Comments 31
Насколько я помню, L7 не будет работать с https сайтами. В этой статье я рассказывал, как наполнять адрес-лист с помощью скрипта и протокола DNS.
По второму пункту вопрос, почему не хотите использовать CAPsMAN для управления точками доступа?
L7 будет работать с чем угодно, тут дело в другом. В том что пакет https зашифрован, а так L7 какая разница какой пакет.
Блокирует, но не сразу, требуется время на реакцию. Проверено на e.mail.ru, gmail.com и других. По поводу наполнения адресного листа — я стараюсь использовать стандартные реализации RouterOS и применять скрипты только там, где иначе никак.
Основная мысль второго пункта — копирование настроек между устройствами. CAPsMAN же только контроллер ТД. Копирование access-list'а — это только пример. (На самом деле да, надо заняться CAPsMAN'ом, спасибо).
Блокирует, но не сразу, требуется время на реакцию.

По этой причине, а так же по той что нельзя перенаправить после срабатывания L7 на страничку заглушки пришлось перейти к использованию WEb-Proxy у MikroTik
Web-proxy https не умеет :(
Под временем на реакцию я имел ввиду первоначальный анализ трафика. То есть до начала срабатывания блокировки или роутинга может пройти не одна минута. Скорее всего это зависит от загруженности канала.
Web-proxy работает как прозрачный прокси. Интересно а как просто прокси на порту он будет работать? В этом случае можно WPAD настроить и все перевести на проксю, ну а 443 порт дропнуть. Если же нет то как я делал — сквид на отдельном сервере.
Не вполне понимаю о чем речь про прокси на порт. Поясните пожалуйста.
непрозрачный прокси — когда в браузере указываешь ip и порт прокси сервера в этом случае туда попадает и http, и https трафик. Для того чтобы не указывать в браузере вручную делают wpad файл и размещают на wpad хосте. Так же в dhcp и dns сервере.
Это понятно. Но если вы и так дропаете 443 порт, то… то остается только обычный http. Или я как-то иначе понимаю?
Даже если https завернуть на Web-proxy, Web-proxy ничего с этим трафиком не сделает, не умеет.
если непрозрачный прокси и браузер ходит через него то https трафик (по крайней мере запрос к домену) будет доступен прокси серверу (например со сквидом это так. видно куда пользователь ходил), а 443 дропаем чтобы в обход прокси сервера не ходили. 80 порт завернут на прозрачный прокси. Вот как то так.
Https трафик ходит, соединения видно. Но Web-proxy не совсем тот инструмент для отслеживания активности пользователей.
Встречный вопрос по CAPsMAN'у: требуется ли постоянная связь между менеджером и клиентом? В случае разрыва у клиента останутся старые настройки или настроек не станет совсем?
Очень интересный вопрос. У меня нет возможности проверить. Если в момент загрузки CAP не установит связь с CAPsMAN'ом, то работать точно не будет. При обрыве связи скорее всего тоже, хотя я не уверен. Думаю, для Вас ничего сложного нет в том, чтобы попробовать самостоятельно изучить данный вопрос, поэкспериментировать.
Проверил и еще раз перечитал документацию:
When a CAP is controlled by CAPsMAN it only requires the minimum configuration required to allow it to establish connection with CAPsMAN. Functions that were conventionally executed by an AP (like access control, client authentication) are now executed by CAPsMAN. The CAP device now only has to provide the wireless link layer encryption/decryption.

Работает только в он-лайн режиме.
на своей памяти помню 3 версии RouterOS(например примерно 6,11), которые намертво убивали половину микротиков на предприятии(у меня их больше 100, не спрашивайте где и зачем). Так что я зарёкся обновлять их раз в год, чего и вам советую.
У меня был инцидент лишь 1 раз как раз в районе 6.11 — IPSec отказывался работать между 6.11 и любой версией ниже. Обновил все устройства, взлетело без проблем.

При обновлении биоса? При обновлении прошивки не помнится чтобы кто-то умирал. Парк более 1к устройство фирмы Микротик.
Можете тоже рассказать о своей топологии микротиков? 1К это более чем значительно.
Провайдер. Внутри дома от 3 до 7 маленьких роутеров. По подъезду китайские свитчи. Между домами радиоканалы в MESH сети. Доступ в основном по pppoe реализован. В ядре несколько CloudCoreRouter и один ПК с MikroTik на борту (пока не сменили на еще один CCR1072).
Зачем в домах столько роутеров? Одного бы не хватило? (Спрашиваю как человек далёкий от проблем и потребностей провов).
Один на два подъезда в некоторых случаях один на подъезд. Используются 750 как правило внутри дома а снаружи барабаны и зайцы.
нет. В указанной мною версии микротики при заходе в первое верхнее quick меню просто вешались и переставали пинговаться. NETINSTALL для отката спасал.
quick меню не пользовался, да и вообще в основном через ssh ходил, так что ничего по этому поводу не скажу. Но помню была у них прошивка в которой после прошивки биоса устройство смело можно было выбрасывать. Какие то барабаны были сейчас уже не вспомню какие точно.

А в Вашем случае и подобных связанных с прошивкой — NETINSTALL спасет. Для малых сетей в офисах или дома можно пользоваться если готов к таким сюрпризам. Все же это не часто надеюсь.
И всё же попрошу вас рассказать про свои больше 100 микротиков. Я думаю многим тут будет интересно. Уж очень интересна топология. Если конечно под NDA не попадает. =)
Про обновления с вами согласен, вообще следую правилу: работает — не трогай.
работает — не трогай

для поддержания рабочего состояния и правильного рабочего состояния обновляться необходимо. Подтверждение этому хотя бы постоянные обнаружения уязвимостей в различных технологиях. У микротика тоже были уязвимости и неверно работающие технологии.
Даже если не убивает, то багов можно с новой версией поймать столько, что расхлебывать будешь аккурат до следующего релиза
Открытая сеть при передаче компроментирует мак адреса. Подменить не тяжело.
Обновлять микротики в автоматическом режиме — это верный способ нажить себе недосып и недовольство клиентов.
Наиболее рациональный способ — это добраться до той версии ROS, где все работает так, как тебе надо, и успокоиться на полгода-год. Через год почитать список багфиксов, и, если есть что-то интересное, обновляться.

У меня до сих пор все радиомосты работают на 5.26 и в ус не дуют. Дома 6.32 для экспериментов. Клиентам сейчас ставлю 6.30
Only those users with full accounts are able to leave comments. Log in, please.