Разное

Mikrotik web proxy тормозит: Mikrotik- Типичные Проблемы И Их Решения

Содержание

Mikrotik- Типичные Проблемы И Их Решения


Mikrotik- Быстрый Старт


Все самое необходимое для настройки Mikrotik RouterOS Вы сможете найти в нашем пособии «Микротик.Базовая настройка». Настройка от А до Я с разбором функций и проблем, которые могут возникнут у простого пользователя в процессе внедрения Mikrotik под свои задачи. Mstream делает шаг помощи для своих клиентов. С нашим руководством настройка Mikrotik RouterOS не станет помехой для достижения поставленных целей. — mikrotik настройка mikrotik wiki русский wiki mikrotik ru mikrotik документация на русском —


Сюда вошли наиболее типичные  проблемы микротик и их решения.


Теперь они собраны в одном месте, а не разбросаны по крупицам по все му интернету.


Есть что добавить? — оставляйте Ваши комментарии.


 


Типичные проблемы и их решения


 


6.1. Как ходит трафик в Микротик?
6.2. FirewallFilter — блокируем и разрешаем. 
6.3. NAT. Проброс портов. Добираемся из интернета к компам в локалке.
6.4. Маркировщик Mangle. Следим и помечаем трафик.
6.5. Address List. Для чего он?
6.6. Нарезаем скорость. Simple Queues.  
6.7. Нарезаем скорость. Tree Queues. 
6.8. Включаем Графики. 
6.9. IPTV настройка. 
6.10. Резервирование 2+ каналов. 
6.11. Балансировка 2+ каналов. 
6.12. Запрет определенных сайтов по имени. 
6.13. Определяем у кого стоят роутеры по TTL. 
6.14. Блокируем порты спамеров. 
6.15. Настройка Static DNS. 
6.16. Кешируем с помощью Web-Proxy. 
6.17. Редирект на страницу-напоминалку. 
6.18. Шейпим торренты. 


6.1. Как ходит трафик в Микротик?


 


Это нужно знать наизусть. Иначе можно многое напутать… 


Представьте комп с двумя сетевыми картами. Будем называть его ШЛЮЗ.


В одну карту входит интернет. Со второй выходит к свичу.


А к свичу подключены другие компы.


За этими компами люди в интернете лазяют.


Так вот. Трафик идущий от людей в интернет и обратно — это для шлюза транзитный-проходящий трафик FORWARD


Это левая диаграмма. Как раз наш случай с Микротик.


 


А если на самом  шлюзе запускаются браузер, почта и пр.


То это уже Входящий и Исходящий трафик для шлюза. Не транзитный. INPUT и OUTPUT.


Т.к. конечная точка всех пакетов — это сам шлюз, а не компы за шлюзом.


Это левая и правая диаграмма, только без центрального блока FORWARD.


В Микротике правая практически никогда не задействована. 


Так что про INPUT-OUTPUT забудьте.


Только для блокировки входящих пакетов.


 


 



 


«И на кой черт мне это нужно?» Спросите Вы.


Все просто. Зайдите в IP — Firewall.


Там есть 3 вкладки Filter, NAT и Mangle. 


В   Filter и Mangle  есть все 3 цепочки — Prerouting, Forward и Postrouting. И еще 2 цепочки Input Output.


В NAT есть только цепочки DstNat и SrcNat.  


 


Filter — разрешает-запрещает пакеты, совпадающие по условию записи в Filter.


NAT — это чаще всего правило SrcNat-Masquerade — чтоб люди могли ходить в интернет.


И DstNat-DstNat — чтоб с интернета можно было добраться до компьютеров и роутеров в вашей сети.


Mangle — продвинутый маркировщик пакетов.


 


Предположим клиент вашей сети имеет адрес локальный 192.168.0.2


а IP Микротика 80.80.80.1 — это интернет адрес.


Когда клиент запрашивает веб-страницу, к нему сыплятся пакеты.


Но не на его адрес, а на адрес Микротика. Потому как адрес 192.168.0.2 локальный, и само собой напрямую на этот адрес прийти ничего не может. 


Т.е. Микротику приходит пакет с Dst.Address — 80.80.80.1


 


1. Mangle Prerouting, Nat Prerouting — правила в этих 2 цепочках Самые первые обрабатывают пакет. 


Никаких локальных адресов в пакете нет, только внешний адрес Микротика!  


 


2. Далее срабатывает Firewall — NAT.


Происходит подмена (из таблицы NAT) для входящих пакетов внешнего IP на локальный.


или DstNat (это для тех, кто пытается достучаться до локальных IP-адресов из интернета)


Т.е. теперь  Dst.Address пакета не 80.80.80.1, а уже локальный адрес клиента — 192.168.0.2.


 


3. Теперь срабатывают правила в цепочках Mangle Forward и Filter Forward. 


Тут уже можно фильтровать клиентов вашей сети.


 


4. Далее снова срабатывает NAT.


Здесь создаются записи в таблице NAT для исходящих пакетов. Т.е. срабатывает SRC-NAT.


По этим записям будет происходить обратная замена IP, когда придут ответные пакеты. 


И для исходящих пакетов происходит подмена локального IP  192.168.0.2  на IP Микротика 80.80.80.1.


 


5. И последний этап — Mangle Postrouting, Nat Postrouting. 


Никаких локальных адресов в пакете нет, только внешний адрес  Микротика!  


Далее все это направляется в шейпер. Queue Tree и Simple Queue. 


 


Для Транзитного траффика: сеть -> mangle PREROUTING -> nat PREROUTING -> mangle FORWARD -> filter FORWARD -> mangle POSTROUTING -> nat POSTROUTING -> сеть 


 


6.2. Firewall Filter — блокируем и разрешаем.


 


Здесь создаются блокирующие и разрешающие правила. 


Если записей никаких нет — то все разрешено.  


Порядок записей имеет значение.


Проверка правил происходит сверху вниз.


Если  пакет соответствует правилу, то дальнейшая проверка не происходит, если конечно не стоит галка PassTrugh 


Есть 2 варианта.


Мягкий — Добавлять только запрещающие правила. Все остальное разрешать.


Жесткий — поставить  запрещающее  правило на все. А сверху добавлять разрешающие. 


 


Блокируется  или входящие пакеты или исходящие.


Важно!


1. Никогда не пытайтесь одним правилом блокировать входящие и исходящие пакеты одновременно.


Это ошибка.


Просто создайте при необходимости  2 правила — на входящие и исходящие пакеты.


А лучше блокировать только исходящие пакеты еще на взлете. Входящих пакетов само собой уже не будет.


Да и Роутер разгрузится от лишнего входящего траффика.


 


2. Есть 2 типа пакетов — входящие и исходящие. 


Важно! Src.Address и  Dst.Address  в правилах меняются местами. В зависимости от направления движения пакета.


Входящие — это из интернета  к нам. 


Src.Address — это интернет-адрес отправителя (сервера в интернете). 


Dst.Address — это интернет-адрес Микротика (получателя). Если это правило в цепочке PreRouting.    или  


Dst.Address — это локальный адрес клиента (получателя). Если это правило в цепочке Forward или PostRouting.


 


Исходящие — это от  нас в интернет.


Src.Address  — это интернет-адрес отправителя (Микротика) . Если это правило в цепочке PostRouting.    или  


Src.Address — это локальный адрес клиента (отправителя). Если это правило в цепочке Forward или Prerouting.


Dst.Address — это интернет-адрес получателя (сервера в интернете). 


 


3. В правилах   всегда указывайте Out. Interface или  In. Interface.


Причем,


если указываете   In. Interface — LAN1, то это исходящий трафик. 


Значит Dst.Address — это должен быть адрес интернет-ресурса. А Src.Address — это адрес вашей локалки или Микротика  


 


если указываете   Out. Interface — LAN1, то это входящий трафик.


Значит Dst.Address — это должен быть адрес вашей локалки или Микротика.  А Src.Address — адрес интернет-ресурса.


Это очень важно! 


 


То же самое  (п. 1 и 2) касается и Mangle. 


Домашние роутеры Mikrotik:



RB750 Mikrotik


5x100xEthernet, CPU 400Мгц, 32MB RAM


RB750up Mikrotik


CPU 400Мгц,  Ethernet 5×100, USB port, RAM 32MB, POE


 


 


 


RB2011iLS-IN Mikrotik


5x1000xEthernet, 5x100xEthernet, SFP port, 600Мгц CPU, RAM 64MB


 


 


6. 3. NAT. Проброс портов.


 


/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=10010 protocol=tcp to-addresses=192.168.88.10 to-ports=80


В данном  случае на компе с адресом 192.168.88.10  запущен веб сервер.


Если внутри вашей сети набрать в браузере 192.168.88.10  — то откроется локальный сайт.


А если с другого компа в интернете набрать в браузере 80.80.80.1:10010 


80.80.80.1 — это Ваш внешний_IP_адрес_Микротика 


то Вы попадете на свой сайт, который на ходится на компе 192.168.88.10.


 


6.4. Маркировщик Mangle. Следим и помечаем трафик.


 


Это очень мощное средство. Позволяет маркировать пакеты по любым правилам.  


Подчиняется тем же правилам, что описаны в разделе 6.2. FireWall Filter.  


Но Мангле ничего не запрещает и не разрешает. Он просто помечает трафик.


Соединения, пакеты, маршруты и пр. 


Умеет также добалять в AddressList, Менять TTL пакетов, приоритет, порядок цепочек  и пр. пр. 


Это для дальнейшей обработки в файрволле или шейпере.  


 


6.5. Address List. Для чего он?


 


Это в основном для того, чтоб не указывать кучу однотипных правил для разных IP, а кинуть эти IP в один Address List. 


И затем создать только одно  правило на этот Address List.


Кроме того, правила Mangle — сами могут добавлять IP адреса в определенный Address List.


Например, добавить в Address List «ICQ» — те  IP, которые пользуются ICQ.  


Чрезвычайно удобная штука!


 


6.6. Нарезаем скорость. Simple Queues.


 


Простой шейпер.


Важно! Проверка правил шейпера происходит сверху вниз.  


Если какое-то правило шейпа сработало, то дальнейшая проверка уже не производится!


 


Добавляем IP или список IP, для которых в сумме можно выставить максимальну скорость Max Limit.


Отдельно входящую и исходящую скорость.  


Можно также выставить гарантированную скорость — Limit At.


Но с этим будьте осторожны! Если у Вас канал плавающий по скорости — лучше отключить.


 


Также можно включить дополнительные колонки, которые показывают входящую и исходящую скорости (Total Tx Bytes, Total Rx Bytes). 


(Правой кнопкой мыши по окну Queue. Затем Showcolumns и крутим ниже…  ) 


А также потребленный входящий и исходящий трафик. (Rx Avg. Rate и Tx Avg. Rate ) 


Начиная с момента последней перезагрузки роутера. 


 


Можно скорости писать в виде 500K, 2M, а также можно указать скорости Burst Limit (с Burst TreshHold, Burst Time)


Это взрывная кратковременная скорость.


Очень эффективно при низкоскоростных тарифах и если Вас качальщики задрали.


Веб сайты открываются тогда моментом на Burst скорости, а закачки идут на обычной скорости.


 


Если у Вас Dual Access, то можно для каждого клиента создать еще одну дополнительную запись с высокой  скоростью на локальные ресурсы. 


Только нужно дополнительно указать Dst. Address 10.0.0.0/8 — это Ваши локальные ресурсы. 


Эту запись нужно поставить выше основной записи клиента. 


 


Если Вы скорость на локальные ресурсы не хотите подрезать вообще, то  


Можно создать только одну общую запись  с   Dst. Address — 10.0.0.0/8, Target Address — пустой, скорость Tx, Rx указать по максимуму — например 1G


и поместить ее на самый верх. 


 


Важно! Очень советую в самый конец добавлять правило END


Все, что не сработало по любому из шейпером — будет шейпится в правиле END.  


На этом правиле будет учитываться, подрезаться  или блокироваться весь неучтенный трафик. 


 


Ну например Вы по невнимательности забыли кого-то добавить в шейпер.


И человек получит всю доступную скорость без любых огранечиний! Тем самым может положить канал!


 


Правило&n

Сбой подключения к роутеру Mikrotik

Прочитано:
10 069

Что делать когда winbox не может подключиться к роутеру Mikrotik?

«Could not connect to 192.168.88.1:80 — no response!»

Вот что тогда делать, данный роутер Mikrotik RB951Ui-2Hnd не оборудован консольным портом, чтобы сбросить все настройки.

MAC адрес данного роутера (eth0) → E4:8D:8C:B6:6B:94

На заметку: все дальнейшие действия происходят на моей рабочей системе Ubuntu 12.04.5 Desktop amd64

Во многих статьях интернета все больше сводится к тому, что в процессе ранее когда подключали данный Mikrotik не корректно произвели обновление или просто напросто прервали сам процесс, но у меня исключительная ситуация — я не подключал ни куда данный роутер, а купил таким.

Как я уже знаю, что устройства Mikrotik поддерживают такие протоколы управления, как:

  • HTTP/HTTPS — 80,443
  • SSH — 22
  • Telnet — 23
  • Winbox — 8291
  • API — 8728

Для того, чтобы поправить текущую ситуацию придется задействовать один из ниже указанных способов.

Первый способ: попробовать сделать reset всем настройкам

  • Выключаем штекер питания
  • Распрямляем скрепку и нажимаем ею в углубленную кнопку с надписью RES

 

  • и держим скрепку в нажатом состоянии на кнопку.
  • Подключаем штекер питания
  • Ждем когда надпись на индикаторе ACT начнет мигать
  • Отпускаем скрепку которое все это время была нажата на углубленную кнопку RES

и через некоторое время (обычно минуту или две) уже можно будет попробовать подключиться к устройству Mikrotik через утилиту winbox — В одном случае у меня данный способ привел к положительному результату, я получил доступ к устройству.

Второй способ: воспользоваться специальной утилитой от компании Mikrotik именуется она, как netinstall, с помощью данной утилиты происходит восстановление прошивки которую предварительно придется скачать.

Подключаю сетевой провод в первый порт на устройстве Mikrotik

aollo@system:~$ wget http://download2.mikrotik.com/routeros/6.33.3/netinstall-6.33.3.zip

aollo@system:~$ unzip netinstall-6.33.3.zip

Archive: netinstall-6.33.3.zip

inflating: LICENSE.txt

inflating: netinstall.exe

Скачиваю прошивку:

aollo@system:~$ wget http://download2.mikrotik.com/routeros/6.33.3/routeros-mipsbe-6.33.3.npk

Запускаю утилиту netinstall через wine, на появившееся окно с надписью «Bind bootp failed: (10013)» не обращаем внимание, т. е. Нажимать OK не следует иначе закроется сама утилита netinstall.

Через Browse указываем каталог местоположения прошивки, в моем случае это /home/aollo, а после нажимаем кнопку Net booting и активируем (Установка галочки Boot Server Enabled и указанием IP адреса текущей системы), что текущая система будет выступать PXE сервером с адресом Вашей системы где запущена утилита netinstall

После чего проделываю действия над Mikrotik чтобы он перешел в режим загрузки по сети, данные действия аналогичны первому способу, но вот в чем загвоздка, сообщение которое появляется при загрузке netinstall говорит, что не может сделать текущую систему сервером PXE с которого грузить прошивку.

Раз так, то попробую задействовать резервный ноутбук: HP ProBook 4540s с операционной системой Windows 7 Профессиональная SP1.

Подключаю к ноутбуку (выставляю статику 192. 168.88.100) сетевой кабель, а другим разъемом в второй порт на роутере Mikrotik.

Проделываю все операции по переводу роутера Mikrotik в режим загрузки по сети, но так ни на одном из портов ничего не удается сделать. Может я пока чего-то не понимаю.

Итого проработать все шаги по закачки прошивки на Mikrotik не получилось, получилось только сделать аппаратный Reset и только после этого я уже смог через утилиту управления Winbox подключиться к устройству и произвести первоначальные шаги по конфигурированию. Надеюсь, что в дальнейшем я добью тот момент как использовать утилиту или же лучше бы он мне никогда не понадобился. На этом я прощаюсь, до новых практических заметок на моем блоге, с уважением, автор блога — ekzorchik.

Mikrotik web proxy настройка

Main

Оценка: 85.06% — 17 Голосов
Общая

MikroTik — линейка довольно дешевого сетевого оборудования выпускаемого латвийской компанией Mikrotīkls Ltd.

Оборудование имеет большое количество возможностей и довольно удобный интерфейс настройки через фирменную программу WinBox.

Настройка происходила на маршрутизаторе MikroTik RB2011UiAS

1. Подключение к маршрутизатору MikroTik.

Настройка оборудования, как было написано выше, удобнее всего производить через WinBox, доступный для скачки на официальном сайте MikroTik.

1.1 Подключение к маршрутизатору.

По умолчанию на ether1 порту установлен IP адрес 192.168.88.1 с маской подсети 255.255.255.0, поэтому для простого подключения понадобится сдать сетевой карте компьютера IP-адрес из этой подсети. Логин для подключения admin, а пароль — пустой.

1.2 Смена пароля пользователя.

Так как пароль по умолчанию отсутствует то необходимо его задать.

Сделать это можно в Systems — Users. В появившемся окне открыть пользователя admin и нажать кнопку Password. В появившемся окне ввести новый пароль в полях New Password и Confirm Password.

1. 3 Отключение и включение сервисов управления

Так же вам следует обратить внимание на сервисы управления маршрутизатором. Это можно сделать нажав IP — Services. В появившемся окне будут указаны активированные и деактивированные сервисы управления. Можно оставить включенным только WinBox, если вы не собираетесь использовать другие. Важно обратить внимание на то, что бы указанные порты небыли доступны извне, что бы не нарушить безопасность оборудования.

2. Работа с IP-адресами.
2.1 Получение IP-адреса по DHCP.

Если требуется получить адрес от DHCP сервера провайдера или локального сервера, установленного в вашей сети то в WinBox необходимо нажать IP — DHCP Client. В появившемся окне нажать «+» — это откроет диалог добавления DHCP клиента где в пункте Interfaces необходимо выбрать порт, на котором необходимо получить адрес автоматически. В приведенном ниже примере DHCP клиент активирован на порту ether2-master.

2.2 Назначение IP-адреса интерфейсу.

Если вы собираетесь поднять DHCP сервер на вашем MikroTik маршрутизаторе то вам необходимо назначить нужным интерфейсам желаемые адреса. Для этого необходимо нажать IP — Addresses. В появившемся окне нажать «+» — это откроет диалог назначения адреса. В приведенном ниже примере интерфейсу ether6-master назначен IP-адреса 10.100.0.254 с маской 255.255.255.0 и указана сеть этого адреса 10.100.0.0.

3 Включение DHCP сервера и назначение пулов адресов.
3.1 Создаем пул адресов для DHCP сервера.

Для правильной работы DHCP сервера необходимо создать пул адресов для необходимой нам сети. Для этого необходимо нажать IP — Pool. В появившемся окне нажать «+» это откроет диалог создания пула адресов где необходимо указать имя пула в пункте Name, указать диапазон адресов в пункте Addresses и при необходимости указать дополнительный пул адресов на случай если создаваемый пул исчерпает свободные адреса. В приведенном ниже примере создан пул под названием DHCP Network Pool с диапазоном адресов от 10.100.0.2 до 10.100.0.200.

3.2 Запуск DHCP и DNS сервера на маршрутизаторе MikroTik.

Если в вашей сети нет DHCP сервера то встроенный в роутер DHCP сервер поможет решить эту проблему. Можно создать как для одной сети сервер так и для нескольких сетей. Для запуска сервера необходимо нажать IP — DHCP Server. В появившемся окне, на вкладке DHCP необходимо нажать «+» — это откроет диалог создания DHCP сервера где необходимо в поле Name ввести произвольное имя сервера, в поле Interface выбрать интерфейс на котором будет работать данный DHCP сервер, в поле Lease Time нужно указать срок аренды адресов, получаемых клиентами,в поле Address Pool необходимо указать пул диапазонов адресов. В приведенном ниже примере создан сервер с именем Local на интерфейсе ether6-master с сроком аренды в 31 день и один час. Серверу назначен пул DHCP Network Pool, созданный в пункте 3.1

3.3 Определение параметров сети.

Для корректной работы клиентов необходимо чтобы DHCP сервер присылал правильные настройки сети. Задаются параметры в пункте IP — DHCP Server. В появившемся окне, на вкладке Networks необходимо нажать «+» — это откроет диалог создания параметров сети где в поле Address вносим адрес сети, в поле Gateway вносим адрес шлюза. Адрес шлюза это адрес интерфейса маршрутизатора «смотрящего» в эту сеть. В поле Netmask вносим маску подсети — маску можно указать как в привычном формате 255.255.255.0 так и в формате бесклассовой адресации (CIDR) — 24. В поле DNS Servers указываем адрес DNS сервера, который является адресом маршрутизатора. Его настройка рассмотрится в пункте 3.4. В поле Domain вносим имя домена если есть. В приведенном ниже примере созданы параметры сети, адрес которой является 10.100.0.0/24, шлюзом 10.100.0.254. Маска подсети указана в формате CIDR — 24 что соответствует маске 255.255.255.0, а так же указано имя домена home.local.

Произведя изложенные выше манипуляции клиенты подключенные на интерфейс ether6-master будут получать IP-адрес из созданного пула и смогут взаимодействовать с маршрутизатором.

3.4 Создание DNS сервера.

Сервер имен не мало важен в сети, так как он позволяет обращаться к сайтам и устройство по их FQDN имени. В маршрутизаторах MikroTik есть встроенный DNS сервер и этот сервер работает по умолчанию. Если ваш маршрутизатор получает автоматический IP адрес от сервера провайдера или локального DHCP сервера, который выдает IP-адреса DNS сервера для ретрансляции то настройка данного пункта не понадобится. Но бывают случаи, что внешние DNS сервера работают более надежно, чем сервера провайдера. Поэтому можно настроить их адреса в разделе IP — DNS. В появившемся окне, в пункте Servers можно указать адрес DNS сервера для ретрансляции. В конце строки присутствуют стрелки при нажатии на которых появятся дополнительные строки для ввода дополнительных адресов. В приведенном ниже примере серверами ретрансляции указаны адреса серверов Google — 8.8.8.8 и 8.8.4.4. В поле Cache Size указан размер кэша в 2 мегабайта.

Так же в данном окне присутствует кнопка Static где можно сопоставить IP-адреса и FQDN хостов, которые вам необходимы.

4. Настройка Firewall-а.

Firewall в маршрутизаторе создан для обеспечения безопасности вашей локальной сети от вторжений извне. По умолчанию в маршрутизаторах уже есть правила, способствующие защите вашей сети. Но вы всегда можете донастроить ваш firewall согласно вашим требованиям. Мы лишь рассмотрим как создавать правила.

Маршрутизатор смотрит правила сверху вниз и применяет к пакетам правила под которые эти пакеты подпадают. Для удобства настройки в первую очередь необходимо разместить правила разрешающие нужный вам трафик, а в конце разместить правило запрещающие все остальное.

Настройка Firewall находится в IP — Firewall, вкладка Filter Rule где необходимо нажать «+» — это откроет диалог создания правил. В появившемся окне заполняем нужные строки:

Chain — выбор фильтрации трафика в зависимости от его предназначения и имеет 3 варианта настройки это forward — проходящий через маршрутизатор трафик, input — входящий трафик для маршрутизатора, output — исходящий трафик созданный маршрутизатором;

Src. Address — исходный адрес;

Dst. Address — адрес назначения;

Protocol — тип протокола трафика;

Src. Port — исходный порт;

Dst. Port — порт назначения;

In. Interface — интерфейс на который приходит трафик;

Out Interface — интерфейс с которого уходит трафик;

На вкладке Action, в пункте Action необходимо выбрать что с таким трафиком делать. Accept — принять, drop — сбросить, reject — отклонить, add dst to address list — добавить адрес назначения в указанный лист, add src to address list — добавить исходный адрес в указанный лист, fasttrack connection — пересылка пакетов без обработки, jump — перепрыгнуть в цепочку, passthrough – игнорировать это правило и перейти к следующему, return – вернуть пакет в цепочку, из которой он был переброшен, tarpit – захватить и удерживать входящие TCP подключения.

5. Настройка NAT.

NAT позволяет преобразовывать IP-адреса транзитных пакетов. Данный функционал доступен в любом маршрутизаторе и позволяет транслировать адреса из одной сети в другую. Так же помогает пробрасывать порты. По умолчанию в маршрутизаторе есть правило, позволяющее взаимодействовать вашей локальной сети с сетью интернет. Создание NAT правил доступно в IP — Firewall, вкладка NAT где необходимо нажать «+» — это откроет диалог создания правил. Строки в данном окне имеют те же значения что и в вкладке Filter Rule, за исключением пункта Chain имеющий два параметра srcnat и dstnat — это направление трафика. Srcnat — из внутренней сети во внешнюю, dstnat — из внешней во внутреннюю.

На вкладке Action, в пункте Action необходимо выбрать действие которое следует выполнить с подключением на указанный порт. Правило masquerade — подмена внутреннего адреса на адрес маршрутизатора, netmap — отображение одного адреса на другой; redirect — перенаправляет данные на другой порт в пределах маршрутизатора; src-nat — перенаправление данных из внутренней сети во внешнюю; dst-nat — перенаправление данных из внешней сети во внутреннюю;

Ниже приведен пример проброса порта с внешнего интерфейса на нужный порт на хост внутри локальной сети.

На вкладке General в поле Chain указана цепочка dstnat — направление трафика из внешней во внутреннюю, по протоколу tcp, порт назначения 80, входящий интерфейс, направленный в сторону сети провайдера ether2-master.

На вкладке Action, в поле Action выбрано действие netmap, указан адрес хоста 10.100.4.1 в поле To address и порт хоста 80 в поле To Ports.

Данное правило позволяет ретранслировать все входящие пакеты, поступающий на 80 порт внешнего адреса маршрутизатора, на 80 порт указанного хоста.

Так же приведем пример мскарадинга трафика, который позволит хостам иметь доступ в интернет

На вкладке General в поле Chain указана цепочка srcnat — направление трафика из внутренней сети во внешнюю, исходящий интерфейс — интерфейс направленный в сторону сети провайдера ether2-master.

На вкладке Action, в поле Action выбрано действие masquerade — подмена внутреннего адреса на адрес маршрутизатора.

6. Настройка VPN.

VPN позволит вам установить защищенное соединение по небезопасной среде интернет и даст возможность получить доступ к внутренним ресурсам вашей сети.

Для настройки VPN необходимо нажать на пункт PPP. В появившемся окне, на вкладке Interfaces необходимо нажать «+» и выбрать L2TP Server Binding — это откроет диалог создания параметров. Укажем имя интерфейса в поле Name. В приведенном примере ниже указано имя l2tp

Далее в окне настроек PPP щелкаем на кнопку L2TP Server и в появившемся окне ставим галку Enable, в пункте Authentication выберем mschap2 и mschap1. Поставим галку Use IPsec и введем произвольный ключ в поле IPsec Secret. Этот ключ будет вводится в раздел IPsec при настройке VPN на клиенте.

Далее на вкладке Secret создаем пользователя где поле Name указывается логин, в поле Password — пароль, в поле Service выбираем созданный ранее l2tp, в поле Profile выбираем default-encryption.

Теперь остается поправить default-encryption профиль в вкладке Profiles указав пулы адресов в полях Local Address и Remote Address, а так же DNS Server.

Данная настройка позволяет создать L2TP подключение с обязательным шифрованием с использованием IPsec. Что необходимо учесть при настройке подключения на клиенте.

7. Создание VLAN интерфейсов.

VLAN позволяет создать виртуальные сети используя одну физическую сеть. На одном интерфейсе могут быть несколько субинтерфейсов имеющие разные IP адреса и сети.

Для создания VLAN интерфейса необходимо нажать Interfaces. В появившемся окне, на вкладке Interface необходимо нажать «+» и выбрать VLAN — это откроет диалог создания параметров. Укажем имя в поле Name, укажем номер VLAN в поле VLAN ID, в поле Interface выберем интерфейс, субинерфейсом которого он будет. Настройка IP адреса, параметров сети, DHCP сервера для данного интерфейса происходит по аналогии с обычным интерфейсом, описанном в пункте 2 и его подпунктах.

Важно отметить, что оборудование на другом конце провода данного порта так же должно поддерживать технологию VLAN и настроено с тем же VLAN ID.

8. Настройка Web Proxy

В маршрутизаторе так же присутствует встроенный Web Proxy. Для его активации необходимо нажать IP — Web Proxy. В появившемся окне поставить галочку Enable. В поле Port указывается порт на который прокси принимает соединения. По нажатию кнопки Access открывается окно где можно запретить доступ к определенным ресурсам.

Для работы прокси необходимо весть трафик, идущий на 80 порт через маршрутизатор заворачивать на указанный в настройка прокси порт. Это делается в IP — FIrewall, вкладка NAT. В поле Chain указывается dstnat, в поле Scr. Address указывается адрес сети из которой мы хотим завернуть трафик на порт, в поле protocol указываем tcp, в поле Dst. port указываем 80 порт. На вкладке Action, в поле Action указываем redirect и в поле To ports указываем порт, назначенный в настройках Webproxy.

Mikrotik Анализ трафика пользователей

Активные темы
  • Что делать если супер клей (секунда) попал в рот (452)

    Kmeyt Тексты 15:26

  • Сфоткай меня еще в этой позе (276)

    CareyMahoney Картинки 15:26

  • Как перехитрить жену, три идеальных способа (302)

    Reisen Тексты 15:26

  • Лавров рассказал о предложении США провести второй референдум в … (275)

    GoodwinXX События 15:26

  • И снова про «Мираторг» (110)

    Херассе События 15:26

  • Десять поводов для гордости за Великую Прекрасную Россию. (175)

    kombrig68 Тексты 15:26

  • Как Kinodanz наплевали на авторские права Ника Перумова (10)

    JamSoot Инкубатор 15:26

  • Перед расстрелом Зиновьев плакал, молил палачей о пощаде, кидалс… (575)

    Veland Картинки 15:26

  • «Ты бороду отрастил? А бороду чтобы отрастить, надо себя уважать… (100)

    vnuchara Видео 15:26

  • «Вы что там жрете?!» Герман Стерлигов закрыл все м… (164)

    Kiparys События 15:26

  • «Не, ну они же сняли!» В Курчатове пройдет кастинг… (189)

    Glanis События 15:26

  • Чемпионат России по футболу (последний тур 2018/2019 и межсезонь… (1466)

    Чайники Спорт 15:26

  • Классических пистолетов фотопост — 2. (27)

    BattlePorQ Инкубатор 15:25

  • Бросить курить (5)

    KamikaDZe38 Инкубатор 15:25

  • Их сделали миллионерами. За наш счёт (270)

    Rfotq Видео 15:25

Прочитано: 1 883

Есть желание управлять доступом к ресурсам интернета для всех тех кто использует в корпоративной сети Wifi (или обычная LAN сеть) — это могут быть обычные клиенты которые находятся в зоне ожидания, так и офисные сотрудники с ноутбуками путешествующими по офисному зданию. Я предполагаю, а даже действительно знаю, что офисным сотрудникам в повседневной работе не нужен доступ к социальным сетям и многим засветившимся в логах ресурсам относящихся к отдыху.

Сегодня же я разберу для как активировать прозрачный для пользователей прокси с целью управления какие ресурсы можно, а какие нельзя. Все дальнейшие настройки будут происходить на Mikrotik 2011UiAS-2HnD.

Запускаю со своей рабочей системы (Lenovo E555 — Ubuntu 12.04.5 Desktop amd64 Gnome Classic) консоль командной строки: Приложения — Стандартные — Терминал и запускаю оснастку управления устройством(ами) Mikrotik:

ekzorchik@navy:~$ winbox

Winbox — IP&MAC — auth&pass — IP- Web Proxy

вкладка General:

Enabled: ставим галочку

Max Fresh Time: 1d 00:00:00

Serialize Connections: ставим галочку

остальные настройки оставляем дефолтными

(или же через консоль командной строки:

> ip proxy set enabled=yes port=8080)

Включаемм прозрачный прокси, т. е. все http запросы будем перенаправлять на порт proxy 8080:

Winbox — IP&MAC — auth&pass — IP — Firewall — вкладка NAT — Add

вкладка: General

Chain: dstnat

Protocol: 6 (tcp)

Dst. Port: 80

Src. Address: 192.168.1.0/24

вкладка: Action

Action: redirect

To Ports: 8080

(или же через консоль командной строки:

Если же помимо всех кому-то определенному нужен полный доступ в интернет (т. е. Без ограничений прокси), то настройки будут следующие:

Winbox — IP&MAC — auth&pass — IP — Firewall — вкладка: Address Lists — Add

Name: noProxy

Address: 192.168.1.5

и еще:

Name: toNotProxy

Address: либо сети локальной сети либо внешние узлы(ограниченные маской подсети): 10.7.8.0/24

А теперь расширенное правило вместо ранее добавленного для всех:

а по настройкам без консоли это получается следующее:

Winbox — IP&MAC — auth&pass — IP — Firewall — Add

вкладка General:

Chain: dstnat

Protocol: 6 (tcp)

Dst. Port: 80

Src. Address: 192.168.1.0/24

вкладка Advanced:

Src. Address List: !noProxy

Dst. Address List: !toNotProxy

вкладка Action:

Action: redirect

To Ports: 80

Теперь можно регулировать доступ к узлам интернета, например запретим доступ к сайту vk.com,odnoklassniki.ru:

Winbox — IP&MAC — auth&pass — IP — Web Proxy — Access — Add

Src. Address: 192.168.1.0/24

Dst. Host: vk.com

Action: deny

После нажимаю Apply — Ok, а затем блокирующее правило нужно поставить первым, а все разрешающие после запрещающих.

По такому же принципу создаются новые правила для любых других ресурсов, также можно использовать символ звездочки, как элемент регулярных выражений.

Но вот каждый раз вносить новые узлы для блокировки через GUI не удобно, можно все то же самое делать из через подключение к Mikrotik через ssh:

ekzorchik@navy:~$ ssh -l ekzorchik 192.168.1.9

Отобразить текущие правила:

> ip proxy access print

Flags: X — disabled

# DST-PORT DST-HOST PATH METHOD ACTION HITS

0 vk. com deny 2

Добавляю новые правила блокировки хостов:

> ip proxy access add src-address=192.168.1.0/24 dst-host=*.odnoklassniki.ru action=deny

> ip proxy access add src-address=192.168.1.0/24 dst-host=*.ok.ru action=deny

Еще одним напоминание пользователям будет использование настройки Redirect To: на сайт в Вашей внутренней сети на котором будет доходчиво доведено почему данный ресурс не открывается т. к. он не относится к рабочим моментам, а носит развлекательный характер.

Вот только данная возможность, как использование прозрачного прокси сервера с целью регулирования доступа к нежелательным ресурсам не распространяется на URL адреса в которых стоит префикс https (соединение происходит через 443 порт), а только на префикс http (соединение происходит через 80 порт). Префикс 443 предполагает что данные между Вами и удаленным ресурсом зашифрованы, а вот расшифровать данный вид трафика Mikrotik не умеет. Ну и что, не умеет и ладно, ведь не весь интернет базируется на безопасном исполнении.

Когда пользователь подключенный к Wifi обратится к ресурсам настроенным в правилах блокировки он получит вот такую вот дефолтную отбивку если конечно же не настроен редирект на поясняющую страницу:

ERROR: Forbidden

While trying to retrieve the URL http://vk.com/:

•Access Denied

Your cache administrator is webmaster.

Generated Mon, 06 Jun 2016 12:43:17 GMT by 192.168.1.9 (Mikrotik HttpProxy)

Теперь я хоть и в минимальном исполнении смогу регулировать доступ в интернет. Когда перед Вами стоит задача ограничить его использование даже любое действии хоть на малую часть выполняющее поставленную задачу во много раз лучше чем нечего не делание. Вот я и сделал один шаг, в дальнейшем я буду показывать все что узнал сам Вам, обучая других сам узнаешь больше. На этом я прощаюсь и до новых встреч, с уважением автор блога — ekzorchik.

Port knocking Mikrotik используя Web Proxy.

  Я думаю все знают что такое port knocking, но на всякий случай напишу. Port knocking — метод внешнего открытия портов путем обращения к маршрутизатору генерируя определенные пакеты на известные открытые порты. Играет роль именно последовательность отосланных пакетов, их размер и порт на который они обращаются. Иными словами, порт является по-умолчанию закрытым, но  только до тех пор, пока на него не поступит заранее определённая последовательность пакетов данных, которая «заставит» порт открыться.

  Основная цель — предотвратить злоумышленнику сканирование вашего устройства на наличие потенциально пригодных для использования уязвимостей, делая сканирование порта.  И только из-за того, что злоумышленник не посылает правильную последовательность — защищенные порты остаются закрыты.

  Естественно, в Mikrotik такую возможность реализовать можно, в интернете по этому поводу написано много статей. Например, официальная WiKi приводит в пример эту статью. Они предлагают для доступа на ваш маршрутизатор постучать последовательно по 9000, а потом по 6000 порту для открытия доступа к маршрутизатору. Постучать можно через nmap command, установив knockd package в linux или через браузер. В других статьях описывается открытие портов через протокол icmp, используя ICMP-пакеты (пинг) разных размеров пакета в определенной последовательности. Метод довольно защищенный, но достаточно неудобен. Вообщем, использование Port knocking сводится к настройке, пару-тройку дней тестирования, и отключения, т.к. он требует дополнительных манипуляций до подключения, времени на который, как правило нет. ICMP запросы требуют командной строки или спец-по, простукивания по разным портам — аналогично. 

  Задача у меня стояла такая — сделать безопасный доступ к роутеру Mikrotik с любой точки планеты, с любого компьютера, смартфона, планшета, с любого интернета, будь то HOTSPOT в аэропорту, или любая другая сеть. Для этого был выбран сервис www-ssl.

  Настроены сертификаты, создано шифрованное безопасное соединение, которое прослушать не представляется возможным. Как создавать сертификаты и использовать www-ssl в Mikrotik я расскажу в другой статье.

  Так же, создано ряд правил, которые включают доступ к веб-интерфейсу роутера, так как изначально порт 49 у меня закрыт. Это сделано для безопасности. 

  

  /ip firewall filter

 7    ;;; add_address_list_49049
      chain=input action=add-src-to-address-list protocol=tcp
      address-list=49049 address-list-timeout=10s dst-port=49049 log=no
      log-prefix=»»
 8    ;;; add_address_list_49
      chain=input action=add-src-to-address-list protocol=tcp
      src-address-list=49049 address-list=49 address-list-timeout=15m
      dst-port=49 log=no log-prefix=»»
 9    ;;; accept_adr_list_49049
      chain=input action=accept protocol=tcp src-address-list=49049 dst-port=49
      log=no log-prefix=»»
10    ;;; accept_adr_list_49
      chain=input action=accept protocol=tcp src-address-list=49 dst-port=49
      log=no log-prefix=»»
11    ;;; drop_service_www-ssl
      chain=input action=reject reject-with=icmp-network-unreachable
      protocol=tcp dst-port=49 log=no log-prefix=»» 

  Последовательность правил важна.  

  • Правило 7: при обращении на порт 49049 (это порт должен быть открыт в Mikrotik) создается адрес-лист с названием 49049 и туда заносится IP стучавшего на этот порт на 10 секунд;
  • Правило 8: при обращении IP с адрес-листа 49049 этот адрес заносится в адрес-лист 49 на 15 минут;
  • Правило 9: разрешает IP  с адрес-листа 49049 обращаться к 49 порту;
  • Правило 10: разрешает IP  с адрес-листа 49 обращаться к 49 порту;
  • Правило 11: запрещает всем IP, которые не в наших адрес-листах обращаться на порт 49.

 Стоит сказать, в идеале, после всех правил в /ip firewall filter должно стоять правило:

add action=drop chain=input

будьте с ним осторожны, убедитесь, что у вас перед ним разрешены все нужные вам подключения. 


  После этого вам нужно включить Web Proxy на порт 49049:

Добавляем запрещающее правило в Web Proxy для всех подключений:

  Сбрасываем страницу error.html через нажатие клавиши в Web Proxy Reset HTML:

И модифицируем ее до свои нужды. Эта страница будет отображаться при подключении через браузер на порт 49049 для открытия «основного» 49 порта.

  В итоге мы имеем такую схему — находясь в отъезде, если нам нужно зайти на ваш роутер, с любого компьютера или смартфона в браузере набираем в адресной строке наш адрес — http://X.X.X.X:49049/, где X.X.X.X — ваш внешний IP роутера, видим, например, такую страницу (она загрузилась с нашего веб-прокси):

Модифицированная страница error.html. Доступна для скачивания тут.

  Показ этой страницы означает, что Mikrotik «увидел» нас и открыл доступ на 10 секунд к порту 49. В течении этого времени (вы можете поставить свое) мы должны вбить в браузер строку https://X.X.X.X:49/ для доступа в веб-интерфейс роутера:

  После того, как мы подключились к веб-интерфейсу правило 8 записало нас в доверенный адрес-лист на 15 минут. Все. 15 минут у нас есть доступ к нашему маршрутизатору с этого IP.

  

  Плюсы данного метода:

  • возможно подключение с любого места;
  • визуально понятно, что роутер тебя «понял»;
  • универсальность: подключение с любого устройства (даже чужого), где есть веб-браузер;
  • быстрое подключение с защитой порта;
  • защищенное соединение ssl.

  Минусы:

  • используется Web Proxy: если вы его уже используете и вам нужна страница error.html — он вам не подойдет;
  • одноэтапная защита — можно добавить еще один этап, и другой порт, но «страницы-оповещателя» уже не будет;
  • для параноиков не подойдет.

  Что еще нужно помнить:

  • сервисы вешаем на нестандартные, свободные по спецификации, порты. Список смотрим тут: Список портов TCP и UDP.
  • обычно, сканеры портов работают с первого порта до последнего, т.е. по-порядку, так как у нас используется одноэтапная защита (хоть и с интервалом 10 секунд), то порт «port knocking» должен быть больше (49049) чем тот порт, который он открывает (49), и между ними должно быть значительное расстояние. Тогда вероятность, что при сканере откроется первый, а за ним в течении 10 секунд второй — минимальна.



Уязвимости в маршрутизаторах MikroTik позволяют создавать бэкдор

Уязвимости в маршрутизаторах MikroTik позволяют создавать бэкдор

Alexander Antipov

Неавторизованный злоумышленник может сбросить системные пароли и получить права суперпользователя на устройстве.


Исследователи из компании Tenable обнаружили четыре уязвимости (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978 и CVE-2019-3979) в маршрутизаторах MikroTik. По словам специалистов, неавторизованный злоумышленник с доступом к порту 8291 на маршрутизаторе может удаленно откатить ОС RouterOS до предыдущих версий, сбросить системные пароли и потенциально получить права суперпользователя.


Первым этапом в цепочке эксплуатаций является «отравление» кэша DNS (DNS cache poisoning). В Router OS по умолчанию отключена настройка DNS-сервера, но маршрутизатор по-прежнему поддерживает собственный DNS-кэш. DNS-запросы обрабатываются двоичным файлом «resolver», который подключается к протоколу Winbox. С помощью трех команд неавторизованный пользователь может отправлять DNS-запросы через маршрутизатор на DNS-сервер по своему выбору.


Следующим шагом в цепочке эксплуатаций будет откат RouterOS до версии 6.42.12 или более ранней (начиная с версии 6.43 MikroTik изменила механизм обработки пароля). Согласно журналу изменений проекта, «понижение до любой версии до 6.43 (6.42.12 и старше) удаляет все пользовательские пароли и позволяет авторизоваться без пароля».


С помощью вредоносного DNS-сервер злоумышленник может внедрить в кеш маршрутизатора ряд вредоносных IP-адресов, включая адрес загрузки. Когда маршрутизатор начнет поиск обновления, он попадет на сайт злоумышленника, а не на официальный сайт MikroTik. Вредоносный сайт может быть использован для установки более ранней версии, которую RouterOS посчитает последней.


«Когда пользователь устанавливает «новое обновление», происходит обход обычной логики, которая запрещает переход на более ранние версии через обновление, и переключается на RouterOS 6.41.4. Так как нам удалось откатить RouterOS с версии 6.45.6. до 6.41.4, мы смогли получить пустой пароль администратора. То есть атакующий может авторизоваться как администратор», — поясняют специалисты.


Механизм обработки .NPK-файлов подразумевает парсинг добавленного поля «part info», что может использоваться для создания каталога в любом месте на диске.


«Файл поддержки бэкдора для 6.41.4 представляет собой просто /pckg/option. Пока файл существует, даже в виде каталога, бэкдор будет работать», — поясняют исследователи.


Вышеуказанные уязвимости были исправлены компанией MikroTik в новой версии RouterOS 6. 45.7.

Подписывайтесь на каналы «SecurityLab» в
Telegram и
Twitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Поделиться новостью:

Конфигурация веб-прокси MikroTik — информация и сценарии для Linux

MikroTik Web Proxy Простая настройка
Web Proxy — одна из функций маршрутизатора mikrotik. Используя эту функцию веб-прокси, вы можете сэкономить пропускную способность Интернета и ускорить соединение, потому что, когда вы и ваши пользователи заходите на веб-сайт, часть содержимого веб-сайта будет кэшироваться в памяти или на микротике на диске. А когда вы откроете сайт, который хранится в кеш-памяти микротиков, доступ к сайту будет быстрее.

MikroTik RouterOS выполняет проксирование запросов HTTP и HTTP-прокси (для протоколов FTP и HTTP). Прокси-сервер выполняет функцию кеширования Интернет-объектов, сохраняя запрошенные Интернет-объекты, т. Е. Данные, доступные через протоколы HTTP и FTP в системе, расположенной ближе к получателю, в форме ускорения просмотра клиентами, доставляя им запрошенные копии файлов из прокси-кеша в локальной сети скорость. MikroTik RouterOS реализует следующие функции прокси-сервера.
Обычный HTTP-прокси — клиент (сам) указывает, какой для него прокси-сервер.
Прозрачный прокси — клиент не знает о включенном прокси-сервере и не требует дополнительной настройки веб-браузера клиента.
Список доступа по источнику, назначению, URL-адресу и запрошенному методу (брандмауэр HTTP)
Список доступа к кэшированию, чтобы указать, какие объекты кэшировать, а какие нет.
Список прямого доступа — чтобы указать, к каким ресурсам следует обращаться напрямую, а какие — через другой прокси-сервер.
Средство ведения журнала — позволяет получать и хранить информацию о работе прокси.
Поддержка родительского прокси — позволяет указать другой прокси-сервер у них нет запрашиваемого объекта, чтобы спросить их родителей или исходный сервер. )

Настройка веб-прокси Настройка
Перейти к IP
Веб-прокси
Нажмите «Настройки веб-прокси». Введите порт прокси. По умолчанию 8080

Вручную настройте прокси в вашем браузере с IP-адресом mikrotik (Gatheway LAN) в качестве IP-адреса прокси и порта 8080

Прозрачный прокси на маршрутизаторе mikrotik
Перейти на IP
Межсетевой экран
NAT
Общие выберите значения параметров

На вкладке действия
Выберите значения параметров

Перейти в консоль и вставить
Проверить на вкладке состояния и подключении

Пожалуйста, проверьте ниже, вы можете увидеть «Ошибка тайм-аута шлюза»

Нравится:

Нравится Загрузка…

Membuat Web Proxy pada MikroTik

Прокси-сервер определен Википедия адалах sebuah komputer adalah sebuah komputer server atau program komputer yang dapat bertindak sebagai komputer lainnya untuk melakukan request terhadap content dari Internet atau intranet. Прокси-сервер ini bertindak sebagai gateway atau penyambung komputer client dengan dunia internet, dalam hal ini web server. Запросить янь diterima oleh веб-сервер ini terlihat seolah-olah datang langsung dari komputer client karena sifat proxy server yang invisible (tidak terlihat).

Selain itu, прокси-сервер juga dapat digunakan untuk mengamankan jaringan pribadi yang dihubungkan ke sebuah jaringan publik seperti Internet.

Веб-прокси Cara Keja

Dengan Web Proxy, пользователь ketika mengakses sebuah situs, maka browser akan mengirim HTTP-запрос ке сервер yang akan diterima oleh proxy terlebih dahulu. Setelah itu, HTTP-запрос baru akan dibuat dan diteruskan ke Server. Сервер kemudian акан мембалас dengan HTTP-ответ ян акан kembali diterima прокси дан diteruskan ke пользователя браузера awal.

Локальный членский веб-прокси Mikrotik

Salah satu fitur pada Mikrotik adalah веб-прокси янь биса digunakan sebagai прокси-сервер янь nantinya akan menjadi perantara antara user browser user dengan Web Server di Internet. Лангках-лангках ян перлу дилакукан адалах себагай берикут:

  • Pada Winbox masuk ke menu IP -> Веб-прокси
  • Untuk mengaktifkan Web Proxy, pada tab General centang pilihan «Включено»
  • Isikan Порт yang akan digunakan oleh Прокси, порт misal 8080
  • Cache Administrator bisa Anda ganti dengan email sesuai preferensi Anda selaku Admin.
  • Макс. Размер кэша позволяет использовать память для каждого прокси-сервера кеша. Isi sesuai kebutuhan atau bisa saja pilih без ограничений.
  • Centang opsi Кэш на диске agar penyimpanan dilakukan pada жесткий диск MikroTik дан bukan pada RAM, karena biasanya жесткий диск Mikrotik memiliki kapasitas lebih basar daripada RAM.
  • Klik Применить -> OK
  • Selanjutnya Anda harusmbuat NAT untuk mengalihkan ( redirect ) Traffic data HTTP (destination port 80) ke port yang digunakan proxy yaitu 8080. Caranya adalah dengan mengkonfigurasi Firewall NAT dengan mengisi kolom Chain = dstnat; Протокол : tcp; Dst. Порт : вкладка 80 пада «Общие»
  • Pada tab Action isi kolom Action : redirect dan pada kolom To Ports : 8080
  • Sekarang Web Proxy MikroTik Sudah Transparent, selanjutnya, buka menu IP -> Web Proxy di Winbox. Вкладка Masuk Статус дан клик Подключения .Калау кедуанья суда исинья, танданья прозрачный Прокси Mikrotik sudah jalan.
  • Selain itu pengecekan juga dapat melalui browser , kemudian masukkan alamat apapun (yang tidak valid) supaya terjadi pesan error . Jika Transparent Proxy MikroTik Sudah berjalan, maka akan muncul pesan error dari Mikrotik nya seperti gambar berikut dan pengaturan pada MikroTik sudah selesai.

Selamat Mencoba!

Список бесплатных прокси-серверов Mikrotik.Откройте прокси Mikrotik.

9020%

22166

Найдено 10143 прокси Постоянная ссылка на эту страницу: https://spys.one/mikrotik-proxy/
IP-адрес прокси: порт Тип Анонимность Страна * город / регион) Имя хоста / ORG Задержка ** Скорость *** Время работы Дата проверки (GMT + 03)
202.143.122.2 HTTP (Mikrotik) 9016 NOA ПК Карачи (Синд) статик-122-2.satcomm.pk (поставщик услуг широкополосного доступа, FTTH и кабельного телевидения) 9,4 новое — 13 ноя 2020 05:00 (7 минут назад)
103. 104.213.255 HTTPS (Mikrotik) NOA PK Lahore (Пенджаб) 103.104.213.255 (Netze Technology Private Limited) 2,165 24% (10) — 13 ноя 2020 04:58 (9 минут назад)
189.112.163.144 HTTP (Mikrotik) NOA BR Brasília (Федеральный округ) 189-112-163-144.static.ctbctelecom.com.br (ALGAR TELECOM S / A) 5,67 32% (36) — 13 ноя 2020 04:57 (10 минут назад)
202.138.248.107 HTTPS (Mikrotik) NOA ID Bandung (Западная Ява) 202.138.248.107 (Melsa-i-net AS) 11.091 31% (58) — 13 ноя 2020 04:53 (14 минут назад)
177. 66.115.97 HTTP (Mikrotik) NOA BR Picos (Piaui) vtx-115-097.virtex.com.br (Virtex Ltda) 10.736 23% (5) — 13 ноя 2020 04:49 (18 минут назад)
112.198.187.99 HTTP (Mikrotik) NOA PH 112.198.187.99 (Globe Telecom Inc.) 1.692 27% (3) + 13 ноя 2020 04:45 (22 минуты назад)
103.25.47.130 HTTP (Mikrotik) NOA IN Намаккал (Тамил Наду)103.25.47.130 (Rainbow communications India Pvt Ltd) 4.076 32% (134) — 13 ноя 2020 04:44 (23 минуты назад)
189. 90.255.208 HTTP (Mikrotik) NOA BR Белу-Оризонти (Минас-Жерайс) ip-189-90-255-208.isp.valenet.com.br (Companhia Itabirana Telecomunicacoes Ltda) 12.279 40166 (215) —

13 ноя 2020 04:39 (29 минут назад)
154.0.155.242 HTTPS (Mikrotik) NOA TZ host-154.0.155-242.habari.co.tz (Habari Node Ltd) 7.107 11% (1) — 13 -nov-2020 04:37 (30 минут назад)
103.214.113.28 HTTPS (Mikrotik) NOA ID 103.214.113.28 (облачный хостинг PT Индонезия) 5.625

% (15) — 13 ноя 2020 04:33 (35 минут назад)
138. 201.147.232 HTTPS (Mikrotik) NOA DE cp.30server.info (Hetzner Online GmbH) 9.486 22% (35) — 13 ноя 2020 04:28 39 минут назад)
186.67.67.10 HTTP (Mikrotik) NOA CL Сантьяго (Сантьяго Метрополитен) 186.67.67.10 (ENTEL CHILE SA) 3.326 13 ноя 2020 04:24 (43 минуты назад)
202.152.27.75 HTTP (Mikrotik) NOA ID Jakarta 202.152.27.75 (провайдер доступа к сети и провайдер интернет-услуг) 7.251 37% (185) — 04 13 ноя-2020 : 22 (45 минут назад)
170. 233.235.249 HTTP (Mikrotik) NOA AR Campo Largo (Chaco) !!! static.249.235.233.170.vivecom.com.ar (VIDEO VISION CENTRO SA) 7.163 34% (156) — 13 ноя 2020 04:11 (56 минут назад)
177.10.232.124 HTTP (Mikrotik) NOA BR Пиренополис (Гояс) 177-10-232-124.radarinternet.com.br (RADAR WISP LTDA) 4.467 34% (169) — 13 ноя 2020 04:09 (58 минут назад)
91.214.31.234 HTTP (Микротик) NOA UA Запорожье (Запорожская область) 91.214.31.234 (ТОВ)

2,182 40% (332) — 13 ноя 2020 04:08 (59 минут назад)
182. 253.244.135 HTTP (Mikrotik) NOA ID Jakarta 182.253.244.135 (BIZNET NETWORKS) 7,43 32% (10) — 13 ноября 2020 г. назад)
113.160.235.49 HTTP (Mikrotik) NOA VN Da Nang static.vnpt.vn (VNPT Corp) 9.906 — 9016-37% ноя-2020 03:30 (1 час назад)
202.29.237.212 HTTP (Mikrotik) NOA TH Чонбури !!! 202.29.237.212 (Университет Чулалонгкорна) 4,391 22% (48) — 13 ноя 2020 03:27 (1 час назад)
103.216.48.83 9016 HTTP (Mikrotik)

NOA KH Phnom Penh 103.216.48.83 (Today Communication Co., Ltd) 7,359 32% (126) — 13 ноя 2020 03:26 (1 час назад)
185.194.25.77 HTTPS (Mikrotik) NOA ES La Redondela (Huelva) 185.194.25.77 (Nostravant SLL) 5.052 19% (64) — 13-nov 23 (1 час назад)
139.192.169.41 HTTP (Mikrotik) NOA ID Jakarta 139.192.169.41 (Linknet-Fastnet ASN) 3,006 9017%

13-ноя-2020 03:22 (1 час назад)
102.164.248.157 HTTP (Mikrotik) NOA GQ Malabo (Bioko Norte) 102.164.248.157 (GITGE) 1.339 28% (19) — 13 ноября 2020 г. (1 час назад)
172.104.164.176 HTTP (Mikrotik) NOA SG Singapore li1755-176.members.linode.com (Linode, LLC) 5.218 6) — 13 ноя 2020 03:19 (1 час назад)
181.78.11.93 HTTP (Mikrotik) NOA CO Guacari (Departamento del Valle del Cauca) 93.9.78.181.ufinet.com.co (UFINET PANAMA SA) 6.241 29% (6 — 13 ноя 2020 01:46 (3 часа назад)
185.200.36.104 HTTP (Микротик) NOA TR Gaziantep 185.200.36.104 (High Speed ​​Telekomunikasyon. Ve Hab. Ltd.) 6.081 28% (7) — 13 ноя 2020 01:44 (3 часа назад)
103.151.47.213 HTTP (Mikrotik) NOA PK Lahore (Пенджаб) 103.151.47.213 (INFINITY BROADBAND (PVT) LIMITED) 4.667 26% (4017) — 13 -2020 01:42 (3 часа назад)
170.84.85.214 HTTP (Mikrotik) NOA BR Jaboatao dos Guararapes (Pernambuco) static-214.85.84.170.servDALinktelecom.com (LTELINC.COM — ME) 5,04 8% (3) — 13 ноя 2020 01:40 (3 часа назад)
196.40.117.114 HTTPS (Mikrotik) NOA MZ 196.40.117.114 (передача данных внутри) 5.757 15% (10) — 13 ноя 2020 01:36 (3 часа назад)
201.91.82.155 HTTP (Mikrotik) NOA BR São Paulo (Sao Paulo) 201-91-82-155.customer.tdatabrasil.net.br (TELEFONICA BRAS6)

11,797 82% (420) — 13 ноя 2020 01:33 (3 часа назад)
* NOA — неанонимный прокси, ANM — анонимный прокси-сервер, HIA — высокий анонимный прокси.** Задержка — меньше = лучше. *** По отношению к другим серверам. HTTPS — HTTP-прокси с поддержкой SSL.

Mikrotik Dan Web Proxy

MIKROTIK DAN WEB PROXY MikroTik RouterOS, базовая система Linux, основанная на использовании сетевого маршрутизатора. Didesain untuk memberikan kemudahan bagi penggunanya. Административное приложение для Windows (WinBox). Веб-браузер работает через Remote Shell (telnet dan SSH). Selain itu instalasi dapat dilakukan pada Стандартный компьютерный ПК.ПК ян акан диджади кан маршрутизатор mikrotikpun тидак memerlukan ресурс ян cukup бесар Untuk penggunaan стандартный, мисальня ханья себагай шлюз. Untuk keperluan beban yang besar (сеть янь комплекс, маршрутизация ян румит dll) disarankan untuk mempertimbangkan pemilihan ресурс ПК янь мемадай. Fasilitas pada mikrotik antara lain sebagai berikut: — Протоколы маршрутизации RIP, OSPF, BGP. — Брандмауэр Statefull — HotSpot для доступа Plug-and-Play — удаленный администратор графического интерфейса Winbox Lebih lengkap bisa dilihat di www.mikrotik.com. Meskipun demikian Mikrotik bukanlah бесплатное программное обеспечение, artinya kita harus members licensi terhadap segala fasiltas yang disediakan. Бесплатная пробная версия hanya untuk 24 jam saja. Комплект программного обеспечения мембраны mikrotik dalam bentuk CD yang diinstall pada Жесткий диск atau disk on module (DOM). Jika kitambeli DOM tidak perlu install tetapi tinggal menancapkan DOM pada slot IDE PC kit. Установите Mikrotik до beberapa cara: 1. Установите мелкую инсталляцию NetInstall через jaringan 2. Установите мелкую гибкую дискету 3.Установленный компакт-диск. Kali ini kita akanmbahasnya instalasi melalui CD-ROM. Untuk percobaan ini silahkan загрузить ISOnya di http://adminpreman.web.id/download Langkah-langkah berikut adalah dasar-dasar setup mikrotik yang dikonfigurasikan untuk jaringan sederhana sebagai Маршрутизатор / шлюз для ПК, веб-прокси, сервер DNS, сервер полосы пропускания ПК, веб-прокси, сервер DNS, сервер полосы пропускания Управление. Configurasi ini dapat dimanfaatkan untuk membersangun jaringan pada Internet Cafe atau untuk Testing pada Laboratorium Pribadi. — [2.1] — Topologi Jaringan Topologi jaringan ini di anggap koneksi Internetnya melalui MODEM xDSL (ADSL atau SDSL).Dengan catatan configurasi IP Publiknya ditanam didalam MODEM, artinya perlu pula dipilih MODEM yang memiliki fasilitas seperti Routing, Firewall, dan lain-lain. Semakin lengkap semakin bagus, namun biasanya harga semakin mahal, ян патут dipertimbangkan pilihlah MODEM янь memiliki fasilitas Firewall ян багус. Untuk MODEM SDSL, biasanya, IP dibawah NAT, artinya IP nya bukan IP Publik langsung. Дан доступ к модему ADSL, IP Публикация всех модемов отправляется. Этот IP-адрес публикуется в модеме, используется интерфейс PPPoE, если вы хотите настроить параметры DIAL для сервера RASnya.

Agar memudahkan konfigurasi, perlu dirancang topologi jaringan yang dikonfigurasi. Sebagai contoh, skema dibawah ini: (a) Скема Джаринган _ (o — + ____ | | / | Telpon | _ / — (+ — [_] Splitter | | + —- + + — | | Модем xDSL + — * — + (1) | + — + | | | (3) | | + | ——— + | + —— + | |.. .. | | a | | | + — | — | — | — | — + + — | ===== | | | | | | | | | | | | | | | — + + — | — | — | — [клиент 1] | | b + — | — | ———— [клиент 2] | | + — | ——— ————- [клиент 3] L —— J + ——— [клиент n] (2) Keterangan skema (1) = Модем xDSL (Ip Адрес: 192.168.1.1 / 24) (2) = Mikrotik Box dengan 2 ethernet card yaitu a (publik) dan b (local) (3) = Switch Untuk sambungan ke Client. Клиент Asumsi Jumlahnya 20 Диапазон клиентов IP-адрес: 192.168.0.0/27 Клиент Ip Alokasi = 192.168.0.1-192.168.0.30 ID сети IP: 192.168.0.0/27 Широковещательная передача IP: 192.168.0.31/27 (b) IP-адрес Alokasi [* ] Mikrotik Box Keterangan Skema a = Ethernet-карта 1 (Publik) -> IP-адрес: 192.168.1.2/24 b = Ethernet-карта 2 (Локальный) -> IP-адрес: 192.168.0.30/27 Шлюз: 192.168.1.1 (ke Modem)

[*] Клиент Клиент 1 — Клиент №, IP-адрес: 192.168.0.n …. n (1-30) Contoh: IP-адрес клиента 6: 192.168.0.6/27

Шлюз

: 192.168.0.30 (ke Mikrotik Box)

CATATAN: Angka dibelakang IP-адрес (/ 27 ) sama dengan nilai netmasknya untuk angka (/ 27) nilainya sama dengan 255.255.255.224. Untuk Sub Netmask blok IP-адрес Локальный келас C, dapat diuraikan sebagai berikut: Маска подсети келас C —————— 255.255.255.0 = 24 .. .128 = 25 … 192 = 26 .. .224 = 27 .. .240 = 28 .. .248 = 29 .. .252 = 30 .. .254 = 31.. .255 = 32 — [2.2] — Persiapan — Untuk PC Router Siapkan PC, минимальный Pentium I, RAM 64, HD 500M atau pake flash memory 64 — Веб-прокси Sebagai, Siapkan PC, минимальный Pentium III 450Mhz, RAM 256 Мб, HD 20 Гб. Melihat berapa минимальная RAM дан HD yang dibutuhkan untuk Cache Silahkan lihat http://adminpreman.web.id/download/Rumus Web Proxy Mikrotik.xls — Siapkan минимальные 2 карты Ethernet, 1 ke arah luar / Интернет и 1 lagi ke Network local Burn Исходный CD Mikrotik OS маскируется на CDROM. — Версия mikrotik yang digunakan adalah Mikrotik RouterOS Versi 2.9.27 — [3] — Installasi Mikrotik Router Setelah desain skema jaringan serta perangkat yang dibutuhkan telah disiapkan, sekarang saatnya kita mulai proses instalasi ini. — [3.1] — Загрузочный компакт-диск с компакт-диском Atur di BIOS, дополнительный загрузочный компакт-диск с компакт-диском, отслеживающий загрузочный компакт-диск и установочный файл. ————————————————— ———————- ISOLINUX 2.08 2003-12-12 Copyrigth (C) 1994-2003 Х. Питер Анвин Загрузка linux …….. ………. Загрузка initrd.rgz …………. Готово к распаковке Linux … Хорошо, загружаем ядро ​​————————- ———————————————— [3.2 ] — Memilih paket software

-> 254 месин -> 128 месин -> 64 месин -> 32 месин -> 16 месин -> 8 месин -> 4 месин -> 2 месин -> 1 месин

Setelah proses Booting Akan muncul меню pilihan программное обеспечение ян мау ди установить, pilih sesuai kebutuhan янь акан direncanakan. Пакет Ян Терсии ди Mikrotik advanced-tools-2.9.27.npk arlan-2.9.27.npk dhcp-2.9.27.npk gps-2.9.27.npk hotspot-2.9.27.npk hotspot-fix-2.9.27.npk isdn-2.9.27.npk lcd-2.9 .27.npk ntp-2.9.27.npk ppp-2.9.27.npk radiolan-2.9.27.npk routerboard-2.9.27.npk routing-2.9.27.npk routing-test-2.9.27.npk rstp- мост-тест-2.9.27.npk security-2.9.27.npk synchronous-2.9.27.npk system-2.9.27.npk telephony-2.9.27.npk ups-2.9.27.npk user-manager-2.9. 27.npk web-proxy-2.9.27.npk webproxy-test-2.9.27.npk wireless-2.9.27.npk wireless-legacy-2.9.27.npk ————- ————————————————— ———- Добро пожаловать в программу установки программного обеспечения для маршрутизатора Mikrotik. Перемещайтесь по меню с помощью клавиш «p» и «n» или клавиш со стрелками, выберите с помощью «пробела».Выделите все буквой «а», минимум буквой «м». Нажмите «i» для локальной установки или «r» для установки удаленного маршрутизатора или «q» для отмены и перезагрузки. [X] [] [] [X] [] [] [] [] [] система ppp dhcp и расширенные инструменты arlan gps hotspot isdn [] [] [] [] [] [] [] [X] [] lcd ntp radiolan routerboard routing-test-routing-test rstp-bridge-test security synchronous [] [] [] [X] [] [] [] телефония ups user-manager web-proxy webproxy-test wireless wireless-legacy

— ————————————————— ——————— Umumnya Paket Mikrotik untuk Warnet, Kantor atau SOHO adalah: a.СИСТЕМА: Пакет ini merupakan paket dasar, berisi Kernel dari Mikrotik

b. DHCP-сервер

: DHCP-сервер, DHCP-клиент, пакет начальных настроек и IP-адрес клиента DHCP

c. БЕЗОПАСНОСТЬ MAC-адрес Keamanan d. WEB-PROXY позволяет использовать кеш-агар для трафика в Интернете, чтобы уменьшить количество просмотров для просмотра веб-страниц. е. РАСШИРЕННЫЕ ИНСТРУМЕНТЫ jaringan, sebagainya. — [3.3] — Instalasi Paket ketik «i» setelah selesai memilih software, lalu akan muncul menu pilihan seperti ini: — Вы хотите сохранить старую конфигурацию? [y / n] ketik Y — продолжить? [y / n] ketik Y Setelah itu proses installasi system dimulai, disini kita tidak perlumbuat partisi hardsik karena secara otomatis mikrotik akan membersuat partisi sendiri.————————————————— ————————- Wireless-Legacy (зависит от системы): обеспечивает поддержку карт Cisco Aironet, а также беспроводных станций и точек доступа PrismlI и Atheros. Вы хотите сохранить старую конфигурацию? [y / n]: y Внимание: все данные на диске будут удалены! Продолжать? [y / n]: y Создание раздела ………. Форматирование диска ……………………….. ………. Установка системы-2.9.27 [##################]: Paket yang berisi Tool didalam melakukan Admnistrasi seperti Измеритель пропускной способности, сканирование, Nslookup, dan lain: Jika Anda memilih paket ini, maka Mikrotik Box anda dapat menjalan service sebagai Web proxy yang akan: Paket ini berisikan fasilitas yang mengutamakan jaringan, seperti Remote Mesin dengan SSH, Remote via 9——6

— ————————————————— ——————

Proses installasi —————————— ———————————————Продолжать? [y / n]: y Создание раздела………………….. Форматирование диска …………………….. .. Установлен Установлен Установлен Установлен Установлен system-2.9.27 advanced-tools-2.9.27 dhcp-2.9.27 security-2.9.27 web-proxy-2.9.27

Программное обеспечение установлено. Нажмите ENTER для перезагрузки ———————————————- —————————— КАТАТАН: Proses Installasi normalnya tidak sampai 15 menit, jika lebih berarti gagal, ulangi ke step awal.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *