только логин +пасс но это не филтрация а аутентификация

фильтрация на уровне файрвола , то бишь вообще доступа девайса для коннекта к устройству

и не получил ответа на второй вопрос - в микроте есть списки адресов, а списки мак-адресов можно создавать и работать с ними ?

А есть большая вероятность использования "не православных" телефонов со служебными пользователями и паролями? А что в таком случае помешает особо хитрым скопировать сертификаты на те аппараты?

насчет списка можно в радиус поглядеть. но тут я не подскажу. не делал

в радиусе как раз можно использовать тот же мак

вот есть Src.Address LIst

нет ли де Src MAC Address list ?

нет ли де Src MAC Address list ?

это имеет мало смысла, потому нету

Евгений, хочется запретить коннект ещё до момента аутентификации

почему не имеет смысла ?

для беспроводных есть такой список

Даже если бы и был, где при подключении передается MAC клиентского устройства?

так маки только твоего сегмента будут. и фильтровать только по ним и сможешь. грубо если - только локалку свою

мак в пакете. но там будет мак устройства, которое это пакет отправило на твой роутер

натить маки вроде еще никто не придумал =)

хотя я могу и ошибаться

В l2tp, например, передаются ещё поля "Vendor-Name" и "Host-Name", но средствами Микротика, насколько я знаю, по ним никак не отфильтровать, только если аутентификация на радиусе происходить будет

А там и для ПК и для телефонов передаются их имена

можно L7 использовать

Но я просто пока не могу понять задачу - кого нужно отфильтровать?

я так понял клиентов впн из интернетов

можно им купить фиксированные адреса и по ним фильтр сделать

Что б не брутили что ли?

Так для этого есть более простые и рабочии способы именно с l2tp+ipsec

натить маки вроде еще никто не придумал =)

Загляните в bridge–NAT. Удивитесь.

Алексею это не поможет =)

а proxy-arp это не mac-nat по с ути?

В фаерволе правило разрешающее конект к l2tp только по аксес листу из IP. При успешном соединении ipsec сессии IP её клиента заносится в тот аксес лист, и переодическая проверка - если пира ipsec уже нет, удалять адрес из того листа

про бридж я упоминал. это имеет смысл в своих сетях. или не только?

В моём варианте снаружи вообще не видно было открытого l2tp

а proxy-arp это не mac-nat по с ути?

роутер прикидывается всеми устройствами за ним и на арпы отдает свой

В фаерволе правило разрешающее конект к l2tp только по аксес листу из IP. При успешном соединении ipsec сессии IP её клиента заносится в тот аксес лист, и переодическая проверка - если пира ipsec уже нет, удалять адрес из того листа

с мобильными клиентами использующими мобильный интернет это проблематично, т.к. на одном айпишнике висит куча людей (в том числе и левых). приобретать внешний адрес для каждого человека - имхо херня.

поэтому в списке адреса то будут, только адрес этот будет адресом базовой станции, к которой подключен клиент

с мобильными клиентами использующими мобильный интернет это проблематично, т.к. на одном айпишнике висит куча людей (в том числе и левых). приобретать внешний адрес для каждого человека - имхо херня.

херня или нет - зависит от задачи

мак в пакете. но там будет мак устройства, которое это пакет отправило на твой роутер

с какого баня сгорела ? мак передаётся от начального устройства, и бежит по маршрутам

с какого баня сгорела ? мак передаётся от начального устройства, и бежит по маршрутам

я заглянул в дамп. а ты?

Сильно зависит конечно от оператора. И тут вопрос - насколько для вас критичен вариант что во время подключения легитимного клиента из этого же оператора вас начнут брутить?

да мы тут вообще хз какую задачу решаем =)

Да и если начнут, у вас логины и пароли настолько подбираемы?

А, и да. Брут брутом - а общий ключ то ещё?

Так что задача вообще не ясна - от кого и зачем прячемся?)

Так что задача вообще не ясна - от кого и зачем прячемся?)

нада :)

безопасность лишней не бывает

а еще не бывает безопасность и "чем проще, тем лучше" безопасность и комфорт на разных чашах весов

хотя можно из розетки выключить =)

Бывает - когда отнимает слишком много времени специалиста, много лишних финаносовых и других затрат при 0 рисках)

маки не передаются, Я ТУПОГО ПОЙМАЛ :)

извините

Так и мы все о том же. Бывает)

я когда-то тоже хотел мобильных по макам фильтровать, так что я это проходил уже =)

просто элементарная безопасность - я посидел и подумал - почему бы тупо не сделать фильтрацию по макам, просо не давать никакой доступ к устройству если подключаемый клиент мне не известен и всё

:)))))

ну терь вижу что низзя

значит будем просто общие ключи + логины пароле

и вообще обед

пора порубать :)

приятного всем аппетита

А подскажите каким образом микротик считает бэд-блоки?

И можно ли их сбросить?

вот да, у меня на одном тоже растут

в ТП сказали что ждать беды

вообще после 8% сказали что это повод гарантийной замены

ERROR: S client not available

если бед попадет на загрузочный сектор то МТ незагрузится

Думаю сбросить можно только заменив чип памяти. А считает, вероятно, какая-то служебная обработка периодически. Внутри все же линукс или уже подобие. На жестком диске вы тоже можете SMART сбросить разными ухищрениями, но через время он все же проверит снова и выдаст подобные же результаты

круто если есть возможность замены. на моих мелких МТ там все впаяно

с другой стороны и стоят они копейки

И можно ли их сбросить?

Прошиться нетинсталлом на некоторое время помогает

?

Помогает визуально, как и сброс SMART, но не физически, увы. Насколько я помню, с флеш памятью не работает восстановления секторов методом их перезаписи.

ребят а чем-то можно прочитать *.backup файл от 5.26 ?

ребят а чем-то можно прочитать *.backup файл от 5.26 ?

виртуальным x86м даунгрейженным микротом?

так и сделаю, просто думал есть решение попроще

Помогает визуально, как и сброс SMART, но не физически, увы. Насколько я помню, с флеш памятью не работает восстановления секторов методом их перезаписи.

После нетинстала МТ помечает беды и больше в них не пишет

народ, а микротик сейчас поддерживает LLDP?

Что-то обещали в последних чендлогах

народ, а микротик сейчас поддерживает LLDP?

на прошивке 6.38 и выше

вроде уже зарелизели

А почему, если создаёшь ipsec policy с action=none, всё равно требуется указывать sa-dst-address?

Или action=none делает не то, что я думаю?

Вау, при указании sa-dst-address он сбрасывается в ноль.

Видимо, бага.

Парни, есть инфа о том, когда Микротик научится поднимать OpenVPN с UDP?

RouterOS 7

Парни, есть инфа о том, когда Микротик научится поднимать OpenVPN с UDP?

На текущем ядре это трудоёмко делать. Отложили до RouterOS 7

RouterOS 7

Он как HalfLife 3

ну диабло же дождались

Будь мужиком. Поставь WRT в метароутер

пичаль. а то соединяю 2 микротик по опенвпн, скорость еле 4 мегабита набирается, а по pptp 40

l2tp?

или вообще чистый gre

Будь мужиком. Поставь WRT в метароутер

мои микротики не умет в метароутер

Жизнь - боль