» MikroTik RouterOS

hassir
Ну так оставьте на фряхе только биллинг, а на микротике сделайте шлюз. Авторизация радиусом или что-то специфическое?
Если это специфическое умеет управлять правилами удаленного файервола - проблем нет.

hassir
Цитата:

в freebsd не аншел ни одного нормального монитора , для этого собстно и хочу микротик

Получается, что в одной юниксоподобной ОС (предельно урезанной, с закрытым кодом и фиксированным набором софта) есть то, чего нет в другой юниксоподобной ОС (с открытым кодом и кучей пекеджей и портов)? Как-то это странно... Здесь поспрошай для начала, а то, может, всё проще и не стоит и огород городить с "отдельными железками".

Цитата:

выбрать в винбоксе Terminal и там ввести

просмотрел ip export. Запретов на допустимые адреса сетей нет. Что можно еще придумать?

Цитата:

Получается, что в одной юниксоподобной ОС (предельно урезанной, с закрытым кодом и фиксированным набором софта) есть то, чего нет в другой юниксоподобной ОС (с открытым кодом и кучей пекеджей и портов)? Как-то это странно...

именно так и получается. чего стОит только проприетарный мелкотиковский PCQ =)

hassir
наверное, на первое время проще всего сделать микротик бриджем - тогда можно мониторить весь гуляющий через него трафик, при этом структура сети никак не меняется

а в микротике есть функции мониторинга по которым можно вычислять флудеров в сети построенной на простых неуправляемых свичах?

hassir
кого называть флудером и с какой точностью их вычислять?

флудеры это те у кого компы заражены вирусами и те кто ставит себе юзергейт и перепродает траф , т.е. от них идет большой поток трафа

Цитата:

флудеры это те у кого компы заражены вирусами и те кто ставит себе юзергейт и перепродает траф , т.е. от них идет большой поток трафа

Это не флудеры.

Флудеры - это те, кто передает в сеть битые пакеты, создает нагрузку ради нагрузки.

С натом борьба - менять ttl на 1.
С проксями как быть - не знаю.
С вирусами - по активности или по портам.

FreeLSD_md
две достаточно. и в один свич, просто пакеты внутренней сети свич будет слать и провайдеру. а с виртуальной машиной я не разбирался толком. знаю только что там можно нат поставить.... а дальше мне не надо было

Добавлено:
xmf8d

Цитата:

С натом борьба - менять ttl на 1.

а они обратно поменяют

Цитата:

а они обратно поменяют

Спору нет, что это возможно. Но от ламера спасает.

Подскажите пожалуйста. Как можно в одну локальную сеть включить две сетевых карты Микротика. Можно в одной подсети можно в разных. Пробовал из одной сетевухи (ether2) просто ИП удалять всеравно ARP таблица на ether1 увеличивается лавинообразно. Тоже самое происходит если указать разные ИП в одном диапазоне или в разных.

Задачи от этой сетевой карты никакой нет. Она просто должна быть втыкнута в сеть для того чтобы в случае чего я мог зайти на неё по winbox и подшаманить сервер.

ValeriyZ
объедини их в бридж

Еще подскажите пожалуйста как настроить Микротик так чтобы его ИП и имя не появлялось в WinBox во вкладке Connect To: .

Как сменить имя я нашел: /system identity
а от чтоб его там вообще небыло…


Добавлено:
Я имею ввиду какой порт закрыть? Или для этого специальная команда есть?

ValeriyZ
Tools - MAC Server. удалить все интерфейсы. минус - нельзя будет зайти =)

ValeriyZ
add action=reject chain=input comment="" disabled=no dst-port=80 protocol=tcp reject-with=icmp-network-unreachable

gamespb
К сожалению не помогло.
Возможно потому что у меня еще и другие фильтра есть. Попозже буду пробовать без них.

Chupaka
Я не стал рисковать так как монитора у сервера нет.

ValeriyZ
не понял вопроса сразу. у меня в списках пусто, хотя специально ничего не делал.
у микроника есть порт 8291 тцп, он по нему управляется... а на твой вопрос я не знаю ответа

gamespb
Это я знаю Его даже сменить можно на сервере. А от в самом WinBox порт не меняется.
Но если я прикрою этот порт, то не смогу и по WinBox зайти (мне так кажется).

И еще вопрос для всех. Где можно расшифровку лога посмотреть, а то у меня время от времени пишет такое:
06:06:14 ovpn,info ovpn-CLI_1: terminating... - nothing received for a while
06:06:14 ovpn,info ovpn- CLI_1: disconnected
06:06:14 ovpn,info ovpn- CLI_1: initializing...
……

что означает «nothing received for a while» и почему это получается даже в гугле нету.

gamespb

Цитата:

объедини их в бридж

Напомню еще раз: Хочу на одном сервере чтобы 2 сетевухи с разными ИП и МАКами смотрели в один свичь (можно ип в разных диапазонах).
Делаю так:
/ip address
add address=192.168.127.155/18 broadcast=192.168.127.255 comment="" disabled=no \
interface=ether1 network=192.168.64.0
add address=192.168.126.155/18 broadcast=192.168.127.255 comment="" disabled=no \
interface=ether2 network=192.168.64.0

/interface bridge
add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
comment="" disabled=no forward-delay=15s max-message-age=20s mtu=1500 \
name=localka priority=0x8000 protocol-mode=none transmit-hold-count=6

/interface bridge port
add bridge=localka comment="" disabled=no edge=auto external-fdb=auto \
horizon=none interface=ether1 path-cost=10 point-to-point=auto priority=\
0x80
add bridge=localka comment="" disabled=no edge=auto external-fdb=auto \
horizon=none interface=ether2 path-cost=10 point-to-point=auto priority=\
0x80

Тоесть объединил сетевухи в bridge. Как только я включаю кабель во вторую сетевуху сразу траф через них пошел почти 3 Мб.

Что я делаю не так?
Или так и должно быть?


Добавлено:
Или как еще можно две сетевые карты подключить в один свичь (обычный свичь) чтобы на одной сидели юзеры а вторую в случаи чего мог использовать для управления сервером.
Ну подскажите пожалуйста …

ValeriyZ

Какие-то у тебя проблемы на ровонм месте.
Берешь и подключаешь две сетевухи в один свич. Нужно только что бы адреса, которые ты на них повесил не пересекались и все. При этом объединять их в бридж нельзя, т.к. ты создаешь кольцо, а это не правильно.

Цитата:

Какие-то у тебя проблемы на ровонм месте.

Делаю эксперимент:
Присваиваю ИП двум сетевухам (ether1 и ether2) с ОДНОГО диапазона. Включаю кабель в ether1 зайти могу на сервер по ИП ether1 без проблем. Вытаскиваю кабель из ether1 и втыкаю его в ether2 захожу на сервер по ИП ether2. Нефига не получается. Ребучу сервер. Все равно зайти невозможно. Отключаю на сервере ether1 (disabled) и сразу без проблем могу зайти по ИП ether2.

Второй эксперимент:
Присваиваю ИП двум сетевухам (ether1 и ether2) с РАЗНОГО диапазона. Втыкаю кабель в ether1 в ARP всего 1 комп тоесть я. Втыкаю кабель ether2 и сразу ARP таблице лавинаобразно увеличивается. Более того все соединения привязаны к ether1.

Третий эксперимент:
Все что и во втором, но ИП с одного диапазона. Результат тот же что и в эксперименте №2. Между экспериментом №2 и 3 разницы к сожалению нет.

4 эксперимент:
Бридж ether1 и ether2 но с одним кабелем в одну из сетевух. Имеем 2 ИП и один МАК (мак бриджа). Кабель можно пихать в любую сетевуху и зайти на сервер можно по любому из 2 ИП. НО всего 1 МАК.

Эксперимент с кольцом через бридж я уже описал.

Микротик 3,17
Может это особенность данной версии?

ValeriyZ
глянули бы в таблицу маршрутов в эксперименте №1 - ужаснулись бы: понятно же, что не могут пакеты уходить сразу с двух сетевых карт в одну подсеть. поэтому выделить себе маленькую подсеть для управления - и радоваться жизни =) по поводу лавинообразного наполнения - а чем наполняется? какие адреса?

Цитата:

а чем наполняется? какие адреса?

Адреса из локальной сети те, которые принадлежат диапазону ИП от ether1.
Исходя из ваших слов я так понял, что нужно еще раз попробовать «№2».
Хотя я это все уже перепробовал еще неделю назад, что-то не получается, потому и спрашиваю на форуме. Вечером еще покапаюсь, потом сюда отпишусь.


Добавлено:
Продолжение к №2:
Присваиваю ИП двум сетевухам (ether1 и ether2) с РАЗНОГО диапазона. Подключаю один кабель в ether1. Как я и писал раньше в АРП только один комп и тот мой. По манитору трафика для этого подключения (ether1) трафик ходит как туда так и обратно (Tx и Rx). Подключаю второй кабель в ether2. Как я писал раньше АРП таблица очень быстро увеличивается. При этом Interface для всех ИП/МАК в АРП является ether1. Трафик через ether2 ходит только Rx. Для Tx он всегда равен 0.
Если в ether2 сделаю /interface ethernet arp=disabled то после этого АРП не увеличивается. Но трафик всеравно ходит через ether1 а через ether2 только Rx.

Ну это все тупые эксперименты чтобы показать что предлагаемые мне варианты не дееспособны (возможно на моей версии микротика).
Может у кого-то еще будут предложения? Готов попробовать любые...

Цитата:

Может у кого-то еще будут предложения?

я уже предлагал: смотреть в таблицу маршрутизации. с таким оборудованием наощупь работать неинтересно, это вам не девушки

Цитата:

смотреть в таблицу маршрутизации

Эксперимент №1

Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.126.155/18 192.168.64.0 192.168.127.255 ether1
1 192.168.127.155/18 192.168.64.0 192.168.127.255 ether2
Остальные отключены я их не привожу


Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE IN..
0 S 0.0.0.0/0 u 192.168.24.1 1
1 S 0.0.0.0/0 u 192.168.28.1 2
2 ADC 192.168.64.0/18 192.168.126.155 0 et..
3 DC 192.168.64.0/18 192.168.127.155 0 et..

0 и 1 смотрят в инет. На время экспериментов они отключены.
2 - ether1 работает при №1
3 - ether2 не активна при №1
Тоесть связь с сервером есть если кабель в ether1.


Эксперимент №2

# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.126.155/18 192.168.64.0 192.168.127.255 ether1
1 192.168.128.155/24 192.168.128.0 192.168.128.255 ether2

# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE IN..
0 S 0.0.0.0/0 u 192.168.24.1 1
1 S 0.0.0.0/0 u 192.168.28.1 2
2 ADC 192.168.64.0/18 192.168.126.155 0 et..
3 ADC 192.168.128.0/24 192.168.128.155 0 et.

ValeriyZ
я предлогал объединить два интерфейса в бридж, адресса присвоив же бриджу.

Добавлено:
и не надо будет втыкать два провода в свич

Цитата:

я предлогал объединить два интерфейса в бридж, адресса присвоив же бриджу.

Да я так и сделал. Это самый оптимальный вариант. Но МАК адрес у бриджа всего один. Хотелось бы два.

собрал тестовую конфигурацию с двумя сетевыми (правда, ROS была только 3.15 под рукой, нелицензия, поэтому с установкой 3.17 мучаться не стал, могу проверить, если надо). погонял немного - работает как и ожидается, никаких лавинообразных арпов...

по поводу эксперимента №2 - на сетевые навешиваем адреса из разных подсетей... а работаем в какой подсети? )) может, в этом разгадка кроется?


Цитата:

Задачи от этой сетевой карты никакой нет. Она просто должна быть втыкнута в сеть для того чтобы в случае чего я мог зайти на неё по winbox и подшаманить сервер.

а этого я так до сих пор и не понял... почему одной сетевой мало?..

Цитата:

могу проверить, если надо

У меня 3.17 с лицензией потому перейти на 3.15 проблематично. Попробуйте пожалуйста в свободное время на 3.17. Буду очень благодарен.


Цитата:

а работаем в какой подсети? )) может, в этом разгадка кроется?

Работаю с ИП из указанного диапазона и маской 255.255.192.0


Цитата:

а этого я так до сих пор и не понял... почему одной сетевой мало?..

Перехожу на Микротик с win 2003. Там я намучился с Spoofing атаками. Вирусы есть такие что шлюз валят. ИП сервера какой ни будь идиот может в настройки своей сетевухи вписать. и.т.д.

На мой взгляд 2 ИП и 2 МАКа это более дуракаустойчивая система. Сервер будет стоять удаленно. Тоесть как я и написал, вторая сетевуха для того, чтобы можно было зайти на сервер, в случае одного из перечисленных вариантов, и подшаманить его.

Цитата:

У меня 3.17 с лицензией потому перейти на 3.15 проблематично

именно с точностью до наоборот: при наличии ключика можно переходить куда угодно. это демо-лицензия не позволяет менять версию - надо реинсталлить полностью систему


Цитата:

Работаю с ИП из указанного диапазона и маской 255.255.192.0

вроде по-русски спросил, а ответ какой-то непонятный... тогда вашими словами: на сетевухах прописано _два_ разных диапазона. из какого указанного из двух берётся IP клиента? я к тому, что именно он может определять это, по-вашему, "странное" поведение, когда пакеты принимаются одной сетевой картой роутера (давайте не называть его сервером, слух режет... это маршрутизатор ), а уходят с другой - на которой висит маршрут к клиенту с большей маской

по поводу спуфинга - статические ARP-записи неплохо справляются со всякими спуфинг-атаками. а через MAC-WinBox маршрутизатор доступен всегда, даже когда на нём IP не назначен, поэтому для меня необходимость во второй сетевой всё ещё сомнительна =)