snik_1900

1. RouterBoard 450G работает на ура. 2. У прова действительно редирект с 80го порта. Для не плательщиков. Мы туда вроде бы не должны были попадать (фильтр по IP). Переписали правила у прова и все заработало. Спасибо.

Конфиг: [admin@MikroTik] > /export # apr/10/2017 12:01:15 by RouterOS 6.34.4 # software id = H13B-GZKV # /interface bridge add name=bridge2 /interface wireless set [ find default-name=wlan1 ] disabled=no mode=ap-bridge ssid=tipgr wireless-protocol=802.11 /interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=Password use-peer-dns=yes user=pppoeXXX /ip neighbor discovery set ether1 discover=no /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys wpa-pre-shared-key=Password wpa2-pre-shared-key=Password /ip pool add name=dhcp ranges=192.168.0.3-192.168.0.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge2 name=dhcp1 /ppp profile set *0 use-encryption=no /interface bridge port add bridge=bridge2 interface=ether2 add bridge=bridge2 interface=ether3 add bridge=bridge2 interface=ether4 add bridge=bridge2 interface=ether5 add bridge=bridge2 interface=wlan1 /ip address add address=192.168.0.1/24 interface=ether2 network=192.168.0.0 /ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24 /ip dns set servers=8.8.8.8 /ip firewall filter add chain=input protocol=icmp add chain=input connection-state=established add chain=input connection-state=related add action=drop chain=input disabled=yes in-interface=pppoe-out1 /ip firewall nat # pppoe-out1 not ready add action=masquerade chain=srcnat out-interface=pppoe-out1 /system clock set time-zone-name=Europe/Moscow /system leds set 0 interface=wlan1 /system routerboard settings set protected-routerboot=disabled /tool mac-server set [ find default=yes ] disabled=yes add interface=ether2 add interface=ether3 add interface=ether4 add interface=ether5 add interface=wlan1 /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2 add interface=ether3 add interface=ether4 add interface=ether5 add interface=wlan1 [admin@MikroTik] >

D:\1>telnet ya.ru 80 Подключение к ya.ru...Не удалось открыть подключение к этому узлу, на порт 80: Сбой подключения Сразу предвижу следующий вопрос: D:\1>ping ya.ru Обмен пакетами с ya.ru [213.180.193.3] с 32 байтами данных: Ответ от 213.180.193.3: число байт=32 время=24мс TTL=56 Ответ от 213.180.193.3: число байт=32 время=24мс TTL=56 Ответ от 213.180.193.3: число байт=32 время=23мс TTL=56 Ответ от 213.180.193.3: число байт=32 время=26мс TTL=56 Статистика Ping для 213.180.193.3: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 23мсек, Максимальное = 26 мсек, Среднее = 24 мсек D:\1>telnet ya.ru 443 ^C TTP/1.1 400 Bad Request Server: nginx Date: Mon, 10 Apr 2017 07:48:57 GMT Content-Type: text/html; charset=utf-8 Content-Length: 166 Connection: close <html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> <hr><center>nginx</center> </body> </html> Подключение к узлу утеряно.

Добрый день. Есть новый RB951G-2HnD. Провайдер дает подключение по pppoe. Роутер подключается к провайдеру. Выпускает из локалки наружу на все порты кроме 80-го. Без проблем открывает любой сайт по http на любом порту кроме 80-го. При этом https работает без проблем. Убирал все правила в фаерволе и mangle. Сбрасывал настройки. Пробовал настраивать и через wizard и в ручную. Результат один и тот же. Где копать?

Как минимум они должны предоставить источник: откуда они этот IP получили. Причем источник должен быть общедоступным. В противном случае можно сказать что сайт похож, но не тот что указан в реестре, так как расположен на другом сервере, или вообще подделка или... вариантов много. Такое возможно, господа юристы?

Частная беседа с представителем РЧЦ. У меня страница была то же динамическая. Было много проскоков. Сделал статическую проскоков стало меньше раза в 2-3 Там не все так просто. Как я понял они еще и ip сервера проверяют с которого пришел ответ. Наши "глушилки" они уже вычислили давно. И если "доступ заблокирован" пришел не с глушилки, то скорее всего будут считать что доступ открыт.

У меня в виндовой. Но там в заголовке указывается кодировка.

По слухам о предыдущей версии: "агент анализирует сначала http заголовки, а затем содержимое страницы. В содержимом страницы анализируются первые 3000 символов... Проверяется http заголовок, содержащий количество символов страницы - Content-Length: 12513, поэтому если у вас изменится содержимое страницы - агента нужно будет переобучить. Однако, если бы код страницы был более компактным и не содержал орфографической ошибки, то сработало бы общее правило для всех операторов - поиск по ключевым словам на странице - "доступ заблокирован". "

А кто как подставляет в ответ на https? У меня просто ничего не возвращается. SQUID не редиректит. Вернее как я понимаю он не может перенаправить с одного https сайта на другой.

А они не хотят сообщить откуда они получают эти IP? Какие DNS сервера использует их агент?

Я каждый час делаю опрос DNS-IP у 3х серверов с двух своих серверов. Свой, 8.8.8.8 и 77.88.8.1 Кроме того, все IP, которые ранее были связаны с этим URL или доменом, я не удаляю. И само собой все IP из реестра. Далее всё это складывается в кучку, sort -u <... Ну не было этих IP!!! Где РЧЦ их добывает?!

Не только. Например: "227424" http://allfon.tv 104.24.120.64 allfon.tv has address 104.27.139.153 allfon.tv has address 104.27.138.153

Откуда они IP адреса берут?

Мне гораздо интереснее когда они начнут СВОИ! ошибки устранять в реестре. Жалобы в наш местный РЧЦ как-то не сильно помогают. И отчет хотелось бы в нормальном виде получать. Со скрыншотами и пояснениями. А не абстракциями.

Правильно ли я понял: Они сначала одобрили способ закрытия ресурсов с помощью специальных ответов DNS сервера, а потом сделали так, чтобы ревизор не использовал DNS сервер провайдера и обходил блокировку сделанную DNS сервером провайдера? Более того они скорее всего вообще DNS запросы не делают при этом варианте проверки. Весьма забавно... Лично мы уже давно поняли что их рекомендациям следовать опасно. Они как специально предлагают несовершенную методику (а совершенных не придумать) а потом, зная недостатки (еще бы они не знали недостатки и ограничения своей методики), они ловят тех простаков которые применяют методику. Не совсем так. Как я понял DNS провайдера используется. Но они ещё в довесок проверяют свой же список IP. Весьма удобный способ давления на операторов. Я вот думаю 443 порт закрывать или ограничиться только 80 для ip из их списка адресов. Какие мнения? Ни вижу причин для штрафов. Покажут скрыншот со страничкой. Вот и причина. Формально правы они. Операторы должны соблюдать закон. А в законе сказано: "ограничить доступ". Их памятка не является "высшей инстанцией". Она лишь даёт рекомендации.

А кто заставляет нарушать? Когда, после очередной проверке, придет штраф - узнаем ;) :(

И как теперь быть? Кто как из этой ситуации планирует выбираться? Сейчас ещё раз перечитал "Памятку оператору связи": если content.blockType = domain то Если указано значение «domain», то указатели страниц сайтов (URL) для данной реестровой записи будут отсутствовать, необходимо ограничить доступ к домену целиком. если content.blockType = domain-mask, то Если указано значение «domain-mask», то указатели страниц сайтов (URL) для данной реестровой записи будут отсутствовать, значение доменного имени будет указано с маской в виде «*.domain.com». При этом необходимо ограничить доступ к основному доменному имени, а также ко всем доменным именам, подпадающим под маску. ПРО БЛОКИРОВКУ ПО IP ПРИ content.blockType = domain-mask ИЛИ domain НЕТ НИ СЛОВА!!! Какой порт на этом IP нужно блокировать? Или полностью весь IP? Я туплю или нас заставляют нарушать их же инструкцию?

Спасибо. Уже разобрался. Правильнее наверное: /ip firewall nat add chain=dstnat action=netmap to-addresses=A.B.C.D to-ports=53 protocol=udp dst-address=!Z.X.C.V in-interface=ether1 dst-port=53 где: A.B.C.D и Z.X.C.V нужные DNSсервера Они находятся между Mikrotik'ом и пограничным роутером, так что их обрезать не надо.

Пока наши юристы ломают головы мне нужно выполнять рекомендации РКН Допники подписать со всеми нашими абонентами до 15го мы скорее всего не успеем. Тем более абоненты далеко не все смогут сами перенастроить своё железо. А по сему повторюсь: Как весь исходящий с Mikrotik'а трафик на any:53 перенаправить на нужный_IP:53 ?

А за блокировку сторонних DNS серверов не настучат? По моему это не сильно различаемые в плане закона вещи.

Каким образом? А главное чем? 15е уже не за горами. Можно прикрыться п.10 Рекомендаций

А теперь вопрос по существу к любителям и профи по Mikrotik'ам: Как весь исходящий трафик на any:53 перенаправить на нужный_IP:53 ?

Особенно интересно посмотреть пример работающего конфига...

Т.е www.graniru.info в первом случае должен быть доступен? Зашибись. Маразм крепчает..... Тоды ещё один вопрос: как BINDу объяснить сие отличие?

А кто-то может объяснить чем блокировка типа daomain отличается от domain-mask?