-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
brickm
őstag
Köszi a segítséget mégegyszer. feltettem én is a 2.2.2-est azzal nekem is csak egy sor hibaüzenet van. Ebbe már belenyugszok.
Még egy dolgot tapasztaltam amit nem nagyon értek.
VAn egy tp link Accesspointom 192.168.0.2-es címen, a konfig menübe belehet lépni minden címről, 80as porton. Helyi hálón ez tökéletesen működik is, de ha openvpn-ről lépnék be egyszerűen csak teker a lap de nem történik semmi. A hálózaton lévő többi eszközt viszont elérem szépen.
Az AP-ot átnéztem, semmi firewall, vagy tiltás nincs benne bekapcsolva, remote connetion 255.255.255.255 tehát kintről is minden cím engedélyezett. -
brickm
őstag
-
brickm
őstag
Ugyan ez a gép, ugyan ezekkel a fájlokkal linux alól felcsatlakozik, majd 5mp múlva automatikusan le. A telefon mindvégig fentmarad mig én le nem választom, vagy szerver(=tehát én)
Wed Nov 1 15:46:12 2017 VERIFY OK: depth=1, C=HU, ST=HB, L=Debrecen, O=Home, OU=MyOrganizationalUnit, CN=Home CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Nov 1 15:46:12 2017 VERIFY OK: depth=0, C=HU, ST=HB, L=Debrecen, O=Home, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Nov 1 15:46:12 2017 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 1 15:46:12 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 1 15:46:12 2017 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 1 15:46:12 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 1 15:46:12 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 AES256-GCM-SHA384, 2048 bit RSA
Wed Nov 1 15:46:12 2017 [server] Peer Connection Initiated with [AF_INET]IP
Wed Nov 1 15:46:15 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:20 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:25 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:25 2017 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.0.1,ping 20,ping-restart 60,topology subnet,route-gateway 192.168.90.1,ifconfig 192.168.90.7 255.255.255.0'
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: timers and/or timeouts modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: --ifconfig/up options modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: route-related options modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Nov 1 15:46:25 2017 ROUTE: default_gateway=UNDEF
Wed Nov 1 15:46:25 2017 ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Wed Nov 1 15:46:25 2017 Exiting due to fatal error -
brickm
őstag
Sziasztok!
Ujabb fennakadásba ütköztem.
OpenVPN szervert indítottam a mikrotik RB-on.
Tökéletes az eredmény amennyiben a telefonomról(=android7.0) csatlakozok, akár másik wifi, akár mobilnetről.
Viszont a notebookom nem hajlandó csatlakozni.
Open VPN kliens fentvan, ugyan azokat a crt-ket másoltam be neki amit a telefonnak, ugyan az a *.ovpn fájl, ami a telefonon. Mi lehet a baja?A hibaüzenet a következő:
Wed Nov 01 15:19:21 2017 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Wed Nov 01 15:19:21 2017 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Nov 01 15:19:21 2017 MANAGEMENT: >STATE:1509545961,RESOLVE,,,,,,
Wed Nov 01 15:19:21 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]IP:PORT
Wed Nov 01 15:19:21 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Nov 01 15:19:21 2017 Attempting to establish TCP connection with [AF_INET]IP:PORT [nonblock]
Wed Nov 01 15:19:21 2017 MANAGEMENT: >STATE:1509545961,TCP_CONNECT,,,,,,
Wed Nov 01 15:19:22 2017 TCP connection established with [AF_INET]IP:PORT
Wed Nov 01 15:19:22 2017 TCP_CLIENT link local: (not bound)
Wed Nov 01 15:19:22 2017 TCP_CLIENT link remote: [AF_INET]IP:PORT
Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,WAIT,,,,,,
Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,AUTH,,,,,,
Wed Nov 01 15:19:22 2017 TLS: Initial packet from [AF_INET]IP:PORT, sid=4b8ef1ab ee265ca9
Wed Nov 01 15:19:22 2017 OpenSSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
Wed Nov 01 15:19:22 2017 TLS_ERROR: BIO read tls_read_plaintext error
Wed Nov 01 15:19:22 2017 TLS Error: TLS object -> incoming plaintext read error
Wed Nov 01 15:19:22 2017 TLS Error: TLS handshake failed
Wed Nov 01 15:19:22 2017 Fatal TLS error (check_tls_errors_co), restarting
Wed Nov 01 15:19:22 2017 SIGUSR1[soft,tls-error] received, process restarting
Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,RECONNECTING,tls-error,,,,,
Wed Nov 01 15:19:22 2017 Restart pause, 5 second(s) -
brickm
őstag
Bocs a sok uj posztért, de szerkesztési időn kívül jönnek az ötletek.
Ez konkrétan mit akar egyébként?
The authenticity of host '[d------.org]:40022 ([188.----]:40022)' can't be established. key fingerprint is SHA256
HB**********HDmZbjjL5/I2T2Tf****Wo0aY. re you sure you want to continue connecting (yes/no)? yes -
brickm
őstag
Ezzel a kérdésemmel kapcsolatban annyit, hogy nem lehetséges, hogy maga az eszköz tud valamiféle hálózati kényszerítést csinálni?
Csak mert ugye a lent említett tűzal sor után is pingelhető, igen ám, de ha alapból az egész hálózatra teszek egy ICMP csomag drop szabályt minden más pingelhetetelen, kivéve a kamera....Őt lehet pingelni akkor is a PC-ről, míg se a routert, se az AP-t se a telefont.... -
brickm
őstag
válasz
bambano
#4017
üzenetére
Így nem dobja a hibaüzenetet az elejére de a tényállás változatlan, kulccsal is beenged meg anélkül is.
pedig..: nem olyan bonyolult így ránézésre----
szerk.: na asszem sikerült.
Szóval legenerálod az SSH kulcsokat, majd a ROS-ben nem SSH priv. keys-nél rendeled a kulcsot a user-hez, hanem melltte az SSH keys-ben. (a *.pub-ot)
A key.txt-be kimásolod a privát kulcsot chmod 600- nem jó a tulajdonos Ír ÉS olvas mód, csak a tulajdonos OLVAS!!!Ezután ha hozzárendeled a kulcsot beenged, ha nem kóddal se.
Nehéz szülés volt, logikáját még nem értem de ok.Másik, ezaz scp -P 40022 || ssh -p 40022 kiégette a lelkem finoman szólva
nem lehetett volna egyformára tervezni őket ááá.Köszi a segítséget!
-
brickm
őstag
válasz
bambano
#4015
üzenetére
Ezt próbáltam, de sajnos ez fogadott:
root@DESKTOP-SSPLVJA:~/.ssh# ssh user1@mikrotik.net -p 40022 -i key.txt
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0777 for 'key.txt' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "key.txt": bad permissions
user1@mikrotik.net's password:Akkor nem kér csak kódot, ha magának a user-nak nem adok mikor létrehozom, csak üresen hagyom, de akkor kulcs se kell, simán beenged.
-
#4014
brickm
őstag
Core2duo6600
#4009
brickm
őstag
válasz
Core2duo6600
#4009
üzenetére
Ezt (is) próbáltam mielőtt írtam, de nem vált be sajnos, ezért írtam.
action=drop chain=input comment="Drop DAHUA IP CAM" src-address=192.168.0.10Sajna ugyan úgy pingelhető és kommunikál is a hálón.
-
brickm
őstag
Sziasztok!
SSH privát kulcsos belépést próbálok elsajátítani itthonra, de jutub videot követve sem sikerül.
Amit csináltam:
ubuntu bashból generáltam egy ssh kulcsot:
#ssh-keygen -t dsa
passw:proba1ezt a két fájt felmásoltam a mikrotikre scp-vel, majd a users menüben hozzáadtam a user1-hez beírtam ott is a kódot.
Publik key az id-dsa.pub; privát a id-dsa
egy TXT-be kimásoltam a privát kulcsot majd bejelentkezést kezdeményeztem bashból:
#ssh user1@mikrotik.net -p 40022 -t privkey.txtDe csak kéri a kódot és Putty beenged a kóddal fájl nélkül is. Mit csinálok rosszul?
-
brickm
őstag
válasz
csusza`
#2127
üzenetére
Pofonegyszerű pl egy rapaberry beiktatásával, ami a beiktatott szerver szerepét látja el. Annyi hogy nála d kell egy email mező és azt kell menteni...
A tűzfal pontról pontra halad, míg az adott csomagra érvényes nem lesz egy szabály. A helyi hálózat tűzfala ugyan oda kerül.
-
brickm
őstag
Kicsit off ugyan, de megvalósítottam a proxy helyettesítőjét itthon, illetve a cégnél.
Minden egyes ismert végponti eszközt fix ip -vel láttam el, legyen az pc-vagy telefon, nyomtató. Ezek megfelelő hálózati szabályozást kaptak, aminek kell masquarade az kap, aminek nem, az nem kap, ahova portot kell továbbítani oda van...stb.
Ha valaki kapcsolódik mondjuk egy telefonnal, vagy laptoppal, de nincs fix ip-je regelve, akkor kap egy ideiglenes IP címet, amivel a belső hálózaton tud mozogni, de kifelé nem tud adatmozgást végezni.
Illetve bármilyen 80-as porton való kommunikációját átadja a router egy kis szervernek, amin egy wiki oldal fogadja, tájékoztatja jelenlegi státuszáról, jogosultságairól, illetve a teendőkről.A wiki oldal tartalmaz rendszergazdai hivatkozást, hálózati struktúra képet, ajánlott beállításokat stb. Egy fórumlapot, ahol lehet hibabejelentést tenni...
Illetve egy linket amivel ideiglenes regisztrációt lehet kapni a kifelé történő adatmozgáshoz.
A link a router-en regisztrálja az IP címet 5perces időtartamra, 250kbps-es adatforgalomkorlátozással, illetve minden src-dst kapcsolatot logol, nehogy valami backdort nyisson a hálózatra. (vagy ha nyit is, nyoma maradjon)
Illetve ezekre a címekre vonatkozik egy csak magyar IP címekkel való kommunikációs szabály is. Elkerülve a távoli proxyn keresztül történő betörést.A belső hálózaton saját DNS szerver ül, ami bizonyos címeket pl AP.net; DELL.net XY.net munkaido.net stb a megfelelő helyre továbbít. Minden mást a 8.8.8.8-ról vesz.
Igazán ennek otthon nincs értelme(vagyis elég kevés) de vállalati környezetben egész jól használható (itt már üzemel, eddig hibátlanul).
A továbbiakban a beléptető-höz kapott badge ID-jét is hozzá fogom fűzni a dologhoz.
-
brickm
őstag
válasz
bambano
#1988
üzenetére
Tudom hogy vannak protokollok amik váltják a mac-et,de gondolom nem a létező tartományra oszt,hanem kijelölt virtuálisra.
Továbbá bocs ha hülyeséget írtam,de én is így tudom:
Minden eszköznek saját MAC-címe van. A több interfésszel rendelkező eszközöknek célszerűen több is lehet. A címet (címtartományokat) a szabványügyi hivatal adja ki a gyártónak,Wikipédia.
-
brickm
őstag
Sziasztok!
Hogy oldanátok meg mikrotiken, hogy 2 külön MAC cím egy IP címet kapjon. Történetesen, egy notebook 2 hálózati interface-éről van szó, az egyik az ethernet, a másik a wifi kártya.(egyszerre nincsenek online soha.)
ahogy néztem nem lehet szimplán ugyan azt az IP-t kiosztani 2x külön MAC-nek.
Átirányítással, esetleg ha az egyik nem válaszol X időn belül?? -
-
brickm
őstag
Van lehetőség mikrotik rb750-es eszköznél arra, hogy egy egyszerű html file-t kiszolgáljon?
Igazából egy IP cím regisztrálásról van szó, az újonnan belépő eszköz megnyitja a 192.168.0.1:8081-es portot az eszközével és meg kéne jelenni a routerről egy statikus html lapnak, ami kiírja, hogy az IP címe regisztrálva van. -
brickm
őstag
válasz
__Bru__
#1871
üzenetére
Ha tudsz netezni és nem adtál meg végponti secret adatokat, akkor nyilván nem PPPOE-s kapcsolódási módban vagy, mint ügyfél. Hanem dinamikus IP-vel.
Ha a mikrotikbül pingelsz milyen válaszidőket kapsz külső hlózat felé?
Traceroute-ot is nézz, diginél előfordult, hogy elküldték egy külföldi szerverre a felhasználómat...onnan járatták vissza magyarországra...csak úgy lett gyanús, hogy túl sok volt a juniper a traceroute-ban.Amúgy nekem míg automatic-ra volt állítva PPTP szerver indítás esetén automatikusan letiltotta a PPPOE kliensemet, amit vissza se tudtam kapcsolni.... Ha kiszedtem a quick setupból a baromságokat és manuális PPPOE klienst csináltam, majd PPTP szervert, akkor gond nélkül ment mindkettő.
Másik tipp, hogy tedd át másik portra az ISP-t (Gbe-re) és oda verd fel a kapcsolatot illetve másik portra tedd a kimnetet is. Ezzel kiszűrve a porthibát.
-
brickm
őstag
Persze..az address list-ed minden áramtalanításnál el fog menni. A static DNS beállíátsok mondjuk asszem már nem tűnnek el.
Illetve én megfigyeltem azt, hogyha belépsz pl winboxba, preparálsz benne, majd közbe lerántod a 220-ról, nem minden marad meg amit csináltál benne...De onnantól, hogy kilépsz a winboxból (vagy ssh-n vered fel) minden megmarad.Én se javaslom a kikapcsolgatását.
-
brickm
őstag
válasz
gazrobur
#1736
üzenetére
a dhcp szervernél meg tudod adni mennyi idő alatt dobja el a hálózati címhez rendelt IP címet...
Ha ezt az időt lentebb veszed, akkor fogsz kapni másik IP-t.Ha ez a modem külső IP-jére is vonatkozó kérdés, ugyan ez a helyzet, csak a szolgáltató dhcp szerverén kell az időt állítani...kellene.
-
brickm
őstag
Az miért van, hogy ha bekapcsolom a vpn-t(rb750-en) a quick set-ben, minden tűzfal szabályomat eldobja, tiltja a pppoe kliensemet, ezáltal a net is elmegy...?
Egy hónappal ezelőtt még ezt nem csinálta, csak hozzáadott 3-4 rule-t, és minden ment tovább. Működött is a vpn.Sőt, az 1100ahx2-n most is be van kapcsolva, ott se hajítja el a pppoe klienst.
-
brickm
őstag
Csak kíváncsiság képpen csináltam egy port scannelés elleni rule-t, ami annyit tesz, hogy a 80 21 22-es portokra érkező közvetlen kéréseket logolja IP cím formájában és ki is tiltja ezeket az IP címeket.
A rule kb 1 hete él.
Az eredménye szerintem cseppet sem figyelmen kívül hagyható, amennyiben valaki megnézi a begyűjtött címek számát.
[link]
Ez egy irodai környezet 3 kiszolgálóval, amiből 2 kifelé is szolgáltat.De nézzük meg az én itthoni hálózatom address-list-jét, ami konkrétan ma reggel 9:10perc óta megy kb:
51 items -
brickm
őstag
válasz
bambano
#1644
üzenetére
az ether1 kifelé néz(elvileg..ez a gyári az rb750-en). talapból sz-r firewall-t tettek rá. nagyszerű.
LEhet egy radikális kérdésem?
Mivan ha én megfogok az összes RULE-t és törlöm.
Tegyük fel, csinálok egy teljesen új tűzfalat, ami annyit tesz, hogy belső háló függvényének teszi ki a winbox és ssh elérést, esetleg MAC azonosítással.Illetve teszek bele egy kopogtató portot magamnak gond esetére.
elfogadja az icmp csomagokat, illetve egy részét. (ping, traceroute, bandwith test)
Szűri az SSH és telnet brute force-t.
majd szűri a 80-as portot szkennelőket. Illetve gyüjti az IP-jüket és következő kapcsolódási kísérletnél már az inputon eldobja.
Ezen felül eldobom az invalid csomagokat.Minden más átmegy.
Ez így egy sebezhető tűzfal?Vagy ehhez még tegyem hozzá az input-ról való mindennemű kapcsolat eldobását?
-
brickm
őstag
válasz
bambano
#1642
üzenetére
JA bocs, nem ezt akartam, mert ebben van in interface jelölve, csak nem vettem észre.
add chain=input action=accept protocol=icmp
add chain=input action=accept connection-state=established
add chain=input action=accept connection-state=related
add chain=input action=drop in-interface=ether1
add chain=forward action=accept connection-state=established
add chain=forward action=accept connection-state=related
add chain=forward action=drop connection-state=invalidszóval akkor ha jól értelmezem ezt, meg amit előbb kolléga írt, itt azért van internetkapcsolat, mert a forward chain-ben a drop nem mindent dob el, csak az invalid csomagot. Ha azt cserélném, akkor nem lenne netkapcsolat, csak ha betennék egy chain:forward state:new rule-t?
ÉS ahogy elemzem akkor a negyedik rule eldob minden kapcsolódási kísérletet ami az ether1-en jön(isp felől) amennyiben nem én kezdeményeztem, hanem ő szeretne magától?
-
brickm
őstag
Oké, ez eddig világos, de még mindig nem értem, ha az új kapcsolatoknak felveszek egy acceptet, hiba, mert minden ide tud tartozni, de ha nem veszek fel ide egy acceptet, akkor nincs is új kapcsolat...
add chain=input action=drop connection-state=invalid comment="Disallow weird packets"
add chain=input action=accept connection-state=new in-interface=LAN comment="Allow LAN access to router and Internet"
add chain=input action=accept connection-state=established comment="Allow connections that originated from LAN"
add chain=input action=accept connection-state=related comment="Allow connections that originated from LAN"
add chain=input action=accept protocol=icmp comment="Allow ping ICMP from anywhere"
add chain=input action=drop comment="Disallow anything from anywhere on any interface"
add chain=forward action=drop connection-state=invalid comment="Disallow weird packets"
add chain=forward action=accept connection-state=new in-interface=LAN comment="Allow LAN access to router and Internet"
add chain=forward action=accept connection-state=established comment="Allow connections that originated from LAN"
add chain=forward action=accept connection-state=related comment="Allow connections that originated from LAN"
add chain=forward action=dropEz ismét egy mikrotikes firewall rule list, itt is azt látom:
Invalid csomagokat az inputról eldobja, majd established majd related elfogad, ami ebbe nem tartozott bele eldob.
(bár nem értem akkor ezzel hogy lehet új kapcsolatot létesíteni, hisz ha én kiveszem a new accept rule-jaimat elmegy a net...eztán forwardról is eldobja az invalid csomagokat és megismétli forward chain-en amit az előbb, majd mindent eldob.
Meglátásom szerint ugyan ez történik nálam is csak nincs köztes drop rule.
De ha elmagyarázod ez miért nem igaz az én esetemben, megköszönöm! -
brickm
őstag
Közben előástam az eredeti tűzfalat, amit a mikrotik tesz fel nálam:
add chain=input action=accept protocol=icmp comment="default configuration"
add chain=input action=accept connection-state=established comment="default configuration"
add chain=input action=accept connection-state=related comment="default configuration"
add chain=input action=drop in-interface=ether1 comment="default configuration"
add chain=forward action=accept connection-state=established comment="default configuration"
add chain=forward action=accept connection-state=related comment="default configuration"
add chain=forward action=drop connection-state=invalid comment="default configuration"Ha megnézed itt is előbb az inputra érkező icmp cosmagról rendelkezik, majd az established-re majd a relatedre, majd eldob mindent ami a net felől jön és nem illett ezekre.
Itt következik a forward ugyan azzal a sorrenddel, majd eldobja a hibás csomagokat a végén.
Itt csak azért nincs ugye a state:new, mert ő nem hibás és bár nem illik rá egyik szabály sem, átengedi.(gondolom én)
mivel nálam a végén mindent eldob, nekem kell elé egy state:new. -
brickm
őstag
Köszönöm, hogy ránéztél, igazából ebbe a sorrendi dologban csak az a poén, hogy ahány oldalt találok firewall ügyben, pont annyi ellentétet is.
És pontosan itt a fórumon kaptam azt az információt is, hogy a legvégére tegyek egy mindent eldobó rule-t.
Azt értem már mi az input és mi a forward, de ez nekem nem mond sokat sorrend szempontjábl. legfeljebb annyit, hogy tegyem a forwardot előrébb..Ha TP-linkes tűzfalat akarnék, visszatenném a tp linket a hálózatomba.
-
brickm
őstag
No.
Egyelőre ez a firewall-om.
A sorrend jó lehet így?
[link]
Igazán nem tudom az a forward established közel 50MB adatforgalommal jó helyen van-e ott, nem kellene- előrébb lennie?(16)Illetve a 15-ösnek nem értem a szerepét.
Ha jól értem a PPPOE-vonalon érkező cuccokat dobja el, amennyiben nem volt addig accept(gazdája) rule rá.
De ez nem felesleges amennyiben ott a drop anything?
Illetve ez a drop invalid...mitől invalid a csomag?
Sokáig nullás volt a számlálója, azóta került bele valami már.A kopogtató rule jó helyen van így?
Amennyiben kizárnám magamat egy filterrel, megnyitom a 19227 portot, ezáltal az IP-m whitelistre kerül és SSH-n elérem. Leteszteltem az input new rule-t kivettem, nem volt elérhető semmi, se net, se router, majd whitelisteltem magamat és elértem SSH-n. Elvileg így jólehet a dolog. -
brickm
őstag
válasz
bambano
#1631
üzenetére
Értem, köszönöm!
Most nekiláttam mindenféle okosságot elkövetni a tűzfallal, ezáltal már vagy 3 reseten túl vagyok, mert mindig sikerült kitenni magamat is itthonról.. .
Azt vettem észre, hogy:
Eddig volt egy ilyen rule-om a legvégén:
add chain=forward action=drop connection-state=invalid comment="default configuration"Kicseréltem erre:
add action=drop chain=input comment="Drop everything else"Azt látom mi a fizikális eltérés a kettő között, de ennek van valami jelentősége egyébként a gyakorlatban?
Azt vettem észre, hogy míg előbbivel nem kellett konfigurálni pl a winbox engedélyezést, ssh-t stb, addig ezzel kell. De mit kell még? Mi az amit eddig nem vettem észre és nem fog működni, csak mert erre cseréltem a rule-t?szerk.: első észrevétel, nem jön be a google.hu
-
-
brickm
őstag
válasz
Ablakos
#1621
üzenetére
Néztem mikrotik wiki-s brute force filter rule-t.
Ami:
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=noadd chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=noadd chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=noadd chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=noadd chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=noHa megnézed előbb van a drop rule, mint az, hogy adja a címet a listához. MIért vajon.
Én megfordítottam a dolgot, ez befolyásolj a működést?De a stage-ek is fordítva épülnek fel.
Szerk.:
Áhám.
Szóval előbb van a drop, mint a vizsgálat, hiszen ha előlről nézzük a láncot, jön egy kérés, megnézi el kell e dobni, ha nem megvizsgálja szerepel e a stage3-ban, nem, ha megnézi szerepel e a kettesben, nem megnézi szerepel e az 1esben, ha illik rá az egyes és nem szerepel benne beleteszi.
HA ezeket előbb végigzongorázn és csak utána drop-olna, akkor gyakorlatilag a stage 1-2-3 midnig lemenne akkor is ha droppolni kell már a címet. -
#1619
brickm
őstag
nyilasmisi
#1618
brickm
őstag
válasz
nyilasmisi
#1618
üzenetére
[link]
Az ötödik képen ottvan, hogy 5volt mellette meg POE IN 60Vmax -
#1617
brickm
őstag
nyilasmisi
#1616
brickm
őstag
válasz
nyilasmisi
#1616
üzenetére
Azért az van rágravirozva,mert az az USB-s tápra vonatkozik.. Ott ez a szabvány.
A leírása szerint:
The device accepts powering from the USB port or from the Ethernet port:
micro USB power jack accepts 5V DC, a USB 5V adapter is included with the product The Ethernet port accepts passive Power over Ethernet 11-57V DC.Szóval POEn nyomhatod neki az 57voltot is.
-
brickm
őstag
Lenne még egy dolog.
Kerestem ezügyben neten megoldásokat, de nem találtam számomra megfelelőt.
Azt megoldottam, hogy egy IP cím sávszélessége korlátozott legyen, viszont azt is szeretném ha egy IP cím csak bizonyos adatmennyiséget tudna forgalmazni...
Kb mint a mobilnet szolgáltatóknál mondjuk Havi 100MB, vagy 500.... Ha kulcsszavakat mondtok hogy találok megoldásra vezető fórumokat, nekem az is elég.Ilyen traffic control scripteket találtam, de azok menedzselése elég körülményes, ha mondjuk 10-20IP címre van ez elképzelve, mind más adatmennyiséggel.
-
brickm
őstag
válasz
vjozsef
#1571
üzenetére
Bocs, most látom, a teló kiszedett mondatot és összecsúsztatott mondatot helyettem. fúdedurvalett
Szóval kicsit egyszerűsítve:
Adott egy mikrotik router amibe beérkezik az ISP, innen van alhálózat képezve egy TPlink wifi routerrel.
A másodlagos gép a tp linkre csatlakozik wifin keresztül, amin upnp van érvényben, viszont a mikrotiken a portpár nincs forwardolva a tplink felé. Tehát elvileg ott meg kellene álljon a történet, ahogy egy szolgáltatói netes végpontnál is.
Mégis nyitott a port...vagy legalábbis a kliens annak látja.
Ennek mi lehet az oka? -
brickm
őstag
Az hogy lehet,hogy a másodlagos notebookom, ami a tp link wifi routerhez kapcsolódik wifin, nyitottnak látja a portját, ami nincs kinyitva a mikrotiken, amibe bejön a gateway...
Külön érdekesség, hogy a másik laptopom, ami meg a mikrotikre kapcsolódik nem kap nyitott portot, míg ki nem nyitom neki...
A tplinken upnp van érvényben, de ugye a natolás miatt ez nem jelent semmit, a mikrotik fogja a portokat. Nem? -
brickm
őstag
válasz
SimLockS
#1550
üzenetére
Igen, így már meg tudtam nézni.
Igazából nem találtam benne eddig semmi olyat amivel megtudnám fejteni a dolgot.
Mert pl ha megpingelem az indexet, annak látom az IP-jét. mondjuk 80.10.10.100.
Beírom a src addressnek ugye a 192.168.0.2-t, ami a wifi gateway IP-je, erre csatlakozok telefonnal.
Beírom dst address-nek a 80.10.10.100-as IP-t hogy lássam az ide kimenő dolgokat, de nincs semmi.
Kirpróbáltam google IP-vel, itcafe-val, semmi.bambano
Erre én is gondoltam, le is teszteltem. Olyan oldalt megnyitva ahol facebook lap van embeddelve simán bejön, csak a facebook tartalmat dobja el a router.
Tehát magának a szoftvernek el kellene indulni akkor is(szerintem) ha tiltva vannak a facebook kontentek.
Plusz pl a gmail kliensben nincs fb login ha jól emlékszem.
Sem pl a Tapped out nevű játékban, ami szintén nem nyiladik így meg.Kipróbáltam közbe most gépről emulátorral. Ugyan az a helyzet, ha csak a facebook.com-ot írom be layer7be, akkor is.
Gondolatom szerint a szoftver induláskor kommuikál valamit a facebook felé, és dns szervere keresztül, nem IP címre, ezért nem indul el, ha tiltva van a facebook.com.Ugyan ilyet a police-hu val tapasztaltam évekkel ezelőtt, ha perblock-kal tiltottam a visszakommunikációt a gépről, nem nyílt meg az oldaluk.
Az is elgondolkodtatott, ez is...Ugyanis pl a tapped out semmiféle fb-os utalást nem tesz menetközben, mégis oda küld valamit. Nemrég volt a fb-os per, amiben ugye kötelezték őket rá, hogy nem gyüjthetnek adatokat a nem regisztrált tagokról...stb. hmm -
brickm
őstag
válasz
SimLockS
#1548
üzenetére
A helyzet az, hogy a torch-al konkrétan nem tudok az adott ether portra elindítani semmit.
Ugyanis a mikrotikem nem wifis,így egy wifi gateway van az ether3-ra kötve.
Arra mennek a wifis eszközök alhálózatban.
Az ether 3-ra indítanék torch-al egy alapbeállításos lekérdezést, de nem történik semmi.
Kiválasztom az ether2-t, amibe csak egy üres kábel van most épp dugva, akkor meg listáz egy csomó adatforgalmat...SZerk.
ké rájöttem miért az ether2-re írja az adatforgalmat, ő a switch-em master portja, nem szóltam.Köszönöm megkeresem vele. -
brickm
őstag
Sziasztok!
Ha beteszem layer7-be ezt:
^.+(facebook.com).*$És csinálok egy filter rule-t így:
add action=drop chain=forward disabled=yes layer7-protocol=*2
és ezt bekapcsolom, akkor letiltja ugyan a facebook elérését, de több androidos alkalmazás is megáll vele.
Pl gmail kliens nem jelzi ha új üzenet jön, online felületre bejelentkező játék nem érhető el... A két dolog tutira összefügg, ugyanis próbálgattam ki-be kapcsolgatással, ha kikapcsoltam minden helyreállt. -
brickm
őstag
Ja bocsánat, nem tudtam. Akkor nem szóltam.
Igazából én a HP nyomtatókba vetett bizalmamat kb 2003-ban elvesztettem, mert már akkor kinlódtam a nyomtatójukkal bőségesen. Azóta meg hálistennek itthonra nem kell nyomtató, nyomtatok ott, ahol épp csinálok valamit Akkor jó szórakozást hozzá! -
brickm
őstag
Win10-en is megy a hálózati nyomtatás.
Adj hozzá új nyomtatót, válaszd a tcp\ip protokolt, add meg az IP-jét a nyomtatónak\szervernek, majd telepítsd a drivert.
elmúlt 3 napban 3ilyet csináltam. ELőször engem is megzavart a win10, mert az egyik gép csak automatikusan volt hajlanó nyomtatót keresni, manuálisan nem akarta hagyni a megadást(vagy én nem figyeltem fel a kis linkre alul) MInden esetre miután újraindítottam sikeresen hozzáadta mindegyik géphez a nyomtatószervert és nyomtatott is. -
brickm
őstag
válasz
gazrobur
#1488
üzenetére
Szia!
Simán winbox quick set-ben bepipáltam a VPN-t, csinált egy pool-t, beütöttem win10 kapcsolatok közé, és megy:
[link]Csinálsz a pool ip tartományra egy masquerade-et és eléred a hálót.
add action=masquerade chain=srcnat comment="masquerade vpn to local" src-address=192.168.89.0/24 -
brickm
őstag
oké, akkor leszedem azt a rule-t, feleslegesen ne legyen ott.
ÉS még lenne egy kérdésem, csak hogy teljes legyen a napotok:
Láttam youtube videon az URL blokkolást, proxy szerver nélkül.
Layer7-tel.
Namár most megcsináltam pl ezt:
layer7:
0 facebook ^.+(facebook.com).*$
filter:
3 chain=forward action=drop layer7-protocol=facebook log=no log-prefix=""Így oké, nem érhető el a facebook, viszont nem frissít a gmail kliens, nem indul el pár alkalmazás sem a tableten..igazából nem értem hogy függ össze.
-
brickm
őstag
Elfelejtettem:
Most egy ilyen tűzfal rule-t tettem be, hogy ne tudjon kifelé kapcsolódni, így ha portot nis nyitok neki, nem érem el kintről.0 chain=forward action=drop src-address=192.168.0.111-192.168.0.126 log=no log-prefix=""
Kérdés, hogy ez így mennyire szakszerűtlen és hogy ennek körülbelül hol kell elhelyezkednie a szabályok között?
-
brickm
őstag
Sziasztok!
Arra lennék kíváncsi, hogy biztonsági szempontból hogyan lehet olyasmit megvalósítani, hogy egy adott eszköz sehogy se legyen elérhető a netről közvetlen?
Azon túl, hogy nem forwardolom a portját.Pl egy IP kamera csoportra gondolok, ami mondjuk fekszik a 192.168.0.111-126 tartományon, csatlakozik egy NVR-re, az NVR bizonyos portjai forwardolva vannak kifelé. A cél az lenne, hogy magát a kamerát ne lehessen sehogy közvetlenül elérni.
Vagy tiltsam a kamera IP tartományán a kifelé kapcsolódást? -
brickm
őstag
Ha már az értetlenkedést firtatjuk, nézd már meg,hogy mi a problémám..az,hogy kívülről SEMMI nem lát be.. Se a mobilnet,sesemmi.
Feltettem az új fw-t,most jó... Ennyi. A hairpin-teljesen más kérdés. Arra nincs szükségem.ha lenne beállítanám. Sőt, most csakazért is befogom."a mikrotik a szar.."
Tudom,ilyenkor ez a klisé duma.
A mikrotik szarságát senki nem emlegette rajtad kívül,legalábbis én biztos nem.
A mikrotok nem szar...a tplink meg a dlink se, sőt a speedport se szar...csak azok nem arra valók,amire használni akarják.
És amiért mindezt offtopicba teszem:
Tudom jól,hogy irritáló az aki egy hozzáértőnek teljesen egyértelmű problémával küzd,de ezt sejtelmes félmegoldásra vezető tanácsok helyett egy szimpla megoldással is meg lehet oldani... Csak tudom sokan meg a megoldásra vágynak gondolkodás nélkül, azok meg f szok.Azért köszönöm az építőkritikát.
-
brickm
őstag
Merész állítás, mertugyanis ezt a wiki oldalt is megtaláltam és az itt írt megoldásokon kívül még kettőt kipróbáltam...ami nem működött szintúgy,ahogy ez sem...
NEvezetesen, hogy forrásIP-nek 0.0.0.0 -t vagy 255.255.255.255-öt adok meg, illetve hogy az átjárót használom helyezze(de ezt azt hiszem ez a wiki oldal is említi.)
...
Próbáltam accept-tel fogadni mindent első tűzfalszabályként, majd onnan átirányítani...sikertelenül.De ezen semmi különleges nincs, amikor bekapcsoltam az UpNp-t az is hasonló NAT szabályt hozott létre...az első 10 próbálkozásomban benne volt az is.
-
brickm
őstag
Feltettem a 6.34.1-es csomagból a ROS mipsbe csomagot, kinyitottam megint a portot és elérem kintről.... Mást nem csináltam közbe.,..elvileg.
kerestem bugfix logokat senki nem jelzett efféle hibát, vagy nem találtam meg.
sebaj.
Másik: az ntp csomagot hogy tudom telepíteni? Felmásoltam lefuttattam a frissítést, de nem tudok az SNTP client-ben szervert megadni.Csak boradcast-re lehet állítani...
szerk.:meg is válaszoltam magamat, nem telepítette az ntp-t még.rekop
Próbálkoztam tegnap este tcp és udp porttovábbítással egyaránt, nem ment egyikkel sem.
De megoldódott szerencsére. köszönöm azért mindenkinek a segítséget! -
brickm
őstag
Ahogy azt, amikor megy. BEírom a külső IP-met meg a kívánt portot a böngészőbe.
Digis vagyok, a digi nem tiltja a saját IP-re való visszacsatlakozást, illetve nem is a belső hálózatba keringtet vissza, ahogy a T szokott.Illetve van egy mobilnetes elérésem, azzal is rápróbáltam. Nem tudom ez mennyire szakszerű így, de eddig működött, amit elértem a tp linkkel ezenformában, az elérhető volt mindig kintről, amit nem értem el, az meg ténylegesen nem volt...
De valami beállítás gond lesz az tuti, ugyanis mondoma gyári 21-es 80-as 22-es portokat a külső IP-mmel elérem, tehát be tudok lépni messziről winbox-szal, SSH-val webes felülettel stb.Csak nem tudom mi lehet a gond. Rengeteg fórumot átnyálaztam ezügyben, verziószámokat egyeztettem...most letöltöttem a 6.34-es firmware-t, felteszem, hátha.
-
brickm
őstag
válasz
Adamo_sx
#1440
üzenetére
A tartományok és a címek azért változnak időközben, mert ahányszor reszetelem, annyiszor másik tartományt használok. Csak közben más dolgokat is próbálgatok benne időnként, ezért reszetelgetem.
Jelen pillanatban:
Addresses:
192.168.0.1/24
pool:
192.168.0.100-192.168.0.150
Networks address:192.168.0.0/24
Gw: 192.168.0.1
DNS:192.168.0.1DHCP fül alatt pedig a pool az ether2-re megy, ami mastere a 3-4-5-nek jelenleg.
A gép ip-je:
192.168.0.101 (fixált)A tűzfal pedig gyári,sorrend is.
Ether1-en egy PPPOE kliens van, arra hivatkozok, bejövő cuccoknál, próbáltam sima ether1-re hivatkozva úgy egyértelműen nem volt netkapcsolat se.
-
brickm
őstag
válasz
SimLockS
#1438
üzenetére
Értem.MEgmagyarázza a jelenséget akkor..
Bekapcsoltam az UpNp-t.
A utorrenttel simán működik kinyitja automatikusan a tcp és az udp portot is...
de a hfs-sel nem...
tanácstalan vagyok.
Vagy 100fórumoldalt megnéztem, mindenhol ugyan úgy forwaldolnak...csak nálam nem megy...
még a dyndns scriptet is sikerült megcsinálni és időzíteni, pedig arra is sokan panaszkodtak...de ez. -
brickm
őstag
-
-
brickm
őstag
válasz
Adamo_sx
#1428
üzenetére
Azért írtam oda az ether1-et zárójelbe, hogy jelezzem, oda van bedugva, de a PPPOE kliensre hivatkoztam amúgy. (De próbáltam ether1-re is)
Számomra egy dolog nem egyértelmű még ezzel kapcsolatban.
Vannak források, ahol megadják wan ip címet a 3.sorban, van ahol nem adják meg.
Kell, ha igen miért?
Mivan dinamikus wan ip esetén?Nem kéne a gép tűzfalának zavarnia, mert a tp linkkel ami ezelőtt volt bedugva simán csinálta, amit kell egy forward után.
Megpróbálom kihagyni az in interface-t. -
brickm
őstag
Port forwardoláshoz kell még valamit csinálni azon túl, hogy az ip>firewall nat fülön csinálok egy NAT rule-t
így:
chain:dstnat
protocol:6
Dst port: 40082
In interf: pppoe_digi(ether1)
action>
dst-nat
address 192.168.254.10
port 40082??
csak mert így akármilyen IP-re akármit akarok továbbítani nem sikerül..
Bár az open port check tool azt mondja, hogy nyitott a port, se http szerver, se ftp szerver, se IP kamera nem látható kintről.
Innen csináltam, plusz a mikrotik wiki is ennyit ír. -
brickm
őstag
Illetve még egy kérdés, mert közben sikerült visszacsinálhatatlanul elnyomnom a routert...
Ha nem csinálok bridge-et...akkor nem adhatok dhcp servert az etherhez?
Most próbálgattam és ha kiveszem a bridge-et, és átirányítom a dhcp servert meg a tűzfalat az ether2-re direktbe, akkor elmegy a netem. -
brickm
őstag
Sziasztok!
Az egyik kérdésem ez lenne:
[link]Először betettem az ether5-ös is slave portba ether2-re, de utána levettem. Azóta indítottam újra a routert de még mindig slave-ként azonosítja.
Bridge-ben van egyébként 2-4-el most.A másik kérdésem.
Kíváncsiságból tettem egy tplink routert az ether3-portra, mégpedig kliensként (nem switchként)
beállítottam neki egy fix ip-t, kiadtam neki a dns szervert. Tudok róla netezni, de szeretném elérni a pc-ről a webes felületét. Ehhez mit kellene tennem?
Kapcsolási ábrát mellékelek:
[link] -
brickm
őstag
Oké, de én ilyesmikre gondolok, hogy 2 DHCP szerver felkonfigurálása, PPPOE konfigurálása...
Ilyesmik.
Múltkor kezeltem egy kis mikrotiket, amin volt vagy 4 hálózati tartomány, az meg swtich-ekkel elosztva.
Azon próbálgattam szárnyaimat...Arra jöttem rá, hogy az IP>POOL részben konfigurálok egy tartományt.
Létrehozok az IP DHCP server szekcióban egy interface-re egy szervert, aminek kiadom az előbbi pool-t, mint tartomány.
A leases-ben meg gondolom MAC címhez tudok rendelni fix IP-ket.
szükséges még valami ahhoz, hogy egy gép rádugva az 1-es interface-re kapjon IP címet?Ha teszek gy asztali pc-be egy hálókártyát, mindkét interface-t fogja látni a gép? vagy csak az egyiket?
Egy ilyennel tudnám próbálgatni mondjuk a dolgot itthon. -
brickm
őstag
Van valami megbízható mikrotik basic config leírás?
keresgéltem most 1100AHx2-höz, de nemnagyon találtam. Vagyis nem teljesen egyértelmű, mert találtam pr videót és basic alatt, mindegyik mást csinált kb.Ha pl adott 1 ISP PPPOE-val, meg 2 tartomány, egyik gépekkel, amik neteznek, másik meg egy belső hálózat, aminek 3portja kívülről is elérhető.
-
brickm
őstag
válasz
csusza`
#1253
üzenetére
Ezt egyszerűen tudod ellenőrizni.megnézed a routered wan ip-jét, majd beírod a google-be hogy my ip.
Ha a kettő nem egyezik NAT-olt hálózatban vagy.
Bár az IP címed tartománya nem erre következtet. Kelet MO-n a 10-es tartományba helyezi a T a NAT-olt ügyfeleit, mielőtt megkapják a WAN ip-jüket.
Pont a kamerarendszerek miatt tudom, mert rengeteget háborúztam a T-vel az utóbbi 2hónapban, rengeteg ügyfelemet tették át értesítés nélkül. Illetve a Dyndns frissítési hiány jelentkezett nem NAT-olt hálózati cím esetén is T-nél. erről írtam is a hálózatokról alaposan témakörben. -
brickm
őstag
válasz
csusza`
#1240
üzenetére
"Egyébként T-Home PPPoE van, nem lehet, hogy az agyon NAT-olt hálózat miatt nem tudja lekérni azt a bizonyos címet?"
De te vagy a NATolt hálózat rossz végén, ahová indítod a lekérdezést, arrafelé megvannak nyitva a megfelelő portok, feléd nincsenek nyitva.
Ezzel a logikával NATolt hálózatból netezni se lehetne, sőt, semmit se lehetne csinálni.Legegyszerűbben úgy tudom ezt leírni, hogy képzelj el egy webszervert, amit te a 80-as porton el tudsz érni,de ő téged ugyan ezen a porton nem tud visszakérdezni.
-
brickm
őstag
Lenne egy kérdésem nekem is. Mikrotik eszközöknél mi a különbség a switch portok és a bridge portok között?
Azt észleltem hogy nem minden eszközzel lehet switch portokat csinálni, de azoknál,is lehet bridge-elni. Ezek szerint a switch ic-vel nem rendelkező eszközöknél a bridge-et kell alkalmaznom? Ennek van valami hátránya? Gondolom igen,mégpedig az,hogy a brisbelt portok átmennek a cpu-n, de ez csak az én tippem. -
#1221
brickm
őstag
Freestyle79
#1220
brickm
őstag
válasz
Freestyle79
#1220
üzenetére
Szia. Ilyen célra én az ubiquity antennát ajánlanám. Otthonró simán fogtam a cégem hálózatát. 1.5km.
HB**********HDmZbjjL5/I2T2Tf****Wo0aY. re you sure you want to continue connecting (yes/no)? yes
nem lehetett volna egyformára tervezni őket ááá.
ha jól emlékszem
ké rájöttem miért az ether2-re írja az adatforgalmat, ő a switch-em master portja, nem szóltam.Köszönöm megkeresem vele.
Új hozzászólás Aktív témák
Hirdetés
ekkold- Anglia - élmények, tapasztalatok
- Norvégia átmenetileg betiltja az áramigényes kriptobányászatot
- Milyen légkondit a lakásba?
- A fociról könnyedén, egy baráti társaságban
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Milyen program, ami...?
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Milyen billentyűzetet vegyek?
- Autós topik
- Sorozatok
- További aktív témák...
- Easun iSolar SMW 11kW Twin Hibrid inverter // Dupla MPPT // BMS // WiFi
- GAMER PC : RYZEN 7 5700G/// 32 GB DDR4 /// RX 6700 XT 12 GB /// 512 GB NVME
- GAMER MSI LAPTOP : 15,6" 144 HZ /// i5 12450H /// 16GB DDR4/// RTX 4050 6GB/// 1TB NVME
- Manfrotto 055 magnézium fotó-videófej Q5 gyorskioldóval
- Sony ECM-W2BT
- Telefon felvásárlás!! iPhone 14/iPhone 14 Plus/iPhone 14 Pro/iPhone 14 Pro Max
- Intel X540-T2 dual-port 10GbE RJ45 hálózati vezérlő (10Gbit, 2 port, áfás számla, garancia)
- Lenovo Legion Slim 5 82Y900BVHV Notebook
- Azonnali készpénzes AMD Ryzen 1xxx 2xxx 3xxx 5xxx processzor felvásárlás személyesen / csomagküldés
- BESZÁMÍTÁS! Intel Core i9 9900K 8 mag 16 szál processzor garanciával hibátlan működéssel
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: Promenade Publishing House Kft.
Város: Budapest