Это не полноценный гайд по настройке, а некоторые важные моменты, которые мне встретились и решение которых было тем или иным образом найдено. Сознательно не рассматривается OpenVPN на базе Mikrotik — а именно L2TP-туннели. OpenVPN в микротике — штука специфическая, и требует установки дополнительного ПО на стороне клиента(что иногда — недоступно), а L2TP-VPN-подключение — настраивается штатными средствами Windows
Continue ReadingTag Archives: Mikrotik
Причесываем логи в Микротик
Задача: скрыть из лога устройства тысячи сообщений от сaps При настроенном CAPsMAN лог заполоняет множество info-сообщений от топика caps. Полезность этих сообщений — довольно условная, поэтому неплохо бы их скрыть или перенаправить в другой приемник логов.
Решение простое:
Continue ReadingSSH подключение к Mikrotik c android-смартфона
Учитывая богатые возможности Mikrotik-оборудования, бывает удобно некоторые вещи делать со смартфона. Простой пример — отключать интернет для конкретных устройств в домашней сети. Для этого достаточно запустить скрипт, который гасит нужный интерфейс, или меняет настройки Firewall, например выключает NAT только для конкретного IP (в этом случае домашние ресурсы — остаются доступны, выключается только интернет и только для конкретного устройства)
Задачу решаем последовательно
Continue ReadingАвтоматический апгрейд Firmware на Mikrotik
Те, кто пользуется устройствами Микротик знают, что есть такая штука как «The Dude», с ее помощью много чего можно делать по части управления сетевыми устройствами, но также можно и массово обновлять пакеты на Микротиках.
Все бы хорошо, но обновляются только пакеты, а кроме пакетов нужно обновлять также и Firmware, а Dude так не умеет… Что же делать?
Continue ReadingЗащита опубликованного RDP-сервера с помощью Mikrotik
Простой способ автоматически блокировать «брутфорсеров», пытающихся подобрать пароли к какому-либо из ваших опубликованных через Микротик сервисов.
Идея:
- тем или иным образом отфильтровываем «новое подключение» злоумышленника. Обратите внимание! Если речь идет про DST-NAT (т.е. некий внутренний сервер, входящий порт которого опубликован снаружи), то фильтрация будет в forward-chain.
- Заносим src-IP этого «нового подключения» в временный «список 1 уровня» с таймаутом скажем 30 минут
- Далее делаем еще несколько уровней, куда последовательно будем заносить Src-IP из предыдущего уровня. Таким образом, если за время жизни списка некто попытается несклько раз подключиться (типовая ситуация — брутфорс логинов-паролей), то он последовательно попадет в списки 1,2,3 и т.д. уровней
- Итоговое правило: из последнего списка занести Src-IP в постоянный бан-лист
Автоматическое переключение на резервный интернет и обратно в устройствах Mikrotik
В качестве пододпытного используем HEX-PoE и отличный 4G-модем Huawei E3372H. Он прекрасно определяется в Mikrotik-девайсах, и создает отдельный lte-интерфейс.
Continue Reading