evgeniy7676 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     актуальные версии RouterOS: Stable: 6.44 Long-term: 6.42.11 актуальная версия SwitchOS: 2.9 актуальная версия WinBox: 3.18   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Самый эфективный способ это заблокировать всё и открыть только те ресурсы которые требуются для работы, если блокировка делается где то для офиса или на предприятии, домашним пользователям смысла нет в блокировании. Так как на производстве ограничение в доступе к настройкам компьютера. Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 08:23 02-11-2016 | Исправлено: alexnov66, 08:28 02-11-2016

jfx Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подскажите, можно ли по DHCP разным клиентам кидать разные настройки DNS? Всего записей: 3150 | Зарегистр. 06-02-2003 | Отправлено: 18:36 02-11-2016

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору jfx какие именно настройки? нажмите Сделать-статикой и там меняйте для каждого клиента Всего записей: 2004 | Зарегистр. 16-02-2010 | Отправлено: 18:55 02-11-2016

jfx Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Т.е. определить опции (с каким кстати номером 5 или 6) и эти опции прописать в статике? Хочу детям подсовывать яндексовский семейный dns. Всего записей: 3150 | Зарегистр. 06-02-2003 | Отправлено: 19:08 02-11-2016

leshiy_odessa Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору jfx Цитата: Подскажите, можно ли по DHCP разным клиентам кидать разные настройки DNS?     Да.     http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server     /ip dhcp-server option add code=6 name=DNS1 value='8.8.8.8' add code=6 name=DNS2 value='8.8.4.4'   /ip dhcp-server lease add dhcp-option=DNS1 mac-address=xx:xx:xx:xx:xx:xx add dhcp-option=DNS2 mac-address=yy:yy:yy:yy:yy:yy     Только вам нужно разобраться с option и определится нужно вам конвертировать в hex или нет. Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 19:14 02-11-2016 | Исправлено: leshiy_odessa, 19:21 02-11-2016

jfx Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Спасибо, буду пробовать. Всего записей: 3150 | Зарегистр. 06-02-2003 | Отправлено: 19:23 02-11-2016

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору jfx Можно сделать проще. В настройках сети создаёте не диапазон адресов а на один нужный адрес и прописываете нужные dns сервера. Что бы ip адрес выдавался всегда один и тот же нужно его прописать статически, то есть постоянно на определённый мак адрес выдавать один и тот же ip адрес, что бы прописанные настройки в разделе network работали. Код: /ip dhcp-server lease add address=192.168.0.5 comment=deti mac-address=C5:85:3E:DE:A6:72 server=dhcp Код: /ip dhcp-server network add address=192.168.0.5/32 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.1 netmask=24 ntp-server=192.168.0.1   В разделе опций dhcp сервера проблематично будет вам перевести параметры в nex код Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 05:40 03-11-2016 | Исправлено: alexnov66, 05:54 03-11-2016

VecH Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Вот в этой статье https://habrahabr.ru/post/269679/ есть список сравнение использования PKI в RouterOS Цитата: Использование PKI ROS   Касательно PKI есть два варианта:   1. С использованием встроенного в ROS PKI:       + можем выдавать и отзывать сертификаты непосредственно на микротике, иначе нам придётся после каждого отзыва вручную обновлять crl на нём    — случайное удаление с микротика CA-сертификата, используемого для подписи и отзыва сертификатов — фатально, импорт ранее выгруженных сертификата и ключа CA не поможет, а дальнейшее использование будет возможно только с использованием openssl и ручной загрузкой crl после каждого отзыва (конечно, если у вас есть актуальный бэкап всего этого)     + если мы бэкапим весь конфиг микротика, то вместе с ним бэкапится и CA     2. С использованием стороннего PKI — openssl, или windows server PKI (НЕ используйте доверенные CA типа StartSSL, они выдают клиентские сертификаты не только вам):       + защищены от недостатка первого варианта     — в случае openssl необходимо вручную загружать crl на микротик после каждого отозванного сертификата     + в случае windows server PKI теоретически можно реализовать проверку подлинности через механизм SCEP, но пока не проверял     — в случае windows server PKI нужен домен, без него этот самый PKI работать не будет   Конкретно интересует вот выделенная запись То есть я не смогу забэкапить/экспортировать сертификат и ключ что бы использовать допустим на резервном микротике который будут ставить взамен вышедшего из строя? или на крайни случай временно поднять OpenVPN на каком нить Linux сервере Всего записей: 2517 | Зарегистр. 18-02-2003 | Отправлено: 05:51 03-11-2016 | Исправлено: VecH, 05:52 03-11-2016

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору VecH Исхожя и выделенной записи - не получится так. Так же не нашел как можно экспортировать закрытый ключ рса для восстановления его на другом оборудовании.   Игрался с этим пки, пробовал отзывать сертификаты, однако туннель созданный с их плмощью все же создавался и работал. Если получится разобраться в этом, буду признателен за инфу Всего записей: 2004 | Зарегистр. 16-02-2010 | Отправлено: 07:34 03-11-2016

VecH Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору И где хранится список отозванных ключей/сертификатов ? Всего записей: 2517 | Зарегистр. 18-02-2003 | Отправлено: 07:37 03-11-2016

jfx Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alexnov66 Цитата: В разделе опций dhcp сервера проблематично будет вам перевести параметры в nex код   Нормально все получилось. Код:   /ip dhcp-server option add code=6 name=YNDX_DNS_FAM value=0x4D5808074D580803 add code=6 name=OPEN_DNS_FAM value=0xd043de7bd043dc7b   /ip dhcp-server lease add address=192.168.0.221 client-id=1:xx:xx:xx:xx:xx:xx dhcp-option=OPEN_DNS_FAM mac-address=xx:xx:xx:xx:xx:xx server=default     Так же составил список адресов всех детский девайсов и заворачиваю http трафик с этих адресов на web-proxy Код:   /ip firewall address-list add address=192.168.0.221 list=kids add address=192.168.0.222 list=kids add address=192.168.0.223 list=kids   /ip firewall nat add action=redirect chain=dstnat dst-port=80 in-interface=bridge-local protocol=tcp src-address-list=kids to-ports=8080     А в прокси дополнительно фильтрую то, что пропустил DNS (хватает и такого) Код:   /ip proxy access add action=deny dst-host=:redtube     Так же логи web-proxy валятся на удаленный syslog, откуда, после анализа, добавляются правила в proxy access Код:   /system logging add action=remote topics=web-proxy,!debug   /system logging action set 3 remote=[ip of syslog server]     Пока так. Еще нужно tor забанить. Всего записей: 3150 | Зарегистр. 06-02-2003 | Отправлено: 11:18 03-11-2016

VecH Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Еще нужно tor забанить. Кстати как это можно микротиком сделать? Всего записей: 2517 | Зарегистр. 18-02-2003 | Отправлено: 13:07 03-11-2016

jfx Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Кстати как это можно микротиком сделать? Насколько я понял, нужно держать актуальных список серверов tor и тупо дропать соединения на них. Список обновлять скриптом. Всего записей: 3150 | Зарегистр. 06-02-2003 | Отправлено: 14:25 03-11-2016

VecH Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Откуда брать список tor серверов пачкой? Всего записей: 2517 | Зарегистр. 18-02-2003 | Отправлено: 14:32 03-11-2016

jfx Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору _https://www.dan.me.uk/torlist/ Всего записей: 3150 | Зарегистр. 06-02-2003 | Отправлено: 14:34 03-11-2016

HUB107 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Откуда брать список tor серверов пачкой?   Тут в инструкции хорошей по блокировке TOR есть и скрипт и адрес и настройка котика   http://robert.penz.name/983/filter-traffic-from-and-to-tor-ip-addresses-automatically-with-mikrotik-routeros/ ---------- Ищу работу. Серьёзно. Предложения в личку. Всего записей: 340 | Зарегистр. 15-02-2005 | Отправлено: 14:41 03-11-2016

jfx Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Тут в инструкции хорошей по блокировке Там не по феншую – нужно еще и отдельный сервер задействовать Всего записей: 3150 | Зарегистр. 06-02-2003 | Отправлено: 15:23 03-11-2016

vaniuhaha Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброго времени суток уважаемые форумчане. Прислал мне провайдер новых пару строк для конфига моего микротика - настройка файрвола (говорят жизненно необходимо). Там было несколько строк по открытию закрытия некоторых портов и пропись новых dns-ов - их пропустим, и к финалу собственно та самая строчка которая ввела меня в ступор, как и микротик):   /ip firewall filter add chain=input protocol=tcp dst-port=2222,8291,2323,2121,8080,8729 src-address=!11.111.111.0/27 action=drop  (ip естественно не настоящий).   По моему опыту настройки файрвола - Это строчка добавляет правила которое по средствам протокола TCP направленные на выше указанные порты, делает сброс пакетов указанной группе ip адресов с маски подсети 255.255.255.224. но вот не могу понять зачем перед ip-шником с маской стоит восклицательный знак (подразумеваю что это означает принудительно).   Мои нынешние настройки не как не связанны не с этой группой адресов не с этой маской, но при попытке ее добавить у меня моментально пропадает подключение к микротику, через winbox(8291) как и через web интерфейс (8080), ну и полностью пропадает интернет, телевидение и телефония).   С чем это может быть связанна. Может я не правельно расшифровал это правила?   Всего записей: 239 | Зарегистр. 23-03-2011 | Отправлено: 10:15 04-11-2016

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование