Jump to content
Калькуляторы

Leninxxx

Пользователи
  • Content Count

    95
  • Joined

  • Last visited

About Leninxxx

  • Rank
    Абитуриент

Recent Profile Visitors

1485 profile views
  1. ну брутят-то из сети /24, следовательно ее и хочется блокировать.   Хочется более элегантого решения :)
  2. С неделю назад заметил что какой-то олень нехороший человек долбится по PPtP. имеющаяся схема блокировки не срабатывает, т.к. за проход с одного IP делается всего 2 попытки, зато адресов много - почти целая подсеть /24. Итого получаем почти 500 попыток авторизации за минуту раз в пару часов. Взлома конечно не боюсь, с паролями все хорошо, но сам факт напрягает. Сейчас реализовано так: add action=drop chain=input comment="Drop List" src-address-list=drop_list add action=add-src-to-address-list address-list=drop_list address-list-timeout=1d chain=input comment="Bruteforce login prevention(auth_err: stage3 to drop_list)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_3 add action=add-src-to-address-list address-list=auth_err_stage_3 address-list-timeout=2m chain=input comment="Bruteforce login prevention(auth_err: stage2 to stage3)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_2 add action=add-src-to-address-list address-list=auth_err_stage_2 address-list-timeout=6h chain=input comment="Bruteforce login prevention(auth_err: stage1 to stage2)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_1 add action=add-src-to-address-list address-list=auth_err_stage_1 address-list-timeout=12h chain=input comment="Bruteforce login prevention(auth_err: stage1)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=!white_list В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети. Есть идеи как это реализовать?
  3. мне это пригодилось при настройке, когда нужно было оперативно переключаться между бридж/роутер. Выяснил что у РТ проблемы, которые они потом неделю еще устраняли. Когда все получилось - переключил перманентно через ТП.
  4. не совсем так. Настроить можно(по крайней мере на первых прошивках можно было), но геморройно, и до первой перезагрузки либо обновления конфига с головы. Звоните в техподдержку и говорите чтобы вам переключили терминал в бридж. Через 10 минут(если не повезет то через пару дней) на микротике запускаете PPP->PPPoE Scan, запускаете сканирование на порту к которому подключен ZTE и видите ростелекомовские брасы. Если есть хоть один - можно подключаться, если нет то что-то не так либо с подключением(патчкорд, не тот порт), либо у РТ что-то не так - долбите ТП.
  5. 1. Для начала, Mikrotik. 2. Далее, думаю начать чтение литературы по маршрутизации. 3. Потом, если вдруг не получится самостоятельно вкурить что и как, потрудиться объяснить людям что именно у Вас есть и что Вы хотите получить. Возможно то что Вам нужно - Hairpin NAT.
  6. Этот вариант приемлем если на самом деле в каждую комнату точку ставить. В противном случае, т.к. у 5 затухание значительно выше, в отдаленных районах жилплощади получим отсутствие вафли как таковой. У меня в дальней комнате, при 17db и 2 диапазон на 3 палки ловит.
  7. Знаю как это называется. Но это целая "технология" о которой МТ никогда и не упоминал. Мне бы в принципе достаточно было изменить интервал маяков - вариант не для продакшна конечно, но для дома вполне годное решение. К стыду МТ, возможность поменять этот самый Beacon Interval есть даже в дешманских асусах и длинках, и почти во всех двухдиапазонных устройствах, которые я видел, интервал маяка 2 сети несколько больше чем у 5. Жесть... Нахрена вообще железку за 260 баксов делать чтобы она не умела нормально работать с интерфейсами? Мое мнение о МТ резко упало до уровня чуть выше плинтуса DLink'a... Знал бы раньше - взял бы RM вариант и старый добрый Unifi AC Lite. и в те же деньги бы все вышло. А теперь и вафля вроде есть, но и не совсем рабочая она...
  8. Обзавелся я домой, значит, 4011, тот что с вафлей. И уперся в один, многим известный трабл - если сети 5 и 2.4 назвать одинаково, клиенты подключаются преимущественно к 2.4. В более-менее серьезных проектах использую убик, так у него это проблемы нет, там даже опция есть - выдавливать клиентов из 2.4, если они могут 5. Работает как часы. У микротика же, даже не нашел где можно изменить Beacon Interval. Вообще по беспроводным интерфейсам нет ничего подобного. В тырнетах(преимущественно 12-14 года) пишут что делать разные названия и делу край. Но это же несерьезно, господа! На дворе как-никак 21 век... Отсюда и вопрос, как изменить Beacon Interval или может быть есть какой-нибудь костыль или настройка, чтобы клиенты подключались сначала к 5Ghz, дабы не делать два разных имени сети.
  9. А кто Вам сказал что я ничего не делаю? Все что Вы перечислили - сделано было еще пару месяцев назад. Проблема появляется на VLAN-в-тоннеле. Через несколько дней самостоятельных мучений решил что глаз замылился и выложил проблему на форум. В какой-то степени да. Но на какое-то время пойдет, а дальше может на куплю железку посерьезнее. После пары недавно пойманных глюков начал разочаровываться в МТ.
  10. Прошу прощения, но зачем так сильно давить на разъем чтобы его вставить? Я как-то раз видел USB вставленный в HDMI. Но там пользователь, а с этим железом вроде грамотные люди должны работать... Вы же не будете забивать молотком ключ в личинку замка если, например в темноте, не сможете его вставить?   ЗЫ. Пересмотрел ролик. Там даже видно как большой палец трясется от усилия. Думаю что такое усилие не все пластиковые корпуса типа как у Hap lite переживут, да и вообще 90% электроники. Но это же не значит что кто-то накосячил?
  11. Не знаю как Вы, а я предпочитаю понять почему именно не работает, а не прибегать к помощи костылей. Проблема решилась установкой proxy-arp на интерфейсы VLAN с обоих концов. Странно, ведь между адресами L2 есть, пусть и внутри VPLS+VLAN. Причем если долго к хосту не обращаться - хост начинает отвечать секунд через 5 после обращения. Похоже на какой-то глюк в прошивке.
  12. Уже собран. Какую ситуацию моделируем? Конфиги может подкинете? есть больше 2х роутеров. для экспериметов сейчас используется 5 штук. Почему нет? Запросто! Во-первых, это не значит что всем нужно использовать нат с туннелями. Во-вторых, все зависит от задачи. В большинстве случаев тоннель и создается чтобы решить задачу на уровне маршрутов, и не париться с маскардингом, перенаправлением портов и т.д. Имхо, у Вас что-то с маршрутами - при наличии корректной таблицы маршрутов никакие исключения не нужны, т.к. натятся только те пакеты, которые идут на WAN интерфес. То что идет в тоннель в принципе не может идти на WAN.
  13. Как вариант, теоретически рассматривал такую возможность, но пока все работает, в одну сторону, но пока хватает. Да и вообще оп логике-то должно работать и внутри роутера Нат, если не ошибаюсь подменяет IP. У меня адреса остаются оригинальными. Предположим на бридже - 192.168.0.1/24, есть тоннель EOIP включенный в бридж. На дальнем конце EOIP установлен адрес 192.168.0.100. Так же на удаленном роутере сеть 192.168.10.0/24. до которого, на первом роутере, есть маршрут "distance=1 dst-address=192.168.10.0/24 gateway=192.168.0.100" Можете объяснить каким чудом пакеты будут проходить маскардинг по правилу "chain=srcnat action=masquerade src-address=192.168.0.0/24 out-interface=ether1"? Маршрут руками? А разве есть разница? Пробовал прописать, ситуация осталась без изменений.
  14. Не вариант... ( Какого именно маршрута, там вроде адреса в одной L2 сети...? А вот правила FW и нат зачем? Оно как бы не используется в этих соединениях, от слова совсем, иначе упомянул бы.
  15. ))) Я в этой жизни уже ни во что не верю. Точнее верю в то может быть все что угодно, только не то что нужно. Так что и сам склоняюсь к мысли что эффекта от обращения не будет. Тем более что у них на сайте черным по белому написано "если вы покупали железо не у нас - с вопросами идите к продавцу", а большинство продавцов - именно продавцы... В ТП микротика писать вряд-ли буду, с инглишем проблема, просто обидно. Это уже второй подобный косяк с микротиком у меня, но альтернатив по цене не нашел... Обидно...