Jump to content
Калькуляторы

svetogor82

Пользователи
  • Content Count

    52
  • Joined

  • Last visited

About svetogor82

  • Rank
    Абитуриент

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. а если он вылетит ? простой денег стоит   не понимаю для чего нужен третий зачем их объединять ?
  2. доброе время суток есть теоретический вопрос как реализовать резервирование канала между доп офисами и центральным офисом. В филиалах есть несколько каналов связи. пришла такая идея поставить в филиал по 2 mikrotik на них сделать gre туннели и ospf. В филиале поднять vrrp интерфейсы внутри сети и мониторить доступность интернета через netwatch если канал отваливается то гасить один из vrrp интерфейсов. Подскажите как лучше реализовать схему тут на форуме еще нащел вот что человек писал. При такой схеме не понятно как происходит переключение интернета в филиалах если один канал отваливается
  3. Mikrotik caps-man не получает ip

    спасибо разобрался
  4. добрый день настраиваю caps-man в итоге клиент когда подключется в wifi не получает ip клиенты должны бsть в 19 vlan на сервере caps-man caps-man export /caps-man channel add band=2ghz-b/g/n name="channel_2.4 Ghz_1" tx-power=28 add band=2ghz-b/g/n name="channel2.4 Ghz_6" tx-power=28 add band=5ghz-a/n/ac extension-channel=Ce name="channel_ 5 Ghz_36" tx-power=28 add band=5ghz-a/n/ac extension-channel=Ce name="channel_ 5 Ghz_44" tx-power=28 /caps-man datapath add client-to-client-forwarding=yes local-forwarding=no name=datapath1 /caps-man interface add disabled=no mac-address=CC:2D:E0:92:20:48 master-interface=none name=cap1 radio-mac=CC:2D:E0:92:20:48 radio-name=CC2DE0922048 add disabled=no mac-address=CC:2D:E0:92:20:49 master-interface=none name=cap2 radio-mac=CC:2D:E0:92:20:49 radio-name=CC2DE0922049 add disabled=no mac-address=CC:2D:E0:92:20:6C master-interface=none name=cap3 radio-mac=CC:2D:E0:92:20:6C radio-name=CC2DE092206C add disabled=no mac-address=CC:2D:E0:92:20:6D master-interface=none name=cap4 radio-mac=CC:2D:E0:92:20:6D radio-name=CC2DE092206D /caps-man security add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm group-key-update=1h name=security1 passphrase=123qweasd /caps-man configuration add channel="channel_ 5 Ghz_36" country=russia datapath=datapath1 datapath.vlan-id=19 datapath.vlan-mode=use-tag mode=ap name=cfg_5G rx-chains=0,1,2,3 security=security1 ssid="Mikrotik caps 5G" tx-chains=0,1,2,3 add channel="channel_2.4 Ghz_1" country=russia datapath=datapath1 datapath.vlan-id=19 datapath.vlan-mode=use-tag mode=ap name=cfg_2.4G rx-chains=0,1,2,3 security=security1 ssid="Mikrotik caps" tx-chains=0,1,2 /caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no interface=any signal-range=-120..-80 ssid-regexp="" add action=accept allow-signal-out-of-range=10s disabled=no interface=any signal-range=-80..120 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=an,ac master-configuration=cfg_5G add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=cfg_2.4G /interface> export add name=bridge_vlan /interface ethernet set [ find default-name=ether1 ] comment=Wan mac-address=00:12:36:15:17:01 speed=100Mbps set [ find default-name=ether2 ] comment=LAN mac-address=00:12:36:15:17:02 speed=100Mbps set [ find default-name=ether3 ] mac-address=00:12:36:15:17:03 speed=100Mbps set [ find default-name=ether4 ] mac-address=00:12:36:15:17:04 speed=100Mbps set [ find default-name=ether5 ] mac-address=00:12:36:15:17:05 speed=100Mbps set [ find default-name=ether6 ] mac-address=00:12:36:15:17:06 speed=100Mbps set [ find default-name=ether7 ] mac-address=00:12:36:15:17:07 speed=100Mbps set [ find default-name=ether8 ] mac-address=00:12:36:15:17:08 speed=100Mbps /interface vlan add comment=WIFI interface=bridge_vlan name=vlan19 vlan-id=19 /interface bridge port add bridge=bridge_vlan interface=ether3 add bridge=bridge_vlan interface=ether2 add bridge=bridge_vlan interface=ether4 add bridge=bridge_vlan interface=cap1 add bridge=bridge_vlan interface=cap2 add bridge=bridge_vlan interface=cap3 add bridge=bridge_vlan interface=cap4 /interface vrrp add interface=vlan19 interval=10s name=vlan19_vrrp_master priority=254 vrid=19 /ip dhcp-server add address-pool=vlan19 disabled=no interface=vlan19_vrrp_master name=vlan19 /ip dhcp-server network add address=10.0.19.0/24 dns-server=10.0.19.1 gateway=10.0.19.1 на точке доступа # model = RBcAPGi-5acD2nD # serial number = BECD08A571C3 /interface bridge add admin-mac=CC:2D:E0:92:20:5A auto-mac=no comment=defconf name=bridgeLocal /interface wireless # managed by CAPsMAN # channel: 2447/20-Ce/gn(20dBm), SSID: Mikrotik caps, CAPsMAN forwarding set [ find default-name=wlan1 ] ssid=MikroTik # managed by CAPsMAN # channel: 5765/20-Ce/ac(20dBm), SSID: Mikrotik caps 5G, CAPsMAN forwarding set [ find default-name=wlan2 ] ssid=MikroTik /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /interface bridge port add bridge=bridgeLocal comment=defconf interface=ether1 add bridge=bridgeLocal comment=defconf interface=ether2 /interface wireless cap # set bridge=bridgeLocal caps-man-addresses=10.0.19.1 discovery-interfaces=bridgeLocal enabled=yes interfaces=wlan1,wlan2 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid disabled=no interface=bridgeLocal /system clock set time-zone-name=Europe/Moscow /system identity set name=caps3
  5. я так понимаю если в реестре поменять значения до должно прокатывть reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters" /v DisableIKENameEkuCheck /t REG_DWORD /d 1
  6. сертификаты делал так #Root CA и сапомодпись /certificate add name=ca common-name="IKEv2 CA" days-valid=6928 /certificate sign ca ca-crl-host=<IP роутера> #Сертификат для сервера vpn /certificate add common-name=<IP роутера> subject-alt-name=IP:<IP роутера> key-usage=tls-server name=vpn days-valid=6928 #Подпись серверного сертификата /certificate sign vpn ca=ca #Сертификат для клиента #Клиенты с одним сертификатам не смогут работать одновременно, поэтому генерируйте по одному для каждого #Для отмены доступа необходимо сделать Revoke клиентского сертификата /certificate add common-name=client key-usage=tls-client name=client days-valid=6928 #Подпись клиентского сертификата /certificate sign client ca=ca
  7. /ip firewall filter add action=accept chain=input comment=L2TP port=1701,500,4500 protocol=udp из Nat адреса исключены
  8. доброе время суток настраиваю IKEv2 VPN на микротике /ip ipsec> export # jul/03/2019 08:59:41 by RouterOS 6.45.1 # software id = 1P31-3YPG # # model = CCR1016-12G # serial number = 574A055F0AF7 /ip ipsec mode-config add address-pool=vpn address-prefix-length=32 name=ike2-conf static-dns=8.8.8.8 system-dns=no /ip ipsec policy group add name=ike2-policies /ip ipsec profile add enc-algorithm=aes-256,aes-128,3des name=ike2 /ip ipsec peer add exchange-mode=ike2 name=ike2 passive=yes profile=ike2 /ip ipsec proposal set [ find default=yes ] auth-algorithms=md5 enc-algorithms=aes-128-cbc,3des add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc name=ike2 pfs-group=none /ip ipsec identity add auth-method=digital-signature certificate=vpn generate-policy=port-strict match-by=certificate mode-config=ike2-conf peer=ike2 policy-template-group=ike2-policies remote-certificate=client в итоге когда подключаюсь с windows 10 соединение не идет в логах получаю 09:02:01 echo: ipsec,debug,packet 084ed603 5a8733c9 00000000 00000000 29202508 00000000 00000028 0000000c 09:02:01 echo: ipsec,debug,packet 00003039 00003619 09:02:01 echo: ipsec -> ike2 request, exchange: INFORMATIONAL:0 x.x.48.2[47] 09:02:01 echo: ipsec ike2 respond 09:02:01 echo: ipsec reply notify: INVALID_SYNTAX 09:02:01 echo: ipsec adding notify: INVALID_SYNTAX 09:02:01 echo: ipsec,debug => (size 0x8) 09:02:01 echo: ipsec,debug 00000008 00000007 09:02:01 echo: ipsec,debug ===== sending 36 bytes from x.x.61.22[500] to x.x.48.2[47] 09:02:01 echo: ipsec,debug 1 times of 36 bytes message will be sent to x.x.48.2[47] 09:02:01 echo: ipsec,debug,packet 084ed603 5a8733c9 00000000 00000000 29202520 00000000 00000024 00000008 09:02:01 echo: ipsec,debug,packet 00000007 09:02:31 echo: ipsec,debug KA: x.x.61.22[4500]->x.x.48.2[47] 09:02:31 echo: ipsec,debug 1 times of 1 bytes message will be sent to x.x.48.2[47] 09:02:31 echo: ipsec,debug,packet ff 09:02:31 echo: ipsec child negitiation timeout in state 0 09:02:31 echo: ipsec,info killing ike2 SA: x.x.61.22[4500]-x.x.48.2[47] spi:861d0378e501f667:fc2e697972d65712 09:02:31 echo: ipsec KA remove: x.x.61.22[4500]->x.x.48.2[47] 09:02:31 echo: ipsec,debug KA tree dump: x.x.61.22[4500]->x.x.48.2[47] (in_use=2) 09:02:31 echo: ipsec child negitiation timeout in state 0 09:02:31 echo: ipsec,info killing ike2 SA: x.x.61.22[4500]-x.x.48.2[47] spi:e05ddda0b272dee5:084ed6035a8733c9 09:02:31 echo: ipsec KA remove: x.x.61.22[4500]->x.x.48.2[47] 09:02:31 echo: ipsec,debug KA tree dump: x.x.61.22[4500]->x.x.48.2[47] (in_use=1) 09:02:31 echo: ipsec,debug KA removing this one...
  9. а если закрыть ихние подсети https://support.anydesk.com/Firewall   что то пипа /ip firewall filter add action=drop chain=forward comment=anydesk dst-address-list=anydesk /ip firewall address-list add address=relays.net.anydesk.com list=anydesk
  10. если выключить правило add action=drop chain=forward disabled=yes layer7-protocol=teamviewer1 src-address-list=!en-teamview то teamviewer работает на всех компах сети а пинг тут при чём ? фильтрация идет через layer7-protocol и это только кусок firewall
  11. доброе время суток нужно блокировать teamviewer и исключениями add action=drop chain=forward comment=team layer7-protocol=teamviewer src-address-list=!en-teamview add action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!en-teamview add action=drop chain=forward layer7-protocol=ammyy src-address-list=!en-teamview add action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!en-teamview add action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!en-teamview add action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!en-teamview add action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!en-teamview add action=drop chain=forward content=teamviewer.com src-address-list=!en-teamview /ip firewall address-list add address=10.0.8.47 list=en-teamview /ip firewall layer7-protocol add name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate" add name=teamviewer1 regexp="^\\x17" add name=ammyy regexp=^.*rl.ammyy.com.* в итоге не подключает хост 10.0.8.47
  12. доброе время суток необходимо заблокировать teamviewer на всю сеть за исключением нескольких хостов делаю /ip firewall filter add action=drop chain=forward comment=team layer7-protocol=teamviewer src-address-list=!en-teamview add action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!en-teamview add action=drop chain=forward layer7-protocol=ammyy src-address-list=!en-teamview add action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!en-teamview add action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!en-teamview add action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!en-teamview add action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!en-teamview add action=drop chain=forward content=teamviewer.com src-address-list=!en-teamview /ip firewall address-list add address=10.0.8.47 list=en-teamview /ip firewall layer7-protocol add name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate" add name=teamviewer1 regexp="^\\x17" add name=ammyy regexp=^.*rl.ammyy.com.* и итоге хост 10.0.8.47 не может соединится если отключить правило add action=drop chain=forward disabled=yes layer7-protocol=teamviewer1 src-address-list=!en-teamview то подключение проходит но тогда все хосты могут подключаться
  13. Имеются 2 сервера на freebsd 11 них крутится samba 4.4 cat /usr/local/etc/smb4.conf [global] workgroup = TEST realm = test.local netbios name = SAMBA server role = active directory domain controller server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate, dns idmap_ldb:use rfc2307 = yes allow dns updates = nonsecure nsupdate command = /usr/local/bin/samba-nsupdate -g timeserver = yes template shell = /usr/local/bin/bash template homedir = /usr/home/samba/home/%ACCOUNTNAME% unix charset = koi8-r dos charset = cp866 vfs objects = acl_xattr map acl inherit = yes store dos attributes = yes acl allow execute always dns forwarder = 172.16.0.5 log level = 3 idmap config TEST:backend = ad idmap config TEST:schema_mode = rfc2307 idmap config TEST:default = yes winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes winbind trusted domains only = no winbind use default domain = yes смотрю id пользователя на основном id 11 uid=3000082(TEST\11) gid=20(staff) groups=20(staff),3000082(TEST\11) и на резервном id 11 uid=3000077(TEST\11) gid=10002(users) groups=10002(users),3000077(TEST\11) uid у пользователей разный
  14. возникла необходимость писать ip адрес ни мак адрес на другой сервер для дольнейший обработки нашел скрипт пытался под себя его переделать только он ято то у меня не заработал /ip dhcp-server> export # mar/12/2015 10:56:05 by RouterOS 6.27 # software id = N8AV-5CVY # /ip dhcp-server add add-arp=yes address-pool=dhcp_pool1 authoritative=yes disabled=no interface=bridge-local lease-script=":if (\$leaseBound = 1) do={\r\ \n/ip dhcp-server lease;\r\ \n:foreach i in=[find dynamic=yes] do={\r\ \n:local dhcpip\r\ \n:set dhcpip [ get \$i address ];\r\ \n:local clientid\r\ \n:set clientid [get \$i host-name];\r\ \n \r\ \n:if (\$leaseActIP = \$dhcpip) do={\r\ \n:local comment \"New IP\"\r\ \n:set comment ( \$comment . \": \" . \$dhcpip . \": \" . \$clientid);\r\ \n/log error \$comment;\r\ \n/system ssh 192.168.0.1 user=mikrotik command=\" echo \$leaseActIP \$leaseActMAC >> 1.txt\" \r\ \n\r\ \n}\r\ \n}\r\ \n}" name=dhcp1 /ip dhcp-server network add address=100.100.1.0/24 gateway=100.100.1.1
  15. спасибо действительно проблема была в этом