Mikrotik - pre zaciatocnikov

[zodiaq]

HAP som bral k sebe, doma prepaloval FW z O2 na štandardný release FW a nastavil ho ako AP. Otec zatial poriesil kabel z bodu A do bodu B. Ja som prisiel len narazit/nakrimpovat konektory a pripojit im to. Nemal som pristup k jeho main routru a nenapadlo ma to. Nastavoval som to "z pamati "
Predpokladajme teda zatial ze tam je problem. Dakujem za pripomienky a info o roamingu.
Ked sa najbližšie zastavím u našich skontrolujem to.

[molnart]

chlapci, poradte mi ako sa dostat do mikrotiku z ktoreho som sa po update "vymkol". mam zapojene dva mikrotiky za sebou ktore pouzivam ako APcka. su na mieste kde su fyzicky velmi obtiazne dostupne. Mikrotik 2 je napajany z PoE out Mikrotiku 1. M1 funguje bez problemov, ale do M2 sa neviem dostat. obidva mali nastavenu fixnu IP, ale M2 ju po update "stratila" a presunula sa na inu IP z DHCP. z M1 vidim v /interface bridge host print MAC adresy M2 (vsetky porty). neviem sa na ne ani pripojit skrz MAC adrest ani cez Winbox ani z M1 cez /tool mac-telnet MA:CA:DR:ES:AA
M2 normalne vysiela wifi a da sa na nu pripojit, no neviem sa dostat do admin rozhrania. ani ked sa pripojim na wifi z M2 tak sa neviem pripojit ani cez MAC adresu ani cez IP vo winboxe. Winbox mi v neighhours ukazuje M1, ale nie M2.
tento stav uz pretrvava vyse roka. M2 v podstate pre ucel ktory potrebujem funguje a poskytuje signal zariadeniam ktore su k nemu pripojene, ale chcel by som si ho plne spristupnit.

[mp3turbo]

nemas nahodou poruke firewallove pravidla z M2 ? idealne cely dump starej konfiguracie aby sme posudili dalsie moznosti.

MAC Telnet by mal fungovat, pokial nemas vypnuty MAC Server alebo specifikovane interfejsy, na ktorych ma pocuvat (pozor na rozdiel medzi logickym bridge a fyzickym ethernetom, kde je pripojeny M1) - a keby si mal, tak by si to asi neskusal, ze ano.

Z M1 sprav : /tool mac-scan interface=all
mal by vypisat vsetky MAC servery vo svojom okoli, na ktorych niekto pocuva. Mozno len zadavas nespravnu MAC adresu do M1 ; nepouzivaj adresu z bridge interface, pouzi adresu fyzickeho ethernetu (toho fyzickeho portu, kde je do M2 pripojeny M1). Este skus zalimitovat interface na M1, ktory sa pouzije na pripojenie (cize na M1 pouzijes /tool mac-telnet MA:CA:DR:ES:AA interface=ether4 ak je do Ether4 M1 pripojeny ktorymkolvek svojim portom M2 a MAC adresu M2ky pouzijes fyzicky port, nie logicky bridge).

Ak mas moznost vypnut a zapnut M2 na dialku (zavolam svokre atd), a ak M2 dostava IP adresu DHCPckom z M1, tak by som jej cez DHCP vnutil povodnu fixnu IP, ktoru mala vo funkcnom stave ked si sa tam vedel pripojit. Na M1 spravis

/ip dhcp-server lease
print
najdes prislusnu polozku podla MAC adresy
make-static cislopolozky
set cislopolozky address=1.2.3.4
po restarte M2 (remote hands & eyes) vyfasuje cez DHCP povodnu IP adresu.

poznamka : zvlastny update, ze sa po nom mikrotik prepol z fixnej IP adresy na akekolvek DHCP.

[Bono83]

Cez www rozhranie to je tiez nedostupne?

[molnart]

samozrejme ze aj web ui je nedostupne, inac by som to tu neriesil.

v mac-scan vidim Mac adresu M2, ale bez IP adresy. co je ake zaujimave ze mac-scan mi ukazuje adresu konciacu na :DC, pricom na DHCP serveri vidim adresu s :DD na konci - teda iny port.

mac-telnet s interface mi nefunguje a neakceptuje interface parameter

Kód: Vybrať všetko

 > /tool mac-telnet xx:xx:xx:xx:xx:DC interface=ether5   
expected end of command (line 1 column 36)

na m1 je dhcp server vypnuty, adresu dostavaju z mojho hlavneho opnsense routra.vypinat M2 viem, cez vypnutie napajania PoE out z M1. problem je, ze vzdy ked toto urobim, tak M2 sa kompletne strati. nevidno ho z mac-scan, nevysiela wifi, nic. po cca. 15-20 minutach ale nabehne naspat a koncove zariadenie sa nanho pripojji. teraz to napr. trvalo 23 minut (merane podla downtimu koncoveho zariadenia ktory sa pripaja na M2 a v podstate kvoli ktoremu tam je kde je).

v podstate som s tym M2 (mAP) mal problem od sameho zaciatku, napr. najprv ani za boha som ho nevedel dat do povodnych nastaveni a skusal rozne kombinacie az ani neviem ako sa mi to podarilo, viem ze som ho pripajal priamo na PC cez kabel. s M1 som nikdy takyto problem nemal, ten uz za 12 rokov zivota ma teraz asi 5. usecase, bol instalovany v roznych lokalitach 500 km od seba a funguje stale bez problemov. myslim ze ked naozaj budem musiet kvoli tomu M2 liezt na strechu tak uz tam pojdem hned s novym zariadenim za ktory ho vymenim.

tu je nejaka konfiguracia z toho M2 ktoru som nasiel, ale neviem ci bola "posledna funkcna" - mac adresy, seriove cisla, nazov SSID som vymazal teraz.
https://pastebin.com/9u8sKNBr

[mp3turbo]

ten dlhy reboot je nejaky divny - berieme teda za dane, ze mikrotik dlho rebootuje, nieze klient sa na neho dlho pripaja.



>> mac-telnet s interface mi nefunguje a neakceptuje interface parameter

sorry, neuvedomil som si - to bude az vo verzii 7.22, verejne su dostupne zatial len 7.21rc. Standartne vyprdne poziadavku na spojenie na vsetky porty co ale typicky nevadi (ja mam rad kontrolu nad situaciou, nech to urobi presne co od toho ocakavam ze ma urobit - obidem tym napriklad problem naklonovanych MAC adries a podobne).



>> v mac-scan vidim Mac adresu M2, ale bez IP adresy. co je ake zaujimave ze mac-scan mi ukazuje adresu konciacu na :DC, pricom na DHCP serveri
>> vidim adresu s :DD na konci - teda iny port.

presne toto je vec, ktoru som popisoval hore. Bridge a jeho automaticky vyber MAC adresy niektoreho fyzickeho interfejsu mam tak rad, ako Skilex jazdu po prazdnej sirokej dialnici tempom 104 km/h. Skus MAC-TELNET na :DD "mekovku" ale nemyslim, ze to bude chodit.

Idem pozret ten vypis konfiguracie, ozvem sa.
Principialna otazka : vedel by si na opnsense routri vnutit tu najspravnejsiu IP adresu na M2 cez DHCP ? Zda sa, ze ho mozes lubovolne restartovat cez M1 takze by sme mali byt v pohode aj ked nieco poje...kazime. Mali by sme sa vediet vratit naspat do sucasneho stavu.

[mp3turbo]

toto je zvlastne :
#error exporting "/ip/ssh" (timeout)

zrejme uz to ma dosrane NAND pamate (/sys reso print by potesilo ale je jasne, ze je to nemozne v sucasnom stave)



nemam dobre spravy ohladne IP pristupu (L3) : nie je mozny. Mas to vcelku pekne zabezpecene

/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

neexistuje ziadne pravidlo, ktore by umoznovalo pristup na M2 akymkolvek sposobom ; vsetky "chain=input" su irelevantne pre prichadzajuce SSH spojenia. To posledne zvyraznene pravidlo zakaze vsetko prichadzajuce, co predtym nie je povolene (a povolene nie je vobec nic) s tym, ze to neprichadza z LAN interfesu. Standartne je v LAN grupe clenom len wirelesska bez ethernetov ; takze sa tam nemoze pripojit nic, co prichadza z ethernetov bez ohladu na to, ci sa nam podari zmenit IP adresu cez DHCP opnsense alebo nie.

Tvoja situacia je neriesitelna na dialku tak ako je to teraz.

1) nemas povolene pripojenie cez SSH ani nic ine
2) nemas povolene prichadzajuce pripojenie na M2 cez ethernety ; ziadnym sposobom
3) mac-winbox mas povoleny jedine cez wifi (posledne dva riadky vo vypise konfigu). /interface list print a /interface list member print by pomohli
ale su nerealne. Cez ethernet ti MAC-TELNET nemoze fungovat, mas tam len LAN grupu a tam je len wirelesska
4) mac-telnet to iste, povoleny jedine cez wifi. Riadky 147 a 148 v konfigu. Nie je tam ethernet.


Som presvedceny, ze tak ako vidime konfiguraciu, vzdialeny pristup po sieti je nemozny.
Jedina teoreticka sanca je Winbox a MAC-Telnet zo zariadenia, pripojeneho na M2 cez jeho lokalnu wifinu. Ziadny IP pristup nie je mozny.
A potom samozrejme kompletny reinstall alebo reset, ovplyvnenie boot procesu atd, ale to uz budes liezt s tym novym zariadenim.

[SKiLEX]

Rychla otazka pomimo: Aky najlacnejsi mikrotik je vhodny na wireguard server s 1/1gbit linkou? (takze nemusi cez neho ist gigabit, ale zase aby to nebolo 100mbit)

https://www.alza.sk/mikrotik-rb5009ug-s-in-d7774763.htm

toto?

[molnart]

no ale ja sa na wifi M2 pripojit viem. ono to nie je na druhom konci sveta, fyzicky nie je daleko, len je sakra zle pristupny fyzicky.

a samozrejme uz som dnes skusal pripojit sa s notasom na wifinu z toho M2, otvorit winbox a skusat sa pripojit tak cez IP adresu alebo cez MAC adresy, ale nesiel ziadny sposob. teda neviem ci su tam nejake specificke veci pre rozne verzie winboxu, skusal som mikrotik mobilnu appku na androide a potom winbox 4 z macu. prenosne windows zariadenie tu zrovna nemam.

[mp3turbo]

Skilex : neviem ktory je najlacnejsi, ale vybral si urcite nie najhorsi. Podla mikrotiku zvladne gigabit ipsecu a teda urcite aj wireguardu :
https://mikrotik.com/product/rb5009ug_s ... cification
rozbal "IPsec test results", pisu 1350-1400Mbit pre AES256 samozrejme pri plnych paketoch teda cez 1400 byte.

posluzi aj https://mikrotik.com/product/rb4011igs_rm ale to je prakticky rovnaka cena, takze sa neoplati, starsia platforma, pomalsie porty atd.


Molni : specifika Winboxu mimo Windowsu nepoznam, sorry. Neviem ani garantovat, ze windowsovy winbox by to urcite dokazal... zostava len skusit.
Ako pisem, ak je uvedena konfiguracia aktualna, nevidim sposob ako sa pripojit cez IP adresu hociakym sposobom, hociakym interfejsom.
MAC Server pocuva len na "LAN interfejsoch" a tam by mal byt zrejme len wifi (M1 nevidi a nedokaze pouzit MAC po kabli).

[zoom]

Uplne najpodrobnejsie som to nestudoval, priznam sa, ale zopar veci k tomu tajomnemu Mikrotiku, len tak jedno cez druhe, ako to mam v hlave.

K tym Firewall pravidlam, ktore nepustaju nic... neviem, ako to ma nastavene, ale musi sa vediet pripojit zo siete/portu, ktory je v "LAN" interface. Mikrotik standardne pusti packet, ktory nevyhovuje ziadnemu pravidlu a ked urobis novu konexiu z WinBoxu do Mikrotiku, tak z tych piatich pravidiel:

1. Prve nevyhovuje, lebo je to nova konexia a nie established, related, alebo untracked.
2. Druhe nevyhovuje, lebo to nie je invalid packet.
3. Tretie nevyhovuje, lebo to nie je ICMP.
4. Stvrte nevyhovuje, lebo dst-address=127.0.0.1 mozer byt iniciovane len z toho Mikrotiku.
5. Ak sa napojis s WinBoxom z LAN, tak piate pravidlo tiez nevyhovuje, lebo podmienka zahrna komunikaciu mimo "LAN" interfacov.

Vysledok: Ziadne pravidlo na input chaine nevyhovuje, packet je pusteny. Dalsia komunikacia uz bude povolena prvym pravidlom.
Cize by sa ti malo ist napojit cez WinBox alebo Web UI (WebFig) cez LAN interface. Samozrejme musi bezat WinBox sluzba na Mikrotiku. Problem moze byt, ze v configu su pridane skupiny WAN/LAN, ale uz tam asi nebol strceny ziadny interface, tj. ziadny nemusi byt sucast LAN zoznamu. Defaultne je WLAN a LAN (okrem WAN portu) sucastou LAN bridgu.

Druha vec je komunikacia priamo na MAC adresu. Pokial si to vyslovene nevypol a mas zapnuty MAC WinBox server, tak by si sa mal vediet napojit a to aj napriek hocijakym Firewall pravidlam, kedze MAC WinBoxovanie obchadza tieto IP pravidla (vztahovali by sa na to pravidla vo Firewall > Raw okne, cize chain=prerouting, ktore nemas definovane). Preco ho nevidno v Neighbors tazko povedat. Na komunikaciu to pouziva MNDP cez multicast a standardne nastavenie je, ze tato komunikacia je povolena na interfejsoch v "LAN" zozname. Mas to aj v tom konfiguraku ako "discover-interface-list=LAN". To nas vracia k prvemu bodu, ze mozno v LAN zozname nemas nic a nefunkcnost tychto dvoch veci ma spolocny zaklad.

Pokial je M2 pripojeny do M1 a na M1 sa vies napojit, mozes skusit hned takto na jeden hop pozriet, ci z M2 tecie tento MNDP traffic. V Tools > Packet Sniffer si urob pravidlo Port = 5678, daj Apply a Start. V Packets by si mal zachvilu vidiet nejaky traffic. Pripadne v M1 to vies v command-line pozerat cez /ip neighbor print, ktore zariadenia vidi.

Ako nejaky hack mi napadlo skusit Netinstall. Jednoducho preflashovat vsetko a znovu nastavit. Akurat ze defaultna a bezpecna konfiguracia Mikrotikov je, ze najprv bootuje priamo z NAND (flash ulozisko s RouterOS) a az ked nevie nabootovat toto, tak sa prehodi do Etherbootu, kde by sa mu dal podsunut Netinstall cez BOOTP. Musel by si rucne zmenit parameter boot-device na try-ethernet-once-then-nand. Alebo teda fyzicky pristup, ale to uz vies aj ine veci a vymenit cele zariadenie.

Last but not least: Zaujali ma tieto pravidla
• /ip dhcp-client add interface=bridge
• /interface bridge filter add action=drop chain=input dst-port=68 in-interface=wlan1 ip-protocol=udp mac-protocol=ip

Prve pravidlo strci cely bridge do DHCP klienta. Dajme tomu, ze je to OK, kedze mAP funguje ako bridge (access point). Druhe pravidlo vsak filtruje DHCP odpovede z DHCP servera (nie requesty), ktore idu z interfejsu wlan1 prave na ten bridge. To je dost v rozpore s tym prvym pravidlom...? Alebo tomu zle chapem?
Toto by mohlo sposobovat problemy, kedze DHCP funguje na principe "prvy dosly DHCP paket spracujeme" a je jedno z akeho interfejsu. Na mAP sa wlan inicializuje zrejme skor, takze zachyti prvy DHCP, potom go bridge filter pravidlo dropne a uz sa caka. Toto sa moze opakovat, alebo len nahodou sa dostane DHCP paket z LAN k slovu a az vtedy sa nejako spracuje. Alebo sa k slovu nedostane vobec a na bridge nemas pridelenu IP. Bridgovanie vsak funguje dalej, cize to je presne tento half-dead stav, ze sa nevies napojit nijako, ale zariadenia cez WiFi idu.

[mp3turbo]

>> Prve pravidlo strci cely bridge do DHCP klienta. Dajme tomu, ze je to OK, kedze mAP funguje ako bridge (access point). Druhe pravidlo vsak filtruje
>> DHCP odpovede z DHCP servera (nie requesty), ktore idu z interfejsu wlan1 prave na ten bridge. To je dost v rozpore s tym prvym pravidlom...?
>> Alebo tomu zle chapem?

prva vec je jasna, IP adresu dostane logicky interface bridge z DHCP servera. Ano, prvy dosly DHCP paket vyhrava, nie je tu ziadna detekcia rogue DHCP a podobne, co na domacej sieti nie je potrebne.

Druhe pravidlo : zahadzuje sa iba komunikacia, prichadzajuca na wlan1 fyzicky interface. Pokial bola poslana DHCP vyzva z logickeho interface bridge a teda pride odpoved na tento "všeinterface", nepocita sa to za komunikaciu na wlan1 (aj ked to samozrejme fyzicky cez wlan1 prechadza - nie je to wlan1 komunikacia ale bridge komunikacia ; to iste plati o ether1, ether2, ether3). Kedze wlan1 nema nastavene DHCP, nepouziva sa ako "originating interface" a tympadom ani "destination interface" pre dhcp traffic - ba dokonca ani ziadny iny traffic (je sucastou bridge ktory ma L3 IP adresu, takze komplet cely traffic ide vzdy z/na bridge a nie "fyzicky interface wlan1").

Traffic zahajeny Mikrotikom uz pada do uplne prveho pravidla zmieneneho navrchu, teda "/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked".

Navyse, nie som si isty ci DHCP traffic je povazovany za klasicky L3 traffic, takze blok portu 68 by nezabranilo nicomu vo vztahu k tomuto Mikrotiku.