таймкод: 4:20 - про winbox (подключение к роутеру) 7:36 - настройка IP адреса WAN интерфейса 10:27 - настройка маршрутизации 13:36 - прописываем DNS 14:38 - про Allow Remote Requests 18:38 - обновление роутера 26:55 - настройка bridge 35:54 - конфигурация DHCP сервера 43:27 - NAT теория 46:02 - NAT настройка 49:22 - firewall теория 50:22 - цепочки (chains) 50:35 - cостояние соединений (connections) 57:03 - firewall настройка 1:14:03 - QoS 1:22:20 - настройка пользователя 1:23:40 - точка доступа WiFi 1:26:38 - итоги --------- 1:27:30 - общение со зрителями 1:27:42 - вопрос про конфигурацию по умолчанию 1:30:13 - как забанить соцсети? 1:32:12 - вопрос по address list 1:33:11 - потянет ли 200 пользователей? 1:33:53 - firewall и IPv6 1:34:16 - port knoking 1:35:02 - резервирование канала под SIP 1:35:36 - проброс vlan через VPN 1:36:23 - мониторинг VPN тунелей 1:36:50 - как получить доступ к роутеру с серым IP? 1:37:15 - Dynamic DNS 1:38:28 - резервное копирование конфигурации 1:41:00 - firewall или IP › Services? 1:41:53 - ограничить доступ к портам с помощью NAT или firewall? 1:42:17 - есть ли системы автоматического отката резервной копии? 1:41:39 - fasttrack для правил established, related 1:43:22 - отключить пользователя админа по com-порту? 1:43:48 - в случае отключенного пользователя админа какой пароль на бэкап? 1:44:47 - если более одного внешнего IP
Отличный вебинар! Доходчиво и без лишней воды. Особо отмечу превосходная грамотная речь Романа. Все разложено по полочкам, все объяснено. Сам занимаюсь Микротиками и все равно что-то новое узнаю про них. Ещё раз, большое спасибо!
На моменте настройки FireWall'a у меня, как у не общавшегося с микротиками просто мозг закипел... Конечно часто слышал об этом оборудовании и по работе сейчас вынужден с ними работать, но непонятно зачем так сложно было делать настройку. Сравнить дружелюбный интерфейс того же keenetic'a, и микротика разница огромная. Да, возможности микротика огромны, но как по мне все эти танцы с бубном при работе в большой организации явно того не стоят. А может просто пока не привык к ним и потом поменяю своё мнение :)
keenetic - это устройства для дома и мелкого офиса/магазина. МикроТик помимо мелких "мыльниц" делает ещё и более серьёзные девайсы для крупных сетей на сотни пользователей. Однако, способы настройки у МикроТика одинаковы как для серьёзных устройств, так и для "мыльниц".
Очень хорошее видео, спасибо. В конце пошел разговор, что микрот лучше тазика системника...спорно всё это. тазик можно в любой момент заменить. допустим на тазике стоит керио и есть его бекап. хватаем любой другой стистемник, катаем на него бэкап и понеслось. а вот в случае если всем управляет один микрот - такое себе
Скажите пожалуйста, а будет курс о том как сделать операцию на апендикс, что бы потом не было воспаления ну и вообще не умереть. Или всетаки отучится нужно пару лет ну или хотя бы понять принцип работы сетей? Ну хотя бы первая ступень от циско.
38:30 - DHCP Address Space 192.168.188.0/24 Соответственно Addresses to Give Out: 192.168.188.2-192.168.188.254 После чего DNS Server задаём 192.168.188.2 - что накладывается на список выдаваемых ip, т.е. тут ошибка. 1:05:44 - коды пинга не 8-0, а 0-8, на том же wiki mikrotik всё расписано. Ну и как уже было сказано в одном из Ваших видео - лучше делать через jump и там понасоздавать правила на все разрешённые коды icmp согласно wiki mikrotik. 1:07:22 - drop forward in wan !dstnat - после такого правила у меня изнутри локальной сети (на bridge1) вообще перестали пинговаться внешние сайты, даже больше - тупо ни одну страничку не открыть в браузере) Что-то явно не то, либо надо что-то дописывать... Да и кстати в примере вообще нет никаких правил в firewall по поводу bridge1. Про защиту 53 порта в firewall так ничего и не показали. Я так понимаю там на in bridge1 нужно установить limit или есть какая другая защита?
Здравствуйте. По поводу drop forward in wan !dstnat - на видео правильно показано, как настраивать правило. Скорее всего у Вас другое правило рубит соединения. 1:06:05 - ответ на Ваш вопрос по защите 53 порта.
Только сейчас понял свою ошибку в настройке гостевой сети. Мост создал, интерфейсы добавил, pool ip для гостей сделал, dhcp добавил, а ip на бридж не повесил и при этом у меня все работает, но все же это косяк. Роман, спасибо за то что делитесь знаниями и за высокое качество подачи!
Почему при добавлении DHCP Client в IP->Address адрес сам создаётся (динамический), а при добавлении DHCP Server для Bridge адрес в Address list необходимо самому добавлять?
Посмотрел, интересная гибкая ОС, лоханулся в начале при выборе, поковырялся в системе, какую точку доступа посоветуете с приличным радиусом покрытия 4 уровня лицензии ?
У меня с микротиком всегда возникает психологическая проблема. Мне кажется, что я не все верно настроил, что-то недозакрыл и меня хакнут. Потому что очень много рычагов настроек
С такой настройкой интернет через 2011 практически не работает - из десяти сайтов нормально один открывается, хотя блокировку настраивал только в фаерволе по типам пакетов (как было дано в видео). По портам ничего не ограничивал. Итого: ebay, amazon не открываются; 2ip и nic.ru виснут; teamviewer показывает список устройств, но никуда не подключается... Думаю лектору стоит в конце делать пробу его конфигурации, так он найдет свои ошибки.
Спасибо большое за отличный материал! Разрешите вопрос: при включении последнего правила "drop forward кроме dstnat" на клиентах пропадает интернет. Если выключить правило - все работает.
есть робот пылесос, который должен думать что находится в Китае. Есть рабочий dns сервер для этого, который нужно прописать в роутер именно для пылесоса, для других устройств не нужно. Kak proshe eto sdelatj?
Очень хороше видео! Спасибо из Болгарии! Мне очень нравятся устройства MIKROTIK и ето видео очень помогло мне понять некоторые принципы работы. Мне есть кого спросить конкоретные вапросы после просмотра клипа и узнаю все о Bridge, Lease time и ограничение скорости. Спасибо вам! Хотел узнать - могу ли создать например 2 Wi-fi для офиса и 3 для гостей?
Здравствуйте! Спасибо за качественную подачу материала. Возможно ли в микротик поднять несколько кэширующих DNS серверов с DoH подключениями для использования в подсетях?
Почему нету доступа из локалки этого микротика в локалку основной сети которая дает интернет микротику, на дефолтных настройках есть а на этих настройках нету, что и где нужно довключить чтоб видить внещнюю сетку ?
По моему, тут для начала надо добавить разрешающее правило для ICMP в цепочку forward, а то пинги будут только до самого роутера доходить, а из локалки в интернет не смогут.
подскажите пожалуйста. Как мне настроить размер соты. Для того чтобы роутер по WI-FI был доступен на расстоянии не более 4 метров. Дело в том что у меня первый роутер так настроен. Затем купил второй и не получается. Модель роутера Wi-Fi роутер MikroTik hap lite TC. Честно, забыл. Если не затруднит укажите в какую вкладку мне войти и какую настройку изменить. а так мне вашt оборудование очень нравится. на мой взгляд оно божественное.
Настроил файревол по вашему видео. Сейчас нужно сделать проброс порта в NAT. Нужно с белого IP типа ssh user@5.100.100.100 -p 15002 пробросить через NAT на 192.168.1.150:22. Как это правильно сделать? Пока не могу найти решение.
Здравствуйте! Дело в том что я настраивал роутер вручную и изменил номер порта для WAN с 1-го (что по умолчанию) на 5-й. В итоге у меня при включении QuickSet в морде если раньше отображались настройки Wan и LAN то сейчас пусто! По началу не мог понять в чем дело но потом осинило но не знаю где в настройках задается порт WAN по умолчанию для QuickSet ? Вот не пойму где задается настройка для порта роутера чтобы он появился в выпадающем списке - "Port:" где сейчас установлено значение "Eth1"?
Его задача не объединять, а разделять трафик от разных broadcast доменов в рамках одного канала с помощью добавления специальной метки в заголовок кадра.
Огромное спасибо! На настроенном микроте не работал ZOOM. До микрота стоял Dlink и все работало. То есть дело в микроте. Гугл/Яндекс на русском и английском не помогли. Решил в целом лучше разобраться с микротом. Досмотрел видео до QoS, и тут в последний момент ZOOM взлетает. Огромное спасибо!
Как убрать все "вот"ки из звукоряда? Невозможно смотреть! Upd: Интересно, что в 2017 году речь была намного "слушабельной" ("а-ааа..." и "э-эээ..." почти не напрягают)
Как разделить трафик SIP, CCTV, PC и сгруппировать эти устройства без прописывания статических ip при том, что многие устройства подключены группами в неуправляемые коммутаторы, а затем в mikrotik.
Из вариантов dhcp server vendor classes. Но в целом я бы рассматривал вариант ухода от неуправляемых коммутаторов - эта схема вас никак не уберегает от падения всего l2 например из-за петли.
Подскажите, если ether1 и ether 5 объединены в bridge для iptv, а на сам bridge навешан pppoe, то что считать в интерфейс листе WAN, для защиты от сети провайдера и сети интернет - bridge и pppoe или только что-то одно, или все 4 интерфейса. iptv работает и без pppoe. И в nat'e указывать WAN или ether1?
Как только Вы добавляете какие-либо интерфейсы в бридж, они перестают существовать сами по себе для уровней, выше чем L2 (ip, маршрутизация). С этого момента вы оперируете во всех настройках только бриджом. Никакие настройки, в которые вы добавите (или они были добавлены ранее) ether1,5 работать не будут. В фаерволлы надо добавлять только бридж (в IP-фаер, если Вы присвоили ему адрес, либо в его фаер, если оставили без IP, т.е. на L2). Во избежение конфликтов с доступом, старые настройки IP с ether1,5 надо убрать (отключить). Бридж сейчас является новым "физическим" L2/L3-интерфейсом. PPP и все прочие работают через него. Интерфейс-листы нужно откорректировать, добавив в них бридж (и отключив ether1,5).
всё таки на сколько проще настраивать микротик по сравнению с TMG сервером -). Осталось прикрутить его к ad через радиус и будет наверное очень не плохо (если это возможно)
Роман, подскажи адекватный мануал по сборке сквида под дебиан? имею в виду один из вебинаров, где использовалась конфигурация прокси+микротик+анализатор трафика. благодарю заранее!
Весь мир: -"Давайте упростим это устройство чтобы не отвлекаться от важного" Латвийские разработчики mikrotik: -"Давайте сделаем больше серых страшных окон и все настройки в ручную двоичным кодом!"
Вообще-то в МикроТиках в настройках в самом начале есть кнопка Quick Set, по которой открывается единое окно, где можно выбрать один из типовых сценариев использования роутера и тут же в этом окне вбить все настройки (ip-адреса, NAT, порт-форвардинг, логины, пароли и т.д.). Для простых случаев вроде "раздать интернет дома кабелем на комп и по WiFi на смартфон" этого достаточно. А кому надо больше настроек, тому придётся ручками всё настраивать. Вот для них и предназначены эти тренинги, курсы и гора тех. документации.
1:21:41 защитили с внешней стороны, А как мы до сих пор подключены по мак адресу остались? Я настраивал по внешке подключившись по мак адресу и меня не выбило...
Потому что Firewall фильтрует ip-пакеты (уровень 3 в модели OSI), а не "кадры" Ethernet (уровень 2 в модели OSI). Так что если и вы, и роутер находитесь в пределах одного broadcast domain, то связь по mac-адресам будет. Так что если ваш комп к роутеру подключен напрямую кабелем или через свитч, то связь будет. А если между вами ещё какие-то роутеры есть, то по mac-адресу не подключишься. Я тоже был удивлён, когда узнал, что прикладная программа типа winbox может установить связь по mac-адресам. Раньше я думал, что вся эта "кухня" с mac-адресами заканчивается на уровне драйверов сетевой карты или самой операционной системы, и прикладному софту недоступна. Кстати, не только winbox такое умеет. Ещё и всякие утилиты для камер видеонаблюдения тоже могут к "своим" IP-камерам подключаться по mac-адресу, если они в одной локалке и связаны не через роутеры.
WiKi Disable mac-telnet services /tool mac-server set allowed-interface-list=none /tool mac-server print Disable mac-winbox services /tool mac-server mac-winbox set allowed-interface-list=none /tool mac-server mac-winbox print Disable mac-ping service /tool mac-server ping set enabled=no /tool mac-server ping print Bandwidth server is used to test throughput between two MikroTik routers. Disable it in production enironment /tool bandwidth-server set enabled=no
@@rinat1985 Да, но надо учесть, что для mac-telnet и для mac-winbox отдельные списки allowed-interface-list, а то человек отключит mac-telnet и будет удивляться, что его dc` hfdyj пускают по mac-адресу через winbox
правила фаервола сверху вниз, почему разрешающие сверху? по логике первое правило должно дропать все, а остальные открывать что нужно. тут же получится что мы открыли все что нужно, а затем следующим правилом все закрыли или чего то не понимаю?
Потому что таблицу с правилами роутер просматривает сверху вниз до первого совпавшего правила. А как только правило совпало, то на остальные правила роутер уже не смотрит (кроме совпавших "passthrough"-правил. После них таки всё же смотрит дальше по списку). Так что если "верхнее" правило разрешило принять пакет, то роутер пакет примет, даже если "нижние" правила говорят ему отбросить все пакеты
Он разрешает established и related, после чего дропает все остальные на input и forward. Таким образом new/invalid не подпадают под разрешающие правила, а дропаются
zdrastvuyti. vi mojeti mne nastroir routrerboard RB3011 UiAS-RM. dlya ofisa s ogranicheniem skorosti i s ogranicheniem na nekotorie saytov i mesenjerov. Sposibo
Как с такими настройками пробросить порт. Временно отрубил фаерволл. Включил DDNS и пробросил порт на локальный комп 3389 (RDP), IP локального пк указан верно. настройки: dstnat, tcp, DST.port 5555, In.interface: bridgeLAN. Action: netmap, To address: IP пк, порт 3389. Подскажите пожалуйста
@@itsupport2430 я правильно понимаю, что In. Interface - это тот интерфейс, откуда ожидается запрос к нашему серверу? Тогда надо указать внешний интерфейс ether1-WAN или как он там назван в настройках. Так?
Видео настройка микротик за 59 минут занимает 1 час 46 минут. Может делать видео именно с настройкой, без болтавнм и прочего ? Чтобы название соответствовало таймингу ?:)
@@MikrotikTraining ясно :) Ещё вопрос - вы не думали создать курс по микротику для тех кто вообще с нуля ? Кто не знает микрот, кроме как Квик сетап сделать для домашнего использования и емеет базовые знания по сетям ? Скороснов есть такой, у него есть подобный курс, но у него я не хочу учиться по определённым обстоятельствам. А вот у вас возможно заинтересовался бы подобным курсом
Этот офис должен держать у себя штатного администратора с лицензией от микротик ибо в ином случае будет быстро взломан, зачем кому-то эти танцы с бубнами, если есть более понятное оборудование с которым сможет справится любой интузиаст без танцев с бубнами
59 минут на настройку роутера это сильно) Я перестал использовать микроны, наигрался не интересно и нудно настраивать, кинетики в сто раз приятнее и быстрее. Простите, а зачем при обновлении прошивки 2 раза обновлять ее в разных местах? Это фишка такая, что бы народ нерабочее оборудование получал и писал в тп которая его нахрен посылает. Я вот 7 лет их настраиваю толко сейчас узнал что нужно 2 раза апгрейд запускать.
HELP! Настроил по вашей инструкции с той лишь разнцей что IP получаю от провайдера по DHCP. Соответственно включил DHCP clien на 1 порт и получаю от провайдера IP 10.x.x.x, шлюз и DNS провайдера с роутера пингуются. Но пока в роуте не добавишь маршрут 0.0.0.0/0 со шлюзом провайдера инета нет... NAT включен, маскарад включен. Дайте наводку! Те же самые настройки отлично пашут дома на другом провайдере. (mac подменял)
@@prezid9586 Prez Id под рукой ныне нет девайса, но я разобрался. У некоторых провайдеров есть какая то древняя шляпа которая блочит автоматическое добавление маршрута по dhcp на шлюз. Выход из положения: Номер 1: это ручками, как я указал выше, прописать шлюз на нулевую подсетку (косяк может быть в том что при смене шлюза, Вам придется ручками править маршрут). Номер 2 он же самый правельный: указать в настрйках dhcp клиента вместо "add default rout" выбрать "special чета там". заходим в роут и вуаля на нулевой подсети встает автомат шлюз провайда . Сей варик рили канает у "особенных провайдерах". Думается что сие инфо будет крайне полезно вникающим в тему комрадам. Видео мне подсказало одну простую истину "рубай весь левый трафик на входящий интерфейс, особенно глуши dns и не забудь заблочить nigebords для левых адресов" иначе жди беды.. По сути лучше обрезать все, а кромя порткнокинга. Для дома зарубить все на входящий интерфей, добавить свою подседку в nigebors и забыть...
Ж - Логика (Mikrotik). НАхрена такие танцы, это на сколько надо иметь больную психику что бы вообще придумать такие квэсты для настройки? За видео огромное спасибо. Я пытался, честно. пойду дальше работать с циской, Фортигейтами, и прочим шлаком
Насмотревшись подобных роликов, прикупил себе домой такое литовское чудо. Как оказалось, файловая система для внешнего накопителе с виндой не дружат. Продолбавшись денек, отнес обратно в магазин и купил кинетик. Минут 15 настройки и все готово.
какой час? он настраивается за 10 минут, с готовым экспортом за полминуты, покажите, как разжевать настройку дружелюбного keenetic за 20 минут времени, даже без бриджей, firewall и QoS, но так, чтобы домохозяйка поняла, что это и как работает в общих чертах, чтобы настроить самостоятельно, и не врите, что там включил и пароль поставил на WiFi и всё на этом, речь именно в таком же уровне понимания, что к чему, которое в данном видео давалось
таймкод:
4:20 - про winbox (подключение к роутеру)
7:36 - настройка IP адреса WAN интерфейса
10:27 - настройка маршрутизации
13:36 - прописываем DNS
14:38 - про Allow Remote Requests
18:38 - обновление роутера
26:55 - настройка bridge
35:54 - конфигурация DHCP сервера
43:27 - NAT теория
46:02 - NAT настройка
49:22 - firewall теория
50:22 - цепочки (chains)
50:35 - cостояние соединений (connections)
57:03 - firewall настройка
1:14:03 - QoS
1:22:20 - настройка пользователя
1:23:40 - точка доступа WiFi
1:26:38 - итоги
---------
1:27:30 - общение со зрителями
1:27:42 - вопрос про конфигурацию по умолчанию
1:30:13 - как забанить соцсети?
1:32:12 - вопрос по address list
1:33:11 - потянет ли 200 пользователей?
1:33:53 - firewall и IPv6
1:34:16 - port knoking
1:35:02 - резервирование канала под SIP
1:35:36 - проброс vlan через VPN
1:36:23 - мониторинг VPN тунелей
1:36:50 - как получить доступ к роутеру с серым IP?
1:37:15 - Dynamic DNS
1:38:28 - резервное копирование конфигурации
1:41:00 - firewall или IP › Services?
1:41:53 - ограничить доступ к портам с помощью NAT или firewall?
1:42:17 - есть ли системы автоматического отката резервной копии?
1:41:39 - fasttrack для правил established, related
1:43:22 - отключить пользователя админа по com-порту?
1:43:48 - в случае отключенного пользователя админа какой пароль на бэкап?
1:44:47 - если более одного внешнего IP
спс
А обещали за 59 минут...
Спасибо Бро
дай бог тебе здоровья
Самое лучшее что я нашел за последние 10 лет
Рассказывает все очень понятно!!
Очень рад что нашел данное видео, наверное даже не видео, а канал!!
10 лет это учил?
автор - красавелла! начитался и учит БЕСПЛАТНО людей! и как доступно объясняет! СПАСИБО!! держи класс!
Ему ПЛАТЯТ за это.
Отличный вебинар! Доходчиво и без лишней воды. Особо отмечу превосходная грамотная речь Романа. Все разложено по полочкам, все объяснено. Сам занимаюсь Микротиками и все равно что-то новое узнаю про них. Ещё раз, большое спасибо!
Рома, благодарю. Подача прекрасная. Я из-за тебя хорошую работу нашел))
Не "из-за тебя" а "благодаря тебе"!!! :-)
@@g4kdix359 может это был сарказм и ему не нравится эта работа, тогда "из-за" :D
@@rinat1985 XD
Ромыч, спасибо! Недавно перешли с пальто на микротик. Буду дальше смотреть твои видосы.
А с чем связано? Лицензии? Санкции?
Спасибо, Роман, за твоё время и знания !
Ему за это платят.
Настраиваем Микротик за 59 минут:видео длится 1 час 46 минут) Спасибо за видос, очень годный контент.
Рома, спасибо. Случайно набрел на ваш канал, просто супер!!!
Спасибо Роман за отличный контент!
Спасибо, полезный вебинар! подчерпнул кое-что новое
9:40 Начало..
Спасибо за ценную информацию! С дропом форварда и китайские камеры отдельно спасибо !
Мануал божественный! Спасибо! Можно назвать видео "Настройка Mikrotik здорового человека" :-)
На моменте настройки FireWall'a у меня, как у не общавшегося с микротиками просто мозг закипел... Конечно часто слышал об этом оборудовании и по работе сейчас вынужден с ними работать, но непонятно зачем так сложно было делать настройку. Сравнить дружелюбный интерфейс того же keenetic'a, и микротика разница огромная. Да, возможности микротика огромны, но как по мне все эти танцы с бубном при работе в большой организации явно того не стоят. А может просто пока не привык к ним и потом поменяю своё мнение :)
keenetic - это устройства для дома и мелкого офиса/магазина. МикроТик помимо мелких "мыльниц" делает ещё и более серьёзные девайсы для крупных сетей на сотни пользователей. Однако, способы настройки у МикроТика одинаковы как для серьёзных устройств, так и для "мыльниц".
Очень хорошее видео, спасибо. В конце пошел разговор, что микрот лучше тазика системника...спорно всё это. тазик можно в любой момент заменить. допустим на тазике стоит керио и есть его бекап. хватаем любой другой стистемник, катаем на него бэкап и понеслось. а вот в случае если всем управляет один микрот - такое себе
Скажите пожалуйста, а будет курс о том как сделать операцию на апендикс, что бы потом не было воспаления ну и вообще не умереть. Или всетаки отучится нужно пару лет ну или хотя бы понять принцип работы сетей? Ну хотя бы первая ступень от циско.
38:30 - DHCP Address Space 192.168.188.0/24
Соответственно Addresses to Give Out: 192.168.188.2-192.168.188.254
После чего DNS Server задаём 192.168.188.2 - что накладывается на список выдаваемых ip, т.е. тут ошибка.
1:05:44 - коды пинга не 8-0, а 0-8, на том же wiki mikrotik всё расписано. Ну и как уже было сказано в одном из Ваших видео - лучше делать через jump и там понасоздавать правила на все разрешённые коды icmp согласно wiki mikrotik.
1:07:22 - drop forward in wan !dstnat - после такого правила у меня изнутри локальной сети (на bridge1) вообще перестали пинговаться внешние сайты, даже больше - тупо ни одну страничку не открыть в браузере) Что-то явно не то, либо надо что-то дописывать... Да и кстати в примере вообще нет никаких правил в firewall по поводу bridge1.
Про защиту 53 порта в firewall так ничего и не показали. Я так понимаю там на in bridge1 нужно установить limit или есть какая другая защита?
Здравствуйте. По поводу drop forward in wan !dstnat - на видео правильно показано, как настраивать правило. Скорее всего у Вас другое правило рубит соединения.
1:06:05 - ответ на Ваш вопрос по защите 53 порта.
1:05:00 куда делась настройка ICMP Type и ICMP Code в прошивке 6.49.8?
Только сейчас понял свою ошибку в настройке гостевой сети. Мост создал, интерфейсы добавил, pool ip для гостей сделал, dhcp добавил, а ip на бридж не повесил и при этом у меня все работает, но все же это косяк. Роман, спасибо за то что делитесь знаниями и за высокое качество подачи!
Работает - не чини.
Что--то с правилом ICMP не так. Может все-таки packet size 0-100, ICMP Type 8(echo Request), а icmp code 0(или 0-8)?
Почему при добавлении DHCP Client в IP->Address адрес сам создаётся (динамический), а при добавлении DHCP Server для Bridge адрес в Address list необходимо самому добавлять?
Посмотрел, интересная гибкая ОС, лоханулся в начале при выборе, поковырялся в системе, какую точку доступа посоветуете с приличным радиусом покрытия 4 уровня лицензии ?
Как я удачно зашел =)
отлично и очень доходчиво обясняете, больше спасибо за знания!
У меня с микротиком всегда возникает психологическая проблема. Мне кажется, что я не все верно настроил, что-то недозакрыл и меня хакнут. Потому что очень много рычагов настроек
С такой настройкой интернет через 2011 практически не работает - из десяти сайтов нормально один открывается, хотя блокировку настраивал только в фаерволе по типам пакетов (как было дано в видео). По портам ничего не ограничивал. Итого: ebay, amazon не открываются; 2ip и nic.ru виснут; teamviewer показывает список устройств, но никуда не подключается... Думаю лектору стоит в конце делать пробу его конфигурации, так он найдет свои ошибки.
Спасибо вам за видео! Мне очень понравилось и помогло!
1:12:55 out interface здесь не нужно указать интерфейс интернета ether1?
А почему этот Микротик удачный для домашних сетей до 100 Мбит? А если у меня оптика с 1 ГБит - он не подойдет?
Спасибо большое за отличный материал! Разрешите вопрос: при включении последнего правила "drop forward кроме dstnat" на клиентах пропадает интернет. Если выключить правило - все работает.
Возможно вы удалили правило established
есть робот пылесос, который должен думать что находится в Китае. Есть рабочий dns сервер для этого, который нужно прописать в роутер именно для пылесоса, для других устройств не нужно. Kak proshe eto sdelatj?
Странный эффект при замене masquerade на srcnat с указанием IP перестал отвечать Google во всех смыслах, но через Яндекс все нормально работает.
Очень хороше видео! Спасибо из Болгарии! Мне очень нравятся устройства MIKROTIK и ето видео очень помогло мне понять некоторые принципы работы. Мне есть кого спросить конкоретные вапросы после просмотра клипа и узнаю все о Bridge, Lease time и ограничение скорости. Спасибо вам!
Хотел узнать - могу ли создать например 2 Wi-fi для офиса и 3 для гостей?
"Настраиваем Mikrotik для офиса за 59 минут". Видео 1:59:48. Seems legit.
надо смотреть на скорости 2х
хорошшо что не 59 минут))) однозначно подписка
Отлично! 1:11:00 UDP 443 порт? TCP. Только он. И в 3м правиле соурсе - bridge2. Извини. Писал в процессе просмотра. 🙂
Здравствуйте! Спасибо за качественную подачу материала. Возможно ли в микротик поднять несколько кэширующих DNS серверов с DoH подключениями для использования в подсетях?
Приветствую ! Устройством mikrotik disc lite5 ac возможно принимать вайфай сигнал и раздавать по воздуху или только по кабелю возможно раздавать ?
Почему нету доступа из локалки этого микротика в локалку основной сети которая дает интернет микротику, на дефолтных настройках есть а на этих настройках нету, что и где нужно довключить чтоб видить внещнюю сетку ?
По моему, тут для начала надо добавить разрешающее правило для ICMP в цепочку forward, а то пинги будут только до самого роутера доходить, а из локалки в интернет не смогут.
подскажите пожалуйста. Как мне настроить размер соты. Для того чтобы роутер по WI-FI был доступен на расстоянии не более 4 метров. Дело в том что у меня первый роутер так настроен. Затем купил второй и не получается. Модель роутера Wi-Fi роутер MikroTik hap lite TC. Честно, забыл. Если не затруднит укажите в какую вкладку мне войти и какую настройку изменить. а так мне вашt оборудование очень нравится. на мой взгляд оно божественное.
Спасибо тебе огромное!
Добрый день! Не могу найти Вас в "телеграмм"
Спасибо Роман)
при обновлении прошивки выдает ошибку: could not resolve dns name
что надо сделать? я чайник, сори. ))
Тоже всегда запрещаю пинг из wan, никогда ещё не было из-за этого проблем, зато моей параное намного спокойнее 😅
Не совсем понял про: "Allow Remote Request" - убрал у себя галочку, в итоге интернет пропал, вернул- появился
Переключение каналов при падении основного я так понимаю здесь не обсуждалось?
Настроил файревол по вашему видео. Сейчас нужно сделать проброс порта в NAT. Нужно с белого IP типа ssh user@5.100.100.100 -p 15002 пробросить через NAT на 192.168.1.150:22. Как это правильно сделать? Пока не могу найти решение.
Решение найдено.
@@sergeykornilov221 какое?
Здравствуйте!
Дело в том что я настраивал роутер вручную и изменил номер порта для WAN с 1-го (что по умолчанию) на 5-й.
В итоге у меня при включении QuickSet в морде если раньше отображались настройки Wan и LAN то сейчас пусто!
По началу не мог понять в чем дело но потом осинило но не знаю где в настройках задается порт WAN по умолчанию для QuickSet
?
Вот не пойму где задается настройка для порта роутера чтобы он появился в выпадающем списке - "Port:" где сейчас установлено значение "Eth1"?
VLAN объединяет только порты или что-то ещё?
Его задача не объединять, а разделять трафик от разных broadcast доменов в рамках одного канала с помощью добавления специальной метки в заголовок кадра.
Роман, вы в правилах фаерволла пишете комментарий на bridge1, что это вайфай. По-моему десь ошибка
Огромное спасибо! На настроенном микроте не работал ZOOM. До микрота стоял Dlink и все работало. То есть дело в микроте. Гугл/Яндекс на русском и английском не помогли. Решил в целом лучше разобраться с микротом. Досмотрел видео до QoS, и тут в последний момент ZOOM взлетает. Огромное спасибо!
Как убрать все "вот"ки из звукоряда? Невозможно смотреть!
Upd: Интересно, что в 2017 году речь была намного "слушабельной" ("а-ааа..." и "э-эээ..." почти не напрягают)
Можно ли как-то переносить настройки с одного устройства на другое или как-то ускорить процесс настройки нескольких устройств?
Ansible, python, etc. Стандартная команда export/import
Mikrotik это боль 21 века!
О, земляк. Почему боль?))
@@merseybeat777 а ты настраивал l2tp beeline? )))
Боль?! Попробуйте Хуавей - узнаете познание "дзена"
@@merseybeat777😅
Теперь у Билайна все просто. Не нужно теперь делать двойную маршрутизацию.
Как разделить трафик SIP, CCTV, PC и сгруппировать эти устройства без прописывания статических ip при том, что многие устройства подключены группами в неуправляемые коммутаторы, а затем в mikrotik.
Из вариантов dhcp server vendor classes. Но в целом я бы рассматривал вариант ухода от неуправляемых коммутаторов - эта схема вас никак не уберегает от падения всего l2 например из-за петли.
Большое спасибо.
Большое спасибо за видео, очень помогло.
Спасибо большое!
Обязателен ли бридж для одного порта?
Зависит от того, что собираетесь использовать и включать - некоторые вещи включаются через bridge.
Лучше расскажите как настроить mikrotik как vpn-клиент к серверу 2012р2 и срастить локальные сети за ними (без протухания маршрутов, по возможности)
Подскажите, если ether1 и ether 5 объединены в bridge для iptv, а на сам bridge навешан pppoe, то что считать в интерфейс листе WAN, для защиты от сети провайдера и сети интернет - bridge и pppoe или только что-то одно, или все 4 интерфейса.
iptv работает и без pppoe. И в nat'e указывать WAN или ether1?
Как только Вы добавляете какие-либо интерфейсы в бридж, они перестают существовать сами по себе для уровней, выше чем L2 (ip, маршрутизация). С этого момента вы оперируете во всех настройках только бриджом. Никакие настройки, в которые вы добавите (или они были добавлены ранее) ether1,5 работать не будут. В фаерволлы надо добавлять только бридж (в IP-фаер, если Вы присвоили ему адрес, либо в его фаер, если оставили без IP, т.е. на L2). Во избежение конфликтов с доступом, старые настройки IP с ether1,5 надо убрать (отключить). Бридж сейчас является новым "физическим" L2/L3-интерфейсом. PPP и все прочие работают через него. Интерфейс-листы нужно откорректировать, добавив в них бридж (и отключив ether1,5).
спасибо!...очень грамотный...смотрел с удовольствием
всё таки на сколько проще настраивать микротик по сравнению с TMG сервером -). Осталось прикрутить его к ad через радиус и будет наверное очень не плохо (если это возможно)
Можете помочь настроить ?
Роман, подскажи адекватный мануал по сборке сквида под дебиан? имею в виду один из вебинаров, где использовалась конфигурация прокси+микротик+анализатор трафика. благодарю заранее!
Не нашли?
@@Иван-х1ж3х увы, нет. да и не искал особо. пришлось хорошенько покурить мануалы и собрать всё самому
можно еше раз такое конфиг спосибо вам
Весь мир: -"Давайте упростим это устройство чтобы не отвлекаться от важного"
Латвийские разработчики mikrotik: -"Давайте сделаем больше серых страшных окон и все настройки в ручную двоичным кодом!"
еще и через жопу
Вообще-то в МикроТиках в настройках в самом начале есть кнопка Quick Set, по которой открывается единое окно, где можно выбрать один из типовых сценариев использования роутера и тут же в этом окне вбить все настройки (ip-адреса, NAT, порт-форвардинг, логины, пароли и т.д.). Для простых случаев вроде "раздать интернет дома кабелем на комп и по WiFi на смартфон" этого достаточно. А кому надо больше настроек, тому придётся ручками всё настраивать. Вот для них и предназначены эти тренинги, курсы и гора тех. документации.
Да узнал много чего нового например про маскарад. А что так можно было...
1:21:41 защитили с внешней стороны, А как мы до сих пор подключены по мак адресу остались? Я настраивал по внешке подключившись по мак адресу и меня не выбило...
Потому что Firewall фильтрует ip-пакеты (уровень 3 в модели OSI), а не "кадры" Ethernet (уровень 2 в модели OSI). Так что если и вы, и роутер находитесь в пределах одного broadcast domain, то связь по mac-адресам будет. Так что если ваш комп к роутеру подключен напрямую кабелем или через свитч, то связь будет. А если между вами ещё какие-то роутеры есть, то по mac-адресу не подключишься. Я тоже был удивлён, когда узнал, что прикладная программа типа winbox может установить связь по mac-адресам. Раньше я думал, что вся эта "кухня" с mac-адресами заканчивается на уровне драйверов сетевой карты или самой операционной системы, и прикладному софту недоступна. Кстати, не только winbox такое умеет. Ещё и всякие утилиты для камер видеонаблюдения тоже могут к "своим" IP-камерам подключаться по mac-адресу, если они в одной локалке и связаны не через роутеры.
WiKi
Disable mac-telnet services
/tool mac-server set allowed-interface-list=none
/tool mac-server print
Disable mac-winbox services
/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server mac-winbox print
Disable mac-ping service
/tool mac-server ping set enabled=no
/tool mac-server ping print
Bandwidth server is used to test throughput between two MikroTik routers. Disable it in production enironment
/tool bandwidth-server set enabled=no
@@rinat1985 Да, но надо учесть, что для mac-telnet и для mac-winbox отдельные списки allowed-interface-list, а то человек отключит mac-telnet и будет удивляться, что его dc` hfdyj пускают по mac-адресу через winbox
Все хорошо, но это "ацепт" режет ухо. Accept-эксепт. Второй случай такого неверного прочтения двойной с это accident.
правила фаервола сверху вниз, почему разрешающие сверху? по логике первое правило должно дропать все, а остальные открывать что нужно. тут же получится что мы открыли все что нужно, а затем следующим правилом все закрыли или чего то не понимаю?
По-моему тоже он тут накосячил. Именно вот так если настроить, то Mikrotik 2011 работает гораздо хуже чем ASUS RT N12
Потому что таблицу с правилами роутер просматривает сверху вниз до первого совпавшего правила. А как только правило совпало, то на остальные правила роутер уже не смотрит (кроме совпавших "passthrough"-правил. После них таки всё же смотрит дальше по списку). Так что если "верхнее" правило разрешило принять пакет, то роутер пакет примет, даже если "нижние" правила говорят ему отбросить все пакеты
Он разрешает established и related, после чего дропает все остальные на input и forward. Таким образом new/invalid не подпадают под разрешающие правила, а дропаются
zdrastvuyti. vi mojeti mne nastroir routrerboard RB3011 UiAS-RM. dlya ofisa s ogranicheniem skorosti i s ogranicheniem na nekotorie saytov i mesenjerov. Sposibo
Как с такими настройками пробросить порт. Временно отрубил фаерволл. Включил DDNS и пробросил порт на локальный комп 3389 (RDP), IP локального пк указан верно. настройки: dstnat, tcp, DST.port 5555, In.interface: bridgeLAN. Action: netmap, To address: IP пк, порт 3389. Подскажите пожалуйста
Не смотрел вебинар , но в action надо dst nat а не netmap . In interface тоже уберите если не понимаете для чего это и все будет работать
@@itsupport2430 я правильно понимаю, что In. Interface - это тот интерфейс, откуда ожидается запрос к нашему серверу? Тогда надо указать внешний интерфейс ether1-WAN или как он там назван в настройках. Так?
@@ДмитроЗасядько-о3л да все верно, это входящий интерфейс ожидающий подключения
Видео настройка микротик за 59 минут занимает 1 час 46 минут.
Может делать видео именно с настройкой, без болтавнм и прочего ? Чтобы название соответствовало таймингу ?:)
Ответы на вопросы и тд. Не было задачи уложится в тайминг - название больше «исторически так сложилось»
@@MikrotikTraining ясно :)
Ещё вопрос - вы не думали создать курс по микротику для тех кто вообще с нуля ? Кто не знает микрот, кроме как Квик сетап сделать для домашнего использования и емеет базовые знания по сетям ?
Скороснов есть такой, у него есть подобный курс, но у него я не хочу учиться по определённым обстоятельствам. А вот у вас возможно заинтересовался бы подобным курсом
@@MikrotikTrainingСкажите, пожалуйста, а RouterOS от Mikrotik бесплатное или платное?
Этот офис должен держать у себя штатного администратора с лицензией от микротик ибо в ином случае будет быстро взломан, зачем кому-то эти танцы с бубнами, если есть более понятное оборудование с которым сможет справится любой интузиаст без танцев с бубнами
Спасибо.
59 минут на настройку роутера это сильно) Я перестал использовать микроны, наигрался не интересно и нудно настраивать, кинетики в сто раз приятнее и быстрее. Простите, а зачем при обновлении прошивки 2 раза обновлять ее в разных местах? Это фишка такая, что бы народ нерабочее оборудование получал и писал в тп которая его нахрен посылает. Я вот 7 лет их настраиваю толко сейчас узнал что нужно 2 раза апгрейд запускать.
Тоже года с 2014го пользую, но ни разу они не окирпичились из-за несоответствия версий.
Всё равно хорошее видео конечно
HELP! Настроил по вашей инструкции с той лишь разнцей что IP получаю от провайдера по DHCP. Соответственно включил DHCP clien на 1 порт и получаю от провайдера IP 10.x.x.x, шлюз и DNS провайдера с роутера пингуются. Но пока в роуте не добавишь маршрут 0.0.0.0/0 со шлюзом провайдера инета нет... NAT включен, маскарад включен. Дайте наводку!
Те же самые настройки отлично пашут дома на другом провайдере. (mac подменял)
Думаю, наводка в том, что в настройках DHCP клиента надо ставить галку (или выбирать пункт) Add Default Route. Иначе придется добавлять его руками.
@@prezid9586 Prez Id под рукой ныне нет девайса, но я разобрался. У некоторых провайдеров есть какая то древняя шляпа которая блочит автоматическое добавление маршрута по dhcp на шлюз. Выход из положения:
Номер 1: это ручками, как я указал выше, прописать шлюз на нулевую подсетку (косяк может быть в том что при смене шлюза, Вам придется ручками править маршрут).
Номер 2 он же самый правельный: указать в настрйках dhcp клиента вместо "add default rout" выбрать "special чета там". заходим в роут и вуаля на нулевой подсети встает автомат шлюз провайда . Сей варик рили канает у "особенных провайдерах".
Думается что сие инфо будет крайне полезно вникающим в тему комрадам.
Видео мне подсказало одну простую истину "рубай весь левый трафик на входящий интерфейс, особенно глуши dns и не забудь заблочить nigebords для левых адресов" иначе жди беды..
По сути лучше обрезать все, а кромя порткнокинга. Для дома зарубить все на входящий интерфей, добавить свою подседку в nigebors и забыть...
Настраиваем микротик за 59 минут. А видео идет 1 час 46 минут. 🤔
Не метрика, а административное расстояние)
Ж - Логика (Mikrotik). НАхрена такие танцы, это на сколько надо иметь больную психику что бы вообще придумать такие квэсты для настройки? За видео огромное спасибо.
Я пытался, честно. пойду дальше работать с циской, Фортигейтами, и прочим шлаком
прикольно, но непонятно как для меня чайника)
И по IP больше не заходит ни с одного порта... Ни Лан ни Ван.
Насмотревшись подобных роликов, прикупил себе домой такое литовское чудо. Как оказалось, файловая система для внешнего накопителе с виндой не дружат. Продолбавшись денек, отнес обратно в магазин и купил кинетик. Минут 15 настройки и все готово.
Поздравляю с правильным выбором.
Народ звука только у меня нет?
окно Winbox на весь экран бы
водолей
01:15:12 "...но тазик поставь". Что за "тазик"? :)
:))). ПК. Под линукс нужен как минимум ПК, что сразу же удорожает решение бесплатного линукса на цену ПК. Это старый it-шный жаргонизм из 90-х.
Дякую.
Слишком много рекламы
Сорян, не удержался) Вот......ээээээ....вот......ну и ээээээээ воооооттттт......вооотттттт.....ааааа...вооот
вот
Вот
За 1.59
ЦС понятней и быстрее твоей нудятины мне помог.
Вижу что шаришь , но учить и объяснять - не твое
Уахаха за 59 секунд . Я не буду час своей жизни тратить на настрйку этог лучего в мире роутера)))
какой час? он настраивается за 10 минут, с готовым экспортом за полминуты, покажите, как разжевать настройку дружелюбного keenetic за 20 минут времени, даже без бриджей, firewall и QoS, но так, чтобы домохозяйка поняла, что это и как работает в общих чертах, чтобы настроить самостоятельно, и не врите, что там включил и пароль поставил на WiFi и всё на этом, речь именно в таком же уровне понимания, что к чему, которое в данном видео давалось
@@rinat1985домохозяйке не нужно настраивать ни то, ни другое.
Рома, подача хорошая ну вот а после вот и вот слово паразит.