Mikrotik - pre zaciatocnikov
- Chris
- Pokročilý používateľ
- Príspevky: 5238
- Dátum registrácie: Pi 13. Jan, 2006, 02:00
- Bydlisko: Bratislava
Re: Mikrotik - pre zaciatocnikov
mne pride debilita pouzivat v dnesnej dobe ciste ftp alebo ftps priamo.... jedine co ma zmysel je sftp alebo vpn a cez to ftp ked uz tak moc chces...
Master of PaloAlto NGFWs, Cisco ASAs
Re: Mikrotik - pre zaciatocnikov
Som v tom novy jak Kokosy na snehu cize rad sa priucim... to SFTP nevyzera zle... VPNko riesi vela veci to je pravda... tot otazka - ist do OVPN alebo L2TP ?
Cize privitam nejake rady ludi, co maju NAS dlhsie ako tyzden a skusenosti s tym spojene
ESte taka otazka - da sa spojazdnit z toho Qnap nejaky log server, co bude spolupracovat s MikroTikom ?
Cize privitam nejake rady ludi, co maju NAS dlhsie ako tyzden a skusenosti s tym spojene
ESte taka otazka - da sa spojazdnit z toho Qnap nejaky log server, co bude spolupracovat s MikroTikom ?
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm
NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
- Chris
- Pokročilý používateľ
- Príspevky: 5238
- Dátum registrácie: Pi 13. Jan, 2006, 02:00
- Bydlisko: Bratislava
Re: Mikrotik - pre zaciatocnikov
Ak narazas na mna, tak niekolko rokov pouzivam na doma server s xeon e3, ecc ram a len raid controllerom 3x drahsim ako hento NAS.16cmfan napísal: Cize privitam nejake rady ludi, co maju NAS dlhsie ako tyzden a skusenosti s tym spojene
Podla mna tieto NAS nemaju zmysel, ked za 30e si kupim Banana pi s 2.5" diskom cez sata port mam tam 50MB/s read a 30MB/s write po sieti.
Po pridani dalsich diskov cez usb vies si replikovat cez Lua sync ako chces.
Ak uz chces pristupovat na domace data, tak nepouzivaj ftp alebo ftps ako lammer ale sftp ak uz. Alebo normalne seafile/owncloud na NAS a cez to pripajas cez https 443.
Dalsia vec ak by si sa pozrel config NAska tak by si videl, ze sa da napojit Syslog server alebo este monitoring cez snmp. (napr. Observium)
Master of PaloAlto NGFWs, Cisco ASAs
Re: Mikrotik - pre zaciatocnikov
Tak ano, je moznost napr. aj cez appky pristupit co ponuka priamo Qnap... a urcite sa stym pohram cez weekend. Diky za rady!
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm
NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
-
- Pokročilý používateľ
- Príspevky: 12262
- Dátum registrácie: St 27. Apr, 2011, 11:16
- Bydlisko: ta Blava, ňe ?
Re: Mikrotik - pre zaciatocnikov
pravidlo cislo 3 mas zbytocne :
3 ;;; Povol port pre FTP
chain=dstnat action=dst-nat to-addresses=192.168.5.10 to-ports=21 protocol=tcp
dst-port=21 log=yes log-prefix=""
pretoze hovori podmnozinu toho co pravidlo cislo 2 rovno nad nim. Trojku mozes zakazat a po overeni funkcnosti vymazat.
Pravidlo cislo 4 je UpNp duplikat pravidla cislo 1 ktore si zadal rucne :
4 D ;;; upnp 192.168.5.10: 5528db0053bd0ac7bec8217b51bb5a8c-Web Admin
chain=dstnat action=dst-nat to-addresses=192.168.5.10 to-ports=8080 protocol=tcp
dst-address=10.251.0.10 in-interface=ether1 dst-port=8080
takze jednicku asi mozes vymazat, nech tam nie je zbytocne. Jednicku preto lebo stvorka je automat, tu tam podla mna chces nechat. Zakazes upnp na bedni, pravidlo aj funkcionalita zmizne.
Ostatne bez vyhrad.
Co mozes spravit pre bezpecnost ? Hlavne updatovat QNAP (nechaj si posielat mailom notifikacie o novej verzii) a aj ostatne aplikacie (skype, torrent, teredo), nenechat ich pustene na masine vtedy ked jednoducho nepotrebujes.
Na QNAP by som spravil knock-knock skript : aby nebol zbytocne furt otvoreny do sveta, urobil by som si na mikrotiku pravidla ktore by zabezpecili ze najprv musis spravit spojenie na port cojaviem 55555, potom na nejaky iny cojaviem 11111 a az potom sa otvoria porty na ktorych pocuva Qnap. Zaroven by si este mohol spravit brufe-force prevention, ked sa niekto bude snazit pripojit 5x za cojaviem 3 minuty, tak ho vyblokovat automaticky.
Na mikrotiku zakazat sluzby ktore nepotrebujes : /ip services print a obmedzit tie ktore potrebujes. Ked si napriklad chces pozerat grafiky, musi bezat web server, to vsak neznamena ze musi bezat do celeho internetu.
port knocking : https://wiki.mikrotik.com/wiki/Port_Knocking
/ip firewall filter add action=add-src-to-address-list address-list="port55555" address-list-timeout=1m chain=input dst-port=55555 protocol=tcp
/ip firewall filter add action=add-src-to-address-list address-list="secure" address-list-timeout=1m chain=input dst-port=11111 protocol=tcp src-address-list="port55555"
a do vsetkych tvojich QNAP pravidiel doplnis address-list=secure
co pravidla robia : prve, ak sa niekto snazi pripojit na mikrotik port 55555 cez tcp protokol, prida ho na jednu minutu do address listu (kuknes co to na mikrotiku je) ktory sa vola port55555.
Druhe, ak niekto uz je v address liste "port55555" a snazi sa pripojit na mikrotik na port 11111 znovu tcp protokolom, prida ho do zoznamu "secure".
Kedze tvoje firewall pravidla budu mat poziadavku ze zdrojova adresa musi byt v "secure" zozname, znamena to jednoduchu vec : zvonku sa najprv musis "doklopkat" na port 55555, potom do jednej minuty na port 11111 a az potom sa mozes pripojit na Qnapove sluzby, samozrejme autorizacia klasicky musi byt. Ked tieto veci utocnik nevie, mikrotik firewall ho nepusti. Ked ma nahodeny port scan, sice sa nahodou zaradi do prislusneho listu, avsak aby bol zaradeny do "secure zoznamu", musi najprv scannovat port 55555, az potom 11111 a ked si tam doplnis este jednu vrstvu medzitym napriklad port 12399, prakticky nie je sanca aby to niekto NEZNALY dokazal zneuzit. A furt ma len minutu. Podobnym sposobom sa da doplnit pravidlo "ak sa do minuty nepripoji na qnap cize ak nema zive spojenie na 192.168.5.10 port 8080, hod ho do zoznamu zakazanych uzivatelov kde ho budes drzat tri dni".
Brute force prevencia : vsetko samozrejme v /ip firewall
add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop comment="drop rdp brute forcers" disabled=no
[ak sa niekto snazi pripojit na port 3389 a je v zozname "rdp_blacklist", zakaz mu pristup
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=10d comment="" disabled=no
[a teraz ze ako sa do toho zoznamu dostanu : ak sa niekto snazi spravit nove spojenie na porte 3389 a je v zozname "rdp_stage3", prdni ho do zoznamu "rdp_blacklist" a drz ho tam desat dni
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m comment="" disabled=no
[ak sa niekto snazi spravit nove spojenie na porte 3389 a je v zozname "rdp_stage2", prdni ho do zoznamu "rdp_stage3" a drz ho tam jednu minutu]
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no
[ak sa niekto snazi spravit nove spojenie na porte 3389 a je v zozname "rdp_stage1", prdni ho do zoznamu "rdp_stage2" a drz ho tam jednu minutu]
add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no
[ak sa niekto snazi spravit nove spojenie na porte 3389, prdni ho do zoznamu "rdp_stage1" a drz ho tam jednu minutu]
logika je jasna. Ak sa niekto nevie pripojit na Terminal Services (=napriklad skusa heslo), po prvom neuspesnom spojeni je na minutu zaradeny do zoznamu rdp_Stage1. Potom ak sa pokusi znovu, prdne ho to druheho a tretieho levelu az nakoniec zakaze. Cele je to zalozene na opakovanych spojeniach a postupnom zaradovani do skupin. Ak sa niekto pripoji na prvy alebo druhy pokus, sice bude zaradeny v prislusnej skupine ale iba na minutu a nove spojenia neotvara takze to nevadi.
Casy si samozrejme nastavis podla svojej vole, mne sa minuta zda prilis malo, dal by som tam veselo hodinu alebo aj den. Toto som okopiroval zo stranky http://serverfault.com/questions/548923 ... via-winbox a narychlo som to upravil. Samozrejme ze 3389 nepouzivas, to som v tvojom firewalle nevidel, ukazka je vsak jasna.
Pokrocila panika priamo od autorov : https://wiki.mikrotik.com/wiki/Securing ... rOs_Router
do tohoto sa na zaciatok nepustaj, daj tomu par tyzdnov aby sa ti rozlezalo v hlave ze co tie pravidla robia. Je to uz fakt pokrocila skola.
Keby si chcel byt velmi chrumkavy, mozes si spravit nejaku VPNku, napriklad L2TP s IPSec sifrovanim a povolit pristup na Qnapy len z tejto privatnej siete. Cize okrem toho ze data budu zasifrovane QNapom, to si zabezpecis SFTP, https:443 a podobne, budu este navyse zapuzdrene v AES256 sifrovanej sieti. Samozrjeme tu nastava cirkus s pripojenim vzdialenych tabletov, telefonov a takychto hraciciek, predpokladam vsak ze prilis vela suborov z QNapu nebudes na taketo zariadenia potrebovat a o streamovani filmov na dialku z domacej filmoteky sa asi nebavime.
3 ;;; Povol port pre FTP
chain=dstnat action=dst-nat to-addresses=192.168.5.10 to-ports=21 protocol=tcp
dst-port=21 log=yes log-prefix=""
pretoze hovori podmnozinu toho co pravidlo cislo 2 rovno nad nim. Trojku mozes zakazat a po overeni funkcnosti vymazat.
Pravidlo cislo 4 je UpNp duplikat pravidla cislo 1 ktore si zadal rucne :
4 D ;;; upnp 192.168.5.10: 5528db0053bd0ac7bec8217b51bb5a8c-Web Admin
chain=dstnat action=dst-nat to-addresses=192.168.5.10 to-ports=8080 protocol=tcp
dst-address=10.251.0.10 in-interface=ether1 dst-port=8080
takze jednicku asi mozes vymazat, nech tam nie je zbytocne. Jednicku preto lebo stvorka je automat, tu tam podla mna chces nechat. Zakazes upnp na bedni, pravidlo aj funkcionalita zmizne.
Ostatne bez vyhrad.
Co mozes spravit pre bezpecnost ? Hlavne updatovat QNAP (nechaj si posielat mailom notifikacie o novej verzii) a aj ostatne aplikacie (skype, torrent, teredo), nenechat ich pustene na masine vtedy ked jednoducho nepotrebujes.
Na QNAP by som spravil knock-knock skript : aby nebol zbytocne furt otvoreny do sveta, urobil by som si na mikrotiku pravidla ktore by zabezpecili ze najprv musis spravit spojenie na port cojaviem 55555, potom na nejaky iny cojaviem 11111 a az potom sa otvoria porty na ktorych pocuva Qnap. Zaroven by si este mohol spravit brufe-force prevention, ked sa niekto bude snazit pripojit 5x za cojaviem 3 minuty, tak ho vyblokovat automaticky.
Na mikrotiku zakazat sluzby ktore nepotrebujes : /ip services print a obmedzit tie ktore potrebujes. Ked si napriklad chces pozerat grafiky, musi bezat web server, to vsak neznamena ze musi bezat do celeho internetu.
port knocking : https://wiki.mikrotik.com/wiki/Port_Knocking
/ip firewall filter add action=add-src-to-address-list address-list="port55555" address-list-timeout=1m chain=input dst-port=55555 protocol=tcp
/ip firewall filter add action=add-src-to-address-list address-list="secure" address-list-timeout=1m chain=input dst-port=11111 protocol=tcp src-address-list="port55555"
a do vsetkych tvojich QNAP pravidiel doplnis address-list=secure
co pravidla robia : prve, ak sa niekto snazi pripojit na mikrotik port 55555 cez tcp protokol, prida ho na jednu minutu do address listu (kuknes co to na mikrotiku je) ktory sa vola port55555.
Druhe, ak niekto uz je v address liste "port55555" a snazi sa pripojit na mikrotik na port 11111 znovu tcp protokolom, prida ho do zoznamu "secure".
Kedze tvoje firewall pravidla budu mat poziadavku ze zdrojova adresa musi byt v "secure" zozname, znamena to jednoduchu vec : zvonku sa najprv musis "doklopkat" na port 55555, potom do jednej minuty na port 11111 a az potom sa mozes pripojit na Qnapove sluzby, samozrejme autorizacia klasicky musi byt. Ked tieto veci utocnik nevie, mikrotik firewall ho nepusti. Ked ma nahodeny port scan, sice sa nahodou zaradi do prislusneho listu, avsak aby bol zaradeny do "secure zoznamu", musi najprv scannovat port 55555, az potom 11111 a ked si tam doplnis este jednu vrstvu medzitym napriklad port 12399, prakticky nie je sanca aby to niekto NEZNALY dokazal zneuzit. A furt ma len minutu. Podobnym sposobom sa da doplnit pravidlo "ak sa do minuty nepripoji na qnap cize ak nema zive spojenie na 192.168.5.10 port 8080, hod ho do zoznamu zakazanych uzivatelov kde ho budes drzat tri dni".
Brute force prevencia : vsetko samozrejme v /ip firewall
add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop comment="drop rdp brute forcers" disabled=no
[ak sa niekto snazi pripojit na port 3389 a je v zozname "rdp_blacklist", zakaz mu pristup
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=10d comment="" disabled=no
[a teraz ze ako sa do toho zoznamu dostanu : ak sa niekto snazi spravit nove spojenie na porte 3389 a je v zozname "rdp_stage3", prdni ho do zoznamu "rdp_blacklist" a drz ho tam desat dni
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m comment="" disabled=no
[ak sa niekto snazi spravit nove spojenie na porte 3389 a je v zozname "rdp_stage2", prdni ho do zoznamu "rdp_stage3" a drz ho tam jednu minutu]
add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no
[ak sa niekto snazi spravit nove spojenie na porte 3389 a je v zozname "rdp_stage1", prdni ho do zoznamu "rdp_stage2" a drz ho tam jednu minutu]
add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no
[ak sa niekto snazi spravit nove spojenie na porte 3389, prdni ho do zoznamu "rdp_stage1" a drz ho tam jednu minutu]
logika je jasna. Ak sa niekto nevie pripojit na Terminal Services (=napriklad skusa heslo), po prvom neuspesnom spojeni je na minutu zaradeny do zoznamu rdp_Stage1. Potom ak sa pokusi znovu, prdne ho to druheho a tretieho levelu az nakoniec zakaze. Cele je to zalozene na opakovanych spojeniach a postupnom zaradovani do skupin. Ak sa niekto pripoji na prvy alebo druhy pokus, sice bude zaradeny v prislusnej skupine ale iba na minutu a nove spojenia neotvara takze to nevadi.
Casy si samozrejme nastavis podla svojej vole, mne sa minuta zda prilis malo, dal by som tam veselo hodinu alebo aj den. Toto som okopiroval zo stranky http://serverfault.com/questions/548923 ... via-winbox a narychlo som to upravil. Samozrejme ze 3389 nepouzivas, to som v tvojom firewalle nevidel, ukazka je vsak jasna.
Pokrocila panika priamo od autorov : https://wiki.mikrotik.com/wiki/Securing ... rOs_Router
do tohoto sa na zaciatok nepustaj, daj tomu par tyzdnov aby sa ti rozlezalo v hlave ze co tie pravidla robia. Je to uz fakt pokrocila skola.
Keby si chcel byt velmi chrumkavy, mozes si spravit nejaku VPNku, napriklad L2TP s IPSec sifrovanim a povolit pristup na Qnapy len z tejto privatnej siete. Cize okrem toho ze data budu zasifrovane QNapom, to si zabezpecis SFTP, https:443 a podobne, budu este navyse zapuzdrene v AES256 sifrovanej sieti. Samozrjeme tu nastava cirkus s pripojenim vzdialenych tabletov, telefonov a takychto hraciciek, predpokladam vsak ze prilis vela suborov z QNapu nebudes na taketo zariadenia potrebovat a o streamovani filmov na dialku z domacej filmoteky sa asi nebavime.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Re: Mikrotik - pre zaciatocnikov
Fuha to je naloz
Tak SFTP budem pouzivat ale asi len sporadicky ak vobec a ked uz tak lepsie asi VPNko L2TP. Na vsetko ostatne mam tie appky (8080, 8081, 443 porty) - plynulo som vcera streamoval (cez VLC prehralaval) film v krcme s mizernym TCOM DSL pripojenim. Taktiez priamo na Qnap si mozem nastavit za kolko na kolko pojde do blacklistu user po neuspesnom prihlaseni, notifikacie na email.... ale ten port knocking vyzera zaujimavo...
Tak SFTP budem pouzivat ale asi len sporadicky ak vobec a ked uz tak lepsie asi VPNko L2TP. Na vsetko ostatne mam tie appky (8080, 8081, 443 porty) - plynulo som vcera streamoval (cez VLC prehralaval) film v krcme s mizernym TCOM DSL pripojenim. Taktiez priamo na Qnap si mozem nastavit za kolko na kolko pojde do blacklistu user po neuspesnom prihlaseni, notifikacie na email.... ale ten port knocking vyzera zaujimavo...
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm
NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
-
- Pokročilý používateľ
- Príspevky: 12262
- Dátum registrácie: St 27. Apr, 2011, 11:16
- Bydlisko: ta Blava, ňe ?
Re: Mikrotik - pre zaciatocnikov
ved preto mi to trvalo tak dlho inak toto je len absolutny zaciatok co mikrotik dokaze, fakt ze žbrnda.
ked pozres ten "pokrocily" link od autorov, tam je spuuuuusta veci ktorych sme sa ani nedotkli. Je to fakt silna vec tato platforma. Inak mimo Slovenska poznam styroch VELKYCH providerov ktori na Mikrotiku - samozrejme nie na mydlovych krabickach - bezia fakt huste pripojenia na internet s dynamickym routovanim (BGP tabulky, radovo 150.000 routovacich pravidiel).
"Trosicku" si pochvaluju - riesenia na Juniperi a Ciscu ich stalo milion (este raz : nie v korunach), Mikrotik maju v radoch zopar tisicov a najvacsia polozka je samozrejme hardware na ktorom to bezi, nie software.
ked pozres ten "pokrocily" link od autorov, tam je spuuuuusta veci ktorych sme sa ani nedotkli. Je to fakt silna vec tato platforma. Inak mimo Slovenska poznam styroch VELKYCH providerov ktori na Mikrotiku - samozrejme nie na mydlovych krabickach - bezia fakt huste pripojenia na internet s dynamickym routovanim (BGP tabulky, radovo 150.000 routovacich pravidiel).
"Trosicku" si pochvaluju - riesenia na Juniperi a Ciscu ich stalo milion (este raz : nie v korunach), Mikrotik maju v radoch zopar tisicov a najvacsia polozka je samozrejme hardware na ktorom to bezi, nie software.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Re: Mikrotik - pre zaciatocnikov
IPsec vytvoreny - funguje Dostanem sa cez mobilny net, pomocou Chrome na FTP.. cez Filezzilu mi to neslo. Takisto cez VLC mi nic nenaslo v lokalnej sieti.. ale to bude asi len nejaka blbost pozriem na nete.. krasna vec ten RouterOS
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm
NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
Re: Mikrotik - pre zaciatocnikov
Je to normalne tolke logy ? // EDIT: pozeram, ze som si dal logoval pravidlo c. 1 Takze je to normalne
FW:
V NAT zapnuta len maskarada... aj ked som vypol UPNP stale to iste...
FW:
Kód: Vybrať všetko
1 chain=forward action=accept connection-state=established,related connection
log=yes log-prefix=""
2 chain=forward action=accept connection-state=established,related log=no log
3 ;;; Povol L2TP VPN protokol 51
chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
4 ;;; Povol L2TP VPN protokol 50
chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
5 ;;; Povol L2TP VPN port 1701
chain=input action=accept protocol=udp dst-port=1701 log=yes log-prefix=""
6 ;;; Povol L2TP VPN port 500
chain=input action=accept protocol=udp dst-port=500 log=yes log-prefix=""
7 ;;; Povol L2TP VPN port 4500
chain=input action=accept protocol=udp dst-port=4500 log=yes log-prefix=""
8 ;;; Pristup na QNAP TS-128
chain=input action=accept protocol=tcp dst-address=192.168.5.10 dst-port=80
9 ;;; PINGUJESE ZIJES!
chain=input action=accept protocol=icmp log=no log-prefix=""
10 chain=input action=accept connection-state=established
11 chain=input action=accept connection-state=related
12 ;;; VZDIALENY PRISTUP Z WINBOXu
chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""
13 ;;; Povol DNS navsteve cez TCP
chain=input action=accept protocol=tcp src-address=192.168.60.0/24 dst-port
14 ;;; Povol DNS navsteve cez UDP
chain=input action=accept protocol=udp src-address=192.168.60.0/24 dst-port
15 ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (tcp)
chain=input action=drop connection-state=new protocol=tcp in-interface=ethe
16 ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (udp)
chain=input action=drop connection-state=new protocol=udp in-interface=ethe
17 ;;; UKAZAT PROSTREDNICKEK PRI POKUSE O LOGIN NA MIKROTICEK
chain=input action=drop src-address=192.168.60.0/24 log=no log-prefix=""
18 ;;; SUKROMIE JE CENNE
chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
dst-address=192.168.2.0/24 log=no log-prefix=""
19 chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
dst-address=192.168.3.0/24 log=no log-prefix=""
20 chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
dst-address=192.168.4.0/24 log=no log-prefix=""
21 chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
dst-address=192.168.5.0/24 log=no log-prefix=""
22 chain=forward action=reject reject-with=icmp-network-unreachable src-address=192.168.60.0/24
dst-address=192.168.24.0/24 log=no log-prefix=""
23 chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24
dst-address=192.168.50.0/24 log=no log-prefix=""
24 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid log=no log-prefix=""
25 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=no
log-prefix=""
26 chain=input action=drop in-interface=ether1 log=no log-prefix=""
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm
NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
-
- Pokročilý používateľ
- Príspevky: 12262
- Dátum registrácie: St 27. Apr, 2011, 11:16
- Bydlisko: ta Blava, ňe ?
Re: Mikrotik - pre zaciatocnikov
sikovny !
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Re: Mikrotik - pre zaciatocnikov
Neviete o nejakej haluzy vo Windows 7 a L2TP ? Pripoji ma na VPNku (MikroTik aj win pise, ze som pripojeny) ale v skutocnosti ani len nepingnem napr. NAS na lokal sieti... ked si dam nasu stranku na kontrolu spotreby, pri spravne fungujucej VPN mi zobrazi moju spotrebu aj IP... http://spotreba.proxisnet.sk/
Na mobile mi to paradoxne funguje, dostanem sa pekne na NASko alebo na FTP... divne to je.. pouzivam Win 7. A pritom mi to minule islo...
Na mobile mi to paradoxne funguje, dostanem sa pekne na NASko alebo na FTP... divne to je.. pouzivam Win 7. A pritom mi to minule islo...
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm
NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
-
- Pokročilý používateľ
- Príspevky: 12262
- Dátum registrácie: St 27. Apr, 2011, 11:16
- Bydlisko: ta Blava, ňe ?
Re: Mikrotik - pre zaciatocnikov
s takymito podrobnymi udajmi na analyzu... chapes co mozeme
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Re: Mikrotik - pre zaciatocnikov
SERVER
Poznamka: local address z rozsahu 192.168.2.0/24, remote - jedina addresa vytvorena cez POOL: 192.168.6.10
CLIENT
Windows 7 Home - viz priloha. Este podotknem, ze z MikroTik pingnem aktuane pridelenu addressu napr. 192.168.2.98 ale z NB nepingnem nic (akoby som vobec nebol pripojeny) ale v MT vidim, ze som tam..
Ak bude potreba este nieco sem hodit, daj vediet.
Kód: Vybrať všetko
[admin@Sestnastka_ROUTER] /interface l2tp-server server> print
enabled: yes
max-mtu: 1450
max-mru: 1450
mrru: disabled
authentication: mschap1,mschap2
keepalive-timeout: disabled
max-sessions: unlimited
default-profile: L2TP
use-ipsec: no
ipsec-secret: heslo
caller-id-type: ip-address
allow-fast-path: no
Kód: Vybrať všetko
admin@Sestnastka_ROUTER] /ppp profile> print
Flags: * - default
0 * name="default" use-mpls=default use-compression=default use-encryption=default
only-one=default change-tcp-mss=yes use-upnp=default address-list="" on-up=""
on-down=""
1 name="L2TP" local-address=ether2 remote-address=L2TP/IPsec use-mpls=default
use-compression=default use-encryption=required only-one=default
change-tcp-mss=default use-upnp=default address-list="" dns-server=8.8.8.8,8.8.4.4
on-up="" on-down=""
2 * name="default-encryption" use-mpls=default use-compression=default use-encryption=yes
only-one=default change-tcp-mss=yes use-upnp=default address-list="" on-up=""
on-down=""
Kód: Vybrať všetko
admin@Sestnastka_ROUTER] /ppp secret> print
Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 sestnastka l2tp heslo L2TP
Kód: Vybrať všetko
admin@Sestnastka_ROUTER] /ip pool> print
# NAME RANGES
0 ether2 192.168.2.10-192.168.2.100
1 ether3 192.168.3.10-192.168.3.100
2 ether4 192.168.4.10-192.168.4.100
3 ether5 192.168.5.10-192.168.5.100
4 WIFI2.4 192.168.24.10-192.168.24.100
5 WIFI5 192.168.50.10-192.168.50.100
6 L2TP/IPsec 192.168.6.10
7 NAVSTEVA 192.168.60.10-192.168.60.20
Kód: Vybrať všetko
0 R address=0.0.0.0/0 auth-method=pre-shared-key secret="heslo"
generate-policy=port-override policy-template-group=default exchange-mode=main-l2tp
send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1
enc-algorithm=aes-256,aes-128,3des dh-group=modp2048,modp1024 lifetime=1d
dpd-interval=2m dpd-maximum-failures=5
Kód: Vybrať všetko
[admin@Sestnastka_ROUTER] /ip ipsec proposal> print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-ctr,3des lifetime=30m
pfs-group=none
Kód: Vybrať všetko
0 ;;; VZDIALENY PRISTUP Z WINBOXu
chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""
1 chain=forward action=accept connection-state=established,related
connection-nat-state="" in-interface=ether1 log=no log-prefix=""
2 chain=forward action=accept connection-state=established,related log=no log-prefix=""
3 ;;; Povol L2TP VPN protokol 50
chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
4 ;;; Povol L2TP VPN protokol 51
chain=input action=accept protocol=ipsec-ah log=no log-prefix=""
5 ;;; Povol L2TP VPN port 1701
chain=input action=accept protocol=udp dst-port=1701 log=no log-prefix=""
6 ;;; Povol L2TP VPN port 500
chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""
7 ;;; Povol L2TP VPN port 4500
chain=input action=accept protocol=udp dst-port=4500 log=no log-prefix=""
Windows 7 Home - viz priloha. Este podotknem, ze z MikroTik pingnem aktuane pridelenu addressu napr. 192.168.2.98 ale z NB nepingnem nic (akoby som vobec nebol pripojeny) ale v MT vidim, ze som tam..
Ak bude potreba este nieco sem hodit, daj vediet.
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm
NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
Re: Mikrotik - pre zaciatocnikov
cau.
Tak som si aj ja zakupil router od Mikrotiku. Nahradil prastary TO-Link, cize to je urcite lepsie, ale mam jeden problem s wifi. Niekedy mi odpaja zariadenia. V logu vidim taketo hlasky:
jun/05 08:15:33 wireless,info 2C:D0:5A:34:3F:95@wlan1: disconnected, received deauth: sending station leaving (3)
neviete, co s tym moze byt?
Tak som si aj ja zakupil router od Mikrotiku. Nahradil prastary TO-Link, cize to je urcite lepsie, ale mam jeden problem s wifi. Niekedy mi odpaja zariadenia. V logu vidim taketo hlasky:
jun/05 08:15:33 wireless,info 2C:D0:5A:34:3F:95@wlan1: disconnected, received deauth: sending station leaving (3)
neviete, co s tym moze byt?
Spoiler: ukázať
- Odar
- Pokročilý používateľ
- Príspevky: 5630
- Dátum registrácie: St 13. Okt, 2010, 17:10
- Bydlisko: PD / NR Slovensko
Re: Mikrotik - pre zaciatocnikov
Otcovi tiez odpaja telefon - Moto G 1st. gen. Na TP-Linku, ktory pouzivaju ako druhy AP na vykrytie ich druhej casti bytu sa drzi. Myslim, ze to moze byt nejaka nekompatibilita. Inak si to vysvetlit neviem.
Mne trebars po upgrade firmware na OnePlus X prestala chodit wifi v praci. Mame tam Cisco APcka.
Mne trebars po upgrade firmware na OnePlus X prestala chodit wifi v praci. Mame tam Cisco APcka.