?

Log in

No account? Create an account

Проверьте версию прошивки вашего Mikrotik, она должна быть не ниже 6.40.1, в противном случае обновитесь.


Загружаем сертификаты на Mikrotik и импортируем их:


/certificate import file-name=ca.crt
/certificate import file-name=zaborona-help.crt
/certificate import file-name=zaborona-help.key

Создаем интерфейс для клиента OpenVPN zaborona по настройками vpn.zaborona.help


/interface ovpn-client add name="zaborona" connect-to=vpn.zaborona.help port=1194 add-default-route=no disabled=no certificate=zaborona-help.crt_0 user="none" password="none" cipher=aes128

Проверяем интерфейс:


/interface ovpn-client monitor zaborona once

Результат должен быть похож на:


   status: connected
   uptime: 5m26s
 encoding: AES-128-CBC/SHA1
      mtu: 1500

Не забываем настроить NAT добавив правило "маскарадинга"


/ip firewall nat add chain=srcnat action=masquerade out-interface=zaborona

Если провайдер блокирует ответы сторонних DNS (такие как Google DNS или OpenDNS) на заблокированные сайты, то дополнительно следует прописать маршруты к DNS через VPN:


/ip route add dst-address=74.82.42.42/32 gateway=zaborona
/ip route add dst-address=77.88.8.8/32 gateway=zaborona

Следует заметить, если все запросы к DNS работают через VPN, до установления соединения ответов не будет!


Оригинал https://github.com/zhovner/zaborona_help/wiki/Mikrotik

Метки:

Скорость WiFi

Очень частой жалобой является плачь о малой скорости по WiFi. Пояснения разницы между теоретической скоростью, которую дебильные маркетологи заявляют, как реальную, рассказы про зависимость скорости от загруженности сети и количества клиентов в ней никак не вразумляют пользователей, которые с пеной у рта доказывают, что им надо 300 Мбит и их прежний DIR-300 им это позволял. Я больше не буду принимать участие в подобных темах, мне это вообще неинтересно. Сегодня попал в руки ноут, где требуется восстановить систему. Жалобы на крайне медленную работу. Сунулся, а размер рабочего стола 88,5 Гигабайта! Надо файлы перед восстановлением сохранить где-то. Решил пульнуть в расшару по сети. Вот скорость между ноутом Sony SVE14AA11v  через MikroTik-RBwAPG-5HacT2HnD и компом, подключенным по витой паре к MikroTik-RB960PGS.

Фаервол пустой, правил кроме фасттрака нет, всё происходит в одной локалке. Расстояние от ТД до ноута пара метров ( ну не пойду же я в другую комнату ради прикола, если всё здесь). Изображен момент передачи большого файла в пару гигов весом.


Загрузка CPU на ТД 15-25%, на маршрутизаторе 5-12%. Вот эти железки я могу рекомендовать для использования в домашних условиях основной массе любителей быстрого WiFi. Прошу заметить, что работа осуществлялась в сети с частотой 2,4 Ггц. На ноуте нет адаптера на 5 Ггц, поэтому в этом диапазоне скорость не проверял. Но телевизор (IPTV) на частоте 5Ггц работает без нареканий. Телефон Xiaomi Redmi Note 4 в диапазоне 2,4 Ггц даёт в среднем около 20 Мбит, в диапазоне 5 Ггц - 80 Мбит.

Давненько не писал ничего, видимо моя лень растет при моём же попустительстве. Сегодня упомяну достаточно распространенный вопрос от яблочников. Давать буду практически цитатами с форума, любопытствующие могут просмотреть всю ветку.

Lapjuk:
Здраствуйте. После того как шеф купил новый MacBook OS Sierra я столкнулся с тем что там вырезан протокол PPTP который использовался для подключения предидущего макбука из дому к сети предприятия. После чего настроил на роутере Mikrotik RB1200 l2tp сервер по инструкции http://bozza.ru/art-248.html. Проверил подключения с Windows 7, все подключается, все хорошо работает. Ок, далее настраиваю макбук по инструкции http://www.freeproxy.ru/ru/vpn/mac-os-x/l2tp.htm и подключения не происходит. Смотрю лог микротика



и понимаю что ничего не понимаю))) Думаю что микротик и макбук не могут очем то договорится. Пробовал также настроить подключение и с IPAD OS 10, таже история теже логи.
Подскажите что настроено не так или где копать.

.................................................
Читать дальше...Свернуть )
____________________________________________________________________________

Вот как бы и счастливое завершение моего маленького пересказа. Удачи вам в IT-битвах.
Итак, продолжаю потихоньку прикручивать к домашней сети различные плюшки, часто не очень нужные прямо сейчас, но могущие внезапно понадобится в будущем. Вот например ситуация, в которую я попал совсем недавно. Я достаточно далеко от дома и тут срочно нужно влезть на домашний роутер и запустить там скрипт. Ну я по привычке лезу через "белый" IP, который выдает мне один из провайдеров и ... фигушки. Нет доступа по данному адресу. И тут меня осеняет, что наступил следующий месяц, а я оплатить интернет не удосужился. И пров мне доступ закрыл до внесения оплаты. Мои домашние ничего не заметили, потому как второй провайдер проплачен на пару месяцев вперед и у них вся мировая паутина как была в доступе, так и осталась. А вот мне до роутера так просто не добраться, потому как на втором провайдере я "белый" IP не заказывал, сочтя это излишеством. А Cloud за NAT провайдера не работает у меня. Пришлось решать проблему окольными путями, что мне никоим образом не понравилось. Созрело решение исправить ситуацию, причем как можно радикальнее. И хотелось не нести лишних трат.
Вспоминаю, что имею в пользовании VDS-ку, что, собственно, обеспечивает практически всегда доступный мне "белый" IP. К которому можно подключиться даже из под NAT. Так как OpenVPN мною уже некоторое время на Микротиках использовался, я решил, что отказываться от удачного и достаточно безопасного решения не стоит. Но если до этого на моём Микротике работал OVPN-server, то теперь я решил поднять сервер на VDS, а роутер пусть подключается к нему с помощью клиента. Это позволит мне не зависеть от того, какой адрес в данную минуту имеет роутер. Неважно, через какого из провайдеров роутер в данную минуту соединяется в интернетом, соединение должно установится в любом случае.
Читать дальше...Свернуть )

Метки:

Пишу как бы по-горячему, потому как с моей памятью через пару недель вспоминаться будет более чем туго. На VDS-ке решил таки настроить бэкапирование хотя бы в начальном варианте, решил, что файла бэкапа с последними данными на самой VDS недостаточно и при случае надо бы иметь пути к отступлению. Так как я пользуюсь на данный момент услугами провайдера ihor.ru, то и все действия решил проводить вокруг него - проще и с доступом и с оплатой.
Читать дальше...Свернуть )

Метки:

У меня появилась нужда в бэкапировании целой сети Микротиков. из которых лишь один имел "белый" адрес. Зато вся эта куча устройств была между собой связана в единую сеть. Сначала я собирал бэкапы на одном устройстве. Но мне показалось это слишком расточительным расходом свободной памяти головной железки и я решил перенести хранилище на VDS, благо тот имеется и в полном моём распоряжении.
Итак начнем:
Читать дальше...Свернуть )

Метки:

На форуме всплыла тема с генерацией случайного числа или определением дня недели.. Покопался в сети и нашел несколько различных вариантов. Вариант получения пароля от сетевого сервиса. Очень привлекателен, потому как очень экономен в плане ресурсов. Но если куда-то вставлять в скрипт, надо прикручивать проверку доступа в интернет.

Читать дальше...Свернуть )
Ну и напоследок простейший скрипт генерации цифрового пароля. Единственный минус, должно уже пройти по интерфейсам некоторое количество трафика.
:local q [interface get [find name=ether1] rx-byte]; 
:local w [interface get [find name=bridge] rx-byte];
:put $q; :put $w; 
:local e [:len ($q - $w) ]; 
:put [:pick ($q - $w) ($e -6) $e];
Взбрыки моего провайдера и "стабильность" канала от него, а так же невероятная скорость (двое суток) устранения падения сподвигли меня обратиться к теме резервирования. На эту тему каждый из пользователей Микротика имеет своё мнение, кого-то устраивают простейшие решения, кто-то желает исключить любую, даже самую гипотетическую возможность отсутствия связи. Я уверен, что все варианты имеют право на жизнь и воплощение. Главное подобрать подходящий лично себе.
Читать дальше...Свернуть )
На форуме всплыл интересный вопрос, есть ли возможность назначить одному физическому интерфейсу несколько MAC-адресов. Начальное предложение - навесить на интерфейс несколько бриджей. Но ROS оказывается не позволяет назначать более одного бриджа одному порту. В принципе, логично. Я как-то теряюсь, как там бы всё маршрутизировалось при наличии нескольких бриджей. Даже представлять не хочу.
Предложение использовать VLAN тоже не прокатило. И тут пользователь guruks на официальном форуме нашел-таки интересный вариант. Протестировать не могу, вроде как не на чем такое завернуть, точнее не вижу задачи под такое у себя. Всем протестировавшим просьбы отписаться в тему.
Читать дальше...Свернуть )

Метки:

На форуме проскочил очень интересный вопросик, удивлен минимумом внимания к нему. Привожу весь диалог, он краток и освещает вопрос полностью.

po7eidon
Использую mikrotik 951G. В качестве DNS используется сервис SkyDNS. В сети все IP выдаются автоматически DHCP сервером mikrotik. Настроена привязка IP+MAC (чтобы нельзя было прописать свой IP) и редирект на 53 порт (чтобы нельзя было прописать свои DNS)
Как не ломая текущую конфигурацию выдать определенным компьютерам в сети, например DNS яндекса или гугла для обхода ограничений SkyDNS фильтрации?


gmx
Сделать на микротике редирект по 53 порту на IP адрес другого DNS сервера.
Что-вроде такого

add action=dst-nat chain=dstnat dst-port=53 protocol=udp \
src-address-list=Адрес_лист_нужных to-addresses=77.88.8.7 to-ports=53


И просто и решает все вопросы...

Метки: