Russian Users MikroTik | Форум пользователей MikroTik

Mikrotik RouterBOARD hEX (RB750Gr3)
ОС - Router OS v.6.36.1
Что нужно из функционала?
Нужно просто настроить аппарат в режиме роутера.
Витая пара спускается в квартиру с чердака. (там у провайдера оборудование).
Бридж на компе не устраивает категорически.
Нужно просто, чтобы роутер поднимал соединение. (PPPoE) и отдавал на домашний комп.
Из дополнительных опций файрвол и NAT (автоматом).
Настраивал роутер по этому ролику.
https://www.youtube.com/watch?v=kEbznrLcwiY
Но с настройкой Firewall и NAT не понятно.
https://www.youtube.com/watch?feature=p ... cwiY#t=389
Здесь показано, что простую настройку можно произвести через браузер просто поставив галочки. Однако, в версии 6.36.1 это не доступно. (т.е. просто поставить галочки уже не получится).
Как сделать автоматические, стандартные настройки Firewall и NAT средствами Winbox?

Все описано, о шагам viewtopic.php?f=15&t=5972

th704 писал(а):Mikrotik RouterBOARD hEX (RB750Gr3)
ОС - Router OS v.6.36.1
Что нужно из функционала?
Нужно просто настроить аппарат в режиме роутера.

Подход и задачи правильно поставлены, это уже радует.
1) Всё же советую обновить роутер до версии 6.37.3 и обновить и прошивку и загрузчик. Обнулить конфигурации, сделать чистую, без заводских настроек.
2) Поднятие сессии РРРоЕ и защита - основопологающие моменты и роутер с ними справляется,но надо правильно настроить.
3) Я Вам дам сейчас ниже пару важных строк кода, которые Вам помогут, автоматических правил увы нет сейчас.
(в строчках кода которые я вам дам, как бы всё примерно унифицировано, но прежде чем их давать роутеру через консоль, поправить название рррое сессии надо всё же,
а также задать в переменную вашу локальную сеть).

Итак:
1) Создадим список и опишем в нём WAN порты (для удобство в будущем с ними работать)
Примем что порт1 и РРРоЕ сессия - это внешние интерфейсы

Код: Выделить всё

/interface list
add name=list1-WAN-iface
/interface list member
add interface=ether1 list=list1-WAN-iface
add interface=pppoe-out1-RTK list=list1-WAN-iface

2) Опишем нашу локальную сеть (зададим её адресацию)(Вы подставите ту сеть что у вас уже стоит)

Код: Выделить всё

/ip firewall address-list
add address=192.168.1.0/24 list=LocalNet

3) Опишем защиту (эти правила появится в файрволле, в закладке Filters)
(не пугайтесь, что не читаемо, потом это превратиться в русские комментарии, увидете в винбоксе)

Код: Выделить всё

/ip firewall filter
add action=drop chain=input comment="\D3\E1\E8\E2\E0\E5\EC \C8\CD\C2\C0\CB\C8\C4\CD\DB\C5 \EF\E0\EA\E5\F2\FB" connection-state=invalid in-interface=pppoe-out1-RTK
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \EF\F3\F2\FC \F3\F1\F2\E0\ED\EE\E2\EB\E5\ED\ED\FB\EC \E8 \EF\F0\EE\E4\EE\EB\E6\E5\ED\ED\FB\EC \EF\E0\EA\E5\F2\E0\EC" connection-state=\
    established,related
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC Multicast" protocol=igmp
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \EF\EE\F0\F2 UDP \E4\EB\FF \CC\F3\EB\FC\F2\E8\EA\E0\F1\F2\E0" dst-port=1234 protocol=udp
add action=drop chain=input comment="\C7\E0\F9\E8\F2\E0 \EE\F2 \F2\E5\F5 IP,\EA\EE\F2\EE\F0\FB\E5 \F0\E0\ED\E5\E5 \F3\E6\E5 \ED\E0\F1 \E0\F2\E0\EA\EE\E2\E0\EB\E8 (\E7\E0 24 \F7\E0\F1\E0)" \
    in-interface-list=list1-WAN-iface src-address-list=Attack-from-WAN
add action=jump chain=input comment="\C0\ED\E0\EB\E8\F2\E8\EA\E0 TCP \EF\EE\F0\F2\E0 53" dst-port=53 jump-target=Block-DDoS-TCP protocol=tcp
add action=jump chain=input comment="\C0\ED\E0\EB\E8\F2\E8\EA\E0 UDP \EF\EE\F0\F2\E0 53" dst-port=53 jump-target=Block-DDoS-UDP protocol=udp
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=Block-DDoS-TCP comment=\
    "\D1\EE\E1\E8\F0\E0\E5\EC IP-\E0\E4\F0\E5\F1\E0 \E0\F2\E0\EA\F3\FE\F9\E8\F5 \E2 \F1\EF\E8\F1\EE\EA" in-interface-list=list1-WAN-iface
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=Block-DDoS-UDP comment=\
    "\D1\EE\E1\E8\F0\E0\E5\EC IP-\E0\E4\F0\E5\F1\E0 \E0\F2\E0\EA\F3\FE\F9\E8\F5 \E2 \F1\EF\E8\F1\EE\EA" in-interface-list=list1-WAN-iface
add action=drop chain=Block-DDoS-TCP comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC \E2\F5\EE\E4\FB \EF\EE \EF\EE\F0\F2\F3 TCP 53" in-interface-list=list1-WAN-iface
add action=drop chain=Block-DDoS-UDP comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC \E2\F5\EE\E4\FB \EF\EE \EF\EE\F0\F2\F3 UDP 53" in-interface-list=list1-WAN-iface
add action=jump chain=input comment="\C0\ED\E0\EB\E8\F2\E8\EA\E0 TCP \EF\EE\F0\F2\EE\E2 80 \E8 443" dst-port=80,443 jump-target=WWW_Block_TCP_RLS protocol=tcp
add action=jump chain=input comment="\C0\ED\E0\EB\E8\F2\E8\EA\E0 UDP \EF\EE\F0\F2\EE\E2 80 \E8 443" dst-port=80,443 jump-target=WWW_Block_UDP_RLS protocol=udp
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=WWW_Block_TCP_RLS comment=\
    "\D1\EE\E1\E8\F0\E0\E5\EC IP-\E0\E4\F0\E5\F1\E0 \E0\F2\E0\EA\F3\FE\F9\E8\F5 \E2 \F1\EF\E8\F1\EE\EA" in-interface-list=list1-WAN-iface
add action=add-src-to-address-list address-list=Attack-from-WAN address-list-timeout=1d chain=WWW_Block_UDP_RLS comment=\
    "\D1\EE\E1\E8\F0\E0\E5\EC IP-\E0\E4\F0\E5\F1\E0 \E0\F2\E0\EA\F3\FE\F9\E8\F5 \E2 \F1\EF\E8\F1\EE\EA" in-interface-list=list1-WAN-iface
add action=drop chain=WWW_Block_TCP_RLS comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC \E2\F5\EE\E4\FB \EF\EE \EF\EE\F0\F2\E0\EC TCP 80 \E8 443" in-interface-list=list1-WAN-iface protocol=tcp
add action=drop chain=WWW_Block_UDP_RLS comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC \E2\F5\EE\E4\FB \EF\EE \EF\EE\F0\F2\E0\EC UDP 80 \E8 443" in-interface-list=list1-WAN-iface protocol=udp

4) Ну и NAT (выход в интернет для заданного списка)

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1-RTK src-address-list=LocalNet

Последний совет: почитать, пролистать, подправить адреса локальные, название рррое-сессии, подумать и вставлять на съедение роутеру,
убедиться что всё появилось, понять и проверить.

Что касается новой прошивки 6.37.3, то я как-то боюсь прошивать. Читал где-то, что это приводит к циклической перезагрузке.
Оно мне надо? Предпочитаю стабильные версии.
К тому же не знаю, как прошивать Микротик. Вот свой Zyxel P-660HT2 EE прошью без проблем (сейчас пока с АДСЛ сижу).

Что за строки кода? Мне это ни о чем не говорит. Что с ними делать?
Я в Zyxel просто ставил галочки NAT и Firewall. С 2006 г. все работает. Никто не взломал.
Как это сделать в Router OS 6.36.1?

На данный момент настроено все точь-в-точь, как в том ролике. Плюс поменял логин и пароль администратора. Также отключил все сервисы, оставил только ssh и winbox. Потом сохранил конфигурацию в файл.

th704 писал(а):Что касается новой прошивки 6.37.3, то я как-то боюсь прошивать. Читал где-то, что это приводит к циклической перезагрузке. Оно мне надо?

Странно, что я обновил роутеров 15-18 мне доступных, которые многие за 20-100-200км и зависаний нет.
Буду рад если дадите ссылку на статью о циклических зависаниях, тем более что 6.37.3 очень свежая прошивка.

th704 писал(а):Предпочитаю стабильные версии.

Ну и тут Вы не в курсе новых событий, текущая стабильная версия - это 6.36.4, а не Ваша текущая (на сайте микротика можете увидеть)

th704 писал(а):К тому же не знаю, как прошивать Микротик. Вот свой Zyxel P-660HT2 EE прошью без проблем (сейчас пока с АДСЛ сижу).

Ну хоть что-то честно ответили. Побегайте тут по форуму, почитайте, обновлять и уметь это делать - И элементарно и нужный процесс,
и поверьте, легче чем на Зухеле или ещё где-то нибыло.

th704 писал(а):Что за строки кода? Мне это ни о чем не говорит. Что с ними делать?

Забудьте про них. Рано Вам пользоваться микротиком при таком подходе мышления.

th704 писал(а):На данный момент настроено все точь-в-точь, как в том ролике. Плюс поменял логин и пароль администратора. Также отключил все сервисы, оставил только ssh и winbox. Потом сохранил конфигурацию в файл.

Ролик ролику рознь. Ему Вы доверяете, а нам ?
Ищите как закрыть 53 порт, и думаю для начала Вам хватит. SSH я бы тоже отключил, если Вас код пугает, думаю консоль Вам точно не нужна.

Не помню где видел, но именно фраза "циклические перезагрузки" запомнилась. Какой смысл мне врать?

Для RB750Gr3 доступна только 6.37.3. Не видел, чтобы 6.36.4 была совместима с моим роутером.

На Zyxel нужно просто выбрать файл и загрузить его. На Микротике не знаю как прошивать. И надо ли, если такие не лестные отзывы?

Вы мне так и не объяснили как включить Firewall и NAT. Где эти галочки, что их включают? Без этой защиты я в сеть не полезу.

th704 писал(а):Не помню где видел, но именно фраза "циклические перезагрузки" запомнилась. Какой смысл мне врать?
Для RB750Gr3 доступна только 6.37.3. Не видел, чтобы 6.36.4 была совместима с моим роутером.
На Zyxel нужно просто выбрать файл и загрузить его. На Микротике не знаю как прошивать. И надо ли, если такие не лестные отзывы?
Вы мне так и не объяснили как включить Firewall и NAT. Где эти галочки, что их включают? Без этой защиты я в сеть не полезу.

1) прошивка рабочая. проверено
2) прошивки при выходе делаются сразу для всех роутеров, главное залить прошивку под ту архитектуру, на базе которой у вас роутер сделан.
3) На микротике прошивка делается также, скачивается файл или в онлайне обновляется.
4) НЕТУ галочек для Файрволла и НАТа, нету универсального решения, микротик это конструктор, его надо настраивать.
Могу посоветовать лишь такое: вернуть роутеру заводскую ПРЕ-конфигурацию, она на 75-80% универсальна конфигурация и рабочая.
Возможно она вам подойдёт. Я с ней не работал.

Прошивка весит 8 430 737 байт. Как она влезет на флешку 16 Мб?
Старую затереть, а как тогда новую заливать?

Что значит "обновляется онлайн"? Я обычно скачиваю прошивку, захожу в соответствующий раздел (на Zyxel) и выбираю нужный файл. Идет проверка файла, затем прошивка. Перезагрузка, потом все настраивать. Все просто и понятно. А как у Микротика это делать?

По заводской настройке по-умолчанию, так там в поле NAT и Firewall просто пусто. Так что это ничего не даст. Я уже проверял.
Поэтому и спрашиваю: как настроить NAT и Firewall?

th704 писал(а):Прошивка весит 8 430 737 байт. Как она влезет на флешку 16 Мб?
Старую затереть, а как тогда новую заливать?
Что значит "обновляется онлайн"? Я обычно скачиваю прошивку, захожу в соответствующий раздел (на Zyxel) и выбираю нужный файл. Идет проверка файла, затем прошивка. Перезагрузка, потом все настраивать. Все просто и понятно. А как у Микротика это делать?

Ну прочитайте официальную документацию, а?
Прошивка при онлайне обновлении закачивается в память роутера, обновляется, роутер перезапускается.
Память флешки не используется.

th704 писал(а):По заводской настройке по-умолчанию, так там в поле NAT и Firewall просто пусто. Так что это ничего не даст. Я уже проверял.
Поэтому и спрашиваю: как настроить NAT и Firewall?

Ну тогда возвращаемся к моему первому Вам сообщении, там хорошие правила для защиты, примените их (в винбоксе есть кнопка - New Terminal) вот туда по очереди вставьте их,
и поглядите что появиться в итоге у Вас в файрволле.

Ну а если снова НЕТ и не ТАК, то вперёд, изучать основы, теорию и руками писать, а то, это не то, это не так.
И не сравнивайте с зухелем, всё равно что велосипед с трактором сравнивать, вообще разные вещи.

А можно ли сделать резервную копию прошивки? Если что откатиться можно будет на старую версию?

Скажите пожалуйста, а есть ли инструкция на русском языке по прошивке Микротика? Хотел бы почитать.

А, так речь о командной строке? Действительно в меню слева есть "терминал". Это тот, где Mikrotik напечатано из самих букв как в ДОСе?
Я просто думал, что командная строка уже давно не используется.

Russian Users MikroTik | Форум пользователей MikroTik

Помогите настроить роутер

Помогите настроить роутер

Re: Помогите настроить роутер

Re: Помогите настроить роутер

Re: Помогите настроить роутер

Re: Помогите настроить роутер

Re: Помогите настроить роутер

Re: Помогите настроить роутер

Re: Помогите настроить роутер

Re: Помогите настроить роутер

Re: Помогите настроить роутер