Настройка MikroTik

При первой настройке нужно выполнить ряд процедур, чтобы обезопасить устройство 1. Отключить стандартного админа 1.1 Назначить сложный пароль не менее 12 символов 2. Отключить mac-server 3. Отключить обнаружение соседей в сети 4. Отключить тест скорости 5. Отключить DNS 6. Отключить остальное 7. Усилить SSH и запретить Jump 8. Отключить неиспользуемые порты 9. Отключить LCD и включить PIN 10. Настроить базовый Firewall /user add name=myname password=mypassword group=full /user disable admin /user set myname password="!={Ba3N!"40TуX+GvKBz?jTLIUcx/," /tool mac-server set allowed-interface-list=none /tool...

Список групп шифрования Diffie-Hellman Group 1 768 bit MODP group Group 2 1024 bits MODP group Group 3 EC2N group on GP(2^155) Group 4 EC2N group on GP(2^185) Group 5 1536 bits MODP group Group 14 2048 bits MODP group Group 15 3072 bits MODP group Group 16 4096 bits MODP group Group 17 6144 bits MODP group Group 18 8192 bits MODP group Group...

Защита исходящего RouterOS трафика от возможного взлома, блокировки, утечки и множества ситуаций. Настраивается вместе с основными правилами: Базовый Firewall MikroTik Cloud Hosted Router обращается на сервера cloud2.mikrotik.com и еще несколько сервисов (DNS/SNTP) в зависимости от настроек. Table of Contents DNS over HTTPS /ip firewall filter add action=accept chain=output comment="accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=output...

Table of Contents /ip firewall address-list add list=ddos-attackers add list=ddos-target /ip firewall filter add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s add action=add-dst-to-address-list address-list=ddos-target address-list-timeout=10m chain=detect-ddos add action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=10m chain=detect-ddos /ip firewall raw add action=drop chain=prerouting dst-address-list=ddos-target src-address-list=ddos-attackers...

ICMP не просто запрос-ответ, а важная составляющая работы сети. Если полностью запретить отвечать на PING, можно сделать только хуже, например начнутся проблемы с фрагментацией пакетов. Отправляем ICMP в отдельную цепочку /ip firewall filter add action=jump chain=input protocol=icmp jump-target=icmp comment="jump to ICMP filters" И разрешаем только нужные коды, остальное блокируем /ip firewall filter add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow echo request" add chain=icmp...

Настройка Vlan через Bridge VLAN Filtering Инструкция актуальна для любого MikroTik (но не на любом получится аппаратная разгрузка), в частности данный метод применяется на CRS326-24G-2S+ и является основным. Bridge VLAN Filtering Table of Contents 0.1. Планирование Vlan 1. Настройка коммутатора MikroTikПервоначальная конфигурация 1.1. Первоначальная конфигурация 1.2. Настройка управляющего Vlan 1.3. Планировка портов 1.4. Разметка Vlan 1.5. Режим портов 1.6. Немного безопасности 1...

Настройка SSTP на RouterOS без создания самоподписанных сертификатов. На RouterOS 7 сертификат можно получить автоматически: Автоматическое продление Let’s Encrypt MikroTik Так же сертификат можно подгрузить отдельно! Получить, и загрузить все через System > Certificates > Import Затем включаем сертификат на SSTP Server В настройках DNS домена указываем A запись, которая ведет на IP адрес вашего сервера CHR или RouterBOARD...

Базовая настройка стекируемого L3 коммутатора на примере AT-x530L-28GTX Заказав настройку MikroTik, вы получите 100% проработанное решение от опытного сетевого инженера. Table of Contents Включаем на каждом стекирование stack enable Номера коммутаторам присваиваются по порядку при первом включении и сохраняются в памяти. Проверим статус show stack Установим приоритеты stack Номер_устройства priority приоритет awplus(config)# stack 1 priority 1 awplus(config)# stack 2 priority 2 ! service password-encryption ! hostname...

Сервера рекомендуется подключать через 2 и более сетевые карты, желательно к стэкируемым коммутаторам. Table of Contents Выбор зависит от типа трафика (количество и тип соединений, критичности к очереди). Собираем нужные порты и выбираем тип — 802.3ad и L2+3 Удаляем всё в Networks, остаются только физические интерфейсы. Создаем bond0 с указанием сетевых устройств и режима (LACP 802.3ad layer2+3) Создаем Linux Bridge с привязкой на bond, с поддержкой Vlan, назовем его Trunk Создаем Linux VLAN с привязкой на Lunux Bridge, который является Trunk и вешаем Vlan IP адрес...

Когда нужно прокинуть порт из вне, но чтобы по нему можно было перейти изнутри называется hairpin. Решение является костыльным и лучше его не использовать, а пользоваться DNS запись для внешних подключений и отдельно внутренних. Пример проброса 443 порта IP > Firewall > NAT Table of Contents Слушаем WAN порт tcp:443 Направляем внутрь на tcp:443 /ip firewall nat add action=dst-nat chain=dstnat comment="HTTPS" dst-port=443 in-interface-list=WAN-ALL protocol=tcp to-addresses=192.168.0.5 to-ports=443...

Процесс активации лицензии Cloud Hosted Router не совсем очевидный, но простой. В первую очередь нужно зарегистрироваться на https://mikrotik.com/client и получить лицензию (купить, получить на сертификации, перенести из другого кабинета, либо спросить по дешевке в группе MikroTik_os). Либо пользоваться триальной версией и периодически сбрасывать System ID. Ограничением через несколько сбросов встанет невозможностью обновить версию и активировать постоянную лицензию! Установка CHR Если у вас уже...

В целях защиты от «атак по середине», прослушивания и подмены провайдером DNS запросов, используется DoH (DNS поверх HTTPS) DoH сервер используются в приоритете над обычным DNS Обычные DNS рекомендуется выключать, но если нужна надежность на случай недоступности DoH, обычный DNS можно оставить. При включении DoH не будут работать статичные записи: Перехват DNS зон и блокировка сайтов Table of Contents /tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem /certificate import file-name=DigiCertGlobalRootCA...