билайн

Спасибо. При такой продуктивности, тогда и третий задам. Правда что за 5ггц будут неприятности без лицензии? Кто-нибудь сталкивался?

За 5 ГГц на улице - будут. Зависит, конечно, от активности вашего конкретного РЧЦ, но в общем по стране они сейчас активные.

билайн

Подключить статику

Поднять турель до HE (Hurican Electric)

Подключить статику

уже подключено, по гайдам настроил HE, микротик получает ipv6 и может пинговать ipv6 адреса, но как передать на клиенты дальше не понимаю

По итогу задать вопросы по точнее и все будет ок

проблема в том что у YOTA айпишник статический выдаётся через DHCP . и когда подключаешь модем то в adresses показываетс серая сеть. Вот поэтому и спрашиваю кто реально подключал.

Норм? Псков )

проблема в том что у YOTA айпишник статический выдаётся через DHCP . и когда подключаешь модем то в adresses показываетс серая сеть. Вот поэтому и спрашиваю кто реально подключал.

У вас усб модем получает белый ip, и дальше раздает уже серый на интерфейс микротика?

У вас усб модем получает белый ip, и дальше раздает уже серый на интерфейс микротика?

типа того. такая технология кривая

Днс? У них давно микротики в продааже

типа того. такая технология кривая

Измените режим модема - чтобы соедене ие поднимать на микротике

Измените режим модема - чтобы соедене ие поднимать на микротике

это как

Для каждого модема по разному, обычно ат командами- у вас сейчас режим ndis и только в этом режиме можно из лте модема выдать все.

Для каждого модема по разному, обычно ат командами- у вас сейчас режим ndis и только в этом режиме можно из лте модема выдать все.

оо это заёб тот ещё . должно быть проще решение

Ребята кто-нить подключал Iphone по openvpn к микротику?

оо это заёб тот ещё . должно быть проще решение

Знаете как проще или предполагаете? Переведите модем в режим ras и поднимайте соеденинеи с роутера это не сложно. А Проще взять на лте sxt lte или wap lte kit

Ребята кто-нить подключал Iphone по openvpn к микротику?

я подключал

Днс? У них давно микротики в продааже

А я удивлен )

А я удивлен )

Дорого, но зато всегда под рукой

Дауж

Народ, кто юзает у себя ospf?

вот туда же вопрос, я правильно понимаю что для OSPF между роутерами должен быть туннель?

Всем пересчитаться?

Я

вот туда же вопрос, я правильно понимаю что для OSPF между роутерами должен быть туннель?

не обязательно

не обязательно

желательно ли?

желательно ли?

все зависит от сети

у меня два роутера, хочу объеденить в сеть. Оба имеют белый ип. Сеть одного 1.0/24 сеть другого 2.0/24

Можно юзать GRE, при GRE возможно использовать ospf

тогда тунель

ну всё верно, туннель с ospf самое простое

GRE+ipsec

у меня щас такая же схема, с шифрованием по IPsec, но ospf пока не добил

лишь бы стоят HEX 759gr3

как минимум

GRE+ipsec

а можно какой нить гайдик?

лишь бы стоят HEX 759gr3

с одной стороны CHR с другой hEX

нунорм

а можно какой нить гайдик?

там всё оочень просто

там даже можно динамический IPSec сделать, сам политики сделают, если ты ничего в политиках менять не планируешь или пиры отключать

в настройках GRE для этого нужно использовать IPSEC secert с отключенным allow fast path

Но лучше все же делать руками, мало ли нужно алгоритмы шифрования поменять или еще что-нибудь

https://habrahabr.ru/post/168853/

Доброго времени. Есть CRS125-24G-1S-RM. Он поднимает 2 PPPoE соединения к провайдеру. Нужно пустить по одному соединению RDP, а по второму все остальное. Настроил вот так: https://pastebin.com/ZTYKU9Zy Но rdp-соединение не устанавливается. Помогите, пожалуйста, побороть.

Подскажите, настроил отпавку уведомлений на Telegram. Все прекрасно работает, но оповещения только на латинице. Возможно их сделать на кирилице?

Доброго времени. Есть CRS125-24G-1S-RM. Он поднимает 2 PPPoE соединения к провайдеру. Нужно пустить по одному соединению RDP, а по второму все остальное. Настроил вот так: https://pastebin.com/ZTYKU9Zy Но rdp-соединение не устанавливается. Помогите, пожалуйста, побороть.

Соединения входящие из Интернета или исходящие?

Исходящие

Если речь про RDP

что-то где то не домаркировал

что-то где то не домаркировал

У меня было такое подозрение, поэтому я сделал маркировку не по протоколу и порту, а по адресу rdp-сервера.

У Вас в дополнительной таблице маршрутизации RDP только один маршрут default. Ответные пакеты от удаленгого rdp по какой таблице и куда пойдут?

add action=mark-routing chain=prerouting dst-address=193.XXX.YYY.ZZZ \ out

У Вас в дополнительной таблице маршрутизации RDP только один маршрут default. Ответные пакеты от удаленгого rdp по какой таблице и куда пойдут?

ответ пойдет через main )

 gateway=178.122.128.1 для RDP верный? Всегда один, точно?

У Вас в дополнительной таблице маршрутизации RDP только один маршрут default. Ответные пакеты от удаленгого rdp по какой таблице и куда пойдут?

Упс. А как это правильно сделать. Добавил правило, в котором src и dst адреса поменяны местами, не работает.

 gateway=178.122.128.1 для RDP верный? Всегда один, точно?

Должен быть верный, но, на самом деле, он динамический. Это добавлено для проверки, и это вторая проблема.

Упс. А как это правильно сделать. Добавил правило, в котором src и dst адреса поменяны местами, не работает.

Обычно делают так: сначала помечают соединение (mark-connection), после этого, все пакеты относящиеся к ранее помеченному соединению, и входящие и исходящие в фаерволе отбирают критерием connection-mark=... К этим пакетам применяют action mark-routing

Микротик позволяет еще сделать извращенный способ. Указать protocol=tcp any port =3389 и под этот критерий попадут все пакеты с/на порт 3389

mark-connection делаем так? add action=mark-connection chain=prerouting dst-address=193.XXX.YYY.ZZZ new-connection-mark=conn-to-vps passthrough=no src-address=192.168.1.0/24

А вообще не стОит держать открытым в Интернет порт RDP на том конце. Тем более на стандартном 3389. Но это к настройке сейчас не относится

Это...а зачем всё так геморно то? Спикеру нужно тупо сделать маркинг, чтоб маршрутизатор умел принимать подключения на оба интернета и все

И сразу совет - 3389 из вне лучше не используйте, сразу нужно делать редирект с какого-то не стандартного порта

mark-connection делаем так? add action=mark-connection chain=prerouting dst-address=193.XXX.YYY.ZZZ new-connection-mark=conn-to-vps passthrough=no src-address=192.168.1.0/24

IP внешний спрячьте из чата

Ok

ERROR: S client not available

mark-connection делаем так? add action=mark-connection chain=prerouting dst-address=193.XXX.YYY.ZZZ new-connection-mark=conn-to-vps passthrough=no src-address=192.168.1.0/24

рекомендуют добавлять conn state new чтобы не маркировать один и тот же конект

А вообще не стОит держать открытым в Интернет порт RDP на том конце. Тем более на стандартном 3389. Но это к настройке сейчас не относится

замени его на 53389 и открывай по телнету на порт скажем 62311

add action=mark-connection chain=prerouting dst-address=193.XXX.YYY.ZZZ CONNECTION-MARK=no-mark new-connection-mark=conn-to-vps passthrough=YES src-address=192.168.1.0/24

Лучше не держать, но никто не отменял file2ban если страшно)

Лучше не держать, но никто не отменял file2ban если страшно)

дак на икроте нет такого

ACL сдепить моно для тех кому надо

Я статью видел, вяжется с микротиков в связке с линукс сервисом

Критерий: "connection-mark=no-mark" нужен чтобы потом при усложнениях конфига случайно не перемаркировать ранее помеченеые соединения

можно и так, маркировать то что еще не промаркировано

https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

Зачем делать дыру, чтобы потом её закрывать. Лучше сразу не провоцировать на попытки взлома.

Придет ботнет и затрахает коннектами на порт

Согласен, поэтому обычно и делается vpn сервис для клиентов, что б этой дыры не было) Но раз зашёл разговор, я предложил решение, не более того

постаивть ловушку на 3389

Я бы только для отдельных фиксированых IP открывал порт

По списку

По списку всех не включишь, к сожалению, слава статике

Теперь, я так понимаю, нужно создать симметричное правило? add action=mark-connection chain=prerouting connection-mark=no-mark dst-address=193.XXX.YYY.ZZZ new-connection-mark=conn-to-vps passthrough=yes src-address=192.168.1.0/24 add action=mark-connection chain=prerouting connection-mark=no-mark dst-address=192.168.1.0/24 new-connection-mark=conn-to-vps passthrough=yes src-address=193.XXX.YYY.ZZZ

И теперь, на основании connection mark делать routing-mark?

Теперь, я так понимаю, нужно создать симметричное правило? add action=mark-connection chain=prerouting connection-mark=no-mark dst-address=193.XXX.YYY.ZZZ new-connection-mark=conn-to-vps passthrough=yes src-address=192.168.1.0/24 add action=mark-connection chain=prerouting connection-mark=no-mark dst-address=192.168.1.0/24 new-connection-mark=conn-to-vps passthrough=yes src-address=193.XXX.YYY.ZZZ

Если у Вас только ИСХОДЯЩИЕ из локалки соединения, то во втором правиле нет необходимости. Да и не сработает оно никогда. Из Интернета в prerouting не прилетят пакеты на dst-address=192.168.x.x/24

Достаточно: add action=mark-connection chain=prerouting connection-mark=no-mark dst-address=193.XXX.YYY.ZZZ new-connection-mark=conn-to-vps passthrough=yes src-address=192.168.1.0/24

И теперь, на основании connection mark делать routing-mark?

Да, далее на основании(по критерию) "connection-mark=conn-to-vps" делать mark-routing

Ок, а как тогда ловить входящий трафик? А если у меня будет только первое правило (с dst=193.XXX.YYY.ZZZ), а потом правило с mark-routing, то чем это будет отличаться от mark-routing сразу, без mark-connection?

Под критерий connection-mark=.... попадет весь трафик, и исходящий на vps и ответы оттуда

Всё идущее от клиента к серверу и от сервера к клиенту

Ок Делаю так: add action=mark-connection chain=prerouting connection-mark=no-mark dst-address=193.XXX.YYY.ZZZ new-connection-mark=conn-to-vps passthrough=yes src-address=192.168.1.0/24 add action=mark-routing chain=prerouting connection-mark=conn-to-vps new-routing-mark=RDP-Traffic passthrough=yes

Но RDP, к сожалению, все равно не подключается

С роутинглм должно быть гуд. Попробуйте сделать маркировку протокола icmp и сделать с клиента трассировку маршрута. Пройдет?

add action=mark-routing chain=prerouting protocol=icmp new-routing-mark=RDP-Traffic passthrough=yes

ну, в принципе, с моим правилом должен и icmp маркироваться, у меня же нет ограничения по протоколу

Кстати, да. Но там ге connection-oriented протокол и могут быть разночтения