PDA

Επιστροφή στο Forum : ADSL router with mikrotik RB DMZ host



Nikiforos
22-11-18, 21:27
Καλησπέρα! είχαμε συζητήσει τις προηγούμενες μέρες σε άλλα θέματα για το DMZ και είπα να το δοκιμάσω για να δω τι να κάνω με την INALAN που έρχεται σύντομα αν με καλύπτει ή να πάρω block ips.
Για να μην γράφω στα σχετικά θέματα με την ίδια, κάνω ένα άλλο θέμα που δοκιμαζω με το ADSL router που μου έχει δώσει η Forthnet το ZTE ZXHN H108L.
Εβγαλα λοιπον το bridge mode που ειχε, το εβαλα οπως ηταν, στα αρχικα μενου εβγαλα το ΝΑΤ και εβαλα DMZ host την ip που εχει το 109 rb.
Εχω απενεργοποιησει το pppoe client και του εβαλα ενα route ολα τα 0.0.0.0/0 να εχουν gw την ip του adsl router.
Επισης εχω ενα ΝΑΤ add action=masquerade chain=srcnat comment="Gia internet apo pppoe client" dst-address=!10.0.0.0/8 out-interface=bridge1-lan-wlan src-address=10.X.XXX.0/27
Eτσι εχω κανονικα ιντερνετ και στο 109 και στα μηχανηματα μου.

Η πορτα που ερχεται το adsl router ειναι μαζι με ολες τις αλλες και το wifi σε bridge γιατι το εχω και σαν switch.

Ειναι σωστα τα παραπανω?
Βεβαια ενω το noip που τρεχει σε nas βλεπει την ιντερνετικη ip μου δεν συμβαινει το ιδιο με το ip cloud που δεν παιζει.
Τα openvpn με το 951 εξοχικου-κινητης παιζουν κανονικα.

Δεν εχω καταλαβει τωρα τι ακριβως κανω με το DMZ? δλδ τι πρεπει να κανω στο ROS να κανει το internet routing το mikrotik ? αρκει το route που ειπα και το nat masqerade ?

- - - Updated - - -

Δεν ειναι μονιμα τα παραπανω ετσι? ειναι για δοκιμη και ΜΟΝΟ.

- - - Updated - - -

Καλα η γραμμη μου ειναι ΤΕΛΕΙΑ ΛΕΜΕ!!!! :lol::respekt::worthy:

- - - Updated - - -

μαλλον ετσι που το εχω κανει περναει την κινηση δουλευοντας το ιντερνετ απλα απο το adsl router απευθειας οπως παλια πριν το bridge + pppoe client, κατι μου διαφευγει...
https://forum.mikrotik.com/viewtopic.php?t=55723
θελει πολυ ψαξιμο.
Το εχει κανει καποιος με mikrotik ?

- - - Updated - - -

xxmmm μαλλον υποχρεωτικα πρεπει να ειναι σε ξεχωριστη πορτα και να εχει και αλλη ip αλλο subnet δλδ γιατι οπως βλεπω και το ΝΑΤ εκεινο που λεω να κλεισω παλι εχω ιντερνετ παιρνει με το route.
Εβαλα και εναν κανονα για DMZ δειχνει κινηση μεν, αλλα παλι περναω απευθειας στο ιντερνετ ρουτερ μαλλον.
https://wiki.mikrotik.com/wiki/NAT_Tutorial
https://mikrotik.com/testdocs/ros/2.8/appex/dmz.pdf

add action=dst-nat chain=dstnat comment=DMZ disabled=yes dst-address=10.X.XXX.4 log=yes src-address=!10.x.xxx.5 to-addresses=10.x.xxx.4

ΕDIT : Τελικα το παρατησα θελει οπωσδηποτε να ειναι σε αλλο subnet το adsl router γιατι τωρα ειναι στο ιδιο και περναει ολη η κινηση μεν στο mikrotik αλλα δεν θελει και port forwarding και παιζουν ολα, ομως παρακαμπτει το firewall του mikrotik ετσι.
Επισης ειχα στο bridge και την ethernet που εχει πανω το adsl router.
Οποτε για να μην πεδευομαι τωρα τσαμπα, οταν ερθει η INALAN θα ζητησω μονο static ip για να μην εχω αναγκη το ip cloud και θα δω αν μου κανει με DMZ, αν οχι τοτε ζηταω block ips.
Αλλωστε δεν πιστευω κανεις να εχει δοκιμασει DMZ σε mikrotik router απο ADSL router αφου αυτα τα βαζουμε σε bridge mode και κανουμε στο mikrotik PPPOE Client...

Nikiforos
28-11-18, 21:13
καλησπέρα, επανερχομαι στο θεμα γιατι πλησιαζει ταχυτατα η INALAN να μην ψαχνομαι τελευταια στιγμη και να δω αν θα βαλω τελικα block ips (4) + 6 τον μηνα ή θα βολευτω με DMZ.

Ασχετο ή οχι δεν ξερω ακριβως, καταφερα ομως να βγαλω το ether1 απο το bridge, εδωσα σε αυτο το ονομα ether1-WAN και εβαλα ip 192.168.1.2/24, εβαλα και ενα σχετικο κανονα ΝΑΤ για το σχετικο masqerade για να εχω ιντερνετ με pppoe client και αλλο ενα ακομα για να μπορω να βλεπω απο το pc μου το web interface του adsl modem (bridge mode).
Οποτε πλεον εχει αλλο subnet η ether1-WAN και το adsl modem (router) την 192.168.1.1.
Oλα καλα παιζουν μεχρι εδω.

Τωρα τι κανω για DMZ.
Βαζω το adsl router σε κανονικη κληση PPPOE και ενεργοποιω και το firewall του.
Αφου εχει ενεργο ΝΑΤ στις ρυθμισεις της κλησης, στο μενου ΝΑΤ εχει και το DMZ και βαζω την 192.168.1.2 που εχει η ether1-WAN στο 109.
Απο εκει και περα δεν βγαζω καποια ακρη...
οτι και να κανω δεν μπορει το 109 να δει το adsl router, εχω δοκιμασει διαφορους κανονες ΝΑΤ και routes αλλα τιποτα.

Εχει κανεις καποια ιδεα? τι μου διαφευγει?

Το bridge που εχω lan με wifi ειναι στο subnet 10.X.XXX.0/27 και η ip του 109 ειναι ενα νουμερο απο αυτα στο bridge.

x_undefined
28-11-18, 21:30
Δοκίμασε αυτό:



/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.1.1 src-address=10.X.XXX.0/27 to-addresses=192.168.1.2


EDIT: Μάλλον άκυρο, αυτό είναι για να έχεις πρόσβαση στο interface του modem, από κάποια συσκευή πάνω στο MikroTik. Δεν είμαι σίγουρος αν αυτό ψάχνεις.

Nikiforos
28-11-18, 21:53
Δεν κάνει κάτι αυτό, ανέφερα και πριν έχω βάλει ήδη κανόνα για το Modem και το βλέπω. Με το dmz σαν ρουτερ πρέπει να δουλευει όμως αλλά Οκ το Web interface του το βλέπω από το Pc. Αλλά δεν κάνω Ping την ip του και δεν έχω ίντερνετ αν πχ βάλω route τα 0.0.0.0/0 να έχουν gw την ether1-Wan.

- - - Updated - - -

Ωπα κατι εγινε τωρα!!!
ανοιξα στο adsl router το dhcp server να δινει απο την 192.168.1.2 και μετα εκανα αυτα στο 109 :



/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1-WAN

/ip firewall nat
add action=src-nat chain=srcnat comment=DMZ dst-address=192.168.1.1 log=yes src-address=10.X.XXX.0/27 to-addresses=192.168.1.3
add action=masquerade chain=srcnat comment="gia na vlepw to web interface tou adsl modem" out-interface=ether1-WAN


το bold το ειχα απο πριν που εκανα το pppoe client με το adsl modem σε αλλο subnet για να το βλέπω απο το εσωτερικο μου.
Τωρα εχω ιντερνετ αυτοματα πηρε και το route.

- - - Updated - - -

Με βοηθησε ο κανονας σου thanks! :oneup:

- - - Updated - - -

Βεβαια εχω ιντερνετ, αλλα με τις πορτες τι γινεται δεν καταλαβαινω ακομα! ενω ολες που ειχα ανοιξει δειχνουν σαν interface το pppoe-client εχουν συνδεθει ολα κανονικα!
τι γινεται ειμαστε μπειτε σκυλοι αλεστε?

jkoukos
28-11-18, 22:07
Απορώ τι είναι αυτό που σε μπερδεύει με το DMZ.
Έχεις το DSL router στην γραμμή που κάνει κλήση ΡΡΡ και σύνδεση με το διαδίκτυο. Πίσω του έχεις το ΜΤ να παίρνει πρόσβαση από το DSL router.
Τώρα όμως έχεις 2πλό ΝΑΤ. Πώς το λύνεις; Αντί άλλων λύσεων, δηλώνεις την WAN IP του MT στο DMZ;
Το επιτυγχάνεις με αυτό; Επιτρέπεις (ουσιαστικά ανοίγεις όλες τις πόρτες) την ελεύθερη εισερχόμενη κίνηση μόνο προς αυτή την διεύθυνση (και όχι στο εσωτερικό δίκτυο του DSL router).
Προφανώς πίσω από την WAN IP πρέπει να υπάρχει firewall και προφανώς το ΜΤ θα το έχεις σωστά ρυθμισμένο όπως θα έκανες στην περίπτωση που αυτό έκανε την κλήση ΡΡΡ.

Nikiforos
28-11-18, 22:41
Απορώ τι είναι αυτό που σε μπερδεύει με το DMZ.
Έχεις το DSL router στην γραμμή που κάνει κλήση ΡΡΡ και σύνδεση με το διαδίκτυο. Πίσω του έχεις το ΜΤ να παίρνει πρόσβαση από το DSL router.
Τώρα όμως έχεις 2πλό ΝΑΤ. Πώς το λύνεις; Αντί άλλων λύσεων, δηλώνεις την WAN IP του MT στο DMZ;
Το επιτυγχάνεις με αυτό; Επιτρέπεις (ουσιαστικά ανοίγεις όλες τις πόρτες) την ελεύθερη εισερχόμενη κίνηση μόνο προς αυτή την διεύθυνση (και όχι στο εσωτερικό δίκτυο του DSL router).
Προφανώς πίσω από την WAN IP πρέπει να υπάρχει firewall και προφανώς το ΜΤ θα το έχεις σωστά ρυθμισμένο όπως θα έκανες στην περίπτωση που αυτό έκανε την κλήση ΡΡΡ.

τιποτα δεν καταλαβαινω βασικα, δεν εχω ασχοληθει ποτε με αυτο το DMZ.
Wan ip του MT ποια λες? αυτη που εχω στο ether1-WAN οπως την εχω ονομασει? δλδ την 192.168.1.3 που τωρα την πηρε αυτοματα από το adsl router με το dhcp client που εκανα?
Firewall υπαρχει στο 109 που ηταν για το pppoe client που ηταν πριν, αλλα δεν ξερω αν θελει τιποτα αλλαγες, προφανως το interface απο pppoe-client αρκει να δηλωσω την ether1-WAN ?

δλδ τωρα πλεον δεν χρειαζεται να ανοιγω πορτες ειναι ολες ανοιχτες? αυτο ειναι ομως ασφαλες?

- - - Updated - - -

Εχω και κατι αλλα προβληματακια αλλα δεν αφορουν ακριβως το DMZ, απλα επειδη το adsl router τωρα εχει subnet 192.168.1.0/24 αντι του 10.Χ.ΧΧΧ.4/27 (awmn subnet) που ειναι το 109 τωρα οτι βαλω πανω του και στις ethernet αλλα και η ip camera που επαιζε με wifi που εχω γραψει σε αλλο θεμα δεν μπορουν να παρουν απο τον dhcp server του 109 πλεον.

- - - Updated - - -

Επισης απο το εξοχικο που εχω awmn subnet 10.Χ.ΧΧ.0/24 δεν μπορω να δω το adsl router αλλα αυτο οκ μικρο το κακο αφου εχω εκει αλλο ιντερνετ δεν με νοιαζει τοσο οπως παλια που επαιρνα απο Αθηνα μεσω awmn.

- - - Updated - - -

ok και η ipcamera συνδεθηκε μονη της πηρε ip απο το adsl router στο 192 κατι και παιζει και απο ιντερνετ και την βλεπω και τοπικα κανονικα με τον κανονα ΝΑΤ απο το 109.

jkoukos
28-11-18, 23:17
Ναι η WAN IP του MT είναι αυτή που έχει πάρει από τον DHCP του Speedport. WAN IP είναι πάντα η διεύθυνση ενός router με τον έξω κόσμο, είτε αυτή δίνεται από μια ΡΡΡ κλήση (άρα μιλάμε για δημόσια ΙΡ) είτε από άλλον router (άρα μιλάμε για τοπική στο υποδίκτυο αυτού του router).

Ένας router αποτελεί την πόρτα μεταξύ εξωτερικού και εσωτερικού δικτύου. Σε αυτήν υπάρχει ένας θυρωρός που για να αφήσει κάποιον να περάσει απ' έξω προς τα μέσα, πρέπει κάποιος από μέσα να του το ζητήσει (port forward).
Όταν έχουμε 2 router στη σειρά (όπως καλή ώρα τώρα εσύ), αναγκαστικά υπάρχουν 2 πόρτες και 2 θυρωροί. Οπότε η αίτηση για μα επιτρέψουμε την είσοδο στο κτίριο, πρέπει να ζητηθεί 2 φορές, από μία σε κάθε θυρωρό πόρτας.

Με το DMZ, αυτό που κάνουμε είναι στον 1ο router δίπλα στην υπάρχουσα πόρτα (με θυρωρό) να φτιάχνουμε άλλη μία (χωρίς θυρωρό).
Έρχεται λοιπόν κάποιος και προσπαθεί να ανοίξει την 1η πόρτα. Εκεί υπάρχει ακόμη ως φύλακας ο θυρωρός. Εσύ τι λες θα τα καταφέρει να περάσει και με ποιον τρόπο;

Μετά το μάτι του πέφτει στην 2η πόρτα του 1ου router. Την ανοίγει (είπαμε δεν υπάρχει θυρωρός) και βλέπει μόνον ένα διάδρομο που τερματίζει στην πόρτα εισόδου του 2ου router.
Εκεί βρίσκεται αντιμέτωπος με τον θυρωρό και ζητά να μπει μέσα. Εσύ τι λες θα τα καταφέρει και με ποιον τρόπο;

Nikiforos
28-11-18, 23:38
Ωραιες οι επεξηγησεις σου! :oneup: thanks again.
Οπως βλεπω και στο firewall - connections μια χαρα παιζουν ολα.
Συνδεθηκα και μεσω κινητου με 4G στο openvpn ολα καλα και γρηγορα.

Το ip cloud λεει το γνωστο μυνημα οτι ειναι πισω απο ΝΑΤ παιζει ομως, βεβαια εχω και noip που επισης παιζει (το εχω δηλωμενο απο το NAS).
Για το DMZ το ξερω οτι προωθει την ιντερνετικη κινηση σε αλλο μηχανημα, πολλες φορες εχω διαβασει να δηλωνουν πχ μια ip απο pc για να μην ανοιγουν πορτες για καθε εφαρμογη χωριστα.

- - - Updated - - -

περιεργο κανω ping με interface ether1-wan σε μια εσωτερικη μου ip πχ στο nas, λεει status admin prohibited, αλλα ip δειχνει το gateway που εχει το adsl router δλδ την public ip.
τι ειναι αυτο τωρα?

- - - Updated - - -

και ενα port scanner απο android στο ονομα του noip μου δειχνει ανοιχτες πορτες, ενω πριν δεν γινοταν καν scanning!
σουρωτηρι ειναι φαινεται! μπα δεν εφταιγαν τα rules, απλα φαινονται πορτες αλλα δεν συνδεονται απεξω.
Δεν καταλαβαινω αυτο το DMZ πως συμπεριφερεται ετσι σχετικα με τις πορτες....χτυπαω τις υπηρεσίες απεξω που δειχνουν ανοιχτες πορτες και δεν μπαινω εκτος αυτή του openvpn βεβαια. Το θεμα είναι πως να τις κανω να μην φαινονται ανοιχτες.
Βρηκα εδώ και ένα ωραιο σχετικο θεματακι https://forum.mikrotik.com/viewtopic.php?t=88160

jkarabas
02-12-18, 18:49
και ενα port scanner απο android στο ονομα του noip μου δειχνει ανοιχτες πορτες, ενω πριν δεν γινοταν καν scanning!
Άσχετο με το θέμα ποιο είναι το app που έχεις στο android?

Nikiforos
02-12-18, 19:38
Άσχετο με το θέμα ποιο είναι το app που έχεις στο android?

εχει παρα πολλα ενα τυχαιο εβαλα καλο ειναι ομως https://play.google.com/store/apps/details?id=com.twistandroid.portscan&hl=el
τωρα καλυφθηκα οπως εγραψα στο θεμα με το firewall απλα δειχνει απο το adsl router μια 2 και του openvpn.
Oταν μπει σε bridge ειναι λογικο να μην δειχνει καμια γιατι το μονο κουμαντο στο ιντερνετ ειναι στο mikrotik.

- - - Updated - - -

Θα πηδηχτω απο το παραθυρο.....
στο ονομα του noip στην 80 ανοιγει μεσω ιντερνετ το web interface του adsl router!!!! μαλλον φταιει οτι του εκλεισα το firewall.

- - - Updated - - -

δεν ειναι απο αυτα παλι το βλεπω απο το κινητο μεσω 4G στην 80, αααα τα νευρα μου.....
συνεχιζω στο θεμα του firewall αφου εχει να κανει με το mikrotik.

- - - Updated - - -

ακυρο! ειχα στο κινητο ανοιχτο το wifi και τωρα πλεον παιζει με το noip απο το τοπικο δικτυο κατι που πριν DMZ δεν γινοταν....
απο εξω δεν μπαινω, ειπα και εγω!!!

jkoukos
04-12-18, 22:23
Νικηφόρε, επειδή διαβάζω αυτά που γράφεις σε άλλα θέματα σχετικά με το DMZ και τους ενδοιασμούς σου επειδή (όπως λες) δεν το καταλαβαίνεις και το φοβάσαι, τα πράγματα είναι πολύ απλά.
Ξέχνα προς το παρόν όλα όσα έχεις στο μυαλό σου αλλά και την δικιά σου εγκατάσταση που είναι πολύπλοκη και με πολλαπλές συνδέσεις (Αθήνα-εξοχικό κλπ).

Ας πούμε ότι έχεις ένα Mikrotik router και μπορείς να το χρησιμοποιήσεις ως εξής:

Α. Ως κύριο router κάνοντας κλήση ΡΡΡοΕ:

Πίσω από ένα modem.
Πίσω από ένα modem/router που παίζει σε Bridge Mode.
Πίσω από άλλο modem/router που έχει ενεργή την επιλογή PPPoE Passthrough.


Β. Ως κύριο router στο εσωτερικό σου δίκτυο, αλλά παίρνοντας:

Σύνδεση μέσω WiFi.
Σύνδεση μέσω άλλου router.


α. Σε όλες τις παραπάνω περιπτώσεις (Α & Β λειτουργία), το Mikrotik από την στιγμή που παίζει ως κανονικό router, θα δημιουργεί ένα ΝΑΤ εσωτερικό δίκτυο και θα το ασφαλίζει με κατάλληλους κανόνες firewall.
Αν θέλεις να ανοίξεις μια πόρτα ώστε να έχεις πρόσβαση σε κάποια εσωτερική σου υπηρεσία (π.χ. VPN), αναγκαστικά θα πρέπει να το επιτρέψεις στο Mikrotik.

β. Σε όλες τις περιπτώσεις της (B) λειτουργίας, υπάρχει άλλος router (μπροστά από το ΜΤ) που και αυτός δημιουργεί ένα ΝΑΤ εσωτερικό δίκτυο και θα το ασφαλίζει με κατάλληλους κανόνες firewall.
Τώρα όμως το δικό σου εσωτερικό δίκτυο είναι πίσω από 2πλό ΝΑΤ. Άρα πρέπει να γίνει διπλό άνοιγμα της ίδια πόρτας.
Αυτό όμως δεν αλλάζει τίποτα σε ότι έχει να κάνει στην ασφάλεια και την προστασία του δικού σου δικτύου. Δεν άλλαξες κάτι στο δικό σου firewall. Ότι είχε πριν, θα έχει και τώρα.

Έρχεται λοιπόν η λειτουργία DMZ και μέσω αυτής ανοίγεις μία δίοδο που παρακάμπτει το πρώτο ΝΑΤ και τα πακέτα φθάνουν απ' ευθείας στο ΜΤ.
Το μόνο που αλλάζει με πριν, είναι ότι πλέον απλά δεν χρειάζεται να κάνεις διπλό άνοιγμα της πόρτας. Αρκεί το μοναδικό που γίνεται στο Mikrotik.
Και πάλι σε αυτή την περίπτωση, δεν αλλάζει τίποτα σε ότι έχει να κάνει στην ασφάλεια και την προστασία του δικού σου δικτύου. Δεν άλλαξες κάτι στο δικό σου firewall. Ότι είχε πριν, θα έχει και τώρα.

Κι εδώ σταματά η δικαιοδοσία του DMZ. Ότι υπάρχει πίσω από το Miktoτik, όσες συνδέσεις κι αν έχεις ή συσκευές ή οτιδήποτε εξωτικό, είναι παντελώς άσχετο και αδιάφορο για το DMZ, το οποίο έχει μία και μοναδική λειτουργία.
Αν έχεις ρυθμίσει το firewall λανθασμένα στις Α περιπτώσεις, το ίδιο θα ισχύει στις Β περιπτώσεις. Είτε με DMZ ενεργό είτε ανενεργό, είτε με Static IP είτε με Public ΙΡ.

To κέρδος που σου παρέχει το DMZ είναι ότι, δεν χρειάζεται να πάρεις Βlock IP, καθώς ξεπερνώντας το 2πλό ΝΑΤ παίζεις χαλαρά με το DDNS (όπως είσαι και τώρα).
Σκέψου το σαν να να μην υπήρχε ο άλλος router και με ένα μαγικό τρόπο έβγαινες στο διαδίκτυο απ' ευθείας.

sdikr
04-12-18, 22:31
Νικηφόρε, επειδή διαβάζω αυτά που γράφεις σε άλλα θέματα σχετικά με το DMZ και τους ενδοιασμούς σου επειδή (όπως λες) δεν το καταλαβαίνεις και το φοβάσαι, τα πράγματα είναι πολύ απλά.
Ξέχνα προς το παρόν όλα όσα έχεις στο μυαλό σου αλλά και την δικιά σου εγκατάσταση που είναι πολύπλοκη και με πολλαπλές συνδέσεις (Αθήνα-εξοχικό κλπ).

Ας πούμε ότι έχεις ένα Mikrotik router και μπορείς να το χρησιμοποιήσεις ως εξής:

Α. Ως κύριο router κάνοντας κλήση ΡΡΡοΕ:

Πίσω από ένα modem.
Πίσω από ένα modem/router που παίζει σε Bridge Mode.
Πίσω από άλλο modem/router που έχει ενεργή την επιλογή PPPoE Passthrough.


Β. Ως κύριο router στο εσωτερικό σου δίκτυο, αλλά παίρνοντας:

Σύνδεση μέσω WiFi.
Σύνδεση μέσω άλλου router.


α. Σε όλες τις παραπάνω περιπτώσεις (Α & Β λειτουργία), το Mikrotik από την στιγμή που παίζει ως κανονικό router, θα δημιουργεί ένα ΝΑΤ εσωτερικό δίκτυο και θα το ασφαλίζει με κατάλληλους κανόνες firewall.
Αν θέλεις να ανοίξεις μια πόρτα ώστε να έχεις πρόσβαση σε κάποια εσωτερική σου υπηρεσία (π.χ. VPN), αναγκαστικά θα πρέπει να το επιτρέψεις στο Mikrotik.

β. Σε όλες τις περιπτώσεις της (B) λειτουργίας, υπάρχει άλλος router (μπροστά από το ΜΤ) που και αυτός δημιουργεί ένα ΝΑΤ εσωτερικό δίκτυο και θα το ασφαλίζει με κατάλληλους κανόνες firewall.
Τώρα όμως το δικό σου εσωτερικό δίκτυο είναι πίσω από 2πλό ΝΑΤ. Άρα πρέπει να γίνει διπλό άνοιγμα της ίδια πόρτας.
Αυτό όμως δεν αλλάζει τίποτα σε ότι έχει να κάνει στην ασφάλεια και την προστασία του δικού σου δικτύου. Δεν άλλαξες κάτι στο δικό σου firewall. Ότι είχε πριν, θα έχει και τώρα.

Έρχεται λοιπόν η λειτουργία DMZ και μέσω αυτής ανοίγεις μία δίοδο που παρακάμπτει το πρώτο ΝΑΤ και τα πακέτα φθάνουν απ' ευθείας στο ΜΤ.
Το μόνο που αλλάζει με πριν, είναι ότι πλέον απλά δεν χρειάζεται να κάνεις διπλό άνοιγμα της πόρτας. Αρκεί το μοναδικό που γίνεται στο Mikrotik.
Και πάλι σε αυτή την περίπτωση, δεν αλλάζει τίποτα σε ότι έχει να κάνει στην ασφάλεια και την προστασία του δικού σου δικτύου. Δεν άλλαξες κάτι στο δικό σου firewall. Ότι είχε πριν, θα έχει και τώρα.

Κι εδώ σταματά η δικαιοδοσία του DMZ. Ότι υπάρχει πίσω από το Miktoτik, όσες συνδέσεις κι αν έχεις ή συσκευές ή οτιδήποτε εξωτικό, είναι παντελώς άσχετο και αδιάφορο για το DMZ, το οποίο έχει μία και μοναδική λειτουργία.
Αν έχεις ρυθμίσει το firewall λανθασμένα στις Α περιπτώσεις, το ίδιο θα ισχύει στις Β περιπτώσεις. Είτε με DMZ ενεργό είτε ανενεργό, είτε με Static IP είτε με Public ΙΡ.

To κέρδος που σου παρέχει το DMZ είναι ότι, δεν χρειάζεται να πάρεις Βlock IP, καθώς ξεπερνώντας το 2πλό ΝΑΤ παίζεις χαλαρά με το DDNS (όπως είσαι και τώρα).
Σκέψου το σαν να να μην υπήρχε ο άλλος router και με ένα μαγικό τρόπο έβγαινες στο διαδίκτυο απ' ευθείας.

Μα συνεχίζει να γίνεται NAT, απλά δεν χρειάζεται κάποιος να ανοίξει την κάθε μια πόρτα ξεχωριστά, όπως υπάρχει και scrnat στο 1ο ρουτερ ώστε να ξέρει ότι θα επιστρέψει την κίνηση πίσω στο 2 ρουτερ και εκείνο θα έχει παλι δικό του ΝΑΤ για επιστροφή στο υπολογιστή που ξεκίνησε, παραμένει δηλαδή το 2πλο ΝΑΤ, το ddns αν βλέπει την wan του 2ου router (που είναι το σύνηθες) πάλι θα έχει θέμα.
Μιλάμε πάντα για την περίπτωση που το 2ο ρουτερ έχει private ip στο wan κομμάτι του

Nikiforos
04-12-18, 22:40
Ευχαριστω για τις αναλυτικες επεξηγησεις, απλα απο τις δοκιμες που εχω κανει εχω καποιες αποριες.
Για παραδειγμα χωρις να εχω ανοιχτες πορτες στο adsl router και στο mikrotik δεν εχω καποιο ΝΑΤ σχετικο κανονα, πως επαιζε το openvpn?
Αν δεις και στον οδηγο του k.m που λεει για την inalan, λεει οτι δεν υπαρχει η αναγκη για p.f.
Kαπου εδω ειναι που εχω μπερδευτει.
Οπως και να εχει ομως το παρατησα με το adsl router, θα τα δω οταν ερθει η INALAN με το δικο της μηχανημα.
Αλλα δεν ειναι κακο να κανουμε συζητηση να μαθω κατι παραπανω. :)

Επισης αυτο που ειχα λαθος και δεν θα το ξανακανω μετα, ειναι στο router που δινει DMZ στο 2ο, να μην εχω πανω του wifi ap, dhcp server και χρηση σαν switch.
Kαι αλλο ενα λαθος που ειχα ηταν οτι εδινα στο mikrotik μεσω dhcp server δλδ ειχα server στο adsl router και στο mikrotik dhcp client, οπου ειδα οδηγους λενε να βαζουμε static, γιατι απλα μπορει να αλλαξει η ip και να χασουμε την συνδεση με το 2ο.

- - - Updated - - -


Μα συνεχίζει να γίνεται NAT, απλά δεν χρειάζεται κάποιος να ανοίξει την κάθε μια πόρτα ξεχωριστά, όπως υπάρχει και scrnat στο 1ο ρουτερ ώστε να ξέρει ότι θα επιστρέψει την κίνηση πίσω στο 2 ρουτερ και εκείνο θα έχει παλι δικό του ΝΑΤ για επιστροφή στο υπολογιστή που ξεκίνησε, παραμένει δηλαδή το 2πλο ΝΑΤ, το ddns αν βλέπει την wan του 2ου router (που είναι το σύνηθες) πάλι θα έχει θέμα.
Μιλάμε πάντα για την περίπτωση που το 2ο ρουτερ έχει private ip στο wan κομμάτι του

γιαυτο εχω μπερδευτει γιατι ο καθενας μου δινει διαφορετικη περιγραφη, αλλοι λενε οτι ειναι το ιδιο ολα μενουν οπως ηταν πριν κτλ.
αλλα στην πραξη δεν ειναι ετσι, εκτος αν ειχα καποιο λαθος και γινοταν καποιο loop να το πω ετσι.
Παντως το ip cloud επαιρνε λαθος ip εβλεπε αυτη που ειχε το mikrotik απο το DMZ, ενω το noip που τρεχω πανω σε nas server δουλευε κανονικα.
Γενικα για να παιζει το ip cloud θελει να ειναι πανω του το ιντερνετ απευθειας. Ακομα και με καποιον κανονα που εβαλα οταν πηγαινα απο αλλου να συνδεθω ενω μεσα στο ip cloud δεν ελεγε οτι ειμαι πισω απο ΝΑΤ και εδειχνε την public ip, στα logs στο αλλο μηχανημα ελεγε την ip απο το DMZ δλδ την 192.168.1.3, πχ αυτο γινοταν στο επισημο openvpn android client.

jkoukos
04-12-18, 22:46
Μα συνεχίζει να γίνεται NAT, απλά δεν χρειάζεται κάποιος να ανοίξει την κάθε μια πόρτα ξεχωριστά, όπως υπάρχει και scrnat στο 1ο ρουτερ ώστε να ξέρει ότι θα επιστρέψει την κίνηση πίσω στο 2 ρουτερ και εκείνο θα έχει παλι δικό του ΝΑΤ για επιστροφή στο υπολογιστή που ξεκίνησε, παραμένει δηλαδή το 2πλο ΝΑΤ, το ddns αν βλέπει την wan του 2ου router (που είναι το σύνηθες) πάλι θα έχει θέμα.
Μιλάμε πάντα για την περίπτωση που το 2ο ρουτερ έχει private ip στο wan κομμάτι του
Μα το θέμα είναι ακριβώς αυτό. Να ξεπεραστεί το πρόβλημα ανοίγματος πορτών. Μην κοιτάς υπηρεσίες που ζητούν συγκεκριμένες πόρτες. Υπάρχουν και άλλες που ζητούν δυναμικά άνοιγμά τους (π.χ. Ρ2Ρ εφαρμογές) που δεν τις γνωρίζεις εξαρχής. Από εκεί και πέρα δεν αποτελεί ουσιαστικό πρόβλημα το 2πλό ΝΑΤ.

DDNS γιατί είναι πρόβλημα; Και πριν έπαιζε είτε με τo Cloud στο Mikrotik είτε με Νο-ΙP στη συσκευή του παρόχου.

@Νικηφόρε, είτε με DMZ είτε με τον οδηγό του φίλου και Block IP, δεν χρειάζεται PF στον 1ο router.
Αν η όποια υπηρεσία (π.χ. VPN που λες) τρέχει στο Mikrotik δεν θα χρειαστεί σε αυτό άνοιγμα. Μόνο στον 1ο router (σε περίπτωση 2πλού ΝΑΤ). Όμως το ανέφερα ως παράδειγμα που τρέχει σε κάποιον υπολογιστή στο δίκτυό σου ή για να το καταλάβεις καλύτερα αντί του VPN βάλε τις πόρτες ενός online παιχνιδιού.

Και ναι, έχουν δίκιο. Τίποτα ουσιαστικό δεν αλλάζει στο Mikrotik και στο δίκτυο πίσω από αυτό.

sdikr
04-12-18, 22:52
γιαυτο εχω μπερδευτει γιατι ο καθενας μου δινει διαφορετικη περιγραφη, αλλοι λενε οτι ειναι το ιδιο ολα μενουν οπως ηταν πριν κτλ.
αλλα στην πραξη δεν ειναι ετσι, εκτος αν ειχα καποιο λαθος και γινοταν καποιο loop να το πω ετσι.
Παντως το ip cloud επαιρνε λαθος ip εβλεπε αυτη που ειχε το mikrotik απο το DMZ, ενω το noip που τρεχω πανω σε nas server δουλευε κανονικα.
Γενικα για να παιζει το ip cloud θελει να ειναι πανω του το ιντερνετ απευθειας. Ακομα και με καποιον κανονα που εβαλα οταν πηγαινα απο αλλου να συνδεθω ενω μεσα στο ip cloud δεν ελεγε οτι ειμαι πισω απο ΝΑΤ και εδειχνε την public ip, στα logs στο αλλο μηχανημα ελεγε την ip απο το DMZ δλδ την 192.168.1.3, πχ αυτο γινοταν στο επισημο openvpn android client.

Ανάλογα με το πως έχει ρυθμιστεί ο κάθε client Να δηλώνει την Ip του στην όποια υπηρεσία ddns, κάποιοι κοιτάνε το external ip (αυτοί θα δουλέψουν και πίσω απο dmz, nat, Κλπ) κάποιοι κοιτάνε την Ip του wan interface όποτε αυτοί θα έχουν θέμα.

- - - Updated - - -


Μα το θέμα είναι ακριβώς αυτό. Να ξεπεραστεί το πρόβλημα ανοίγματος πορτών. Μην κοιτάς υπηρεσίες που ζητούν συγκεκριμένες πόρτες. Υπάρχουν και άλλες που ζητούν δυναμικά άνοιγμά τους (π.χ. Ρ2Ρ εφαρμογές) που δεν τις γνωρίζεις εξαρχής. Από εκεί και πέρα δεν αποτελεί ουσιαστικό πρόβλημα το 2πλό ΝΑΤ.

DDNS γιατί είναι πρόβλημα; Και πριν έπαιζε είτε με τo Cloud στο Mikrotik είτε με Νο-ΙP στη συσκευή του παρόχου.

@Νικηφόρε, είτε με DMZ είτε με τον οδηγό του φίλου και Block IP, δεν χρειάζεται PF στον 1ο router.
Αν η όποια υπηρεσία (π.χ. VPN που λες) τρέχει στο Mikrotik δεν θα χρειαστεί σε αυτό άνοιγμα. Μόνο στον 1ο router (σε περίπτωση 2πλού ΝΑΤ). Όμως το ανέφερα ως παράδειγμα που τρέχει σε κάποιον υπολογιστή στο δίκτυό σου ή για να το καταλάβεις καλύτερα αντί του VPN βάλε τις πόρτες ενός online παιχνιδιού.

Και ναι, έχουν δίκιο. Τίποτα ουσιαστικό δεν αλλάζει στο Mikrotik και στο δίκτυο πίσω από αυτό.

Οταν παίρνουνε ενα καλό router το παίρνουμε και γιατί αντέχει και πολλαπλά nat sessions, στην περίπτωση του dmz όμως παραμένει το όριο που έχει το 1ο router, γλιτώνουμε μόνο την περίπτωση του ανοίγματος πόρτας για εισερχόμενες συνδέσεις.

Για το ddns αναφέρω πιο πάνω, είναι ανάλογα την υλοποίηση,

Nikiforos
04-12-18, 22:57
@Νικηφόρε, είτε με DMZ είτε με τον οδηγό του φίλου και Block IP, δεν χρειάζεται PF στον 1ο router.
Αν η όποια υπηρεσία (π.χ. VPN που λες) τρέχει στο Mikrotik δεν θα χρειαστεί σε αυτό άνοιγμα. Μόνο στον 1ο router (σε περίπτωση 2πλού ΝΑΤ). Όμως το ανέφερα ως παράδειγμα που τρέχει σε κάποιον υπολογιστή στο δίκτυό σου ή για να το καταλάβεις καλύτερα αντί του VPN βάλε τις πόρτες ενός online παιχνιδιού.
Και ναι, έχουν δίκιο. Τίποτα ουσιαστικό δεν αλλάζει στο Mikrotik και στο δίκτυο πίσω από αυτό.

α γιαυτο επαιζε το openvpn επειδη ειναι πανω στο mikrotik, οποτε οτι αλλο ειναι πανω στο 2ο ρουτερ βγαινει στο ιντερνετ ΧΩΡΙΣ να πρεπει να ανοιξω πορτες? μιλαω παντα για p.f απο το 2ο ρουτερ το ξερω οτι στο 1ο δεν θελει.
Πχ υπηρεσιες οπως το winbox, telnet, ssh, ftp, webfig εφοσον ειναι ενεργα στο mikrotik θα βγαινουν στο ιντερνετ ετσι?
γιατι παρατηρησα οτι ειχα logs απο Ινδια πχ για winbox/dude αρκετα συχνα, αλλα στο ip-services τα ειχα ανοιχτα μονο για απο 10.0.0.0/8 (awmn subnets) οποτε δεν γινοταν κατι.

Δλδ για να καταλαβω καλυτερα αν καποια υπηρεσια τρεχει σε ενα αλλο μηχανημα στο εσωτερικο μου δικτυο πχ ο nas server που εχει apache, ftp κτλ για αυτον πρεπει να ανοιξω πορτες στο mikrotik σωστα?

- - - Updated - - -


Ανάλογα με το πως έχει ρυθμιστεί ο κάθε client Να δηλώνει την Ip του στην όποια υπηρεσία ddns, κάποιοι κοιτάνε το external ip (αυτοί θα δουλέψουν και πίσω απο dmz, nat, Κλπ) κάποιοι κοιτάνε την Ip του wan interface όποτε αυτοί θα έχουν θέμα.


α γιαυτο παιζει το noip ενω παντα το ip cloud θελει να εχει πανω του το ιντερνετ, καταλαβα. :oneup:

jkoukos
05-12-18, 12:00
α. Για οποιαδήποτε υπηρεσία που λειτουργεί στο Mikrotik, δεν χρειάζεται να κάνεις PF. Αρκεί φυσικά να το επιτρέψεις στο firewall για να έχεις πρόσβαση απ' έξω.
β. Για οποιαδήποτε υπηρεσία που τρέχει σε μηχάνημα πίσω από το Mikrotik (στο εσωτερικό σου δίκτυο), θα χρειαστεί επιπλέον του firewall να ανοίξεις την αντίστοιχη πόρτα (στο Mikrotik) προς την ΙΡ αυτού του μηχανήματος.

Έτσι δουλεύει πάντα, είτε έχεις σταθερή IP είτε δυναμική.

Αν όμως το Mikrotik είναι πίσω από άλλο router, τότε επιπλέον πρέπει να κάνεις PF σε αυτό το router τις σχετικές πόρτες προς την WAN IP του Mikortik.
Μόνο εδώ επεμβαίνει το DMZ (αν το ενεργοποιήσεις), οπότε δεν χρειάζεται να κάνεις τίποτα στον 1ο router. Κατά τα άλλα δεν αλλάζει τίποτα απολύτως στο Mikrotik.

Nikiforos
05-12-18, 13:05
καλημέρα, εδώ είναι που ειχα μπερδευτεί.
Οποτε λογω του DMZ ότι τρεχει επανω στο mikrotik βγαινει απευθειας εφόσον του το επιτρεπουν οι κανονες του firewall.
Και ότι άλλο τρεχει σε ένα άλλο μηχανημα του εσωτερικου δικτιου τοτε πρεπει να ανοιξω πορτες.
Σωστα τα εχω καταλαβει τωρα?

- - - Updated - - -

Όχι δεν αλλαζει τιποτα, αλλαζει ένα πραγμα και πολύ σημαντικο γιαυτο και μπερδευτηκα.
Ότι στο μικροτικ για υπηρεσίες δικες του ΔΕΝ χρειαζεται να ανοιξουμε πορτες! ετσι δεν είναι?
ενώ πριν δλδ με pppoe client + adsl modem (bridge) ήθελε.
Κλασικο παράδειγμα που είναι το 1ο που ειδα η πορτα για το OpenVPN server, πριν ειχα ανοιξει από το mikrotik ενώ τωρα disable ο κανονας και ηταν ανοιχτη.

- - - Updated - - -

Ηξερα για το DMZ παλιοτερα αλλα ειχα διαβασει ότι πχ σε ένα desktop pc για να μην ανοιγουμε ένα καρο πορτες για διαφορα πραγματα το στελνουμε με DMZ και είναι ανοιχτα όλα του προς το ιντερνετ, πραγμα αρκετα κακο φυσικα εκτος αν εχει ένα καλοστημενο firewall.

jkoukos
05-12-18, 13:19
καλημέρα, εδώ είναι που ειχα μπερδευτεί.
Οποτε λογω του DMZ ότι τρεχει επανω στο mikrotik βγαινει απευθειας εφόσον του το επιτρεπουν οι κανονες του firewall.
Και ότι άλλο τρεχει σε ένα άλλο μηχανημα του εσωτερικου δικτιου τοτε πρεπει να ανοιξω πορτες.
Σωστα τα εχω καταλαβει τωρα?
Σωστά.


Όχι δεν αλλαζει τιποτα, αλλαζει ένα πραγμα και πολύ σημαντικο γιαυτο και μπερδευτηκα.
Ότι στο μικροτικ για υπηρεσίες δικες του ΔΕΝ χρειαζεται να ανοιξουμε πορτες! ετσι δεν είναι?
ενώ πριν δλδ με pppoe client + adsl modem (bridge) ήθελε.
Κλασικο παράδειγμα που είναι το 1ο που ειδα η πορτα για το OpenVPN server, πριν ειχα ανοιξει από το mikrotik ενώ τωρα disable ο κανονας και ηταν ανοιχτη.
Και πριν όταν είχες modem + Mikrotik (PPP), δεν χρειαζόταν PF για υπηρεσίες που έτρεχες στο ίδιο Mikrotik. Για ποιον λόγο το έκανες;


Ηξερα για το DMZ παλιοτερα αλλα ειχα διαβασει ότι πχ σε ένα desktop pc για να μην ανοιγουμε ένα καρο πορτες για διαφορα πραγματα το στελνουμε με DMZ και είναι ανοιχτα όλα του προς το ιντερνετ, πραγμα αρκετα κακο φυσικα εκτος αν εχει ένα καλοστημενο firewall.
Ισχύει αυτό. Και ο λόγος είναι ότι στον υπολογιστή συνήθως δεν τρέχει κάποιο σοβαρό firewall και φυσικά ούτε ΝΑΤ. Αλλά το ίδιο ισχύει και στον router αν του τα κλείσεις.

Nikiforos
05-12-18, 13:25
Σωστά.
Και πριν όταν είχες modem + Mikrotik (PPP), δεν χρειαζόταν PF για υπηρεσίες που έτρεχες στο ίδιο Mikrotik. Για ποιον λόγο το έκανες;
Ισχύει αυτό. Και ο λόγος είναι ότι στον υπολογιστή συνήθως δεν τρέχει κάποιο σοβαρό firewall και φυσικά ούτε ΝΑΤ. Αλλά το ίδιο ισχύει και στον router αν του τα κλείσεις.

επιτελους τα καταλαβα, καποιο θαυμα θα εγινε!
οι οδηγοι που εχω βρει στο ιντερνετ δειχνουν ότι κανουμε ΝΑΤ, δεν ειχα δοκιμασει ποτε να κλεισω να δω αν παιζουν ή όχι.
Αλλα ανοιγα και άλλες πορτες για άλλες υπηρεσίες αλλων μηχανηματων ανοιγα και αυτά.
Ωραια μαθαμε κατι ακομα! :oneup:
εμ γιαυτο ειχα μπερδευτεί τοσο.
Λεγαμε ότι μενουν τα ιδια κτλ τα αλλα και δεν ηξερα τι λεμε!

- - - Updated - - -

Σημερα αρχισαν τα εργα από INALAN οποτε αναμενω να τα δω με τον δικο της εξοπλισμο.
Τωρα αν ενδιαφέρεται κανεις που δε νομιζω να το κανει σε adsl router, μπορει να γραφει στο θεμα εδώ.
Γενικα το setup είναι το ιδιο αφου πρόκειται αρχικα για την επιλογή dmz στο 1ο ρουτερ και μετα παμε στο mikrotik.

Για να βλέπουμε από το εσωτερικο μας δικτυο το 1o router που εχει άλλο subnet ποιος είναι ο σωστότερος τροπος?
με καποιον κανονα που να κανει masquerade στο 192.168.1.0/24 με out interface την ether του mikrotik που είναι εκτος bridge και εχει το 1o router?
ή εχει και αλλον τροπο?

jkoukos
05-12-18, 13:33
Για πρόσβαση στο άλλο router, θα κάνεις ότι έκανες και πριν για πρόσβαση στο modem.

Nikiforos
05-12-18, 13:55
Για πρόσβαση στο άλλο router, θα κάνεις ότι έκανες και πριν για πρόσβαση στο modem.

Βασικα πριν ασχοληθώ με το DMZ, ειχα το adsl "modem" στο ιδιο subnet με το εσωτερικο μου δικτυο και η ether στο mikrotik ηταν πανω στο bridge και αυτή οποτε δεν ηθελε κατι.
Ηθελα να εχω και προσβαση στα μενου από το εξοχικο και ετσι το εβλεπα αφου εχει awmn ip και επισης στον χωρο που είναι εχω καλωδια και παιζει και σαν switch αλλα και σαν wifi ap για μια ipcamera που εχει μονο wifi πανω της, οποτε για τους 3 αυτους λογους δεν βολευε να είναι σε άλλο ξεχωριστο subnet.

Δοκιμασα τον κανονα παραπανω που ειπα με το DMZ όμως και το εβλεπα, είναι σωστο ετσι? αυτό ρωτησα ή εχει ποιο σωστον τροπο?
γιατι καπου αναφερθηκε καποιος ότι μπορει να θελει δευτερο καλωδιο.

- - - Updated - - -

Εννοείτε ότι στο μηχανημα της inalan επειδή θα μπει και διπλα στο mikrotik, ουτε σαν wifi ap θα παιζει, ουτε και για switch οποτε θα είναι και σε άλλο subnet όπως αλλωστε απαιτει και το DMZ.

jkoukos
05-12-18, 15:38
Αφού το βλέπεις έτσι, δεν χρειάζεται 2ο καλώδιο.
Δεν ξέρω πως γίνεται στο Mikrotik και αν είναι σωστός ο κανόνας που έβαλες.

Στη δικιά μου περίπτωση με OpenWrt, φτιάχνω απλά ένα νέο Interface με μια ΙΡ στο ίδιο υποδίκτυο με του modem (και διαφορετικό από το LAN του OpenWrt), στο ίδιο eth με το WAN και το βάζω και αυτό στον ίδιο κανόνα του firewall (WAN & WAN6). Τέλος δημιουργώ έναν κανόνα static route, προς το modem μέσω του νέου αυτού interface.
Αν δεν φτιάξω τον τον τελευταίο κανόνα, αρκεί ο υπολογιστής που θέλει να συνδεθεί στο modem να έχει και 2η ΙΡ, στο υποδίκτυο αυτού.

Nikiforos
05-12-18, 18:18
Καλησπέρα, ενταξει ευχαριστω καταλαβα. Εχω και εχω openwrt και ειχα και το Rspro παλια της Ubiquiti.
Βασικα ειχα την εντυπωση δεν ξερω πως και απο που οτι ειχες και mikrotik μηχανημα.
Ωραια ειμαστε λοιπον.

Ομως δεν πρεπει απο το DMZ να βλεπει το lan σωστα? αλλιως καπου θα εχει τρυπα.

jkoukos
05-12-18, 18:28
Αν δεν το επιτρέψεις στο Mikortik, πως θα έχουν πρόσβαση από το WAN;

Είχα πριν από πολλά χρόνια Mikrotik αλλά βασικά δεν είχα χρόνο για να εντρυφήσω στο RouterOS και το παράτησα, αρχικά για Freetz και μετά Gargoyle και OpenWrt.
Αναγνωρίζω ότι έχει τεράστιες δυνατότητες ως router, μα τώρα πλέον είναι αργά για να ξεκινήσω από την αρχή, αφού καλύπτομαι επαρκώς από το OpenWRT για router και Ubiquiti σε ασύρματες συσκευές.

Nikiforos
06-12-18, 09:20
Αν δεν το επιτρέψεις στο Mikortik, πως θα έχουν πρόσβαση από το WAN;

Είχα πριν από πολλά χρόνια Mikrotik αλλά βασικά δεν είχα χρόνο για να εντρυφήσω στο RouterOS και το παράτησα, αρχικά για Freetz και μετά Gargoyle και OpenWrt.
Αναγνωρίζω ότι έχει τεράστιες δυνατότητες ως router, μα τώρα πλέον είναι αργά για να ξεκινήσω από την αρχή, αφού καλύπτομαι επαρκώς από το OpenWRT για router και Ubiquiti σε ασύρματες συσκευές.
καλημέρα, θα συμφωνησω μαζι σου, δεν ξερω βεβαια από Freetz και Gargoule ουτε καν τι είναι προφανως.
Αλλα το openwrt είναι ΟΛΑ τα λεφτα!
Και εγω αν δεν ειχα κολλησει από το awmn γιατι επι το πλειστον δουλευουν με Mikrotik μηχανήματα δεν θα ειχα ασχοληθεί μαλλον ποτε.
https://www.gargoyle-router.com/ ενδιαφερον δειχνει θα το δω, για το Freetz λες να τα fritz κατι σχετικο με αυτά εστω, δεν ειχα ποτε όμως.
Μια ερωτηση τωρα, επειδή στο εξοχικο που εχω το Speedport, εχω ακομα και κινητη παγια συνδεση και θα κοπει το άλλο Σαββατο.
Μετα αφου εχω διαβασει αυτά εδώ https://www.adslgr.com/forum/threads/946899-Χρήση-Speedport-2i-για-VoIP-Cosmote-ΟΤΕ-με-Mikrotik
εκτος το να μπει άλλο adsl router για modem σε bridge, από το pppoe passthrough θεωρεις καλυτερη την λυση του DMZ για να εχω το 951 που ειχα για κινητη, για ιντερνετ ρουτερ? για να μην μπερδεψουμε το θεμα εδώ, αν δεν αξιζει τοτε θα το δω και θα πω τα σχετικα στο άλλο θεμα αν δεν αφορουν DMZ, αν εχω τυχον αποριες φυσικα.

Ωραια για το dmz τωρα οποτε πρεπει να προσεξω πολύ τους κανονες στο firewall.

Eπειδη τωρα με τα κρυα δεν μενω εκει ΣΚς αν παω θα είναι σαν τον κλεφτη, οποτε δεν εχω χρονο να ασχοληθώ για να βαλω άλλο adsl modem, αργοτερα μπορει να κανω την λυση με ένα ZTE W300 σε bridge mode. Οποτε για αρχη πρεπει να βολευτω ή με DMZ ή με pppoe passthrough γιαυτο ρωταω, για να δω τι είναι καλυτερο να κανω.
Σημειωτεον το σταθερο μου νουμερο είναι VOIP.

jkoukos
06-12-18, 12:01
To Gargoyle στηρίζεται στο OpenWrt. Όμως το ακολουθεί με μεγάλη καθυστέρηση στις αναβαθμίσεις. Για να φανταστείς, σήμερα η stable έκδοση βγήκε πέρυσι τέτοια εποχή και στηρίζεται σε έκδοση OpenWRT Chaos Calmer 3 χρόνων παλιά και αυτό διότι λειτουργεί μέσω script πάνω από το firmware. Το μεγάλο πλεονέκτημα είναι ότι δίνει εύκολη παραμετροποίηση στον απλό χρήστη για λειτουργίες (https://en.wikipedia.org/wiki/Gargoyle_(router_firmware)) που δεν τις έχουν τα απλά router. Δες εδώ (https://router-firmware-test.gamma.nu/Gargoyle/index.html) ένα demo παλαιότερης έκδοσης.

Το Freetz (https://freetz.github.io/wiki/WikiStart.en.html) είναι κάτι αντίστοιχο για τα Fritz router. Δεν αντικαθιστά το firmware αλλά δουλεύει παράλληλα προσφέροντας επιπλέον δυνατότητες. Όμως οι πληροφορίες είναι κυρίως στα γερμανικά αλλά υπάρχει και στο φόρουμ παλαιότερο σχετικό θέμα (https://www.adslgr.com/forum/threads/561900-How-to-%CE%94%CF%8E%CF%83%CF%84%CE%B5-%CF%86%CF%84%CE%B5%CF%81%CE%AC-%CF%83%CF%84%CE%BF-Fritz-%CF%83%CE%B1%CF%82-%CE%BC%CE%B5-%CF%84%CE%BF-Freetz!).
Δεν αλλάζει κάτι στο firewall του Mikrotik, με το να το έχεις σε DMZ ή ΡΡΡ.

Από την στιγμή που έχεις VoIP ΟΤΕ στο εξοχικό, παντρεύεσαι το Speedport. Και μάλιστα δεν μπορεί να μπει σε Bridge mode διότι δεν θα δουλεύει η τηλεφωνία.
Άρα δοκιμάζεις DMZ και PPP και κρατάς αυτό που σε εξυπηρετεί καλύτερα.

Η άλλη λύση είναι να πάρεις τον κωδικό της τηλεφωνίας και να τον ρυθμίσεις σε μια δικιά σου συσκευή. Τότε παίζει μια χαρά το Speedport σε Bridge mode.
Ακόμη χωρίς να πάρεις τον κωδικό, μπορείς να το βάλεις πίσω από το Mikrotik ως απλό router, αλλά θα χρειαστείς άλλο modem στην τηλεφωνική γραμμή.

Nikiforos
06-12-18, 12:18
To Gargoyle στηρίζεται στο OpenWrt. Όμως το ακολουθεί με μεγάλη καθυστέρηση στις αναβαθμίσεις. Για να φανταστείς, σήμερα η stable έκδοση βγήκε πέρυσι τέτοια εποχή και στηρίζεται σε έκδοση OpenWRT Chaos Calmer 3 χρόνων παλιά και αυτό διότι λειτουργεί μέσω script πάνω από το firmware. Το μεγάλο πλεονέκτημα είναι ότι δίνει εύκολη παραμετροποίηση στον απλό χρήστη για λειτουργίες (https://en.wikipedia.org/wiki/Gargoyle_(router_firmware)) που δεν τις έχουν τα απλά router. Δες εδώ (https://router-firmware-test.gamma.nu/Gargoyle/index.html) ένα demo παλαιότερης έκδοσης.

Το Freetz (https://freetz.github.io/wiki/WikiStart.en.html) είναι κάτι αντίστοιχο για τα Fritz router. Δεν αντικαθιστά το firmware αλλά δουλεύει παράλληλα προσφέροντας επιπλέον δυνατότητες. Όμως οι πληροφορίες είναι κυρίως στα γερμανικά αλλά υπάρχει και στο φόρουμ παλαιότερο σχετικό θέμα (https://www.adslgr.com/forum/threads/561900-How-to-%CE%94%CF%8E%CF%83%CF%84%CE%B5-%CF%86%CF%84%CE%B5%CF%81%CE%AC-%CF%83%CF%84%CE%BF-Fritz-%CF%83%CE%B1%CF%82-%CE%BC%CE%B5-%CF%84%CE%BF-Freetz!).
Δεν αλλάζει κάτι στο firewall του Mikrotik, με το να το έχεις σε DMZ ή ΡΡΡ.

Από την στιγμή που έχεις VoIP ΟΤΕ στο εξοχικό, παντρεύεσαι το Speedport. Και μάλιστα δεν μπορεί να μπει σε Bridge mode διότι δεν θα δουλεύει η τηλεφωνία.
Άρα δοκιμάζεις DMZ και PPP και κρατάς αυτό που σε εξυπηρετεί καλύτερα.

Η άλλη λύση είναι να πάρεις τον κωδικό της τηλεφωνίας και να τον ρυθμίσεις σε μια δικιά σου συσκευή. Τότε παίζει μια χαρά το Speedport σε Bridge mode.
Ακόμη χωρίς να πάρεις τον κωδικό, μπορείς να το βάλεις πίσω από το Mikrotik ως απλό router, αλλά θα χρειαστείς άλλο modem στην τηλεφωνική γραμμή.

Τις εχουμε πει τις λυσεις αυτές και τις εχω καταλαβει στο άλλο σχετικο θεμα https://www.adslgr.com/forum/threads/946899-Χρήση-Speedport-2i-για-VoIP-Cosmote-ΟΤΕ-με-Mikrotik αφου μου τα εχεις γραψει εκει.
Δεν θελω να μπλεξω με το να ζηταω κωδικούς και όλα αυτά οποτε το speedport θα μεινει όπως και να εχει.
Θελω να βαλω αργοτερα όμως που θα μενω εκει ΣΚ ένα ZTE W300 που εχω σε bridge mode adsl modem δλδ. Το 951 για pppoe και θα μεινει το speedport για voip. Μεχρι τοτε όμως επειδή θα μου ληξει η κινητη το επομενο Σαββατο και τωρα εχω voip (της Αθηνας το νουμερο δλδ) και καμερες μεσω κινητης, πρεπει να τα γυρισω μεσω adsl.
Από τις 2 λυσεις που μου μενουν δλδ DMZ και PPPOE passthrough τι να προτιμησω κατά την γνωμη σου?
το 2ο δεν το εχω δοκιμασει ΠΟΤΕ και με βλεπω να πεδευομαι παλι.

Aληθεια ο κωδικος της συνδεσης μου ποιος είναι? στο συμβολαιο αναφερει μονο το username! για το pppoe passthrough δεν χρειαζεται λογικα ο κωδικος στο mikrotik ?

jkoukos
06-12-18, 12:41
Για τον κωδικό της DSL σύνδεσης είτε το ζητάς μέσω τηλεφώνου (από την ίδια γραμμή της σύνδεσης) και στον στέλνουν με sms, είτε μέσω του MyCosmote στα "Στοιχεία internet σύνδεσης" έχει πεδίο για "Αλλαγή" ή "Υπενθύμιση".

Για PPPoE passthrough, η επιλογή (https://3.bp.blogspot.com/-HTpSLr7N_J8/VlXI25fozLI/AAAAAAAAAo0/97AUNoVnfnA/s640/detail-pass-through.png) είναι εξαρχής ενεργή και απλά το επιβεβαιώνεις.
Υπόψη ότι θα βάλεις στο Speedport τα generic credentials (username:otenet@otenet.gr, password:otenet) και στο Mikrotik τα δικά σου.
Δεν υπάρχει κάτι να φοβηθείς. Όπως δούλευες μέχρι τώρα θα συνεχίσεις και μ' αυτό. Απλά θα υπάρχουν 2 ανεξάρτητες συνδέσεις που δεν θα επικοινωνούν μεταξύ τους.

Nikiforos
06-12-18, 14:12
Για τον κωδικό της DSL σύνδεσης είτε το ζητάς μέσω τηλεφώνου (από την ίδια γραμμή της σύνδεσης) και στον στέλνουν με sms, είτε μέσω του MyCosmote στα "Στοιχεία internet σύνδεσης" έχει πεδίο για "Αλλαγή" ή "Υπενθύμιση".

Για PPPoE passthrough, η επιλογή (https://3.bp.blogspot.com/-HTpSLr7N_J8/VlXI25fozLI/AAAAAAAAAo0/97AUNoVnfnA/s640/detail-pass-through.png) είναι εξαρχής ενεργή και απλά το επιβεβαιώνεις.
Υπόψη ότι θα βάλεις στο Speedport τα generic credentials (username:otenet@otenet.gr, password:otenet) και στο Mikrotik τα δικά σου.
Δεν υπάρχει κάτι να φοβηθείς. Όπως δούλευες μέχρι τώρα θα συνεχίσεις και μ' αυτό. Απλά θα υπάρχουν 2 ανεξάρτητες συνδέσεις που δεν θα επικοινωνούν μεταξύ τους.

ωραια ευχαριστω! δεν γινεται αν παρω τηλ από κινητο που είναι cosmote επισης?
γιατι μπορω να τα κανω απομακρυσμένα, εκει θα είμαι όταν ηδη θα εχει διακοπεί η κινητη!!! οποτε δεν μπορω να καλεσω από το ιδιο νουμερο.

- - - Updated - - -

Καλα θα ρωτησω όπως και να εχει και θα δουμε. Οποτε προτιμαω αυτή την λυση εναντι του DMZ αφου μπορει να γινει και αν εχω τυχον αποριες θα ρωτησω στο άλλο θεμα να μην ειμαστε εδώ offtopic.
Ευχαριστώ! :oneup:

jkoukos
06-12-18, 14:44
Αν ο λογαριασμός είναι στο όνομά σου γίνεται και από το κινητό, διαφορετικά από τον σταθερό λόγω ταυτοποίησης.
Αλλά μπορείς να το κάνεις πανεύκολα μέσα από το MyCosmote, απ' οπουδήποτε έχεις πρόσβαση στο διαδίκτυο.

Nikiforos
06-12-18, 17:11
Αν ο λογαριασμός είναι στο όνομά σου γίνεται και από το κινητό, διαφορετικά από τον σταθερό λόγω ταυτοποίησης.
Αλλά μπορείς να το κάνεις πανεύκολα μέσα από το MyCosmote, απ' οπουδήποτε έχεις πρόσβαση στο διαδίκτυο.

ολα ειναι μονο στο δικο μου ονομα.
Γινεται απο το μενου στο mycosmote site? τι στο καλο που ειναι και δεν το εχω δει?

jkoukos
06-12-18, 18:17
Στο έγραψα (https://www.adslgr.com/forum/threads/1080873-ADSL-router-with-mikrotik-RB-DMZ-host?p=6501912#post6501912) προηγουμένως.

My COSMOTE > Οι συνδέσεις μου > Σταθερή & Internet > Αριθμός τηλεφώνου > Στοιχεία internet σύνδεσης (χαμηλά στην σελίδα).

Nikiforos
06-12-18, 19:23
Σορρυ ημουν απο το κινητο και για καποιο λογο δεν το ειδα ή δεν το προσεξα, οκ θα το κανω, ευχαριστω! :oneup:

- - - Updated - - -

ενταξει το εκανα και πετυχε ηρθε σε email, αν στο ρουτερ μεινει το ιδιο αντι αυτα τα otenet πειραζει σε κατι?

- - - Updated - - -

Μηπως να παμε εδω https://www.adslgr.com/forum/threads/946899-%CE%A7%CF%81%CE%AE%CF%83%CE%B7-Speedport-2i-%CE%B3%CE%B9%CE%B1-VoIP-Cosmote-%CE%9F%CE%A4%CE%95-%CE%BC%CE%B5-Mikrotik/page14 να μην ειμαστε εδω offtopic?

jkoukos
06-12-18, 20:20
Έχει παρατηρηθεί ότι αν και οι 2 συσκευές έχουν τα ίδια στοιχεία, σε περίπτωση απώλειας της σύνδεσης (π.χ. επανεκκίνηση, reset, βλάβη κλπ), αν ο δικός μας router προλάβει και κάνει πρώτος σύνδεση τότε δεν γίνεται ποτέ στο Speedport οπότε τηλεφωνία καπούτ.
Επίσης άλλη μία παρατήρηση είναι ότι έχοντας διαφορετικά στοιχεία, ο δικός μας router δεν παίρνει ποτέ σύνδεση πίσω από SGNAT, ενώ αν την πάρει το Speedport δεν μας απασχολεί καθόλου.
Τέλος το προτείνει (https://www.messina-pbx.gr/images/stories/ote/%CE%A7%CE%A1%CE%97%CE%A3%CE%97%20LAN1%20%CE%A9%CE%A3%20WAN(oxygen).pdf) και ο ίδιος ο ΟΤΕ.

Nikiforos
06-12-18, 21:51
Έχει παρατηρηθεί ότι αν και οι 2 συσκευές έχουν τα ίδια στοιχεία, σε περίπτωση απώλειας της σύνδεσης (π.χ. επανεκκίνηση, reset, βλάβη κλπ), αν ο δικός μας router προλάβει και κάνει πρώτος σύνδεση τότε δεν γίνεται ποτέ στο Speedport οπότε τηλεφωνία καπούτ.
Επίσης άλλη μία παρατήρηση είναι ότι έχοντας διαφορετικά στοιχεία, ο δικός μας router δεν παίρνει ποτέ σύνδεση πίσω από SGNAT, ενώ αν την πάρει το Speedport δεν μας απασχολεί καθόλου.
Τέλος το προτείνει (https://www.messina-pbx.gr/images/stories/ote/%CE%A7%CE%A1%CE%97%CE%A3%CE%97%20LAN1%20%CE%A9%CE%A3%20WAN(oxygen).pdf) και ο ίδιος ο ΟΤΕ.

Ωραια ευχαριστω πολυ δεν τα ηξερα τα παραπανω! θα δοκιμασω ετσι και θα δουμε αργοτερα.

galotzas
26-06-19, 19:11
@Nikiforos καλησπερα.

Επαναφερω το θεμα καθως περιμενω να συνδεθω με vdsl και το modem που δινουν (δεν το εχω ακομα) ειναι το Η300s (vodafone). Το θεμα ειναι πως δεν επιτρεπεται να γινει bridge οπως και pppoe passthrough. Οποτε θελω να σε ρωτησω αν καταφερες να σεταρεις καλα το DMZ η προχωρησες σε αλλο setup και θελεις να το μοιραστεις.

Αυτη την στιγμη εχω ενα ZTE της cyta το οποιο ειναι σε bridge και ολη την δουλεια την κανει εναν απλο mikrotik.

Ευχαριστω πολυ

Nikiforos
26-06-19, 19:48
@Nikiforos καλησπερα.

Επαναφερω το θεμα καθως περιμενω να συνδεθω με vdsl και το modem που δινουν (δεν το εχω ακομα) ειναι το Η300s (vodafone). Το θεμα ειναι πως δεν επιτρεπεται να γινει bridge οπως και pppoe passthrough. Οποτε θελω να σε ρωτησω αν καταφερες να σεταρεις καλα το DMZ η προχωρησες σε αλλο setup και θελεις να το μοιραστεις.

Αυτη την στιγμη εχω ενα ZTE της cyta το οποιο ειναι σε bridge και ολη την δουλεια την κανει εναν απλο mikrotik.

Ευχαριστω πολυ

Καλησπέρα, στο θεμα εδω https://www.adslgr.com/forum/threads/1039912-%CE%A7%CF%81%CE%AE%CF%83%CE%B7-Mikrotik-RB-VOIP-%CE%BC%CE%B5-INALAN-FTTH/page3 που ειχα κανει για την INALAN ειναι το setup που εχω και δουλευει αψογα και δεν εχω κανενα απολυτως προβλημα.
Δεν βλεπω κανενα απολυτως λογω να δινω παραπανω 6 ευρω τον μηνα για static block ips.
Και μου δουλευει και το noip, το mikrotik ip cloud ΔΕΝ παιζει λεει οτι ειμαι πισω απο ΝΑΤ.

Ριξε μια ματια εκει στο θεμα που εχω γραψει καποιες ρυθμισεις και οτι απορια εχεις τα λεμε εδω το θεμα σαφως αφορα και VDSL router κακως εγραψα μονο ADSL στο θεμα.

Μηπως ειναι απλα κλειδωμενο το ρουτερ που δινουν και δεν παιζει σε bridge? δεν μπορεις να αφησεις αυτο που εχεις? ή δινουν και τηλεφωνια VOIP και γιαυτο το κανουν? δεν ξερω τι κανει η vodafone δεν παρακολουθω κανενα θεμα της.

@ ADSLgr.com All rights reserved.