Это копия, сохраненная 21 июня 2019 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Нужна ваша помощь.
Сделал всё по инструкции: http://cutt.us/Y3ici
Если вкратце то:
1) Создал virtual ap с security profile
2) Закинул virtual ap в новый бридж
3) Создал адресное пространство, создал пул
4) Создал DHCP Server для bridge guest
5) Создал nat с маскарадом для bridge guest.
Ip получаю, но доступа в сеть нет. Такое ощущение что nat не срабатывает.
Как быть? Что можно предпринять?
чекнул, не работает
Некротиками не пользуйся.
Это ещё почему?
Ты просто тупой. Не хочешь exe, настраивай через гипертерминал дриснятки!
Прикинь, для cisco или juniper тоже exe-шник нужен!) Putty называется.
И кстати, в котике-микротике веб интерфейс тоже есть. Так что для совсем отсталых можно использовать графический интерфейс.
Это DNS маршрутизация, работает на 53 порту udp, да можно повешать dns тунель, но и его нужно накатить, то есть нужен доступ. Ты видел, что понички стали делать, ищут пека, которые заражены хакерской группировкой, потом под видом туристов приезжают в эту страну и убивают их.
У меня просто 53 порт детектился на 2ip, пока я tcp трафик на нём не запретил...
Есть, что нибудь по калорийней, думал перед летом жир сбросить...
Запрети udp трафик на 53 порту, хотелось бы посмотреть, как Пыня будет извиваться, как жаренный уж на сковородке и уже восточная философия не поможет.
О! Дебиленок, который любит крайности. Да еще и ссаный домашний роутер с циской кокой-то сравнивает. И еще, для тебя, дебиленок, сообщаю, что экзешник, который называется путти, нужно скачивать только тупым дебилятам-спермодаунам. С чем я тебя и поздравляю.
>>37956
Который нужно включать через winbox. Бинго!
Пущу в дело mitm
> Mikrotik
Хех мда
>Исследователи из лаборатории 360 Netlab выявили вредоносную активность, в результате которой злоумышленники получили контроль за необновлёнными маршрутизаторами MikroTik. Атака была совершена через эксплуатацию уязвимости CVE-2018-14847, устранённой в апрельском обновлении MikroTikOS 6.42.1. Уязвимость была вызвана ошибкой в компоненте Winbox и позволяла изменить настройки устройства без прохождения аутентификации. По данным 360 Netlab в сети сейчас находится около 370 тысяч устройств MikroTik с неисправленной уязвимостью. На 239 тысячах устройств обнаружено создание скрытой точки проброса трафика, которая была организована через включение прокси
>В операционной системе RouterOS, применяемой в маршрутизаторах MikroTik, выявлено несколько уязвимостей. Самая опасная из проблем потенциально позволяет получить полный доступ к системе
>
> без привязки к mac
А вот если была бы привязка, то все хакеры мира бы стороной сразу обходили эту самую надежную защиту.что может быть проще клонирования mac?
Вот лишь бы чего спиздануть.
CVE-2018-14847 касается только тех 'админов локалхоста', которые не зафаерволили порт управления на WAN-интерфейсе.
Реальный же проёб разрабов в том, что пароли пользователей хранились на внутреннем накопителе устройства в незашифрованном виде. Именно к нему можно было получить доступ через эту уязвимость.
Было как бы дублирование функционала моста, а теперь всё в одном месте.
>>37960
Потому, что рандомный порт udp невозможно проверить извне, надо знать, что отправлять. Умеет ли микротик в DNS по TCP это ещё вопрос.
>>43686
Зависит от других потребителей, настроек и кол-ва правил. Смотри тесты на оф. сайте.
>>38040
Спалишься в процессе, спалит ремонтник провайдера и ты поедешь настраивать сети в Магадан. BTW весь более-менее интересный трафик нынче шифруется и MITM нетривиален.
Сразу после Халфы-3.
>дамп чего
да чего угодно, например трафик sip телефона. Я нашел там функции зеркалирования трафика, впринципе удобно но хотелось бы дам сразу на флешку писать....
Дамп это общее слово, родной.
Во-первых, любая флешка кроме промышленных убьётся при постоянной записи, во-вторых на постоянку нормальное решение это всё-таки стримить. Для разового использования хватит дампа на встроенную флешь и перетягивание на комп для анализа.
Ты сам что ли не понимаешь? У тебя мост настроен с маской подсети /24, 192.168.0.0/24, а другой адрес, на который перенаправлял этот мост я тк понял, настроен 192.168.50.0. Конечно он не увидит...
хаха, это не обязательно, просто будет тунель Токио-Чебурнет...
0.0/24 и 50.0/24 разные подсети, что не так? Ну т.е. последний актет под адрес хостов от 0 до 255, короче не еби мнеиголову. Я уже настроил, всё работае.
А вот у меня сейчас все лан порты в одном бридже. Если я их закину каждый в отдельный влан, как с адресацией быть? Статический ip каждому влану? Или как то можно использовать dhcp?
Я вкурсе, это не отменяет моего предложения
Почему на скрине ОП, в NATе маскарад указан bridge (f.) хотя должен быть наверное wan, с которого роутер вылезает в интернеты (или другие сети, которые не знают как твоя локалка устроена)
ну т.е. Маскарад применяется тогда, когда пакет покидает роутер (POSTROUTING и все дела)
Если у тебя пакет идет и локалки в интернет, то там сорс конечно же будет подсеть локалки, но аут интрефейс как раз wan, в случае с оп это "pppoe_connect..."
А если оставить только сорс, то он будет маскарадить все подряд, что выходит из локалки с данным сорсом, что тоже мб сойдет
Лан порты в бридже, адресация через dhcp сервер, метод - маскарад. Что не понятно?
На wan вешается dhcp клиен, дабы можно было получить ip через pppoe подключение.
Пакеты продвигаются по умолчанию от бриджа в сторону подключения с минимальеым значением default route distance, т.е. во внешний интерфейс.
Поправьте если не так что мказал.
pppoe не получает ip через dhcp клиент, это точка-точка.
Клиент нужен чтобы получить локальный IP для локалки провайдера (кстати он не работает, так как не буквы D (динамический) напротив локалки провайдера для IP телевидения, так забит вручную)
Я не вижу таблицы маршрутизации, но верю.
Маскарад:
У пакета есть IP источника, и IP назначения. Когда пакет создается и приходит на маршрутизатор, у него в источнике локальный айпи отправителя, если этот IP не менять через маскарад, то хост, на IP назначения, получит адрес источника как есть, что как бы поставит его в тупик (куда отвечать на 192.168.0.6 например)
Маскарад заменяет IP источника на IP адрес с которого был отправлен пакет вышестоящему маршрутизатору, и заносит преобразование в табличку, чтобы потом знать что куда обратно преобразовывать, когда придет ответ.
Маскарад находится в Построутинге, а значит на этом моменте пакет уже покидает маршрутизатор, и должен быть как раз указан "out interface" тот самый, с которого пакет уплывает дальше (например pppoe), или группа интерфейсов (микротик поддерживает и рекомендует эту фичу), и это должен быть wan, а не lan (bridge). А то по картинке получается что у тебя сорс ip совпадает, а "аут интерфейс" никогда не совпадет, и маскарад никогда не применяется (в счетчике 0 пакетов)
Так же еще советую проверить Filter Rules, не блокируется ли что-то там на Форвардинге
dhcp client получает IP адрес от dhcp сервера.
pppoe - точка-точка через l2, сам протокол передает все настройки (IP, шлюз, dns и т.д.)
у тебя скорее всего dhcp client висит и слушает вечно wan порт, и ничего так и не получает (и не получит)
но проблема не в нем, я описал проблему с Маскарадом
Пока у тебя вланы в бридже, у тебя работает аппаратный коммутатор .
Бэкап, сброс конфига, экспорт - вот и увидишь.
Да вкурсе, потому и смешно что это есть в домашнем роутере. Ну а вообще наверное хорошо иметь такой функционал в качестве тренажора).
Есть ли смысл приклеить на cpu радиатор и разогнать его?
Хуинго. Вебморда там работает по умолчанию.
>>26683 (OP)
Пердотик окончательно охуел и сломал 6to4 туннели в последнем обновлении. Идут нахуй. Пердотик оставлю мамке, когда перееду на новую хату, буду покупать б/у стоечную циску и точку доступа от убиквити или той же циски.
>точку доступа от убиквити или той же циски
Шило на мыло. Лучше ruckus, б-у если нищеброд, что-то не хуже чем r600/r510.
Подыми на нём vpn сервер, продай услугу vpn какой нибудь конторе, типа безопасность будек как в пентагоне. Получай копеечку за просто так.
Это копия, сохраненная 21 июня 2019 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.