Сб, 16.12.2017, 22:19
Форум інформатиків України
Головна Реєстрація Вхід
Вітаю Вас, Гість · RSS
Вітання на форумі
Незнайомець
Вітаємо на форумі,
Незнайомцю!

   
зареєструйтесь
Перед реєстрацією обов’язково прочитайте:
Оновлення Учасники Пошук
Особисті повідомлення
Видавництво ’’Аспект’’ Видавництво

Сторінка 2 з 4«1234»
Модератор форуму: НІКОЛЯ, Ktara, Bandalak, volevikt 
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.2 Мережні технології » Шифрування в Mikrotik (обговорення)
Шифрування в Mikrotik
Ковальчук_Олександр Дата: Нд, 15.05.2011, 20:28 | Повідомлення № 1
Ветеран спілкування
Повідомлень: 3631
Нагороди: 17
Рейтинг: 197
В даній темі пропонується поговорити про можливі варіанти організації шифрування в Mikrotik 4.x

В чому суть моєї проблеми? Маємо 40 клієнтів, які підключені до 3х різних базових станцій на основі Mikrotik 411AH з встановленою Mikrotik Router OS 4.14. В перспективі розширення до 70 клієнтів. Шифрування відключено, тобто будь-який користувач може підключитись до станції і використовувати інтернет без обмеження швидкості. Але окрім того і існуючі клієнти змінюють ІР-адреси і отримують безлім по швикості, тим самим забираючи трафік на себе. Постала необхідність включити шифрування щоб, по-перше, ніхто лівий не міг підключитись і отримувати інтернет, а по-друге, не балувались існуючі клієнти. Кожному клієнту виділено 2 ІР-адреси: для точки доступу та локальної мережі.
Потрібно зробити щось типу прив’язки мак-адрес - ІР-адрес, щоб при зміні ІР-адреси на модемі і (або) на мережеві платі інтернет пропадав. Ну і щоб ніхто лівий не міг підключитись.
Хто підкаже як зробити такі налаштування або дасть посилання на мануал, буду дуже вдячний.
Як я розумію, шифрування включається тут (див. малюнок), але як його правильно налаштувати і які потрібні налаштування з боку клієнта, не ясно.

НІКОЛЯ Дата: Вт, 17.05.2011, 11:44 | Повідомлення № 16
Знавець вірусів
Повідомлень: 2877
Нагороди: 17
Рейтинг: 201
Можна взагалі підняти VPN сервер на основі MikroTik RouterOS v.2.9.6 щас якраз пробую з цікавості докладніше http://expertbilling.ru/page/mikrotik.html
Andrey123q Дата: Вт, 17.05.2011, 12:09 | Повідомлення № 17
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
Quote (НІКОЛЯ)
Можна взагалі підняти VPN сервер на основі MikroTik RouterOS v.2.9.6 щас якраз пробую з цікавості докладніше

да, там в принципе все просто. бесплантной лицензии (level 1) хватит если не ошибаюсь только на 1 vpn-тоннель.


Відредаговано: Andrey123q - Вт, 17.05.2011, 12:12
volodschool2 Дата: Вт, 17.05.2011, 16:30 | Повідомлення № 18
Досвідчений учасник
Повідомлень: 1388
Нагороди: 12
Рейтинг: 297
Quote (Andrey123q)
бесплантной лицензии (level 1) хватит если не ошибаюсь только на 1 vpn-тоннель

Mikrotik RouterOS v.2.9.6 ( level 6 %) ) легко знайти в інтенеті , а от 3.х чи вище з нормальними ліками знайти не можу. Знайшов один варіант 3.22, після танців з бубном вдалося примусити працювати більше 24 годин, але не захотів нормально працювати Queues, довелось повернутись до застарілої, але стабільної 2.9.6. Може хтось зустрічав нормально вилікувану 3.х? Киньте лінк в ОП, на весіллі відтанцюю :)


Відредаговано: volodschool2 - Вт, 17.05.2011, 16:30
Andrey123q Дата: Вт, 17.05.2011, 17:05 | Повідомлення № 19
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
volodschool2, в курсе пробовал, взломщик там под gentoo по-моему. %)

Додано (17.05.2011, 17:04)
---------------------------------------------
у меня лежит на кампе какой-то Mikrotik_3.20, содержимое папки:
12.09.2010 14:15 <DIR> db_roskey
12.09.2010 14:15 <DIR> Gentoo ISO
12.09.2010 14:00 <DIR> keys
12.09.2010 14:14 <DIR> roskey-livecd ver-1
12.09.2010 14:15 <DIR> routeros-x86-3.20
12.09.2010 14:15 <DIR> routeros-x86-3.22
12.09.2010 14:15 <DIR> Unknown ver-1.1

Додано (17.05.2011, 17:05)
---------------------------------------------
См. rutracker.org

Ковальчук_Олександр Дата: Вт, 17.05.2011, 17:26 | Повідомлення № 20
Ветеран спілкування
Повідомлень: 3631
Нагороди: 17
Рейтинг: 197
Через gentoo ломається, але довго і незручно. Значно простіше через ssh (деталі в архіві, який можна скачати з http://rutracker.org/forum/viewtopic.php?t=2865824)
Там версія 3.30.
А наша фірма потрохи переходить з самопальних мікротіків на роутерборди, з установленою ліцензією. Маємо в арсеналі вже 2x411AH, 1 411AR, 1 433AH. Працюють стабільно і без глюків.
volodschool2 Дата: Вт, 17.05.2011, 17:27 | Повідомлення № 21
Досвідчений учасник
Повідомлень: 1388
Нагороди: 12
Рейтинг: 297
Quote (Andrey123q)
См. rutracker.org

Брав і там, все працює, окрім Queues. Є одна мисля щодо цього, я брав бекап конфігурації з 2.9.6 і підкидав в 3.22, може тому і не працюєнормально. Настроювати все з нуля не хочеться, займе багато часу, клієнти будуть сидіти без інтернету. Треба буде скласти з "неліквідів" ще одного системника і на ньому поекспериментувати.
Quote (Andrey123q)
12.09.2010 14:00 <DIR> keys

Цікавить вміст цієї папки, а точніше KEYS/L6/*.* При зламуванні доводиться довго чекати, поки генту видасть наявний в цій папці ключ.
Quote (volodschool2)
Значно простіше через ssh

Ссилочку на інструкцію можна?


Відредаговано: volodschool2 - Вт, 17.05.2011, 17:35
Ковальчук_Олександр Дата: Вт, 17.05.2011, 17:51 | Повідомлення № 22
Ветеран спілкування
Повідомлень: 3631
Нагороди: 17
Рейтинг: 197
При використанні ssh підбирається ліцензія 4 рівня і досить швидко.
Якщо поставити версію 3.30 (3.22), Queues повинно працювати, правда для цього потрібно видалити або відключити пакет xen.
volodschool2 Дата: Вт, 17.05.2011, 18:07 | Повідомлення № 23
Досвідчений учасник
Повідомлень: 1388
Нагороди: 12
Рейтинг: 297
Quote (Ковальчук_Олександр)
потрібно видалити або відключити пакет xen

Цього не знав, а що це за пакет, в 2.9.6 такого немає. Буду пробувати.
Ковальчук_Олександр Дата: Вт, 17.05.2011, 23:03 | Повідомлення № 24
Ветеран спілкування
Повідомлень: 3631
Нагороди: 17
Рейтинг: 197
Quote (volodschool2)
а що це за пакет


Я коли ставив Мікротік 3.22 встановив всі пакети, серед них був xen, Queues не працював, а після відключення цього пакету все запрацювало і працює до цих пір.
Quote (volodschool2)
Ссилочку на інструкцію можна?

В ОП.
volodschool2 Дата: Вт, 17.05.2011, 23:39 | Повідомлення № 25
Досвідчений учасник
Повідомлень: 1388
Нагороди: 12
Рейтинг: 297
Дякую, хороша інструкція, пригодиться. Проблем з лікуванням мікротіка в мене не було, використовував диск, при загрузці з якого з’являється меню з двох пунктів :
1. Установка RouterOS
2. Установка ключа.
Після установки мікротіка (1) знову загружався з диска і вибирав другий пункт меню, через декілька секунд воно запропонувало перезагрузку і сказало, щоб я підкинув мікротіку такий-то ключ. Виявилося, що на цьому диску в окремій папці лежить потрібний ключ (Level 6)! Його я й скормлював мікротіку. Все працювало, окрім куоса. На днях спробую повторити всі дії на іншому вінчестері без установки xen (погуглив, дізнався, що він потрібен для віртуальних машин), підставлю в системник замість вінчестера з 2.9.6 . Не розумію, як впливає пакет xen на дієздатність Queues, сподіваюсь все запрацює. Цікаво, а як Ви здогадалися відключити xen?


Відредаговано: volodschool2 - Вт, 17.05.2011, 23:40
Ковальчук_Олександр Дата: Вт, 17.05.2011, 23:52 | Повідомлення № 26
Ветеран спілкування
Повідомлень: 3631
Нагороди: 17
Рейтинг: 197
Здогадався методом научного втику. Почав по черзі відключати пакети. Але не факт, що воно спрацює й у Вас, спробуйте.
volodschool2 Дата: Чт, 19.05.2011, 10:54 | Повідомлення № 27
Досвідчений учасник
Повідомлень: 1388
Нагороди: 12
Рейтинг: 297
Всі версії мікротік http://admin.roset.cz/download/mikrotik/

Додано (19.05.2011, 10:54)
---------------------------------------------
Встановив на інший вінчестер v.3.22 без xen, підкинув свій бекап від 2.9.6, обновив до 3.30 - все працює, навіть Queues! Олександре, Вам великий + за підказку з відключенням xen!

Ковальчук_Олександр Дата: Чт, 19.05.2011, 13:45 | Повідомлення № 28
Ветеран спілкування
Повідомлень: 3631
Нагороди: 17
Рейтинг: 197
Будь-ласка. Да, без Queues мікротік виглядає дещо "немічним". Сам довго награвся, поки здогадався відключити цей пакет.
Ковальчук_Олександр Дата: Ср, 01.06.2011, 15:32 | Повідомлення № 29
Ветеран спілкування
Повідомлень: 3631
Нагороди: 17
Рейтинг: 197
Виникає кілька питань з шифруванням.
1. На базі в іншому населеному пункті вирішили спробувати шифрування WPA2 PSK. Вмикаємо його так як показано на малюнку:

Все працює, з ноута щоб підключитись потрібно ввести пароль мережі, який задається в полі WPA2 Pre-Shared Key.
Але нам потрібно підключатись з тп-лінків 5210g, а де там вказати цей пароль, щоб працював Інтернет не зрозуміло.

Поки що замість шифрування зробив авторизацію по мак, тобто зняв галочку Default Authenticate у властивостях безпровідної карточки і в закладці Access List прописав мак-адреси модемів клієнтів.

Впринципі це вирішило питання, що ліві люди зі своїми ноутами до мережі не зможуть підключитись, але не вирішило питання зміни ІР існуючими клієнтами. А міняють вони з метою отримання безліму по швидкості, тому що Quesses прописана під певні ІР. Тут би прийшло на допомогу описана volodschool2 прив’язка МАК+ІР через таблицю ARP. Але не можу зрозуміти, з якого дива воно не працює на жодному нашому мікротіку. Зразу скажу, що у властивостях карточки поставив ARP: reply-only, не працює, хоч танці з будном танцюй.
volodschool2 Дата: Ср, 01.06.2011, 20:41 | Повідомлення № 30
Досвідчений учасник
Повідомлень: 1388
Нагороди: 12
Рейтинг: 297
Quote (Ковальчук_Олександр)
не можу зрозуміти, з якого дива воно не працює на жодному нашому мікротіку

Ковальчук_Олександр, не лякайте, у мене ця система працює на мікротіку, зробленому із старенького пентіума з встановленою RouterOS v.3.30, вчора замовив через інтернет магазин і завтра маю забрати MikroTik RB750. Захотілося побалувати себе цим апаратом, але після Вашого повідомлення виникають сумніви щодо правильності мого рішення придбати апаратний мікротік. Невже доведеться продовжувати мучити старенького пенька?
Ось таких маніпуляцій було достатньо, щоб зробити прив’язку MAC+IP:


А щодо тп-лінків 5210g, то Ваше повідомлення також мене здивувало, я також не знайшов способу активувати WPA-PSK/WPA2-PSK. Із шифрування в режимі репітера вмикається тільки WEP. Але я шифрування не використовую, тому не буду з цим гратись. Для цього ТД має лежати на столі, щоб можна було еспериментувати.
Тут десь Ніколя розхвалював наноси і писав, що 5210g "курить в сторонці", то хочу заперечити, я купився на це повідомлення і одному клієнту придбали NanoStation2. Тепер маю мороку через нестабільність роботи цього чуда техніки, впевнений, що тр-лінк працював би набагато краще, та й ціна в нього відчутно менша. Доведеться знайти клієнта, який живе на відстані 50-100 м і йому перепродати злощасний нанос.


Відредаговано: volodschool2 - Ср, 01.06.2011, 20:44
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.2 Мережні технології » Шифрування в Mikrotik (обговорення)
Сторінка 2 з 4«1234»
Пошук:


© Форум інформатиків України, 2007-2017.