Ситуация: вот, спустя год после покупки микротика я похоже настроил почти всё что хотел, теперь нужны идеи что ещё реализовать.
Уже есть:
1)получение списка адресов по BGP куда ходить через амстердам.
2)VPN до амстердама
3)VPN до дома (например со смартфона)
4)перехват нешифрованных DNS запросов и ответ на них микротиком.
5)upnp IGD
6)отправка логов в телеграм.
7)отправка команд из телеграма "кто дома?" и "включи комп"
8)fail2ban
9)fail2ban при неудачном подключении ipsec на основе анализа лога
10)QoS
Нет, конечно есть ещё задачи.
1)почему-то VPN до амстердама поднимается только если последним включился сервер в амстердаме(или на нём передёргивается ipsec).
2)сохранение adress-list на внешний ресурс и загрузка обратно после ребута.
3)причесать фаервольные правила.
4)Настройке QoS нет предела
Но конец уже близок, а идей нет. Помогайте.
А что ещё можно реализовать на микротике для дома?
- podarok66
- Модератор
- Сообщения: 4376
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Да все эти хотелки сугубо личное дело. Тут все фломастеры на вкус разные, уж поверьте. Ну например ваши хотелки в моём видении.
1. Ну на фиг, мне из запретных нужны может полтора десятка адресов. Обычные постоянные интересы типа библиотек, новостных сайтов и пары любимых сайтов типа абсурдопедии и лурки. Никаких обновлений не надо. Срочно нужный адресок могу добавить в список и руками.
2. и 3. VPN -бесспорно нужен, но вот всякие ipsec для дома - оверкилл. Обычный OpenVPN перекрывает 100% потребностей, не в пример легче в реализации и настройке (напомню, мы про личные предпочтения) и при падении переподключается сам без пинков. OVPN-cервер держу на VDS-ке, маршрутизация позволяет подключаться с телефона (андроид ovpn-клиент) к Микротику (ovpn-клиент) без проблем.
4. Это точно нужно?
5. Пользуюсь.
6. Логи в Zabbix на том же сервере в Амстердаме, что и OVPN
7. Мне проще подключится с телефона по OVPN и затем зайти на роутер через телефонный Winbox.
8. Настроен, но я давно уже не использую стандартный порт на ssh, авторизация только по ключу, более никакие сервисы наружу не торчат и попадается в ловушку кто-то очень редко.
9. Соответственно всё подключается по сертификатам, не вижу смысла настраивать fail2ban
10. Раньше настраивал, сейчас не вижу надобности. У меня редко утилизируется весь канал, если только дети начинают скачивать очередную игрушку. Но при 100 МБит полосы это не бывает долгой проблемой.
У меня дома 4 устройства Микротик собранные в локалку. Единственное, что я применяю на ТД- это 50 опция в DHCP-клиенте. В головном устройстве я почти всё описал, комментируя вас. Остается только добавить настроенный CAPsMAN, пару скриптов для отключения/включения интерфейсов локалки (детей выгнать на улицу удалённо порой можно только так), ну ещё туннель 6to4 туннельному брокеру ( мой провайдер не даёт IPv6) и несколько тоннелей sstp для контроля "союзных" Микротиков ( есть необходимось).
Вот и вся разница на данный момент. Всё остальное с годами выпилилось...
1. Ну на фиг, мне из запретных нужны может полтора десятка адресов. Обычные постоянные интересы типа библиотек, новостных сайтов и пары любимых сайтов типа абсурдопедии и лурки. Никаких обновлений не надо. Срочно нужный адресок могу добавить в список и руками.
2. и 3. VPN -бесспорно нужен, но вот всякие ipsec для дома - оверкилл. Обычный OpenVPN перекрывает 100% потребностей, не в пример легче в реализации и настройке (напомню, мы про личные предпочтения) и при падении переподключается сам без пинков. OVPN-cервер держу на VDS-ке, маршрутизация позволяет подключаться с телефона (андроид ovpn-клиент) к Микротику (ovpn-клиент) без проблем.
4. Это точно нужно?
5. Пользуюсь.
6. Логи в Zabbix на том же сервере в Амстердаме, что и OVPN
7. Мне проще подключится с телефона по OVPN и затем зайти на роутер через телефонный Winbox.
8. Настроен, но я давно уже не использую стандартный порт на ssh, авторизация только по ключу, более никакие сервисы наружу не торчат и попадается в ловушку кто-то очень редко.
9. Соответственно всё подключается по сертификатам, не вижу смысла настраивать fail2ban
10. Раньше настраивал, сейчас не вижу надобности. У меня редко утилизируется весь канал, если только дети начинают скачивать очередную игрушку. Но при 100 МБит полосы это не бывает долгой проблемой.
У меня дома 4 устройства Микротик собранные в локалку. Единственное, что я применяю на ТД- это 50 опция в DHCP-клиенте. В головном устройстве я почти всё описал, комментируя вас. Остается только добавить настроенный CAPsMAN, пару скриптов для отключения/включения интерфейсов локалки (детей выгнать на улицу удалённо порой можно только так), ну ещё туннель 6to4 туннельному брокеру ( мой провайдер не даёт IPv6) и несколько тоннелей sstp для контроля "союзных" Микротиков ( есть необходимось).
Вот и вся разница на данный момент. Всё остальное с годами выпилилось...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Обычный OpenVPN больно ресурсоёмок.
Связывать микротиковские роутеры между собой проще всего через GRE+IPSec или L2TP+IPSec.
А вот выход со смартфона/ноута из сотовой сети (или любого чужого wifi) через свой домашний инет лучше всего через wireguard - работает быстро, настраивается в два счета.
Можно использовать для этого и микротик, но пока wireguard только в бете, у меня для этого отдельная коробка с OpenWRT.
Реально очень удобно - один раз настроил исключения для своих сетей, откуда ходить напрямую, а через все остальные оно ходит автоматом.
Причем огромным плюсом является то, что протокол stateless - то есть никаких подключений/переподключений нет в принципе.
Главный вопрос - зачем?
Если есть какие-то задачи - да, их надо решать.
А если все задачи уже решены - значит надо наверное успокоиться и переключиться на что-то другое, нет?
Telegram: @thexvo
-
- Сообщения: 161
- Зарегистрирован: 29 апр 2021, 10:45
1. Так я не один дома. Я предпочёл сразу настроить универсальное решение, чем потом добавлять. И потом можно долго искать что не так, пока не поймёшь что один из нужных IP заблокирован... в первый раз у меня 3 дня на это ушло.
и ipsec на микротике шустрее всего работает. Я могу не беспокоится о том, что слишком много трафика в VPN летит.
2. Я надеялся получить встроенный клиент в винду... а когда он не завёлся, то ipsec-то уже был, зачем переделывать?
ну и с ipsec всё равно разобраться надо было. Потенциально хочу связать несколько квартир в VPN для более удобного файлообмена и старых игр по локалке.
4. Это чтобы провайдер не блочил сайты путём перехвата DNS запросов. Никто не перехватит мой DNS запрос, если я перехвачу его сам *картинка сметливого негра*
6. Я хочу уйти от серверов. даже в амстердаме routerOS поставить когда-нибудь. Ну просто чтобы не админить ещё их. Ну хреново я знаю linux и разбираться у меня желания нет. А сервер на винде как-то не вписывается в понятие настроил и забыл... да и за лицензию платить... я лучше облачную ROS куплю.
7.Сервис не только для меня. И да, мне проще в телеграм отправить.
8.9. У меня логируется весь дропнутый трафик за исключением явно заданного мусорного. И тут 2 варианта, либо засирать логи сканерами портов, или что там ломится регулярно? за 5 дней более 2000 ip в бане. Либо банить IP и не логировать трафик с забаненных IP.
10.Я хочу не беспокоится о повышении пинга в онлайн играх и хочу иметь возможность смотреть 4К видео и при этом не заморачиваться лимитами скорости на торрент.
CAPsMAN не катит. У меня похоже wifi у микротика бракованный. Потому для wifi купил отдельно роутер.. и он не микротик т.к. он не умеет wifi6
2)Пока я всё помню. через пару лет же придётся пялится как баран на новые ворота на свой код. Поэтому сделать сейчас думаю будет раза в 2-3 быстрее, чем потом.
и ipsec на микротике шустрее всего работает. Я могу не беспокоится о том, что слишком много трафика в VPN летит.
2. Я надеялся получить встроенный клиент в винду... а когда он не завёлся, то ipsec-то уже был, зачем переделывать?
ну и с ipsec всё равно разобраться надо было. Потенциально хочу связать несколько квартир в VPN для более удобного файлообмена и старых игр по локалке.
4. Это чтобы провайдер не блочил сайты путём перехвата DNS запросов. Никто не перехватит мой DNS запрос, если я перехвачу его сам *картинка сметливого негра*
6. Я хочу уйти от серверов. даже в амстердаме routerOS поставить когда-нибудь. Ну просто чтобы не админить ещё их. Ну хреново я знаю linux и разбираться у меня желания нет. А сервер на винде как-то не вписывается в понятие настроил и забыл... да и за лицензию платить... я лучше облачную ROS куплю.
7.Сервис не только для меня. И да, мне проще в телеграм отправить.
8.9. У меня логируется весь дропнутый трафик за исключением явно заданного мусорного. И тут 2 варианта, либо засирать логи сканерами портов, или что там ломится регулярно? за 5 дней более 2000 ip в бане. Либо банить IP и не логировать трафик с забаненных IP.
10.Я хочу не беспокоится о повышении пинга в онлайн играх и хочу иметь возможность смотреть 4К видео и при этом не заморачиваться лимитами скорости на торрент.
CAPsMAN не катит. У меня похоже wifi у микротика бракованный. Потому для wifi купил отдельно роутер.. и он не микротик т.к. он не умеет wifi6
1)самообразование. Я думаю просить повышения зарплаты. И тут надо понять сколько требовать или увольняться. А знания микротика всёже + в резюме.Главный вопрос - зачем?
2)Пока я всё помню. через пару лет же придётся пялится как баран на новые ворота на свой код. Поэтому сделать сейчас думаю будет раза в 2-3 быстрее, чем потом.
-
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Самообразование - это хорошо.
Тогда надо что-то полезное ботать: OSPF, BGP, новое в ROS7: L3-hw-offloading, новый user manager.
А так сейчас много в чем можно поковыряться - хоть научить уведомления слать не только в телеграм, но и в MQTT :)
Опять же, если поднять CHR в облаке, DUDE на неё поставить для мониторинга.
Тогда надо что-то полезное ботать: OSPF, BGP, новое в ROS7: L3-hw-offloading, новый user manager.
А так сейчас много в чем можно поковыряться - хоть научить уведомления слать не только в телеграм, но и в MQTT :)
Опять же, если поднять CHR в облаке, DUDE на неё поставить для мониторинга.
Telegram: @thexvo
-
- Сообщения: 161
- Зарегистрирован: 29 апр 2021, 10:45
OSPF проблематично на одном роутере.Самообразование - это хорошо.
Тогда надо что-то полезное ботать: OSPF, BGP, новое в ROS7: L3-hw-offloading, новый user manager.
А так сейчас много в чем можно поковыряться - хоть научить уведомления слать не только в телеграм, но и в MQTT :)
Опять же, если поднять CHR в облаке, DUDE на неё поставить для мониторинга
BGP уже есть... пусть и только на получение маршрутов.
ROS7... Я предпочёл учиться хотябы на stable версии чтобы было меньше моментов где непонятно я дурак или ROS багнутая.
MQTT Ну учиться можно всему.
Поэтому я для себя границы поставил так:
1)Это должно быть применимо дома. Пусть и overkill для дома. Дабы был какой-то полезный выхлоп.
2)только mikrotik (ну и arduino можно). Я не хочу ковырять linux, сосредоточимся на чём-то одном.
Да есть исключения:
а)сервер на ubuntu в качестве точки выхода в интернет в амстердаме... ну он появился до введения правила 2. Теперь при необходимости значительных изменений я предпочту отказаться от него и купить облачную ROS
б)Телеграмм... Ну что там разбираться? Так изначально я подумал.
-
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Так вот CHR вместо убунту в облаке - уже два.
Взять ещё один роутер чисто для лабы - уже 3.
К родственникам или на дачу тоже микротик - уже 4.
За то там поле для деятельности :)
MQTT - это как раз для дома и удобно.
Использовать для передачи инфы в какую-нибудь систему умного дома (home assistant или что-то такое) - так чтобы наличие устройств в сети не ботом смотреть, а на общем дэшборде, вместе с температурами в комнатах и выключателями света
(Хотя конкретно для home assistant'а для этого вроде готовая интеграция по API есть).
Telegram: @thexvo
-
- Сообщения: 161
- Зарегистрирован: 29 апр 2021, 10:45
ПОКА убунта работает, и смысл её менять?Так вот CHR вместо убунту в облаке - уже два.
Взять ещё один роутер чисто для лабы - уже 3.
К родственникам или на дачу тоже микротик - уже 4.
Дача в жопе мира, там квест провести интернет. Я пробовал спутниковую тарелку в качестве отражателя для мобилы, но не получилось, видимо вышка за горизонтом.
Родственникам роутер пока не надо менять.
чисто для лабы тоже смысла не вижу.
у меня нет умного дома т.к. я пока не нашёл систему которая одновременно:Использовать для передачи инфы в какую-нибудь систему умного дома
1)относительно проста в разворачивании.
3)не дорогая
3)не требует обязательного наличия сервера производителя.
4)умеет хотябы нормальные скрипты.
-
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Смысл в том что руки чешутся, разве не об этом весь топик?
И что значит ПОКА: что с ней станется то?
То же самое про лабу и родствеников.
Вам же надо "создать себе задачу", а не решить существующие - с существующими вы вроде уже разобрались.
Эмм. Ну так home assistant же?
Telegram: @thexvo
-
- Сообщения: 161
- Зарегистрирован: 29 апр 2021, 10:45
Не совсем. Я обозначил границыСмысл в том что руки чешутся, разве не об этом весь топик?
И что значит ПОКА: что с ней станется то?
Полезного выхлопа от замены убунты на ROS СЕЙЧАС 0.Это должно быть применимо дома. Пусть и overkill для дома. Дабы был какой-то полезный выхлоп.
Что с ней станется... вероятнее всего я захочу новую фичу и вместо настройки убунты поставлю туда ROS и буду настраивать уже его.
нет, решение именно существующих задач, пусть и оверкильными методами.Вам же надо "создать себе задачу", а не решить существующие
пошёл гуглить.Эмм. Ну так home assistant же?