В праздники наконец-то появилась возможность поиграться с контейнерами в Mikrotik hAP ax³, который недавно приобрёл. У него, кстати, WiFi намного мощнее, чем в моём старичке RB951G-2HnD. Последний с трудом добивал до дальних частей комнат, удалённых от коридора, где он висел. Новый без проблем достаёт везде. Мне кажется, что у RB951G в какой-то момент мощность сигнала деградировала. Он уже 10+ лет в квартире трудится, но только последние год-два стал замечать, что в некоторых углах при закрытых дверях связь плохая.
В контейнере я в первую очередь хотел видеть Pi-hole, чтобы порезать некоторую рекламу у домашних пользователей интернета в виде жены и детей. Мне без надобности, так как блокировки на уровне DNS не очень удобны. Я предпочитаю у себя на компе сам всем этим управлять. А остальным всё равно. Им будет в любом случае полезно.
Особых трудностей с настройкой нет. Всё сделал по инструкции от самого производителя. Но лично я промучался в итоге долго из-за проблемной флешки, о чём узнал позднее. Взял самую маленькую, которая как затычка. Воткнул в ноут, посмотрел, вроде работает. А на деле работает с проблемами. Иногда она тупо зависала и не позволяла ничего на себя писать. Контейнер либо не запускался, либо запускался, но работал с ошибками. Логов по контейнерам в Микротике почти нет. Никаких значимых ошибок не видел. Уже потом сам догадался, что флешка глючит.
В итоге всё настроил. Можно самому Микротику указать в качестве основного DNS сервера IP адрес контейнера с Pi-Hole, но будет не очень удобно, так как во всех логах будет фигурировать один IP адрес клиента - сам Микротик. Я сделал по-другому. Пробросил в Firewall все запросы от клиентов по 53-м портам в контейнер. В итоге в админке Pi-Hole увидел IP адреса клиентов и сделал исключения для личных устройств.
В целом, всё работает нормально. Работу одного контейнера hAP ax³ тянет вообще без каких-либо напрягов. Можно ещё парочку аналогичных запустить, но мне особо ничего не нужно. Не придумал, что ещё там запускать.
Получилось удобно. Нет нужды какую-то другую железку запускать для этих задач. Микротик сам всё это тянет, работает бесшумно, не греется. Так что удобное решение, рекомендую.
❗️Удивил старый телевизор Samsung. Ему лет 15, подключен к локалке, чтобы смотреть на нём фильмы с DLNA сервера. Он больше всех DNS запросов наотправлял для резолва домена samsung com. Интересно, какие данные он туда передаёт. Надо будет закрыть ему доступ в интернет.
#mikrotik
В контейнере я в первую очередь хотел видеть Pi-hole, чтобы порезать некоторую рекламу у домашних пользователей интернета в виде жены и детей. Мне без надобности, так как блокировки на уровне DNS не очень удобны. Я предпочитаю у себя на компе сам всем этим управлять. А остальным всё равно. Им будет в любом случае полезно.
Особых трудностей с настройкой нет. Всё сделал по инструкции от самого производителя. Но лично я промучался в итоге долго из-за проблемной флешки, о чём узнал позднее. Взял самую маленькую, которая как затычка. Воткнул в ноут, посмотрел, вроде работает. А на деле работает с проблемами. Иногда она тупо зависала и не позволяла ничего на себя писать. Контейнер либо не запускался, либо запускался, но работал с ошибками. Логов по контейнерам в Микротике почти нет. Никаких значимых ошибок не видел. Уже потом сам догадался, что флешка глючит.
В итоге всё настроил. Можно самому Микротику указать в качестве основного DNS сервера IP адрес контейнера с Pi-Hole, но будет не очень удобно, так как во всех логах будет фигурировать один IP адрес клиента - сам Микротик. Я сделал по-другому. Пробросил в Firewall все запросы от клиентов по 53-м портам в контейнер. В итоге в админке Pi-Hole увидел IP адреса клиентов и сделал исключения для личных устройств.
В целом, всё работает нормально. Работу одного контейнера hAP ax³ тянет вообще без каких-либо напрягов. Можно ещё парочку аналогичных запустить, но мне особо ничего не нужно. Не придумал, что ещё там запускать.
Получилось удобно. Нет нужды какую-то другую железку запускать для этих задач. Микротик сам всё это тянет, работает бесшумно, не греется. Так что удобное решение, рекомендую.
❗️Удивил старый телевизор Samsung. Ему лет 15, подключен к локалке, чтобы смотреть на нём фильмы с DLNA сервера. Он больше всех DNS запросов наотправлял для резолва домена samsung com. Интересно, какие данные он туда передаёт. Надо будет закрыть ему доступ в интернет.
#mikrotik
15👍133👎3
Вчера была рассылка от Mikrotik. Я последнее время их игнорирую, так как продукция явно потеряла былую популярность в России в первую очередь из-за цен. Хотя близких аналогов нет, всё равно Микротики уже не так популярны. Но мимо вчерашней новости не смог пройти мимо, потому что она меня удивила.
Компания выпустила свой сервер - RouterOS enterprise Data Server со следующими характеристиками:
◽️20 слотов под U.2 NVMe диски, с поддежкой M.2
◽️сетевые порты: 2×100G QSFP28, 4×25G SFP28, 4×10G SFP+, 2×10G Ethernet
◽️16-core 2 GHz ARM CPU + 32GB DDR4 RAM
Внутри, как и ожидается – RouterOS в редакции Special ROSE edition с поддержкой в том числе технологии NVMe-TCP для экспорта дисков другим серверам. Это помимо традиционных SMB, NFS, iSCSI.
Компания позиционирует свой сервер как очень быстрое локальное хранилище под нагрузку, запущенную в контейнерах, которые RouterOS 7 поддерживает уже сейчас. В описании явно указаны примеры применения: MinIO, Nextcloud, Shinobi, Frigate и другие.
Неожиданная новинка. Цена всего $1950, что намекает на сегмент малого и среднего бизнеса. И при этом такие скорости, которые там особо не нужны.
Что думаете по поводу этих серверов? Мне кажется, зря они в сервера подались. Лучше бы на сетевых устройствах сконцентрировались, починили баги RouterOS 7, запустили бы наконец Long Term ветку. Представляю, сколько вылезет багов в системе на этом сервере, особенно в работе контейнеров под нагрузкой. Там инструментов для диагностики почти нет, работать с ними неудобно. Я бы не стал.
#mikrotik
Компания выпустила свой сервер - RouterOS enterprise Data Server со следующими характеристиками:
◽️20 слотов под U.2 NVMe диски, с поддежкой M.2
◽️сетевые порты: 2×100G QSFP28, 4×25G SFP28, 4×10G SFP+, 2×10G Ethernet
◽️16-core 2 GHz ARM CPU + 32GB DDR4 RAM
Внутри, как и ожидается – RouterOS в редакции Special ROSE edition с поддержкой в том числе технологии NVMe-TCP для экспорта дисков другим серверам. Это помимо традиционных SMB, NFS, iSCSI.
Компания позиционирует свой сервер как очень быстрое локальное хранилище под нагрузку, запущенную в контейнерах, которые RouterOS 7 поддерживает уже сейчас. В описании явно указаны примеры применения: MinIO, Nextcloud, Shinobi, Frigate и другие.
Неожиданная новинка. Цена всего $1950, что намекает на сегмент малого и среднего бизнеса. И при этом такие скорости, которые там особо не нужны.
Что думаете по поводу этих серверов? Мне кажется, зря они в сервера подались. Лучше бы на сетевых устройствах сконцентрировались, починили баги RouterOS 7, запустили бы наконец Long Term ветку. Представляю, сколько вылезет багов в системе на этом сервере, особенно в работе контейнеров под нагрузкой. Там инструментов для диагностики почти нет, работать с ними неудобно. Я бы не стал.
#mikrotik
👍117👎10
Расскажу старую историю про взлом Микротика, который я лично наблюдал. Публиковал её давно, когда на канале было в разы меньше читателей, так что большинство из тех, кто читает канал сейчас, её не видели. А история показательная и поучительная.
Ко мне обратился знакомый с просьбой помочь разгрести последствия взлома локальной сети. Я у него администрировал сервера в ЦОД, а к локалке не имел никакого отношения. Расскажу кратко то, что узнал сам.
На входе стоит Mikrotik, в который воткнут usb модем провайдера сотовой сети. Интернет заходит через него. На Микротике был обнаружен VPN канал злоумышленника. С его помощью он закрепился в локальной сети и изучал ее.
Проблемы заметили со стороны ip телефонии. Позвонил провайдер и предупредил, что звонки заблокированы, так как израсходован дневной лимит. Это позволило сразу обнаружить взлом, который был осуществлен в выходной день. При этом было настроено ограничение по IP на подключения к облачной АТС. Считается, что это самая надежная защита, так как физически невозможно осуществить звонок извне, даже если утекают учётные данные пиров. По факту это не спасло, так как через VPN канал это ограничение обошли. Повезло, что был дневной лимит.
Дальше были обнаружены попытки аутентификации на других устройствах в сети. На вид ничего особо не пострадало, так как в локалке ничего кроме компьютеров, оргтехники и VOIP телефонов не было. Все сервера располагались в другом месте и судя по всему не были обнаружены, а пользовательские компьютеры все были выключены. Поэтому и не получилось их найти.
Это все подробности, что стали известны мне. Как произошел взлом Микротика, точно не известно. Его сразу же перенастроили и закрыли все доступы извне. Там либо пароль был простой, либо обновлений не стояло. Думаю, сломали стандартно, через уязвимость и доступ через Winbox. Он был доступен. А там время от времени всплывают уязвимости. Может и сейчас есть, но мы их пока не знаем.
Отсюда можно сделать несколько закономерных выводов:
1️⃣ Доступ к пограничным роутерам запрещать максимально сильно. Лучше снаружи вообще всё закрыть. Если всё же нужно оставить доступ, то настройте хотя бы Port knocking или доступ по спискам IP. Касательно Микротик, надо дополнительно отключить все способы удалённого подключения, которые вы не используете (FTP, SSH и т.д.).
2️⃣ Сервера изолировать от всего остального. Я не всегда следую этому правилу 😔.
3️⃣ На выходные компьютеры в офисе выключать.
4️⃣ Использовать дневной лимит на звонки через VOIP телефонию, если оператор поддерживает. Меня, кстати, не раз выручала эта история. Были инциденты. Вроде даже писал об этом. Надо будет поискать эти старые публикации и повторить. Уже и сам подзабыл подробности.
5️⃣ Всегда и везде своевременно ставить обновления.
Так то много всего надо делать для обеспечения безопасности, но это прям самая база, которая закрывает большинство проблем.
#mikrotik
Ко мне обратился знакомый с просьбой помочь разгрести последствия взлома локальной сети. Я у него администрировал сервера в ЦОД, а к локалке не имел никакого отношения. Расскажу кратко то, что узнал сам.
На входе стоит Mikrotik, в который воткнут usb модем провайдера сотовой сети. Интернет заходит через него. На Микротике был обнаружен VPN канал злоумышленника. С его помощью он закрепился в локальной сети и изучал ее.
Проблемы заметили со стороны ip телефонии. Позвонил провайдер и предупредил, что звонки заблокированы, так как израсходован дневной лимит. Это позволило сразу обнаружить взлом, который был осуществлен в выходной день. При этом было настроено ограничение по IP на подключения к облачной АТС. Считается, что это самая надежная защита, так как физически невозможно осуществить звонок извне, даже если утекают учётные данные пиров. По факту это не спасло, так как через VPN канал это ограничение обошли. Повезло, что был дневной лимит.
Дальше были обнаружены попытки аутентификации на других устройствах в сети. На вид ничего особо не пострадало, так как в локалке ничего кроме компьютеров, оргтехники и VOIP телефонов не было. Все сервера располагались в другом месте и судя по всему не были обнаружены, а пользовательские компьютеры все были выключены. Поэтому и не получилось их найти.
Это все подробности, что стали известны мне. Как произошел взлом Микротика, точно не известно. Его сразу же перенастроили и закрыли все доступы извне. Там либо пароль был простой, либо обновлений не стояло. Думаю, сломали стандартно, через уязвимость и доступ через Winbox. Он был доступен. А там время от времени всплывают уязвимости. Может и сейчас есть, но мы их пока не знаем.
Отсюда можно сделать несколько закономерных выводов:
Так то много всего надо делать для обеспечения безопасности, но это прям самая база, которая закрывает большинство проблем.
#mikrotik
Please open Telegram to view this post
VIEW IN TELEGRAM
👍150👎5
В пятницу рассказал про реальный случай взлома Микротика. Имеет смысл дополнить ту заметку информацией о том, как защитить свой роутер от подобных историй. Я не буду составлять полную подборку настроек, так как их любой ИИ сейчас бесплатно составит за 5 секунд. Расскажу, что лично я обычно делаю. Не всегда и не везде весь предложенный список, а в каких-то вариациях.
1️⃣ System ⇨ Users, отключаю или удаляю админа, добавляю нового пользователя с полными правами.
2️⃣ IP ⇨ Services, отключаю всё, кроме ssh и winbox. Ограничение доступа через параметр Aviable From в этом разделе не настраиваю. Предпочитаю все настройки по ограничению доступа делать в Firewall.
3️⃣ System ⇨ Logging, настраиваю отправку логов куда-то вовне, если инфраструктура предполагает такой сервис. Обычно это Syslog или ELK.
4️⃣ IP ⇨ Firewall, тут зависит от функциональности роутера, но что касается доступа извне, то закрываю либо статическим списком IP адресов, либо настраиваю Port knocking. Даже если настроен VPN, всегда страхую доступ извне каким-то ещё входом, не только по VPN.
5️⃣ Настраиваю мониторинг стандартным шаблоном Zabbix. Но сразу скажу, что не очень его люблю. Не потому, что он сделан плохо, а просто там много информации и триггеров, которые мне не нужны. Потом много спама прилетает, приходится править или отключать какие-то триггеры.
6️⃣ Знаю, что некоторые ещё отключают прямой доступ по MAC адресу в Tools ⇨ MAC Server ⇨ MAC WinBox Server, но я обычно оставляю.
В целом по безопасности у меня всё. Если есть чем ещё дополнить из вашей практики, поделитесь информацией.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#mikrotik
1️⃣ System ⇨ Users, отключаю или удаляю админа, добавляю нового пользователя с полными правами.
2️⃣ IP ⇨ Services, отключаю всё, кроме ssh и winbox. Ограничение доступа через параметр Aviable From в этом разделе не настраиваю. Предпочитаю все настройки по ограничению доступа делать в Firewall.
3️⃣ System ⇨ Logging, настраиваю отправку логов куда-то вовне, если инфраструктура предполагает такой сервис. Обычно это Syslog или ELK.
4️⃣ IP ⇨ Firewall, тут зависит от функциональности роутера, но что касается доступа извне, то закрываю либо статическим списком IP адресов, либо настраиваю Port knocking. Даже если настроен VPN, всегда страхую доступ извне каким-то ещё входом, не только по VPN.
5️⃣ Настраиваю мониторинг стандартным шаблоном Zabbix. Но сразу скажу, что не очень его люблю. Не потому, что он сделан плохо, а просто там много информации и триггеров, которые мне не нужны. Потом много спама прилетает, приходится править или отключать какие-то триггеры.
6️⃣ Знаю, что некоторые ещё отключают прямой доступ по MAC адресу в Tools ⇨ MAC Server ⇨ MAC WinBox Server, но я обычно оставляю.
В целом по безопасности у меня всё. Если есть чем ещё дополнить из вашей практики, поделитесь информацией.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#mikrotik
Telegram
ServerAdmin.ru
Расскажу старую историю про взлом Микротика, который я лично наблюдал. Публиковал её давно, когда на канале было в разы меньше читателей, так что большинство из тех, кто читает канал сейчас, её не видели. А история показательная и поучительная.
Ко мне обратился…
Ко мне обратился…
2👍149👎3
Столкнулся на днях с необычной ситуацией. Zabbix прислал уведомление, что внешний канал на одном из Mikrotik забит. Зашёл на него, смотрю локальный трафик, его особо нет, а на WAN интерфейсе всё забито. Я сначала по привычке бридж локальный открыл, чтобы посмотреть через Torch, кто источник повышенного трафика. Там ничего подозрительного не увидел.
Дальше открыл Torch в WAN и вижу там кучу входящего трафика, но что самое интересное, не на мой внешний IP адрес. У меня настроен .242.39, а трафик идёт на другие адреса из выделенной провайдером подсети. Судя по всему это уже давно так продолжается, но канал весь забили только в этот раз. Потом трафик ушёл и всё нормализовалось. Но левые пакеты всё равно светятся на внешнем интерфейсе, хоть и в небольшом количестве.
Первый раз с такой ситуацией сталкиваюсь. Даже не знаю, что делать. Этот трафик адресован не мне, по идее роутер его на входе сразу отбрасывает. Я его ни в списке соединений не вижу, ни файрволом не могу заблокировать. Он и так не обрабатывается. Но при этом в графике загрузки интерфейса я его вижу. То есть он реально забивает канал, или нет?
Я так понимаю, надо писать провайдеру. Его косяк, что он трафик разных абонентов перемешивает, чего при нормальных настройках быть не должно. Это какой-то местечковый провайдер-монополист в одном из бизнес центров. Кто-то сталкивался с подобной ситуацией? Если провайдер ничего не сделает, мне со своей стороны нужно что-то делать? Насколько я понимаю, сам я тут ничего не сделаю, так как входящим трафиком не могу управлять, только отбрасывать его.
#mikrotik #network
Дальше открыл Torch в WAN и вижу там кучу входящего трафика, но что самое интересное, не на мой внешний IP адрес. У меня настроен .242.39, а трафик идёт на другие адреса из выделенной провайдером подсети. Судя по всему это уже давно так продолжается, но канал весь забили только в этот раз. Потом трафик ушёл и всё нормализовалось. Но левые пакеты всё равно светятся на внешнем интерфейсе, хоть и в небольшом количестве.
Первый раз с такой ситуацией сталкиваюсь. Даже не знаю, что делать. Этот трафик адресован не мне, по идее роутер его на входе сразу отбрасывает. Я его ни в списке соединений не вижу, ни файрволом не могу заблокировать. Он и так не обрабатывается. Но при этом в графике загрузки интерфейса я его вижу. То есть он реально забивает канал, или нет?
Я так понимаю, надо писать провайдеру. Его косяк, что он трафик разных абонентов перемешивает, чего при нормальных настройках быть не должно. Это какой-то местечковый провайдер-монополист в одном из бизнес центров. Кто-то сталкивался с подобной ситуацией? Если провайдер ничего не сделает, мне со своей стороны нужно что-то делать? Насколько я понимаю, сам я тут ничего не сделаю, так как входящим трафиком не могу управлять, только отбрасывать его.
#mikrotik #network
👍67👎3
На днях настраивал у себя в доме с нуля Mikrotik. Как это обычно бывает, времени свободного не было, надо было быстро сделать доступ в интернет. Для этого достаточно добавить правило для NAT и в принципе всё. Я ещё DNS сервер сразу включил и разрешил запросы к нему.
Это было новое подключение к провайдеру по PPPOE. Сразу оставил заявку на подключение мне статического внешнего IP адреса. Заявку на удивление быстро обработали, и я увидел у себя на pppoe интерфейсе внешний IP адрес.
Надо было сразу ограничить доступ извне к Mikrotik. Насколько я помню, у него по умолчанию нормально открытый файрвол, то есть всё разрешено. Не долго думая, просто добавил новое и пока единственное правило по блокировке всех входящих соединений:
Счётчик пакетов на правиле начал бодро расти. Проверяю у себя на ноуте интернет, не работает. Сходу не понял, почему, так как не часто приходится с нуля настраивать файрволы. Обычно беру шаблон правил и там по месту что-то меняю. Трафик в цепочке forward вроде разрешён. Должно всё работать.
У меня есть универсальный подход при настройке файрволов – если что-то не работает, то включаю лог на правилах блокировки. По записям лога обычно сразу видно, какое направление из тех, что тебе нужны, блокируется.
Сразу увидел заблокированные входящие запросы от настроенного на Микротике DNS сервера. Последнее время использую DNS от msk-ix.ru:
В общем, сразу понял, что надо добавить правило для уже установленных соединений, чтобы DNS запросы обратно возвращались на роутер:
В таком виде интернет в локальной сети нормально заработал, а все запросы извне были заблокированы. На том и завершил пока настройку. То есть в минимальной настройке достаточно всего трёх правил для работы интернета в локальной сети с использованием DNS сервера на самом Микротике:
В данном случае 1.2.3.4 - статический IP адрес на WAN интерфейсе. Если он не статический, то правило должно быть с masquerade.
В чём разница между masquerade и src-nat, можно посмотреть в переведённой мной презентации с одного из выступлений на микротиковской конференции. Для дома или небольшого офиса принципиальной разницы нет, то для общего образования знать полезно.
Кстати, случился любопытный разговор с монтажником провайдера. Он, когда увидел Mikrotik, сказал, что они его не настраивают. Я успокоил, сказал, что настрою сам. Потом он уточнил, что в принципе, он знает, как настроить PPPOE соединение, роутер подключается к сети и получает IP адрес, но у пользователей в локальной сети интернет всё равно не работает. Я сразу понял, что он не знает о том, что нужно самому настроить NAT. В других домашних роутерах этого делать не надо. Там NAT по умолчанию настроен.
В связи с этим я знакомым или родственникам никогда не рекомендую покупать домой Микротики, если они не умеют сами их настраивать. Это создаёт всем ненужные проблемы. Самому пользователю неудобно, что он не может настроить сам или обратиться к провайдеру. Провайдеру неудобно, что клиент жалуется, а реально проверить на месте монтажник не может, так как не умеет настраивать Микротики.
#mikrotik
Это было новое подключение к провайдеру по PPPOE. Сразу оставил заявку на подключение мне статического внешнего IP адреса. Заявку на удивление быстро обработали, и я увидел у себя на pppoe интерфейсе внешний IP адрес.
Надо было сразу ограничить доступ извне к Mikrotik. Насколько я помню, у него по умолчанию нормально открытый файрвол, то есть всё разрешено. Не долго думая, просто добавил новое и пока единственное правило по блокировке всех входящих соединений:
add action=drop chain=input in-interface=pppoe-out1Счётчик пакетов на правиле начал бодро расти. Проверяю у себя на ноуте интернет, не работает. Сходу не понял, почему, так как не часто приходится с нуля настраивать файрволы. Обычно беру шаблон правил и там по месту что-то меняю. Трафик в цепочке forward вроде разрешён. Должно всё работать.
У меня есть универсальный подход при настройке файрволов – если что-то не работает, то включаю лог на правилах блокировки. По записям лога обычно сразу видно, какое направление из тех, что тебе нужны, блокируется.
Сразу увидел заблокированные входящие запросы от настроенного на Микротике DNS сервера. Последнее время использую DNS от msk-ix.ru:
62.76.76.62 и 62.76.62.76. На всякий случай проверил доступность внешних ресурсов по IP адресам, а не DNS именам. По IP доступ был. В общем, сразу понял, что надо добавить правило для уже установленных соединений, чтобы DNS запросы обратно возвращались на роутер:
add action=accept chain=input connection-state=established in-interface=pppoe-out1В таком виде интернет в локальной сети нормально заработал, а все запросы извне были заблокированы. На том и завершил пока настройку. То есть в минимальной настройке достаточно всего трёх правил для работы интернета в локальной сети с использованием DNS сервера на самом Микротике:
add action=accept chain=input connection-state=established in-interface=pppoe-out1add action=drop chain=input in-interface=pppoe-out1add action=src-nat chain=srcnat out-interface=pppoe-out1 to-addresses=1.2.3.4В данном случае 1.2.3.4 - статический IP адрес на WAN интерфейсе. Если он не статический, то правило должно быть с masquerade.
add action=masquerade chain=srcnat out-interface=pppoe-out1В чём разница между masquerade и src-nat, можно посмотреть в переведённой мной презентации с одного из выступлений на микротиковской конференции. Для дома или небольшого офиса принципиальной разницы нет, то для общего образования знать полезно.
Кстати, случился любопытный разговор с монтажником провайдера. Он, когда увидел Mikrotik, сказал, что они его не настраивают. Я успокоил, сказал, что настрою сам. Потом он уточнил, что в принципе, он знает, как настроить PPPOE соединение, роутер подключается к сети и получает IP адрес, но у пользователей в локальной сети интернет всё равно не работает. Я сразу понял, что он не знает о том, что нужно самому настроить NAT. В других домашних роутерах этого делать не надо. Там NAT по умолчанию настроен.
В связи с этим я знакомым или родственникам никогда не рекомендую покупать домой Микротики, если они не умеют сами их настраивать. Это создаёт всем ненужные проблемы. Самому пользователю неудобно, что он не может настроить сам или обратиться к провайдеру. Провайдеру неудобно, что клиент жалуется, а реально проверить на месте монтажник не может, так как не умеет настраивать Микротики.
#mikrotik
51👍186👎11
Я одно время очень много работал с устройствами Mikrotik. Практически постоянно. Сейчас они тоже остались, но в основном на поддержке старые конфигурации, чего-то нового и необычного, о чём ещё не писал, давно не настраивал. Эти устройства, как и их система, хороша своим консерватизмом. Каких-то глобальных изменений в ней случается редко. И все старые наработки актуальны много лет.
Вижу, что тема с Микротиками всегда вызывает интерес, поэтому соберу в одну публикацию набор небольших советов и замечаний по работе с этими устройствами, о которых я в разное время писал здесь в заметках. Я со всем этим лично сталкивался, особенно когда настраивал распределённую сеть крупной торговой сети с кучей мелких филиалов по районам городов.
Больше всего нюансов в казалось бы простом инструменте для отката настроек в случае ошибки - Safe Mode.
1️⃣ Если у вас где-то открыта сессия Winbox, а вы подключились новой и нажали Safe Mode, то режим не сработает. Это может оказаться неприятным сюрпризом. А если вы решите завершить эту сессию, а там окажется включённый Safe Mode, то откатите те настройки, что изменили в той сессии. Смотреть активные сессии в System ⇨ Users ⇨ Active Users.
2️⃣ Safe Mode хранит ограниченное количество изменений. Так что лучшим вариантом использования этой функциональности является подключение, включение опции, изменение настроек, проверка, что всё прошло удачно. И сразу после этого отключение режима.
3️⃣ Иногда на автомате включаешь Safe Mode, что-то настраиваешь. Ошибаешься, тебя отключает. Ты ждёшь, когда откатит настройки, но не откатывает. Доступ не восстанавливается. И тут понимаешь, что подключен по AnyDesk или RDP, а сессия Winbox открыта в локальной сети. Тебя отключило от интернета, но сессия на Микротике не оборвалась.
Сталкивался, когда на потоке настраивал на точках по 2 провайдера. Там обычно был компьютер, телефон, принтер и Микротик. Прямого доступа не было, пока не настроишь VPN. Все точки объединял в VPN сети для удобного мониторинга и управления.
4️⃣ Safe Mode не панацея, он может сглючить и не откатить настройки. Можно подстраховаться скриптом, который делает бэкап, спит какое-то время и загружает бэкап обратно. В минималке это может выглядеть так:
Запускаете скрипт, делаете настройки, если всё ОК, то останавливаете выполнение скрипта. Он будет висеть в списке 3 минуты и ничего не делать из-за delay 180.
Все эти заморочки не особо актуальны при простых настройках, например, файрвола. Я никогда фатально не ошибался с ним. А вот если 2 провайдера и переключение, один из них мобильный, да ещё и доступ только по VPN, который должен переподключиться после переключения провайдеров, другое дело. Там много нюансов может возникать.
5️⃣ Иногда надо перезапустить интерфейс. Если через него же вы и подключены, то сделать disable и обратно enable не получится. Вас отключит. Вместо этого можно нажать галочку с enable на интерфейсе в Winbox. Это актуально и для PPP соединений. VPN соединение переподключится.
6️⃣ Я очень долго не замечал, что в Winbox есть настройка Settings ⇨ Hide Passwords, которая по умолчанию активна. Она все сохранённые пароли на устройстве отображает звёздочками. Если её отключить, то их можно увидеть. Узнал случайно от одного админа. Например, так можно посмотреть пароли от PPP соединений непосредственно через Winbox в свойствах соединения, а не только в экспорте.
7️⃣ В разделе Tools ⇨ Packet Sniffer ⇨ Streaming можно указать IP адрес и порт машины, где запущена Wireshark с настройкой на прослушивание указанного порта. Можно смотреть весь трафик или отфильтрованный. Очень просто, быстро и удобно для отладки. Если постоянно нужно смотреть трафик, то удобнее настроить отправку через NetFlow (IP ⇨ Traffic Flow).
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#mikrotik
Вижу, что тема с Микротиками всегда вызывает интерес, поэтому соберу в одну публикацию набор небольших советов и замечаний по работе с этими устройствами, о которых я в разное время писал здесь в заметках. Я со всем этим лично сталкивался, особенно когда настраивал распределённую сеть крупной торговой сети с кучей мелких филиалов по районам городов.
Больше всего нюансов в казалось бы простом инструменте для отката настроек в случае ошибки - Safe Mode.
Сталкивался, когда на потоке настраивал на точках по 2 провайдера. Там обычно был компьютер, телефон, принтер и Микротик. Прямого доступа не было, пока не настроишь VPN. Все точки объединял в VPN сети для удобного мониторинга и управления.
/system backup save password="secret" name=disconnectdelay 180/system backup load name=disconnect.backup password="secret"Запускаете скрипт, делаете настройки, если всё ОК, то останавливаете выполнение скрипта. Он будет висеть в списке 3 минуты и ничего не делать из-за delay 180.
Все эти заморочки не особо актуальны при простых настройках, например, файрвола. Я никогда фатально не ошибался с ним. А вот если 2 провайдера и переключение, один из них мобильный, да ещё и доступ только по VPN, который должен переподключиться после переключения провайдеров, другое дело. Там много нюансов может возникать.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#mikrotik
Please open Telegram to view this post
VIEW IN TELEGRAM
5👍199👎4
Mikrotik меня на днях удивил. Увидел мельком в одном из видео на ютубе упоминание функции Kid Control. Думаю, такой, что это за контроль, впервые слышу. Открываю RouterOS 7 и и вижу там IP ⇨ Kid Control. Очень удивился. Я вообще впервые увидел этот раздел.
Думаю, наверное это в 7-й версии появилось, поэтому я не видел. Я все старые устройства оставил на родной для них 6-й версии. Специально не обновлял. А с 7-й мало работал, только с новыми устройствами.
Захожу в RouterOS 6, а там этот контроль тоже есть. Тут я ещё сильнее удивился. Пошёл в поиск, оказалось, что эта функциональность появилась в 2017 году. Как я умудрился не то, что её ни разу не заметить лично, но даже не слышать никогда о ней. Проходил обучение MTCNA, не помню, чтобы там об этом шла речь. Либо у меня из памяти всё это вылетело.
Проверил поиск по каналу, ни разу не писал о нём, значит не знал. Посмотрел поиск по чату, нашёл одно упоминание. Мне как раз говорят, что есть детский контроль, а я удивился и спросил, что это такое. Ну и благополучно забыл, хотя написал: "Пипец. Столько лет настраиваю Микротики. Никогда не замечал и не заглядывал в этот раздел. Даже не знал про его существование."
Дело в том, что я настраиваю детям ограничения, но делаю это примерно так:
Создаю списки устройств детей и делаю для них правила, которые начинают работать в ночное время, чтобы выключать доступ в интернет. У меня родительский контроль так работал. А он оказывается примерно так же, но в другой форме организован в отдельном разделе.
В общем, чтобы в очередной раз об этом не забыть, пишу заметку и рассказываю, как этот родительский контроль работает.
В разделе IP ⇨ Kid Control есть 2 вкладки: Kids и Devices. В раздел Kids добавляем ребёнка и назначаем ему часы, когда интернет будет работать. Там же можно настроить ограничение скорости. В целом это тоже может быть полезно. Для того, чтобы делать уроки, смотреть расписание и искать какую-то текстовую информацию большая скорость не нужна. Можно ограничить, чтобы не работали видео и не было соблазна быстренько что-то посмотреть. А вечером, когда уроки закончены, ограничение убрать.
В Devices добавляем по MAC адресу устройства ребёнка и привязываем их к нему.
Такой вот нехитрый контроль, который по факту делает примерно то же самое, что и я вручную. Для ограничения интернета добавляет и убирает блокирующие правила в файрвол для IP адресов устройств детей. А для ограничения скорости добавляет правила в Queues ⇨ Simple Queues.
Я этот же контроль придумал сам, только скорость не ограничивал. Большого смысла в этом не вижу. У меня дети по факту уроки нормально делают самостоятельно днём и с интернетом. Отключаю вечером, чтобы не было лишних разговор и разбирательств перед сном. Смартфоны тоже выключаются. Время пришло, всё автоматически выключилось. Спорить и что-то просить не у кого. Все идут чистить зубы и спать.
Вроде разработчики постарались сделать удобно, но по факту получилось так себе. Списки IP адресов устройств формируются на основе таблицы ARP. Если перезагрузить роутер в тот момент, когда устройства детей выключены, их IP адресов в ARP таблице не будет. Динамические правила в файрвол не добавятся. Я сначала не понял, почему там после перезагрузки пусто. Потом сообразил, когда посмотреть таблицу ARP и не увидел там нужных устройств.
Такая реализация может запутать в настройке файрвола. Проще как я раньше делал, писать правила с указанием времени вручную. Они всегда перед глазами, хоть и отключаются вне заданного диапазона времени.
#mikrotik #дети
Думаю, наверное это в 7-й версии появилось, поэтому я не видел. Я все старые устройства оставил на родной для них 6-й версии. Специально не обновлял. А с 7-й мало работал, только с новыми устройствами.
Захожу в RouterOS 6, а там этот контроль тоже есть. Тут я ещё сильнее удивился. Пошёл в поиск, оказалось, что эта функциональность появилась в 2017 году. Как я умудрился не то, что её ни разу не заметить лично, но даже не слышать никогда о ней. Проходил обучение MTCNA, не помню, чтобы там об этом шла речь. Либо у меня из памяти всё это вылетело.
Проверил поиск по каналу, ни разу не писал о нём, значит не знал. Посмотрел поиск по чату, нашёл одно упоминание. Мне как раз говорят, что есть детский контроль, а я удивился и спросил, что это такое. Ну и благополучно забыл, хотя написал: "Пипец. Столько лет настраиваю Микротики. Никогда не замечал и не заглядывал в этот раздел. Даже не знал про его существование."
Дело в том, что я настраиваю детям ограничения, но делаю это примерно так:
/ip firewall address-list
add address=192.168.137.110 list=Ivan
add address=192.168.137.111 list=Olga
/ip firewall filter
add action=reject chain=forward reject-with=icmp-network-unreachable src-address-list=Ivan time=\
22h-7h,sun,mon,tue,wed,thu,fri,sat
add action=reject chain=forward reject-with=icmp-network-unreachable src-address-list=Olga time=\
21h-7h,sun,mon,tue,wed,thu,fri,sat
Создаю списки устройств детей и делаю для них правила, которые начинают работать в ночное время, чтобы выключать доступ в интернет. У меня родительский контроль так работал. А он оказывается примерно так же, но в другой форме организован в отдельном разделе.
В общем, чтобы в очередной раз об этом не забыть, пишу заметку и рассказываю, как этот родительский контроль работает.
В разделе IP ⇨ Kid Control есть 2 вкладки: Kids и Devices. В раздел Kids добавляем ребёнка и назначаем ему часы, когда интернет будет работать. Там же можно настроить ограничение скорости. В целом это тоже может быть полезно. Для того, чтобы делать уроки, смотреть расписание и искать какую-то текстовую информацию большая скорость не нужна. Можно ограничить, чтобы не работали видео и не было соблазна быстренько что-то посмотреть. А вечером, когда уроки закончены, ограничение убрать.
В Devices добавляем по MAC адресу устройства ребёнка и привязываем их к нему.
Такой вот нехитрый контроль, который по факту делает примерно то же самое, что и я вручную. Для ограничения интернета добавляет и убирает блокирующие правила в файрвол для IP адресов устройств детей. А для ограничения скорости добавляет правила в Queues ⇨ Simple Queues.
Я этот же контроль придумал сам, только скорость не ограничивал. Большого смысла в этом не вижу. У меня дети по факту уроки нормально делают самостоятельно днём и с интернетом. Отключаю вечером, чтобы не было лишних разговор и разбирательств перед сном. Смартфоны тоже выключаются. Время пришло, всё автоматически выключилось. Спорить и что-то просить не у кого. Все идут чистить зубы и спать.
Вроде разработчики постарались сделать удобно, но по факту получилось так себе. Списки IP адресов устройств формируются на основе таблицы ARP. Если перезагрузить роутер в тот момент, когда устройства детей выключены, их IP адресов в ARP таблице не будет. Динамические правила в файрвол не добавятся. Я сначала не понял, почему там после перезагрузки пусто. Потом сообразил, когда посмотреть таблицу ARP и не увидел там нужных устройств.
Такая реализация может запутать в настройке файрвола. Проще как я раньше делал, писать правила с указанием времени вручную. Они всегда перед глазами, хоть и отключаются вне заданного диапазона времени.
#mikrotik #дети
👍129👎8
Заметил в 7-й версии RouterOS на Микротике в настройках DHCP сервера новую кнопку Send Reconfigure. Она находится в списке выданных аренд (Leases). Специально заглянул в старое устройство. Её там не было. Стало интересно, что это такое.
Как оказалось, DHCP сервер может инициировать обновление сетевых настроек. Для этого есть специальное DHCP-сообщение типа FORCERENEW. Вообще не знал и никогда не слышал, что это возможно. И не видел, чтобы кто-то так делал. Я всегда обновлял настройки со стороны клиента. Думал, только он может решать, когда ему это делать. Соответственно, если ты поменял настройки на сервере, то либо ждешь, когда закончится аренда, либо клиентом инициируешь обновление.
На эту тему есть RFC 3203 (DHCP reconfigure extension) аж от 2001 года. То есть это не что-то новое и уникальное. Просто в RouterOS добавили поддержку этой функциональности. Дай, думаю, попробую, как это работает. Выглядит удобно. Поменял IP адрес в аренде и отправил команду на обновление настроек. Но ничего не вышло.
Тут не всё так просто. Для того, чтобы кто попало не рассылал по сети сообщения на обновление настроек, в этот механизм добавлена защита, описанная в RFC 6704 (Forcerenew Nonce Authentication). При получении аренды от сервера, клиент сообщает, что он поддерживает механизм аутентификации. В ответ сервер отправляет ему ключ аутентификации.
В Mikrotik этот ключ можно посмотреть в статусе аренды, на вкладке Active, в поле Reconfigure Key. Если ключа там нет, значит обмена ключами не было, клиент не примет запрос FORCERENEW на смену настроек. Сервер, соответственно, когда отправляет запрос, в заголовок добавляет ключ для аутентификации.
Будет или нет работать команда FORCERENEW зависит опять от клиента. В клиенте того же Mikrotik сделали удобно. Там просто добавили опцию в свойства клиента - Allow Reconfigure Messages. Ставишь галочку и клиент обменивается с сервером ключами.
С другими клиентами сложнее. Стандартный
Стандартный DHCP клиент в Windows тоже не имеет такой поддержки.
В итоге фичу в RouterOS завезли, причём весьма удобную, а на практике применить её негде. Только если в качестве DHCP клиентов у вас выступают те же устройства RouterOS. На практике это не особо и нужно, хотя и может где-то пригодиться.
Вы вообще знали о такой возможности? Не понимаю, почему её не реализовали в популярных клиентах. Удобно же.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#mikrotik #network #dhcp
Как оказалось, DHCP сервер может инициировать обновление сетевых настроек. Для этого есть специальное DHCP-сообщение типа FORCERENEW. Вообще не знал и никогда не слышал, что это возможно. И не видел, чтобы кто-то так делал. Я всегда обновлял настройки со стороны клиента. Думал, только он может решать, когда ему это делать. Соответственно, если ты поменял настройки на сервере, то либо ждешь, когда закончится аренда, либо клиентом инициируешь обновление.
На эту тему есть RFC 3203 (DHCP reconfigure extension) аж от 2001 года. То есть это не что-то новое и уникальное. Просто в RouterOS добавили поддержку этой функциональности. Дай, думаю, попробую, как это работает. Выглядит удобно. Поменял IP адрес в аренде и отправил команду на обновление настроек. Но ничего не вышло.
Тут не всё так просто. Для того, чтобы кто попало не рассылал по сети сообщения на обновление настроек, в этот механизм добавлена защита, описанная в RFC 6704 (Forcerenew Nonce Authentication). При получении аренды от сервера, клиент сообщает, что он поддерживает механизм аутентификации. В ответ сервер отправляет ему ключ аутентификации.
В Mikrotik этот ключ можно посмотреть в статусе аренды, на вкладке Active, в поле Reconfigure Key. Если ключа там нет, значит обмена ключами не было, клиент не примет запрос FORCERENEW на смену настроек. Сервер, соответственно, когда отправляет запрос, в заголовок добавляет ключ для аутентификации.
Будет или нет работать команда FORCERENEW зависит опять от клиента. В клиенте того же Mikrotik сделали удобно. Там просто добавили опцию в свойства клиента - Allow Reconfigure Messages. Ставишь галочку и клиент обменивается с сервером ключами.
С другими клиентами сложнее. Стандартный
dhclient в Linux по умолчанию не поддерживает реализацию RFC 3203 и RFC 6704. Нужно брать какой-то другой. Например, цисковский поддерживает, но я не знаю, можно ли его запустить в Linux. Не изучал этот вопрос.Стандартный DHCP клиент в Windows тоже не имеет такой поддержки.
В итоге фичу в RouterOS завезли, причём весьма удобную, а на практике применить её негде. Только если в качестве DHCP клиентов у вас выступают те же устройства RouterOS. На практике это не особо и нужно, хотя и может где-то пригодиться.
Вы вообще знали о такой возможности? Не понимаю, почему её не реализовали в популярных клиентах. Удобно же.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#mikrotik #network #dhcp
👍155👎3
У Mikrotik уже давно вышла версия RouterOS 7. Я не обновил ни одно старое устройство на эту версию. Просто на всякий случай. Пока 6-я ветка поддерживается, и всё работает нормально, не вижу в этом смысла. И как оказалось, не зря.
Домой купил себе новое устройство, а там уже стоит 7-я версия. Выбирать не приходится, поэтому стал пользоваться. И уже несколько раз сталкивался с глюками, которые портят впечатление об устройстве, как о надёжном инструменте, который один раз настроил и забыл. Для меня стало обыденностью перезагрузить устройство, чтобы решить какую-нибудь проблему.
Например, описываемый Kid Control иногда просто глючит. Всё настроено корректно, много дней работает. А потом почему-то в заданный интервал времени разрешающие правила не работают, активны запрещающие. Не помогает отключение и включение настроек. Перезагружаешь Mikrotik - всё работает нормально.
Последней каплей стал недавний глюк, который меня серьёзно напряг, что и побудило написать эту заметку и предупредить тех, кто ещё сидит на 6-й версии. Сидите дальше ☝️.
У меня перестало подключаться основное OpenVPN соединение, которое используется для различных задач. Оно мне нужно постоянно в том числе для работы, а отсутствие создаёт неудобства. В какой-то момент, скорее всего после недавнего обновления, но не сразу после него, соединение перестало устанавливаться без каких-либо изменений настроек со стороны роутера или сервера. У меня есть другие Микротики, которые подключаются туда же и с ними всё в порядке.
Сначала подумал, что провайдер включил какие-то блокировки. Но через этого же провайдера мой ноутбук нормально подключается по OVPN к тому же серверу. Перепроверил раз 10 настройки, сверил с другими роутерами. Всё настроено нормально, как везде и как было раньше тут.
Соединение устанавливается, получает статус connected, но не переходит в running. Со стороны сервера ошибок нет, всё четко. Он пушит настройки и маршруты. Но на роутер не приходят настройки IP адреса и маршруты этого клиента. Случайно заметил, что если включить настройку в OpenVPN интерфейсе Add Default Route, то соединение нормально устанавливается, но мне не нужно автоматом прописывать дефолтный маршрут через OVPN интерфейс. Работало раньше и без этого.
Уже на этом моменте я понял, что тупо что-то глючит. Решение нашёл случайно. В настройках интерфейса есть поле User и Password. Его не обязательно указывать, так как в OpenVPN аутентификация проходит по сертификатам. В данном устройстве пароль не был указан, либо он слетел после недавнего обновления. Тут не могу точно сказать, как было. Я мог от балды его указать, или не делать этого. Но факт в том, что в какой-то момент не меняя настройки я получил неработающее соединение.
После того, как в поле Password написал случайный пароль 123, соединение поднялось и начало работать, как и должно. Налицо явный глюк, который серьёзно напряг, так как догадаться в чём проблема, очень трудно. Никаких подсказок или ошибок нет, конфигурация не менялась. Я просто в какой-то момент для подключенного интерфейса сделал disable, а потом enable, а он не подключился.
Устройство из разряда простого и надёжного перешло в разряд страшно обновить и надо вечером перезагрузить. Дома ещё ладно, я перебился. Есть обходные пути. А если с филиалами связь развалится после кого-нибудь обновления? И не обновляться нельзя, но в то же время и не хочется хапнуть проблем на ровном месте.
Docker контейнеры, если что, тоже глючат. То зависнут, то отвалятся. Я в итоге не пользуюсь. Выводы не делаю, решать вам. Если бы можно было что-то аналогичное купить с такой же функциональность, то можно было бы написать, не используйте Микротики. Но аналогов нет, поэтому добавить нечего.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#mikrotik
Домой купил себе новое устройство, а там уже стоит 7-я версия. Выбирать не приходится, поэтому стал пользоваться. И уже несколько раз сталкивался с глюками, которые портят впечатление об устройстве, как о надёжном инструменте, который один раз настроил и забыл. Для меня стало обыденностью перезагрузить устройство, чтобы решить какую-нибудь проблему.
Например, описываемый Kid Control иногда просто глючит. Всё настроено корректно, много дней работает. А потом почему-то в заданный интервал времени разрешающие правила не работают, активны запрещающие. Не помогает отключение и включение настроек. Перезагружаешь Mikrotik - всё работает нормально.
Последней каплей стал недавний глюк, который меня серьёзно напряг, что и побудило написать эту заметку и предупредить тех, кто ещё сидит на 6-й версии. Сидите дальше ☝️.
У меня перестало подключаться основное OpenVPN соединение, которое используется для различных задач. Оно мне нужно постоянно в том числе для работы, а отсутствие создаёт неудобства. В какой-то момент, скорее всего после недавнего обновления, но не сразу после него, соединение перестало устанавливаться без каких-либо изменений настроек со стороны роутера или сервера. У меня есть другие Микротики, которые подключаются туда же и с ними всё в порядке.
Сначала подумал, что провайдер включил какие-то блокировки. Но через этого же провайдера мой ноутбук нормально подключается по OVPN к тому же серверу. Перепроверил раз 10 настройки, сверил с другими роутерами. Всё настроено нормально, как везде и как было раньше тут.
Соединение устанавливается, получает статус connected, но не переходит в running. Со стороны сервера ошибок нет, всё четко. Он пушит настройки и маршруты. Но на роутер не приходят настройки IP адреса и маршруты этого клиента. Случайно заметил, что если включить настройку в OpenVPN интерфейсе Add Default Route, то соединение нормально устанавливается, но мне не нужно автоматом прописывать дефолтный маршрут через OVPN интерфейс. Работало раньше и без этого.
Уже на этом моменте я понял, что тупо что-то глючит. Решение нашёл случайно. В настройках интерфейса есть поле User и Password. Его не обязательно указывать, так как в OpenVPN аутентификация проходит по сертификатам. В данном устройстве пароль не был указан, либо он слетел после недавнего обновления. Тут не могу точно сказать, как было. Я мог от балды его указать, или не делать этого. Но факт в том, что в какой-то момент не меняя настройки я получил неработающее соединение.
После того, как в поле Password написал случайный пароль 123, соединение поднялось и начало работать, как и должно. Налицо явный глюк, который серьёзно напряг, так как догадаться в чём проблема, очень трудно. Никаких подсказок или ошибок нет, конфигурация не менялась. Я просто в какой-то момент для подключенного интерфейса сделал disable, а потом enable, а он не подключился.
Устройство из разряда простого и надёжного перешло в разряд страшно обновить и надо вечером перезагрузить. Дома ещё ладно, я перебился. Есть обходные пути. А если с филиалами связь развалится после кого-нибудь обновления? И не обновляться нельзя, но в то же время и не хочется хапнуть проблем на ровном месте.
Docker контейнеры, если что, тоже глючат. То зависнут, то отвалятся. Я в итоге не пользуюсь. Выводы не делаю, решать вам. Если бы можно было что-то аналогичное купить с такой же функциональность, то можно было бы написать, не используйте Микротики. Но аналогов нет, поэтому добавить нечего.
———
ServerAdmin:
#mikrotik
Please open Telegram to view this post
VIEW IN TELEGRAM
👍100👎23