А что ещё можно реализовать на микротике для дома?

Общение на отвлеченные темы
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

Ситуация: вот, спустя год после покупки микротика я похоже настроил почти всё что хотел, теперь нужны идеи что ещё реализовать.
Уже есть:
1)получение списка адресов по BGP куда ходить через амстердам.
2)VPN до амстердама
3)VPN до дома (например со смартфона)
4)перехват нешифрованных DNS запросов и ответ на них микротиком.
5)upnp IGD
6)отправка логов в телеграм.
7)отправка команд из телеграма "кто дома?" и "включи комп"
8)fail2ban
9)fail2ban при неудачном подключении ipsec на основе анализа лога
10)QoS
Нет, конечно есть ещё задачи.
1)почему-то VPN до амстердама поднимается только если последним включился сервер в амстердаме(или на нём передёргивается ipsec).
2)сохранение adress-list на внешний ресурс и загрузка обратно после ребута.
3)причесать фаервольные правила.
4)Настройке QoS нет предела
Но конец уже близок, а идей нет. Помогайте.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да все эти хотелки сугубо личное дело. Тут все фломастеры на вкус разные, уж поверьте. Ну например ваши хотелки в моём видении.
1. Ну на фиг, мне из запретных нужны может полтора десятка адресов. Обычные постоянные интересы типа библиотек, новостных сайтов и пары любимых сайтов типа абсурдопедии и лурки. Никаких обновлений не надо. Срочно нужный адресок могу добавить в список и руками.
2. и 3. VPN -бесспорно нужен, но вот всякие ipsec для дома - оверкилл. Обычный OpenVPN перекрывает 100% потребностей, не в пример легче в реализации и настройке (напомню, мы про личные предпочтения) и при падении переподключается сам без пинков. OVPN-cервер держу на VDS-ке, маршрутизация позволяет подключаться с телефона (андроид ovpn-клиент) к Микротику (ovpn-клиент) без проблем.
4. Это точно нужно?
5. Пользуюсь.
6. Логи в Zabbix на том же сервере в Амстердаме, что и OVPN
7. Мне проще подключится с телефона по OVPN и затем зайти на роутер через телефонный Winbox.
8. Настроен, но я давно уже не использую стандартный порт на ssh, авторизация только по ключу, более никакие сервисы наружу не торчат и попадается в ловушку кто-то очень редко.
9. Соответственно всё подключается по сертификатам, не вижу смысла настраивать fail2ban
10. Раньше настраивал, сейчас не вижу надобности. У меня редко утилизируется весь канал, если только дети начинают скачивать очередную игрушку. Но при 100 МБит полосы это не бывает долгой проблемой.

У меня дома 4 устройства Микротик собранные в локалку. Единственное, что я применяю на ТД- это 50 опция в DHCP-клиенте. В головном устройстве я почти всё описал, комментируя вас. Остается только добавить настроенный CAPsMAN, пару скриптов для отключения/включения интерфейсов локалки (детей выгнать на улицу удалённо порой можно только так), ну ещё туннель 6to4 туннельному брокеру ( мой провайдер не даёт IPv6) и несколько тоннелей sstp для контроля "союзных" Микротиков ( есть необходимось).
Вот и вся разница на данный момент. Всё остальное с годами выпилилось...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

podarok66 писал(а): 03 авг 2021, 21:04 Обычный OpenVPN перекрывает 100% потребностей
Обычный OpenVPN больно ресурсоёмок.
Связывать микротиковские роутеры между собой проще всего через GRE+IPSec или L2TP+IPSec.

А вот выход со смартфона/ноута из сотовой сети (или любого чужого wifi) через свой домашний инет лучше всего через wireguard - работает быстро, настраивается в два счета.
Можно использовать для этого и микротик, но пока wireguard только в бете, у меня для этого отдельная коробка с OpenWRT.
Реально очень удобно - один раз настроил исключения для своих сетей, откуда ходить напрямую, а через все остальные оно ходит автоматом.
Причем огромным плюсом является то, что протокол stateless - то есть никаких подключений/переподключений нет в принципе.
Lurker писал(а): 03 авг 2021, 13:30 Ситуация: вот, спустя год после покупки микротика я похоже настроил почти всё что хотел, теперь нужны идеи что ещё реализовать.
Главный вопрос - зачем?
Если есть какие-то задачи - да, их надо решать.
А если все задачи уже решены - значит надо наверное успокоиться и переключиться на что-то другое, нет? :-)


Telegram: @thexvo
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

1. Так я не один дома. Я предпочёл сразу настроить универсальное решение, чем потом добавлять. И потом можно долго искать что не так, пока не поймёшь что один из нужных IP заблокирован... в первый раз у меня 3 дня на это ушло.
и ipsec на микротике шустрее всего работает. Я могу не беспокоится о том, что слишком много трафика в VPN летит.
2. Я надеялся получить встроенный клиент в винду... а когда он не завёлся, то ipsec-то уже был, зачем переделывать?
ну и с ipsec всё равно разобраться надо было. Потенциально хочу связать несколько квартир в VPN для более удобного файлообмена и старых игр по локалке.
4. Это чтобы провайдер не блочил сайты путём перехвата DNS запросов. Никто не перехватит мой DNS запрос, если я перехвачу его сам *картинка сметливого негра*
6. Я хочу уйти от серверов. даже в амстердаме routerOS поставить когда-нибудь. Ну просто чтобы не админить ещё их. Ну хреново я знаю linux и разбираться у меня желания нет. А сервер на винде как-то не вписывается в понятие настроил и забыл... да и за лицензию платить... я лучше облачную ROS куплю.
7.Сервис не только для меня. И да, мне проще в телеграм отправить.
8.9. У меня логируется весь дропнутый трафик за исключением явно заданного мусорного. И тут 2 варианта, либо засирать логи сканерами портов, или что там ломится регулярно? за 5 дней более 2000 ip в бане. Либо банить IP и не логировать трафик с забаненных IP.
10.Я хочу не беспокоится о повышении пинга в онлайн играх и хочу иметь возможность смотреть 4К видео и при этом не заморачиваться лимитами скорости на торрент.

CAPsMAN не катит. У меня похоже wifi у микротика бракованный. Потому для wifi купил отдельно роутер.. и он не микротик т.к. он не умеет wifi6
Главный вопрос - зачем?
1)самообразование. Я думаю просить повышения зарплаты. И тут надо понять сколько требовать или увольняться. А знания микротика всёже + в резюме.
2)Пока я всё помню. через пару лет же придётся пялится как баран на новые ворота на свой код. Поэтому сделать сейчас думаю будет раза в 2-3 быстрее, чем потом.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Самообразование - это хорошо.
Тогда надо что-то полезное ботать: OSPF, BGP, новое в ROS7: L3-hw-offloading, новый user manager.

А так сейчас много в чем можно поковыряться - хоть научить уведомления слать не только в телеграм, но и в MQTT :)

Опять же, если поднять CHR в облаке, DUDE на неё поставить для мониторинга.


Telegram: @thexvo
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

Самообразование - это хорошо.
Тогда надо что-то полезное ботать: OSPF, BGP, новое в ROS7: L3-hw-offloading, новый user manager.

А так сейчас много в чем можно поковыряться - хоть научить уведомления слать не только в телеграм, но и в MQTT :)

Опять же, если поднять CHR в облаке, DUDE на неё поставить для мониторинга
OSPF проблематично на одном роутере.
BGP уже есть... пусть и только на получение маршрутов.

ROS7... Я предпочёл учиться хотябы на stable версии чтобы было меньше моментов где непонятно я дурак или ROS багнутая.

MQTT Ну учиться можно всему.
Поэтому я для себя границы поставил так:
1)Это должно быть применимо дома. Пусть и overkill для дома. Дабы был какой-то полезный выхлоп.
2)только mikrotik (ну и arduino можно). Я не хочу ковырять linux, сосредоточимся на чём-то одном.
Да есть исключения:
а)сервер на ubuntu в качестве точки выхода в интернет в амстердаме... ну он появился до введения правила 2. Теперь при необходимости значительных изменений я предпочту отказаться от него и купить облачную ROS
б)Телеграмм... Ну что там разбираться? Так изначально я подумал.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Lurker писал(а): 04 авг 2021, 13:01 OSPF проблематично на одном роутере.
Так вот CHR вместо убунту в облаке - уже два.
Взять ещё один роутер чисто для лабы - уже 3.
К родственникам или на дачу тоже микротик - уже 4.
Lurker писал(а): 04 авг 2021, 13:01 ROS7... Я предпочёл учиться хотябы на stable версии чтобы было меньше моментов где непонятно я дурак или ROS багнутая.
За то там поле для деятельности :)
Lurker писал(а): 04 авг 2021, 13:01 MQTT Ну учиться можно всему.
Поэтому я для себя границы поставил так:
1)Это должно быть применимо дома. Пусть и overkill для дома. Дабы был какой-то полезный выхлоп.
MQTT - это как раз для дома и удобно.
Использовать для передачи инфы в какую-нибудь систему умного дома (home assistant или что-то такое) - так чтобы наличие устройств в сети не ботом смотреть, а на общем дэшборде, вместе с температурами в комнатах и выключателями света :-)
(Хотя конкретно для home assistant'а для этого вроде готовая интеграция по API есть).


Telegram: @thexvo
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

Так вот CHR вместо убунту в облаке - уже два.
Взять ещё один роутер чисто для лабы - уже 3.
К родственникам или на дачу тоже микротик - уже 4.
ПОКА убунта работает, и смысл её менять?
Дача в жопе мира, там квест провести интернет. Я пробовал спутниковую тарелку в качестве отражателя для мобилы, но не получилось, видимо вышка за горизонтом.
Родственникам роутер пока не надо менять.
чисто для лабы тоже смысла не вижу.
Использовать для передачи инфы в какую-нибудь систему умного дома
у меня нет умного дома т.к. я пока не нашёл систему которая одновременно:
1)относительно проста в разворачивании.
3)не дорогая
3)не требует обязательного наличия сервера производителя.
4)умеет хотябы нормальные скрипты.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Lurker писал(а): 04 авг 2021, 13:25 ПОКА убунта работает, и смысл её менять?
Смысл в том что руки чешутся, разве не об этом весь топик? :-)
И что значит ПОКА: что с ней станется то?

То же самое про лабу и родствеников.
Вам же надо "создать себе задачу", а не решить существующие - с существующими вы вроде уже разобрались.
Lurker писал(а): 04 авг 2021, 13:25 3)не требует обязательного наличия сервера производителя.
4)умеет хотябы нормальные скрипты.
Эмм. Ну так home assistant же?


Telegram: @thexvo
Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

Смысл в том что руки чешутся, разве не об этом весь топик? :-)
И что значит ПОКА: что с ней станется то?
Не совсем. Я обозначил границы
Это должно быть применимо дома. Пусть и overkill для дома. Дабы был какой-то полезный выхлоп.
Полезного выхлопа от замены убунты на ROS СЕЙЧАС 0.
Что с ней станется... вероятнее всего я захочу новую фичу и вместо настройки убунты поставлю туда ROS и буду настраивать уже его.
Вам же надо "создать себе задачу", а не решить существующие
нет, решение именно существующих задач, пусть и оверкильными методами.
Эмм. Ну так home assistant же?
пошёл гуглить.


Ответить