пятница, 29 января 2016 г.

Находим чужие DHCP-серверы в сети.

  Маршрутизаторы Mikrotik позволяют вычислить чужой, "левый", сторонний DHCP-сервер который находится в вашей сети и тем самым мешает вашим устройствам получать правильные IP-адреса. Такая ситуация может возникнуть, когда клиент, например, подсоединил свой домашний роутер не через WAN порт, а через LAN-порты, а ваша сеть не ориентированна на изоляцию клиента (VLANs, EoIP/VPLS Tunnels, Horizon Bridging/Private VLAN Edge(PVE)). Для этого в RouterOS существует настройка /ip dhcp-server alert:

четверг, 28 января 2016 г.

Mikrotik News January 2016 (Issue #70)

Newsletter 70
  В этом выпуске новостной рассылки MikroTik:

- новый двухдиапазонный Wi-Fi-роутер 2.4 / 5GHz hAP ac lite, рекомендованная цена $49.95
- новые 5GHz точки доступа со встроенными секторными антеннами mANTBox 15s and 19s, рекомендованная цена $139
- самый маленький Mikrotik 2.4GHz mAP lite, рекомендованная цена $25
- CCR1009-8G-1S-PC пассивный маршрутизатор в стоечном корпусе, рекомендованная цена $425
- График конференций MUM MikroTik

понедельник, 25 января 2016 г.

System - Reset-Configuration: программный сброс настроек Mikrotik.

  Как произвести аппаратный сброс настроек мы рассматривать в этой статье, теперь я напишу как сделать программный сброс настроек нашего роутера Микротик чуть подробнее. Для этого заходим в WinBox, запускаем /system reset-configuration:



воскресенье, 24 января 2016 г.

Удаление всех записей в Firewall-Connections.

  При переключении канала интернета с главного на резервный полезно сбрасывать сессии, что-бы не было зависших соединений. Можно это сделать простым выключением и включением Firewall-Connections:
/ip firewall connection tracking set enabled=no
:delay 5s
/ip firewall connection tracking set enabled=auto

вторник, 19 января 2016 г.

Следим за начальством: оповещение при регистрации в сети.

  Обычный офис, есть штат сисадминов, есть начальство, которое ходит на работу, как мы все знаем, не по графику. Было бы довольно неплохо сисадмину знать, когда начальство в офисе, а когда нет. 
  Задача стояла следующая: когда начальник приходит в офис - оповещать сисадмина об этом знаменательном событии =). Так как сейчас все повсеместно пользуются смарфонами, то при появлении на работе начальника - его смартфон автоматически регистрируется в Wi-Fi сети предприятия (конечно, если у него он всегда включен). Это был как раз наш случай. Значит по этому событию мы можем сделать оповещение!
  Для этого создаем скрипт:
# вводим локальную переменную с MAC-адресом смартфона начальника
:local MAC CC:CC:CC:CC:CC:CC;
# вычисляем время, и отбираем значение "час"
:local time [/system clock get time];
:local hour [: pick [/system clock get time] 0 2];
# если время с 9 до 18 (время работы админов), ищем в регистрационном листе Wi-Fi наш MAC.
:if ($hour >= 9 and $hour <= 18)  do={:local MACdetect [interface wireless registration-table find mac-address=$MAC];

воскресенье, 17 января 2016 г.

mAP lite: спичечный коробок из Риги.

  На сайте routerboard.com появился новый, самый маленький, маршрутизатор Mikrotik. Он настолько маленький, что больше похоже на спичечный коробок, чем на маршрутизатор. Инженерам Mikrotik даже пришлось использовать специальный, тонкий порт RJ-45, что-бы обеспечить маленькую ширину, всего 11мм!

 

пятница, 15 января 2016 г.

Отключаем светодиоды (leds) и beeper: тихий режим Mikrotik.

  Иногда бывают случаи когда нужно отключить светодиоды в оборудовании Mikrotik + сделать "тихий режим", что-бы при загрузке/перезагрузке роутер не напоминал про себя. Например, наш роутер RB951UI-2HND стоит в квартире, через него "домашний интернет" улетает в wifi-точку доступа, которая раздает этот интернет в соседние частные дома. Роутер стоит на видном месте и не должен мешать хозяевам.
  Отключаем светодиоды в /system leds:

четверг, 14 января 2016 г.

Port knocking Mikrotik используя Web Proxy.

  Я думаю все знают что такое port knocking, но на всякий случай напишу. Port knocking - метод внешнего открытия портов путем обращения к маршрутизатору генерируя определенные пакеты на известные открытые порты. Играет роль именно последовательность отосланных пакетов, их размер и порт на который они обращаются. Иными словами, порт является по-умолчанию закрытым, но  только до тех пор, пока на него не поступит заранее определённая последовательность пакетов данных, которая "заставит" порт открыться.
  Основная цель - предотвратить злоумышленнику сканирование вашего устройства на наличие потенциально пригодных для использования уязвимостей, делая сканирование порта.  И только из-за того, что злоумышленник не посылает правильную последовательность - защищенные порты остаются закрыты.
  Естественно, в Mikrotik такую возможность реализовать можно, в интернете по этому поводу написано много статей. Например, официальная WiKi приводит в пример эту статью. Они предлагают для доступа на ваш маршрутизатор постучать последовательно по 9000, а потом по 6000 порту для открытия доступа к маршрутизатору. Постучать можно через nmap command, установив knockd package в linux или через браузер. В других статьях описывается открытие портов через протокол icmp, используя ICMP-пакеты (пинг) разных размеров пакета в определенной последовательности. Метод довольно защищенный, но достаточно неудобен. Вообщем, использование Port knocking сводится к настройке, пару-тройку дней тестирования, и отключения, т.к. он требует дополнительных манипуляций до подключения, времени на который, как правило нет. ICMP запросы требуют командной строки или спец-по, простукивания по разным портам - аналогично. 
  Задача у меня стояла такая - сделать безопасный доступ к роутеру Mikrotik с любой точки планеты, с любого компьютера, смартфона, планшета, с любого интернета, будь то HOTSPOT в аэропорту, или любая другая сеть. Для этого был выбран сервис www-ssl.

вторник, 5 января 2016 г.

Failover маркированных клиентов.

  Имеем роутер Mikrotik, к нему приходят два ISP и две группы пользователей - "важные" и "не очень важные" клиенты. Они разделены в разные подсети.

  • wan2 - основный канал интернета, он же является каналом по дефолту для нашего роутера. через него ходит в интернет группа пользователей "важные".
  • wan1 - резервный канал интернета, он является резервным для микротика, через него ходит в интернет группа пользователей "не очень важные".

  Задача.

  • организовать доступ к микротику одновременно и с wan2 и с wan1 из-вне;
  • организовать переключение при падении основного канала на резервный и переключение назад при восстановлении;
  • организовать переключение маркированных клиентов при падении их интернета с wan1 на wan2, при возобновлении - переключение назад.