Записи с Меткой ‘ mikrotik

mikrotik vlan

https://habrahabr.ru/post/322720/
https://wiki.mikrotik.com/wiki/Manual:CRS_examples
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
https://wiki.mikrotik.com/wiki/%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%B0:%D0%92%D0%BE%D0%B7%D0%BC%D0%BE%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D1%87%D0%B8%D0%BF%D0%B0_%D0%BA%D0%BE%D0%BC%D0%BC%D1%83%D1%82%D0%B0%D1%86%D0%B8%D0%B8


https://wiki.mikrotik.com/wiki/Vlans_on_Mikrotik_environment

http://www.lanmart.ru/blogs/how-to-become-isp-3
http://www.wirelessinfo.be/index.php/mikrotik/pages/vlan

микротик vlan

mikrotik backup 6

mikrotik backup wiki

{
:log info "Starting Backup Script...";
:local sysname [/system identity get name];
:local sysver [/system package get system version];
:log info "Flushing DNS cache...";
/ip dns cache flush;
:delay 2;
:log info "Deleting last Backups...";
:foreach i in=[/file find] do={:if ([:typeof [:find [/file get $i name] \
"$sysname-backup-"]]!="nil") do={/file remove $i}};
:delay 2;
:local smtpserv [:resolve "smtp.gmail.com"];
:local Eaccount "your_account@gmail.com";
:local pass "your_gmail_password";
:local backupfile ("$sysname-backup-" . \
[:pick [/system clock get date] 7 11] . [:pick [/system \
clock get date] 0 3] . [:pick [/system clock get date] 4 6] . ".backup");
:log info "Creating new Full Backup file...";
/system backup save name=$backupfile;
:delay 2;
:log info "Sending Full Backup file via E-mail...";
/tool e-mail send from="<$Eaccount>" to=$Eaccount server=$smtpserv \
port=587 user=$Eaccount password=$pass start-tls=yes file=$backupfile \
subject=("$sysname Full Backup (" . [/system clock get date] . ")") \
body=("$sysname full Backup file see in attachment.\nRouterOS version: \
$sysver\nTime and Date stamp: " . [/system clock get time] . " " . \
[/system clock get date]);
:delay 5;
:local exportfile ("$sysname-backup-" . \
[:pick [/system clock get date] 7 11] . [:pick [/system \
clock get date] 0 3] . [:pick [/system clock get date] 4 6] . ".rsc");
:log info "Creating new Setup Script file...";
/export verbose file=$exportfile;
:delay 2;
:log info "Sending Setup Script file via E-mail...";
/tool e-mail send from="<$Eaccount>" to=$Eaccount server=$smtpserv \
port=587 user=$Eaccount password=$pass start-tls=yes file=$exportfile \
subject=("$sysname Setup Script Backup (" . [/system clock get date] . \
")") body=("$sysname Setup Script file see in attachment.\nRouterOS \
version: $sysver\nTime and Date stamp: " . [/system clock get time] . " \
" . [/system clock get date]);
:delay 5;
:log info "All System Backups emailed successfully.\nBackuping completed.";
}

 

Все три эти скрипта абсолютно идентичны в плане производимых действий и выполняют следующее (в порядке очерёдности проведения операций):

Затирают DNS-кэш MikroTik’а – я решил, что будет надёжнее исключить возможность резольва DNS-имени сервера исходящей почты Gmail «smtp.gmail.com» в IP-адрес из кэша маршрутизатора — мало ли чего в Google надумают с адресным пространством своих серверов или авария какая (как обычно, в самый неподходящий момент). Бэкап – дело ответственное.
Удаляют файлы бэкапов, созданных при предыдущем запуске данного скрипта – производится во избежание того, чтобы со временем дисковое пространство маршрутизатора не было забито файлами резервных копий. Т.е., единовременно, между запусками вышеприведённых скриптов во внутреннем хранилище самого роутера на базе RouterOS хранится только одна, самая последняя резервная копия (два файла).
Создают файл бэкапа *.backup.
Отправляют сообщение с прикреплённым к нему файлом бэкапа на заданный e-mail-адрес.
Создают файл скрипта настроек *.rsc по команде export.
Отправляют сообщение с прикреплённым к нему файлом скрипта настроек на заданный e-mail-адрес.
Параллельно в системном журнале производится логирование этапов работы запущенного скрипта.

К сожалению RouterOS пока не умеет прикреплять к сообщению более одного файла за раз, поэтому каждый файл приходится отправлять индивидуально.

В результате срабатывания любого из этих скриптов, на указанный вами почтовый адрес придут два сообщения с прикреплёнными к ним файлами:

Остаётся только создать новую запись в планировщике RouterOS (/system scheduler), указав имя вышеприведённого скрипта и задав периодичность его запуска.

Отчесь флуд mikrotik

http://www.mikc.ru/forum/topic.php?forum=1&topic=412
mikc

How to autodetect infected or spammer users and temporary block the SMTP output mikrotik

/ip firewall filter

add chain=forward protocol=tcp dst-port=25 src-address-list=spammer
action=drop comment="BLOCK SPAMMERS OR INFECTED USERS"

add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list
address-list=spammer address-list-timeout=1d comment="Detect and add-list SMTP virus or spammers"

 

http://forum.mikrotik.com/viewtopic.php?t=109662

add chain=tcp protocol=tcp dst-port=25 action=add-src-to-address-list \
comment=»add src smtp»

add chain=tcp protocol=tcp dst-port=465 action=add-src-to-address-list \
comment=»add src smtp»

add chain=udp protocol=udp dst-port=587 action=add-src-to-address-list \
comment=»add src smtp»

add chain=udp protocol=udp dst-port=25 action=add-src-to-address-list \
comment=»add src smtp»

add chain=udp protocol=udp dst-port=465 action=add-src-to-address-list \
comment=»add src smtp»

add chain=udp protocol=udp dst-port=587 action=add-src-to-address-list \
comment=»add src smtp»

mikrotik ssh ftp telnet winbox — bruteforce

/ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
/ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
/ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
/ip firewall filter add chain=input action=drop protocol=tcp src-address-list=telnet_blacklist dst-port=23 comment="drop telnet brute forcers"
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage3 address-list=telnet_blacklist address-list-timeout=1w3d dst-port=23
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage2 address-list=telnet_stage3 address-list-timeout=1m dst-port=23
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=telnet_stage1 address-list=telnet_stage2 address-list-timeout=1m dst-port=23
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=telnet_stage1 address-list-timeout=1m dst-port=23
/ip firewall filter add chain=input action=drop protocol=tcp src-address-list=winbox_blacklist dst-port=8291 comment="drop winbox brute forcers"
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage3    address-list=winbox_blacklist address-list-timeout=1w3d dst-port=8291
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage2 address-list=winbox_stage3 address-list-timeout=1m dst-port=8291
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage1 address-list=winbox_stage2 address-list-timeout=1m dst-port=8291
/ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=winbox_stage1 address-list-timeout=1m dst-port=8291

 

mikrotik rdp brutforce

http://serverfault.com/questions/548923/prevent-rdp-logon-brute-force-in-mikrotik-router-via-winbox
prevent-rdp-logon-brute-force-in-mikrotik-router-via-winbox-server-fault

/ip firewall filter add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop comment="drop rdp brute forcers" disabled=no

/ip firewall filter add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=10d comment="" disabled=no

/ip firewall filter add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m comment="" disabled=no

/ip firewall filter add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

/ip firewall filter add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no

 

несколько web серверов за mikrotik

%d0%bd%d0%b5%d1%81%d0%ba%d0%be%d0%bb%d1%8c%d0%ba%d0%be-%d1%81%d0%b5%d1%80%d0%b2%d0%b5%d1%80%d0%be%d0%b2-%d0%b7%d0%b0-mikrotik-blog

http://blog.erofeevonline.ru/svaz/neskolko-serverov-za-mikrotik
mikrotik-ukraine_-%d0%be%d0%b4%d0%b8%d0%bd-%d0%b2%d0%bd%d0%b5%d1%88%d0%bd%d0%b8%d0%b9-ip-%d0%b8-%d0%bd%d0%b5%d1%81%d0%ba%d0%be%d0%bb%d1%8c%d0%ba%d0%be-web-%d1%81%d0%b5%d1%80%d0%b2%d0%b5%d1%80%d0%be

http://wiki.mikrotik.com/wiki/Multiple_Web_Servers

Спасибо. Все шурщит.

Mikrotik Capsman Signal range

Чтобы андройды адекватно чувствовали себя в роуминге wifi необходимо, уcтановить
в Access List -> Interface (ALL) — Signal Range (-85..120)

Поставить Android Rouming Wifi — из play market или Android_rouming_wifi_fix на память

mikrotik + резервный канал + проблемы elastix(asterisk)

Сначала стоял Mikrotik с одним каналом инета и было:

/ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=srcnat action=masquerade out-interface=sfp1 log=no log-prefix=""

 

Потом добавил резервного провайдера на eth1 порт и пошли рваться регистрации по тайм-ауту elastix:
sip show registry
Host Username Refresh State Reg.Time
sip.xxx:5060 13xxxx 180 Request Sent
1 SIP registrations.

С начала поставил новый ip для elastix, но через не которое время регистрации начали снова вешаться.
Причем в настройках транка стоял qualify=yes.
Спасала только перезагрузка микротика и elastix сервера, sip reload не помогала!

Asterisk 11.20.0 built by palosanto @ IsoBuilderElx3C7-x64 on a x86_64 running Linux on 2015-12-10 09:29:13 UTC

Что делал:
/ip firewall service-port disable sip

Далее нужно убедиться, что для исходящих пакетов используется правило src-nat, а не маскарад!!

http://podarok66.livejournal.com/4939.html

скрипт переключения с основного канала на резервный mikrotik router os6

Имеем 2 канала WAN, основной оптика — статика, 3g модем huawei e392(мегафон) — динамика tele2.
Прошивка родная мегафоновская, только снимал блокировку на провайдера.

 / ip route print detail where comment =ISP1
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
 0 A S  ;;; ISP1
        dst-address=0.0.0.0/0 gateway=212.118.55.17 gateway-status=212.118.55.17 reachable via  ether1-gateway
        check-gateway=ping distance=1 scope=30 target-scope=10


/interface ppp-client print
Flags: X - disabled, R - running

 0 X  ;;; ISP2
      name="ppp-tele2" max-mtu=1500 max-mru=1500 mrru=disabled port=usb3 data-channel=0 info-channel=0
      apn="internet.tele2.ru" pin="" user="" password="" profile=default phone="" dial-command="ATDT"
      modem-init="" null-modem=no dial-on-demand=no add-default-route=yes default-route-distance=2
      use-peer-dns=yes keepalive-timeout=0 allow=pap,chap,mschap1,mschap2

 

Вместо netwatch используем скрипт, который с помощью шедулера надо запускать, к примеру, каждые 10-30 секунд.

#Name:          backup3G
#Version:       1.0
#Created:       Gerasimov A. with my fix
#Web:           http://papa-admin.ru
#Date:          01.2014
#Description:  failover for 3G modem
#
:local PingCount 3;

:local InterfaceWan ether1-gateway;
:local Interface3G ppp-tele2;
:local CheckIp 193.0.14.129;
:local Use3G false;

:local WANstatus [/interface get [/interface find name="$InterfaceWan"] running];
:if ($WANstatus=false) do={
	:set Use3G true;
} else {
	:local CheckMainISP [/ping $CheckIp count=$PingCount interface=$InterfaceWan];
	:if ($CheckMainISP=3) do={
		:set Use3G false;
	} else {
		:set Use3G true;
	}
}
:local 3Gstatus [/interface get [/interface find name="$Interface3G"] running];
:if ($Use3G=true) do={
	if ($3Gstatus=false) do={
		/interface enable [find name="$Interface3G"];
		:log warning "Set routes to 3G ISP";
	}
} else {
	:if ($3Gstatus=true) do={
		/interface disable [find name="$Interface3G"];
		:log warning "Set routes to Main ISP";
	}
}

 

Немного пояснений:

InterfaceWan — основной интерфейс
Interface3G — резервный интерфейс 3G модема
CheckIP — ip адрес, пинг которого проверяется для работоспособности основного интерфейса, и маршрутизация которого настроена через основной интерфейс.

Чтобы прописать скрипт и шедулер подключаемся к маршрутизатору по ssh или через WinBox и New Terminal и вводим:

/system script
add name=backup3G policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
    source="#Name:          backup3G\r\
    \n#Version:       1.0\r\
    \n#Created:       Gerasimov A. with my fix\r\
    \n#Web:           http://papa-admin.ru\r\
    \n#Date:          01.2014\r\
    \n#Description:  failover for 3G modem\r\
    \n#\r\
    \n:local PingCount 3;\r\
    \n\r\
    \n:local InterfaceWan ether1-gateway;\r\
    \n:local Interface3G ppp-tele2;\r\
    \n:local CheckIp 193.0.14.129;\r\
    \n:local Use3G false;\r\
    \n\r\
    \n:local WANstatus [/interface get [/interface find name=\"\$InterfaceWan\
    \"] running];\r\
    \n:if (\$WANstatus=false) do={\r\
    \n\t:set Use3G true;\r\
    \n} else {\r\
    \n\t:local CheckMainISP [/ping \$CheckIp count=\$PingCount interface=\$InterfaceWan];\r\
    \n\t:if (\$CheckMainISP=3) do={\r\
    \n\t\t:set Use3G false;\r\
    \n\t} else {\r\
    \n\t\t:set Use3G true;\r\
    \n\t}\r\
    \n}\r\
    \n:local 3Gstatus [/interface get [/interface find name=\"\$Interface3G\"]\
    \_running];\r\
    \n:if (\$Use3G=true) do={\r\
    \n\tif (\$3Gstatus=false) do={\r\
    \n\t\t/interface enable [find name=\"\$Interface3G\"];\r\
    \n\t\t:log warning \"Set routes to 3G ISP\";\r\
    \n\t}\r\
    \n} else {\r\
    \n\t:if (\$3Gstatus=true) do={\r\
    \n\t\t/interface disable [find name=\"\$Interface3G\"];\r\
    \n\t\t:log warning \"Set routes to Main ISP\";\r\
    \n\t}\r\
    \n}\r\
    \n"

 

/system scheduler add interval=10s name=checkISP on-event=backup3G

 

Я поставил чтобы скрипт запускался каждые 10 секунд.
Работоспособность проверена на 2011UiAS-2HnD и ROS 6.32.3

Спасибо. + Не забыть dial-on-demand=no add-default-route=yes default-route-distance=2 на модем.