Mikrotik - pre zaciatocnikov

[Erazer]

Odar: Nie nie na to kašlem, to bolo také krkolomné riešenie so SFP modulmi tuším a aj tak to nemuselo fungovať, jediné čo chcem dosiahnuť je DHCP na mikrotiku a aby fičal ako primárny router.

[Hexaris]

Teoreticky gpon aspon pri dodrzani standartu ala hnujwej by mohla fungovat. Avsak ziadny ISP neni sebevrah aby si toto do siete pustil. A ked budes mat 2x maskaradu ONT -> MT, tak snad moze pindat PS4, ale vyslovene nic zle na tom nie je. To ONT neni uplny brak

Inak si daj fixnu IP na wan MT z rozsahu co prideluje ONT a zbytok si ries uz na MT. Ak teda chapem dotaz ...

[Erazer]

Čaute, tak volal som na orange a Mikrotik beží. Keď zapnem log tak tam vidím že sa mi brureforcom niekto snaží dostať do routra.

LOG: https://imgur.com/a/PJh5N

Nejaké rady ?

[shajek]

zablkouj tu IP ?

[Erazer]

oooook a trošku obšírnejšie by to nešlo ?

Edit: ok dal som /ip firewall filter add chain=input src-address=104.245.101.51 action=drop a prestalo to.

[Odar]

Lepsie je celkovo zablokovat pristup cez SSH zvonka. Ked sa pohrabes v historii, tak niekde to nastavenie najdes.

[16cmfan]

Jo cim menej otvoreny router do sveta tym lepsie... ja mam povoleny len winbox + na inom porte ako standardne bezi (v ROS si mozes zmenit porty vsetkych servisnych sluzieb)

https://forum.mikrotik.com/viewtopic.php?t=123542

skus to dat do RAW to pravidlo

[Snake]

oooook a trošku obšírnejšie by to nešlo ?

Edit: ok dal som /ip firewall filter add chain=input src-address=104.245.101.51 action=drop a prestalo to.

naco mas mikrotik ked nemas pojem o sietovej bezpecnosti? To ze si das von nejake zariadenie a nevies ho nakonfigurovat je este horsie nez ked tam nechas debilny SOHO router, ako tak pozeram na tvoje posty tak skor ci neskor ti ten mikrotik sepalia dole.

[16cmfan]

Snake ale ved sa normalne pyta... cize ho rads3j sprdnes zato za sa nieco opytal a chce sa nieco naucit, koniec koncov sa nachadzame v topicu MT pre zaciatocnikov...

[Snake]

To je v poriadku, ale vyvesit von mikrotik ked nema ani sajnu o nom moc dobry napad nie je, mal to nechat za routrom, nastavit si to, a potom skusat, to je to iste ako keby vyhodil na net nenakonfigurovanu asu

[Odar]

Inak mne sa zdá, že v default tam to nastavenie vo Firewall je. Aby sa naň z vonka kadekto nemohol dostať.

[Chris]

Otazka aky NAT tam ma nastaveny. Plus ine.
Ale tak z vonku by si mal vsetko zablokovat

[Erazer]

Zablokoval som SSH a Telnet, odvtedy sa to dosť ukľudnilo. Dnes ráno pozerám log a už asi len 5 pokusov na admin cez web a 1 cez FTP tak idem poriešiť aj to.
Snake akože k tomuto nemám čo povedať. Keby si čítal možno poriadne, dočítal by si sa že som to chcel ako sekundárny router ale bol s tým problém.

[Odar]

RBD52G-5HacD2HnD-TC (hAP ac2) na ceste. Nahradi obstarozny TP-Link v druhej izbe. Snad bude na par rokov zas pokoj. Bude ako sekundarny router k hAP ac. Dam vediet prve dojmy.

[Snake]

Mate niekto napad preco nejde z MT pingnut hosta na druhej strane IPsec tunela? Zo siete do siete to ide, drzi sa to jak skala, ale zo samotneho MT to nejde.

srcnat samozrejme zadefinovany