RouterOS – Omejitev Youtube Video Streams na Mikrotik

Če bi radi omejili, da vam Youtube video ne vzame celotne pasovne širine in s tem oteži dostopa do drugih internetnih servisov, potem svetujem, da sledite navodilu.

  • Logirajte se na Mikrotik WinBox. Kliknite na IP -> Firewall in s klikom na gumb + dodate, kakor je prikazano na sliki ali pa vnesete v terminal naslednji ukaz
/ip firewall layer7-protocol
add comment="" name=streaming regexp="^.*get.+\\.(c.youtube.com|cdn.dailymotion.com|metacafe.com|mccont.com).*\$"

oziroma:

/ip firewall layer7-protocol
add comment="" name=streaming regexp="videoplayback|video" 
  • Naslednji korak je, da v zavihku Mangle naredite novo pravilo. Najlažje boste to naredili tako, da v Terminalu vpišete naslednji ukaz:
/ip firewall mangle
add action=mark-packet chain=prerouting \
comment="Mark Packet Streaming" disabled=no \
layer7-protocol=streaming new-packet-mark=streaming \
passthrough=no
  • Zadnji korak je, da v desnem meniju izberete Queues in vnesete omejitev, ki bi jo radi imeli za Youtube. Priority damo na 8, Limt At: lahko tudi dodamo neko vrednost, ki bo že deloma omejila Youtube prenos. Z vnosom vrednosti v Max Limit: pa omejimo, koliko nam lahko Youtube največ pobere pasovne širine.
/queue tree add name="streaming" parent=out \
packet-mark=streaming limit-at=0 queue=default \
priority=8 max-limit=128k burst-limit=0 \
burst-threshold=0 burst-time=0s

RouterOS – blokiranje portov, ki jih uporabljajo virusi

Na Mikrotiku zelo enostavno zapremo porte, ki jih uporabljajo najpogostejši virusi. Vse, kar moramo narediti, je, da v terminalno okno pod /ip firewall filter vpišemo naslednje vrstice:

add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop Blaster Worm"
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop Messenger Worm"
add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster Worm"
add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster Worm"
add chain=virus protocol=tcp dst-port=593 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom"
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester"
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server"
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast"
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx"
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid"
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm"
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus"
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y"
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle"
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop Beagle.C-K"
#Skip one line below if you have Squid Transparency Service
add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment="Drop MyDoom"
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor OptixPro"
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm"
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm"
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser"
add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B"
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop Dabber.A-B"
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop Dumaru.Y"
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop MyDoom.B"
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus"
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2"
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop SubSeven"
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot, Agobot, Gaobot"
add chain=forward action=jump jump-target=virus comment="jump to the virus chain"

 

RouterOS: optimizacija Mikrotik za Mac in iOS

iPhone 5, iPhone 6 in novi iPadi imajo že vgrajeno 5 GHz brezžično anteno, večina Apple Mac računalnikov deluje na 5 GHz že nekaj časa.

Kaj je treba nastaviti na Mikrotiku, da bo brezžična Wi-Fi povezava delovala pri maksimalni hitrosti?

Priporočeno je nastaviti naslednje:
– Long preamble.
– WPA2 z AES in brez TKIP.
– Mac in iOS naprave podpirajo HT20 na 2,4 GHz, toda podpirajo HT20 in HT40 na 5 GHz.

/interface wireless security-profiles
add group-ciphers="" supplicant-identity=MikroTik unicast-ciphers="" \
add authentication-types=wpa2-psk eap-methods=passthrough \
management-protection=allowed mode=dynamic-keys name=WPA2_profile \
supplicant-identity="" wpa2-pre-shared-key=mustbe8char
/interface wireless
set 0 band=2ghz-b/g/n bridge-mode=disabled disabled=no frequency=2437 \
ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge multicast-helper=\
disabled name=2.4 preamble-mode=long rate-selection=legacy \
security-profile=WPA2_profile ssid=TwoGhz wireless-protocol=802.11 \
wmm-support=enabled
set 1 band=5ghz-a/n bridge-mode=disabled channel-width=20/40mhz-ht-below \
disabled=no frequency=5200 ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=\
ap-bridge multicast-helper=disabled name=5.8 preamble-mode=long \
rate-selection=legacy security-profile=WPA2_profile ssid=FiveGhz \
wireless-protocol=802.11 wmm-support=enabled

RouterOS – dodajanje dodatnega virtualnega Wi-Fi omrežja

Kdaj pa kdaj pride situacija, ko bi želeli na Mikrotik dodati dodatni SSID za Wi-Fi omrežje. Na Mikrotik usmerjevalniku to naredite na spodaj opisani način.

1. Mikrotik-VirtualAPV desnem meniju kliknete na Wireless, ko se vam odpre novo okno, kliknite na ikono plus in nato izberite VirtualAP.

 

2ndSSID2. Pod zavihkom Wireless vpišite ime novega SSID brezžičnega omrežja. Tu lahko sedaj dodate tudi Security profil, če ste si ga predhodno pripravili.

 

3. Naslednji korak je, da v desnem meniju izberete opcijo Bridge. V oknu, ki se pojavi, nato izberete zavihek Ports in kliknete na plus za dodajanje.

 

 

4. V novem oknu pod zavihkom General izberete BridgePortInterface, ki ste ga prej dodali kot novi virtualni Wi-Fi.

RouterOS – preprečevanje “brute-force” napada na SSH in FTP

Da preprečimo “brute-force” napad na SSH oziroma FTP na Mikrotik usmerjevalniku, je treba v konfiguracijo RouterOS vnesti naslednje vrstice, zaradi katerih bo dovoljenih le 10 nepravilnih vnosov gesel na minuto. Vnesemo jih v polje /ip firewall filter.

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment=”drop ftp brute forcers”

add chain=output action=accept protocol=tcp content=”530 Login incorrect” dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content=”530 Login incorrect” \
address-list=ftp_blacklist address-list-timeout=3h

Naslednje vrstice pa bodo blokirale SSH “broute-force” za 10 dni.

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment=”drop ssh brute forcers” disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment=”” disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment=”” disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=”” disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment=”” disabled=no

add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment=”drop ssh brute downstream” disabled=no

Če bi si radi ogledali seznam blokiranih IPjev, si to lahko ogledate tako, da v terminal vpišete naslednji ukaz:
/ip firewall address-list” in nato “print

RouterOS – blokiranje napada na SSH

Če se hočete zaščititi pred “brute force” napadi na ssh, v Mikrotik vpišite naslednje vrstice v polje /ip firewall filter

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

Če bi hoteli blokirati še downstream, potem dodajte še naslednji ukaz:

add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute downstream" disabled=no

Ogled vseh blokiranih IP naslovov si lahko ogledate tako, da vtipkate”/ip firewall address-list” in nato “print“.

RouterOS – logging

Mikrotik logingImate Mikrotik, pa bi si želeli, da bi lahko pogledali dnevnik (log) ob morebitni težavi oziroma problemu? Osnovna nastavitev logiranja v Mikrotiku ni najbolj uporabna, zato svetujem, da si na novo nastavite nastavitve za shranjevanje dnevnikov. Na RouterOS je pravzaprav zelo težko odstraniti vnose v dnevnik, ne da bi izbrisali celoten dnevnik.

V osnovi ima RouterOS naslednjo konfiguracijo logiranja:

/system logging print
Flags: X - disabled, I - invalid 
#   TOPICS                                   ACTION PREFIX    
0   info				      memory           
1   error                     	              memory           
2   warning				      memory           
3   critical				      echo

Kar je načeloma slabo, saj se vsi logi zapisujejo v spomin in samo restart Mikrotika je dovolj, da se vsi logi izbrišejo.

Izključimo vse  obstoječe loge.

/system logging print
/system logging disable 0
/system logging disable 1
/system logging disable 2
/system logging disable 3

Dodamo logiranje, vendar tokrat tako, da se logi shranjujejo na disk.

/system logging add topics=critical action=disk
/system logging add topics=critical action=echo
/system logging add topics=error action=disk
/system logging add topics=warning action=disk
/system logging add topics=info action=memory

Ker imamo problem, da Mikrotik shanuje v svoje logle le 100 vrstic, kar je malo, mi pa bi želeli, da shranuje 200 ali celo 1000 vrstic, dodamo sledeče vrstice.

/system logging action print
/system logging action set 0 disk-lines=200
/system logging action set 1 disk-lines=200

Sedaj je nastavitev urejena tako, da se pomembni podatki shranjujejo na disk, ostalo pa v pomnilnik.

RouterOS: postavitev PPTP VPN strežnika na Mikrotik

Konfiguracija, ki jo imamo, je naslednja: imamo lokalno omrežje 10.10.10.0/24, gateway je na 10.10.10.1. Uporabnikom, ki se bodo logirali preko PPTP VPN klienta, pa bomo dodelili omrežje 192.168.10.0/24-

  • pptp-mikrotikNaprej skonfigurirajmo Pool za VPN omrežje. To naredimo tako, da na meniju desno izberemo IP –> Pool. Kliknemo na ikono plus za dodajanje in odpre se nam novo okno “New IP Pool“, kjer v polje poleg Addresess, vnesemo želeno omrežje za VPN. V našem primeru je to 192.168.10.0/24.
  • Nato v desnem meniju izberemo PPP in ko se nam odpre novo okno, kliknemo na gumb PPTP Server, nakar se nam ponovno odpre novo okno, kjer odkljukamo Enabled in zapremo okno.
  • Nato kliknemo na zavihek Profiles in nato na gumb plus za dodajanje in odpre se novo okno. Tu sedaj pod Local addresses in Remote Addresses izberemo pool, ki smo ga naredili pred kratkim.
  • V naslednjem koraku kreiramo VPN uporabnika, tako da izberemo zavihek Secrets in spet na gumb plus za dodajanje, nakar se nam odpre novo okno. V naslednja okna vpišemo ustrezne podatke: Name – uporabniško ime za VPN uporabnika, Password – geslo za VPN uporabnika, v okencu Profile izberemo profil, ki smo ga pred kratkim naredili.
  • Sedaj moramo dodati še pravila v požarni zid. V desnem meniju izberemo IP –> Firewall, ko se nam odpre novo okno in kliknemo na gumb plus za dodajanje in odpre se nam novo okno. V zavihku General nato v polju Chain izberemo input, v polju Protocol izberemo 6 (tcp), v Dst. port pa vpišemo port, ki ga uporablja  PPTP in to je 1723. Nato v zavihku Action v polje Action izberemo Accept in kliknemo na OK, da potrdimo vnos.
  • Dodamo še dodatno pravilo v požarni zid. Kliknemo na gumb plus za dodajanje in odpre se nam novo okno. V zavihku General nato v polju Chain izberemo input, v polju Protokol izberemo gre. Nato v zavihku Action v polju Action izberemo Accept in kliknemo na OK, da potrdimo vnos.
  • Če imate kdaj probleme z dostopanjem do nekaterih omrežij, je treba dodatno vključiti proxy-arp. To naredimo tako,  da v desnem meniju izberemo Interfaces. Ko se nam odpre novo okno v zavihku Interfaces, kliknemo na interno omrežje, tako da se odpre novo okno. V zavihku General v polju ARPizberemo proxy-arp.
  • Če imate še vedno težave z dostopanjem do omrežja preko VPN odjemalca, je treba pogledati še omrežje, ki ga uporabljajo VPN odjemalci in ga dodati v varno listo. To naredimo tako, da v zaviku Address list pod Firewall kliknemo na gumb plus in dodamo omrežje.