Дропване на безжичната мрежа

[sarrion]

Здравейте,

имам два Микротика вкъщи като единият е gateway RB750Gr3, той няма wifi а само възможност по лан. Преди време бях вързал към микротика стар TP-Link TL-WR841N, който играеше ролята на аксес пойнт. Това, което забелязах е,че сигнала едвам стига до другата стая, където или се губи или често безжичните устройства губят сигнал. Затова му сложих openwrt с надеждата,че ще се оправи проблема. За съжаленеи той продължи и затова реших да заменя Tp- линка с изцяло ново устройство. Купих аксес пойнт RB941-2nD. Проблемът отново е появи, ако съм в стаята където е аксес пойнта връзката е много добра (понякога от служебният лаптоп ми се изключва vpn,но е възможно да е от самият vpn). Отида ли в другата стая сигнала много отслабва, губи се въпреки, че ползвам D-lin екстендер. Проблема го няма ако ползвам кабел. Възможно е да от самите лаптопи, защото са доста старички и не позволяват никакъв ъпдейт на безжичните драйвъри. Също се чудех дали проблема не е първият микротик. Държа да отбележа, че съм му пуснал firewall настройки от тук 

 Понякога си мисля,че рамта му не издържа, защото постоянно е на 200 мг зает. Другата причина, заради, която си мисля,че може да прекъсва връзката е защото аксес пойнта стой до Хуавей на А1, който се води първоначалната точка. Даже си мислех за варианти да изключа firewalla на първият Микротик и чрез рутиране на пренасоча трафика към pfsense (ако евентуално нещо се товари). Задавал съм точна честота и не е на "auto", мислех си даже да не се получава конфликт между dns сървъри,защото ползвам на opendns и отделно съм си пуснал виртуалка на Pi-hole, която също ми е филтриращ dns.

[111111]

Директно разкарай тез глупости с динамичното наливане на правила за "некакви" мрежи или си купи нещо с 2 гиги рам поне.

Вместо да наливаш пари в глупостта "репитер" си вземи Power-line

Виж кой е най не натоварения канал на ефира и си го пусни на 20мхз.

[sarrion]

А как става рутирането на целият трафик към Pfsense? Търсих материали как става, но не намерих, искам да опитам да пренасоча целият трафик натам, ще го пусна на виртуалка, и ще изключа повечето правила на първият Микротик с надеждата да спадне натоварването на рамта.

[JohnTRIVOLTA]

Както те посъветваха премахни тази конфигураця . Достатъчно е като начало да сетнеш по подрзбиране нужните 10-15 правила в стената. Ползвай и си сетни фемъли проткшън DNS-и на Adguard /176.103.130.132, 176.103.130.134/  или OpenDNS /208.67. 222.123, 208.67. 220.123/ пример. Сетни си DHCP да дава ДНС сървър твоят рутер.За всеки случай в стената в нат редиректни заявките към ДНСте да минават през теб . И да завършем с ДНСите е хубаво да блокираш DOT завките на портове 453 и 853.Също така може да си добавиш адрес лист с повечето познати адреси на DOH сървърите и да блокираш в RAW и заявки към тях на порт 443. Блокирай познатите портове на Socks и Proxy сървъри. Може да си добавиш и този скрипт 

ip firewall address-list
:local update do={
:do {
:local data ([:tool fetch url=$url output=user as-value]->"data")
remove [find list=blacklist comment=$description]
:while ([:len $data]!=0) do={
:if ([:pick $data 0 [:find $data "\n"]]~"^[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}") do={
:do {add list=blacklist address=([:pick $data 0 [:find $data $delimiter]].$cidr) comment=$description timeout=1d} on-error={}
}
:set data [:pick $data ([:find $data "\n"]+1) [:len $data]]
}
} on-error={:log warning "Address list <$description> update failed"}
}
$update url=http://feeds.dshield.org/block.txt description=DShield delimiter=("\t") cidr=/24
$update url=http://www.spamhaus.org/drop/drop.txt description="Spamhaus DROP" delimiter=("\_")
$update url=http://www.spamhaus.org/drop/edrop.txt description="Spamhaus EDROP" delimiter=("\_")
$update url=https://sslbl.abuse.ch/blacklist/sslipblacklist.txt description="Abuse.ch SSLBL" delimiter=("\r")

в ежедневна задача да ти сваля адрес листи на Spamhаus, DShield и Abuse , като ще блокираш към тях и от тях листи заявки в RAW също.

Мисля това е достатъчно за да си позащитил локалната/е/ мрежа/и/ !

[sarrion]

Благодаря много! А има ли значение кой dns сървър ще избера на Adguard, защото в официалният им сайт има доста? Или тези които написахте са специално за реклами. Защото видях,че и те като Opendns имат family protection.

[111111]

Каквито и да слагаш хром браузерите не ги ползват.

[JohnTRIVOLTA]

Преди 6 часа, sarrion написа:

Благодаря много! А има ли значение кой dns сървър ще избера на Adguard, защото в официалният им сайт има доста? Или тези които написахте са специално за реклами. Защото видях,че и те като Opendns имат family protection.

Слагай ги и четирите адреса ! Може да добавиш и на клоудфлеър 1.1.1.3 и 1.0.0.3 също. За реклами ползвам за браузърите uBlock Origin или Adguard, но ми е малко по-агресивен сякаш!

[yHuKyM]

Как успявате да ги изядете тези 200 мегабайта памет при този сценарий, чак не ми се вярва.

Моят 4011  е с 1Г памет, от които 968 са свободни.

На него работят:

4 dhcp сървъра за 4 отделни мрежи

DNS

54 FW правила

6 тунела

VPN сървър

USP mon

Заети са 10Г порта и 9 от другите и редовно си тече трафик

 

едит:

мрежите са в бриджове, има и VLAN-и

 

Edited December 8, 2020 by yHuKyM

[JohnTRIVOLTA]

32 000 записа в адрес листите и 96 000 записа в DNS води до това , така че тези настройки от линка на питащият се правят точно на устройства поне с 1ГБ памет !

[niki5]

Е то човека пита ако иска Микротика може и на виртуалка да го пусне .Да но тя разбирасе си гълта повечко ток