Что можно, а что нельзя делать на оборудовании Mikrotik

Рет қаралды 28,196

Күн бұрын

Наш Telegram-канал: t.me/miktrain
Ссылка на презентацию спикера: mikrotik-training.ru/files/202...
Карпов Кирилл (практикующий специалист по Mikrotik) поднимает вопрос правильного использования различных функций при работе на MikroTik.
Тайм-коды:
0:00 Начало
2:16 Что можно, но не нужно
2:21 Анализ и отличия netmap и dst-nat
3:14 port to-port - о пробросе портов из диапазона в диапазон
3:56 В каких случаях не подходит автоматическая замена адреса источника (masquerade)
5:06 О целях UPnP
6:28 Как отказаться от VLAN Filtering
7:56 Возможность использования EOIP Tunnel
10:01 Маркировка трафика
11:02 Все о способах нагрузки железа под 100%
14:54 Работа с логами или, вертим логи как хотим
16:50 Веселая маршрутизация (разбор кейса)
19:56 Причины плохой передачи данных в беспроводных компьютерных сетях (Wi-Fi)
23:38 IPSec, туннелирование. Где могут быть ошибки?
23:45 RouterBOARD: прошивки и обновление
26:37 Как правильно пробросить большой диапазон портов для FTP трафика?
27:34 Если имеется маркировка входящих соединений, как правильно маркировать пакеты?
28:39 Нужно ли использовать raw-таблицы для блокировки ненужного трафика?
32:29 wiki.mikrotik.com - серия документов и информации для «чайников» по Микротик
33:28 Как правильно сделать правило для Sip с резервацией каналов?
36:52 Как уменьшить мощность Wi-Fi без антенны?
37:57 Можно ли выставить мощность автоматически, чтобы не переваливать за нормативные акты страны, в которой располагается Микротик?
38:25 Что делать, если при включении правило DROP участия абонентов пропадает интернет?
39:41 Что следует использовать, если необходимо фильтровать большое количество адресов? Стоит ли разбивать список на части, и как их лучше загружать на Микротик?

Пікірлер: 45

@zloymg 8 ай бұрын

3 года прошло, но для меня это самое интересное видео.

@user-yz8th4xk2i 3 жыл бұрын

Кирилл хороший спикер, интересно слушать

@aparanin 3 жыл бұрын

Очень позитивный автор! Делай еще контент

@aleksbotler5358 8 сағат бұрын

4:56 "Минус маленький процент нагрузки..." За счет чего возникает дополнительная нагрузка при маскарадинге и каков конкретно этот процент? Если надо, для конкретики пусть это будет железка RB750Gr3

@assad- 3 жыл бұрын

не знаю как на работе, но дома смысла использовать микротик нет вообще. настройка переусложненная, при это микротик даже не пробудет софт сделать более дружелюбным. я пока пользовался asus, netgear, вообще даже не думал о srcnat, dstnat, masquarade. все настраивается двумя кликами. при этом были бы железки топовые, а нет. короче кому-то это наверное интересно, но могу дать свои три совета: 1. если не знаешь зачем микротик -- просто не бери его. 2. не советуй своим знакомым микротик, если не хочешь на них зарабатывать ( ну еслипросто хочешь им подгадить, или ты такой альтруист и времени у тебя вагон, чтобы им настраивать все бесплатно, то тогда ок) 3. не советуйте на формумах микротик, особенно если потом будете говорить, что просто ты его не умеешь настраивать.

@user-rs3dd4jw3y 3 жыл бұрын

Делал наоборот, растерял друзей

@assad- 3 жыл бұрын

@@user-rs3dd4jw3y странные у вас друзья. у меня были 5 разных роутеров/точек доступа. от это какого то древнего асус, потом apple, потому netgear, потом mikrotik. в данный момент два микрота и netgear. вот ни у одного из них не было никаких проблем вообще, кроме сложностей настроек у микротов. ну иногда редко редко точка доступа микрот wapac подвисает, но некритично. поэтому не понимаю, если вы друзьям настраиваете сеть, то не все ли им равно? или у них принцип -- не микротик == отстой. ну тогда и не дружите с такими. если они готовы пожертвовать дружбой только из-за своих тараканов в голове. только не говорите мне, что я не умею настраивать микрот. да не умею и не хочу учиться.

@Mekioros 2 жыл бұрын

Доброе время суток, немного не понял про маскарад и сурс нат, где можно почитать?

@walter_kurtz 3 жыл бұрын

про обновление - я на 9 из 10 видел что upgrade не делают. про wifi было интересно, не моя тема, но познавательно. про access-list мало информации в данном видео. есть в других видео на канале. sip на multiwan реально надо дропать скриптом, работает как часы. запилите про l7 и инспекцию трафика.

@imnotj3sus 3 жыл бұрын

То сложное чувство, когда устыдился и покраснел на вланах в бридже, а к концу видео понял, что могло было быть гораздо, гораздо хуже. Но уже полез править конфиг.

@MrDyoma 3 жыл бұрын

Спасибо

@Vitalykrt 3 жыл бұрын

Видел в одной конторе как на микрот навешали всё что только можно было навешать и он молотил 80-95% 24 часа в сутки 7 дней в неделю. На нем висели пачка виланов, огромная портянка из фаервольных правил с не менее огромным списком адресов, маршруты, тонели, видеонаблюдение, весь трафик кучи филиалов, дхцп на на все виланы, днс, вообщем по моему всё что есть в микроте то и было, я говорю - а вы не боитесь так вот всё оставлять, он когда нибудь отключится и хана, железки запасной нет. Но вроде работают пока)

@ekerlostw 3 жыл бұрын

У меня вообе в типовом конфиге для оконечного оборудования порядка 300 строк в скрипте... При чём на брасе на ядре строк 150 от силы, а на оконечке фарш - пара аплинков, туннели до ядра (кстати не такой уж простой конфиг если 2 провайдера, туннели нужны по обоим одновременно и туннели стучатся по доменам), маршрутизация, фаервол, вайфай, dhcp, hotspot, местами даже mpls по туннелям чтобы vrf прокинуть... Но в принципе 750Gr3 всё пережёвывает и не умирает (разве что кто-нибудь из локалки мультикастом зафлудит, но это не каждый день).

@SnakeUltra 3 жыл бұрын

про маскарад не понял вначале :(

@alexspb4455 3 жыл бұрын

C ACL на вайфай не соглашусь. Ну вы по уровню сигнала отстрелите клиента с точки доступа, но вовсе не факт, что он полезет на другую с лучшим сигналом. Он вполне вероятно продолжит попытки подключения к все той же AP-шке . И AP продолжит сбрасывать все его попытки подключения. И клиент, вместо хоть какого-то дохленького интернета на мобилке не получит вобще ничего.

@user-vy4sf5fl3n 2 жыл бұрын

vlan filtering не совместим с железами 1-2 CRS-ов, поэтому есть логика в том что под бриджом может находится манаджемент влан.А остальные в меню свич.А уже на 3-ей серии уже бесмысленно, там влан филтеринг с хардваре оффлоадом.

@husi4499 3 жыл бұрын

privet iz baku.umenya mikrotik 951 .vo vremya torrenta cpu zaqrujaetsya na 40 50 % .cto delat?spasibo za otvet.ewe kak zakrit torrent na mikrotike

@ekerlostw 3 жыл бұрын

Если речь о домашнем решении (без экзотики в фаерволе), то лучше всего настроить fasttrack - нагрузка от того же торрента снижается кратно.

@zloymg 3 жыл бұрын

@@ekerlostw согласен с вами, фасттрак поможет, но мне кажется что тут надо смотреть на настройку фильтров - загрузка с разницей в 50% это ненормально.

@kterik 3 жыл бұрын

Касательно IP/Services, куда Кирилл настоятельно посоветовал прописывать Address List: при попытке так сделать WinBox выбрасывает ошибку, замечая, что ждёт сугубо «network address». Версия 6.46.7. Каким образом Кирилл смог туда впихнуть адресный список?

@LexxChi 3 жыл бұрын

Я так понял, что призыв был вообще не юзать IP/Services, а ограничивать доступ сугубо через IP/Firewall используя адрес листы

@kterik 3 жыл бұрын

@@LexxChi В таком случае выступающий в видео человек, пожалуй, мог прямо так и сказать, а не фотошопить картинку с недопустимой настройкой сервиса. Видео обращено неопытным администраторам, и лучше показать нужное правило на инпут.

@mishashiposh2924 3 жыл бұрын

Да... позитивный парняга, видно что много по граблям ходил, НО! Профит = просто послушал сказки на ночь.....

@woeroses 3 жыл бұрын

Большое количество ip в роутинг таблицу можно по bgp всасывать.

@ekerlostw 3 жыл бұрын

Ну что, колимся у кого больше косяков по списку;) У меня только капсмен без аксес-листов... (за то каков масштаб - минимум пара сотен вайфай зон...)

@husi4499 3 жыл бұрын

Vlan filtering ispolzivat ili net?

@TheNaarzool 3 жыл бұрын

использовать. Это та же метка влана только в бридже

@husi4499 3 жыл бұрын

@@TheNaarzool spasibo za otvet.toqda vcem raznica etoy qalicke na vlan filtering?

@TheNaarzool 3 жыл бұрын

@@husi4499 в конечном итоге - меньше нагрузка на цпу. Если на примере конфет то это когда уже завернутые в фантик конфеты ты просишь еще раз завернуть, вместо того чтобы просто сказать дома - в желтой обертке - шоколадные, а в синей с орехом )))

@husi4499 3 жыл бұрын

@@TheNaarzool Spasibo brat

@jam62 3 жыл бұрын

Сервайсес режет ухо. А на дворе аж 2020 год. ))

@sir.Geronis 10 ай бұрын

Ну я поумничаю, но скажу. Не давайте доступ к микроту из интернета, даже через Access List, только через ВПН, отдельный для админов. Только так.

@user-vy4sf5fl3n 2 жыл бұрын

а ipsec если трогать, не работает потому что ( наверное) многие девайсы не умеют аутентифицироватся по никакому протоколу кроме SHA1

@user-ye4bp5nv5d 3 жыл бұрын

У меня походу даже не один Кирилл плачет)))) Пришел на новую работу тут версия вообще 3.41)))))))))))))))))) ууухахахахахаахаааа

@bushcraft.azerbaijan 2 жыл бұрын

у меня Кирил плачет но совсем совсем мало- 6.43.10 и 6.44.4 а так вобше должен быт 6.48 ))

@VasYa Жыл бұрын

Конечно это некропостинг, но блин на каждую проблему - неплохо бы сразу объяснять на пальцах, что не так и как поправить. Иначе зачем это всё? Можно было просто прокликать слайды с картинками и всё

@alexandroskolkov2231 3 жыл бұрын

для тех кто не патчит роутербоард отдельный котел в аду

@user-sd5sr5rz8w 3 жыл бұрын

Он умный сам все сделает... Дефолтные правила не трогайте на то они и дефолтные))))

@Kchtulhoo 3 жыл бұрын

какака громкая запись! гугель режет не по детски..

@michaelzilberman3141 3 жыл бұрын

Чувак любуется собой, а что хочет сказать не всегда понятно. Короче, рассказчик плохой, да и знаний маловато, судя по некоторым ремаркам.

@aleksbotler5358 3 жыл бұрын

Обновишь, а потом косяк словишь.

@KonstantinovAG 2 жыл бұрын

Слушать интересно, но про вифи - печально. Имхо - пусть лучше будет скорость 36 чем не будет вифи вообще.... А если он еще и в локалке что-то хочет - очевидно что если его отрубит в локалку он вообще не попадет ..... Не надо так :)