Mikrotik - pre zaciatocnikov

[Danix64]

Teraz to vyzera takto:

Kód: Vybrať všetko

┌───────────────┐ Internet 4G/3G          
│ MikroTik LTE  ◄─ ─ ─┘                   
│  (RBLHGR)     │                         
│ - router      │                         
│ - DHCP server │                         
└───┬───────────┘    ┌──────────┐         
    │                │  PoE     ┼──Cam1   
┌───▼───────┐        │  switch  ┼──Cam2   
│           │        │          ┼──Cam3   
│switch    1┼───────►│          ┼──Cam4   
│           │        └──────────┘         
│          2│                             
│          3│        ┌────────────┐       
│          4┼───────►│ RPi Zero 2 │       
│           │        └────────────┘       
│           │        ┌──────────────┐     
│           │        │ MikroTik mAP │     
│          5┼───────►│   (mAP2nD)   │     
│           │        │              │     
│           │        │ bridge,  WiFi┼ ─┐  
└───────────┘        └──────────────┘  │  
                                       │  
                                  wifi ▼  
                                  klienti:
                                  - mobil 
                                  - laptop
                                  - Shelly
                                  - (IoT) 

v hornej casti (DIN lista) budu keystony na pripojenie kablov z poe kamier,
este to nie je uplne dokoncene, taktiez RPi Zero2 je zatial len "eska"-paskou pripevnena, ale planujem urobit uchyt na DIN (hore vlavo su take 2 zelene plastove uchyty, tak asi tam to pojde), zisla by sa mi 3d tlaciaren (:

IMG20250504175322_0.jpg

este, ze existju tie plastove srandy na ukrytie kablov, bolo to dost pain urobit cable management napajacich kablov

Napajanie: vlavo dole AC230, dalej napravo MeanWell zdroj 48V (48－55?) potom MeanWell DC-DC menic zo 48V na 5V.
- 48V sa pouziva na: 2x PoE injektory: pre PoE switch a MikroTik LTE
- 5V sa pouziva na: 1 switch, MikroTik mAP (Wi-Fi APcko), Raspberry Pi Zero 2


Z nejakeho Mean Well zdroja som pouzil DIN mount na Tenda switch (presne ten switch mal dierky tak daleko od seba ako ten MeanWell DIN mount )

IMG20250504175442_0.jpg

[zoom]

Toz tak dobre, ked je problem odstraneny. Necakal som, ze sa to tak rychlo diagnostikuje a odstrani. Terajsie zapojenie je urcite lepsie pre siet aj vsetky zariadenia na nej.

Instalacna krabica tiez vyzera dobre. Mean Well zdroje mame radi, Eaton istice tiez. Upratane kable, nalepene stitky, presne pre mna IT-ckara / wannabe-half-elektrikara. Nad priskrutkovanou Tendou jednu o druhu stylom "there, I fixed it" prizmurim oko . Tiez som stravil vela casu, kym som preliezol vsetky zasuvky v dome a oznacil si rozvodnu skrinku pekne s ikonkami a popisom.

[mp3turbo]

>> Necakal som, ze sa to tak rychlo diagnostikuje a odstrani.

to su jednoduche veci nejaky záškodníček tam musel rucne pichnut henten prekliaty riadok, pretoze to nie je default, a z toho "vyplyvali veci".
Hned sme pisali ze nie je normalne, aby niektore sajty isli pingnut/otvorit, a niektore nie a aby to semtam nahodne islo neslo.

Nedostal som sa k tym firewall pravidlam, sorri, pozriem dakedy neskor. Je zbytocne aby sa vymenovavali porty jeden po druhom, na ktore sa nema niekto pripajat zvonku ; to sa robi presne opacne : vsetko sa zakaze a povoli sa len nieco, co potrebujem.

Zaroven je zbytocne NAT resp. masquerade (to znamena "vsetko co ide cezomna NATuj akokeby som ja daval tie poziadavky") na spodnom teda mAP zariadeni (/ip firewall nat, je tam len jediny zaznam s akciou Masquerade). Znamena to, ze vsetci klienti pripojeni na mAP budu [podla mna zbytocne] NATovani a cez mAP prelezu tak, ze Mikrotik sa tvari akoby on spravil ten request. Zbytocne to je z hladiska bezpecnosti, z hladiska technickeho a aj z hladiska vykonoveho to nie je ziadny prinos. Uplne kludne by som dal to pravidlo zakazat a ked bude vsetko v poriadku, vymazal. Teraz mAP nefunguje ako uplne hlupy bridge, ale ako bridge s NATom.

Nie je to koniec sveta, netreba riesit v panike. NEzabudnut na CTRL-X cize SafeMod, pre strycka prihodu.

[Danix64]

Na vzdialene pripojenie k MikroTiku odporucate co? To co ma priamo Mikrotik zabudovane - IP -> Cloud ?
Predpokladam, ze nebude verejna ipcka skutocne verejna (dosiahnutelna) a staticka.
Alebo si na niecom (napr. RPi co tam budem mat pripojene) rozbeham VPNku ako napr. Tailscale (s tou mam skusenosti) a potom mozem z vonku liezt na vsetky zariadenia v sieti.

[zoom]

Ako si spravis, tak budes mat. Co je pre teba lepsie, pouzitelnejsie a vhodnejsie pre tvoje nasadenie. Obidve moznosti su rovnako dobre.

• IP -> Cloud ti vygeneruje dynamicky DNS zaznam. Ak sa ti nepaci, mozes si na svojej domene urobit CNAME podzaznam, ktory bude ukazovat na ten Mikrotik DDNS (napriklad zmrzlina.danix.sk bude resolvovat na abcd1234.sn.mynetname.net). Potom si urobis Firewall pravidlo, ktore povoli napojenie do routra (input chain) z konkretnej IP (tvoja domaca). Ak sa ti meni IP, tak si v Address Liste pridas zaznam pre seba (tvoj domaci Mikrotik DDNS) a on ho bude zakazdym aktualizovat. To pravidlo potom zmenis, nech tam nie je povolena konkretna IP, ale ten zaznam z Address Listu. Takto zabezpecis, ze sa vzdy vies napojit, aj ked sa zmenia obidve IP adresy.
Vyhody: Nemusis nic riesit doma na PC, len spustis WinBox a napojis sa ako na lokalnej sieti. It just works.
Nevyhody: Nenapojis sa z inej lokacie.

• Napojenie cez VPN je tiez dobre riesenie. Da sa polemizovat, ze je to aj bezpecnejsi sposob, kedze nemas trvalo otvoreny router z jednej konkretnej IP. Zneuzit by sa to dalo len ak by ju ziskal utocnik a Mikrotik by este nerefreshol DDNS zaznamy = uplne najviac nepravdepodobne.
Vyhody: Pristup k ostatnym zariadeniam na LAN. Moznost napojit sa z hociktoreho stroja ci IP adresy.
Nevyhody: Pred pripojenim na router musis najskor spustit VPN = meh.

Rozbehat si samozrejme mozes aj obidva pristupy. Prvy na domace napajanie. Druhy na zalozne napojenie v pripade potreby.
Ja osobne dlhodobo pouzivam prvy sposob.

Neviem, co si myslel tym, ze "verejna IP bude skutocne verejna". Z neverejnej IP to samozrejme naurobi verejnu. Ak nevies presmerovat aspon jeden port na svoj router, tak VPN moze byt jedine riesenie. Ak tam verejnu IP mas, tak sa vies normalne napojit z internetu na ten router.

[Jerry]

Možno by som využil vpn wireguard, ktorá je priamo implementovaná v mikrotiku.

[mp3turbo]

na wireguarda ale musis mat aspon jednu verejnu adresu v tom tuneli, ci uz na jednej strane alebo na druhej.
V takom pripade je jednoducha absolutne akakolvek VPNka ; sranda nastava vyhradne vtedy, ked nemas ziadnu verejnu.

[Danix64]

zial zatial nemam nic s verejnou ip. Ale Tailscale uz mam rozbehany aj tu (pouzivam to aj na svojom homeserveri) uz nejaku dobu bez problemov.
VPN pre moje potreby vyhovuje viac ako iba moznost pripojenia na Mikrotik, kedze vacsinou sa budem pripajat na zariadenia v sieti a na Mikrotik sa budem pripajat tak raz par mesiacov len kvoli updatom a exportu configu.

//update: mozno neskor ked budem mat cas skusim WireGuard, kedze mam VPS, ale zatial tam nechcem nic dalsie rozbehavat dokym si tam neurobim poriadok, lepsi zalohovaci proces ale hlavne poriadny security hardening.

mp3turbo si pisal, ze sa da pekne nastavit automaticke updaty na Mikrotiku. Ak pouzivam kanal stable tak sa nemusim toho obavat? Lebo doma na svojom Mikrotiku (hlavny router) som si napisal script co sa raz za den spusti a skontroluje novu verziu a ked je tak mi posle mailom notifikáciu a ja potom pozriem changelog a manualne updatnem mikrotik.

[mp3turbo]

>> VPN pre moje potreby vyhovuje viac ako iba moznost pripojenia na Mikrotik, kedze vacsinou sa budem pripajat na zariadenia v sieti a na Mikrotik sa
>> budem pripajat tak raz par mesiacov len kvoli updatom a exportu configu.

kvoli tymto dvom aktivitam sa predsa nemusis pripajat na mikrotik vobec. Daju sa naskriptovat tak ako pises. Nepamatam si jedinu produkcnu verziu, s ktorou by boli fatalne problemy a ty nepouzivas ziadnu pokrocilu funkcionalitu, takze veselo. Na mojich troch hlavnych bodoch absolutne bez najmensieho zavahania beham na -UPLNE KAZDEJ- testovacej verzii, teda na kazdej bete a kazdom releasecandidate, terazki mam kostru siete spravenu na 7.19rc1 a mal som ju nainstalovanu druhy den po vyjdeni. Changelog rucne pozerat nema moc zmysel - vacsinou to mas tak, ze medzi jednotlivymi verziami a'la 7.15 a 7.16 je kludne aj 180 zmien, ale hlavna vec je ze nikdy v changelogu nebudu napisane chyby, ktore vyrobili a ktorych sa mas vyvarovat.

Skriptovanie : detto konfig. Skriptom a kazdy den trikrat mozes mat v emaili alebo na FTP serveri konfiguraciu (co je samozrejme uplne zbytocne, ked tam robis dve zmeny za rok).

Mas VPS znamena co ? Mas tam aj verejnu adresu ? Co tam bezi a ake mas moznosti ? Security hardening neviem aky mas teraz, ale spravit si whitelist pre jeden mikrotik mi nepride az take zlozite (lebo aj ked ma Mikrotik iba privatnu IPcku, vzdy do internetu vylezie s nejakou verejnou od providera. A mas ho. Ked [?] sa tato verejna IPcka zmeni [ako casto ?] tak ti proste padne VPNka z mikrotiku, vies o tom, mozes bud manualne alebo automatizovane povolit VPNkove porty na ktore sa mikrotik snazi zvonit kazdu minutu a budes mat jasnu novu verejnu IPcku mikrotiku.

Ak peniaze dovolia, zrejme si do VPS postavit aj cely virtualny mikrotik, ktory budes pouzivat ako centralny bod svojej siete - kazdy klient sa bude pripajat na tuto centralnu verejnu IPcku, kazdy mikrotik s neverejnou IPckou sa bude pripajat tiez a nad tym vsetkym si spravis jednu veeeelku VPNkovu virtualnu siet... krasnu routovanu tak ako ma byt. Ziadny NAT.

Moznosti je vela. Hlavne routovat, routovat, routovat, ziadne bridge, ziadne NAT.

A este furt som sa nepozrel na tie firewallove pravidla na predchadzajucej strane dofrasa

[mp3turbo]

mAP : je tam zbytocne pravidlo maskarady, mozes zakazat/vymazat [ /ip firewall nat ], mas tam len jedine. Teraz ti vsetok traffic odchadza z mAPka prec zamaskovany za adresu mAP, nevidis jednotlivych klientov na neho zavesenych. Ked to pravidlo zakazes, kazdy klient pojde von so svojou adresou, ktoru dostane od nadradeneho DHCP serveru na LTE.

LTE : prve NAT pravidlo nerobi nic, pretoze adresy 192.168.88.0/24 nepouzivas, tuto adresu mas zakazanu. Preto k uplatneniu prveho pravidla nikdy nedojde. Vymaz. Druhe pravidlo ti zabezpecuje funkcnost celeho internetu vo vnutornej sieti. Ja osobne by som tam nedaval out-interface=WAN, pretoze takto musis mat v zozname WAN interfejsov ten spravny vystupny a v buducnosti sa to moze skomplikovat napr. nejakou VPNkou (vystupny interface moze byt napr.Wireguard a potom ti NATko zrazu nebude chodit, pretoze Wireguarda rucne nepridas do /ip interface list, nebude vo WAN zozname).

Firewally : default konfiguracia az na prve dve pravidla [a tu moju "povolit update" hovadinu, ktoru tam uz zrejme nemas lebo nie je treba]. Paci sa mi, ze na konci mas "input : vsetko, co doteraz nebolo povolene, zahodit". Skoda len, ze toto pravidlo je zakazane

Podla mna to robis naopak : v prvych dvoch pravidlach si povedal, ze zahodit vsetko co neprichadza z "lokalnej siete" a snazi sa ist na vymenovane mikrotikove porty. Tymto sme logicky povolili, aby dany traffic chodil lokalnej siete, akurat ze ziadny iny traffic nebol zakazany zvonku. Zakazany je len tento specificky vymenovany traffic.

Skor sa to riesi opacne : zakazat vsetko a povolit len co chcem. Tak sa nemoze stat, ze sa volaco zabudne a/alebo v buducnosti dogabe. Cize ja by som urobil pravidlo "povolim traffic na porte 22, 8291, 53 z lokalnej siete" a na konci pravidlo "vsetko co ide na input, zahodit". Tym dosiahnem, ze vsetko co nebolo specificky povolene, bude proste zakazane.

Niektorym portom nerozumiem, napriklad taka 17, 18, 20, 23, 42, 43 : na tych portoch ti hadam nic nebezi. Na Mikrotiku, kedze sa bavime o "input" chaine, teda to co prichadza priamo na mikrotik (nie to, co prechadza cez mikrotik - teda traffic na klientov vo vnutornej sieti).

Ozaj, /ip services print prosim. Ze ake sluzby mas povolene na mikrotiku. Okrem SSH a WinBoxu netreba snad vobec nic ine. FTP/Web urcite nie.
Pre zvysenie bezpecnosti mozes SSH nakonfigurovat takto : /ip ssh print
vynutit strong crypto, 4096 bitovy kluc a ed25519 s PKI. Manual: https://help.mikrotik.com/docs/spaces/R ... 350014/SSH

Z hentych portov, co tu zazneli, myslim potrebujes len SSH a Winbox zvonku.

Ak sa pustis do prerabky firewallovych pravidiel, ci uz na dialku alebo z lokalnej siete, ABSOLUTNE VZDY MUSIS POUZIVAT SAFE-MOD (Ctrl-X).

[Danix64]

Dakujem moc za super vycerpavajuce a poucne odpovede @mp3turbo ! Urcite som sa nieco nove dozvedel a dost veci som si oprasil, kedze som s tym uz dlhsi cas nerobil, vidno, ze ty s tym robis asi dost casto

>> ale hlavna vec je ze nikdy v changelogu nebudu napisane chyby, ktore vyrobili a ktorych sa mas vyvarovat.
pravda changelogy su dlhe a nudne, dlho som tam na nic zaujimave nenatrafil, to skor ked z casu na cas zabludim na YT kanal mikrotiku, tak tam sa radsej dozvedam, ze co je nove (:

>> Skriptovanie : detto konfig. Skriptom a kazdy den trikrat mozes mat v emaili alebo na FTP serveri konfiguraciu
zatial tam nahodim skript co som urobil pred 4+ rokmi co mi doma bezi na mojom hlavnom routeri (hEX / RB750Gr3) co mi posle mail so zakladnymi informaciami (current fw version, ci je k dispozicii update, teplota CPU, vyuzite cpu a ram a "Critical Log Events") raz za tyzden alebo po reboote

>> mas VPS znamena co ? Mas tam aj verejnu adresu ? ...
ano, mam verejnu adresu, aj domenu samozrejme, 8GB RAM a bezia mi tam nejake serverove aplikacie v dockeri na Debiane, ale zatial tam neplanujem nic pridavat, lebo si tam chcem inak zmanazovat veci a hlavne lepsie poriesit backupy, atd...

>> do VPS postavit aj cely virtualny mikrotik, ktory budes pouzivat ako centralny bod svojej siete - kazdy klient sa bude pripajat na tuto centralnu verejnu IPcku, kazdy mikrotik s neverejnou IPckou sa bude pripajat tiez a nad tym vsetkym si spravis jednu veeeelku VPNkovu virtualnu siet... krasnu routovanu tak ako ma byt. Ziadny NAT.
- na to budem mysliet, mozno raz niekedy (:

>> A este furt som sa nepozrel na tie firewallove pravidla na predchadzajucej strane dofrasa
- ale nakoniec si sa pozrel, co si cenim, este raz dakujem

>> mAP : je tam zbytocne pravidlo maskarady, mozes zakazat/vymazat
- vymazane

>> LTE : prve NAT pravidlo nerobi nic, pretoze adresy 192.168.88.0/24 nepouzivas, tuto adresu mas zakazanu. Preto k uplatneniu prveho pravidla nikdy nedojde. Vymaz
- ano, to som si medzicasom vsimol a vymazal uz

>> Druhe pravidlo ti zabezpecuje funkcnost celeho internetu vo vnutornej sieti. Ja osobne by som tam nedaval out-interface=WAN, pretoze takto musis mat v zozname WAN interfejsov ten spravny vystupny a v buducnosti sa to moze skomplikovat napr. nejakou VPNkou (vystupny interface moze byt napr.Wireguard a potom ti NATko zrazu nebude chodit, pretoze Wireguarda rucne nepridas do /ip interface list, nebude vo WAN zozname).
- to je dobry pristup, suhlasim, zmenil som to
- /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface=lte1

>> Paci sa mi, ze na konci mas "input : vsetko, co doteraz nebolo povolene, zahodit". Skoda len, ze toto pravidlo je zakazane
- jaj, moja nepozornost, chcel som to len docasne zakazat a ocividne som to zabudol dat spat. opravene
- UPDATE: ked som to pravidlo naspat povolil, tak mi prestalo fungovat nacitavanie webu
- UPDATE 2: nakoniec som zmenil to posledne pravidlo z tohto:

/ip firewall filter add action=drop chain=input comment="drop all"
na toto:
/ip firewall filter add action=drop chain=input comment="drop all" src-address-list=!list-LAN
- (pricom list-LAN je: /ip firewall address-list add address=192.168.188.0/24 list=list-LAN )
- potom vyzera, ze uz internety bavia na klientovi v sieti (cez wifi). Je to OK?


>> Skor sa to riesi opacne : zakazat vsetko a povolit len co chcem. Tak sa nemoze stat, ze sa volaco zabudne a/alebo v buducnosti dogabe. Cize ja by som urobil pravidlo "povolim traffic na porte 22, 8291, 53 z lokalnej siete" a na konci pravidlo "vsetko co ide na input, zahodit". Tym dosiahnem, ze vsetko co nebolo specificky povolene, bude proste zakazane.
- suhlasim

>> Niektorym portom nerozumiem, napriklad taka 17, 18, 20, 23, 42, 43 : na tych portoch ti hadam nic nebezi. Na Mikrotiku, kedze sa bavime o "input" chaine, teda to co prichadza priamo na mikrotik (nie to, co prechadza cez mikrotik - teda traffic na klientov vo vnutornej sieti).
- nie, na mikrotiku nic nebezi na tych portoch. vymazane

>> Ozaj, /ip services print prosim. Ze ake sluzby mas povolene na mikrotiku. Okrem SSH a WinBoxu netreba snad vobec nic ine. FTP/Web urcite nie.
- na web interface som celkom zvyknuty, to si zatial necham povolene, snad ma neukamenujes
- tu je output:

Kód: Vybrať všetko

[danix@MikroTikLTE] > /ip/service/print  

Flags: X - DISABLED, I - INVALID
Columns: NAME, PORT, ADDRESS, CERTIFICATE, VRF, MAX-SESSIONS
#   NAME     PORT  ADDRESS           CERTIFICATE  VRF   MAX-SESSIONS
0 X telnet     23                                 main            20
1 X ftp        21                                 main            20
2   www      6480                                 main            20
3   ssh        22  192.168.188.0/24               main            20                   
4 X www-ssl   443                    none         main            20
5 X api      8728                                 main            20
6   winbox   8291                                 main            20
7 X api-ssl  8729                    none         main            20

>> Pre zvysenie bezpecnosti mozes SSH nakonfigurovat takto : /ip ssh print
vynutit strong crypto, 4096 bitovy kluc a ed25519 s PKI. Manual: https://help.mikrotik.com/docs/spaces/R ... 350014/SSH
Z hentych portov, co tu zazneli, myslim potrebujes len SSH a Winbox zvonku.

>> Ak sa pustis do prerabky firewallovych pravidiel, ci uz na dialku alebo z lokalnej siete, ABSOLUTNE VZDY MUSIS POUZIVAT SAFE-MOD (Ctrl-X).
- to si mohol napisat na zaciatku

BTW paci sa mi ich "AI chat bot" The Dude na https://mikrotik.com/support/ Ked som lenivy a nechce sa mi hladat veci v dokumentacii tak sa tam spytam, je to celkom pohodlne a rychle. Odporucam. Na zakladne veci to je fajn, neviem ako to zvlada narocnejsie otazky co su nejak specificke.

Finalne takto zatial vyzera firewall:

Kód: Vybrať všetko

/ip firewall filter
add action=accept chain=input dst-port=22,8291,6480 log-prefix=FW01!!! protocol=tcp src-address-list=list-LAN
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=input comment="drop all" src-address-list=!list-LAN

Firewall / NAT:

Kód: Vybrať všetko

/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface-list=WAN src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

- to prve som vypol a potom zmazal

Firewall / service ports:
- povypinal som veci co poznam a viem, ze nebudem pouzivat v sieti a co som si nebol isty, som radsej nechal tak zatial:

Kód: Vybrať všetko

 /ip/firewall/service-port/ print 
Flags: X - DISABLED, I - INVALID
Columns: NAME, PORTS
#   NAME     PORTS
0 X ftp         21
1   tftp        69
2 X irc       6667
3 X h323          
4   sip       5060
              5061
5 X pptp          
6   rtsp       554
7   udplite       
8   dccp          
9   sctp   

Este ku kameram...

NTP:

Nastavil som NTP klient a zapol NTP server a v kazdej PoE IP kamere nastavim NTP server IPcku routera (Mikrotik LTE), nech maju vsetky kamerky rovnaky cas.

Kód: Vybrať všetko

[danix@MikroTikLTE] > /system/ntp/client/servers/ print  
Flags: X - disabled; D - dynamic 
 0    address=sk.pool.ntp.org resolved-address=213.81.129.99 min-poll=6 max-poll=10 iburst=yes auth-key=none 
 1    address=cz.pool.ntp.org resolved-address=162.159.200.1 min-poll=6 max-poll=10 iburst=yes auth-key=none 
 2    address=pool.ntp.org resolved-address=185.242.56.5 min-poll=6 max-poll=10 iburst=yes auth-key=none 

[danix@MikroTikLTE] > /system/ntp/client/ print          
         enabled: yes            
            mode: unicast        
         servers: sk.pool.ntp.org
                  cz.pool.ntp.org
                  pool.ntp.org   
             vrf: main           
      freq-drift: 0.579 PPM      
          status: synchronized   
   synced-server: sk.pool.ntp.org
  synced-stratum: 2              
   system-offset: -14.001 ms 

Firewall:

kedze nechcem povolit aby kamery (Reolink) mali pristup na internet, resp. mimo LAN, tak planujem pridat do firewallu toto:

Kód: Vybrať všetko

add action=drop chain=forward comment="Kamera 1 - no internet" out-interface-list=WAN src-mac-address=F0:00:00:EF:AA:AA
add action=drop chain=forward comment="Kamera 2 - no internet" out-interface-list=WAN src-mac-address=F0:00:00:EF:AA:BB
add action=drop chain=forward comment="Kamera 3 - no internet" out-interface-list=WAN src-mac-address=F0:00:00:EF:AA:CC
add action=drop chain=forward comment="Kamera 4 - no internet" out-interface-list=WAN src-mac-address=F0:00:00:EF:AA:DD

- cize to je jedno ake budu mat IPcky kamery, na zaklade ich mac adries im zakazem sahat mimo siet
- taketo pravidlo mam aktualne doma na jednu kameru. Este mi napadlo ako si pisal, ze namiesto out-interface-list=WAN tam dat konkretny interface, cize lte1:

add action=drop chain=forward comment="Kamera 1 - no internet" out-interface=lte1 src-mac-address=F0:00:00:EF:AA:AA


TODO (co este planujem)

- skript co mi posle SMS (aj email) ked sa za mesiac (resp. za uctovne obdobie) precerpa viac ako 80% (potom aj 90% a 99%) dat co ma SIM karta k dispozicii. Cize ku urcenemu dnu, napr. 10. den v mesiaci dam vymazat vsetky pocitadla v scheduleri. Potom jednoduchy skript, staci par krat za den skontroluje kolko dat sa prenieslo. "The Dude" AI chat co maju na stranke vyplul celkom pouzitelny skriptik od ktoreho sa da jednoducho odrazit na zaciatok:

scr 2025-05-12 at 01.07.44.png

-- bude tam este potrebne poriesit pripady, ak sa pri vypadku alebo necakanom restarte router nabootuje a bude mat vymazane pocitadla - nie som si isty ci tie data su perzistentne ci ne, overim si to ...

- skript co bude kontrolovat ci kamera odpoveda na requesty (ci funguje ci je zapnuta a aktivna), ale to asi budem riesit inde a nie na mikotiku

[mp3turbo]

export konfigu a poslanie emailom tak casto, ako ti len scheduler bude chciet :
https://forum.mikrotik.com/viewtopic.php?t=146575


prestal chodit internet, ked si zakazal posledne pravidlo "chain=input, action=drop" takmer naistotu preto, lebo si predtym vyhodil pravidlo, ktore umoznilo sa na mikrotik dostat na port 53 (DNS). Takze teraz tvoji klienti nemali DNS. Chain=input totiz znamena prevazdku, ktora smeruje priamo na Mikrotik (nie cez neho) a tympadom ina realna moznost ako to co popisujem prakticky neexistuje.

Teraz si to spravil ako pises :
/ip firewall filter add action=drop chain=input comment="drop all" src-address-list=!list-LAN
- (pricom list-LAN je: /ip firewall address-list add address=192.168.188.0/24 list=list-LAN )
- potom vyzera, ze uz internety bavia na klientovi v sieti (cez wifi). Je to OK?

cize "vsetko co sa snazi dostat na mikrotik a neprichadza zo zoznamu adries v LIST-LAN bude zakazane". jediny pozor treba davat na to, aby si v buducnosti - ked pridas nejake dalsie siete napr. 192.168.189.0/24 - tieto siete pridal do list-LAN zoznamu. Inak samozrejme ti klienti nebudu fungovat.


povolene sluzby : coby som ta kamenoval. Doporucujem web vypnut a zapnut web-ssl (vygenerovat certifikat, proste aby ti islo HTTPS), pretoze takto ti moze hocikto nachytat pakety a vybrat z nich heslo na admina. Absolutne rozhodne by som sa neprihlasoval na ten mikrotik na dialku cez web, maximalne z lokalnej siete a aj to by ma brali mdloby Mimochodom, web rozhranie sa snazi vyzerat rovnako ako Winbox, ktory ma sifrovany traffic - skus, ci si nahodou nebudes vediet zvyknut na Winbox. Riesilo by to vela zbytocnych otazok.


firewall pravidla : jedno z default pravidiel je totok :
"add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN"
zakazat vsetko, co neprichadza z interfejsov definovanych v zozname "LAN" a snazi sa dostat na mikrotik
je to podobne ako tvoje posledne pravidlo, akurat v podobe interfejsov. V tom LAN zozname je MYSLIM standartne hodeny kazdy ethernet okrem ether1 a kazda wirelesska. Uvadzame len pre kompletnost, netreba nic robit.


prve pravidlo v /ip firewall nat si v pohode vymazal, nic nerobilo lebo bolo zakazane. Okej.


v /ip firewall service-port mozes kludne vypnut vsetko.


NTP server na Mikrotiku : to co vidim je konfig mikrotika ako klienta. Nevidim tam, ze by si ho nastavil ako server, to sa robi v /system ntp server
cize mikrotik terazki ma synchronizovany cas, ale este sa na neho nemozu pripojit klienti aby si z mikrotika zobrali ten cas. Nezabudnut na nove firewallove pravidlo ked chces, aby sa na mikrotik mohli dostat klienti po sieti - teraz tam chyba port 123 ci ktory to je a bacha na specifikaciu protokolu, tcp alebo udp.

[mp3turbo]

A teraz ze kamery. Ja takymto blbym, nikdy neupdatovanym cinskym zariadeniam prilis neverim. V pravidlach mas zakazane ich MAC adresam prechadzat dalej na internet, ale :
a) kludne vymaz definiciu out-interface. Vobec ta nezaujima akym interfejsom budu chciet ist von ("kade"), nesmu chodit nikam. Tak ako mas pravidlo teraz, kamery maju moznost preliezt zo svojho ethernetu na vsetky wirelesove zariadenia, ktore sa pripoja na mikrotik - teda bezpecnost tych zariadeni je postavena vyhradne na nich, nie na mikrotiku. A to je skoda, ze.

Cize rozdiel :
add action=drop chain=forward comment="Kamera 1 - no internet" out-interface-list=WAN src-mac-address=F0:00:00:EF:AA:AA
pravidlo hovori, ze ak chce ist MAC adresa hocikde cez akykolvek interface, definovany v zozname WAN, tak nemoze. Ale moze ist na iny ethernet mikrotiku, moze ist na akukolvek wifinu mikrotiku a proste moze chodit po celej vnutornej sieti.

add action=drop chain=forward comment="Kamera 1 - no internet" src-mac-address=F0:00:00:EF:AA:AA
MAC adresa nemoze prejst nikam cez mikrotik. Na ziadny interface. Je tympadom zamknuta len vo svojej sieti (IP adresa, maska) pretoze v nej sa nativne moze pohybovat bez firewallu na Mikrotiku.

Vidim este dve veci :
1) podla MAC adresy mozes kamery filtrovat VYHRADNE vtedy, ak ich Mikrotik priamo vidi. A nebude tam bezat nejaky pochybny software, ktory bude do siete posielat pakety s vymyslenou MAC adresou. To by bol svina, co ?
2) ja by som nekompromisne tym kameram spravil vlastnu siet, napr. 192.168.190.0/24, cez DHCP server prideloval IP adresy z toho rozsahu a fixne, a potom by som zakazal prislusnym IP Adresam a zaroven aj MAC adresam ist von z tej siete. Dovnutra do tej siete si samozrejme traffic povolis, aby si sa vedel pozriet, co kamery vidia. To je ale ine pravidlo. Mam takto spravene set top boxy, televizory, proste kazdy pes vlastna uzavreta dedina a tam si moze vykrikovat, kolko chce. Idealne to oddelit aj na VLANu a samostatny interface, ked mas dostatok.


skript na kontrolu datoveho prenosu : neviem prilis pomoct, sledovat to len na interfejsi mi nepride idealne. Pri resete sa statistiky neuchovavaju. Navyse, tusim sme chceli riesit automaticke updatovanie skriptom, a to bude prebiehat vzdy niekde v nejakom mesacnom intervale SIMky, takze tam by si si sam odstrelil tie statistiky aj bez neplanovaneho vypadku.


zapnuta a aktivna kamera : samozrejme sa da naskriptovat. Ping urcite (co vsak nehovori o stave kamery uplne idealne) alebo myslim aj nejaky "http get" a mailom poslat alarm ked je problem. Mikrotik ma aj wake-on-lan funkcionalitu, dokaze poslat wake-on-lan paket zariadeniam na sieti takze mozno aj toto pouzijes.

[Danix64]

NTP server na Mikrotiku : to co vidim je konfig mikrotika ako klienta. Nevidim tam, ze by si ho nastavil ako server, to sa robi v /system ntp server
cize mikrotik terazki ma synchronizovany cas, ale este sa na neho nemozu pripojit klienti aby si z mikrotika zobrali ten cas. Nezabudnut na nove firewallove pravidlo ked chces, aby sa na mikrotik mohli dostat klienti po sieti - teraz tam chyba port 123 ci ktory to je a bacha na specifikaciu protokolu, tcp alebo udp.

samozrejme som zapol NTP server. Aha, zabudol som to tu explicitne napisat, moja chyba, sorry


>> A teraz ze kamery. Ja takymto blbym, nikdy neupdatovanym cinskym zariadeniam prilis neverim. V pravidlach mas zakazane ich MAC adresam prechadzat dalej na internet, ale :
a) kludne vymaz definiciu out-interface. Vobec ta nezaujima akym interfejsom budu chciet ist von ("kade"), nesmu chodit nikam. Tak ako mas pravidlo teraz, kamery maju moznost preliezt zo svojho ethernetu na vsetky wirelesove zariadenia, ktore sa pripoja na mikrotik - teda bezpecnost tych zariadeni je postavena vyhradne na nich, nie na mikrotiku. A to je skoda, ze.
- presne tak, ani ja takymto zariadeniam moc neverim, kedze nie su open-source

>> add action=drop chain=forward comment="Kamera 1 - no internet" src-mac-address=F0:00:00:EF:AA:AA
MAC adresa nemoze prejst nikam cez mikrotik. Na ziadny interface. Je tympadom zamknuta len vo svojej sieti (IP adresa, maska) pretoze v nej sa nativne moze pohybovat bez firewallu na Mikrotiku.
- ok, nastavim to zatial takto, dakujem

>> 2) ja by som nekompromisne tym kameram spravil vlastnu siet, napr. 192.168.190.0/24, cez DHCP server prideloval IP adresy z toho rozsahu a fixne, a potom by som zakazal prislusnym IP Adresam a zaroven aj MAC adresam ist von z tej siete. Dovnutra do tej siete si samozrejme traffic povolis, aby si sa vedel pozriet, co kamery vidia. To je ale ine pravidlo. Mam takto spravene set top boxy, televizory, proste kazdy pes vlastna uzavreta dedina a tam si moze vykrikovat, kolko chce. Idealne to oddelit aj na VLANu a samostatny interface, ked mas dostatok.
- ked mam dostatok coho ?
- to by som asi chcel casom mat, zatial som s VLANami vobec nikdy nerobil, len viem zhruba, ze co to je a na co to sluzi a vyhody, nevyhody
- zatial to ponecham na tom vylepsenom firewall pravidle co si poradil vyssie, este si chcem otestovat realne pouzitie

>> skript na kontrolu datoveho prenosu : neviem prilis pomoct, sledovat to len na interfejsi mi nepride idealne. Pri resete sa statistiky neuchovavaju. Navyse, tusim sme chceli riesit automaticke updatovanie skriptom, a to bude prebiehat vzdy niekde v nejakom mesacnom intervale SIMky, takze tam by si si sam odstrelil tie statistiky aj bez neplanovaneho vypadku.
- ked sa mi podari nejake pouzitelne riesenie na to, tak pozdielam

>> zapnuta a aktivna kamera : samozrejme sa da naskriptovat. Ping urcite (co vsak nehovori o stave kamery uplne idealne) alebo myslim aj nejaky "http get" a mailom poslat alarm ked je problem. Mikrotik ma aj wake-on-lan funkcionalitu, dokaze poslat wake-on-lan paket zariadeniam na sieti takze mozno aj toto pouzijes.
- pingovat sa daju, ale teoreticky mozu odpovedat na ping a obraz budu mat zaseknuty a pod.
- viem o HTTP GET endpointe, ktory vrati jeden aktualny JPG snimok - len ked to bude mat napr. 2 MB tak ci to nie je vela pre mikrotik, to asi budem robit radsej na RPi, i ked staci len ignorovat response body a len pozriet ci je response code 200 (OK)

[SKiLEX]

Len tak nahlas rozmyslam s tym malo co o sietach viem:

Co tak vykaslat sa na firewall pravidla, na skripty, na vsetko co zaberie viac ako 5minut casu...


co keby si ich miesto toho len hodil na oddelenu VLAN ktora nema pristup k internetu ale ma pristup na LAN? Ak velmi chces tak este tu VLAN hodit na vlastnu siet a preroutrovat medzi LAN a VLAN s kamerami.

Mal by to vediet nastavit aj chatGPT ked mu naposielas screeny a poziadavky.


Aspon mne sa taketo jednoduche riesenia natvrdo pozdavaju viacej ako miliony pravidiel v ktorych sa o rok nevyznas ani ty sam