Метка: Mikrotik

UEFI загрузка через PXE на Mikrotik

19 февраля, 2026
Без категорииСистемное администрирование

Всё чаще и чаще в мне руки попадают устройства без режима совместимости с BIOS (он же CSM). Ранее я уже делал заметку относительно организации PXE загрузки по сети на Mikrotik, сегодня же я хочу рассказать о том, как сделать загрузку гибридной — не только для систем на базе BIOS, но и для UEFI без CSM. Те читатели, кто уже успел поработать с UEFI, наверняка знают о принципе загрузки по умолчанию — если заранее не создавались пункты загрузочного меню, то UEFI будет пытаться найти загрузчик по следующему пути:

/EFI/Boot/bootx64.efi

Как это работает на практике: если скачать, например, EFI-версию утилиты Memtest86+ и переименовать извлеченный из архива бинарник mt86p_800_x86_64 в bootx64.efi, а затем расположить его по вышеуказанному пути, то система на базе UEFI самостоятельно его загрузит после включения. Общий концепт, надеюсь, понятен. Теперь же давайте откроем WinBox.

ЧИТАТЬ ДАЛЕЕ

Черный список посетителей сайта на Mikrotik

12 февраля, 2026
Системное администрирование

Сегодня я хочу описать в некотором роде специфическую схему — которая, впрочем, может оказаться полезной для владельцев собственных интернет-ресурсов, размещенных за маршрутизатором Mikrotik. Не секрет, что практически все сайты непрерывно подвергаются сканированию с самыми нехорошими намерениями. Если открыть лог обращений, то в глаза бросятся запросы на предмет получения доступа к файлам конфигураций веб-движков, админок, личных кабинетов и прочего. Конечно, можно просто оставить доступ к значимым страницам только для определенных адресов (хоть бы и посредством .htaccess), но я предлагаю предпринять несколько более серьёзные меры. Если для простых заблудившихся посетителей достаточно показать обычную 404-ю страницу, то для всяких проходимцев нужно показать страницу не столь обычную — а какую именно я сейчас объясню.

ЧИТАТЬ ДАЛЕЕ

Работа Firewall на Mikrotik по расписанию

20 января, 2026
Системное администрирование

Небольшое дополнение к предыдущей заметке относительно порта 80 — предполагается, что на маршрутизаторе настроены пробросы портов 80 и 443 до веб-сервера. При этом, фактически, доступность интернет-ресурсов по HTTP не нужна — за исключением работы с ACME, а она происходит по определённому расписанию. Следовательно, для полноты картины можно тоже включать и отключать правило проброса порта 80 по расписанию. Открываем WinBox и переходим в раздел «System», там выбираем пункт «Scheduler» и создаём новую задачу. В теле задачи пишем следующее:

/ip firewall nat set [find comment="HTTP"] disabled=no

Как нетрудно догадаться, вместо обозначения конкретного номера правила раздела «NAT» в «Firewall» мы ищем правило с определенным комментарием, в нашем случае это слово «HTTP». Это сделано для удобства работы — при таком подходе можно «тасовать» правила как угодно, это не затронет работу задачи в планировщике. В качестве альтернативы можно оперировать правилами не «NAT», а «Filter Rules»:

/ip firewall filter set [find comment="HTTP"] disabled=no

По образу и подобию создаются задачи на отключение правил. Имейте только в виду, что лучше задавать время с запасом — даже если вы уверены, что ACME отработает быстро и без задержек, нужно учитывать возможный «люфт» времени на Mikrotik относительно веб-сервера. А вообще, конечно, за временем нужно следить, синхронизация должна отрабатывать правильно и своевременно.

Централизованное снятие резервных копий с парка маршрутизаторов Mikrotik по SSH

14 ноября, 2025
Системное администрирование

Один из заказчиков с достаточно обширным парком маршрутизаторов Mikrotik озаботился резервным копированием настроек. Я был приятно удивлен, учитывая, что мотивацией было «ну так будет правильно», а не инцидент, когда вдруг нужна резервная копия (и которой нет). Заказчик сам вычитал про возможность отправки резервной копии настроек на почту, но перед внедрением решил проконсультироваться о возможных альтернативах — ниже я расскажу о том, как централизованно собираю бэкапы со своего парка устройств.

ЧИТАТЬ ДАЛЕЕ

Нетипичный Wake-on-WAN на Mikrotik

30 сентября, 2025
Системное администрирование

Один из заказчиков обратился с вопросом о дистанционном включении рабочих станций в центральном офисе и нескольких филиалах. Сеть везде построена на Mikrotik’ах, в центральном офисе белый адрес, связь с филиалами через VPN. Сам заказчик — тёртый калач, знает о технологии Wake-on-LAN, вычитал про проброс UDP портов 7-9, порассуждал о целесообразности поднятия Ethernet-over-IP, но в решении задачи не преуспел. В принципе — можно дожать традиционный вариант (просто нужно учесть, что по умолчанию Mikrotik блокирует broadcast пакеты, поступающие в локальную сеть извне) и создать отдельный широковещательный адрес. Но ещё можно оставить всю эту широковещательную историю за скобками и сделать схему на TCP портах.

ЧИТАТЬ ДАЛЕЕ

Фиксация TTL на Mikrotik

20 июля, 2025
Системное администрирование

Маленькая заметка о том, как зафиксировать TTL у всего исходящего трафика на Mikrotik — это может быть полезно как для обхода возможных ограничений со стороны операторов и провайдеров связи (тетеринг), так и для усложнения идентификации устройств, что находятся за NAT’ом нашего роутера. Прежде всего приведу табличку с типичными значениями TTL в разных операционных системах:

54 FreeBSD / BSD
64 Linux
128 Windows
255 Cisco / Solaris

Для фиксации TTL на Mikrotik нужно перейти в раздел IP->Firewall->Mangle, после чего создать новое правило со следующими параметрами:

[General]
Chain: postrouting
[Action]
Action: change TTL
TTL Action: change
New TTL: 54
Passthrough: yes

То же самое можно сделать через терминал:

/ip firewall mangle add action=change-ttl chain=postrouting new-ttl=set:54 passthrough=yes

Port Knocking на Mikrotik

3 июня, 2025
Системное администрирование

Статья по заявкам. Ранее я писал о Port Knocking на стороне клиента, как правильно делать «простукивание» портов через скрипт PowerShell. Сегодня я расскажу о реализации на стороне сервера — или, в нашем случае, на маршрутизаторе Mikrotik. В примере ниже я предлагаю обставить реализацию из 3-х шагов, однако вы можете как сократить количество шагов (но лучше не надо), так и нарастить до тех пределов, что еще можно назвать разумными.

ЧИТАТЬ ДАЛЕЕ