Pull to refresh
  • by relevance
  • by date
  • by rating

Мой MikroTik – моя цифровая крепость (часть 4)

RUVDS.com corporate blog Information Security *Network technologies *

Статья является продолжением первой, второй и третьей частей, посвящённых организации практической безопасности сетей, построенных на оборудовании MikroTik. Ранее были рассмотрены общие рекомендации, безопасность уровней L1, L2 и L3, реализация централизованного логирования. Настало время поговорить про развёртывание IDS и её интеграцию в инфраструктуру RouterOS.
Читать дальше →
Total votes 43: ↑42 and ↓1 +41
Views 11K
Comments 16

В RouterOS 7 добавили поддержку WireGuard

*nix *Network technologies *Computer hardware Network hardware

На официальном форуме MikroTik в разделе "RouterOS v7 BETA" появилось сообщение с изменениями в последнем билде 7.1beta2.


Среди изменений связанных с оптимизациями и исправлением ошибок оказался неожиданный и, пожалуй, для многих радостный пункт: поддержка WireGuard.



Wireguard — свободная реализация point-to-point VPN с открытым исходным кодом.
Работая как модуль ядра Linux, он нацелен на улучшение производительности и энергосбережения по сравнению с IPsec и OpenVPN.

Ранее в версии 7.0beta7 ядро Linux, на котором основана ОС было обновлено до версии 5.6.3, а начиная с ветки 5.6 WireGuard был включён в состав ядра. Но учитывая то как в предыдущие годы обстояли дела, например, с поддержкой OpenVPN такого развития событий ожидать было достаточно сложно.

Total votes 12: ↑12 and ↓0 +12
Views 26K
Comments 38

Mikrotik Сloud DNS не работает

System administration *

Примерно час назад пожелтели хосты в Nagios - check_ping: Invalid hostname/address. После проверки, оказалось, что адреса вида xxxxxxxxxxxx.sn.mynetname.net не резолвятся. После этого перестал резолвиться сам mynetname.net.

На форуме mikrotik пишут, что домен в состянии Suspensed по данным whois.

https://forum.mikrotik.com/viewtopic.php?f=2&t=178256

Так же появляются все новые темы, о том, что Cloud DNS не работает

https://forum.mikrotik.com/viewtopic.php?f=2&t=178262

https://forum.mikrotik.com/viewtopic.php?f=2&t=178260

Если вы используйте Mikrotik Cloud DNS для доступа к устройствам с динамическими адресами, все может быть очень плохо.

Если ваш DNS кэш еще не истек и устройства еще доступны, добавьте дополнительного провайдера динамического DNS.

Я использую https://freedns.afraid.org/ (бесплатный сервис).

Как альтернатива, можно посмотреть на:

- ClouDNS: https://www.cloudns.net/wiki/article/255/

- Dynu: https://www.dynu.com/en-US/DynamicDNS

- YDNS: https://ydns.io/

- NoIP: https://www.noip.com/

- DNS Max: https://www.dnsmax.com/

Примеры скриптов для FreeDNS, есть, например, тут

В данный момент поддержка Mikrotik не ответила на мои письма по срокам восстановления работы Mikrotik Cloud DNS.

 

Читать далее
Total votes 6: ↑6 and ↓0 +6
Views 14K
Comments 24

«Яндекс» выдержал крупнейшую в истории рунета DDоS-атаку

Information Security *IT Infrastructure *IT-companies


По информации издания «Ведомости», в прошедшие выходные дни сервисы компании «Яндекс» подверглись крупнейшей в истории рунета DDоS-атаке.
Читать дальше →
Total votes 28: ↑24 and ↓4 +20
Views 23K
Comments 53

MikroTik признала, что ботнет был из ее устройств и согласилась с названием, которое ему дали в Qrator и «Яндексе»

Information Security *Network hardware IT-companies


15 сентября 2021 года MikroTik признала, что часть ботнета Mēris была из ее устройств. Компания согласилась с названием этой сети зараженных устройств, которое дали в Qrator Labs и «Яндексе». MikroTik выпустила инструкцию для пользователей, чтобы проверить сетевое устройство на возможность перехвата управления от Mēris.
Читать дальше →
Total votes 39: ↑38 and ↓1 +37
Views 26K
Comments 27

Не совсем обычное VPN соединение обычными средствами

Network technologies *
Искал интересную тему, заслуживающую внимания, чтобы получить инвайт на Хаброхабре и вот нашёл. Такой особенный случай мне пришлось недавно реализовать.

Постановка задачи: Получить доступ к узлам удалённой сети.


Здесь мы будем говорить о двух сетях, которые нужно объединить, одну из которых я буду называть «моя офисная сеть», а другую «удалённая сеть».
Системный администратор удалённой сети отказывается вносить наименьшие изменения, для подключения и единственное что можно сделать — это поместить своё оборудование в удалённой сети. Выход в интернет из этой сетиv4 производится через шлюз, который натит в мир. Нужно построить тоннель, между двумя офисами, чтобы узлы моей офисной сети могли получать доступ к узлам удалённой сети, при минимальных изменениях c обеих сторон.

Для выполнения задачи объединения двух сетей и построения виртуального тоннеля нужно использовать Virtual Private Network. В ходе поиска подходящего варианта подключения, для себя разделил VPN на два вида: клиент-серверный вариант и равноправный. В следующих моментах заключается принципиальное отличие:
  • В равноправном VPN, использующем глобальную сеть интернет, нужно иметь один реальный IP адрес, для каждого из узлов (минимум 2-ва узла). Здесь соединение может быть инициировано каждой из сторон (именно поэтому я так и обозвал его, равноправный), их может быть больше двух.
  • В клиент-серверном варианте, использующем глобальную сеть интернет, нужен только один реальный IP адрес, для сервера. Соединение здесь происходит по требованию клиента, сервер всегда ожидает, клиентов может быть больше одного.

Примечание1: В обоих вариантах должно соблюдается одно из условий (для клиент-серверного варианта, только для сервера):
  • A. VPN peer, должен находится непосредственно на шлюзе (должно быть установлено дополнительное ПО, или устройство должно быть способно устанавливать нужный тип VPN соединений).
  • B. Если же нет возможности запустить VPN peer непосредственно на шлюзе, нужно его сконфигурировать так, чтобы он смог пропускать порт на другое устройство, настроенное как VPN peer.


Читать дальше →
Total votes 12: ↑8 and ↓4 +4
Views 151K
Comments 16

SSH2 в php5 + Mikrotik RouterOS, подводные камни

System administration *
Стояла задача: в цикле, из скрипта на php5 зайти по ssh на Mikrotik, сгенерировать скрипт с текущим конфигом, забрать скрипт на некое локальное хранилище. И так для ~500 роутеров. Так как в провайдерских кругах микротик весьма нередкий зверь — думаю кому-то ещё может пригодиться.

Так как глубоких познаний в тонкостях реализации ssh2 на микротике, в пхп, да и вообще — не имею, а сроки сильно ограничены, встретившиеся проблемы решал подручными средствами и инструментами, особо не заботясь об «элегантности».

В процессе обнаружилось следущее:
Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 8.9K
Comments 18

Mikrotik Router OS, скрипт для динамического деления скорости

System administration *
Sandbox

Mikrotik Router OS, скрипт для динамического деления скорости.



На днях встала следующая проблема: делить скорость поровну между всеми пользователями, причем так, чтобы скорость не выделялась на клиентов, которые на данный момент не пользуются интернетом, а отдавалась всем остальным, еще чтобы при большом количестве клиентов и узком канале получить некоторую «буферность» канала.
Читать дальше →
Total votes 26: ↑26 and ↓0 +26
Views 21K
Comments 12

Mikrotik Router OS, скрипт для динамического деления скорости (Версия 2)

System administration *

Mikrotik Router OS, скрипт для динамического деления скорости (Версия 2)



Это вторая версия, первая лежит тут: тут.

На днях встала следующая проблема: делить скорость поровну между всеми пользователями, причем так, чтобы скорость не выделялась на клиентов, которые на данный момент не пользуются интернетом, а отдавалась всем остальным, еще чтобы при большом количестве клиентов и узком канале получить некоторую «буферность» канала.

Исходя из прошлого опыта, был написан совершенно новый скрипт исключающий недостатки прошлого и доработанный для текущих потребностей.

В новой версии стало все значительно проще в плане расположения пользователей, теперь не имеет значения, как подключился пользователь, главное, что у него есть ip адрес и этого нам достаточно.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 20K
Comments 5

Mikrotik Router OS, Ищем свой сервер в чужой сети. Или как не платить большие деньги

System administration *

Mikrotik Router OS, Ищем свой сервер в чужой сети. Или как не платить большие деньги



Все мы не раз слышали о грандиозной поддержке малого бизнеса и частного предпринимательства в нашей стране. Пока ты физическое лицо, у тебя нет никаких проблем. Но как только ты собрался с мыслями и решил открыть свое дело, ты моментально попадаешь на деньги (конские проценты в банках, налоги, отчисления в ПФР, поборы, штрафы, инфляция, и прочая вата). Особенно отличились в этом плане провайдеры, если к простому домашнему пользователю требования минимальны, то к частным предпринимателям и организациям подход особенный. А именно: если ты арендовал нежилое помещение для работы, это означает что ты дойная корова и должен платить кучу денег провайдеру. Да, конечно очень хорошо, если вам удалось договорится с провайдером и составить договор на физическое лицо, ну или скажем недалеко живет ваш знакомый который согласен поставить wifi в форточку. Но если данные варианты не прокатывают, есть еще один способ не платить провайдеру кучу денег. :)

Идея заключается в том, что в наше время не сложно найти провайдера с внутренней локальной сетью 10.0.0.0/255.0.0.0 или 192.168.0.0/255.255.0.0 и в ней организовать две точки (Физическое лицо с дешевым, безлимитным интернетом будет Сервером) (Организация с дорогим помегабайтным интернетом будет Клиентом) между ними поднимаем VPN.
Читать дальше →
Total votes 39: ↑31 and ↓8 +23
Views 21K
Comments 78

Новые железки от Mikrotik

Computer hardware
Mikrotik это компания которая занимается роутерами SOHO сегмента. Но поскольку компания выпускает качественную продукцию, ими заинтересовались не только продвинутые пользователи и средний бизнес, но и крупные провайдеры. Простота установки, качество сборки, и достаточно стабильное ПО удовлетворяет большинство требований, а приятная цена подтягивает удавку конкурентам. В принципе кроме Ubiquiti Networks с ними некому тягаться.

image

Для тех кто уже в курсе о всех плюсах и минусах этой компании, предлагаю ознакомится с новинками которые были представлены на Венгерском MikroTik User Meeting (MUM).
Читать дальше →
Total votes 45: ↑36 and ↓9 +27
Views 23K
Comments 46

Домашний роутер, медиасервер и лаба в одном HP Microserver (часть2)

Virtualization *
Tutorial
Вторая часть краткой, но познавательной повести о комсомольском пути установки и настройки домашнего сервера для различных нужд.

Первая часть тут.

Читать дальше →
Total votes 60: ↑52 and ↓8 +44
Views 39K
Comments 75

Mikrotik-Qos Приоритезация по типу трафика и деление скорости

System administration *

Mikrotik-Qos Приоритезация по типу трафика и деление скорости



imageДоброго времени суток, сегодня речь пойдет о наболевшем, а именно о том, как грамотно разделить интернет канал, чтобы все ваши пользователи были максимально довольны.
Читать дальше →
Total votes 43: ↑38 and ↓5 +33
Views 241K
Comments 13

Mikrotik Router OS. «Справедливое» разделение канала

System administration *
Sandbox
На просторах хабра мне попалась пара статей «Mikrotik Router OS, скрипт для динамического деления скорости». А поскольку этой проблемой я занимаюсь уже не первый год, я решил поделиться своими знаниями.

Прежде всего, эта статья пригодится тем, кто имеет желание «справедливо делить интернет» между несколькими клиентами сети. Однако решение подойдет и для разделения канала связи нескольких офисов или доступа к отдельным ресурсам, и для шейпинга.
Читать дальше →
Total votes 34: ↑33 and ↓1 +32
Views 132K
Comments 37

Централизованный сбор конфигураций с MikroTik'ов средствами Python

Python *

Зачем



С ростом количества сетевых узлов и сложности их конфигурации наверняка у многих возникает вопрос — а если железка умрет, смогу ли я быстро восстановить работу на другой? Если смогу сделать это вручную, то как долго я буду потом отлавливать мелочи, которые забыл?

Процесс гугления привел к пониманию того, что конкретно для этого вендора готовых решений подобного рода нет. То, что было найдено в комьюнити мне не понравилось — предлагали размещать скрипты резервного копирования на самой железке и запускать их по расписанию. По сути задачу это решало, но если у меня несколько десятков единиц оборудования, нащелкивать копипасту по каждому экземпляру — это не по Фен-Шую.

Благо есть небольшой навык написания полезняшек на Python и фантазия.
Читать дальше →
Total votes 26: ↑24 and ↓2 +22
Views 21K
Comments 17

MikroTik готовится анонсировать новый маршрутизатор производительностью 16Gbit

Network technologies *
15 марта на конференции MUM, которая проходила в Варшаве, разработчики MikroTik заявили, что планируют летом этого года анонсировать новый высокопроизводительный маршрутизатор с 36 процессорными ядрами и SFP портами.
image
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 8.8K
Comments 31

Поддержка подогретого бэкапа средствами двух MikroTik'ов

Python *
В прошлой статье я рассказал о возможном способе снимать централизованные резервные копии конфигураций с маршрутизаторов MikroTik. Казалось бы на этом можно и успокоиться, но для некоторых филиалов руководство требует сиюминутного восстановления работы в случае выхода из строя любого участка сети. Первое, что приходит в голову — само собой, нужно иметь рядом две одинаковые железки. Однако вторая логичная мысль — использовать VRRP не подходит в силу ряда причин, одна из которых использование IPSec. Значит нужно снова шаманить костыль и синхронизировать конфигурацию в полуручном режиме, то есть скриптоваться.
Читать дальше →
Total votes 8: ↑7 and ↓1 +6
Views 4.2K
Comments 1

Mikrotik OS и автоматическое переключение на резервный канал

System administration *
Sandbox
В недавнем прошлом в связи с переходом с ADSL на Ethernet представилась отличная возможность попробовать оборудование от Mikrotik. В связи с чем был куплен роутер RB750GL. Железка оказалась превосходной как внешне, так и с точки зрения функционала и надёжности.
В итоге у меня осталось оба канала и было решено настроить резервирование с автоматическим переключением. Стандартные средства переключения шлюзов не покрывают всё многообразие сбоев, поэтому нужно писать свои скрипты.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 120K
Comments 41

WI-FI. Пытаемся улучшить

Wireless technologies *
Sandbox
WI-FI плотно вошел в нашу жизнь. Большинство пользователей ноутбуков, знакомых мне, уже установили, или планируют в скором времени установить точку доступа у себя дома. Тому есть множество причин и основная – именно WI-FI дает пользователям мобильных устройств истинную мобильность, но, пока только в ограниченных пределах зоны покрытия. Однако и данная технология далеко не без изъянов, потому нами и ведется разработка прошивки, обеспечивающей отсутствие части изъянов в пределах коттеджного поселка (Запуск в июне месяце), а в последствии и свободный доступ к скачиванию данной прошивки.

Читать дальше →
Total votes 21: ↑12 and ↓9 +3
Views 13K
Comments 32