-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
hmgergo
újonc
Sziasztok!
Nem olyan rég állítottam be egy Mikrotik routert és kellene port forward ami nem tűnik olyan nehéznek csak közbe van iktatva még egy router.
A helyzet a következő:
Jön a net a kábelen az belemegy egy Wifis Tp-Link routerbe(WAN)--LAN1-be van a Mikrotik router--LAN2-be van a gépem
A Mikrotik WAN portjába van az előző LAN1-e és a Mikrotik LAN5-be van egy kis házi szerver.Így sikerült otthoni környezetbe 2 alhálózatot létrehozni.A szerveren futnának szolgáltatások(FTP,Webdav...).
A célom az lenne,hogy a szerveren lévő FTP szervert továbbítsam a Mikrotiknek aztán meg a Tp-Linknek és így el lehet érni bárhonnan.A Tp-Link konfigja elég felhasználóbarát és egyszerű mint a pofon,de nem volt még dolgom Mikrotikkel és ez a szándékom nagyobb tapasztalatot kíván.
Nem vagyok kezdő így kérem hogy az okoskodók kerüljék ezt a bejegyzést!Remélem tudtok segíteni...
Üdv. -
SimLockS
tag
válasz
hmgergo
#1651
üzenetére
Felesleges két router. Ha a wifi miatt van a tp-link, akkor is a mikrotik legyen a "külső" kapcsolat, azzal bármit meg tudsz csinálni. A tp-linken meg dhcp kikapcs, lan ip beállít fixen, csak ap-ként használd. A mikrotik portjait úgy szedet szét egymástól, ahogyan kedved tartja.(fizikailag, vlan, stb)
[ Szerkesztve ]
-
#96292352
törölt tag
válasz
#96292352
#1666
üzenetére
Most néztem, az akkori beállításokat nem tudom elküldeni, azóta már elég sok szabály bele került, mióta a 1043 van a rendszerben.
Pl. van nálam free wifi, ami egy public subnetbe megy bele, és ott van facebook, youtube meg hasonló szűrések layer7-ben, ezek igen csak eszik a cpu-t, akkor még ilyenek nem voltak. -
#96292352
törölt tag
válasz
vjozsef
#1668
üzenetére
add action=drop chain=forward comment=\
"Tilitja a youtube.com-ot a Public-r\F3l 30.volt" layer7-protocol=\
"youtube.com_Tilt\E1s" protocol=tcp src-address=192.168.248.0/24
add action=drop chain=forward comment=\
"Tilitja a youtube.com-ot a Public-r\F3l 30.volt" dst-address=\
192.168.248.0/24 layer7-protocol="youtube.com_Tilt\E1s" protocol=tcp
add chain=forward src-address-list="Local subnet 248"
add action=add-src-to-address-list address-list=Knock-IN \
address-list-timeout=1h chain=input dst-port=***** protocol=tcp
add chain=input disabled=yes log=yes log-prefix=ping_accept_Whitelist \
protocol=icmp src-address-list=Knock-IN
add chain=input src-address=*.*.*.*
add chain=input src-address-list=Knock-IN
add action=drop chain=input comment="Mindent inputot blokkol a pppoe fel\F5l" \
disabled=yes in-interface=Free_Wifi log=yes log-prefix="block input"
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \
protocol=tcp src-address-list=ftp_blacklist
add chain=output content="530 Login incorrect" dst-limit=\
1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
address-list-timeout=3h chain=output content="530 Login incorrect" \
protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=fasttrack-connection chain=forward connection-state=\
established,related
add chain=forward p2p=all-p2p src-address-list=Torrent_Enable
add chain=input comment="Enged\E9lyezi a Pingel\E9st a 247-es subnetr\F5l" \
src-address=192.168.247.0/24
add chain=input connection-state=related disabled=yes
add chain=input connection-state=established disabled=yes
add chain=forward comment=P2P_enable_Whitelist p2p=all-p2p src-address-list=\
Torrent_Enable
add action=drop chain=forward comment=P2P_disable_on_public p2p=all-p2p \
src-address=192.168.248.0/24
add action=drop chain=input comment=\
"Tiltja a Pingel\E9st a 248-as subnetr\F5l" protocol=icmp src-address=\
192.168.248.0/24
add action=drop chain=input comment=\
"Minden ami a routert \E9ri a publicb\F3l az dropped." log=yes \
log-prefix="public to router" src-address=192.168.248.0/24
add action=drop chain=input comment="Tilitja a Public-r\F3l a routert" \
dst-address=192.168.248.1 src-address=192.168.248.0/24
add action=drop chain=input comment="Tilitja a Public-r\F3l a routert" \
dst-address=192.168.247.1 src-address=192.168.248.0/24
add action=drop chain=input comment="Tilitja a Public-r\F3l a routert" \
dst-address=192.168.248.1 src-address=192.168.248.0/24
add action=drop chain=forward comment="Letiltja az \F6sszes TCP portot a Publi\
c-Bridge-r\F5l, kiv\E9ve a 80 \E9s 443 portokat" dst-address=\
192.168.248.0/24 protocol=tcp src-port=1-52,54-66,69-79,81-442,444-65535
add action=drop chain=forward comment="Letiltja az \F6sszes UDP portot a Publi\
c-Bridge-r\F5l, kiv\E9ve a 80 \E9s 443 portokat" dst-address=\
192.168.248.0/24 protocol=udp src-port=1-52,54-66,69-79,81-442,444-65535
add action=drop chain=forward comment="Tilitja a videokat a Public-r\F3l" \
in-interface=Public_Bridge layer7-protocol=http-video
add action=drop chain=forward comment=\
"A Public-Bridge-b\F5l nem lesz el\E9rhet\F5 a Home-Bridge" dst-address=\
192.168.247.0/24 src-address=192.168.248.0/24
add action=drop chain=forward comment="Blockolja a Torrentet a Publicon" \
dst-address=192.168.248.0/24 p2p=all-p2p
add action=return chain=forward comment=. disabled=yes
add action=drop chain=forward comment="http-video blocking" disabled=yes \
packet-mark=http-videoJó sok szemét is van benne
-
bambano
titán
-
haxy27
aktív tag
Sziasztok.
Találkozott e már valaki ilyen problémával, és hogy lehetne meg oldani?
Szóval adott egy wifis nett, a kliens egy mikrotik routerbord, nincs hozzáférés. Én be raktam utánna egy tp-link routert 741.
Ezzel jön át a szomszéd faluba a net, mert sajna nálam nem lehet fogni másként nettet. Egy edimax ap a kliensem ami bele megy egy 8 portos switch be arra vannak kötve a gépek, és egy tp-link router aminek nincs más szerepe mint a házban lévő wifis eszközöket el látni nettel, switch módban megy.Ez működik is rendessen, de az edimax helyére jobb lenne egy 411 routerbord aminek a wlan és a lan -ját bridge modba állítanám.
És itt kezdődik a probléma hogy ilyenkor sehol sincs nett, de ipcímet minden windowsos eszköz kap.
Ha át állitom a 411 routerbordot infrastruktura pseoduombridge módra (remélem jól írtam!) akkor minden windows eszköz megy rendesen lehet nettezni, de sajna az androidosok nem kapnak ip címet.Tud e erre valaki megoldást?
Ami érdekes még jó volt a 333 -asom adig az kábelen kapta meg a tettet és wifin osztotta szét de szintén bridge módban volt, azon nem voltak ilyen gondok.
A demokrácia azt jelenti, hogy mindenkinek lehetősége van a híd alatt aludni!
-
gabyka
aktív tag
Jó lenne az a 411 sima bridge módban, a 741-es lesz a ludas, nem jól adja a dns-t, nincs névfeloldásod valszeg. Pingeléssel kéne kideríteni...első körben tedd be a 411-est és nézd meg tudsz-e pingelni pl index.hu-t. Ha nem, kisérlet képpen állíts be a gépeden egy publikus dns-t és úgy is nézd meg...legalábbis én erre indulnék el...
-
haxy27
aktív tag
Na erről lenne szó. És az edimax helyére menne a 411 router bord. És csak anyit állítottam be hogy a lan és a wlan bridgebe lett kapcsolva.
Wlan station modba kapcsolodik a router 1 hez. - - - Ez sajna nem jó nem megy a net holott ip cim kivan osztvaWlan station pseudobridge a router 1 hez --- ez jó van net csak a router 2 csatlakozó androidos eszközök nem kapnak ip címet.
Ha az edimax van bekötve akkor minden jó.
[ Szerkesztve ]
A demokrácia azt jelenti, hogy mindenkinek lehetősége van a híd alatt aludni!
-
-
haxy27
aktív tag
Hirtelen felindulásbol kiprobáltam az összes beállítást, csak a station pseudobridge müködöképes, azaz itt van internet is a többi esetben csak ip címet kapok de nettezni nem tudok. viszont az androidos eszközök nem kapnak ipt sem, de a windowsos mobil már igen.
Ha rutolok akkor sima station is elég és megy minden. De ezt el kerülném mert a szolgáltató is routol és még ott a tp link is aminek a fix ip cím miatt muszáj.
A demokrácia azt jelenti, hogy mindenkinek lehetősége van a híd alatt aludni!
-
haxy27
aktív tag
nem sok kb 2 kilóméter, de rossz rálátással, ezért kéne az edimaxot le cserélni mert van néha ping veszteség.
ugye az csak 60 miliwatt. na persze egy 18dBi antenna és egy 120cm -es parabola tolja a jelet, mig a tul oldalt egy 18dBi antenna van.Azt sajna nem tudom kiprobálni hogyha a router 1 helyére is egy level 4 mikrotik lenne akkor jó lenne e a dolog.
Ha nagyon nem megy akkor kap egy tplink AP-t az 100mW és elég érzékeny is.
A demokrácia azt jelenti, hogy mindenkinek lehetősége van a híd alatt aludni!
-
haxy27
aktív tag
válasz
bambano
#1689
üzenetére
Viszont ami érdekes hogy ha lanra rá dugom a nettet akkor a wlant ap módba állítva megy a dolog rendesen.
Csak fordítva nem.
A kérdés az hogy van e megoldás?gabyka
Csak gépről megy a ping és csak ha megy a net a bőngészőböl is. Különben csak belső hálót tudom pingelni.
411 ről egyáltalán nem megy a ping sehol.És igen be tudom állítani, bár már pár éve nem volt rá szükségem. De kezdek újra belejönni.
A demokrácia azt jelenti, hogy mindenkinek lehetősége van a híd alatt aludni!
-
haxy27
aktív tag
Bele olvasgattam a mkrotik wikibe én is. ez előbb is eszembe juthatott volna.
Jól csináltam a dolgot így kell de ott írja is hogy esetemben nem minden eszköz fog működni. Úgylátszik az android nem.
Viszont találtam egy másik le írásat is de majd holnapután tudom tesztelni mert akkor lesz időm, ott nem említenek olyant hogy nem müködik valami, és routolni sem kell elméletileg.Lényege az hogy 2 mikrotik eszköz kell hozzá, az egyik bridge a másik station bridge módban legyen.
mivel van egy SXT-5HnD -em és valamilyen 18dBi RB Sextant 5 Hnd meg egy 23dBi panelom így asztalon is ki tudom próbálni nem kell szerelgetni
A demokrácia azt jelenti, hogy mindenkinek lehetősége van a híd alatt aludni!
-
bambano
titán
arra figyelj, hogy az újabb cuccok nem szeretnek antenna nélkül menni, ne kapcsold be a hnd végű paneleket antenna nélkül.
meg arra is, hogyha egy asztalon kísérletezel, vedd le az adóteljesítményt, a vevők nem mindig bírják, ha közelről üvölt az adó
a bridge problémát simán ki lehet kerülni, ha routolt hálózatot csinálsz.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Kiskutyák
aktív tag
Sziasztok!
Tudnátok nekem segíteni?
Adott egy Mikrotik RB951Ui-2ND hAP rajta a legfrissebb OS. Lenne kettő VLAN, (VLAN100,VLAN200). A 2-es LAN portjában a VLAN100 (192.168.1.254/24) a 3-as LAN portjában VLAN200 (192.168.2.254/24).
A WAN portján jön be a net fix IP, ez beállítva, bekonfigurálva. Az összes alap tűzfalszabály létrehozva, NAT szabály is, virus lista is rátöltve.
Szeretnék egy olyan szabályt/szabályokat létrehozni ami azt engedi, hogy a 192.168.1.0/24 és a 192.168.2.0/24 láthassa egymást, internet is legyen mind kettő VLAN-ban, DE a 192.168.1.1 és a 192.168.2.1 IP címeken lévő két szerver egymást ne lássa sehogyan sem. Az lényegtelen, hogy miért ne, az a lényeg, hogy ne kommunikáljanak egymással.
Olvasgattam a wikit, de még nem nagyon találtam megoldásra. Ha ez valamit kihagytam akkor kérdezzetek és leírom.
Köszönöm előre is.
"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat!A kis emberek mindig ezt teszik de a nagyok éreztetik veled, hogy te is naggyá válhatsz."
-
bambano
titán
válasz
Kiskutyák
#1695
üzenetére
ha tényleg bevlanoztad az ethernet portjait, akkor egyáltalán nem fogja látni a két hálózat egyetlen gépe sem a másikat. nem csak a szerverek, egyik se.
legalábbis ha jól értem, amit írtál.
ha azt akarod csinálni, amit ebből a hsz-ből kiolvasni vélek, akkor nem kell vlan, szabadulj meg tőle.
további magánvélemény, hogy kezdd azzal, hogy kihajítod az összes tűzfal szabályt. legyen két szabály a kifelé menő natoláshoz, meg majd ha úgy működik a két lokális neted, ahogy szeretnéd, akkor egy a két szerver közötti forgalom tiltására, és kész.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Kiskutyák
aktív tag
válasz
bambano
#1696
üzenetére
Köszönöm sokat segítettél. A VLAN okozta a galibát.
Az nem világos, hogy miért töröljem a tűzfal szabályokat? A wiki nagyon sokat ír le, hogy miket kell beállítani, ha meg akarom védeni a belső hálózatomat, meg az oktatóm is akinél voltam képzésen ő nála is volt vagy 30-40 szabály
.Bár azt a gyorstalpalós képzéseket inkább hagyjuk. Megcsináltam az MTCNA-t és a MTCTCE-t is, de, hogy őszinte legyek tudásban nem adott annyit mint amennyit vártam.
A segítségeddel most sikerült bekonfigurálnom, a két szerver nem látja egymást, de minden más hálózatban lévő eszköz tud egymással kommunikálni.
Köszi
"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat!A kis emberek mindig ezt teszik de a nagyok éreztetik veled, hogy te is naggyá válhatsz."
-
-
bacus
őstag
válasz
Kiskutyák
#1699
üzenetére
Ez a minden tűzfal szabály törlése, ez bambano szigorú magánvéleménye!
Minden attól függ, hogy ki, mire használja a mikrotiket.
Pl. Nálam kifele minden gépről tiltva van a 25 port, csak a szerver mehet, és csak egy adott wan kapcsolaton. E nélkül hamar spammer leszel.
Ftp van, brute force törés tiltva
Ssh van, szintén brute force
Bejövő tartományok vannak tiltva, pl ne érje el a routerem ázsia, dél amerika, stb egyáltalán ne, nincs dolgom velük, ne nézegesse a honlapom, ne pingeljen, stb.
Van még pár lista, pl. Honnan ftpztünk be, igy megvan ügyfélkör legutóbb ismert ip címe.Az itthoni routeremen sokkal kevesebb szabállyal van. Alap tüzfal, tulképp ki is törölhetném, de azért össz 8 szabály még épp elfér.
Én igy látom.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
bocs ezért...
Új hozzászólás Aktív témák
ekkold
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest