Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    1karavan1

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leshiy_odessa
    подробнее
    Не смотря на давность некоторых статей, нет никаких гарантий, что текущую версию не поломают впредь, или мелкомягкие не захотят "улучшить" протокол и опять дырок наделают.
    А может быть, он и сейчас дырявый, только не все об этом знают?

    Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 00:47 25-10-2016
    inf1960

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Я порт 3389 потом поменяю на нестандартный. Сначала хотел удостовериться, что и так заработает.
    Да, на моей памяти было пару раз ломали rdp у знакомых, засовывали туда трояна и шифровали документы. Подобрали пароль 123456 ))

    Всего записей: 17 | Зарегистр. 06-08-2009 | Отправлено: 07:36 25-10-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    inf1960
     
    Ставим виртуалку. Ставим туда что-нибудь с RDP. Пробрасываем порт 3389 на виртуалку. Ждем взлома.
    Обычно долбится начинают на третий день

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 09:54 25-10-2016
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    От взлома RDP хорошо ставить скрипт, который банит переборщиков после 3-его направельного ввода пароля и закидывает их в блеклист на коннект на 3389. У меня 872 записи уже скрипт добавил за 2 месяца работы.

    Всего записей: 336 | Зарегистр. 15-02-2005 | Отправлено: 11:04 25-10-2016
    VecHPro



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Знающие люди, подскажите конфиги сервера и клиента OpenVPN что бы были взаимозаменяемые между разными ОС
    допустим есть сервер OpenVPN на Ubuntu, в случае проблем что бы перебросить ключи/сертификаты и поднять OpenVPN сервер на Микротик-е не меняя ничего у клиентов в кратчайшие сроки
     
    так же хотелось бы увидеть универсальную конфигу клиентов
     
    пару недель уже парюсь, не могу найти универсального, то сжатие не поддерживается, то проблемы с tun/tap интерфейсами, TCP/UDP и т.д.

    Всего записей: 166 | Зарегистр. 29-03-2016 | Отправлено: 11:09 25-10-2016 | Исправлено: VecHPro, 11:10 25-10-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HUB107
     
    Как именно вы от винды передаете в роутер информацию о том, что ошибка именно в неправильном пароле?
    И зачем?
     
    А если проблема в несогласованности протоколов безопасности?
    А если пользователю просто запрещен доступ в это время суток?
    А почему только на 3389, может вообще доступ банить?
     
    Короче показывайте чудо-скрипт.

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 11:11 25-10-2016
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Если по существу то да. Там не по самому паролю, а после 3-х разорванных сессий скрипт кидает их инициатора в блеклист.  
     
     
    первый коннект клиента и занесение пользователя в динамический ip лист #1 с лимитом 5 мин ->  
     
    первый неверный пароль (или любая ошибка которая приведет к разрыву сессии) ->  
     
    второй коннект клиента и сверка с динамическим ip листом #1 и при совпадении занесение в динамический лист #2 с лимитом 5 мин  ->
     
    второй неверный пароль (или любая ошибка которая приведет к разрыву сессии) ->  
     
    третий коннект клиента и сверка с динамическим ip с листом #2 и при совпадении занесение в динамический лист #3 с лимитом 5 мин  ->
     
    третий неверный пароль (или любая ошибка которая приведет к разрыву сессии) ->  
     
    четвертый коннект клиента и сверка с динамическим ip листом #3 и при совпадении занесение в лист #4 с лимитом 24 часа  ->
     
     
     
    раз в сутки в 00:00 срабатывает скрипт который конвертирует динамический лис #4 в статический
     
     
    По мне так работает норм. Прописал дополнительно в исключениях скрипта те ip, с которых работают наши филиалы и их при любых ошибках не заносит в блеклисты.
     

    Всего записей: 336 | Зарегистр. 15-02-2005 | Отправлено: 11:24 25-10-2016 | Исправлено: HUB107, 11:33 25-10-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HUB107
    Ну так неинтересно.
     
    Я думал действительно анализируется лог винды и передается команда через API на микрот.

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 12:21 25-10-2016
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Если не интересно - предложите более грамотный вариант. Вот не сможет микротик прочитать содержимое сессии на предмет неверного ввода пароля (это вам не ftp сессия как в статье http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_(FTP ). Можно конечно поизвращаться и написать парсер логов для винды и давать его жрать микротику. Но уж проще огда на саму винду навесить IPBan или RdpGuard.

    Всего записей: 336 | Зарегистр. 15-02-2005 | Отправлено: 12:30 25-10-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HUB107
    http://forum.ru-board.com/topic.cgi?forum=8&topic=70009&start=980#19

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 13:01 25-10-2016
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    http://forum.ru-board.com/topic.cgi?forum=8&topic=70009&start=980#19

     
    Мне это зачем? У меня и так пара пунктов из этого реализована.

    Всего записей: 336 | Зарегистр. 15-02-2005 | Отправлено: 13:11 25-10-2016
    1karavan1

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HUB107
    Плюсую за подход к решению задачи

    Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 15:53 25-10-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HUB107

    Цитата:
    Мне это зачем? У меня и так пара пунктов из этого реализована.

     
    Это я как бы намекнул, что все уже рассмотрено на страницу выше.

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 19:38 25-10-2016
    jfx



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    del

    Всего записей: 3072 | Зарегистр. 06-02-2003 | Отправлено: 11:49 26-10-2016 | Исправлено: jfx, 13:52 26-10-2016
    omsk_mail



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток.
    Купили железку RB2011 настроил интернет и работу локальной сети.
    Необходимо поднять L2TP сервер на железке (настроил) с удаленных Точке подключаюсь
    Но не получается получить с этих ТТ доступ в локальную сеть за железкой и обратно.
    На точках только оборудование провайдера!
    На точках сетка 192.168.1.0/24 в офисе 192.168.2.0/24
    Нужно пользователям, которые подключены к Офису разрешить доступ к локальной сети за железкой.
    Подключенные ТТ получают ip 10.10.
     
    Если на бридже включаю proxy-arp все работает нормально но на ТТ у которых 2 подсети (192.168.2.0 и 192.168.3.0-для торгового оборудования) вся сеть 3 забивается и оборудование перестает работать и определяться в локальной сети.

    Всего записей: 407 | Зарегистр. 18-02-2008 | Отправлено: 12:54 26-10-2016 | Исправлено: omsk_mail, 13:05 26-10-2016
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Подключенные ТТ получают ip 10.10.

    это у вас в ppp профилях такой получается dhcp диапазон указан
     

    Цитата:
    не получается получить с этих ТТ доступ в локальную сеть

     
    ну при ваших 10.10 можно и маскарадом в "сеть за железкой" обойтись
     
     
    P.S. а ваще загоните ваших клиентов в dhcp pool вашей "сети за железкой" и будет вам счастье.

    Всего записей: 336 | Зарегистр. 15-02-2005 | Отправлено: 13:12 26-10-2016
    omsk_mail



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    На железке поднят L2TP server pool 10.10.10.50-10.10.10.150 ip железки 10.10.10.1
    DHCP в сети (офис) раздает server 2008
    На ТТ windows 7 создаю подключение L2TP подключаюсь к железке.
    Клиенты получают ip 10.10.10.100 и 10.10.10.101
    В офисе сетка 192.168.10.0/24

    Всего записей: 407 | Зарегистр. 18-02-2008 | Отправлено: 13:26 26-10-2016
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А какой IP пардон у вашего микротика в сети офиса? Явно ведь что то типа 192.168.10.x  
     
    На 2008 винде ограничите её диапазон dhcp ну допустим с 192.168.10.10-192.168.10.10.200
     
    А L2TP server пусть у вас раздает pool 192.168.10.201-192.168.10.10.220
     
    Ну или маскарадингом рулите как я выше описал. Но в вашем случаи если вы ходите
    Цитата:
    и обратно
    , то проще всех в одну подсетку утолкать.

    Всего записей: 336 | Зарегистр. 15-02-2005 | Отправлено: 14:37 26-10-2016
    omsk_mail



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Да не получается так!
    Настройка VPN IPSec/L2TP сервера Mikrotik
    Самый простой вариант.
    У железки внутренний ip 192.168.10.222
    У Сервера L2TP 10.10.10.1
    Пробовал в pool на выдачу IP из диапазона локальной сети! Не работает!
    proxy-arp включен на весь bridge-local тоже не работает!
    Клиенты подключаются!
    Пробовал перезагружать железку к сожалению толку нет!
    Если есть возможность по удаленке глянуть что я там наворотил буду благодарен ну или выложить какие настройки в нат и фиревалл
     
     
     
     
    Добавлено:
    NAT
     
     
    Firewall
     
     
    Route
     
     

    Всего записей: 407 | Зарегистр. 18-02-2008 | Отправлено: 15:16 26-10-2016 | Исправлено: omsk_mail, 15:29 26-10-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    omsk_mail
    По какому мануалу делали проброс портов ?
    В официальном мануале разве так делается
    По подключению l2tp то же есть официальный мануал
    Маскардинг между сетками включите.
    Маршрута нет к удалённой сети.
    Выложенные конфиги не полные, и что то понять сложно.
    В тег code сделайте конфиги.

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 15:56 26-10-2016 | Исправлено: alexnov66, 16:37 26-10-2016
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru