Jump to content
Калькуляторы

Leninxxx

Пользователи
  • Content Count

    95
  • Joined

  • Last visited

Everything posted by Leninxxx


  1. С неделю назад заметил что какой-то олень нехороший человек долбится по PPtP. имеющаяся схема блокировки не срабатывает, т.к. за проход с одного IP делается всего 2 попытки, зато адресов много - почти целая подсеть /24. Итого получаем почти 500 попыток авторизации за минуту раз в пару часов. Взлома конечно не боюсь, с паролями все хорошо, но сам факт напрягает. Сейчас реализовано так: add action=drop chain=input comment="Drop List" src-address-list=drop_list add action=add-src-to-address-list address-list=drop_list address-list-timeout=1d chain=input comment="Bruteforce login prevention(auth_err: stage3 to drop_list)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_3 add action=add-src-to-address-list address-list=auth_err_stage_3 address-list-timeout=2m chain=input comment="Bruteforce login prevention(auth_err: stage2 to stage3)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_2 add action=add-src-to-address-list address-list=auth_err_stage_2 address-list-timeout=6h chain=input comment="Bruteforce login prevention(auth_err: stage1 to stage2)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_1 add action=add-src-to-address-list address-list=auth_err_stage_1 address-list-timeout=12h chain=input comment="Bruteforce login prevention(auth_err: stage1)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=!white_list В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети. Есть идеи как это реализовать?
  2. ну брутят-то из сети /24, следовательно ее и хочется блокировать.   Хочется более элегантого решения :)
  3. мне это пригодилось при настройке, когда нужно было оперативно переключаться между бридж/роутер. Выяснил что у РТ проблемы, которые они потом неделю еще устраняли. Когда все получилось - переключил перманентно через ТП.
  4. не совсем так. Настроить можно(по крайней мере на первых прошивках можно было), но геморройно, и до первой перезагрузки либо обновления конфига с головы. Звоните в техподдержку и говорите чтобы вам переключили терминал в бридж. Через 10 минут(если не повезет то через пару дней) на микротике запускаете PPP->PPPoE Scan, запускаете сканирование на порту к которому подключен ZTE и видите ростелекомовские брасы. Если есть хоть один - можно подключаться, если нет то что-то не так либо с подключением(патчкорд, не тот порт), либо у РТ что-то не так - долбите ТП.
  5. 1. Для начала, Mikrotik. 2. Далее, думаю начать чтение литературы по маршрутизации. 3. Потом, если вдруг не получится самостоятельно вкурить что и как, потрудиться объяснить людям что именно у Вас есть и что Вы хотите получить. Возможно то что Вам нужно - Hairpin NAT.
  6. Обзавелся я домой, значит, 4011, тот что с вафлей. И уперся в один, многим известный трабл - если сети 5 и 2.4 назвать одинаково, клиенты подключаются преимущественно к 2.4. В более-менее серьезных проектах использую убик, так у него это проблемы нет, там даже опция есть - выдавливать клиентов из 2.4, если они могут 5. Работает как часы. У микротика же, даже не нашел где можно изменить Beacon Interval. Вообще по беспроводным интерфейсам нет ничего подобного. В тырнетах(преимущественно 12-14 года) пишут что делать разные названия и делу край. Но это же несерьезно, господа! На дворе как-никак 21 век... Отсюда и вопрос, как изменить Beacon Interval или может быть есть какой-нибудь костыль или настройка, чтобы клиенты подключались сначала к 5Ghz, дабы не делать два разных имени сети.
  7. Этот вариант приемлем если на самом деле в каждую комнату точку ставить. В противном случае, т.к. у 5 затухание значительно выше, в отдаленных районах жилплощади получим отсутствие вафли как таковой. У меня в дальней комнате, при 17db и 2 диапазон на 3 палки ловит.
  8. Знаю как это называется. Но это целая "технология" о которой МТ никогда и не упоминал. Мне бы в принципе достаточно было изменить интервал маяков - вариант не для продакшна конечно, но для дома вполне годное решение. К стыду МТ, возможность поменять этот самый Beacon Interval есть даже в дешманских асусах и длинках, и почти во всех двухдиапазонных устройствах, которые я видел, интервал маяка 2 сети несколько больше чем у 5. Жесть... Нахрена вообще железку за 260 баксов делать чтобы она не умела нормально работать с интерфейсами? Мое мнение о МТ резко упало до уровня чуть выше плинтуса DLink'a... Знал бы раньше - взял бы RM вариант и старый добрый Unifi AC Lite. и в те же деньги бы все вышло. А теперь и вафля вроде есть, но и не совсем рабочая она...
  9. Есть Микротик до которого через инет, в тоннеле проброшен VPLS c пачкой VLAN. За ним так же есть сеть (10.28.1.0/24), которую надо так же запихать в один из виланов (конкретно в 28). На другом конце VPLS так же стоит микротик, за которым другая сеть (10.20.1.0/24). На нем из VPLS выведен интерфейс VLAN28 и на этот интерфейс повешен адрес 10.28.1.254/24, который иногда используется как шлюз для доступа в интернет из сети 10.28.1.0/24 через роутер сети 10.20.1.0/24. Так же прописаны маршруты с обоих сторон на сети 10.20.1.0/24 и 10.28.1.0/24 для доступа к ресурсам обоих сетей. Вроде бы все работает, но есть одна странность. Если пингуем из сети 10.28.1.0/24 любой адрес сети 10.20.1.0/24, то пинг проходит нормально. А вот если пинг идет в обратную сторону - из сети 10.20.1.0/24 в 10.28.1.0/24, то пингуется нормально только IP бриджа. От остальных хостов ответный пакет идет до бриджа и на это все. Как будто нет маршрута. Настроено так: R1 /interface bridge add name=bridge add fast-forward=no mtu=1448 name=bridge-253 add name=bridge-vpls /interface vpls add advertised-l2mtu=1504 disabled=no l2mtu=1504 mac-address=02:36:07:39:B9:5C mtu=1504 name=vpls remote-peer=10.252.0.25 vpls-id=20:25 /interface vlan add interface=vpls name=vlan-28-vpls vlan-id=28 /interface bridge port add bridge=bridge interface=wlan1 add bridge=bridge interface=ether3 add bridge=bridge interface=ether4 add bridge=bridge interface=ether5 /ip address add address=10.20.1.240/24 interface=bridge network=10.20.1.0 add address=10.28.1.254/24 interface=vlan-28-vpls network=10.28.1.0 Маршруты поднялись сами: R2: К ether4 подключен свитч а к нему уже хосты. /interface bridge add name=bridge-local add name=bridge-vpls /interface vpls add advertised-l2mtu=1504 disabled=no l2mtu=1504 mac-address=02:A5:70:36:1A:4B mtu=1504 name=vpls remote-peer=10.252.0.25 vpls-id=25:28 /interface vlan add interface=vpls name=vlan-28-vpls vlan-id=28 add interface=ether4 name=vlan-253-server vlan-id=253 add interface=vpls name=vlan-253-vpls vlan-id=253 /interface bridge port add bridge=bridge-local interface=ether4 add bridge=bridge-local interface=vlan-28-vpls add bridge=bridge-vpls interface=vlan-253-server add bridge=bridge-vpls interface=vlan-253-vpls add bridge=bridge-vpls interface=vpls /ip address add address=10.28.1.240/24 interface=bridge-local network=10.28.1.0 /ip route add distance=1 dst-address=10.20.1.0/24 gateway=10.28.1.254 Eсли с хоста 10.28.1.241 запустить пинг до 10.20.1.45 - то пинг проходит прекрасно, причем в сниффере на R2 это выглядит так: Мне одному кажется несколько странным что я не вижу как пакет ПЕРЕДАЕТСЯ в ether4? Пинг в обратную сторону - не проходит. Сниффер на R2 показывает такое: И если верить снифферу на R1 то ответ на сторону R1 не возвращается. Что-то мне подсказывает что ответный пакет, попав на bridge-local просто не уходит в vlan-28-vpls почему-то. Кто подскажет что я делаю не так?
  10. А кто Вам сказал что я ничего не делаю? Все что Вы перечислили - сделано было еще пару месяцев назад. Проблема появляется на VLAN-в-тоннеле. Через несколько дней самостоятельных мучений решил что глаз замылился и выложил проблему на форум. В какой-то степени да. Но на какое-то время пойдет, а дальше может на куплю железку посерьезнее. После пары недавно пойманных глюков начал разочаровываться в МТ.
  11. Прошу прощения, но зачем так сильно давить на разъем чтобы его вставить? Я как-то раз видел USB вставленный в HDMI. Но там пользователь, а с этим железом вроде грамотные люди должны работать... Вы же не будете забивать молотком ключ в личинку замка если, например в темноте, не сможете его вставить?   ЗЫ. Пересмотрел ролик. Там даже видно как большой палец трясется от усилия. Думаю что такое усилие не все пластиковые корпуса типа как у Hap lite переживут, да и вообще 90% электроники. Но это же не значит что кто-то накосячил?
  12. Не знаю как Вы, а я предпочитаю понять почему именно не работает, а не прибегать к помощи костылей. Проблема решилась установкой proxy-arp на интерфейсы VLAN с обоих концов. Странно, ведь между адресами L2 есть, пусть и внутри VPLS+VLAN. Причем если долго к хосту не обращаться - хост начинает отвечать секунд через 5 после обращения. Похоже на какой-то глюк в прошивке.
  13. Уже собран. Какую ситуацию моделируем? Конфиги может подкинете? есть больше 2х роутеров. для экспериметов сейчас используется 5 штук. Почему нет? Запросто! Во-первых, это не значит что всем нужно использовать нат с туннелями. Во-вторых, все зависит от задачи. В большинстве случаев тоннель и создается чтобы решить задачу на уровне маршрутов, и не париться с маскардингом, перенаправлением портов и т.д. Имхо, у Вас что-то с маршрутами - при наличии корректной таблицы маршрутов никакие исключения не нужны, т.к. натятся только те пакеты, которые идут на WAN интерфес. То что идет в тоннель в принципе не может идти на WAN.
  14. Как вариант, теоретически рассматривал такую возможность, но пока все работает, в одну сторону, но пока хватает. Да и вообще оп логике-то должно работать и внутри роутера Нат, если не ошибаюсь подменяет IP. У меня адреса остаются оригинальными. Предположим на бридже - 192.168.0.1/24, есть тоннель EOIP включенный в бридж. На дальнем конце EOIP установлен адрес 192.168.0.100. Так же на удаленном роутере сеть 192.168.10.0/24. до которого, на первом роутере, есть маршрут "distance=1 dst-address=192.168.10.0/24 gateway=192.168.0.100" Можете объяснить каким чудом пакеты будут проходить маскардинг по правилу "chain=srcnat action=masquerade src-address=192.168.0.0/24 out-interface=ether1"? Маршрут руками? А разве есть разница? Пробовал прописать, ситуация осталась без изменений.
  15. Не вариант... ( Какого именно маршрута, там вроде адреса в одной L2 сети...? А вот правила FW и нат зачем? Оно как бы не используется в этих соединениях, от слова совсем, иначе упомянул бы.
  16. ))) Я в этой жизни уже ни во что не верю. Точнее верю в то может быть все что угодно, только не то что нужно. Так что и сам склоняюсь к мысли что эффекта от обращения не будет. Тем более что у них на сайте черным по белому написано "если вы покупали железо не у нас - с вопросами идите к продавцу", а большинство продавцов - именно продавцы... В ТП микротика писать вряд-ли буду, с инглишем проблема, просто обидно. Это уже второй подобный косяк с микротиком у меня, но альтернатив по цене не нашел... Обидно...
  17. У меня-то как раз LDP. За неделю провел десяток экспериментов, вплоть до замены железа на 4011, 750Gr3 и 760GS. Ситуация никак не меняется. Подумалось - а может быть косяк в самой операционке(прошивке) и надо писать в ТП микротика?
  18. Можно попродробнее? Почему неправильный и как именно правильно? Может даже в мануальчик ткнете? Без мостов - было бы очень интересно.
  19. Я же говорю, специально проверил - три живых VPLS с одинаковыми ID прекрасно живут на одной железке. Схема саимх VPLS довольно большая, да и не к чему оно. Все работает достаточно ровно. Не работает только тот момент что я описал в первом посте. Общая схема сети тут не поможет... У меня сам VPLS работает в любой комбинации, главное чтобы на концах одного были одинаковые ID. А вот при маршрутицации пакета, он(пакет) почему-то не залетает внутрь тоннеля а виснет на бридже. Причем происходит это только если инициатор соединения на другой стороне тоннеля. Если инициатор на этой стороне - все работает изумительно. Вопрос почему так происходит по прежнему открыт.
  20. Ради чистоты эксперимента установил одинаковый vpls-id на обоих тоннелях. Получилось что на третьем роутере, где встречаются эти два тоннеля - было ДВА тоннеля с одинаковым vpls-id. Все продолжило работать так же, никаких изменений. Бридж, связывающий тоннели тоже пришлось оставить, т.к. без него не захотело взлетать(была надежда). На деле получается что VPLS-ID должен быть одинаковым на обоих концах конкретного тоннеля. Остальное не важно. По крайней мере экспериментально выяснилось именно такое поведение. Ну и это опять же не дает никакого ответа, почему у меня пакеты ходят только в одну сторону.
  21. На самом деле это два разных тоннеля которые забриджованы на третьем роутере. Попробовал поднять эту же схему без VPLS на тоннелях GRE - все работает. Похоже на какой-то косяк с самим VPLS.
  22. Если не нужно много портов и WiFi, то можно взять RB760IGS или RB750Gr3. 60 сотрудников и 150 мбит эта железка потянет. По крайней мере у меня RB750Gr3 работает на 150+ пользователей. На нем десяток статичных тоннелей с шифрованием, десяток очередей и пару десятков правил FW. Трафик, правда, немного больше 100, но проц не загружен.
  23. Значит прописать IP и указать его интерфейсом бридж.
  24. Проблема же всем известная и достаточно старая. МТ собирается её устранять, не в курсе?
  25. Попал в руки CSS326-24G-2S+. Из коробки версия прошивки 2.0. Обновил прошивку до 2.7, немного поигрался с настройками и через кнопку сброса на передней панели сделал собственно сброс настроек. После загрузки меня ждал сюрприз - версия прошивки стала опять 2.0. Вопрос - это нормальное поведение или что-то не так с девайсом?