Данная настройка позволяет создать L2TP подключение с обязательным шифрованием с использованием IPsec. Что необходимо учесть при настройке подключения на клиенте. Может быть у администратора в сети все пользователи и хорошие, и дисциплинированные, но в ней он главный, поэтому, на всякий случай. После того как настройки заполнены, желательно указать комментарии для чего было создано данное правило чтобы не запутаться.
Mikrotik — Типичные проблемы и их решения
Сюда вошли наиболее типичные проблемы и их решения.
Теперь они собраны в одном месте, а не разбросаны по крупицам по все му интернету.
Есть что добавить? — оставляйте Ваши комментарии.
«И на кой черт мне это нужно?» Спросите Вы.
Все просто. Зайдите в IP — Firewall.
Там есть 3 вкладки Filter, NAT и Mangle.
В Filter и Mangle есть все 3 цепочки — Prerouting, Forward и Postrouting. И еще 2 цепочки Input Output.
В NAT есть только цепочки DstNat и SrcNat.
Filter — разрешает-запрещает пакеты, совпадающие по условию записи в Filter.
NAT — это чаще всего правило SrcNat-Masquerade — чтоб люди могли ходить в интернет.
И DstNat-DstNat — чтоб с интернета можно было добраться до компьютеров и роутеров в вашей сети.
Mangle — продвинутый маркировщик пакетов.
Предположим клиент вашей сети имеет адрес локальный 192.168.0.2
а IP Микротика 80.80.80.1 — это интернет адрес.
Когда клиент запрашивает веб-страницу, к нему сыплятся пакеты.
Но не на его адрес, а на адрес Микротика. Потому как адрес 192.168.0.2 локальный, и само собой напрямую на этот адрес прийти ничего не может.
Т.е. Микротику приходит пакет с Dst.Address — 80.80.80.1
2. Далее срабатывает Firewall — NAT.
Происходит подмена (из таблицы NAT) для входящих пакетов внешнего IP на локальный.
или DstNat (это для тех, кто пытается достучаться до локальных IP-адресов из интернета)
Т.е. теперь Dst.Address пакета не 80.80.80.1, а уже локальный адрес клиента — 192.168.0.2.
3. Теперь срабатывают правила в цепочках Mangle Forward и Filter Forward.
Тут уже можно фильтровать клиентов вашей сети.
4.Далее снова срабатывает NAT.
Здесь создаются записи в таблице NAT для исходящих пакетов. Т.е. срабатывает SRC-NAT.
По этим записям будет происходить обратная замена IP, когда придут ответные пакеты.
И для исходящих пакетов происходит подмена локального IP 192.168.0.2 на IP Микротика 80.80.80.1.
Mikrotik: настройка проброса портов | Твой сетевичок
Firewall Filter — блокируем и разрешаем.
Здесь создаются блокирующие и разрешающие правила.
Если записей никаких нет — то все разрешено.
Порядок записей имеет значение.
Проверка правил происходит сверху вниз.
Если пакет соответствует правилу, то дальнейшая проверка не происходит, если конечно не стоит галка PassTrugh
Важно!
1. Никогда не пытайтесь одним правилом блокировать входящие и исходящие пакеты одновременно.
Это ошибка.
Просто создайте при необходимости 2 правила — на входящие и исходящие пакеты.
А лучше блокировать только исходящие пакеты еще на взлете. Входящих пакетов само собой уже не будет.
Да и Роутер разгрузится от лишнего входящего траффика.
Исходящие — это от нас в интернет.
Src.Address — это интернет-адрес отправителя (Микротика) . Если это правило в цепочке PostRouting. или
Src.Address — это локальный адрес клиента (отправителя). Если это правило в цепочке Forward или Prerouting.
Dst.Address — это интернет-адрес получателя (сервера в интернете).
3. В правилах всегда указывайте Out. Interface или In. Interface.
Причем, если указываете In. Interface — LAN1, то это исходящий трафик.
Значит Dst.Address — это должен быть адрес интернет-ресурса. А Src.Address — это адрес вашей локалки или Микротика.
если указываете Out. Interface — LAN1, то это входящий трафик.
Значит Dst.Address — это должен быть адрес вашей локалки или Микротика. А Src.Address — адрес интернет-ресурса.
Это очень важно!
Эти два правила будут будут нарезать трафик всем клиентам.
Достаточно адрес IP клиента добавить в нужный Adrress List.
Все кто в Адрес лист 1M — получат скорость 1M
Все кто в Адрес лист 5M — получат скорость 5M Из-за того, что правила в цепочке обрабатываются одно за другим, то вначале следует прописывать разрешающие правила, а только после этого запрещающие. На вкладке General в поле Chain указана цепочка dstnat направление трафика из внешней во внутреннюю, по протоколу tcp, порт назначения 80, входящий интерфейс, направленный в сторону сети провайдера ether2-master.
Шаг 2. Авторизуем ID (доступно-после-активации-тарифа)
Авторизация — это успешная привязка роутера MikroTik к статическому IP адресу 185.195.xxx.xxx после создания и включения в нем PPTP-клиента (один из протоколов передачи данных). Все необходимые сведения, включая Логин и Пароль, есть в табличке Настройки PPTP-клиента.
Add Interface
Обратите внимание: PPTP-клиент из раздела VPN и PPTP-подключение из раздела WAN в роутерах это не одно и то же. Не помешает ознакомиться здесь с нашими рекомендациями и минимальными требованиями к оборудованию.
По истечении 10 минут после того, как был создан PPTP-клиент или изменен протокол авторизации, проверьте в Личном кабинете статус Устройства. Видите надпись « Подключено »? Отлично, теперь можно переходить к следующему «Шагу 3. Проброс портов».
Если же в течение 15 минут подключение не произошло, то стоит обратиться к списку Частых ошибок авторизации. Они находятся ниже блока Настройки PPTP-клиента в этом Шаге.
172.17.1.x и 172.17.1.xxx — это ip-адреса для настройки PPTP-клиента и они не используются для удаленного доступа.
Данные, написанные СИНИМ ЦВЕТОМ , полностью выделяются и копируются в буфер обмена по клику. Вам остается лишь вставить их в соответствующие поля 🙂
Настройки PPTP-клиента
В левом меню роутера нажмите «PPP», откройте вкладку «Interface» и нажмите кнопку «Add» со знаком плюса, затем «PPTP Client».
Частые ошибки авторизации
Что-то пошло не так? Не отчаивайтесь! Нажмите на ошибку и узнаете ее решение:
Это случилось, потому что через наш IP адрес заблокирован выход в интернет (подробнее). В настройках PPTP-клиента уберите галку с параметра Add Default Route . Выключите и включите подключение в роутере.
Проверьте на вкладке «Interface» значение в колонке Type у созданного подключения. Должно быть PPTP Client. Если это не так, удалите подключение и создайте PPTP-клиент заново. Все получится!
- Несколько раз отключите и включите питание модема;
- Включите Пропуск PPTP-трафика в настройках вышестоящего роутера или модема;
- В левом меню перейдите в раздел «IP» — «Firewall» — закладка «Filter Rules» и очистите ее, затем перезагрузите роутер;
- Удалите созданный PPTP-клиент. В Личном кабинете выберите другой Протокол, откройте заново или обновите Инструкцию по авторизации. Проделайте все шаги сначала.
Перейдите в левом меню роутера «PPP» — закладка «Profiles» и на закладке «General» удалите значение в поле Remote Address . Остальные поля также должны быть пустыми.
| Параметр | Значение |
|---|---|
| Вкладка «General» | |
| Chain | dstnat |
| Protocol | 6 (tcp) |
| Dst. Port | 10000 |
| In. Interface | BiREVIA ID (доступно-после-активации-тарифа) |
| Вкладка «Action» | |
| Action | netmap |
| To Addresses | 192.168.1.10 |
| To Ports | 80 |
Mikrotik — Типичные проблемы и их решения
Шаг 3. Настраиваем проброс портов (NAT)
А теперь плавно переходим к созданию правил проброса портов. Они необходимы для удаленного доступа к вашему оборудованию из внешней сети. И для того, чтобы роутер знал, с какого порта статического IP адреса на какой локальный ip-адрес и порт девайса ему перенаправлять запрос. К примеру:
Подключение к 185.195.xxx.xxx:10000 перенаправить на 192.168.1.10:80
Вместо статического IP адреса 185.195.xxx.xxx можно использовать домен (доступно-после-активации-тарифа) и номера портов от 10000 до 10099 из диапазона ID (доступно-после-активации-тарифа).
После списка Частых ошибок, связанных с пробросом портов, приведено три примера правил для удаленного доступа. Чтобы убедиться в верной настройке подключения, создайте Правило для роутера.
В левом меню роутера перейдите в раздел «IP» — «Firewall» — закладка «NAT» и нажмите кнопку «Add», чтобы добавить правило проброса порта.
Статический маршрут
Статический маршрут — это обратный путь для роутера или ПК, по которому надо вернуть данные пользователю. Перейдите в левом меню роутера «IP» — «Routes», нажмите кнопку «Add» и на закладке «General» укажите эти данные:
Проверка статуса порта
После добавления правила проброса порта в роутере, введите в поле ниже его номер. Проверка покажет, отвечает ли ваше оборудование (программное обеспечение) на указанном порту статического IP адреса.
Частые ошибки проброса портов
Добавили правила, но доступа нет? Ничего страшного — выберите ошибку и узнаете ее решение:
В левом меню роутера перейдите в раздел «IP» — «Firewall» — закладка «Filter Rules» и очистите ее, затем перезагрузите роутер.
В параметре In. Interface должно быть выбрано название созданного ранее PPTP-клиента. В остальных параметрах (кроме ip и порта) выберите значения как в примерах ниже.
В настройках Сети (Network) оборудования в поле Шлюз (GATEWAY) должен быть указан локальный ip-адрес роутера, который вы авторизовали в Шаге 2. После исправления перезагрузите оборудование.
Создайте статический маршрут, как написано в примере. Выключите PPTP-клиента в роутере перед внесением изменений.
Отключите Фаервол и Брандмауэр. Перезагрузите компьютер (роутер) и убедитесь, что они действительно не работают. Иногда потребуется отключить еще и Службу Брандмауэра.
Правило для веб-интерфейса видеорегистратора или камеры
Создадим правило проброса порта, чтобы веб-интерфейс камеры или видеорегистратора (доступный в локальной сети, к примеру, по адресу http://192.168.1.10), можно было открыть удаленно по адресу http://(доступно-после-активации-тарифа):10000.
| Параметр | Значение |
|---|---|
| Вкладка «General» | |
| Chain | dstnat |
| Protocol | 6 (tcp) |
| Dst. Port | 10000 |
| In. Interface | BiREVIA ID (доступно-после-активации-тарифа) |
| Вкладка «Action» | |
| Action | netmap |
| To Addresses | 192.168.1.10 |
| To Ports | 80 |
RewriteEngine on
RewriteCond % !-d
RewriteCond % !-f
RewriteRule .* /index.html [L,QSA,NC,R=302] После настройки удаленного доступа к веб-интерфейсу роутера и успешной Проверки статуса порта, сделайте контроль соединения по локальному ip-адресу PPTP-клиента. Сегодня же я разберу для как активировать прозрачный для пользователей прокси с целью управления какие ресурсы можно, а какие нельзя.
И сразу к практике: фильтрация
Открываем консольный интерфейс и посмотрим на существующие правила:
Пока что правил нет, отображается только «легенда» про флаги. Переходим в раздел настройки фильтров:
Полезный чит-код: узнать все варианты команд в любом разделе можно, нажав клавишу со знаком вопроса «?«
Теперь создадим несколько правил и расскажем для чего они нужны:
Эту команду можно читать прямо дословно. Разберем прямо по пунктам:
Таким образом эта длинная команда всего лишь превращается во вполне логичную фразу «Принимать извне все пакеты со статусом соединения Established и Related». Это правило позволяет четко указать маршрутизатору что если из внешней сети прилетают соединения с указанными статусами, то их следует принять.
Теперь переходим к следующему правилу, рекомендуемому Mikrotik:
Еще небольшое пояснение. Из-за того, что правила в цепочке обрабатываются одно за другим, то вначале следует прописывать разрешающие правила, а только после этого запрещающие.
Тут все просто — эта команда разрешает принимать извне и обрабатывать ICMP-пакеты. И завершающая команда:
Этим в финале цепочки INPUT мы будем отбрасывать (дропать) все оставшиеся пакеты, не подпадающие под правила выше. Посмотрим как у нас сформировались правила:
Рассмотрим как же это работает. Представим, что мы пингуем маршрутизатор извне. Это выглядит примерно так:
- Прилетел снаружи ICMP-пакет. Машрутизатор смотрит в правило номер 0 — есть ли уже установившееся соединение. Если нас пингуют впервые, то статус соединение будет New, а не Established или Related. Так что правило не срабатывает.
- Смотрим дальше — есть ли IP-адрес с которого пришел пакет в списке allowed_to_router. Поскольку мы этот список еще не формировали, то его еще не существует и, следовательно, правило также не срабатывает.
- Наконец доходим до правила 2, которое однозначно говорит маршрутизатору, что следует принять (Accept) и обработать по протоколу ICMP данный пакет. Маршрутизатор отвечает на ICMP-пакет соответствующим эхо-ответом. До четвертого правила пакет уже не добирается, т.к. процедура обработки фактически завершена.
Рассмотрим еще один случай. На этот раз к нам на маршрутизатор извне прилетел некий неизвестный UDP-пакет с данными. Как будет действовать маршрутизатор:
Как видим, список пока пустой. Добавим туда адреса из стандартной локальной подсети 192.168.88.0/24 за исключением 192.168.88.1 (адрес маршрутизатора). Эта подсеть обычно используется по умолчанию на устройствах Mikrotik и именно ее чаще всего используют для раздачи адресов в локальной сети. Выполним добавление:
Команда максимально проста для понимания мы говорим, что нам нужно добавить адреса 192.168.88.2-192.168.88.254 в список с именем allowed_to_router. Подразумевается то, что если списка с таким именем не существует, то при выполнении команды он будет создан. Проверим:
Настройка Firewall в Mikrotik — Блог компании Селектел
- Цепочка INPUT — входящий трафик, приходящий на маршрутизатор.
- Цепочка OUTPUT — исходящий трафик, создаваемый маршрутизатором.
- Цепочка FORWARD — трафик, проходящий сквозь через маршрутизатор.
Разделяем и властвуем
Наша задача при настройке файервола четко разделить адреса, относящиеся к локальному сегменту и адреса глобальной сети интернет. Именно их мы возьмем из RFC и пропишем в нашем маршрутизаторе списком с названием not_in_internet. В дальнейшем это поможет нам сформировать правила в которых будут абстракции «это адрес из интернета» и «это адрес не из интернета».
Поочередно выполняем команды, создавая и дополняя список not_in_internet, помимо всего прочего указывая в комментарии номер RFC, которым мы руководствовались:
Теперь, когда мы все сделали «по фен-шую», у нас есть список всех адресов, которые будут опознаваться как локальные, т.е. пришедшие не из интернета. Проверим:
Теперь, используя эти листы, создадим еще правила уже в цепочке FORWARD, которые защитят устройства в локальной сети от различных посягательств. Возвращаемся в раздел с правилами:
Первым правилом мы сделаем так, чтобы наш файервол не срабатывал, когда имеет дело с уже установленными соединениями, это лишь тратит ресурсы маршрутизатора и никоим образом не помогает в обеспечении безопасности:
Обрабатываем установленные соединения в цепочке Forward:
Отбрасываем пакеты, исходящие из локальной сети к частным IP-адресам и фиксируем срабатывание правила в логах:
Отбрасываем входящие пакеты, которые не подходят для NAT и фиксируем срабатывание:
Отбрасывать пакеты из сети интернет, пришедшие не с публичных IP-адресов и заносить информацию в лог:
Отбрасывать пакеты из локальной сети, не имеющие IP-адресов этой локальной сети, и также отправляем сообщение в лог:
Зайдите с помощью Winbox в роутер, указав Логин и Пароль администратора. Как правило, локальный ip-адрес роутера MikroTik 192.168.1.1 RouterOS сетевая ОС, изначально предназначенная для устройств RouterBoard латвийской компании Mikrotik, но в дальнейшем перекочевавшая на x86 и в облака версия Cloud Hosted Router. По истечении 10 минут после того, как был создан PPTP-клиент или изменен протокол авторизации, проверьте в Личном кабинете статус Устройства.
Списки доступа или использование Firewall’а на основе proxy
Пожалуй, этот функционал понравится вам больше всего 🙂
Список доступа работает здесь также, как и в правилах Firewall – сначала читаются самые приоритетные правила, затем, вниз по списку – менее приоритетные. Критерием для применения правил может быть совпадение таких параметров как: адрес источника, порт источника, адрес назначения, порт назначения, запрашиваемый URL или HTTP метод (POST, GET и др.)
В случае совпадения критериев, заданных в правиле и параметров подключения, такое подключение может быть разрешено (allow) или запрещено (deny). Если параметры подключения не подпадают ни под один из критериев правил, то оно по умолчанию разрешается.
Понятно, что использование правил должно применяться вместе с настройками прозрачного проксирования, которые мы рассматривали выше. Итак, допустим мы настроили прозрачное проксирование для сети 192.168.11.0/24 и пустили все HTTP запросы из этой подсети через наш прокси сервер.
Что если мы теперь хотим запретить пользователям в данной подсети сидеть во всеми любимом вконтактике? Очень просто – настроим список доступа. Для этого:
Мы также можем заблокировать web-сайты, которые содержат какое-либо ключевое слово или часть слова в названии, например:
И гуд-бай – Tinder.com, Twitter.com, Viber.com, ну вы поняли 🙂
Мы даже можем запретить скачивание определённых файлов:
Стоит отдельно рассказать про маски (wildcard), которые позволяют настроить более тонкое соответствие проверяемых URL’лов и других названий.
В dst-host и dst-path можно указывать следующие маски – * – любое количество символов. Например – *ings.docx будет искать .docx файлы, названия которых оканчиваются на ins или же просто файл ings.docx, то есть сюда подходят такие названия файлов – paintings.docx, wings.docx – перед ings может стоять любое количество символов.
Если поставить маску ?, то поиск будет осуществляться по количеству символов. Например маска ??ings.docx найдёт файл wnings.docx, но не найдёт paintings.docx, потому что маска задана на 2 символа.
Также поддерживаются регулярные выражения, но если вы собираетесь их использовать, то перед этим обязательно нужно поставить двоеточие :.
MikroTik: перенаправление запросов dns или пример приведения пользователей к порядку | Справочная информация
- Стандартное проксирование HTTP. Когда пользователь сам указывает кто является для него proxy-сервером и настраивает браузер соответствующим образом;
- Прозрачное проксирование. Когда пользователь не знает, что его запросы перенаправляются через proxy-сервер;
- Настройка списка доступа по адресу источника, назначения, URL и методу передачи запросов (GET, POST др.);
- Список кэшируемых объектов. Определяет какие копии каких ресурсов сохранять, а какие нет;
- Прямой список доступа. Определяет какие ресурсы доступны без проксирования и для каких нужен proxy-сервер;
- Логирование событий и операций proxy-сервера
- Поддержка родительских proxy-серверов. В этом случае указывается дополнительный сервер и запрос направляется к нему, если первый сервер не имеет доступа к запрашиваемому объекту.
Пожалуйста, расскажите почему?
Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!
Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.
Сегодня же я разберу для как активировать прозрачный для пользователей прокси с целью управления какие ресурсы можно, а какие нельзя. Все дальнейшие настройки будут происходить на Mikrotik 2011UiAS-2HnD.
Запускаю со своей рабочей системы (Lenovo E555 — Ubuntu 12.04.5 Desktop amd64 Gnome >запускаю оснастку управления устройством(ами) Mikrotik:
Включаемм прозрачный прокси, т. е. все http запросы будем перенаправлять на порт proxy 8080:
Если же помимо всех кому-то определенному нужен полный доступ в интернет (т. е. Без ограничений прокси), то настройки будут следующие:
Address: либо сети локальной сети либо внешние узлы(ограниченные маской подсети): 10.7.8.0/24
А теперь расширенное правило вместо ранее добавленного для всех:
а по настройкам без консоли это получается следующее:
После нажимаю Apply — Ok, а затем блокирующее правило нужно поставить первым, а все разрешающие после запрещающих.
По такому же принципу создаются новые правила для любых других ресурсов, также можно использовать символ звездочки, как элемент регулярных выражений.
Но вот каждый раз вносить новые узлы для блокировки через GUI не удобно, можно все то же самое делать из через подключение к Mikrotik через ssh:
Еще одним напоминание пользователям будет использование настройки Redirect To: на сайт в Вашей внутренней сети на котором будет доходчиво доведено почему данный ресурс не открывается т. к. он не относится к рабочим моментам, а носит развлекательный характер.
Когда пользователь подключенный к Wifi обратится к ресурсам настроенным в правилах блокировки он получит вот такую вот дефолтную отбивку если конечно же не настроен редирект на поясняющую страницу:
Generated Mon, 06 Jun 2016 12:43:17 GMT by 192.168.1.9 (Mikrotik HttpProxy)
Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:
Карта МКБ: 4432-7300-2472-8059
Yandex-деньги: 41001520055047
Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.
Оценка: 85.06 % – 17 Голосов
Общая
MikroTik – линейка довольно дешевого сетевого оборудования выпускаемого латвийской компанией Mikrotīkls Ltd.
Содержание статьи
- 1 Mikrotik — Типичные проблемы и их решения
- 1.1 Mikrotik: настройка проброса портов | Твой сетевичок
- 1.2 Firewall Filter — блокируем и разрешаем.
- 1.3 Шаг 2. Авторизуем ID (доступно-после-активации-тарифа)
- 1.4 Mikrotik — Типичные проблемы и их решения
- 1.5 Шаг 3. Настраиваем проброс портов (NAT)
- 1.6 И сразу к практике: фильтрация
- 1.7 Настройка Firewall в Mikrotik — Блог компании Селектел
- 1.8 Разделяем и властвуем
- 1.9 MikroTik: перенаправление запросов dns или пример приведения пользователей к порядку | Справочная информация
