RouterOS и mikrotik

81 posts in this topic

Добрый день!

Опишу примерную настройку этой серии устройств.

 

http://demo.mt.lv демо web

 

При настройке были использованы следующие ресурсы:

http://wiki.mikrotik.com/wiki/MikroTik_RouterOS MikroTik Вики!

http://wiki.mikrotik.com/wiki/Russian/FAQ FAQ по RouterOS

http://www.mikrotik.com/download Download MikroTik software products

http://spw.ru/solutions/nastrojka_filtraci...ka_na_mikrotik/ Особенности работы файрвола ч1

http://spw.ru/solutions/nastrojka_fajrvoll...krotik_chast_2/ Особенности работы файрвола ч2

http://spw.ru/solutions/nastrojka_filtraci...krotik_chast_3/ Особенности работы файрвола ч3

http://wiki.mikrotik.com/wiki/Manual:System/Packages доп пакеты для routerOS

http://wiki.mikrotik.com/wiki/Policy_Base_Routing настройка Routing-Mark

http://www.vpnbook.com/#pptpvpn бесплатный pptp

http://habrahabr.ru/post/182166/ Проброс портов в Микротике

https://github.com/zapret-info/z-i Register of Internet Addresses filtered in Russian Federation

https://github.com/AntiZapret/antizapret Список IP-адресов гос-органов

https://github.com/rlex/shellscripts/blob/m...-to-mikrotik.sh Simple script to convert list of ip addresses to Mikrotik import file

http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention Bruteforce login prevention

http://habrahabr.ru/post/131295/ Mikrotik-Qos Приоритезация по типу трафика и деление скорости

http://l7-filter.sourceforge.net/protocols L7-filter Supported Protocols

http://asp24.com.ua/blog/protokol-sedmogo-...torah-mikrotik/ о протоколе седьмого уровня в маршрутизаторах Mikrotik

http://wiki.mikrotik.com/wiki/Drop_port_scanners Drop port scanners

http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking DDoS Detection and Blocking

http://aboutnetworkblog.blogspot.ru/2013/0...on-network.html bogon network

 

настройки советую производить через ssh или в winbox в safemod. Во первых удобно копипастить команды и изменять "под себя", а во вторых есть safemod - который вернет все назад, если сессия отвалилась в следствии примененных изменений.

 

неудобство добавило:

- "микротик не может оперировать файлами длиннее 4096 байт"- это значит, что создавать файлы он может любого размера, но парсить только файлики до 4096 bytes;

- штатными средствами windows было крайне трудно создать некоторые скрипты, но т.к. под рукой практически всегда запущенная виртуалка с linux, то часть скриптов на bash!;

- невозможность пометить весь torent траффик для QOS. Максимум, что удавалось выжить, это помечать 2/3 трафика. Заблокировать вообще torrent - легко, а вот разрешить с нужным приоритетом - никак.

- бесплатный pptp периодически меняет пароли

 

Что мы получим:

 

- раздача интернет трафика по wi-fi и ethernet

- локальную сеть между всеми устройствами, подключенными как через wi-fi, так и через ethernet

- приоритезация трафика по типу

- возможность доступа из интернета к устройству по web, ssh

- Wake-on-LAN домашних устройств

- проброс портов на домашние устройства (например для RDP)

- возможность открытия всех как уже заблокированных, так и блокируемых в будущем ресурсов

- защита от brut и scan ports (для белых ip)

- хоть какая-то защита от DDoS на web интерфейсе

 

итак примерный план действий:

 

1) Присваиваем своей сетевой карте любой ip из 192.168.88.0/24 (кроме 1). Коннектимся браузером к http://192.168.88.1/ (user name: admin and there is no password)

и удаляем пользователей по умолчанию (admin) и создаем своих.

2) заходим в quick Set и выбираем предустановку Home AP. В секции Wireless - настройки wifi, в секции Internet настройки провайдера, в секции Local Network настройки нашей домашней сети

3) Заходим через ssh\winbox-New Terminal\Web-New Terminal и меняем mac интерфейса, в который вставляем провод от провайдера, на тот который был в старом роутере

 

/interface ethernet set ether1 mac-address=xx:xx:xx:xx:xx:xx

4) делаем bridge между wi-fi и всеми портами Local Network

5) стопим ненужные сервисы, нужным меняем порты

6) удаляем(или disable) стандартные правила в firewall.

 

теперь можно подключить провод от провайдера. Если все проделано верно, то интернет будет.

 

7) обновляемся до последней версии routeros.

8) ставим пакеты ntp - синхронизация времени

multicast - для проброса IPTV

9) по желанию выключаем пакеты hotspot - webproxy

ipv6

10) настраиваем ntp и multicast

11) создаем набор правил в firewall к-е разрешают соединения с устройством из внутренней подсети

12) создаем набор правил в firewall к-е блокируют все (этот набор всегда должен болтаться внизу - т.к. обход правил идет с верха списка)

13) добавляем правила которые:

-запрещают брут

-запрещают scan port

-запрещают invalid соединения

-запрещают DDOS на web интерфейс

-разрешают PPTP

-разрешают established и related соединения

-запрещают input и output (не forward) соединения на IP-адреса гос-органов и BOGON

-разрешают IPTV

-разрешают соединения для проброса портов

-разрешают соединения из внутренней сетки в интернет.

http://forum.onlime.ru/index.php?act=findpost&pid=172655 сами правила, для примера

14) набор запрещающих все правил сдвигаем в самый низ.

15) создаем наборы Address lists для BOGON сетей и для IP-адресов гос-органов

 

я вручную почистил файлик https://github.com/AntiZapret/antizapret/bl.../blacklist4.txt оставив строки без # (было лень писать скрипт)

батником создал файл для импорта и потом его применил на устройство.

 

@echo off
SetLocal EnableDelayedExpansion
set /a cip=-1
echo.#>>gov.rsc
echo.#>>gov.rsc
echo.#>>gov.rsc
for /f "UseBackQ Delims=" %%A IN ("gov-ip-new.txt") do (
  set /a cip+=1
  set "mip!cip!=%%A"
)

for /L %%i in (0,1,%cip%) do call echo./ip firewall address-list add address=%%mip%%i%% disabled=no list=goverment>>gov.rsc

exit /b

 

16)в NAT создаем правила для проброса портов

17) создаем набор Layer7 Protocols для QOS http://forum.onlime.ru/index.php?act=findpost&pid=172655 правила Layer7 Protocols - для примера

18)в mangle метим трафик и пакеты и присваиваем им метки (у меня 4 метки и 5-я это все остальное - для торрентов)

19) в queues раздаем меткам приоритет, дабы торрент не мешал просмотру видио и серфингу

 

а теперь поинтереснее

 

20) с http://www.vpnbook.com/#pptpvpn берем логин\пароль и создаем в pptp-client новое соединение

21) в NAT создаем правило для pptp и в DHCP добавляем запись про pptp интерфейс

22) на Linux машине

https://github.com/rlex/shellscripts/blob/m...-to-mikrotik.sh допиливаем скрипт напильником ( я заменил на https://github.com/zapret-info/z-i т.к. он более актуальный), не забываем про chmod

Создаем скрипт который будет следить за обновлением пароля на сайте vpnbook.com

у меня примерно такой:

curl -s "http://www.vpnbook.com" | grep -A 1 "Username: vpnbook" | tail -n 1| cut -f2 -d " " | cut -f1 -d '<' > /tmp/vpnbook.txt

 

 

он парсит сайт и создает файлик с паролем

 

создаем скрипт который будет заливать по FTP на микротик файлик с паролем и файлик с заблокированными IP

примерно такой:

curl -u "myuser:mypass" [url="ftp://192.168.X.X/"]ftp://192.168.X.X/[/url] -X 'DELE script/myfile1.txt'

curl -u "myuser:mypass" --upload-file tmp/myfile1.txt [url="ftp://192.168.X.X/script"]ftp://192.168.X.X/script[/url] --no-epsv

curl -u "myuser:mypass" [url="ftp://192.168.X.X/"]ftp://192.168.X.X/[/url] -X 'DELE script/myfile2.txt'

curl -u "myuser:mypass" --upload-file tmp/myfile2.txt [url="ftp://192.168.X.X/script"]ftp://192.168.X.X/script[/url] --no-epsv

и пихаем все это в cron

 

23) создаем scripts в микротике к-й по расписанию будет применять файлик с блокируемыми IP (1 раз в день)

24) создаем scripts в микротике к-й будет пару раз в день вытаскивать пароль из файла и его применять

 

:local newp [/file get [/file find name=reestr/vpnbook.txt] contents];
:local oldp [/interface pptp-client get pptp password];
:if ($oldp != $newp) do {/interface pptp-client set numbers=0 password=$newp};
/interface pptp-client set numbers=0 disabled=yes;
:delay 5;
interface pptp-client set numbers=0 disabled=no;

 

25) создаем правило в mangle к-е будет помечать все соединения(mark routing) к\из IP из списка запрещенных ресурсов

26) создаем в ip-routes правило которое помеченный mark routing в prerouting траффик заворачивает в pptp туннель.

 

все !!! теперь абсолютно все заблокированные сайты открываются

 

27) на закуску в scripts в микротике создаем Wake-on-LAN для домашнего компа

tool wol interface=MYInterface mac=xx:xx:xx:xx:xx:xx

 

Если нужна помощь с настройкой - пишите сюда, постараюсь помочь. Так же, если понадобится, могу выложить код нужных разделов в rsc виде.

Изменено пользователем ruvhell
0

Поделиться этим ответом


Link to post
Share on other sites
Если нужна помощь с настройкой - пишите сюда, постараюсь помочь. Так же, если понадобится, могу выложить код нужных разделов в rsc виде.

ruvhell, список проделанных Вами манипуляций с RouterOS впечатляет.

Но, к сожалению, единицы из сотен владельцев данных устройств в домашней сети OnLime смогут это использовать для своего блага в полной мере :).

 

Потому прошу привести конкретные скрипты, либо последовательности настроек.

 

Ниже укажу пункты, которые волную именно меня.

Кого-то, наверняка, будут волновать все пункты длинного списка :)

 

8) ставим пакеты ntp - синхронизация времени

multicast - для проброса IPTV

пакет multicast и IGMP Proxy - это то же самое или это два разных пакета?

 

10) настраиваем ntp и multicast

11) создаем набор правил в firewall к-е разрешают соединения с устройством из внутренней подсети

12) создаем набор правил в firewall к-е блокируют все (этот набор всегда должен болтаться внизу - т.к. обход правил идет с верха списка)

13) добавляем правила которые:

-запрещают брут

-запрещают scan port

-запрещают invalid соединения

-запрещают DDOS на web интерфейс

-разрешают PPTP

-разрешают established и related соединения

-запрещают input и output (не forward) соединения на IP-адреса гос-органов и BOGON

-разрешают IPTV

-разрешают соединения для проброса портов

-разрешают соединения из внутренней сетки в интернет.

интересуют вот эти пункты в подробностях. Настройки firewall по всему списку, а так же корректная работа IPTV, подключенной напрямую к Mikrotik.

 

16)в NAT создаем правила для проброса портов

17) создаем набор Layer7 Protocols для QOS

18)в mangle метим трафик и пакеты и присваиваем им метки (у меня 4 метки и 5-я это все остальное - для торрентов)

19) в queues раздаем меткам приоритет, дабы торрент не мешал просмотру видио и серфингу

Так же интересно, как удалось настроить torrent-поток с низкой приоретизацией

 

Заранее весьма признателен!

0

Поделиться этим ответом


Link to post
Share on other sites

Гораздо более интересно что внезапно (на форуме!) нашлись аж 2 человека, которые используют это крайне редкое в России оборудование из Латвии(родины микроэлектроники), тем более дома. Сильно продвижением пахнет.

0

Поделиться этим ответом


Link to post
Share on other sites
Гораздо более интересно что внезапно (на форуме!) нашлись аж 2 человека, которые используют это крайне редкое в России оборудование из Латвии(родины микроэлектроники), тем более дома. Сильно продвижением пахнет.

Ну, у меня тоже есьт парочка знакомых фанатов микротика.

Оба сильно довольны, хотя как по мне -- барахлом является любой роутер, в том числе и.

0

Поделиться этим ответом


Link to post
Share on other sites

Я тоже "...это крайне редкое в России оборудование...", на работе применяю при необходимости. Маленькое, не дорогое, полностью выполняет необходимые мне функции. Да и в дата центрах я их видал, где на подхвате, а где и на вполне конкретной задаче.

... в споры вступать не буду.

0

Поделиться этим ответом


Link to post
Share on other sites
Я тоже "...это крайне редкое в России оборудование...", на работе применяю при необходимости. Маленькое, не дорогое, полностью выполняет необходимые мне функции. Да и в дата центрах я их видал, где на подхвате, а где и на вполне конкретной задаче.

... в споры вступать не буду.

Интересная информация. Значит я поспешил с выводами.

 

0

Поделиться этим ответом


Link to post
Share on other sites
Интересная информация. Значит я поспешил с выводами.

Особенно не имея опыта работы с устройством. На nag'е любителей полно.

А конкуренту моему RB951-2n найти сложно. Даже самые дешевые asus и dlink раза в 2 болше по размеру

Изменено пользователем Hello
0

Поделиться этим ответом


Link to post
Share on other sites
Особенно не имея опыта работы с устройством. На nag'е любителей полно.

А конкуренту моему RB951-2n найти сложно. Даже самые дешевые asus и dlink раза в 2 болше по размеру

 

Только, к сожалению, во всей линейке Mikrotik-а нет моделей с 2-х диапазонным wi-fi. Нет, есть конечно 2-х диапазонные модули типа R52Hn для кастомных устройств (да и то он может работать одновременно только в одном диапазоне), но построенный таким образом девайс будет совсем не дешевым и не настолько компактным, как упомянутый выше RB951.

Изменено пользователем Sergant
0

Поделиться этим ответом


Link to post
Share on other sites
Только, к сожалению, во всей линейке Mikrotik-а нет моделей с 2-х диапазонным wi-fi. Нет, есть конечно 2-х диапазонные модули типа R52Hn для кастомных устройств (да и то он может работать одновременно только в одном диапазоне), но построенный таким образом девайс будет совсем не дешевым и не настолько компактным, как упомянутый выше RB951.

Меня 2.4 устраивает, не смотря на >50 видимых сетей из которых около 20 штук выдают более -50 dbm

0

Поделиться этим ответом


Link to post
Share on other sites
Меня 2.4 устраивает, не смотря на >50 видимых сетей из которых около 20 штук выдают более -50 dbm

 

Не сомневаюсь, что это так. Только полагаю, что wi-fi работает с мощностью "по умолчанию" в 1 Вт в рамках среднемосковской квартиры. Не стремно иметь рядом с собой такой облучатель ?

 

ЗЫ: кстати мощность в 1 Вт, наличие фирменной технологии mesh (на самом деле расширение WDS) и пассивный PoE позволяет легко развертывать wi-fi в больших помещениях. Но это уже другая тема, не имеющая отношения к Onlime.

0

Поделиться этим ответом


Link to post
Share on other sites
Не сомневаюсь, что это так. Только полагаю, что wi-fi работает с мощностью "по умолчанию" в 1 Вт в рамках среднемосковской квартиры. Не стремно иметь рядом с собой такой облучатель ?

 

ЗЫ: кстати мощность в 1 Вт, наличие фирменной технологии mesh (на самом деле расширение WDS) и пассивный PoE позволяет легко развертывать wi-fi в больших помещениях. Но это уже другая тема, не имеющая отношения к Onlime.

1w выдают старшие модели, у меня макс около 100mw, как у обычных роутеров.

0

Поделиться этим ответом


Link to post
Share on other sites
1w выдают старшие модели, у меня макс около 100mw, как у обычных роутеров.

 

Посмотрел спецификацию. У RB951-2n заявлено вообще даже 50 mw. Хм... Тогда вопрос, какую площадь он покрывает ?

0

Поделиться этим ответом


Link to post
Share on other sites

никому эти микротики даром не нужны. особенно дома.

попахивает рекламой :)

 

в лучшем случае, можно в офис поставить, если бзики у админа или его микроитк подкупил.

в остальном, все что умеет микротик, может практически любой современный роутер.

и как тут один написал, многие функции излишне и никому не нужны.

 

например, нах мне sfp порт на роутере, когда там обычные гигабитные порты есть?

письками перед друзьями меряться? только для этого микротик покупать?

 

может тогда лучше все-таки циску поставить? писька у них подлиньше будет намного.

 

насчет мощности излучателей. в россии не может продаваться оборудование не сертифицированное.

а сертифицироваться может лишь то оборудование которое не излучает больше положенных 100mw

 

правда это ограничение теоретически можно обойти на уровне прошивки.

мол если выбрать в настройках страну россия то будут 100мв или сколько там у нас максимум.

а если выбрать китай, то будут все 500мв.

 

но опять же, кто конкретно тестировал микротики на излучение? может все эти данные лишь на бумаге и в голове маркетологов микротика.

 

и вообще, более мощные излучатели вас не спасут, если в здании и так каналы все засраны другими сетями. проверено на собственном опыте.

Изменено пользователем wwwwwwwww
0

Поделиться этим ответом


Link to post
Share on other sites
ruvhell, список проделанных Вами манипуляций с RouterOS впечатляет.

Но, к сожалению, единицы из сотен владельцев данных устройств в домашней сети OnLime смогут это использовать для своего блага в полной мере :).

 

Потому прошу привести конкретные скрипты, либо последовательности настроек.

 

Ниже укажу пункты, которые волную именно меня.

Кого-то, наверняка, будут волновать все пункты длинного списка :)

 

 

пакет multicast и IGMP Proxy - это то же самое или это два разных пакета?

 

 

интересуют вот эти пункты в подробностях. Настройки firewall по всему списку, а так же корректная работа IPTV, подключенной напрямую к Mikrotik.

 

 

Так же интересно, как удалось настроить torrent-поток с низкой приоретизацией

 

Заранее весьма признателен!

 

Добрый день!

 

На форум захожу редко, тем более в тему уже давно никто не пишет...

 

Попробую помочь.

 

 

multicast и IGMP Proxy http://asp24.com.ua/blog/nastrojka-mikroti...-ot-provajdera/

 

"И если пакет (Multicast) установлен, то в разделе Routing появится дополнительное меню IGMP Proxy"

 

 

по поводу настроек firewall - что конкретно интересует? я создал правила опираясь на сайты из первого сообщения + добавил пару своих к-е блокируют слежку моего смартТВ и тп. У меня белый ip - по-этому я сильно заморочился с настройками. Если адрес серый, то львиную долю фильтрации, по идее, берет на себя провайдер.

 

 

 

по поводу меток на трафике я уже писал:

 

"невозможность пометить весь torent трафик для QOS. Максимум, что удавалось выжить, это помечать 2/3 трафика. Заблокировать вообще torrent - легко, а вот разрешить с нужным приоритетом - никак. "

 

Я поступил так: пометил все что более-менее полезно (ssh, http, rdp, skype итд), а остальное пустил с наименьшим приоритетом. Торрент попал как раз в последнюю не помеченную категорию.

 

Есть еще идея метить пакеты от определенного приложения средствами самой винды - а потом уже его разгребать на роутере.

 

PS времени совсем мало: на работе аврал с переводом часов в оборудовании, а тут еще и отлет в отпуск на носу горит. Ориентировочно 3-4 ноября дам более развернутый ответ с пояснениями.

Изменено пользователем ruvhell
0

Поделиться этим ответом


Link to post
Share on other sites

 

хм, ничего рекламного не вижу. Микротик был куплен взамен старинного длинка dir-100 к-й нещадно падал от торентов и не держал скорость. От роутера хотел вполне конкретных вещей и по деньгам получалось, что дешевле него не было тогда.

 

spf действительно, пока, не нужен. Но например мтс тянет оптику уже до квартиры, вроде как. Может и онлайм скоро разродится. Синяя подсветка, кстати, на этом порту бесит нереально - или выкусить светодиод и напаять вместо него резистор или как поступил я: картонкой и черной изалентой закрыл эту голубую пропасть))

 

циска дороже, например cisco 1811 с wi-fi будет бу около 6 тр. и шуметь как самолет на взлете.

 

по поводу мощности, я вот у себя ее уменьшил и поставил в районе 13dBm. Канал выбрал наименее загруженный (смотрел через приложение на андроиде). По поводу засранности согласен. Бесит что, например, мтс ставит всем подряд wi-fi точки, тогда как в квартире у абонента кроме стационарного компа и старинного сотового без wi-fi ничего нет.

0

Поделиться этим ответом


Link to post
Share on other sites

"... никому эти микротики даром не нужны. особенно дома." Ну немного спорное заявлене, мой покойный папа в таких случаях говорил:

" Кому-то нравится поп,...

Кому-то - попадья...,

Ну а кому-то попова дочка."

Повторюсь, я на работе иногда их применяю, довольно удобно и не дорого, хотя для дома я взял подороже и чуть - чуть его подправил подсебя (ну это как полагается, шаловливые ручёнки мозгам покою не дают).

Всем удачи.

0

Поделиться этим ответом


Link to post
Share on other sites
"... никому эти микротики даром не нужны. особенно дома." Ну немного спорное заявлене, мой покойный папа в таких случаях говорил:

" Кому-то нравится поп,...

Кому-то - попадья...,

Ну а кому-то попова дочка."

Повторюсь, я на работе иногда их применяю, довольно удобно и не дорого, хотя для дома я взял подороже и чуть - чуть его подправил подсебя (ну это как полагается, шаловливые ручёнки мозгам покою не дают).

Всем удачи.

о чём и речь, у кого это связано с работой, и сами настроят, а остальные туда не полезут
0

Поделиться этим ответом


Link to post
Share on other sites
хм, ничего рекламного не вижу. Микротик был куплен взамен старинного длинка dir-100 к-й нещадно падал от торентов и не держал скорость. От роутера хотел вполне конкретных вещей и по деньгам получалось, что дешевле него не было тогда.

 

spf действительно, пока, не нужен. Но например мтс тянет оптику уже до квартиры, вроде как. Может и онлайм скоро разродится. Синяя подсветка, кстати, на этом порту бесит нереально - или выкусить светодиод и напаять вместо него резистор или как поступил я: картонкой и черной изалентой закрыл эту голубую пропасть))

 

циска дороже, например cisco 1811 с wi-fi будет бу около 6 тр. и шуметь как самолет на взлете.

 

по поводу мощности, я вот у себя ее уменьшил и поставил в районе 13dBm. Канал выбрал наименее загруженный (смотрел через приложение на андроиде). По поводу засранности согласен. Бесит что, например, мтс ставит всем подряд wi-fi точки, тогда как в квартире у абонента кроме стационарного компа и старинного сотового без wi-fi ничего нет.

 

 

у меня длинк выданный бесплатно мгстом отлично работает ни разу не зависал и не падал.

не знаю, сколько он у меня.. года 3 уж точно стоит. по сайту длинк давно давным снят с производства.

 

правда я никогда 50 торрентов в активе не держал. пипка не устанет? :)

но 10-20 раньше висели без проблем круглосуточно.

 

то что cisco это оборудование премиум сегмента и поэтому стоит намного дороже это и ослу понятно.

 

сравнить циску с каким-то нонэймом смешно.

 

cisco 1811 - это корпоративная коробочка. любая корпоративная штука шумит. и это абсолютно норма для любого soho-оборудования.

 

sfp ни потом ни сейчас никому не нужен на таком типе оборудования.

 

 

Изменено пользователем wwwwwwwww
0

Поделиться этим ответом


Link to post
Share on other sites
у меня длинк выданный бесплатно мгстом отлично работает ни разу не зависал и не падал.

 

А я в свое время наигрался со всякими длинками и асусами так, что теперь у меня к ним полное отрицание. Никогда не куплю ни себе ни другим советовать не буду. Глючные с бедным функционалом. В те далекие времена переход на циску дома наконец-то решил проблемы разных глюков и позволил настроить именно то, что мне было нужно. С цисками был неплохо знаком, но некоторое время душила жаба :) Сейчас же использую микротики - очень неплохая и недорогая замена циске. Собственно, в сегменте soho с нормальным функционалом циске и микротику альтернативы просто нет. Ну разве что еще OpenWRT... но это на любителя. Я не говорю про домохозяек, которым кроме фейсбука и онлайн кинотеатров ничего больше не надо - этим сойдет и что попроще.

 

то что cisco это оборудование премиум сегмента и поэтому стоит намного дороже это и ослу понятно.

Циски тоже разные бывают. Есть и дешевые, те, что раньше назывались Linksys, а потом стали идти под брендом циски. Эти ничем не лучше разных длинков.

 

сравнить циску с каким-то нонэймом смешно.

Хорошо смеется тот, кто смеется последний :) Помню, больше 10 лет назад в нашей конторе-интеграторе появились маршрутизаторы huawei... тоже посмеивались, особенно над тем, что по слухам их на одном заводе, что и циску делали. Корпуса были один в один, что и 2600 серия... зато теперь не смешно - вполне интересный бренд стал, широко применяется телекомами вместо цисок.

 

cisco 1811 - это корпоративная коробочка. любая корпоративная штука шумит. и это абсолютно норма для любого soho-оборудования.

Ну не любая, а только та, где требуется охлаждение из-за высокого тепловыделения. Были и есть те же циски без активного охлаждения, тихие.

 

sfp ни потом ни сейчас никому не нужен на таком типе оборудования.

Не надо отсутствие собственного интереса транслировать сразу на всех и навсегда. Например, в случае коттеджных поселков это может быть интересным. Там обычно оптикой разводят... и вместо медиаконвертора с роутером вполне разумно использовать единичные устройства с sfp. Кроме того, мгтс уже озаботилась вопросом возможности использования в их новомодном GPON на стороне клиента SFP модулей с функцией ONT и совместимостью с их существующим OLT оборудованием...

0

Поделиться этим ответом


Link to post
Share on other sites
Ориентировочно 3-4 ноября дам более развернутый ответ с пояснениями.

 

ruvhell, благодарю за отклик!

А то тут полемика развелась - думал уже на этом и похоронится тема настроек :)

 

Интересны конкретные настройки firewall, чтобы при включении правила блокировки всего трафика, которое размещаем внизу списка всех правил firewall - все требуемые сервисы работали у абонента :).

Какие сервисы (порты) обязательно на практике оставлять открытыми и какими именно правилами. (in/out/forw)

 

Multicast у меня заработал - но firewall открыт пока как помойка, иначе что-то обязательно не работает :).

 

IP серый, потому лично у меня заморочек с настройками в деталях для белых адресов нет.

 

И был бы благодарен за конфиг настройки меток трафика по основным сервисам (чтоб была основа), для общей приоретизации вниз torrent и всего остального.

 

 

Дождусь 3-4 ноября, когда у вас появится время после отпуска :).

 

ps. я не цискарь, не микротиковец, не линуксоид - потому тяжеловато разобраться самому с нуля. Проще хотя бы опираясь на имеющиеся настройки.

Почему выбрал mikrotik - владельцы и так поймут, а остальным радикально настроенным сёрферам все равно ничего не докажешь :).

0

Поделиться этим ответом


Link to post
Share on other sites

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти