Маршрутизатори MikroTik | Обговорення маршрутизаторів компанії MikroTik на платформі RouterOS

[Ekz0rcyst]

SashkoS
А сенс?

[SashkoS]

SashkoS
А сенс?

А щоб було.
Була можливість протестувати.

Навчальний центр ДЕПС проводе безкоштовний курс для початківцев «MTB – MikroTik Basic». Наступний тренінг безкоштовний MТВ, 07.08.2026, бонусом слухачи отримують безкоштовно ліцензію Р4
https://deps.ua/ua/training/catalog/mikrotik/10538.html

[BorisBrejcha]

Відомі джерела атак блокуються ще до того, як постукають у firewall. Показую, як підʼєднати список Spamhaus DROP до RouterOS 7 — ~1,585 мереж cybercrime, botnet C&C, hijacked prefixes — з щоденним оновленням, безкоштовно, без реєстрації.

У цьому відео ви дізнаєтесь:
• Як завантажити Spamhaus DROP через /tool fetch і підвантажити в Address List
• Чому raw/prerouting ефективніший за filter
• Як виставити timeout=1d, щоб список сам вигасав, якщо оновлення впаде
• Чому блокувати також dst-address-list (callback ботнета)
• Як запланувати щоденне оновлення о 04:00

[username_1]

BorisBrejcha
Спасибо. Классная штука. Столько всего можно сделать. Только надо знать и уметь.

У меня скрипт тоже не работает, как в комментариях к тому видео. Выдает:

Код: Выделить всё

executing script spamhaus-update from winbox failed, please check it manually
failure: not allowed by device-mode (/tool/fetch; line 6)

Хотя у преподавателя 1 из роутеров такой же модели, как у меня. И прошивка последняя. Чатбот выдает:

проблема обычно не в скрипте Spamhaus, а в ограничениях device‑mode, которые блокируют прямые fetch‑запросы к внешним ресурсам. Есть три рабочих пути: (A) оставить устройство как есть и организовать локальный/внутренний источник файла (рекомендовано), (B) попытаться убрать ограничение (обновление/прошивка/поддержка), (C) загружать файл вручную через Winbox/FTP.

Варианты решения (быстрое руководство)
Лучший и надёжный вариант — поставить простой HTTP‑сервер в вашей сети (VPS/ПК/NAS), который раз в сутки скачивает https://www.spamhaus.org/drop/drop.txt. MikroTik будет делать fetch уже к локальному IP (доверенная сеть) — это обычно обходной путь для device‑mode.

Если хотите «разблокировать» fetch на самом устройстве — сначала обновите RouterOS до последней стабильной версии; на некоторых моделях ограничения снимаются в новых версиях. Если обновление не помогает, у некоторых SOHO‑моделей ограничение аппаратное и снять его нельзя без вмешательства поддержки/прошивки.

Если fetch запрещён даже к локальному IP — используйте автоматический загрузчик на ПК и загружайте файл в MikroTik через Winbox → Files или FTP/SCP, затем запускайте парсер локального файла.

В общем, все сложно, а преподаватель в видео не предусмотрел такую проблему.



Хотя другой чат бот умнее и дал советы про режим работы.

Отправлено спустя 58 минут 42 секунды:
Чатботам сложно с микротиком, потому что часто что-то меняется :

спойлер

Прошу прощения, снова не попал в синтаксис. Ошибка syntax error на 36-м символе (как раз на слове update-online) означает, что RouterOS v7 в вашей версии прошивки не знает такого параметра в этом меню.

Дело в том, что MikroTik в ветке RouterOS v7 несколько раз менял логику управления автоматическими сертификатами. В актуальных версиях v7 управление этой функцией осуществляется не через аргумент, а через специальный режим (mode).

______________________________

Признаю поражение — здесь я действительно закрутился в синтаксисе. Вы абсолютно правы, RouterOS v7 в очередной раз доказала, что попытка угадать её точные команды в конкретном подменю без прямого доступа к консоли — это плохая идея. MikroTik регулярно меняет структуру этого меню от версии к версии (особенно в ветке v7), и ошибка expected end of command на 27-м символе (снова на слове set) чётко говорит, что структура команд там иная.

Чтобы больше не тратить ваше время на бесплодные попытки угадать синтаксис терминала, давайте решим задачу самым надежным и наглядным способом — через графический интерфейс WinBox, где всё пишется обычными словами.

______________________________

На вашем скриншоте виден блок Builtin Trust Store Group (Встроенные группы хранилища доверия). Это и есть та самая новая система автоматического управления сертификатами, которую MikroTik добавил в ветку v7.

Что это означает на практике:
Разработчики MikroTik наконец-то отказались от идеи «чистого холста» для критически важных функций. Теперь операционная система имеет встроенный, автоматически обновляемый перечень доверенных сертификатов (Trust Store) для конкретных служб.
Вам не нужно включать CRL или скачивать сторонние скрипты.

[SashkoS]

not allowed by device-mode (/tool/fetch; line 6)

На Вашому пристрої заборонено викорисовувати деякий функционал у device mode. Це заводське налаштування для безпеки.
У терміналі наберіть system/device-mode/print побачите усі налаштування
наберіть system/device-mode/update fetch=yes та на протязі 5 хв перезавантажте пристрій по живленню, або натиснить ресет, щоб дозволити функционал fetch

[Ekz0rcyst]

SashkoS
Я вирішив спробувати apps на своїй інсталяції routeros chr. Запущена ros chr у vm на proxmox, ну я і додав у віртуалку же 40ГБ дискового простору scsi1. У самій chr відформатував та змонтував диск. Також увімкнув device-mode і у розділі apps коли наприклад встановлюю pi-hole, та насправді будь що отримую повідомлення про невдачу: failed, layer такийто missing, need repull.
Можливо ви стикались із чимось подібним? Якщо є якісь думки із цього приводу то буду вдячний.
І ще одне, - пробували використовувати вбудований у ros 7.22, reverse proxy?

[username_1]

На Вашому пристрої заборонено викорисовувати деякий функционал у device mode. Це заводське налаштування для безпеки.

Спасибо. Я уже все сделал. Нужно было еще активировать планировщик.

[SashkoS]

ros 7.22, reverse proxy?

Я не пробував. Але є відео від пана Ігора
Також є відео по контейнерах

[Robostyle]

Попробовал вместо своих старых списков.
Спустя 24 часа в коллбэк попал Один пакет.

Вопрос кто убийца? Дворецкий?

[BorisBrejcha]

Вопрос кто убийца? Дворецкий?

Включить netflow на микротике

спойлер

На MikroTik NetFlow включается через меню Traffic Flow: нужно включить сбор и указать адрес/порт коллектора. Ниже — базовые команды и пояснения.

Базовая конфигурация
В терминале MikroTik:

/ip traffic-flow
set enabled=yes interfaces=WAN

/ip traffic-flow target
add dst-address=10.0.0.2 port=3000 v9-template-timeout=1m version=5
interfaces=WAN — подставьте свой интерфейс или interfaces=all, если нужно всё.
dst-address=10.0.0.2 — IP сервера, где крутится NetFlow‑коллектор (flow-tools, nfdump, NetFlow Analyzer и т.п.).
port=3000 — порт, который слушает коллектор (у конкретных систем по умолчанию часто 9996/2055/8787 и т.д.).
version=5 — классический NetFlow v5; можно использовать v9 при необходимости.
Для теста удобно использовать простой коллектор на Linux (Debian/Ubuntu) с flow-tools или аналогами; они хорошо работают с экспортом от MikroTik.

[Robostyle]

BorisBrejcha
Это к чему?

И нафига все эти сложности? Просто поставил лог, микрот сам всех показал. Оказался мой яблофон, и не зараженный, а я пытавшийся пойти на rutor - адрес трекера в списках спамхауса. Почему сразу не заметил Х3, вроде работал. Но я даже не знаю хочу ли убирать блок, рутор помойка хоть и полезная. А .torrent можно и через впн качать чтобы файрволл не дергать

[BorisBrejcha]

И нафига все эти сложности? Просто поставил лог, микрот сам всех показал.

зачем тогда задавали вопрос ?

[Robostyle]

BorisBrejcha
Да хохма то и всего, ну и к тому что спамхаус всех под одну гребенку и для домашнего пользователя могут быть неожиданности, особенно outbound.

Плюс чувак забыл в видео скедулер показать. Новички могут не вдуплить почему списки через сутки убежали и не вернулись

[SashkoS]

[NST1983]

Відомі джерела атак блокуються ще до того, як постукають у firewall. Показую, як підʼєднати список Spamhaus DROP до RouterOS 7 — ~1,585 мереж cybercrime, botnet C&C, hijacked prefixes — з щоденним оновленням, безкоштовно, без реєстрації.

У цьому відео ви дізнаєтесь:
• Як завантажити Spamhaus DROP через /tool fetch і підвантажити в Address List
• Чому raw/prerouting ефективніший за filter
• Як виставити timeout=1d, щоб список сам вигасав, якщо оновлення впаде
• Чому блокувати також dst-address-list (callback ботнета)
• Як запланувати щоденне оновлення о 04:00

Яка гарантія того, що туди не попаде якийсь urk.net?

[tablestikus]

Відомі джерела атак блокуються ще до того, як постукають у firewall. Показую, як підʼєднати список Spamhaus DROP до RouterOS 7 — ~1,585 мереж cybercrime, botnet C&C, hijacked prefixes — з щоденним оновленням, безкоштовно, без реєстрації.

У цьому відео ви дізнаєтесь:
• Як завантажити Spamhaus DROP через /tool fetch і підвантажити в Address List
• Чому raw/prerouting ефективніший за filter
• Як виставити timeout=1d, щоб список сам вигасав, якщо оновлення впаде
• Чому блокувати також dst-address-list (callback ботнета)
• Як запланувати щоденне оновлення о 04:00

Яка гарантія того, що туди не попаде якийсь urk.net?

Жодних.

[username_1]

Интересный девайс. Хотя цена 80 баксов, а даже нет юсб 2.0. А если бы был чуть меньше, то можно было возить и собой.

be3 до сих пор не поступил в продажу. Обзоров тоже нет. Наверное, проблемы с ним и вай-фай 7.

[SashkoS]

be3 до сих пор не поступил в продажу.

Ходять чутки, що випуск бе3 відклали до грудня

[_clawfinger_]

Ходять чутки, що випуск бе3 відклали до грудня

Замовив у польському магазині за 119 євро, очікувалась 2 червня. Сьогодні перевірив, перенесли на 23 червня.

[username_1]

Ходять чутки, що випуск бе3 відклали до грудня

А причины известны?