Posted August 14, 2014 (edited) Добрый день! Опишу примерную настройку этой серии устройств. http://demo.mt.lv демо web При настройке были использованы следующие ресурсы: http://wiki.mikrotik.com/wiki/MikroTik_RouterOS MikroTik Вики! http://wiki.mikrotik.com/wiki/Russian/FAQ FAQ по RouterOS http://www.mikrotik.com/download Download MikroTik software products http://spw.ru/solutions/nastrojka_filtraci...ka_na_mikrotik/ Особенности работы файрвола ч1 http://spw.ru/solutions/nastrojka_fajrvoll...krotik_chast_2/ Особенности работы файрвола ч2 http://spw.ru/solutions/nastrojka_filtraci...krotik_chast_3/ Особенности работы файрвола ч3 http://wiki.mikrotik.com/wiki/Manual:System/Packages доп пакеты для routerOS http://wiki.mikrotik.com/wiki/Policy_Base_Routing настройка Routing-Mark http://www.vpnbook.com/#pptpvpn бесплатный pptp http://habrahabr.ru/post/182166/ Проброс портов в Микротике https://github.com/zapret-info/z-i Register of Internet Addresses filtered in Russian Federation https://github.com/AntiZapret/antizapret Список IP-адресов гос-органов https://github.com/rlex/shellscripts/blob/m...-to-mikrotik.sh Simple script to convert list of ip addresses to Mikrotik import file http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention Bruteforce login prevention http://habrahabr.ru/post/131295/ Mikrotik-Qos Приоритезация по типу трафика и деление скорости http://l7-filter.sourceforge.net/protocols L7-filter Supported Protocols http://asp24.com.ua/blog/protokol-sedmogo-...torah-mikrotik/ о протоколе седьмого уровня в маршрутизаторах Mikrotik http://wiki.mikrotik.com/wiki/Drop_port_scanners Drop port scanners http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking DDoS Detection and Blocking http://aboutnetworkblog.blogspot.ru/2013/0...on-network.html bogon network настройки советую производить через ssh или в winbox в safemod. Во первых удобно копипастить команды и изменять "под себя", а во вторых есть safemod - который вернет все назад, если сессия отвалилась в следствии примененных изменений. неудобство добавило: - "микротик не может оперировать файлами длиннее 4096 байт"- это значит, что создавать файлы он может любого размера, но парсить только файлики до 4096 bytes; - штатными средствами windows было крайне трудно создать некоторые скрипты, но т.к. под рукой практически всегда запущенная виртуалка с linux, то часть скриптов на bash!; - невозможность пометить весь torent траффик для QOS. Максимум, что удавалось выжить, это помечать 2/3 трафика. Заблокировать вообще torrent - легко, а вот разрешить с нужным приоритетом - никак. - бесплатный pptp периодически меняет пароли Что мы получим: - раздача интернет трафика по wi-fi и ethernet - локальную сеть между всеми устройствами, подключенными как через wi-fi, так и через ethernet - приоритезация трафика по типу - возможность доступа из интернета к устройству по web, ssh - Wake-on-LAN домашних устройств - проброс портов на домашние устройства (например для RDP) - возможность открытия всех как уже заблокированных, так и блокируемых в будущем ресурсов - защита от brut и scan ports (для белых ip) - хоть какая-то защита от DDoS на web интерфейсе итак примерный план действий: 1) Присваиваем своей сетевой карте любой ip из 192.168.88.0/24 (кроме 1). Коннектимся браузером к http://192.168.88.1/ (user name: admin and there is no password) и удаляем пользователей по умолчанию (admin) и создаем своих. 2) заходим в quick Set и выбираем предустановку Home AP. В секции Wireless - настройки wifi, в секции Internet настройки провайдера, в секции Local Network настройки нашей домашней сети 3) Заходим через ssh\winbox-New Terminal\Web-New Terminal и меняем mac интерфейса, в который вставляем провод от провайдера, на тот который был в старом роутере /interface ethernet set ether1 mac-address=xx:xx:xx:xx:xx:xx 4) делаем bridge между wi-fi и всеми портами Local Network 5) стопим ненужные сервисы, нужным меняем порты 6) удаляем(или disable) стандартные правила в firewall. теперь можно подключить провод от провайдера. Если все проделано верно, то интернет будет. 7) обновляемся до последней версии routeros. 8) ставим пакеты ntp - синхронизация времени multicast - для проброса IPTV 9) по желанию выключаем пакеты hotspot - webproxy ipv6 10) настраиваем ntp и multicast 11) создаем набор правил в firewall к-е разрешают соединения с устройством из внутренней подсети 12) создаем набор правил в firewall к-е блокируют все (этот набор всегда должен болтаться внизу - т.к. обход правил идет с верха списка) 13) добавляем правила которые: -запрещают брут -запрещают scan port -запрещают invalid соединения -запрещают DDOS на web интерфейс -разрешают PPTP -разрешают established и related соединения -запрещают input и output (не forward) соединения на IP-адреса гос-органов и BOGON -разрешают IPTV -разрешают соединения для проброса портов -разрешают соединения из внутренней сетки в интернет. http://forum.onlime.ru/index.php?act=findpost&pid=172655 сами правила, для примера 14) набор запрещающих все правил сдвигаем в самый низ. 15) создаем наборы Address lists для BOGON сетей и для IP-адресов гос-органов я вручную почистил файлик https://github.com/AntiZapret/antizapret/bl.../blacklist4.txt оставив строки без # (было лень писать скрипт) батником создал файл для импорта и потом его применил на устройство. @echo off SetLocal EnableDelayedExpansion set /a cip=-1 echo.#>>gov.rsc echo.#>>gov.rsc echo.#>>gov.rsc for /f "UseBackQ Delims=" %%A IN ("gov-ip-new.txt") do ( set /a cip+=1 set "mip!cip!=%%A" ) for /L %%i in (0,1,%cip%) do call echo./ip firewall address-list add address=%%mip%%i%% disabled=no list=goverment>>gov.rsc exit /b 16)в NAT создаем правила для проброса портов 17) создаем набор Layer7 Protocols для QOS http://forum.onlime.ru/index.php?act=findpost&pid=172655 правила Layer7 Protocols - для примера 18)в mangle метим трафик и пакеты и присваиваем им метки (у меня 4 метки и 5-я это все остальное - для торрентов) 19) в queues раздаем меткам приоритет, дабы торрент не мешал просмотру видио и серфингу а теперь поинтереснее 20) с http://www.vpnbook.com/#pptpvpn берем логин\пароль и создаем в pptp-client новое соединение 21) в NAT создаем правило для pptp и в DHCP добавляем запись про pptp интерфейс 22) на Linux машине https://github.com/rlex/shellscripts/blob/m...-to-mikrotik.sh допиливаем скрипт напильником ( я заменил на https://github.com/zapret-info/z-i т.к. он более актуальный), не забываем про chmod Создаем скрипт который будет следить за обновлением пароля на сайте vpnbook.com у меня примерно такой: curl -s "http://www.vpnbook.com" | grep -A 1 "Username: vpnbook" | tail -n 1| cut -f2 -d " " | cut -f1 -d '<' > /tmp/vpnbook.txt он парсит сайт и создает файлик с паролем создаем скрипт который будет заливать по FTP на микротик файлик с паролем и файлик с заблокированными IP примерно такой: curl -u "myuser:mypass" [url="ftp://192.168.X.X/"]ftp://192.168.X.X/[/url] -X 'DELE script/myfile1.txt' curl -u "myuser:mypass" --upload-file tmp/myfile1.txt [url="ftp://192.168.X.X/script"]ftp://192.168.X.X/script[/url] --no-epsv curl -u "myuser:mypass" [url="ftp://192.168.X.X/"]ftp://192.168.X.X/[/url] -X 'DELE script/myfile2.txt' curl -u "myuser:mypass" --upload-file tmp/myfile2.txt [url="ftp://192.168.X.X/script"]ftp://192.168.X.X/script[/url] --no-epsv и пихаем все это в cron 23) создаем scripts в микротике к-й по расписанию будет применять файлик с блокируемыми IP (1 раз в день) 24) создаем scripts в микротике к-й будет пару раз в день вытаскивать пароль из файла и его применять :local newp [/file get [/file find name=reestr/vpnbook.txt] contents]; :local oldp [/interface pptp-client get pptp password]; :if ($oldp != $newp) do {/interface pptp-client set numbers=0 password=$newp}; /interface pptp-client set numbers=0 disabled=yes; :delay 5; interface pptp-client set numbers=0 disabled=no; 25) создаем правило в mangle к-е будет помечать все соединения(mark routing) к\из IP из списка запрещенных ресурсов 26) создаем в ip-routes правило которое помеченный mark routing в prerouting траффик заворачивает в pptp туннель. все !!! теперь абсолютно все заблокированные сайты открываются 27) на закуску в scripts в микротике создаем Wake-on-LAN для домашнего компа tool wol interface=MYInterface mac=xx:xx:xx:xx:xx:xx Если нужна помощь с настройкой - пишите сюда, постараюсь помочь. Так же, если понадобится, могу выложить код нужных разделов в rsc виде. Edited November 5, 2014 by ruvhell 0 Share this post Link to post Share on other sites
Posted October 21, 2014 Если нужна помощь с настройкой - пишите сюда, постараюсь помочь. Так же, если понадобится, могу выложить код нужных разделов в rsc виде. ruvhell, список проделанных Вами манипуляций с RouterOS впечатляет. Но, к сожалению, единицы из сотен владельцев данных устройств в домашней сети OnLime смогут это использовать для своего блага в полной мере . Потому прошу привести конкретные скрипты, либо последовательности настроек. Ниже укажу пункты, которые волную именно меня. Кого-то, наверняка, будут волновать все пункты длинного списка 8) ставим пакеты ntp - синхронизация времени multicast - для проброса IPTV пакет multicast и IGMP Proxy - это то же самое или это два разных пакета? 10) настраиваем ntp и multicast 11) создаем набор правил в firewall к-е разрешают соединения с устройством из внутренней подсети 12) создаем набор правил в firewall к-е блокируют все (этот набор всегда должен болтаться внизу - т.к. обход правил идет с верха списка) 13) добавляем правила которые: -запрещают брут -запрещают scan port -запрещают invalid соединения -запрещают DDOS на web интерфейс -разрешают PPTP -разрешают established и related соединения -запрещают input и output (не forward) соединения на IP-адреса гос-органов и BOGON -разрешают IPTV -разрешают соединения для проброса портов -разрешают соединения из внутренней сетки в интернет. интересуют вот эти пункты в подробностях. Настройки firewall по всему списку, а так же корректная работа IPTV, подключенной напрямую к Mikrotik. 16)в NAT создаем правила для проброса портов 17) создаем набор Layer7 Protocols для QOS 18)в mangle метим трафик и пакеты и присваиваем им метки (у меня 4 метки и 5-я это все остальное - для торрентов) 19) в queues раздаем меткам приоритет, дабы торрент не мешал просмотру видио и серфингу Так же интересно, как удалось настроить torrent-поток с низкой приоретизацией Заранее весьма признателен! 0 Share this post Link to post Share on other sites
Posted October 21, 2014 Гораздо более интересно что внезапно (на форуме!) нашлись аж 2 человека, которые используют это крайне редкое в России оборудование из Латвии(родины микроэлектроники), тем более дома. Сильно продвижением пахнет. 0 Share this post Link to post Share on other sites
Posted October 21, 2014 Гораздо более интересно что внезапно (на форуме!) нашлись аж 2 человека, которые используют это крайне редкое в России оборудование из Латвии(родины микроэлектроники), тем более дома. Сильно продвижением пахнет. Ну, у меня тоже есьт парочка знакомых фанатов микротика. Оба сильно довольны, хотя как по мне -- барахлом является любой роутер, в том числе и. 0 Share this post Link to post Share on other sites
Posted October 21, 2014 Я тоже "...это крайне редкое в России оборудование...", на работе применяю при необходимости. Маленькое, не дорогое, полностью выполняет необходимые мне функции. Да и в дата центрах я их видал, где на подхвате, а где и на вполне конкретной задаче. ... в споры вступать не буду. 0 Share this post Link to post Share on other sites
Posted October 21, 2014 Я тоже "...это крайне редкое в России оборудование...", на работе применяю при необходимости. Маленькое, не дорогое, полностью выполняет необходимые мне функции. Да и в дата центрах я их видал, где на подхвате, а где и на вполне конкретной задаче. ... в споры вступать не буду. Интересная информация. Значит я поспешил с выводами. 0 Share this post Link to post Share on other sites
Posted October 22, 2014 (edited) Интересная информация. Значит я поспешил с выводами. Особенно не имея опыта работы с устройством. На nag'е любителей полно. А конкуренту моему RB951-2n найти сложно. Даже самые дешевые asus и dlink раза в 2 болше по размеру Edited October 22, 2014 by Hello 0 Share this post Link to post Share on other sites
Posted October 22, 2014 (edited) Особенно не имея опыта работы с устройством. На nag'е любителей полно. А конкуренту моему RB951-2n найти сложно. Даже самые дешевые asus и dlink раза в 2 болше по размеру Только, к сожалению, во всей линейке Mikrotik-а нет моделей с 2-х диапазонным wi-fi. Нет, есть конечно 2-х диапазонные модули типа R52Hn для кастомных устройств (да и то он может работать одновременно только в одном диапазоне), но построенный таким образом девайс будет совсем не дешевым и не настолько компактным, как упомянутый выше RB951. Edited October 22, 2014 by Sergant 0 Share this post Link to post Share on other sites
Posted October 23, 2014 Только, к сожалению, во всей линейке Mikrotik-а нет моделей с 2-х диапазонным wi-fi. Нет, есть конечно 2-х диапазонные модули типа R52Hn для кастомных устройств (да и то он может работать одновременно только в одном диапазоне), но построенный таким образом девайс будет совсем не дешевым и не настолько компактным, как упомянутый выше RB951. Меня 2.4 устраивает, не смотря на >50 видимых сетей из которых около 20 штук выдают более -50 dbm 0 Share this post Link to post Share on other sites
Posted October 23, 2014 Меня 2.4 устраивает, не смотря на >50 видимых сетей из которых около 20 штук выдают более -50 dbm Не сомневаюсь, что это так. Только полагаю, что wi-fi работает с мощностью "по умолчанию" в 1 Вт в рамках среднемосковской квартиры. Не стремно иметь рядом с собой такой облучатель ? ЗЫ: кстати мощность в 1 Вт, наличие фирменной технологии mesh (на самом деле расширение WDS) и пассивный PoE позволяет легко развертывать wi-fi в больших помещениях. Но это уже другая тема, не имеющая отношения к Onlime. 0 Share this post Link to post Share on other sites
Posted October 23, 2014 Не сомневаюсь, что это так. Только полагаю, что wi-fi работает с мощностью "по умолчанию" в 1 Вт в рамках среднемосковской квартиры. Не стремно иметь рядом с собой такой облучатель ? ЗЫ: кстати мощность в 1 Вт, наличие фирменной технологии mesh (на самом деле расширение WDS) и пассивный PoE позволяет легко развертывать wi-fi в больших помещениях. Но это уже другая тема, не имеющая отношения к Onlime. 1w выдают старшие модели, у меня макс около 100mw, как у обычных роутеров. 0 Share this post Link to post Share on other sites
Posted October 23, 2014 1w выдают старшие модели, у меня макс около 100mw, как у обычных роутеров. Посмотрел спецификацию. У RB951-2n заявлено вообще даже 50 mw. Хм... Тогда вопрос, какую площадь он покрывает ? 0 Share this post Link to post Share on other sites
Posted October 24, 2014 (edited) никому эти микротики даром не нужны. особенно дома. попахивает рекламой в лучшем случае, можно в офис поставить, если бзики у админа или его микроитк подкупил. в остальном, все что умеет микротик, может практически любой современный роутер. и как тут один написал, многие функции излишне и никому не нужны. например, нах мне sfp порт на роутере, когда там обычные гигабитные порты есть? письками перед друзьями меряться? только для этого микротик покупать? может тогда лучше все-таки циску поставить? писька у них подлиньше будет намного. насчет мощности излучателей. в россии не может продаваться оборудование не сертифицированное. а сертифицироваться может лишь то оборудование которое не излучает больше положенных 100mw правда это ограничение теоретически можно обойти на уровне прошивки. мол если выбрать в настройках страну россия то будут 100мв или сколько там у нас максимум. а если выбрать китай, то будут все 500мв. но опять же, кто конкретно тестировал микротики на излучение? может все эти данные лишь на бумаге и в голове маркетологов микротика. и вообще, более мощные излучатели вас не спасут, если в здании и так каналы все засраны другими сетями. проверено на собственном опыте. Edited October 24, 2014 by wwwwwwwww 0 Share this post Link to post Share on other sites
Posted October 24, 2014 (edited) ruvhell, список проделанных Вами манипуляций с RouterOS впечатляет. Но, к сожалению, единицы из сотен владельцев данных устройств в домашней сети OnLime смогут это использовать для своего блага в полной мере . Потому прошу привести конкретные скрипты, либо последовательности настроек. Ниже укажу пункты, которые волную именно меня. Кого-то, наверняка, будут волновать все пункты длинного списка пакет multicast и IGMP Proxy - это то же самое или это два разных пакета? интересуют вот эти пункты в подробностях. Настройки firewall по всему списку, а так же корректная работа IPTV, подключенной напрямую к Mikrotik. Так же интересно, как удалось настроить torrent-поток с низкой приоретизацией Заранее весьма признателен! Добрый день! На форум захожу редко, тем более в тему уже давно никто не пишет... Попробую помочь. multicast и IGMP Proxy http://asp24.com.ua/blog/nastrojka-mikroti...-ot-provajdera/ "И если пакет (Multicast) установлен, то в разделе Routing появится дополнительное меню IGMP Proxy" по поводу настроек firewall - что конкретно интересует? я создал правила опираясь на сайты из первого сообщения + добавил пару своих к-е блокируют слежку моего смартТВ и тп. У меня белый ip - по-этому я сильно заморочился с настройками. Если адрес серый, то львиную долю фильтрации, по идее, берет на себя провайдер. по поводу меток на трафике я уже писал: "невозможность пометить весь torent трафик для QOS. Максимум, что удавалось выжить, это помечать 2/3 трафика. Заблокировать вообще torrent - легко, а вот разрешить с нужным приоритетом - никак. " Я поступил так: пометил все что более-менее полезно (ssh, http, rdp, skype итд), а остальное пустил с наименьшим приоритетом. Торрент попал как раз в последнюю не помеченную категорию. Есть еще идея метить пакеты от определенного приложения средствами самой винды - а потом уже его разгребать на роутере. PS времени совсем мало: на работе аврал с переводом часов в оборудовании, а тут еще и отлет в отпуск на носу горит. Ориентировочно 3-4 ноября дам более развернутый ответ с пояснениями. Edited October 24, 2014 by ruvhell 0 Share this post Link to post Share on other sites
Posted October 24, 2014 хм, ничего рекламного не вижу. Микротик был куплен взамен старинного длинка dir-100 к-й нещадно падал от торентов и не держал скорость. От роутера хотел вполне конкретных вещей и по деньгам получалось, что дешевле него не было тогда. spf действительно, пока, не нужен. Но например мтс тянет оптику уже до квартиры, вроде как. Может и онлайм скоро разродится. Синяя подсветка, кстати, на этом порту бесит нереально - или выкусить светодиод и напаять вместо него резистор или как поступил я: картонкой и черной изалентой закрыл эту голубую пропасть)) циска дороже, например cisco 1811 с wi-fi будет бу около 6 тр. и шуметь как самолет на взлете. по поводу мощности, я вот у себя ее уменьшил и поставил в районе 13dBm. Канал выбрал наименее загруженный (смотрел через приложение на андроиде). По поводу засранности согласен. Бесит что, например, мтс ставит всем подряд wi-fi точки, тогда как в квартире у абонента кроме стационарного компа и старинного сотового без wi-fi ничего нет. 0 Share this post Link to post Share on other sites
Posted October 24, 2014 "... никому эти микротики даром не нужны. особенно дома." Ну немного спорное заявлене, мой покойный папа в таких случаях говорил: " Кому-то нравится поп,... Кому-то - попадья..., Ну а кому-то попова дочка." Повторюсь, я на работе иногда их применяю, довольно удобно и не дорого, хотя для дома я взял подороже и чуть - чуть его подправил подсебя (ну это как полагается, шаловливые ручёнки мозгам покою не дают). Всем удачи. 0 Share this post Link to post Share on other sites
Posted October 25, 2014 "... никому эти микротики даром не нужны. особенно дома." Ну немного спорное заявлене, мой покойный папа в таких случаях говорил: " Кому-то нравится поп,... Кому-то - попадья..., Ну а кому-то попова дочка." Повторюсь, я на работе иногда их применяю, довольно удобно и не дорого, хотя для дома я взял подороже и чуть - чуть его подправил подсебя (ну это как полагается, шаловливые ручёнки мозгам покою не дают). Всем удачи. о чём и речь, у кого это связано с работой, и сами настроят, а остальные туда не полезут 0 Share this post Link to post Share on other sites
Posted October 25, 2014 (edited) хм, ничего рекламного не вижу. Микротик был куплен взамен старинного длинка dir-100 к-й нещадно падал от торентов и не держал скорость. От роутера хотел вполне конкретных вещей и по деньгам получалось, что дешевле него не было тогда. spf действительно, пока, не нужен. Но например мтс тянет оптику уже до квартиры, вроде как. Может и онлайм скоро разродится. Синяя подсветка, кстати, на этом порту бесит нереально - или выкусить светодиод и напаять вместо него резистор или как поступил я: картонкой и черной изалентой закрыл эту голубую пропасть)) циска дороже, например cisco 1811 с wi-fi будет бу около 6 тр. и шуметь как самолет на взлете. по поводу мощности, я вот у себя ее уменьшил и поставил в районе 13dBm. Канал выбрал наименее загруженный (смотрел через приложение на андроиде). По поводу засранности согласен. Бесит что, например, мтс ставит всем подряд wi-fi точки, тогда как в квартире у абонента кроме стационарного компа и старинного сотового без wi-fi ничего нет. у меня длинк выданный бесплатно мгстом отлично работает ни разу не зависал и не падал. не знаю, сколько он у меня.. года 3 уж точно стоит. по сайту длинк давно давным снят с производства. правда я никогда 50 торрентов в активе не держал. пипка не устанет? но 10-20 раньше висели без проблем круглосуточно. то что cisco это оборудование премиум сегмента и поэтому стоит намного дороже это и ослу понятно. сравнить циску с каким-то нонэймом смешно. cisco 1811 - это корпоративная коробочка. любая корпоративная штука шумит. и это абсолютно норма для любого soho-оборудования. sfp ни потом ни сейчас никому не нужен на таком типе оборудования. Edited October 25, 2014 by wwwwwwwww 0 Share this post Link to post Share on other sites
Posted October 26, 2014 у меня длинк выданный бесплатно мгстом отлично работает ни разу не зависал и не падал. А я в свое время наигрался со всякими длинками и асусами так, что теперь у меня к ним полное отрицание. Никогда не куплю ни себе ни другим советовать не буду. Глючные с бедным функционалом. В те далекие времена переход на циску дома наконец-то решил проблемы разных глюков и позволил настроить именно то, что мне было нужно. С цисками был неплохо знаком, но некоторое время душила жаба Сейчас же использую микротики - очень неплохая и недорогая замена циске. Собственно, в сегменте soho с нормальным функционалом циске и микротику альтернативы просто нет. Ну разве что еще OpenWRT... но это на любителя. Я не говорю про домохозяек, которым кроме фейсбука и онлайн кинотеатров ничего больше не надо - этим сойдет и что попроще. то что cisco это оборудование премиум сегмента и поэтому стоит намного дороже это и ослу понятно. Циски тоже разные бывают. Есть и дешевые, те, что раньше назывались Linksys, а потом стали идти под брендом циски. Эти ничем не лучше разных длинков. сравнить циску с каким-то нонэймом смешно. Хорошо смеется тот, кто смеется последний Помню, больше 10 лет назад в нашей конторе-интеграторе появились маршрутизаторы huawei... тоже посмеивались, особенно над тем, что по слухам их на одном заводе, что и циску делали. Корпуса были один в один, что и 2600 серия... зато теперь не смешно - вполне интересный бренд стал, широко применяется телекомами вместо цисок. cisco 1811 - это корпоративная коробочка. любая корпоративная штука шумит. и это абсолютно норма для любого soho-оборудования. Ну не любая, а только та, где требуется охлаждение из-за высокого тепловыделения. Были и есть те же циски без активного охлаждения, тихие. sfp ни потом ни сейчас никому не нужен на таком типе оборудования. Не надо отсутствие собственного интереса транслировать сразу на всех и навсегда. Например, в случае коттеджных поселков это может быть интересным. Там обычно оптикой разводят... и вместо медиаконвертора с роутером вполне разумно использовать единичные устройства с sfp. Кроме того, мгтс уже озаботилась вопросом возможности использования в их новомодном GPON на стороне клиента SFP модулей с функцией ONT и совместимостью с их существующим OLT оборудованием... 0 Share this post Link to post Share on other sites
Posted October 29, 2014 Ориентировочно 3-4 ноября дам более развернутый ответ с пояснениями. ruvhell, благодарю за отклик! А то тут полемика развелась - думал уже на этом и похоронится тема настроек Интересны конкретные настройки firewall, чтобы при включении правила блокировки всего трафика, которое размещаем внизу списка всех правил firewall - все требуемые сервисы работали у абонента . Какие сервисы (порты) обязательно на практике оставлять открытыми и какими именно правилами. (in/out/forw) Multicast у меня заработал - но firewall открыт пока как помойка, иначе что-то обязательно не работает . IP серый, потому лично у меня заморочек с настройками в деталях для белых адресов нет. И был бы благодарен за конфиг настройки меток трафика по основным сервисам (чтоб была основа), для общей приоретизации вниз torrent и всего остального. Дождусь 3-4 ноября, когда у вас появится время после отпуска . ps. я не цискарь, не микротиковец, не линуксоид - потому тяжеловато разобраться самому с нуля. Проще хотя бы опираясь на имеющиеся настройки. Почему выбрал mikrotik - владельцы и так поймут, а остальным радикально настроенным сёрферам все равно ничего не докажешь . 0 Share this post Link to post Share on other sites