aytishnikcom

Надо же сколько на беду школьника откликнулось... Нет-бы послать куда подальше... на форум слаботочников и учиться, так нет развели... Один плюс, может купит с дуру и начнет тупить с RouterOS вопросики задавать..

Лучше Сambium или UBNT, микротик глучный для этого и не годен.

Как ограничить количество пакетов в секунду на один ip адрес?

Правильная таблица мощности mikrotik Wi-Fi Tx Power? 14dBm (25,1мВт) 15dBm (31,6мВт) 16dBm (38,8мВт) 17dBm (50,1мВт) 18dBm (63,1мВт) 19dBm (79,4мВт) 20dBm (100мВт) 21dBm (126 mW) 22dBm (158 mW) 23dBm (200 mW) 24dBm (250 mW) 25dBm (316 mW) 26dBm (398мВт) 27dBm (500мВт) 28dBm (630 mW) 29dBm (800мВт) 30dBm (1.0 W)

Создание гостевой сети, Wi-Fi точки доступа MikroTik

Ага, что мешает качественный Mean Well сразу блок питания купить?

хаха, пишет: 1) 5000 хомячков Сам то наверное главный хомяк, раз не знает, что такое Tools - profiles Да и не красиво так обзывать если сам такой, указали где посмотреть, так еще надо и разжевать!

Не понимаю админов которые ставят такое поделие RouterOS на x86. И спрашивают о зависаниях mikrotik x86 и пишут: хотелось бы иметь свежую и стабильную версию. Один смех над такими админами, гнать их куда подальше... Есть IPFire, OPNsense, pfSense, Zeroshell, VyOS, Endian Firewall Community. FreeBSD, CentOS, Ubuntu Server, Debian GNU/Linux итд. Ну ладно еще можно прикупить маршрутизатор mikrotik, но ставить RouterOS на x86 это...

Купил бы себе Ubiquiti EdgeRouter X вот тебе и Linux

Отваливается именно порт который от провайдера приходит, не смотря куда у вас воткнут? Тогда что-то с проводами, или петля у провайдера. Какая длина провода который отваливается? Попросите провайдера чтоб ваш провод на другой порт посадили.

Блок питания поменяй!

Можете еще добавить только что советует DRiVen, к этому # Блокируем DNS запросы на внешний интерфейс

А что станет с вами, если вы поедите все новогодние ресурсы? Обычно достаточно просто пить в новый год, меняя рюмки и бакалы, чтоб нельзя было с ходу определить что вы пьете, больше закусывайте, чтобы нельзя было с ходу определить кто где на каком стуле сидит, поставьте на стол еще бутылку... тогда на его ДНС никто извне не попадет..

Да желательно добавить правила как советует (даже обязательно!) DRiVen. Вот примерный такой полный конфиг с описанием и в какой последовательности: /ip firewall filter # Блокируем всех из чёрного списка add action=drop chain=input comment="Drop blocklist" dst-address-list=blocklist add action=drop chain=forward comment="Drop blocklist" dst-address-list=blocklist # Фильтруем полезный ICMP add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="ICMP echo reply" add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="ICMP net unreachable" add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="ICMP host unreachable" add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="ICMP host unreachable fragmentation required" add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="ICMP allow source quench" add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="ICMP allow echo request" add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="ICMP allow time exceed" add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="ICMP allow parameter bad" add chain=icmp action=drop comment="ICMP deny all other types" # Блокируем Bogon add action=drop chain=forward comment="Block Bogon IP Address" src-address=127.0.0.0/8 add action=drop chain=forward dst-address=127.0.0.0/8 add action=drop chain=forward src-address=224.0.0.0/3 add action=drop chain=forward dst-address=224.0.0.0/3 # Блокируем DNS запросы на внешний интерфейс add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp add chain=input action=drop in-interface=wan protocol=udp dst-port=53 # Защита от брутфорса SSH add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \ protocol=tcp src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=3d chain=input connection-state=new dst-port=22 \ protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout= \ 30m chain=input connection-state=new dst-port=22 protocol=tcp \ src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout= \ 30m chain=input connection-state=new dst-port=22 protocol=tcp \ src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout= \ 30m chain=input connection-state=new dst-port=22 protocol=tcp # Защита от сканера портов add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="Port scanners to list" disabled=no # Комбинации TCP флагов, указывающих на использование сканера портов add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="NMAP FIN Stealth scan" add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="SYN/FIN scan" add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="SYN/RST scan" add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="FIN/PSH/URG scan" add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="ALL/ALL scan" add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="NMAP NULL scan" # Запрет подключений сканеров портов add chain=input src-address-list=port_scanners action=drop comment="dropping port scanners" disabled=no add chain=forward src-address-list=port_scanners action=drop comment="dropping port scanners" disabled=no # Разрешаем уже установленные подключения и связанные add chain=input connection-state=established action=accept comment="Allow Established connections" add chain=input connection-state=related action=accept comment="Allow Related connections" # Разрешаем внешние подключения для собственных нужд add action=accept chain=input dst-port=22 in-interface=WAN protocol=tcp comment="Allow SSH" add action=accept chain=input dst-port=80 in-interface=WAN protocol=tcp comment="Allow HTTP" add action=accept chain=input dst-port=161 in-interface=WAN protocol=udp comment="Allow SNMP" add action=accept chain=input dst-port=443 in-interface=WAN protocol=tcp comment="Allow HTTPS" add action=accept chain=input dst-port=1194 in-interface=WAN protocol=tcp comment="Allow OpenVPN" add action=accept chain=input dst-port=1194 in-interface=WAN protocol=udp add chain=input comment="Allow L2TP" dst-port=1701 in-interface=WAN protocol=tcp add chain=input comment="Allow L2TP" dst-port=1701 in-interface=WAN protocol=udp add chain=input comment="Allow PPTP" dst-port=1723 in-interface=WAN protocol=tcp add chain=input comment="Allow GRE" in-interface=WAN protocol=gre # Запрет всех входящих на маршрутизатор add chain=input in-interface=WAN action=drop comment="Drop everything else" # Разрешаем уже установленные подключения и связанные add chain=forward connection-state=established action=accept comment="Allow Established connections" add chain=forward connection-state=related action=accept comment="Allow Related connections" # Запрет транзита '''битых''' и '''неправильных''' пакетов add chain=forward connection-state=invalid action=drop comment="Drop Invalid connections" # Заперт установки новых транзитных входящих соединений на WAN порту add action=drop chain=forward comment="Drop new forward WAN" connection-state=new in-interface=WAN

# Блокируем DNS запросы на внешний интерфейс add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp add chain=input action=drop in-interface=wan protocol=udp dst-port=53 Только свой пропиши: in-interface=WAN

rb3011 научился обеспечивают производительность 1 000 000 пакетов в секунду для 64 байтных пакетов, как это делает Ubiquiti EdgeRouter Lite, rb3011 разве уже имеет модуль аппаратного ускорения обработки трафика, как это есть у Ubiquiti EdgeRouter Lite который уделывает ваш rb3011 в 8-10 раз, уж про vpn молчу во сколько раз. И это все за 100$ Есть уже давно тесты убигути дороже выходит, т.к. брака много (в нашей практике). Спросить как это барахло на строить у местных не у кого. за 3 гбитных порта цена не сильно далеко ушла от rb3011, если гбиты нужны. хотя в начале просят всего 50 мбит перелопатить. их можно и rb941 обработать. по цене в 1700р.

По деньгам и производительности лучше: (по настройкам даже сравнивать нельзя между mirotikom, в микротике что прибито то и настроишь) Ubiquiti EdgeRouter Lite или Ubiquiti EdgeRouter X SFP

Попробуйте вот этот конфиг (New Terminal): /ip firewall filter # Фильтруем полезный ICMP add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="ICMP echo reply" add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="ICMP net unreachable" add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="ICMP host unreachable" add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="ICMP host unreachable fragmentation required" add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="ICMP allow source quench" add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="ICMP allow echo request" add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="ICMP allow time exceed" add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="ICMP allow parameter bad" add chain=icmp action=drop comment="ICMP deny all other types" # Блокируем Bogon add action=drop chain=forward comment="Block Bogon IP Address" src-address=127.0.0.0/8 add action=drop chain=forward dst-address=127.0.0.0/8 add action=drop chain=forward src-address=224.0.0.0/3 add action=drop chain=forward dst-address=224.0.0.0/3 # Блокируем DNS запросы на внешний интерфейс add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp # Разрешаем уже установленные подключения и связанные add chain=input connection-state=established action=accept comment="Allow Established connections" add chain=input connection-state=related action=accept comment="Allow Related connections" # Разрешаем внешние подключения для собственных нужд add action=accept chain=input dst-port=80 in-interface=WAN protocol=tcp comment="Allow HTTP" add action=accept chain=input dst-port=161 in-interface=WAN protocol=udp comment="Allow SNMP" add action=accept chain=input dst-port=443 in-interface=WAN protocol=tcp comment="Allow HTTPS" # Запрет всех входящих на маршрутизатор add chain=input in-interface=WAN action=drop comment="Drop everything else" # Разрешаем уже установленные подключения и связанные add chain=forward connection-state=established action=accept comment="Allow Established connections" add chain=forward connection-state=related action=accept comment="Allow Related connections" # Запрет транзита '''битых''' и '''неправильных''' пакетов add chain=forward connection-state=invalid action=drop comment="Drop Invalid connections" # Заперт установки новых транзитных входящих соединений на WAN порту add action=drop chain=forward comment="Drop new forward WAN" connection-state=new in-interface=WAN Где-то была уже тема, тоже прилетал чужой трафик.

Носом ткнуть или сами найдете у них на сайте? Не надо людей вводить в заблуждение если у mikrotika не получается что-то.., даже такой стандарт как openvpn он полностью не передерживает итд, в отличии от Ubiquiti EdgeRouter они все поддерживают все стандарты и настройки, если нет их в графическом интерфейсе то можно командной строкой все настроить, так что даже и сравнивать нечего. А по железу покажите где у вас двухъядерный процессор за 50$ или с поддержкой аппаратного ускорения за 100$ Так что сравнивать нечего.

Намного лучше для VPN-сетей по производительности, возможностям настройки и цене, лучший пока Ubiquiti EdgeRouter Lite Можете купить с двухъядерным процессором, без (аппаратного ускорения) потдержки железа VPN и маршрутизации Ubiquiti EdgeRouter X Они лучше по производительности микротиков и настройкам.

Linux

Покупай Mikrotik CCR1009-8G-1S-1S+PC (безвентиляторный вариант, 9 процессорных ядер), а еще лучше купи вот это Mini-PC-Barebone-PC-Broadwell-Intell-Core-i5 и поставь pfSense или OPNsense. CRS125-24G-1S-2HnD-IN он слабоват и не для этого!

Любым из сирии CCR, можете взять CCR1016 бедет с запасом

Покупать новый!

Saab95 зачем врать? pfsense очень хорошоя!