Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предыдущие части темы   Официальный сайт   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике  [?]   актуальные версии RouterOS: Stable: 7.18.1 changelogs Testing: 7.19b2 Stable: 6.49.17 Long-term: 6.49.13 актуальная версия SwitchOS: 2.17 актуальная версия WinBox: 3.41 32/64-bit Подробнее... [?] Mikrotik — Плюсы и минусы [?] FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти [?] Официальная документация: MikroTik Documentation Packet Flow in RouterOS (важно знать для понимания сути происходящего в файрволе и шейпере) News Система управления пользователями встроенная в RouterOS (RADIUS server) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1, №2        Подробнее... [?] MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... [?] "Хардварные решения" DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее... [?]    История релизов  Подробнее... [?] Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти [?] Обсуждение ROS(форумы)    Перейти [?] Обзоры продуктов RouterBOARD    Перейти [?] Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ... [?]   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы [?]   VPN + OSPF в картинках. [?] MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. [?] Всего записей: 4460 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: WildGoblin, 16:41 07-03-2025

BIGMIRdot Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору rosalin Цитата:   add action=dst-nat chain=dstnat comment="RDP" disabled=yes dst-address=Внешний IP dst-port=3389 protocol=tcp \     to-addresses=IP RDP в нужной подсети  to-ports=3389 Такое правило работает для внешнего айпи той сети где сам комп на который нужно попасть. Для удалённой сети пробовал, не работает. Хотя подсети друг друга видят.   alexnov66   WireGuard был выбран из-за хорошей скорости работы. OVPN через ТСР тормозит жутко, по UDP пока не пробовал.   HERSOFT   Цитата: Зачем гонять трафик через роутер? Что мешает входить по внутреннему IP? По внутреннему без проблем всё летает. Но задача как раз такая как я написал. Всего записей: 53 | Зарегистр. 02-06-2006 | Отправлено: 20:49 27-11-2023 | Исправлено: BIGMIRdot, 20:53 27-11-2023

BIGMIRdot Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору korall_m   Большое спасибо, всё получилось! Как написано в статье:   Нужно на первом роутере добавить два правила:   /ip firewall nat add action=dst-nat chain=dstnat comment=Server1 dst-port=41111 in-interface=WAN protocol=tcp to-addresses=192.168.35.120 /ip firewall nat add chain=srcnat dst-address=192.168.35.0/24 out-interface=l2tp-in1 action=masquerade   Плюс к этому добавил правило dst-nat на втором роутере, так как внешний порт РДП не стандартный. Всего записей: 53 | Зарегистр. 02-06-2006 | Отправлено: 22:35 27-11-2023 | Исправлено: BIGMIRdot, 22:52 27-11-2023

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BIGMIRdot Цитата: По внутреннему без проблем всё летает. Но задача как раз такая как я написал.   Если у Вас всё по внутренним адресам работало и надо было только из сети по внешнему адресу попадать на RDP, то, если я правильно понял Ваше ТЗ, то Вам нужен был Hairpin NAT. Всего записей: 340 | Зарегистр. 12-07-2008 | Отправлено: 23:18 27-11-2023

BIGMIRdot Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору HERSOFT   Две сети связаны через ВПН. Задача была попадать на локальный комп второй сети через белый айпишник первой.   Сссылка на статью как раз описывает мою ситуацию и там дано решение, которое я процитировал. Не догадался что надо masquerade включить, как во втором правиле. Всего записей: 53 | Зарегистр. 02-06-2006 | Отправлено: 23:42 27-11-2023

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BIGMIRdot Цитата: Не догадался что надо masquerade включить, как во втором правиле. Вы же говорите что из сети за белым адресом сервер виден и работают, значит функциональность тунеля желает лучшего и не всё работает. Марщруты к противоположной сети на обоих роутерах должны быть прописаны а не только на центральном. Если подобных сервисов больше нет в сети то можно указать маскардинг только на адрес сервера. Всего записей: 1480 | Зарегистр. 29-08-2005 | Отправлено: 05:36 28-11-2023 | Исправлено: alexnov66, 05:51 28-11-2023

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А как корректно заблочить всю сетку наших "соседей" по выделенному айпи от провайдера - кроме одного айпи = их шлюза? Т.е. вот мы на X.Y.Z.W IP сидим, со шлюзом X.Y.Z.Q, а надо закрыть всех в диапазоне: X.Y.0.0 - X.Y.255.255   Про корректность я в том плане - что ГДЕ должно быть место этих доп.правил? И не нарушит ли их нахождение   работу тех других - ранее созданных? Так-то я это так вижу: /ip firewall filter add chain=input src-address=X.Y.Z.Q action=accept comment="Allow our gateway" add chain=input src-address=X.Y.Z.W action=accept comment="Allow ourselfs" add chain=input src-address=X.Y.0.0/16 action=drop comment="Block neighbors"   Просто не сработает ли этот accept для пакетов со шлюза - как дыра в логике обработки пакетов далее по списку? Типа же пакет под правило подошел? Да -ну и все - обработка завершена. А то, что через шлюз ща лезет тот же   брутфорс пароля.. ну... вроде как сорри: правило есть правило. Всего записей: 4174 | Зарегистр. 01-04-2006 | Отправлено: 11:20 28-11-2023 | Исправлено: destiny child, 17:11 29-11-2023

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору YuraseK Цитата: Нужно, чтобы при обращении клиента на порт MikroTik, например, 8080, MikroTik перенаправлял подключение на этот же порт самого клиента. DSTNAT в NAT "нарисовать". Всего записей: 340 | Зарегистр. 12-07-2008 | Отправлено: 14:24 29-11-2023

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Хм, так про блок подсетки "соседей" по провайдеру - никто не подскажет? Вопрос выше! Всего записей: 4174 | Зарегистр. 01-04-2006 | Отправлено: 17:12 29-11-2023

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору destiny child Мне кажется, вы категорически неправильно понимаете работу роутеров. Пакеты от IP-адреса шлюза вам в обычной работе будут приходить, только если на нём настроен SRC-NAT. Если ваш провайдер так делает - берите низкий старт. Всё остальное идёт со своими Src и Dst адресами. От шлюза пакетам достаётся только Src MAC Address. Всего записей: 3748 | Зарегистр. 05-05-2006 | Отправлено: 00:37 30-11-2023

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka А как бы где основной ответ? Типа: ДА перечисленные правила работают ничего не сломают, Можно спокойно добавлять. Или НЕТ - ну, почти правильно, но вот нет буквально одного параметра - вот такого и тут... Или "берите низкий старт" - это и означает? Я вот как бы не уверен. И тоже касается всей теории того - что и как на роутере   проходит. Практика порой ооочень неприятно мордой окучивает... А тот роутер сейчас только на удаленке и если чего вдруг я не так воткну - то "к долгим проводам и долгой дороге" эта ситуация выйдет)))) Всего записей: 4174 | Зарегистр. 01-04-2006 | Отправлено: 12:21 30-11-2023 | Исправлено: destiny child, 12:26 30-11-2023

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору destiny child Цитата: add chain=input src-address=X.Y.Z.W action=accept comment="Allow ourselfs" а зачем оно?   ---------- Человек по своей природе существо злое. А его добрые поступки - это лишь проявление его силы воли! Всего записей: 2004 | Зарегистр. 16-02-2010 | Отправлено: 12:51 30-11-2023 | Исправлено: melboyscout, 12:56 30-11-2023

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору melboyscout (пост) [?] Цитата: а зачем оно? раз не надо - значит выкидываем. Но разве мы себя сами не запрем, если закроем все входящие на ВСЕ IP из сетки провайдера? Включая и наш IP? Но ок, если не надо убираем, а оставшееся нормально сработает под ту цель, что я озвучил? Всего записей: 4174 | Зарегистр. 01-04-2006 | Отправлено: 14:04 30-11-2023 | Исправлено: destiny child, 14:07 30-11-2023

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору destiny child Цитата: Но, ок, если не надо убираем, а оставшееся нормально сработает под ту цель, что я озвучил? Вам что легче станет если кто то скажет да или нет. Сижу за микротиками лет 10 и до сих пор что то дорабатывается в конфигах, думайте сами что вам нужно в конфиге, инструкций по каждому вопросу к микротику полно в интернете. Всего записей: 1480 | Зарегистр. 29-08-2005 | Отправлено: 14:10 30-11-2023 | Исправлено: alexnov66, 14:11 30-11-2023

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alexnov66 (пост) [?] Цитата: Вам что легче станет если кто то скажет да или нет. Само собой. По крайне мере шанс покататься на общественном транспорте резко уменьшится, если вдруг кто-то напишет доказательно, что этот набор явно ошибочный. А так-то был бы он на руках да в своей сетке - можно было бы и потренироваться на кошечках. Но не сейчас.   А имеющихся инструкций всегда везде вагон. НО вот к нужной/своей ситуации - часто получается что в широком доступе нет такой... Всего записей: 4174 | Зарегистр. 01-04-2006 | Отправлено: 16:09 30-11-2023

PlastUn77 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору destiny child шанс покататься на общественном транспорте резко уменьшится если перед экспериментами с файрволом создашь какой нибудь Whitelist с адресами, с которых подключаешься, и воткнешь правило перед всеми:     Код: /ip/firewall/filter/add chain=input src-address-list=Whitelist action=accept place-before=0     А дальше хоть весь Input дропай, никуда оно не денется... Всего записей: 514 | Зарегистр. 16-06-2008 | Отправлено: 01:51 02-12-2023 | Исправлено: PlastUn77, 01:55 02-12-2023

VovaS Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: раз не надо - значит выкидываем. Но разве мы себя сами не запрем, если закроем все входящие на ВСЕ IP из сетки провайдера? Включая и наш IP? Но ок, если не надо убираем, а оставшееся нормально сработает под ту цель, что я озвучил?      Соберите стенд на виртуальных Mikrotik ( например под VirtualBox ) и учитесь , учитесь и учитесь.   Цитата: А тот роутер сейчас только на удаленке и если чего вдруг я не так воткну - то "к долгим проводам и долгой дороге" эта ситуация выйдет))))   Save Mode ещё не отменяли .     Всего записей: 41 | Зарегистр. 15-12-2005 | Отправлено: 15:36 03-12-2023 | Исправлено: VovaS, 15:37 03-12-2023

destiny child Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору PlastUn77 (пост) [?] Цитата: создашь какой нибудь Whitelist с адресами это никогда не было и не может быть панацей хотя бы потому, что мне тогда нужно иметь какие-то свои - постоянно действующие, прямые и обезличенно-личные белые айпи, с которых заведомо реально только лишь я один смогу выходить в сеть. НО такого быть не может - все идет в 100% случаев лишь после NAT провайдера. Т.е. те же самые попытки взлома в логах есть с моего же айпи, с которого я пытаюсь попасть в роутер. Поэтому и надо получить как бы заведомо точные правила отсечения ненужный подсеток провайдера - чтобы просто обезопасить по-быстрому роутер от постоянных попыток "простучать его". И вариантов "попробовать" к сожалению тут быть не может. Всего записей: 4174 | Зарегистр. 01-04-2006 | Отправлено: 18:20 03-12-2023

urok2007 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору наверное еб@нутый вопрос, в общем есть микрот на работе, есть доступ к нему, можно как то скрыть ПК подключаемого к нему(правило)? бывает подключаю свой ноут, это не одобряют,   роутер DHCP не раздает, приходиться все время создавать правила, а уладить его бывать забываю Всего записей: 72 | Зарегистр. 10-08-2007 | Отправлено: 17:34 04-12-2023

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование