Po nahodeni Orange ADSL modemu do bridge modu a zapojeni MikrtoTiku som rozbehal internet v celej mojej sieti. Bez problemu sa pripajaju klienti cez WiFi aj LAN. Avsak potrebujem rozbehat dynamicke DNS a port forward. Tu som ale bezradny. DDNS neviem ako nastavit (konto uz mam) a port forward mi podla postupov na nete nefunguje
Potrebujem presmerovat porty na moj lokalny server (HTTP a HTTPS), kde mi bezi web.
Vie mi niekto poradit, ako na to? Niekde som sa aj docital, ze u xDSL netu treba nieco nastavit naviac, ale co?....
Mas pppoe nastavene v MT ? A na nejakom rozhrani dostavas z dsl verejnu dyn. IP ? Potom na tom rozhrani nastavis dst-nat a nasmerujes na konkretnu IP. Chcelo by to vidiet nastavenie.
Tak sa mi nejak podarilo znefunkcnit pristup na MT (web ani winbox neprihlasi). Asi uz nebudem neskoro v noci samanit s nastaveniami...
Nastavim vsetko nanovo a uvidim.
Inak pppoe som mal nastavene v MT (asi by mi bez toho nesiel net, ak sa nemylim).
Moja situacia:
Port 1 - WAN - kabel z modemu DSL (v bridge mode) - nastavene pppoe (priradi mi IP, net ide)
Port 2 - LAN (ide do switchu a dalej ku klientom) - rozsah 192.168.1.xxx
Nasiel som aj toto: http://forum.mikrotik.com/viewtopic.php?t=17662
Tam sa pise o ADSL a jeho nastaveni. U mna som mal MTU 1500 a net siel. Po zmene na 1480 sa mi nevytocilo spojenie - stale pripajalo a hned odpojilo (a to dookola).
Inak vsetko som nastavoval cez winbox. Zakladne nastavenie siete cez Quick Set. Cize tam sa MTU/MRU nenastavovalo.
a samozrejme aj port 443 a eventualne dalsie, proste podla toho co potrebujes. Ked ti vnutorny web server bezi na inom porte ako 80, zmenis "to-ports=80" ; ked chces mat tvoj web server pristupny vonku na inom porte ako 80 zmenis "dst-port=80" za ten na ktorom to chces mat pristupne.
Tvoju verejnu adresu zistis v /ip address print pripadne si v browseri otvoris whatismyip.com a mas ju. Nutnou podmienkou fungovania je aby si v /ip firewall filter nemal nejake zverstvo ktore firewalluje pristup na tieto porty.
Jaaaaaaj dyndns, takze by som asi uplne vyhodil dst-address=A.B.C.D a tympadom mikrotik vsetko co pride na jeho port 80 prehodi dovnutra siete na adresu 192.168.300.549 (niezeby taka mohla existovat, vsetci vieme preco).
Tymto mas vyriesene forwardovanie portov cez mikrotik z vonkajsej siete dovnutra. Nejaksi veci typu dyndns a podobne zverstva nepoznam ani z vedlajsej galaxie, vsade mam verejne adresy takze tu musi poradit niekto iny. Inak viem ze to na mikrotikoch chodi, len neviem ako.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Hlavne nezabudni nastavit in-interface , ked resetnes counter, tak uvidis ci to pravidlo nieco berie a len pre istotu, testovanie z vnutra nema zmysel, to asi vies ...
pre forwardovanie portov nie je treba nastavit in-interface, tym sa zbytocne limitujes. Akonahle nieco pride na verejnu adresu A.B.C.D (ktora sa nachadza na jednom jedinom jasne definovanom interfejsi), mas to tam a nestaras sa ktory interface to bol.
Je uplne zbytocne do tych pravidiel natrieskat vsetko co ste videli na internete. Akurat si skomplikujete zivot.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Videli na internete ? Ak mas dyn. IP cez pppoe tak ako pises, dst ip nepouzijes a ak nemas dst interface tak sa odrezes od netu ... rada na zlato. Radsej by som bol ak by napisal ako dopadol, hodil sem export, obrazok a pod. .
jaaaaaaaaaj turbo uz zas nerozmyslas... kedze na tom verejnom interface nemame nic ine, nestacilo by potom povedat ze
/ip firewall nat in-interface=PPPoE dst-port=80 atd. ?
cize "cokolvek pride na verejnom interfejsi na port 80, prehod..." Cize vlastne len v mojom prvom vypise by sa zamenila verejna adresa (dst-address=A.B.C.D) za in-interface=PPPoE respektive namiesto PPPoE pouzit oznacenie ether1 alebo kde je to pripojene. Len zase som takuto zverinu nepouzival tak neviem ci netrieskam sprostosti. A kedze nemam nic lepsie na robote, idem si to vyskusat na virtualke.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
V podstate stacilo, len aj tak viac toho popisane nebolo, takze je to skorej hadanie. Aj tak ten pppoe client vyzaduje na ktorom rozhrani bude, tak je otazka ci treba zadat vyslovene pppoe ako vstup alebo staci rozhranie na ktorom pppoe client bezi.
tak staci presne ako som napisal : namiesto dst-address sa pouzije parameter in-interface a potom COKOLVEK co na tom interfejsi pride (a pride na nom samozrejme len to co vyhovuje IP adrese/adresach na nom pouzivanej) na prislusny destination port pripadne podla inych parametrov sa prehadzuje tam kam poviem.
obrazok prikladam, vidno ze doletelo 180 bajtov.
Max sa urcite ozve, je na tomto fore uz dlho.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Takze po dlhsom nastavovani a skusani som to predsa rozchodil
Len nechapem, preco mi to neslo aj z vnutornej siete otestovat.... (doteraz som mal nastavene port forwardy cez "mydlovu krabicku" a slo po zadani http://www.nieco.sk aj z LAN)
Nasiel som nieco aj na nete a nastavil som staticky zaznam DNS pre moj server 192.168.x.y na http://www.nieco.sk a uz mi ide tato stranka aj z vnutornej siete. Je ine elegantnejsie riesenie, alebo len tento ofajc?
Dalej mam problem s tym, ze sa mi pokusaju pripajat na MT cez SSH (boti, neprajnici a ine podvratne zivly):
11:13:20 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:21 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:21 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:29 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:29 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:29 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:33 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:33 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:36 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:41 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:42 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:43 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:47 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:49 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:49 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:55 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:56 system,error,critical login failure for user root from 218.87.111.109 via ssh
11:13:56 system,error,critical login failure for user root from 218.87.111.109 via ssh
Pripadne navrhnite, co by som este mal nastavit, kvoli bezpecnosti.
Zatial mam rozchodene:
- DSL cez pppoe
- WiFi
- Dynamicke DNS - cez skript
- port forward
- teraz este laborujem s grafmi
EDIT: Teraz ma napadli dalsie poziadavky:
- rozchodenie USB tlaciarne - da sa to na MT? USB port je pritomny, ale dokazem ju mat ako zdielanu cez MT?
- nastavenie vysielacieho vykonu WiFi
- casove vypinanie/zapinanie WiFi (na noc vypnuta, nech nas neozaruje)
Ak niekto vie, ako to nastavit, budem rad. Staci link na nejaky postup. Radsej sa to naucim z prikladov, ako copy/paste a neviem z toho nic...
toto je zbytocne komplikovane trojfazove riesenie, ale v principe hovori : kazdy kto sa pokusi prihlasit viac ako trikrat za 10m a neuspesne, bude zaradeny do blokovacieho zoznamu v ktorom bude 60 dni (8 tyzdnov, 4 dni). Po prvom spojeni (ci uz uspesnom alebo nie) sa zaradia do SSH_Stage1 zoznamu. Po minute z neho vypadnu, ale ak sa pokusia prihlasit druhykrat teda zrejme neuspesne na prvy pokus do minuty - cize pokial su este v prvom zozname - tak budu zaradeni do druheho zoznamu. Tam budu desat minut. Ak sa pocas tych desiatich minut pokusia prihlasit este raz, tak sa dostanu do tretieho zoznamu v ktorom budu dalsich desat minut. Ak sa pocas nich este raz prihlasia, tak sa ich zdrojova adresa zablokuje naverimvekov 60 dni.
Je to zbytocne komplikovane, mozes to upravit podla obrazu svojho. Daval by som zlahka pozor ak sa nutne potrebujes VIACNASOBNE prihlasovat k sebe, predovsetkym ak potrebujes mat viac ako tri session otvorene naraz (pretoze prepadnes do Stage3 zoznamu a tam uz konci sranda).
Samozrejme rovnaky princip mozes aplikovat na AKEKOLVEK spojenie co vies klasifikovat vo firewalli, nejedna sa vyhradne o SSH. Kludne mozes robit toto na forwardovanych portoch 3389 ("ked sa niekto viacnasobne snazi pripojit na nieco vnutorne s terminal servismi") a podobne.
Takto potom vyzera blokovaci zoznam :
[admin@dom] /ip firewall filter> /ip firewall address-list print
Flags: X - disabled, D - dynamic
# LIST ADDRESS TIMEOUT
0 D ssh_blacklist 218.87.111.118 7w1d13h45m41s
1 D ssh_blacklist 182.100.67.113 7w1d14h46m40s
2 D ssh_blacklist 218.87.111.116 7w1d16h12m41s
3 D ssh_blacklist
atd, atd, cize kretenikovia ktori sa skusali SSHckovat "nad limit". A uz teraz sa hodne dlho SSHckovat nebudu moct.
Dalej mam lahku vyhradu voci tvojmu pravidlu 0 : nechavas cely svet ICMPckovat tvoj router. Preco ? Ak potrebujes overit ci zije alebo nezije tvoj routrik, sprav to nejako inak, minimalne by som limitoval zoznam adries z ktorych to mozes pingovat (za predpokladu ze mas zopar pevnych bodov vo vesmire kam sa mozes prihlasit a odtial skusat tvoj router).
Vies co robia tvoje pravidla 1 a 2 ?
/ip services print, zakaz vsetko co nepotrebujes. Nic viac ako SSH a maximalne Winbox ktory ja nenavidim by som tam nenechal. SSHcku by som automaticky zmenil port, vsetci debkovia utocia na port 22, daj si tam napriklad 22222 a tam sa SSHckuj. Tebe je to jedno, pred blbeckami ta to ochrani v dalsej vrstve. Da sa spravit aj system ktory funguje voci port scannerom : ked sa niekto snazi prescannovat tvoje porty, zaradi ho to automaticky do drop listu ako SSH hore (hladaj na mikrotik forach).
[admin@dom] /ip firewall filter> /ip service print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 X telnet 23
1 X ftp 21
2 X www 80
3 ssh 22222
4 X www-ssl 443
5 X api 8728
6 X winbox 8291
7 X api-ssl 8729
celkove mnozstvo spojeni ktore dokaze udrzat tvoj mikrotik zavisi vyhradne od kvanta RAM ktoru mas, predposledny riadok. DoS utoky ti mozu vycerpat mnozstvo spojeni a nove sa nevytvoria, predpokladam ze k tomuto sa nedostanes len ti hovorim. Ja osobne bezim Mikrotiky na x64 platforme, skoro vsetko virtualky, takze ja mam RAMky a CPU vykonu na rozdavanie, avsak napriek tomu SKRACUJEM vsetky tieto limity. Akoze kazde TCP spojenie naozaj nemusi zostat otvorene JEDEN CELY DEN, to je na mna moc. 5 sekund na ACK pakety mi pride tiez moc, ked odtialto do Sydney mam 350ms roundtrip. Atd, atd, proste si zapis povodne nastavenia a potom ich ROZUMNE poskracuj.
Priklad :
[admin@dom] /ip firewall connection tracking> print
enabled: auto
tcp-syn-sent-timeout: 1s [ak do jednej sekundy nedoleti ACK, potvrdenie SYN paketu z druhej strany, o take spojenie nemame zaujem]
tcp-syn-received-timeout: 1s [to iste]
tcp-established-timeout: 1d [uhm vysvetlene hore, u mna ziadne spojenie nema co byt otvorene jeden cely den]
no a hlavne tieto hrozy :
udp-timeout: 10s
udp-stream-timeout: 3m
icmp-timeout: 10s
generic-timeout: 10m
to su strasne cisla, absolutne nepotrebne v NORMALNEJ prevadzke.
/ip neighbor discovery : zakazat vsetky interfejsy. Nech tvoj stroj nic neannouncuje von a nech na nic nepocuva.
Laborovanie s grafmi : zatazenie CPU, memory, interfejsov su jednoduche a automaticke. Ak chces vidiet jednotlive stanice na tvojej sieti, musis pre nich spravit /queue aj ked nebudes limitovat ich traffic - mikrotik totiz grafuje kazdu queue zvlast. Vtedy ziskas prehlad o tom kolko dat tlacia tvoje jednotlive stanice. Na zaciatok doporucujem /queue simple pretoze je to fakt simple, navody najdes na internáte vsade u mikrotika.
USB tlaciaren a sharing : nepoznam, neviem, pardon. Nebudem trepat nieco co nemam ohmatane.
Vysielaci vykon wifi : viacero moznosti. /interface wireless ; print ; set 0 tx-power=XX ale pozor, musis mat tx-power-mode nastaveny na manual-table, inak sa neuplatnia manualne nastavenia. Skontrolujes si to v:
nahradit WLAN1 v skripte skutocnym nazvom tvojho radia a samozrejme prisposobit cas vypnutia a zapnutia. Kazdy den sa o jedenastej vecer radio offňe, kazdy den rano o siestej sa radio onňe, dufam ze je to dost po slovensky. Napisal som to direkt z makovice, nebit ked nahodou nebude fungovat - princip je ale jasny.
Velmi dolezite je samozrejme spravne nastavenie casu, idealne synchronizacia z internátu. Casovych serverov je kvantum, /system ntp client a /system clock su tvoji kamošši. Tam je to primititívne jednoduche, takze sa ani neobtazujem copy paste. Pouzivam casove servery
primary-ntp: 217.75.72.153
secondary-ntp: 94.229.33.221
Enjoy !
PS: pri nastavovani vykonu wiressky tusim aj FREQUENCY-MODE musis mat na manual-tx-power alebo tak nejak. Lahko overis.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Asi nema vyznam nieco doplnat, snad k tomu forwardu a DNS je to ako pises, musis mat zvlast zaznam aby to vratilo lokal IP. USB pouzijes max na klasicke zdielanie (usb disk), nejake zakladne prava, ale to je tak vsetko, tlaciaren a pod. zatial u MT nehrozia. Testovane na rb750.
, ked resetnes counter, tak uvidis ci to pravidlo nieco berie a len pre istotu, testovanie z vnutra nema zmysel, to asi vies ...
? Ak mas dyn. IP cez pppoe tak ako pises, dst ip nepouzijes a ak nemas dst interface tak sa odrezes od netu ... rada na zlato. Radsej by som bol ak by napisal ako dopadol, hodil sem export, obrazok a pod. .
Teraz ale vážne....