Как не ошибиться при покупке роутера на примере MikroTik hAP ac²

Все видеоНовые видеоПопулярные видеоКатегории видео

Авто Видео-блоги ДТП, аварии Для маленьких Еда, напитки
Животные Закон и право Знаменитости Игры Искусство
Комедии Красота, мода Кулинария, рецепты Люди Мото
Музыка Мультфильмы Наука, технологии Новости Образование
Политика Праздники Приколы Природа Происшествия
Путешествия Развлечения Ржач Семья Сериалы
Спорт Стиль жизни ТВ передачи Танцы Технологии
Товары Ужасы Фильмы Шоу-бизнес Юмор

Главные новостиГосавтоинспекция ищет очевидцев!»>Итоги профилактического мероприятия «Безопасная дорога»»>Правила пожарной безопасности в весенне-летний пожароопасный период»>Пожарные Верхней Салды приняли участие во Всероссийском открытом уроке»>Противопожарные проверки и инструктажи в храмах перед Пасхой»>Итоги оперативно-профилактического мероприятия «Тонировка»»>О новых возможностях и перспективах развития «Титановой долины»»>Салдинцы все чаще становятся жертвами мошенников с сайтов объявлений»>Представители ветеранской организации МО МВД России «Верхнесалдинский» возложили цветы к Памятнику героям-ликвидаторам аварии на Чернобыльской АЭС»>Салдинские полицейские просят граждан класть трубку, если речь заходит о деньгах»>Сыграем в 0707 = Теле2 = (:ХоХмА:) едем в Москву»>Компактный ирригатор RL 210 от Revyline с быстрой доставкой в Сочи»>Можно ли купить недорого ноутбук для корпоративных целей»>Ортодонтический воск «Ревилайн» в ассортименте в Ижевске»>Как завоевать доверие аудитории? Как эксперту завоевать доверие аудитории на вебинаре?»>Компактный ирригатор Revyline RL 650 доступен в Оренбурге»>Эксклюзивная мебель на заказ»>Сотрудники Белгородского линейного отдела раскрыли кражу»>День не должен наступить►S.W.A.N.: Chernobyl Unexplored►Прохождение►Часть 3″>Можно ли делать МРТ с имплантами зубов? Можно ли проходить МРТ при наличии зубных имплантов?»>Склад ответственного хранения»>Фторопластовые втулки ф4, ф4К20 куплю по России неликвиды, невостребованные»>Стержень фторопластовый ф4, ф4к20 куплю по России излишки, неликвиды»>Куплю кабель апвпу2г, ввгнг-ls, пвпу2г, пввнг-ls, пвкп2г, асбл, сбшв, аабл и прочий по России»>Куплю фторопласт ФУМ лента, ФУМ жгут, плёнка фторопластовая неликвиды по России»>Силовой кабель закупаем в Екатеринбурге, области, по РФ неликвиды, излишки»>Фторопластовая труба ф4, лента ф4ПН куплю с хранения, невостребованную по РФ»>Фторопластовый порошок куплю по всей России неликвиды, с хранения»>Куплю провод изолированный СИП-2, СИП-3, СИП-4, СИП-5 невостребованный, неликвиды по РФ»>Фторкаучук скф-26, 26 ОНМ, скф-32 куплю по всей России неликвиды, невостребованный»>Фото LASTOCHKA-OMSK»>Фото [email protected]»>Фото [email protected]»>Фото west o.»>Фото Ольга Ганцева( Назарова)»>Фото ВАЛЕРИЙ ЦАРЬКОВ»>Фото сергей рева»>Фото Бог -есть любовь»>Фото lalapta108″>Фото Светлана Власова (Верхунова)»>Студийные наушники32 мин. назадDarkside – отличный выбор для всех ценителей кальяна45 мин. назадСтероиды1 ч. 2 мин. назадМагазин для маникюра и педикюра1 ч. 22 мин. назадКак правильно выбрать тонометр?2 ч. 58 мин. назадУничтожение тараканов3 ч. 22 мин. назадналоговый кодекс3 ч. 41 мин. назадДостопримечательности Москвы5 ч. 7 мин. назадМотоциклы8 ч. 27 мин. назадконтора с нормальным выводом9 ч. 52 мин. назад Последние комментарииАнна ВолковаКак оказалось стала задача не такая уж и простая: максимально быстро пройти сертифицирование товара. Гдето стоимость просто косм…23 ч. 49 мин. назадanna0303добрый день! воспользовалось данной статьей как рекомаендацией и заказала себе на сайте https://my-gadget.com.ua/ портативную ко…12 мая 2021 г. 15:42:39Создание сайтов в Краснодаре SeoZhdanovУборка квартир от клининговой компании в Краснодаре «Тотал-клин» https://total-cleaning.ru/ #totalcleaningru #клининговаякомпан…12 мая 2021 г. 11:31:07rom kovСпасибо за статью!11 мая 2021 г. 15:18:02IgorНужно сказать что бренд Zlato очень хвалят, по крайней мере мои знакомые те кто покупал ювелирные изделия этой компании, но что …10 мая 2021 г. 12:53:24grischaevaУ фирмы можно приобрести сертифицированное программное обеспечение desigo, контроллеры siemens, датчики и другое оборудование …8 мая 2021 г. 22:31:27rom kovСкажу, что обязательно нужно изучить как можно больше информации и обзоры почитать в интернете о разных букмекерских конторах, к…7 мая 2021 г. 9:40:28rom kovК сожалению, банки кредиты выдают только тем, у кого высокий оклад, местная прописка, официальный доход. Если этого у вас нет, т…7 мая 2021 г. 6:46:35Лилия РазумовскаяПриятный молодой человек и познавательное видео! У меня племяшка как раз хочет пойти учиться на стоматолога) ?) Мне кажется, эт…6 мая 2021 г. 9:34:35Alex1985Заказывать цветы рекомендую в проверенных магазинах, я покупаю в Roses Delivery. , очень нравятся голландские и кенийские розы….5 мая 2021 г. 13:49:44

Только у нас, в Санкт-Петербурге, проводятся официальные тренинги обучение Mikrotik по программам: MTCNA, МTCRE, MTCTCE, MTCWE,MTCINE, MTCUME, под руководством сертифицированного тренера. Успейте зарегистрироваться, пройти обучение и получить сертификат специалиста Микротик.

Подробнее о программах и тренингах на сайте нашего партнёра!

mikrotik_logo.jpgИмя латвийской компании MikroTik, производителя сетевого аппаратного оборудования и программного обеспечения, широкому кругу пользователей известно мало. И это странно.

Парадокс в том, что прибалтийский бренд, точнее его продукция – это классический образец качества, которое у нас принято называть «немецким», причем стоит эта технологическая роскошь удивительно недорого, даже по меркам отечественного рынка.

Ситуация объясняется просто: оборудование MikroTik — это, прежде всего, сегмент малых или «домашних» сетей, от которого ожидаешь простоты таких марок, как: TP-Link, Tenda, Zyxel. Тем более его цена соответствует классу.

По факту: диапазон и архитектура настроек роутера MikroTik столь сложны, детальны и профессионально «тонки», что отпугивают даже «матерых» IT-специалистов и администраторов. Функциональные возможности Микротик впору сравнивать с ресурсами телекоммуникационных систем вроде Cisco или Juniper.

Однако те, кто по долгу службы или по причине острой жизненной необходимости настраивал маршрутизаторы MikroTik, отзываются об этом процессе, как о вполне адекватном, требующем лишь уровня базовых знаний сетей и желания. Остальные граждане, в любом случае, будут звать поддержку.

Именно для желающих разобраться в секретах и парадоксах Микротик этот материал.

mikrotik-new.jpg

Только факты о функционале MikroTik

Основа производства предприятия MikroTik — разнообразные сетевые девайсы — «железо», часто называемое общим термином RouterBoard и собственное ПО, с ядром в виде операционной системы RouterOS на базе Linux. Цель программно-аппаратного продукта компании — малые и средние проводные и беспроводные сети.

Однако существует ряд масштабных, на уровне государства, проектов, где основой сетевой инфраструктуры стало оборудование MikroTik.

Главная «фишка» прибалтийского бренда — расширенный до предела функционал в теле обычного «домашнего» роутера.

  • Поддержка большинства современных протоколов маршрутизации.
  • Стабильная работа и совместимость с новой версией IP — IPv6.
  • Гибкая настройка сервиса трафика относительно необходимых приоритетов и класса (QoS).
  • Наличие собственного API(интерфейса программирования), который делает управление и настройку MikroTik эффективными, независимо от требований рабочей среды.
  • Корректная работа MikroTik в сетях 4g, благодаря встроенным параллельно с WI-FI, gsm модулям. Эффективность решения доказана тестами и практикой.
  • Возможность установки RouterOS на любой компьютер с целью превращения его в маршрутизатор с набором необходимых случаю функций.
  • Графический интерфейс WinBox, который переводит в визуальную плоскость все программные процессы системы или устройства, позволяя управлять ими быстро и точно.

Это основные, наиболее востребованные функции, но далеко не все. При необходимости, на базе RouterOS можно развернуть сеть любого масштаба и архитектуры, не ограничиваясь рамками «домашней».

Преимущества и недостатки MikroTik (а как иначе?)

Достоинства любого маршрутизатора MikroTik очевидны для тех, кто желает получить в управление умную и нужную вещь.

  • Роутер Микротик всегда продается в комплекте с полным пакетом информации по эксплуатации и данными для настройки.
  • Обновление ПО и прошивки устройства происходят регулярно, сделать это легко, компания «трепетно» следит за этим.
  • Высокий, явно выше среднего, уровень детализации настроек в сравнении с роутерами других брендов.
  • Собственное программное обеспечение, с основой в виде операционной системы MikroTik RouterOS.
  • Надежная работа оборудования и системы в целом, которая не требует вмешательства долгое время.
  • Конечно же, цена! Устройства такого класса, относительно именитых производителей, стоят ощутимо дороже, уступая при этом, в качестве и функциональных возможностях.

Это явные достоинства, теперь для объективности, немного разной степени тяжести недостатков.

  • Активное развитие программно-аппаратного обеспечения Микротик, не всегда вовремя подкреплено актуальной документацией и мануалами.
  • Маршрутизация трафика объемом выше 10 Гбит/сек оптимальный потолок стабильности, дальше возможны проблемы.
  • Относительно сложная настройка роутеров MikroTiк, даже при доступном мануале с подробнейшим описанием шагов, отпугивает рядовых пользователей.

В принципе это все. Добавим один момент. В связи с вялым маркетингом бренд действительно знаком лишь узкому кругу посвященных. Поэтому купить MikroTik — это либо самому нырять в детали настройки, либо – искать редкого специалиста и беречь его, как родного.

Но есть и плюс, на который, кстати, жалуются профильные компании. Установленная и грамотно настроенная проводная или сеть wifi MikroTik стабильно работает и не требует сервиса. Тем самым, лишая установщика законной и желанной платы за вызовы.

Популярные модели маршрутизаторов MikroTik

Чем особенным марка может заинтересовать покупателя сегодня? Вот несколько устройств из ассортимента питерского реселлера Микротик, компании Miniroute, их тех, что продаются с пометкой «топ продаж».

951-250x250.pngMikroTik rb951g 2hnd — WI-FI (беспроводной) роутер, который обладает максимально возможной производительностью, обоснованной 600 МГц процессора Atheros и 128 МБ «оперативы».

По сути, Routerboard 951g 2hnd — это полноценный компьютер, заключенный в малогабаритный корпус. Если вам нужен совершенный роутер для домашней или небольшой (до 40 человек) офисной сети, то это он.

  • Разграничение скорости по MAC и IP.
  • Одновременное подключение нескольких провайдеров.
  • Создание WI-FI точек, с возможностью разделения на рабочие и гостевые.

MikroTik 951g 2hnd — идеальное решение для организации HotSpot в нужном месте. И это лишь малая часть возможностей устройства.

579_m-250x250.jpgMikroTik rb951ui 2hnd очень похож на вышеописанную модель WI-FI роутера Микротик 951-й серии, но разница в деталях все же присутствует. Например:

  • Роутер имеет 5 портов 10/100 Мбит/с, против 5×10/100/1000 Мбит/с. у rb951g 2hnd.
  • Или 5-й порт устройства может использоваться как PoE терминал.

MikroTik Routerboard rb951ui 2hnd часто применяют в роли репитера, девайса, который ретранслирует сигнал основного роутера. В данном качестве, устройство работает как превосходный усилитель сигнала на этаже или между этажами.

Программная начинка, как и у большинства маршрутизаторов MikroTik 750/951 серий собственная «ось» RouterOS 4 уровня, превращающая скромную пластиковую коробочку в серьезный мультифункциональный комбайн по смешной цене.

705_l-250x250.jpgROUTERBOARD 2011IL-RM — бюджетный вариант проводного маршрутизатора MikroTik сегмента SOHO с возможностью размещения в телекоммуникационную стойку. Таким образом, устройство в любой момент может быть интегрировано в более масштабный и сложный проект.

В отличие от роутеров серии MikroTik 951, линейка RB2011, это все же больше офисное оборудование, функционал которого подчинен задачам средних сетей с повышенной пропускной способностью.

В остальном, это обновленный процессор Atheros 600 МГц MIPS-BE и операционная система RouterOS 4 уровня, допускающая бесконечные возможности расширения функционала без потери стабильности.

1155_l-250x250.jpgСерия CCR

Указанная линейка роутеров — относительная новинка на рынке. На модели из этого ряда стоит обратить внимание организациям с числом сотрудников до 200 человек.

Профессиональное оборудование с универсальными возможностями в плане монтажа и конфигурации, оснащенное встроенными источниками питания и программно построенное вокруг RouterOS 6 уровня — это просто находка для небольших копаний, деятельность которых зависит от скорости и стабильности цифровых сетей.

В качестве заключения. С точки зрения профессионала, бренду MikroTik не хватает активного маркетингового продвижения. Создания вокруг марки, инфраструктуры с обучающими программами и доступной поддержкой производителя.

В остальном, MikroTik — это стабильность, функциональность и профессионализм. По разумной цене.

Видео по настройке роутера MikroTik RB951

Ошибки в прошивках популярных роутеров обнаруживают регулярно. Однако просто найти баг недостаточно, его еще нужно обезвредить. Сегодня мы поговорим о том, как обезопасить себя от уже известных уязвимостей в RouterOS и защититься от тех, которые выявят в будущем.info-icon.jpg

INFO

Подробный рассказ об известных на сегодняшний день багах в RouterOS ты можешь найти в статье «Опасный MikroTik. Разбираемся в уязвимостях популярных роутеров».

Обновления

Несмотря на страшные описания и действительно большую опасность, которую таят в себе уязвимости, стоит отдать должное разработчикам MikroTik: они в кратчайшие сроки выпускают патчи. Многие дыры закрываются еще до их утечки в паблик, оставшиеся — в течение дня-двух. Поэтому первое, на что нужно обратить внимание, — актуальность версии RouterOS на твоем девайсе. Автоматически система не обновляется, поэтому за появлением новых версий нужно следить вручную. В разделе Software на сайте MikroTik лежат актуальные версии операционной системы и отдельных пакетов. Простейший способ обновиться: System → Packages → Check For Updates → Download and Install.

Те же действия можно выполнить, набрав в консольной строке роутера следующую команду: /system package update install.

update.png
Обновление системы роутера

Рекомендуем почитать:264-retina-210x280.jpg

Xakep #264. NFT

Доступны четыре ветки разработки: Long-term, Stable, Testing и Development. Для критичных систем рекомендуется ставить Long-term. Железка, которая может полежать пару минут в процессе обновления, достойна Stable, остальные ветки оставь для экспериментов на домашнем роутере. Перед обновлением внимательно читай Changelog. Иногда полностью перерабатываются некоторые части ОС, после чего они не способны работать со старой конфигурацией (так было, например, с bridge в 6.41).

Если ты счастливый владелец нескольких роутеров MikroTik, помни, что массовый апгрейд стандартными средствами невозможен, но можно воспользоваться The Dude или самописными скриптами.

Packages

Следующее, за что можно взяться для повышения безопасности, — отключить ненужную функциональность. Не используешь IPv6 — отключай, не нужен Wi-Fi — отключи весь модуль, отвечающий за него (все в том же меню System → Packages). Обрати внимание, что полностью удалить из системы можно только дополнительные пакеты, то есть те, что не входят в routeros-platformname.

Службы

Все угрозы для MikroTik работают, только если админ заранее не позаботился о безопасности. При элементарных настройках служб и файрвола роутер проработает годы без обновлений. В меню IP → Services отключи ненужные службы. Рекомендую открывать только SSH и Winbox с определенных адресов, остальное — disable. Того же самого эффекта можно добиться командой /ip service disable ftp.

services.png
Список работающих сервисов

Также проверь, не включены ли службы IP: Web Proxy, IP → UPnP, IP → Socks. Если они включены без твоего ведома, у меня для тебя плохие новости. Вот команды для отключения этих служб из командной консоли: /ip proxy, /ip upnp, /ip socks.

proxy.png
Проверяем, поднят ли в системе proxy

RouterOS имеет работающий по протоколу MNDP механизм обнаружения соседей. Знать соседей в своей сети — отличная идея, но вот светить моделью роутера и версией софта в окружающее пространство вряд ли хорошо с точки зрения безопасности.

nighbours.png
Лучше не показывать соседям модель роутера и версию софта

Функция обнаружения соседей, как и многие другие фичи в RouterOS, использует в работе списки интерфейсов. В дефолтной конфигурации уже есть списки LAN, WAN, dynamic, all и none, но можно создать и свои списки со сложной структурой. Допускаются вложенные списки (include) и исключения (exclude). Настраиваются они в меню Interface → Interface Lists. Сначала создаем сам список (кнопка Lists), затем в основном меню добавляем в него интерфейсы. Команда для работы со списками выглядит так: /interface list.

iface-list.png
Список интерфейсов

info-icon.jpg

INFO

В список dynamic входят динамические интерфейсы, такие как VPN-интерфейсы, PPPoE. None означает «ни одного», all — «все». В дефолтной конфигурации «домашних» роутеров в списке WAN будет ether1, в LAN — от ether2 до ether5, все Wireless-интерфейсы и bridge.

Как известно, подключиться к RouterOS можно не только по IP-адресу, но и по MAC. Также работает ping по MAC-адресу. За работу этих служб отвечает Tools → MAC Server. Он тоже использует в настройках списки интерфейсов. Стоит выделить отдельную группу интерфейсов под управление, а затем разрешить обнаружение соседей и MAC Server только ей.

Не отключай MAC Winbox и MAC Telnet совсем: однажды наступит момент, когда ты сломаешь себе доступ по Winbox и нужно будет воспользоваться подключением по MAC, поэтому лучше держать такой бэкдор для себя. К тому же MAC Telnet полезен, когда в сети появляется новая железка, у которой еще нет IP-адреса. Тогда ее удобно настраивать из консоли соседнего роутера.

www-icon.jpg

WWW

На сайте производителя представлен полный список доступных сервисов. Можно пройтись по нему и проверить, не включено ли у тебя что-то лишнее.

Дефолтная конфигурация RouterOS с описанными выше дополнениями повысит безопасность роутера. Вообще, разработчики постарались сделать Default Configuration максимально универсальной и учли многие нюансы безопасности. Дальше мы рассмотрим дополнительный харденинг RouterOS.

Пользователи и группы

Если ИТ-отдел в твоей компании большой, в нем наверняка есть разделение ролей и обязанностей. К примеру, сотруднику техподдержки ни к чему права на создание VPN-соединений или просмотр пароля Wi-Fi, в то время как сетевики, естественно, должны иметь к ним доступ. RouterOS имеет достаточно гибкий механизм распределения прав. Права назначаются в группах, затем в нужную группу добавляется юзер. Управление группами доступно в меню System → Users, а также с помощью команды /user group.

groups.png
Управление группами

Рассмотрим права групп подробнее:

  • telnet, ssh, ftp, winbox, web, api, romon, dude, tikapp — понятны по названию. Разрешают юзеру подключаться по указанным протоколам;
  • local — открывает доступ к роутеру через консоль. При отключении также заберет право открывать терминал внутри Winbox;
  • reboot — право на перезагрузку;
  • read, write — права на чтение или запись;
  • sniff — права на исполнение встроенного аналога tcpdump (tools → sniffer);
  • test — запуск инструментов траблшутинга (ping, traceroute, bandwidth-test, wireless scan, snooper);
  • password — право менять собственный пароль;
  • policy — право управлять учетными записями и группами.

Чувствительные данные

На группе настроек sensitive остановимся чуть подробнее. В RouterOS определены так называемые чувствительные данные. К ним относятся ключи Wi-Fi, IPSec, SNMP, пароли VPN-интерфейсов и серверов, пароли протоколов маршрутизации и другая информация, влияющая на безопасность.

В меню окна Winbox в разделе Settings есть флажок Hide Sensitive. Когда он включен, эта чувствительная информация закрыта звездочками и в терминале ее тоже не видно. Эдакая защита от разглашения паролей. С отключенной опцией Sensitive в настройках группы этот чекбокс не снимается, то есть право Sensitive разрешает пользователю видеть введенные пароли.

password.png
Право Sensitive разрешает пользователю видеть введенные пароли

Port Knocking

Чуть выше мы говорили об ограничении доступа к управляющим службам роутера только с определенных адресов. Это очень важно: протокол Winbox далек от идеала и есть вероятность, что в нем еще будут находить дыры. Но часто приходится подсоединяться к роутеру из гостиниц или кафе, и невозможно предусмотреть все адреса, с которых подключишься.

Среди админов распространена техника Port Knocking. Изначально порт закрыт для всех. Но стоит снаружи выполнить какую-то последовательность действий, как для твоего IP открываются все порты для управления. Этот набор действий может быть очень сложным, и подобрать его нереально. Рассмотрим пример:

  • изначально все порты управления закрыты для всех, кроме списка разрешенных;
  • если на порт роутера 1234 попадает TCP-сегмент, затем два на порт 4321 и один на порт 5678, то адрес источника заносится в список разрешенных на сутки.

Реализовать эту последовательность действий поможет следующий скрипт.

/ip firewall filter add action=accept chain=input dst-port=22,8291 protocol=tcp      src-address-list=mgmt_allow add action=drop chain=input dst-port=22,8291 protocol=tcp add action=add-src-to-address-list address-list=mgmt_stage1      address-list-timeout=1m chain=input connection-state=new      dst-port=1234 protocol=tcp add action=add-src-to-address-list address-list=mgmt_stage2      address-list-timeout=1m chain=input connection-state=new      dst-port=4321 protocol=tcp src-address-list=mgmt_stage1 add action=add-src-to-address-list address-list=mgmt_stage3      address-list-timeout=1m chain=input connection-state=new      dst-port=4321 protocol=tcp src-address-list=mgmt_stage2 add action=add-src-to-address-list address-list=mgmt_allow      address-list-timeout=1d chain=input connection-state=new      dst-port=5678 protocol=tcp src-address-list=mgmt_stage3 

Правила 3–6 (action=add-src-to-address-list) выполняют описанную выше логику. Первое правило разрешает доступ к управлению роутером только адресам из списка mgmt_allow, который заполняется на этапах 3–6. Второе правило запрещает доступ всем. Первые два правила вынесены наверх для того, чтобы избежать ненужного прохождения менеджмента трафика по четырем правилам с логикой и тем самым снизить нагрузку на CPU.

Но провернуть подобную операцию с Windows не так просто: из стандартного набора программ выпилили Telnet, а качать сторонний софт не всегда возможно. Зато любая ОС позволяет менять размер ICMP-пакета при пинге. Этим мы и воспользуемся. Изменим условия:

  • изначально все порты управления закрыты для всех, кроме списка разрешенных;
  • если на роутер попадает ICMP Request размером 345 байт, затем два размером 543 и один 678 байт, то адрес источника заносится в список разрешенных на сутки.

Для этого всего лишь поменяем предыдущие правила:

  1. Установим прокол ICMP.
  2. На вкладке Advanced зададим размер Packet Size.

info-icon.jpg

INFO

Не забывай, что размер пакета, указанный в пинге, и размер пакета, долетевшего до роутера, — это разные значения. В Linux к ICMP прибавляется 28 байт заголовков, то есть, чтобы отправить пакет размером 345 байт, нужно в пинге указать размер 317. У Windows цифры другие — она по-своему считает заголовки.

Wireless

RouterOS поддерживает белые и черные списки Wi-Fi. Для этого есть список Wireless Access List. Просто добавь туда устройства, которые не имеют права подключаться к сети, а потом сними флажки Authentication и Forwarding. Еще для этих целей можно использовать команду /interface wireless access-list add.

wireless.png
Настройка черного списка Wi-Fi

Описанный выше случай будет работать как Blacklist. Чтобы преобразовать его в Whitelist, нужно поставить указанные флажки и изменить тип работы интерфейса Wireless с помощью команды /interface wireless set 0 default-authentication=no.

wf-auth.png
Настройка белого списка

Флажок Authentication отвечает за аутентификацию клиентов. Если он установлен для определенного интерфейса, аутентификация разрешена всем, кроме тех устройств, которые перечислены в списке доступа без флажка. Если на интерфейсе флажок не установлен, то подключиться к сети могут лишь те, кто присутствует в списке доступа с флажком.

Настройка Forwarding отвечает за передачу данных между клиентами одной подсети. Обычно ее не стоит трогать, но, если ты строишь, к примеру, hotspot-сеть, клиенты которой будут ходить только во внешние сети (то есть внутреннее взаимодействие им не нужно), отключи данную опцию — это улучшит качество связи.

С помощью Wireless Access List можно настроить сложную логику работы клиентов: по уровню сигнала, времени суток, ограничить скорость каждого клиента или загнать его в определенный VLAN без дополнительных телодвижений. Очень рекомендую познакомиться с этим инструментом поближе.

info-icon.jpg

INFO

А еще MikroTik умеет делать SSID в виде эмодзи, например так: 💀👽💲. Для этого нужно перевести символы в Unicode с помощью инструмента вроде такого и вставить полученную строку в SSID.

Заключение

Мы рассмотрели минимум действий, которые помогут роутеру стать безопаснее, а админу спать спокойнее. Но у RouterOS под капотом еще очень много возможностей, и если не включать мозг при их настройке, то никакие статьи не уберегут тебя от взлома. Вообще, мозг — отличный инструмент. Им нужно пользоваться регулярно.

← Ранее Современная оперативная память по-прежнему уязвима перед атаками RowhammerДалее → Из-за опасного бага Avast отключает JavaScript-движок в своем антивирусеИспользуемые источники:

  • https://salda.ws/video.php
  • http://mikrotik.spb.ru/index.php
  • https://xakep.ru/2020/03/12/good-mikrotik/

Рейтинг автора
5
Подборку подготовил
Андрей Ульянов
Наш эксперт
Написано статей
168
Ссылка на основную публикацию
Похожие публикации