Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
0 просмотренных постов скрыто
17

DNS через WireGuard на Mikrotik

Всех приветствую, поправьте если я чего то не понимаю в следующей проблеме.
Есть два микротика соединенных между собой через WireGuard, за каждым своя подсеть. Маршрутизация настроена между сетями, пинги по ip адресам проходят, проблема возникает когда хочу пинговать по имени компьютера в другой подсети, он не проходит. DNS сервером выступает сам микротик, на нем в статике прописано соответствие имени компьютера и адреса из другой подсети. Но пинг не идет, при этом сам микротик прекрасно пингует по имени данный компьютер. Фаерволы полностью отключал, nat через WireGuard отключен. Компьютеры без домена, ОС Windows 7, Server 2012. Как решить данную проблему?

[моё] Mikrotik Wireguard Компьютерная помощь Текст
32
3

DHCP relay ubiquity+Mikrotik+winserv2019

Настроена сеть с роутером Mikrotik 2011-mikrotik switch crs326-Точка доступа Ubiquiti UniFi U6-Pro (5 шт) (контроллер ubiquti софтовый на DC сервере). На роутере DHCP relay на DC сервере. Клиентов примерно 20 на каждую точку. Проблемы две:

Периодически некоторые клиенты отваливаются от ближайшей точки доступа и подключаются к дальней, при этом не меняется местоположение людей. У других в этой зоне все работает

Довольно часто клиенты не могут получить ip адрес от сервера (в логах ничего не происходит). Помогает перезагрузка компьютеров или перезагрузка WIFI интерфейса на ноутбуках. Ноутбуки разные, модели сетевых карт тоже.

Ubiquiti Mikrotik Dhcp Текст
17
14

Как отключить dns over https?

Всем привет!

Тут в соседней теме спрашивал, но ответ пока так и не дали(

Гугл и иже с ними для нашего удобства) ага, ага)) запилили в своих браузерах поддержку dns over https. Если коротко, то теперь запросы DNS от браузера могут идти не через стандартный порт 53, а инкапсулируются в трафик HTTPS. Из-за этого теперь стандартными средствами роутера невозможно вычленить DNS запросы(

Есть локальная сеть с WiFi и выходом в интернет. К сети могут подключаться "дети" и "взрослые" с ноутбуков и телефонов. Нужно сделать так чтобы "дети" подключаясь к этой сети не лазили куда не надо. Очевидное решение - подсунуть Яндекс DNS или ему подобный "малышам", но тут мешает гадский dns over https. Даже если я отключу вообще DNS в сети, то Хром свободно передает запросы через DoH.

Я вижу решение такое:

  1. Каким-то образом отключаем всем dns over https, нахрен он не нужон. Но вот каким???

  2. Пилим статический пул адресов на основе MAC для "взрослых", серверов и другой техники (ее не так много) и разрешаем им любые DNS запросы(например пусть берут из DHCP)

  3. Все остальные "дети" получают Яндекс DNS и радуются тому что есть). До кучи данный пул получает запрет на исходящие запросы на несанкционированные DNS, чтобы особо умные не прописывали свои)

    И еще. Самое главное чтобы это работало прозрачно, искаропки, без залезания в настройки браузера. Роутер стоит от Микротика.

[моё] Компьютерные сети Mikrotik Настройка DNS Текст
34
2

Прошу помощи по routerOS

В чем суть вопроса.. нужно в файрволе сделать черный список сайтов..
один или поштучно не проблема, но их ощутимое колличество..
в терминале (в котором я не умею, как во всем микротике )) есть команда / ip firewall address-list add address= www.google.com list= black
понятно что гугл как пример.. один сайт так добавляется без проблем, но это та же фигня что и без терминала. А как правильно написать команду чтобы несколько сайтов добавить?

[моё] Без рейтинга Mikrotik Помощь RouterOS Текст
26
20

Ответ на пост «Компьютерный мастер. Часть 274. Когда переехал в страну совсем третьего мира и нужно минимум три роутера)))»1

Вообще-то решение есть и оно вполне промышленное - mrnet.ru

Бондинг для нескольких каналов связи с обратным сбором каналов на VPS. Решение недешевое, но там в оплату входит "безлимитный" мобильный интернет от 2-3-4 операторов, аренда VPS, лицензия, собственный роутер. На выходе бесперебойный "безлимитный" интернет, без потери пакетов, разрывов связи, потери айпишника с суммированием мощности и объема трафика всех каналов.
Когда и кому очень надо - используют активно. Но решение в некотором смысле нишевое, пока в основном B2B. Спрос огромный для своего сегмента.

Есть аналоги, но там практически полная кустарщина (в России) или еще дороже (на Западе), уровня SD-WAN решений для корпораций

Полезное Технологии Клиенты Интернет Asus Keenetik Услуги Экономия Лайфхак Роутер Mikrotik Мобильный интернет Ответ на пост Текст
9
6

Вопрос к админам по Микротику

Привет. Достался мне в наследство маршрутизатор Mikrotik RB3011-UiAS-RM. Честно говоря, он мне не особо нкжен, поэтому хочу продать. Может кто подскажет сейчас реальную стоимость на него на вторичке? Потому что на Авито его чуть ли не по 30 тыщ продают, при его старой официальной стоимости в 10 . Не понятно, с чего такой перекос. Спасибо!.

Авито Mikrotik Текст Нужен совет Роутер Цены
27
12

Aqara hub m2 и ошибка подключения 10004 \ 10010

Добрый день, пикабуняне. Пост для индексации гуглом и помощи тем, кто столкнётся с проблемой.

Aqara hub m2 и ошибка подключения 10004 \ 10010 Mikrotik, Умный дом, Длиннопост, Aqara

Купил себе хаб умного дома Aqara m2 и столкнулся с проблемой подключения его в приложении. Телефон его видит, настройки wifi передаёт, но дальше дело не шло. Получал ошибку 10004 \ 10010. При подключении через Wifi dhcp адрес у роутера не получала, при подключении по проводу адрес ловила, но всё равно не работало подключение к телефону.

Смена региона, сброс хаба долгим нажатием (10 сек) и полный сброс ( 10 раз нажать кнопку) не помогал. Получал следующую ошибку.

Aqara hub m2 и ошибка подключения 10004 \ 10010 Mikrotik, Умный дом, Длиннопост, Aqara

Дома использую настройку Mikrotik BGP для обхода блокировок, а РКН блокирует подсетями. И, иногда, трафик конечного ip может попасть в подсеть блокировки и пойти через VPN.

(Либо вопрос к MTU т.к. на VPN стоит 1500, возможно у ростелекома другое значение.)

Так и случилось тут! Стоило вывести телефон и хаб через провайдера - подключение сработало моментально.

Сомневаюсь, что такая конфигурация популярна, но гугл почти ничего не выдавал по этой проблеме, решил отписаться.

Показать полностью 2
Mikrotik Умный дом Длиннопост Aqara
5
183

Скрипт Mikrotik Fail2ban

Написал скрипт  который ищет в логах неудачные попытки авторизации вида: login faillure for user и добавляет адреса с которых эти попытки сделаны в address-list BlackList.
Получается банит ssh, https, http, winbox, dude и т.д.
Чтобы забанить эти адреса нужно в firewall добавить правило которое блочит эти адреса, а так же в планировщике задать запуск по расписанию, конкретно для этого скрипта нужно запускать каждые 6 минут

/ip firewall raw add action=drop chain=prerouting comment="BlackList Drop All" src-address-list=BlackList

текст скрипта

:global attempt 3
:global temp
:global ipaddr
:global LogErr
:global string
:global signA " via";
:global signB "from ";
:set LogErr [/log find message~"login failure for user." time>([/system clock get time] - 6m)]
:foreach i in=$LogErr do={
:set string [:pick [/log get $i message ] 0 ([:len [/log get $i message ]])]
:set ipaddr [:pick $string ([:find $string $signB]+ 5) ($string [:find $string $signA])]
:if ([:len [/ip firewall address-list find address=$ipaddr]]=0) do {
/ip firewall address-list add list=AttemptBruteforce1 address=[:toip $ipaddr] timeout=30m
:log warning "attempt_bruteforce_1 $ipaddr"}
:if ([:len [/ip firewall address-list find address=$ipaddr]]>0 && [:len [/ip firewall address-list find address=$ipaddr]]<$attempt) do {
:set temp ([:len [/ip firewall address-list find address=$ipaddr]]+1)
/ip firewall address-list add list="AttemptBruteforce$temp" address=[:toip $ipaddr] timeout=30m
:log warning "attempt_bruteforce_ $temp $ipaddr"}
:if ([:len [/ip firewall address-list find address=$ipaddr]]=$attempt) do {
/ip firewall address-list add list=BlackList address=[:toip $ipaddr]
:log warning "Blocked_bruteforce_ip $ipaddr"}}

Показать полностью
[моё] Mikrotik Скрипт Текст IT
39
Посты не найдены