Тот который нашел винбокс

Кто и что

Каким образом вы подключены к роутеру, который нашли?

Каким образом вы подключены к роутеру, который нашли?

Етх

Етх

Первый?)

Первый?)

Нет

Тогда ресетните кнопкой

Должно помочь

Тогда ресетните кнопкой

Не помогает

Не помогает

Тогда Netinstall

Не помогает

https://www.technotrade.com.ua/Articles/mikrotik-netinstall-recovery.php

https://www.technotrade.com.ua/Articles/mikrotik-netinstall-recovery.php

Сам микрот работает

Сам микрот работает

Ну тогда открывайте винбокс и заходите на него))

Все должно работать, если он работает)

Ну тогда открывайте винбокс и заходите на него))

Захожу, потом убираю дефолт конфигурацию, ребут и все

И по поиску не видно

И по поиску не видно

Теперь

Захожу, потом убираю дефолт конфигурацию, ребут и все

А, так с этого надо начинать, я думал он у вас вообще не доступен

Подскажите пожалуйста, рб3011 без конфигурации, винбокс не дает зайти в роутер

"без конфигурации"

А, так с этого надо начинать, я думал он у вас вообще не доступен

Так в чем тратил то?

Попробуйте сначала ресетнуть, потом обновить до актуальной прошивки и после уже из под винбокса выполнить сброс без дефолт конфига

Если это делали и не помогло -- скачать новую версию винбокса

Именно не удалять дефолт конфиг при запуске

А сделать сброс с галочкой "без дефолт конфига"

500 оеайпи ? Или чего

да eoip

/ip firewall filter add action=add-src-to-address-list address-list=Honeypot address-list-timeout=1d chain=input comment="WINBOX, SSH, Telnet inet inputers" dst-port=8291,22,23 in-interface-list=wan_list protocol=tcp /ip firewall raw add action=drop chain=prerouting src-address-list=Honeypot

за 8 часов 160 ip адресов в черном списке

спасибо @erazel

а смысл собирать их в список если можно просто подропать?

вообще всех. Какая разница в списке или нет?

ну а дропаются то они откуда? список на сутки. проц более 10% не грузит

вообще всех. Какая разница в списке или нет?

ну это каждый может, а вот поизвращаться - милое дело ;)

у меня в списках постоянно около 300 динамических IP висит. ну и пусть себе висят. есть не просят, не напрягают

ну а дропаются то они откуда? список на сутки. проц более 10% не грузит

отовсюда. Открывать себе доступ только оттуда, откуда надо, остальных дропать

смысл дропать кого-то отдельным списком?

смысл дропать кого-то отдельным списком?

ну хочется мне так.

А, ну раз хочется

Во время спидтеста проц грузит на 65-70% при загрузке и 85-90% при выгрузке. Это нормально?

/ip firewall filter add action=add-src-to-address-list address-list=Honeypot address-list-timeout=1d chain=input comment="WINBOX, SSH, Telnet inet inputers" dst-port=8291,22,23 in-interface-list=wan_list protocol=tcp /ip firewall raw add action=drop chain=prerouting src-address-list=Honeypot

вместо raw можно же использовать обычное правило там же в filter ?

вместо raw можно же использовать обычное правило там же в filter ?

Конечно можно. Я чуть выше этот вопрос здесь задавал - что лучше

мне вот и интересно - чем вообще отличается raw

просто как отдельная цепочка?

тем что её разбор идёт раньше

Вот тут понятно чем

Вот тут понятно чем

?

Mikhail Antonov (0) увеличил репутацию Игорь Маркин (2)

то есть, для форвард - raw вообще нет? )

raw сработает ДО форварда

Ещё есть RAW output, но он, я полагаю, для выбирается параметром chain

блокируя в raw оно ни в инпут ни в форвард не прилетит

на схеме просто raw зачеркнуто

на схеме просто raw зачеркнуто

Показано где дропаются пакеты

а, понятно, спасибо

Народ, а кто сколько условий порт-нокинга делает? ICMP с длиной пакета, порт или комбинации? Хватит ли одного правила с длиной пакета ICMP? Нет, я не параноик, у меня вообще открыт доступ снаружи сейчас ?

думаю что хватит одного условия с нестандартной длиной пакета и количесвом пингов не равных стд. (для винды) 4

я вот сейчас думаю, как это ханипот применить для защиты астерика

при условии что удаленные клиенты коннектятся хз откуда

всех в белый список не занесешь

впн не варик ?

всех в белый список не занесешь

Впн ?

)

варик, но не очень )

это ж начальству надо будет еще впн устанавливать

который надо будет запустить перед тем как позвонить

а когда у них отпуск - отследить чтобы впн был отключен

надо начальству страшилок порассказывать как астер ломают и просаживают контору на бабло

ERROR: S client not available

тогда легче будет рассказать о том как клево звонить через телеграм

Нестандартный порт на sip сигнализацию +fail2ban для брутеров.

надо начальству страшилок порассказывать как астер ломают и просаживают контору на бабло

так делают с любой плохо настроенной ипатс/шлюзом

думаю что хватит одного условия с нестандартной длиной пакета и количесвом пингов не равных стд. (для винды) 4

А есть пример? Можно в личку. Я могу цепочкой сделать по количеству пингов + длина, но вдруг есть решение без копирования похожих правил ?

ну вот про fail2ban и думаю, но на микроте ж его не сделаешь )

ну вот про fail2ban и думаю, но на микроте ж его не сделаешь )

Так fail2ban может скрипты вызывать... Которые будут добавлять по ssh нужные айпи в baniplist

мммммм

А есть пример? Можно в личку. Я могу цепочкой сделать по количеству пингов + длина, но вдруг есть решение без копирования похожих правил ?

секретов ицмп порт кнокинга у меня нет

там же есть правила с количеством и интервалами пакетов, мож на этом как-то можно

Extra/limit

Во время спидтеста проц грузит на 65-70% при загрузке и 85-90% при выгрузке. Это нормально?

А трафик в туннель не завернут?

ну вот. заблокировал доступ к удаленному тику. фака-маза.

А трафик в туннель не завернут?

да вроде нет. но ипсек есть

да вроде нет. но ипсек есть

951 на спидтесте загрузка процентов 10-20 емнип.

меня удивляет загрузка при отдаче.

В туннеле упирается в проц

не, тест не через тунель точно

На хап ас2 просто проц почти не грузит.

Хотя если канал гигабит..

наружу смотрит 100. у меня 2011 разогнанный на 750 МГц

а, я ж еще через ваяфаю, а не по проводу. поэтому 90/90 не качает :)

с версии 6.40 l2tp/ipsec настраивается сравнительно безгеморройно

Настраивала на 6.3х давно ещё тоже пара кликов мышью. И на win10 и на win7. Был какой-то пошаговый мануал в гугле.

Че за фигня

Кто-нибудь имел дело с 2 диапазонными вифи точками доступа? В обоих диапазонах одинаковый ssid. Есть ли какая-то возможность на точке выставить приоритет на использование 5ггц клиентами?

?

Кто-нибудь имел дело с 2 диапазонными вифи точками доступа? В обоих диапазонах одинаковый ssid. Есть ли какая-то возможность на точке выставить приоритет на использование 5ггц клиентами?

Если клиент на 2.4 гГц, то он никак не подключится к 5 гГц, а если клиент 5 гГц, то он никак не сможет подключиться к 2.4 гГц.

Если клиент на 2.4 гГц, то он никак не подключится к 5 гГц, а если клиент 5 гГц, то он никак не сможет подключиться к 2.4 гГц.

Если у клиента есть и 2.4 и 5. Чтобы он сидел на 5. При чем чтобы точка доступа"показывала" клиенту что есть 5ггц, там прикольно.

Там с этим какой-то гемор

Во, то есть технология есть?

Диапазон маков с 5 ггц прописывать надо

Как загуглить?

Видео у Романа Козлова вроде было