Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    elovozeleniy



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Друзья, подскажите как оптимально построить защиту от ARP-spoofing?
    Произвел следующие действия:
    1. Добавил в Access list, mac адреса устройств.
    2.Доступ по паролю присутствует
    3.ARP: reply-only

    Всего записей: 6 | Зарегистр. 03-02-2016 | Отправлено: 23:52 22-05-2016
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    elovozeleniy
    оптимально - только с L2-оборудованием, поддерживающим такой функционал
    неоптимально - прописывать с обеих сторон ARP-записи статикой. если прописать только на роутере - то всё равно один клиент может другого убедить в том, что пакеты надо в левое место слать, а не на роутер

    ----------
    Заходите в гости: Форум о MikroTik в Беларуси и не только! =)

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 00:32 23-05-2016
    zBear



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    del

    Всего записей: 1634 | Зарегистр. 20-02-2007 | Отправлено: 10:00 23-05-2016 | Исправлено: zBear, 18:35 23-05-2016
    melboyscout



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Chupaka
    Но ведь роутер будет принтмать запросы только в статической связке мак-адрес? И даже, если злоумышленник инфицирует клиента, то дальше роутер данные не примет, так? Или я ошибаюсь?

    Всего записей: 2000 | Зарегистр. 16-02-2010 | Отправлено: 10:21 23-05-2016
    468320



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vlary

    Цитата:
    Если у тебя стоит галка напротив Add Default Route, то сними ее.
    И пропиши маршрут к сети за PPTP сервером.
    А в той сети, где стоит PPTP сервер, пусть добавят маршрут к вашей сети через этот сервер.

     
    После того как на PPTP сервере был прописан маршрут:
    route add 192.168.9.0 mask 255.255.255.0 10.110.14.21
    где 192.168.9.0 (сеть A)- сеть за микротиком; 10.110.14.21 (сеть B) - адрес выдаваемый PPTP-сервером (Windows Server 2008 R2) клиенту на микротике.
    Со стороны проводных пользователей микротика пингуется только адрес 10.110.14.10 (PPTP-сервер).

    Всего записей: 73 | Зарегистр. 13-12-2006 | Отправлено: 14:25 23-05-2016 | Исправлено: 468320, 14:33 23-05-2016
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    468320
    Цитата:
    Со стороны проводных пользователей микротика пингуется только адрес 10.110.14.10 (PPTP-сервер).  
    Это естественно. Ты же добавил маршрут только на PPTP-сервере.
    Его надо также добавить на их дефолт шлюзе. Который 10.110.14.1, я полагаю?        
    Прописать маршрут через  10.110.14.10.

    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17271 | Зарегистр. 13-06-2007 | Отправлено: 14:39 23-05-2016 | Исправлено: vlary, 14:41 23-05-2016
    468320



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vlary

    Цитата:
    Это естественно. Ты же добавил маршрут только на PPTP-сервере.
    Его надо также добавить на их дефолт шлюзе. Который 10.110.14.1, я полагаю?        
    Прописать маршрут через  10.110.14.10.

    Добавил маршрут на шлюз (10.110.14.243), но пинги не появились.


    Всего записей: 73 | Зарегистр. 13-12-2006 | Отправлено: 14:58 23-05-2016
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    468320
    Цитата:
    Добавил маршрут на шлюз (10.110.14.243), но пинги не появились.  
    Адрес 10.110.14.243 клиенты  из 192.168.9.0 теперь пингуют?
    Что пытаетесь пинговать в сети 10.110.14.0? На винде входящий пинг по дефолту запрещен.
    Шлюз 10.110.14.243 не пытается НАТить пакеты в 192-ю сеть?
    С него пинги на адрес микротика 192.168.9.х идут?
    Если добавить маршрут к сети 192.168.9.0 через 10.110.14.10 на каком-либо ПК  
    сети 10.110.14.0, пинги пойдут?    


    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17271 | Зарегистр. 13-06-2007 | Отправлено: 15:58 23-05-2016
    468320



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vlary

    Цитата:
    Адрес 10.110.14.243 клиенты  из 192.168.9.0 теперь пингуют?
    Что пытаетесь пинговать в сети 10.110.14.0? На винде входящий пинг по дефолту запрещен.
    Шлюз 10.110.14.243 не пытается НАТить пакеты в 192-ю сеть?
    С него пинги на адрес микротика 192.168.9.х идут?
    Если добавить маршрут к сети 192.168.9.0 через 10.110.14.10 на каком-либо ПК  
    сети 10.110.14.0, пинги пойдут?  

    1. Клиенты за микротиком пингуют шлюз 10.110.14.243.
    2. В сети 10.110.14.0 несколько серверов, в частности интересуют шары на одном из серверов. Если на сервере с шарами прописать маршрут как и на PPTP сервере:
    route add 192.168.9.0 mask 255.255.255.0 10.110.14.21
    то пинг на сервер с шарами со стороны клиентов микротика тоже появляется.
    3. Шлюз (10.110.14.243) в сети 192.168.9.0 пингут только микротик (192.168.9.1).
     

    Всего записей: 73 | Зарегистр. 13-12-2006 | Отправлено: 16:16 23-05-2016
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    468320
    Цитата:
    2. В сети 10.110.14.0 несколько серверов, в частности интересуют шары на одном из серверов. Если на сервере с шарами прописать маршрут как и на PPTP сервере:
    route add 192.168.9.0 mask 255.255.255.0 10.110.14.21  
    Наверное, правильнее будет указать шлюзом адрес не PPTP клиента, а сервера?
    И что-то кажется мне, что на сервере с шарами вообще не прописан дефолт шлюз.
    А если прописан, то что-то на шлюзе не пускает пакеты между сетями.
    Фаервол, НАТ криво настроен...
    Короче, последовательность тебе понятна.
    Сначала добиваешься, чтобы пинговался шлюз 10.110.14.243, потом - остальная сеть.

    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17271 | Зарегистр. 13-06-2007 | Отправлено: 18:14 23-05-2016
    468320



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vlary

    Цитата:
    Наверное, правильнее будет указать шлюзом адрес не PPTP клиента, а сервера?

    Вместо route add 192.168.9.0 mask 255.255.255.0 10.110.14.21 прописать route add 192.168.9.0 mask 255.255.255.0 10.110.14.20? Пробовал, вообще всякие пинги пропадают на сеть 10.110.14.0
     

    Цитата:
    И что-то кажется мне, что на сервере с шарами вообще не прописан дефолт шлюз.

    Нет, шлюз прописан:

     

    Цитата:
     Сначала добиваешься, чтобы пинговался шлюз 10.110.14.243, потом - остальная сеть.

    Так шлюз 10.110.14.243 уже пингуется клиентами микротика, а вот с остальными серверами, если на них самих маршрут не писать в сеть 192.168.9.0, пингов нет.
     
     
     

    Всего записей: 73 | Зарегистр. 13-12-2006 | Отправлено: 19:17 23-05-2016 | Исправлено: 468320, 19:17 23-05-2016
    elovozeleniy



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Chupaka  

    Насчет другого оборудования понятно, который поддерживает данный функционал.

    Цитата:
    неоптимально - прописывать с обеих сторон ARP-записи статикой. если прописать только на роутере - то всё равно один клиент может другого убедить в том, что пакеты надо в левое место слать, а не на роутер

    Но тогда как себя обезопасить?
     
     
     

    Всего записей: 6 | Зарегистр. 03-02-2016 | Отправлено: 19:53 23-05-2016
    Chekhov

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подробнее...

    Всего записей: 5 | Зарегистр. 23-05-2016 | Отправлено: 20:09 23-05-2016 | Исправлено: Chekhov, 20:16 23-05-2016
    melboyscout



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Chekhov
    А что за цель преследуете? Что за топология, от кого и каких атак защищаетесь?  
    Некоторое у вас в конфиге повторяется!  
    Если интересуют материаллы по ыайеру, могу завтра в пм выслать

    Всего записей: 2000 | Зарегистр. 16-02-2010 | Отправлено: 22:19 23-05-2016
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    468320
    Откуда взялся адрес 10.110.14.20?
    Ты сам писал: адрес 10.110.14.10 (PPTP-сервер).  
    По уму линк PPTP-клиент  - PPTP-сервер вообще должен быть
    не из сети 10.110.14.0 при связи двух сетей.
    Для одиночного клиентского соединения - нормально.  

    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17271 | Зарегистр. 13-06-2007 | Отправлено: 22:46 23-05-2016
    468320



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vlary

    Цитата:
    Откуда взялся адрес 10.110.14.20?

    VPN-сеть

    Всего записей: 73 | Зарегистр. 13-12-2006 | Отправлено: 23:40 23-05-2016
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    468320
    Цитата:
    VPN-сеть  
    Ни ПК, ни шлюз в той сети не обязаны ничего знать про VPN-сеть.
    Указывается маршрут через PPTP-сервер (адрес на эзернете) и все.
    А он уже должен знать, в какую сеть через какое соединение попасть.
    Короче, тему микротика считаю исчерпанной, на нем все настроено.
    Осталось правильно настроить шлюз 10.110.14.243, а это уже совсем другая история.

    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17271 | Зарегистр. 13-06-2007 | Отправлено: 11:55 24-05-2016
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    В чём отличие настройки микротика через Quick Setup и если в менюшках тыкаться или там же но через консоль?
    Сколько сайтов видел - все пишут о необходимости не применения дефолтного конфига, а самому с нуля нащёлкать конфиг.
    И в каких случаях надо самому конфиг делать а в каких можно на дефолте остаться?

    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 00:10 26-05-2016
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fakintosh
    Цитата:
    И в каких случаях надо самому конфиг делать а в каких можно на дефолте остаться?
    Если никогда больше не планируешь подобными железками заниматься,
    а полученный результат тебя мало интересует.


    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17271 | Зарегистр. 13-06-2007 | Отправлено: 00:45 26-05-2016
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vlary
    Дефолт от самолично настроенного конфига технически ни чем не отличается?

    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 00:50 26-05-2016
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru