Маршрутизатор Mikrotik RB915G-2HnD нужна помощь по настройке

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

53 порт закройте, тут на тему этого порта не один раз писали


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
djgroove
Сообщения: 0
Зарегистрирован: 15 май 2015, 14:40

Так будет правильно?

ip firewall filter add chain=input in-interface=ether1-gateway protocol=udp port=53 action=drop

ether1-gateway - интерфейс в Интернет!


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Код: Выделить всё

ip firewall filter add action=drop chain=input  dst-port=53 in-interface=ether1-gateway protocol=udp

Закройте так, а потом уже смотреть будете, что там и как.
Если провайдер будет иметь претензии и далее, пусть хоть логи покажет, подробнее пояснит, что там флудит от Вас. А то как-то голословно получается.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
djgroove
Сообщения: 0
Зарегистрирован: 15 май 2015, 14:40

провайдер на мою просьбу, написал вот что:

"Пропишите наши DNS сервера (212.7.9.34, 212.7.0.34) на своем сервере, и
интернет будет работать после убирания галочки "Allow Remote Requests" в
настройках DNS.

Отправляем часть отчета по Вашему запросу:"


 Логи
Example DNS responses from your resolver during this attack are given

below.

Date/timestamps (far left) are UTC.



2015-07-20 06:00:20.015642 IP (tos 0x28, ttl 47, id 28042, offset 0,

flags [+], proto UDP (17), length 1476) 84.52.26.246.53 >

66.150.214.x.40052: 41590| 22/0/0 cpsc.gov. RRSIG[|domain]

0x0000: 4528 05c4 6d8a 2000 2f11 704d 5434 1af6 E(..m.../.pMT4..

0x0010: 4296 d669 0035 9c74 1007 4213 a276 8380 B..i.5.t..B..v..

0x0020: 0001 0016 0000 0000 0463 7073 6303 676f .........cpsc.go

0x0030: 7600 00ff 0001 c00c 002e 0001 0000 1c82 v...............

0x0040: 011c 0033 0702 0000 5460 55b4 4e26 55ab ...3....T`U.N&U.

0x0050: 0596 ..

2015-07-20 06:00:20.018181 IP (tos 0x28, ttl 47, id 28043, offset 0,

flags [+], proto UDP (17), length 1476) 84.52.26.246.53 >

66.150.214.x.40052: 41590| 22/0/0 cpsc.gov. Type51, cpsc.gov.[|domain]

0x0000: 4528 05c4 6d8b 2000 2f11 704c 5434 1af6 E(..m.../.pLT4..

0x0010: 4296 d669 0035 9c74 1007 468a a276 8380 B..i.5.t..F..v..

0x0020: 0001 0016 0000 0000 0463 7073 6303 676f .........cpsc.go

0x0030: 7600 00ff 0001 c00c 0033 0001 0000 1c82 v........3......

0x0040: 0009 0100 000c 04aa bbcc ddc0 0c00 2e00 ................

0x0050: 0100 ..

2015-07-20 06:00:20.020600 IP (tos 0x28, ttl 47, id 28044, offset 0,

flags [+], proto UDP (17), length 1476) 84.52.26.246.53 >

66.150.214.x.40052: 41590| 22/0/0 cpsc.gov. RRSIG[|domain]

0x0000: 4528 05c4 6d8c 2000 2f11 704b 5434 1af6 E(..m.../.pKT4..

0x0010: 4296 d669 0035 9c74 1007 36d9 a276 8380 B..i.5.t..6..v..

0x0020: 0001 0016 0000 0000 0463 7073 6303 676f .........cpsc.go

0x0030: 7600 00ff 0001 c00c 002e 0001 0000 1c82 v...............

0x0040: 011c 001c 0702 0000 5460 55b4 4e26 55ab ........T`U.N&U.

0x0050: 0596


Насчет - "убирания галочки "Allow Remote Requests" - давно известно, убери и инета не будет.
Сервера и так прописаны автоматом.

Что посоветуете?

Заранее благодарю.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Попробуйте в цепочке input хлопнуть всё ненужное. Как самый жесткий вариант:

Код: Выделить всё

ip firewall filter add chain=input in-interface=wan protocol=icmp action=accept
ip firewall filter add chain=input in-interface=wan connection-state=established,related action=accept
ip firewall filter add chain=input in-interface=wan action=drop

ВНИМАНИЕ! Если нужны какие-то сервисы снаружи, их прописывают выше правила дропа.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Вам же выше уже ответили. Проблема должна уйти.

Но можно еще: выключить DNS на микротике (снять ту самую галочку). В свойствах DHCP сервера на микротике назначить DNS провайдера, чтобы эти адреса отдавались клиентам, можно и Google, например. На клиентах, у которых адреса IP и DNS назначаются вручную, если таковые есть, назначить в качестве DNS не микротик, а вышеуказанные сервера.


djgroove
Сообщения: 0
Зарегистрирован: 15 май 2015, 14:40

gmx

я очень благодарен всем кто помогает.

Мне не понятно ваше "Вам же выше уже ответили". Если бы помогло, поблагодарил бы и забыл проблему. Но проблема осталась.
Я вам мешаю своими вопросами?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Никто никому не мешает. Продолжаем...
Кстати, по логам вроде именно 53 порт флудит. Кто у нас логи читает нормально? Я с трудом, тем более вырванные из контекста.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

djgroove писал(а):Если бы помогло, поблагодарил бы и забыл проблему. Но проблема осталась.
Я вам мешаю своими вопросами?



Никто никому не мешает. Проблема в том, что вы не пишите ничего, что вы сделали.
А просто задаете один и тот же вопрос.
То есть от вас только одни вопросы, нету обратной связи о том, что вы сделали.
Вот мы и гадаем.

Хотя у вас в первую очередь должен возникнуть вопрос: "Что я делают не так? Почему советы из форума мне не помогают?". "Может я не правильно их применяю?", "а вот мои действия и вот мой конфиг, поглядите коллеги, может я чего напутал???"


Я предложил вам вообще отказаться от DNS сервера в вашей сети, это по определению не может не помочь. Флуд по 53 порту должен прекратится мгновенно, как только вы снимите галочку Allow remote requests. И я вам на пальцах объяснил, как заставить клиентов обращаться к другим DNS серверам (публичным или провайдерским). И вы вместо того, чтобы попробовать (а это дело трех минут) нашли силы и время, чтобы уличить меня в невежестве и неуважении.
Почему нашлось время писать пост сюда, но не нашлось времени на два щелчка в WinBox???

Не стоит считать свои проблемы с микротиком уникальными. На многие из них есть давно отработанные решения, которыми с вами с радостью поделились.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

У местных любовь мусолить темы которые яйца выеденного не стоят и в которых ТС не внимает рекомендациям. Интелектуалные мазахисты наверное :-)


Есть интересная задача и бюджет? http://mikrotik.site
Ответить