» »

mikrotik pomoc

mikrotik pomoc

xandros ::

Na mikrotik routerju sem nastavil pptp server.
Z racunalnikom se lepo prijavim v VPN pptp preko lokalnega omrezja.
Preko interneta pa mi to ne gre.

V firewall filter imam nastavljeno allow 1723 in GRE 47.

Kaj je potrebno še nastaviti? Kaj moram se pogledati?

urosh123 ::

Ali tista dva rula kaj ujameta?
Je firewall rule v pravem chainu?
torej nekako tako:
/ip firewall filter
add action=accept chain=input comment="Allow PPTP" disabled=no dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow PPTP and EoIP" disabled=no protocol=gre

Kaj pa pravijo logi na temo ppp?

Zgodovina sprememb…

  • spremenil: urosh123 ()

xandros ::

Ja tocno taksna pravila sem dal notri.
Kako pogledam loge? V winbox , ko dam logs, tam ni nobenih logov za firewall, ce se prijavim na lan pptp tam notri vidim loge, drugace pa cisto nic.

urosh123 ::

A ko se povezujete od zunaj (seveda na javni IP), se kaj ulovi v PPTP firewall filtru (to se vidi v winbox pod firewall filtri)?

xandros ::

ne,se nic ne ulovi

mam pa se nat(dmz), ce ga to kaj moti?
recimo web server na tem serverju za natom lepo dela

Zgodovina sprememb…

  • spremenil: xandros ()

urosh123 ::

To pomeni, da ga ujame kakšen rule prej ali pa nat, saj se dst-nat izvede pred input filtrom.
Ping deluje na javni ip?
je mogoče narejen tudi nat za pptp port?

xandros ::

ping deluje
pptp v natu ni (je pa cel ip v dmz, ampak na tem serverju ne dela pptp)

kako si lahko nastavim, da kaj vec spremljam glede firewall log?

Zgodovina sprememb…

  • spremenil: xandros ()

urosh123 ::

Je DMZ za kakšnim drugim firewallom?
Lahko mogoče prilepiš /ip firewall nat export

logiraš tako, da narediš firewall rule z action=log pred rule, ki ga želiš logirati. To se ponavadi postavi pred drop rule (mora biti isto definiran kot drop rule).

xandros ::

ni drugega fw
bom prilepil export brez public ip

add action=masquerade chain=srcnat comment="osnovni nat" disabled=yes \
out-interface=ether1-gateway
add action=dst-nat chain=dstnat comment="sftp port forward" disabled=no \
dst-address=PUBLIC dst-port=EN_PORT protocol=tcp to-addresses=\
NOTRANJI_IP to-ports=22
add action=dst-nat chain=dstnat comment="osnovni NAT na server " disabled=no \
dst-address=PUBLIC to-addresses=NOTRANJI
add action=src-nat chain=srcnat disabled=yes src-address=NOTRANJI \
to-addresses=PUBLIC
add action=dst-nat chain=dstnat comment="loopback NAT" disabled=no dst-address=\
!NOTRANJI/24 dst-address-type=local dst-port=80,21,22 protocol=tcp \
to-addresses=NOTRANJI
add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway \
src-address=NOTRANJI/24
add action=masquerade chain=srcnat disabled=no dst-port=80,21,22 protocol=tcp \
src-address=NOTRANJI/24

Zgodovina sprememb…

  • spremenil: xandros ()

urosh123 ::

xandros je izjavil:

ni drugega fw
bom prilepil export brez public ip

add action=masquerade chain=srcnat comment="osnovni nat" disabled=yes \
out-interface=ether1-gateway
add action=dst-nat chain=dstnat comment="sftp port forward" disabled=no \
dst-address=PUBLIC dst-port=EN_PORT protocol=tcp to-addresses=\
NOTRANJI_IP to-ports=22
add action=dst-nat chain=dstnat comment="osnovni NAT na server " disabled=no \
dst-address=PUBLIC to-addresses=NOTRANJI

add action=src-nat chain=srcnat disabled=yes src-address=NOTRANJI \
to-addresses=PUBLIC
add action=dst-nat chain=dstnat comment="loopback NAT" disabled=no dst-address=\
!NOTRANJI/24 dst-address-type=local dst-port=80,21,22 protocol=tcp \
to-addresses=NOTRANJI
add action=masquerade chain=srcnat disabled=no out-interface=ether1-gateway \
src-address=NOTRANJI/24
add action=masquerade chain=srcnat disabled=no dst-port=80,21,22 protocol=tcp \
src-address=NOTRANJI/24


Problem je v označenem rule, ki forwardira VSE na server (to je tako kot če bi imel server javni ip).
Predlagam da forwardiraš le potrebne porte ali pa izločiš pptp port.

xandros ::

Kako pa izlocim pptp?

Ali je to bolj pametno, ali da pisem vsak service posebej?

urosh123 ::

najbolje da napišeš rule za posamezne service. V en rule lahko dodaš tudi več portov (napr: 80,443,21). Če pa želiš izločiti pptp pa moraš narediti rule zanj pred tem z action=accept.

xandros ::

a namesto

add action=dst-nat chain=dstnat comment="osnovni NAT na server " disabled=no \
dst-address=PUBLIC to-addresses=NOTRANJI


dam
add action=dst-nat chain=dstnat comment="osnovni NAT na server " disabled=no \
dst-address=PUBLIC dst-port=80,21,22 to-addresses=NOTRANJI

za ftp se rabim port 20?

urosh123 ::

res je. Deluje sedaj?

xandros ::

Zdajle nimam prilike, bom jutri sprobal.

Vidim, da obvladas mikrotik.
Eni routerji imajo usb port: kaj lahko pocnes z usb na mikrotik?
USB disk in kaksna samba?

SPF na mikrotiku: ali lahko zamenjam s tem milan na t-2?

hvala.
deluje sedaj

Zgodovina sprememb…

  • spremenil: xandros ()

urosh123 ::

USB lahko uporabiš za storage ali pa 3G modem. In seveda sedaj podpira tudi sambo.

Si mislil SFP za optiko? ravno so izdali nov model, ki podpira sfp modul - RB2011LS-IN.

xandros ::

ja ta model me zanima, rb2011, a lahko namesto milana in zdajsnega mikrotika uporabim kar ta novi model?

urosh123 ::

Jaz bi rekel da lahko, ne vem pa kako bi bilo to T-2 všeč :)

xandros ::

JIh je potrebno vprasat?
Zakaj jim ne bi bilo vsec?

Jz bi dobil namesto treh naprav (milan, mikrotik, switch) en mikrotik (z 10 porti bi lahko nadomestil vse tri).
Pa se tist milan se full greje.

xandros ::

Malo si gledam ip firewall mangle

add action=mark-packet chain=forward comment=http disabled=no dst-port=80 new-packet-mark=http passthrough=no protocol=tcp

add action=mark-connection chain=forward comment=masinaXY disabled=no new-connection-mark=masinaXY_conn passthrough=yes src-address=192.168.x.y

downloadam si iz masine en file dolg 100M recimo
predstavljam si,da bi mi tam pri prikazu bytes moralo v obeh primerih prikazati, da sem prenesel 100M

ali prav to gledam?

gensi ::

Da ne odpiram nove teme, povprašam tukaj.

Že nekaj dni se nekdo iz zelo različnih IP naslovov (na dan je zagotovo več kot 1000 poizkusov) poizkuša prijaviti na Mikrotik ruter.
Če je mogoče bi prosil za pomoč kako nastaviti požarni zid, da se to "trkanje" končno ustavi.

Sedanja nastavitev na Firewall:
General: input, ether1-gateway; Action: Add to scr address list
General: forward, Conection state: invalid; Action: drop

Zapisi v logu (takih zapisov je zares veliko):
18:04:59 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:01 system,error,critical login failure for user PruncuTz from 216.75.105.254 via ssh
18:05:03 system,error,critical login failure for user backup from 216.75.105.254 via ssh
18:05:05 system,error,critical login failure for user nagios from 216.75.105.254 via ssh
18:05:07 system,error,critical login failure for user http from 216.75.105.254 via ssh
18:05:10 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:13 system,error,critical login failure for user last from 216.75.105.254 via ssh
18:05:16 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:17 system,error,critical login failure for user user from 216.75.105.254 via ssh
18:05:21 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:25 system,error,critical login failure for user plesk from 216.75.105.254 via ssh
18:05:27 system,error,critical login failure for user toor from 216.75.105.254 via ssh
18:05:30 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:32 system,error,critical login failure for user douglas from 216.75.105.254 via ssh
18:05:39 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:41 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:42 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:44 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:46 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:49 system,error,critical login failure for user root from 216.75.105.254 via ssh
18:05:51 system,error,critical login failure for user gabi from 216.75.105.254 via ssh

kronik ::

Očitno je skoz isti IP, zato ga preprosto dodaj v firewallu na reject.

SeMiNeSanja ::

Če se da na Mikrotiku (nisem preveril), lahko tudi prestaviš ssh server port 'malo višje' in zafrkneš vse, ki skenirajo za butastimi gesli na ssh.

tony1 ::

Gotovo se da prijavo preko SSH na določenem vmesniku (npr. wan, kjer imaš gor internet) ali popolnoma blokirati ali pa le omejiti na določene source IPje...

gensi ::

Hvala za nasvet.
Poizkusi prijave so bili iz zelo različnih IP-jev. Očitno to nekdo dobro koordinira (ali pa uporablja VPN-je), saj so bili poizkusi iz vseh koncev sveta.
Blokiral SSH in sedaj je mirno.

Hayabusa ::

Imaš ssh na privzetem portu ? Dont.

Zgodovina sprememb…

  • spremenilo: Hayabusa ()

gensi ::

Hayabusa je izjavil:

Imaš ssh na privzetem portu ? Dont.


SSH sem izklopil med "servisi" pa je mir.
Kje in kako pa bi za SSH spremenil port?

Saj Mikrotik ruter je super, samo vse se mi zdi malce zakomplicirano.
DD-WRT je proti Mikrotiku vrtec.

Škoda, da ni kaj več vodičev, sploh aktualnih.
Razvoj na področju ruterjev je živahen.

Zgodovina sprememb…

  • spremenil: gensi ()

dukedl ::

tud jz sm mel cel kup poizkusov vdora, pa sm preprosto onemogoču vse servise razn winbox-a, temu pa dodal access listo za določene ipje v firewall.

in vse mirno je bilo...so pa sekali notr iz Kitajske, Koreje..non stop :)
lp dukedl

Hayabusa ::

Kje in kako pa bi za SSH spremenil port?

Če imaš mikrotik, potem se nauči brati navodila/googlati, drugače si zgrešil z nakupom 100%.
http://www.mikrotik.com/testdocs/ros/2....

gensi ::

Hayabusa je izjavil:

Kje in kako pa bi za SSH spremenil port?

Če imaš mikrotik, potem se nauči brati navodila/googlati, drugače si zgrešil z nakupom 100%.
http://www.mikrotik.com/testdocs/ros/2....


Hvala za link.
Saj se rad igram (zato sem kupil Mikrotika), a včasih za malenkost brez pomoči drugih izgubiš res veliko časa.

Moram biti korekten in tudi pohvaliti njihovo pomoč iz Latvije - kar sem vprašal, sem vedno dobil kratek in jasen odgovor.

Hayabusa ::

Da sem našel iskano je trajalo celo sekundo "mikrotik ssh change port" v google.

Navodila
http://www.mikrotik.com/testdocs/ros/2....
http://www.mikrotik.com/documentation.h...

Zgodovina sprememb…

  • spremenilo: Hayabusa ()

Qushaak ::

Mene pa zanima recimo primerjava Microtik-a RB2011 (recimo trenutno premium izvedenke) s sodobnim nizkoporabno platformo (APU s TDP-jem 9-17W).
Vem, da MicroTik pride (bistveno) ceneje in še več portov se da dobiti (že sama PCIe kartica s štirimi Gigabitnimi porti košta 150€+) in da gledano celotno požre še nekaj manj energije. Samo kako pa se najnovejše verzije RouterOS-a kosajo s kakim Endian Firewall, pfSense, m0n0wall in podobnimi?
Skratka objektivne prednosti enega in drugega pristopa.
Hvala za nasvete.

terratech ::

Ali bi kdo vedel kako se na Mikrotiku nastavi WIFI omrežje goste, ki je ločeno od hišnega omrežja?

kronik ::

Narediš virtualni AP, ki je ločen od ostalih porotv. Opcija pa je tudi hotspot.

gensi ::

Iz domačega računalnika bi se želel povezati na lokacijo na drugem naslovu preko VPN povezave na način, da bi videl vse računalnike v drugem omrežju, drugi računalniki pa naj vidijo moj računalnik.

Na Mikrotiku je nastavljeno:
ether1-gateway == proxy-arp

Narejene so tudi nastavitve v meniju PPP.

Ko se prijavim preko VPN povezave dobim IP omrežja v katerem je Mikrotik (ne vidim pa nobene druge naprave v ciljnem omrežju - še več: v mreži kaže domače naprave).

Prosil bi za pomoč.
Hvala in lep pozdrav.

Zgodovina sprememb…

  • spremenil: gensi ()

dukedl ::

če vtipkaš direkten ip (oz ga pingaš) od naprav v tistem drugem (ne svojem) omrežju, ali deluje?
lp dukedl

gensi ::

dukedl je izjavil:

če vtipkaš direkten ip (oz ga pingaš) od naprav v tistem drugem (ne svojem) omrežju, ali deluje?


Če vpišem IP lokacije na Mikrotiku, dobim odgovor. Nič ni izgube.
Če vpišem IP domače lokacije, se vse izgubi (na požarnem zidu ni dovoljenja za neznane IP-je).

kronik ::

Če hočeš videti mašine med sabo na obeh lokacijah (Windows Network), morajo biti v isti IP klasi, na Mikrotiku pa nastavit EoIP.
Če to ni nujno, dodaj VPN povezavo (Interfaces > Add new > *VPN* Clinet)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Mikrotik T-2 IPTV IGMP Proxy

Oddelek: Omrežja in internet
3611830 (1337) raceboy
»

Mikrotik nastavitve

Oddelek: Omrežja in internet
263188 (2588) Poldi112
»

MikroTik, UPnP, port forwarding, Amis, kamere...

Oddelek: Omrežja in internet
164352 (3879) Daniel
»

SSH forwarding na Mikrotiku

Oddelek: Omrežja in internet
101815 (1555) miki133
»

pppoe+mikrotik

Oddelek: Omrežja in internet
173527 (3105) Senitel

Več podobnih tem