Настройка MikroTik

Смена TTL бывает нужна на 3G/4G-LTE операторах, которые делают ограничение по раздаче интернета за счет проверки TTL, который при прохождении каждого маршрутизатора уменьшается на 1 А так же других операторов, для сокрытии цепочки раздачи интернета соседям. Стандартный TTL для Linux (а это все телефоны от Android до iOS) равен 64. При...

В RouterOS 7 появился WireGuard, который позиционирует себя как максимально простой в настройке PPP, а так же в разы быстрее IPsec даже на старом оборудовании. Но при настройке на мобильных клиентах он таким не оказался. Заказав настройку MikroTik, вы получите 100% проработанное решение от опытного сетевого инженера. WireGuard Android и iOS на MikroTik Настройка в RouterOS действительно простая, но клиентам не назначаются IP адреса как при классическом PPP: MikroTik PPTP/L2TP В моей конфигурации...

Данная проблема встречается из-за непрохождения MTU где-то посередине. Быстрое решение проблемы: /ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no Можно применить как есть, но лучше назначить правило на WAN порт. Решение является костыльным, нужно разбираться где именно не пропускает пакеты 1500, либо занижать MTU на WAN интерфейсе...

Я изобрёл git! Скрипт проверяет менялась ли конфигурация и только в случае изменений делает бэкап. Пишет, что изменилось и складывает историю в отдельную директорию. Взят за основу древний скрипт 2012 года откуда-то с анналов habr. Для работы нужно добавить на RouterOS пользователя для backup с ограниченными правами и исправить его в скрипте. /user group add name=backup policy=telnet,ssh,ftp,read,write,policy,test,sniff,sensitive,!local,!reboot,!winbox,!password,!web,!api,!romon,!dude,!tikapp /user add name=backup password="dsfr4w5dgr6" group=backup Установить sshpass: apt-get install sshpass...

Для создания физической отказоустойчивости применяется протокол VRRP, который позволяет создать «виртуальный» интерфейс, а оборудование между собой согласовывает, кто им управляет. Резервирование маршрутизатора В случае с физическим питанием можно подключить через PoE и Jack с разных ИБП и фаз, или купить с двумя БП. Но возможен отказ оборудования или проведение технических работ — например обновление прошивки или замена. Рассмотрим реализацию, когда имеется 2 выхода в Интернет, а простой недопустим...

Для проброса IP адреса с MikroTik LTE kit на конечное устройство используется функция Passthrough, при этом она помогает фиксировать шлюз, который может меняться при динамическом IP адресе. Проброс ip lte Passthrough есть в каждой LTE железке от MikroTik: Обновление MikroTik LTE kit модема Vlan для Passthrough и MGMT Тема настройки vlan в RouterOS тянет на отдельную большую статью, по этому все будет настраиваться без bridge vlan filtering во избежание выстрела в ногу...

В практике на большой сети из 40 офисов столкнулся с проблемой, когда «приезжают» не все маршруты по OSPF после перезагрузки RouterBOARD (а маршрутов было очень много, все поделено на Area). Но если перезапустить сервис, то все начинает работать отлично до следующей перезагрузки. Техническая поддержка сообщила, что исправят это в RouterOS 7. До момента исправления я использую скрипт перезапуска OSPF сервиса через минуту после загрузки RouterOS /system script add dont-require-permissions=no name=OSPF_Reload owner=WinBox policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon...

Тема получения белого IP на 3G-4G/LTE провайдерах является больной для многих абонентов. Но выход из этой ситуации настолько сложен, насколько и прост. В этой уникальной статье (а я не нашел ничего подобного в русском интернете) вы узнаете как купить и маршрутизировать белый IP куда угодно, заодно обойдя ограничения операторов, ведь мы будем использовать SSTP по tcp:443 Не мучиться и купить SIM карту с безлимитом и белым IP можно у моего товарища https://4g-inter.net Если это не ваш вариант, то читайте далее...

В RouterOS завезли перехват DNS зон, в связи с этим можно перенаправить DNS запросы куда угодно. Применим это для блокировки сайтов и перенаправления DNS на контроллер домена. Контроллер домена /ip dns static add forward-to=10.1.0.2 regexp=".*activedirectory\\.local" type=FWD Данная настройка перенаправит все запросы к домену и его поддоменам activedirectory.local на указанный DNS сервер 10.1.0.2 Блокировка сайтов Неочевидное, но простое использование блокировка через DNS /ip dns static add forward-to=127.0.0.1 regexp=".*vk\\.com" type=FWD add forward-to=127.0.0.1 regexp=".*tiktok\\.com" type=FWD...

В RouterOS можно сделать авторизацию по ключу, но не у всех получается с первого раза ее настроить. Но такой вариант не нравится MikroTik, по этому нужно привести к виду: ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAgEA1eX4RWjq44OwcC31XLXCK28uP11jGY3skja2tW5vGciXp6RLdnV6EuJ+UdbMMVW8gCHowvJJWyu6ksZNuxtUF+X19YRmeCfBNTYLSzDZ729sQS2Rc6xkxJY+iZJEX0doU0WudDgAH9exRveuIpzqFSEjxwQnNmbSLllhrMdODETb8B3N/ya4eqVVZD+OwcDVU/pcHdQAKMePmKYecNNRERQ5VsrHgFTPj0ewDn+OClg58jE3wmFqLGWVOhHY4I2OQ36ctnVyBxRF984Cw9ctzgupRWht9rmjYHqAp

IPsec в транспортном режиме наиболее частый вариант использования в связке с GRE/IPIP/L2TP. RouterOS имеет встроенную функцию настройку IPsec в связке с данными туннелями. Но мы не будем использовать встроенную настройку IPsec, для DualWAN данный способ уже не надежен. Настройка практически идентична туннельному режиму, по этому чтобы не плодить одинаковых инструкций, все идентично до раздела «Настройка политики»...

IPsec в туннельном режиме используется в основном для подключения с сторонними сетями. Указываем какие сети с нашей и с той стороны во 2 фазе IPsec, трафик начинает бегать (но не сразу). IPsec Transport Между своими сетями я все-таки рекомендую строить IPsec в транспортном режиме, чтобы можно было настроить маршрутизацию во всех её вариациях. Аппаратное шифрование IPsec IPsec Group DH Настройка фазы 1 Никогда не используйте дефолтные профили, создавайте под каждую настройку отдельные! Название должно...