IT
Недолюбливаю микротики. Потому что делают их люди с альтернативным устройством головы. И это не только мое мнение. Понимаю, что в своей нише они достаточно хороши. Но не очень хочется в этой нише ковыряться (ага, а у самого дома пять штук, но исключительно потому, что так исторически сложилось). А иногда приходится. Вот опять надо было выполнить простейшую операцию - убедиться, что пинг с микротика на определенный хост проходит без потерь. Зашел в гуи. Запустил пинг. Занимаюсь своими делами. Иногда кошусь на поле потерь. Потерь ноль. Вот и славно. Останавливаю пинг. Тянусь закрыть гуи... Так. Стоп. В смысле "261 отправлено, 260 получено"? Всегда стараюсь сначала думать о людях хорошо. Поэтому предполагаю, что они настолько молодцы, что учли в статистике этот момент, когда кнопка "стоп" была нажата после отправки пакета, но до получения ответа. Т.е. причин считать пакет потерянным нет. Хрен там. В полном выводе видно, что девятнадцатый пакет потерялся.
И вот раз за разом одно и то же:
- Да не может быть, чтобы вы и тут...
- Та ммоожеттт!
Вы хотите головоломок?
Их есть у нас! Красивая карта, целых три уровня и много жителей, которых надо осчастливить быстрым интернетом. Для этого придется немножко подумать, но оно того стоит: ведь тем, кто дойдет до конца, выдадим красивую награду в профиль!
Скрипт Mikrotik Fail2ban
Написал скрипт который ищет в логах неудачные попытки авторизации вида: login faillure for user и добавляет адреса с которых эти попытки сделаны в address-list BlackList.
Получается банит ssh, https, http, winbox, dude и т.д.
Чтобы забанить эти адреса нужно в firewall добавить правило которое блочит эти адреса, а так же в планировщике задать запуск по расписанию, конкретно для этого скрипта нужно запускать каждые 6 минут
/ip firewall raw add action=drop chain=prerouting comment="BlackList Drop All" src-address-list=BlackList
текст скрипта
:global attempt 3
:global temp
:global ipaddr
:global LogErr
:global string
:global signA " via";
:global signB "from ";
:set LogErr [/log find message~"login failure for user." time>([/system clock get time] - 6m)]
:foreach i in=$LogErr do={
:set string [:pick [/log get $i message ] 0 ([:len [/log get $i message ]])]
:set ipaddr [:pick $string ([:find $string $signB]+ 5) ($string [:find $string $signA])]
:if ([:len [/ip firewall address-list find address=$ipaddr]]=0) do {
/ip firewall address-list add list=AttemptBruteforce1 address=[:toip $ipaddr] timeout=30m
:log warning "attempt_bruteforce_1 $ipaddr"}
:if ([:len [/ip firewall address-list find address=$ipaddr]]>0 && [:len [/ip firewall address-list find address=$ipaddr]]<$attempt) do {
:set temp ([:len [/ip firewall address-list find address=$ipaddr]]+1)
/ip firewall address-list add list="AttemptBruteforce$temp" address=[:toip $ipaddr] timeout=30m
:log warning "attempt_bruteforce_ $temp $ipaddr"}
:if ([:len [/ip firewall address-list find address=$ipaddr]]=$attempt) do {
/ip firewall address-list add list=BlackList address=[:toip $ipaddr]
:log warning "Blocked_bruteforce_ip $ipaddr"}}
Доступ в сеть впн клиента?
имею сеть как на схеме.
на микротике настроен впн клиент он подключается к серверу и клиент удаленной сети имеет доступ в сеть предприятия ко всем ресурсам. на микротике настроен srcnat action=masquerade.
необходимо же получить доступ с сервера внутри предприятия в удалённую сеть.
настроил маршрут на впн сервере ip route add 192.168.111.0/24 via 10.0.5.4
и ping до удаленных клиентов с впн сервера есть. на другом сервере добавил маршрут ip route add 192.168.111.0/24 via 192.168.9.6 но пакеты не идут.
подскажите куда копать правила файрвола или настройки NAT?
Mikrotik. Как при пробросе порта сделать его доступным только для нескольких ip?
Сделал проброс на одну локальную машину для ssh на 22 порт через dst-nat. Все работает отлично, но хотелось бы сделать что-то типа whitelist для внешних IP, которые могут в этот порт стучаться. Как это сделать?
UPD: Вопрос решен. Спасибо @Lost.Hedgehog
Знатоки Mikrotik ов, помогите
Добрый день, может кто то подскажет, у меня такая эпидерсия, с далеких времен лежали пара МТ Грув без дела с ОС 5.11, и тут мне понадобилось их использовать, начал гуглить как он настраивается, и почти во всех мануалах есть Quick Set, но на версии 5.11 этого не было(или может это связанно с winbox но новая версия не подключалась к МТ), и я решил обновить OS до версии 7,6, и после обновления МТ перестал видеть сети WiFI , да и сами показатели радиокарты на нулях, я подключился ко второму МТ и обратил внимание что у него тип устройства "Atheros N11", а у Мт с ОС 7,6 - стоит тип "Atheros AR92xx", т.е как будто OS 7.6 не знает то усстройство и подсунуло другой драйвер. Подскажите можно ли как то в МТ установить драйвер на WiFi модуль или его выбрать, или может дадите какой то другой совет?
UPD Откатил до версии 6,49, поведение не изсенилось, Подскажите а Тип устройства можно менять как то?
Вопрос по mikrotik
Не ругаю mikrotik, мне он показался значительно интереснее и стабильнее/надежнее большинства аналогов за аналогичную цену, просто не могу никак нигде найти ответ. Я не сисадмин профессиональный, я разраб и дба, просто иногда приходится эникеить. Есть mikrotik hap lite (дешевый, для дома хватает), используется для раздачи интернета с входящего в квартиру шнурка по wlan на два ноутбука, иногда еще на два телефона. Авторизация у провайдера происходит по mac-адресу. Также рядом есть подключаемый по проводу комп, mac которого совпадает с mac маршрутизатора (чтобы не менять у провайдера привязанный mac в случае чего) Была версия прошивки и routeros 6.44.5 lts, маршрутизатор нормально работал и воспринимал этот комп с совпадающим с ним mac обновил прошивку и routeros (да, сделал глупость) до 6.48.6. Теперь ни в какую не хочет подключать комп с тем же mac, что и у него (с другими mac по шнурку спокойно любые устройства воспринимает). Хотя по идее, все должно быть нормально, поскольку mac маршрутизатора только на wan (ethernet1) изменен на привязанный к провайдеру mac компа. Ethernet1 в порты bridge не входит. Обновление откатить не удастся, да и не хочется (стало пошустрее). Что можно сделать, чтобы сделать такой fallback-вариант, как был раньше? Чтобы в случае чего, можно было снова без смены mac воткнуть входящий кабель в комп вместо маршрутизатора и пользоваться, но при этом, работал так же и комп при включении в маршрутизатор?
Что надо успеть за выходные
Выспаться, провести генеральную уборку, посмотреть все новые сериалы и позаниматься спортом. Потом расстроиться, что время прошло зря. Есть альтернатива: сесть за руль и махнуть в путешествие. Как минимум, его вы всегда будете вспоминать с улыбкой. Собрали несколько нестандартных маршрутов.