Спочатку новину, потім мої міркування на цю тему.

Новина

Пам'ятайте торішні витоку про уразливість в Cisco і Fotrinet (раз, два, три)? Тенденція зберігається. 7 березня ЗМІ опублікували інформацію про чергові секретні дані про напрацювання спецслужб США в області мережевих технологій — Vault 7. Серед вендорів був і MikroTik. Представники MikroTik відпрацювали досить оперативно. Вони самі проаналізували ці документи і прокоментували дані про уразливість. Заодно випустивши оновлену версію (8 березня), закриває вразливості.
Читати далі →

Для наочного прикладу я буду використовувати маршрутизатор Mikrotik CCR1036-8G-2S+ і комутатор CRS125-24G-1S.

Цей варіант на даний момент працює в декількох готелях Москви і Московської області.
Поставимо умовну завдання, щоб на кожному комутаційному сайті присутня мережа класу А (10.1.0.0/24) для працівників фірми і мережа класу С (192.168.1.0/24) для WiFi для відвідувачів.

Припустимо, у нас є комутаційний вузол A c маршрутизатор Mikrotik CCR1036-8G-2S+, комутаційний вузол B з комутатором CRS125-24G-1S. Комутаційні вузли А і В будуть з'єднані каналом зв'язку (Trunk) у нашому випадку по витій парі (каналів зв'язку (trunk) може бути кілька в залежності від кількості комутаційних вузлів; також якщо є ВОЛЗ і оптичний модуль SFP mikrotik, то можна trunk призначити і на SFP). Наведу нижче схему з використанням trunk по витій парі.

image
Приступимо до налаштування комутаційного вузла A маршрутизатор Mikrotik CCR1036-8G-2S+.

Читати далі →

Блокування завантаження файлів по розширенню. Mikrotik RouterOS

Привіт Хабр! Існує багато обладнання і ПЗ, яке може займатися фільтрацією трафіку. У моєму випадку це Mikrotik RB3011UiAS-RM. Задача була наступною: заборонити завантаження певних форматів файлів.

Начебто просте завдання, і швидке гугление призвело до рішення блокувати з'єднання через Layer7, бо Web-Proxy працює тільки з HTTP. І приклади були, але працювати так як треба — не працювало.

Читати далі →

Скрипт, який пише інший скрипт і налаштовує роутери

<img src=«habrastorage.org/files/043/80f/c8a/04380fc8a7fd40d6b3f66428ea7b8b7b.jpg» alt=«image» alt text"/>
Виробники мережевого устаткування потихеньку рухаються в бік універсального API для налаштування і збору показників: NETCONF, OpenConfig, існує для імпорту MIB, та ж налаштування за допомогою SNMP існує давно. Але я не буду торкатися цих високих матерій, а просто поділюся способом автоматизувати налаштування мережевого обладнання – на випадок масового відкриття філій, наприклад,
Для ілюстрації використовую D-Link DFL-800 в уявному центральному офісі та MikroTik RB951UI-2HnD на периферії. Зокрема, налаштуємо між ними тунель IPsec, раз вже мова про сценарій з новим філією.
Читати далі →

Dual Wan і особливості реалізації NetWatch в MikroTik

«Якщо в простої конфігурації микротик не працює, значить, ви не вмієте його готувати… або явно щось упустили.»
image
Як працюють разом failover і netwatch. Погляд зсередини.

Читати далі →

Налаштування FullMesh мережі на Mikrotik через EoIP тунелі

Початкова ситуація така: є 8 офісів у різних частинах країни, треба їх звести в єдину мережу так, щоб доступність кожного офісу була максимальною при будь-яких катаклізмів. Як роутерів у всіх офісах стоять Mikrotik. На основній площадці — CCR CCR1036-12G, на інших — 1100 AHx2

Щоб уникнути проблем з інтернетом було протягнуто по 2 каналу від різних провайдерів, харчування теж зарезервували і прийшли до питання «а яку мережу будувати?». Як видно з назви статті, в підсумку вирішили будувати FullMesh.

Ця схема повністю задовольняє вимогам керівництва — при виході з ладу будь-якого інтернет-каналу або навіть будь-якого офісу мережа залишається зв'язковий. Залишився лише питання з маршрутизацією. З варіантів був загальний бридж з RSTP, OSPF і статичні маршрути. Природно я в підсумку вибрав OSPF — менше проблем, ніж на статиці і менше навантаження для маршрутизаторів, ніж при RSTP.

Сама налаштування і готовий конфіг під катом.

Читати далі →

Віддалене включення комп'ютера безкоштовно, без смс і без хмар, за допомогою Mikrotik

… а так само без прокидання портів, SSH/telnet і встановлення сторонніх додатків. З будь-якого комп'ютера, підключеного до інтернет і навіть з телефону!
Періодично мені буває потрібно включити домашній комп'ютер, коли я не вдома. Зазвичай я не запарюється і дзвонив або відправляв повідомлення з таким проханням дружині, яка сидить вдома в декреті. Дуже зручний засіб віддаленого управління з голосовим інтерфейсом. Однак у цього способу є ряд недоліків — пішла гуляти, укладає дитини, або ще чимось зайнята. Хотілося простого рішення з того що є під рукою.

Читати далі →

Mikrotik: маленька хитрість switch chip

Моя минула стаття про switch chip на Mikrotik викликала неоднозначну реакцію, а коментар одного з читачів наштовхнув на ідею. І так: як на RB952Ui-5ac2nD зробити більш однієї групи комутації?

Читати далі →

MikroTik. Правильний dst nat при використанні 2-х і більше провайдерів

Приступаючи до виконання завдання я розраховував на легку прогулянку в тіні дубового парку, споглядаючи природу і вдаючись до роздумів… Проте пізніше стало зрозуміло, що це буде тернистий і складний похід крізь гірські річки з підводними каменями, обмерзлими скелями і глибокими печерами.
Через медитації, боротьбу зі стихіями і власною тупістю подолання себе я, все таки, досяг бажаної нірвани.

У цій статті я не тільки надам готовий набір правил, але і постараюся максимально доступно пояснити чому і як саме вони працюють.


Конкретно в моєму випадку, потрібно було налаштувати роутер так, щоб web-сервер в локальній мережі за ним був доступний по IP будь-якого з 3-х провайдерів.

Читати далі →

Установка Mikrotik Cloud Hosted Router на VPS хостинг Digital Ocean

… або інший Linux хостинг.
Відразу обмовлюся, що оскільки мені у процесі всіх експериментів вже набридло зносити і заново налаштовувати дроплет в DO, приклад я буду виконувати в VMware ESXi, але на кінцевий результат це не впливатиме команди будуть ті ж самі, в принципі, це застосовне до будь хмарного VPS хостингу, де у нас є доступ по SSH.
За основу взято доповідь Дмитра Пичулина deemru на минулому 30 вересня MUM у Москві. На відміну від доповіді Дмитра, в цій статті не буде розглядатися питання вибору хостингу і цін на нього (у прагненні намутити хмарний роутер подешевше), налаштування отриманого пристрою. Розглянута лише технічна сторона питання та розв'язані пара проблем.
Читати далі →