Forum » Pomoč in nasveti » mikrotik pomoc
mikrotik pomoc
xandros ::
Na mikrotik routerju sem nastavil pptp server.
Z racunalnikom se lepo prijavim v VPN pptp preko lokalnega omrezja.
Preko interneta pa mi to ne gre.
V firewall filter imam nastavljeno allow 1723 in GRE 47.
Kaj je potrebno še nastaviti? Kaj moram se pogledati?
Z racunalnikom se lepo prijavim v VPN pptp preko lokalnega omrezja.
Preko interneta pa mi to ne gre.
V firewall filter imam nastavljeno allow 1723 in GRE 47.
Kaj je potrebno še nastaviti? Kaj moram se pogledati?
urosh123 ::
Ali tista dva rula kaj ujameta?
Je firewall rule v pravem chainu?
torej nekako tako:
/ip firewall filter
add action=accept chain=input comment="Allow PPTP" disabled=no dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow PPTP and EoIP" disabled=no protocol=gre
Kaj pa pravijo logi na temo ppp?
Je firewall rule v pravem chainu?
torej nekako tako:
/ip firewall filter
add action=accept chain=input comment="Allow PPTP" disabled=no dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow PPTP and EoIP" disabled=no protocol=gre
Kaj pa pravijo logi na temo ppp?
Zgodovina sprememb…
- spremenil: urosh123 ()
xandros ::
Ja tocno taksna pravila sem dal notri.
Kako pogledam loge? V winbox , ko dam logs, tam ni nobenih logov za firewall, ce se prijavim na lan pptp tam notri vidim loge, drugace pa cisto nic.
Kako pogledam loge? V winbox , ko dam logs, tam ni nobenih logov za firewall, ce se prijavim na lan pptp tam notri vidim loge, drugace pa cisto nic.
urosh123 ::
A ko se povezujete od zunaj (seveda na javni IP), se kaj ulovi v PPTP firewall filtru (to se vidi v winbox pod firewall filtri)?
xandros ::
ne,se nic ne ulovi
mam pa se nat(dmz), ce ga to kaj moti?
recimo web server na tem serverju za natom lepo dela
mam pa se nat(dmz), ce ga to kaj moti?
recimo web server na tem serverju za natom lepo dela
Zgodovina sprememb…
- spremenil: xandros ()
urosh123 ::
To pomeni, da ga ujame kakšen rule prej ali pa nat, saj se dst-nat izvede pred input filtrom.
Ping deluje na javni ip?
je mogoče narejen tudi nat za pptp port?
Ping deluje na javni ip?
je mogoče narejen tudi nat za pptp port?
xandros ::
ping deluje
pptp v natu ni (je pa cel ip v dmz, ampak na tem serverju ne dela pptp)
kako si lahko nastavim, da kaj vec spremljam glede firewall log?
pptp v natu ni (je pa cel ip v dmz, ampak na tem serverju ne dela pptp)
kako si lahko nastavim, da kaj vec spremljam glede firewall log?
Zgodovina sprememb…
- spremenil: xandros ()
urosh123 ::
Je DMZ za kakšnim drugim firewallom?
Lahko mogoče prilepiš /ip firewall nat export
logiraš tako, da narediš firewall rule z action=log pred rule, ki ga želiš logirati. To se ponavadi postavi pred drop rule (mora biti isto definiran kot drop rule).
Lahko mogoče prilepiš /ip firewall nat export
logiraš tako, da narediš firewall rule z action=log pred rule, ki ga želiš logirati. To se ponavadi postavi pred drop rule (mora biti isto definiran kot drop rule).
xandros ::
ni drugega fw
bom prilepil export brez public ip
add action=masquerade chain=srcnat comment="osnovni nat" disabled=yes \
out-interface=ether1-gateway
add action=dst-nat chain=dstnat comment="sftp port forward" disabled=no \
dst-address=PUBLIC dst-port=EN_PORT protocol=tcp to-addresses=\
NOTRANJI_IP to-ports=22
add action=dst-nat chain=dstnat comment="osnovni NAT na server " disabled=no \
dst-address=PUBLIC to-addresses=NOTRANJI
add action=src-nat chain=srcnat disabled=yes src-address=NOTRANJI \
to-addresses=PUBLIC
add action=dst-nat chain=dstnat comment="loopback NAT" disabled=no dst-address=\
!NOTRANJI/24 dst-address-type=local dst-port=80,21,22 protocol=tcp \
to-addresses=NOTRANJI
add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway \
src-address=NOTRANJI/24
add action=masquerade chain=srcnat disabled=no dst-port=80,21,22 protocol=tcp \
src-address=NOTRANJI/24
bom prilepil export brez public ip
add action=masquerade chain=srcnat comment="osnovni nat" disabled=yes \
out-interface=ether1-gateway
add action=dst-nat chain=dstnat comment="sftp port forward" disabled=no \
dst-address=PUBLIC dst-port=EN_PORT protocol=tcp to-addresses=\
NOTRANJI_IP to-ports=22
add action=dst-nat chain=dstnat comment="osnovni NAT na server " disabled=no \
dst-address=PUBLIC to-addresses=NOTRANJI
add action=src-nat chain=srcnat disabled=yes src-address=NOTRANJI \
to-addresses=PUBLIC
add action=dst-nat chain=dstnat comment="loopback NAT" disabled=no dst-address=\
!NOTRANJI/24 dst-address-type=local dst-port=80,21,22 protocol=tcp \
to-addresses=NOTRANJI
add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway \
src-address=NOTRANJI/24
add action=masquerade chain=srcnat disabled=no dst-port=80,21,22 protocol=tcp \
src-address=NOTRANJI/24
Zgodovina sprememb…
- spremenil: xandros ()
urosh123 ::
ni drugega fw
bom prilepil export brez public ip
add action=masquerade chain=srcnat comment="osnovni nat" disabled=yes \
out-interface=ether1-gateway
add action=dst-nat chain=dstnat comment="sftp port forward" disabled=no \
dst-address=PUBLIC dst-port=EN_PORT protocol=tcp to-addresses=\
NOTRANJI_IP to-ports=22
add action=dst-nat chain=dstnat comment="osnovni NAT na server " disabled=no \
dst-address=PUBLIC to-addresses=NOTRANJI
add action=src-nat chain=srcnat disabled=yes src-address=NOTRANJI \
to-addresses=PUBLIC
add action=dst-nat chain=dstnat comment="loopback NAT" disabled=no dst-address=\
!NOTRANJI/24 dst-address-type=local dst-port=80,21,22 protocol=tcp \
to-addresses=NOTRANJI
add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway \
src-address=NOTRANJI/24
add action=masquerade chain=srcnat disabled=no dst-port=80,21,22 protocol=tcp \
src-address=NOTRANJI/24
Problem je v označenem rule, ki forwardira VSE na server (to je tako kot če bi imel server javni ip).
Predlagam da forwardiraš le potrebne porte ali pa izločiš pptp port.
urosh123 ::
najbolje da napišeš rule za posamezne service. V en rule lahko dodaš tudi več portov (napr: 80,443,21). Če pa želiš izločiti pptp pa moraš narediti rule zanj pred tem z action=accept.
xandros ::
a namesto
add action=dst-nat chain=dstnat comment="osnovni NAT na server " disabled=no \
dst-address=PUBLIC to-addresses=NOTRANJI
dam
add action=dst-nat chain=dstnat comment="osnovni NAT na server " disabled=no \
dst-address=PUBLIC dst-port=80,21,22 to-addresses=NOTRANJI
za ftp se rabim port 20?
add action=dst-nat chain=dstnat comment="osnovni NAT na server " disabled=no \
dst-address=PUBLIC to-addresses=NOTRANJI
dam
add action=dst-nat chain=dstnat comment="osnovni NAT na server " disabled=no \
dst-address=PUBLIC dst-port=80,21,22 to-addresses=NOTRANJI
za ftp se rabim port 20?
xandros ::
Zdajle nimam prilike, bom jutri sprobal.
Vidim, da obvladas mikrotik.
Eni routerji imajo usb port: kaj lahko pocnes z usb na mikrotik?
USB disk in kaksna samba?
SPF na mikrotiku: ali lahko zamenjam s tem milan na t-2?
hvala.
deluje sedaj
Vidim, da obvladas mikrotik.
Eni routerji imajo usb port: kaj lahko pocnes z usb na mikrotik?
USB disk in kaksna samba?
SPF na mikrotiku: ali lahko zamenjam s tem milan na t-2?
hvala.
deluje sedaj
Zgodovina sprememb…
- spremenil: xandros ()
urosh123 ::
USB lahko uporabiš za storage ali pa 3G modem. In seveda sedaj podpira tudi sambo.
Si mislil SFP za optiko? ravno so izdali nov model, ki podpira sfp modul - RB2011LS-IN.
Si mislil SFP za optiko? ravno so izdali nov model, ki podpira sfp modul - RB2011LS-IN.
xandros ::
ja ta model me zanima, rb2011, a lahko namesto milana in zdajsnega mikrotika uporabim kar ta novi model?
xandros ::
JIh je potrebno vprasat?
Zakaj jim ne bi bilo vsec?
Jz bi dobil namesto treh naprav (milan, mikrotik, switch) en mikrotik (z 10 porti bi lahko nadomestil vse tri).
Pa se tist milan se full greje.
Zakaj jim ne bi bilo vsec?
Jz bi dobil namesto treh naprav (milan, mikrotik, switch) en mikrotik (z 10 porti bi lahko nadomestil vse tri).
Pa se tist milan se full greje.
xandros ::
Malo si gledam ip firewall mangle
add action=mark-packet chain=forward comment=http disabled=no dst-port=80 new-packet-mark=http passthrough=no protocol=tcp
add action=mark-connection chain=forward comment=masinaXY disabled=no new-connection-mark=masinaXY_conn passthrough=yes src-address=192.168.x.y
downloadam si iz masine en file dolg 100M recimo
predstavljam si,da bi mi tam pri prikazu bytes moralo v obeh primerih prikazati, da sem prenesel 100M
ali prav to gledam?
add action=mark-packet chain=forward comment=http disabled=no dst-port=80 new-packet-mark=http passthrough=no protocol=tcp
add action=mark-connection chain=forward comment=masinaXY disabled=no new-connection-mark=masinaXY_conn passthrough=yes src-address=192.168.x.y
downloadam si iz masine en file dolg 100M recimo
predstavljam si,da bi mi tam pri prikazu bytes moralo v obeh primerih prikazati, da sem prenesel 100M
ali prav to gledam?
gensi ::
Da ne odpiram nove teme, povprašam tukaj.
Že nekaj dni se nekdo iz zelo različnih IP naslovov (na dan je zagotovo več kot 1000 poizkusov) poizkuša prijaviti na Mikrotik ruter.
Če je mogoče bi prosil za pomoč kako nastaviti požarni zid, da se to "trkanje" končno ustavi.
Sedanja nastavitev na Firewall:
General: input, ether1-gateway; Action: Add to scr address list
General: forward, Conection state: invalid; Action: drop
Zapisi v logu (takih zapisov je zares veliko):
18:04:59 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:01 system,error,critical login failure for user PruncuTz from 216.75.105.254 via ssh
18:05:03 system,error,critical login failure for user backup from 216.75.105.254 via ssh
18:05:05 system,error,critical login failure for user nagios from 216.75.105.254 via ssh
18:05:07 system,error,critical login failure for user http from 216.75.105.254 via ssh
18:05:10 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:13 system,error,critical login failure for user last from 216.75.105.254 via ssh
18:05:16 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:17 system,error,critical login failure for user user from 216.75.105.254 via ssh
18:05:21 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:25 system,error,critical login failure for user plesk from 216.75.105.254 via ssh
18:05:27 system,error,critical login failure for user toor from 216.75.105.254 via ssh
18:05:30 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:32 system,error,critical login failure for user douglas from 216.75.105.254 via ssh
18:05:39 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:41 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:42 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:44 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:46 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:49 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:51 system,error,critical login failure for user gabi from 216.75.105.254 via ssh
Že nekaj dni se nekdo iz zelo različnih IP naslovov (na dan je zagotovo več kot 1000 poizkusov) poizkuša prijaviti na Mikrotik ruter.
Če je mogoče bi prosil za pomoč kako nastaviti požarni zid, da se to "trkanje" končno ustavi.
Sedanja nastavitev na Firewall:
General: input, ether1-gateway; Action: Add to scr address list
General: forward, Conection state: invalid; Action: drop
Zapisi v logu (takih zapisov je zares veliko):
18:04:59 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:01 system,error,critical login failure for user PruncuTz from 216.75.105.254 via ssh
18:05:03 system,error,critical login failure for user backup from 216.75.105.254 via ssh
18:05:05 system,error,critical login failure for user nagios from 216.75.105.254 via ssh
18:05:07 system,error,critical login failure for user http from 216.75.105.254 via ssh
18:05:10 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:13 system,error,critical login failure for user last from 216.75.105.254 via ssh
18:05:16 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:17 system,error,critical login failure for user user from 216.75.105.254 via ssh
18:05:21 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:25 system,error,critical login failure for user plesk from 216.75.105.254 via ssh
18:05:27 system,error,critical login failure for user toor from 216.75.105.254 via ssh
18:05:30 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:32 system,error,critical login failure for user douglas from 216.75.105.254 via ssh
18:05:39 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:41 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:42 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:44 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:46 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:49 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:51 system,error,critical login failure for user gabi from 216.75.105.254 via ssh
SeMiNeSanja ::
Če se da na Mikrotiku (nisem preveril), lahko tudi prestaviš ssh server port 'malo višje' in zafrkneš vse, ki skenirajo za butastimi gesli na ssh.
tony1 ::
Gotovo se da prijavo preko SSH na določenem vmesniku (npr. wan, kjer imaš gor internet) ali popolnoma blokirati ali pa le omejiti na določene source IPje...
gensi ::
Hvala za nasvet.
Poizkusi prijave so bili iz zelo različnih IP-jev. Očitno to nekdo dobro koordinira (ali pa uporablja VPN-je), saj so bili poizkusi iz vseh koncev sveta.
Blokiral SSH in sedaj je mirno.
Poizkusi prijave so bili iz zelo različnih IP-jev. Očitno to nekdo dobro koordinira (ali pa uporablja VPN-je), saj so bili poizkusi iz vseh koncev sveta.
Blokiral SSH in sedaj je mirno.
gensi ::
Imaš ssh na privzetem portu ? Dont.
SSH sem izklopil med "servisi" pa je mir.
Kje in kako pa bi za SSH spremenil port?
Saj Mikrotik ruter je super, samo vse se mi zdi malce zakomplicirano.
DD-WRT je proti Mikrotiku vrtec.
Škoda, da ni kaj več vodičev, sploh aktualnih.
Razvoj na področju ruterjev je živahen.
Zgodovina sprememb…
- spremenil: gensi ()
dukedl ::
tud jz sm mel cel kup poizkusov vdora, pa sm preprosto onemogoču vse servise razn winbox-a, temu pa dodal access listo za določene ipje v firewall.
in vse mirno je bilo...so pa sekali notr iz Kitajske, Koreje..non stop :)
in vse mirno je bilo...so pa sekali notr iz Kitajske, Koreje..non stop :)
lp dukedl
Hayabusa ::
Kje in kako pa bi za SSH spremenil port?
Če imaš mikrotik, potem se nauči brati navodila/googlati, drugače si zgrešil z nakupom 100%.
http://www.mikrotik.com/testdocs/ros/2....
gensi ::
Kje in kako pa bi za SSH spremenil port?
Če imaš mikrotik, potem se nauči brati navodila/googlati, drugače si zgrešil z nakupom 100%.
http://www.mikrotik.com/testdocs/ros/2....
Hvala za link.
Saj se rad igram (zato sem kupil Mikrotika), a včasih za malenkost brez pomoči drugih izgubiš res veliko časa.
Moram biti korekten in tudi pohvaliti njihovo pomoč iz Latvije - kar sem vprašal, sem vedno dobil kratek in jasen odgovor.
Hayabusa ::
Da sem našel iskano je trajalo celo sekundo "mikrotik ssh change port" v google.
Navodila
http://www.mikrotik.com/testdocs/ros/2....
http://www.mikrotik.com/documentation.h...
Navodila
http://www.mikrotik.com/testdocs/ros/2....
http://www.mikrotik.com/documentation.h...
Zgodovina sprememb…
- spremenilo: Hayabusa ()
Qushaak ::
Mene pa zanima recimo primerjava Microtik-a RB2011 (recimo trenutno premium izvedenke) s sodobnim nizkoporabno platformo (APU s TDP-jem 9-17W).
Vem, da MicroTik pride (bistveno) ceneje in še več portov se da dobiti (že sama PCIe kartica s štirimi Gigabitnimi porti košta 150€+) in da gledano celotno požre še nekaj manj energije. Samo kako pa se najnovejše verzije RouterOS-a kosajo s kakim Endian Firewall, pfSense, m0n0wall in podobnimi?
Skratka objektivne prednosti enega in drugega pristopa.
Hvala za nasvete.
Vem, da MicroTik pride (bistveno) ceneje in še več portov se da dobiti (že sama PCIe kartica s štirimi Gigabitnimi porti košta 150€+) in da gledano celotno požre še nekaj manj energije. Samo kako pa se najnovejše verzije RouterOS-a kosajo s kakim Endian Firewall, pfSense, m0n0wall in podobnimi?
Skratka objektivne prednosti enega in drugega pristopa.
Hvala za nasvete.
terratech ::
Ali bi kdo vedel kako se na Mikrotiku nastavi WIFI omrežje goste, ki je ločeno od hišnega omrežja?
gensi ::
Iz domačega računalnika bi se želel povezati na lokacijo na drugem naslovu preko VPN povezave na način, da bi videl vse računalnike v drugem omrežju, drugi računalniki pa naj vidijo moj računalnik.
Na Mikrotiku je nastavljeno:
ether1-gateway == proxy-arp
Narejene so tudi nastavitve v meniju PPP.
Ko se prijavim preko VPN povezave dobim IP omrežja v katerem je Mikrotik (ne vidim pa nobene druge naprave v ciljnem omrežju - še več: v mreži kaže domače naprave).
Prosil bi za pomoč.
Hvala in lep pozdrav.
Na Mikrotiku je nastavljeno:
ether1-gateway == proxy-arp
Narejene so tudi nastavitve v meniju PPP.
Ko se prijavim preko VPN povezave dobim IP omrežja v katerem je Mikrotik (ne vidim pa nobene druge naprave v ciljnem omrežju - še več: v mreži kaže domače naprave).
Prosil bi za pomoč.
Hvala in lep pozdrav.
Zgodovina sprememb…
- spremenil: gensi ()
dukedl ::
če vtipkaš direkten ip (oz ga pingaš) od naprav v tistem drugem (ne svojem) omrežju, ali deluje?
lp dukedl
gensi ::
kronik ::
Če hočeš videti mašine med sabo na obeh lokacijah (Windows Network), morajo biti v isti IP klasi, na Mikrotiku pa nastavit EoIP.
Če to ni nujno, dodaj VPN povezavo (Interfaces > Add new > *VPN* Clinet)
Če to ni nujno, dodaj VPN povezavo (Interfaces > Add new > *VPN* Clinet)
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Mikrotik T-2 IPTV IGMP ProxyOddelek: Omrežja in internet | 11307 (814) | raceboy |
| » | Mikrotik nastavitveOddelek: Omrežja in internet | 2913 (2313) | Poldi112 |
| » | MikroTik, UPnP, port forwarding, Amis, kamere...Oddelek: Omrežja in internet | 4057 (3584) | Daniel |
| » | SSH forwarding na MikrotikuOddelek: Omrežja in internet | 1686 (1426) | miki133 |
| » | pppoe+mikrotikOddelek: Omrežja in internet | 3395 (2973) | Senitel |