Як не працювати ДНЗ якщо у вас є Mikrotik

Взагалі я дуже люблю фірму Мікротік. Їхні роутери та комутатори у мене скрізь і всюди і навіть удома. Фішка в тому, що ці роутери дуже надійні і за фактом їх можна один раз налаштувати і забути, що вони існують. Але налаштувань там так багато, що новачкові все подужати за раз дуже складно. Так ось пост для тих хлопців хтось купили роутери, але так і не встромили в їхнє налаштування, адже вони і з коробки працюють добре, а там є серйозний проеб.

мене

Саме такий коштує у мене вдома (1350 руб свого часу), але істотної різниці в налаштуванні немає, тому що у всіх моделей інтерфейс один.

працювати

Тобто домашні пристрої в сумі їли 68 кбайт/с, а ось на зовнішньому каналі діялося щось аж на 5 мегабайт. Це "жжжж!", точно було не просто. Якщо роутер хакнули (підбір зазвичай), то цілком імовірно що зараз ви вже ДДОСите якийсь сервер, самі того не знаючи. Однак це був не мій випадок, тому що (IP->Services):

якщо

Раджу і вам так зробити. Це означає, що до роутера можна приєднатися тільки через вінбокс і тільки з внутрішньої мережі (замість 192.168.10.0 - повинна стояти ваша мережа).

До справи:Не буду вас особливо вантажити пошуками. Зрештою я просто згадав, що у Мікротіка за замовчуванням включено ось такий пункт (IP->DNS):

mikrotik

Allow Remote Requests змушує слухати сервіс DNS на всіх портах маршрутизатора. Таким чином, при включенні сервісу ми ставали чудовим хостом для атаки ботами та іншою нечистю з Інтернетів.

Оскільки в мене була статика IP останні 2 місяці, то я був взагалі ідеальним DNS.

(До речі на роботі всі галки були зняті відразу, тому що на той момент я про неї вже знав).

Після зняття галочки картина така:

роутери

На пікабу я часто зустрічав хлопців з мікротиками, в які вони не встромляли і сподіваюся, що це комусь допоможе. Особисто у мене фризи як рукою зняло і трохи впав пінг.

Знайдені дублікати

/ip firewall filter

add action=add-src-to-address-list address-list="dns flood" \

address-list-timeout=1h chain=input dst-port=53 in-interface=ether1 \

add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp \

де ether1 це ваш WAN порт, зауважу, що якщо у вас від провайдера іне через PPPOE то в in-interface треба вказати його, а не фізичний WAN ;)

Там за замовчуванням якщо налаштовано за допомогою майстра - всі вхідні дряпаються.

Але .. завжди є але

Тремтять з WAN інтерфейсу, а якщо ви підняли наприклад PPoE то треба ручками перемикати що тепер цей інтерфейс став WAN.

І ручками правити правила INPUT - змінюючи інтерфейс зовні

ну саме це я і мав на увазі ;)

З.И. майстром раджу не користуватися, а спочатку налаштовувати все самому.

Шкідлива порада, майстер робить деякі не очевидні налаштування, без яких потім можуть бути проблеми, краще скористатися майстром, а потім відредагувати налаштування.

Краще брати дефолтний конфіг і допилювати його до потрібного стану. Майстер у мікротика так собі

А до чого тут віндовс, коли всі скрини з RouterOS? Але так, ви маєте рацію, це дійсно биті.

ну значить я з просоня зовсім поплив.

я просто згадав, що у Мікротик за замовчуванням включений ось такий пункт (IP->DNS)

дивний спогад, враховуючи, що за замовчуванням "Allow Remote Requests" якраз вимкнений і в мануалі його радять включати лише у разі потреби. Принаймні в девайсах, куплених у 2015 році, цебуло так. І, якщо, вірити мануалу на сайті виробника, то це так і досі.

Отже, ти, швидше за все, сам колись це включив, а потім відхопив від цього сайд-ефектів.

Зате цілий пост запилив, як він боровся.

Крім домашнього, у мене ще 2 роутера і 1 свічок мікротик. На 2-х було включено, і тільки на останньому, купленому 4 місяці тому - вимкнено.

Аналогічно, роутеру кілька років, з коробки стоїть галка allow-remote-requests

Я вдома встановив Ubiquiti Tough Switch. Ось знаєте, дуже мені сподобалася програма налаштування. Все зручно та досить просто. Користувач френдлі загалом. Плюс у нього можливе PoE. Теж працює і ніколи не глючить. Так, вартість велика, але млинець, він навіть зовні гарний. А свіч я поставив з однієї простої причини: ну не дуже я люблю всі ці бездротові мережі.

Загалом підтримую, колись так вибір і стояв: між Ubiquiti та Mikrotik. Однак у перших не знайшлося моделі із потрібним функціоналом (або ціна була космос).

Поки що у мене одне просте правило: Уникати обладнання з приставкою -link

Навіть свіч асер млинець працює краще ніж дорогий D-link наприклад. А TP-link взагалі біда.

Народ, хто знає, у ZyXEL Keenetic II така є настройка, чи це тільки мікротика фішка?

А ще там є халявський DDNS, правда, періодично відвалюється.

Автор допоможи будь ласка. У мене з роутором tp-link біда якась. З мобільними пристроями вай фай працює відмінно, але як тільки вмикаю ноутбук, вся мережа висне, вірніше висне лише інтернет і з будь-якого пристрою все висить і не завантажується. При цьому трафік на ноутбуці показує, що нічого мережа не навантажує. Може підкажеш як на такому роутері подивитись йогозавантаження?

Якщо чесно у мене він випав у свіжому)) А на дати я не дивився)

дуже

У випадку з мікротиком все залежить від налаштування. Трафік на ньому можна гнати як через свитччіп (і отримати гігабіт без навантаження на ЦП), так і через цп (що дуже сумно за швидкістю).

Якщо порти заганяли в бридж (як у деяких мануалах), то в цьому і була біда :)

У будні мб відсотків на 60 завантажений. Взагалі з ним проблем найменше, але там і завдання не складні.

дуже

Ну все ж таки свічки мікротика мають слабкі праці, навіть у домашнього hap ac lite краще. Але знову ж таки, залежить від навантаження

Що, блять, тут трапляється. O_O

дурниці не кажи.

Вазі думка почута. Ви почули моє. Сперечатися - сенсу не бачу.

дуже зручно обходити блокування не використовуючи будь-які розширення для браузера та іншу хрень, один раз на роутері налаштував і працює на всіх домашніх пристроях

І для цього потрібний стосильний мультикомбайн у вигляді мікротика? O_O

Ну це ваші гроші, чого це я.

мікротики зараз коштують стільки ж скільки і будь-які інші роутери, 1.5-2к найпростіші, при цьому функціональність (з нашими ідіотськими законами це дуже вагомий плюс) і надійність мікротика дозволяють не замислюватися про заміну роутера взагалі в майбутньому

Серйозно? Нині якийсь ASUS RT-N12 коштує близько 1.5к. 951 близько 2.5к.

Але взагалі ща погуляв, є лайт версія за 1.2к навіть, а так можна знайти і дешевше. Я порівняно недавно влаштувався працювати в ТП до оператора зв'язку, і тут використовуються мікротики у великій кількості (хоча як домашні роутери фізичним особам ставимо TP-Link). І ось зараз зрозумів, що коли була потреба в хорошому роутері для організації инета через свисток, МікротІк бипідійшов найкраще. Бо спочатку брали Зухель (на зразок Кінетик 3), здали за гарантією за місяць, хоча працював добре. Потім взяли ТПлінк, аналогічний, а місцями навіть краще за характеристиками, але виявилося, що він рве коннект кожні хвилин 20 (тут варто зазначити, що до роутера підключена зовнішня антена у вигляді тарілки і б'є в БС на відстані приблизно 5-7 км). І так, коштували обидва роутери