mikrotik

logged out: host removed: mac roaming to other hotspot server
Несколько одинаковых MAC в хотспоте
микротик работает с клиентскими маками, поэтому надо чтобы клиентские маки были разные

Idle Timeout: ограничение времени бездействия. Подключение будет сброшено, если по нему нет активности в течение указанного времени.


warning ipv4 neighbour table overflow, please consider increasing max-arp-entries
/ip settings set max-arp-entries=16384

Подключаем лицензию Lvl 1
http://xcat.su/mikrotik/activate-demokey-mikrotik-routeros/

Меняем время обновления данных по сессиям
/ppp aaa set interim-update=30s
/ppp aaa print


Блокировка днс через интерфейс (WAN)
add action=drop chain=input comment="DNS WAN drop" dst-port=53 in-interface=WAN protocol=udp

Блокируем ssd брутфорс (форвард)
/ip firewall filter
add action=drop chain=forward comment="Drop SSH forward brutforce" disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=30m chain=forward connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=forward connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=forward connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=forward connection-state=new disabled=no dst-port=22 protocol=tcp

INPUT
/ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no 

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no 

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no 

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no 

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

INPUT WINBOX

/ip firewall filter
add chain=input protocol=tcp dst-port=8291 src-address-list=ssh_blacklist action=drop comment="drop winbox brute forcers" disabled=no 

add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no 

add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no 

add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no src-address-list=!white

add chain=input protocol=tcp dst-port=8291 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no src-address-list=!white

Блокируем левые запросы DHCP

/ip firewall filter add chain=forward action=drop protocol=udp src-address=!192.168.10.1 src-port=67 dst-port=68

проблема с работой неразрешенных подсетей на хотспоте
в IP Binding добавь сети разрешенные в Regular а в конце поставь запись 0.0.0.0/0 blocked

ошибка невозможно подключиться к микротику по ссш

/ip ssh regenerate-host-key

https://m.habrahabr.ru/post/164873/
Создание отказоустойчивого шлюза на основе Mikrotik RouterOS


Изолируем порты 

• add action=drop chain=forward in-interface=ether2 out-interface=ether3 comment="Isolate port 2 from port 3"

• add action=drop chain=forward in-interface=ether3 out-interface=ether2 comment="and port 3 from port 2"

Изменение частоты процессора (на виртуалке не работает)

• /system routerboard settings set cpu-frequency=750MHz

Простая балансировка
http://wiki.mikrotik.com/wiki/ECMP_load_balancing_with_masquerade

Смена MAC адреса
/interface ethernet set ether1-gateway mac-address=xx:xx:xx:xx:xx:xx

БИНАТ МИКРОТИК

add action=src-nat chain=srcnat comment="\D0\E5\E0\EB\FC\ED\E8\EA \E4\EB\FF 92" disabled=no \

   src-address=172.17.122.19 to-addresses=195.0.0.1

add action=dst-nat chain=dstnat comment="\D0\E5\E0\EB\FC\ED\E8\EA \E4\EB\FF 92" disabled=no \

   dst-address=195.0.0.1 to-addresses=172.17.122.19

Страница заглушки прокси на микротике

1. Включаем Web Proxy без кеша, без ничего просто enabled=yes

[admin@MikroTik] ip proxy> set enabled=yes port=8080

2. Сбрасываем страницу прокси которую она выдает в браузер во время ошибки. Жмем Y

[admin@MikroTik] ip proxy> reset-html

Current html pages will be lost! Reset anyway? [y/N]

3. В WinBox идем в раздел Files - и видем что там появилась папочка webproxy а в этой папке есть файл error.html, вот она та самая страница корорую мы сбрасывали в пункте 2;

4.Копируем эту страницу себе на компьютер (методом перетаскивания), а на роутере удаляем error.html, папка webproxy остается пустой. Открываем скопированый error.html обычным блакнотом. Правим его, пишим в нем наше послание

5. Идем в
[admin@MikroTik] ip firewall nat>

и добавляем правило: всех кто идет на 80 порт кидать на прокси порт 8080, кроме тех ip кто находится в ip firewall address-list> под именем "Pro4itali".

chain=dstnat action=redirect to-ports=8080 protocol=tcp src-address-list=!"Pro4itali" dst-port=80

[admin@MikroTik] ip proxy access>

добавляем правило которое будет всех отбрасывать - deny. Т.е. прокси никого не пропускает и выдает при этом error.html юзеру в его браузер и он лицезреет наше творение.

Очистка хостов

/system logging disable 0

:foreach i in [ /ip hotspot host find where idle-time>00:01:00 and authorized =no ] do={

/ip hotspot host remove $i

}

:foreach i in [ /ip hotspot host find where authorized =no and bypassed =no ] do={

/ip hotspot host remove $i

}

/system logging enable 0

Сброс всех сессий

:foreach i in [ /ip hotspot host find dynamic ] do={ /ip hotspot host remove $i }

}

Проброс реальников на порт
Добавляем bridge, в bridge ports добавляем WAN port и порты куда нужно пробросить реальники, в такой реализации создается прозрачная сеть
Если нужно шейпить трафик, добавляем Bridge- Settigs- Use Ip Firewall

Блокировка доступа по SSH на 1 день

/ ip firewall filter

add chain=input protocol=tcp dst-port=22 src-address-list=black_list action=drop disabled=no comment=”drop ssh brute forcers”

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=black_list address-list-timeout=1d disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m disabled=no

Команды

ip route set numbers=2 disabled=no

interface set ether1 disabled=no

interface pppoe-server server set disabled=no numbers=0,1,2,3,4,5,6,7,8,9,10

ip firewall filter set numbers=41 disabled=yes

ip route set numbers=[find gateway=82.207.59.1] disabled=no

Подключение USB накопителя к роутеру MikroTik и расшаривание ресурсов

http://www.technotrade.com.ua/Articles/usb_flash_connection_on_mikrotik_2013-11-23.php

Откройте меню System - Stores;
Перейдите на вкладку Disks;
Выберите в списке ваш накопитель, обычно usb1;
Нажмите кнопку Format Drive;
В появившемся окне нажмите Yes.

Src-nat (вместо masquerade)

chain = srcnat
Src. Address = 172.17.0.0/24
Action =  src-nat
To Addresses = 192.168.137.2 (адрес который смотрит на провайдера или с помощью которого на микротике есть доступ в интернет)

Передача файла с микротика на почту

/tool e-mail send to=login@gmail.coml subject=MikroTikBackup body=123 server=195.0.0.1 port=587 user=login password=pass tls=yes

проверить адрес telnet smtp.gmail.com

Исключаем ип из правила подсети
Например добавляем в правило src address list "no masquerade" со знаком ! и в адрес лист дабавляем лист "no masquerade" с нашим ип

Ошибка
could not get index: missing file! - не совпадают версии микротика и винбокса

Ошибка

could not get index missing file mikrotikТоже самое, проверить обновления на WinBox

Ошибка при подключении пппое
could not determine remote ip address
выставить local address в профиле подключения или неверные настройки vpn в админке (не 16 маска)

Как автоматически выполнить какие-либо действия не заходя на рутер? 
  По правильному для этого стоит использовать API или WebFig. Система разрешений на данный момент не позволяет детально разграничивать права пользователей в ROS. 
Простенький бат-скрипт для включения wlan1-private интерфейса может выглядеть так:
Код:

:: set host=192.168.1.1 set port=22 set user=robot set password=****** set "command=/interface wireless enable wlan1-private" :: echo y | d:\Install\Programs\SSH\Putty\PLINK.EXE -P %port% -l %user% -pw %password% %host% "%command%" ::

Где утилита Winbox хранит свои настройки? 
  в Windows XP - C:\Documents and Settings\%USER%\Application Data\Mikrotik\ 
  в Windows 7  - C:\Users\%USER%\AppData\Roaming\Mikrotik\