Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

Открыть новую тему     Написать ответ в эту тему

Germanus



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
Предыдущие части темы: часть 1, часть 2, часть 3, часть 4
Официальный сайт: https://mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
актуальные версии RouterOS:
Stable: 7.14.2 Подробнее... Testing: 7.15b8
Stable: 6.49.13 Long-term: 6.49.10

актуальная версия SwitchOS: 2.17
актуальная версия WinBox: 3.40 32/64-bit Подробнее...

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: anton04, 12:30 28-03-2024
    serega1372

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    интернет работает нормально.
    первый провайдер - билайн
    второй - йота
     
    Так вот через йоту работает, через билайн нет

    Всего записей: 6 | Зарегистр. 20-03-2019 | Отправлено: 11:13 12-04-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    serega1372
    Значит гнусный билайн ещё похуже йоты режет.

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 11:33 12-04-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    serega1372
    ip адрес на интерфейсе Билайна удалите, или dhcp клиент отключите, используется или получение ip адреса по dhcp или прописывается вручную, но ни как не одновременно. Желательно адреса прописывать вручную а не по dhcp, если провайдер это позволяет, и маршруты вручную, к первому прову с метрикой 1, к второму с метрикой 2

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 18:03 12-04-2019 | Исправлено: alexnov66, 18:06 12-04-2019
    Sashaiv

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подробнее...

    Всего записей: 9 | Зарегистр. 18-04-2019 | Отправлено: 16:54 18-04-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Sashaiv
    Всё работает, ищите ошибку в правилах, при знании логина и пароля более 5 попыток не стоит делать, даже 3-х.
     
    Немного по другому.

    Код:
    /ip firewall filter
    add action=drop chain=input comment=input_drop_tcp_brute dst-port=3389 in-interface-list=wan protocol=tcp src-address-list=list_drop_tcp_brute
    add action=add-src-to-address-list address-list=list_drop_tcp_brute address-list-timeout=1w chain=input connection-state=new dst-port=3389 in-interface-list=wan protocol=tcp src-address-list=list_auth4_tcp_brute
    add action=add-src-to-address-list address-list=list_auth4_tcp_brute address-list-timeout=1m chain=input connection-state=new dst-port=3389 in-interface-list=wan protocol=tcp src-address-list=list_auth3_tcp_brute
    add action=add-src-to-address-list address-list=list_auth3_tcp_brute address-list-timeout=1m chain=input connection-state=new dst-port=3389 in-interface-list=wan protocol=tcp src-address-list=list_auth2_tcp_brute
    add action=add-src-to-address-list address-list=list_auth2_tcp_brute address-list-timeout=1m chain=input connection-state=new dst-port=3389 in-interface-list=wan protocol=tcp src-address-list=list_auth1_tcp_brute
    add action=add-src-to-address-list address-list=list_auth1_tcp_brute address-list-timeout=1m chain=input connection-state=new dst-port=3389 in-interface-list=wan protocol=tcp src-address-list=!list_allow_ip_all
     

     
    В лист list_allow_ip_all заносим все разрешенные ip адреса, в том числе и внутренние, если вы не указываете внешний интерфейс и правило работает для всех интерфейсов.
     
    Правило на инпут надо делать, вы же подключаетесь к микротику на ip адрес и порт, и время сократить до 30 секунд, за 30 секунд сколько можно успеть сделать попыток в ручную не считая программой.
     

    Код:
    /ip firewall filter
    add action=jump chain=input comment=Add_bruteforcers_tcp_port connection-state=new dst-port=80,443,8080,8443 in-interface-list=wan jump-target=check_bruteforce protocol=tcp
    add action=jump chain=input comment=Add_bruteforcers_udp_port connection-state=new dst-port=80,443,8080,8443 in-interface-list=wan jump-target=check_bruteforce protocol=udp
    add action=jump chain=input comment=Add_bruteforcers_tcp_port connection-state=new dst-port=20,21,22,23,53,990,3389,1723 in-interface-list=wan jump-target=check_bruteforce protocol=tcp
    add action=jump chain=input comment=Add_bruteforcers_udp_port connection-state=new dst-port=20,21,22,23,53,990,3389,1723 in-interface-list=wan jump-target=check_bruteforce protocol=udp
    add action=drop chain=input comment=Drop_bruteforcers_port in-interface-list=wan src-address-list=bruteforcer
    add action=add-src-to-address-list address-list=bruteforcer address-list-timeout=15m chain=check_bruteforce comment=Add_bruteforcer_to_blacklist_15m src-address-list=bruteforce_stage_6
    add action=add-src-to-address-list address-list=bruteforce_stage_6 address-list-timeout=1m chain=check_bruteforce comment=Add_to_bruteforce_stage_6_1m src-address-list=bruteforce_stage_5
    add action=add-src-to-address-list address-list=bruteforce_stage_5 address-list-timeout=1m chain=check_bruteforce comment=Add_to_bruteforce_stage_5_1m src-address-list=bruteforce_stage_4
    add action=add-src-to-address-list address-list=bruteforce_stage_4 address-list-timeout=1m chain=check_bruteforce comment=Add_to_bruteforce_stage_4_1m src-address-list=bruteforce_stage_3
    add action=add-src-to-address-list address-list=bruteforce_stage_3 address-list-timeout=1m chain=check_bruteforce comment=Add_to_bruteforce_stage_3_1m src-address-list=bruteforce_stage_2
    add action=add-src-to-address-list address-list=bruteforce_stage_2 address-list-timeout=1m chain=check_bruteforce comment=Add_to_bruteforce_stage_2_1m src-address-list=bruteforce_stage_1
    add action=add-src-to-address-list address-list=bruteforce_stage_1 address-list-timeout=1m chain=check_bruteforce comment=Add_to_bruteforce_stage_1_1m

     
    В первом снизу правиле можно добавить лист исключения ip адресов.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 17:37 18-04-2019 | Исправлено: alexnov66, 18:46 18-04-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66

    Цитата:
    Правило на инпут надо делать, вы же подключаетесь к микротику на ip адрес и порт

    Почитайте в вики про цепочки input и forward и в чём между ними разница.
     
    Sashaiv
    Вы какими-то методами из 80-х пытаетесь решить.
    RDP соединение шифрованное, ввод пароля осуществляется внутри соединения, новое соединение для нового пароля создавать не надо - ваши правила полностью бесполезны. Не знаю как раньше они могли работать, видимо что-то ещё поменялось.
    Ну и проброс надо делать не через netmap а через dst-nat.
    Блокировать подбирающего должен сам терминальный сервер, для этого давно уже есть соответствующая групповая политика.
     
    Ну или, если хотите разрешать доступ именно через маршрутизатор, есть такое решение:
    https://vikilpet.wordpress.com/2019/02/20/mikrotik-port-knocking/

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 18:56 18-04-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vklp

    Цитата:
    ввод пароля осуществляется внутри соединения

    Эти правила не от ввода пароля а от количества попыток соединения к микротику за определённый промежуток времени. От ввода неправильного пароля действительно должен блокировать сам сервер.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 19:12 18-04-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66

    Цитата:
    Эти правила не от ввода пароля а от количества попыток соединения к микротику за определённый промежуток времени

    ага, прям так и написано

    Цитата:
    comment=Add_bruteforcers

     
    Ещё и в цепочке input xD
     
    Придёт как-нибудь филиал где больше двух человек утром на работу вовремя, и поедут все в бан за попытки соединения.

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 19:30 18-04-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    У филиала известный диапазон ip адресов, для этого можно добавить лист исключения, и дальше первой попытки адреса не будут заноситься в адрес лист

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 19:34 18-04-2019 | Исправлено: alexnov66, 19:36 18-04-2019
    Sashaiv

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подробнее...

    Всего записей: 9 | Зарегистр. 18-04-2019 | Отправлено: 15:47 19-04-2019
    HERSOFT



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Ещё и в цепочке input xD  

    Верно, должно быть форвард, ведь 3389 - это проброс натом на сервер.
     

    Цитата:
    Придёт как-нибудь филиал где больше двух человек утром на работу вовремя, и поедут все в бан за попытки соединения.

     
    Не ваша правда. У меня такое стоит и нет проблем. Бывают проблемы, если юзеры тычутся туда, как ягнята в ворота. Но их блочит на 10 минут. Этого хватает, чтобы они переосмыслили всю бренность своего бытия.
     
    ЗЫ: попутно вопрос знатокам. Если на сервере расшарить папку для всех и даже гостей и сунуть этот сервер в зону DMZ, то можно ли зайти на шару по адресу \\белый IP или как нить по-другому ?

    Всего записей: 291 | Зарегистр. 12-07-2008 | Отправлено: 16:16 19-04-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    нет проблем


    Цитата:
    их блочит на 10 минут

    Ясно, понятно.
     

    Цитата:
    а шару по адресу \\белый IP

    Придётся прокидывать SMB и возможно NetBios, возможно будут проблемы с брэндмауэром самой windows, но в любом случае нормальная практика это делать VPN и маршрутизировать внутренние сети.

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 16:44 19-04-2019
    HERSOFT



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Придётся прокидывать SMB и возможно NetBios, возможно будут проблемы с брэндмауэром самой windows, но в любом случае нормальная практика это делать VPN и маршрутизировать внутренние сети.

    Про ВПН и прочее - это понятно. Встал вопрос, кто виноват. Один настраивал модем простой ДЛИНК и сунул сервер в зону ДМЗ, чтобы не пробрасывать порты. Второй настраивал сервер и расшарил папки с базами 1С (тут понятно, ибо базы файловые). В итоге база "уплыла". Ценности она никакой не имеет, но всё же хочется знать, возможно ли при такой настройке, войти на шару, при том, что брендмауэр включен ? Хочется знать,кто лоханулся ?
     
    Пробовал воспроизвести на других серверах такую ситуацию, и не смог войти. Правда там Асусы стоят. Но так же запихал сервак в DMZ и отключал все фаеры на модеме. Ноль результата.

    Всего записей: 291 | Зарегистр. 12-07-2008 | Отправлено: 19:39 19-04-2019
    leosart



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Добрый день, уважаемые! Подскажите, кто сталкивался, как правильно настроить на микротике бондинг с раунд робином двух входящих провайдеров (eth1 и eth2)?
    Суть самой проблемы в том, что за роутером телефония и операторы. Когда операторы звонят клиентам начинают теряться голосовые пакеты, плюс сам винбокс тормозит и выбрасывает меня (я к нему подключаюсь из инета). И впнщиков тоже отключает.
    К виндоксу подключаюсь на внешний IP интерфейса eth1, на енго же и впнщики подключаются. У провайдеров транков разрешены обы наших внешний IP.
    Или микрот с бондингом внешних каналов не умеет работать?

    Всего записей: 135 | Зарегистр. 05-07-2010 | Отправлено: 16:23 24-04-2019 | Исправлено: leosart, 16:24 24-04-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leosart

    Цитата:
    бондинг

    это про объединение l2 туннелей, про два провайдера гуглите балансировку.
     

    Цитата:
    за роутером телефония и операторы

    Вообще никак не должно влиять на:

    Цитата:
    начинают теряться голосовые пакеты, плюс сам винбокс тормозит и выбрасывает меня (я к нему подключаюсь из инета). И впнщиков тоже отключает.  

    Ну разве что вы настроили очереди с высочайшей приоритезацией трафика телефонии, но тогда такой вопрос бы не задавали.
     
    В общем гуглите балансировку, например PCC, тогда и подключаться сможете по обоим внешним адресам (если оба белые).

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 16:55 24-04-2019
    leosart



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vklp
    Приоритеты не менял, но и в правду очень странно все срабаотывает...
    Просмотрел РСС, да, пожоже то что надо, спасибо!

    Всего записей: 135 | Зарегистр. 05-07-2010 | Отправлено: 17:12 24-04-2019
    55550000



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ребят, помогите с дурацким вопросом:
     
    l2tp тунель (mikrotik-clietn(dynamic ip)-internet-mikrotik-server(static ip)).  
     
     
    Смотрю, кто как настраивает - кто-то только в разделе c L2tp, кто-то в этом разделе не ставит галку, но настраивает Ipsec в разделе ip-ipsec, кто-то и там и там. Как правильно?
     
    Чем отличается установка Ipsec в разделе l2tp server от ip-ipsec? В wiki написано, что вроде вторая используется только при условии, что удаленный клиент сидит за nat. Так или есть еще нюансы?

    ----------
    Челябинск - родина сладкой стекловаты... Челябинские мужчины настолько суровы, что...

    Всего записей: 1852 | Зарегистр. 16-11-2004 | Отправлено: 09:00 25-04-2019
    vamp1re77

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Правильно настраивать туннель в IP -Ipsec
    L2TP настройка это в PPP?
    если да то это для клиентского VPN

    Всего записей: 11 | Зарегистр. 25-04-2019 | Отправлено: 10:49 25-04-2019 | Исправлено: vamp1re77, 10:54 25-04-2019
    55550000



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP
     
    Здесь про L2TP указано, что и так и так можно. Но в чем принципиальная разница?

    ----------
    Челябинск - родина сладкой стекловаты... Челябинские мужчины настолько суровы, что...

    Всего записей: 1852 | Зарегистр. 16-11-2004 | Отправлено: 19:21 29-04-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    55550000
    Настройка в самом L2TP это быстрый вариант со стандартными настройками, которых хватит большинству.
    Тем, кому не хватит - лезут в ip - ipsec и накручивают настройки как им хочется.

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 20:09 29-04-2019
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru