Mikrotik - pre zaciatocnikov

[Odar]

V jednej casti ukazuje typek prepojenie pomocou Station. Klientsky router sa cez wifi pripoji na prvy router, nasledne sa tam vytvori DHCP server a vsetko routuje uz druhy router. Nasledne cez NAT preklada adresy svojich zariadeni a posiela prvemu routeru, ktory si to zas premrvi a komunikuje von.

Nebolo by lepsie vyuzit iba DHCP prveho routera a druhemu siet nastavit len ako switch? Alebo je lepsie (z hladiska rozlozenia vykonu), nech si kazda krabica routuje svoju siet?

[16cmfan]

Nech si kazda krabica routuje medzi sebou.. Otazka znie: su to dobri susedia ? Popis nam bez omacky zariadenia, topologiu a ucel

[Odar]

Nejde o susedov. Mna to zaujima z vykonoveho hladiska, co je lepsie. Je jasne, ze ked chcem z hladiska "filozofickeho" oddelit siete a zamedzit potom pristup medzi nimi, tak vytvorim dve.

Teraz ina pesnicka.

Chcem vytvorit virtualne AP pre navstevy. To mam. Chcel by som to ale este vysperkovat tak, ze do mojej wifi siete sa budu moct prihlasit iba zariadenia s MAC adresu na zozname. Existuje /interface wireless access-list. Trochu sa s tym hram, ale potreboval by som to nejako priradit ku konkretnemu interface wireless security-profiles. Nasiel som ineco taketo https://www.techonia.com/7/mac-address- ... k-wireless ale podla toho, co tam pisu, tak ten Access List plati pre zariadenia pre dany fyzicky interface. Cize aj ked si vytvorim virtualne AP, tak to nebude ignorovat zoznam tych MAC adries.

Rozumiem tomu spravne? Nejake riesenie?

[16cmfan]

Da sa to... mas dva oddelene security profile...

mas dva interfajsi... pojdes do access listu, das pridat MAC a vyberies interfajse...
Chces aby do fyzickeho interfejsu mali pristup ludia v acc a co sa tyka virtualu, aby sa to neriadilo podla acc ? Neni problem, mam doma wifi_hostia a tam neberie do uvahy acc list pre fyzicku wifinu...

Ci to zle ja chapem ?

[Odar]

Aha. Takže virtuálna nezdedí ten Access List? Lebo ten vieš navesiť iba na fyzický interface. Preto som myslel, že bude uplatňovať Access List aj pre virtual wifi. Ak ti to funguje, tak je to tak, ako by som to chcel. Lebo samozrejme nechcem pri príchode návštevy ich zariadenia nikam pridávať.

EDIT:
No neviem. Dal som to Access List MAC zariadenia, nastavil na wlan2. Pristup mam. Dam disabled a stale mam pristup. Niekde to treba este asi nastavit, aby wlan2 zohladnoval zoznam zariadeni v Access List.

EDIT 2:
Tak nakoniec to predsta funguje. Neviem, preco mi to vcera blblo. Mozno som mu dal malo casu na rozdychanie, ked som prepinal nastavenia. Na Mikrotik fore som sa docital, ze ak chce uzivatel pouzit Access List, tak treba vypnut v /interface wireless na konkretnom interface-i Default Authenticate.

[Danix64]

Mám Vianoce! Pretože som šťastným majiteľom MikroTiku RB750Gr3 (hEX) (mAP lite zatiaľ ešte nemám)
Ako nestieťarovi sa mi to podarilo nakonfigurovať, tak že to funguje, ale ešte budem tomu venovať čas nasledujúce dni. Pred tým, než som to pripojil do internetu som nastavil meno a heslo, povypínal nepotrebné služby (ftp, ssh, ...) a pomenil defaultné porty. Po pripojení som dal aktualizovať OS.

Zoznámil som sa so skriptovaním a so Schedulerom. Trochu divná syntax, ale dá sa zvyknúť. Keď som narazil na túto Wiki stránku (Super Mario Theme) tak som ostal v nemom úžase (ukážka) a napísal som si skriptík, ktorý sa spustí každý deň o 6:45 (okrem víkendu) a spustí sa zvučka Super Mario (ktorú som skrátil, lebo pôvodná je dosť dlhá) = takže mám nový budík
Je to pecka. Ešte za takú dobrú cenu. Kupovať nejaké asusy, d-link, tp-link a čo ja viem čo ešte sa vôbec neoplatí.
btw RAM: 256MB. Voľná: 217MB

Plánujem:
- whitelist pre MAC adresy (aby sa cudzie MAC adresy nemohli pripojiť)
- statické prideľovanie IP podľa MAC adries
- pridať pravidlá do firewallu (ak sa dá, tak aj také, že pre daný interfejs zakázať prístup do internetu s tým, že prístup na ostatné PC v sieti bude dostupn)
- nájsť nejaký spôsob ako vytvoriť profily a jednoducho prepínať medzi nimi (napr. že pripojené zariadenia do routru budú komunikovať so vzdialenými servermi cez VPN
- nejaké ďalšie užitočnejšie skripty (napr. na automatické zálohovanie, zablokovanie IPčky na určitú dobu, ktorá sa pokúša o prihlásenie sa do routru, posielanie emailov pri určitých eventoch, ...)
- nejaké štatistiky (počet prenesených dát za dni, týždne, mesiace, ...)
- spustiť The Dude server a zoznámiť sa s tým
- a keby sa dalo spraviť to, že keď vypnem hlavný PC (kt. je na interfejsi 2) tak nech router vypne interface 1 (internet)

[mp3turbo]

>> Kupovať nejaké asusy, d-link, tp-link a čo ja viem čo ešte sa vôbec neoplatí.

ale oplati - vies ako to je, ci je to auto take alebo onake alebo makove trojvalcove, blondina, byt na Kramaroch alebo Mikrotik, vsetko ma svojich zakaznikov. Su APcka ktore stoja 23 eur s danou, to nemozes porovnat s tvojou 256MB bestiou.


Tvoje skripty : viacmenej sa vsetko da. Co som neporozumel :
"nájsť nejaký spôsob ako vytvoriť profily a jednoducho prepínať medzi nimi"

co tuto prepana chces ? Zariadenia pripojene do routru a ich komunikacia s niecim vzdialenym cez VPN nejaky Mikrotik vobec nezaujima.




>> "a keby sa dalo spraviť to, že keď vypnem hlavný PC (kt. je na interfejsi 2) tak nech router vypne interface 1 (internet)"

tuto mi utiekol zmysel. Riesil by som to skriptom : ping na IP adresu, kontrola MAC adresy v ARP tabulke a ked tam nebude tak ether1 dole avsak pozor ked zmenis sietovku/PC cely. Predovsetkym ale mam vietor v tom krkolomnom rieseni... co vlastne chces, preco zhodit ten Ether1. A ci sa neda pozadovany vysledok dosiahnut nejako inak. Rozpíš...

[16cmfan]

Hod sem vypis z firewallu, zaujimalo by ma, ako to ma poriesene v defeaulte tato krabicka... ci je to rovnako nastaveny FW ako v SOHO typu 941.. a interfejsi mas v bridge ?

[Danix64]

firewall: http://i.imgur.com/6YfvF94.png

Tvoje skripty : viacmenej sa vsetko da. Co som neporozumel :
"nájsť nejaký spôsob ako vytvoriť profily a jednoducho prepínať medzi nimi"

co tuto prepana chces ? Zariadenia pripojene do routru a ich komunikacia s niecim vzdialenym cez VPN nejaky Mikrotik vobec nezaujima.

Napr.: Majme:
- konfiguráciu firewallu v stave Sf1,
- konfiguráciu toho aby sa zariadenia v sieti mohli vidieť (neviem ako sa to volá v terminológii sietí) v stave Sx1
- konfiguráciu niečoho iného k v stave Sk1
= všetky tieto konfigurácie tvoria profil P1

Potom budú existovať iné konfigurácie s inými stavmi: Sf2, Sx2, Sk2 = profil P2

No a ja chcem jednoduchým a rýchlym spôsobom sa vedieť prepínať medzi profilmi, čiže zmena profilu vyvolá zmeny konfigurácií viacerých subsystémov.
Asi to bude možné uskutočniť iba pomocou skriptu/skriptov, však?

>> "a keby sa dalo spraviť to, že keď vypnem hlavný PC (kt. je na interfejsi 2) tak nech router vypne interface 1 (internet)"

tuto mi utiekol zmysel. Riesil by som to skriptom : ping na IP adresu, kontrola MAC adresy v ARP tabulke a ked tam nebude tak ether1 dole avsak pozor ked zmenis sietovku/PC cely. Predovsetkym ale mam vietor v tom krkolomnom rieseni... co vlastne chces, preco zhodit ten Ether1. A ci sa neda pozadovany vysledok dosiahnut nejako inak. Rozpíš...

Toto som ešte poriadne nepremyslel, ale išlo mi len o to, že ak všetky zariadenia, kt. sú pripojené do routra sú vypnuté, tak nech sa router "odpojí od internetu". Napr. keď nie som doma, tak nech router nie je dostupný zvonku (zo siete v kt. je router pripojený). Proste najlepšie zabezpečenie v sieti je byť nepripojený do siete

[mp3turbo]

k tym profilom : neviem ci tam nieco taketo je, nezda sa mi. Ale to co chces dosiahnut sa zrejme da spravit inak, zavisi od konkretnej situacie... je to flexibilna platforma. Nejdem do toho ze preco Sf1 a Sf2 nemozu existovat spolu "naraz" a neviem si predstavit skutocnu pricinu preco by to cele malo fungovat ako ty chces (nejak si nevybavujem ani "bezne domace" zariadenia ktore by taketo profilovanie mali.

Napad : /export dokaze vytrubit von komplet celu konfiguraciu a /import zase natrubit naspak. Pri lahkom planovani - ked teda nebudes truba - to dokazes zneuzit do takeho rezimu ako potrebujes. Nie je to zrovna profil klik klik, ale zase to nie je ani tretia svetova.


Vypinanie routra a bezpecnost : to su hovadiny. Mikrotik je bezpecna platforma, ukaz mi jeden jediny znamy prienik cez nu. Ukaz jeden jediny prienik ktory nebol zafixovany. Neriesme teraz chymery co dokaze americka en-es-ej, to su krcmove hluposti. Nemusis nic odpajat. Miliarda ludi ma pripojene sibnute D-Linky a taketo "masiny" permanentne a ty mas problem so zabezpecenym ostripovanym linuxom

Uz si niekedy oral na Audi A8 quattro ? ma to sily trikrat viac ako traktor mojho krsneho, stvorkolka to je, takze pohoda, musi to ist. Ze ?

[16cmfan]

Tak tak, radsej ako vypinat router podme si spolocne vysperkovat FW... ja sa na tom bavim a clovek nikdy nevie, co sa noveho dozvie tu na fore

A zrus prepana bridge... za 5 min mas naklikany routing medzi interfejsmi... lepsie aj FW sa manazuje, QoS

[Odar]

Skusam blokovanie pomocou Layer7 protokolov. Toto mi funguje

chain=forward action=reject reject-with=icmp-admin-prohibited layer7 protocol=block_traffic src-address=192.168.2.0-192.168.255.255 log=no log-prefix="Firewall_block_traffic"

, ale divne je, ze ked zadam src-address ako 192.0.0.0/24, tak na mna kasle

chain=forward action=reject reject-with=icmp-admin-prohibited layer7 protocol=block_traffic src-address=192.0.0.0/24 log=no log-prefix="Firewall_block_traffic"

Pritom v casti 009 Use Mikrotik firewall to block Youtube Facebook on the Wireless connectivity, to typek zadava presne takto. "Odpili" vsetko (u neho ma siet 10.0.0.0/24). Ze by verzia RouterOS? V manuali pisu, ze sa da pouzit aj IP/subnet. Tak neviem. Pekne to vidno, ked si na to Filter Rule zapnem LOG. Ked zadam rozsah, ide to do LOGu, ked to zadam, ako IP/maska, nejde to do LOGu ==> pravidlo sa neuplatni.

Moje siete su:

Kód: Vybrať všetko

ether1 192.168.2.50  - 192.168.2.100
ether2 192.168.3.50  - 192.168.3.100
ether3 192.168.4.50  - 192.168.4.100
ether4 192.168.5.50  - 192.168.5.100
wlan1  192.168.10.50 - 192.168.10.100

[mp3turbo]

>> ked zadam src-address ako 192.0.0.0/24, tak na mna kasle

pretoze toto znamena ze chytas ten traffic ktory pochadza zo (=source) siete 192.0.0.0/24 co znamena... 192.0.0.*
Prve tri cisla su fixne dane podla masky : musia byt 192.0.0 az posledne cislo moze byt hociake, teda chytas adresy 192.0.0.1 ; 192.0.0.2 ; 192.0.0.3 ... az 192.0.0.255

ZIadne ine. A to nie je co si chcel.

[Odar]

Takze 192.168.0.0/16 by malo fungovat.

[mp3turbo]

to uz je lepsie. 192.168.0.0/16 zahrna vsetky cisla 192.168.0.1 az do 192.168.255.255