Philip Wiki - hw:mikrotik

Настройка DNS-over-HTTPS (DoH)

anonymous@undisclosed.example.com (Anonymous) — Wed, 02 Nov 2022 18:06:06 +0000

Настройка DNS-over-HTTPS (DoH)

Начиная с версии 6.47 появилась поддержка DNS поверх HTTPS (или DoH).

На примере Cloudflare

Скачиваем корневой сертификат:

/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem

И импортируем его в хранилище сертификатов устройства:

/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""

После чего прописываем адрес Cloudflare DNS и активируем проверку сертификата:

/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes

Сертификаты корневого центра сертификации

DigiCert для Cloudflare (имя сертификата «DigiCert Global Root CA»)
Набор сертификатов, в том числе подходит для Google (цепочка сертификатов «cacert.pem»)

Эти же операции, но в графическом интерфейсе:

dns, doh

Hairpin NAT (публикация сервиса)

anonymous@undisclosed.example.com (Anonymous) — Sat, 09 Jan 2021 14:47:05 +0000

Hairpin NAT (публикация сервиса)

Ниже рассмотрен пример публикации веб-сервера. Данная задача не совсем тривиальна на Mikrotik (если сравнивать с другими домашними роутерами или даже устройством с DD-WRT). Визуализация задачи на картинке ниже.

Информация

Если мы просто пробросим порты с внешнего интерфейса на внутренний, у нас будет работать публикация извне, однако опубликованные таким образом ресурсы не будут доступны внутри сети
Поэтому нужно добавить ещё одно правило натирования, которое будет «маскировать» наши запросы внутри сети

/ip firewall nat
# пробрасываем порты
add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2
# следующее правило опционально и скорее всего уже есть в NAT-правилах (обычно автоматически добавляется при настройке)
add chain=srcnat out-interface=WAN action=masquerade
# а это правило как раз позволяет ходить на опубликованные ресурсы находясь внутри сети
add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.2 protocol=tcp dst-port=80 out-interface=LAN action=masquerade

Не стал добавлять примеры из GUI, так как всё понятно и логично в листинге выше (при желании сделать это через WinBox действия аналогичные).

Источник

nat, firewall

Honeypot

anonymous@undisclosed.example.com (Anonymous) — Sun, 24 Apr 2022 15:51:05 +0000

Honeypot

Honeypot (горшочек с мёдом) – ресурс, представляющий собой приманку для злоумышленников. В нашем случае всё будет немного проще. Горшочком является наше сетевое устройство, доступ к которому будут стараться получить все, кому не лень. Особенно, если наше устройство опубликовано (имеет публичный IP-адрес) в глобальной сети.

Будем действовать на опережение и создадим несколько правил, которые будут блокировать дальнейшие попытки подключений с IP, с которых опрашивались не опубликованные нами порты¹⁾. Проще говоря будем блокировать тех, кто попытался открыть те порты, на которых у нас ничего нет, т.е. вероятно занимался сканированием устройства.

Обратите внимание, что имена интерфейсов и листов чувствительны к регистру

# создаём правило для upd-портов
/ip firewall filter add action=add-src-to-address-list address-list=BlackList address-list-timeout=1w chain=input comment="Honeypot UDP" dst-port=53,123,5060 in-interface-list=WAN log=yes protocol=udp src-address-list=!WhiteList place-before=0
# создаём правило для tcp-портов
/ip firewall filter add action=add-src-to-address-list address-list=BlackList address-list-timeout=1w chain=input comment="Honeypot TCP" dst-port=20,21,22,23,25,53,80,5060,3389,1723 in-interface-list=WAN log=yes protocol=tcp src-address-list=!WhiteList place-before=0

Как видно из блока кода выше, вносим тех, кто попытался нас просканировать в список «BlackList» сроком на неделю и игнорируем тех, кто в списке «Whitelist». Номера портов определяем в соответствии со своими реалиями. Теперь создадим правила для их блокировки:

Ранее я предлагал использовать правила проверки цепочек (chain) input и forward. Но это, мягко говоря, не очень рационально. Теперь оба правила заменены проверкой цепочки prerouting (это должно положительно сказаться на загрузке CPU)

/ip firewall raw add action=drop chain=prerouting comment=Blacklist in-interface-list=WAN src-address-list=BlackList

Всё. На этом простейшая реализация Honeypot завершена. Дальше можно подумать над тем, чтобы создать связку Mikrotik + fail2ban.

honeypot, firewall, fail2ban

¹⁾

Список портов TCP и UDP

PPTP-клиент

anonymous@undisclosed.example.com (Anonymous) — Tue, 28 Dec 2021 18:16:23 +0000

PPTP-клиент

PPP
PPTP client
Вкладка «Dial Out»
1. указываем адрес сервера, логин и пароль
2. «Add Default Route»

На вкладке «Profiles» рекомендовал бы создать новый профиль (например скопировав «default-encryption») и явно указать в нём локальный и удаленные IP. Далее указать его в настройках ранее созданного подключения. В этом случае при создании маршрута (об этом ниже), не будет вероятности его неработоспособности.

Ip
Firewall
Вкладка «NAT»
1. chain=srcnat
2. Out interface=pptp-out1 (если оставили имя интерфейса по умолчанию)
3. Вкладка Action
  1. Выбираем masquerade

При необходимости добавляем маршрут (IP → Routes)

pptp, vpn

Pushbullet + MikroTik

anonymous@undisclosed.example.com (Anonymous) — Tue, 28 Dec 2021 18:10:52 +0000

Pushbullet + MikroTik

Обзор

Более 5 лет назад я уже писал про то, как подружить Zabbix и Pushbullet, а теперь пришло время дружбы с микротиками. По ссылке ранее можно почитать чуть подробнее, поэтому сейчас просто напомню, что Pushbullet позволяет отправлять пуши на любое устройство, где установлен клиент или расширение сервиса.

Содержание

Отправить push с устройства MikroTik можно посредством утилиты fetch.

Не забываем заранее получить token (api-ключ) и узнать ID устройства, на которое хотим отправлять push!

/tool fetch mode=https url="https://api.pushbullet.com/v2/pushes" http-method=post http-data="device_iden=<device_id>&type=note&body=<your_message>&title=<your_title>" user="<token>"

<device_id>, <your_message>, <your_title>, <token> – заменяем на свои значения.

Консоль устройства не понимает кириллицу, поэтому если хотим её использовать, необходимо её переконвертировать (urlencode). Для меня самым удобным вариантом является использование для этого powershell (но есть куча онлайн-сервисов):

[System.Web.HTTPUtility]::UrlEncode("Какой-то текст")

Пример push-сообщения от MikroTik на Android-устройство:

pushbullet, mikrotik

Оборудование MikroTik

anonymous@undisclosed.example.com (Anonymous) — Sat, 02 May 2020 13:53:31 +0000

Оборудование MikroTik

MikroTik – латвийский производитель сетевого оборудования. Компания разрабатывает и продает проводное и беспроводное сетевое оборудование, в частности маршрутизаторы, сетевые коммутаторы (свитчи), точки доступа, а также программное обеспечение — операционные системы и вспомогательное ПО. Компания была основана в 1996 году с целью продажи оборудования на развивающихся рынках.

Обновление ПО

RouterOS 7.22.1 [stable] (24.03.2026 16:12)
RouterOS 7.20.8 [long-term] (02.02.2026 13:02)

Управление USB-портом

anonymous@undisclosed.example.com (Anonymous) — Thu, 31 Dec 2020 13:20:11 +0000

Управление USB-портом

Управление (реальное включение и выключение) в RouterOS отсутствует, но есть возможность «тушить» порт на определенные промежутки времени. В примерах ниже это 7 дней (выключаем порт на 7 дней) и 1 секунда (если порт выключен, меняем значение «срока действия» на минимальное и он «проснётся»)

Выключение usb-порта

/system routerboard usb power-reset duration=7d

Включение usb-порта

/system routerboard usb power-reset duration=1s

usb, port