вторник, 23 октября 2018 г.

Построение MESH сети на устройствах Mikrotik Routerboard :: Настройка оборудования Mikrotik :: Настройка оборудования | Блог ASP 24

Построение MESH сети на устройствах Mikrotik Routerboard :: Настройка оборудования Mikrotik :: Настройка оборудования | Блог ASP 24

Значения MTU и MSS для PPTP, L2TP, IPSEC VPN-тоннелей поверх IP/Ethernet - Конференция iXBT.com

Значения MTU и MSS для PPTP, L2TP, IPSEC VPN-тоннелей поверх IP/Ethernet - Конференция iXBT.com

12 самых красивых фотографий дикой природы 2018 года | Журнал Популярная Механика

12 самых красивых фотографий дикой природы 2018 года | Журнал Популярная Механика

понедельник, 22 октября 2018 г.

можно в Hyper-V виртуальный свич сделать с хостовой wireless-картой, тогда для виртуалки она будет обычными адаптером,

Ну можно в Hyper-V виртуальный свич сделать с хостовой wireless-картой, тогда для виртуалки она будет обычными адаптером,

wi-fi

DHCP ARP Inspection - MikroTik Wiki

DHCP ARP Inspection - MikroTik Wiki

зацит от установки руками ипи адреса

Проброс всего трафика через VPN | Cloud4You

Проброс всего трафика через VPN | Cloud4You

Динамическая блокировка IP адресов через mikrotik с помощью fail2ban — San3ko

Динамическая блокировка IP адресов через mikrotik с помощью fail2ban — San3ko

среда, 17 октября 2018 г.

Удалённое включение скриптов Mikrotik из Telegram / Хабр

MikroTik & OpenWRT & DNSCrypt / Хабр

MikroTik & OpenWRT & DNSCrypt / Хабр

через бридж фильтр фильтрую мусор от провайдера, пропускаю только PPPoE



через бридж фильтр фильтрую мусор от провайдера, пропускаю только PPPoE

Полезные скрипты для mikrotik RouterOS | unix.ck.ua

Полезные скрипты для mikrotik RouterOS | unix.ck.ua







Сертификаты: Создание сертификатов средствами маршрутизатора

Сертификаты:Создание сертификатов средствами маршрутизатора. Роутер сертификат

Сертификаты:Создание сертификатов средствами маршрутизатора. Роутер сертификат



Сертификаты:Создание сертификатов средствами маршрутизатора — MikroTik WiKi rus

Введение

Описанное здесь решение проверялось для технологий: SSTP, OpenVPN и IPsec.

Настройка

Предупреждение: Ввиду специфики работы RouterOS (актуально, как минимум для RouterOS 6.39.2).
Подготовить шаблоны сертификатов:
Предупреждение: Если сертификаты будут использоваться для SSTP, то в качестве параметра “common-name” сертификата сервера обязательно должен быть указан либо его IP-адрес, либо привязанное к его адресу доменное имя. При этом подключение от Windows-клиента пройдет только от того, что указано в параметре “common-name”. Т. е. если в параметре указано доменное имя, а при подключении указывается адрес, то подключение не произойдет.
/certificateadd name=ca country=RU state="Moscow Region" locality=Moscow organization=N/A unit=N/A common-name=ca key-size=2048 days-valid=4000 key-usage=key-cert-sign,crl-signadd name=server common-name=10.1.100.1 country=RU days-valid=4000 state="Moscow Region" locality=Moscow organization=N/A unit=N/Aadd name=client1 common-name=client1 country=RU days-valid=4000 state="Moscow Region" locality=Moscow organization=N/A unit=N/Aadd name=client2 common-name=client2 country=RU days-valid=4000 state="Moscow Region" locality=Moscow organization=N/A unit=N/A
В свойствах сертификатов server, client1 и client2 на вкладке “Key Usage” снять все галки:
Подписать сертификат центра авторизации. Из контекстного меню сертификата "ca" выбрать "sign". В качестве опции "CA CRL Host" указать адрес VPN-сервера:
Предупреждение: В RouterOS до 6.37.4 сертификат центра авторизации надо подписывать только через графический интерфейс, т. к. только в этом случае, статус сертификата становился KAT. Если подписывать через консоль, то статус становился KLAT. В итоге вся последующая работа с сертификатами становилась нерабочей.
Или через консоль:/certificatesign name=ca ca-crl-host=10.1.100.1 number=ca
Подписать сертификаты сервера и клиентов:
/certificatesign ca=ca server name=server ca-crl-host=10.1.100.1sign ca=ca client1 name=client1 ca-crl-host=10.1.100.1sign ca=ca client2 name=client2 ca-crl-host=10.1.100.1
Подписать можно так же и через графический интерфейс:

Проверка

Проверка заключается в проверке флагов сертификатов. Выдача должна выглядеть следующим образом: сертификат удостоверяющего центра должен иметь ключи: KLAT, остальные сертификаты: KI.
Предупреждение: На скриншоте изображено KAT, но должно быть KLAT

Сертификаты:Создание сертификатов средствами маршрутизатора. Роутер сертификат

Сертификаты:Создание сертификатов средствами маршрутизатора. Роутер сертификат

VPN:IPsec (аутентификация с помощью сертификата) — MikroTik WiKi rus

Gamut Log Viewer

GamutLogViewer



#log log

понедельник, 15 октября 2018 г.

ISA ISA_Fill_Computer_Set_Subnets.vbs


https://github.com/EnclaveConsulting/ISA-Server-TMG/blob/master/ISA_Fill_Computer_Set_Subnets.vbs

EnclaveConsulting/ISA-Server-TMG
Scripts for managing Microsoft ISA Server or Threat Management Gateway (TMG) - EnclaveConsulting/ISA-Server-TMG

/dayrdp rdp

Удалённое включение скриптов Mikrotik из Telegram / Хабр
https://habr.com/post/314108/
===========================
/dayrdp rdp

https://pastebin.com/yQpv4Gf4



  1. :local result [/tool fetch url="http://10.0.0.3/randomizer.php" output=user as-value];
  2. /tool fetch url=("https://api.telegram.org/bot$botID/sendMessage\?chat_id=$myChatID&text=%D0%9F%D1%80%D0%B8%D0%B2%D0%B5%D1%82%21%20%D0%9F%D0%B5%D1%80%D0%B5%D0%B9%D0%B4%D0%B8%D1%82%D0%B5%20%D0%BF%D0%BE%20%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B5%20%D0%B4%D0%BB%D1%8F%20%D0%BF%D0%BE%D0%BB%D1%83%D1%87%D0%B5%D0%BD%D0%B8%D1%8F%20RDP%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0%21"." http://home.OOOOOOOO.ru:".($result->"data")) keep-result=no;
  3. #/ip firewall filter edit number=2 action=add-src-to-address-list in-interface=gateway  protocol=tcp address-list-timeout=1m chain=input address-list=allow_rdp comment="adding from telega link" dst-port=($result->"data");
  4. /ip firewall filter set  numbers=2 disabled=no dst-port=($result->"data");
  5. /system scheduler add interval=60s name=fromtelega on-event="/ip firewall filter set disabled=yes numbers=2;\r\n/system scheduler remove fromtelega;"


RAW Paste Data

:local result [/tool fetch url="http://10.0.0.3/randomizer.php" output=user as-value];
/tool fetch url=("https://api.telegram.org/bot$botID/sendMessage\?chat_id=$myChatID&text=%D0%9F%D1%80%D0%B8%D0%B2%D0%B5%D1%82%21%20%D0%9F%D0%B5%D1%80%D0%B5%D0%B9%D0%B4%D0%B8%D1%82%D0%B5%20%D0%BF%D0%BE%20%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B5%20%D0%B4%D0%BB%D1%8F%20%D0%BF%D0%BE%D0%BB%D1%83%D1%87%D0%B5%D0%BD%D0%B8%D1%8F%20RDP%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0%21"." http://home.OOOOOOOO.ru:".($result->"data")) keep-result=no;
#/ip firewall filter edit number=2 action=add-src-to-address-list in-interface=gateway  protocol=tcp address-list-timeout=1m chain=input address-list=allow_rdp comment="adding from telega link" dst-port=($result->"data");
/ip firewall filter set  numbers=2 disabled=no dst-port=($result->"data");
/system scheduler add interval=60s name=fromtelega on-event="/ip firewall filter set disabled=yes numbers=2;\r\n/system scheduler remove fromtelega;"



randomized.php
  1. echo rand (rand(16000,17000),rand(17500,18000));
  2. ?>



воскресенье, 14 октября 2018 г.

л2тп l2tp от Билайна

Короче как настроить л2тп от билайна.
На интерфейсе который смотрит в провайдера (пусть будет ether1) вешаешь dhcp-client и галку дефаулт роут не забудь. У тебя будет ip что-то типа 100.х.х.х, дефолт роут типа 100.х.х.1 и два днc сервера типа 217.х.х.218 217.х.х.222
После этого поднимаешься l2tp в качестве точки подключения указываешь tp.internet.beeline.ru, логин и пасс тебе должны были дать и тоже ставишь галку дефаулт роутер.
Как тоннель поднимется интернет должен заработать по айпишникам, типа 8.8.8.8 должен пинговаться.
Но микротик начнет ломиться к днс серверам через л2тп, а там они не доступны. Нужно добавить два роута к адресам днс серверов через гетевай который получил не ether1 или куда ты там цеплялся шнурок.

Urban Dictionary, October 13: Polycule

Urban Dictionary, October 13: Polycule

psd extra firewall




















psd extra firewall

Weight Treshold - это счетчик
Low PW - это сканирование по портам до 1024
High - выше 1024.
Если между соседними попытками сканирования меньше 3 сек
- счетчик сбрасывается.

Решения Vertiv для основного ЦОД и для центров восстановления после аварий

Решения Vertiv для основного ЦОД и для центров восстановления после аварий

четверг, 11 октября 2018 г.

GitHub - teckerpro/MikroTik-pptpBan: This script parses log and add to blacklist IP which established PPTP connection without login

Как перевести точку доступа UniFi на другой контроллер :: Настройка оборудования | Блог ASP 24

Как перевести точку доступа UniFi на другой контроллер :: Настройка оборудования | Блог ASP 24

change-mss

/ip firewall mangle
add action=change-mss chain=postrouting disabled=yes new-mss=clamp-to-pmtu out-interface=internet1 passthrough=yes protocol=tcp tcp-flags=syn

mikrotik_firewall_filter [homewiki]

mikrotik_firewall_filter [homewiki]



mikrotik_firewall_filter

/ip firewall filter
add action=reject chain=forward comment="block addr-list_block" disabled=yes \
    dst-address-list=addr-list_block reject-with=icmp-network-unreachable

add action=jump chain=input comment="catch new UDP connections" \
    connection-state=new dst-port=500,4500,1701,53 in-interface-list=WAN \
    jump-target=anti-bruteforce protocol=udp src-address-list=!hosts.allow


mikrotik_anti_ddos [homewiki]

mikrotik_anti_ddos [homewiki]

https://wiki.vt100.ru/doku.php?id=mikrotik_anti_ddos





mikrotik_anti_ddos
/ip firewall filter
Все новые входящие подключения отправляются в цепочку anti-bruteforce
add action=jump chain=input comment="catch new UDP connections"\
 connection-state=new dst-port=500,4500,1701,53 in-interface-list=WAN\
 jump-target=anti-bruteforce protocol=udp src-address-list=\
!hosts.allow

add action=jump chain=input comment="catch TCP connections"\
 connection-state=new dst-port=1723,22,3389,8291,53\
 in-interface-list=WAN jump-target=anti-bruteforce\
 protocol=tcp

add action=jump chain=input comment="all input jump to anti-bruteforce chain"\
 connection-nat-state=!srcnat,dstnat connection-state=invalid,new\
 in-interface-list=WAN jump-target=anti-bruteforce \
 src-address-list=!hosts.allow
Возвращаем из этой цепочки обратно в input первые 2(3) пакета в минуту:
add action=return chain=anti-bruteforce dst-limit=2/1m,1,src-address/1m40s\
comment="return (allow) some catched connections back to main firewall flow"
Всё остальное не dstnat/srcnat, что превысило, на 1 день добавляется в address-list block-bruteforce
add action=add-src-to-address-list address-list=block-bruteforce\
 address-list-timeout=1d chain=anti-bruteforce
/ip firewall raw
Дроп пакетов, превысивших лимит
add action=drop chain=prerouting in-interface-list=WAN\
 src-address-list=block-bruteforce

ipcountry

http://www.iwik.org/ipcountry/mikrotik/RU

/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/RU
/import file-name=RU

DNS Amplification DDoS: Анатомия атаки и защиты. Часть 1

DNS Amplification DDoS: Анатомия атаки и защиты. Часть 1

пятница, 5 октября 2018 г.

Удалённое включение скриптов Mikrotik из Telegram / Хабр

Удалённое включение скриптов Mikrotik из Telegram / Хабр

Spamhaus + Dshield + Malc0de + OpenBL Malicious Ip Blacklists! - MikroTik

Spamhaus + Dshield + Malc0de + OpenBL Malicious Ip Blacklists! - MikroTik

For some this is nothing new, but for others it might prove to be quite a valued resource, so we decided to make it available gratis for the public as a way of giving back and saying thank you to all those who have supported us, besides, we cant really charge for it, it isnt our work!

Spamhaus and DShield malicious ips combined into a single import script. 

Blog post about it http://blog.squidblacklist.org/?p=297

Can be downloaded at the following url.
http://www.squidblacklist.org/downloads ... icious.rsc

http://www.squidblacklist.org/downloads/drop.malicious.rsc

And heres a couple of bonus free blacklists.

Tor Nodes IP Firewall Blacklist 
http://www.squidblacklist.org/downloads ... rnodes.rsc

http://www.squidblacklist.org/downloads/sbl-tornodes.rsc

An ads blacklist for RouterOS DNS:
http://www.squidblacklist.org/downloads/tik-dns-ads.rsc

http://www.squidblacklist.org/downloads/tik-dns-ads.rsc


Экосистема Xiaomi Mi Ecosystem - Google Таблицы

Экосистема Xiaomi Mi Ecosystem - Google Таблицы



smart_home

#smart_home

(3) Home Assistant - работа с освещением, сценарии, конфиги - YouTube

Сетевая модель OSI — Википедия

Сетевая модель OSI — Википедия

Proqrator | Free Listening on SoundCloud

Proqrator | Free Listening on SoundCloud

Сети для самых маленьких. Часть нулевая. Планирование / LinkMeUp

Сети для самых маленьких. Часть нулевая. Планирование / LinkMeUp




Сети для самых маленьких. Части - все - Step-by-step. Пошаговые инструкции

Сети для самых маленьких. Части - все - Step-by-step. Пошаговые инструкции