Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leshiy_odessa
    Лучше вообще не блокировать.
    Просто давать доступ в интернет тем, кому он  действительно нужен.
    На работе надо работать.

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 07:52 02-11-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Самый эфективный способ это заблокировать всё и открыть только те ресурсы которые требуются для работы, если блокировка делается где то для офиса или на предприятии, домашним пользователям смысла нет в блокировании.
    Так как на производстве ограничение в доступе к настройкам компьютера.

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 08:23 02-11-2016 | Исправлено: alexnov66, 08:28 02-11-2016
    zubastiy

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    самый простой и эффективный способ блокировки - не блокировать.
    имхо хреновый сотрудник найдет метод потупить в инете.
    например в телефоне )

    Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 09:13 02-11-2016
    jfx



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, можно ли по DHCP разным клиентам кидать разные настройки DNS?

    Всего записей: 3072 | Зарегистр. 06-02-2003 | Отправлено: 18:36 02-11-2016
    melboyscout



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    jfx
    какие именно настройки?
    нажмите Сделать-статикой и там меняйте для каждого клиента

    Всего записей: 2000 | Зарегистр. 16-02-2010 | Отправлено: 18:55 02-11-2016
    jfx



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Т.е. определить опции (с каким кстати номером 5 или 6) и эти опции прописать в статике?
    Хочу детям подсовывать яндексовский семейный dns.

    Всего записей: 3072 | Зарегистр. 06-02-2003 | Отправлено: 19:08 02-11-2016
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    jfx

    Цитата:
    Подскажите, можно ли по DHCP разным клиентам кидать разные настройки DNS?  

     
    Да.  
     
    http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server
     
     
    /ip dhcp-server option
    add code=6 name=DNS1 value='8.8.8.8'
    add code=6 name=DNS2 value='8.8.4.4'
     
    /ip dhcp-server lease
    add dhcp-option=DNS1 mac-address=xx:xx:xx:xx:xx:xx
    add dhcp-option=DNS2 mac-address=yy:yy:yy:yy:yy:yy
     
     
    Только вам нужно разобраться с option и определится нужно вам конвертировать в hex или нет.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 19:14 02-11-2016 | Исправлено: leshiy_odessa, 19:21 02-11-2016
    jfx



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Спасибо, буду пробовать.

    Всего записей: 3072 | Зарегистр. 06-02-2003 | Отправлено: 19:23 02-11-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    jfx
    Можно сделать проще.
    В настройках сети создаёте не диапазон адресов а на один нужный адрес и прописываете нужные dns сервера.
    Что бы ip адрес выдавался всегда один и тот же нужно его прописать статически, то есть постоянно на определённый мак адрес выдавать один и тот же ip адрес, что бы прописанные настройки в разделе network работали.

    Код:
    /ip dhcp-server lease
    add address=192.168.0.5 comment=deti mac-address=C5:85:3E:DE:A6:72 server=dhcp


    Код:
    /ip dhcp-server network
    add address=192.168.0.5/32 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.1 netmask=24 ntp-server=192.168.0.1

     
    В разделе опций dhcp сервера проблематично будет вам перевести параметры в nex код

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 05:40 03-11-2016 | Исправлено: alexnov66, 05:54 03-11-2016
    VecH



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Вот в этой статье https://habrahabr.ru/post/269679/
    есть список сравнение использования PKI в RouterOS

    Цитата:
    Использование PKI ROS
     
    Касательно PKI есть два варианта:
     
    1. С использованием встроенного в ROS PKI:
     
        + можем выдавать и отзывать сертификаты непосредственно на микротике, иначе нам придётся после каждого отзыва вручную обновлять crl на нём
       — случайное удаление с микротика CA-сертификата, используемого для подписи и отзыва сертификатов — фатально, импорт ранее выгруженных сертификата и ключа CA не поможет, а дальнейшее использование будет возможно только с использованием openssl и ручной загрузкой crl после каждого отзыва (конечно, если у вас есть актуальный бэкап всего этого)
        + если мы бэкапим весь конфиг микротика, то вместе с ним бэкапится и CA
     
     
    2. С использованием стороннего PKI — openssl, или windows server PKI (НЕ используйте доверенные CA типа StartSSL, они выдают клиентские сертификаты не только вам):
     
        + защищены от недостатка первого варианта
        — в случае openssl необходимо вручную загружать crl на микротик после каждого отозванного сертификата
        + в случае windows server PKI теоретически можно реализовать проверку подлинности через механизм SCEP, но пока не проверял
        — в случае windows server PKI нужен домен, без него этот самый PKI работать не будет
     

    Конкретно интересует вот выделенная запись
    То есть я не смогу забэкапить/экспортировать сертификат и ключ что бы использовать допустим на резервном микротике который будут ставить взамен вышедшего из строя?
    или на крайни случай временно поднять OpenVPN на каком нить Linux сервере

    Всего записей: 2445 | Зарегистр. 18-02-2003 | Отправлено: 05:51 03-11-2016 | Исправлено: VecH, 05:52 03-11-2016
    melboyscout



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    VecH
    Исхожя и выделенной записи - не получится так. Так же не нашел как можно экспортировать закрытый ключ рса для восстановления его на другом оборудовании.  
    Игрался с этим пки, пробовал отзывать сертификаты, однако туннель созданный с их плмощью все же создавался и работал. Если получится разобраться в этом, буду признателен за инфу

    Всего записей: 2000 | Зарегистр. 16-02-2010 | Отправлено: 07:34 03-11-2016
    VecH



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    И где хранится список отозванных ключей/сертификатов ?

    Всего записей: 2445 | Зарегистр. 18-02-2003 | Отправлено: 07:37 03-11-2016
    jfx



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66

    Цитата:
    В разделе опций dhcp сервера проблематично будет вам перевести параметры в nex код

     
    Нормально все получилось.

    Код:
     
    /ip dhcp-server option
    add code=6 name=YNDX_DNS_FAM value=0x4D5808074D580803
    add code=6 name=OPEN_DNS_FAM value=0xd043de7bd043dc7b
     
    /ip dhcp-server lease
    add address=192.168.0.221 client-id=1:xx:xx:xx:xx:xx:xx dhcp-option=OPEN_DNS_FAM mac-address=xx:xx:xx:xx:xx:xx server=default
     

     
    Так же составил список адресов всех детский девайсов и заворачиваю http трафик с этих адресов на web-proxy

    Код:
     
    /ip firewall address-list
    add address=192.168.0.221 list=kids
    add address=192.168.0.222 list=kids
    add address=192.168.0.223 list=kids
     
    /ip firewall nat
    add action=redirect chain=dstnat dst-port=80 in-interface=bridge-local protocol=tcp src-address-list=kids to-ports=8080
     

     
    А в прокси дополнительно фильтрую то, что пропустил DNS (хватает и такого)

    Код:
     
    /ip proxy access
    add action=deny dst-host=:redtube
     

     
    Так же логи web-proxy валятся на удаленный syslog, откуда, после анализа, добавляются правила в proxy access

    Код:
     
    /system logging
    add action=remote topics=web-proxy,!debug
     
    /system logging action
    set 3 remote=[ip of syslog server]
     

     
    Пока так. Еще нужно tor забанить.

    Всего записей: 3072 | Зарегистр. 06-02-2003 | Отправлено: 11:18 03-11-2016
    VecH



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Еще нужно tor забанить.

    Кстати как это можно микротиком сделать?

    Всего записей: 2445 | Зарегистр. 18-02-2003 | Отправлено: 13:07 03-11-2016
    jfx



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Кстати как это можно микротиком сделать?

    Насколько я понял, нужно держать актуальных список серверов tor и тупо дропать соединения на них. Список обновлять скриптом.

    Всего записей: 3072 | Зарегистр. 06-02-2003 | Отправлено: 14:25 03-11-2016
    VecH



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Откуда брать список tor серверов пачкой?

    Всего записей: 2445 | Зарегистр. 18-02-2003 | Отправлено: 14:32 03-11-2016
    jfx



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    _https://www.dan.me.uk/torlist/

    Всего записей: 3072 | Зарегистр. 06-02-2003 | Отправлено: 14:34 03-11-2016
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Откуда брать список tor серверов пачкой?

     
    Тут в инструкции хорошей по блокировке TOR есть и скрипт и адрес и настройка котика
     
    http://robert.penz.name/983/filter-traffic-from-and-to-tor-ip-addresses-automatically-with-mikrotik-routeros/

    ----------
    Ищу работу. Серьёзно. Предложения в личку.

    Всего записей: 336 | Зарегистр. 15-02-2005 | Отправлено: 14:41 03-11-2016
    jfx



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Тут в инструкции хорошей по блокировке

    Там не по феншую – нужно еще и отдельный сервер задействовать

    Всего записей: 3072 | Зарегистр. 06-02-2003 | Отправлено: 15:23 03-11-2016
    vaniuhaha



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток уважаемые форумчане.
    Прислал мне провайдер новых пару строк для конфига моего микротика - настройка файрвола (говорят жизненно необходимо). Там было несколько строк по открытию закрытия некоторых портов и пропись новых dns-ов - их пропустим, и к финалу собственно та самая строчка которая ввела меня в ступор, как и микротик):
     
    /ip firewall filter add chain=input protocol=tcp dst-port=2222,8291,2323,2121,8080,8729 src-address=!11.111.111.0/27 action=drop  (ip естественно не настоящий).
     
    По моему опыту настройки файрвола - Это строчка добавляет правила которое по средствам протокола TCP направленные на выше указанные порты, делает сброс пакетов указанной группе ip адресов с маски подсети 255.255.255.224. но вот не могу понять зачем перед ip-шником с маской стоит восклицательный знак (подразумеваю что это означает принудительно).
     
    Мои нынешние настройки не как не связанны не с этой группой адресов не с этой маской, но при попытке ее добавить у меня моментально пропадает подключение к микротику, через winbox(8291) как и через web интерфейс (8080), ну и полностью пропадает интернет, телевидение и телефония).
     
    С чем это может быть связанна. Может я не правельно расшифровал это правила?  

    Всего записей: 239 | Зарегистр. 23-03-2011 | Отправлено: 10:15 04-11-2016
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru