Лучшее объяснения, что можно только встретить в инете.

Здравствуйте, отличный материал и подача тоже отличная, спасибо! Одно не раскрыто, Firewall с IPV6... если бы его настройки ещё бы дали, а не просто выключить, то было бы супер, так как например у меня провайдер даёт ipv6 и он нормально работает.

Спасибо тебе большое! Единственные нормальные видео по настройке на Юутбе!

Отличное видео, я поставил себе домой для организации различных потребностей, обход блокировок и так далее... Спасибо, очень помогло начинающему разобраться в базовых понятиях.

Автору: Спасибо нашел много полезного в этом видео, не смотря на то что уже давно работаю с микротиком. Читателям комментариев: Не вижу смысла использовать микротик если включать Fasttrack. Он меняет схему прохождения трафика после connection tracker сразу в output interface. получается многие правила не будут работать такие как маркировка трафика или QoS и др. подробнее смотрите схему прохождение трафика в router os.

Супер объяснение!!!! СПАСИБО.

Интересно. Все доходчиво!

👏💯🥇🔥

Продолжай в том же духе!!!

Спасибо. Все очень понятно!

@privaltv

4 ай бұрын

семен, плес

Отличный видос, продолжай!

@privaltv

4 ай бұрын

семен, плес

Вот бы еще такой хороший объяснятор как вы поделился знаниями как правильно wifi2 на hAP3 и RouterOS 7 настраивать. Так же в этом разрезе было бы интересно как можно прикрутить к вышеуказанному роутеру древнюю cAP lite в режиме CAPsMAN, чтоб бесшовным был. Спасибо за просвещение!

А чем хуже ограничение доступа к Winbox (и другим сервисам) из IP-Services? Там же есть параметр AvailableFrom, в который прописываются доверенные адреса.

Есть офис. Инет по статическому ip. Настраиваю l2tp чтобы сотрудники могли подключиться из дома и работать. У меня в офисе 2 сети. Без интернета и с интернетом. Microtik по lan врублен в сеть без инета. Так как большинство программ на компах без интернета. Проблема в том что если на инет компе настроить в офисе, то он подключается. А если из дома, то не подключается, правила вроде верные. Где копать? А ещё есть ситуация, всё коннектится, но не пингуется и соответственно при подключении rdp не видит комп.

Спасибо за видео. Но в правилах проброса портов лучше Dst. Address не указывать, а указать in.Interface - в вашем случае ether1, т.к. айпишник от провайдера динамический и при смене его - правило работать не будет.

Молодец ! Классно обьясняеш, не то что некоторые !

@privaltv

4 ай бұрын

семен, плес

Лично я бы начал с запрета все, кроме. А потом уже открывал интернет в локалку.

Первый раз настраиваю микротик. Хотел поинтересоваться, - А не лучше закрыть все из вне и потом открывать только, то что требуется? К примеру 80, 443 порты и прочее.

@user-qr1li6pj2c

5 ай бұрын

Досмотрел видео дальше и понял в чем я ошибся.

Здравствуйте,подскажите пжлста,у меня mikrotik rbm11g и модем em160r-gl,все настроено как надо вроде,но при включении питания, lte автоматически не включается,приходится вручную заходить в винбокс,в lte и нажать выключить и опять включить и потом заработает,жить можно,но напрягает что не автоматом все делается...что может быть или где то надо что то включить в настройках???

@EmptyUser

2 ай бұрын

поищи информацию, как писать скрипты на микротике в автозагрузку. Это, вероятнее всего, решит твою проблему)

Красава, все круто обьясняешь, так держать. Очень редко встретитшь когда так разжовывают, спасибо большое

круто и спс за труд но есть пара вопросов))) зачем в маскарадинге выбирать подсеть внутнеюю обычно и так все робэ))разве только что если не мавскардить а дст натить))разыне подсети0))2е - в сервисах есть колонка алловед адерс - если туда прописать оно тоже ИПы только те пускать будет? а то пишут что до одного места)))

@loskiq

Ай бұрын

для безопасности лучше указывать внутреннюю сетку в правиле маскарада. приведу пример: есть сеть провайдера, в которой соседние абоненты могут напрямую общаться друг с другом, то есть по L2. если какой-то соседний абонент укажет IP-адрес (WAN) Вашего микротика в качестве шлюза по умолчанию, он сможет воспользоваться Вашим интернетом, потому что Ваше правило маскарада на микротике будет натить всё подряд, включая пакеты соседнего абонента.

отличное видео! просьба - сделайте еще видос как настроить микротик на двух провайдеров интернета (когда оба кабеля идут в роутер) и чтоб микротик мог между ними автоматически переключаться, в случае отключения одного из провайдеров.

@loskiq

6 ай бұрын

спасибо! да, такое в планах тоже есть. обязательно сделаю!

@romroma3219

5 ай бұрын

Поддерживаю вопрос

@user-zn7hd1dx4v

5 ай бұрын

@@loskiq Ну, тогда уж дополню: с балансировкой нагрузки при работе сразу от двух провов.)

Давай больше видосов про микрот. За 2 последних дня как подписался на тебя - смотрю прибавилось еще человек 100. Делай больше про микрот. У тебя отлично получается!

@privaltv

4 ай бұрын

семен, плес

Если выполнена настройка CapsMan, то эти настройки уберегут от внешнего проникновения на точки микротик, расположенные после роутера? Или на них так же всю эту процедуру повторять? Спасибо.

@loskiq

Ай бұрын

если CAPsMAN настроен внутри Вашей локальной сети на локальных интерфейсах, да, уберегут

В некоторых статьях по настройке Wireguard видел, что fasttrack connection в обязательном порядке надо отрубить, иначе будут проблемы с WG из-за этого. Подскажите, пожалуйста, так ли это и с чем именно это может быть связано?

@loskiq

Ай бұрын

нет, к счастью это не так. на всех администрируемых мной mikrotik'ах, где настроен wireguard, включен fasttrack connection. никаких проблем не наблюдается. такая схема работает уже второй год.

34:59 А почему Вы не указываете значения для In. Interface и Out. Interface?

@loskiq

Ай бұрын

если указан dst address, можно не указывать in interface, так как все равно понятно куда попадает пакет перед NAT'тированием. да, конечно можно указать еще и in interface, но ничего не изменится, правило в любом случае будет отрабатывать корректно.

Про таблицу Connections не очень понял. Разве пакеты не по установленным маршрутам всегда бегают? Т.е. пакет по идее всегда именно к таблице маршрутизации должен обращаться, разве нет?

@loskiq

Ай бұрын

все верно, пакеты бегают, исходя из таблицы маршрутизации, а затем, когда установилось какое-либо подключение с каким-либо ip-адресом в интернете, добавляется запись в таблицу connections и устанавливается состояние этого соединения. эта таблица нужна для корректной работы NAT, но она никак не связана с таблицей маршрутизации.

Классно! Спасибо огромное! А как поступать с пробросом портов если у провайдера меняется IP?

@zh_sanek8658

2 ай бұрын

либо покупать у провайдера статический ip (я плачу Ростелекому +150р к тарифу не дорого) . или изучите ddns

при включении fasttrack у вас не будут работать qos

@loskiq

5 ай бұрын

да, не будет, но большинство не парятся с настройкой qos, тем более, если это обычный домашний роутер

По аксесс листам немного вводит в заблуждение второй диапазон реальных IP. Логично к примеру открыть диапазон из внутренней сети, но если подключаться будет кто-то из вне, то скорее всего он будет подключаться с какого-нибудь реального IP и тут диапазон не уместен, будут отдельные IP адреса, а уместен только если роутер будет соединен по туннелю с другой подсетью.

А если нет пункта 20:43 Srс. Address List?

@loskiq

3 ай бұрын

значит этот пункт будет во вкладке Advanced. в новых версиях RouterOS разработчики изменили порядок

@SETVERSE

3 ай бұрын

@@loskiq спасибо!

Молодец! Хорошо объясняешь.. Пропадает талант преподавателя..

Создаем правила в RAW 53 порт, протоколы UDP и TCP, но почему ты проверяешь работоспособность через ping ? это же icmp, он будет работать что бы ты там не написал в принципе

@loskiq

Ай бұрын

этим правилом я устанавливаю запрет пользоваться DNS-сервером микротика посторонним пользователям. а DNS работает только по двум протоколам: TCP и UDP.

А где мой комментарий?

@loskiq

6 ай бұрын

хм, не знаю. я ничего не удалял. что писали?

@SsergeySav

6 ай бұрын

@@loskiq по поводу маршрутизации и ната. Если бы провайдер знал о сети клиентов то трафик мог ходить и рубиться трафик потому что серые адреса запрещены к маршрутизации на границе инета и провайдера. Либо трафик должен натиться или иметь реальные ip, либо будет прибит. Мне показалось было объснено немного не так как оно на самом деле работает

@SsergeySav

6 ай бұрын

скорее всего youtube не пропустил. Хотя не понимаю из-за чего. Вроде ничего не было из-за чего можно было бы не пропустить сообщение

@loskiq

6 ай бұрын

да, согласен. провайдер конечно может натить локальную сеть роутера. то есть, наш роутер будет просто маршрутизировать весь трафик из локальной сети провайдеру, а он его уже будет натить. но, думаю, вряд ли кто из провайдеров такое предоставляет. либо да, как Вы написали, локальная сеть может состоять из реальных ip-адресов и тогда ничего натить не нужно.

18:55 не секюрно. От слова совсем. Пускать к настроке роутера из вне - плохая привычка. Как минимум, в тоннель ВПН. А вот к впн по белому списку.

кек, час рассказывать как поднять правило маскарада, и еше полторы правил домохозяйских. Не упомянув и 10% повседневных задач. Го в след раз видос на 12 часов, глядишь там и про маркировку упомянешь, правда, вскользь. Видос от хомяка для хомяков

@MGTOW_Element

4 ай бұрын

А кто смотрит видео, при настройке Микротика?😂 Быстрее и эффективнее из статьи взять информацию. По тексту быстрее найдешь, что у тебя уже готово, а что надо исправить. Видео может быть полезным в случае, если хочешь узнать как другие настраивают.

@privaltv

4 ай бұрын

@@MGTOW_Element Автор (loskiq), алло, у тебя видео претендующее не на настройку быструю чего-либо, а о ДЕТАЛЬНОМ РАЗБОРЕ FIREWALL, а по факту ты однуо попсовую фичу ничего не дающую мусолишь час, не смеши и не оправдывайся. Ох у ж полезное узнал, о существовании маскарада и ната как технологии. ору

@MGTOW_Element

4 ай бұрын

@@privaltv так зритель тоже должен думать. Видишь, что автор "плывет" в теме - смотри другого. Я лично так делаю. Даже если в обучающем видео рекламы написано, смотреть этого автора больше не стану. И кто сказал, что я автор видео?🤔 Я настроил свои роутеры по статьям. По видео это сделать невозможно.

@privaltv

4 ай бұрын

@@MGTOW_Element > Видишь, что автор "плывет" в теме - смотри другого. Так и делаю, еще в коммент пишу, чтобы другие люди время экономили и не смотрели это блеяние. >Даже если в обучающем видео рекламы написано, смотреть этого автора больше не стану. Сложно понять что ты хотел сказать этим несвязным бредом.