Медленный Интернет через Mikrotik

Обсуждение оборудования и его настройки
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

gmx писал(а):Почитайте тут viewtopic.php?f=15&t=5972

Прилепил тему, чтобы была перед глазами...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Korben
Сообщения: 11
Зарегистрирован: 06 ноя 2014, 21:01

В общем сбросил все настройки и настроил заново с нуля и... заработало! Я даже не знаю в чём была причина, но скорее всего в методе объединения портов: в предыдущем гайде для каждого порта в бридже выбирался Master port. Сейчас я этого не делал и всё работает как надо - Интернет быстрый, раздаётся на порты и Wi-Fi, всё круто. Спасибо большое за помощь.

Теперь что касаемо firewall'а - мне бы всё же хотелось защитить внутреннюю сеть, плюс существует потребность в блокировке torrent'ов, некоторых сайтов и некоторых портов (чтобы не играли и не качали). Посоветуйте, пожалуйста, где можно об этом почитать, чтобы снова не напороть чего.


Аватара пользователя
Ze-Ze
Администратор
Сообщения: 236
Зарегистрирован: 25 ноя 2010, 21:50
Контактная информация:

Korben писал(а):...Теперь что касаемо firewall'а - мне бы всё же хотелось защитить внутреннюю сеть, плюс существует потребность в блокировке torrent'ов, некоторых сайтов и некоторых портов (чтобы не играли и не качали). Посоветуйте, пожалуйста, где можно об этом почитать, чтобы снова не напороть чего.


Полезные ссылки


Korben
Сообщения: 11
Зарегистрирован: 06 ноя 2014, 21:01

Ze-Ze писал(а):
Korben писал(а):...Теперь что касаемо firewall'а - мне бы всё же хотелось защитить внутреннюю сеть, плюс существует потребность в блокировке torrent'ов, некоторых сайтов и некоторых портов (чтобы не играли и не качали). Посоветуйте, пожалуйста, где можно об этом почитать, чтобы снова не напороть чего.


Полезные ссылки


Благодарю. И тогда ещё один насущный вопрос: хочу открывать возможность для игр и всяких шалостей по расписанию (во время обеда). Какова последовательность действий? Создать скрипт, добавляющий в файервол правила блокировки портов и сервисов, запускать его с утра и ещё один запускать перед обедом, который будет эти правила удалять. Я правильно мыслю?


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Любое правило фаервола имеет возможность указать время, когда оно действует. Внимательнее изучайте окошки :-):


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Korben
Сообщения: 11
Зарегистрирован: 06 ноя 2014, 21:01

Dragon_Knight писал(а):Любое правило фаервола имеет возможность указать время, когда оно действует. Внимательнее изучайте окошки :-):


Да, виноват, не обратил внимания на вкладку Extra.

В общем настроил блокировку портов по времени, поставил галочку для логирования с префиксом. В итоги вижу следующее:

Изображение

То есть не видно локального адреса, который тянет контент. А ведь это почти самое важное - обнаружить мерзавца. Можно ли как-нибудь логировать и локальный адрес?

Спасибо.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Хм... Похоже на бардак в правилах. Конфиг с последними изменениями в студию :-):


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Korben
Сообщения: 11
Зарегистрирован: 06 ноя 2014, 21:01

Dragon_Knight писал(а):Хм... Похоже на бардак в правилах. Конфиг с последними изменениями в студию :-):

93.185.77.46 - это внешний IP-адрес. То есть отображаются коннекты только до NAT'а.

 config
# nov/14/2014 16:45:05 by RouterOS 6.21.1
# software id = TRW2-UE2H
#
/interface bridge
add name=LAN
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=sfp1 ] disabled=yes
/ip neighbor discovery
set ether1 comment=WAN
set ether2 comment=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=mikrotik supplicant-identity="" \
wpa2-pre-shared-key=1234567
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no l2mtu=2290 mode=\
ap-bridge security-profile=profile ssid=mikrotik
/ip pool
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=LAN lease-time=3d name=\
dhcp1
/port
set 0 name=serial0
/ppp profile
add change-tcp-mss=yes name=kztrns only-one=yes use-compression=yes \
use-encryption=yes use-mpls=no use-vj-compression=yes
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 \
default-route-distance=1 dial-on-demand=no disabled=no interface=ether1 \
keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name=Kaztranscom \
password=WiZpCNVw profile=kztrns service-name="" use-peer-dns=no user=\
Ast_kaz
/system logging action
set 2 remember=yes
/interface bridge port
add bridge=LAN interface=ether2
add bridge=LAN interface=ether3
add bridge=LAN interface=ether4
add bridge=LAN interface=ether5
add bridge=LAN interface=wlan1
/ip address
add address=192.168.1.1/24 interface=LAN network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=drop chain=forward p2p=all-p2p
add action=drop chain=forward comment="torrent-DHT-Out-Magnet d1:ad2:id20:" \
content=d1:ad2:id20: dst-port=1025-65535 in-interface=ether1 packet-size=\
95-190 protocol=udp
add action=drop chain=forward comment="torrent /announce..." content=\
"info_hash=" dst-port=2710,80 in-interface=ether1 protocol=tcp
add action=drop chain=forward comment=".torrent \r\
\nContent-type..." content="\r\
\nContent-Type: application/x-bittorent" out-interface=ether1 protocol=\
tcp src-port=80
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \
protocol=tcp src-address-list=ftp_blacklist
add chain=output content="530 Login incorrect" dst-limit=\
1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
address-list-timeout=3h chain=output content="530 Login incorrect" \
protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp
add action=drop chain=input comment="drop telnet brute forcers" dst-port=23 \
protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=23 \
protocol=tcp src-address-list=telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=23 \
protocol=tcp src-address-list=telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=23 \
protocol=tcp src-address-list=telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=23 \
protocol=tcp
# inactive time
add action=drop chain=input log=yes log-prefix=dota port=27000-28999 \
protocol=udp time=9h-13h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=input log=yes log-prefix=dota port=27000-28999 \
protocol=tcp time=9h-13h,mon,tue,wed,thu,fri
add action=drop chain=input log=yes log-prefix=dota port=27000-28999 \
protocol=udp time=14h30m-18h,mon,tue,wed,thu,fri
add action=drop chain=input log=yes log-prefix=dota port=27000-28999 \
protocol=tcp time=14h30m-18h,mon,tue,wed,thu,fri
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.1.0/24
/ip upnp
set allow-disable-external-interface=no
/snmp
set trap-community=public
/system clock
set time-zone-name=Etc/GMT+6
/system identity
set name=mikrotik


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Простите, а Вы точно хоть чуть-чуть читали по настройке фаервола? Как бы не верится, глядя на Ваши настройки вышеупомянутого.
Давайте-ка изложите здесь в двух словах Ваши знания о дефолтных цепочках Filter's и какая за что отвечает...
Заодно и освежим знания у всех в головах.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Korben
Сообщения: 11
Зарегистрирован: 06 ноя 2014, 21:01

podarok66 писал(а):Простите, а Вы точно хоть чуть-чуть читали по настройке фаервола? Как бы не верится, глядя на Ваши настройки вышеупомянутого.
Давайте-ка изложите здесь в двух словах Ваши знания о дефолтных цепочках Filter's и какая за что отвечает...
Заодно и освежим знания у всех в головах.


Чёрт... чувствую себя как на экзамене. Напугали вы меня - неужто действительно что-то совсем левое добавил?

Ну собственно если речь идёт именно о блокировке игр (помимо них там есть правила для блокировки брутфорс-атак на порты telnet, ssh и ftp, которые я позаимствовал с ресурсов, приведенных Ze-Ze в полезных ссылках), то создавая правила я придерживался следующей логики:
Выбрал цепочку INPUT - входящие пакеты, потому как не вижу большой разницы фильтровать входящие или исходящие - в любом случае буду их дропать.
Порты выбрал на основе заявленных Steam'ом протоколов и портов, указав диапазон 27000-28999.

Цепочка OUTPUT - соответственно исходящие.
FORWARD - пересылка на другой узел.

Я где-то ошибаюсь?


Ответить