Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   Предыдущие части темы: часть 1, часть 2, часть 3, часть 4 Официальный сайт: https://mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике   актуальные версии RouterOS: Stable: 7.14.3 Подробнее... Testing: 7.15rc2 Stable: 6.49.14 Long-term: 6.49.13 актуальная версия SwitchOS: 2.17 актуальная версия WinBox: 3.40 32/64-bit Подробнее...   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: alexnov66, 10:50 25-04-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору YuraseK конфиг при запросе сохранения конфигурируется с разделов, бекап нужно делать, и не только бекап но и в текстовый тоже сохранять для последующего востановления. Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 14:53 20-02-2024 | Исправлено: alexnov66, 14:55 20-02-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору YuraseK через консольный порт можно зайти в меню загрузки но я так глубоко не копал, и уже не помню что там в меню включал, там всё на английском и я не стал вникать конкретно. и то если он нормально работает наверное можно зайти а так только перепрошивка. бекап и конфиг надо хранить на внешнем носителе а не в филес, если конечно порт усб есть. если нет то сразу отправлять на сфтп какой нибудь. если не указана конкретная директория и делался бекап то в корне филес должны лежать файлы. а так всё в основном в память, и логи тоже которые после перезагрузки теряются, их надо писать на внешний носитель что бы сохранились. да и память засерать созданием бекапа тоже не стоит да и сам диск на микротике, а создавать бекап сразу на флэшку которую можно прочитать хоть на виртуальном микротике. если там попадётся супоут файл тоже вытащите, пригодится при обращении в тех поддержку микротика. все глюки в основном из за плохого блока питания, вместо родного надо ставить более мощнее и стабильнее блок. Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 21:52 20-02-2024 | Исправлено: alexnov66, 22:17 20-02-2024

Dominikus Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору локалка 192.168.1.0/25 NAS с запущенным контейнером Pihole (адрес: 192.168.1.8) сделал скрипт чтобы переключался на DNS микротика в случае когда вдруг потеряется связь с внешним DNS PiHole на NAS'e:   Код:   :local currentDNS [/ip dns get server]     :local dnsup [ :toarray "" ];     :local piholeDNS {"192.168.1.8"}     :local routerDNS {"192.168.1.1"}     :local backupDNS {"94.140.14.14";"94.140.15.15"}     :local testDomain "www.google.com"       :foreach i in $piholeDNS do={         :put $i         :do {             :resolve $testDomain server $i             :set $dnsup ( dnsup, $i );         } on-error={            :put "$i error"         }     }     :if ([:len $dnsup] > 0) do={             :put "$dnsup"             if ($currentDNS=$dnsup) do={                 put ("DNS no change")             } else {                 /ip dhcp-server network set [find address="192.168.1.0/25"] dns-server=$dnsup;                 /ip dns set servers $dnsup;                 /ip firewall nat;           enable [find comment="force-own-DNS1"];           #disable [find comment="force-own-DNS"];             }         } else={             :put "$dnsup"             if ($currentDNS=$backupDNS) do={                 put ("DNS no change")             } else {                 /ip dhcp-server network set [find address="192.168.1.0/25"] dns-server=$routerDNS;                 /ip dns set servers $backupDNS;                 :delay 2;                 /ip dns cache flush;                 /ip firewall nat;           #enable [find comment="force-own-DNS"];           disable [find comment="force-own-DNS1"];           :delay 2 :log warning "Remove connection........"; /ip firewall connection remove [ find protocol~"tcp" ]; /ip firewall connection remove [ find protocol~"udp" ]; :foreach x in=[/ip firewall connection find assured=no] do={ /ip firewall connection remove $x}   }         }    :put "$currentDNS"    :put "$dnsup"     RouterOS 7.13.4 --- /ip firewall nat  action=dst-nat chain=dstnat comment=force-own-DNS1 dst-port=53 \     in-interface=bridge protocol=udp src-address=!192.168.1.8 to-addresses=\     192.168.1.8 add action=dst-nat chain=dstnat comment=force-own-DNS1 dst-port=53 \     in-interface=bridge protocol=tcp src-address=!192.168.1.8 to-addresses=\     192.168.1.8 add action=dst-nat chain=dstnat comment=force-own-DNS disabled=yes dst-port=\     53 in-interface=bridge protocol=udp src-address=!192.168.1.1 \     to-addresses=192.168.1.1 так вот на NAS перключается без проблем, dns работает, а вот если отключаю NAS все переключается как надо но домены не ресолвятся, голову сломал не пойму почему!   Помогите разобраться если кто в курсе? Всего записей: 101 | Зарегистр. 08-07-2006 | Отправлено: 22:16 20-02-2024 | Исправлено: Dominikus, 22:17 20-02-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Dominikus не понятны правила ната, если dns запросы с внутренней сети завернуть на микротик то так должно быть, ну или на адрес dns сервера. Код: /ip firewall nat add action=dst-nat chain=dstnat disabled=yes dst-port=53 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.1 to-ports=53 add action=dst-nat chain=dstnat disabled=yes dst-port=53 protocol=udp src-address=192.168.1.0/24 to-addresses=192.168.1.1 to-ports=53   Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 22:30 20-02-2024 | Исправлено: alexnov66, 22:37 20-02-2024

Dominikus Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Dominikus не понятны правила ната, если dns запросы с внутренней сети завернуть на микротик то так должно быть, ну или на адрес dns сервера.   Код: /ip firewall nat add action=dst-nat chain=dstnat disabled=yes dst-port=53 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.1 to-ports=53 add action=dst-nat chain=dstnat disabled=yes dst-port=53 protocol=udp src-address=192.168.1.0/24 to-addresses=192.168.1.1 to-ports=53     было так, не ресолвится, почему то при переключении на основной DNS микротик (192.168.1.1), в connection по преднему инициализируются соединения к 192.168.1.8:53 т.е. к PihHole хотя я вставил правило в скрипт, очищать таблицу соединений Всего записей: 101 | Зарегистр. 08-07-2006 | Отправлено: 23:30 20-02-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Dominikus Цитата: было так, не ресолвится сам микротик без этих правил должен запрашивать днс сервера в интернете прописанные на микротике, а если и сам микротик запрашивает не рабочий днс сервер в сети то и резолвится не будет, у вас галочка стоит allow-remote-requests=yes, сервера днс прописаны на микротике, через сам микротик работает резольвинг, сайты открываются ? такое делается для пользователей в внутренней сети но не для самого микротика. Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 04:41 21-02-2024 | Исправлено: alexnov66, 04:44 21-02-2024

Dominikus Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: alexnov66 - галочка стоит allow-remote-requests=yes В том то вес и прикол, все вроде так как и должно быть! В таком варианте все работает. При срабатывании скрипта в DNS подставляются "94.140.14.14";"94.140.15.15", в DHCP Network - DNS cоотвественно адрес микротика 192.168.1.1 Все вроде логично и должно работать, а нет.... Всего записей: 101 | Зарегистр. 08-07-2006 | Отправлено: 10:45 21-02-2024

Molt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Все вроде логично и должно работать, а нет.... Честно говоря, логика, основанная на смене DNS через dhcp порочна изначально - клиент опрашивает dhcp обычно не ранее половины времени аренды. Поэтому оставляем 1.1 как DNS, разрешаем allow-remote-requests. Дальше никакой особо магии - когда pihole доступен, активируем правила dst-nat (и запросы поступают на него); в противном случае убираем dst-nat и обрабатываем dns средствами самого микротика.     Для удобства использования, наши правила dst-nat можно оформить с каким нибудь однотипным комментарием ( например DNS_PIHOLE) и включать/выключать правила примерно так Код:     /ip firewall nat [ find comment="DNS_PIHOLE" ]  disabled=no;   PS: по памяти, синтаксис могу напутать ---------- "Give me the place to stand, and I shall move the earth" — Archimedes Всего записей: 1337 | Зарегистр. 07-11-2004 | Отправлено: 12:44 21-02-2024

Dominikus Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: /ip firewall nat [ find comment="DNS_PIHOLE" ]  disabled=no;   В таком случае правила: /ip firewall nat  action=dst-nat chain=dstnat comment=force-own-DNS1 dst-port=53 \     in-interface=bridge protocol=udp src-address=!192.168.1.8 to-addresses=\     192.168.1.8 add action=dst-nat chain=dstnat comment=force-own-DNS1 dst-port=53 \     in-interface=bridge protocol=tcp src-address=!192.168.1.8 to-addresses=\     192.168.1.8   не работают, т.к. сервер у нас микротика 192.168.1.1 Если их отключить, то да работает, но запросы проскакивают через DNS микротика (192.168.1.1) в обход фильтров Pihole Всего записей: 101 | Зарегистр. 08-07-2006 | Отправлено: 13:49 21-02-2024 | Исправлено: Dominikus, 13:51 21-02-2024

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Dominikus В DNS Settings зачем стоит адрес Pi? Вот микротик и гоняет запросы от себя на РI и обратно и не может найти выход наружу.   /ip dns set allow-remote-requests=yes cache-max-ttl=1d cache-size=30000KiB \     max-concurrent-queries=450 max-concurrent-tcp-sessions=100 servers="1.1.1.\     1,1.0.0.1,8.8.8.8,8.8.4.4,9.9.9.9,77.88.8.3,77.88.8.7,94.140.14.15,94.140.\     15.16,1.1.1.3,1.0.0.3,149.112.112.11,149.112.121.10,149.112.122.10" \     verify-doh-cert=yes Всего записей: 297 | Зарегистр. 12-07-2008 | Отправлено: 13:53 21-02-2024 | Исправлено: HERSOFT, 13:55 21-02-2024

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Dominikus про всяк скажу, почему может не работать: https://developers.cloudflare.com/1.1.1.1/encryption/dns-over-https/encrypted-dns-browsers/#:~:text=%E2%80%8B%E2%80%8B%20Google%20Chrome,and%20enable%20Use%20secure%20DNS. ---------- Человек по своей природе существо злое. А его добрые поступки - это лишь проявление его силы воли! Всего записей: 2002 | Зарегистр. 16-02-2010 | Отправлено: 13:59 21-02-2024

Dominikus Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: /ip dns set allow-remote-requests=yes cache-max-ttl=1d cache-size=30000KiB \     max-concurrent-queries=450 max-concurrent-tcp-sessions=100 servers="1.1.1.\     1,1.0.0.1,8.8.8.8,8.8.4.4,9.9.9.9,77.88.8.3,77.88.8.7,94.140.14.15,94.140.\     15.16,1.1.1.3,1.0.0.3,149.112.112.11,149.112.121.10,149.112.122.10" \     verify-doh-cert=yes  У меня как я писал выше стоит на NAS в контейнере внешний блокировщик Pihole, потому и прописан его адрес, а у Вас просто обращение к общедоступным серверам   Добавлено: melboyscout Все работает, это не по теме! Просто работает не так как в принципе должен. Если не вопрос резервирования, то вообще все идеально отрабатывает, если все по правилам настроить: https://www.youtube.com/watch?v=EdzDCkFaskc&t=94s Всего записей: 101 | Зарегистр. 08-07-2006 | Отправлено: 14:07 21-02-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Dominikus Цитата: а у Вас просто обращение к общедоступным серверам так внешние сервера и должны быть прописаны на микротике и не надо их менять, сам микротик должен запросы отправлять в интернет, переключение только для пользователей внутренней сети а не для самого микротика. и аренда получения адреса пока не закончится на компьютере в сети то и настройки не поменяются и будет долбиться на полученный днс.   а вы на самом микротике тоже прописываете адрес пихоле, сам микротик должен отправлять запросы к днс серверам в интернет.   эти правила на микротике редиректа прописываются для того что бы пользователь при прописывании адреса днс сервера в ручную редиректился на сам микротик или на нужный днс сервер а не на прямую в интернет, а уже сам микротик делает запросы к нужным днс серверам в интернете. Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 15:25 21-02-2024 | Исправлено: alexnov66, 15:54 21-02-2024

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Dominikus Цитата: У меня как я писал выше стоит на NAS в контейнере внешний блокировщик Pihole,     У меня тоже NAS и в докере ADguardDNS крутиться. Ваш микротик с "пихолькой" играют в "бадминтон" пакетами DNS. В DNS Setings в Servers  вписываются адреса DNS серверов, на которых сам микорик будет искать записи Ваших запросов. Поэтому и скинул Вам свои настройки. Там куча серверов, если один "отвалиться", то остальные отработают Ваши запросы. Вот как у меня дома и на всех работах. Всего записей: 297 | Зарегистр. 12-07-2008 | Отправлено: 18:13 21-02-2024 | Исправлено: HERSOFT, 18:19 21-02-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору такое количество днс серверов можно и не прописывать. DOH постоянно отваливается от забугорных серверов, переодически в логах записи об этом, я отказался от него. Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 19:59 21-02-2024 | Исправлено: alexnov66, 20:01 21-02-2024

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alexnov66 Цитата: DOH постоянно отваливается от забугорных серверов, переодически в логах записи об этом, я отказался от него. Есть такое, но в моём списке нет DoH. Можно и больше прописать, хуже уж точно не будет. Какой быстрее откликнется, от того и будет запрос закэширован. Всего записей: 297 | Зарегистр. 12-07-2008 | Отправлено: 22:54 21-02-2024

rosalin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Приветствую, подскажите может кто сталкивался прописываю DDOS защиту как тут И получается такая картина локальные сервера которые пересылают DNS запросы из локальной сети, аттакуют DNS сервер провайдера. Локальные сервера прописываются в список ddos-attackers Всего записей: 2588 | Зарегистр. 15-04-2003 | Отправлено: 14:38 22-02-2024

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору HERSOFT Цитата: Какой быстрее откликнется, от того и будет запрос закэширован где такое прописано? с чего Вьі взяли, что запросьі отсьілаються на ВСЕ сервера, что указаньі? сначала на первьій. если он здох, то на следующий и т.д.   ---------- Человек по своей природе существо злое. А его добрые поступки - это лишь проявление его силы воли! Всего записей: 2002 | Зарегистр. 16-02-2010 | Отправлено: 14:57 22-02-2024

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование