» »

Mikrotik nastavitve

Mikrotik nastavitve

Old Spice ::

Prvič malo bolj poglobljeno nastavljam Mikrotik router. In sicer... Imam dva routerja:

R1 (Mikrotik): (WAN port na Telemach, WAN IP je autoconfigure) LAN IP: 192.168.1.1/24
R2 (Tenda): (WAN port na LAN port od R1, WAN IP (autoconfigure): 192.168.1.253) (LAN IP: 192.168.2.1/24)

Se pravi R2 si deli internet z R1. Hkrati pa imata vsak svoje LAN omrežje. Želim nastavit še rule, da se ta dva LAN omrežja med seboj ne vidita, si pa delita internet povezavo.

Ideja je sledeča, na R1 nastavim rule:

drop all from 192.168.2.0/24 to 192.168.1.0/24
drop all from 192.168.1.0/24 to 192.168.2.0/24

Se pravi na R1 nastavim da zavrže vse kar prihaja iz enega in želi na drugo omrežje. Nisem pa siguren ali bo to delovalo, ker si ta dva omrežja delita tudi internetno povezavo. Ali bo v tem primeru zavrgel tudi vse pakete za povezavo na net? Ker če sem jaz računalnik na R2 in imam IP 192.168.2.100 in je moj gateway R1, pošljem zahtevo na 192.168.1.1, kar bi po zgornjem rule-u R1 zavrgel? Si prav razlagam? Obstaja kakšna rešitev v tem primeru?

Poldi112 ::

Firewall blokira glede na source in destination IP paketka. Če gre vmes čez R1 omrežje ni panike, samo da ni destination IP na R1. Tako da mora delati.

Drugače pa na R1 niti ne rabiš blokirati dostop do R2, ker (predvidevam) delaš NAT in bo brez dodatne konfiguracije port forwarda R2 itak blokiral dostop.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Old Spice ::

Hvala za odgovor. NAT delam ja oz. sem to obkljukal na obeh zaradi povezave v WAN. Je pa res da nisem okljukal Firewall-a (govorim po spominu). Se pravi trenutno verjetno kot tak ne deluje in mi je zato pustil pingat računalnik iz ene v drugo mrežo?

XS!D3 ::

Dokler bo Tenda direktno povezana v prvo omrežje (192.168.1.0/24), bo lahko vedno dostopala do njega ne glede na firewall v Mikrotiku (ker ta promet itak ne gre čez router). Promet iz drugega v prvo omrežje lahko blokiraš kvečemu na Tendi.

Če že hočeš ločeni omrežji, ju loči na samem mikrotiku namesto, da štrikaš z dvojnim NATom in nekaj blokiraš tu nekaj tam..... Tendo pa lahko pustiš kot switch/AP only brez ostalih funkcij, ki jih Mikrotik tako ali tako vrjetno dela dosti boljše. Če že hočeš na tendi karkolli furat, pa vseeno loči segment med Mikrotikom in Tendo od svojega prvega omrežja.

Old Spice ::

XS hvala za odgovor. Na to opcijo, da bi ločil mreže glede na port na Mikrotiku nisem niti pomislil. Bom verjetno popravil konfiguracijo kar tako, da bo vsak port imel svojo mrežo in bo potem Tenda AP. V tem primeru potem verjetno tudi ni direktne poti med enim in drugim omrežjem?

Poldi112 ::

Naloga routerja je da usmerja promet med omrežji. Zdaj ne vem kaj misliš s tem, da ni direkt povezave med enim in drugim, ampak če ne boš nastavil firewall-a (ki je mikrotiku default allow), ti bo router veselo prenašal paketke iz enega v drugo omrežje.

sicer pa - zakaj enostavno ne poiskusiš?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

Old Spice ::

Bom probal, nimam pa zadeve trenutno poleg :)

Old Spice ::

OK. Sem naredil reset routerja na tovarniške nastavitve. V bridge sem dal wifi port in eth2 port. Potem pa sem za eth3, eth4 in eth5 naredil ločena omrežja (svoj ip pool in svoj dhcp). Sedaj če se povežem na drugo mrežo mi ping iz ene v drugo ne deluje. Kar je v bistvu to kar sem želel. Pravil v firewall zaenkrat nisem dodajal. Sicer sem pričakoval da bo ta ping šel, po logiki razloženi zgorej.

mzakelj ::

Zakaj pa ne narediš na prvem routerju vlan in ga spelješ do drugega in tam daš untaged na porte pa je rešeno. Bosta oba na netu in dva omrežja. Hkrati če kdaj potrebuješ lahko enostavno določiš port na r2 da ima omrežje r1

Poldi112 ::

Old Spice je izjavil:

OK. Sem naredil reset routerja na tovarniške nastavitve. V bridge sem dal wifi port in eth2 port. Potem pa sem za eth3, eth4 in eth5 naredil ločena omrežja (svoj ip pool in svoj dhcp). Sedaj če se povežem na drugo mrežo mi ping iz ene v drugo ne deluje. Kar je v bistvu to kar sem želel. Pravil v firewall zaenkrat nisem dodajal. Sicer sem pričakoval da bo ta ping šel, po logiki razloženi zgorej.


Potem si nekaj zaštrikal, oz. ti je defautl conf nastavil firewall. Evo ti primer (brez input chain, zgolj za demonstracijo tvojega problema) - če disableaš forward firewall pravila promet normalno teče med 192.168.1.x in 192.168.2, sicer ne.

[admin@MikroTik] > export
/interface bridge
add fast-forward=no name=bridge1
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
add name=dhcp_pool1 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
add address-pool=dhcp_pool1 disabled=no interface=ether5 name=dhcp2
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
/ip address
add address=192.168.2.1/24 interface=ether5 network=192.168.2.0
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=1.1.1.1 gateway=192.168.1.1
add address=192.168.2.0/24 dns-server=1.1.1.1 gateway=192.168.2.1
/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward in-interface=bridge1 out-interface=ether1
add action=accept chain=forward in-interface=ether5 out-interface=ether1
add action=drop chain=forward
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

XS!D3 ::

Old Spice je izjavil:

OK. Sem naredil reset routerja na tovarniške nastavitve. V bridge sem dal wifi port in eth2 port. Potem pa sem za eth3, eth4 in eth5 naredil ločena omrežja (svoj ip pool in svoj dhcp). Sedaj če se povežem na drugo mrežo mi ping iz ene v drugo ne deluje. Kar je v bistvu to kar sem želel. Pravil v firewall zaenkrat nisem dodajal. Sicer sem pričakoval da bo ta ping šel, po logiki razloženi zgorej.

Imaš default gateway pravilno nastavljen na hostih v obeh mrežah? Si dejansko štartal s praznim configom ali kakšnim quick setom, ki vsebuje že določena osnovna firewall pravila?

Old Spice ::

Evo sem rešil. Problem je bil v FW na računalniku. Ko sem pogasnil to po računalnikih so se pingal med sabo.

Sedaj sem pa nastavil FW rule na Mikrotiku tako:

drop from eth3 !eth1
drop from eth4 !eth1

Se pravi da dropne vse pakete ki pridejo iz eth3 (drugo omrežje) in niso namenjeni na net. Kolikor testiram zadeva špila. Tako da, to je točno to kar sem hotu :)

XS!D3 ::

Ponavadi je bolj pametno, da dropaš vse, kar eksplicitno ne dovoliš.

Old Spice ::

Štekam. Glih kontra logika.

A mogoče kdo ve kako se lahko nastavi limit na interface? Se pravi DL in UL na recimo 2M za interface eth3 recimo? Neki se igram z vrstami, sam zadeva na prime.

Old Spice ::

OK. Sem zgruntal tudi to. V IP firewallu sem imel nastavljen fasttrack rule, ki je povozu vrsto. Sedaj tudi omejitev na portu deluje.

SeMiNeSanja ::

Sam so pa res sadomazo te nastavitve.... in potem pridigajo nekateri, kako je to primerno za vsakogar....

Katastrofa je že logika, da je po defaultu vse dovoljeno.
Bog vedi koliko 'navadnih Janezov' je tam zunaj, ki se jim ni posvetila ta zgrešena logika in spuščajo vse na vse konce in kraje, ne da bi se tega sploh zavedali.
Potem pa še mislijo, kako 'hud firewall' imajo... auč!

Poldi112 ::

Navadni Janezi uporabijo privzete tovarniške nastavitve, ki imajo nastavljen firewall.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

SeMiNeSanja ::

Poldi112 je izjavil:

Navadni Janezi uporabijo privzete tovarniške nastavitve, ki imajo nastavljen firewall.

FIREWALL? Kakšen 'firewall' ima po defaultu vključen? NAT ni firewall. Da do upravljanja naprave ne moreš z interneta, pa bi morala vsaka naprava imeti po defaultu vključeno - brez da se to poudarja kot 'firewall'.

Kako pa izgleda ta 'tovarniško nastavljen firewall', če imaš IPv6 aktiven?

mat xxl ::

SeMiNeSanja, daj pojasni, sam ne vem podrobnosti, OK imam povsod IPv6 izključen, zakaj je ta IPv6 lahko težava, ker vsi svetujejo izklop ?

Asus ima po defaultu to izključeno, zanimivo pa ima firevall za IPv6, kljub temu vključen.

Saul Goodman ::

jebemti seminesanja dej že skeširaj 20e za enga mikrotika, da se ne boš tle sramote vsakič delal, ko ga nekdo omeni. po defaultu na nobenmu ni web mgmt mogoč iz wana. a bo v redu?

darkolord ::

Default:
 /ip firewall {
   filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
   filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
   filter add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
   filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
   filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
   filter add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
   filter add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
   filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
   filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
   filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf:  drop all from WAN not DSTNATed"
 }
 /ipv6 firewall {
   address-list add list=bad_ipv6 address=::/128 comment="defconf: unspecified address"
   address-list add list=bad_ipv6 address=::1 comment="defconf: lo"
   address-list add list=bad_ipv6 address=fec0::/10 comment="defconf: site-local"
   address-list add list=bad_ipv6 address=::ffff:0:0/96 comment="defconf: ipv4-mapped"
   address-list add list=bad_ipv6 address=::/96 comment="defconf: ipv4 compat"
   address-list add list=bad_ipv6 address=100::/64 comment="defconf: discard only "
   address-list add list=bad_ipv6 address=2001:db8::/32 comment="defconf: documentation"
   address-list add list=bad_ipv6 address=2001:10::/28 comment="defconf: ORCHID"
   address-list add list=bad_ipv6 address=3ffe::/16 comment="defconf: 6bone"
   address-list add list=bad_ipv6 address=::224.0.0.0/100 comment="defconf: other"
   address-list add list=bad_ipv6 address=::127.0.0.0/104 comment="defconf: other"
   address-list add list=bad_ipv6 address=::/104 comment="defconf: other"
   address-list add list=bad_ipv6 address=::255.0.0.0/104 comment="defconf: other"
   filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
   filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
   filter add chain=input action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
   filter add chain=input action=accept protocol=udp port=33434-33534 comment="defconf: accept UDP traceroute"
   filter add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/16 comment="defconf: accept DHCPv6-Client prefix delegation."
   filter add chain=input action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
   filter add chain=input action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
   filter add chain=input action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
   filter add chain=input action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
   filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
   filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
   filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
   filter add chain=forward action=drop src-address-list=bad_ipv6 comment="defconf: drop packets with bad src ipv6"
   filter add chain=forward action=drop dst-address-list=bad_ipv6 comment="defconf: drop packets with bad dst ipv6"
   filter add chain=forward action=drop protocol=icmpv6 hop-limit=equal:1 comment="defconf: rfc4890 drop hop-limit=1"
   filter add chain=forward action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
   filter add chain=forward action=accept protocol=139 comment="defconf: accept HIP"
   filter add chain=forward action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
   filter add chain=forward action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
   filter add chain=forward action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
   filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
   filter add chain=forward action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
 }

Zgodovina sprememb…

  • spremenilo: darkolord ()

SeMiNeSanja ::

mat xxl je izjavil:

SeMiNeSanja, daj pojasni, sam ne vem podrobnosti, OK imam povsod IPv6 izključen, zakaj je ta IPv6 lahko težava, ker vsi svetujejo izklop ?

Asus ima po defaultu to izključeno, zanimivo pa ima firevall za IPv6, kljub temu vključen.

V čem je point IPv6..... Nimaš NAT-a na IPv6. Torej če nekdo ve tvoj IPv6 naslov in si nisi nastavil na firewall, da ne dovoliš nič prometa proti noter kot default, potem lahko vsak čačka in šara po portih tvojega PC-ja.

Saj vse skupaj ni neka posebna kunšt, samo hudič je vedno pri defaultih, ki jih proizvajalci (ali nevešči uporabniki)nastavijo. Leta in leta si imel kvazi potuho, da nič ne more 'noter', če nisi forwardiral port. IPv6 se požvižga na to.
Moraš po default vse zapreti in potem odpirati porte, dokaj podobno kot si pri IPv4 forwardiral, samo malenkost bolj enostavno. No...enostavno....če nimaš Mikrotika, ker na temu se mi konfiguriranje firewall-a zdi čisti mazohizem, ki prej kliče po kakšni katastrofalni napaki, kot po temu, da bi še tako velik tepec lahko kaj prav naredil....

@Saul - a ti delujem kot da sem mazohist? Imam preveč rdečih škatlic, ki se jih 100x bolj enostavno in pregledno konfigurira kot Mikrotik.

SeMiNeSanja ::

@Darklord - ali so ti defaulti od nekdaj notri?
Ko sem nazadnje gledal neka navodila, so na roke gradili pravila od nule!
Je možno, da so defaulte dodali šele pred časom? Ali je bil tisti snovalec navodil ekstremni mazohist...?

darkolord ::

Ob prvem zagonu te vpraša, ali želiš obdržati default konfiguracijo ali začeti iz nule. To je že kar nekaj let, res pa je, da so z leti pravila malo posodobili oz. jih razširili.

Ta močni modeli (tapravi core routerji) imajo precej bolj prazen default, ker se večinoma ne uporabljajo samo kot gatewayi in v takem primeru default konfiguracijo itak pobrišeš in nastaviš na frišno.

Glede zgoraj napisanega pa, IPv4 NAT ni nič "kvazi potuha". Nobene razlike ni, če eksplicitno dropneš paket, ali pa ga dropne, ker ne najde NAT sessiona.

Zgodovina sprememb…

  • spremenilo: darkolord ()

XS!D3 ::

SeMiNeSanja je izjavil:

@Darklord - ali so ti defaulti od nekdaj notri?
Ko sem nazadnje gledal neka navodila, so na roke gradili pravila od nule!
Je možno, da so defaulte dodali šele pred časom? Ali je bil tisti snovalec navodil ekstremni mazohist...?

To je quick set, ki je namenjen ravno uporabnikom, ki se s pravili ne bodo kaj dosti ukvarjali. Kolikor vem, obstaja že nekaj časa. Kdor ve, kaj dela, pa na začetku posebaj zahteva empty config, kjer seveda po defaultu nič ni blokirano enako kot na večini drugih routerjev.

SeMiNeSanja ::

Saj če bi se router uporabljalo zgolj kot router, potem pravil skorajda nič ne potrebuješ, oz. jih ne želiš imeti, da kdaj kasneje (ko pozabiš, kaj si nastavil) ne rabiš ugibat zakaj vraga nekaj ne deluje...

Jaz vidim NAT kot kvazi potuho, kar se pokaže, ko prideš do IPv6. Že res, da tehnično ni razlike, ali paket eksplicitno dropneš, ali pade zaradi NAT-a - problem je v glavi, v miselnem procesu. Ker ljudje pri IPv4 jemljejo kot privzeto, da itak ne gre nič proti notri, če ni eksplicitno forwardiral porta, potem o tem ne razmišljajo niti ko vklopijo IPv6.
Ravno zato nekateri varnostni standardi zahtevajo, da eksplicitno dropneš vse pakete, ki jih sicer ne dovoljuješ. Oz. po domače, da imaš na koncu eksplicitno pravilo 'deny all', čeprav ti spodoben firewall to že takointako po defaultu naredi.

Pač trotlziher pristop, ki se zna obrestovati, ko enkrat naletiš na neko napravo, kjer je proizvajalec zaj* defaulte ali pa ti sledijo neki čudni logiki.

Drugače pa kdor je vajen striktnega egress filtriranja, temu je to takointako čisto nekaj vsakdanjega. Ampak koliko ljudi pa dejansko izvaja striktno egress filtriranje? 90% naprav je skonfiguriranih po sistemu 'From: Trusted To: Any allow Any'.
Da bi pa moral skonfigurirati striktno egress filtriranje na Mikrotiku... no way! Tudi pod razno se tega nebi hotel niti lotiti. Dejansko se praktično nihče noče tega lotiti. Zato pa potem vse 'deluje'. Vključno z ransomware-i, črvi, raznimi trojanci itd.

Izjema so okolja, kjer je Mikrotik postavljen pred kakšno specifično rešitvijo, ki ima zelo omejeno območje komuniciranja (npr. VOIP centrala - na ven komunicira le z providerjem in še to samo na parih portih). V takih primerih je še dokaj preprosto postaviti ustrezna pravila in zadevo napraviti 'vodotesno'.

Poldi112 ::

Koliko enega nabijanja, poveš pa nič drugega kot to, da si prezabit/prelen, da bi skonfiguriral Mikrotik firewall.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Domači VPN (strani: 1 2 3 )

Oddelek: Omrežja in internet
12716148 (1996) Daniel
»

SSH forwarding na Mikrotiku

Oddelek: Omrežja in internet
101341 (1081) miki133
»

Mikrotik RB2011UiAS-2HnD-IN na Amisu, bizarno počasen internet. (strani: 1 2 )

Oddelek: Omrežja in internet
909666 (6946) Invictus
»

mikrotik pomoc

Oddelek: Pomoč in nasveti
374389 (2635) kronik
»

pppoe+mikrotik

Oddelek: Omrežja in internet
172963 (2541) Senitel

Več podobnih tem