-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Lenry
félisten
válasz silver-pda #13501 üzenetére
u.FL
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
senior tag
Sziasztok!
Új vagyok a Mikrotik routerek körében, olvasgattam utána eleget, de sajnos egy kapufába ütköztem..
Van egy hAp ac3 routerem, és port forwarding és névfeloldás problémám van.
Van egy Synology NAS-om amin sok minden fut, köztük webszerver és plex.
A plex 32400 -as porton kommunikál... ez OK. NAT filter résznél megcsináltam a hozzávaló szűrést, és kintről (más netről) tökéletesen el lehet érni a plex-et meg a nast is, viszont belső hálózatból nem megy. Akárhonnan próbálom (kábel vagy wifi) a nast csak IP alapján tudom elérni, a hozzá rendelt domain név alapján nem, és a plex pedig kidobja hogy a szerver nem elérhető, úgy hogy külső hálózatból vagy akár 4G-ről simán elérem...Valakinek van valami ötlete, hogy mihez kellene hozzányúlnom?
Köszi előre is!
--
MZ -
Lenry
félisten
válasz silver-pda #13506 üzenetére
szerintem már másnap se volt
én rendeltem, elvileg ma érkezik.Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
senior tag
válasz Reggie0 #13454 üzenetére
Sikerülni sikerült már létrehozni kapcsolatot, de csak úgy, ha a cert-ben is az IPv4 címet adtam meg, és a Windows-ban is erre az IPv4 címre szól az SSTP kapcsolat.
Próbáltam az "IP / Cloud" alatt található DDNS névvel is (xyz.my.netname.net), de nem jött össze :-(
Valamit nem jól csinálok? -
DonJoee
tag
Köszi!
Az alap "Skori"-dolgokból építkeztem, meg a vendég wifit leválasztottam a LAN-ról.
De nézd meg te is, kérlek. Azt hiszem, sikerült "open world"-kompatibilissé tennem az exportot (nincs benne érzékeny adat):# apr/08/2021 13:12:00 by RouterOS 6.47.9
# model = RB4011iGS+5HacQ2HnD
/ip firewall address-list
add address=x.y.z.2-x.y.z.254 list=Guest_WiFi
add address=0.0.0.0/8 list=BlackList
add address=127.0.0.0/8 list=BlackList
add address=224.0.0.0/3 list=BlackList
add address=a.b.0.0/16 list=Local
add address=x.x.0.0/16 list=Local
add address=x.y.z.0/24 list=Local
add address=213.108.134.181 list=BlackList
add address=213.108.134.182 list=BlackList
add address=213.108.134.183 list=BlackList
/ip firewall filter
add action=drop chain=input comment="Guest WiFi internet only" dst-address=\
x.y.z.1 dst-port=21,22,23,80,443,1723,2000,8291 protocol=tcp \
src-address-list=Guest_WiFi
add action=drop chain=forward dst-address-list=Local src-address-list=\
Guest_WiFi
add action=drop chain=input comment="DNS from LAN only" dst-address-list=\
!Local dst-port=53 protocol=udp
add action=fasttrack-connection chain=forward comment="FastTrack enable" \
connection-state=established,related dst-address-list=Local
add action=accept chain=forward connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input connection-state=established
add action=accept chain=input in-interface-list=!WAN src-address-list=Local
add action=add-src-to-address-list address-list=BlackList \
address-list-timeout=1d10m chain=input comment=\
"Blacklisting of port scanners" protocol=tcp psd=21,3s,3,1 tcp-flags=""
add action=add-src-to-address-list address-list=BlackList \
address-list-timeout=6h chain=input dst-port=20-1023,8000,8080,8291 \
protocol=tcp src-address-list=!Local
add action=add-src-to-address-list address-list=BlackList \
address-list-timeout=6h chain=input dst-port=\
20-122,124-499,501-1023,8000,8080,8291 log-prefix=UDP-block protocol=udp \
src-address-list=!Local
add action=drop chain=input log-prefix=Input-BlackList src-address-list=\
BlackList
add action=drop chain=forward src-address-list=BlackList
add action=add-src-to-address-list address-list=VPN_login \
address-list-timeout=1m30s chain=input comment="VPN login protection" \
connection-state=new dst-port=1723 protocol=tcp src-address-list=\
!VPN_logged
add action=add-src-to-address-list address-list=VPN_logged \
address-list-timeout=59m chain=input connection-state=new dst-port=1723 \
protocol=tcp src-address-list=!VPN_logged
add action=add-src-to-address-list address-list=BlackList \
address-list-timeout=5h59m chain=input connection-state=new dst-port=1723 \
protocol=tcp src-address-list=!VPN_logged
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN1
add action=masquerade chain=srcnat out-interface-list=WAN2
add action=masquerade chain=srcnat out-interface-list=WAN3
add action=masquerade chain=srcnat comment="VPN internet access" disabled=yes \
src-address=x.x.z.0/24
add action=dst-nat chain=dstnat comment="New broadcast address for WOW" \
dst-port=abcde in-interface-list=WAN protocol=\
udp to-addresses=x.x.w.254 to-ports=9
add action=dst-nat comment="Port forwarding for clients" chain=dstnat \
dst-port=xxxx1 in-interface-list=WAN \
protocol=tcp to-addresses=x.x.0.201 to-ports=yyyyy
add action=dst-nat chain=dstnat dst-port=xxxx2 in-interface-list=WAN \
protocol=tcp to-addresses=x.x.0.202 to-ports=yyyyy
add action=dst-nat chain=dstnat dst-port=xxxx3 in-interface-list=WAN \
protocol=tcp to-addresses=x.x.0.203 to-ports=yyyyy
...
...
...
"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
DonJoee
tag
Most azon gondolkodom, hogy van külön interface-list-em a WAN1, WAN2 és WAN3 portoknak. De csináltam egy közös listát is nekik WAN -néven és így hivatkozok rájuk a port forwarding részben is... Lehet, hogy ezt nem szereti? Meg kell csinálnom az összes szabályt mindhárom WAN-ra külön-külön?
"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
senior tag
válasz Reggie0 #13510 üzenetére
Mind a két verziót kipróbáltam.
Ha a "xyz.sn.mynetname.net" alapján akarok csatlakozni:
"Nem lehet csatlakozni a következőhöz: Miki SSTP teszt
A tanúsítvány CN-neve nem felel meg az átadott értéknek."
Itt azért egy kicsit trükköztem. Jelenleg egy default konfigos KapAc2-val kísérletezek, méghozzá LAN oldalról.
Annyi a trükk, hogy a "xyz.sn.mynetname.net" nevet, felvettem a "IP / DNS / Static" részbe, így ezt a 192.168.88.1 IPv4 címre oldja fel a Windows számára :-)
PING esetén ezzel nincs gond, sőt a RouterOS HTTP elérése is műxik így :-)[ Szerkesztve ]
-
Lenry
félisten
válasz Zwodkassy #13513 üzenetére
"A tanúsítvány CN-neve nem felel meg az átadott értéknek."
kicsit föntebb meg írtad, hogy IP-t adtál meg névnek, akkor arra szól a cert, persze, hogy nem fogadja el a mynetname-s URL-tGvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Reggie0
félisten
válasz Zwodkassy #13513 üzenetére
Az a lenyeg, hogy a kliensnel es a certnel is ugyan azt kell hasznalni. Ha IP, akkor IP, ha host, akkor host.
Ha az IP valtozik idonkent, akkor mindenkeppen host-ot erdemes hasznlani, mert kulonben allandoan cserelheted a certet amikor valtozas van. Esetleg probalhatsz wildcard-os certet csinalni. Kiprobaldhatod, hogy ha egy darab * -ot teszel a CN-be arra hogy reagal, valoszinuleg akkor menni fog barhogyan. (Nem ismerem SSTP-t, hogy mit hajlando elfogadni, SSL eseten a * a wildcard karakter)
[ Szerkesztve ]
-
bacus
őstag
válasz DonJoee #13512 üzenetére
Most nekem fura, de mi ez a három interface? 3 wan kapcsolatod is van?
Ha igen, mert feltételezem, hogy igen, akkor a dst-nat szabályok mellett kellene pár mangle szabály is, mert nem fog működni mindhárom (csak a default gw felől) internetes átjáró felől.
Gondold el, hogy te WAN2 címen beküldesz egy csomagot, ami WAN1 címen válaszolgat.
Na most a forrás címen a WAN2 címről vár választ, azt tudja az ottani router is összekapcsolni (hogy related packet legyen), a WAN1, WAN3 ról érkező csomagok az invalid packet kategóriába kerülnek...Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
DonJoee
tag
Egyelőre kettő WAN létezik, de most csak a WAN1 van használatban.
Később a másik is feléled, illetve lehet, hogy lesz egy harmadik is. Muszáj, hogy állandó kapcsolatunk legyen. Három szolgáltatóval talán már menni fog..."Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
DonJoee
tag
A tűzfalakkal nincs gond, így mentek a Mikrotik előtt is. De azért most kipróbáltam és semmi változás.
A merült még fel bennem, hogy nem kellene külön engedélyezni accepttel a szóban forgó külvilág felé néző portokat? Vagy ezt a NAT-szabály egyúttal intézi?"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
DonJoee
tag
Bekapcsoltam az egyik NAT-szabályra a logot és ezt hozza:
dstnat: in:ether1-WAN1 out:(unknown 0), src-mac aa:bb:cc:dd:ee:ff, proto TCP (SYN), xx.yy.ww.zz:52200->192.168.x.y:xxxx5, len 52
A 192.168-as cím a Mikrotik statikus IP-címe, amit a Telekomos routerben állítottam be és azt DMZ-zem.
Szerk: Nem tudom, az "out"-nak biztos "unknown"-nak kell lennie?
[ Szerkesztve ]
"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
bacus
őstag
Jó lesz ez, szép lassan csepegtetsz még egy kis infot, aztán majd csak rájövünk, hol a hiba...
Még ez a két bejegyzés nem tetszik
add address=0.0.0.0/8 list=BlackList
add address=127.0.0.0/8 list=BlackList
Szerintem ezeket le kéne tiltanod, főleg ha a másik router (telekom) címe is beleesik az elsőbe..
[ Szerkesztve ]
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
DonJoee
tag
A Mikrotik 10.x.x.x-en van.
A szolgáltatói routerek 192.168.1.x, 192.168.2.x, 192.168.3.x, statikus IP-k, DMZ-zve, kívülről publikus IP-t kapnak. Molyolok még, hátha nem vettem észre valamit.A másik problémám (és ahogy nézem, a fél internet ezzel küzd), hogy PPTP esetén kapom a Mikrotiken beállított tartományból az IP-t, de 255.255.255.255 maszkkal és magamon kívül senki mást nem látok a helyi hálón... Windows 7, 10, mindnél ugyanez a gond. Skori szerint jártam el.
Egyesek szerint a Windows önmaga maszkolja le így a kapott IP-t, de akkor mi értelme van az egésznek?"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
senior tag
válasz Zwodkassy #13526 üzenetére
És Lenry-nek is
Szóval én qtam el, nem kicsit :-)
Az addig szép, és jó volt, hogy két féle cert-et is legyártottam a Miki-ben: egyet IPv4, és egyet xyz.sn.mynetname.net alapján, és ezeket természetesen a Windows-ba is importáltam, telepítettem. Csakhogy ilyenkor a Miki-ben is, a SSTP Server beállítási alatt is cserélni kell a cert-et, a kapcsolódásnak megfelelően :-) :-) :-)
Köszönet a segítségért! -
DonJoee
tag
Azt hiszem, ez hiányzott még:
/ip firewall add action=accept chain=forward connection-nat-state=dstnat
Mert most már van incoming data az irodai gépek megfelelő portján.
Érdekes, hogy ezt eddig nem igazán láttam megemlítve sehol. Mármint azokon a helyeken, ahol külön cikkeket és blogpostokat írtak a port forwardról Mikrotik eszközökön...[ Szerkesztve ]
"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
Reggie0
félisten
-
DonJoee
tag
Igen, megvan a "bűnös":
add action=drop chain=forward src-address-list=BlackList
Ha ezt kikapcsolom, akkor megy minden szépen.
Vajon mennyire fogja hatástalanítani a feketelistázást, ha kiegészítem mondjuk így?add action=drop chain=forward src-address-list=BlackList connection-nat-state=!dstnat
Mert ezzel a kiegészítéssel is megy minden. Ja, meg spórolnék egy tűzfal szabályt...
[ Szerkesztve ]
"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
Reggie0
félisten
válasz DonJoee #13535 üzenetére
Loggold meg az add-src-to-address szabalyokat es hamar kiderul.
Mondjuk nekem ez a gyanus:add action=add-src-to-address-list address-list=BlackList \
address-list-timeout=6h chain=input dst-port=20-1023,8000,8080,8291 \
protocol=tcp src-address-list=!Local
Mar csak azert is, mert a DHCP UDP portja is beleesik, es az broadcast addressrol jon, amikor meg nincs IP cime a gepnek.[ Szerkesztve ]
-
Reggie0
félisten
válasz Reggie0 #13536 üzenetére
Na, ma mar nem adok semmi otletet, mert vak vagyok es nem szurja ki a szemem, hogy tcp...
Az alatta levo sort akartam masolni:
add action=add-src-to-address-list address-list=BlackList \
address-list-timeout=6h chain=input dst-port=\
20-122,124-499,501-1023,8000,8080,8291 log-prefix=UDP-block protocol=udp \
src-address-list=!Local
[ Szerkesztve ]
-
DonJoee
tag
válasz Reggie0 #13536 üzenetére
Köszi, majd megnézem.
Köszönöm neked is, bacus.Ja igen, Reggie0... olvastam fentebb, hogy otthon vagy PPTP-ben.
Tudnál esetleg a #13524 -ben levő, PPTP-vel kapcsolatos problémámmal kapcsolatban segíteni?"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
-
Reggie0
félisten
válasz DonJoee #13540 üzenetére
Igen, hulyeseget irtam, mar faradt vagyok. Tunnelnel normalis ez a maszk, mert pont-pont kapcsolat alapbol a routernek kene forwardingolnia. filter forward, illetve a nat tablakban mi szerepel?
A pptp klienseken default route lesz a pptp szerver vagy nem, azaz a kliens internet elerese is onnantol azon megy keresztul? Ha nem, akkor a halozatra kell egy routingot lekuldeni, mert alapbol csak a default route szabalyt szokas kihasznalni a kliens-kliens forwardinghoz. Ezt a PPP/Secrest-ben a juzert megnyitva juzerenkent tudod megadni. Vagy egy routes mezo, oda kell beirni mint pl. ezt: "<cel cimtartomany pl. 192.168.88.0/24> <szerver pl. 192.168.88.1> 1". Az utolso szamjegy, a peldaban az 1-es a metrika. Tehat egy pelda:"192.168.88.0/24 192.168.88.1 1".[ Szerkesztve ]
-
bacus
őstag
és proxy-arp kell a bridgre
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
Kroni1
veterán
Sziasztok! Hap Ac2 megtáplálásához a saját tápegysége, és ez a tipusú gyári Gbites POE feladója megfelelően fog működni igaz?
Korábban olvastam h többféle tipus is van és valaki rossz tipust vett, amivel nem ment neki a POE megtáplálás vagy ilyesmi... Köszi előre is!
-
ssarosi
tag
VPN probléma miatt úgy néz ki újra kell konfigurálnom az RB2011-et. Nem találom a hiba okát. Ennek a routernek a használatát csak minimális ideig tudom nélkülözni, és az az időtartam nekem kevés, hogy nulláról újra beállítsam.
Kérdésem az lenne, járható megoldás e, hogy pl. hAP ac2-n elvégzem a konfigurálást, és utána átviszem a 2011-re a config fájlt?[ Szerkesztve ]
-
contaxg
veterán
Sziasztok full amatőrként szeretnék segítséget kérni. Vettem egy HEX S-t amit Quick Set-tel gyorsan be is tudtam állítani. Annyi tettem, még hogy az MTU-t 1500-ról levettem a DIGI féle 1472-re. Remélem nem csináltam ezzel hülyeséget.
Viszont úgy látom, hogy az IPv6 nem megy pedig telepítve van csak éppen scheduled for enable állásban marad fixen amikor a telepített csomagoknál nyomok rá egy enable-t. Van esetleg valahol leírás mit kell tenni, hogy legyen IPv6-om is DIGI hálózaton?Köszönöm a segítséget előre is!
[ Szerkesztve ]
A jó zenehallgatáshoz nem feltétlen kell minőség. Az egy intellektuális kaland, amit mindenki a saját szintjén élhet meg. A hifi egy eszköz ami ezt az élményt fokozza, de nem feltétlen szükséges hozzá.
-
e90lci
senior tag
Új hozzászólás Aktív témák
Állásajánlatok
Cég: HC Pointer Kft.
Város: Pécs
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest