UPnP (Universal Plug and Play) — универсальная автоматическая настройка сетевых устройств, автоматически открывает порты для p2p приложений, игр и т.д.
Читать далее «Настройка UPnP в MikroTik»Архивы рубрик:MikroTik
Настройка MikroTik пополам как роутер и свич
Приведу пример настройки MikroTik как два разных устройства, коммутатор(свич) и маршрутизатор(роутер).
Порты 1-5 и sfp1 будут работать как свич, в качестве роутера будут порты: LAN 6-9 и wlan1, WAN — 10.
Настройка VPN IPSec/L2TP сервера на Mikrotik
Приведу пример настройки VPN IPSec/L2TP сервера на Mikrotik, чтобы можно было подключаться к нему из Windows, MacBook, iPhone и т.д.
1) Добавим диапазон IP-адресов для DHCP открыв «IP» — «Pool» и указав:
Name: vpn_pool
Addresses: 192.168.5.1-192.168.5.15
Next pool: none
Из терминала так:
ip pool add name=vpn_pool ranges=192.168.5.1-192.168.5.15
2) Добавим профиль в «PPP» — «Profiles»
Name: l2tp_profile
Local address: vpn_pool (можно указать default 192.168.88.1)
Remote address: vpn_pool
Change TCP MSS: yes
Остальное не трогаем и оставим в default
Из терминала так:
ppp profile add change-tcp-mss=yes local-address=vpn_pool name=l2tp_profile remote-address=vpn_pool
3) Добавим пользователя в «PPP» — «Secrets»
Name: ЛОГИН
Password: ПАРОЛЬ
Service: l2tp
Profile: l2tp_profile
Из терминала так:
ppp secret add name=ЛОГИН password=ПАРОЛЬ profile=l2tp_profile service=l2tp
4) Включим сервер в «PPP» — «Interface» — «L2TP Server»
Enabled: yes
MTU/MRU: 1450
Keepalive Timeout: 30
Default profile: l2tp_profile
Authentication: mschap2
Use IPSec: yes
IPSec Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах)
Из терминала так:
interface l2tp-server server set authentication=mschap2 default-profile=l2tp_profile enabled=yes ipsec-secret=КЛЮЧ use-ipsec=yes
5) «IP» — «IPSec» — «Peers»
Address: 0.0.0.0/0
Port: 500
Auth method: pre shared key
Exchange mode: main l2tp
Passive: yes (set)
Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах)
Policy template group: default
Send Initial Contact: yes
NAT Traversal: yes
My ID Type: auto
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5
Proposal check: obey
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256
DH Group: modp 1024
Из терминала так:
ip ipsec peer add address=0.0.0.0/0 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=КЛЮЧ
6) «IP» — «IPSec» — «Proposals»
Name: default
Auth algorithms: sha1
Enrc. algorithms: 3des, aes-256 cbc, aes-256 ctr
Life time: 00:30:00
PFS Group: mod 1024
Из терминала так:
ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des
7) «Firewall» — «Add New»
Добавим первое правило разрешающее входящие VPN соединения:
Chain: Input
Protocol: udp
Any. Port: 1701,500,4500
Action: Accept
И второе:
Chain: Input
Protocol: ipsec-esp
Action: Accept
Из терминала так:
ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500 ip firewall filter add chain=input action=accept protocol=ipsec-esp
Правила должны находится в начале списка.
На этом настройка завершена, можно подключаться.
Смотрите также:
Настройка удаленного доступа в маршрутизаторах Mikrotik
Резервное копирование конфигурации MikroTik
Сделать резервную копию конфигурации MikroTik устройств можно несколькими способами:
Читать далее «Резервное копирование конфигурации MikroTik»Ограничение скорости на MikroTik через Queues
Понадобилось однажды на секторной антенне ограничить трафик для любителей покачать торрентами. Точку настраивал и описывал в этой статье — MikroTik RB912UAG-2HPnD (BaseBox 2) + Ubiquiti Sector. В моём случае скорость регулирует биллинг, но захотелось для теста ограничить средствами MikroTik.
Читать далее «Ограничение скорости на MikroTik через Queues»Как ловить широковещательный флуд на MikroTik устройствах
Понадобилось как-то в одной сети определить откуда идут скачки широковещательного трафика, из-за которых на устройствах повышалась загрузка процессора и появлялись перебои с интернетом.
Сетевое оборудование использовалось от MikroTik.
Подключившись к MikroTik указанной ниже командой посмотрим статистику трафика на портах, а именно приходящий на порт широковещательный трафик «Rx Broadcast«, так как это счетчик пакетов, то цифра должна расти если приходит флуд, если не меняется, то все хорошо:
interface ethernet print stats interval=1
Вот пример просмотра статистики конкретного порта (где ether2 — имя интерфейса, оно может быль разным, зависит от того как его назвали при настройке):
interface ethernet print stats from ether2 interval=1
Посмотреть список портов/интерфейсов можно командой:
interface print
Таким способом по цепочке дойдем до конечного порта от которого идет broadcast флуд и если нужно отключим его командой (где NUMBER — номер порта по порядку в таблице которую можно посмотреть командой выше):
interface disable NUMBER
Для включения порта:
interface enable NUMBER
Через WEB или Winbox можно посмотреть статистику открыв слева меню Interfaces и во вкладке Interface посмотрим каждый интерфейс.
Пример обнуления статистики портов:
interface ethernet reset-counters ether2 interface ethernet reset-counters ether2,ether3,ether4,ether5
На CRS моделях MikroTik, можно включить контроль broadcast трафика, к примеру 100 пакетов в секунду на порт ether3 (аналогично для других портов):
interface ethernet switch ingress-port-policer add port=ether3 rate=100 meter-unit=packet packet-types=broadcast
В дальнейшем можно наблюдать за сетью например через систему Zabbix, в которой настроить отображение графиков широковещательных пакетов и если счетчик пакетов начинает расти, то система уведомит об этом.
Решение ошибки «router was rebooted without proper shutdown» в MikroTik
Попросили как-то выяснить причину частой перезагрузки роутера MikroTik.
В логах при включении устройства постоянно отображалась ошибка:
Как восстановить стандартные mac-адреса MikroTik интерфейсов
Недавно нужно было скопировать настройки одного MikroTik маршрутизатора на другой и после того как я сохранил настройки в файл и залил их на второй, заметил что mac-адреса тоже были скопированы.
По этому пришлось сбросить их на стандартные.
Сначала посмотрим под какими номерами интерфейсы (у меня ether1 под 0, ether2 — 1 и т.д.):
interface ethernet print
И сбросим их mac-адреса:
interface ethernet reset-mac-address 0 interface ethernet reset-mac-address 1 interface ethernet reset-mac-address 2 interface ethernet reset-mac-address 3 interface ethernet reset-mac-address 4
Если нужно сбросить mac беспроводного интерфейса, то сохраним беспроводные настройки в файл:
interface wireless export file wifibackup
Посмотри какие есть беспроводные интерфейсы (у меня один под номером 0):
interface wireless print
Сбросим все настройки в том числе и mac-адрес:
interface wireless reset-configuration 0
Восстановим настройки из ранее сохраненного файла (mac-адрес в этом случае останется стандартным):
import wifibackup.rsc
Все.
SNMP MIBs and OIDs for MikroTik (RouterOS)
Сегодня делал шаблоны Zabbix, начал делать сначала под MikroTik RouterBOARD SXT-Lite2 (2nDr2).
Читать далее «SNMP MIBs and OIDs for MikroTik (RouterOS)»Настройка Fasttrack на Mikrotik
FastTrack ускоряет обработку пакетов, начал работать на прошивках от 6.29.
Читать далее «Настройка Fasttrack на Mikrotik»