces | 24h trial | 1 | unlimited | unlimited | unlimited | unlimited |
HotSpot active users | 24h trial | 1 | 1 | 200 | 500 | unlimited |
RADIUS client | 24h trial | — | yes | yes | yes | yes |
Queues | 24h trial | 1 | unlimited | unlimited | unlimited | unlimited |
Web proxy | 24h trial | — | yes | yes | yes | yes |
User manager active sessions | 24h trial | 1 | 10 | 20 | 50 | Unlimited |
Number of KVM guests | none | 1 | Unlimited | Unlimited | Unlimited | Unlimited |
Как сбросить настройки Микротик к заводским ?
С помощью кнопки reset:
1 2 3 4 5 6 7 8 9 |
1. Отключить питание на устройстве Микротик 2. Зажмите кнопку RESET, например при помощи спички. Не рекомендуется использовать твердые и металлические предметы чтобы не повредить кнопку. Если вы все- таки повредите кнопку RESET, то практически у всех устройств Микротик есть специальные контакты для сброса конфигурации, замыкание которых любым металлическим предметом, например отверткой, аналогично нажатию кнопки RESET. 3. Удерживая кнопку RESET в нажатом состоянии, включите питание маршрутизатора Микротик. 4. Удерживайте кнопку RESET нажатой примерно 10 секунд- пока не начнет мигать светодиодный индикатор ACT. 5. После этого отпустите кнопку RESET и дождитесь восстановления первоначальной конфигурации и перезагрузки маршрутизатора Mikrotik (занимает примерно минуту). |
Восстановление оборудования на базе RouterOS MikroTik с помощью инструмента Netinstall:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
Подготовка 0. Прошивки, winbox, NetInstall скачиваем с официального сайта http://www.mikrotik.com/download Распаковываем netinstall, прошивку копируем в папку к netinstall 1. На время обновления отключить все имеющиеся у вас средства мониторинга и защиты (антивирусы, брандмауэр). Подключить микротик к пк. 2. Назначить сетевому интерфейсу вашего ПК адрес 192.168.88.2 маска 255.255.255.0 3. Запускаем winbox и убеждаемся что устройства mikrotik не видно Прошивка 0. Запустите Netinstall с правами администратор и в Net Booting - укажите IP адрес 192.168.88.1 1. Нажав и удерживая кнопку Reset, включите маршрутизатор. Удерживайте кнопку до тех пор, пока индикатор ACT не начнет и не закончит моргать ((примерно секунд 20) ждем когда появится микротик). После того, как вы отпустили кнопку, в поле Routers/Drivers утилиты Netinstall должен появиться ваш маршрутизатор (если не появился, подождите несколько секунд). 2. После того, как нужное вам устройство появилось, щелкните на него мышкой и выберите для него необходимую прошивку (в поле From: необходимо указать путь до папки с прошивкой). Если устройство в списке не появилось, попробуйте сделать все заново. Может рано отпустили ресет или переждали. В тяжелых случаях поможет только СЦ. 3. Когда прошивка загрузится кнопка install станет reboot. Жмем reboot. 4. Запускаем winbox -> neighbors -> в списке выберем наш микротик по MAC (ip 0.0.0.0) Настраиваем по вкусу. default login:admin default password:нету |
Источники:
1 |
http://it-pages.ru/mikrotik-blokirovka-sajjtov-s-pomoshhyu-layer7-na-mikrotik-routeros.html |
Создаем правила:
1 2 3 4 5 |
/ip firewall layer7-protocol add name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|fall-in-love|loveplanet|my.mail.ru).*\$" /ip firewall filter add action=drop chain=forward comment="Block_social" layer7-protocol=social src-address-list=CU_BLOCK_SOCIAL Теперь у пользователь которые находятся в листе CU_BLOCK_SOCIAL не будут открываться сайты социальных сетей ,в том числе через анонимайзеры. |
ссылки:
1 2 3 4 5 |
https://social.technet.microsoft.com/Forums/windowsserver/en-US/2423a8dd-787b-4a11-a6a6-ee62b6c4a6ae/windows-deployment-services-and-mikrotik?forum=winserversetup https://community.spiceworks.com/topic/455323-pxe-works-sometimes-wds-2012 ошибка: no response from windows deployment services server ошибка: 0xc0000001 ошибка: 0x7f8d8101 |
настройка mikrotik:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
1) DHCP Server -> Options pxeclient ------------------------- Name:pxeclient Code:67 Value:'boot\x86\wdsnbp.com' ------------------------ wds ------------------------ Name:wds Code:66 Value:'IP_address_WDS_SERVER' ------------------------ 2) DHCP Server -> Network Выбираем dhcp-network ------------------------ Address: IP_NETWORK_MASK (пример 192.168.1.0/24) Gateway: IP_GW (пример 192.168.1.1) Netmask: Mask (пример 24) Next Server: IP_WDS (пример 192.168.1.240) DHCP Option: wds (из списка выбираем wds) |
Дополнительно к mikrotik:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
Options: ----------------------- name: GMT Offset code: 2 value: '14400' ----------------------- name: boofile code: 67 value:'wdsnbp.com' ----------------------- name: WDS TFTP Server code: 66 value: IP_ADDRESS ----------------------- DHCP-server: ----------------------- boot_file_name: boot\x86\wdsnbp.com next_server: IP_ADDRESS ------------------------ Option set ------------------------ GMT Offset bootfile WDS TFTP Server ------------------------ |
настройка wds:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
!!!Рекомендуется устанавливать standalone 0) Начальная настройка проста Next...Выбор каталога...Next... 1) пкм -> сервер свойства -> 2) Отклик PXE x - Отвечает всем клиентским компьютерам 3) Загрузка Известные клиенты: x - Всегда продолжить PXE-загрузку Неизвестные клиенты: x - Всегда продолжить PXE-загрузку 4) TFTP Максимальный размер блока: 1024 Расширение для изменения размера окна: x - Включить расширение для изменения размера окна 5) Сеть x - получить динамические порты от Winsock 6) Многоадресная рассылка Ip-адрес многоадресной рассылки: x - Использовать адреса из следующего диапазона Параметры переноса: x - Поддерживать одинаковую скорость для всех клиентов 7) Дополнительно x - разрешить службам развертывания Windows динамически обнаруживать допустимые серверы доменов (рекомендуется) |
образы:
1 2 3 4 |
образ установки - образы установки (добавляются файлом disk:\source\install.wim) образ загрузки - (добавляются файлом disk:\source\boot.wim) образ загрузки -> образ захвата \ образ записи - добавляется на основе обора загрузки (ПКМ->создать) Драйверы - сюда добавляем драйверы, после их можно добавить в любой образ |
Решение при проблеме с загрузкой клиентов:
1 2 3 4 |
1. Останавливаем службу WDS (Windows Deployment Services) 2. В каталоге D:\RemoteInstall\Mgmt переименовываем Mgmt в Mgtm1 3. Создаем каталог Mgtm 4. Запускам WDS |
MTU
1 2 3 4 5 6 7 8 9 10 11 |
firewall-> Mangle -> + ->General forward 6(tcp) ether6 ->Action change MSS 1400 +Passthrogh |
Если требуется задаем нужный MAC для интерфейса:
1 2 |
/interface ethernet set [ find default-name=ether1 ] mac-address=XX:XX:XX:XX:XX:XX |
Добавляем IP для интерфейсов
1 2 3 4 5 |
/ip address add address=192.168.18.1/24 interface=bridge1 network=192.168.18.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1 |
Создаем лист для winbox
1 2 3 4 5 6 7 8 |
/interface list add name=winbox /interface list member add interface=ether2 list=winbox add interface=ether3 list=winbox add interface=ether4 list=winbox add interface=ether5 list=winbox add interface=wlan1 list=winbox |
Создаем бридж и добавляем в него интерфейсы
1 2 3 4 5 6 7 8 |
/interface bridge add fast-forward=no name=bridge1 /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5 add bridge=bridge1 interface=wlan1 |
Настраиваем dhcp:
1 2 3 4 5 6 |
/ip pool add name=pool1 ranges=192.168.18.100-192.168.18.200 /ip dhcp-server add address-pool=pool1 disabled=no interface=bridge1 name=server1 /ip dhcp-server network add address=192.168.18.0/24 dns-server=192.168.18.1 gateway=192.168.18.1 netmask=24 |
wi-fi
1 2 3 4 |
/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-eC disabled=no frequency=auto mode=ap-bridge ssid=Имя_точки_доступа tx-power-mode=all-rates-fixed /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=Пароль_сюда |
Включить звук при загрузке (если есть будет beep)
1 2 |
/system routerboard settings set silent-boot=no |
Разрешить доступ оп MAC только из списка winbox
1 2 |
/tool mac-server mac-winbox set allowed-interface-list=winbox |
задать часовой пояс
1 2 |
/system clock set time-zone-name=Europe/Moscow |
Создать список access добавив в него IP
1 2 |
/ip firewall address-list add address=146.120.66.100 list=acceess |
Разрешить DNS серверу отвечать на запросы resolve
1 2 |
/ip dns set allow-remote-requests=yes |
Простой firewall
1 2 3 4 5 6 7 8 9 10 11 |
/ip firewall filter add action=accept chain=input comment="access for allow ip" in-interface=ether1 src-address-list=acceess add action=accept chain=input comment="access icmp" in-interface=ether1 protocol=icmp add action=drop chain=input comment="drop invalid" connection-state=invalid in-interface=ether1 add action=accept chain=input comment="access established and related" connection-state=established,related in-interface=ether1 add action=accept chain=input comment="access control" dst-port=8291 in-interface=bridge1 protocol=tcp add action=drop chain=input comment="drop all" in-interface=ether1 add action=accept chain=forward comment="allow established and related" connection-state=established,related in-interface=ether1 add action=drop chain=forward comment="drob all !dstnat" connection-nat-state=!dstnat in-interface=ether1 log=yes /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 |
Default firewall 2020
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
/interface list add comment=defconf name=WAN add comment=defconf name=LAN /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN |
1 |
/interface ethernet set ether1 mac-address=xxx |