Mikrotik

рабочие лошадки для SOHO и не только.

Все об интернете и домашних сетях в Смоленске и области.
pinkmouse
Сообщения: 24534
Зарегистрирован: 26 июл 2009, 12:49
Благодарил (а): 4 раза
Поблагодарили: 38 раз

Re: Mikrotik

Сообщение pinkmouse »

Изображение
:-)) :-))
его зовут как [извините], но с двумя х в начале! [извините]
Аватара пользователя
healer
Сообщения: 6872
Зарегистрирован: 19 ноя 2011, 06:35
Благодарил (а): 4 раза
Поблагодарили: 16 раз
Контактная информация:

Re: Mikrotik

Сообщение healer »

В продолжении темы.
Задался решением следующего вопроса: Имеется "домашняя" и "рабочая" сети между которыми поднят OpenVPN туннель.
На домашнем роутере поднят сервер на рабочем клиент.
Собственно хочу все обращения во всемирную паутину с рабочего роутера пропускать через VPN туннель до домашнего и далее.
Гугление по данному вопросу решения так и не дало.
Может кто чего подскажет
Психологическая зрелость - это когда ты понимаешь, как много событий в мире не нуждаются в твоём мнении и комментариях.
Аватара пользователя
TheBest
Сообщения: 13222
Зарегистрирован: 08 фев 2005, 14:36
Благодарил (а): 11 раз
Поблагодарили: 8 раз

Re: Mikrotik

Сообщение TheBest »

На работе на компе дефолтным роутером прописан Микротик.
На нём прописать маршруты для всех рабочих сетей, а для всего остального домашний Микротик.
Так не получится?
Аватара пользователя
healer
Сообщения: 6872
Зарегистрирован: 19 ноя 2011, 06:35
Благодарил (а): 4 раза
Поблагодарили: 16 раз
Контактная информация:

Re: Mikrotik

Сообщение healer »

TheBest писал(а):На работе на компе дефолтным роутером прописан Микротик.
На нём прописать маршруты для всех рабочих сетей, а для всего остального домашний Микротик.
Так не получится?
НЕ получается.
Психологическая зрелость - это когда ты понимаешь, как много событий в мире не нуждаются в твоём мнении и комментариях.
Аватара пользователя
TheBest
Сообщения: 13222
Зарегистрирован: 08 фев 2005, 14:36
Благодарил (а): 11 раз
Поблагодарили: 8 раз

Re: Mikrotik

Сообщение TheBest »

Есть задача: Нужно дать доступ к серверу удалённых рабочих столов извне, но защитить его от взлома.
SSTP или OpenVPN? Или как-то ещё?

Важный комментарий: Клиентом может выступать винда, мобила, линукс, огрызок и много чего разного. Это в идеале.
Аватара пользователя
TheBest
Сообщения: 13222
Зарегистрирован: 08 фев 2005, 14:36
Благодарил (а): 11 раз
Поблагодарили: 8 раз

Re: Mikrotik

Сообщение TheBest »

Читал Гугл, примерно понял что и для чего: OpenVPN для компов, L2TP/IPSec - мобильные девайсы.

Видел примеры для Микротика по настройке OpenVPN.
Вот что смущает - везде заводится один юзер на Микротике и один клиентский сертификат.
Т.е. сделали CA.crt/CA.key - CA.crt на клиента и сервер, server.crt/key на сервер (Микротик), client.crt/key на клиента.

Как настраивать если я хочу каждому клиенту свой логин/пароль и свой сертификат?
Я так понимаю, что ca.crt нужен везде, на сервере server.crt/key и все crt клиентов. На клиенте crt/key клиента.
При логине пользователя user1 от него требуют публичный user1.crt, который есть на сервере, потом задействуют key.

Так или нет? И можно ли так настроить?
Аватара пользователя
healer
Сообщения: 6872
Зарегистрирован: 19 ноя 2011, 06:35
Благодарил (а): 4 раза
Поблагодарили: 16 раз
Контактная информация:

Re: Mikrotik

Сообщение healer »

TheBest, http://voxlink.ru/kb/voip-devices-confi ... ikopenvpn/
Генерируешь сертификаты клиентов по потребности а дальше как в ссылке выше.
Психологическая зрелость - это когда ты понимаешь, как много событий в мире не нуждаются в твоём мнении и комментариях.
Аватара пользователя
Arteska
Сообщения: 318
Зарегистрирован: 15 дек 2009, 20:18
Настоящее имя: Федор
Откуда: Киселевка
Благодарил (а): 0
Поблагодарили: 0
Контактная информация:

Re: Mikrotik

Сообщение Arteska »

healer писал(а): Собственно хочу все обращения во всемирную паутину с рабочего роутера пропускать через VPN туннель до домашнего и далее.
Можно трафик с нужного диапазона IP маркировать, потом лупануть маршрут статикой - мол пакеты с таким маркером падают на такой-то интерфейс ( например тунель работа-дом)
Аватара пользователя
TheBest
Сообщения: 13222
Зарегистрирован: 08 фев 2005, 14:36
Благодарил (а): 11 раз
Поблагодарили: 8 раз

Re: Mikrotik

Сообщение TheBest »

healer, Именно так и пробовал. :)
Но вот вопрос - авторизация по имени пользователя и паролю очевидна.
Но из чего следует, что проверяется сертификат? И какой сертификат проверяется?
На клиенте в OpenVPN конечно есть
cert test-client.crt
key test-client.key

Но с чем его сравнивает Микротик?
Что если пароль от user2, а сертификат cert user1.crt?

Я так понимаю, что центр сертификации контролируется, а внутри центра?
Den_S
Сообщения: 472
Зарегистрирован: 18 фев 2005, 14:06
Откуда: Смоленск
Благодарил (а): 0
Поблагодарили: 0
Контактная информация:

Re: Mikrotik

Сообщение Den_S »

TheBest, А чего ты l2tp_IPSec отбросил?
Аватара пользователя
TheBest
Сообщения: 13222
Зарегистрирован: 08 фев 2005, 14:36
Благодарил (а): 11 раз
Поблагодарили: 8 раз

Re: Mikrotik

Сообщение TheBest »

Den_S, Во многих статьях написано, что OpenVPN круче для компов, а L2TP/IPSec - для мобильных устройств.
Буду поднимать 2 сервера, сейчас разбираюсь с OpenVPN.
Аватара пользователя
TheBest
Сообщения: 13222
Зарегистрирован: 08 фев 2005, 14:36
Благодарил (а): 11 раз
Поблагодарили: 8 раз

Re: Mikrotik

Сообщение TheBest »

"PPTP небезопасен (даже его создатели в Microsoft отказались от него), поэтому его использования следует избегать. В то время, как простота установки и кроссплатформенная совместимость являются привлекательными, L2TP/IPsec имеет те же преимущества и является более безопасным.

L2TP/IPsec является хорошим решением VPN, но не таким хорошим, как OpenVPN. Однако, для быстрой настройки VPN без необходимости установки дополнительного программного обеспечения остается лучшим решением, особенно для мобильных устройств, где поддержка OpenVPN по-прежнему на низком уровне.

OpenVPN является лучшим решением VPN несмотря на необходимость стороннего программного обеспечения во всех операционных системах. Это надежный, быстрый и безопасный протокол, хотя и требует немного больше усилий, чем другие протоколы.

SSTP предлагает большинство преимуществ OpenVPN, но только в среде Windows. Это означает, что он лучше интегрирован в ОС, но благодаря этому он слабо поддерживается VPN-провайдерами.

Большинство пользователей могут использовать OpenVPN на своих настольных компьютерах, возможно, дополнив его L2TP/IPsec на своих мобильных устройствах."

Вот типа такого.
Александр Рыжов
Сообщения: 1520
Зарегистрирован: 06 фев 2006, 15:04
Благодарил (а): 0
Поблагодарили: 1 раз
Контактная информация:

Mikrotik

Сообщение Александр Рыжов »

--
Последний раз редактировалось Александр Рыжов 24 сен 2022, 22:00, всего редактировалось 2 раза.
Аватара пользователя
TheBest
Сообщения: 13222
Зарегистрирован: 08 фев 2005, 14:36
Благодарил (а): 11 раз
Поблагодарили: 8 раз

Re: Mikrotik

Сообщение TheBest »

Александр Рыжов, Я выбрал OpenVPN и l2tp/ipsec.
Если есть желание, то можешь поругать мой выбор. :)
Александр Рыжов
Сообщения: 1520
Зарегистрирован: 06 фев 2006, 15:04
Благодарил (а): 0
Поблагодарили: 1 раз
Контактная информация:

Mikrotik

Сообщение Александр Рыжов »

--
Последний раз редактировалось Александр Рыжов 24 сен 2022, 22:00, всего редактировалось 1 раз.
Аватара пользователя
TheBest
Сообщения: 13222
Зарегистрирован: 08 фев 2005, 14:36
Благодарил (а): 11 раз
Поблагодарили: 8 раз

Re: Mikrotik

Сообщение TheBest »

Александр Рыжов, Чем l2tp/ipsec хуже?
Аватара пользователя
healer
Сообщения: 6872
Зарегистрирован: 19 ноя 2011, 06:35
Благодарил (а): 4 раза
Поблагодарили: 16 раз
Контактная информация:

Re: Mikrotik

Сообщение healer »

TheBest писал(а):Александр Рыжов, Чем l2tp/ipsec хуже?
Если не нужно шифрование трафика то хуже +больше накладных расходов.
Психологическая зрелость - это когда ты понимаешь, как много событий в мире не нуждаются в твоём мнении и комментариях.
Аватара пользователя
healer
Сообщения: 6872
Зарегистрирован: 19 ноя 2011, 06:35
Благодарил (а): 4 раза
Поблагодарили: 16 раз
Контактная информация:

Re: Mikrotik

Сообщение healer »

Arteska писал(а):
healer писал(а): Собственно хочу все обращения во всемирную паутину с рабочего роутера пропускать через VPN туннель до домашнего и далее.
Можно трафик с нужного диапазона IP маркировать, потом лупануть маршрут статикой - мол пакеты с таким маркером падают на такой-то интерфейс ( например тунель работа-дом)
Тоже так думал но что-то с наскока не получилось. Вот разгребу текучку на работе и снова попробую.
Психологическая зрелость - это когда ты понимаешь, как много событий в мире не нуждаются в твоём мнении и комментариях.
Аватара пользователя
healer
Сообщения: 6872
Зарегистрирован: 19 ноя 2011, 06:35
Благодарил (а): 4 раза
Поблагодарили: 16 раз
Контактная информация:

Re: Mikrotik

Сообщение healer »

TheBest писал(а):Александр Рыжов, Я выбрал OpenVPN и l2tp/ipsec.
Если есть желание, то можешь поругать мой выбор. :)
А кто мешает поднять 2 сервера для разных устройств?
Психологическая зрелость - это когда ты понимаешь, как много событий в мире не нуждаются в твоём мнении и комментариях.
Аватара пользователя
TheBest
Сообщения: 13222
Зарегистрирован: 08 фев 2005, 14:36
Благодарил (а): 11 раз
Поблагодарили: 8 раз

Re: Mikrotik

Сообщение TheBest »

healer, Так именно два и планирую.
Аватара пользователя
Arteska
Сообщения: 318
Зарегистрирован: 15 дек 2009, 20:18
Настоящее имя: Федор
Откуда: Киселевка
Благодарил (а): 0
Поблагодарили: 0
Контактная информация:

Re: Mikrotik

Сообщение Arteska »

healer писал(а):Тоже так думал но что-то с наскока не получилось. Вот разгребу текучку на работе и снова попробую.
В принципе не сложно, если нет каких-то замут на самом микротике (особые маршруты, правила фаервола и тд. В таких случаях я думаю уже надо думать)
В Firewall в разделе Mangle cоздаешь новое правило - в Chain выбираешь prerouting, в Src.adr пишешь диапазон Ip, которые будут ходить по этому тоннелю. Переходим во вкладку действия и выбираем тип mark routing и new routing mark вписываем маркер ( К примеру TN-W-H).
Потом идем в NAT и создаем правило для интерфейса твоего тоннеля (TN пусть называется). В general в Chain - Srcnat, Out.int - TN. В Action - masquerade.
Далее чешем в маршруты, добавляем статику - Dist.addr 0.0.0.0/0, шлюз TN, Routing Mark - TN-W-H.
По идее должно заработать. Я не буду говорить норм этот вариант, или костыли, возможно можно реализовать с помощью одних маршрутов, но с пол пинка я не смог сделать. А вариант выше заработал сразу. ( микротик rb750 с одной стороны и Asus rt-n18u c pptp сервером на другой стороне )
pinkmouse
Сообщения: 24534
Зарегистрирован: 26 июл 2009, 12:49
Благодарил (а): 4 раза
Поблагодарили: 38 раз

Re: Mikrotik

Сообщение pinkmouse »

MESH работает весьма прикольно.
учитывая, что пара 951Ui-2HnD по кабелю работает от 750GL :-))
его зовут как [извините], но с двумя х в начале! [извините]
pinkmouse
Сообщения: 24534
Зарегистрирован: 26 июл 2009, 12:49
Благодарил (а): 4 раза
Поблагодарили: 38 раз

Re: Mikrotik

Сообщение pinkmouse »

кста, на одной из 951 поднял vAP гостевую. светит во двор просп. Строителей 12.
на весь дом :-)) светит.
его зовут как [извините], но с двумя х в начале! [извините]
pinkmouse
Сообщения: 24534
Зарегистрирован: 26 июл 2009, 12:49
Благодарил (а): 4 раза
Поблагодарили: 38 раз

Re: Mikrotik

Сообщение pinkmouse »

951Ui-2HnD Tested ambient temperature -20C +50C :-|
TheBest, твои железки тож так?
..зы. просто думаю, в бокс покупать модуль подогрева, или забить.
..ззы. он ж тож кушает в холодные времена неплохо :-|
его зовут как [извините], но с двумя х в начале! [извините]
Аватара пользователя
healer
Сообщения: 6872
Зарегистрирован: 19 ноя 2011, 06:35
Благодарил (а): 4 раза
Поблагодарили: 16 раз
Контактная информация:

Re: Mikrotik

Сообщение healer »

pinkmouse писал(а):951Ui-2HnD Tested ambient temperature -20C +50C :-|
TheBest, твои железки тож так?
..зы. просто думаю, в бокс покупать модуль подогрева, или забить.
..ззы. он ж тож кушает в холодные времена неплохо :-|
Железка не предназначена для outdoor.
Конденсат и перепады температур убьют ее.
Психологическая зрелость - это когда ты понимаешь, как много событий в мире не нуждаются в твоём мнении и комментариях.
pinkmouse
Сообщения: 24534
Зарегистрирован: 26 июл 2009, 12:49
Благодарил (а): 4 раза
Поблагодарили: 38 раз

Re: Mikrotik

Сообщение pinkmouse »

ну, убики унифай тож не предназначены...)))
у мну есть бонус, спрей для электроники, типа геля.
великолепно защищает
его зовут как [извините], но с двумя х в начале! [извините]
Аватара пользователя
TheBest
Сообщения: 13222
Зарегистрирован: 08 фев 2005, 14:36
Благодарил (а): 11 раз
Поблагодарили: 8 раз

Re: Mikrotik

Сообщение TheBest »

pinkmouse, Имхо, спрей, герметичный бокс и привесь внутрь маленькую но всегда горящую лампочку. Только очень маломощную.
pinkmouse
Сообщения: 24534
Зарегистрирован: 26 июл 2009, 12:49
Благодарил (а): 4 раза
Поблагодарили: 38 раз

Re: Mikrotik

Сообщение pinkmouse »

TheBest, :uch_tiv: угу, про лампочки читал.
но на али есть варианты неплохие.
utomatic-Thermostat-Ptc-Heater
его зовут как [извините], но с двумя х в начале! [извините]
pinkmouse
Сообщения: 24534
Зарегистрирован: 26 июл 2009, 12:49
Благодарил (а): 4 раза
Поблагодарили: 38 раз

Re: Mikrotik

Сообщение pinkmouse »

:-)) копипастну чуть.
Спойлер
Mikrotīkls Ltd (торговая марка MikroTik) — латвийский производитель компьютерного сетевого оборудования. MikroTik разрабатывает, устанавливает и продает проводные и беспроводные маршрутизаторы, операционные системы к ним и сопутствующее оборудование. Компания была основана в 1995 году с целью продажи оборудования на развивающихся рынках. В 2007 году в компании работало более 70 сотрудников.

Можно разделить железо, которое называется RouterBoard и операционную систему, которая называется RouterOS. В разговорной речи, когда говорят об этом всём, говорят просто Mikrotik.

Теперь перейдём к плюсам и минусам.

Какие плюсы есть у микротика

1. Стоимость — в своей ценновой категории конкурентов просто нет.

2. Функциональность — По сравнению с Dlink, TP-Link, Zyxell и прочими «домашними» роутерами функционал огромен. Сравнивать надо больше с Cisco, Juniper и прочим «взрослым» железом или с системами linux или freebsd (только сетевой стек). Перечислять не вижу смысла, но могу заметить, что можно реализовать практически любую «хотелку» в сетевых технологиях.

3. Надёжность и стабильность — если микротик настроен и протестирован он будет работать ОЧЕНЬ долго и безпроблемно. Также очень спасают встроенный скриптовый язык (с помощью которого можно настроить всевозможные действия на проблемы) и технология WatchDog которая спасает при зависшем роутере. Все проблемы какие у меня были, возникали из-за проблем с питанием (очень много и часто грозы). При наличии хорошего заземления и ИБП проблем практически нет. Хотя периодически на форумах и слышу про баги и браки, но сам ни разу не сталкивался (если не считать свои кривые руки багом).

4. Документация и обновления — есть вполне подробная официальная википедия. Все прошивки лежат прямо на сайте, доступные для скачивания даже без авторизации. В отличии от той же Cisco где простое обновление получить иногда проблема (требуется статус сертифицированного специалиста или вообще говорят, что это только для тех.поддержки)

5. Единая ОС и система конфигурации — так как везде используется RouterOS это позволяет и быстро менять оборудование, востанавливать на новое железо или просто передавать-советовать другим как и что сделать.

6. Масштабируемость — Есть предложения практически для каждого сегмента малого и среднего бизнеса (для крупного я бы не рекомендовал). Причём если вам не хватает к примеру какого-нибудь из Core-серии, всегда можно развернуть RouterOS на мощном x86 сервере с нужной производительностью.

А теперь можно перейти к минусам

1. Если вам требуется реально бесперебойная работа, то микротик вам вряд ли подойдёт. Но это уже железо совсем другого уровня (несколько блоков питания, резервирование всего и вся, и прочие радости жизни). Однако есть примеры внедрения RouterOS на нескольких х86 серверов.

2. Если вам требуется маршрутизировать более 10G трафика ежесекундно (да есть Core-серия, но будем откровенны — на ней тоже не всё гладко).

3. Если вы не разбираетесь в сетях — конечно настроить по куче мануалов из сети не очень сложно, но для обычного пользователя достаточно трудоёмкий процесс.

4. Минус от пользователя "Ставлю клиентам в офис. для небольшой нагрузки — самое то. поставил и забыл. минус в том, что эти клиенты больше не звонят, потому что у них все работает. и платных вызовов у меня все меньше." :)

5. Отсутствует «корпоративная» техподдержка и гарантии — здесь нет чтобы вам в течении 2 часов заменили железку на новую. Или удалённо подключившись настроили что-либо. Либо разбираться самому, либо платить фрилансерам. Вообще поддержка есть и если вам не требуется “здесь и сейчас”, то вполне возможно вам она подойдёт.

10. Малое распространение марки — это достаточно существенный минус. И он как для потребителей, так и для специалистов. Так как RouterOS слабо распространен, то и спрос на специалистов разбирающихся в ней мал. Так и для фирм — если у вас сеть построена на данной ОС и затем ваш системный администратор ушел, вам будет сложнее найти специалиста который бы разбирался в данном вопросе. Да и вдалеке от крупных городов найти роутеры Mikrotik подчас достаточно большая проблема.
его зовут как [извините], но с двумя х в начале! [извините]
Аватара пользователя
TheBest
Сообщения: 13222
Зарегистрирован: 08 фев 2005, 14:36
Благодарил (а): 11 раз
Поблагодарили: 8 раз

Re: Mikrotik

Сообщение TheBest »

"Да и вдалеке от крупных городов найти роутеры Mikrotik подчас достаточно большая проблема."
Интернет-магазины? Не, не слышал. :facepalm:
Ответить Пред. темаСлед. тема