Скрипт проверяет доступность внешних интерфейсов удалённой площадки, и если они доступны проверяет внутренние адреса удалённой сети.
При необходимости сбрасывает установленные SA.

##############
# Flush SA script for RouterOS
# Arthur 25.01.2013
##############
 
:local Target Sklad
:local IPWatchServerExt1 8.x.x.8
:local IPWatchServerExt2 8.x.x.4
:local IPWatchServerInt1 10.x.x.1
:local IPWatchServerInt2 10.x.x.2
#######
:local StatusRemote1 [/ping $IPWatchServerExt1 count=3]
:local StatusRemote2 [/ping $IPWatchServerExt2 count=3]
#######
:if (($StatusRemote1=0) && ($StatusRemote1=0)) do={
:log info "Connection to $Target lost!!!"
} else={
:log info "Connection to $Target is OK!!!"
:local StatusIpsecT1 [/ping $IPWatchServerInt1 count=3]
:local StatusIpsecT2 [/ping $IPWatchServerInt2 count=3]
:if (($StatusIpsecT1=0) && ($StatusIpsecT2=0)) do={
:log info "IPSEC tunnel with $Target is down: Flushing Installed SA !!!"
/ip ipsec installed-sa flush sa-type=all
} else={
  :log info "IPSEC tunnel with $Target is OK !"
}}

Оборудование Mikrotik отлично подходит для организации филиальной VPN-сети. В центре ставим что-нибудь мощное из 1000-ой или 1100-ой серии (они, кстати, имеют на борту модуль аппаратного шифрования), а в регионы RB750 и выше.
Настройка IPSEC-VPN не представляет никакой сложности после ознакомления с документацией, при этом следует внимательно отнестись к выбору алгоритмов аутентификации и шифрования исходя из требуемого уровня безопасности и производительности. На мой взгляд, оптимальным является auth: md5 с enc:aes-256. Читать запись полностью »

До перехода на замечательные WiFi точки доступа UniFi с центральным контроллером, имелось некоторое количество условно-открытых отдельных AP предоставляющих доступ исключительно в Интернет через MikroTik. Спустя некоторое время после запуска этих AP было замечено их непрофильное использование некоторыми пользователями, а именно торренты, видео-хостинги и прочий тяжёлый контент, запрещённый в корпоративной сети. Т.к. в данном случае фильтры и жёсткие ограничения устанавливать было нельзя, пришлось удовлетвориться:

— ограничением ширины канала до каждой AP
— установкой дневного лимита входящего трафика, после которого скорость на AP сильно ограничивается (до выяснения обстоятельств) и отсылается уведомление администраторам по email

Читать запись полностью »

Захотелось мне заиметь на RB1000 VPN PPTP сервер, да не простой, а чтобы клиенты получали IP-адреса из диапазона реальной сети.
В теории никаких проблем такая задача не представляет, вот минималистское описание процесса.
Но естественно в реальности всё не так просто!
Читать запись полностью »

Встроенная в MikroTik RouterOS функция обеспечения отказоустойчивости доступа в Интернет(имеется ввиду check-gateway=ping), имеет огромный недостаток: она проверяет доступность шлюза провайдера, а не доступность сети Интернет через этого провайдера.

Подобное решение для Linux я уже описывал, и это можно сказать его «порт» на RouterOS 🙂

Читать запись полностью »

Для организации защищённых каналов с удалёнными офисами было решено использовать оборудование MikroTik.

Но если с центральным офисом было всё понятно — туда RB1000, его производительность IPSec известна и достаточна:

То с оборудованием для удалённых офисов стоял вопрос.

Читать запись полностью »