RB915G-2HnD
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
podarok66
- Модератор
- Сообщения: 4359
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
На форуме провайдера пользователь с ником Aero обнародовал конфиг с настройками именно под этого прова при условии pptp-подключения. По его утверждениям конфиг рабочий. Я не проверял. Я получаю инет от того же прова, изредка бываю там на форуме. Увидел совпадения и в основной части ника, и в теме, и во времени. Предполагаю, пустые заявления о работоспособности конфига делать бы никто не стал))
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
Aero93
- Сообщения: 0
- Зарегистрирован: 14 мар 2015, 01:14
Vqd : единственная проблема , так сказать, vpn.tomilino.net лишь передаточно-балансирующий узел до настоящих vpn серверов, поэтому подключаться надо к одному из реальных серверов. Микротик такое напрямую не умеет, к сожалению...
Т.е идет авторизация на vpn.tomilino.net - происходит выдача нового адреса, и только он потом спец маршрутом направляется на авторизацию на vpn сервер... Эта штука называется Dual Access, а микротик не умеет до сих пор работать с dual access'ом))
Т.е идет авторизация на vpn.tomilino.net - происходит выдача нового адреса, и только он потом спец маршрутом направляется на авторизацию на vpn сервер... Эта штука называется Dual Access, а микротик не умеет до сих пор работать с dual access'ом))
-
Aero93
- Сообщения: 0
- Зарегистрирован: 14 мар 2015, 01:14
podarok66 писал(а):На форуме провайдера пользователь с ником Aero обнародовал конфиг с настройками именно под этого прова при условии pptp-подключения. По его утверждениям конфиг рабочий. Я не проверял. Я получаю инет от того же прова, изредка бываю там на форуме. Увидел совпадения и в основной части ника, и в теме, и во времени. Предполагаю, пустые заявления о работоспособности конфига делать бы никто не стал))
На этом форуме этот ник был уже занят
а так да, это я туда выкинул этот конфиг. Сам разобрался - и похвастался 
P.s ну я ж как-то сейчас в инете по воздуху сижу, значит работает)
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Да нет никакой проблеммы. Вы ее сами придумали. Я как минимум на вскидку 3 спомсоба знаю как решить данную задачу минут за 10.
Окунемся немного в теорию.
1 и пожалуй основное. В сети Интернет взаимодействие происходить по TCP/IP протоколу по IPv4 и IPv6 адресам, имен нету. ДНС служит что бы преобразовать имя к адресу и наоборот.
Так вот. Когда ваш микротик ломится по имени то он сначала запрашивает ИП адрес у ДНС сервера вашего провайдера (впрочем так поступает любое устройство)
Дальше микрот сморит таблицу маршрутизации и ломится в сеть вашего провайдера, в случае если он не находит нужную сеть в своей таблице маршрутизации то он ломится по основному маршруту и поднимает соединение.
А дальше все просто.
Если вы ставите галку "Маршрут по умолчанию" в вашем ВПН соединении то микротик начинает засовывать весь трафик собственно в этот самый тоннель, в том числе и трафик до ВПН сервера провайдера и соответственно таннель падает
Если вы галку не ставите то вроде как все работает но инета якобы нет, это потому что основной маршрут есть фейковая сеть вашего провайдера.
Как победить? ЛЕГКО. Надо просто мозг включить и почитать документацию ну и основы маршрутизации.
1. Способ. Узнать сеть в которой находятся все сервера вашего провайдера. Можно применить соответствующий инструменты либо позвонить в саппорт, либо подключить кабель к ПК и посмотреть чего там валится со стороны провайдера (если вдруг этого не принимает ДХЦП микротика)
1.1. Прописываем маршрут до сети где находятся ВПН сервера провайдера
1.2 В ВПН соединении ставим галку "Маршрут по умолчанию"
1.3. Настраиваем НАТ
1.4. Поднимаем тоннель и радуемся жизни
2 способ
Предположим вы не в курсе что есть маршрутизация (а вы не в курсе судя по вашим постам)
2.1. Имеем маршрут по умолчании в фейковую сеть оператора
2.2. Поднимаем ВПН без галки "Маршрут по умолчанию"
2.3. Создаем маркированный маршрут через ваш таннель
2.4. В MANGL или ip-routes-rules заворачиваем трафик с вашей внутренней сети в тоннель
2.5. Настраиваем НАТ
2.6 Радуемся жизни
3. Способ
Пишем скрипт который запрашивает ИП адрес и подставляем его в конфиг
Окунемся немного в теорию.
1 и пожалуй основное. В сети Интернет взаимодействие происходить по TCP/IP протоколу по IPv4 и IPv6 адресам, имен нету. ДНС служит что бы преобразовать имя к адресу и наоборот.
Так вот. Когда ваш микротик ломится по имени то он сначала запрашивает ИП адрес у ДНС сервера вашего провайдера (впрочем так поступает любое устройство)
Дальше микрот сморит таблицу маршрутизации и ломится в сеть вашего провайдера, в случае если он не находит нужную сеть в своей таблице маршрутизации то он ломится по основному маршруту и поднимает соединение.
А дальше все просто.
Если вы ставите галку "Маршрут по умолчанию" в вашем ВПН соединении то микротик начинает засовывать весь трафик собственно в этот самый тоннель, в том числе и трафик до ВПН сервера провайдера и соответственно таннель падает
Если вы галку не ставите то вроде как все работает но инета якобы нет, это потому что основной маршрут есть фейковая сеть вашего провайдера.
Как победить? ЛЕГКО. Надо просто мозг включить и почитать документацию ну и основы маршрутизации.
1. Способ. Узнать сеть в которой находятся все сервера вашего провайдера. Можно применить соответствующий инструменты либо позвонить в саппорт, либо подключить кабель к ПК и посмотреть чего там валится со стороны провайдера (если вдруг этого не принимает ДХЦП микротика)
1.1. Прописываем маршрут до сети где находятся ВПН сервера провайдера
1.2 В ВПН соединении ставим галку "Маршрут по умолчанию"
1.3. Настраиваем НАТ
1.4. Поднимаем тоннель и радуемся жизни
2 способ
Предположим вы не в курсе что есть маршрутизация (а вы не в курсе судя по вашим постам)
2.1. Имеем маршрут по умолчании в фейковую сеть оператора
2.2. Поднимаем ВПН без галки "Маршрут по умолчанию"
2.3. Создаем маркированный маршрут через ваш таннель
2.4. В MANGL или ip-routes-rules заворачиваем трафик с вашей внутренней сети в тоннель
2.5. Настраиваем НАТ
2.6 Радуемся жизни
3. Способ
Пишем скрипт который запрашивает ИП адрес и подставляем его в конфиг
Есть интересная задача и бюджет? http://mikrotik.site
-
RastaFashion
- Сообщения: 0
- Зарегистрирован: 19 июн 2015, 12:31
Всем привет! Решил не создавать новую тему (админы, плз поправьте если неправ).
Являюсь счастливым обладателем сабжевого девайса и, по совместительству, абсолютным нубом во всевозможных сетевых настройках.
Роутер с песнями плясками и танцами с бубном поднял, теперь настало время тонких настроек. Однако, вот что напрягает.
Захожу на роутер, открываю терминал, чтобы написать пару строк чего-нибудь подсмотренного в сети и вижу примерно следующее
Поиском по сети набрел на жж Podarok66 (это кстати реально ПОДАРОК), и примерно понял как составить пул нежелательных адресов.
Внимание вопрос ) Что с этим списком делать дальше?
Являюсь счастливым обладателем сабжевого девайса и, по совместительству, абсолютным нубом во всевозможных сетевых настройках.
Роутер с песнями плясками и танцами с бубном поднял, теперь настало время тонких настроек. Однако, вот что напрягает.
Захожу на роутер, открываю терминал, чтобы написать пару строк чего-нибудь подсмотренного в сети и вижу примерно следующее
Поиском по сети набрел на жж Podarok66 (это кстати реально ПОДАРОК), и примерно понял как составить пул нежелательных адресов.
Внимание вопрос ) Что с этим списком делать дальше?
-
gmx
- Модератор
- Сообщения: 3296
- Зарегистрирован: 01 окт 2012, 14:48
Простейший способ - это выключить все сервисы доступа к микротику, оставить только WinBox. Проблем сразу убавится.
А так, как вы хотите, блокировать по адресу, очень неблагодарное дело. Как говорится всех не заблокируешь. Ну и, конечно, пароль на доступ к микротику нужен правильный, а не admin. :)
Попытки взлома будут всегда. Через пару недель привыкаешь и забиваешь.
А так, как вы хотите, блокировать по адресу, очень неблагодарное дело. Как говорится всех не заблокируешь. Ну и, конечно, пароль на доступ к микротику нужен правильный, а не admin. :)
Попытки взлома будут всегда. Через пару недель привыкаешь и забиваешь.
-
podarok66
- Модератор
- Сообщения: 4359
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
RastaFashion писал(а):Поиском по сети набрел на жж Podarok66 (это кстати реально ПОДАРОК)
Да, я действительно такой, с сюрпризами)))
RastaFashion писал(а):Что с этим списком делать дальше?
Я лично на текущем моменте забил на попытки по 80 порту на вебморду (там вроде бы совсем нечасто), запретил доступ к роутеру со списка китайских адресов (там есть в ЖЖ, как сделать), стоят правила в фаерволе на брутфорс по ssh с запретом на 5 суток. В остальном для домашней сети запреты - развлечение для параноиков. Как бы пока хватает.
А! Да! Дроп на 53 порту всегда вверху, ну это уже тут раз 10 обсуждалось...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
RastaFashion
- Сообщения: 0
- Зарегистрирован: 19 июн 2015, 12:31
Огромное спасибо за отклик!
Про 53 порт уже понял, чего-то в файрволле потыкал, утащил правило наверх как сказали.
Эмм... а можно построчно?
Позвольте немного пофлудить, дабы дать представление об уровне моей компетенции. Если сочтете лишним - я раскаюсь и извинюсь )
Про 53 порт уже понял, чего-то в файрволле потыкал, утащил правило наверх как сказали.
стоят правила в фаерволе на брутфорс по ssh
Эмм... а можно построчно?
Позвольте немного пофлудить, дабы дать представление об уровне моей компетенции. Если сочтете лишним - я раскаюсь и извинюсь )
-
podarok66
- Модератор
- Сообщения: 4359
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Признаться, Пелевинская метафора здесь не очень удачна. Там человек явно не использует мозг, уподобляясь дрессированной обезьяне. При малейшей нестандартности входящих сигналов сигналы исходящие потеряют адекватность.
Есть Google, где по запросу "mikrotik брутфорс" легко получаем нужную информацию.
Есть мозг, с помощью которого вычленяем нужные правила и адаптируем под себя.
Есть Google, где по запросу "mikrotik брутфорс" легко получаем нужную информацию.
Есть мозг, с помощью которого вычленяем нужные правила и адаптируем под себя.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
RastaFashion
- Сообщения: 0
- Зарегистрирован: 19 июн 2015, 12:31
Прошу прощения. Через 10 мин после того, как задал вопрос все нашел в гугле. Еще раз спасибо !