Leninxxx

У товарища обнаружился 951Ui очень древний. Конечно же прошивку он не обновлял ни разу, и толком не настраивал. Как результат железка была взломана, перенастроена и оставлена с WiFi сетью "Slava Ukraini!". На кнопку сброса железка не реагирует - если включить питание при зажатой кнопке, то можно ждать хоть до посинения, первые моргания лампочками начинаются только после отпускания кнопки. Все порты закрыты, кроме 53, 2000, 8291 и 8728. Пароли конечно же поменяны. Есть мысли как её можно сбросить на дефолт?

Возможно. Спасибо, буду ковырять.

Есть 2 бриджа: brige1 - порты 2,3, ip 192.168.0.1 brige2 - порты 4,5, ip 192.168.1.1 на каждом настроен DHCP. После того как прописываешь IP на бридж, поднимается маршрут и пакеты прекрасно летают между бриджами. Это понятно, роутер ведь. Но, мне нужно как-то запретить маршрутизацию из одной сети в другую. Вопрос, как это сделать, и вообще возможно ли? на ум приходит только дропать пакеты файрволлом, но мне кажется это не совсем правильное решение.

Я его не продаю. Я его наоборот покупаю. Так сказать я админ конечного клиента в цепочке продажи трафика. Увы я не перепродаван. Я именно потребитель. И именно поэтому считаю что настраивать Шейпер не входит в круг моих задач. Если бы я был провайдером - вопросов не было бы, там и договор другой, и услуга по-сути другая. Но продавать так конечникам, имхо, нельзя.

Да, уже всерьез задумался о полном отказе от этого провайдера у всех своих клиентов(около 20 точек подключения юриков). В понедельник буду пытаться пробиться к техническому директору, может и получится решить безболезненно. Вообще мне не совсем понятна логика при такой продаже траффика конечному пользователю. Далеко не у каждого мелкого бизнеса есть админ который хотя бы представляет что такое шейпер и как его нормально настроить. Более того - у 95% микропредприятий в качестве роутера стоят сохо-мыльницы с кучей антенн вайфая но обрезанной провайдерской прошивкой, в которой не то что шейпера нет, но и вообще каких-либо настроек кроме ввода логина и пароля к сессии(образно), и эти железки опять же ставят сами провайдеры. Но у этих же микропредприятий есть 2-3 компа которые в пике могут сгенерить траффик многократно превосходящий скромный тариф в 50-100 Мбит. В результате лишняя нагрузка на саппорт, ненужный негатив и отток клиентов. Я могу его сделать, мне не сложно. Но встает 2 вопроса - почему это должен делать я, и почему я должен жертвовать этими небольшими процентами полосы. В моем понимании деньги платятся за готовый продукт, а не за полуфабрикат который нужно потом допиливать. К тому же, могли хотя бы предупредить о смене технологии, я бы подготовился. А сейчас для меня вопрос стал принципиальным, особенно после того как я в свой выходной убил пол-дня на поиски причин проблемы, потом приехал в офис на другой конец города, т.к. договорились что монтажники приедут перетягивать последнюю милю, а по итогу и монтажники не приехали, и с инетом ничего не поменялось. Мне лишь позвонили и сказали что "сейчас все нормально и мы заявку закрываем". По факту - офис на резервном канале, на котором все отлично работает. Но он, все-таки, резервный...

Недели три как началось такое. Последние пару лет загрузка канала в среднем 15 мбит... Почему тогда, у других провайдеров, да и этого раньше тоже, какая бы ни была нагрузка, тот же пинг, в худшем случае, вырастал до неприличные значений, но был. А сейчас я вижу картину такую - 99% превышен интервал ожидания, и 1% ответ 1мс.

Хто такие? Ну чтобы знать и стороной обходить?

Да если бы, всего 50мбит. Но судя по всему та же ситуация на тарифах 10 и 20 мбит, в понедельник буду проверять, симптомы очень похожи.

Друзья, столкнулся с тем что на одном из моих провайдеров временами начал пропадать инет. В процессе поиска проблемы выяснилось что пропадает пинг до шлюза(потери до 100%) и мой любимый микротик эту ситуацию понимал как отвал канала и переключился на резервный, сразу после чего на основном канале восстанавливается пинг до шлюза и микротик переключился на основной канал, после чего опять пропадал пинг до шлюза и ситуация повторялась. И так могло происходить часами. В разговоре с ТП провайдера мне открыли тайну, что пакеты которые выходят за лимит скорости канала просто дропаются. Подумав пришёл к выводу что на стороне провайдера полностью отсутствует шейпер и пакеты просто дропаются полисером.При следующем разговоре ТП подтвердила мою догадку. На мой вопрос - как избежать женского дропа, мне предложили увеличить тариф. А теперь вопрос. Это адекватное поведение оборудования провайдера и я отстал от жизни? Или все-таки ведущие специалисты у федеральных провайдеров стремительно деградируют?

Да, вы правильно поняли. Вот только для включения client isolation нужно сделать сеть гостевой, а хотелось бы обойтись без этого. Увидел в настройках беспроводной сети "L2 Isolation Isolates stations on layer 2 (ethernet) level". С старых версиях контроллера такого не видел. Это то что мне нужно? Проверить пока не могу, физическая сеть в процессе настройки.

Это вроде бы MTU. Стоит стандартное значение. Можно и убрать - погоды не сделает. Но если его увеличить до 1504 - все взлетает и работает без проблем. Собственно L2MTU, о котором Вы спрашивали - не трогал. На прямоту рук не претендую. Да и это не рабочая конфа, а скорее, тестовая, то что первое пришло в голову. Изначально идея состояла в том чтобы получить по eoip влан, и отправить его нетегированым на физический порт, а тегированый траффик с этого порта отправить нетегированым на бридж. Сам eoip бриджевать не хотелось бы.

конфиг Нет, не трогал. А зачем, если интересует нетегированный трафик, а в вланах пусто.

Есть Unifi AP. Настраивается через контроллер. Использую исключительно как транспорт. Контроллер иногда отваливается, но 95% времени доступен для точек. Все это выходит в инет через Микротик. Подскажите, можно ли запретить обмен данными между клиентами внутри Wifi сети? Т.е чтобы клиенты могли выйти в инет через шлюз, а вот между собой общаться не могли от слова совсем?

Только что столкнулся с непонятной мне ситуацией. Буду признателен если мне кто-нибудь разжует и ткнет пальцем где я был не прав. Предыстория. Есть RB760Gs. настройка дефолтная. MTU на бридже и портах - 1500 К ether2 подключен свитч(тупой), к которому подключен Comp1 K ether3 подключен Comp2 напрямую. Все работает. Итак, решил я повесить на ether2 пару вланов. Повесил. Получилось вот так /interface vlan add interface=ether2 name=vlan-3 vlan-id=3 add arp=reply-only interface=ether2 name=vlan-10 vlan-id=10 Больше никаких настроек не далал. Только эти две строчки. А теперь то что мне непонятно - перестал доходить траффик от Comp1. Даже стандартный ping. Причем этот комп нормально получает настройки DHCP и Winbox запущенный на нем видит микротик, но подключиться не может ни по IP ни по MAC. Лечилось мгновенно, увеличением MTU на ether2 до 1504, ЛИБО отключением виланов. По логике вещей, при MTU 1500 в влане, пакеты должны дропаться именно в вланах, но почему-то дропается нетегированный траффик на физическом порту. Что происходит внутри влана не проверял, т.к. в них траффика пока нет никакого, никуда не подключены. Кто-нибудь знает что происходит?

ну брутят-то из сети /24, следовательно ее и хочется блокировать.   Хочется более элегантого решения :)

С неделю назад заметил что какой-то олень нехороший человек долбится по PPtP. имеющаяся схема блокировки не срабатывает, т.к. за проход с одного IP делается всего 2 попытки, зато адресов много - почти целая подсеть /24. Итого получаем почти 500 попыток авторизации за минуту раз в пару часов. Взлома конечно не боюсь, с паролями все хорошо, но сам факт напрягает. Сейчас реализовано так: add action=drop chain=input comment="Drop List" src-address-list=drop_list add action=add-src-to-address-list address-list=drop_list address-list-timeout=1d chain=input comment="Bruteforce login prevention(auth_err: stage3 to drop_list)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_3 add action=add-src-to-address-list address-list=auth_err_stage_3 address-list-timeout=2m chain=input comment="Bruteforce login prevention(auth_err: stage2 to stage3)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_2 add action=add-src-to-address-list address-list=auth_err_stage_2 address-list-timeout=6h chain=input comment="Bruteforce login prevention(auth_err: stage1 to stage2)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_1 add action=add-src-to-address-list address-list=auth_err_stage_1 address-list-timeout=12h chain=input comment="Bruteforce login prevention(auth_err: stage1)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=!white_list В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети. Есть идеи как это реализовать?

мне это пригодилось при настройке, когда нужно было оперативно переключаться между бридж/роутер. Выяснил что у РТ проблемы, которые они потом неделю еще устраняли. Когда все получилось - переключил перманентно через ТП.

не совсем так. Настроить можно(по крайней мере на первых прошивках можно было), но геморройно, и до первой перезагрузки либо обновления конфига с головы. Звоните в техподдержку и говорите чтобы вам переключили терминал в бридж. Через 10 минут(если не повезет то через пару дней) на микротике запускаете PPP->PPPoE Scan, запускаете сканирование на порту к которому подключен ZTE и видите ростелекомовские брасы. Если есть хоть один - можно подключаться, если нет то что-то не так либо с подключением(патчкорд, не тот порт), либо у РТ что-то не так - долбите ТП.

1. Для начала, Mikrotik. 2. Далее, думаю начать чтение литературы по маршрутизации. 3. Потом, если вдруг не получится самостоятельно вкурить что и как, потрудиться объяснить людям что именно у Вас есть и что Вы хотите получить. Возможно то что Вам нужно - Hairpin NAT.

Этот вариант приемлем если на самом деле в каждую комнату точку ставить. В противном случае, т.к. у 5 затухание значительно выше, в отдаленных районах жилплощади получим отсутствие вафли как таковой. У меня в дальней комнате, при 17db и 2 диапазон на 3 палки ловит.

Знаю как это называется. Но это целая "технология" о которой МТ никогда и не упоминал. Мне бы в принципе достаточно было изменить интервал маяков - вариант не для продакшна конечно, но для дома вполне годное решение. К стыду МТ, возможность поменять этот самый Beacon Interval есть даже в дешманских асусах и длинках, и почти во всех двухдиапазонных устройствах, которые я видел, интервал маяка 2 сети несколько больше чем у 5. Жесть... Нахрена вообще железку за 260 баксов делать чтобы она не умела нормально работать с интерфейсами? Мое мнение о МТ резко упало до уровня чуть выше плинтуса DLink'a... Знал бы раньше - взял бы RM вариант и старый добрый Unifi AC Lite. и в те же деньги бы все вышло. А теперь и вафля вроде есть, но и не совсем рабочая она...

Обзавелся я домой, значит, 4011, тот что с вафлей. И уперся в один, многим известный трабл - если сети 5 и 2.4 назвать одинаково, клиенты подключаются преимущественно к 2.4. В более-менее серьезных проектах использую убик, так у него это проблемы нет, там даже опция есть - выдавливать клиентов из 2.4, если они могут 5. Работает как часы. У микротика же, даже не нашел где можно изменить Beacon Interval. Вообще по беспроводным интерфейсам нет ничего подобного. В тырнетах(преимущественно 12-14 года) пишут что делать разные названия и делу край. Но это же несерьезно, господа! На дворе как-никак 21 век... Отсюда и вопрос, как изменить Beacon Interval или может быть есть какой-нибудь костыль или настройка, чтобы клиенты подключались сначала к 5Ghz, дабы не делать два разных имени сети.

А кто Вам сказал что я ничего не делаю? Все что Вы перечислили - сделано было еще пару месяцев назад. Проблема появляется на VLAN-в-тоннеле. Через несколько дней самостоятельных мучений решил что глаз замылился и выложил проблему на форум. В какой-то степени да. Но на какое-то время пойдет, а дальше может на куплю железку посерьезнее. После пары недавно пойманных глюков начал разочаровываться в МТ.

Прошу прощения, но зачем так сильно давить на разъем чтобы его вставить? Я как-то раз видел USB вставленный в HDMI. Но там пользователь, а с этим железом вроде грамотные люди должны работать... Вы же не будете забивать молотком ключ в личинку замка если, например в темноте, не сможете его вставить?   ЗЫ. Пересмотрел ролик. Там даже видно как большой палец трясется от усилия. Думаю что такое усилие не все пластиковые корпуса типа как у Hap lite переживут, да и вообще 90% электроники. Но это же не значит что кто-то накосячил?

Не знаю как Вы, а я предпочитаю понять почему именно не работает, а не прибегать к помощи костылей. Проблема решилась установкой proxy-arp на интерфейсы VLAN с обоих концов. Странно, ведь между адресами L2 есть, пусть и внутри VPLS+VLAN. Причем если долго к хосту не обращаться - хост начинает отвечать секунд через 5 после обращения. Похоже на какой-то глюк в прошивке.