Jump to content
Калькуляторы

svetogor82

Пользователи
  • Content Count

    50
  • Joined

  • Last visited

About svetogor82

  • Rank
    Абитуриент

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Mikrotik caps-man не получает ip

    спасибо разобрался
  2. добрый день настраиваю caps-man в итоге клиент когда подключется в wifi не получает ip клиенты должны бsть в 19 vlan на сервере caps-man caps-man export /caps-man channel add band=2ghz-b/g/n name="channel_2.4 Ghz_1" tx-power=28 add band=2ghz-b/g/n name="channel2.4 Ghz_6" tx-power=28 add band=5ghz-a/n/ac extension-channel=Ce name="channel_ 5 Ghz_36" tx-power=28 add band=5ghz-a/n/ac extension-channel=Ce name="channel_ 5 Ghz_44" tx-power=28 /caps-man datapath add client-to-client-forwarding=yes local-forwarding=no name=datapath1 /caps-man interface add disabled=no mac-address=CC:2D:E0:92:20:48 master-interface=none name=cap1 radio-mac=CC:2D:E0:92:20:48 radio-name=CC2DE0922048 add disabled=no mac-address=CC:2D:E0:92:20:49 master-interface=none name=cap2 radio-mac=CC:2D:E0:92:20:49 radio-name=CC2DE0922049 add disabled=no mac-address=CC:2D:E0:92:20:6C master-interface=none name=cap3 radio-mac=CC:2D:E0:92:20:6C radio-name=CC2DE092206C add disabled=no mac-address=CC:2D:E0:92:20:6D master-interface=none name=cap4 radio-mac=CC:2D:E0:92:20:6D radio-name=CC2DE092206D /caps-man security add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm group-key-update=1h name=security1 passphrase=123qweasd /caps-man configuration add channel="channel_ 5 Ghz_36" country=russia datapath=datapath1 datapath.vlan-id=19 datapath.vlan-mode=use-tag mode=ap name=cfg_5G rx-chains=0,1,2,3 security=security1 ssid="Mikrotik caps 5G" tx-chains=0,1,2,3 add channel="channel_2.4 Ghz_1" country=russia datapath=datapath1 datapath.vlan-id=19 datapath.vlan-mode=use-tag mode=ap name=cfg_2.4G rx-chains=0,1,2,3 security=security1 ssid="Mikrotik caps" tx-chains=0,1,2 /caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no interface=any signal-range=-120..-80 ssid-regexp="" add action=accept allow-signal-out-of-range=10s disabled=no interface=any signal-range=-80..120 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=an,ac master-configuration=cfg_5G add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=cfg_2.4G /interface> export add name=bridge_vlan /interface ethernet set [ find default-name=ether1 ] comment=Wan mac-address=00:12:36:15:17:01 speed=100Mbps set [ find default-name=ether2 ] comment=LAN mac-address=00:12:36:15:17:02 speed=100Mbps set [ find default-name=ether3 ] mac-address=00:12:36:15:17:03 speed=100Mbps set [ find default-name=ether4 ] mac-address=00:12:36:15:17:04 speed=100Mbps set [ find default-name=ether5 ] mac-address=00:12:36:15:17:05 speed=100Mbps set [ find default-name=ether6 ] mac-address=00:12:36:15:17:06 speed=100Mbps set [ find default-name=ether7 ] mac-address=00:12:36:15:17:07 speed=100Mbps set [ find default-name=ether8 ] mac-address=00:12:36:15:17:08 speed=100Mbps /interface vlan add comment=WIFI interface=bridge_vlan name=vlan19 vlan-id=19 /interface bridge port add bridge=bridge_vlan interface=ether3 add bridge=bridge_vlan interface=ether2 add bridge=bridge_vlan interface=ether4 add bridge=bridge_vlan interface=cap1 add bridge=bridge_vlan interface=cap2 add bridge=bridge_vlan interface=cap3 add bridge=bridge_vlan interface=cap4 /interface vrrp add interface=vlan19 interval=10s name=vlan19_vrrp_master priority=254 vrid=19 /ip dhcp-server add address-pool=vlan19 disabled=no interface=vlan19_vrrp_master name=vlan19 /ip dhcp-server network add address=10.0.19.0/24 dns-server=10.0.19.1 gateway=10.0.19.1 на точке доступа # model = RBcAPGi-5acD2nD # serial number = BECD08A571C3 /interface bridge add admin-mac=CC:2D:E0:92:20:5A auto-mac=no comment=defconf name=bridgeLocal /interface wireless # managed by CAPsMAN # channel: 2447/20-Ce/gn(20dBm), SSID: Mikrotik caps, CAPsMAN forwarding set [ find default-name=wlan1 ] ssid=MikroTik # managed by CAPsMAN # channel: 5765/20-Ce/ac(20dBm), SSID: Mikrotik caps 5G, CAPsMAN forwarding set [ find default-name=wlan2 ] ssid=MikroTik /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /interface bridge port add bridge=bridgeLocal comment=defconf interface=ether1 add bridge=bridgeLocal comment=defconf interface=ether2 /interface wireless cap # set bridge=bridgeLocal caps-man-addresses=10.0.19.1 discovery-interfaces=bridgeLocal enabled=yes interfaces=wlan1,wlan2 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid disabled=no interface=bridgeLocal /system clock set time-zone-name=Europe/Moscow /system identity set name=caps3
  3. я так понимаю если в реестре поменять значения до должно прокатывть reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters" /v DisableIKENameEkuCheck /t REG_DWORD /d 1
  4. сертификаты делал так #Root CA и сапомодпись /certificate add name=ca common-name="IKEv2 CA" days-valid=6928 /certificate sign ca ca-crl-host=<IP роутера> #Сертификат для сервера vpn /certificate add common-name=<IP роутера> subject-alt-name=IP:<IP роутера> key-usage=tls-server name=vpn days-valid=6928 #Подпись серверного сертификата /certificate sign vpn ca=ca #Сертификат для клиента #Клиенты с одним сертификатам не смогут работать одновременно, поэтому генерируйте по одному для каждого #Для отмены доступа необходимо сделать Revoke клиентского сертификата /certificate add common-name=client key-usage=tls-client name=client days-valid=6928 #Подпись клиентского сертификата /certificate sign client ca=ca
  5. /ip firewall filter add action=accept chain=input comment=L2TP port=1701,500,4500 protocol=udp из Nat адреса исключены
  6. доброе время суток настраиваю IKEv2 VPN на микротике /ip ipsec> export # jul/03/2019 08:59:41 by RouterOS 6.45.1 # software id = 1P31-3YPG # # model = CCR1016-12G # serial number = 574A055F0AF7 /ip ipsec mode-config add address-pool=vpn address-prefix-length=32 name=ike2-conf static-dns=8.8.8.8 system-dns=no /ip ipsec policy group add name=ike2-policies /ip ipsec profile add enc-algorithm=aes-256,aes-128,3des name=ike2 /ip ipsec peer add exchange-mode=ike2 name=ike2 passive=yes profile=ike2 /ip ipsec proposal set [ find default=yes ] auth-algorithms=md5 enc-algorithms=aes-128-cbc,3des add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc name=ike2 pfs-group=none /ip ipsec identity add auth-method=digital-signature certificate=vpn generate-policy=port-strict match-by=certificate mode-config=ike2-conf peer=ike2 policy-template-group=ike2-policies remote-certificate=client в итоге когда подключаюсь с windows 10 соединение не идет в логах получаю 09:02:01 echo: ipsec,debug,packet 084ed603 5a8733c9 00000000 00000000 29202508 00000000 00000028 0000000c 09:02:01 echo: ipsec,debug,packet 00003039 00003619 09:02:01 echo: ipsec -> ike2 request, exchange: INFORMATIONAL:0 x.x.48.2[47] 09:02:01 echo: ipsec ike2 respond 09:02:01 echo: ipsec reply notify: INVALID_SYNTAX 09:02:01 echo: ipsec adding notify: INVALID_SYNTAX 09:02:01 echo: ipsec,debug => (size 0x8) 09:02:01 echo: ipsec,debug 00000008 00000007 09:02:01 echo: ipsec,debug ===== sending 36 bytes from x.x.61.22[500] to x.x.48.2[47] 09:02:01 echo: ipsec,debug 1 times of 36 bytes message will be sent to x.x.48.2[47] 09:02:01 echo: ipsec,debug,packet 084ed603 5a8733c9 00000000 00000000 29202520 00000000 00000024 00000008 09:02:01 echo: ipsec,debug,packet 00000007 09:02:31 echo: ipsec,debug KA: x.x.61.22[4500]->x.x.48.2[47] 09:02:31 echo: ipsec,debug 1 times of 1 bytes message will be sent to x.x.48.2[47] 09:02:31 echo: ipsec,debug,packet ff 09:02:31 echo: ipsec child negitiation timeout in state 0 09:02:31 echo: ipsec,info killing ike2 SA: x.x.61.22[4500]-x.x.48.2[47] spi:861d0378e501f667:fc2e697972d65712 09:02:31 echo: ipsec KA remove: x.x.61.22[4500]->x.x.48.2[47] 09:02:31 echo: ipsec,debug KA tree dump: x.x.61.22[4500]->x.x.48.2[47] (in_use=2) 09:02:31 echo: ipsec child negitiation timeout in state 0 09:02:31 echo: ipsec,info killing ike2 SA: x.x.61.22[4500]-x.x.48.2[47] spi:e05ddda0b272dee5:084ed6035a8733c9 09:02:31 echo: ipsec KA remove: x.x.61.22[4500]->x.x.48.2[47] 09:02:31 echo: ipsec,debug KA tree dump: x.x.61.22[4500]->x.x.48.2[47] (in_use=1) 09:02:31 echo: ipsec,debug KA removing this one...
  7. а если закрыть ихние подсети https://support.anydesk.com/Firewall   что то пипа /ip firewall filter add action=drop chain=forward comment=anydesk dst-address-list=anydesk /ip firewall address-list add address=relays.net.anydesk.com list=anydesk
  8. если выключить правило add action=drop chain=forward disabled=yes layer7-protocol=teamviewer1 src-address-list=!en-teamview то teamviewer работает на всех компах сети а пинг тут при чём ? фильтрация идет через layer7-protocol и это только кусок firewall
  9. доброе время суток нужно блокировать teamviewer и исключениями add action=drop chain=forward comment=team layer7-protocol=teamviewer src-address-list=!en-teamview add action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!en-teamview add action=drop chain=forward layer7-protocol=ammyy src-address-list=!en-teamview add action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!en-teamview add action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!en-teamview add action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!en-teamview add action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!en-teamview add action=drop chain=forward content=teamviewer.com src-address-list=!en-teamview /ip firewall address-list add address=10.0.8.47 list=en-teamview /ip firewall layer7-protocol add name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate" add name=teamviewer1 regexp="^\\x17" add name=ammyy regexp=^.*rl.ammyy.com.* в итоге не подключает хост 10.0.8.47
  10. доброе время суток необходимо заблокировать teamviewer на всю сеть за исключением нескольких хостов делаю /ip firewall filter add action=drop chain=forward comment=team layer7-protocol=teamviewer src-address-list=!en-teamview add action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!en-teamview add action=drop chain=forward layer7-protocol=ammyy src-address-list=!en-teamview add action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!en-teamview add action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!en-teamview add action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!en-teamview add action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!en-teamview add action=drop chain=forward content=teamviewer.com src-address-list=!en-teamview /ip firewall address-list add address=10.0.8.47 list=en-teamview /ip firewall layer7-protocol add name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate" add name=teamviewer1 regexp="^\\x17" add name=ammyy regexp=^.*rl.ammyy.com.* и итоге хост 10.0.8.47 не может соединится если отключить правило add action=drop chain=forward disabled=yes layer7-protocol=teamviewer1 src-address-list=!en-teamview то подключение проходит но тогда все хосты могут подключаться
  11. Имеются 2 сервера на freebsd 11 них крутится samba 4.4 cat /usr/local/etc/smb4.conf [global] workgroup = TEST realm = test.local netbios name = SAMBA server role = active directory domain controller server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate, dns idmap_ldb:use rfc2307 = yes allow dns updates = nonsecure nsupdate command = /usr/local/bin/samba-nsupdate -g timeserver = yes template shell = /usr/local/bin/bash template homedir = /usr/home/samba/home/%ACCOUNTNAME% unix charset = koi8-r dos charset = cp866 vfs objects = acl_xattr map acl inherit = yes store dos attributes = yes acl allow execute always dns forwarder = 172.16.0.5 log level = 3 idmap config TEST:backend = ad idmap config TEST:schema_mode = rfc2307 idmap config TEST:default = yes winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes winbind trusted domains only = no winbind use default domain = yes смотрю id пользователя на основном id 11 uid=3000082(TEST\11) gid=20(staff) groups=20(staff),3000082(TEST\11) и на резервном id 11 uid=3000077(TEST\11) gid=10002(users) groups=10002(users),3000077(TEST\11) uid у пользователей разный
  12. возникла необходимость писать ip адрес ни мак адрес на другой сервер для дольнейший обработки нашел скрипт пытался под себя его переделать только он ято то у меня не заработал /ip dhcp-server> export # mar/12/2015 10:56:05 by RouterOS 6.27 # software id = N8AV-5CVY # /ip dhcp-server add add-arp=yes address-pool=dhcp_pool1 authoritative=yes disabled=no interface=bridge-local lease-script=":if (\$leaseBound = 1) do={\r\ \n/ip dhcp-server lease;\r\ \n:foreach i in=[find dynamic=yes] do={\r\ \n:local dhcpip\r\ \n:set dhcpip [ get \$i address ];\r\ \n:local clientid\r\ \n:set clientid [get \$i host-name];\r\ \n \r\ \n:if (\$leaseActIP = \$dhcpip) do={\r\ \n:local comment \"New IP\"\r\ \n:set comment ( \$comment . \": \" . \$dhcpip . \": \" . \$clientid);\r\ \n/log error \$comment;\r\ \n/system ssh 192.168.0.1 user=mikrotik command=\" echo \$leaseActIP \$leaseActMAC >> 1.txt\" \r\ \n\r\ \n}\r\ \n}\r\ \n}" name=dhcp1 /ip dhcp-server network add address=100.100.1.0/24 gateway=100.100.1.1
  13. спасибо действительно проблема была в этом
  14. в /routing ospf network сеть обявлена /routing ospf network> print 5 10.0.6.0/24 backbone как я показывал выше это с клиента pptp там видно что пакет в филиал попал а именно он пришел на тунельный интерфейс а дальше не идет
  15. спасибо за помощь