Mikrotik, DHCP Classless Route. DHCP Classless Route, зачем он нужен? У нас в компании для VPN используется решение на tincd. Из-за того, что на Mikrotik я не нашёл простого способа запустить tinc, было решено запускать VPN на отдельном сервере и использовать его как шлюз. Первая попытка — прописать маршрут на маршрутизаторе. По пингам было видно, что маршрутизатор присылает сообщение о редиректе, при этом наблюдались сетевые лаги. В качестве эксперимента решил попробовать на своём рабочем месте прописать маршрут руками. Процесс гугления привёл меня на страницу документации Mikrotika.
Опция 121 Опция 121, как и все остальные DHCP опции, описана в rfc3442. Code Len Destination 1 Router 1 +-----+---+----+-----+----+----+----+----+----+ | 121 | n | d1 |… | dN | r1 | r2 | r3 | r4 | +-----+---+----+-----+----+----+----+----+----+Destination 2 Router 2 +----+-----+----+----+----+----+----+ | d1 |… | dN | r1 | r2 | r3 | r4 | +----+-----+----+----+----+----+----+ Пример 1. через консоль Пример 2. Пример 3. Давайте вспомним. Rule to drop Bad Signal Strength in Mikrotik Access List. Mikrotik. Блокировка соц.сетей и других интернет страниц для определенных IP в локальной сети по средствам RouterOS / Песочница.
31 июля 2013 в 10:50 Работаю системным администратором в небольшой организации и недавно столкнулся с задачей: заблокировать доступ к соц.сети только определенному кругу лиц. Введение: архитектура сети крайне банальна — локальная сеть из 35 компьютеров, роутер PC на базе RouterOS v5 и внешняя выделенка. Компы на DHCP-сервере Mikrotik'a c статической привязкой к MAC. Перерыв кучку страниц в интернете попадал на разные реализации, но проблема была в блокировке для всей сети, а не конкретных клиентов. /ip proxy set port=8080 enabled=yes (Рис. 1) Далее входим в Access (выделено желтым на рис.1) и вводим адреса узлов, которые необходимо заблокировать, как это показано на рис.2 /ip proxy access add dst-host=*vk.com* action=deny (Рис. 2) Итак, имеем включенный proxy c правилом блокировки определенного узла. /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080 (Рис. 3) (Рис. 4) (Рис. 5) (Рис. 6) (Рис. 7) /ip firewall address-list add list=Block_List address=192.168.1.15.
PCC. From MikroTik Wiki Applies to RouterOS: v3, v4 Introduction PCC matcher will allow you to divide traffic into equal streams with ability to keep packets with specific set of options in one particular stream (you can specify this set of options from src-address, src-port, dst-address, dst-port) Theory PCC takes selected fields from IP header, and with the help of a hashing algorithm converts selected fields into 32-bit value.
This value then is divided by a specified Denominator and the remainder then is compared to a specified Remainder, if equal then packet will be captured. Per-connection-classifier= PerConnectionClassifier ::= [!] Example This configuration will divide all connections into 3 groups based on source address and port Notes PCC is available in RouterOS since v3.24. Previous configurations: Note: PCC setups is not designed to work if RP Filter is enabled Application Example - Load Balancing Consider the following network layout: Quick Start for Impatient Explanation IP Addresses. Узнать логин-пароль установленные на PPPoE в роутере. 15 ноября 2012 в 16:03 Что делать если необходимо узнать логин-пароль установленные на PPPoE в роутере?
Вопрос был задан в habrahabr.ru/qa/28217/ и я из природной любознательности решил поэкспериментировать. Предположим что доступа к админке у нас нет. Модель роутера не так важна (в моём случае для тестов был взят D-Link DIR-300) Решение под катом Я решил данную задачу с помощью прекрасного роутера Mikrotik RB951-2n (хотя можно сделать на любом роутере этой фирмы).
Подключаемся к консоли и выполняем команду — interface pppoe-server server add authentication=pap disabled=no interface=ether5 service-name=service1 Данная команда включает PPPoE сервер на пятом порту роутера. Далее делаем расширенный вывод лога по PPPoE system logging add topics=pppoe Теперь соединяем патчкордом WAN порт роутера с которого нужно вытащить пароль и пятый порт микротика и заходим в лог. PS: После всего не забываем убрать логирование и PPPoE сервер Только зарегистрированные пользователи могут оставлять комментарии. РЕШЕНО: Mikrotik RB-750 L2TP. Здравствуйте, столкнулся с проблемой в работе l2tp линка на mikrotik rb-750. Перестали работать некоторые web ресурсы, некоторые частично подгружаются, но части контента. При этом пинги, трассировка и телнет на 80 порт проходят на ура, имена резолвятся...
Дано: 1. Провайдер Beeline (l2tp коннект) 2. Железки: D-Link DIR-100 и Mikrotik RB-750 Изначально стоял dir-100 и все прекрасно работало. Во первых долго курил, почему железка от прова получает адрес из "серой" /22 сети, но не получает дефолтный гейт (default gateway) и соответственно нет маршрута для 0.0.0.0/0. И вот тут-то и замечена тугая работа половины web контента (куда приходилось заходить).
Для начала деактивировал все правила в /ip firewal filter. Учитывая, что последовательная схема из dir-100 И mikrotik работала нормально, делаю вывод, что проблема именно в l2tp туннеле. Схемы подключения ДО и ПОСЛЕ во вложениях. ЗЫ: Схемы рисовал здесь. Beeline L2TP на Mikrotik RB750 « blog a-zazell. Став счастливым пользователем Интернетов от Beeline, столкнулся с проблемой в настройке Mikrotik RB750 (он же на Миксе). Симптомы можно почитать на Наге. Итак по настройке … Схема представлена на рисунке [admin@rb750.sis] > ip dhcp-client export /ip dhcp-client add comment=«default configuration» default-route-distance=10 disabled=no interface=ether1-gateway Важный момент здесь в параметре default-route-distance=10, он задает метрику дефолта от DHCP сервера больше, чем будет для дефолта, полученного от VPN сервера.
Смотрим, что получили: [admin@rb750.sis] > ip dhcp-client print detail Flags: X — disabled, I — invalid 0 ;;; default configuration interface=ether1-gateway default-route-distance=10 status=bound address=10.42.91.143/22 dhcp-server=77.106.201.222 primary-dns=77.106.201.222 secondary-dns=77.106.201.221 expires-after=1w14h45m27s DNS сервера прописываем те, что получили по DHCP. 3.1 Ищем дефолтный гейт от Beeline 3.2 Маршрут для DNS серверов Добавляем соответствующий маршрут: ГОТОВО! MikroTik — 6in4 или IPv6 без поддержки провайдера. Захотелось мне воспользоваться технологией IPv6 по некоторым причинам , но мой провайдер не предоставляет данную услугу. Гугл подсказал о 6in4 механизме, позволяющему передавать IPv6 пакеты через IPv4 сеть моего провайдера, который поддерживается моим роутером MikroTik RouterBoard 951g-2hnd .
Начало Для начала нам необходимо: «белый» постоянный IPv4 адрес от провайдера (так называемый выделенный IP адрес) — если у Вас «белый», но динамический адрес, то стоит почитать вот это: Hurricane Electric IPv6 Tunnel — IPv4 Endpoint updater не заблокированы входящие пакеты ICMP (т.е. Ваш выделенный IP адрес можно пингонуть из интернета. Туннельный брокер Зарегистрироваться у туннельного брокера.
Переходим по этому адресу и регистрируемся. В результате получаем: Тут указанны адреса сервера IPv4 и IPv6, а также Ваши — клиента. Во вкладке «Example Configurations» выбираем настройки для MikroTik: Настройка Mikrotik На компьютере включаем поддержку IPv6 если она у Вас отключена. Сведения интерфейса. Asterisk на Mikrotik. Задался идеей поднять voip на mikrotik. Кто помнит, в старых версиях routeros был модуль для voip, потом его выпилили, а жаль.
Нативно поднять астериск на routeros не выйдет, однако есть возможность поднять виртуальный роутер с openwrt в режиме metarouter, вот отсюда и будем исходить. Долгие поиски привели меня на сайт openwrt.wk.cz (доступен только по ipv6), откуда и был скачан образ openwrt для mt-mips. Все эксперименты проводил на 2011UAS-2HnD. Итак, качаем образ для mips ( openwrt-mr-mips-rootfs.tar.gz ) или для ppc ( openwrt-mr-ppc-rootfs.tar.gz ). Добавляем интерфейс в виртуальный рутер, проще всего создать динамический и добавить в свой локальный бридж. В предустановленном образе, сетевой интерфейс настроен на получения параметров сети по dhcp, и если у Вас в локалке с этим все в порядке, то виртуальный рутер получит сетевой адрес, если нет, подредактируйте файл /etc/config/network и рестартаните сеть. Меняем пароль на root-а, и смотрим какой адрес получен. Далее: Проброс портов в Микротике — ликбез для начинающих.
Находя в сети различные инструкции по работе с Mikrotik RouterOS, я обратил внимание, что большинство из них малоинформативны — в лучшем случае они представлены в виде скриншотов Winbox со скудными комментариями, в худшем — просто груда строк для командной строки, из которых что-либо понять вообще нет никакой возможности. Поэтому я решил написать небольшой набор инструкций, в которых буду объяснять, не только ЧТО нужно выполнить, но и ЗАЧЕМ и ПОЧЕМУ.
Итак, начнём с самого простого и, в тоже время, нужного — проброс порта из внутренней сети «наружу». Любую сеть можно схематично представить вот в таком виде: Посмотрим немного подробнее, на примере роутера Mikrotik RB951-2n. У него 5 портов, плюс модуль WiFi. Подключаемся через web-интерфейс или Winbox'ом к роутеру(по умолчанию логин admin, без пароля), заходим в список интерфейсов, это второй пункт в меню, Interfaces. Первым идёт bridge-local — «локальный мост». Тут мы видим, что одно правило уже есть. Первое — это Chain (Цепочка). Проброс железки. MikroTik + port knocking over ICMP. Совсем маленький пост рассказывающий, как отловить ICMP пакеты и отфильтровать их с логикой. Реализуем технология port knocking на RouterOS через протокол icmp. Прошу под кат. Наверное нету смысла рассказывать, что такое port knoking, так как в интернете довольно-таки много описаний про него.
Если совсем кратко то технология позволяет при определённом порядке перебора портов, при условии что перебор выполнен верно, выполнять различные действия. Я же вам покажу как можно реализовать данную технологию через протокол ICMP которые не поддерживает порты. И мы будем апеллировать размером ICMP пакета. Добавляем себя в white_list У нас есть правило в фильтре [admin@kirilka] /ip firewall filter> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=accept protocol=tcp src-address-list=white_list_ssh in-interface=ether1 dst-port=22 Которое говорит, что разрешать входящие соединение по 22 порту (ssh), со всех адресов которые содержаться в white_list. Полностью таблица фильтров. WareHouse wireless network based on Mikrotik Mesh. Mikrotik Router OS, Ищем свой сервер в чужой сети. Или как не платить большие деньги.
Mikrotik Router OS, Ищем свой сервер в чужой сети. Или как не платить большие деньги Все мы не раз слышали о грандиозной поддержке малого бизнеса и частного предпринимательства в нашей стране. Пока ты физическое лицо, у тебя нет никаких проблем. Но как только ты собрался с мыслями и решил открыть свое дело, ты моментально попадаешь на деньги (конские проценты в банках, налоги, отчисления в ПФР, поборы, штрафы, инфляция, и прочая вата). Особенно отличились в этом плане провайдеры, если к простому домашнему пользователю требования минимальны, то к частным предпринимателям и организациям подход особенный.
Идея заключается в том, что в наше время не сложно найти провайдера с внутренней локальной сетью 10.0.0.0/255.0.0.0 или 192.168.0.0/255.255.0.0 и в ней организовать две точки (Физическое лицо с дешевым, безлимитным интернетом будет Сервером) (Организация с дорогим помегабайтным интернетом будет Клиентом) между ними поднимаем VPN. Полноразмерная пикча Серверная часть, параметры: Описание: Балансировка трафика в Mikrotik между двумя WAN-интерфейсами с учетом входящего трафика. Недавно решил попробовать реализовать простую балансировку трафика между несколькими WAN. Почему именно простую? Я слишком тяжело разбираюсь в больших массивах информации, и подозреваю не один я.
Поэтому решил попробовать разработать схему в которой разберется даже новичок, так как мало использовать чужие наработки, нужно знать что и для чего ты делаешь. Сразу предупреждаю – система имеет много недостатков, например возможны обращения к одному и тому же ресурсу с разных IP, что чревато слетом авторизации. Так что использовать ее лучше всего для подключений которые не чувствительны к source address, тем же торентам например. И еще, я не буду описывать настройку Микротика с нуля, предполагается что у вас уже есть роутер с двумя ВАНами, на котором заведены уже IP-адреса, локальные порты так же настроенные.
И что пользователь боле-менее ориентируется в микротике, хотя бы на уровне того что знает где-какой пункт меню находится. Итак приступим. Первым делом создадим новые маршруты: Линк точка-многоточка-точка на MikroTik. Детальная настройка. :: Mikrotik :: Практика | Блог ASP 24. Рейтинг Оценка: 5Голосов: 4Комментарии: 24 Линк точка-многоточка-точка на MikroTik. Детальная настройка. Задача: построить сеть с топологией точка-точка. Расстояния 21 км, но прямой видимости нету, потому было решено делать ретранслятор с точки, где визуально просматривались два нужных нам объекта. Так как статья писалась не для максимальных показателей скоростей , а для примера построения и вся аппаратура была не специально отобрана, а выбрана из того что доступно и было под руками (так как это обычно и бывает) – посему не максимальные результаты на что способны MikroTik’и (дальше просто МТ). 2) создать прозрачный мост между вашей беспроводной карточкой (дальше просто карточкой) и Ethernet портом. 3) потом, после того как Вы создали бридж , нужно в этот бридж указать интерфейсы, которые будут бриджеваться. 4) после этого для того чтобы мы уже работали с МТ по ip адресу, а не по маку, нужно собственно этот ір адрес прописать.
Следующая вкладка, это вкладка Data Rates. Mikrotik OS и автоматическое переключение на резервный канал. В недавнем прошлом в связи с переходом с ADSL на Ethernet представилась отличная возможность попробовать оборудование от Mikrotik. В связи с чем был куплен роутер RB750GL. Железка оказалась превосходной как внешне, так и с точки зрения функционала и надёжности. В итоге у меня осталось оба канала и было решено настроить резервирование с автоматическим переключением. Стандартные средства переключения шлюзов не покрывают всё многообразие сбоев, поэтому нужно писать свои скрипты. 1. Канал Ehernet от NLink втыкается в первый порт роутера, получает IP по DHCP и поднимает pptp соединение, названное nlink. Это будет основное соединение. 2. Установка глобальных параметров при запуске роутера Скрипт называется set_global_parameters#Main interface name :global MainIf nlink #Reserve interface name :global RsrvIf domolink #Main interface ip address :global MainIfAddress "" #Reserve interface ip address :global RsrvIfAddress "" Определение IP-адресов интерфейсов Переключение каналов :local PingCount 3.