Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 5310-й день

Тут може бути Ваша реклама

 Mikrotik, отдельная тема по этому оборудованию

mussy
Oct 7 2018, 23:12
  
Пост #1



Репутация:   119  
Постоялец
***

Группа: Пользователи
Сообщений: 1 205
С нами с: 31-January 08


Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.

Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ?

Сообщение отредактировал Spectral - Jul 15 2020, 22:50
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
10 Страницы  « < 8 9 10  
Reply to this topicStart new topic
Ответов(180 - 193)
javelin
Jul 28 2020, 13:33
  
Пост #181



Репутация:   197  
Постоялец
***

Группа: BANNED
Сообщений: 1 798
С нами с: 4-September 11


(YaAllex @ Jul 28 2020, 14:01) Перейти к цитате

Простейший способ это routes -> distance . Трафик пойдет через route с меньшим параметром.

ИМХО, маркировка трафика будет работать, но немного сложно и, для новичка, может привести к неоднозначным результатам.

Тоже думал так, но у меня в route у ISP1 и ISP2 - distance стоит 0 в строках, которые генерируются динамически и я не могу им присвоить ни 1, ни 2...
Почему спрашиваю, а не пробую, потому что пока нахожусь удаленно и не хочу, чтобы я что-то не то нажал и у меня пропал доступ к микротику )))
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
YaAllex
Jul 28 2020, 14:44
  
Пост #182



Репутация:   53  
Cтаршой
**

Группа: Пользователи
Сообщений: 516
С нами с: 15-November 11


(javelin @ Jul 28 2020, 14:33) Перейти к цитате

Тоже думал так, но у меня в route у ISP1 и ISP2 - distance стоит 0 в строках, которые генерируются динамически и я не могу им присвоить ни 1, ни 2...
Почему спрашиваю, а не пробую, потому что пока нахожусь удаленно и не хочу, чтобы я что-то не то нажал и у меня пропал доступ к микротику )))

Генерируются динамически - это через DHCP-клиент? Если да, то обратите внимание на вкладку advanced и соответсвенно на поле distance в DHCP-клиенте
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
javelin
Jul 28 2020, 14:52
  
Пост #183



Репутация:   197  
Постоялец
***

Группа: BANNED
Сообщений: 1 798
С нами с: 4-September 11


(YaAllex @ Jul 28 2020, 15:44) Перейти к цитате

Генерируются динамически - это через DHCP-клиент? Если да, то обратите внимание на вкладку advanced и соответсвенно на поле distance в DHCP-клиенте

Точно спасибо! Т.е. если я укажу для основного провайдера - distance=1, а для того, через которого я буду заходить удаленно на mikrotik - distance=2, я смогу зайти зайти на микротик? (дело в том, что я не могу зайти на микротик через основного провайдера из-за ip )
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
gonivo
Jul 28 2020, 17:39
  
Пост #184



Репутация:   82  
Cтаршой
**

Группа: Пользователи
Сообщений: 907
С нами с: 25-June 06


(javelin @ Jul 28 2020, 15:52) Перейти к цитате

Точно спасибо! Т.е. если я укажу для основного провайдера - distance=1, а для того, через которого я буду заходить удаленно на mikrotik - distance=2, я смогу зайти зайти на микротик? (дело в том, что я не могу зайти на микротик через основного провайдера из-за ip )

Нажми кнопку Safe Mode в винбоксе, а потом уже делай изменения. Если что то пойдет не так то все само назад вернется. Если уверен что заработало - отжимаешь кнопку.
(javelin @ Jul 9 2020, 1:06) Перейти к цитате

Вообщем, я сделал все по мануалу, только заменил в IP Adresses адреса ISP1 и ISP2 на 192.168.100.1 и 192.168.200.1, соответственно, и bridge интерфейс LAN оставил на дефолтном 192.168.88.1 (так как с другими настройками интернет в роутере не поднимался) - выход в интернет работает, но в IP routes все гейтвеи 192.168.ххх.254 указаны как unreachable... Просто я не могу понять - .254 - это зарезервированный адрес для гейтвея подсети или как?

Вот такой вышел файлик:
CODE Format

#используя PPC разделим трафик на две группы по исх. адресу и порту
/ip firewall mangle add src-address=192.168.88.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1 per-connection-classifier=src-address-and-port:2/0
/ip firewall mangle add src-address=192.168.88.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP2 per-connection-classifier=src-address-and-port:2/1


Вместо 2-х этих правил оставь одно и жестко привяжи метку, например:
/ip firewall mangle add src-address=192.168.88.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1

Сообщение отредактировал gonivo - Jul 28 2020, 17:41
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
javelin
Jul 28 2020, 20:47
  
Пост #185



Репутация:   197  
Постоялец
***

Группа: BANNED
Сообщений: 1 798
С нами с: 4-September 11


(gonivo @ Jul 28 2020, 18:39) Перейти к цитате

Нажми кнопку Safe Mode в винбоксе, а потом уже делай изменения. Если что то пойдет не так то все само назад вернется. Если уверен что заработало - отжимаешь кнопку.

Вместо 2-х этих правил оставь одно и жестко привяжи метку, например:
/ip firewall mangle add src-address=192.168.88.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1

Спасибо, буду пробовать
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
javelin
Jul 28 2020, 21:48
  
Пост #186



Репутация:   197  
Постоялец
***

Группа: BANNED
Сообщений: 1 798
С нами с: 4-September 11


А как можно сделать, чтобы я "попал" в подсеть микротика удаленно? А то нужно настроить пару локальных точек доступа
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
YaAllex
Jul 28 2020, 22:25
  
Пост #187



Репутация:   53  
Cтаршой
**

Группа: Пользователи
Сообщений: 516
С нами с: 15-November 11


(javelin @ Jul 28 2020, 22:48) Перейти к цитате

А как можно сделать, чтобы я "попал" в подсеть микротика удаленно? А то нужно настроить пару локальных точек доступа

vpn настроить
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Vitaliy_y
Jul 29 2020, 7:45
  
Пост #188



Репутация:   117  
Cтаршой
**

Группа: Пользователи
Сообщений: 874
С нами с: 3-July 07


(javelin @ Jul 28 2020, 22:48) Перейти к цитате

А как можно сделать, чтобы я "попал" в подсеть микротика удаленно? А то нужно настроить пару локальных точек доступа

ssh туннель
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
gonivo
Jul 29 2020, 19:20
  
Пост #189



Репутация:   82  
Cтаршой
**

Группа: Пользователи
Сообщений: 907
С нами с: 25-June 06


(javelin @ Jul 28 2020, 22:48) Перейти к цитате

А как можно сделать, чтобы я "попал" в подсеть микротика удаленно? А то нужно настроить пару локальных точек доступа

https://asp24.com.ua/blog/nastrojka-pptp-se...ik/#prettyPhoto
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
javelin
Aug 17 2020, 22:58
  
Пост #190



Репутация:   197  
Постоялец
***

Группа: BANNED
Сообщений: 1 798
С нами с: 4-September 11


(gonivo @ Jul 16 2020, 15:24) Перейти к цитате

И порежь им торренты.

А как это сделать?)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
gonivo
Aug 18 2020, 18:51
  
Пост #191



Репутация:   82  
Cтаршой
**

Группа: Пользователи
Сообщений: 907
С нами с: 25-June 06


(javelin @ Aug 17 2020, 23:58) Перейти к цитате

А как это сделать?)

До 39-й версии было все просто:
add action=drop chain=forward p2p=all-p2p
Или для надежности промаркировать соединение а потом его грохнуть.
Но потом то ли торренты шифроваться стали то ли микротиковцы решили повые... но этот критерий выпилили.
Потому:
https://www.mansooryousaf.com/2018/01/18/bl...k-version-6-41/
как я думаю ключевыми являются правила:
add action=drop chain=forward dst-port=\
!0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=tcp \
src-address-list=Torrent-Conn
add action=drop chain=forward dst-port=\
!0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=udp \
src-address-list=Torrent-Conn
- кто попал под критерий layer7-protocol=layer7-bittorrent-exp - тому тупо завалить порты 1024-65535 на 2 мин.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
KoNoRIMCI
Aug 24 2020, 9:28
  
Пост #192



Репутация:   461  
Member
***

Группа: Пользователи
Сообщений: 1 078
С нами с: 10-February 09


Winbox:
Q: "Auto resize column to fit the header and content size" - please add this option in the future updates of the Winbox.
A: We will add this the future improvements when a similar request will be from more users, we will see how to implement such a feature.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Sasha74
Aug 28 2020, 8:33
  
Пост #193



Репутация:   11  
Дух


Группа: Пользователи
Сообщений: 175
С нами с: 6-April 10


питання про мікротік Wi Fi

на даний час налаштовано Capsman і використовуються дві групи точок (використовуються RB951Ui-2HnD) на каналах 1 і 11. Ширина каналу виставлена в Capsmah 20mHz і по факту вона становить 40 mHz. З'явилась потреба поставити точку на каналі 6 і відповідно поставити ширину каналу фактичну 20 mHz, щоб всі канали не пересікалися. і от коли ставлю в Capsman ширину каналу 10 mHz пропадає сигнал на телефонах і ноутбуках, телефони дивився різні.
Що можна зробити в такому випадку?

вирішено, треба поставити extension channel disabled

Сообщение отредактировал Sasha74 - Aug 28 2020, 12:22
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
YaAllex
Aug 28 2020, 11:46
  
Пост #194



Репутация:   53  
Cтаршой
**

Группа: Пользователи
Сообщений: 516
С нами с: 15-November 11


(Sasha74 @ Aug 28 2020, 9:33) Перейти к цитате

питання про мікротік Wi Fi

на даний час налаштовано Capsman і використовуються дві групи точок (використовуються RB951Ui-2HnD) на каналах 1 і 11. Ширина каналу виставлена в Capsmah 20mHz і по факту вона становить 40 mHz. З'явилась потреба поставити точку на каналі 6 і відповідно поставити ширину каналу фактичну 20 mHz, щоб всі канали не пересікалися. і от коли ставлю в Capsman ширину каналу 10 mHz пропадає сигнал на телефонах і ноутбуках, телефони дивився різні.
Що можна зробити в такому випадку?

1.Не ставить на 10mHz, а вернуть стандартные 20mHz.
2. Если хотите отключить расширения канала до 40mHz, то Вам нужно отключить опцию "Extension Channel" ->disabled

User is offlineProfile CardPM
Go to the top of the page
+Quote Post

10 Страницы  « < 8 9 10
Reply to this topicStart new topic

 



- Упрощённая версия
Сейчас: 28th September 2020 - 5:15
Сайт не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями. Если вы являетесь правообладателем какого-либо представленного материала и не желаете чтобы ссылка на него находилась в нашем каталоге, свяжитесь с нами и мы удалим её. Файлы для обмена предоставлены пользователями сайта.