Блог ravenich'а

Потребовалось добавлять IP адреса из лога в адрес-лист по которому дропается траффик в raw prerouting На скорую руку получился вот такой вот скрипт: :foreach line in=[/log print as-value where buffer=memory message~"failed to get valid proposal"] do={ :set $targetip [:toip [:pick ($line->"message") 0 [:find ($line->"message") " "]]] :if ([:len [/ip firewall address-list find address="$targetip" and list="IPSEC"]] = 0) do= /ip firewall address-list add list=IPSEC address=$targetip :put "$targetip added to list IPSEC"} } Остается добавить его в планировщик и запускать с необходимой периодичностью. Конечно нужно добавить правило для дропа трафика. В целом можно даже адаптировать для работы со всякими правилами дропа SSH и RDP.

Так уж вышло, что у наших клиентов сеть оказалась такой же как у нас (192.168.0.0/24) По долгу службы необходимо понять IPSec Tunnel между Mikrotik (у нас) и Cisco ASA (у них) Как-же такое реализовать? Очень просто. Придет на помощь NAT. Итак схема: Наши адреса транслируются в 192.168.77.0/24, их в 192.168.78.0/24 Начнем с конфигурации Cisco ASA Данное устройство там уже давно работает, настроено подключение ВПН клиентов, поэтому весь конфиг приводить не буду. //ACL для шифрования траффика access-list L2L-MAIN extended permit ip 192.168.78.0 255.255.255.0 192.168.77.0 255.255.255.0 //ACL направление для NAT access-list SRC-TO-77 extended permit ip 192.168.0.0 255.255.255.0 192.168.77.0 255.255.255.0 //Сам NAT static (inside,outside) 192.168.78.0 access-list SRC-TO-77 //Настройки IPSec crypto ipsec transform-set VPN-MIKROTIK esp-aes esp-md5-hmac crypto map VPN-MAP 10 match address L2L-MAIN crypto map VPN-MAP 10 set peer 1.1.1.1 crypto map VPN-MAP 10 set transform

Всем привет! Есть у меня дача в деревне и там стоит роутер TP-Link 3420 с OpenWRT, использую я его в связке с 4G модемом ZTE MF825, в городе Mikrotik RB951G-2HnD, провайдер Псковлайн, этот провайдер предоставляет услугу IPTV и я настроив IGMP Proxy пользуюсь приставкой MAG-245 для телевизора. Приехав на дачу я заметил что МТС стал ограничивать время некоторых сессий (RDP, SSH), нормально не поработаешь на удаленных серверах, да и постоянные проблемы от того что сайтам кажется что я в Санкт-Петербурге. Еще захотелось привезти приставку и посмотреть тот-же Paramount Comendy на телевизоре. Было решено настроить L2TP туннель до микротика и настроить igmp proxy. Почему именно этот туннель? Дело в том что в городе у меня серый IP, но адрес за натом провайдера не меняется, также есть DNS запись на сервере провайдера вида gorod-home.pskovline.ru, а вот у МТС IP каждую новую сессию меняется. Итак, исходные условия такие: Mikrotik: Сервер L2TP Домашняя сеть - 192.168.20.0/24 Публичный IP -

Данный модем прекрасно настраивается на роутерах с прошивкой OpenWRT. Для подключения необходимо выполнить всего несколько команд: opkg update opkg install kmod-usb-storage usb-modeswitch kmod-usb-net-cdc-ether kmod-usb-net-rndis vi /etc/config/network config interface 'wan'         option ifname 'usb0'         option proto 'dhcp' reboot Перезагружаемся и наслаждаемся интернетом. (Данный вариант может и не заработать, лучше всего установить на модем web-интерфейс и настроить авто-подключение. После данных манипуляций гораздо проще диагностировать проблему отсутствия подключения к сети)

Приобрел тут себе 4G модем ZTE MF825 и сразу же решил его протестировать. Для удобства сменил (добавил) web-интерфейс, разблокировал доступ для любых сим-карт, добавил соответствующие профили ну и подключил к своему маршрутизатору RB951g-2HnD. В целом все что я сделал не является чем-то сверхъестественным, но есть пару нюансов, о которых я расскажу. Для начала разблокируем девайс. Процедура банальна и отлично описана на 4pda (описание в шапке данной темы ). Теперь зальем web-интерфейс: telnet 192.168.99.1 9615-cdp login: root Password: zte9x15 rm /usr/zte_web/ZTEMODEM.ISO reboot telnet 192.168.99.1 cd / wget https://db.tt/xlrOegjx tar zxvf wui_mf825_2014-06-30.tgz rm wui_mf825_2014-06-30.tgz reboot Поподробнее по пунктам: 1. Подключаемся telnet'ом по стандартному ip адресу 192.168.99.1 с логином: root и паролем: zte9x15 2. Удаляем образ для виртуального привода, для того чтобы освободить место (пользователь thunder367 с 4pda сделал копию папки /usr/zte_web, я набрался храброс

Итак, есть в наличии модем Huawei E303 (HiLink), необходимо сделать чтобы он мог совершать звонки и принимать их. Также преследуется цель получения и отправки СМС и USSD запросов. Чаще всего данный модем идет с прошивкой в которой voice feature отключена. Так было и в моем случае. Значит надо его перепрошить. Скачиваем прошивку здесь . Для того чтобы прошить модем требуется flash код, его можно получить введя imei код модема тут . Прошиваем, проверяем dc-unlocker'ом - все ок, voice feature: enabled. Теперь необходимо собрать модуль chan_dongle для asterisk'а с патчем (патч во вложении в нижнем комментарии), настроить диал план и проверить работу. P.S.: Мне так и не удалось найти нормальный dashboard для данной версии прошивки, поддерживающий голосовые звонки, но так как цель звонить из винды не стояла - запариватся я не стал. Может, кому-то повезет больше и он найдет работающий dashboard.