Архив метки: mikrotik

EVE

Для изучения сетей и проверки своих знаний есть прикольная штука: http://www.eve-ng.net/
Для добавления:
Cisco
http://www.eve-ng.net/index.php/documentation/howto-s/64-howto-add-dynamips-images-cisco-ios
Mikrotik
Необходимо скачать Cloud Hosted Router — Raw disk image интересующей нас версии
Распаковываем архив и переимемновываем img файл в hda.qcow2
Создаём на сервере EVE папку с определённой версией роутера (в названии mikrotik-stable часть «mikrotik-» фиксированная, а остальное — как хотим называем).
mkdir /opt/unetlab/addons/qemu/mikrotik-stable
Переносим полученный файл в созданную папку
Зпускаем применение правильных прав
/opt/unetlab/wrappers/unl_wrapper -a fixpermissions
pfSense
Необходимо скачать (https://www.pfsense.org/download/) nanobsd.img интересующей версии
Распаковываем архив и переимемновываем img файл в hda.qcow2
Создаём на сервере EVE папку с определённой версией роутера (в названии pfsense-234 часть «pfsense-» фиксированная, а остальное — как хотим называем).
mkdir /opt/unetlab/addons/qemu/pfsense-234
Переносим полученный файл в созданную папку
Зпускаем применение правильных прав
/opt/unetlab/wrappers/unl_wrapper -a fixpermissions
Полный список имён папок и дисков: http://www.eve-ng.net/index.php/documentation/images-table

Фильтрация IPTV трафика

На микротике невозможно сказать лить мультикаст только в один порт, а не в весь бридж. Соответственно когда смотришь ТВ, весь WiFi эфир занят этим паразитным трафиком. Для избавления от него необходимо добавить на бридж правило фильтрации.

  1. Создаём список интерфейсов, где нам нужен этот трафик

/interface list
add name=IPTV-list-ports
/interface list member
add interface=ether4-Kuhnya list=IPTV-list-ports
add interface=ether3-Zal list=IPTV-list-ports

2. Блокируем весь мультикаст, кроме того, который идёт на группу IPTV портов

/interface bridge filter
add action=drop chain=output mac-protocol=ip out-interface-list=!IPTV-list-ports packet-type=multicast

Идея взята отсюда: https://forummikrotik.ru/viewtopic.php?t=6946#p37855

CAPsMAN и FireWall

Есть много инструкций по настройке CAPsMAN, но везде считается, что FW или выключен, или настроен весьма открыто.

Сегодня настраивал и обнаружил, что контроллер, который одновременно является точкой, периодически теряется и не может восстановиться. Адрес управляющего устройства был записан двумя вариантами (по очереди): 127.0.0.1 и 192.168.1.1.

Проблема решилась после добавления правила

add action=accept chain=input comment=»Allow CAPsMAN» dst-port=5246,5247 protocol=udp src-address=127.0.0.1

Глюк (а может и фича) в winbox

В Winbox (кто не в курсе — тулзень для управления Mikrotik) есть терминал (обычный cli) и есть GUI инструменты. При использовании GUI, Tool->Ping (а так же Tool->Traceroute) когда пингуешь по DNS имени, резолв осуществляется на ПК, где запущен winbox, а не на том устройстве, которым управляете. Будьте очень внимательны к этому факту, когда проверяете  работу ДНС серверов с удалённых площадок.

Mikrotik+D-Link DFL 260-e

Настройки Mikrotik

/ip firewall nat
add chain=srcnat dst-address=RemoteNet0/24 src-address=LocalNet0/24
add action=masquerade chain=srcnat out-interface=ether5-WAN
/ip ipsec peer
add address=RemoteGW/32 enc-algorithm=aes-128 generate-policy=port-strict local-address=0.0.0.0 mode-config=request-only nat-traversal=no secret=MegaSecretPassword send-initial-contact=no
/ip ipsec policy
add dst-address=RemoteNet0/24 sa-dst-address=RemoteGW sa-src-address=LocalIP src-address=LocalNet0/24 tunnel=yes

Сам настраивал по статьям http://zaraev.blogspot.com/2014/04/mikrotik-ipsec-d-link-dfl-260e.html и http://zaraev.blogspot.ru/2015/08/mikrotik-auto-12-wifi-work-wifi-free.html, но там не очень удобно расписано, что настраивать на стороне Mikrotik (слишком много всего написано).

 

Бан перебора пароля по SSH для Mkrotik

Код скомуниздил с какого то сайта. Добавляю просто для того, что бы следующий раз не гуглить:).

ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3h comment="" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no