Jump to content
Калькуляторы

Leninxxx

Пользователи
  • Content Count

    100
  • Joined

  • Last visited

About Leninxxx

  • Rank
    Студент

Recent Profile Visitors

1608 profile views
  1. Да, вы правильно поняли. Вот только для включения client isolation нужно сделать сеть гостевой, а хотелось бы обойтись без этого. Увидел в настройках беспроводной сети "L2 Isolation Isolates stations on layer 2 (ethernet) level". С старых версиях контроллера такого не видел. Это то что мне нужно? Проверить пока не могу, физическая сеть в процессе настройки.
  2. Это вроде бы MTU. Стоит стандартное значение. Можно и убрать - погоды не сделает. Но если его увеличить до 1504 - все взлетает и работает без проблем. Собственно L2MTU, о котором Вы спрашивали - не трогал. На прямоту рук не претендую. Да и это не рабочая конфа, а скорее, тестовая, то что первое пришло в голову. Изначально идея состояла в том чтобы получить по eoip влан, и отправить его нетегированым на физический порт, а тегированый траффик с этого порта отправить нетегированым на бридж. Сам eoip бриджевать не хотелось бы.
  3. конфиг Нет, не трогал. А зачем, если интересует нетегированный трафик, а в вланах пусто.
  4. Есть Unifi AP. Настраивается через контроллер. Использую исключительно как транспорт. Контроллер иногда отваливается, но 95% времени доступен для точек. Все это выходит в инет через Микротик. Подскажите, можно ли запретить обмен данными между клиентами внутри Wifi сети? Т.е чтобы клиенты могли выйти в инет через шлюз, а вот между собой общаться не могли от слова совсем?
  5. Только что столкнулся с непонятной мне ситуацией. Буду признателен если мне кто-нибудь разжует и ткнет пальцем где я был не прав. Предыстория. Есть RB760Gs. настройка дефолтная. MTU на бридже и портах - 1500 К ether2 подключен свитч(тупой), к которому подключен Comp1 K ether3 подключен Comp2 напрямую. Все работает. Итак, решил я повесить на ether2 пару вланов. Повесил. Получилось вот так /interface vlan add interface=ether2 name=vlan-3 vlan-id=3 add arp=reply-only interface=ether2 name=vlan-10 vlan-id=10 Больше никаких настроек не далал. Только эти две строчки. А теперь то что мне непонятно - перестал доходить траффик от Comp1. Даже стандартный ping. Причем этот комп нормально получает настройки DHCP и Winbox запущенный на нем видит микротик, но подключиться не может ни по IP ни по MAC. Лечилось мгновенно, увеличением MTU на ether2 до 1504, ЛИБО отключением виланов. По логике вещей, при MTU 1500 в влане, пакеты должны дропаться именно в вланах, но почему-то дропается нетегированный траффик на физическом порту. Что происходит внутри влана не проверял, т.к. в них траффика пока нет никакого, никуда не подключены. Кто-нибудь знает что происходит?
  6. ну брутят-то из сети /24, следовательно ее и хочется блокировать.   Хочется более элегантого решения :)
  7. С неделю назад заметил что какой-то олень нехороший человек долбится по PPtP. имеющаяся схема блокировки не срабатывает, т.к. за проход с одного IP делается всего 2 попытки, зато адресов много - почти целая подсеть /24. Итого получаем почти 500 попыток авторизации за минуту раз в пару часов. Взлома конечно не боюсь, с паролями все хорошо, но сам факт напрягает. Сейчас реализовано так: add action=drop chain=input comment="Drop List" src-address-list=drop_list add action=add-src-to-address-list address-list=drop_list address-list-timeout=1d chain=input comment="Bruteforce login prevention(auth_err: stage3 to drop_list)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_3 add action=add-src-to-address-list address-list=auth_err_stage_3 address-list-timeout=2m chain=input comment="Bruteforce login prevention(auth_err: stage2 to stage3)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_2 add action=add-src-to-address-list address-list=auth_err_stage_2 address-list-timeout=6h chain=input comment="Bruteforce login prevention(auth_err: stage1 to stage2)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_1 add action=add-src-to-address-list address-list=auth_err_stage_1 address-list-timeout=12h chain=input comment="Bruteforce login prevention(auth_err: stage1)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=!white_list В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети. Есть идеи как это реализовать?
  8. мне это пригодилось при настройке, когда нужно было оперативно переключаться между бридж/роутер. Выяснил что у РТ проблемы, которые они потом неделю еще устраняли. Когда все получилось - переключил перманентно через ТП.
  9. не совсем так. Настроить можно(по крайней мере на первых прошивках можно было), но геморройно, и до первой перезагрузки либо обновления конфига с головы. Звоните в техподдержку и говорите чтобы вам переключили терминал в бридж. Через 10 минут(если не повезет то через пару дней) на микротике запускаете PPP->PPPoE Scan, запускаете сканирование на порту к которому подключен ZTE и видите ростелекомовские брасы. Если есть хоть один - можно подключаться, если нет то что-то не так либо с подключением(патчкорд, не тот порт), либо у РТ что-то не так - долбите ТП.
  10. 1. Для начала, Mikrotik. 2. Далее, думаю начать чтение литературы по маршрутизации. 3. Потом, если вдруг не получится самостоятельно вкурить что и как, потрудиться объяснить людям что именно у Вас есть и что Вы хотите получить. Возможно то что Вам нужно - Hairpin NAT.
  11. Этот вариант приемлем если на самом деле в каждую комнату точку ставить. В противном случае, т.к. у 5 затухание значительно выше, в отдаленных районах жилплощади получим отсутствие вафли как таковой. У меня в дальней комнате, при 17db и 2 диапазон на 3 палки ловит.
  12. Знаю как это называется. Но это целая "технология" о которой МТ никогда и не упоминал. Мне бы в принципе достаточно было изменить интервал маяков - вариант не для продакшна конечно, но для дома вполне годное решение. К стыду МТ, возможность поменять этот самый Beacon Interval есть даже в дешманских асусах и длинках, и почти во всех двухдиапазонных устройствах, которые я видел, интервал маяка 2 сети несколько больше чем у 5. Жесть... Нахрена вообще железку за 260 баксов делать чтобы она не умела нормально работать с интерфейсами? Мое мнение о МТ резко упало до уровня чуть выше плинтуса DLink'a... Знал бы раньше - взял бы RM вариант и старый добрый Unifi AC Lite. и в те же деньги бы все вышло. А теперь и вафля вроде есть, но и не совсем рабочая она...
  13. Обзавелся я домой, значит, 4011, тот что с вафлей. И уперся в один, многим известный трабл - если сети 5 и 2.4 назвать одинаково, клиенты подключаются преимущественно к 2.4. В более-менее серьезных проектах использую убик, так у него это проблемы нет, там даже опция есть - выдавливать клиентов из 2.4, если они могут 5. Работает как часы. У микротика же, даже не нашел где можно изменить Beacon Interval. Вообще по беспроводным интерфейсам нет ничего подобного. В тырнетах(преимущественно 12-14 года) пишут что делать разные названия и делу край. Но это же несерьезно, господа! На дворе как-никак 21 век... Отсюда и вопрос, как изменить Beacon Interval или может быть есть какой-нибудь костыль или настройка, чтобы клиенты подключались сначала к 5Ghz, дабы не делать два разных имени сети.
  14. А кто Вам сказал что я ничего не делаю? Все что Вы перечислили - сделано было еще пару месяцев назад. Проблема появляется на VLAN-в-тоннеле. Через несколько дней самостоятельных мучений решил что глаз замылился и выложил проблему на форум. В какой-то степени да. Но на какое-то время пойдет, а дальше может на куплю железку посерьезнее. После пары недавно пойманных глюков начал разочаровываться в МТ.
  15. Прошу прощения, но зачем так сильно давить на разъем чтобы его вставить? Я как-то раз видел USB вставленный в HDMI. Но там пользователь, а с этим железом вроде грамотные люди должны работать... Вы же не будете забивать молотком ключ в личинку замка если, например в темноте, не сможете его вставить?   ЗЫ. Пересмотрел ролик. Там даже видно как большой палец трясется от усилия. Думаю что такое усилие не все пластиковые корпуса типа как у Hap lite переживут, да и вообще 90% электроники. Но это же не значит что кто-то накосячил?