Επιστροφή στο Forum : Πρώτη επαφή με Mikrotik
Καλησπέρα σας,
Παίζοντας πρώτη φορά με MT, αγόρασα το rb750gr3 (Hex) και προσπαθώ να το σετάρω. Γενικά δεν έχω καταλάβει πολύ καλά την λογική πίσω από το setup του και χρειάζομαι μια βοήθεια σε αυτό.
Θέλω να φτιάξω την παρακάτω τοπολογία.
https://i.imgur.com/oErGZ5S.png
ουσιαστικά κάθε θύρα πέρα από την πρώτη που θα είναι wan και θα κάνει ppoe με το modem/router παρόχου(γυρισμένο σε bridge mode) οι υπόλοιπες θύρες θα είναι ένα ξεχωριστό υποδίκτυο η κάθε μια.
Όλα τα δίκτυα θα πρέπει να έχουν πρόσβαση στο internet και θα πρέπει να υπάρχει μια ασφάλεια μεταξύ της πρόσβαση από το ένα υποδίκτυο στο άλλο, δηλαδή πέρα από συγκεκριμένες ip μηχανημάτων που θέλω να έχουν πρόσβαση σε όλα τα υποδίκτυα, οι υπόλοιπες συσκευές/pc δεν θα πρέπει να βλέπουν άλλες που είναι σε ξεχωριστό υποδίκτυο.
ελπίζω να μην σας μπέρδεψα με το σχέδιο, προσπάθησα να το κάνω κατανοητό.
μέχρι στιγμής ψάχνωντας και παίζοντας λιγάκι έχω κάνει τα παρακάτω
# jan/02/1970 04:15:16 by RouterOS 6.40.4
# software id = XXXXXX
#
# model = RouterBOARD 750G r3
# serial number = XXXXXXXXX
/interface ethernet
set [ find default-name=ether1 ] name=internet
set [ find default-name=ether2 ] name=localnet-1
set [ find default-name=ether3 ] name=localnet-2
set [ find default-name=ether4 ] name=localnet-3
set [ find default-name=ether5 ] name=localnet-4
/interface pppoe-client
add add-default-route=yes dial-on-demand=yes disabled=no interface=internet \
keepalive-timeout=60 name=pppoe-out1 user=guest@hol.gr
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-localnet-1 ranges=192.168.1.150-192.168.1.250
add name=pool-localnet-2 ranges=192.168.2.25-192.168.2.250
add name=pool-localnet-3 ranges=192.168.3.50-192.168.3.60
add name=pool-localnet-4 ranges=192.168.4.10-192.168.4.250
/ip dhcp-server
add address-pool=pool-localnet-1 disabled=no interface=localnet-1 name=\
server-localnet-1
add address-pool=pool-localnet-2 disabled=no interface=localnet-2 name=\
server-localnet-2
add address-pool=pool-localnet-3 disabled=no interface=localnet-3 name=\
server-localnet-3
add address-pool=pool-localnet-4 disabled=no interface=localnet-4 name=\
server-localnet-4
/ip address
add address=192.168.1.1/24 interface=localnet-1 network=192.168.1.0
add address=192.168.2.1/24 interface=localnet-2 network=192.168.2.0
add address=192.168.3.1/24 interface=localnet-3 network=192.168.3.0
add address=192.168.4.1/24 interface=localnet-4 network=192.168.4.0
/ip dhcp-server network
add address=192.168.1.0/24 comment=Localnet-1 dns-server=192.168.1.1 gateway=\
192.168.1.1
add address=192.168.2.0/24 comment=Localnet-2 dns-server=192.168.2.1 gateway=\
192.168.2.1
add address=192.168.3.0/24 comment=Localnet-3 dns-server=192.168.3.1 gateway=\
192.168.3.1
add address=192.168.4.0/24 comment=Localnet-4 dns-server=192.168.4.1 gateway=\
192.168.4.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip firewall nat
# pppoe-out1 not ready
add action=masquerade chain=srcnat out-interface=pppoe-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh port=26
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Athens
/system identity
set name=HomeLabRouter
/system ntp client
set enabled=yes server-dns-names=hercules.eim.gr
/system routerboard mode-button
set enabled=no on-event=""
Είναι σωστά αυτά που έχω κάνει για να πετύχω το τελικό αποτέλεσμα που θέλω; Τι άλλο χρειάζομαι ακόμα για να το τελειοποιήσω;
Ευχαριστώ!
Καμια ιδέα κανείς;
Σας βοηθάει να δώσω screenshots απο το winbox σχετικά με τις ρυθμίσεις που έχω κάνει; Καταλαβαίνω οτι μάλλον δεν είναι και το ποιο εύκολο να διαβαστεί ένα κατεβατό από κώδικα με τις ρυθμίσεις που έχουν γίνει.
Ουσιστικά χρειάζομαι μια καθοδήγηση σχετικά με το αν έχω κάνει σωστές ενέργειες-ρυθμίσεις για το αποτέλεσμα και τις ανάγκες που περιγράφω παραπάνω. Ξέρω οτι κάτι μου λείπει στις ρυθμίσεις, πχ firewall, αλλά δεν ξέρω αν έχω σετάρει σωστά τα interfaces, NAT, τα subnets και τους dhcp.
Καλώς τον.
Με μια ματιά, Interfaces/IPs/subnets εντάξει μου μοιάζουν.
To mikrotik δεν ζητάει πολλά για routing,
άν οι ip είναι σωστές θα κάνει routing ανάμεσα στα subnets.
Firewall δεν βλέπω.
Αν το έχεις αφήσει έτσι είναι ανοιχτό στο internet.
Και θα είναι και open resolver.
Και αν δεν τρέχεις πολύ τελευταία έκδοση routeros ή/και δεν έχει ισχυρό pass θα το έχουν ήδη χακέψει.
Αρχικά βάλε ένα firewall.
Δές -> εδώ (https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router).
Συνοπτικά:
Φτιάξε ένα interface list με τα trusted interfaces, και μια λίστα από trusted IP/networks.
Σε (τουλάχιστον) input + forward chains:
1. Επιλεκτικά επιτρέπεις πρωτόκολλα που σπάνε το fasttrack (αν έχεις ενεργό το fasttrack).
2. Fasttrack established/related (αν θες fasttrack).
3. Επιτρέπεις related/established/untracked.
4. drop invalid.
5. Επιτρέπεις *new* connections (ή επιλεκτικά protocol/port) από τα interfaces/subnets που εμπιστεύεσαι.
6. Επιτρέπεις *new* dst-natted από wan/pppoe (στην forward chain) αν ενεργοποιήσεις upnp.
Εναλλακτικά κάνεις στατικά allow new dst-nated wan->lan ip αν έχεις port forwards στο lan και δεν θες το upnp.
+ επιτρέπεις επιλεκτικά τι άλλο θέλεις από τα untrusted interfaces.
Sort rule order αναλόγως αναγκών (rule order does matter... )
6. Drop the rest (πρόσεχε μην κλειδωθείς έξω...).
+ τα ανάλογα και στο ipv6.
Δε το wiki της mikrotik για τα σχετικά.
Σημειωτέον, μιας και βλέπω subnet με vm,
δεν νομίζω να δεις wirespeed ανάμεσα στα subnets με το RB750, (ίσως χωρίς firewall και με fasttrack/fastpath, αλλά και πάλι...).
Το recommended στα δικτυα οταν εχεις switch, ειναι να πεφτουν ολα πανω στο switch και οχι στο ρουτερ οπως στη δικια σου περιπτωση, εκτος και αν υπαρχει λογος για να το κανεις αυτο, π.χ. ξεχωριστα υποδικτυα, vlans, κ.λ.π.
Καλώς τον.
Με μια ματιά, Interfaces/IPs/subnets εντάξει μου μοιάζουν.
To mikrotik δεν ζητάει πολλά για routing,
άν οι ip είναι σωστές θα κάνει routing ανάμεσα στα subnets.
Firewall δεν βλέπω.
Αν το έχεις αφήσει έτσι είναι ανοιχτό στο internet.
Και θα είναι και open resolver.
Και αν δεν τρέχεις πολύ τελευταία έκδοση routeros ή/και δεν έχει ισχυρό pass θα το έχουν ήδη χακέψει.
Αρχικά βάλε ένα firewall.
Δές -> εδώ (https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router).
Συνοπτικά:
Φτιάξε ένα interface list με τα trusted interfaces, και μια λίστα από trusted IP/networks.
Σε (τουλάχιστον) input + forward chains:
1. Επιλεκτικά επιτρέπεις πρωτόκολλα που σπάνε το fasttrack (αν έχεις ενεργό το fasttrack).
2. Fasttrack established/related (αν θες fasttrack).
3. Επιτρέπεις related/established/untracked.
4. drop invalid.
5. Επιτρέπεις *new* connections (ή επιλεκτικά protocol/port) από τα interfaces/subnets που εμπιστεύεσαι.
6. Επιτρέπεις *new* dst-natted από wan/pppoe (στην forward chain) αν ενεργοποιήσεις upnp.
Εναλλακτικά κάνεις στατικά allow new dst-nated wan->lan ip αν έχεις port forwards στο lan και δεν θες το upnp.
+ επιτρέπεις επιλεκτικά τι άλλο θέλεις από τα untrusted interfaces.
Sort rule order αναλόγως αναγκών (rule order does matter... )
6. Drop the rest (πρόσεχε μην κλειδωθείς έξω...).
+ τα ανάλογα και στο ipv6.
Δε το wiki της mikrotik για τα σχετικά.
Σημειωτέον, μιας και βλέπω subnet με vm,
δεν νομίζω να δεις wirespeed ανάμεσα στα subnets με το RB750, (ίσως χωρίς firewall και με fasttrack/fastpath, αλλά και πάλι...).
Καλησπέρα! Σε ευχαριστώ πάρα πολύ για την απάντηση, όπως καταλαβαίνεις είμαι νέος στο χώρο των δικτύων, το mikrotik δεν το χρησιμοποιώ ακόμα, μέχρι να το κάνω secure και production ready έχω κρατήσει την παλιά μου υποδομή στο σπίτι.
Συγχωρέστε με για τις ερωτήσεις αλλά επειδή το routerOS έχει ρυθμίσεις σε αρκετά low level επίπεδο (packets / frames) δεν έχω γνώσεις σε αρκετά πράγματα( γιαυτό το σκοπό πήγα και σε mt ώστε να μάθω.)
Έχωντας δει το link από το wiki σχετικά με την ασφάλεια του MT έχω απενεργοποιήσει τα περισσότερα access services, έχω άλλαξει θύρα φυσικα στο SSH και έχω βάλει strong encryption.
Θα ξεκινήσω σήμερα να φτιάχνω το fw χρησιμοποιώντας το μπούσουλα που μου δώθηκε, θέλω να ρωτήσω όμως το fasttrack τι είναι πρακτικά και πως/που μου χρειάζεται;
Σχετικά με τo subnet των vm, δεν κατάλαβα το κομμάτι περί wirespeed, έχω κάνει κάποιο λάθος στο setup? έπρεπε να το προσεγγίσω διαφορετικά το κομμάτι αυτό;
Τέλος, έχω ρυθμίσει σωστά το ppoe ώστε να παίξει η wan(internet) θύρα που έχω ορίσει στο MT με το bridged modem/router μου;
195121
195122
Το recommended στα δικτυα οταν εχεις switch, ειναι να πεφτουν ολα πανω στο switch και οχι στο ρουτερ οπως στη δικια σου περιπτωση, εκτος και αν υπαρχει λογος για να το κανεις αυτο, π.χ. ξεχωριστα υποδικτυα, vlans, κ.λ.π.
Καλησπέρα φίλε μου, συμφωνώ σε αυτό που λες αλλά όπως έχω παραθέσει στο διάγραμμα παραπάνω, κάθε πόρτα του MT είναι ένα ξεχωριστό interface/subnet. Το switch πέφτει στο πρώτο subnet όπου εκεί τερματίζουν οι περισσότερες συσκευές. Δεν γνωρίζω αν είναι λάθος η προσέγγιση μου με τα powerlines, ουσιστικά από το υποδίκτυο 192.168.2.0/24 φεύγει καλώδιο από το MT στο κεντρικό powerline και με την χρήση 2 ακόμα powerline, δικτιώνω ένα access point για τις ασύρματες συσκευές μου και έναν σταθερό υπολογιστή. Είμαι χαρούμενος να ακούσω οποιαδήποτε παρατήρηση και να κάνω τις αντίστοιχες αλλαγές! :)
Όσον αφορά το pppoe interface:
max mtu/mru: λογικά θές 1492.
Dial out: μάλλον δεν θέλεις dial-on-demand.
Authentication allow: μόνο chap (εφόσον το υποστηρίζει ο isp)
use peer dns = ναί, αν θές να πάρει αυτόματα τους dns που σπρώχνει στους clients ο isp.
Τα άλλα καλά τα βλέπω.
Θα το καταλάβεις μόλις το δοκιμάσεις... lol.
------------------------------------
Όσον αφορά το fasttrack -> rtfm (https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack).
------------------------------------
Σχετικά με τα subnets και το (non)wire-speed.
Σωστά το κάνεις, υποθέτω ότι θέλεις εξεπιτούτου να είναι σε ξεχωριστά δίκτυα.
Προτείνεται και για λόγους ασφάλειας, *αλλά*,
έτσι όλη η κίνηση ανάμεσα στα δίκτυα LAN 2-3-4 και του isp περνάει* από το tik:
*περνάει = δρομολογείται/L3/routed, όχι switched(L2).
Συνδέεσαι λοιπόν στην gbit πόρτα του tik, και υποθέτω ότι και οι υπόλοιπες πόρτες/switches/vm/pc/etc είναι gbit.
Εφόσον περνάνε από το tik και είναι σε διαφορετικά subnets γίνεται L3 routing.
Εδώ δεν μιλάμε για L2 switching που το asic του switch απλώς σπρώχνει frames,
που σε ένα σωστό switch είναι πάντα σε wirespeed.
Για να μην έχεις πτώση ταχύτητας (wirespeed = 1Gbit, πτώση από το wirespeed, ότι είναι <1Gbit), πρέπει το router σου να είναι ικανά γρήγορο
ώστε να κάνει gbit routing, αμφίδρομα, (worst case: σε όλες τις πόρτες ταυτόχρονα...),
με τους κανόνες firewall/mangle που εσύ θα ορίσεις και με το μέγεθος πακέτων που θα έχει το συγκεκριμένο traffic.
Είναι μια κοινή παρανόηση που έχουν όσοι ξεκινάνε.
Το ότι μιά συσκευή έχει πόρτες gbit δεν πάει να πει ότι μπορεί και να κάνει routing με αυτές τις ταχύτητες.
Μιλάμε για κάμποσα εκατομμύρια pps.
Δεν το βλέπω δυνατό με το συγκεκριμένο, ίσως με fastpath, σε 2 πόρτες μόνο, αλλά και πάλι είναι μικρό...
δές εδώ (https://mikrotik.com/product/RB750Gr3#fndtn-testresults).
Το δοκιμάζεις και βλέπεις.
Για ένα τέτοιο σενάριο σε tik θα κοίταγα κάτι σε RB1100 ή CCR.
Σε περιβάλλον παραγωγής, αυτά τα σενάρια υλοποιούνται με ένα L3 switch (<- κάνουν απλό routing με asic, στην ουσία είναι routers), ή με μεγάλο router.
Για το σπίτι/lab, δεν έχει σημασία, το ανέφερα για να ξέρεις τι να περιμένεις.
Αυτά τα γλυτώνεις αν τα βάλεις όλα πάνω σε ένα switch:
flat δίκτυο, ένα broadcast domain, ένα switch wirespeed, οι hosts μιλάνε μεταξύ κατευθείαν μεταξύ τους,
από το tik περνάει μόνο το traffic από/πρός τον isp.
Αλλά δεν θα έχεις ξεχωριστά δίκτυα,
και δεν μπορείς να έχεις firewall μεταξύ των LAN 2-3-4.
Σωστά το κάνεις έτσι όπως είναι στο σχέδιο.
Για εργαλείο μάθησης μια χαρά είναι το 750.
Όσον αφορά το pppoe interface:
max mtu/mru: λογικά θές 1492.
Dial out: μάλλον δεν θέλεις dial-on-demand.
Authentication allow: μόνο chap (εφόσον το υποστηρίζει ο isp)
use peer dns = ναί, αν θές να πάρει αυτόματα τους dns που σπρώχνει στους clients ο isp.
Τα άλλα καλά τα βλέπω.
Θα το καταλάβεις μόλις το δοκιμάσεις... lol.
------------------------------------
Όσον αφορά το fasttrack -> rtfm (https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack).
------------------------------------
Σχετικά με τα subnets και το (non)wire-speed.
Σωστά το κάνεις, υποθέτω ότι θέλεις εξεπιτούτου να είναι σε ξεχωριστά δίκτυα.
Προτείνεται και για λόγους ασφάλειας, *αλλά*,
έτσι όλη η κίνηση ανάμεσα στα δίκτυα LAN 2-3-4 και του isp περνάει* από το tik:
*περνάει = δρομολογείται/L3/routed, όχι switched(L2).
Συνδέεσαι λοιπόν στην gbit πόρτα του tik, και υποθέτω ότι και οι υπόλοιπες πόρτες/switches/vm/pc/etc είναι gbit.
Εφόσον περνάνε από το tik και είναι σε διαφορετικά subnets γίνεται L3 routing.
Εδώ δεν μιλάμε για L2 switching που το asic του switch απλώς σπρώχνει frames,
που σε ένα σωστό switch είναι πάντα σε wirespeed.
Για να μην έχεις πτώση ταχύτητας (wirespeed = 1Gbit, πτώση από το wirespeed, ότι είναι <1Gbit), πρέπει το router σου να είναι ικανά γρήγορο
ώστε να κάνει gbit routing, αμφίδρομα, (worst case: σε όλες τις πόρτες ταυτόχρονα...),
με τους κανόνες firewall/mangle που εσύ θα ορίσεις και με το μέγεθος πακέτων που θα έχει το συγκεκριμένο traffic.
Είναι μια κοινή παρανόηση που έχουν όσοι ξεκινάνε.
Το ότι μιά συσκευή έχει πόρτες gbit δεν πάει να πει ότι μπορεί και να κάνει routing με αυτές τις ταχύτητες.
Μιλάμε για κάμποσα εκατομμύρια pps.
Δεν το βλέπω δυνατό με το συγκεκριμένο, ίσως με fastpath, σε 2 πόρτες μόνο, αλλά και πάλι είναι μικρό...
δές εδώ (https://mikrotik.com/product/RB750Gr3#fndtn-testresults).
Το δοκιμάζεις και βλέπεις.
Για ένα τέτοιο σενάριο σε tik θα κοίταγα κάτι σε RB1100 ή CCR.
Σε περιβάλλον παραγωγής, αυτά τα σενάρια υλοποιούνται με ένα L3 switch (<- κάνουν απλό routing με asic, στην ουσία είναι routers), ή με μεγάλο router.
Για το σπίτι/lab, δεν έχει σημασία, το ανέφερα για να ξέρεις τι να περιμένεις.
Αυτά τα γλυτώνεις αν τα βάλεις όλα πάνω σε ένα switch:
flat δίκτυο, ένα broadcast domain, ένα switch wirespeed, οι hosts μιλάνε μεταξύ κατευθείαν μεταξύ τους,
από το tik περνάει μόνο το traffic από/πρός τον isp.
Αλλά δεν θα έχεις ξεχωριστά δίκτυα,
και δεν μπορείς να έχεις firewall μεταξύ των LAN 2-3-4.
Σωστά το κάνεις έτσι όπως είναι στο σχέδιο.
Για εργαλείο μάθησης μια χαρά είναι το 750.
Ευχαριστώ πολύ για την απάντηση!
Αν αντί για διαφορετικά subnets/interfaces έπαιζα με vlans, τι διαφορά θα είχε η τοπολογία και η διαχείρηση; Θα ήταν καλύτερα τα πράγματα όσο αφορά το load του MT?
Ουσιαστικά το μεγάλο τράφικ θα βρίσκεται σε ένα interface/υποδίκτυο, το 192.168.4.0/24, εκεί θα πετάξω έναν NAS server για να παίρνει τα incremental backups των PC μου και των VM. Πιθανά αμα το σηκώνει το δίκτυο να τρέχουν τα vhd των μηχανών στο NAS. Θα πρέπει να κάνω κάποια συγκεκριμένη ρύθμιση για αυτό το interface που θα έχει traffic?
Ευχαριστώ πολύ για την διευκρίνηση σχετικά με τις ταχύτητες και τη διαχείρηση στα L2/L3, δεν ήξερα ούτε είχα φανταστεί οτι θα έχει τόσο μεγάλο impact στο performance το routing σε σχέση με το switching!
Σχετικά με το NAT, η ρύθμιση που έχω βάλει καλύπτει όλα τα interfaces ώστε να "έχουν" internet ή είναι θέμα fw από εδώ και πέρα;
Με vlans μπορείς να κάνεις λογική διευθυνσιοδότηση πάνω από το φυσικό μέσο (ethernet).
Και αυξάνεις λίγο το overhead λόγω των headers.
Και εννοείται, η συνολική χωρητικότητα είναι αυτή του φυσικού μέσου.
Θα ήταν λίγο πιο πολύπλοκη η διαχείριση.
Θα ήταν καλό για να μάθεις.
Και πρέπει να το υποστηρίζουν και nics/switches.
Ιδανικά θες ένα L2 managed switch, και δεν είναι ότι φτηνότερο.
Για το router δεν έχει ουσιαστική διαφορά, πάλι routing κάνει, πάλι τα πακέτα περνάνε από την cpu και τα routing chains.
Ίσως με τα vlans να είναι ένα κλικ πιο αργό.
Πέραν της εκπαιδευτικής αξίας δεν νομίζω ότι θα σου χρειαστεί.
Κάλλιστα μπορείς να αφιερώσεις ένα interface ανά subnet.
Για να πάει πιο γρήγορα το εσωτερικό δίκτυο, ειδικά εφόσον μιλάμε για μεταφορές αρχείων,
θα δεις μεγάλη διαφορά με jumbo frames.
Όταν ανεβάζεις mtu από 1.500 σε 9.000,
για το ίδιο throughput από LAN1 -> LAN2 έχεις το 1/6 των πακέτων (δεν είναι ακριβώς έτσι αλλά το απλοποιώ...).
Και καλά εμείς έχουμε μάθει να μιλάμε με bit/Mbit,
αλλά τα routers μετράνε σε pps, και τα πακέτα δυστυχώς δεν έχουν σταθερό μέγεθος.
Όσο μειώνεις τον αριθμό των πακέτων (αυξάνοντας το μέγεθος τους), τόσο πιο εύκολη η ζωή του router.
Με jumbo frames μπορείς χαλαρά να πιάσεις wirespeed όσο έχεις μεγάλα πακέτα.
Ψάξε να δεις τι υποστηρίζει το hardware σου.
Οι ρυθμίσεις που θα επηρεάσουν πολύ την ταχύτητα του routing είναι:
Fastrack/= on ή off?
Σειρά/πολυπλοκότητα κανόνων firewall
Και εννοείται δεν θα στήσεις qos και L7 filtering στο εσωτερικό traffic.
Ο κανόνας σου κάνει masquerade ότι πάει να βγει από την pppoe σύνδεση,
που είναι default route.
Βασικά θα βγάλει όλα τα subnets στο internet.
Μπορείς να τον περιορίσεις να βγάλει συγκεκριμένα subnets,
ή να φτιάξεις σχετικές πολιτικές στο firewall.
Το fasttrack μονο θεματα μπορει να σου δημιουρησει στο μελλον και δε θα σου δουλευει με τα mangles ουτως ή αλλως. Γενικως ολοι εμεις εδω δε το εχουμε τσεκαρισμενο και δουλευεουμε μια χαρα χωρις καποιο θεμα ταχυτητας ή κατι αλλο.
ψάχνωντας λίγο, βλέπω το unmanged switch μου υποστηρίζει jumbo frames, το ίδιο φυσικά και η κάρτα δικτύου του NAS καθώς και η NIC του PC μου. Απότι κατάλαβα πέρα από την πόρτα του MT θα πρέπει στην NIC του NAS και του PC μου να σετάρω το MTU στα 9k. Αν θέλω να έχω πρόσβαση στο NAS από άλλες συσκευές που δεν υποστηρίζουν jumbo frames θα έχω κάποιο πρόβλημα;
Αντίστοιχα στο PC μου πχ, μπαίνοντας σε άλλα υποδικτύα ή σερφάροντας στο ιντερνετ θα με επηρεάσει το 9κ mtu? Έχει δηλαδή κάποιο impact αυτή η ρύθμιση;
Kαι 7Κ mtu ναχει, το βαζεις οσο ψηλοτερα μπορεις να το δηλωσεις για να εχεις μεγιστα αποτελεσματα. Οχι στο νετ θα σερφαρεις με 1492.
ψάχνωντας λίγο, βλέπω το unmanged switch μου υποστηρίζει jumbo frames, το ίδιο φυσικά και η κάρτα δικτύου του NAS καθώς και η NIC του PC μου. Απότι κατάλαβα πέρα από την πόρτα του MT θα πρέπει στην NIC του NAS και του PC μου να σετάρω το MTU στα 9k. Αν θέλω να έχω πρόσβαση στο NAS από άλλες συσκευές που δεν υποστηρίζουν jumbo frames θα έχω κάποιο πρόβλημα;
Αντίστοιχα στο PC μου πχ, μπαίνοντας σε άλλα υποδικτύα ή σερφάροντας στο ιντερνετ θα με επηρεάσει το 9κ mtu? Έχει δηλαδή κάποιο impact αυτή η ρύθμιση;
To mtu το διαπραγματεύονται οι συσκευές/nics.
Εφόσον περνάει από το switch οι μεταξύ τους μεταφορές θα γίνονται με μεγάλο mtu.
Άλλο πρόβλημα (λογικά) δεν θα έχεις.
Η κίνηση προς τα έξω περνάει από mangle rules και γίνεται scale-down στο mtu της pppoe.
ουσιαστικά σε όσες συσκευές/nic σετάρω μεγάλο mtu θα εκμεταλεύονται την μεγάλη ταχύτητα, οι υπόλοιπες συσκευές που δεν υποστηρίζουν jumbo frames θα παίζουν αλλά δεν θα μεταφέρουν με μεγαλύτερη ταχύτητα αρχεία από τον nas σωστά;
προσπαθώ να κατανοήσω το fw, έφτιαξα αυτά μέχρι στιγμής, πως σας φαίνονται τα rules?
/ip firewall address-list
add address=192.168.1.0/24 list=support
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you nee\
d this subnet before enable it" disabled=yes list=bogons
add address=127.0.0.0/8 comment="Loopback [RFC 3330]" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B # Check if you \
need this subnet before enable it" disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C # Check if you\
\_need this subnet before enable it" disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=\
bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons
add address=224.0.0.0/4 comment=\
"MC, Class D, IANA # Check if you need this subnet before enable it" \
disabled=yes list=bogons
/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder \
address-list-timeout=30m chain=input comment=\
"Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp \
tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" \
src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner \
address-list-timeout=1w chain=input comment="Port Scanner Detect" \
protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" \
src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" jump-target=\
ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except t\
o support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUP\
PORT ADDRESS LIST" disabled=yes dst-port=8291 protocol=tcp \
src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" \
jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=\
bogons
add action=add-src-to-address-list address-list=spammers \
address-list-timeout=3h chain=forward comment=\
"Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=\
25,587 limit=30/1m,0 protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 \
protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" \
connection-state=established
add action=accept chain=input comment="Accept to related connections" \
connection-state=related
add action=accept chain=input comment="Full access to SUPPORT address list" \
src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS \
RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED" disabled=yes
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" \
icmp-options=8:0 limit=1,5 protocol=icmp
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=\
icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 \
protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=\
3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP \
protocol=icmp
/ip firewall nat
# no interface
add action=masquerade chain=srcnat out-interface=pppoe-out1
ουσιαστικά σε όσες συσκευές/nic σετάρω μεγάλο mtu θα εκμεταλεύονται την μεγάλη ταχύτητα, οι υπόλοιπες συσκευές που δεν υποστηρίζουν jumbo frames θα παίζουν αλλά δεν θα μεταφέρουν με μεγαλύτερη ταχύτητα αρχεία από τον nas σωστά;
Ναι..
Στήσ'το πρώτα, κάνε μετρήσεις με mtu 1500 και μετά βλέπεις πώς πάει με jumbo frames.
Εφόσον δεν αγοράζεις hardware ειδικά για αυτό δεν χάνεις τίποτα.
Ναι..
Στήσ'το πρώτα, κάνε μετρήσεις με mtu 1500 και μετά βλέπεις πώς πάει με jumbo frames.
Εφόσον δεν αγοράζεις hardware ειδικά για αυτό δεν χάνεις τίποτα.
Ευχαριστώ πολύ για την απάντηση!
όποτε έχεις χρόνο ρίξε μια ματιά στις ρυθμίσεις του fw που έκανα, αν έχω αφήσει κάποια τρύπα ή παράλειψη. Προσπαθώ ακόμα να κατανοήσω πως δουλεύει, η σειρά των κανόνων τι διαφορά κάνει στο δίκτυο κλπ. Αν μπορούσε να μου εξηγήσει κάποιος λίγο τη λογική του fw, με ποιο σκεπτικό και σειρά ξεκινάμε να το στήνουμε κλπ
ουσιαστικά σε όσες συσκευές/nic σετάρω μεγάλο mtu θα εκμεταλεύονται την μεγάλη ταχύτητα, οι υπόλοιπες συσκευές που δεν υποστηρίζουν jumbo frames θα παίζουν αλλά δεν θα μεταφέρουν με μεγαλύτερη ταχύτητα αρχεία από τον nas σωστά;
προσπαθώ να κατανοήσω το fw, έφτιαξα αυτά μέχρι στιγμής, πως σας φαίνονται τα rules?
/ip firewall address-list
add address=192.168.1.0/24 list=support
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you nee\
d this subnet before enable it" disabled=yes list=bogons
add address=127.0.0.0/8 comment="Loopback [RFC 3330]" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B # Check if you \
need this subnet before enable it" disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C # Check if you\
\_need this subnet before enable it" disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=\
bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons
add address=224.0.0.0/4 comment=\
"MC, Class D, IANA # Check if you need this subnet before enable it" \
disabled=yes list=bogons
/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder \
address-list-timeout=30m chain=input comment=\
"Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp \
tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" \
src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner \
address-list-timeout=1w chain=input comment="Port Scanner Detect" \
protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" \
src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" jump-target=\
ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except t\
o support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUP\
PORT ADDRESS LIST" disabled=yes dst-port=8291 protocol=tcp \
src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" \
jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=\
bogons
add action=add-src-to-address-list address-list=spammers \
address-list-timeout=3h chain=forward comment=\
"Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=\
25,587 limit=30/1m,0 protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 \
protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" \
connection-state=established
add action=accept chain=input comment="Accept to related connections" \
connection-state=related
add action=accept chain=input comment="Full access to SUPPORT address list" \
src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS \
RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED" disabled=yes
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" \
icmp-options=8:0 limit=1,5 protocol=icmp
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=\
icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 \
protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=\
3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP \
protocol=icmp
/ip firewall nat
# no interface
add action=masquerade chain=srcnat out-interface=pppoe-out1
Αυτά έχουν νόημα περισσότερο αν είσαι wisp παρά οικιακός χρήστης.
Κατά την ταπεινή μου άποψη πάντα.
Όχι ότι βλάπτουν οι κανόνες,
θα έλεγα όμως keep-it-simple.
Για οικιακή χρήση, μια καλή αρχή είναι το default firewall του routeros από την 6.40+.
Ξεκίνα από εκεί και βλέπεις.
Το σκεπτικό του firewall δεν γίνεται να εξηγηθεί ικανά σε ένα post.
Δες το wiki της tik και κάνα βιβλίο/άρθρο για firewalling με iptables,
και δες κάνα άρθρο που να εξηγεί NAT, conn. tracking και conn. states.
Δες και τα σχετικά νήματα εδώ στο forum.
Κοίτα και κάνα άρθρο για zone based firewall και τα interface lists του routeros.
Όσον αφορά τα jumbo frames, τζάμπα γράφαμε, διότι απ'ότι βλέπω εδώ (https://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards),
το 750 μέχρι 2026 πάει.
Αυτά έχουν νόημα περισσότερο αν είσαι wisp παρά οικιακός χρήστης.
Κατά την ταπεινή μου άποψη πάντα.
Όχι ότι βλάπτουν οι κανόνες,
θα έλεγα όμως keep-it-simple.
Για οικιακή χρήση, μια καλή αρχή είναι το default firewall του routeros από την 6.40+.
Ξεκίνα από εκεί και βλέπεις.
Το σκεπτικό του firewall δεν γίνεται να εξηγηθεί ικανά σε ένα post.
Δες το wiki της tik και κάνα βιβλίο/άρθρο για firewalling με iptables,
και δες κάνα άρθρο που να εξηγεί NAT, conn. tracking και conn. states.
Δες και τα σχετικά νήματα εδώ στο forum.
Κοίτα και κάνα άρθρο για zone based firewall και τα interface lists του routeros.
Όσον αφορά τα jumbo frames, τζάμπα γράφαμε, διότι απ'ότι βλέπω εδώ (https://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards),
το 750 μέχρι 2026 πάει.
ναι το είδα και εγώ τελικά οτι δεν υποστηρίζει jumbo, κρίμα. Βέβαια για τα λεφτά που το πήρα δεν μπορώ να έχω τόσες απαιτήσεις. Το αγόρασα ποιο πολύ για να δω τι παίζει με τα τικ και να πάρω μια πρώτη γεύση. Απο την άλλη για οικιακή/homelab χρήση που το θέλω νομίζω θα την παλέψει κάνοντας και εγώ κάποιες θυσίες στο περφόρμανς.
Έχεις κάποιον οδηγό/άρθρο να μου προτείνεις ώστε να διαβάσω; Γενικά το πρώτο πράγμα που έκανα μόλις αγόρασα το mt ήταν να διαβάσω το manual, αλλά σε αρκετούς τομείς δεν με καλύπτει εμένα τον άσχετο, χρειάζομαι παραπάνω πληροφορία καθώς θέλω να ξέρω για ποιο λόγο κάνω την κάθε ρύθμιση, τι αντίκτυπο έχει κλπ. Θεωρώ οτι το wiki έχει έναν ποιο techical manual χαρακτήρα και προυποθέτει μια βασική επαφή.
Γενικά διαβάζοντας τα rules που έχω βάλει θεωρώ οτι δεν "κάνουν" κακό, προστατεύουν από διάφορα πραγματάκια, θεωρείς οτι είναι πλεονασμός και να τους σβήσω;
Με τα rules που έβαλα, τα pc στο κάθε υποδίκτυο "βλέπουν" το ένα το άλλο ή πρέπει να προσθέσω κάποιον ξεχωριστό drop κανόνα;
Σε ευχαριστώ πολύ και πάλι για τον χρόνο σου!
ναι το είδα και εγώ τελικά οτι δεν υποστηρίζει jumbo, κρίμα. Βέβαια για τα λεφτά που το πήρα δεν μπορώ να έχω τόσες απαιτήσεις. Το αγόρασα ποιο πολύ για να δω τι παίζει με τα τικ και να πάρω μια πρώτη γεύση. Απο την άλλη για οικιακή/homelab χρήση που το θέλω νομίζω θα την παλέψει κάνοντας και εγώ κάποιες θυσίες στο περφόρμανς.
Έχεις κάποιον οδηγό/άρθρο να μου προτείνεις ώστε να διαβάσω; Γενικά το πρώτο πράγμα που έκανα μόλις αγόρασα το mt ήταν να διαβάσω το manual, αλλά σε αρκετούς τομείς δεν με καλύπτει εμένα τον άσχετο, χρειάζομαι παραπάνω πληροφορία καθώς θέλω να ξέρω για ποιο λόγο κάνω την κάθε ρύθμιση, τι αντίκτυπο έχει κλπ. Θεωρώ οτι το wiki έχει έναν ποιο techical manual χαρακτήρα και προυποθέτει μια βασική επαφή.
Γενικά διαβάζοντας τα rules που έχω βάλει θεωρώ οτι δεν "κάνουν" κακό, προστατεύουν από διάφορα πραγματάκια, θεωρείς οτι είναι πλεονασμός και να τους σβήσω;
Με τα rules που έβαλα, τα pc στο κάθε υποδίκτυο "βλέπουν" το ένα το άλλο ή πρέπει να προσθέσω κάποιον ξεχωριστό drop κανόνα;
Σε ευχαριστώ πολύ και πάλι για τον χρόνο σου!
Μην με βάζετε να διαβάζω κώδικα στο forum, δεν βοηθάνε τα μάτια..
Απ'ότι βλέπω έχει ουσιαστικά ανοιχτό όλο το forward.
Και δεν βλέπω ipv6.
'Οπως σου είπα, είναι ένα ruleset για wisp, δεν είσαι wisp.
Και πολλά άρθρα είναι outdated ή αντιγράφουν ο ένας το άλλον copy/paste.
Για μπούσουλα δες το default ruleset που φτιάχνει μετά από reset το webfig/quick-set.
Μετά κόβεις-ράβεις αναλόγως αναγκών.
Συνοπτικά σου έγραψα ένα ruleset στο 1ό post.
Τα υπόλοιπα δεν τα χρειάζεσαι.
Και μάθε πώς λειτουργεί το safe mode για να μην κλειδωθείς έξω.
Για οδηγό το wiki της tik και έχει και κάτι pdf από mum, ψάξε στο site τους.
Πχ, δες αυτό (https://mum.mikrotik.com//presentations/US13/rick.pdf).
Οι κανόνες δεν κάνουν 'κακό',
αλλά κάθε πακέτο περνάει όλο το chain μέχρι να κάνει match κάπου.
Όσο λιγότεροι, και όσο πιο νωρίς γίνει το match (χωρίς να σπάει η λογική σειρά) τόσο καλύτερα.
Με τα rules που έβαλες τα subnets βλέπουν αλλήλους (όσο δεν είναι bogons τα ίδια).
Εμενα το firewall μου φαινεται υπερβολικο.
@ ADSLgr.com All rights reserved.