Mikrotik RouterOS новая функция Cloud

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
sonic2006
Сообщения: 14
Зарегистрирован: 24 авг 2016, 21:45

В последних версиях Mikrotik RouterOS добавили функцию Cloud, роутер получает имя типа Cloud 10f74as749859xx.sn.mynetname.net но служба вроде не доработана или я что-то не так настроил. У меня серый IP который меняется каждый раз как я перегружаю роутер, а то и чаще, до этого у меня был роутер ASUS и Keenetic, та включается эта служба и войти на них я могу с любой точки без проблем, но с MikroTik RB951Ui-2HnD это не так. Что я делаю не так ?
В службах IP-Cloud-стоят галки enable и update time, вижу publik adress и dns name но зайти на них не могу. Внизу примечание Router is behind a NAT. Remote connection might not work.


Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

1, не заходит потому, что нужен белый ип для клауда
2. принцип работы клауда микротика и сервисов у асуса совсем разный, потому и не судьба


Аватара пользователя
sonic2006
Сообщения: 14
Зарегистрирован: 24 авг 2016, 21:45

Вот сейчас подключил Keenetic Viva, у него есть пункт KeenDNS (Сервис KeenDNS позволяет использовать доменное имя для подключения к интернет-центру и серверам в вашей сети из Интернета.
В режиме «Через облако» вы сможете получить доступ только по протоколу HTTP, но даже в том случае, если провайдер выдает вам серый IP-адрес, недоступный из Интернета.
Чтобы иметь возможность обращаться к устройствам в домашней сети по любому протоколу, используйте режим «Прямой доступ», если такой доступ не ограничен в сети вашего провайдера.) - получаем адрес, все работает без проблем и довольно быстро.
Как такое настроить на Mikrotik ?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Вам же подсказали, что службы DynDNS (это аббревиатура мне больше нравиться) у разных
производителей разные и устроены и работают по-разному в целом.
У Кинетик судя по всему эта функция реализовано иначе и при подключении роутера
в Интернет, роутер инициирует какое-то соединение с облаком Кинетик, а уже
облако при запросе нужного роутера внутри этого канала позволяет обратиться на роутер.

У микротика своя функция(иная), она позволяет обратиться(попасть) на роутер всегда,
когда у роутера сменяется постоянно/регулярно внешний реальный адрес.
Если адрес подключения не Внешний, от данной функции мало пользы,
поэтому у Вас внизу и было предупреждение (на английском, что Вы находитесь за NAT'ом).

В Вашем случаи,
если Вам нужен доступ на микротик с внешнего мира, то единственные варианты:

а) это купить аренду реального адреса, то есть за 20-40руб или за 100-150руб
Вам провайдер будет выдавать реальный динамический/постоянный адрес.
Правда сразу Вам напомню, файрвол Вам нужно будет сразу уже настроить заблаговременно,
иначе атаки (со стороны Китайцев) сразу увидите в кол-ве пару сотен в 10-20 сек.

б) второй вариант, сложнее, если провайдер не даёт/не имеет возможности выдачи адреса,
то можно инициировать со стороны роутера соединяться куда-то (на тот адрес/сервер естественно
у которого есть уже реальный адрес) и уже с того объекта/сервера заходить по этому установленному
каналу на роутер.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Maj911
Сообщения: 1
Зарегистрирован: 10 сен 2019, 10:35

Микротик не получает адрес DNS через свой сервис cloud.
Запросы на облако идут, трассировка строится, но имя не получает.
Изображение
Прошивка тоже свежая.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Maj911 писал(а): 10 сен 2019, 10:53 Микротик не получает адрес DNS через свой сервис cloud.
Запросы на облако идут, трассировка строится, но имя не получает.
Прошивка тоже свежая.
А чего не показали что прошивка свежая и как идут запросы?
1) перезагрузите роутер
2) отключить все-все правила в первой закладке (Filter Rules)
3) WinBox "свежий" стоит? (обновите).

P.S.
(по скрину как будто Вин7 или даже ВинХР)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
SPAX
Сообщения: 11
Зарегистрирован: 13 окт 2019, 19:21

Всём доброго времени суток. Дабы не плодить новых тем напишу тут.
Роутер hAP ac^2, прошивка 6.45.6 (stable), пров Билайн.
Вторые сутки уже бьюсь с этим Cloud и попыткой пробросить порты для IP камеры, но всё тщетно..Помогите пожалуйста
Включаю Cloud , получаю адрес, но зайти на него с телефона не могу...
IP в L2TP и 2ip.ru совпадает, по сути получается белый динамический...
Так же пытаюсь зайти на IP камеру (в настройках камеры порт 8999 задан), тоже безрезультатно....(
Вот выдержка из бекапа:
 мой конфиг
# oct/14/2019 00:47:27 by RouterOS 6.45.6
# software id = WYJU-WN2R
#
# model = RBD52G-5HacD2HnD
# serial number = 9***************C
/interface bridge
add admin-mac=B******************B auto-mac=no comment=defconf name=\
bridge-to-LAN
add mtu=1598 name=bridge-to-beeline
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] name=ether5-IPTV speed=100Mbps
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
Pass_for_wifi supplicant-identity=MikroTik wpa-pre-shared-key=\
M***********8 wpa2-pre-shared-key=M**********8
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-b/g/n channel-width=20/40mhz-Ce country=russia disabled=no \
distance=indoors frequency=auto frequency-mode=regulatory-domain \
hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=full name=\
wlan1-2GHz security-profile=Pass_for_wifi ssid=F***********k \
wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode \
band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=russia distance=\
indoors frequency=auto frequency-mode=regulatory-domain \
hw-protection-mode=cts-to-self mode=ap-bridge multicast-helper=full name=\
wlan2-5GHz security-profile=Pass_for_wifi ssid="T********z" \
wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/interface wireless nstreme
set wlan1-2GHz enable-polling=no
set wlan2-5GHz enable-polling=no
/ip dhcp-client option
add code=55 name=parameter_request_list value=0x01F90321062A
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-to-LAN name=\
defconf
/interface l2tp-client
add add-default-route=yes allow=chap,mschap2 connect-to=\
tp.internet.beeline.ru default-route-distance=5 disabled=no max-mru=1500 \
max-mtu=1460 name=L2TP-Beeline password=0************e profile=default \
user=0***********
/interface bridge port
add bridge=bridge-to-LAN comment=defconf interface=ether2
add bridge=bridge-to-LAN comment=defconf interface=ether3
add bridge=bridge-to-LAN comment=defconf interface=ether4
add bridge=bridge-to-beeline comment=defconf interface=ether5-IPTV
add bridge=bridge-to-LAN comment=defconf interface=wlan1-2GHz
add bridge=bridge-to-LAN comment=defconf interface=wlan2-5GHz
add bridge=bridge-to-beeline interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge-to-LAN list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge-to-LAN network=\
192.168.1.0
/ip arp
add address=192.168.1.168 interface=bridge-to-LAN
/ip cloud
set ddns-enabled=yes ddns-update-interval=3m
/ip dhcp-client
add comment=defconf default-route-distance=10 dhcp-options=\
hostname,clientid,parameter_request_list disabled=no interface=\
bridge-to-beeline
/ip dhcp-server lease
add address=192.168.1.11 mac-address=5**********9 server=defconf
add address=192.168.1.12 client-id=1:7**************b mac-address=\
7***************B server=defconf
add address=192.168.1.17 client-id=1:d*****************0 mac-address=\
D*****************0 server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=accept chain=forward disabled=yes dst-port=8999 in-interface=\
L2TP-Beeline protocol=tcp
add action=add-src-to-address-list address-list=DNS_FLOOD \
address-list-timeout=none-dynamic chain=input comment=DNS_FLOOD dst-port=\
53 in-interface=L2TP-Beeline protocol=udp
add action=drop chain=input comment=DNS_FLOOD dst-port=53 in-interface=\
L2TP-Beeline protocol=udp
add action=drop chain=input comment=Close_9443_for_all dst-port=9443 \
in-interface=L2TP-Beeline protocol=tcp
add action=drop chain=input comment=Close_8080_for_all dst-port=8080 \
in-interface=L2TP-Beeline protocol=tcp
/ip firewall mangle
add action=change-mss chain=forward new-mss=1360 passthrough=yes protocol=tcp \
tcp-flags=syn tcp-mss=1453-65535
add action=change-mss chain=forward disabled=yes in-interface=L2TP-Beeline \
new-mss=1420 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=\
1421-65535
add action=change-mss chain=forward disabled=yes new-mss=1420 out-interface=\
L2TP-Beeline passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=\
1421-65535
/ip firewall nat
add action=dst-nat chain=dstnat comment=Cam dst-port=8999 in-interface=\
L2TP-Beeline protocol=tcp to-addresses=192.168.1.168 to-ports=8999
add action=dst-nat chain=dstnat comment=Cam dst-port=8999 in-interface=\
L2TP-Beeline protocol=udp to-addresses=192.168.1.168 to-ports=8999
add action=masquerade chain=srcnat out-interface=L2TP-Beeline
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 dst-address=10.0.200.0/24 gateway=10.123.183.254
add distance=1 dst-address=217.195.211.0/24 gateway=10.123.183.254
add distance=10 dst-address=217.195.211.114/32 gateway=10.123.183.254
add distance=10 dst-address=217.195.211.116/32 gateway=10.123.183.254
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Yekaterinburg
#error exporting /system upgrade mirror
#interrupted

Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

SPAX писал(а): 13 окт 2019, 23:40 Вторые сутки уже бьюсь с этим Cloud и попыткой пробросить порты для IP камеры, но всё тщетно..Помогите пожалуйста
Включаю Cloud , получаю адрес, но зайти на него с телефона не могу...
IP в L2TP и 2ip.ru совпадает, по сути получается белый динамический...
Так же пытаюсь зайти на IP камеру (в настройках камеры порт 8999 задан), тоже безрезультатно....(
1) SSH на роутере Вы не отключили, посмотрите по логам, атаки (попытки) входа на роутер по SSH есть?
(красным должно быть и их должно быть не мало)
Это простой способ = если атак нету, значит Вас что-то прикрывает.
1.1) Оставляете как есть, отключаете в файрволе, в закладке Filter Rules = ВСЕ!!!! правила на 2-3 минуты
и опять, пукт 1 - смотрите есть атаки по SSH
Если появились, значит какие-то правила у Вас ограничивают доступ, а так как Вы используете
пре-заводские настройки, то скорее всего это так и есть.
1.2) можете телнет и фтп включит на 2-10 минут на роутере, обычно их ой как любят атаковать.

2) У Вас правила проброса имеют нулевой счётчик сработки = грубо говоря до данных правил пакет не дошёл.
Проверять надо всё.
2.1) У Вас L2TP подключение это как раз и есть внешнее подключение, а у Вас по пре-заводскому конфигу,
лишь порт1 описан в переменной как WAN, добавьте ещё и L2TP также в переменную WAN

3) Ну и не совсем ясно с arp записью для камеры? Понятно что Вы руками так делали,
запись руками добавили, а толку, если ограничения на бридже не стоят.
Я бы убрал это всё, заставил получить камере адрес автоматически, и уже увидев
в закладке аренды адресов DHCP (Leases) там камеру, дал её уже нужный адрес, который
она будет и получать в будущем постоянно (совет лишь).
3.1) Также надо более детально настроить DHCP, а именно в настройках DHCP поставить,
чтобы он сам создавал ARP запись по каждому клиенту, и тогда будет более правильно.
3.2) также надо настроить чтобы DHCP отдавал DNS'ы клиентам.

4) Я не вижу у Вас по-умолчанию маршрута в Интернет, либо Вы делали конфиг когда
подключение по L2TP было не активно, либо что-то ещё. Если нет шлюза
в Интернет, ничего работать не будет.

5) Проброс проверяется ОБЯЗАТЕЛЬНО с чужого канала, не с этого канала.
5.1) Камера локально на порту 8999 - работает и доступно (надеюсь) ????

P.S.
Я так понял, Вы ориентируетесь в микротике, если это так,
сносите все заводские настройки, и на чистом роутере руками за 15 минут
настраивайте и у Вас всё заработает. БОЛЬШЕ потеряете время на изучение проблем.

P.P.S.
На 2ip.ru есть тест открытости порта, делали/проверяли ???



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
SPAX
Сообщения: 11
Зарегистрирован: 13 окт 2019, 19:21

Vlad-2
Спасибо!
Начну с конца, в МТ особо не разбираюсь) так, на троечку если только))

1. По логам чисто, на 2ip показывало, что всё закрыто. SSH отрубил сейчас.
1.1. Отключил всё, пустило!
2.1 добавил
3. сделал
3.1 Правильно понимаю, что надо в DHCP Server галочку поставить на Add ARP for Leases?
3.2 не знаю как это.
4. Да, видел в DHCP Client, что нет шлюза...хотя в Route листе всё прописано... Делал все настройки опираясь на несколько мануалов...до этого дела с МТ не имел вообще))
5, 5.1 конечно! ))

Сейчас исход такой, сделал 2.1 и 3 и теперь пускает на камеру по клоуд адресу + порт! Но на сам МТ не пускает (на 2ip пишет порт 80 и 8291 закрыты)...
Вопрос в следующем, сейчас у меня будет пускать всех кому не лень на камеру, верно? Т.е. её надо защитить хорошим паролем? (доступ по IP не варик, могу заходить с разных устройств всегда....)
Тот же вопрос и касается самого МТ, как его защитить от левых?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

SPAX писал(а): 14 окт 2019, 08:56 Вопрос в следующем, сейчас у меня будет пускать всех кому не лень на камеру, верно? Т.е. её надо защитить хорошим паролем? (доступ по IP не варик, могу заходить с разных устройств всегда....)
Тот же вопрос и касается самого МТ, как его защитить от левых?
Варианты, от плохого к хорошему по надежности:
1) Оставить как есть, только поменять номера портов на какие-нибудь нестандартные.
2) Реализовать схему с port-knocking.

И единственный действительно надежный вариант:
3) Ходить по впн.


Telegram: @thexvo
Ответить