tag:blogger.com,1999:blog-550418390401721642026-04-11T14:13:09.329+03:00Mikrotik-UkraineСкрипты RouterOS. Настройка. Тонкости и интересные возможности ОС от Mikrotik.23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.comBlogger190125tag:blogger.com,1999:blog-55041839040172164.post-81014036797044459792018-04-30T16:13:00.002+03:002018-04-30T16:17:34.712+03:00Защита NAT на Mikrotik.<div dir="ltr" style="text-align: left;" trbidi="on">
У нас есть Mikrotik за ним вроде защищенная сеть. Теперь читаем это:<br />
<br />
<div style="text-align: center;">
<a href="https://habr.com/post/134638/" rel="nofollow" target="_blank">https://habr.com/post/134638/</a></div>
<div>
<br /></div>
<div>
Потом читаем это:<br />
<br /></div>
<div style="text-align: center;">
<a href="https://toster.ru/q/375628" rel="nofollow" target="_blank">https://toster.ru/q/375628</a><br />
<br /></div>
<div style="text-align: left;">
И напоследок смотрим это:</div>
<div style="text-align: left;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen="" class="YOUTUBE-iframe-video" data-thumbnail-src="https://i.ytimg.com/vi/PGvoT_Mwlvk/0.jpg" frameborder="0" height="270" src="https://www.youtube.com/embed/PGvoT_Mwlvk?feature=player_embedded" width="480"></iframe></div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
<a href="http://mikrotik-ukraine.blogspot.com/2016/08/wan-mikrotik.html" target="_blank">Bogon-сети мы конечно запретили из WAN</a>, но чем черт не шутит. На выходе получаем настройку защиты наших внутренних устройств от внешних запросов которые могут попасть под NAT:</div>
<blockquote class="tr_bq" style="text-align: left;">
<span style="color: #274e13;"><b>/ip firewall filter<br />add action=accept chain=forward comment=Accept_Established&Related_forward connection-state=established,related,untracked<br />add action=drop chain=forward comment=Drop_Invalid_forward connection-state=invalid<br />add action=drop chain=forward comment=Drop_New_no_dstnat_forward connection-nat-state=!dstnat connection-state=new in-interface-list=wan</b></span></blockquote>
<div style="text-align: left;">
<div>
<br /></div>
</div>
</div>
23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com6tag:blogger.com,1999:blog-55041839040172164.post-52597315393353539952017-09-15T13:45:00.000+03:002017-09-15T13:45:11.160+03:00Периодическая смена MAC на Bridge-интерфейсе.<div dir="ltr" style="text-align: left;" trbidi="on">
У меня работает скрипт, который с периодичностью меняет пароль Wi-Fi на всех офисах одновременно и отсылает коллегам уведомление. Это сделано в целях безопасности и для удобства пользователей. Название сети везде одинаковое и сотрудникам не нужно каждый раз вводить новый пароль при приходе в другой офис. Этот скрипт писался еще до ввода нового функционала в RouterOS - <a href="https://wiki.mikrotik.com/wiki/Manual:CAPsMAN" rel="nofollow" target="_blank">CAPsMAN</a>, но так как он работает довольно успешно - функционирует до сих пор. Офисов достаточное количество, и поэтому перед отправкой нового пароля на роутер каждого офиса, сам офис или подразделение проверяется пингом.<div>
Если в офисе стоит Wi-Fi-роутер, который получает IP по DHCP на бридж-интерфейс, и в раздающем по DHCP роутере IP-получателя привязан к MAC-адресу, то периодически Wi-Fi-роутер начинает получать совершенно другой IP. Это связанно с особенностью RouterOS: по умолчанию мост наследует MAC-адрес от его портов, при чем это происходит в рандомном порядке. Поэтому маршрутизатор на другой MAC - выдает другой IP.<div>
Для того, что-бы этого не происходило есть 2 настройки в <b>/interface bridge</b>. </div>
<blockquote class="tr_bq">
<span style="color: #38761d;"><b>auto-mac</b></span> - автоматически формировать MAC-адрес на Bridge-интерфейсе (по-умолчанию да)<br><span style="color: #38761d;"><b>admin-mac</b></span> - указать свой статический MAC-адрес. Работает при условии, что настройка auto-mac=no.</blockquote>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4lCt4yIaV-d_82HSW2KPuOpwyGEWa2P-bbc9gH8OVaucjU5OpVOvni4PE3D9r1kMhbFiX4pLbuRLY0ixB03xBBZewXanumBWp3s_6kGBq5hUvrAfWxqzy4y4NsrXOrCfUyYtTlzxgGr0/s1600/Screenshot_3.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="498" data-original-width="415" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4lCt4yIaV-d_82HSW2KPuOpwyGEWa2P-bbc9gH8OVaucjU5OpVOvni4PE3D9r1kMhbFiX4pLbuRLY0ixB03xBBZewXanumBWp3s_6kGBq5hUvrAfWxqzy4y4NsrXOrCfUyYtTlzxgGr0/s1600/Screenshot_3.jpg"></a></div>
</div></div><a href="https://mikrotik-ukraine.blogspot.com/2017/09/mac-bridge.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com1tag:blogger.com,1999:blog-55041839040172164.post-2892847963670842132017-02-22T23:50:00.002+02:002017-02-22T23:51:55.085+02:00Опция Random в Firewall Mikrotik - имитация плохого соединения.<div dir="ltr" style="text-align: left;" trbidi="on">
Иногда нужно симитировать плохое соединение с Интернет. Причины могут быть разные, например "вредный пользователь".<br>
WiKi Mikrotik так объясняет эту опцию.<br>
<br>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmQ75Hc6pTF5_XtlPtgVDTjTrdSjyRNyX7XepvvV_d8cL04okq1GYuUsLYruLHY24C2vPy7gFjvlY4nV5O6Kx1aZZuGSWBmTiVg1uennF1_eQkJrxjZhjv5iI_C-dzB0D_fLRIVFdBVDU/s1600/Screenshot_2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="29" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgmQ75Hc6pTF5_XtlPtgVDTjTrdSjyRNyX7XepvvV_d8cL04okq1GYuUsLYruLHY24C2vPy7gFjvlY4nV5O6Kx1aZZuGSWBmTiVg1uennF1_eQkJrxjZhjv5iI_C-dzB0D_fLRIVFdBVDU/s640/Screenshot_2.jpg" width="640"></a></div>
<br>
По факту, опция указывает в процентном соотношении количество пакетов для которых будет применяться данное правило.<br>
Для примера создадим правило, которое будет имитировать потерю пинга на сервер 8.8.8.8 в 20%.<br>
<br>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg6jzsaQN1NcV3TTF8BwLIGlJDNF2wrqhE5aJRSd58JUW1rVlfpxMu_9y5DAnTwmwnx9GCJRmmZSjmbrCgn_qDgd4Dn2UAWh-jGRZeBOe6r6uiFwWYx-rh7UijMlXwT57jmAnyW8NvyfiA/s1600/Screenshot_1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg6jzsaQN1NcV3TTF8BwLIGlJDNF2wrqhE5aJRSd58JUW1rVlfpxMu_9y5DAnTwmwnx9GCJRmmZSjmbrCgn_qDgd4Dn2UAWh-jGRZeBOe6r6uiFwWYx-rh7UijMlXwT57jmAnyW8NvyfiA/s400/Screenshot_1.jpg" width="370"></a></div>
</div><a href="https://mikrotik-ukraine.blogspot.com/2017/02/random-firewall-mikrotik.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com3tag:blogger.com,1999:blog-55041839040172164.post-18012690970569332482017-02-20T23:41:00.002+02:002017-02-21T20:59:06.312+02:00Пакеты RouterOS.<div dir="ltr" style="text-align: left;" trbidi="on">
RouterOS поставляется с определенным набором пакетов, которые обеспечивают базовую функциональность. Так как эта операционная система довольно универсальная - есть множество пакетов, которые расширяют функционал этой сетевой системы. Пакеты поставляются только компанией Mikrotik и не могут быть поставлены от сторонних разработчиков. Для того, что-бы подключить пакет его нужно <a href="https://mikrotik.com/download" rel="nofollow" target="_blank">скачать с официальной страницы</a>, разархивировать и забросить в корень вашего маршрутизатора. После перезагрузки это пакет будет установлен.<br>
<br>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhc2Y7H4b0vUci2Heft-vZAYFBV1iIe8BHFx7UCUjdE5Mi39VnqECbL1KW0fihJPydKFxlgrFGlY0d2VKAGlewi3jEYLD7gGWAtb2vLpNLDANW4hpRB5t8Yr1zZTnKDt4dmQjVFthGDOTA/s1600/Screenshot_4.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="74" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhc2Y7H4b0vUci2Heft-vZAYFBV1iIe8BHFx7UCUjdE5Mi39VnqECbL1KW0fihJPydKFxlgrFGlY0d2VKAGlewi3jEYLD7gGWAtb2vLpNLDANW4hpRB5t8Yr1zZTnKDt4dmQjVFthGDOTA/s640/Screenshot_4.jpg" width="640"></a></div>
<br>
Доступность пакетов может отличатся от выбранной платформы (mipsle, mipsbe, ppc, x86). Главным пакетом является пакет<b> system</b>, его нельзя удалить, он является дефолтным на всех роутерах. Кроме него "с коробки" довольно большое количество пакетов включено в поставку для устройства Mikrotik. Это и пакет <b>DHCP</b>, <b>ppp</b> и другие. Стоит помнить, что эти пакеты не являются обязательными и могут быть отключены или удалены с маршрутизатора.<br>
<div style="text-align: center;">
<b></b><br>
</div></div><a href="https://mikrotik-ukraine.blogspot.com/2017/02/routeros.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com4tag:blogger.com,1999:blog-55041839040172164.post-47206534302950441832017-02-15T22:10:00.000+02:002017-02-15T22:16:40.003+02:00Защита Wi-Fi в Mikrotik.<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: right;">
<span style="font-size: x-small;"><b>Версия RoS 6.39rc27 </b></span></div>
<div style="text-align: right;">
<br></div>
<div style="text-align: center;">
<div style="text-align: left;">
За защиту WiFi сети в Mikrotik отвечают три вкладки: <b>Access List </b>(/interface wireless access-list), <b>Connect List</b> (/interface wireless connect-list), <b>Security Profiles</b> (/interface wireless security-profiles).</div>
</div>
<div style="text-align: left;">
<br></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLrrn1JUBTl1WkXYlO8ubJe63WS5YoRKD9cCdBml_wYf7UQ3sM_EE66VysXatmrLSHdzVA00uXfw6wyOibonT4K7yp6yiHXlRlq2bxiKGl2OzbTnO2n7_UQSasmgm5RogpS5xLWcOOoG8/s1600/Screenshot_2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="272" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLrrn1JUBTl1WkXYlO8ubJe63WS5YoRKD9cCdBml_wYf7UQ3sM_EE66VysXatmrLSHdzVA00uXfw6wyOibonT4K7yp6yiHXlRlq2bxiKGl2OzbTnO2n7_UQSasmgm5RogpS5xLWcOOoG8/s640/Screenshot_2.jpg" width="640"></a></div>
<div style="text-align: left;">
<br></div>
<div style="text-align: left;">
<b>Access List - </b>список правил, которые ограничивают соединения<u> других устройств к вашей точке</u>, а также служат для управления параметрами подключения. (режим ap mode). </div>
<div style="text-align: left;">
<i> Пример: вы хотите ограничить подключение к вашей точке доступа по MAC-адресам.</i><br>
<b> Connect List</b> - список правил, которые ограничивают соединение <u>вашего устройства к другим точкам доступа</u> (режим station mode). </div>
<div style="text-align: left;">
<i> Пример: вы хотите автоматически подключать свою клиентскую станцию к точке доступа с максимальным уровнем сигнала (при наличии нескольких базовых станций).</i></div>
<div style="text-align: left;">
<b> Security Profiles - </b>настраиваются профили методов защиты и, непосредственно, ключи защиты беспроводной сети.<br>
</div></div><a href="https://mikrotik-ukraine.blogspot.com/2017/02/wi-fi-mikrotik.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com3tag:blogger.com,1999:blog-55041839040172164.post-40849854532860448742017-02-06T19:51:00.002+02:002017-02-07T10:24:07.649+02:00Защита SIP-порта. Часть 2: анализ пакетов.<div dir="ltr" style="text-align: left;" trbidi="on">
Для защиты SIP-порта можно использовать анализ пакетов с помощью опции "content" в Firewall Mikrotik. Но, для начала, нам нужно узнать, что именно посылает наш сервер телефонии на неправильный логин и пароль. Для примера возьмем самый популярный сервер телефонии - Asterisk с веб-интерфейсом FreePBX. Перво-наперво можно изучить, какие именно стандартные ответы дает SIP-сервер:<br>
<blockquote class="tr_bq">
<i>SIP/2.0 400 Bad Request</i> - запрос не понят из-за синтаксических ошибок в нем, ошибка в сигнализации, скорее всего что-то с настройками оборудования<br>
<i>SIP/2.0 401 Unauthorized </i>- нормальный ответ сервера о том, что пользователь еще не авторизировался; обычно после этого абонентское оборудование отправляет на сервер новый запрос, содержащий логин и пароль<br>
<i>SIP/2.0 401 Expired Authorization</i> - время регистрации истекло<br>
<i>SIP/2.0 402 Payment Required</i> - требуется оплата (зарезервирован для использования в будущем)<br>
<i>SIP/2.0 403 No Such User</i> - нет такого пользователя, ошибка в номере, логине или пароле<br>
<i>SIP/2.0 403 User Disabled </i>- пользователь отключен<br>
<i>SIP/2.0 403 Wrong Guess</i> - ошибка в пароле<br>
<i>SIP/2.0 403 Conflict </i>- такой SIP-номер уже используется<br>
<i>SIP/2.0 403 Forbidden</i> - абонент не зарегистрирован<br>
<i>SIP/2.0 403 Empty Route Set</i> - нет ни одного шлюза в роутинге<br>
<i>SIP/2.0 403 Caller Not Registered</i> - нет такого пользователя<br>
<i>SIP/2.0 403 Out of Look-Ahead Retries</i> - перебор узлов закончен<br>
<i>SIP/2.0 403 Invalid Phone Number</i> - нет такого направления<br>
<i>SIP/2.0 403 No Money Left on RFC Account</i> - на счету нет денег для совершения звонка<br>
<i>SIP/2.0 404 Not found</i> - вызываемый абонент не найден, нет такого SIP-номера<br>
<i>SIP/2.0 404 Undefined Reason</i> - неопределенное направление<br>
<i>SIP/2.0 404 Unknown user account</i> - логин и пароль не найдены<br>
<i>SIP/2.0 404 Out of Order</i> - в заявке на маршрутизацию по этому направлению нет ни одного шлюза, проверьте настройку маршрутизации по этому направлению.<br>
<i>SIP/2.0 405 Method Not Allowed</i> - метод не поддерживается, может возникать если пользователь пытается отправлять голосовую почту и т.п.<br>
<i>SIP/2.0 406 No codecs match</i> - неправильная конфигурация кодеков<br>
<i>SIP/2.0 406 Not Acceptable</i> - пользователь не доступен<br>
<i>SIP/2.0 407 Proxy Authentication Required</i> - необходима аутентификация на прокси-сервере<br>
<i>SIP/2.0 408 Request Timeout</i> - время обработки запроса истекло: Абонента не удалось найти за отведенное время<br>
<i>SIP/2.0 408 Login timed out </i>- за отведенное время не получен ответ от сервера на запрос авторизации<br>
<i>SIP/2.0 410 No Route</i> - вариант <i>SIP/2.0 403 Empty Route Set</i>; нет доступа к ресурсу: Ресурс по указанному адресу больше не существует<br>
<i>SIP/2.0 413 Request Entity Too Large</i> - размер запроса слишком велик для обработки на сервере<br>
<i>SIP/2.0 415 No Media </i>- звонок совершается неподдерживаемым кодеком<br>
<i>SIP/2.0 416 Unsupported Scheme</i> - сервер не может обработать запрос из-за того, что схема адреса получателя ему непонятна<br>
<i>SIP/2.0 420 Bad extension </i>- неизвестное расширение: Сервер не понял расширение протокола SIP<br>
<i>SIP/2.0 421 Extension Required </i>- в заголовке запроса не указано, какое расширение сервер должен применить для его обработки<br>
<i>SIP/2.0 423 Interval Too Brief</i> - сервер отклоняет запрос, так как время действия ресурса короткое<br>
<i>SIP/2.0 480 Invalid Phone Number</i> - неправильный номер телефона, не соответствует к-во цифр или неправильный код страны или города<br>
<i>SIP/2.0 480 Destination Not Found In Client Plan</i> - направления нет в тарифном плане абонента<br>
<i>SIP/2.0 480 Wrong DB Response</i> - проблемы с центральной базой сети<br>
<i>SIP/2.0 480 DB Timeout</i> - проблемы с центральной базой сети<br>
<i>SIP/2.0 480 Database Error </i>- проблемы с центральной базой сети<br>
<i>SIP/2.0 480 Codec Mismatch</i> - несоответствие кодеков<br>
<i>SIP/2.0 480 No Money Left on RFC Account </i>- нет денег на счету, обратитесь к администратору сети!!!<br>
<i>SIP/2.0 480 Empty Route Set</i> - пустое направление, нет принемающих шлюзов<br>
<i>SIP/2.0 480 No money left</i> - недостаточно денег на счете<br>
<i>SIP/2.0 480 Temporarily Unavailable</i> - временно недоступное направление попробуйте позвонить позже<br>
<i>SIP/2.0 481 Call Leg/Transaction Does Not Exist</i> - действие не выполнено, нормальный ответ при поступлении дублирующего пакета<br>
<i>SIP/2.0 482 Loop Detected </i>- обнаружен замкнутый маршрут передачи запроса<br>
<i>SIP/2.0 483 Too Many Hops </i>- запрос на своем пути прошел через большее число прокси-серверов, чем разрешено<br>
<i>SIP/2.0 484 Address Incomplete</i> - принят запрос с неполным адресом<br>
<i>SIP/2.0 485 Ambiguous </i>- адрес вызываемого пользователя не однозначен<br>
<i>SIP/2.0 486 Busy Here</i> - абонент занят<br>
<i>SIP/2.0 487 Request Terminated</i> - запрос отменен, обычно приходит при отмене вызова<br>
<i>SIP/2.0 488 Codec Mismatch</i> - нет шлюзов с поддержкой заказанного кодека<br>
<i>SIP/2.0 488 Private IP Address </i>- адрес RTP media из сетей RFC1918<br>
<i>SIP/2.0 491 Request Pending</i> - запрос поступил в то время, когда сервер еще не закончил обработку другого запроса, относящегося к тому же диалогу<br>
<i>SIP/2.0 493 Undeciperable</i> - сервер не в состоянии подобрать ключ дешифрования: невозможно декодировать тело S/MIME сообщения<br>
<i>SIP/2.0 499 Codec Mismatch</i> - отсутствует кодек<br>
</blockquote></div><a href="https://mikrotik-ukraine.blogspot.com/2017/02/sip-2.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com7tag:blogger.com,1999:blog-55041839040172164.post-31606485406488652752017-02-03T23:16:00.001+02:002017-02-04T22:11:03.087+02:00Защита SIP-порта с помощью Mikrotik.<div dir="ltr" style="text-align: left;" trbidi="on">
Иногда нужно выбросить наружу SIP-порт для клиентов, которые подключаются к вашей IP-телефонии. Открытый SIP-порт, особенно стандартный (5060 UDP), очень уязвим и рано или поздно вас начнут взламывать, подбирать пароли и т.д. Это чревато не только возможностью угадать пароль, но и нагрузкой на ваш сервер телефонии и интернет-канал. Есть несколько рекомендаций для защиты.<br>
<div>
Общая рекомендация - не использовать стандартный порт. В дополнение, на стандарнтый порт можно повесить ловушку:</div>
<div>
<blockquote class="tr_bq">
<b><span style="color: #274e13;">/ip firewall filter<br>add action=add-src-to-address-list address-list=sip_drop address-list-timeout=30m chain=input comment=sip_add_list dst-port=5060 in-interface=ether1-wan log=yes log-prefix=Sip-Attack protocol=udp<br>add action=drop chain=input comment=sip_list_drop in-interface=ether1-wan src-address-list=sip_drop</span></b><br>
</blockquote></div></div><a href="https://mikrotik-ukraine.blogspot.com/2017/02/sip-mikrotik.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com2tag:blogger.com,1999:blog-55041839040172164.post-21732038651743981712017-01-30T22:48:00.004+02:002017-01-30T22:50:04.903+02:00MikroTik News - January 2017 (Issue #75)<div dir="ltr" style="text-align: left;" trbidi="on">
<iframe height="970" src="https://drive.google.com/file/d/0B6LuezGzvlJbT3VOOGFHQjBmMTQ/preview" width="700"></iframe>
</div>
23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com0tag:blogger.com,1999:blog-55041839040172164.post-27546679903325384172017-01-12T22:47:00.000+02:002017-02-06T20:51:49.836+02:00Юникод в SSID: Смайлики в названии сетей.<div dir="ltr" style="text-align: left;" trbidi="on">
На <a href="http://forum.mikrotik.com/viewtopic.php?f=7&t=116319" rel="nofollow" target="_blank">официальном форуме поднимался вопрос</a> поддержки Mikrotik Unicode (UTF-8) в SSID для создания прикольных названий сетей (можно использовать спецсимволы, различные шрифты, смайлики и прочее в имени WIFI-сети). На форму обсуждалось то, что если ввести символы Юникода в следующем виде<br>
<blockquote class="tr_bq">
ssid="\C4\9B\C5\A1\C4\8D\C5\99\C5\BE\C3\BD\C3\A1\C3\AD\C3\A9"</blockquote>
Причем ОБЯЗАТЕЛЬНО через командную строку, то, несмотря на то, что в винбоксе отображаются крякозябры - в устройствах поддерживающих Unicode в названии сети он отображается корректно.<br>
Пользователь R1CH пошел дальше - создал специальный генератор, который преобразует символы Юникода уже в код добавления SSID на интерфейс RouterOS. Сам генератор доступен по адресу:<br>
<div style="text-align: center;">
<a href="https://r-1.ch/mikrotik-unicode-ssid-generator.php">https://r-1.ch/mikrotik-unicode-ssid-generator.php</a><br>
</div></div><a href="https://mikrotik-ukraine.blogspot.com/2017/01/ssid.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com11tag:blogger.com,1999:blog-55041839040172164.post-69039817061242501072017-01-09T21:04:00.001+02:002017-02-04T22:11:50.736+02:00Подключение к веб-интерфейсу Mikrotik используя ssl протокол.<div dir="ltr" style="text-align: left;" trbidi="on">
Выставляя в "мир" нужные нам сервисы мы всегда рискуем. Поэтому желательно по-максимуму защитить наше оборудование. Удаленное подключение к нашим маршрутизаторам следует оставлять только с определенных подсетей, оставляя минимум сервисом, меняя стандартные логины и применяя сложные пароли с регулярной сменой. Так-же в обязательном порядке менять порты сервисов по-умолчанию. Можно организовать открытие портов через определенный порядок действий (например, технология port knocking).<br>
Незащищённое http-соединение опасно тем, что любой, кто слушает трафик, прекрасно видит все данные, которые вы передаете на сайт, по протоколам POST или GET. Так как мы не хотим, что-бы злоумышленники получили доступ к нашему роутеру - для этого нам необходим специальный сертификат. Как правило, сертификаты подтверждают центры сертификации. Но мы можем сгенерировать сертификат самостоятельно - такой сертификат называется самоподписанным, так как его подтверждаете лично вы. Для сайтов самоподписанный сертификат, конечно, не подойдет, но для личных целей вполне будет достаточно.<br>
Обращаю ваше внимание на то, что при использовании самоподписного сертификата вы будете видеть окно: "Сертификат безопасности сайта не является доверенным", что может быть не очень понятно неосведомленным пользователям.<br>
Сейчас я хочу описать как можно сгенерировать самоподписанный сертификат и включить безопасное соединение www-ssl для управления нашим роутером.<br>
Открываем System/Certificates, добавляем новый сертификат.<br>
<br>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3yTuWbBuFcDkiq84ewA6XGnstlqFrzpTT2G15ePl7H2XU83hLufGgtke-cb8Y1h0S6sKGFE5AxqjU3OOged5HqgmOtEsMeYvJfNmGwbeHEfjytSsGeGV5MrGMKuB8WN-iI0kJdn2oys8/s1600/Screenshot_2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3yTuWbBuFcDkiq84ewA6XGnstlqFrzpTT2G15ePl7H2XU83hLufGgtke-cb8Y1h0S6sKGFE5AxqjU3OOged5HqgmOtEsMeYvJfNmGwbeHEfjytSsGeGV5MrGMKuB8WN-iI0kJdn2oys8/s640/Screenshot_2.jpg" width="640"></a></div>
<br>
</div><a href="https://mikrotik-ukraine.blogspot.com/2017/01/mikrotik-ssl.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com3tag:blogger.com,1999:blog-55041839040172164.post-78596268457784214972017-01-08T11:38:00.000+02:002017-02-04T22:12:14.230+02:00Защита Mikrotik. Часть 2: Мания преследования.<div dir="ltr" style="text-align: left;" trbidi="on">
В дополнение к основной статье <a href="http://mikrotik-ukraine.blogspot.com/2016/08/wan-mikrotik.html" target="_blank">Защита WAN-интерфейса в Mikrotik</a> хочется отметить несколько важных моментов в безопасности вашего маршрутизатора. Описанные тут пункты не имеют критически важное значение в защите роутера Mikrotik, но, в комплексе, помогают защитить маршрутизатор еще лучше. Я специально буду продолжать пункты, описанные в предыдущем материале, что бы подчеркнуть - эта статья является продолжением и дополнением первой и отдельно рассматриваться не может. <br>
Не смотря на запрещающее правило в пункте 13 ("add action=drop chain=input comment=Drop_all_WAN in-interface=ether1-velton") в конце первой статьи, рекомендую проверить активность сервисов. Если какой-то сервис не используется - в целях безопасности его отключить.<br>
<br>
<span style="font-size: large;">14)</span> Проверяем сервис SNMP в IP/SNMP. По-умолчанию он выключен. Если мы его не используем - проследите что-бы не стояла галочка Enabled. Если используем - позаботитесь о его защите.<br>
<br>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8YJ3R2jNTHszMQ8rze1AW15ILAVusk857ij9mylsj8DgWyQ9IctVAFiGjLuMikLYHF9VJQSd_R5U7FbdqPoMbXlbfLwRgQQIgthDER_eW69ZhXJdv-2ZzGlBqojiBtDTHUXgypB1xkNg/s1600/Screenshot_8.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh8YJ3R2jNTHszMQ8rze1AW15ILAVusk857ij9mylsj8DgWyQ9IctVAFiGjLuMikLYHF9VJQSd_R5U7FbdqPoMbXlbfLwRgQQIgthDER_eW69ZhXJdv-2ZzGlBqojiBtDTHUXgypB1xkNg/s1600/Screenshot_8.jpg"></a></div>
<br>
</div><a href="https://mikrotik-ukraine.blogspot.com/2017/01/mikrotik-2.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com4tag:blogger.com,1999:blog-55041839040172164.post-37361726415772633042016-12-22T22:46:00.000+02:002016-12-22T22:58:55.357+02:00Проверка статуса выгрузки на FTP в Mikrotik.<div dir="ltr" style="text-align: left;" trbidi="on">
Очень часто мы пользуемся выгрузкой на FTP-сервера через скрипты в Mikrotik. Удобно загружать бекапы или экспортные файлы на сервер, передавать файлы типа <a href="http://wiki.mikrotik.com/wiki/Manual:Configuration_Management#Automatic_Import" rel="nofollow" target="_blank">anything.auto.rsc на другие Микротики для автовыполнения</a>. Иногда передача по фтп завешается неудачей, наша цель - отследить статус отправки. Типового механизма отслеживания корректно ли произошла отправка по фтп в RouterOS нет, но есть небольшая уловка, которой мы можем воспользоваться.<br />
С помощью оператора <b>:execute </b>мы сможем выполнить скрипт и результат обработки записать в файл, проанализировав который можно сказать удачно ли произошла отправка или нет.<br />
Сам скрипт:<br />
<blockquote class="tr_bq">
<span style="color: #274e13;"><b>:local logftp "ftp.log"<br />:local cmd "/tool fetch mode=ftp upload=yes user=\"admin\" password=\"admin\" src-path=\"11.txt\" address=\"192.168.88.254\" dst-path=\"99.txt\""<br />:execute file=$logftp script=$cmd<br /># ждем 30 секунд. Это время можно изменить проанализировав время выгрузки вашего файла<br />:delay 30s<br />:local logres [/file get [find name="$logftp.txt"] contents]<br />:if ($logres~"finished") do={<br /> :global ftpSTS "done"<br />/log warning "ftp upload success"<br />} else={:global ftpSTS "error"; /log error "ftp upload NOT success"}</b></span></blockquote>
<b> 192.168.88.254</b> - IP нашего сервера FTP,<br />
<b>admin, admin</b> - логин и пароль.<br />
Проанализировав вывод оператора и найдя в нем строчку "finished" - мы считаем что файл успешно передался.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUtFD7uhxif6xcBhjcPDjK51UeM1hbVoCCzf5aZWm1Fz7JJsoDAS6jeUoUtCMAVIQnU7esDBl7NK7U_aH1Nk8gQkhqCDEt8LEnon9VQJ6rIDN-XMt084rPdXonpJS-qcabqgnFfYMH9u8/s1600/Screenshot_7.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUtFD7uhxif6xcBhjcPDjK51UeM1hbVoCCzf5aZWm1Fz7JJsoDAS6jeUoUtCMAVIQnU7esDBl7NK7U_aH1Nk8gQkhqCDEt8LEnon9VQJ6rIDN-XMt084rPdXonpJS-qcabqgnFfYMH9u8/s1600/Screenshot_7.jpg" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">стандартный вывод успешного завершения передачи по ftp.</td></tr>
</tbody></table>
Это мы и записываем в переменную <b>ftpSTS</b> (done) и пишем в лог. Дальше используем эту переменную по вашему усмотрению.<br />
<div>
<br />
<br />
<div style="text-align: right;">
<span style="font-size: x-small;">Используемый материал:</span></div>
<div style="text-align: right;">
<a href="http://forum.mikrotik.com/viewtopic.php?f=9&t=114626" rel="nofollow" target="_blank"><span style="font-size: x-small;">http://forum.mikrotik.com/viewtopic.php?f=9&t=114626</span></a></div>
</div>
</div>
23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com3tag:blogger.com,1999:blog-55041839040172164.post-53877767552409085112016-12-21T20:51:00.000+02:002016-12-21T20:52:18.898+02:00Чат в консоли Mikrotik.<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: left;">
В консоли можно устроить чат между пользователями, которые в данный момент подключены к маршрутизатору. Если в терминал написать сообщение вида </div>
<blockquote class="tr_bq" style="clear: both; text-align: left;">
#privet</blockquote>
<div class="separator" style="clear: both; text-align: left;">
с экранирующим символом "#", то это сообщение будет доставлено всем подключенным пользователям в данный момент. Не имеет значение откуда сообщение отправлено - с консоли, через WinBox, ssh или telnet.</div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhv8CQREZEIMOU2na4D_cBCaGdDySizH5Bf9sF7Xg79ritoufFyCjG5AqgQQ54Jj_SlULH1WWWrW1Hzwl7cLl9cFNEPbQEPN7JChG1NnjibkNQjSFJd5JhhNY_xmHvYV3izmUnleClugiQ/s1600/Screenshot_6.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="448" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhv8CQREZEIMOU2na4D_cBCaGdDySizH5Bf9sF7Xg79ritoufFyCjG5AqgQQ54Jj_SlULH1WWWrW1Hzwl7cLl9cFNEPbQEPN7JChG1NnjibkNQjSFJd5JhhNY_xmHvYV3izmUnleClugiQ/s640/Screenshot_6.jpg" width="640" /></a></div>
<br /></div>
23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com1tag:blogger.com,1999:blog-55041839040172164.post-26302564124556280552016-12-21T20:20:00.000+02:002016-12-21T20:22:20.299+02:00Mikrotik DISC Lite5 (RBDisc-5nD)<div dir="ltr" style="text-align: left;" trbidi="on">
Произошла утечка информации от одного из дистрибьюторов Mikrotik о новом устройстве - недорогой точке доступа DISC Lite5 (RBDisc-5nD). Устройство основано на базе <a href="https://routerboard.com/RBLHG-5nD" rel="nofollow" target="_blank">LHG 5</a> имеет 21dBi Dual Chain антенну стандарта 802.11n, 600MHz частоту CPU, 64MB RAM, 1x 10/100Mbps Ethernet port, 64MB ПЗУ. Есть две версии: интернациональная (International: 5150 MHz-5875 MHz) и для США (USA: 5170-5250 MHz; 5725-5835 MHz). При чем блокировка по частотам уже вшита в устройство и не может быть снята, это нужно учитывать при покупке. Так же как и <a href="https://routerboard.com/RBLHG-5nD" rel="nofollow" target="_blank">LHG 5</a> DISC Lite5 имеет на борту RouterOS L3.<br>
</div><a href="https://mikrotik-ukraine.blogspot.com/2016/12/mikrotik-disc-lite5-rbdisc-5nd.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com1tag:blogger.com,1999:blog-55041839040172164.post-32432190858069227232016-12-21T17:26:00.000+02:002016-12-21T17:27:18.707+02:00MikroTik News December 2016 (Issue #74)<div dir="ltr" style="text-align: left;" trbidi="on">
<iframe height="970" src="https://drive.google.com/file/d/0B6LuezGzvlJbSU94YjJ2anI5ekk/preview" width="700"></iframe>
</div>
23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com0tag:blogger.com,1999:blog-55041839040172164.post-31045332821633381842016-12-15T19:58:00.003+02:002016-12-15T20:04:52.028+02:00hAP ac lite tower: имидж все!<div dir="ltr" style="text-align: left;" trbidi="on">
Mikrotik представила новый "старый" роутер. Взяли <a href="https://routerboard.com/RB952Ui-5ac2nD" rel="nofollow" target="_blank">hAP ac lite</a> и поместили его в новый красивый корпус! Судите сами.<br>
<br>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3RjoAV_hX11aNGfj6oyEJq5rYVMuLE0fIFHBLai0x32R9-eehKpH8wPnvgzbpR9iHS0v6BLwIwH00TYSUW-ksEXOZyq6LFLGWjazj-ICgbflHKkiTdSuwl0AeUHOu3aydKTIax_vFfcg/s1600/1230_l.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="640" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3RjoAV_hX11aNGfj6oyEJq5rYVMuLE0fIFHBLai0x32R9-eehKpH8wPnvgzbpR9iHS0v6BLwIwH00TYSUW-ksEXOZyq6LFLGWjazj-ICgbflHKkiTdSuwl0AeUHOu3aydKTIax_vFfcg/s640/1230_l.jpg" width="640"></a></div>
<div class="separator" style="clear: both; text-align: center;">
</div>
</div><a href="https://mikrotik-ukraine.blogspot.com/2016/12/hap-ac-lite-tower.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com1tag:blogger.com,1999:blog-55041839040172164.post-12024060104195117052016-12-08T22:46:00.003+02:002016-12-15T20:49:51.518+02:00Переносим динамический адрес-лист на другой Mikrotik.<div dir="ltr" style="text-align: left;" trbidi="on">
Обратился человек по имени Serg и попросил помочь с написанием скрипта. Суть скрипта такова, есть некий динамически список (dynamic address list) в Mikrotik - его нужно сохранить. А после перезагрузки маршрутизатора - восстановить с тем же таймаутом (address-list timeout). Проблема эта возникла из-за того, что после перезагрузки маршрутизатора динамические адрес-листы очищаются. Попутно было бы не плохо переносить эти адрес-листы на другие Микротики.<br>
Начнем с того, что командой экспорта динамические листы экспортировать не получиться, она сохраняет только статические листы:<br>
<br>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhdfRWirdbfNH2FuKN4JgVs2TdwXwVHBKo9L9rvgwUdBwpfuW_f6FOs-l7C64amqdudRVZ0ReuCa2kJiekCiMlg7N4uKvfUmo_A8x1QVv4GAQX1-2_b38QC18AKfi66xol7sGz7kI_GJPY/s1600/Screenshot_4.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhdfRWirdbfNH2FuKN4JgVs2TdwXwVHBKo9L9rvgwUdBwpfuW_f6FOs-l7C64amqdudRVZ0ReuCa2kJiekCiMlg7N4uKvfUmo_A8x1QVv4GAQX1-2_b38QC18AKfi66xol7sGz7kI_GJPY/s1600/Screenshot_4.jpg"></a></div>
<br>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjsIiU0AW-AOH5a57JFZpxWDJ0_GW79noD5x1zS9rXUMUdB7sWPYJL37klLYGz8vbTVsJ6K8hRmlwRMMgGl03n_Iw4AGVN_JmAvotpR6Gxai0MEMkfy8hU6s8wuC5AXwKB1_Ve8l5JSjjY/s1600/Screenshot_1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjsIiU0AW-AOH5a57JFZpxWDJ0_GW79noD5x1zS9rXUMUdB7sWPYJL37klLYGz8vbTVsJ6K8hRmlwRMMgGl03n_Iw4AGVN_JmAvotpR6Gxai0MEMkfy8hU6s8wuC5AXwKB1_Ve8l5JSjjY/s1600/Screenshot_1.jpg"></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br></div>
Поэтому для экспорта динамического листа можно использовать команду print. Для адрес-листа <b>3333</b> команда будет такая:<br>
</div><a href="https://mikrotik-ukraine.blogspot.com/2016/12/mikrotik.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com13tag:blogger.com,1999:blog-55041839040172164.post-14448708342548070792016-12-04T22:28:00.000+02:002017-02-15T22:17:13.814+02:00Wi-Fi в Mikrotik: Настройки параметров wireless interface.<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both;">
Начинаю цикл статей про настройку Wi-Fi в Mikrotik. Так как тема довольно обширная охватить одной статьей ее не реально, поэтому будет несколько связанных публикаций, которые можно будет отфильтровать по метке "Wi-Fi". </div>
<div class="separator" style="clear: both;">
В первой статье я опишу <b>ВСЕ</b> пункты, которые есть в настройке wlan-интерфейса в режиме Advanced Mode. Все остальные настройки будут описаны в следующих статьях. Описание буду проводить на самом распространенном маршрутизаторе Микротик для дома и офиса -<a href="https://routerboard.com/RB951G-2HnD" rel="nofollow" target="_blank"> RouterBoard 951G-2HnD</a> с версией RouterOS самой новой на время написания статьи - <span style="text-align: center;">6.38rc38. </span></div>
<div class="separator" style="clear: both;">
<span style="text-align: center;"> В зависимости от модели роутера некоторые функции и настройки могут появляться или пропадать, так же это касается и версии </span>RouterOS - это нужно учитывать при прочтении. Я же попытался описать наиболее полные параметры. При настройке я часто обращался в гугл для выискивания значения того или иного параметра, мне попадалось много статей. В одних описаны сами параметры, но без рекомендаций по их установке. В других - только рекомендации, без объяснений. Тут я попытался написать и значения установок и рекомендации для настройки. По-возможности описал почему именно так нужно устанавливать, а не иначе. Значения описанные в этой статье подходят для настройки роутера для <span style="text-align: center;">дома и малого офиса с небольшой нагрузкой и небольшое количество устройств. Что является самым распространенным применением точки доступа Mikrotik. Все рекомендации по значениям параметров я выделил <i>курсивом</i>. Данная статья подразумевает, что человек уже настраивал wi-fi в Микротик, но хотел бы получить больше информации по доступным параметрам и их значениям.</span></div>
<div class="separator" style="clear: both;">
<br></div>
<div class="separator" style="clear: both;">
<span style="text-align: center;"> И так, начнем - заходим в </span>wireless и входим в наш интерфейс wlan1.</div>
<div class="separator" style="clear: both; text-align: center;">
<br></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjE9zhIv79hz96tzFxfWTpNC2bbKCqZbLN3vjIrw0H0HcAmj26oNWI1hjLve9DW10Z9hkL2H7oWr2BJ4HgfiKj7SLOWZLWKlAXnFCOtdGm5vhWow0yd8TUIzygZhoL6TWTvZQGRRtRhO3g/s1600/Screenshot_2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjE9zhIv79hz96tzFxfWTpNC2bbKCqZbLN3vjIrw0H0HcAmj26oNWI1hjLve9DW10Z9hkL2H7oWr2BJ4HgfiKj7SLOWZLWKlAXnFCOtdGm5vhWow0yd8TUIzygZhoL6TWTvZQGRRtRhO3g/s1600/Screenshot_2.jpg"></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br></div>
<div class="separator" style="clear: both; text-align: left;">
Выбираем режим <b>Advanced Mode</b>.</div>
<div class="separator" style="clear: both; text-align: left;">
<br></div>
<div>
</div></div><a href="https://mikrotik-ukraine.blogspot.com/2016/12/wi-fi-mikrotik-wireless-interface.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com256tag:blogger.com,1999:blog-55041839040172164.post-77215329451480875502016-11-21T22:03:00.001+02:002016-12-01T08:52:04.654+02:00Hairpin NAT - доступ через внешний IP на свои ресурсы, находясь внутри сети.<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="tr_bq">
Допустим мы имеем конфигурацию, когда в вашей офисной или домашней сети есть веб-сервер. На него из-вне проброшен 80 порт. Ваши клиенты могут заходить на ваш домен domain.ru, который имеет внешний IP 1.1.1.1 с переадресацией через Mikrotik на web-сервер 192.168.1.2. Визуально такое правило выглядит так:</div>
<blockquote class="tr_bq">
<b><span style="color: #38761d;">/ip firewall nat<br> add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2</span></b></blockquote>
Все запросы с внешнего IP 1.1.1.1 на 80 порт направлять на наш веб-сервер. Второе правило - обычный NAT для нашей внутренный сети:<br>
<blockquote class="tr_bq">
<b><span style="color: #38761d;">add chain=srcnat out-interface=WAN action=masquerade</span></b></blockquote>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhXFkYiJMviluXbIfHRZ0Z6F1XbkL1XeABH3BgrdQHhL7cal4EVe6NYW3gtkH_mqrfmdquakjYWCKCj206q4o0XdQyTT0RihS1-Tepndhv2NBvAYTSQ73rX2EVEqORwlvWznf2n6RBokTE/s1600/Hairpin_nat_1.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhXFkYiJMviluXbIfHRZ0Z6F1XbkL1XeABH3BgrdQHhL7cal4EVe6NYW3gtkH_mqrfmdquakjYWCKCj206q4o0XdQyTT0RihS1-Tepndhv2NBvAYTSQ73rX2EVEqORwlvWznf2n6RBokTE/s1600/Hairpin_nat_1.png"></a></div>
<div class="separator" style="clear: both; text-align: left;">
Когда внешний клиент с WAN-интерфейса совершает подключение к нашему веб-серверу это выглядит так:</div>
</div><a href="https://mikrotik-ukraine.blogspot.com/2016/11/hairpin-nat-ip.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com8tag:blogger.com,1999:blog-55041839040172164.post-38948210386039313772016-11-20T19:57:00.000+02:002016-11-20T19:58:11.033+02:00Архив версий RouterOS на новом сайте Mikrotik.<div dir="ltr" style="text-align: left;" trbidi="on">
С обновлением <a href="http://www.mikrotik.com/" rel="nofollow" target="_blank">официального сайта Mikrotik</a> намного легче стало искать старые релизы RouterOS.<br>
<div>
В разделе <a href="http://www.mikrotik.com/download" rel="nofollow" target="_blank">Downloads</a> появились новые разделы.</div>
<div>
<br></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhY2DP2ksOBKK-JW2Roj_z4b1S07J7ePsTu4ZS3SBdRn1jig2Qw5YIqwJ7Ney62DZKOmqkvm0XhIysyiYgUsA6O1USLyR1n4dDBtLKj4PbXR56PCZzK9e6PUz1f9qzmr7fw48WT1tWAovw/s1600/Screenshot_2.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="307" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhY2DP2ksOBKK-JW2Roj_z4b1S07J7ePsTu4ZS3SBdRn1jig2Qw5YIqwJ7Ney62DZKOmqkvm0XhIysyiYgUsA6O1USLyR1n4dDBtLKj4PbXR56PCZzK9e6PUz1f9qzmr7fw48WT1tWAovw/s640/Screenshot_2.jpg" width="640"></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Страница загрузок.</td></tr>
</tbody></table>
<div class="separator" style="clear: both; text-align: center;">
<br></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYBCkzTcMn9l8nJjEps6jfkwJmNpWuDWN2GKruRrpjJRZngkwsyWpAiN4It4TLYvQetg2f3dxbk4GzozBrYcr-5Rbic0AIJHVRE8BqM-fbupkSMqydR_TZiUsf1K77GUZOtbsytzVgpcM/s1600/Screenshot_4.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYBCkzTcMn9l8nJjEps6jfkwJmNpWuDWN2GKruRrpjJRZngkwsyWpAiN4It4TLYvQetg2f3dxbk4GzozBrYcr-5Rbic0AIJHVRE8BqM-fbupkSMqydR_TZiUsf1K77GUZOtbsytzVgpcM/s1600/Screenshot_4.jpg"></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Страница архива релизов.<br>
</td></tr></tbody></table></div><a href="https://mikrotik-ukraine.blogspot.com/2016/11/routeros-mikrotik.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com0tag:blogger.com,1999:blog-55041839040172164.post-54311581509091314092016-11-08T22:17:00.004+02:002016-11-08T22:18:15.489+02:00Проброс портов через VPN в Mikrotik.<div dir="ltr" style="text-align: left;" trbidi="on">
Есть два офиса. В главном офисе имеется статический реальный внешний IP, к которому можно подключится из-вне. В региональном представительстве - динамический IP и разные провайдеры интернета, которые могут меняться. К главному офису региональный подключен по VPN, в данном примере используется L2TP-соединение. Задача: пробросить порт в региональный офис, используя реальный IP главного офиса. Пробрасывать порт будем TCP 3333.<br>
<br>
Для этого создаем на <b>главном офисе</b> правило:<br>
<blockquote class="tr_bq">
/ip firewall nat<br>
add action=dst-nat chain=dstnat comment=dvr dst-address-list=wan dst-port=3333 protocol=tcp to-addresses=172.16.7.6</blockquote>
Где "wan" - адрес лист который содержит список внешний IP главного офиса, "172.16.7.6" - IP виртуального интерфейса L2TP. Правило перенаправляет все запросы с wan-интерфейсов на порт 3333 в нужный нам впн-туннель.<br>
<br>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtRCrCVfB_tTgQm-KFnBYlFtr-FErV04iLCGgf_qrNoGlCxHE4Qaz1inzLpM2VsbhhhR1NFJqxg14MLLUyzgmFAQs4-XpuRtDqlbstk6Vo9BodKBmqI9Zb8mmG0CtWJO1wsHNzh5LEzdI/s1600/Screenshot_1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtRCrCVfB_tTgQm-KFnBYlFtr-FErV04iLCGgf_qrNoGlCxHE4Qaz1inzLpM2VsbhhhR1NFJqxg14MLLUyzgmFAQs4-XpuRtDqlbstk6Vo9BodKBmqI9Zb8mmG0CtWJO1wsHNzh5LEzdI/s1600/Screenshot_1.jpg"></a></div>
<br>
</div><a href="https://mikrotik-ukraine.blogspot.com/2016/11/vpn-mikrotik.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com10tag:blogger.com,1999:blog-55041839040172164.post-91506134399986798882016-10-10T20:49:00.001+03:002016-10-10T20:54:47.754+03:00Не работают (не считают трафик) правила Simple Queues в Mikrotik.<div dir="ltr" style="text-align: left;" trbidi="on">
Как было раньше, например в версии RouterOS 5.22. Ограничение в правилах не стоят, а подсчет трафика происходит:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEinSyGZQ5eJD6BS5JYGHfOnRhKAVL39QvL3ZnlreAocs1alU4ILSPybxz3zS_-DrTplePfV18WoGleSUPrS7Lqvz4UQQpPl_94RQ1e0YFE3YWdRTE3WTs73WOOm6dNpGayccroPyX3ZQPw/s1600/Screenshot_1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEinSyGZQ5eJD6BS5JYGHfOnRhKAVL39QvL3ZnlreAocs1alU4ILSPybxz3zS_-DrTplePfV18WoGleSUPrS7Lqvz4UQQpPl_94RQ1e0YFE3YWdRTE3WTs73WOOm6dNpGayccroPyX3ZQPw/s1600/Screenshot_1.jpg" /></a></div>
<br />
Вы задаете простое правило в Simple Queues с нужным IP без ограничения скорости и легким движение руки мониторите своих клиентов.<br />
Но все изменилось, возможно с внедрением <a href="http://wiki.mikrotik.com/wiki/Manual:Fast_Path" rel="nofollow" target="_blank">Fast Path</a>, возможно с оптимизацией системы, но в версиях 6.х поведение изменилось. Трафик подсчет трафика происходит только тогда, когда стоит ограничение:<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEipJ07CHrNMk2q0WsNb6AE8epjOvvAGjqW7xaEJ2TqYhpjBOftN-i8Ajg_LBLaPx9sJEpEyPe_T5yYOid4nbda4NK2LTd6uNZYtZ5IkMQOsCUQJuCaMpwtiJs0JOyPE_LV3U2rhZ0HYRGQ/s1600/Screenshot_1.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="210" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEipJ07CHrNMk2q0WsNb6AE8epjOvvAGjqW7xaEJ2TqYhpjBOftN-i8Ajg_LBLaPx9sJEpEyPe_T5yYOid4nbda4NK2LTd6uNZYtZ5IkMQOsCUQJuCaMpwtiJs0JOyPE_LV3U2rhZ0HYRGQ/s640/Screenshot_1.jpg" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Ограничение не стоит - трафик не считаем.</td></tr>
</tbody></table>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEggdLlphUqlBNtcxrRU6RmJ0DyTLJwqMRXR-1YN2FYQMpujJsW_7tfxnSt-FjTjhOApXk3_9XJxznw93V45QooaGRqHPGqNi4eKQJ2crW3OygBjpAHwa4XBOA_YlpSgS8CM5yRTkaf05s4/s1600/Screenshot_2.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="188" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEggdLlphUqlBNtcxrRU6RmJ0DyTLJwqMRXR-1YN2FYQMpujJsW_7tfxnSt-FjTjhOApXk3_9XJxznw93V45QooaGRqHPGqNi4eKQJ2crW3OygBjpAHwa4XBOA_YlpSgS8CM5yRTkaf05s4/s640/Screenshot_2.jpg" width="640" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Ограничение стоит - идет подсчет трафика.</td></tr>
</tbody></table>
<br />
Поэтому, если вы используете Simple Queues как средство мониторинга - добавляйте ограничение. Естественно, оно может быть максимальное и по факту ничего не ограничивать.</div>
23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com3tag:blogger.com,1999:blog-55041839040172164.post-89299095628538708642016-10-09T18:49:00.001+03:002016-10-10T08:30:25.809+03:00Добавляем IP в статический лист через правила в Firewall.<div dir="ltr" style="text-align: left;" trbidi="on">
Возьмем классическое правило добавления IP в address-list в Firewall Mikrotik:<br />
<div>
<blockquote class="tr_bq">
/ip firewall filter<br />
add action=add-dst-to-address-list address-list=1 address-list-timeout=0s chain=forward</blockquote>
</div>
<div>
Обратимся к <a href="http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter" rel="nofollow" target="_blank">Wiki</a>:</div>
<blockquote>
<span style="color: #38761d;"><b>address-list-timeout (time; Default: 00:00:00)</b></span> - указываем временной интервал, на который мы добавляем IP в адрес-лист. Значение 00:00:00 оставит адрес в списке навсегда.</blockquote>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEismRCCz2OwdojeH2X5dzi78GrLOViYiEllKN2Y0mxu3LuP5AF7d-3Oz2G53xp5Wx8O7Px57QM1BHit96uHyD3HBSkAQCSFTJomrkhXyEZ2-m7IOozy_cVhp4yvTFrdke1HiD8kN6EjS78/s1600/Screenshot_2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEismRCCz2OwdojeH2X5dzi78GrLOViYiEllKN2Y0mxu3LuP5AF7d-3Oz2G53xp5Wx8O7Px57QM1BHit96uHyD3HBSkAQCSFTJomrkhXyEZ2-m7IOozy_cVhp4yvTFrdke1HiD8kN6EjS78/s1600/Screenshot_2.jpg" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
Но если взглянуть на скриншот, можно увидеть, несмотря на интервал 00:00:00, правила создаются динамические. А это значит, что после перезагрузки эти листы удалятся. Очень странное поведение RouterOS, но имеем то, что имеем!<br />
Иногда нам нужно правилом забанить вредоносные IP. Например те, которые подключаются с WAN-интерфейса, и мы определяем их подключения - как небезопасные. При-чем хочется забанить их навсегда - но получается только до перезагрузки. Для этого нам нужно преобразовать динамические записи - в статические. В этом случае можно использовать скрипт. Скрипт, преобразовывающий динамические записи в адрес-листе в статические я <a href="http://mikrotik-ukraine.blogspot.com/2016/08/blog-post.html" target="_blank">описывал ранее</a>, сейчас я приведу его другую вариацию:<br />
<blockquote class="tr_bq">
:foreach i in=[/ip firewall address-list find list=1] do={<br />
:local ipaddress [/ip firewall address-list get $i address]<br />
:local dynamic [/ip firewall address-list get $i dynamic]<br />
if ($dynamic = true) do={<br />
/ip firewall address-list remove $i<br />
/ip firewall address-list add list=12 address=$ipaddress<br />
}<br />
}</blockquote>
Где "1" - имя динамического адрес-листа, а "12" - имя преобразованного статического. Скрипт можно кинуть в планировщик на выполнение раз в минуту. Таким образом ни один IP не пропадает после перезагрузки. Теперь можно создавать правило для дропа статического адрес-листа.<br />
<br />
<br />
<div style="text-align: right;">
<span style="font-size: x-small;">Темы на офф. форуме, где это обсуждалась:</span><br />
<a href="http://forum.mikrotik.com/viewtopic.php?t=11695" rel="nofollow" style="font-size: small;" target="_blank"><span style="font-size: x-small;">http://forum.mikrotik.com/viewtopic.php?t=11695</span></a><br />
<a href="http://forum.mikrotik.com/viewtopic.php?t=110551" rel="nofollow" style="font-size: small;" target="_blank"><span style="font-size: x-small;">http://forum.mikrotik.com/viewtopic.php?t=110551</span></a><br />
<a href="http://forum.mikrotik.com/viewtopic.php?t=86790" rel="nofollow" style="font-size: small;" target="_blank"><span style="font-size: x-small;">http://forum.mikrotik.com/viewtopic.php?t=86790</span></a></div>
<span style="font-size: x-small;">
</span></div>
23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com3tag:blogger.com,1999:blog-55041839040172164.post-48294119642733139952016-10-08T17:39:00.001+03:002016-10-10T15:22:59.397+03:00Loop Protect - защищаем Mikrotik от петель на порту.<div dir="ltr" style="text-align: left;" trbidi="on">
Начиная с версии RouterOS 6.37.1 ввели в интерфейс WinBox настройку Loop Protect защиты:<br>
<blockquote class="tr_bq">
<i>*) winbox - added loop-protect settings;</i></blockquote>
Loop-защита позволяет предотвращать Layer2 петли на интерфейсе путем отправки пакетов в интерфейс и мониторинга пакетов, которые попадают на этот интерфейс. Если все что Mikrotik отправляет в интерфейс возвращается назад - мы считаем, что на интерфейсе петля. Фактически мы проверяем MAC-источника пакетов с MAC-получателя пакетов, если совпадение найдено - порт отключается. В логах пишется сообщение. Такая защита может быть использована на bridged-интерфейсах и ethernet-интерфейсах. Функция доступна из меню:<br>
<blockquote class="tr_bq">
/interface ethernet<br>
/interface vlan<br>
/interface eoip<br>
/interface eoipv6</blockquote>
<div>
Меню имеет такой вид:<br>
<br>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjY3EAvVeAmpPQKqWPms2YNyQwb9V7r9aW465efRILX4hcI4Dh1TvRpVXYOXqwAprNjXUfrSpwaKKVixd8U2mdcNe_LLBJTCilH2B_b_rExHSOK7y7rSkP_nL9hUqibm6lTrFq9X8GpQVM/s1600/Screenshot_1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjY3EAvVeAmpPQKqWPms2YNyQwb9V7r9aW465efRILX4hcI4Dh1TvRpVXYOXqwAprNjXUfrSpwaKKVixd8U2mdcNe_LLBJTCilH2B_b_rExHSOK7y7rSkP_nL9hUqibm6lTrFq9X8GpQVM/s1600/Screenshot_1.jpg"></a></div>
<span style="color: #38761d;"><b></b></span><br>
</div></div><a href="https://mikrotik-ukraine.blogspot.com/2016/10/loop-protect-mikrotik.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com3tag:blogger.com,1999:blog-55041839040172164.post-53478669652690498572016-10-05T08:08:00.000+03:002017-02-04T22:13:03.025+02:00Защищаем сервер FTP за Mikrotik анализируя пакеты опцией "content".<div dir="ltr" style="text-align: left;" trbidi="on">
Недавно в статье "<a href="http://mikrotik-ukraine.blogspot.com/2016/08/wan-mikrotik.html" target="_blank">Защита WAN-интерфейса в Mikrotik</a>" я рассказывал как защитить наше устройство и минимизировать атаки из-вне. Но почти во всех конфигурациях мы используем пробросы портов для предоставления сервисов нашим клиентам или для личного пользования. Пробросив порт, защиту мы возлагаем на наш внутренний сервис. Но Mikrotik довольно универсально устройство, которое позволяем защитить даже наши внутренние сервисы, к которым мы можем подключиться из-вне. В текущей статье, на примере FTP-сервера, я покажу вариант такой реализации.<br>
Имеем FTP-сервер <a href="http://www.serv-u.com/" rel="nofollow" target="_blank">Serv-U File Server</a>, на который проброшен порт 21 с WAN-интерфейсов (их 2) Mikrotik. Сразу скажу, я никогда не использую дефолтный порт, так как это небезопасно, но для примера подойдет.<br>
Правило проброса порта:<br>
<blockquote class="tr_bq">
/ip firewall nat<br>
add action=dst-nat chain=dstnat comment=ftp dst-address-list=wan dst-port=21 protocol=tcp to-addresses=10.2.0.7</blockquote>
Где "wan" - адрес лист наших wan-интерфейсов (их два, с обоих сервер доступен), 10.2.0.7 - адрес нашего ftp-сервера.<br>
После этого мы попробуем защитить ftp от перебора паролей. Для этого воспользуемся опцией "content" в правилах /ip firewall. Эта опция позволяет проанализировать пакеты которые входят\проходят\выходят из маршрутизатора и найти текстовые соответствия в этих пакетах - если соответствие найдено - выполняется определенное действие.<br>
<br>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2naUvg0uDKl0M3c7qrXA0PPFTcH2DGcBv9IWzz0deXPqo1zkAiydT-3GLpR8f8dh12pDNcXbEmICGrhTrkmP-YGSSpBq_ei1Ybn9vMcbJK7EkD5oYEtfnz3OVISsOPblr1voJ0aa6OXk/s1600/Screenshot_3.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2naUvg0uDKl0M3c7qrXA0PPFTcH2DGcBv9IWzz0deXPqo1zkAiydT-3GLpR8f8dh12pDNcXbEmICGrhTrkmP-YGSSpBq_ei1Ybn9vMcbJK7EkD5oYEtfnz3OVISsOPblr1voJ0aa6OXk/s1600/Screenshot_3.jpg"></a></div>
<br>
</div><a href="https://mikrotik-ukraine.blogspot.com/2016/10/ftp-mikrotik-content.html#more">Дальше »</a>23qhttp://www.blogger.com/profile/17890955856644873647noreply@blogger.com4