тыкните в винбоксе в мак-адрес обнаруженного микротика, а не в ip

если бы...

кто-то может подсказать в чем может быть проблема?

а файрвол на машине не может резать?

линукс?

а файрвол на машине не может резать?

врятли, ничего такого не стоит

линукс?

да

не уверен что винбокс на линуксе может по МАК, попробуйте на с ПК с виндовсом

не уверен что винбокс на линуксе может по МАК, попробуйте на с ПК с виндовсом

хорошо, спасибо, сейчас попробую!

была похожая проблема, на форуме микротика чувак писад

проблема решена

вот так REALLY??? today it works O.o i have done nothing .... sorry, yesterday it doesnt work...

в какой версии винбокса?

я уже закрыл вкладку, так что это останется тайной

:)

не уверен что винбокс на линуксе может по МАК, попробуйте на с ПК с виндовсом

У меня прекрасно работает.

ну ты хакер, у тебя работает :)

Да обычный пользователь Ubuntu ?

ну пусть человек с виндовса попробует, вдруг поможет :)

не уверен что винбокс на линуксе может по МАК, попробуйте на с ПК с виндовсом

Тоже хорошо работает debian stratch.

хм действительно, на винде все работает)

хотя вроде на arch ничего такого, кроме tor не стоит

Гуру подскажите что почитать можно? Планирую: статику, прокинуть по портам доступ к паре-тройке серверов ssh, rdp, vpn, может еще что-то, ну и по безопастности чтобы настроить еще...

vpn

vpn

и имею по настройке микротика

можно и dnat сделать

но лучше ВПН на микротике, а дальше уже по вашим устройсвам

по портам пробросить хуже?

устройство кстати hap ac2

не хуже, как бы более скурно, если DNAT желательно обозначить белый список с которых должен быть доступ

а с остальных проикрыть

Гуру подскажите что почитать можно? Планирую: статику, прокинуть по портам доступ к паре-тройке серверов ssh, rdp, vpn, может еще что-то, ну и по безопастности чтобы настроить еще...

порткнокинг еще удобно юзать

Port Knocking! \o/

не хуже, как бы более скурно, если DNAT желательно обозначить белый список с которых должен быть доступ

хм, а если доступ извне не статика...

если что прошу прощения за глупые вопросы)

да

Винбокс по маку в вайне работает только если на сетевом интерфейсе есть default gateway

я думаю все зависит от того куда доступ, если на сервер по ссш, то на микротике можно не прикрывать, а настароить fail2ban на самом сервере

а если это РДП, то очень не рекомендую открывать в мир, или ВПН или прописать доступ провайдерам целиком, все их сети

ну или порт кнокин, если будет удобно

тут нужно выбирать межу юзабилити и секурностью, или комбинировать как-то, в каждом случае индивидуально

юзеру конечно проще ткуть на иконку РДП, ввети пароль и работать

а можно сначала ткуть на ВПН, а потом на РДП

а если это РДП, то очень не рекомендую открывать в мир, или ВПН или прописать доступ провайдерам целиком, все их сети

у меня в мир открыт, и что?! да ломятся , так и на ssh тоже ломяться .

даже на ftp http ломятся , ну ккудаж без этого

Коллеги, мак не видит ссида микротика, как быть?

каждый решает для себя сам, я высказал свою точку зрения, она может не совпадать с другими

у меня в мир открыт, и что?! да ломятся , так и на ssh тоже ломяться .

ssh довольно легко прикрывается fail2ban, как и всё никсовое. А RDP очень легко сюнфлудится, слабые пароли пользователей легко подбираются, ну и всякое такое

Коллеги, мак не видит ссида микротика, как быть?

Поиграть с каналами, страны менять

ну так RDP то не причём , политика безопасности причём , а это от одмина зависитъ

где-то на сате эпла видел рекомендации по настройке радио

ну так RDP то не причём , политика безопасности причём , а это от одмина зависитъ

Да не только от админа. Еще от руководства )))

по портам пробросить хуже?

Хуже значительно. Простой проброс по портам делает их доступными всем из Интернета. Мазохисты пробрасывают и ждут, когда ботнет придет потыкать в их пробросы

а еще бывают всякие уязвимости

в т.ч. 0 дня

Хуже значительно. Простой проброс по портам делает их доступными всем из Интернета. Мазохисты пробрасывают и ждут, когда ботнет придет потыкать в их пробросы

понял спасибо)

Поиграть с каналами, страны менять

например? это зависит от того где мак был куплен?

не все так категорично :)

поэтому и взял микротик взамен xiaomi mini для тонкой настройки, ну и уровень свой поднять...

например? это зависит от того где мак был куплен?

другие сети видит? покажите настройки wlan

+ плюшки дома)

микротик и эпл не сильно дружат :)

другие сети видит? покажите настройки wlan

видет, сек

ну от О-дай уязвимости сложно защититься потому как она мало кому изв. теоретичски может быть и в Микротике (кстати была http, достаточно извествная) и в ~nix и в Винде.

микротик и эпл не сильно дружат :)

на маке видит все вокрус кроме этой сети

не надо так пробуй или G или N ну или B

не надо так пробуй или G или N ну или B

та понимаю, просто он же не один в доме

ERROR: S client not available

и что , g/n подходит практически для всех

ну от О-дай уязвимости сложно защититься потому как она мало кому изв. теоретичски может быть и в Микротике (кстати была http, достаточно извествная) и в ~nix и в Винде.

Именно по этому сервисы не должны торчать в Интернет доступными для всех. В винбоксе было 0-day уязвимость. Но взломали только тех дятлов, кто его выставлял в инет.

без Б может не заработтать, уже видели такое, попробуйте другую частиту, и ширину канала 20

ну дедушкин тел не будет работать , возможно .)

айфон, притом не из первых баз Б не работал, на сайте эпла об этом написано

ещё можно пропрбовать протокол any https://c2n.me/3WeIm8A

Попробуйте поиграть с preamble long short

только не пробуй всё сразу, пробуй по частям! чтоб точно понят в чём причина и сюда написать

Яблоки иногда выеживаются с ним

та уже переклацал все , что можно,

спасибо за советы

обычно впа2пск и все, а в этом случае?

Eap убери и первый wpa

увидел, чудела, страну сша 2 поставил

Коллеги, такое правило: /ip firewall filter add action=accept chain=input comment="Grant access" src-mac-address=2C:D0:5A:A0:C7:5D даст мне доступ к роутеру с этого МАС?

По ip даст

в общем на запрещенных частотах работает, просканил другие точки, точно такие же, беда

кто пользуется Splynx, есть в нем авторизация по смс?

нубский вопрос - а как правильно сделать выдачу клиентам белых адресов? Если вся сеть в одном L2-сегменте, просто выдал клиенту нужный адрес и всё, по идее. Но один L2 на несколько тысяч клиентов - так себе идея. Если делать влан на клиента - неэффективно будет расходоваться диапазон. Сделать просто отдельный общий влан для белых адресов и садить клиентов в него? Либо делать 1-к-1 нат?

нубский вопрос - а как правильно сделать выдачу клиентам белых адресов? Если вся сеть в одном L2-сегменте, просто выдал клиенту нужный адрес и всё, по идее. Но один L2 на несколько тысяч клиентов - так себе идея. Если делать влан на клиента - неэффективно будет расходоваться диапазон. Сделать просто отдельный общий влан для белых адресов и садить клиентов в него? Либо делать 1-к-1 нат?

ip unnumbered

а, речь про вланы

хм

но, по идее, можно попробовать

вот даже что-то сходу нагуглилось https://habr.com/post/213037/

нубский вопрос - а как правильно сделать выдачу клиентам белых адресов? Если вся сеть в одном L2-сегменте, просто выдал клиенту нужный адрес и всё, по идее. Но один L2 на несколько тысяч клиентов - так себе идея. Если делать влан на клиента - неэффективно будет расходоваться диапазон. Сделать просто отдельный общий влан для белых адресов и садить клиентов в него? Либо делать 1-к-1 нат?

Можно делать влан для внешников и через unnumbered

благодарю за подсказку, я про эту штуку читал, но мельком и не сообразил, что можно попробовать применить

а идея раздавать клиентам сразу ipv6 из выданного райпом диапазона имеет право на жизнь или лучше как-то их всё же прикрыть, особенно в свете дырявых абонентских роутеров?

а идея раздавать клиентам сразу ipv6 из выданного райпом диапазона имеет право на жизнь или лучше как-то их всё же прикрыть, особенно в свете дырявых абонентских роутеров?

провайдер должен пропускать трафик, а не блокировать, как мне кажется )

ну вообще да, особенно с учётом того, что мы заказываем услугу сорм у вышестоящего провайдера, и этот сорм про ipv6 ничего не знает.

/me тихо злорадствует

Всем привет! Стоит ли брать MIKROTIK CRS125-24G (в режиме коммутации + VLAN) заместо установленного D-Link DGS-1100-24P?