Как оградить MikroTik от хакеров и спамеров

Описание сетевых интерфейсов

Конфигурация сетевых интерфейсов MikroTik будет выглядеть следующим образом: первый порт ether1 будет подключен к провайдеру (WAN порт), остальные порты ether2-5 будут работать в режиме коммутатора для подключения компьютеров локальной сети.

Чтобы не путать сетевые интерфейсы, опишем их с помощью комментариев.

Входим в настройки MikroTik с помощью программы Winbox.

Описание LAN интерфейса MikroTik

Теперь в списке интерфейсов четко видно их назначение.

Список интерфейсов MikroTik

Введение

IP in IP — это протокол IP-туннелирования, который инкапсулирует один IP-пакет в другой IP-пакет. Инкапсуляция одного IP пакета в другой IP пакет, это добавление внешнего заголовка с SourceIP — точкой входа в туннель, и Destination — точкой выхода из туннеля. При этом внутренний пакет не был изменен (кроме поля TTL, которое уменьшилось). Поля Don’t Fragment и The Type of Service должны быть скопированы в внешний пакет. Если размер пакета больше чем Path MTU, пакет фрагментируется в инкапсуляторе, это должно быть во внешнем заголовке. Декапсулятор должен будет собрать пакет. Многие маршрутизатора, включая Cisco и Linux-based, поддерживают этот протокол.

На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. В апреле и мае 2023 будут разбираться темы Wi-Fi и QoS. Подписывайтесь

В комментариях опубликованной ранее статьи один из пользователей спросил: «А можно добавить раздел про то, как нужно защитить свой, микротик чтобы управление им не ушло на сторону?». Один из пользователей написал на это следующее: «Универсальных принципов для любого сетевого устройства два – администрирование только с внутреннего интерфейса (снаружи закрыто все) и регулярно обновлять прошивку» (сохранена авторская орфография). А мы сразу поняли, что одним коротким ответом здесь не обойтись, и этот вопрос заслуживает полноценного отдельного рассмотрения с учётом широких возможностей операционной системы RouterOS, а также сопрягаемых с ней opensource решений, комплексно завершающих проблемный вопрос информационной безопасности. Кроме непосредственно настройки безопасности доступа до маршрутизатора, необходимо использовать его как полноценный барьер для разноуровневых атак, которые могут быть нацелены на защищаемую сеть. Технологий реализации этого достаточно много, поэтому разделим применяемые возможности на логические уровни и представим предметные рекомендации по администрированию сетей на базе оборудования MikroTik.

Есть сервер на freebsd, используется в том числе как роутер. От провайдера в него приходит один шнурок, провайдер выдает один IP + подсеть /30. Все эти адреса используются самим сервером. Второй шнурок идёт в локалку на раздачу интернета.

defaultrouter=»1.1.252.1″
gateway_enable=»YES»
ifconfig_rl0=»inet 1.1.252.244 netmask 255.255.255.0″
ifconfig_rl0_alias0=»inet 2.2.138.172 netmask 255.255.255.252″
ifconfig_rl0_alias1=»inet 2.2.138.173 netmask 255.255.255.252″
ifconfig_rl0_alias2=»inet 2.2.138.174 netmask 255.255.255.252″
ifconfig_fxp0=»inet 192.168.2.100 netmask 255.255.255.0″

ifconfig соответственно такой:

В общем всё просто и стандартно.

Внезапно на меня сваливается Mikrotik RB951G-2HnD вместе с необходимостью изготовить шлюз на нём.
Основной IP переходит на mikrotik. А вот с подсетью хотелось бы поступить следующим образом: 1 ip из подсети назначить mikrotik’у, а второй — серверу в локалке. Оставшаяся ёмкость подсети не интересует.

1. Как назначить один IP из подсети на mikrotik на тот же интерфейс, что и основной IP?
2. Как назначить ещё один IP из подсети на сервер внутри локалки?
3. Потребуется ли для этого подключать сервер двумя шнурками, один для 192.168.2.x, другой для внешки (и соответственно занимать этим вторым шнурком лишний порт в mikrotik), или есть возможность на сервере получить оба IP (и локальный и внешний) на один интерфейс по одному шнурку с LAN-порта mikrotik?

Есть подозрение, что все эти вещи — базовые для сетевого инженера, но к сожалению я таковым не являюсь. Методом тыка и вдумчивых чтений, думаю, смогу настроить всё что нужно рано или поздно, но пикантность ситуации в том, что переключаться нужно как можно быстрее, а простой сервера нужно минимизировать.

В дополнение к вопросам — если кто-то готов помочь с сетевыми делами касаемо mikrotik в частной переписке, напишите пожалуйста в личку, буду очень благодарен.

Консольный доступ на Mikrotik используется для конфигурации и управления роутером с помощью терминала по telnet, SSH и т.д. Также консоль можно использовать для написания скриптов. Ниже вы найдете базовые команды, использующиеся для администрирования роутера.

Иерархия

Всего существует большое количество команд, которые разбиты на группы, отсортированные в иерархическом порядке. Это означает, что название уровня меню отображает информацию о конфигурации в соответствующем разделе — определение не очень понятное, но, после примеров все станет более прозрачным.

К примеру, введите команду ip route print для вывода таблицы маршрутизации:

Если же ввести команду ip route, то вы как бы сразу попадете в меню манипуляции конкретной ветки:

Обратите внимание, что для вывода всех возможных команд на данном уровне достаточно ввести знак ?, а для возврата на уровень выше — знак /.
Если же вам нужно выполнить команду из основного уровня — добавьте слэш (/) и команду следом, к примеру ping:

Нумерация и названия сущностей

Множество команд оперирует массивами сущностей — массивами интерфейсов, маршрутов, пользователей и т.д. Для изменения свойств сущности, предварительно должна идти команда set и указано имя или номер сущности.
Различие между номером и названием состоит в том, что при обращении к сущности по имени (item name) нет необходимости использовать команду print, в отличие от номера, который может быть назначен с помощью команды. Таким образом, использование “имен” в каком-то смысле более стабильно — однако все равно возможна ситуация, в которой, к примеру, несколько пользователей одновременно настраивают маршрутизатор. Ниже приведен пример изменения параметра MTU с помощью команды interface set 0 mtu=1460

Автозаполнение

В RouterOS есть две фичи, которые ускоряют конфигурацию — табуляция и сокращения команд. Табуляция — автозавершение команды после нажатия на клавишу Tab и оно работает также как автозавершение в bash для LinuxUNIX систем.

Если есть только одна альтернатива — она будет автоматически предложена и будет добавлен пробел, если же альтернатив больше — команда будет выполнена частично и пробел добавлен не будет.

Другой фичей является сокращение команд — к примеру вместо interface можно использовать int, вместо ping использовать pi и так далее

Ниже пример как выполняется команда pi 192.1 c 3 si 100, что абсолютно аналогично команде ping 192.0.0.1 count 3 size 100

Основные команды

Некоторые команды применимы практически на всех уровнях, эти команды — print, set, remove, add, find, get, export, enable, disable, comment, move.

• add — добавление нового элемента с указанными параметрами, некоторые из параметров перечислены далее — copy-from, place-before, disabled, comment;
• find — команда возвращает внутренние номера всех сущностей, которые попадают под указанный фильтр. Обладает такими же аргументами как и команда set + имеет аргументы вида flag — такие как disabled или active (другими словами, булевые переменные);
• move — команда меняет порядок сущностей в списке;
• print — команда выводит всю информацию доступную с текущего уровня. Типичные модификаторы — from, where, brief, detail, count-only, file, interval, oid, without-paging. К примеру команда system clock print выводит системную дату и время, ip rout print — таблицу маршрутизации;
• remove — удаление сущности (-ей) из списка;
• set — установка параметров, значений и так далее;

Не забывайте, что для просмотра всех возможных аргументов и модификаторов вы можете ввести знак вопроса ? после команды или дважды нажать на клавишу Tab.

Горячие клавиши

Ниже приведен список самых полезных горячих клавиш, которые могут серьезно ускорить процесс настройки оборудования, и, даже спасти ситуацию в случае ввода некорректного сетевого адреса.

• Ctrl-C — прерывание, к примеру для остановки процесса ping;
• Ctrl-K — очистить строку от курсора до конца строки;
• Ctrl-X — включение Безопасного режима, позволяет настраивать роутер практически без риска потерять удаленный доступ. При потере доступа, все выполненные изменения будут нивелированы через примерно 10 минут;
• Ctrl-V — включение режима Автозаполнения (HotLock), в нем все команды будут завершаться автоматически;
• F6 — включение режима помощи, при котором внизу терминала будут показаны типичные сочетания клавиш и как они могут быть использованы;
• F1 или ? — помощь, вывод всех возможных команд на данном уровне;
• Tab — автозавершение команды;

Рекомендуем

Это инструкция, как пошагово настроить роутер MikroTik с нуля без использования заводской конфигурации.

Настройка локальной сети MikroTik

Чтобы компьютеры, подключенные к роутеру по кабелю и по Wi-Fi, друг друга «видели», необходимо объединить беспроводной и проводные интерфейсы MikroTik. Если у вас роутер без Wi-Fi, то объединяете только проводные интерфейсы.

Создаем объединение bridge-local (мост);

Добавляем в объединение Wi-Fi интерфейс.

Назначение IP адреса локальной сети

Настроим IP адрес локальной сети MikroTik:

Настройка DHCP сервера

Чтобы компьютеры, подключенные к роутеру, получали сетевые настройки автоматически, настроим DHCP сервер MikroTik:

Теперь сетевой кабель компьютера отключаем от роутера и еще раз подключаем к нему.

Configuring router

Initial configuration has DHCP client on WAN interface (ether1), rest of the ports are considered your local network with DHCP server configured for automatic address configuration on client devices. To connect to the router you have to set your computer to accept DHCP settings and plug in the ethernet cable in one of the LAN ports (please check routerboard.com for port numbering of the product you own, or check front panel of the router).

Logging into the router

To access the router enter address 192.168.88.1 in your browser. Main RouterOS page will be shown as in the screen shot below. Click on WebFig from the list.

If initial configuration did not work (your ISP is not providing DHCP server for automatic configuration) then you will have to have details from your ISP for static configuration of the router. These settings should include

• IP address you can use
• Network mask for the IP address
• Default gateway address

Less important settings regarding router configuration:

• DNS address for name resolution
• NTP server address for time automatic configuration
• Your previous MAC address of the interface facing ISP

Static IP Address

You will have one address here — address of your local area network (LAN) 192.168.88.1 one you are connected to router. Select Add new to add new static IP address to your router’s configuration.

You have to fill only fields that are marked. Field 1. should contain IP address provided by your ISP and network mask’. Examples:

both of these notations mean the same, if your ISP gave you address in one notation, or in the other, use one provided and router will do the rest of calculation.

Note: While you type in the address, webfig will calculate if address you have typed is acceptable, if it is not label of the field will turn red, otherwise it will be blue

Note: It is good practice to add comments on the items to give some additional information for the future, but that is not required

Configuring network address translation (NAT)

Since you are using local and global networks, you have to set up network masquerade, so that your LAN is hidden behind IP address provided by your ISP. That should be so, since your ISP does not know what LAN addresses you are going to use and your LAN will not be routed from global network.

Essential fields for masquerade to work:

• enabled is checked;
• chain — should be srcnat;
• action should be set to masquerade.

In screenshot correct rule is visible, note that irrelevant fields that should not have any value set here are hidden (and can be ignored)

here you will have to press button with + near red Gateway label and enter in the field default gateway, or simply gateway given by your ISP.

This should look like this, when you have pressed the + button and enter gateway into the field displayed.

After this, you can press OK button to finish creation of the default route.

At this moment, you should be able to reach any globally available host on the Internet using IP address.

Domain name resolution

To be able to open web pages or access Internet hosts by domain name DNS should be configured, either on your router or your computer. In scope of this guide, i will present only option of router configuration, so that DNS addresses are given out by DHCP-Server that you are already using.

Then select Settings to set up DNS cacher on the router. You have to add field to enter DNS IP address, section 1. in image below. and check Allow Remote Requests marked with 2.

The result of pressing + twice will result in 2 fields for DNS IP addresses:

Note: Filling acceptable value in the field will turn field label blue, other way it will be marked red.

RouterBOARD routers do not keep time between restarts or power failuers. To have correct time on the router set up SNTP client if you require that.

Setting up Wireless

For ease of use bridged wireless setup will be used, so that your wired hosts will be in same ethernet broadcast domain as wireless clients.

To make this happen several things has to be checked:

• Ethernet interfaces designated for LAN are swtiched or bridged, or they are separate ports;
• If bridge interface exists;
• Wireless interface mode is set to ap-bridge (in case, router you have has level 4 or higher license level), if not, then mode has to be set to bridge and only one client (station) will be able to connect to the router using wireless network;
• There is appropriate security profile created and selected in interface settings.

Check Ethernet interface state

Warning: Changing settings may affect connectivity to your router and you can be disconnected from the router. Use Safe Mode so in case of disconnection made changes are reverted back to what they where before you entered safe mode

To check if ethernet port is switched, in other words, if ethernet port is set as slave to another port go to ‘Interface’ menu and open Ethernet interface details. They can be distinguished by Type column displaying Ethernet.

When interface details are opened, look up Master Port setting.

Available settings for the attribute are none, or one of Ethernet interface names. If name is set, that mean, that interface is set as slave port. Usually RouterBOARD routers will come with ether1 as intended WAN port and rest of ports will be set as slave ports of ether2 for LAN use.

Check if all intended LAN Ethernet ports are set as slave ports of the rest of one of the LAN ports. For example, if ether2. ether3, ether4 and ether5 are intended as LAN ports, set on ether3 to ether5 attribute Master Port to ether2.

Note: If master port is present as bridge port, that is fine, intended configuration requires it there, same applies to wireless interface (wlan)

It is important to protect your wireless network, so no malicious acts can be performed by 3rd parties using your wireless access-point.

In This example i will create new security profile, editing it is quite similar. Options that has to be set are highlighted with read and recommended options are outlined by red boxes and pre-set to recommended values. WPA and WPA2 is used since there are still legacy equipment around (Laptops with Windows XP, that do not support WPA2 etc.)

Note: When configuring this, you can deselect Hide passwords in page header to see the actual values of the fields, so they can be successfully entered into device configuration that are going to connect to wireless access-point

Adjusting wireless settings. That can be done here:

In General section adjust settings to settings as shown in screenshot. Consider these safe, however it is possible, that these has to be adjusted slightly.

Interface mode has to be set to ap-bridge, if that is not possible (license resctrictions) set to bridge, so one client will be able to connect to device.

WiFI devices usually are designed with 2.4GHz modes in mind, setting band to 2GHz-b/g/n will enable clients with 802.11b, 802.11g and 802.11n to connect to the access point

Adjust channel width to enable faster data rates for 802.11n clients. In example channel 6 is used, as result, 20/40MHz HT Above or 20/40 MHz HT Below can be used. Choose either of them.

Set SSID — the name of the access point. It will be visible when you scan for networks using your WiFi equipment.

In section HT set change HT transmit and receive chains. It is good practice to enable all chains that are available

When settings are set accordingly it is time to enable our protected wireless access-point

Bridge LAN with Wireless

Open Bridge menu and check if there are any bridge interface available first mark. If there is not, select Add New marked with second mark and in the screen that opens just accept the default settings and create interface. When bridge interface is availbe continue to Ports tab where master LAN interface and WiFI interface have to be added.

First marked area is where interfaces that are added as ports to bridge interface are visible. If there are no ports added, choose Add New to add new ports to created bridge interfaces.

Finished look of bridge configured with all ports required

Connecting wires

Router’s initial configuration should be suitable for most of the cases. Description of the configuration is on the back of the box and also described in the online manual.

The best way to connect wires as described on the box:

Summary

Congratulations, you have got hold of MikroTik router for your home network. This guide will help you to do initial configuration of the router to make your home network a safe place to be.

The guide is mostly intended in case if default configuration did not get you to the internet right away, however some parts of the guide is still useful.

Защита L2

Для начала ограничим работающие сервисы уровня L2:

Первый скрипт позволяет осуществлять mac-ping только для внутренней сети. Второй ограничивает L2 подключение посредством службы Winbox:

RouterOS поддерживает работу таких протоколов, как CDP, LLDP и MNDP. Чтобы не осуществлять широковещательную рассылку пакетов указанных протоколов во все стороны, ограничиваем их работу:

Чтобы со стороны провайдера не догадывались, что у вас стоит роутер MikroTik, можно сменить MAC адрес WAN интерфейса, но это скорее баловство:

Если в вашем L2 сегменте появится второй или более незаконный DHCP сервер, то это может здорово навредить работе всей сети. Так в примере видно, что работают две указанные службы (192.168.1.1 и 192.168.3.1), раздавая по факту разные сетевые настройки:

Для защиты от такого рода атак (ведь хакер может назначить и своё устройство в качестве шлюза) существует технология «DHCP snooping». После её активации бридж пропускает DHCP пакеты только в доверенную сторону:

Защита оконечных устройств выходит за рамки данной статьи, но декларируем, что многие антивирусы справляются с этой задачей, детектируя манипуляции с ARP пакетами. На скрине видно, что действиями выше мы организовали MITM для хоста 192.168.1.3 и перехватили его HTTP запросы:

В следующем примере показаны ложные записи ARP таблицы маршрутизатора, а ведь так намеренно можно заполнить весь имеющейся пул и втупить работу легитимного DHCP сервера:

Для защиты от таких действий в RouterOS необходимо, первым делом, настроить DHCP сервер, что позволит активировать функцию заполнения ARP таблицы, либо в результате его работы, либо в ручном режиме:

После этого настраиваем бридж, переводя маршрутизатор в режим только ответа на ARP запросы (если у вас работает hotspot, то от этой идеи придётся отказаться, так как он перестанет нормально функционировать), таким образом, сторонние манипуляции будут бессильны:

Дополнительно следует выключить режим обучения портов MAC адресам:

Если ваш маршрутизатор гоняет пакеты для логически разделённых сетей, в том числе с точки зрения безопасности, то их следует разнести по различным VLAN. Важно понимать, что если через ваше устройство проходят несколько VLAN, то в случае несанкционированного доступа к роутеру или коммутатору, могут быть скомпрометированы устройства во всех этих подсетях. Здесь всё понятно. Дополнительно можно указать устройству проверять tag трафика и дропать пакеты, у которых VLAN ID не найден в его таблице VLAN:

ИТ База знаний

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

🔥 Популярное

Писать правила про установку сетевого оборудования в серверных помещениях, в защищённых телекоммуникационных ящиках, сейфах и т.д. мы не будем, это не тема статьи. Для защиты L1 на оборудовании MikroTik будет достаточно программно отключить не используемые сетевые интерфейсы:

Сюда же пойдёт организация безопасности беспроводных соединений. В идеале, конечно, следует настроить WPA2-Enterprise (подробно о настройке RADIUS сервера мы напишем во второй части статьи), так как реальных угроз безопасности таких сетей пока не известно:

Если такой вариант вам не подходит, тогда используйте WPA2-PSK со словарно неподбираемым паролем, который держите в тайне от третьих лиц, и отключённый PMKID:

Ещё можно запретить подключаться к точке доступа с низким уровнем сигнала, т.е. физически удалённым пользователям, которые, можно предположить, находятся за контролируемым периметром и не легитимны:

На этом свои рекомендации по поводу L1 безопасности остановим и перейдём к более интересным вещам.

Настройка Wi-Fi точки доступа MikroTik

Сначала необходимо включить Wi-Fi модуль:

Создаем пароль для подключения к точке доступа MikroTik:

Настраиваем параметры Wi-Fi точки MikroTik:

Теперь можно подключаться к роутеру по Wi-Fi.

На компьютерах, подключенных к роутеру MikroTik по Wi-Fi, интернет не будет работать, пока вы не настроите Firewall и NAT.

Сброс настроек роутера

Сбросим все настройки роутера MikroTik.

При первом входе у вас появится окно, как на картинке ниже. Нажмите кнопку Remove Configuration и дождитесь перезагрузки устройства.

Очистить конфигурацию MikroTik

Если у вас не появилось данное окно, сбросим настройки через меню:

Проверка

Проверка состоит из двух частей:

• Надо убедиться, что между двумя маршрутизаторами MikroTik установлено VPN-соединение. Это описано ниже.
• Если VPN-соединение установлено успешно, то далее надо проверить есть ли связь между хостами в двух сетях. Для этого достаточно запустить ping с любого компьютера в сети на любой компьютер другой сети.

При проверке работоспособности IPIP-туннеля надо учитывать параметр keepalive. Если он отсутствует, то IPIP-туннель всегда будет отображаться в рабочем состоянии даже, если это не так. Если параметр стоит, как 10 секунд + 10 попыток, то это значит, что маршрутизатор сделает 10 попыток по 10 секунд каждая (итого 100 секунд) и только по истечении этого периода интерфейс будет отображаться как нерабочий. Т. е. теоретически возможна ситуация, когда интерфейс только-только перестал работать, но время по keepalive еще не вышло, и вы в этот промежуток времени проверите состояние туннеля, которое будет отображаться, как рабочее.

Через графический интерфейс

Если подключение установлено, то статус подключения должен отображаться с буквой «R». Что значит running, т. е. запущено.

На обоих маршрутизаторах выполнить команду /interface ipip print
Если соединение установлено успешно, то статус подключения, так же, как и через графический интерфейс, должен отображаться с буквой «R».

• Не мешает ли файервол. Для уверенности лучше временно отключить все правила файерволов на обоих маршрутизаторах.
• Совпадают ли имя пользователя и пароль на обоих маршрутизаторах.
• На VPN-клиенте указан правильный адрес VPN-сервера к которому должно происходить подключение.

• Правильно ли сделаны настройки маршрутизации на обоих маршрутизаторах не зависимо от того из какой сети в какую будет идти пинг.
• На брэндмауэре компьютера, который будет пинговаться, сделаны необходимые разрешения для протокола ICMP. Для уверенности можно отключить встроенный брэндмауэр и выгрузить антивирус.

Удалить из адрес листа IP

подскажите правило firewal для удаления правила

у меня есть правила портклокинга

но инногда защита от брутта блочит пользователей и мне нужно их разблокировать подрубаются они через мою прогу и я написал откравку смс сообщения с кодом активации и если код верный тогда посылать такие то пакеты в такой то очередности на микротик что бы он их принял и удалил IP из блэлиста

с пакетами все понятно но не понятно

1. как поп оследнему верному пакету удалить IP из нужных мне листов?

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Вычислить адрес верхушки стека, адрес следующей команды, адрес переменной, адрес которой содержится в BXПомогите решить следующие задачи: 1.Вычислить адрес верхушки стэка. 2.Вычислить адрес следующей.

Удалить 15 строку с листа 1 в ExcelВсем привет! Необходимо при нажатии на кнопку удалить 15 строку с листа1 в Excel. Как это.

Щас не могу не у компа )

Но попробую объяснить у меня есть правила от брутта которые бывает блочат клиента по ошибке

И мне приходится вручную их удалять из черного списка

Я написал правила если пришел пинг с пакетом размера к примеру 1002 он добавляет его в степ1 и так до степ 4

На пятый раз если адрес уже находится в степ4 тогда добавляет его в белый список

А в правилах открывается порт для таких адресов

Мне нужно тоже самое но только не добавлять адрес а наоборот удалять его

Добавлено через 58 минут Вот пример но только вместо добавления адреса его нужно удалять

У меня дропитсявсе что в черном листе

А след правилом разрешается

Следовательно как только попал в черн. Список то не получает доступа (

Добавлено через 10 минут В общем нету возможности удалять адреса?

И по времени у меня нет ограничений все айпи помещаются в черный список навсегда Тот пример что я привел это из интернета просто для примера

Правила у меня такие же за исключением только того что в черном списке адреса без временного интервала

Добавлено через 47 секунд Буду создавать ещё один лист назову его серым что бы давал доступ временно

Подключение роутера MikroTik

Схема подключения роутера MikroTik:

Схема сети

В головном офисе установлен маршрутизатор GW1. В филиале установлен маршрутизатор GW2.

Командная строка Mikrotik

Полный курс по Сетевым Технологиям

В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer

Онлайн курс по Кибербезопасности

Мой MikroTik – моя цифровая крепость (часть 1)

Если Ваш провайдер блокирует доступ к сети по MAC адресу, то необходимо сначала изменить MAC адрес WAN порта роутера MikroTik. В противном случае пропустите этот пункт.

Чтобы изменить MAC адрес порта MikroTik, открываем в программе Winbox меню New Terminal и вводим команду:

Изменить MAC адрес MikroTik

Чтобы вернуть родной MAC адрес порта, нужно выполнить команду:

Вернуть родной MAC адрес MikroTik

Настройка Dynamic IP

Если интернет провайдер выдает Вам сетевые настройки автоматически, то необходимо настроить WAN порт роутера MikroTik на получение настроек по DHCP:

Теперь мы получили IP адрес от провайдера, который отображается в столбце IP Adress.

Получение IP адреса по DHCP MikroTik

Проверим, что есть связь с интернетом:

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Настройка Static IP

Если вы используете статические сетевые настройки, необходимо настроить WAN порт роутера MikroTik вручную.

Настроим статический IP адрес и маску подсети WAN порта MikroTik :

Настроим адрес интернет шлюза MikroTik:

Добавим адреса DNS серверов MikroTik:

Проверим, что есть доступ к интернету:

Настройка PPPoE

Если вы используете ADSL модем, к которому по сетевому кабелю подключен роутер MikroTik, сначала необходимо настроить ADSL модем в режим Bridge (мост).

Настроим клиентское PPPoE соединение на роутере MikroTik:

Настраиваем параметры PPPoE соединения MikroTik:

После создания PPPoE соединения напротив него должна появиться буква R, которая говорит о том, что соединение установлено.

PPPoE соединение на MikroTik установлено

Вход в настройки роутера MikroTik

Выполнить настройку роутера MikroTik можно разными способами:

Мы будем настраивать роутер Mikrotik с помощью программы Winbox.

Подключаемся к роутеру MikroTik:

Сброс роутера MikroTik к заводским настройкам

Чтобы сбросить MikroTik к заводским настройкам выполните следующее:

Если вы войдете в настройки с помощью программы Winbox, то появится следующее окно:

Быстрая настройка роутера MikroTik

C помощью кнопки OK можно выполнить быструю настройку роутера по умолчанию.

Кнопка Remove Configuration позволяет сбросить все настройки для последующей ручной настройки роутера.

IPIP

Материал из MikroTik Wiki

В статье разбирается настройка IPIP-туннеля на оборудовании MikroTik с целью объединения двух сетей (site-to-site VPN). После создания VPN-канала между сетями будет настроена маршрутизация и выполнена проверка работоспособности. Также будут разобраны типичные проблемы, которые могут возникнуть в процессе настройки и проверки.

Полезные материалы по MikroTik

Чтобы на компьютере можно было зайти в настройки роутера Mikrotik, настроим сетевую карту на получение автоматических настроек.

Перейдем в «Изменение параметров адаптера».

Нажимаем правой кнопкой мыши на «Подключение по локальной сети» и выбираем «Свойства»

Нажимаем на «Протокол Интернета версии 4 (TCP/IPv4)» и кнопку «Свойства».

Если сетевая карта не получает автоматически IP адрес из подсети 192.168.88.x, попробуйте его указать вручную (например: 192.168.88.21) или сбросить роутер Mikrotik к заводским настройкам.

Troubleshooting & Advanced configuration

This section is here to make some deviations from configuration described in the guide itself. It can require more understanding of networking, wireless networks in general.

Check IP address

Adding IP address with wrong network mask will result in wrong network setting. To correct that problem it is required to change address field, first section, with correct address and network mask and network field with correct network, or unset it, so it is going to be recalculated again

Where all the fields has to be filled.
There is other place where this can be done in case you have full privileges on the router.

• If masquerade is configured properly;
• If setting MAC address of previous device on WAN interface changes anything
• ISP has some captive portal in place.

/interface ethernet set ether1 mac-address=XX:XX:XX:XX:XX:XX

Or contact your ISP for details and inform that you have changed device.

There are certain things that are required for Ethernet link to work:

• Link activity lights are on when Ethernet wire is plugged into the port
• Correct IP address is set on the interface
• Correct route is set on the router

What to look for using ping tool:

• If all packets are replied;
• If all packets have approximately same round trip time (RTT) on non-congested Ethernet link

Wireless unnamed features in the guide that are good to know about. Configuration adjustments.

Channel frequencies and width

It is possible to choose different frequency, here are frequencies that can be used and channel width settings to use 40MHz HT channel (for 802.11n). For example, using channel 1 or 2412MHz frequency setting 20/40MHz HT below will not yield any results, since there are no 20MHz channels available below set frequency.

Warning: You should check how many and what frequencies you have in your regulatory domain before. If there are 10 or 11 channels adjust settings accordingly. With only 10 channels, channel #10 will have no sense of setting 20/40MHz HT above since no full 20MHz channel is available

Wireless frequency usage

Note: Monitoring is performed on default channels for Country selected in configuration. For example, if selected country would be Latvia, there would have been 13 frequencies listed as at that country have 13 channels allowed.

Change Country settings

Note: Advanced mode is toggle button that changes from Simple to Advanced mode and back.

To make services on local servers/hosts available to general public it is possible to forward ports from outside to inside your NATed network, that is done from /ip firewall nat menu. For example, to make possible for remote helpdesk to connect to your desktop and guide you, make your local file cache available for you when not at location etc.

if you require other services to be accessible you can change protocol as required, but usually services are running TCP and dst-port. If change of port is not required, eg. remote service is 22 and local is also 22, then to-ports can be left unset.

Comparable command line command:

/ip firewall nat add chain=dstnat dst-address=172.16.88.67 protocol=tcp dst-port=22 action=dst-nat to-address=192.168.88.22 to-ports=86

Note: Screenshot contain only minimal set of settings are left visible

uPnP is used to enable dynamic port forwarding configuration where service you are running can request router using uPnP to forward some ports for it.

Warning: Services you are not aware of can request port forwarding. That can compromise security of your local network, your host running the service and your data

Configuring uPnP service on the router:

/ip upnp interface add interface=ether1 type=external
/ip upnp interface add interface=ether2 type=internal

/ip upnp set allow-disable-external-interface=no show-dummy-rule=no enabled=yes

Set up Web Proxy for page filtering

When required alterations are done applysettings to return to Access tab.

This list will contain all the rules that are required to limit access to sites on the Internet.

With this rule any host that has example.com will be unaccessible.

There are two main approaches to this problem

• deny only pages you know you want to deny (A)
• allow only certain pages and deny everything else (B)

For approach A each site that has to be denied is added with Action set to Deny

For approach B each site that has to be allowed should be added with Action set to Allow and in the end is rule, that matches everything with Action set to Deny.

Настройка Firewall и NAT

Чтобы компьютеры получали доступ к интернету, необходимо настроить Firewall и NAT на роутере MikroTik.

Откройте меню New Terminal для ввода команд.

Настройка NAT выполняется следующими командами:

Настройки NAT достаточно, чтобы заработал интернет.

Первым делом надо создать IPIP-туннель.

/interface ipipadd name=filial1 keepalive=10s,10 local-address=10.1.100.1 remote-address=10.1.200.1

/ip addressadd address=172.16.30.1/30 interface=filial1

Настройка второго маршрутизатора

/interface ipipadd name=HQ keepalive=10s,10 local-address=10.1.200.1 remote-address=10.1.100.1

/ip addressadd address=172.16.30.2/30 interface=HQ

Если на предыдущих шагах все было сделано верно, то VPN-соединение между двумя офисами было установлено, но для того, что бы обе сети могли обмениваться информацией друг с другом они должны знать друг о друге, т. е. между ними должна быть настроена маршрутизация. Для этого надо выполнить следующие шаги:

На первом маршрутизаторе

/ip routeadd comment=»route to filial1 through VPN» dst-address=192.168.25.0/24 gateway=172.16.30.2 pref-src=192.168.15.1

На втором маршрутизаторе

Через консоль/ip route add comment=»route to HQ through VPN» dst-address=192.168.15.0/24 gateway=172.16.30.1 pref-src=192.168.25.1

HQ — это аббревиатура от headquarter, что в переводе означает головной офис.

Параметр Pref. Source (pref-src) не является обязательным. Он становится нужен, если количество филиалов будет более одного. Без этого параметра не будут проходить ping’и с маршрутизатора одного филиала до хостов и внутреннего интерфейса маршрутизатора другого филиала. Не будут проходить ping’и именно с маршрутизаторов, т. е. между хостами двух филиалов связь будет.

Изменение пароля доступа к роутеру MikroTik

Чтобы изменить пароль доступа к роутеру MikroTik, выполните следующие действия:

Общие рекомендации

Первое, что мы всегда делаем с железкой — это обновляем прошивку:

Далее смотрим, сколько создано пользователей, лишних удаляем. Ставим пароли, соответствующие политике информационной безопасности компании, если такая есть, если нет, тогда просто посильнее:

Привяжем открытый ключ к пользователю RouterOS:

Можно поменять прослушиваемый порт для SSH сервера. Особенно на значение, не входящее в сканируемые по умолчанию nmap-ом, но мы в этом защиты не видим, скорее маскировка:

Сканируем роутер и видим, что всё работает корректно. Сервер SSH будет недоступен, пока на роутер не пройдут попытки установления соединения на 28 порт, затем в течение 30 секунд на 29 порт, затем в течение 30 секунд на 30 порт. Если последовательность обращений верна и временные лимиты соблюдены, то IP адрес источника сможет в течение 30 секунд установить SSH сессию, а иначе drop:

Необходимо отметить, что если вы укажете порты стука примерно в таком порядке: 21, 80, 443, а прослушиваемый SSH порт перенесете на значение 8080 (все четыре входят в список по умолчанию для сканирования nmap), то ваш секретный порт 8080 определится при первом же сканировании. Если вы действительно хотите использовать технологию port knocking, то выбирайте порты в порядке уменьшения, а сами значения портов на «не сканируемые» nmap-ом: ни в режиме top 100, ни в режиме top 1000. Кроме этого, можно ограничить IP адреса, с которых доступны протоколы управления, на диапазон доверенных:

Таким образом, несмотря на то, что 22 порт готов принимать TCP соединение, однако с не доверенных IP адресов оно будет сброшено SSH сервером:

Как общие рекомендации, лучше не использовать протоколы, не имеющие шифрования для передачи защищаемой информации. Если такой возможности нет, тогда старайтесь пускать трафик по шифрованным VPN туннелям. Но лучше даже внутри таких соединений использовать безопасные протоколы, ведь VPN сеть может уходить далеко за пределы периметра, контролируемого вами. Если есть возможность, не используйте протоколы pap, http (в том числе при реализации API), ftp, smtp и т.д. Всегда используйте их безопасные аналоги: chap, mschap2, https, smtps.

Делайте регулярные резервные копии конфигураций ваших устройств. В RouterOS есть два типа backup: бинарный *.backup

и текстовый конфигурационный файл *.rsc

Первый рекомендуется откатывать только на полностью идентичных устройствах, и не подлежит редактированию (при откате восстанавливается точный образ операционной системы). Второй же, наоборот, можно вручную контролируемо построчно обрабатывать (до получения необходимо результата), однако он может содержать чувствительную информацию (если не делать /export hide-sensitive), поэтому рекомендуем обезопасить хранение такого рода backup файлов. Ставить ли регулярный backup в планировщик заданий, или нет, тут уже каждый решает сам. Главное — не запутаться во всех резервных копиях и не передавать их на удалённый сервер по открытому интернет каналу посредством ftp.

Решение

C# RDP клиент + серверная и клиентская (библиотека) на C# для работы с виртуальным каналом (проброс ключей (ЭСЧФ) )

Вы правы как то не подумал о том что я могу на сервере реализовать получение адреса и отправки команды на микротик

спасибо за наводку буду копать )

Добавлено через 33 секунды проблемы были с регистрацией функций на клиентской библиотеке но добился )

Добавлено через 1 минуту подскажите пожалуйста

packet-size на микротике можно ли через запятую прописывать?

мне пришлось написать для каждого сервера отдельные правила PortKnocking было бы не плохо обойтись одним правилом но в нем указать свои размеры пакетов

при вводе верного кода программа расшифровывает данные из базы данных получает массив пакетов и шлет их на сервер

микротик помещает айпи в серый список далее окно восстановления закрывается и пользователь может нажать кнопку подключится

прога проверяет наличие интернета

затем проверяет открыт ли порт

далее производит подключение к серверу терминалов.

по Вашей наводке создам еще один канал виртуальный в котором буду передавать IP адрес но проснулся и понял если человек уже забанен то как я подниму канал ))))))))))))

так что либо искать возможность реализовать средствами микротика (Удаление из черного списка IP) либо добавлять айпи в серый список и давать временно доступ ну а мне в том числе присылать смс о том что такой то IP забанило (