RouterOS и mikrotik

[ruvhell 0]

Добрый день!

Опишу примерную настройку этой серии устройств.

 

http://demo.mt.lv демо web

 

При настройке были использованы следующие ресурсы:

http://wiki.mikrotik.com/wiki/MikroTik_RouterOS MikroTik Вики!

http://wiki.mikrotik.com/wiki/Russian/FAQ FAQ по RouterOS

http://www.mikrotik.com/download Download MikroTik software products

http://spw.ru/solutions/nastrojka_filtraci...ka_na_mikrotik/ Особенности работы файрвола ч1

http://spw.ru/solutions/nastrojka_fajrvoll...krotik_chast_2/ Особенности работы файрвола ч2

http://spw.ru/solutions/nastrojka_filtraci...krotik_chast_3/ Особенности работы файрвола ч3

http://wiki.mikrotik.com/wiki/Manual:System/Packages доп пакеты для routerOS

http://wiki.mikrotik.com/wiki/Policy_Base_Routing настройка Routing-Mark

http://www.vpnbook.com/#pptpvpn бесплатный pptp

http://habrahabr.ru/post/182166/ Проброс портов в Микротике

https://github.com/zapret-info/z-i Register of Internet Addresses filtered in Russian Federation

https://github.com/AntiZapret/antizapret Список IP-адресов гос-органов

https://github.com/rlex/shellscripts/blob/m...-to-mikrotik.sh Simple script to convert list of ip addresses to Mikrotik import file

http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention Bruteforce login prevention

http://habrahabr.ru/post/131295/ Mikrotik-Qos Приоритезация по типу трафика и деление скорости

http://l7-filter.sourceforge.net/protocols L7-filter Supported Protocols

http://asp24.com.ua/blog/protokol-sedmogo-...torah-mikrotik/ о протоколе седьмого уровня в маршрутизаторах Mikrotik

http://wiki.mikrotik.com/wiki/Drop_port_scanners Drop port scanners

http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking DDoS Detection and Blocking

http://aboutnetworkblog.blogspot.ru/2013/0...on-network.html bogon network

 

настройки советую производить через ssh или в winbox в safemod. Во первых удобно копипастить команды и изменять "под себя", а во вторых есть safemod - который вернет все назад, если сессия отвалилась в следствии примененных изменений.

 

неудобство добавило:

- "микротик не может оперировать файлами длиннее 4096 байт"- это значит, что создавать файлы он может любого размера, но парсить только файлики до 4096 bytes;

- штатными средствами windows было крайне трудно создать некоторые скрипты, но т.к. под рукой практически всегда запущенная виртуалка с linux, то часть скриптов на bash!;

- невозможность пометить весь torent траффик для QOS. Максимум, что удавалось выжить, это помечать 2/3 трафика. Заблокировать вообще torrent - легко, а вот разрешить с нужным приоритетом - никак.

- бесплатный pptp периодически меняет пароли

 

Что мы получим:

 

- раздача интернет трафика по wi-fi и ethernet

- локальную сеть между всеми устройствами, подключенными как через wi-fi, так и через ethernet

- приоритезация трафика по типу

- возможность доступа из интернета к устройству по web, ssh

- Wake-on-LAN домашних устройств

- проброс портов на домашние устройства (например для RDP)

- возможность открытия всех как уже заблокированных, так и блокируемых в будущем ресурсов

- защита от brut и scan ports (для белых ip)

- хоть какая-то защита от DDoS на web интерфейсе

 

итак примерный план действий:

 

1) Присваиваем своей сетевой карте любой ip из 192.168.88.0/24 (кроме 1). Коннектимся браузером к http://192.168.88.1/ (user name: admin and there is no password)

и удаляем пользователей по умолчанию (admin) и создаем своих.

2) заходим в quick Set и выбираем предустановку Home AP. В секции Wireless - настройки wifi, в секции Internet настройки провайдера, в секции Local Network настройки нашей домашней сети

3) Заходим через ssh\winbox-New Terminal\Web-New Terminal и меняем mac интерфейса, в который вставляем провод от провайдера, на тот который был в старом роутере

 

/interface ethernet set ether1 mac-address=xx:xx:xx:xx:xx:xx

4) делаем bridge между wi-fi и всеми портами Local Network

5) стопим ненужные сервисы, нужным меняем порты

6) удаляем(или disable) стандартные правила в firewall.

 

теперь можно подключить провод от провайдера. Если все проделано верно, то интернет будет.

 

7) обновляемся до последней версии routeros.

8) ставим пакеты ntp - синхронизация времени

multicast - для проброса IPTV

9) по желанию выключаем пакеты hotspot - webproxy

ipv6

10) настраиваем ntp и multicast

11) создаем набор правил в firewall к-е разрешают соединения с устройством из внутренней подсети

12) создаем набор правил в firewall к-е блокируют все (этот набор всегда должен болтаться внизу - т.к. обход правил идет с верха списка)

13) добавляем правила которые:

-запрещают брут

-запрещают scan port

-запрещают invalid соединения

-запрещают DDOS на web интерфейс

-разрешают PPTP

-разрешают established и related соединения

-запрещают input и output (не forward) соединения на IP-адреса гос-органов и BOGON

-разрешают IPTV

-разрешают соединения для проброса портов

-разрешают соединения из внутренней сетки в интернет.

http://forum.onlime.ru/index.php?act=findpost&pid=172655 сами правила, для примера

14) набор запрещающих все правил сдвигаем в самый низ.

15) создаем наборы Address lists для BOGON сетей и для IP-адресов гос-органов

 

я вручную почистил файлик https://github.com/AntiZapret/antizapret/bl.../blacklist4.txt оставив строки без # (было лень писать скрипт)

батником создал файл для импорта и потом его применил на устройство.

 

@echo off
SetLocal EnableDelayedExpansion
set /a cip=-1
echo.#>>gov.rsc
echo.#>>gov.rsc
echo.#>>gov.rsc
for /f "UseBackQ Delims=" %%A IN ("gov-ip-new.txt") do (
  set /a cip+=1
  set "mip!cip!=%%A"
)

for /L %%i in (0,1,%cip%) do call echo./ip firewall address-list add address=%%mip%%i%% disabled=no list=goverment>>gov.rsc

exit /b

 

16)в NAT создаем правила для проброса портов

17) создаем набор Layer7 Protocols для QOS http://forum.onlime.ru/index.php?act=findpost&pid=172655 правила Layer7 Protocols - для примера

18)в mangle метим трафик и пакеты и присваиваем им метки (у меня 4 метки и 5-я это все остальное - для торрентов)

19) в queues раздаем меткам приоритет, дабы торрент не мешал просмотру видио и серфингу

 

а теперь поинтереснее

 

20) с http://www.vpnbook.com/#pptpvpn берем логин\пароль и создаем в pptp-client новое соединение

21) в NAT создаем правило для pptp и в DHCP добавляем запись про pptp интерфейс

22) на Linux машине

https://github.com/rlex/shellscripts/blob/m...-to-mikrotik.sh допиливаем скрипт напильником ( я заменил на https://github.com/zapret-info/z-i т.к. он более актуальный), не забываем про chmod

Создаем скрипт который будет следить за обновлением пароля на сайте vpnbook.com

у меня примерно такой:

curl -s "http://www.vpnbook.com" | grep -A 1 "Username: vpnbook" | tail -n 1| cut -f2 -d " " | cut -f1 -d '<' > /tmp/vpnbook.txt

 

 

он парсит сайт и создает файлик с паролем

 

создаем скрипт который будет заливать по FTP на микротик файлик с паролем и файлик с заблокированными IP

примерно такой:

curl -u "myuser:mypass" [url="ftp://192.168.X.X/"]ftp://192.168.X.X/[/url] -X 'DELE script/myfile1.txt'

curl -u "myuser:mypass" --upload-file tmp/myfile1.txt [url="ftp://192.168.X.X/script"]ftp://192.168.X.X/script[/url] --no-epsv

curl -u "myuser:mypass" [url="ftp://192.168.X.X/"]ftp://192.168.X.X/[/url] -X 'DELE script/myfile2.txt'

curl -u "myuser:mypass" --upload-file tmp/myfile2.txt [url="ftp://192.168.X.X/script"]ftp://192.168.X.X/script[/url] --no-epsv

и пихаем все это в cron

 

23) создаем scripts в микротике к-й по расписанию будет применять файлик с блокируемыми IP (1 раз в день)

24) создаем scripts в микротике к-й будет пару раз в день вытаскивать пароль из файла и его применять

 

:local newp [/file get [/file find name=reestr/vpnbook.txt] contents];
:local oldp [/interface pptp-client get pptp password];
:if ($oldp != $newp) do {/interface pptp-client set numbers=0 password=$newp};
/interface pptp-client set numbers=0 disabled=yes;
:delay 5;
interface pptp-client set numbers=0 disabled=no;

 

25) создаем правило в mangle к-е будет помечать все соединения(mark routing) к\из IP из списка запрещенных ресурсов

26) создаем в ip-routes правило которое помеченный mark routing в prerouting траффик заворачивает в pptp туннель.

 

все !!! теперь абсолютно все заблокированные сайты открываются

 

27) на закуску в scripts в микротике создаем Wake-on-LAN для домашнего компа

tool wol interface=MYInterface mac=xx:xx:xx:xx:xx:xx

 

Если нужна помощь с настройкой - пишите сюда, постараюсь помочь. Так же, если понадобится, могу выложить код нужных разделов в rsc виде.

Edited November 5, 2014 by ruvhell

[parafeel 0]

Если нужна помощь с настройкой - пишите сюда, постараюсь помочь. Так же, если понадобится, могу выложить код нужных разделов в rsc виде.

ruvhell, список проделанных Вами манипуляций с RouterOS впечатляет.

Но, к сожалению, единицы из сотен владельцев данных устройств в домашней сети OnLime смогут это использовать для своего блага в полной мере .

 

Потому прошу привести конкретные скрипты, либо последовательности настроек.

 

Ниже укажу пункты, которые волную именно меня.

Кого-то, наверняка, будут волновать все пункты длинного списка

 

8) ставим пакеты ntp - синхронизация времени

multicast - для проброса IPTV

пакет multicast и IGMP Proxy - это то же самое или это два разных пакета?

 

10) настраиваем ntp и multicast

11) создаем набор правил в firewall к-е разрешают соединения с устройством из внутренней подсети

12) создаем набор правил в firewall к-е блокируют все (этот набор всегда должен болтаться внизу - т.к. обход правил идет с верха списка)

13) добавляем правила которые:

-запрещают брут

-запрещают scan port

-запрещают invalid соединения

-запрещают DDOS на web интерфейс

-разрешают PPTP

-разрешают established и related соединения

-запрещают input и output (не forward) соединения на IP-адреса гос-органов и BOGON

-разрешают IPTV

-разрешают соединения для проброса портов

-разрешают соединения из внутренней сетки в интернет.

интересуют вот эти пункты в подробностях. Настройки firewall по всему списку, а так же корректная работа IPTV, подключенной напрямую к Mikrotik.

 

16)в NAT создаем правила для проброса портов

17) создаем набор Layer7 Protocols для QOS

18)в mangle метим трафик и пакеты и присваиваем им метки (у меня 4 метки и 5-я это все остальное - для торрентов)

19) в queues раздаем меткам приоритет, дабы торрент не мешал просмотру видио и серфингу

Так же интересно, как удалось настроить torrent-поток с низкой приоретизацией

 

Заранее весьма признателен!

[drnet 139]

Гораздо более интересно что внезапно (на форуме!) нашлись аж 2 человека, которые используют это крайне редкое в России оборудование из Латвии(родины микроэлектроники), тем более дома. Сильно продвижением пахнет.

[blH, 2]

Гораздо более интересно что внезапно (на форуме!) нашлись аж 2 человека, которые используют это крайне редкое в России оборудование из Латвии(родины микроэлектроники), тем более дома. Сильно продвижением пахнет.

Ну, у меня тоже есьт парочка знакомых фанатов микротика.

Оба сильно довольны, хотя как по мне -- барахлом является любой роутер, в том числе и.

[zhroman 0]

Я тоже "...это крайне редкое в России оборудование...", на работе применяю при необходимости. Маленькое, не дорогое, полностью выполняет необходимые мне функции. Да и в дата центрах я их видал, где на подхвате, а где и на вполне конкретной задаче.

... в споры вступать не буду.

[drnet 139]

Я тоже "...это крайне редкое в России оборудование...", на работе применяю при необходимости. Маленькое, не дорогое, полностью выполняет необходимые мне функции. Да и в дата центрах я их видал, где на подхвате, а где и на вполне конкретной задаче.

... в споры вступать не буду.

Интересная информация. Значит я поспешил с выводами.

 

[Hello 3]

Интересная информация. Значит я поспешил с выводами.

Особенно не имея опыта работы с устройством. На nag'е любителей полно.

А конкуренту моему RB951-2n найти сложно. Даже самые дешевые asus и dlink раза в 2 болше по размеру

Edited October 22, 2014 by Hello

[Sergant 0]

Особенно не имея опыта работы с устройством. На nag'е любителей полно.

А конкуренту моему RB951-2n найти сложно. Даже самые дешевые asus и dlink раза в 2 болше по размеру

 

Только, к сожалению, во всей линейке Mikrotik-а нет моделей с 2-х диапазонным wi-fi. Нет, есть конечно 2-х диапазонные модули типа R52Hn для кастомных устройств (да и то он может работать одновременно только в одном диапазоне), но построенный таким образом девайс будет совсем не дешевым и не настолько компактным, как упомянутый выше RB951.

Edited October 22, 2014 by Sergant

[Hello 3]

Только, к сожалению, во всей линейке Mikrotik-а нет моделей с 2-х диапазонным wi-fi. Нет, есть конечно 2-х диапазонные модули типа R52Hn для кастомных устройств (да и то он может работать одновременно только в одном диапазоне), но построенный таким образом девайс будет совсем не дешевым и не настолько компактным, как упомянутый выше RB951.

Меня 2.4 устраивает, не смотря на >50 видимых сетей из которых около 20 штук выдают более -50 dbm

[Sergant 0]

Меня 2.4 устраивает, не смотря на >50 видимых сетей из которых около 20 штук выдают более -50 dbm

 

Не сомневаюсь, что это так. Только полагаю, что wi-fi работает с мощностью "по умолчанию" в 1 Вт в рамках среднемосковской квартиры. Не стремно иметь рядом с собой такой облучатель ?

 

ЗЫ: кстати мощность в 1 Вт, наличие фирменной технологии mesh (на самом деле расширение WDS) и пассивный PoE позволяет легко развертывать wi-fi в больших помещениях. Но это уже другая тема, не имеющая отношения к Onlime.

[Hello 3]

Не сомневаюсь, что это так. Только полагаю, что wi-fi работает с мощностью "по умолчанию" в 1 Вт в рамках среднемосковской квартиры. Не стремно иметь рядом с собой такой облучатель ?

 

ЗЫ: кстати мощность в 1 Вт, наличие фирменной технологии mesh (на самом деле расширение WDS) и пассивный PoE позволяет легко развертывать wi-fi в больших помещениях. Но это уже другая тема, не имеющая отношения к Onlime.

1w выдают старшие модели, у меня макс около 100mw, как у обычных роутеров.

[Sergant 0]

1w выдают старшие модели, у меня макс около 100mw, как у обычных роутеров.

 

Посмотрел спецификацию. У RB951-2n заявлено вообще даже 50 mw. Хм... Тогда вопрос, какую площадь он покрывает ?

[wwwwwwwwwwww 0]

никому эти микротики даром не нужны. особенно дома.

попахивает рекламой

 

в лучшем случае, можно в офис поставить, если бзики у админа или его микроитк подкупил.

в остальном, все что умеет микротик, может практически любой современный роутер.

и как тут один написал, многие функции излишне и никому не нужны.

 

например, нах мне sfp порт на роутере, когда там обычные гигабитные порты есть?

письками перед друзьями меряться? только для этого микротик покупать?

 

может тогда лучше все-таки циску поставить? писька у них подлиньше будет намного.

 

насчет мощности излучателей. в россии не может продаваться оборудование не сертифицированное.

а сертифицироваться может лишь то оборудование которое не излучает больше положенных 100mw

 

правда это ограничение теоретически можно обойти на уровне прошивки.

мол если выбрать в настройках страну россия то будут 100мв или сколько там у нас максимум.

а если выбрать китай, то будут все 500мв.

 

но опять же, кто конкретно тестировал микротики на излучение? может все эти данные лишь на бумаге и в голове маркетологов микротика.

 

и вообще, более мощные излучатели вас не спасут, если в здании и так каналы все засраны другими сетями. проверено на собственном опыте.

Edited October 24, 2014 by wwwwwwwww

[ruvhell 0]

ruvhell, список проделанных Вами манипуляций с RouterOS впечатляет.

Но, к сожалению, единицы из сотен владельцев данных устройств в домашней сети OnLime смогут это использовать для своего блага в полной мере .

 

Потому прошу привести конкретные скрипты, либо последовательности настроек.

 

Ниже укажу пункты, которые волную именно меня.

Кого-то, наверняка, будут волновать все пункты длинного списка

 

 

пакет multicast и IGMP Proxy - это то же самое или это два разных пакета?

 

 

интересуют вот эти пункты в подробностях. Настройки firewall по всему списку, а так же корректная работа IPTV, подключенной напрямую к Mikrotik.

 

 

Так же интересно, как удалось настроить torrent-поток с низкой приоретизацией

 

Заранее весьма признателен!

 

Добрый день!

 

На форум захожу редко, тем более в тему уже давно никто не пишет...

 

Попробую помочь.

 

 

multicast и IGMP Proxy http://asp24.com.ua/blog/nastrojka-mikroti...-ot-provajdera/

 

"И если пакет (Multicast) установлен, то в разделе Routing появится дополнительное меню IGMP Proxy"

 

 

по поводу настроек firewall - что конкретно интересует? я создал правила опираясь на сайты из первого сообщения + добавил пару своих к-е блокируют слежку моего смартТВ и тп. У меня белый ip - по-этому я сильно заморочился с настройками. Если адрес серый, то львиную долю фильтрации, по идее, берет на себя провайдер.

 

 

 

по поводу меток на трафике я уже писал:

 

"невозможность пометить весь torent трафик для QOS. Максимум, что удавалось выжить, это помечать 2/3 трафика. Заблокировать вообще torrent - легко, а вот разрешить с нужным приоритетом - никак. "

 

Я поступил так: пометил все что более-менее полезно (ssh, http, rdp, skype итд), а остальное пустил с наименьшим приоритетом. Торрент попал как раз в последнюю не помеченную категорию.

 

Есть еще идея метить пакеты от определенного приложения средствами самой винды - а потом уже его разгребать на роутере.

 

PS времени совсем мало: на работе аврал с переводом часов в оборудовании, а тут еще и отлет в отпуск на носу горит. Ориентировочно 3-4 ноября дам более развернутый ответ с пояснениями.

Edited October 24, 2014 by ruvhell

[ruvhell 0]

 

хм, ничего рекламного не вижу. Микротик был куплен взамен старинного длинка dir-100 к-й нещадно падал от торентов и не держал скорость. От роутера хотел вполне конкретных вещей и по деньгам получалось, что дешевле него не было тогда.

 

spf действительно, пока, не нужен. Но например мтс тянет оптику уже до квартиры, вроде как. Может и онлайм скоро разродится. Синяя подсветка, кстати, на этом порту бесит нереально - или выкусить светодиод и напаять вместо него резистор или как поступил я: картонкой и черной изалентой закрыл эту голубую пропасть))

 

циска дороже, например cisco 1811 с wi-fi будет бу около 6 тр. и шуметь как самолет на взлете.

 

по поводу мощности, я вот у себя ее уменьшил и поставил в районе 13dBm. Канал выбрал наименее загруженный (смотрел через приложение на андроиде). По поводу засранности согласен. Бесит что, например, мтс ставит всем подряд wi-fi точки, тогда как в квартире у абонента кроме стационарного компа и старинного сотового без wi-fi ничего нет.

[zhroman 0]

"... никому эти микротики даром не нужны. особенно дома." Ну немного спорное заявлене, мой покойный папа в таких случаях говорил:

" Кому-то нравится поп,...

Кому-то - попадья...,

Ну а кому-то попова дочка."

Повторюсь, я на работе иногда их применяю, довольно удобно и не дорого, хотя для дома я взял подороже и чуть - чуть его подправил подсебя (ну это как полагается, шаловливые ручёнки мозгам покою не дают).

Всем удачи.

[dyuma 17]

"... никому эти микротики даром не нужны. особенно дома." Ну немного спорное заявлене, мой покойный папа в таких случаях говорил:

" Кому-то нравится поп,...

Кому-то - попадья...,

Ну а кому-то попова дочка."

Повторюсь, я на работе иногда их применяю, довольно удобно и не дорого, хотя для дома я взял подороже и чуть - чуть его подправил подсебя (ну это как полагается, шаловливые ручёнки мозгам покою не дают).

Всем удачи.

о чём и речь, у кого это связано с работой, и сами настроят, а остальные туда не полезут

[wwwwwwwwwwww 0]

хм, ничего рекламного не вижу. Микротик был куплен взамен старинного длинка dir-100 к-й нещадно падал от торентов и не держал скорость. От роутера хотел вполне конкретных вещей и по деньгам получалось, что дешевле него не было тогда.

 

spf действительно, пока, не нужен. Но например мтс тянет оптику уже до квартиры, вроде как. Может и онлайм скоро разродится. Синяя подсветка, кстати, на этом порту бесит нереально - или выкусить светодиод и напаять вместо него резистор или как поступил я: картонкой и черной изалентой закрыл эту голубую пропасть))

 

циска дороже, например cisco 1811 с wi-fi будет бу около 6 тр. и шуметь как самолет на взлете.

 

по поводу мощности, я вот у себя ее уменьшил и поставил в районе 13dBm. Канал выбрал наименее загруженный (смотрел через приложение на андроиде). По поводу засранности согласен. Бесит что, например, мтс ставит всем подряд wi-fi точки, тогда как в квартире у абонента кроме стационарного компа и старинного сотового без wi-fi ничего нет.

 

 

у меня длинк выданный бесплатно мгстом отлично работает ни разу не зависал и не падал.

не знаю, сколько он у меня.. года 3 уж точно стоит. по сайту длинк давно давным снят с производства.

 

правда я никогда 50 торрентов в активе не держал. пипка не устанет?

но 10-20 раньше висели без проблем круглосуточно.

 

то что cisco это оборудование премиум сегмента и поэтому стоит намного дороже это и ослу понятно.

 

сравнить циску с каким-то нонэймом смешно.

 

cisco 1811 - это корпоративная коробочка. любая корпоративная штука шумит. и это абсолютно норма для любого soho-оборудования.

 

sfp ни потом ни сейчас никому не нужен на таком типе оборудования.

 

 

Edited October 25, 2014 by wwwwwwwww

[adav 1]

у меня длинк выданный бесплатно мгстом отлично работает ни разу не зависал и не падал.

 

А я в свое время наигрался со всякими длинками и асусами так, что теперь у меня к ним полное отрицание. Никогда не куплю ни себе ни другим советовать не буду. Глючные с бедным функционалом. В те далекие времена переход на циску дома наконец-то решил проблемы разных глюков и позволил настроить именно то, что мне было нужно. С цисками был неплохо знаком, но некоторое время душила жаба Сейчас же использую микротики - очень неплохая и недорогая замена циске. Собственно, в сегменте soho с нормальным функционалом циске и микротику альтернативы просто нет. Ну разве что еще OpenWRT... но это на любителя. Я не говорю про домохозяек, которым кроме фейсбука и онлайн кинотеатров ничего больше не надо - этим сойдет и что попроще.

 

то что cisco это оборудование премиум сегмента и поэтому стоит намного дороже это и ослу понятно.

Циски тоже разные бывают. Есть и дешевые, те, что раньше назывались Linksys, а потом стали идти под брендом циски. Эти ничем не лучше разных длинков.

 

сравнить циску с каким-то нонэймом смешно.

Хорошо смеется тот, кто смеется последний Помню, больше 10 лет назад в нашей конторе-интеграторе появились маршрутизаторы huawei... тоже посмеивались, особенно над тем, что по слухам их на одном заводе, что и циску делали. Корпуса были один в один, что и 2600 серия... зато теперь не смешно - вполне интересный бренд стал, широко применяется телекомами вместо цисок.

 

cisco 1811 - это корпоративная коробочка. любая корпоративная штука шумит. и это абсолютно норма для любого soho-оборудования.

Ну не любая, а только та, где требуется охлаждение из-за высокого тепловыделения. Были и есть те же циски без активного охлаждения, тихие.

 

sfp ни потом ни сейчас никому не нужен на таком типе оборудования.

Не надо отсутствие собственного интереса транслировать сразу на всех и навсегда. Например, в случае коттеджных поселков это может быть интересным. Там обычно оптикой разводят... и вместо медиаконвертора с роутером вполне разумно использовать единичные устройства с sfp. Кроме того, мгтс уже озаботилась вопросом возможности использования в их новомодном GPON на стороне клиента SFP модулей с функцией ONT и совместимостью с их существующим OLT оборудованием...

[parafeel 0]

Ориентировочно 3-4 ноября дам более развернутый ответ с пояснениями.

 

ruvhell, благодарю за отклик!

А то тут полемика развелась - думал уже на этом и похоронится тема настроек

 

Интересны конкретные настройки firewall, чтобы при включении правила блокировки всего трафика, которое размещаем внизу списка всех правил firewall - все требуемые сервисы работали у абонента .

Какие сервисы (порты) обязательно на практике оставлять открытыми и какими именно правилами. (in/out/forw)

 

Multicast у меня заработал - но firewall открыт пока как помойка, иначе что-то обязательно не работает .

 

IP серый, потому лично у меня заморочек с настройками в деталях для белых адресов нет.

 

И был бы благодарен за конфиг настройки меток трафика по основным сервисам (чтоб была основа), для общей приоретизации вниз torrent и всего остального.

 

 

Дождусь 3-4 ноября, когда у вас появится время после отпуска .

 

ps. я не цискарь, не микротиковец, не линуксоид - потому тяжеловато разобраться самому с нуля. Проще хотя бы опираясь на имеющиеся настройки.

Почему выбрал mikrotik - владельцы и так поймут, а остальным радикально настроенным сёрферам все равно ничего не докажешь .