fb logo  VK  Feed icon.svg  

Звоните нам: +375 (29) 6487878, +375 (29) 7733778, +375 (25) 9997887

Межсетевой экран, брендмауэр или Firewall выполняет фильтрацию пакетов являясь таким образом инструментом обеспечивающим безопасность и управление потоками данных, проходящими через маршрутизатор. Вместе с трансляцией сетевых адресов NAT файервол служит инструментом предотвращения несанкционированного проникновения в сеть компании. Возможно и наоборот применением фильтрации пакетов совместно с транспарентными Proxy серверами и NAT добиться запрета на использование определённых ресурсов и внешних сетей. Полезно Firewall использовать для ограничения доступа к заведомо незащищенным службам. Он может служить препятствием для внедрения ложных данных с помощью уязвимых служб злоумышленником. Также через него возможен контроль доступа к узлам сети, регистрирование попыток доступа как извне, так и из внутренней сети. Можно регламентировать порядок доступа к сети, осуществлять уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран. 

Научимся создавать сеть между удалёнными друг от друга офисами, находящимися например в разных городах или даже странах на примере MikroTik. Такие сети можно строить между любыми маршрутизаторами имеющими PPtP сервера и клиенты. Будь то Windows Server или DD-WRT вы тоже их сможете соединить с вашим MikroTik по стандартному тунелирующему протоколу PPtP. Будем рассматривать простой случай - два маршрутизатора марки MikroTik и необходима сеть на третьем уровне OSI.

Настройка начинается с активации PPtP сервера на первом MikroTik. Кроме всего прочего он должен иметь статический адрес в интернете. Более подробно про настройку pptp сервера читайте здесь.

В этой статье я опишу как можно настроить QoS на MikroTik для работы, скажем в небольшой корпоративной сети до 42 компьютеров. Предлагаемая ниже схема маркировки пакетов и шейпинга трафика позволяет получать хорошие задержки при практически полной загрузке канала интернета. Так же можно добиться довольно быстрого открытия страниц при скачке торрентов другими пользователями. Канал делится поровну между качающими в любой конкретный момент пользователями. В общем, это хорошо реализованая идея динамического шейпинга на микротик. Кроме того предлагается пиринговый трафик отделить от основного и шейпить по другому.

В этой статье я опишу как можно настроить маршрутизатор MikroTik RB 750 для совместной работы с модемом промсвязь и его аналогов для использования интернета скажем небольшой корпоративной сетью на 30 машин.Предлагаемая ниже схема маркировки пакетов и шейпинга трафика не позволяет получать хорошие задержки при практически полной загрузке канала интернета в отличии от схемы с Simple Queue. Но тут так же можно добиться довольно быстрого открытия страниц при скачке торрентов другими пользователями. Канал делится поровну между качающими в любой конкретный момент пользователями. В общем это идея динамического шейпинга на микротик. Преимущества данного метода управления полосой в его простой реализации и низком требовании к апаратной части маршрутизатора. На том же самом маршрутизаторе Queue Tree может занимать в два раза меньше ресурсов процессора чем шейпинг той же полосы с помощью Simple Queue.

Поверх шифрованных PPtP, L2TP соединений на Mikrotik через интернет можно наводить EoIP тунели. Преимуществом данного тунеля является корректная работа сетевого окружения Windows, ведь все компьютеры теперь находятся в одном широковещательном домене. Недостатком является увеличение на 40% количества передаваемых данных и невозможность использовать политики 3-его уровня для фильтрации трафика пользователей. Кроме того помните основное правило создания таких сетей - в одном широковещательном домене не должно быть более 50 компьютеров. Хотя если такой тунель наведён через медленное соединение с интернетом компьютеров должно быть ещё меньше, так как постоянно генерируемый компьютерами Windows трафик обеспечивающий работу сетевого окружения попросту полностью его заполнит. В этом случае для полезного трафика не останется свободной полосы.

Если вы уже настроили L2TP, PPtP, PPPoE, OpenVPN сервер на MikroTik то вам остаётся узнать азы управления пользователями в этой роутерной операционной системе. Можно управлять локальными IP адресами, списками пользователей, максимальным временем сессии, временем простоя соединения, максимальным количеством принятых отправленных данных, DNS, WINS серверами, сжатием данных, шифрованием, ограничивать скорость в тунеле, ограничивать количество тунелей с одного акаунта, привязывать акаунты к MAC и IP адресам сетевых карт пользователей. Многое возможно настроить на маршрутизаторе даже если у вас в сети нет радиус сервера. Расказать про функционал предоставляемый Router OS по настройке пользовательских тунелей должна эта статья.

Зачастую не все USB 3G/4G модемы работают с маршрутизаторами стабильно. Выясняется, что даже программная перезагрузка MikroTik не позволяет их вывести из ступора. К счастью в некоторых Routerboard предусмотрено отключение питания USB порта на какое-то время. Сегодня мы рассмотрим как сделать аппаратный сброс модема программными средствами роутера. 

Как часто вам приходилось вносить изменения в настройки маршрутизатора а потом жалеть об этом. Как же ускорить откат своих действий на более ранние этапы? Автоматизировать это помогут вам эти скрипты. Приходилось ли вам терять последние настройки маршрутизатора в результате поломки жёсткого диска вашего програмного маршрутизатора?  Думаю да. Помочь избежать подобных ситуаций и уменьшить трудозатраты на обслуживание поможет эта статья. Итак настроим маршрутизатор на автоматическое создание файла содержащего настройки и отправку его на E-Mail с определённой частотой.

Доброго времени суток тем кто следит за моим блогом! После длительного перерыва поделюсь своим новым опытом использования технологии vlan на MikroTik.  Иногда существует необходимость в корпоротивных сетях отделять компьютеры друг от друга. Часто необходимо создать отдельную подсеть Wi-Fi для гостей компании. Также разделение сети на виртуальные сегменты используют ethernet провайдеры. Изоляция нужна по ряду причин: предотвратить прослушку трафика пользователей с помощью атаки "человек по середине" из-за несовершенства ARP протокола, отсечь возможность получать доступ к корпоративным данным посторонним людям. Рассмотрим простейший способ использования технологии vlan. Суть технологии: трафик нескольких сетей между свичами и роутерами бегает вместе с разными метками, но когда приходит к пользовательским устройствам - метки снимаются. Пользователи трафик с метками просматривать не могут. Мы будем создавать несколько Wi-Fi сетей без возможности доступа на 2-ом уровне OSI между ними.

Маршрутизаторы MikroTik хороши всем: невысокая цена, богатый функционал, который можно настроить через GUI утилиту. Но есть одна вещь которая не даёт жить спокойно многим. Оказывается нельзя изменить MAC адресс на ethernet интерфейсе через меню WINBOX. Приходится использовать скрипт.

Страница 1 из 2

Последние комментарии:

 rss  vk groupe

 

Ура :-)
Благодаря американской компьютеризированной системе выборов президента, тысячи российских хакеров смогли принять участие в голосовании…
«
»
  • 1
  • 2
  • 3
  • 4
  • 5

Нравится ли вам наш блог?

Услуги по удалённой настройке MikroTik
Полноценное использование маршрутизатора MikroTik достигается только в результате его грамотной настройки. Неопытный специалист может очень долго провозиться с маршрутизатором, так и не заставив его
Услуги переустановки Windows с выездом по Минску
Установка Windows в Минске на ПК и MAC весьма востребованная услуга. Часто ввиду заражения вирусами или вредоносными программами, а также после случайно удаления системных файлов, операционная
Услуги ремонта компьютеров с выездом по Минску
Каждый из нас хоть раз сталкивался с неожиданной поломкой компьютера, его комплектующих, или же выхода из строя программного обеспечения. Зачастую, это происходит в самый неподходящий момент: когда
Услуги настройки Wi-Fi сети в Минске
Настроим любые Wi-Fi роутеры с выездом к вам. Современные компьютерные технологии предлагают пользователю все новые достижения, способные сделать работу с компьютером и сетью Интернет удобнее,
Услуги по настройке модемов Промcвязь в Минске
Настроим роутеры белорусских интернет провайдеров с выездом по Минску. Сегодня многие пользователи знакомы с беспроводными сетями, знают о преимуществах их использования. Однако дома у
Услуги восстановления данных в Минске
Hаши специалисты смогут помочь Вам восстановить информацию с выездом по Минску. Опытные сотрудники нашей компании помогут вернуть важные данные, соблюдая конфиденциальность и ваши интересы.
«
»
  • 1
  • 2
  • 3


Google Play занял второе место среди самых опасных каталогов программ
Компания RiskIQ составила рейтинг самых опасных интернет-каталогов приложений для мобильных устройств. На первом месте оказался сайт 9Game[точка]com, где насчитали 61 669 зловредных приложений. На
Android-x86 добрался до 9-й версии
Разработчики выпустили первый релиз-кандидат Android-x86 9.0. И хотя тестовые сборки были доступны в течение нескольких месяцев, нынешняя версия является первой стабильной «девяткой» на ПК
Intel вводит запрет на командировки сотрудников в ряд стран из-за коронавируса
Власти отдельных стран ограничивают перемещение людей из-за опасений по поводу распространения коронавируса, а крупные корпорации озвучивают свои рекомендации для сотрудников. Intel, например,
Тим Кук: Apple возобновляет производство, поскольку Китай берёт коронавирус под контроль
Генеральный директор Apple Тим Кук сообщил в интервью телеканалу Fox Business, что его поставщики из Китая возобновляют производство, поскольку «Китай берёт коронавирус под контроль».
TSMC наймет четыре тысячи сотрудников для расширения производства
Крупнейшая корпорация в сфере контрактного производства полупроводников Taiwan Semiconductor Manufacturing Company объявила о значительном расширении штата. По сообщениям известного тайваньского
От Celeron G5900 до Core i9-10900K. Стали известны имена всех 22 моделей новой линейки процессоров Intel Comet Lake
Дата выхода всё ещё неизвестна. Говоря о грядущих процессорах Intel Comet Lake-S, мы зачастую упоминаем какие-то конкретные модели. Чаще всего речь идёт о результатах каких-то тестов. Но сегодня
Фиаско Intel. Core i9-9900KS никому не нужен
Процессор практически исчез из продажи всего спустя 4 месяца с даты официальной премьеры. Печальная судьба постигла флагманский восьмиядерный процессор Intel Core i9-9900KS — он исчез с
Темпы роста популярности 5G впечатляют
Министерство промышленности и информационных технологий Китая сообщает, что по состоянию на конец 2019 года 35 моделей китайских смартфонов получили лицензии на доступ к сети 5G. Кроме того,
«
»
  • 1
  • 2

Авторизация