Найдено 77 результатов

Sweik
21 май 2020, 11:13
Форум: Общие вопросы
Тема: Мониторинг IPSec-ов Zabbix-ом
Ответы: 0
Просмотры: 8886

Мониторинг IPSec-ов Zabbix-ом

Добрый день. Тема, не совсем, чтобы про Микротик, но рядом. Может, кто-то и сталкивался. Стоит задача мониторить VPN-каналы (IPSec VPN) постредством Zabbix-a. Сам Zabbix пока воспринимается на уровне blackbox :) Стандартные шаблоны, скачанные с оф.сайта прекрасно показывают загрузку интерфейсов, апт...
Sweik
24 май 2019, 12:46
Форум: Общие вопросы
Тема: Проблемы с IPSec после отключения электричества
Ответы: 2
Просмотры: 1122

Re: Проблемы с IPSec после отключения электричества

Спасибо большое.
Железяка валится и при попытке собрать логи, но это уже проблемы шерифа :D
Sweik
23 май 2019, 20:31
Форум: Общие вопросы
Тема: Проблемы с IPSec после отключения электричества
Ответы: 2
Просмотры: 1122

Проблемы с IPSec после отключения электричества

Добрый день. Ситуация уже возникла дважды, что сильно меня напрягает. Итак, на филиале был установлен Mikrotik RB750 v.6.3x(не помню). В один [не]приятный момент пропадает электричество. Насовсем (про UPS сейчас не говорим). После возобновления подачи электричества устройство оживает, но у него обну...
Sweik
12 апр 2019, 10:34
Форум: Маршрутизация, коммутация
Тема: Правила FW для обработки трафика. Сухая скучная теория
Ответы: 9
Просмотры: 2991

Re: Правила FW для обработки трафика. Сухая скучная теория

Да он как-то глупо выглядел и мог запутать :) Я не со зла, честное слово. Если кратко, то выводы следующие: - сетевой экран Mikrotik-a работает по принципу "нормально-открытого". Т.е., если нет правил, запрещающих определенные соеднинения, то эти соединения разрешены. Проверял на "нас...
Sweik
11 апр 2019, 17:18
Форум: Маршрутизация, коммутация
Тема: Правила FW для обработки трафика. Сухая скучная теория
Ответы: 9
Просмотры: 2991

Re: Правила FW для обработки трафика. Сухая скучная теория

Добрался до внятных рабочих условий, сделал лабораторный стенд.
Вы праы, спасибо
Sweik
11 апр 2019, 11:04
Форум: Маршрутизация, коммутация
Тема: Правила FW для обработки трафика. Сухая скучная теория
Ответы: 9
Просмотры: 2991

Re: Правила FW для обработки трафика. Сухая скучная теория

Правильно ли я понимаю (в официальной доке не нашел подтверждения), что output-трафик (исходящий в любую сторону) считается доверительным и для него никаких правил настраивать не надо?

Работаем только по цепочкам input и forward?

С уважением
Sweik
10 апр 2019, 19:13
Форум: Маршрутизация, коммутация
Тема: Правила FW для обработки трафика. Сухая скучная теория
Ответы: 9
Просмотры: 2991

Re: Правила FW для обработки UDP-трафика

Блин. То ли весеннее обострение, то ли просто усталость :( Продложаем теоретизировать. Имеем соединение из локальной (Trusted) сети к рутеру. По протоколу TCP (так интереснее) Исходные данные: - обрабатываем новые соединение - пропускаем established и related Тогда правила будут такие /ip firewall f...
Sweik
10 апр 2019, 13:17
Форум: Маршрутизация, коммутация
Тема: Правила FW для обработки трафика. Сухая скучная теория
Ответы: 9
Просмотры: 2991

Re: Правила FW для обработки UDP-трафика

Понял, спасибо. Отдельное спасибо за пример с DNS-запросами. Действительно, если бы DNS-ответ от публичных DNS шел к рутеру, как новое соединение, то соединение бы блокировалось. Значит, для TCP и UDP connection state-ы вопринимаются [почти] одинаково. С уважением P.S. Вроде, отладишь политику прави...
Sweik
10 апр 2019, 11:41
Форум: Маршрутизация, коммутация
Тема: Правила FW для обработки трафика. Сухая скучная теория
Ответы: 9
Просмотры: 2991

Правила FW для обработки трафика. Сухая скучная теория

Добрый день. Прошу не отсылать на RFC-768 :) Вопрос по обработке UPD-трафика (DNS-запросы / ответы, NTP, DHCP и прочее). Правильно ли я понимаю, что для Mikrotika каждое UDP-соединение вопринимается, как новое (т.е. нет related, established, invalid) и поэтому в правилах FW надо либо: - всегда указы...
Sweik
18 мар 2019, 11:32
Форум: Беспроводная связь
Тема: HAP-AP^2 + проблемы с 5 ГГц
Ответы: 3
Просмотры: 2834

Re: HAP-AP^2 + проблемы с 5 ГГц

Добрый день.
Все оказалось довольно просто - интерфейс 5ГГц был включен в мост, но в мосту был задисейблен (пальцы сломаешь, пока напишешь :) ).

Проблема решена.

Спасибо большое
Sweik
11 мар 2019, 17:59
Форум: Беспроводная связь
Тема: HAP-AP^2 + проблемы с 5 ГГц
Ответы: 3
Просмотры: 2834

Re: HAP-AP^2 + проблемы с 5 ГГц

Прошу поставить вопрос на паузу - устройство немного географически отдалилось от меня :)
Буду в тех краях - засеку время и скопирую логи.

С уважением
Sweik
11 мар 2019, 14:37
Форум: Беспроводная связь
Тема: HAP-AP^2 + проблемы с 5 ГГц
Ответы: 3
Просмотры: 2834

HAP-AP^2 + проблемы с 5 ГГц

Добрый день, уважаемое сообщество. Имеется Mikrotik RBD52G-5HacD2HnD он же HAP-AP^2. Не могу настроить WiFi в 5 GHz. Облазил все форумы и Базу Знаний - не выходит каменный цветок. При любых изменениях устройства краковременно подключаются, потом происходит отключение и при последующем подключении ус...
Sweik
05 мар 2019, 15:48
Форум: Маршрутизация, коммутация
Тема: Удаленный доступ к администрированию.
Ответы: 2
Просмотры: 1299

Re: Удаленный доступ к администрированию.

ОК, спасибо.

Вопрос исчерпан, пошел крутить.

С уважением
Sweik
05 мар 2019, 15:44
Форум: Маршрутизация, коммутация
Тема: Запрет на скачивание файлов определенного формата + белый список
Ответы: 12
Просмотры: 4640

Re: Запрет на скачивание файлов определенного формата + белый список

Почему не понимаю? Понимаю. Для этого нужно дешифровать трафик, но это уже задача прокси-сервера. Речь о другом - в организациях малого-среднего уровня (а Микротик на них ориентирован идеально) обычно не очень хорошо с IT-инфрастуктурой. И если бы Микротик, помимо своих основных функций, мог бы еще ...
Sweik
05 мар 2019, 13:26
Форум: Маршрутизация, коммутация
Тема: Удаленный доступ к администрированию.
Ответы: 2
Просмотры: 1299

Удаленный доступ к администрированию.

Получилось так, что на нескольких объектах установлены разчиные устройства от Mikrotik. Устройства (и объекты) никак между собой не связаны. Стоит задача получить доступ удаленному администрированию. Разумеется, открывать в Интернет Winbox я не планировал. Разрешать полключения к администрированию и...
Sweik
05 мар 2019, 13:03
Форум: Маршрутизация, коммутация
Тема: Запрет на скачивание файлов определенного формата + белый список
Ответы: 12
Просмотры: 4640

Re: Запрет на скачивание файлов определенного формата + белый список

Да, про "список" я уже понял. Но это не страшно, т.к. в моем случае надо блокировать потенциально-опасные форматы файлов, а их не так и много. Музыку и прочее резать нет необходимости.
L7 меня тоже удивил, но что делать.
Надеюсь, что в следующих сборках Miktorik подружится с HTTPS
Sweik
04 мар 2019, 19:17
Форум: Маршрутизация, коммутация
Тема: Запрет на скачивание файлов определенного формата + белый список
Ответы: 12
Просмотры: 4640

Re: Запрет на скачивание файлов определенного формата + белый список

Пока получилось таким образом: /ip firewall filter add action=add-dst-to-address-list address-list=limit-extension \ address-list-timeout=1h chain=forward content=.mp3 log=yes protocol=tcp add action=reject chain=forward connection-state=established,related \ dst-address-list=limit-extension log=yes...
Sweik
04 мар 2019, 16:43
Форум: Маршрутизация, коммутация
Тема: Запрет на скачивание файлов определенного формата + белый список
Ответы: 12
Просмотры: 4640

Re: Запрет на скачивание файлов определенного формата + белый список

Зайцы сгенерировали вот такой линк на скачку: http://cdndl.zaycev.net/871892/6488979/malbek_-_gipnozy_feat._syuzanna_%28zaycev.net%29.mp3?ext.page=default (на всякий случай отмечу, что к моим музыкальным пристрастиям ЭТО не относится - просто ткнул мышкой в первый линк) В логах срабатывания есть zey...
Sweik
04 мар 2019, 16:00
Форум: Маршрутизация, коммутация
Тема: Запрет на скачивание файлов определенного формата + белый список
Ответы: 12
Просмотры: 4640

Re: Запрет на скачивание файлов определенного формата + белый список

Прошу прощения - не ту ссылку указал. Копировал настройки отсюда: https://habr.com/ru/post/321408/ Сам имею следующее: /ip firewall layer7-protocol add name="Unwanted Content" regexp="GET .*(\\.mp3|\\.exe|\\.bat|\\.reg|\\.cmd|\ \\.scr|\\.vbs|\\.vbs|\\.ws|\\.wsf|\\.wsc|\\.apk\\.dll|)[^...
Sweik
04 мар 2019, 14:33
Форум: Маршрутизация, коммутация
Тема: Запрет на скачивание файлов определенного формата + белый список
Ответы: 12
Просмотры: 4640

Запрет на скачивание файлов определенного формата + белый список

Добрый день. Стоит задача заблокировать скачивание определенных файлов (*.exe и подобное) с использованием некого белого листа. Простыми словами - рнужно настроить такую конфигурацию: - запретить пользователям скачивать исполняемые файлы, но при этом - разрешить доступ к веб-ресурсам из белого списк...
Sweik
28 фев 2019, 19:43
Форум: Маршрутизация, коммутация
Тема: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей
Ответы: 11
Просмотры: 6112

Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей

Получилось настроить :) Прошивка 6.44. радикально отличается от предыдущих. В ней даже подкрутили split-include. Сейчас два различных пользователя с двумя различными сертификатами успешно подключаются. Вопрос следующий - для чего в примере указан вот этот Identity? Identity configuration Identity me...
Sweik
28 фев 2019, 14:40
Форум: Маршрутизация, коммутация
Тема: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей
Ответы: 11
Просмотры: 6112

Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей

Как минимум, меню IPSec в 6.44. соответсвует документации:
https://wiki.mikrotik.com/wiki/Manual:I ... entication

вопрос ставлю на паузу, вечером обнлвлюсь и попробую еще раз
Sweik
28 фев 2019, 14:34
Форум: Маршрутизация, коммутация
Тема: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей
Ответы: 11
Просмотры: 6112

Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей

Работаю с 6.43.12.

Спасибо за "наводку", пошел читать release notes

P.S. "Обожаю" их английский :)
Sweik
27 фев 2019, 17:16
Форум: Маршрутизация, коммутация
Тема: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей
Ответы: 11
Просмотры: 6112

Re: Создание Remote Acces - IPSce VPN with IKEv2 / RSA Signature для нескольких пользователей

Добрый день. Подниму тему, ибо сам не могу решить проблему :oops: свежу ситуацию: настраиваю удаленный доступ из-вне к ресурсам локальной сети. Использую IKEv2 IPSec VPN с аутентифкацией по сертификатам. Настроил для себя любимого, все работает великолепно. Стал настраивать бизнесу и .... :( Вопрос ...