Точечный обход блокировок на Mikrotik: BGP и Address lists + Mangle. Реализуем обход по доменам

0:00 Введение
1:47 Как загрузить много доменов в address-list мироктика?
13:20 Обход блокировок по доменам
15:17 Настраиваем BGP
22:17 Проблемы связанные с сумаризацией
29:34 Мой опыт использования ROS
30:52 Костыли
32:50 Широфвание DNS
33:17 Доступные туннели на Mikrotik

https://habr.com/ru/articles/775110/

👉 @network_quiz

Протокол ICMP, утилита traceroute

Утилита traceroute (в Windows tracert) используется для определения маршрута от отправителя к получателю. Утилита выдает перечень всех маршрутизаторов, через которые необходимо пройти.

Для определения IP-адресов маршрутизаторов, traceroute использует протокол ICMP. На первом этапе отправляется эхо-запрос (ICMP-пакет с кодом 8, типом 0) со временем жизни 1. Первый маршрутизатор уменьшает время жизни до 0, отбрасывает пакет и передает отправителю сообщение об истечении времени жизни пакета (ICMP-пакет с кодом 11, типом 0). traceroute получает ICMP-пакет, анализирует IP-заголовок и извлекает из него IP-адрес отправителя. Это и есть адрес первого маршрутизатора.

Затем отправляется эхо-запрос со временем жизни 2, он доходит до второго маршрутизатора. Второй маршрутизатор отбрасывает пакет и также передает сообщение, что время жизни пакета истекло. traceroute извлекает из сообщения IP-адрес второго маршрутизатора. После этого traceroute передает эхо-запрос со временем жизни 3, 4, 5 и т.д., пока запрос не дойдет до получателя.

источник

@network_quiz

Подборка часто используемых команд для первоначальной настройки устройств MikroTik: имя устройства, DNS сервера, Email, время, доступы и т.д.

Установки имени устройства
/system identity set name=MyHomeMikrotik

Установка своих DNS серверов и отключение получения их по DHCP
/ip dns set servers=8.8.8.8,1.1.1.1
/ip dhcp-client set [find ] use-peer-dns=no

Настройка email клиента для работы с Yandex.Mail
Для корректной работы разрешите в настройках профиля авторизацию SMTP по обычному паролю или [рекомендуется] используйте пароли приложений (почта)
/tool e-mail
set address=smtp.yandex.ru from=example@yandex.ru password=example-pass port=587 start-tls=yes user=example@yandex.ru

Настройка синхронизации времени по NTP и MikroTik Cloud Time (Москва)
/system ntp client set enabled=yes server-dns-names=time.google.com,0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org,3.pool.ntp.org
/system clock set time-zone-autodetect=no
/system clock set time-zone-name=Europe/Moscow
/ip cloud set update-time=yes

Изменение количества строк системного лога
/system logging action set memory memory-lines=10000

Очистка системного лога (оставляет сообщение о смене настроек лога)
/system logging action set memory memory-lines=1
/system logging action set memory memory-lines=10000

Контроль доступа с IP адресов домена
Это позволяет использовать DynamicDNS для записей своего домена, и получать доступ к устройству с IP адресов, которые будут резолвится с домена. RouterOS будет сам обновлять записи и access-list при изменении записи в домене.

Обратите внимание, в конце 2 строки с move. Это сделано для того, чтобы правило корректно двигалось на первое место при включенном fasttrack (то есть первое место), а также при отключенном (на нулевое место)

/ip firewall address-list
add address=access.example.con list=DomainIPsAccess
/ip firewall filter
add action=accept chain=input src-address-list=DomainIPsAccess comment="Allow DomainIPsAccess"
move [find comment="Allow DomainIPsAccess"] 1
move [find comment="Allow DomainIPsAccess"] 0

Отключение ненужных служб доступа (web тоже отключается, осторожно)
/ip service disable www,ftp,api,api-ssl,telnet
/ip service enable ssh,winbox
/ip service set ssh address=""
/ip service set winbox address=""

Фикс MTU (нужен редко, но метко)
/ip firewall mangle
add chain=postrouting out-interface-list=WAN protocol=tcp tcp-flags=syn,!ack action=change-mss new-mss=clamp-to-pmtu comment="MTU Fix" passthrough=yes

Заблокировать доступ к WiFi по MAC-адресу
/interface wireless access-list authentication=no mac-address=8A:EA:B7:2E:38:C1

Поместить клиента WiFi в отдельный VLAN по MAC-адресу
/interface wireless access-list
add interface=all mac-address=8A:EA:B7:2E:38:C1 vlan-id=99 vlan-mode=use-tag

Настройка пароля и безопасности WiFi на default профиль
/interface wireless security-profiles set default mode=dynamic
-keys authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm
wpa2-pre-shared-key=bigpassword

Включение пробросов портов SSH
/ip ssh set forwarding-enabled=both

👉 @network_quiz

В чём разница между NAT и PAT?
Где используется каждый из них и в каких сценариях PAT предпочтительнее обычного NAT?

Поделитесь своим мнением в комментариях 👇
Будет интересно увидеть разные точки зрения!

@Network_Quiz

NAT (Network Address Translation) — это технология преобразования одного IP‑адреса в другой. Обычно используется для сопоставления одного частного IP с одним публичным IP (1:1).

PAT (Port Address Translation) — это расширение NAT, при котором несколько внутренних устройств используют один публичный IP, но различаются по портам.

Основные отличия:
🔹 NAT (1:1):
Один внутренний IP ↔️ один внешний IP
Используется, когда нужно выделить отдельный публичный адрес.

🔹 PAT (Many:1):
Много внутренних IP ↔️ один внешний IP (через порты)
Используется в большинстве домашних и корпоративных сетей.

Когда что использовать?
NAT — если есть много публичных IP и нужен прямой доступ.

PAT — если публичный IP один, а клиентов много (самый популярный вариант).

👉 На практике PAT используется чаще, так как экономит публичные IP‑адреса и позволяет тысячам устройств выходить в интернет через один адрес.

@Network_quiz

🛠 NAT на Cisco — “дырка в сети” или необходимость?

Подписчик поделился разбором на Habr:
Network Address Translation (NAT) — CISCO

Если коротко:
NAT — это механизм, который:
🔹 экономит публичные IP
🔹 скрывает внутреннюю сеть
🔹 позволяет десяткам устройств выходить в интернет через 1 IP

В статье разбирается:
✅ Static NAT
✅ Dynamic NAT
✅ PAT (Overload)
✅ Настройка дефолтного маршрута
✅ Практика в GNS
✅ Команда show ip nat translation

Показана схема с ISP, EdgeRouter и сервером — с реальными примерами маршрутизации и трансляции.

📌 Полезно тем, кто:
— готовится к CCNA
— настраивает Cisco
— хочет понять NAT не “по теории”, а по практике

Иногда NAT — это защита.
Иногда — “костыль”.
Но без него IPv4 давно бы умер 😉

Ссылка на статью: https://habr.com/ru/articles/893196/

@network_quiz

Что он делает ? 😱

@Network_quiz

Безопасность беспроводных сетей Wi-Fi + воркшоп / Wireless security

источник

👉 @network_quiz

Эти утилиты предоставляют важные возможности для анализа и отладки сетевых проблем в различных операционных системах📌

Windows

◽tracert - стандартная утилита в Windows для трассировки маршрута, которая известна многим.
tracert google.com


◽pathping - это встроенный в Windows аналог утилиты mtr с аналогичной функциональностью, но поддерживающий только icmp запросы. Обычно он уже установлен в системе, и его не требуется устанавливать отдельно.
pathping google.com


◽tracetcp - это виндовая утилита, которая может выполнять tcp syn запросы по маршруту следования пакетов. Она помогает определить доступность определенного порта и может указать, где именно блокируется этот порт. Для установки этой утилиты потребуется скачать ее с официального сайта и установить вручную.
tracetcp google.com:443


Linux

◽traceroute - это стандартная утилита Linux, предназначенная для трассировки маршрута. По умолчанию она использует протокол udp, но вы можете выполнить трассировку с использованием протокола icmp следующим образом:
traceroute -I google.com


◽tracepath - аналогична утилите traceroute, но использует протокол udp и сразу выводит значения mtu и маршрутизаторы, где происходит изменение mtu.
tracepath google.com


◽mtr - эта утилита объединяет функциональность утилит ping и traceroute. Она может использовать протоколы tcp, udp и icmp. В операционной системе Windows есть аналог с названием Winmtr.
mtr -c3 google.com

👉 @network_quiz