Добрый день!
В виду своих не очень прямых ручек умудрился потерять пароль от роутера микротик. Но есть бэкап, в котором данный пароль имеется. Собственно хочу спросить у знающих: есть ли способ как пароль извлечь оттуда или способ как сбросить пароль не трогая конфигурацию роутера?
Заранее ОГРОМНОЕ спасибо всем откликнувшимся
Тема вроде бы везде расписана, но, как оказалось, расписана не для средних умов(вроде моего), а так же содержит в своем описании ошибки и недочеты. Недавно на одного из провайдеров обрушили такую нехилую атаку более чем с 7000 узлов со всего мира, успешно забив весь канал входящим трафиком, досталось и клиентам прова на белых адресах. И вот что хорошо бы сделать заранее, чтобы как-то нивелировать эффект от атаки немного расскажу, а так же задам уважаемым читателям вопрос по некоторым деталям настройки микрота в этом ключе. Погнали.
Забив в поиске сабж, легко выходим на статью от самого микрота https://help.mikrotik.com/docs/pages/viewpage.action?pageId=..., к котором как бы разжевано что вписать и будет ок. Однако оказалось, что если тупо скопировать приведенный там фрагмент конфига, оно работать не будет, т.к. в нем забыли явно дописать
"/ip/firewall/filter/add chain=forward connection-state=new action=jump jump-target=detect-ddos" (но расписали об этом почему то ниже.Как видим, даже в этой строчке конфига содержатся ошибки в виде "/" вместо пробелов.
Правильно будет
/ip firewall address-list
add list=ddos-attackers
add list=ddos-targets
/ip firewall filter
add chain=forward connection-state=new action=jump jump-target=detect-ddos
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddos-targets address-list-timeout=10m chain=detect-ddos
add action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=10m chain=detect-ddos
/ip firewall raw
add action=drop chain=prerouting dst-address-list=ddos-targets src-address-list=ddos-attackers
Вкратце, что оно тут делает: создает 2 списка, в которые потом попадают адреса злоумышленника и жертвы(кто такая жертва-ниже), создаем и отправляем в цепочку обработки detect-ddos (я и не знал, что можно создавать свои цепочки,оказывается, да не представлял зачем) новые соединения с нашим микротом, там мы определяем условия для действий над этим соединением/пакетом, возвращаемся из нее и далее пакеты идут куда там дальше в workflow определено. Тут же добавляем действия, которые мы будем делать, если условие в action=return сработало, в нашем случае добавляем адреса получателя и отправителя в соответствующие списки. У нас в примере указано, что если будет больше 32 пакетов новых соединений в секунду за 10 секунд, то занесем адресочки в списки айайай. Вот тут как раз возникает вопрос: а если мы хотим отслеживать что-то еще, кроме параметра dst-limit, например connection limit, и вот тогда правило будет срабатывать при соблюдении обоих условий, или хотя бы одного? В документации ответ на этот вопрос мне как-то не попался на глаза, может аудитория подскажет. Кстати, в обработке action=jump, рекомендую задать список доверенных адресов в Src.addr.list и поставить на него "!", чтобы эти адреса не попали в список злодеев, а то мало ли, сами себя забаните на микроте, а это никому не нужно. Об этом почему то в мане скромно умолчали, а об этот камень можно больно ударится. Но вернемся к основным действиям. Наши правила успешно создают списки, а уже они обрабатываются в правиле /ip firewall raw, в котором написано следующее: будем отбрасывать все пакеты, адреса которых содержатся в списках ddos-attackers И ddos-targets. Казалось бы, тут все понятно, однако есть нюанс, о котором опять умолчали: если у вас есть правило NAT, перенаправляющее порт 443 на внутренний сервер с адресом 192.168.168.10, то случится.. ничего, защита выше работать не будет и весь траф на наш бедный веб-сервер будет так же литься полноводным потоком . А почему? А потому что мы добавляем адрес жертвы в цепочке forward, а там маячит наш внешний IP, а никак не внутренний адресок сервера.
Так что либо вписывать адреса серверов за NAT ручками в список ddos-targets, либо правило втыкать в другое место цепочки обработки. Но и это еще не всё. Допустим мы где то у какого то клиента завели рассылку почты с нашего сервера, находящегося за нашем же микротом и который внезапно захотел разослать 10 писем одновременно. И что? А то что адресок клиента успешно попадет в список забаненых, т.к. по количеству одновременных коннектов успешно попадает в наш фильтр. Так что придется ставить фильтры со своими параметрами чуть ли не на каждый сервис, который есть за нашим микротом. Вот такие дела.. а казалось бы, что всё просто.
Последние полгода пытаюсь купить рабочий модуль. Они тупо не определяются. Приносил с работы для теста, все ок. Настраивать не пробовал.
Прошу подсказать где купить точно рабочий. Хочу местного провайдера посадить на микротик, для свободного места в щите.
Сам MikroTik hEX S. Вставлял в него модуль с работы без каких опознавательных знаков. С Алика 2 раза приходили мёртвые модули.
Доступ к терминалу есть. Лучше сфоткать не выйдет. Телефон после падения.
Интернет от ТТК, Роутер Mikrotik Hap AC2, RouterOS 7.1.5, настройки MTU по умолчанию, не трогал их. Подключается в интернет через PPPoE.
Обновил RouterOS до 7.2, интернет отвалился, не поднимается PPPoE. В описании обновления 7.2 (https://mikrotik.com/download/changelogs) pppoe - use default MTU of 1492.
Откатил на 7.1.5, интернет работает. В статусе PPPoE подключения Actual MTU=1480
Ставлю RouterOS 7.2. Меняю Max MTU=1480 в свойствах PPPoE. Не помогло.
Куда копать дальше?
Привет всем, хочу пройти базовый курс по микротик (базовые знания по сетям, конечно, есть). Официальные курсы MTCNA не предоставляются, в интернете много аналогов разной стоимости и продолжительности, многие очные предлагаются. Первой же ссылкой при поиске выдает https://курсы-по-ит.рф/
Выглядят неплохо, цена приемлемая, но отзывы противоречивые:
Большинство других предлагаемых гуглом курсов очные. Попался вот такой https://itcloud-edu.ru/courses/MTCNA/
Вроде выглядит неплохо, дистанционный формат есть, подороже, но терпимо. Но по отзывам почти ничего. Можно и самостоятельно изучать, но хотелось бы, чтобы меня направляли, да и есть возможность оплаты курсов организацией, где тружусь)
Какие можете порекомендовать кроме указанных или может дадите какой-нибудь фидбэк о них?
Надпись как бы намекает, что случится с админом, который дёрнет патчкорд из этого порта )
Проблема такая, есть два маршрутизатора Mikrotik SXT Lite2. Настраиваю между ними бесшовный, то есть прозрачный мост, они между собой общаются, видно по траффику, но интернет при этом не раздают. Без разницы первый будет AP или другой. Подскажите куда копать, я уже неделю голову себе ломаю. Если есть готовые конфиги буду премного благодарен. Компы менялись, если что, было задействовано очень много ресурсов, столкнулся первый раз. Есть бэкапs от 5-ти подобных мостов, они при применении меняют mac и соответственно всё летит в тар-тара-ры. Единственная надежда на реальных Мастеров. Я просто эникейщик и решил брату по блату кинуть халявный инет за 2км.
Приветствую. На crs317-1g-16s подняты вланы на бридже. Нужно на определённом влан заблокировать мак. Пробовал все, что нашел в инет со словами мак и микротик, это в моем случае почему-то не работает.
Подскажите пожалуйста как это сделать.
