Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

Открыть новую тему     Написать ответ в эту тему

Germanus



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
Предыдущие части темы: часть 1, часть 2, часть 3, часть 4
Официальный сайт: https://mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
актуальные версии RouterOS:
Stable: 7.14.2 Подробнее... Testing: 7.15b8
Stable: 6.49.13 Long-term: 6.49.10

актуальная версия SwitchOS: 2.17
актуальная версия WinBox: 3.40 32/64-bit Подробнее...

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: anton04, 12:30 28-03-2024
    sdr77

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    вопрос чайника.
    хочу настраивать Mikrotik как cisco:
    1) из ком строки ручные изменения в running-config, проверка
    2) copy run start
    3) copy startup-config [tftp/sftp/etc]
    4) куда скопировано - там контроль версий.
     
    аналоги для 1 и 3 я нашел в фирменной документации, что посоветуете по п.2 ?
    есть ли стандарты де-факто ?

    Всего записей: 386 | Зарегистр. 22-07-2005 | Отправлено: 19:23 11-05-2023
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    sdr77
    Прямого аналога нет, наиболее идеологически близкое - Safe mode: https://help.mikrotik.com/docs/display/ROS/Configuration+Management#ConfigurationManagement-SafeMode

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 01:37 12-05-2023
    b7music



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Добрый день. Подскажите, почему могут не открываться страницы в браузере? Интернет есть, доступ из вне тоже работает. Сам микротик узлы пингует и определяет. Но в браузере ни одна страничка не открывается. Пробовал с mtu играть, ничего не изменилось.
    Вот конфиг #

    Всего записей: 672 | Зарегистр. 04-03-2010 | Отправлено: 10:49 16-05-2023 | Исправлено: b7music, 10:49 16-05-2023
    HERSOFT



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    b7music

    Цитата:
    Пробовал с mtu играть, ничего не изменилось.

    Меня смущает  
    /ip address
    add address=192.168.88.1/24 comment=defconf disabled=yes interface=bridge \
        network=192.168.88.0

    Всего записей: 291 | Зарегистр. 12-07-2008 | Отправлено: 18:58 17-05-2023
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HERSOFT
    Это у него дефольтный адрес остался не удалённый, просто отключил, а прописана своя подсеть, не влияет на остальное.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 11:23 18-05-2023
    anton04



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    b7music
     
    Подскажите, почему могут не открываться страницы в браузере? Интернет есть, доступ из вне тоже работает. Сам микротик узлы пингует и определяет. Но в браузере ни одна страничка не открывается.
     
    Сократите размер поиска. Отключите все запрещающие правила и включая их по одному проверяйте доступность.
    Самый правильный подход когда найти что-то затруднительно.

    Всего записей: 2803 | Зарегистр. 14-06-2006 | Отправлено: 15:59 18-05-2023
    Demon

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    b7music
     
    Покажите трассу с локального компьютера.

    Всего записей: 583 | Зарегистр. 03-10-2001 | Отправлено: 16:27 18-05-2023
    t1murka

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток
    ранее изделия Mikrotik не держал в руках
    пока есть пара вопросов
     
    Т.к. многие удалились домой пару лет назад, встал вопрос о более защищенном впн соединении до офиса. Был куплен относительно недорогой RB750Gr3 hEX
     
    Интернет у нас приходит по статике, чего собственно в quick set и прописал
    обновил до последней версии 7.9 (вроде)
     
    например дальше раздать интернет - вызывает вопросы
     
    Перевел в режим "роутер", забил локал нетворк вроде
    192.168.6.1
    и DHCP диапазон с 192.168.6.1-192.168.6.10 (офис маленький)
     
    А каким образом ему интернета то дать?
    пинги ходят, а днс видимо принять не может
     
    и еще, нет ли часом готового пресета (правила), 2 пару кликов, чтоб шел бан по IP при 3 неверных попытках ввода пароля?
     
    Цель простая: сделать впн до офиса и защита от брута. Никаких других глобальных целей нет. Хотя видел, как дискорд прикручивали к роутуру, чтоб оповещения ловить.

    Всего записей: 69 | Зарегистр. 15-01-2020 | Отправлено: 17:25 20-05-2023 | Исправлено: t1murka, 17:29 20-05-2023
    fly_indiz



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    t1murka

    Цитата:
    А каким образом ему интернета то дать?

    "ему" - это кому?
     

    Цитата:
    пинги ходят

    пинги откуда и куда?
     

    Цитата:
    а днс видимо принять не может

    видимо IP - DNS не настроены серверы.
    Как сделан такой вывод?
     

    Цитата:
    Цель простая: сделать впн до офиса и защита от брута

    брута впн? как правило не требуется для нормальных протоколов (l2tp/ipsec; ikev2)
    устаревший pptp - да, брутят, но как правило тоже безуспешно если пароли не элементарные.
     

    Цитата:
    видел, как дискорд прикручивали к роутуру, чтоб оповещения ловить

    есть такие скрипты, можно любой сервис прикрутить, имеющий онлайн-API, правда это уже не в пару кликов.

    Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 21:19 20-05-2023 | Исправлено: fly_indiz, 21:20 20-05-2023
    t1murka

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    "ему" - это кому?  

    даже не знаю, как объяснить
     
    тезисно
    1)есть входящий IP адрес с шлюзом и днс, его можно напрямую впилить в пк и появится интернет
    подключил кабель к 1 порту
    адрес я вколотил в роутер
    пинги ходят внутри терминала
     
    2) далее добавил адрес сети (DHCP) для устройств локалки (вида 192.168.6.1-10)
     
    3) на пк подключенным от 2 по 4 порты, им раздались адреса с 192.168.6.2 по 5 со шлюзом 192.168.6.1 и днс  соответственно
     
    на ПК пинги до 8.8.8.8 ходят, но интернета соответственно нет
     
    Как мне все это дело заставить работать?
     

    Цитата:
    брута впн? как правило не требуется для нормальных протоколов (l2tp/ipsec; ikev2)
    устаревший pptp - да, брутят, но как правило тоже безуспешно если пароли не элементарные.  

    админка же будет онлайн доступна, к ней попытаются ломиться и пароль на вход подбирать
     
    ранее был настроен вход с пробросом портов по рдп и с голым задом смотреть в сеть как-то стремно
    был прецедент когда брутили рдпшку, но сама винда блочила после 10 попыток
    сейчас сократил до 3х
     
    вот потому поступило предложение закрыться микротиком (который вызывает некоторое жжение и боль)
     
    появилось понимание?
     
    1) мне надо интернет раздать
    2) закрыть админку, чтоб кто ломится - банился
    3) и любые попытки тоже

    Всего записей: 69 | Зарегистр. 15-01-2020 | Отправлено: 00:36 21-05-2023
    fscpsd



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    t1murka
    Цитата:
    на ПК пинги до 8.8.8.8 ходят
    Значит, формально доступ к интернету на ПК есть.
    Цитата:
    но интернета соответственно нет
    Значит, в настройках сетевого интерфейса ПК не задан правильный ДНС-сервер, скорее всего. Покажите вывод "ipconfig /all" для того интерфейса ПК, через который планируется получать интернет. Попробуйте указать на ПК адрес ДНС вручную (либо провайдерский, либо 8.8.8.8.)
    Цитата:
    закрыть админку, чтоб кто ломится - банился
    Не знаю, способен ли на это ваш микротик, но на что он совершенно точно способен — это ограничить доступ к админке по айпи, просто поставьте доступ к админке только из внутренней сети + ваш домашний адрес, например, вот и всё. Ну и выше вам правильно сказали, что брутфорс через сеть нормальной связки логин-пароль — дело дохлое, работает только в случае "admin/admin" или чего-нибудь типа того. Если у вас логин-пароль не совсем идиотские, то бояться вам особо нечего.

    Всего записей: 1738 | Зарегистр. 16-09-2010 | Отправлено: 05:44 21-05-2023 | Исправлено: fscpsd, 05:44 21-05-2023
    fly_indiz



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    t1murka

    Цитата:
    на ПК пинги до 8.8.8.8 ходят, но интернета соответственно нет

    Пропиши серверы в IP / DNS
     

    Цитата:
    админка же будет онлайн доступна

    у роутера во первых несколько понятий "админка"
    (самые популярные из них: web, winbox, ssh, все эти "админки" можно увидеть в IP / SERVICES и как минимум отключить те из них которыми ты не пользуешся, от себя - рекомендую пользоваться winbox)
    Так вот в дефолтной конфигурации (при дефолтном файрволе) - из интернета НЕТ доступа ни к чему, если ты конечно намеренно сам не разрешил.
    А намеренно разрешать админку из интернета - плохая мысль. Для этого как раз впн-сервер на микротике существует.
     
    Т.е. в нормальной схеме - админка не высунута жопой в инет и нет смысла отслеживать попытки и банить.
     
    Ну и как правильно сказал товарищь fscpsd - на системного пользователя в микроте должен быть нормальный пароль, и желательно не только на системного, но и для пользователей впн - тоже хорошие пароли.

    Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 10:21 21-05-2023 | Исправлено: fly_indiz, 10:22 21-05-2023
    t1murka

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Пропиши серверы в IP / DNS  

    куда? какие?
     

    Цитата:
    Покажите вывод "ipconfig /all" для того интерфейса ПК

    там стандартно полученные по DHCP
    вида  
    192.168.6.2
    шлюз 192.168.6.1
    днс 192.168.6.1
     

    Цитата:
    Не знаю, способен ли на это ваш микротик, но на что он совершенно точно способен — это ограничить доступ к админке по айпи, просто поставьте доступ к админке только из внутренней сети + ваш домашний адрес, например, вот и всё

    мне нужен доступ с any ip, важно чтобы при трех неверных попытках - набирающий уходил в бан по ip
     
    Еще раз, интернет приходит по айпи
    вроде 195.х.х.122
    шлюз вроде 195.х.х.121
     
    мне что, шлюзом прописать шлюз входящего ?

    Всего записей: 69 | Зарегистр. 15-01-2020 | Отправлено: 10:44 21-05-2023
    fly_indiz



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    t1murka

    Цитата:
    куда? какие?

    куда - в IP / DNS
    какие - да хоть 8.8.8.8

     

    Цитата:
    мне нужен доступ с any ip

    ещё раз (прочти выше) админку высовывать жопой в инет - плохая идея - для этого и есть впн.
    Если нужно управлять роутером извне - сначала при-впн-ниться, а потом уже в админку заходить.
     

    Цитата:
    обновил до последней версии 7.9 (вроде)

    ещё момент.
    Зайди в SYSTEM / ROUTERBOARD
    сравни там циферки в этих строках:
    Current Firmware
    Upgrade Firmware
    если они отличаются - обязательно нажми кнопочку Upgrade

    Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 10:50 21-05-2023 | Исправлено: fly_indiz, 11:01 21-05-2023
    t1murka

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    куда - в IP / DNS
    какие - да хоть 8.8.8.8  

    трудности перевода
     
    сложно, очень сложно
     
    еще раз
     

    Всего записей: 69 | Зарегистр. 15-01-2020 | Отправлено: 11:00 21-05-2023
    fly_indiz



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    t1murka
    НЕ quickset!
     
    слева - главное меню.
     
    Меню - IP, подменю DNS
     

    Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 11:02 21-05-2023 | Исправлено: fly_indiz, 11:11 21-05-2023
    t1murka

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ага
     
    в общем ниже пробиваю DNS по строчке
     

    Цитата:
    Зайди в SYSTEM / ROUTERBOARD
    сравни там циферки в этих строках:
    Current Firmware
    Upgrade Firmware  

    тут все ровно

    Всего записей: 69 | Зарегистр. 15-01-2020 | Отправлено: 11:13 21-05-2023 | Исправлено: t1murka, 11:15 21-05-2023
    fly_indiz



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    t1murka

    Цитата:
    куда

    в поле Servers
     

    Цитата:
    какой

    какие хочешь.
     - или хочешь DNS своего провайдера
     - или хочешь 8.8.8.8
     
    пример погляди на моём скрине, у меня вбиты google 8.8.8.8 и yandex 77.88.8.8
     
    Также не забудь включить галочку:
    Allow remote requests

    Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 11:17 21-05-2023 | Исправлено: fly_indiz, 11:18 21-05-2023
    t1murka

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Также не забудь включить галочку:
    Allow remote requests

    вот эта галочка и сработала
     
    спасибо
     
    помню, вроде по L2TP если одновременно заходить двоим, то одного из сети выкидывало (но то было с расшаренной папкой, рдп не пробывал)
    по SSTP пускало, но там надо сертификаты на ПК портировать - не подходит
     
    мне необходим одновременный доступ пары машин по VPN
    как лучше и чем?
     

    Цитата:
    ещё раз (прочти выше) админку высовывать жопой в инет - плохая идея - для этого и есть впн.
    Если нужно управлять роутером извне - сначала при-впн-ниться, а потом уже в админку заходить.  

    принято
     
    в гайдах тоннели описываются, мне же надо просто по паролю доступ
    и немного интерфейс отличается в 7хх роутерос

    Всего записей: 69 | Зарегистр. 15-01-2020 | Отправлено: 11:26 21-05-2023 | Исправлено: t1murka, 15:42 21-05-2023
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    t1murka

    Цитата:
    немного интерфейс отличается в 7хх роутерос

    седьмая версия вполне работоспособная и лучше сразу перейти на неё.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 17:08 21-05-2023
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru