После некоторых исследований микротика на предмет работы с OSPF, обнаружил интересную особенность. В РолетрОС есть поддержка множество backbone, т.е. создаешь несколько instance, и привязываешь к ним сеточки. Соссно, как подобное орагнизовано в ленсуке? И есть ли вообще возможность сделать так?
В #D92SVE я выражал лёгкую досаду по поводу того, что RouterOS обещает распознавать имя хоста по SNI, но не делает этого.
Увидел версию 6.41.3 https://mikrotik.com/download/changelogs#tab-tree_2.
Там написано, что баг поправили. Ну я, значит, обрадовался. Заапдейтился.
А всё как было, так и есть. Всё больше согласен с @l29ah касательно RouterOS.
Предельно конкретный вопрос. Отдельно говорю, что вопрос не про то, дерьмо Микротик, или нет.
В файерволле в правилах для фильтра и для обработчика пакетов [есть такой параметр](https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter) — `tls-host`, в котором даже «звёздочку на месте чего угодно» разрешается поставить. Возможность сечь SNI — это типа на самом деле очень круто, особенно учитывая то, что **полноценных** динамических Address List, в которые айпишники добавлялись бы по маске или по регулярному выражению, как не было, так и нету. Ещё этот самый `tls-host` скромно сказано, что, если TLS хендшейк фрагментирован, оно работать не будет.
Лично у меня на роутере (RouterOS 6.41.2) ситуация была такова, что **оно ни разу не распознало ни одного хоста, ни с маской, ни в фиксированном виде**. Залез [на форум](https://forum.mikrotik.com/viewtopic.php?t=128950), там написано, что в 6.41 оно не работает, а в 6.42 RC сколько-то — работает. Ладно, прошил ему RC. Что-то изменилось? Ни хрена.
Есть на Бнваче кто-нибудь с Микротиком, у кого это заработало?
что значит аббревиатура 2HnD в названии? два диапазона 2.4ггц+5ггц? нагуглил только какие-то племенные танцульки с кастрацией https://www.urbandictionary.com/define.php?term=HND
#2P77TJ
(3)
/ @anonymous / 498 дней назад
подскажите что мне делать, если у меня из квартиры ловится более 100 точек доступа на разных каналах и они вещают блядь так и их столько, что у меня скорость 7мбит в локалке. перепробовал разные каналы, в том числе auto - один хуй. есть вариант заставить как-то работать 14-ый канал, но я ниибу как сделать чтобы он появился в микротике. страны меняю - его нигде нет. подскажите что можно сделать кроме покупки роутера на 5ГГц
#QU7ZLR
(23)
/ @anonymous / 514 дней назад
В Микротике, начиная с прошивки 6.36, появилась очевидная фича, которой не доставало, а именно Address List'ы, в которые айпишники добавляются динамически по имени хоста:
https://blog.linitx.com/mikrotik-release-routeros-6-36/
https://habrahabr.ru/post/271707/
Вот я например хочу, как сейчас принято в свободном демократическом мире с европейскими ценностями, заблокировать Контактик. Да как нефиг делать: добавляю address list, у которого `vk.com` вместо айпишника, и коробочка сама всё резолвит и прицепляет к нему динамический список айпишников.
А до этого приходилось трахаться с Layer 7. Который тоже конечно очень хорошо помогает сеять демократию в локалке, но всё равно как-то это было из пушки по воробьям, если надо просто зарезать обращение к каким-то сайтам...
На работе наружу многие TCP-порты закрыты (дурацкий пережиток, не важно).
Дома роутер MikroTik. Среди прочего, включил на нём проксю SOCKS4, чтобы без VPN легко было коннектиться куда надо тем программам на работе, которые умеют SOCKS.
Из сети дома SOCKS-прокся видна, с работы -- нет.
По поводу того, какой SOCKS "безопасный" и вообще дерьмовый, предлагаю поговорить отдельно, если есть желание. Сейчас вопрос в другом.
Поставил правило NAT на цепочку `dstnat`, чтобы форвардила (Action `dst-nat`) TCP с заданным портом на айпишник роутера в локалке (`192.168.0.1`) -- хрен. На `127.0.0.1` -- тоже хрен.
NAT показывает, как это правило замечательно обрабатывает пакеты по три штуки на каждую попытку соединиться, но до SOCKS-прокси эти пакеты не добираются. Или добираются, но она на них срать хотела, что я тоже допускаю.
На другой сервер в локалке, который не сам роутер, а отдельный комп, TCP прекрасно форвардится.
Как бороть?
Mikrotik hAP AC Lite, несколько телефонов с Андроидом.
Вайфай (WPA2 PSK) постоянно отваливается. Выглядит так:
1. Подключается, всё ок.
2. Секунд через 10-20 падает уровень сигнала.
3. С вероятностью около 2/3 при этом телефон от роутера отваливается. С вероятностью 1/3 восстанавливается, и так опять до следующего раза.
Пока уровень сигнала не падает, ловит очень прилично, и скорость нормальная.
Когда буду на месте, попробую получить подробные логи, как тут написано: http://wiki.mikrotik.com/wiki/Manual:Wireless_Debug_Logs. А пока может кто-то, кто сталкивался, сходу скажет, что это за косяк и как бороть?
вчера купил Mikrotik RB941-2nD-TC и сразу кончил.
всё, не покупаю ничего кроме роутеров этой фирмы!
в цену чуть более 20$ я получил устройство, которое работает как часы, имеет настроек просто ёбом (даже dd-wrt/openwrt отсасывают) и самое главное - прошивка RouterOS обновляется регулярно и производитель не забивает на неё через год после выхода девайса, а значит никаких общеизвестных дырок и ботнетов в нём с соотв. глюками и тормозами не будет. заебись девайс (не конкретно эту модель, а вообще любую с RouterOS от Mikrotik), люто советую!
Купил MikroTik hap AC lite. В принципе доволен весьма, единственная пока проблема: Один комп у меня должен быть в DMZ, в смысле что все соединения по TCP снаружи должны идти к нему.
Настроил NAT rule. Снаружи идут нормально.
Но когда я пытаюсь к нему изнутри коннектиться, то облом.
Ладно, думаю, пропишу его в DNS. У него имя ж есть, и изнутри будет получаться другой IP, который внутренний. Так он, падла, начинает через один раз выдавать в разном порядке два IP. То сперва внешний, то сперва внутренний. Вообще было бы здорово только внутренний, раз на внешний не маршрутизируется.
В общем хотелось бы побороть любую из этих двух проблем, а лучше обе.
Как?
Аппаратный свитчинг с вланами в микротике это пизда пизды. В первую очередь потому что не спизжен из прыщей и работает не как прыщевещи т.е. ЕЩЕ БОЛЕЕ НЕПРЕДСКАЗУЕМО. Официальный мануал состоит из крайне пространных заявлений, которые можно очень широко (неправильно) трактовать. Проебал пять часов. Настроил.
Я ебал насколько непривычным оказывается сетап RA и DHCP6-PD на микротике в первый раз.
На самом деле с DHCP6-PD проблем немного. Я просто не знал, что провайдер его юзает, я ожидал RA. Создаешь DHCP-клиента, указываешь ему имя пула для раздачи, радуешься.
Теперь начинается веселье.
А ПОЧЕМУ НЕ РАБОТАЕТ RA?
А КАКОЙ ЖЕ АЙПИ ПОЛУЧИЛ НАШ РОУТЕР?
НИКАКОЙ
IP роутера нужно добавить вручную. НО КАК ЖЕ ОН ЖЕ ДИНАМИЧЕСКИЙ
У /ipv6 address add есть опция from-pool, в которую надо вписать имя пула, которое указывалось при создании DHCP6-клиента
И тогда реальный адрес будет расчитываться как pool_prefix | ( address & ~pool_mask )
И этот адрес надо вешать на тот интерфейс, который смотрит в локалку. И ставить ему advertise=yes, и тогда микротик будет слать RA с этим адресом и маской. И всё будет заебись.
Пошел я вчера значит кочять breaking bad^W^Wпорно с торрентов и обнаружил, что у ебучего микротика 100% загрузка цпу и он захлебывается от прерываний и тормозов netfilter'а. И что он больше 40 мегабит не может высрать. Я не знаю какой там в этот момент был ппс, но пакеты не должны быть сильно мелкими, торренты же, так что похуй.
Дай думаю обновлю его с 5.26 до 6.4, говорили что оно быстрее.
И КОНФИГ НЕ СБЕКАПИЛ
И БРИКНУЛ СУКА
Проебался вчера два часа с восстановлением и переконфигурацией и еще дохуя осталось конфигурить до того что у меня раньше было.
Зато теперь эта залупа в состоянии выдать минимум 93 мбит. Нормик. Еще пару дней буду вспоминать конфигурацию.
Цоперайт © 2010-2016 @stiletto.