Перейти к содержимому
Калькуляторы

Leninxxx

Пользователи
 Просмотреть профиль  Активность

  • Публикации

    109

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем Leninxxx

  1. Опубликовано · Жалоба на ответ

    У товарища обнаружился 951Ui очень древний. Конечно же прошивку он не обновлял ни разу, и толком не настраивал.
    Как результат железка была взломана, перенастроена и оставлена с WiFi сетью "Slava Ukraini!".

    На кнопку сброса железка не реагирует - если включить питание при зажатой кнопке, то можно ждать хоть до посинения, первые моргания лампочками начинаются только после отпускания кнопки.
    Все порты закрыты, кроме 53, 2000, 8291 и 8728.
    Пароли конечно же поменяны.

    Есть мысли как её можно сбросить на дефолт?

  3. Опубликовано · Изменено пользователем Leninxxx · Жалоба на ответ

    Есть 2 бриджа:
    brige1 - порты 2,3, ip 192.168.0.1

    brige2 - порты 4,5, ip 192.168.1.1

    на каждом настроен DHCP.

    После того как прописываешь IP на бридж, поднимается маршрут и пакеты прекрасно летают между бриджами. Это понятно, роутер ведь.
    Но, мне нужно как-то запретить маршрутизацию из одной сети в другую. Вопрос, как это сделать, и вообще возможно ли?

    на ум приходит только дропать пакеты файрволлом, но мне кажется это не совсем правильное решение.

  4. Опубликовано · Жалоба на ответ

    В 13.02.2022 в 01:48, sdy_moscow сказал:

    @Leninxxx Перепродавать чужой трафик будет становиться всё труднее и труднее - готовьтесь.

    Я его не продаю. Я его наоборот покупаю. Так сказать я админ конечного клиента в цепочке продажи трафика. 

     

    В 13.02.2022 в 08:24, pppoetest сказал:

    Да, зашейпи своими ресурсами канал в сторону прова % на 10, и будет тебе счастье.

     

    А почему провайдер должен тратить дорогущую память браса, обеспечивая вам комфорт при потреблении 100% полосы?

     

    Ааа, дык ты ещё и перепродаван. Удачи.

    Увы я не перепродаван. Я именно потребитель. И именно поэтому считаю что настраивать Шейпер не входит в круг моих задач. 

    Если бы я был провайдером - вопросов не было бы, там и договор другой, и услуга по-сути другая. 

    Но продавать так конечникам, имхо, нельзя. 

  5. Опубликовано · Жалоба на ответ

    В 12.02.2022 в 20:41, [anp/hsw] сказал:

    Раньше был шейпер, теперь - полисер. Хотите, чтобы полисер был отключен - выберите другого провайдера, или тариф, который делает полисер бессмысленным (равный скорости порта).

    Да, уже всерьез задумался о полном отказе от этого провайдера у всех своих клиентов(около 20 точек подключения юриков). В понедельник буду пытаться пробиться к техническому директору, может и получится решить безболезненно.

     

    Вообще мне не совсем понятна логика при такой продаже траффика конечному пользователю. Далеко не у каждого мелкого бизнеса есть админ который хотя бы представляет что такое шейпер и как его нормально настроить. Более того - у 95% микропредприятий в качестве роутера стоят сохо-мыльницы с кучей антенн вайфая но обрезанной провайдерской прошивкой, в которой не то что шейпера нет, но и вообще каких-либо настроек кроме ввода логина и пароля к сессии(образно), и эти железки опять же ставят сами провайдеры. Но у этих же микропредприятий есть 2-3 компа которые в пике могут сгенерить траффик многократно превосходящий скромный тариф в 50-100 Мбит.  В результате лишняя нагрузка на саппорт, ненужный негатив и отток клиентов.

     

    В 12.02.2022 в 22:42, alibek сказал:

    Делаете шейпинг на своей стороне, процентов на 10 ниже тарифной скорости.


    Я могу его сделать, мне не сложно. Но встает 2 вопроса - почему это должен делать я, и почему я должен жертвовать этими небольшими процентами полосы. В моем понимании деньги платятся за готовый продукт, а не за полуфабрикат который нужно потом допиливать.
    К тому же, могли хотя бы предупредить  о смене технологии, я бы подготовился. А сейчас для меня вопрос стал принципиальным, особенно после того как я в свой выходной убил пол-дня на поиски причин проблемы, потом приехал в офис на другой конец города, т.к. договорились что монтажники приедут перетягивать последнюю милю, а по итогу и монтажники не приехали, и с инетом ничего не поменялось.
    Мне лишь позвонили и сказали что "сейчас все нормально и мы заявку закрываем".
    По факту - офис на резервном канале, на котором все отлично работает. Но он, все-таки, резервный...

  6. Опубликовано · Жалоба на ответ

    В 12.02.2022 в 19:21, YuryD сказал:

     Если с неделю и хреново на пике по графику(в полке), то смотрите договор внимательно.

    Недели три как началось такое. Последние пару лет загрузка канала в среднем 15 мбит... 

     

    В 12.02.2022 в 19:27, [anp/hsw] сказал:

    Вас режут древним способом - полисером на порту домового свича.

    Самый простой вариант - заказать 100 мегабит, если такой тариф есть.

     

    Почему тогда, у других провайдеров, да и этого раньше тоже, какая бы ни была нагрузка, тот же пинг, в худшем случае, вырастал до неприличные значений, но был. А сейчас я вижу картину такую - 99% превышен интервал ожидания, и 1% ответ 1мс.

  7. Опубликовано · Жалоба на ответ

    В 12.02.2022 в 19:17, YuryD сказал:

     У монстров больших - и тараканы жирнее... Недавно меня тыкнули носом в договор, что типа берста там нету, хоть на словах и обещали, и работало много лет, а вот в свете их улучшений и оптимизации исчезло. дропы жестокие...

    Хто такие? Ну чтобы знать и стороной обходить?

  8. Опубликовано · Жалоба на ответ

    В 12.02.2022 в 19:05, [anp/hsw] сказал:

    Дело не в специалистах, а в оборудовании.

    Если у вас канал больше 100 мегабит, то вероятность, что там полисинг - большая.

    Шейпер на большие скорости - весьма затратная с точки зрения CPU операция.

    Да если бы, всего 50мбит. Но судя по всему та же ситуация на тарифах 10 и 20 мбит, в понедельник буду проверять, симптомы очень похожи. 

  9. Опубликовано · Жалоба на ответ

    Друзья, столкнулся с тем что на одном из моих провайдеров временами начал пропадать инет.

    В процессе поиска проблемы выяснилось что пропадает пинг до шлюза(потери  до 100%) и мой любимый микротик эту ситуацию понимал  как отвал канала и переключился на резервный, сразу после чего на основном канале восстанавливается пинг до шлюза и микротик переключился на основной канал, после чего опять пропадал пинг до шлюза и ситуация повторялась. И так могло происходить часами. 

    В разговоре с ТП провайдера мне открыли тайну, что пакеты которые выходят за лимит скорости канала просто дропаются. Подумав пришёл к выводу что на стороне провайдера полностью отсутствует шейпер и пакеты просто дропаются полисером.При следующем разговоре ТП подтвердила мою догадку. На мой вопрос - как избежать женского дропа, мне предложили увеличить тариф. 

     

    А теперь вопрос. 

    Это адекватное поведение оборудования провайдера и я отстал от жизни? Или все-таки ведущие специалисты у федеральных провайдеров стремительно деградируют? 

  10. Опубликовано · Жалоба на ответ

    В 07.11.2020 в 20:51, alibek сказал:

    Если речь исключительно про WiFi на одной точке доступа — то нужно включить client isolation.

    Да, вы правильно поняли. Вот только для включения client isolation нужно сделать сеть гостевой, а хотелось бы обойтись без этого.

    Увидел в настройках беспроводной сети "L2 Isolation    Isolates stations on layer 2 (ethernet) level". С старых версиях контроллера такого не видел. Это то что мне нужно? Проверить пока не могу, физическая сеть в процессе настройки.

  11. Опубликовано · Жалоба на ответ

    4 минуты назад, jffulcrum сказал:

    А это что?

    Это вроде бы MTU. Стоит стандартное значение. Можно и убрать - погоды не сделает. Но если его увеличить до 1504 - все взлетает и работает без проблем.

    Собственно L2MTU, о котором Вы спрашивали - не трогал.

     

    8 минут назад, jffulcrum сказал:

    У вас вообще криво сделано. Если вы все порты объединили в bridge, то VLAN надо на Bridge и вешать, и роутер тогда нормально откорректирует MTU сам. Ну или осиливать bridge vlan filtering

    На прямоту рук не претендую. Да и это не рабочая конфа, а скорее, тестовая, то что первое пришло в голову.
    Изначально идея состояла в том чтобы получить по eoip влан, и отправить его нетегированым на физический порт, а тегированый траффик с этого порта отправить нетегированым на бридж. Сам eoip бриджевать не хотелось бы.

  12. Опубликовано · Изменено пользователем Leninxxx · Жалоба на ответ

    конфиг

    Скрытый текст

    /interface ethernet
    set [ find default-name=sfp1 ] disabled=yes
    /interface bridge
    add mtu=1500 name=bridge
    add name=bridge-5-vlan
    /interface eoip
    add allow-fast-path=no mac-address=FE:F9:46:30:D5:2E mtu=1456 name=eoip \
        remote-address=X.X.X.X tunnel-id=2408
    /interface vlan
    add interface=ether2 name=vlan-3 vlan-id=3
    add interface=eoip name=vlan-5-tonnel vlan-id=5
    add arp=reply-only interface=ether2 name=vlan-10 vlan-id=10
    /interface list
    add comment=defconf name=WAN
    add comment=defconf name=LAN
    /ip pool
    add name=default-dhcp ranges=10.24.8.100-10.24.8.150
    add name=pool-guest ranges=192.168.0.10-192.168.0.50
    /ip dhcp-server
    add address-pool=default-dhcp disabled=no interface=bridge name=defconf
    /port
    set 0 name=serial0
    /interface bridge port
    add bridge=bridge interface=ether2
    add bridge=bridge interface=ether3
    add bridge=bridge interface=ether4
    add bridge=bridge interface=ether5
    add bridge=bridge disabled=yes interface=sfp1
    add bridge=bridge interface=vlan-3
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add comment=defconf interface=ether1 list=WAN
    /ip address
    add address=192.168.0.1/24 disabled=yes interface=vlan-10 network=\
        192.168.0.0
    add address=10.24.8.240/24 interface=bridge network=10.24.8.0
    add address=10.24.255.14 interface=eoip network=10.24.255.13
    add address=X.X.X.X/30 interface=ether1 network=X.X.X.X
    /ip dhcp-server lease
    /ip dhcp-server network
    add address=10.24.8.0/24 dns-server=10.24.8.240,8.8.8.8 domain=domain.local \
        gateway=10.24.8.240 ntp-server=88.212.196.95,193.109.84.119,194.190.168.1
    add address=192.168.0.0/24 dns-server=8.8.8.8 gateway=192.168.0.1
    /ip dns
    set allow-remote-requests=yes servers=10.24.1.250,8.8.8.8
    /ip firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward dst-address=10.24.0.0/16 src-address=\
        192.168.0.0/24
    add action=drop chain=forward dst-address=192.168.0.0/24 src-address=\
        10.24.0.0/16
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment="defconf: accept GRE" protocol=gre \
        src-address=X.X.X.X
    add action=accept chain=input comment=\
        "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
    add action=drop chain=input comment="defconf: drop all coming from WAN" \
        in-interface-list=WAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" \
        ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" \
        ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
        connection-state=established,related
    add action=accept chain=forward comment=\
        "defconf: accept established,related, untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
        connection-state=new in-interface-list=WAN
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" \
        ipsec-policy=out,none out-interface-list=WAN
    /ip route
    add distance=1 gateway=X.X.X.X
    add distance=1 dst-address=10.24.1.0/24 gateway=10.24.255.13
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    /system clock
    set time-zone-name=Asia/Yekaterinburg
    /system routerboard settings
    set auto-upgrade=yes
    /tool mac-server
    set allowed-interface-list=LAN
    /tool mac-server mac-winbox
    set allowed-interface-list=LAN
     

     

    20 часов назад, Saab95 сказал:

    L2MTU не трогали наверно?

    Нет, не трогал. А зачем, если интересует нетегированный трафик, а в вланах пусто.

  13. Опубликовано · Жалоба на ответ

    Есть Unifi AP. Настраивается через контроллер. Использую исключительно как транспорт.

    Контроллер иногда отваливается, но 95% времени доступен для точек.

    Все это выходит в инет через Микротик.

     

    Подскажите, можно ли запретить обмен данными между клиентами внутри Wifi сети?

    Т.е чтобы клиенты могли выйти в инет через шлюз, а вот между собой общаться не могли от слова совсем?

  14. Опубликовано · Изменено пользователем Leninxxx · Жалоба на ответ

    Только что столкнулся с непонятной мне ситуацией. Буду признателен если мне кто-нибудь разжует и ткнет пальцем где я был не прав.

     

    Предыстория. Есть RB760Gs. настройка дефолтная.

    MTU на бридже и портах - 1500

    К ether2 подключен свитч(тупой), к которому подключен  Comp1

    K ether3 подключен Comp2 напрямую.

    Все работает.

     

    Итак, решил я повесить на ether2 пару вланов. Повесил. Получилось вот так 

    /interface vlan
add interface=ether2 name=vlan-3 vlan-id=3
add arp=reply-only interface=ether2 name=vlan-10 vlan-id=10

    Больше никаких настроек не далал. Только эти две строчки.

     

    А теперь то что мне непонятно - перестал доходить траффик от Comp1. Даже стандартный ping. Причем этот комп нормально получает настройки DHCP и Winbox запущенный на нем видит микротик, но подключиться не может ни по IP ни по MAC.

    Лечилось мгновенно, увеличением MTU на ether2 до 1504, ЛИБО отключением виланов.

     

    По логике вещей, при MTU 1500  в влане, пакеты должны дропаться именно в вланах, но почему-то дропается нетегированный траффик на физическом порту. Что происходит внутри влана не проверял, т.к. в них траффика пока нет никакого, никуда не подключены. 

     

    Кто-нибудь знает что происходит?

  15. Опубликовано · Жалоба на ответ

    17 минут назад, alibek сказал:

    Для начала нужно определиться, что такое "вся сеть".

    Сетью можно считать и 0.0.0.0/0.

    ну брутят-то из сети /24, следовательно ее и хочется блокировать.

     

    29 минут назад, TheUser сказал:

    Костылем из планировщика?

    Хочется более элегантого решения :)

  16. Опубликовано · Жалоба на ответ

    С неделю назад заметил что какой-то олень нехороший человек долбится по PPtP. имеющаяся схема блокировки не срабатывает, т.к. за проход с одного IP делается всего 2 попытки, зато адресов много - почти целая подсеть /24.

    Итого получаем почти 500 попыток авторизации за минуту раз в пару часов.

    Взлома конечно не боюсь, с паролями все хорошо, но сам факт напрягает.

     

    Сейчас реализовано так:
      

    add action=drop chain=input comment="Drop List" src-address-list=drop_list
add action=add-src-to-address-list address-list=drop_list address-list-timeout=1d chain=input comment="Bruteforce login prevention(auth_err: stage3 to drop_list)" \
    connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_3
add action=add-src-to-address-list address-list=auth_err_stage_3 address-list-timeout=2m chain=input comment="Bruteforce login prevention(auth_err: stage2 to stage3)" \
    connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_2
add action=add-src-to-address-list address-list=auth_err_stage_2 address-list-timeout=6h chain=input comment="Bruteforce login prevention(auth_err: stage1 to stage2)" \
    connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_1
add action=add-src-to-address-list address-list=auth_err_stage_1 address-list-timeout=12h chain=input comment="Bruteforce login prevention(auth_err: stage1)" \
    connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=!white_list

    В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети.

    Есть идеи как это реализовать? 

  17. Опубликовано · Жалоба на ответ

    2 часа назад, pingz сказал:

    @Leninxxx Я  в курсе, что можно настроить, но смысл? Найти на голову боль, ну такое сомнительное мероприятие. 

    мне это пригодилось при настройке, когда нужно было оперативно переключаться между бридж/роутер. Выяснил что у РТ проблемы, которые они потом неделю еще устраняли. Когда все получилось - переключил перманентно через ТП.

  18. Опубликовано · Жалоба на ответ

    8 часов назад, pingz сказал:

    Без оператора вы на терминале не настроите бридж. 

    не совсем так. Настроить можно(по крайней мере на первых прошивках можно было), но геморройно, и до первой перезагрузки либо обновления конфига с головы.

     

    22 часа назад, Dazmond сказал:

    Интернет не идёт, подскажите как правильно настроить пожалуйста.

    Звоните в техподдержку и говорите чтобы вам переключили терминал в бридж. Через 10 минут(если не повезет то через пару дней) на микротике запускаете PPP->PPPoE Scan, запускаете сканирование на порту к которому подключен ZTE и видите ростелекомовские брасы. Если есть хоть один - можно подключаться, если нет то что-то не так либо с подключением(патчкорд, не тот порт), либо у РТ что-то не так - долбите ТП.

  19. Опубликовано · Жалоба на ответ

    В 05.02.2020 в 10:24, Ciff сказал:

    Добрый день , уважаемые коллеги . прошу сразу помидорами не кидаться ,

    но прошу поделиться мыслями как сделать шлюз на microtic с распределением двух провайдеров на локальную сеть .

    Вообщем картина такая  имею microtic ccr1009-7g-1c-1s+ и два провайдера -далее подключение в   d-link dfl-870  и

    после на коммутаторы microtic управляемые модели CSR .

     

    1. Для начала, Mikrotik.

    2. Далее, думаю начать чтение литературы по маршрутизации.

    3. Потом, если вдруг не получится самостоятельно вкурить что и как, потрудиться объяснить людям что именно у Вас есть и что Вы хотите получить.

     

    Возможно то что Вам нужно - Hairpin NAT.

  20. Опубликовано · Жалоба на ответ

    В 27.08.2019 в 20:07, boav сказал:

    Понизить мощность 2.4 дабы 5 была интересна клиенту и все получится.

    У меня capsman и ТД в каждой комнате. Свежий телефон влет цепляется за 5 сразу. Постарше сначала 2.4 а потом сам переползает на 5

    Этот вариант приемлем если на самом деле в каждую комнату точку ставить. В противном случае, т.к. у 5 затухание значительно выше, в отдаленных районах жилплощади получим отсутствие вафли как таковой. У меня в дальней комнате, при 17db и 2 диапазон на 3 палки ловит.

  21. Опубликовано · Жалоба на ответ

    2 часа назад, alibek сказал:

    Это обычно называется band streering.

     Микротик так не умеет.

    Называть сети по разному.

    Знаю как это называется. Но это целая "технология" о которой МТ никогда и не упоминал. Мне бы в принципе достаточно было изменить интервал маяков - вариант не для продакшна конечно, но для дома вполне годное решение.

    К стыду МТ, возможность поменять этот самый Beacon Interval есть даже в дешманских асусах и длинках, и почти во всех двухдиапазонных устройствах, которые я видел, интервал маяка 2 сети несколько больше чем у  5.

    Жесть... Нахрена вообще железку за 260 баксов делать чтобы она не умела нормально работать с интерфейсами?

    Мое мнение о МТ резко упало до уровня чуть выше плинтуса DLink'a...

     

    Знал бы раньше - взял бы RM вариант и старый добрый Unifi AC Lite. и в те же деньги бы все вышло. А теперь и вафля вроде есть, но и не совсем рабочая она...

     

  22. Опубликовано · Изменено пользователем Leninxxx · Жалоба на ответ

    Обзавелся я домой, значит, 4011, тот что с вафлей. И уперся в один, многим известный трабл - если сети 5 и 2.4 назвать одинаково, клиенты подключаются преимущественно к 2.4.

    В более-менее серьезных проектах использую убик, так у него это проблемы нет, там даже опция есть - выдавливать клиентов из 2.4, если они могут 5. Работает как часы.

    У микротика же, даже не нашел где можно изменить Beacon Interval. Вообще по беспроводным интерфейсам нет ничего подобного. В тырнетах(преимущественно 12-14 года) пишут что делать разные названия и делу край. Но это же несерьезно, господа! На дворе как-никак 21 век...

     

    Отсюда и вопрос, как изменить Beacon Interval или может быть есть какой-нибудь костыль или настройка, чтобы клиенты подключались сначала к 5Ghz, дабы не делать два разных имени сети.

  23. Опубликовано · Жалоба на ответ

    14 часов назад, pingz сказал:

    Я одного понять не могу почему вы не можете на стенде сперва собрать простой роутинг без вланов, потом тот же роутинг через влан, потом тот же роутинг через тунель, и уже потом влан в тунели. В принципе вопрос 1-2 часов. 

    А кто Вам сказал что я ничего не делаю? Все что Вы перечислили - сделано было еще пару месяцев назад. Проблема появляется на VLAN-в-тоннеле. Через несколько дней самостоятельных мучений решил что глаз замылился и выложил проблему на форум.

     

    14 часов назад, pingz сказал:

    proxy-arp это и есть костыль

    В какой-то степени да. Но на какое-то время пойдет, а дальше может на куплю железку посерьезнее. После пары недавно пойманных глюков начал разочаровываться в МТ.

  24. Опубликовано · Жалоба на ответ

    В 11.08.2019 в 11:37, TheUser сказал:

    Разъём DB-9 'папа' вдавливается внутрь корпуса.

    Прошу прощения, но зачем так сильно давить на разъем чтобы его вставить?

    Я как-то раз видел USB вставленный в HDMI. Но там пользователь, а с этим железом вроде грамотные люди должны работать...

    Вы же не будете забивать молотком ключ в личинку замка если, например в темноте, не сможете его вставить?

     

    ЗЫ. Пересмотрел ролик. Там даже видно как большой палец трясется от усилия. Думаю что такое усилие не все пластиковые корпуса типа как у Hap lite переживут, да и вообще 90% электроники. Но это же не значит что кто-то накосячил?

  25. Опубликовано · Жалоба на ответ

    В 23.07.2019 в 11:53, pingz сказал:

    @Leninxxx беда одна у меня все работает и уже не один год и нат и роутинг. А у вас не работает и вы не хотите слушать советов, вы как бы сам на умне. Зачем тогда советов просили?

     

     

    З.ы. собираете стенд и решайте конкретную задачу без всех натов, фильтров, туннелей и других протоколов.

     

    Не знаю как Вы, а я предпочитаю понять почему именно не работает, а не прибегать к помощи костылей.

     

    Проблема решилась установкой proxy-arp на интерфейсы VLAN с обоих концов. Странно, ведь между адресами L2 есть, пусть и внутри VPLS+VLAN.
    Причем если долго к хосту не обращаться - хост начинает отвечать секунд через 5 после обращения.
    Похоже на какой-то глюк в прошивке.