Раздел есть - флуда нет.

Аватара пользователя
atu
Гуру
Сообщения: 232
Зарегистрирован: 21 июл 2014, 21:54

Re: Раздел есть - флуда нет.

Сообщение atu » 12 окт 2018, 22:28

Томас, выручай)
Друг попросил в селе поднять WiFi роуминг по участку.
В арсенале Mikrotik Hap Lite - 1шт.
MikroTik cAP - 2 шт.
Собственно упоминалось ранее, что Томасу уже доводилось делать подобное с RouterBoard)
Теперь это буду творить я.
Вообщем, какие грабли меня ждут при настройке CapsMan? *WALL*
Don't lose your brain :-) :D
Аватара пользователя
atu
Гуру
Сообщения: 232
Зарегистрирован: 21 июл 2014, 21:54

Re: Раздел есть - флуда нет.

Сообщение atu » 21 окт 2018, 22:36

Итак, привет граждене флудеры.
Вообщем, съездил я в колонщину и поднял на оборудовании Routeboard WiFi роуминг.
В арсенале было: Изначально думал, что хреново разобрался в настройке CAPsMAN и что будут траблы, но в реале латвийские роутеры показали, что если ты их настроил один раз более менее разобравшись в официальной википедии, то они работают очень стабильно.
На RBcAP2nD был поднят CAPsMAN, который управлял тремя точками. Собственной, и двумя RB941-2nD.
Весь участок был покрыт стабильной сетью WiFi.
Переключение между точками происходило незаметно для клиентов и команды ping со стандартными параметрами в Windows.
В кчестве способа обмена трафиком я выбрал принудительную маршрутизацию local forwarding. Пока RB941-2nD не перегружает, а там будет видно. Поставил мониторинг нагрузки графиками.
-------------------------------------------------------------------
ПО СКОРОСТЯМ:
Эфир в селе не засран и все это чудо спокойно выдало 80 мегабит в воздух при хорошем сигнале *THUMBS UP* .
И это на 2,4 ГГц в режиме совместимости b/g/n *THUMBS UP*
Был трабл со смартами самсунг. :'(
Не дружили с RouterOS до тех пор, пока я не поставил галку на TKIP. Обидно, что вроде брэнда а с AES не дружит. :-\
-------------------------------------------------------------------
ПО ТОПОЛОГИИ СЕТИ
Все клиенты беcпроводные (роутеры, телевизоры, ноутбуки, телефоны)
По проводу включил только DVR HIKVISION и кругляшки (они используют Layer2 для общения с сервером CAPsMAN)
-------------------------------------------------------------------
[ПО ТУПОСТИ ТЕХПОДДЕРЖКИ Corbina telecom]
Обещали что для технологии PON будет халявный белый IP.
Хрнен там был. IP вида 10.170.YY.XX оставался до звонка в техподдердку, которая потом еще и хрен знать сколько открывала те порты, которые я перенаправил для видеонаблюдения на микротике кликов за десять *WALL*
-------------------------------------------------------------------
Что ж. Я снова убедился, что при выборе между китайским малофункциональным шлаком и латвийким Mikrotik с жирным сетевым стеком за те же деньги нету смысла брать китайское дерьмо. Ну, разве что если вы - недалекая блондинка или домохозяйка. ;)
Don't lose your brain :-) :D
Аватара пользователя
atu
Гуру
Сообщения: 232
Зарегистрирован: 21 июл 2014, 21:54

Re: Раздел есть - флуда нет.

Сообщение atu » 21 окт 2018, 22:42

Собственно немного фоток процесса.
Сори, лень переворачивать крысой.
*WRITE* Переверните монитор :D *HI*
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Изображение
Don't lose your brain :-) :D
Аватара пользователя
Thomas
Гуру
Сообщения: 680
Зарегистрирован: 08 янв 2010, 02:59
Откуда: Киев
Контактная информация:

Re: Раздел есть - флуда нет.

Сообщение Thomas » 26 окт 2018, 16:59

Я работал, и всю движуху пропустил.

Не то, чтобы это был роуминг, скорее централизованное управление точками, клиент всё равно сам решает к какой из них подключаться. Но в целом, здорово, да.

local forwarding стоит таки убрать, RB941-2nd слабые.

Впрочем, если есть доступ - это не проблема. Главное - обновить прошивку и настроить фаерволл. Недавнюю дыру в winbox активно эксплуатируют боты.
Аватара пользователя
atu
Гуру
Сообщения: 232
Зарегистрирован: 21 июл 2014, 21:54

Re: Раздел есть - флуда нет.

Сообщение atu » 26 окт 2018, 18:29

На всех трёх я поставил последнюю версию RouterOS из канала обновлений "bug fix only"
Что за уязвимость то?
Don't lose your brain :-) :D
Аватара пользователя
Thomas
Гуру
Сообщения: 680
Зарегистрирован: 08 янв 2010, 02:59
Откуда: Киев
Контактная информация:

Re: Раздел есть - флуда нет.

Сообщение Thomas » 28 окт 2018, 17:54

https://habr.com/post/419205/

Меня не коснулось, потому что у меня практически весь INPUT снаружи дропается. Зато двух знакомых раздолбаев задело.
Аватара пользователя
atu
Гуру
Сообщения: 232
Зарегистрирован: 21 июл 2014, 21:54

Re: Раздел есть - флуда нет.

Сообщение atu » 28 окт 2018, 19:46

Thomas писал(а):
28 окт 2018, 17:54
https://habr.com/post/419205/

Меня не коснулось, потому что у меня практически весь INPUT снаружи дропается. Зато двух знакомых раздолбаев задело.
Да, я тоже фаерволл настраивал на дроп всего INPUT, кроме VPN
А порты для HIKVISION я пробросил с помощью DST-NAT и поставил запись в лог всех попыток подключения для мониторинга.
Вроде бы тьфу-тьфу. Хотя лично мой роутер регулярно в логе показывает попытки брута VPN паролей. %)
Don't lose your brain :-) :D
Аватара пользователя
atu
Гуру
Сообщения: 232
Зарегистрирован: 21 июл 2014, 21:54

Re: Раздел есть - флуда нет.

Сообщение atu » 29 окт 2018, 11:05

Томас, а по вашему опыту, какие устройства Routerboard самые дальнобойные в диапазоне 2.4 ГГц? *DONT_KNOW*
Don't lose your brain :-) :D
Аватара пользователя
dirtydog
Гуру
Сообщения: 1271
Зарегистрирован: 05 сен 2009, 08:12

Re: Раздел есть - флуда нет.

Сообщение dirtydog » 29 окт 2018, 17:24

никому мот не нужен?
https://www.olx.ua/obyavlenie/skymoto-e ... BXBgk.html
Аватара пользователя
Thomas
Гуру
Сообщения: 680
Зарегистрирован: 08 янв 2010, 02:59
Откуда: Киев
Контактная информация:

Re: Раздел есть - флуда нет.

Сообщение Thomas » 29 окт 2018, 17:43

atu писал(а):
28 окт 2018, 19:46
Да, я тоже фаерволл настраивал на дроп всего INPUT, кроме VPN
А порты для HIKVISION я пробросил с помощью DST-NAT и поставил запись в лог всех попыток подключения для мониторинга.
Вроде бы тьфу-тьфу. Хотя лично мой роутер регулярно в логе показывает попытки брута VPN паролей. %)
Стоит менять порты служб на нестандартные, чтобы боты железо не грузили
atu писал(а):
29 окт 2018, 11:05
Томас, а по вашему опыту, какие устройства Routerboard самые дальнобойные в диапазоне 2.4 ГГц? *DONT_KNOW*
Из всенаправленных - cAP AC, я думаю в 2.4ГГц у них такая же дальность, как у cAP. А вообще все микротики не шибко дальнобойные. Хотя, можно поиграться с внешними антеннами.

Не помню, кидал или нет, но вот как я заколхозил hAP AC lite:

ИзображениеИзображение ИзображениеИзображение

Конечно, есть борды, с которыми не придётся развлекаться с дрелью и паяльником.
dirtydog писал(а):
29 окт 2018, 17:24
никому мот не нужен?
https://www.olx.ua/obyavlenie/skymoto-e ... BXBgk.html
Мопед не твой?)
Ответить