Недоступен Mikrotik. Странности в winbox при подключении, может кто сталкивался? — Хабр Q&A

Недоступен Mikrotik. Странности в winbox при подключении, может кто сталкивался? — Хабр Q&A

Firewall

Во­обще, уме­ние работать с фай­рво­лом несет в себе огромную силу. Гра­мот­но пос­тро­енное пра­вило ука­жет, как про­ходит пакет через сис­тему, в какой интерфейс попада­ет, из какого ухо­дит даль­ше и получа­ет ли ответный пакет. По одним толь­ко счет­чикам мож­но мно­гое узнать о сво­ей сети.

Counters
Counters

В стол­бцах Bytes и Packets отоб­ража­ются количес­тво бай­тов и пакетов, обра­ботан­ных пра­вилом. Кноп­ки Reset Counters сбра­сыва­ют эти счет­чики. Теперь мож­но наб­людать, попада­ет ли тра­фик в нуж­ное пра­вило или нет.

Недоступен mikrotik. странности в winbox при подключении, может кто сталкивался?

Доброго Всем времени суток! Случился со мной сегодня казус. Значит имеется у меня HAP mini lite, сижу я значит и балуюсь с настройками Wi-Fi, как вдруг мой winbox теряет соединение с микротиком, я в непонятках. Жму подключиться пишет невозможно подключиться к устройству, перезапускаю winbox на всякий, микротик как обычно в зоне видимости но подключения не происходит. Я пытаюсь зайти с приложения микротика на андроид смартфоне, такая же песня. Ну что ж думаю я, придется делать reset, благо бэкап свежий есть. Значит выдираю из розетки, зажимаю волшебную кнопку, втыкаю в розетку, жду и что же я вижу?

5e5cef5675fe3745713911.jpeg
Это ж какого ежа в списке 2 идентичных микротика оба с идентичными маками, только у одного странный адрес (у меня стоял дефолтный 192.168.88.1), да и не должно там быть такого на сколько я помню. Так вот я перезагрузил микротик, перезапустил winbox, для пущей верности, и ничего не изменилось пока я не зашел на тот что 0.0.0.0 и не ткнул удалить конфигурацию после reset-a. Сетка у меня простая, кабель провайдера WAN в микротик и всё больше железяк нет кроме пк и пары смартфонов. И сижу я теперь и думаю, то ли глюк то ли взломали. Может кто сталкивался или подскажет что за бубуйня?

Мой firewall:

0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 X ;;; HAR
chain=forward action=accept protocol=tcp dst-port=888 log=no log-prefix=””
2 ;;; Access from LAN
chain=input action=accept in-interface=Bridge log=no log-prefix=””
3 ;;; Allow established and connected connections
chain=input action=accept connection-state=established,related log=no log-prefix=””
4 ;;; Allow Address List LAN
chain=input action=accept src-address-list=allow-ip log=no log-prefix=””
5 ;;; Drop inwalid
chain=forward action=drop connection-state=invalid log=no log-prefix=””
6 ;;; Block all incoming WANs
chain=input action=drop in-interface=domru log=no log-prefix=””
7 ;;; Fasttrack#
chain=forward action=fasttrack-connection connection-state=established,related log=no
log-prefix=””
8 ;;; Fasttrack accept
chain=forward action=accept connection-state=established,related log=no log-prefix=””
9 ;;; Deny connections from WAN -> LAN
chain=forward action=drop in-interface=domru out-interface=Bridge log=no log-prefix=””

Сейчас ищут техподдержку:  Как узнать результаты ЕГЭ 2021 по паспорту - официальный сайт. Результаты ЕГЭ-2021 по всем предметам | Андрей, 08 июня 2021

Нет интернета в сети на mikrotik, в чем может быть причина?

Конфиг базы
# dec/07/2021 23:54:18 by RouterOS 6.32.2
# software id = 16UA-ULGB
#
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(20dBm), SSID: wifi, CAPsMAN forwarding
set [ find default-name=wlan1 ] mode=ap-bridge ssid=MikroTik wireless-protocol=
802.11
/interface bridge
add admin-mac=4C:5E:0C:E7:09:F9 auto-mac=no name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=
ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=
ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=
ether5-slave-local
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-gateway name=pppoe-out1
password=xxxx use-peer-dns=yes user=wifi
/ip neighbor discovery
set ether1-gateway discover=no
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm,tkip name=security1
passphrase=xxxx
/caps-man configuration
add country=russia datapath.bridge=bridge-local mode=ap name=cfg1 security=
security1 ssid=wifi
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.88.100-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local lease-time=3d name=
default
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
/interface wireless cap
set bridge=bridge-local caps-man-addresses=192.168.88.1 enabled=yes interfaces=
wlan1
/ip address
add address=192.168.88.1/24 comment=”default configuration” interface=
ether2-master-local network=192.168.88.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=”default configuration” dhcp-options=hostname,clientid interface=
ether1-gateway
/ip dhcp-server network
add address=192.168.88.0/24 comment=”default configuration” gateway=
192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp
add chain=input comment=”default configuration” protocol=icmp
add chain=input comment=”default configuration” connection-state=
established,new
add action=drop chain=input comment=”default configuration”
add action=fasttrack-connection chain=forward comment=”default configuration”
connection-state=established,related
add chain=forward comment=”default configuration” connection-state=
established,related
add action=drop chain=forward comment=”default configuration” connection-state=
invalid
/ip firewall nat
add action=masquerade chain=srcnat comment=”default configuration”
out-interface=pppoe-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.88.0/24
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=pppoe-out1 type=external
/system clock
set time-zone-name=Asia/Omsk
/system identity
set name=MikroTik_Main
/system leds
set 0 interface=wlan1
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
/tool romon
set enabled=yes

Сейчас ищут техподдержку:  Ntvplus.tv не работает сегодня только у меня? Статус Ntvplus.tv - текущие проблемы и сбои сайта 2021

Конфиг точки

# dec/08/2021 01:31:59 by RouterOS 6.32.2
# software id = AUXQ-UEHQ
#
/interface bridge
add mtu=1500 name=bridge-local
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(20dBm), SSID: omkc465923, CAPsMAN forwarding
set [ find default-name=wlan1 ] band=2ghz-b ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge-local interface=ether1
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
/interface wireless cap
set caps-man-addresses=192.168.88.1 enabled=yes interfaces=wlan1
/ip address
add address=192.168.88.3/24 interface=bridge-local network=192.168.88.0
/ip dns
set servers=192.168.88.1
/ip route
add distance=1 gateway=192.168.88.1
/system clock
set time-zone-name=Asia/Omsk
/system identity
set name=MikroTik_1st_floor
/system routerboard settings
set cpu-frequency=650MHz protected-routerboot=disabled
/tool romon
set enabled=yes

Ресурсы

Пер­вое, на что обра­щает вни­мание любой сис­темный адми­нис­тра­тор, — пот­ребле­ние ресур­сов. Бла­го WinBox выводит эти дан­ные пря­мо в глав­ном окне. А если еще не выводит — сей­час же добав­ляй их туда. Это сэконо­мит мно­го вре­мени в будущем.

Resources
Resources

Ес­ли про­цес­сор пос­тоян­но заг­ружен боль­ше 80% (в зависи­мос­ти от усло­вий это зна­чение может менять­ся, но в сред­нем давай при­мем такое чис­ло), то что‑то нелад­но. В пер­вую оче­редь смот­рим на мес­тный «дис­петчер задач», меню Tools → Profile. Тут мы уви­дим, что имен­но наг­ружа­ет CPU, и пой­мем, как дей­ство­вать даль­ше.

Profile
Profile

Объ­ясне­ние полей ты най­дешь в вики. Наибо­лее час­то встре­чают­ся DNS, Encrypting и Firewall.

  • Encrypting — роутер тра­тит мно­го ресур­сов на шиф­рование. Ско­рее все­го, у тебя мно­го тун­нелей VPN и нет аппа­рат­ного чипа шиф­рования. Нуж­но поменять на желез­ку со спе­циаль­ным чипом или выб­рать более сла­бые алго­рит­мы.
  • Firewall — пря­мое ука­зание, что ты не читал мои пре­дыду­щие статьи 🙂 Фай­рвол нас­тро­ен неоп­тималь­но.
  • DNS — а вот тут тебя ждет кое‑что инте­рес­ное.

Сам по себе DNS-сер­вер поч­ти не наг­ружа­ет роутер в неболь­ших и сред­них сетях (до нес­коль­ких тысяч хос­тов). А исполь­зовать RouterOS в качес­тве DNS-сер­вера в боль­ших сетях не луч­шая идея. Так отку­да наг­рузка? Давай раз­бирать­ся. Если есть наг­рузка, зна­чит, что‑то ее соз­дает.

Сейчас ищут техподдержку:  Горячая линия психологической помощи

И теперь смот­рим в лог. Если наши пред­положе­ния вер­ны, то заметим мно­го сооб­щений с пре­фик­сом DNS. Уви­дим, с каких адре­сов и на какие интерфей­сы летят зап­росы. Ско­рее все­го, это будет интерфейс WAN. Но мы не хотим обра­баты­вать DNS-зап­росы, при­шед­шие к нам из интерне­та.

Зак­роем UDP-порт 53 на интерфей­се WAN, помес­тим пра­вило в нуж­ном мес­те — и нас­лажда­емся сни­зив­шей­ся наг­рузкой. Поз­драв­ляю! Мы толь­ко что обна­ружи­ли, что были частью бот­нета, зак­рыли эту дыру и сде­лали интернет чуточ­ку чище. Подоб­ные ата­ки час­то про­водят­ся с при­мене­нием про­токо­лов, работа­ющих над UDP.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 4,00 из 5)
Загрузка...

Оставьте комментарий

Adblock
detector