Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    Vofka



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    alexnov66
    на скрине 53, 123 это наружу
    все закрыто, все нормально работает, вопрос - почему до бэкапа 100% загрузка а после подъема бэкапа все устаканилось?
     

    Всего записей: 210 | Зарегистр. 22-10-2002 | Отправлено: 19:21 31-03-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Vofka
    Выполняется перезагрузка системы, очищается кеш dns сервера, отрубаются подключения, через некоторое время загрузка повторится.

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 20:31 31-03-2017
    arxont



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Внимание всем пользователем роутеров #Mikrotik - DoS уязвимость в текущей версии.
     
    Необходимо закрыть или переназначить порт WinBox. Либо закрыть файрволом доступ с не административных адресов. Связано с уязвимостью  
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7285
     
    Экплойт рабочий (проверял на 6.38.5).
     
    Краткое описание уязвимости: Уязвимость в сетевом стеке MikroTik 6.38.5, выпущенном в 2017-03-09, позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, исчерпать все ресурсы центрального процессора, через поток пакетов TCP RST, не позволяя атакованному маршрутизатору принимать новые TCP-соединения.

    Всего записей: 85 | Зарегистр. 03-07-2006 | Отправлено: 11:30 01-04-2017
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    arxont
    Так будет нормально?
       
     


    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 11:34 01-04-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fakintosh
    Можно просто включить те внутренние интерфейсы с которых подключаетесь винбоксом а остальные отключить.

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 13:51 01-04-2017
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fakintosh
    Для локалки не критично, но если наружу, то номер порта конечно нужно менять на что-то вроде — 65111 (за 65 тысяч).
     
    Узнать диапазон IP своего провайдера и сделать доступ только из этого диапазона.  
    Само собою никаких пользователей — root и admin.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 15:57 01-04-2017
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leshiy_odessa

    Цитата:
    Узнать диапазон IP своего провайдера

     
     
    Диапазон

    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 16:30 01-04-2017 | Исправлено: fakintosh, 16:37 01-04-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    arxont

    Цитата:
    Экплойт рабочий (проверял на 6.38.5).  
     
    Краткое описание уязвимости: Уязвимость в сетевом стеке MikroTik 6.38.5, выпущенном в 2017-03-09, позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, исчерпать все ресурсы центрального процессора, через поток пакетов TCP RST, не позволяя атакованному маршрутизатору принимать новые TCP-соединения.

    сколько видел описаний, так и не понял до конца: о каких именно новых TCP-соединениях речь? на порт WinBox'а или вообще от клиентов в Интернет?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:43 01-04-2017
    LevT



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Что за фигня может быть?
    надо работать с более удалённой (конторской) сетью за ipip/ipsec туннелем  
     
    судя по хождению icmp, маршрутизация работает (ospf из двух арий между тремя ROS 6.38.5)
    однако tcp-коннекты не проходят: судя по ip firewall connections, нет ответа на tcp syn  
    фраерловы точно не причём: их почти нет, только маскарадинг в инет настроен.
     
    и не все коннекты не проходят: есть в одной более удалённой подсетке пара хостов рабочий и нерабочий
    Чем пошУтить траблу?
     
    Добавлено:
     
    Одно время уже работало как надо, я потом перемудрил с конфигами
     
     
    Добавлено:

    Цитата:
    и не все коннекты не проходят: есть в одной более удалённой подсетке пара хостов рабочий и нерабочий  Чем пошУтить траблу?  

     
    у рабочего хоста дефолтный шлюз - дальний микротик (у которого ноги там во всех конторских виланах и который служит байпасом конторского шеститонного ядра. Само ядро смотрит статикой через конторсую асу в инет - потому мои виртуалки в конторских подсетках смотрят в инет через мой микротик-байпас ядра, а затем через другой мой микротик (пограничный, байпас конторской асы, который ABR моего ospf)
     
    Достаточно сменить шлюз на конторской виртуалке с конторского на мой - и мои tcp коннекты издалека к той виртуалке начинает проходить.
    Беда в том, что в конторе есть продакшен-продакшен, которому я не могу сменить шлюз на мой. А подключаться издалека к нему хочу.
     
    Потому на конторском ядре указаны статикой маршруты в мои сетки через мой микротик-байпас ядра.

    Всего записей: 17108 | Зарегистр. 14-10-2001 | Отправлено: 20:36 01-04-2017 | Исправлено: LevT, 23:25 01-04-2017
    obtim



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    На удаленной площадке устанавливает voip шлюз FXS yeastar ta800. Там стоит mikrotik(RouterOS v6.39rc60). Выделенный ip. Шлюз будет цепляться за нашу АТС.  
    Вопрос: на mikrotik что-надо и где прописать под это дело?

    Всего записей: 8928 | Зарегистр. 03-03-2002 | Отправлено: 15:30 04-04-2017
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    obtim

    Цитата:
    на mikrotik что-надо

    В первую очередь, не использовать в продакте релиз-кандидатов.

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 17:08 04-04-2017
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    obtim
    во вторых, надо прокидывать L2 от головного офис в филиал, со всеми вытекающими (EoIP или же маршрутизацией)

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 09:25 05-04-2017
    obtim



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    karavan
    Мне казалось, что rc60 уже близок к релизу?
    DrDEVIL666
    Хотелось услышать, что-то типа: выделить FXS в отдельную сетку и дать ей часть от канала. Либо через простую очередь - udp порты в приоритет..

    Всего записей: 8928 | Зарегистр. 03-03-2002 | Отправлено: 09:36 05-04-2017
    vertex4

    Moderator
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    LevT
    UDP проходит, а TCP нет? если пакет уходит в один интерфейс, а приходит ответ с другого - по умолчанию будет отброшен, защита от DDoS, это асимметричная маршрутизация
     
    Добавлено:
    obtim
    для голоса в любом случае надо давать приоритет QoS, если будет загрузка канала выше 50%.

    ----------
    В любой инструкции пропущено самое важное - что делать, если это устройство или программа не работают

    Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 09:46 05-04-2017
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    obtim
    1. Подымаешь EoIP поверх VPN (L2TP+IPSec или просто PPTP)
    2. если без EoIP, то делаешь маршрутизацией
    3. естественно QOS (т.е. VoIP на первое место в очереди)
    4. и не NATить (плин, я пару месяцев голову ломал, почему односторонняя слышимость)
    5. можно выделить телефонию в отдельную п/сеть или в отдельный VLAN  
    6. PROFIT

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 10:26 05-04-2017
    LevT



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vertex4

    Цитата:
     если пакет уходит в один интерфейс, а приходит ответ с другого - по умолчанию будет отброшен, защита от DDoS, это асимметричная маршрутизация  

     
    О большое спасибо за свежую идею!
    Как это убрать? Поскольку тики мои, мне проще попробовать это пофиксить и посмотреть: вдруг вылечится.
     
    Хотя был момент, что работало и так.
     

    Всего записей: 17108 | Зарегистр. 14-10-2001 | Отправлено: 11:21 05-04-2017 | Исправлено: LevT, 11:23 05-04-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    LevT
    Существует ошибочное мнение, если на одном устройстве прописан маршрут то на другом он не нужен, маршрут прописывается на обоих устройствах связанных через тунель к противоположной стороне, и не на весь диапазон адресов, как любят многие прописывать, а только на тот который охватывает противоположную сторону через тунель. Если с одного филиала нужно достучаться к другому через офисный микротик где диапазоны адресов разные у офиса и филиала то прописывается несколько маршрутов к каждому диапазону адресов.
    Гадать можно бесконечно, предоставте конфиги микротиков, офиса и филиалов, как что настроено.
    Попробуйте исключить внутреннюю подсеть из ната, правило должно быть выше маскардинга, всё зависит от настроек микротика.
     

    Код:
    /ip firewall nat
    add action=accept chain=srcnat comment=src_no_nat_lan disabled=no dst-address=192.168.0.0/16 src-address=192.168.0.0/16
     

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 11:45 05-04-2017 | Исправлено: alexnov66, 12:45 05-04-2017
    LevT



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
    я это ошибочное мнение не разделяю )
    у меня сложная конструкция внутри инфраструктуры конторы: два микротика служат байпасом ядра и байпасом периметра.
     
    это нужно для того, чтобы  
    1) заводить новые сетки, указывая один и тот же маршрут к ним на ядре продакшена (желательно это делать как можно реже)
     
    2) траблшутить продакшен, временно указывая шлюзом байпас ядра (в конторе ещё и прокси ит.п наворочено годами: бывает, возникают сложности на клиентах (надо исключить влияние TMG) или с обновлением новых серверов (мешает требование ntlm аутентификации на прокси).  
     
     
    Добавлено:
    alexnov66
    сами понимаете, что конфиги целиком я представить не могу: а чистить их для выкладывания отдельная работа, чреватая ошибками.
     

    Цитата:
    /ip firewall nat  add action=accept

    У меня же маскарадится только то, что хочет вылететь с etherWAN
     
    И потом, пинги-то ходят как надо! И DNS клиент работает с конторскими DC.
    А вот приложения не могут подключиться к TCP-портам на продакшене, смотрящем в тамошнее ядро.

    Всего записей: 17108 | Зарегистр. 14-10-2001 | Отправлено: 12:42 05-04-2017 | Исправлено: LevT, 13:01 05-04-2017
    vertex4

    Moderator
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    LevT
    Совет может быть один - нарисовать схему, распечатать активную таблицу маршрутизации каждого устройства и сидеть думать, что и куда идет. Маршруты прописывать не надо, сеть уже не того уровня, должна быть только динамика (ospf). Проблемы как раз и возникают, когда мешают всё в одну кучу.
    ЗЫ: сам с этим столкнулся, когда забыли удалить старый статический маршрут.

    ----------
    В любой инструкции пропущено самое важное - что делать, если это устройство или программа не работают

    Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 13:03 05-04-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    LevT

    Цитата:
    У меня же маскарадится только то, что хочет вылететь с etherWAN

    А там указана подсеть 0.0.0.0/0 под которую попадают все ip адреса, в том числе и внутренние.

    Цитата:
    А вот приложения не могут подключиться к TCP-портам на продакшене

    То есть приложения не подключаются на внешний ip адрес офисного микротика или через тунель ?

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 13:24 05-04-2017
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru