как узнать внешний ip адрес роутера mikrotik
Как узнать какой IP на порту
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Как узнать работает ли в порту интернет?
Есть сетевая розетка подключенная к свитчу как узнать работает ли на нёй интернет без подключения.
stm32f1 как узнать, на каком порту сработало прерывание.
Пусть 2-е кнопки висят на pa13 и pc13. Есть внешнее прерывание, срабатывающее по изменению.
Как узнать какой Checkbox включен а какой нет, и его значение?
Здравствуйте! Не могу что то додуматься, как написать этот скрипт. Желательно в максимально.
Как узнать, какой функции какой файл *.a соответсвует?
Друзья! Работаю с mingw, вот там надо так: если, допустим, вызываешь API- функцию, то надо.
Dikens87, опиши точнее задачу.
1) Какой МТ?
2) Объеденены ли порты LAN в бридж?
3) Для какой цели нужно именно эта информация? Возможно можно по другому получить необходимые сведения?
Адрес устройства статический. так что DHCP не поможет.
Добавлено через 6 минут
Dikens87, опиши точнее задачу.
1) Какой МТ?
2) Объеденены ли порты LAN в бридж?
3) Для какой цели нужно именно эта информация? Возможно можно по другому получить необходимые сведения?
1) CRS112-8P-4S-IN
2) По дефолту да, но могу сделать как нужно)
3) Этот свитч с этой задачей нужен для того что бы втакать IP камеры и выяснять IP адрес для дальнейшей настройки.
Может скрип какой то нужен для МК?
Dikens87, а кто является сервисом DHCP для них?
Я-бы просто дал сервис DHCP микротику, тогда можно по записям в DHCP отлавливать какой ip адрес был выдан.
Добавлено через 1 минуту
Dikens87, а таких маршрутизаторов и камер много в сети?
Только что с этим делать вам виднее.
Добавлено через 5 минут
Dikens87, так-же в bridge filter можно отделить по маку устройства. Например у камер маки начинаются на определённую группу: 10:20:30:XX:XX:XX, тогда можно сразу отфильтровать.
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Как узнать какой процесс какой файл использует?
Здравствуйте, подскажите как можно узнать какой процесс какой файл использует? Преподаватель.
Как узнать какой х и какой y экрана?
постараюсь нормально описать вопрос чтобы было понятнее.итак есть область экрана на которую нужно.
Узнать устройство, подключенное к СОМ-порту
Здравствуйте. Имеется USB устройство, создающее виртуальный СОМ-порт (устройство на чипе Cypress.
Инструкция по настройке роутера MIKROTIK
Многие владельцы роутеров от компании Mikrotik отличающихся множеством разнообразных параметров сталкиваются с различными трудностями, возникающими на разных этапах их настройки.
Данная настройка роутера MIKROTIK RB951G (UI) 2HND для чайников включает основные аспекты в настройке подключения маршрутизатора к Интернет.
Подключение в сеть
Для включения роутера в сеть необходимо:
Вход в Web-панель
Роутеры Mikrotik имеют необычный адрес, поэтому для входа в меню управления необходимо открыть браузер и ввести в адресную строку IP адрес 192.168.88.1.
Маршрутизаторы от производителя Mikrotik могут быть настроены как с помощью программы от разработчика, так и с помощью веб-интерфейса.
Для входа в Web меню достаточно ввести логин и пароль (по умолчанию логин – admin, а пароль не установлен).
Для настройки с помощью программы необходимо:
В большинстве случаев настройка роутеров Mikrotik производится именно с помощью программы Winbox.
Сброс параметров
В некоторых ситуациях, как например, в том случае если вы изменили стандартный пароль для входа в роутер и забыли его, единственным решением является сброс параметров маршрутизатора. Данная функция позволяет вернуть все настройки к заводским параметрам.
Восстановление заводских настроек выполняется как программным путём — в параметрах самого устройства так и аппаратным методом – посредством удержания кнопки «Reset», расположенной на задней панели устройства:
Настройка роутера серии RB951 WAN интерфейса
Настройки роутера имеют множество разнообразных параметров, посредством изменения которых можно добиться необходимых функций.
Смена MAC адреса WAN порта
В случае если у вашего провайдера установлена блокировка доступа через Mac адрес, то сначала необходимо изменить адрес Wanпорта.
Для этого нужно открыть программу Winbox, выбрать раздел New Terminal и ввести следующую команду:
Для возврата заводского Mac-адреса необходимо ввести команду:
Видео: как создать динамический ip
Dynamic IP
В случае автоматического получения настроек от вашего провайдера вам необходимо настроить порт для их установки.
Для этого необходимо:
Важно! Компьютеры, подключенные к роутеру, не будут иметь доступ к Интернету пока не будут настроены локальная сеть, NAT, а также Firewall.
Static IP
Базовая настройка роутера микротик (wanstaticip) производится соответственно лишь в том случае если ваш провайдер предоставил вам определённый IP-адрес.
Для настройки адреса необходимо:
Для настройки шлюза необходимо:
Адреса DNSдобавляются следующим способом:
Настройка PPPoE
Для настройки параметров подключения PPPoE требуется:
Настройка от провайдера
Некоторые роутеры имею встроенные настройки от провайдера, например, билайн. Для их настройки необходимо зайти на сайт для получения дополнительной информации.
Настройка роутера ZYXEL KEENETIC LITE 2 в короткий срок. Читать далее.
Локальная сеть
Для настройки локальной сети роутеров MikroTik необходимо выполнить установку портов в режиме свитча.
Для чего выполняются следующие операции:
Ту же операцию необходимо выполнить и для портов ether4 и ether5. В итоге напротив трёх портов должна стоять буква S.
Добавление Wi-Fi интерфейсов в локальную сеть
Для роутеров в Wi-Fi антенной необходимо объединить оба типа интерфейса, для того чтобы пользователи различных типов подключений видели друг друга.
Для этого требуется выполнить следующие действия:
Далее нужно объединить Ethernet-порты:
Для добавления Wi-Fi подключений необходимо:
Wi-Fi точка доступа MikroTik
Прежде чем приступить к настройке WI-Fi точки доступа необходимо включить непосредственно сам модуль Wi-Fi роутера:
Для создания пароля для подключения к роутеру необходимо:
Настройка параметров wifi роутера Mikrotik:
Важно! Компьютеры, подключенные к роутеру с помощью Wi-Fi, не будут иметь доступ к Интернет пока не будут настроены локальная сеть, NAT, а также Firewall.
Настройка Firewall
Установка параметров Firewall и NAT необходима для получения доступа к Интернет. Так как настройка фаервола представляет собой операцию требующую глубоких знаний и опыта, существует простой автоматический способ установки параметров с помощью Webbox.
Внимание! В Routeros версии 6.0 была убрана упрощённая настройка через Webbox. Для установки параметров Firewall и NAT необходимо выполнить ручную настройки.
Для ручной настройки защиты необходимо открыть браузер и ввести в адресную строку 192.168.88.1/cfg. Для входа со стандартными параметрами используется «admin» в качестве логина.
Далее следует выполнить следующие операции:
Если доступ к Интернет по-прежнему не появился, то в таком случае необходимо перезагрузить маршрутизатор. Для проверки доступа маршрутизатора к Интернету достаточно открыть раздел NewTerminal и ввести «pingya.ru».
Видеокурс по MikroTik на русском
Освоить MikroTik и RouterOS самостоятельно можно по курсу «Настройка оборудования MikroTik». Видеокурс основан на официальной программе MTCNA.
162 обучающих видео
Курс построен в формате видеоуроков и практических заданий. В курсе 45 лабораторных работ, объединенных в техническое задание — это примерно в 4 раза больше, чем предусмотрено на очном обучении MTCNA.
30 дней авторской поддержки
Если по мере изучения возникают вопросы, то вы можете консультироваться лично с автором курса.
Дополнительно вы получите:
– опросник, по которому можно самостоятельно оценить насколько хорошо вы поняли пройденный материал;
– конспект, по которому можно будет быстро освежить знания.
Первые 25 уроков доступны бесплатно, после оформления заявки на странице курса.
Настройка роутера MikroTik
Это инструкция, как пошагово настроить роутер MikroTik с нуля без использования заводской конфигурации.
Содержание:
Подключение роутера MikroTik
Схема подключения роутера MikroTik:
Настройка сетевой карты компьютера
Чтобы на компьютере можно было зайти в настройки роутера Mikrotik, настроим сетевую карту на получение автоматических настроек.
Открываем «Пуск» → «Панель управления» → «Центр управления сетями и общим доступом».
Перейдем в «Изменение параметров адаптера».
Нажимаем правой кнопкой мыши на «Подключение по локальной сети» и выбираем «Свойства»
Нажимаем на «Протокол Интернета версии 4 (TCP/IPv4)» и кнопку «Свойства».
Выбираем «Получить IP-адрес автоматически» и нажимаете кнопку «OK».
Если сетевая карта не получает автоматически IP адрес из подсети 192.168.88.x, попробуйте его указать вручную (например: 192.168.88.21) или сбросить роутер Mikrotik к заводским настройкам.
Вход в настройки роутера MikroTik
Выполнить настройку роутера MikroTik можно разными способами:
Мы будем настраивать роутер Mikrotik с помощью программы Winbox.
Подключаемся к роутеру MikroTik:
Сброс настроек роутера
Сбросим все настройки роутера MikroTik.
При первом входе у вас появится окно, как на картинке ниже. Нажмите кнопку Remove Configuration и дождитесь перезагрузки устройства.
Очистить конфигурацию MikroTik
Если у вас не появилось данное окно, сбросим настройки через меню:
Описание сетевых интерфейсов
Конфигурация сетевых интерфейсов MikroTik будет выглядеть следующим образом: первый порт ether1 будет подключен к провайдеру (WAN порт), остальные порты ether2-5 будут работать в режиме коммутатора для подключения компьютеров локальной сети.
Чтобы не путать сетевые интерфейсы, опишем их с помощью комментариев.
Входим в настройки MikroTik с помощью программы Winbox.
Записываем для первого порта ether1 комментарий «WAN»:
Записываем для второго порта ether2 комментарий «LAN»:
Выбираем интерфейс ether2;
Нажимаем желтую кнопку Comment;
В появившемся окне вводим комментарий «LAN«;
Нажимаем кнопку OK.
Описание LAN интерфейса MikroTik
Теперь в списке интерфейсов четко видно их назначение.
Список интерфейсов MikroTik
Настройка WAN интерфейса MikroTik
Смена MAC адреса WAN порта
Если Ваш провайдер блокирует доступ к сети по MAC адресу, то необходимо сначала изменить MAC адрес WAN порта роутера MikroTik. В противном случае пропустите этот пункт.
Чтобы изменить MAC адрес порта MikroTik, открываем в программе Winbox меню New Terminal и вводим команду:
Изменить MAC адрес MikroTik
Чтобы вернуть родной MAC адрес порта, нужно выполнить команду:
Вернуть родной MAC адрес MikroTik
Настройка Dynamic IP
Если интернет провайдер выдает Вам сетевые настройки автоматически, то необходимо настроить WAN порт роутера MikroTik на получение настроек по DHCP:
Теперь мы получили IP адрес от провайдера, который отображается в столбце IP Adress.
Получение IP адреса по DHCP MikroTik
Проверим, что есть связь с интернетом:
Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.
На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.
Настройка Static IP
Если вы используете статические сетевые настройки, необходимо настроить WAN порт роутера MikroTik вручную.
Настроим статический IP адрес и маску подсети WAN порта MikroTik :
Настроим адрес интернет шлюза MikroTik:
Добавим адреса DNS серверов MikroTik:
Проверим, что есть доступ к интернету:
Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.
На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.
Настройка PPPoE
Если вы используете ADSL модем, к которому по сетевому кабелю подключен роутер MikroTik, сначала необходимо настроить ADSL модем в режим Bridge (мост).
Настроим клиентское PPPoE соединение на роутере MikroTik:
Настраиваем параметры PPPoE соединения MikroTik:
После создания PPPoE соединения напротив него должна появиться буква R, которая говорит о том, что соединение установлено.
PPPoE соединение на MikroTik установлено
Проверим, что есть связь с интернетом:
Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.
На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.
Настройка локальной сети MikroTik
Объединение Wi-Fi и проводных интерфейсов в локальную сеть
Чтобы компьютеры, подключенные к роутеру по кабелю и по Wi-Fi, друг друга «видели», необходимо объединить беспроводной и проводные интерфейсы MikroTik. Если у вас роутер без Wi-Fi, то объединяете только проводные интерфейсы.
Создаем объединение bridge-local (мост);
Добавляем в объединение проводные ethetnet порты 2-5:
Добавляем в объединение Wi-Fi интерфейс.
Назначение IP адреса локальной сети
Настроим IP адрес локальной сети MikroTik:
Настройка DHCP сервера
Чтобы компьютеры, подключенные к роутеру, получали сетевые настройки автоматически, настроим DHCP сервер MikroTik:
Теперь сетевой кабель компьютера отключаем от роутера и еще раз подключаем к нему.
Настройка Wi-Fi точки доступа MikroTik
Сначала необходимо включить Wi-Fi модуль:
Создаем пароль для подключения к точке доступа MikroTik:
Настраиваем параметры Wi-Fi точки MikroTik:
Теперь можно подключаться к роутеру по Wi-Fi.
На компьютерах, подключенных к роутеру MikroTik по Wi-Fi, интернет не будет работать, пока вы не настроите Firewall и NAT.
Настройка Firewall и NAT
Чтобы компьютеры получали доступ к интернету, необходимо настроить Firewall и NAT на роутере MikroTik.
Откройте меню New Terminal для ввода команд.
Настройка NAT выполняется следующими командами:
Настройки NAT достаточно, чтобы заработал интернет.
Изменение пароля доступа к роутеру MikroTik
Чтобы изменить пароль доступа к роутеру MikroTik, выполните следующие действия:
Сброс роутера MikroTik к заводским настройкам
Чтобы сбросить MikroTik к заводским настройкам выполните следующее:
После этого роутер перезагрузится, и вы сможете зайти в его настройки со стандартным именем пользователя admin без пароля.
Если вы войдете в настройки с помощью программы Winbox, то появится следующее окно:
Быстрая настройка роутера MikroTik
C помощью кнопки OK можно выполнить быструю настройку роутера по умолчанию.
Кнопка Remove Configuration позволяет сбросить все настройки для последующей ручной настройки роутера.
Мой MikroTik – моя цифровая крепость (часть 1)
1. Введение
В комментариях опубликованной ранее статьи один из пользователей спросил: «А можно добавить раздел про то, как нужно защитить свой, микротик чтобы управление им не ушло на сторону?». Один из пользователей написал на это следующее: «Универсальных принципов для любого сетевого устройства два – администрирование только с внутреннего интерфейса (снаружи закрыто все) и регулярно обновлять прошивку» (сохранена авторская орфография). А мы сразу поняли, что одним коротким ответом здесь не обойтись, и этот вопрос заслуживает полноценного отдельного рассмотрения с учётом широких возможностей операционной системы RouterOS, а также сопрягаемых с ней opensource решений, комплексно завершающих проблемный вопрос информационной безопасности. Кроме непосредственно настройки безопасности доступа до маршрутизатора, необходимо использовать его как полноценный барьер для разноуровневых атак, которые могут быть нацелены на защищаемую сеть. Технологий реализации этого достаточно много, поэтому разделим применяемые возможности на логические уровни и представим предметные рекомендации по администрированию сетей на базе оборудования MikroTik.
2. Общие рекомендации
Первое, что мы всегда делаем с железкой — это обновляем прошивку:
Далее смотрим, сколько создано пользователей, лишних удаляем. Ставим пароли, соответствующие политике информационной безопасности компании, если такая есть, если нет, тогда просто посильнее:
Если паранойя зашкаливает, тогда используем SSH вход без ввода пароля (и пользователя admin можно заменить на другого). Сгенерим пару RSA ключей, размер укажем 4096 бит, что уж мелочиться:
На выходе будет закрытый ключ test_user:
И открытый ключ test_user.pub:
Привяжем открытый ключ к пользователю RouterOS:
Добавляем хардкор, запретив логиниться по паролю:
Важно отметить, что если есть пользователь, для которого не импортирован публичный ключ, то, несмотря на вышепоказанную настройку, RouterOS сохраняет возможность логиниться под ним с помощью пароля. С учётными записями разобрались, далее выключаем серверы различных протоколов управления, в том числе небезопасные, разумеется, есть ли они вам не нужны:
Можно поменять прослушиваемый порт для SSH сервера. Особенно на значение, не входящее в сканируемые по умолчанию nmap-ом, но мы в этом защиты не видим, скорее маскировка:
Сканируем роутер и видим, что всё работает корректно. Сервер SSH будет недоступен, пока на роутер не пройдут попытки установления соединения на 28 порт, затем в течение 30 секунд на 29 порт, затем в течение 30 секунд на 30 порт. Если последовательность обращений верна и временные лимиты соблюдены, то IP адрес источника сможет в течение 30 секунд установить SSH сессию, а иначе drop:
Необходимо отметить, что если вы укажете порты стука примерно в таком порядке: 21, 80, 443, а прослушиваемый SSH порт перенесете на значение 8080 (все четыре входят в список по умолчанию для сканирования nmap), то ваш секретный порт 8080 определится при первом же сканировании. Если вы действительно хотите использовать технологию port knocking, то выбирайте порты в порядке уменьшения, а сами значения портов на «не сканируемые» nmap-ом: ни в режиме top 100, ни в режиме top 1000. Кроме этого, можно ограничить IP адреса, с которых доступны протоколы управления, на диапазон доверенных:
Таким образом, несмотря на то, что 22 порт готов принимать TCP соединение, однако с не доверенных IP адресов оно будет сброшено SSH сервером:
Как общие рекомендации, лучше не использовать протоколы, не имеющие шифрования для передачи защищаемой информации. Если такой возможности нет, тогда старайтесь пускать трафик по шифрованным VPN туннелям. Но лучше даже внутри таких соединений использовать безопасные протоколы, ведь VPN сеть может уходить далеко за пределы периметра, контролируемого вами. Если есть возможность, не используйте протоколы pap, http (в том числе при реализации API), ftp, smtp и т.д. Всегда используйте их безопасные аналоги: chap, mschap2, https, smtps.
Делайте регулярные резервные копии конфигураций ваших устройств. В RouterOS есть два типа backup: бинарный *.backup
и текстовый конфигурационный файл *.rsc
Первый рекомендуется откатывать только на полностью идентичных устройствах, и не подлежит редактированию (при откате восстанавливается точный образ операционной системы). Второй же, наоборот, можно вручную контролируемо построчно обрабатывать (до получения необходимо результата), однако он может содержать чувствительную информацию (если не делать /export hide-sensitive), поэтому рекомендуем обезопасить хранение такого рода backup файлов. Ставить ли регулярный backup в планировщик заданий, или нет, тут уже каждый решает сам. Главное — не запутаться во всех резервных копиях и не передавать их на удалённый сервер по открытому интернет каналу посредством ftp.
3. Защита L1
Писать правила про установку сетевого оборудования в серверных помещениях, в защищённых телекоммуникационных ящиках, сейфах и т.д. мы не будем, это не тема статьи. Для защиты L1 на оборудовании MikroTik будет достаточно программно отключить не используемые сетевые интерфейсы:
Сюда же пойдёт организация безопасности беспроводных соединений. В идеале, конечно, следует настроить WPA2-Enterprise (подробно о настройке RADIUS сервера мы напишем во второй части статьи), так как реальных угроз безопасности таких сетей пока не известно:
Если такой вариант вам не подходит, тогда используйте WPA2-PSK со словарно неподбираемым паролем, который держите в тайне от третьих лиц, и отключённый PMKID:
Ещё можно запретить подключаться к точке доступа с низким уровнем сигнала, т.е. физически удалённым пользователям, которые, можно предположить, находятся за контролируемым периметром и не легитимны:
На этом свои рекомендации по поводу L1 безопасности остановим и перейдём к более интересным вещам.
4. Защита L2
Для начала ограничим работающие сервисы уровня L2:
Первый скрипт позволяет осуществлять mac-ping только для внутренней сети. Второй ограничивает L2 подключение посредством службы Winbox:
RouterOS поддерживает работу таких протоколов, как CDP, LLDP и MNDP. Чтобы не осуществлять широковещательную рассылку пакетов указанных протоколов во все стороны, ограничиваем их работу:
Чтобы со стороны провайдера не догадывались, что у вас стоит роутер MikroTik, можно сменить MAC адрес WAN интерфейса, но это скорее баловство:
Если в вашем L2 сегменте появится второй или более незаконный DHCP сервер, то это может здорово навредить работе всей сети. Так в примере видно, что работают две указанные службы (192.168.1.1 и 192.168.3.1), раздавая по факту разные сетевые настройки:
Для защиты от такого рода атак (ведь хакер может назначить и своё устройство в качестве шлюза) существует технология «DHCP snooping». После её активации бридж пропускает DHCP пакеты только в доверенную сторону:
Защита оконечных устройств выходит за рамки данной статьи, но декларируем, что многие антивирусы справляются с этой задачей, детектируя манипуляции с ARP пакетами. На скрине видно, что действиями выше мы организовали MITM для хоста 192.168.1.3 и перехватили его HTTP запросы:
В следующем примере показаны ложные записи ARP таблицы маршрутизатора, а ведь так намеренно можно заполнить весь имеющейся пул и втупить работу легитимного DHCP сервера:
Для защиты от таких действий в RouterOS необходимо, первым делом, настроить DHCP сервер, что позволит активировать функцию заполнения ARP таблицы, либо в результате его работы, либо в ручном режиме:
После этого настраиваем бридж, переводя маршрутизатор в режим только ответа на ARP запросы (если у вас работает hotspot, то от этой идеи придётся отказаться, так как он перестанет нормально функционировать), таким образом, сторонние манипуляции будут бессильны:
Дополнительно следует выключить режим обучения портов MAC адресам:
Если ваш маршрутизатор гоняет пакеты для логически разделённых сетей, в том числе с точки зрения безопасности, то их следует разнести по различным VLAN. Важно понимать, что если через ваше устройство проходят несколько VLAN, то в случае несанкционированного доступа к роутеру или коммутатору, могут быть скомпрометированы устройства во всех этих подсетях. Здесь всё понятно. Дополнительно можно указать устройству проверять tag трафика и дропать пакеты, у которых VLAN ID не найден в его таблице VLAN:
5. Заключение
На этой админской ноте прервём наши рассуждения, которые отображают подходы, применяемые нами в построении реальных сетей и обеспечении их информационной безопасности. Никакие ноухау статья не раскрывает, но в определённой мере систематизирует имеющиеся возможности и показывает их практическое применение. Дальше будет интереснее…