 |
Вітаю Вас, Гість · RSS |
 |
Шифрування в Mikrotik
| |
kom_adm |
Дата: Su, 15.05.2011, 20:28 | Повідомлення № 1 |
Ветеран спілкування
Повідомлень: 3767
| В даній темі пропонується поговорити про можливі варіанти організації шифрування в Mikrotik 4.x В чому суть моєї проблеми? Маємо 40 клієнтів, які підключені до 3х різних базових станцій на основі Mikrotik 411AH з встановленою Mikrotik Router OS 4.14. В перспективі розширення до 70 клієнтів. Шифрування відключено, тобто будь-який користувач може підключитись до станції і використовувати інтернет без обмеження швидкості. Але окрім того і існуючі клієнти змінюють ІР-адреси і отримують безлім по швикості, тим самим забираючи трафік на себе. Постала необхідність включити шифрування щоб, по-перше, ніхто лівий не міг підключитись і отримувати інтернет, а по-друге, не балувались існуючі клієнти. Кожному клієнту виділено 2 ІР-адреси: для точки доступу та локальної мережі. Потрібно зробити щось типу прив’язки мак-адрес - ІР-адрес, щоб при зміні ІР-адреси на модемі і (або) на мережеві платі інтернет пропадав. Ну і щоб ніхто лівий не міг підключитись. Хто підкаже як зробити такі налаштування або дасть посилання на мануал, буду дуже вдячний. Як я розумію, шифрування включається тут (див. малюнок), але як його правильно налаштувати і які потрібні налаштування з боку клієнта, не ясно.
|
|
| |
НІКОЛЯ |
Дата: Tu, 17.05.2011, 11:44 | Повідомлення № 16 |
Знавець вірусів
Повідомлень: 2878
| Можна взагалі підняти VPN сервер на основі MikroTik RouterOS v.2.9.6 щас якраз пробую з цікавості докладніше http://expertbilling.ru/page/mikrotik.html
|
|
| |
Andrey123q |
Дата: Tu, 17.05.2011, 12:09 | Повідомлення № 17 |
Досвідчений учасник
Повідомлень: 1236
| Quote (НІКОЛЯ) Можна взагалі підняти VPN сервер на основі MikroTik RouterOS v.2.9.6 щас якраз пробую з цікавості докладніше да, там в принципе все просто. бесплантной лицензии (level 1) хватит если не ошибаюсь только на 1 vpn-тоннель.
Відредаговано: Andrey123q - Tu, 17.05.2011, 12:12 |
|
| |
volodschool2 |
Дата: Tu, 17.05.2011, 16:30 | Повідомлення № 18 |
Досвідчений учасник
Повідомлень: 1609
| Quote (Andrey123q) бесплантной лицензии (level 1) хватит если не ошибаюсь только на 1 vpn-тоннель Mikrotik RouterOS v.2.9.6 ( level 6 ) легко знайти в інтенеті , а от 3.х чи вище з нормальними ліками знайти не можу. Знайшов один варіант 3.22, після танців з бубном вдалося примусити працювати більше 24 годин, але не захотів нормально працювати Queues, довелось повернутись до застарілої, але стабільної 2.9.6. Може хтось зустрічав нормально вилікувану 3.х? Киньте лінк в ОП, на весіллі відтанцюю
Відредаговано: volodschool2 - Tu, 17.05.2011, 16:30 |
|
| |
Andrey123q |
Дата: Tu, 17.05.2011, 17:05 | Повідомлення № 19 |
Досвідчений учасник
Повідомлень: 1236
| volodschool2, в курсе пробовал, взломщик там под gentoo по-моему.  Додано (17.05.2011, 17:04) --------------------------------------------- у меня лежит на кампе какой-то Mikrotik_3.20, содержимое папки: 12.09.2010 14:15 <DIR> db_roskey 12.09.2010 14:15 <DIR> Gentoo ISO 12.09.2010 14:00 <DIR> keys 12.09.2010 14:14 <DIR> roskey-livecd ver-1 12.09.2010 14:15 <DIR> routeros-x86-3.20 12.09.2010 14:15 <DIR> routeros-x86-3.22 12.09.2010 14:15 <DIR> Unknown ver-1.1 Додано (17.05.2011, 17:05) --------------------------------------------- См. rutracker.org
|
|
| |
kom_adm |
Дата: Tu, 17.05.2011, 17:26 | Повідомлення № 20 |
Ветеран спілкування
Повідомлень: 3767
| Через gentoo ломається, але довго і незручно. Значно простіше через ssh (деталі в архіві, який можна скачати з http://rutracker.org/forum/viewtopic.php?t=2865824) Там версія 3.30. А наша фірма потрохи переходить з самопальних мікротіків на роутерборди, з установленою ліцензією. Маємо в арсеналі вже 2x411AH, 1 411AR, 1 433AH. Працюють стабільно і без глюків.
|
|
| |
volodschool2 |
Дата: Tu, 17.05.2011, 17:27 | Повідомлення № 21 |
Досвідчений учасник
Повідомлень: 1609
| Quote (Andrey123q) См. rutracker.org Брав і там, все працює, окрім Queues. Є одна мисля щодо цього, я брав бекап конфігурації з 2.9.6 і підкидав в 3.22, може тому і не працюєнормально. Настроювати все з нуля не хочеться, займе багато часу, клієнти будуть сидіти без інтернету. Треба буде скласти з "неліквідів" ще одного системника і на ньому поекспериментувати. Quote (Andrey123q) 12.09.2010 14:00 <DIR> keys Цікавить вміст цієї папки, а точніше KEYS/L6/*.* При зламуванні доводиться довго чекати, поки генту видасть наявний в цій папці ключ. Quote (volodschool2) Значно простіше через ssh Ссилочку на інструкцію можна?
Відредаговано: volodschool2 - Tu, 17.05.2011, 17:35 |
|
| |
kom_adm |
Дата: Tu, 17.05.2011, 17:51 | Повідомлення № 22 |
Ветеран спілкування
Повідомлень: 3767
| При використанні ssh підбирається ліцензія 4 рівня і досить швидко. Якщо поставити версію 3.30 (3.22), Queues повинно працювати, правда для цього потрібно видалити або відключити пакет xen.
|
|
| |
volodschool2 |
Дата: Tu, 17.05.2011, 18:07 | Повідомлення № 23 |
Досвідчений учасник
Повідомлень: 1609
| Quote (Ковальчук_Олександр) потрібно видалити або відключити пакет xen Цього не знав, а що це за пакет, в 2.9.6 такого немає. Буду пробувати.
|
|
| |
kom_adm |
Дата: Tu, 17.05.2011, 23:03 | Повідомлення № 24 |
Ветеран спілкування
Повідомлень: 3767
| Quote (volodschool2) а що це за пакет Я коли ставив Мікротік 3.22 встановив всі пакети, серед них був xen, Queues не працював, а після відключення цього пакету все запрацювало і працює до цих пір. Quote (volodschool2) Ссилочку на інструкцію можна? В ОП.
|
|
| |
volodschool2 |
Дата: Tu, 17.05.2011, 23:39 | Повідомлення № 25 |
Досвідчений учасник
Повідомлень: 1609
| Дякую, хороша інструкція, пригодиться. Проблем з лікуванням мікротіка в мене не було, використовував диск, при загрузці з якого з’являється меню з двох пунктів : 1. Установка RouterOS 2. Установка ключа. Після установки мікротіка (1) знову загружався з диска і вибирав другий пункт меню, через декілька секунд воно запропонувало перезагрузку і сказало, щоб я підкинув мікротіку такий-то ключ. Виявилося, що на цьому диску в окремій папці лежить потрібний ключ (Level 6)! Його я й скормлював мікротіку. Все працювало, окрім куоса. На днях спробую повторити всі дії на іншому вінчестері без установки xen (погуглив, дізнався, що він потрібен для віртуальних машин), підставлю в системник замість вінчестера з 2.9.6 . Не розумію, як впливає пакет xen на дієздатність Queues, сподіваюсь все запрацює. Цікаво, а як Ви здогадалися відключити xen?
Відредаговано: volodschool2 - Tu, 17.05.2011, 23:40 |
|
| |
kom_adm |
Дата: Tu, 17.05.2011, 23:52 | Повідомлення № 26 |
Ветеран спілкування
Повідомлень: 3767
| Здогадався методом научного втику. Почав по черзі відключати пакети. Але не факт, що воно спрацює й у Вас, спробуйте.
|
|
| |
volodschool2 |
Дата: Th, 19.05.2011, 10:54 | Повідомлення № 27 |
Досвідчений учасник
Повідомлень: 1609
| Всі версії мікротік http://admin.roset.cz/download/mikrotik/ Додано (19.05.2011, 10:54) --------------------------------------------- Встановив на інший вінчестер v.3.22 без xen, підкинув свій бекап від 2.9.6, обновив до 3.30 - все працює, навіть Queues! Олександре, Вам великий + за підказку з відключенням xen!
|
|
| |
kom_adm |
Дата: Th, 19.05.2011, 13:45 | Повідомлення № 28 |
Ветеран спілкування
Повідомлень: 3767
| Будь-ласка. Да, без Queues мікротік виглядає дещо "немічним". Сам довго награвся, поки здогадався відключити цей пакет.
|
|
| |
kom_adm |
Дата: We, 01.06.2011, 15:32 | Повідомлення № 29 |
Ветеран спілкування
Повідомлень: 3767
| Виникає кілька питань з шифруванням. 1. На базі в іншому населеному пункті вирішили спробувати шифрування WPA2 PSK. Вмикаємо його так як показано на малюнку: Все працює, з ноута щоб підключитись потрібно ввести пароль мережі, який задається в полі WPA2 Pre-Shared Key. Але нам потрібно підключатись з тп-лінків 5210g, а де там вказати цей пароль, щоб працював Інтернет не зрозуміло.
Поки що замість шифрування зробив авторизацію по мак, тобто зняв галочку Default Authenticate у властивостях безпровідної карточки і в закладці Access List прописав мак-адреси модемів клієнтів.
Впринципі це вирішило питання, що ліві люди зі своїми ноутами до мережі не зможуть підключитись, але не вирішило питання зміни ІР існуючими клієнтами. А міняють вони з метою отримання безліму по швидкості, тому що Quesses прописана під певні ІР. Тут би прийшло на допомогу описана volodschool2 прив’язка МАК+ІР через таблицю ARP. Але не можу зрозуміти, з якого дива воно не працює на жодному нашому мікротіку. Зразу скажу, що у властивостях карточки поставив ARP: reply-only, не працює, хоч танці з будном танцюй.
|
|
| |
volodschool2 |
Дата: We, 01.06.2011, 20:41 | Повідомлення № 30 |
Досвідчений учасник
Повідомлень: 1609
| Quote (Ковальчук_Олександр) не можу зрозуміти, з якого дива воно не працює на жодному нашому мікротіку Ковальчук_Олександр, не лякайте, у мене ця система працює на мікротіку, зробленому із старенького пентіума з встановленою RouterOS v.3.30, вчора замовив через інтернет магазин і завтра маю забрати MikroTik RB750. Захотілося побалувати себе цим апаратом, але після Вашого повідомлення виникають сумніви щодо правильності мого рішення придбати апаратний мікротік. Невже доведеться продовжувати мучити старенького пенька? Ось таких маніпуляцій було достатньо, щоб зробити прив’язку MAC+IP: А щодо тп-лінків 5210g, то Ваше повідомлення також мене здивувало, я також не знайшов способу активувати WPA-PSK/WPA2-PSK. Із шифрування в режимі репітера вмикається тільки WEP. Але я шифрування не використовую, тому не буду з цим гратись. Для цього ТД має лежати на столі, щоб можна було еспериментувати. Тут десь Ніколя розхвалював наноси і писав, що 5210g "курить в сторонці", то хочу заперечити, я купився на це повідомлення і одному клієнту придбали NanoStation2. Тепер маю мороку через нестабільність роботи цього чуда техніки, впевнений, що тр-лінк працював би набагато краще, та й ціна в нього відчутно менша. Доведеться знайти клієнта, який живе на відстані 50-100 м і йому перепродати злощасний нанос.
Відредаговано: volodschool2 - We, 01.06.2011, 20:44 |
|
| |
© Форум інформатиків України, 2007-2022.  |