Отличное видео, я поставил себе домой для организации различных потребностей, обход блокировок и так далее... Спасибо, очень помогло начинающему разобраться в базовых понятиях.
Здравствуйте, отличный материал и подача тоже отличная, спасибо! Одно не раскрыто, Firewall с IPV6... если бы его настройки ещё бы дали, а не просто выключить, то было бы супер, так как например у меня провайдер даёт ipv6 и он нормально работает.
Норм. Просто совет - первым правилом открывайте себе явный вход на железку. Я ещё поднимаю l2tp ipsec на wan. Можно случайно заблочить себе доступ и придётся ехать в незапланированную командировку.
Автор, на удалённом роутере ранее у меня стояли стандартные правила для Винбокс -для локалки и адрес листа без инверсии (!) и reject, a accept. И всё работало. Изменил как вы порекомендовали, после чего стало невозможно прицепиться по Винбокс к своему удалённому роутеру, дай Бог, чтоб он работал до весны нормально, пока я не приеду к нему и не верну всё как было.
У Mikrotik есть средство в виде Safe Mode, которое позволяет относительно безопасно настраивать Firewall удаленно. Вы включаете этот режим через соответствующую настройку в WinBox Далее, если вы некорректно выйдете из этого режима, то все созданные вами настройки будут отменены. Корректным выходом из режима является ручное его отключение через ту же настройку. Таким образом, если во время настройки фаервола у вас пропала связь из-за неверного правила или по какой-то другой причине, Микротик откатит обратно сделанные вами изменения и вы сможете снова подключиться к роутеру. В терминале этот режим включается комбинацией клавиш CTRL+X. Время ожидания, перед откатом изменений максимум 9 минут (время TCP timeout). Подробнее об этом режиме можно почитать в официальной документации.
Автору: Спасибо нашел много полезного в этом видео, не смотря на то что уже давно работаю с микротиком. Читателям комментариев: Не вижу смысла использовать микротик если включать Fasttrack. Он меняет схему прохождения трафика после connection tracker сразу в output interface. получается многие правила не будут работать такие как маркировка трафика или QoS и др. подробнее смотрите схему прохождение трафика в router os.
если указан dst address, можно не указывать in interface, так как все равно понятно куда попадает пакет перед NAT'тированием. да, конечно можно указать еще и in interface, но ничего не изменится, правило в любом случае будет отрабатывать корректно.
Вот бы еще такой хороший объяснятор как вы поделился знаниями как правильно wifi2 на hAP3 и RouterOS 7 настраивать. Так же в этом разрезе было бы интересно как можно прикрутить к вышеуказанному роутеру древнюю cAP lite в режиме CAPsMAN, чтоб бесшовным был. Спасибо за просвещение!
На 5 минуте. провайдер отбрасывает пакет - это верно. но он его отбрасывает не потому что source IP не соответствует тому который он выдал роутеру, а потому что этот source IP находится в диапазоне частных (серых) IP-адресов, предназначенных для локальных сетей и запрещённых к маршрутизации в интернет. Поэтому такие пакеты помечаются как invalid по причине source IP.
есть много провайдеров, которые выдают своим клиентам серые ip-адреса из приватных сетей 10.0.0.0/16, 172.16.0.0/12, 192.168.0.0/16 и потом натят их в свои белые ip-адреса. в итоге ведь получается, что провайдер всё-таки может принимать от клиента его приватный (частный, серый) ip-адрес, далее натить его и роутить дальше. в данном случае провайдер создаёт l2-туннель до клиента, на котором со стороны провайдера прописан маршрут 10.10.0.12/32 (тот ip-адрес, который провайдер выдал клиенту). вот и получается, что все неверные source-ip, которые клиент будет слать провайдеру, будут отбрасываться провайдером.
возможно, что таких организаций много, но я бы постеснялся их называть провайдерами. потом когда их спрашиваешь почему у меня автономная зона маршрутизируется частично или маршрутизация асинхронная то их должностные лица (НЕ специалисты), начинают лихорадочно гуглить аббревиатуру BGP.
Первый раз настраиваю микротик. Хотел поинтересоваться, - А не лучше закрыть все из вне и потом открывать только, то что требуется? К примеру 80, 443 порты и прочее.
привет. спасибо за ролик! было познавательно. подскажи, у меня Router OS 7.16 и нет меню CapsMan как у тебя в видео. ты какой-то отдельный пакет доустанавливал?
Насчёт masquarade и src-nat. Если вы получаете от провайдера не один внешний IP, а целую подсеть (2, 4, 8 адресов), то все эти адреса прописываются в IP - Addresss на интерфейсе микротика в сторону провайдера. и дальше с помощью src-nat вы можете конкретный компьютер/группу компьютеров из локальной сети отправить наружу с конкретным внешним IP-адресом из подсети провайдера, указав его в поле To Address. Кроме того самим вендором mikrotik в вики-микротик указывается что при наличии статики нужно использовать src-nat. имхо, автору виднее.
1. masquerade нужен только в том случае, если ip-адрес, получаемый от провайдера динамический. то есть, меняется время от времени. masquerade также работает и со статикой, никакой разницы в работе интернета не будет. единственное, что может быть - процесс может нагружаться немного сильнее, потому что в случае masquerade mikrotik автоматически будет вычислять ip-адрес на интерфейсе, указанном в out. interface. 2. если же провайдер выдаёт клиенту подсеть, тогда конечно лучше использовать src-nat. и, как Вы верно подметили, появится возможность присваивать клиентам конкретный внешний ip-адрес из этой подсети. либо в поле to addresses можно указать сразу всю эту подсеть и тогда mikrotik будет натить серые адреса на внешние адреса случайным образом. ну, не совсем случайным, а по своему алгоритму.
@@loskiq сможете на микротике решить такую задачу: провайдер выдаёт динамический IP v4 адрес на PPPoE. нужно настроить выход в интернет офиса через src-nat, не masquerade. ?
Спасибо за видео. Но в правилах проброса портов лучше Dst. Address не указывать, а указать in.Interface - в вашем случае ether1, т.к. айпишник от провайдера динамический и при смене его - правило работать не будет.
А чем хуже ограничение доступа к Winbox (и другим сервисам) из IP-Services? Там же есть параметр AvailableFrom, в который прописываются доверенные адреса.
круто и спс за труд но есть пара вопросов))) зачем в маскарадинге выбирать подсеть внутнеюю обычно и так все робэ))разве только что если не мавскардить а дст натить))разыне подсети0))2е - в сервисах есть колонка алловед адерс - если туда прописать оно тоже ИПы только те пускать будет? а то пишут что до одного места)))
для безопасности лучше указывать внутреннюю сетку в правиле маскарада. приведу пример: есть сеть провайдера, в которой соседние абоненты могут напрямую общаться друг с другом, то есть по L2. если какой-то соседний абонент укажет IP-адрес (WAN) Вашего микротика в качестве шлюза по умолчанию, он сможет воспользоваться Вашим интернетом, потому что Ваше правило маскарада на микротике будет натить всё подряд, включая пакеты соседнего абонента.
отличное видео! просьба - сделайте еще видос как настроить микротик на двух провайдеров интернета (когда оба кабеля идут в роутер) и чтоб микротик мог между ними автоматически переключаться, в случае отключения одного из провайдеров.
Здравствуйте,подскажите пжлста,у меня mikrotik rbm11g и модем em160r-gl,все настроено как надо вроде,но при включении питания, lte автоматически не включается,приходится вручную заходить в винбокс,в lte и нажать выключить и опять включить и потом заработает,жить можно,но напрягает что не автоматом все делается...что может быть или где то надо что то включить в настройках???
Есть офис. Инет по статическому ip. Настраиваю l2tp чтобы сотрудники могли подключиться из дома и работать. У меня в офисе 2 сети. Без интернета и с интернетом. Microtik по lan врублен в сеть без инета. Так как большинство программ на компах без интернета. Проблема в том что если на инет компе настроить в офисе, то он подключается. А если из дома, то не подключается, правила вроде верные. Где копать? А ещё есть ситуация, всё коннектится, но не пингуется и соответственно при подключении rdp не видит комп.
Про таблицу Connections не очень понял. Разве пакеты не по установленным маршрутам всегда бегают? Т.е. пакет по идее всегда именно к таблице маршрутизации должен обращаться, разве нет?
все верно, пакеты бегают, исходя из таблицы маршрутизации, а затем, когда установилось какое-либо подключение с каким-либо ip-адресом в интернете, добавляется запись в таблицу connections и устанавливается состояние этого соединения. эта таблица нужна для корректной работы NAT, но она никак не связана с таблицей маршрутизации.
В некоторых статьях по настройке Wireguard видел, что fasttrack connection в обязательном порядке надо отрубить, иначе будут проблемы с WG из-за этого. Подскажите, пожалуйста, так ли это и с чем именно это может быть связано?
нет, к счастью это не так. на всех администрируемых мной mikrotik'ах, где настроен wireguard, включен fasttrack connection. никаких проблем не наблюдается. такая схема работает уже второй год.
Давай больше видосов про микрот. За 2 последних дня как подписался на тебя - смотрю прибавилось еще человек 100. Делай больше про микрот. У тебя отлично получается!
Если выполнена настройка CapsMan, то эти настройки уберегут от внешнего проникновения на точки микротик, расположенные после роутера? Или на них так же всю эту процедуру повторять? Спасибо.
19 минута. тоесть всем клиентам которые сидят на провайдере в другом городе тоже можно на Ваш микротик? раз всю подсеть провайдера открыли. это точно про безопасность?)
если клиент, который будет получать доступ на микротик, имеет динамический ip-адрес, тогда тут два варианта: либо указывать всю сетку провайдера этого клиента, либо создавать защищенный туннель, например, wireguard и разрешать доступ только из подсети, прописанной на туннеле wireguard. первый вариант более простой, потому что мы уже итак оградили свой микротик почти от всего интернета. то есть, от 99.9% всяких брутфорсов и левых пакетов мы себя оградили. и да, это компромиссный вариант, потому что у клиента нет внешнего статического ip-адреса. если же он есть, тогда просто разрешаем доступ именно с его ip. второй вариант более сложный, потому что каждый раз придётся подключать wireguard и только потом заходить на микротик. но в последнее время протоколы vpn работают нестабильно (могут блокироваться по стране с помощью ТСПУ), поэтому это рискованный вариант. но можно настроить сразу два варианта)
Правило в Raw було лишнім якби ти нормально налаштував фаєрвол, в цілому відео корисне для розуміння шо куда ходить, але я б не радив по ньому налаштовувати собі мікротік, і доречі після RAW йде нат а потім фаєрвол
по сути сильной разницы нет где дропать пакеты. либо в filter, либо в raw. но raw дропает более эффективно, потому что да, Вы верно подметили, сначала пакет попадает в raw, а потом уже дальше. например, если Вы начнёте лить кучу запросов на порт, который дропаете в filter, Вы заметите нагрузку на ЦП гораздо больше, чем если бы дроп был в raw.
@loskiq стандартні правила фаєрвола які ви тут не зробили і так дропають всі вхідні підключення в тому числі і 53 порт, не бачу смислу окремо його дропати ще й в рав. В рав добре дропати всяких ддосерів чи тих хто попав в хоніпот. Я веду до того що бажаючих поспамити на закритий 53 порт не так багато щоб створювати окреме правило.
По аксесс листам немного вводит в заблуждение второй диапазон реальных IP. Логично к примеру открыть диапазон из внутренней сети, но если подключаться будет кто-то из вне, то скорее всего он будет подключаться с какого-нибудь реального IP и тут диапазон не уместен, будут отдельные IP адреса, а уместен только если роутер будет соединен по туннелю с другой подсетью.
пробрасываю порт как на всех гайдах, захожу на 2ip чтоб проверить порт, а он закрыт, хотя в роутере пакеты проходят, у провайдера узнал что данные порты не заблочены, 100раз уже все потыкал, как то 1 раз сработало и потом обтъебнуло, внешний ip у меня статичен, в винде пробросил что tcp что udp
Создаем правила в RAW 53 порт, протоколы UDP и TCP, но почему ты проверяешь работоспособность через ping ? это же icmp, он будет работать что бы ты там не написал в принципе
этим правилом я устанавливаю запрет пользоваться DNS-сервером микротика посторонним пользователям. а DNS работает только по двум протоколам: TCP и UDP.
Вы, видимо, не заметили, что во вкладке General я поставил галочку new. этим самым будут проверяться только пакеты с состоянием new, что отнимает гораздо меньше ресурсов по сравнению с established и related
@@loskiq во времена DDOS когда с разных IP к вам устремляются по 6000 новых пакетов в секунду ваше new -- такой себе аргумент. Я к тому что проще и экономичнее использовать drop, а проблема зависшего соединения - это проблема хоста. Ну или сделайте известные адреса - reset, а прочие drop, если вам так комфортнее
да, в ipv6 нет такого понятия как бродкаст. микротик шлёт mndp-пакеты по ipv6 на адрес мультикаст ff02::1, что равнозначно бродкасту в ipv4, так как пакет всё равно прилетит на все устройства в l2-сегменте.
Первые пять минут история о том как провайдер отбрасывает пакеты с src=192.168.88.253 потому что ожидает там какой-то другой ну прям супер бред))) Тут надо было рассказать про адреса для локальных сетей, и про то, что оборудование провайдера не может ответить на адрес которого нету в сети, отсюда и тайм-аут соединения при пинге. Ну и Нат маскарад нужен, чтобы в пакетах src подменять на свой внешний ip, который уже будет доступен. Вот и весь рассказ. Эх. Все и так схавали судя по коментам
когда роутер абонента подключается к интернету, на сервере (брасе) провайдера создаётся виртуальный интерфейс и автоматически прописывается маршрут на этом виртуальном интерфейсе, обычно с 32-м префиксом (смотря какую сеть провайдер выделит абоненту). простым языком это означает, что ни на какой другой ip-адрес, с которого роутер абонента будет слать пакеты, сервер не ответит, потому что попросту не найдёт у себя маршрут на данном виртуальном интерфейсе. и дело тут не в том, что адреса 192.168.88.253 нет в сети. если на то пошло, эта сеть (192.168.88.0/24) может использоваться на сервере для других нужд, и в данной сети может быть какое-то оборудование с адресом 192.168.88.253. получается, что этот адрес в сети, но сервер провайдера всё равно ведь не ответит на данный адрес тому абоненту, который будет слать пакеты с него, потому что будет смотреть только в свою таблицу маршрутизации на том виртуальном интерфейсе, который создан между сервером и роутером абонента. Вам бы немного подучить маршрутизацию)
@@loskiq вы описали частный случай. Я очень хорошо понимаю как происходит маршрутизация, иначе бы не писал. Но спорить просто лень, пусть каждый останется при своём)
@@loskiq по поводу маршрутизации и ната. Если бы провайдер знал о сети клиентов то трафик мог ходить и рубиться трафик потому что серые адреса запрещены к маршрутизации на границе инета и провайдера. Либо трафик должен натиться или иметь реальные ip, либо будет прибит. Мне показалось было объснено немного не так как оно на самом деле работает
да, согласен. провайдер конечно может натить локальную сеть роутера. то есть, наш роутер будет просто маршрутизировать весь трафик из локальной сети провайдеру, а он его уже будет натить. но, думаю, вряд ли кто из провайдеров такое предоставляет. либо да, как Вы написали, локальная сеть может состоять из реальных ip-адресов и тогда ничего натить не нужно.
кек, час рассказывать как поднять правило маскарада, и еше полторы правил домохозяйских. Не упомянув и 10% повседневных задач. Го в след раз видос на 12 часов, глядишь там и про маркировку упомянешь, правда, вскользь. Видос от хомяка для хомяков
А кто смотрит видео, при настройке Микротика?😂 Быстрее и эффективнее из статьи взять информацию. По тексту быстрее найдешь, что у тебя уже готово, а что надо исправить. Видео может быть полезным в случае, если хочешь узнать как другие настраивают.
@@MGTOW_Element Автор (loskiq), алло, у тебя видео претендующее не на настройку быструю чего-либо, а о ДЕТАЛЬНОМ РАЗБОРЕ FIREWALL, а по факту ты однуо попсовую фичу ничего не дающую мусолишь час, не смеши и не оправдывайся. Ох у ж полезное узнал, о существовании маскарада и ната как технологии. ору
@@privaltv так зритель тоже должен думать. Видишь, что автор "плывет" в теме - смотри другого. Я лично так делаю. Даже если в обучающем видео рекламы написано, смотреть этого автора больше не стану. И кто сказал, что я автор видео?🤔 Я настроил свои роутеры по статьям. По видео это сделать невозможно.
@@MGTOW_Element > Видишь, что автор "плывет" в теме - смотри другого. Так и делаю, еще в коммент пишу, чтобы другие люди время экономили и не смотрели это блеяние. >Даже если в обучающем видео рекламы написано, смотреть этого автора больше не стану. Сложно понять что ты хотел сказать этим несвязным бредом.
Отличное видео, я поставил себе домой для организации различных потребностей, обход блокировок и так далее... Спасибо, очень помогло начинающему разобраться в базовых понятиях.
Лучшее объяснения, что можно только встретить в инете.
Супер объяснение!!!! СПАСИБО.
Краткость-сестра таланта.Это про вас.Жду новые видео в вашей озвучке
Здравствуйте, отличный материал и подача тоже отличная, спасибо!
Одно не раскрыто, Firewall с IPV6... если бы его настройки ещё бы дали, а не просто выключить, то было бы супер, так как например у меня провайдер даёт ipv6 и он нормально работает.
обяснил лучше чем Роман Козлов)))👍
Благодарю автора за качественное видео! Но позволю сделать небольшое замечание: правильно говорить не СиСиаШ, а эСэСаШ. Всех благ!
Спасибо тебе большое! Единственные нормальные видео по настройке на Юутбе!
спасибо
Норм. Просто совет - первым правилом открывайте себе явный вход на железку. Я ещё поднимаю l2tp ipsec на wan. Можно случайно заблочить себе доступ и придётся ехать в незапланированную командировку.
Автор, на удалённом роутере ранее у меня стояли стандартные правила для Винбокс -для локалки и адрес листа без инверсии (!) и reject, a accept. И всё работало. Изменил как вы порекомендовали, после чего стало невозможно прицепиться по Винбокс к своему удалённому роутеру, дай Бог, чтоб он работал до весны нормально, пока я не приеду к нему и не верну всё как было.
удалось вернуть все назад через romon другого микротика в удалённой сети
@@Mjasnik21))
У Mikrotik есть средство в виде Safe Mode, которое позволяет относительно безопасно настраивать Firewall удаленно. Вы включаете этот режим через соответствующую настройку в WinBox
Далее, если вы некорректно выйдете из этого режима, то все созданные вами настройки будут отменены. Корректным выходом из режима является ручное его отключение через ту же настройку. Таким образом, если во время настройки фаервола у вас пропала связь из-за неверного правила или по какой-то другой причине, Микротик откатит обратно сделанные вами изменения и вы сможете снова подключиться к роутеру.
В терминале этот режим включается комбинацией клавиш CTRL+X. Время ожидания, перед откатом изменений максимум 9 минут (время TCP timeout). Подробнее об этом режиме можно почитать в официальной документации.
@@Shurka2709 Спасибо большое, за информацию.
Молодец ! Классно обьясняеш, не то что некоторые !
семен, плес
Автору:
Спасибо нашел много полезного в этом видео, не смотря на то что уже давно работаю с микротиком.
Читателям комментариев:
Не вижу смысла использовать микротик если включать Fasttrack. Он меняет схему прохождения трафика после connection tracker сразу в output interface. получается многие правила не будут работать такие как маркировка трафика или QoS и др. подробнее смотрите схему прохождение трафика в router os.
Интересно. Все доходчиво!
Продолжай в том же духе!!!
34:59 А почему Вы не указываете значения для In. Interface и Out. Interface?
если указан dst address, можно не указывать in interface, так как все равно понятно куда попадает пакет перед NAT'тированием. да, конечно можно указать еще и in interface, но ничего не изменится, правило в любом случае будет отрабатывать корректно.
Вот бы еще такой хороший объяснятор как вы поделился знаниями как правильно wifi2 на hAP3 и RouterOS 7 настраивать. Так же в этом разрезе было бы интересно как можно прикрутить к вышеуказанному роутеру древнюю cAP lite в режиме CAPsMAN, чтоб бесшовным был. Спасибо за просвещение!
На 5 минуте. провайдер отбрасывает пакет - это верно. но он его отбрасывает не потому что source IP не соответствует тому который он выдал роутеру, а потому что этот source IP находится в диапазоне частных (серых) IP-адресов, предназначенных для локальных сетей и запрещённых к маршрутизации в интернет. Поэтому такие пакеты помечаются как invalid по причине source IP.
есть много провайдеров, которые выдают своим клиентам серые ip-адреса из приватных сетей 10.0.0.0/16, 172.16.0.0/12, 192.168.0.0/16 и потом натят их в свои белые ip-адреса.
в итоге ведь получается, что провайдер всё-таки может принимать от клиента его приватный (частный, серый) ip-адрес, далее натить его и роутить дальше.
в данном случае провайдер создаёт l2-туннель до клиента, на котором со стороны провайдера прописан маршрут 10.10.0.12/32 (тот ip-адрес, который провайдер выдал клиенту).
вот и получается, что все неверные source-ip, которые клиент будет слать провайдеру, будут отбрасываться провайдером.
возможно, что таких организаций много, но я бы постеснялся их называть провайдерами. потом когда их спрашиваешь почему у меня автономная зона маршрутизируется частично или маршрутизация асинхронная то их должностные лица (НЕ специалисты), начинают лихорадочно гуглить аббревиатуру BGP.
А если нет пункта 20:43 Srс. Address List?
значит этот пункт будет во вкладке Advanced. в новых версиях RouterOS разработчики изменили порядок
@@loskiq спасибо!
Отличный видос, продолжай!
семен, плес
Первый раз настраиваю микротик. Хотел поинтересоваться, - А не лучше закрыть все из вне и потом открывать только, то что требуется? К примеру 80, 443 порты и прочее.
Досмотрел видео дальше и понял в чем я ошибся.
А можно подробный обзор базового фв?
Спасибо. Все очень понятно!
семен, плес
привет. спасибо за ролик! было познавательно. подскажи, у меня Router OS 7.16 и нет меню CapsMan как у тебя в видео. ты какой-то отдельный пакет доустанавливал?
Красава, все круто обьясняешь, так держать. Очень редко встретитшь когда так разжовывают, спасибо большое
Спасибо БРО!
Насчёт masquarade и src-nat. Если вы получаете от провайдера не один внешний IP, а целую подсеть (2, 4, 8 адресов), то все эти адреса прописываются в IP - Addresss на интерфейсе микротика в сторону провайдера. и дальше с помощью src-nat вы можете конкретный компьютер/группу компьютеров из локальной сети отправить наружу с конкретным внешним IP-адресом из подсети провайдера, указав его в поле To Address. Кроме того самим вендором mikrotik в вики-микротик указывается что при наличии статики нужно использовать src-nat. имхо, автору виднее.
1. masquerade нужен только в том случае, если ip-адрес, получаемый от провайдера динамический. то есть, меняется время от времени. masquerade также работает и со статикой, никакой разницы в работе интернета не будет. единственное, что может быть - процесс может нагружаться немного сильнее, потому что в случае masquerade mikrotik автоматически будет вычислять ip-адрес на интерфейсе, указанном в out. interface.
2. если же провайдер выдаёт клиенту подсеть, тогда конечно лучше использовать src-nat. и, как Вы верно подметили, появится возможность присваивать клиентам конкретный внешний ip-адрес из этой подсети. либо в поле to addresses можно указать сразу всю эту подсеть и тогда mikrotik будет натить серые адреса на внешние адреса случайным образом. ну, не совсем случайным, а по своему алгоритму.
@@loskiq сможете на микротике решить такую задачу: провайдер выдаёт динамический IP v4 адрес на PPPoE. нужно настроить выход в интернет офиса через src-nat, не masquerade. ?
сисиаш))) жжошь) но в целом популярно объясняешь
12:50 to ports для чего?
Спасибо за видео. Но в правилах проброса портов лучше Dst. Address не указывать, а указать in.Interface - в вашем случае ether1, т.к. айпишник от провайдера динамический и при смене его - правило работать не будет.
Для этого маскарад и используют😂
Чем поможет маскарад - когда изменится айпишник от провайдера (если он динамический), который ты уже "забил" руками в Dst. Address? :)
@@v6661977 маскардинг как раз и применяется на динамических ип -).
А чем хуже ограничение доступа к Winbox (и другим сервисам) из IP-Services? Там же есть параметр AvailableFrom, в который прописываются доверенные адреса.
Это одно и тоже. Но правильней в firewall прописывать всё, чтобы сразу видно было что- кому- куда.
Лично я бы начал с запрета все, кроме. А потом уже открывал интернет в локалку.
бро помоги плиз. dhcp client не выдает ip. постоянно стоит searching
при включении fasttrack у вас не будут работать qos
да, не будет, но большинство не парятся с настройкой qos, тем более, если это обычный домашний роутер
круто и спс за труд но есть пара вопросов))) зачем в маскарадинге выбирать подсеть внутнеюю обычно и так все робэ))разве только что если не мавскардить а дст натить))разыне подсети0))2е - в сервисах есть колонка алловед адерс - если туда прописать оно тоже ИПы только те пускать будет? а то пишут что до одного места)))
для безопасности лучше указывать внутреннюю сетку в правиле маскарада. приведу пример: есть сеть провайдера, в которой соседние абоненты могут напрямую общаться друг с другом, то есть по L2. если какой-то соседний абонент укажет IP-адрес (WAN) Вашего микротика в качестве шлюза по умолчанию, он сможет воспользоваться Вашим интернетом, потому что Ваше правило маскарада на микротике будет натить всё подряд, включая пакеты соседнего абонента.
отличное видео! просьба - сделайте еще видос как настроить микротик на двух провайдеров интернета (когда оба кабеля идут в роутер) и чтоб микротик мог между ними автоматически переключаться, в случае отключения одного из провайдеров.
спасибо! да, такое в планах тоже есть. обязательно сделаю!
Поддерживаю вопрос
@@loskiq Ну, тогда уж дополню: с балансировкой нагрузки при работе сразу от двух провов.)
Як зробыты прокси на p2p microtik
привет, можно показать как все это сделать на ipv6? + НАСТРОКА Firewall ДЛЯ НЕГО!!!!
Здравствуйте,подскажите пжлста,у меня mikrotik rbm11g и модем em160r-gl,все настроено как надо вроде,но при включении питания, lte автоматически не включается,приходится вручную заходить в винбокс,в lte и нажать выключить и опять включить и потом заработает,жить можно,но напрягает что не автоматом все делается...что может быть или где то надо что то включить в настройках???
поищи информацию, как писать скрипты на микротике в автозагрузку. Это, вероятнее всего, решит твою проблему)
Есть офис. Инет по статическому ip. Настраиваю l2tp чтобы сотрудники могли подключиться из дома и работать. У меня в офисе 2 сети. Без интернета и с интернетом. Microtik по lan врублен в сеть без инета. Так как большинство программ на компах без интернета. Проблема в том что если на инет компе настроить в офисе, то он подключается. А если из дома, то не подключается, правила вроде верные. Где копать? А ещё есть ситуация, всё коннектится, но не пингуется и соответственно при подключении rdp не видит комп.
Вероятно нет маршрута между сетями, находящимися по обе стороны L2TP
@@malboroman4540 всё решилось, после настройки маскарада))
Про таблицу Connections не очень понял. Разве пакеты не по установленным маршрутам всегда бегают? Т.е. пакет по идее всегда именно к таблице маршрутизации должен обращаться, разве нет?
все верно, пакеты бегают, исходя из таблицы маршрутизации, а затем, когда установилось какое-либо подключение с каким-либо ip-адресом в интернете, добавляется запись в таблицу connections и устанавливается состояние этого соединения. эта таблица нужна для корректной работы NAT, но она никак не связана с таблицей маршрутизации.
Почему многие для проброса используют netmap для проброса? Почему его нельзя использовать, если он работает
В некоторых статьях по настройке Wireguard видел, что fasttrack connection в обязательном порядке надо отрубить, иначе будут проблемы с WG из-за этого. Подскажите, пожалуйста, так ли это и с чем именно это может быть связано?
нет, к счастью это не так. на всех администрируемых мной mikrotik'ах, где настроен wireguard, включен fasttrack connection. никаких проблем не наблюдается. такая схема работает уже второй год.
Давай больше видосов про микрот. За 2 последних дня как подписался на тебя - смотрю прибавилось еще человек 100. Делай больше про микрот. У тебя отлично получается!
семен, плес
Если выполнена настройка CapsMan, то эти настройки уберегут от внешнего проникновения на точки микротик, расположенные после роутера? Или на них так же всю эту процедуру повторять? Спасибо.
если CAPsMAN настроен внутри Вашей локальной сети на локальных интерфейсах, да, уберегут
👏💯🥇🔥
19 минута. тоесть всем клиентам которые сидят на провайдере в другом городе тоже можно на Ваш микротик? раз всю подсеть провайдера открыли. это точно про безопасность?)
если клиент, который будет получать доступ на микротик, имеет динамический ip-адрес, тогда тут два варианта: либо указывать всю сетку провайдера этого клиента, либо создавать защищенный туннель, например, wireguard и разрешать доступ только из подсети, прописанной на туннеле wireguard.
первый вариант более простой, потому что мы уже итак оградили свой микротик почти от всего интернета. то есть, от 99.9% всяких брутфорсов и левых пакетов мы себя оградили. и да, это компромиссный вариант, потому что у клиента нет внешнего статического ip-адреса. если же он есть, тогда просто разрешаем доступ именно с его ip.
второй вариант более сложный, потому что каждый раз придётся подключать wireguard и только потом заходить на микротик. но в последнее время протоколы vpn работают нестабильно (могут блокироваться по стране с помощью ТСПУ), поэтому это рискованный вариант.
но можно настроить сразу два варианта)
Классно! Спасибо огромное! А как поступать с пробросом портов если у провайдера меняется IP?
либо покупать у провайдера статический ip (я плачу Ростелекому +150р к тарифу не дорого) . или изучите ddns
Правило в Raw було лишнім якби ти нормально налаштував фаєрвол, в цілому відео корисне для розуміння шо куда ходить, але я б не радив по ньому налаштовувати собі мікротік, і доречі після RAW йде нат а потім фаєрвол
по сути сильной разницы нет где дропать пакеты. либо в filter, либо в raw.
но raw дропает более эффективно, потому что да, Вы верно подметили, сначала пакет попадает в raw, а потом уже дальше.
например, если Вы начнёте лить кучу запросов на порт, который дропаете в filter, Вы заметите нагрузку на ЦП гораздо больше, чем если бы дроп был в raw.
@loskiq стандартні правила фаєрвола які ви тут не зробили і так дропають всі вхідні підключення в тому числі і 53 порт, не бачу смислу окремо його дропати ще й в рав. В рав добре дропати всяких ддосерів чи тих хто попав в хоніпот. Я веду до того що бажаючих поспамити на закритий 53 порт не так багато щоб створювати окреме правило.
По аксесс листам немного вводит в заблуждение второй диапазон реальных IP. Логично к примеру открыть диапазон из внутренней сети, но если подключаться будет кто-то из вне, то скорее всего он будет подключаться с какого-нибудь реального IP и тут диапазон не уместен, будут отдельные IP адреса, а уместен только если роутер будет соединен по туннелю с другой подсетью.
пробрасываю порт как на всех гайдах, захожу на 2ip чтоб проверить порт, а он закрыт, хотя в роутере пакеты проходят, у провайдера узнал что данные порты не заблочены, 100раз уже все потыкал, как то 1 раз сработало и потом обтъебнуло, внешний ip у меня статичен, в винде пробросил что tcp что udp
Вначале проверь без ,dst и src
@@chaoslegion7051 уже все прокинулось, спасибо)
Создаем правила в RAW 53 порт, протоколы UDP и TCP, но почему ты проверяешь работоспособность через ping ? это же icmp, он будет работать что бы ты там не написал в принципе
этим правилом я устанавливаю запрет пользоваться DNS-сервером микротика посторонним пользователям. а DNS работает только по двум протоколам: TCP и UDP.
18:55 не секюрно. От слова совсем. Пускать к настроке роутера из вне - плохая привычка. Как минимум, в тоннель ВПН. А вот к впн по белому списку.
22 минута. reject - tcp reset отнимает больше процессорных ресурсов чем проверять established и related пакеты
Вы, видимо, не заметили, что во вкладке General я поставил галочку new. этим самым будут проверяться только пакеты с состоянием new, что отнимает гораздо меньше ресурсов по сравнению с established и related
@@loskiq во времена DDOS когда с разных IP к вам устремляются по 6000 новых пакетов в секунду ваше new -- такой себе аргумент. Я к тому что проще и экономичнее использовать drop, а проблема зависшего соединения - это проблема хоста. Ну или сделайте известные адреса - reset, а прочие drop, если вам так комфортнее
28 минута. Что? Какие широковещательные пакеты в IPv6. Вы о чём?
да, в ipv6 нет такого понятия как бродкаст. микротик шлёт mndp-пакеты по ipv6 на адрес мультикаст ff02::1, что равнозначно бродкасту в ipv4, так как пакет всё равно прилетит на все устройства в l2-сегменте.
Первые пять минут история о том как провайдер отбрасывает пакеты с src=192.168.88.253 потому что ожидает там какой-то другой ну прям супер бред))) Тут надо было рассказать про адреса для локальных сетей, и про то, что оборудование провайдера не может ответить на адрес которого нету в сети, отсюда и тайм-аут соединения при пинге. Ну и Нат маскарад нужен, чтобы в пакетах src подменять на свой внешний ip, который уже будет доступен. Вот и весь рассказ. Эх. Все и так схавали судя по коментам
когда роутер абонента подключается к интернету, на сервере (брасе) провайдера создаётся виртуальный интерфейс и автоматически прописывается маршрут на этом виртуальном интерфейсе, обычно с 32-м префиксом (смотря какую сеть провайдер выделит абоненту).
простым языком это означает, что ни на какой другой ip-адрес, с которого роутер абонента будет слать пакеты, сервер не ответит, потому что попросту не найдёт у себя маршрут на данном виртуальном интерфейсе.
и дело тут не в том, что адреса 192.168.88.253 нет в сети. если на то пошло, эта сеть (192.168.88.0/24) может использоваться на сервере для других нужд, и в данной сети может быть какое-то оборудование с адресом 192.168.88.253.
получается, что этот адрес в сети, но сервер провайдера всё равно ведь не ответит на данный адрес тому абоненту, который будет слать пакеты с него, потому что будет смотреть только в свою таблицу маршрутизации на том виртуальном интерфейсе, который создан между сервером и роутером абонента. Вам бы немного подучить маршрутизацию)
@@loskiq вы описали частный случай. Я очень хорошо понимаю как происходит маршрутизация, иначе бы не писал. Но спорить просто лень, пусть каждый останется при своём)
Молодец! Хорошо объясняешь.. Пропадает талант преподавателя..
А где мой комментарий?
хм, не знаю. я ничего не удалял. что писали?
@@loskiq по поводу маршрутизации и ната. Если бы провайдер знал о сети клиентов то трафик мог ходить и рубиться трафик потому что серые адреса запрещены к маршрутизации на границе инета и провайдера. Либо трафик должен натиться или иметь реальные ip, либо будет прибит. Мне показалось было объснено немного не так как оно на самом деле работает
скорее всего youtube не пропустил. Хотя не понимаю из-за чего. Вроде ничего не было из-за чего можно было бы не пропустить сообщение
да, согласен. провайдер конечно может натить локальную сеть роутера. то есть, наш роутер будет просто маршрутизировать весь трафик из локальной сети провайдеру, а он его уже будет натить. но, думаю, вряд ли кто из провайдеров такое предоставляет. либо да, как Вы написали, локальная сеть может состоять из реальных ip-адресов и тогда ничего натить не нужно.
кек, час рассказывать как поднять правило маскарада, и еше полторы правил домохозяйских. Не упомянув и 10% повседневных задач. Го в след раз видос на 12 часов, глядишь там и про маркировку упомянешь, правда, вскользь. Видос от хомяка для хомяков
А кто смотрит видео, при настройке Микротика?😂 Быстрее и эффективнее из статьи взять информацию. По тексту быстрее найдешь, что у тебя уже готово, а что надо исправить.
Видео может быть полезным в случае, если хочешь узнать как другие настраивают.
@@MGTOW_Element Автор (loskiq), алло, у тебя видео претендующее не на настройку быструю чего-либо, а о ДЕТАЛЬНОМ РАЗБОРЕ FIREWALL, а по факту ты однуо попсовую фичу ничего не дающую мусолишь час, не смеши и не оправдывайся. Ох у ж полезное узнал, о существовании маскарада и ната как технологии. ору
@@privaltv так зритель тоже должен думать. Видишь, что автор "плывет" в теме - смотри другого. Я лично так делаю. Даже если в обучающем видео рекламы написано, смотреть этого автора больше не стану.
И кто сказал, что я автор видео?🤔
Я настроил свои роутеры по статьям. По видео это сделать невозможно.
@@MGTOW_Element > Видишь, что автор "плывет" в теме - смотри другого.
Так и делаю, еще в коммент пишу, чтобы другие люди время экономили и не смотрели это блеяние.
>Даже если в обучающем видео рекламы написано, смотреть этого автора больше не стану.
Сложно понять что ты хотел сказать этим несвязным бредом.
Ну так сделай лучше. Есть прекрасное выражение : критикуешь - предлагай 😅