Βλεπω οτι δεν υπαρχει προβλημα αν δεν την βαζεις, την βαζει ομως αυτοματα, ισως σε παλιοτερες εκδοσεις να μην την εβαζε ομως και να μην αναγνωριζε εντολες, ειναι σα να αλλαζεις φακελο.

Βλεπω οτι δεν υπαρχει προβλημα αν δεν την βαζεις, την βαζει ομως αυτοματα, ισως σε παλιοτερες εκδοσεις να μην την εβαζε ομως και να μην αναγνωριζε εντολες, ειναι σα να αλλαζεις φακελο.

Λογικά πρέπει να είναι κάτι τέτοιο:
Η κάθετος / σημματοδοτεί το root folder.
Αν δώσεις την εντολή πχ system σε πάει στον ανάλογο φάκελο με τις εκεί εντολές για το system.
Οπότε αν θέλεις να τρέξεις μέσα στο system την πχ ip δεν θα σε αφήσει.
Ενώ δίνοντας / ip θα σε επιτρέψει να την εκτελέσεις.
Άρα δίνοντας / <εντολή> είσαι σίγουρος ότι πάντα θα εκτελείται η εντολή σου.

Ναι κάπως έτσι πάει! :) Να πω οτι μετά απο αναβαθμιση στο 6.15 μερικά RB's πχ τωρα τα 411 οχι το 433ΑΗ μου εβγαλαν αναβαθμιση στο firmware, ετσι πάμε μετά στο system-routerboard firmware upgrade αν εχει νεοτερο και reboot για να το πάρει.

καλησπερα.κατ`αρχην θελω να σας ευχαριστησω.οι απαιτησεις μου δεν ειναι μεγαλες(για την ωρα) απλα θελω να μπορεσω να ξεκινησω απο καπου.εχω ομως μια μια απορια που ισως σας φανει γελοια.η lan 1 που λεει οτι ειναι poe εννοει οτι μπορει το ρουτερ να δουλεψει παιρνωντας ρευμα απο εκει η οτι μπορει να δωσει απο εκει ρευμα και να τροφοδοτησει αλλη συμβατη συσκευη?το mikrotik το συνδεσα πανω στο ρουτερ μου χωρις καμια ρυθμιση και απ`οτι ειδα πηρε μια "εσωτερικη"ip στο range του δικτυου μου απο το dhcp και μου εδωσε εμενα μετα μια αλλη ip σε αλλο range και μοιραζε κανονικα ιντερνετ.αυτο που θελω ειναι να δουλεψει το ρουτερ μου σαν μοντεμ και με bridge μετα να χρησιμοποιησω το Mikrotik για τα περαιτερω.δεν μ`ενδιαφερει και τοσο να ειναι pppoe.ας κανει την συνδεση το αλλο ρουτερ.απλα θελω για αρχη να μπορεσω να σεταρω το ασυρματο και τις ethernet να μοιραζουν ιντερνετ στις συσκευες.μετα θα προχωρησουμε σε αλλες ρυθμισεις.δεν βιαζομαι.υπομονη εχω αρκετη αρκει να μαθω να κανω αυτο που θελω και να μην χρειαζεται παντα να ρωταω καποιον για το ιδιο πραγμα.γι`αυτο προτιμησα το winbox που ειναι πιο "απλα" τα πραγματα εκει.

καλημέρα! το POE (power over ethernet) ισχυει μονο για μια θυρα και ειναι σε περιπτωση που ειναι καπου απομακρυσμενα πχ ταρατσα και θες μεσω UTP να δωσεις ΚΑΙ ρευμα. Ειναι μονο για τον εαυτο του ΔΕΝ δινει σε αλλη συσκευη! στην προκειμενη περιπτωση το 951 φανταζομαι θα το εχεις μεσα στο σπιτι οποτε βαζεις το μετασχηματιστη του και δεν δουλευεις με POE. Το POE θελει ειδικο μετασχηματιστη που εχει εισοδο ρευματος, εισοδο UTP και εξοδο UTP. Δεν τον εχει μαζι. Τα αλλα που λες ειπαμε πως γινονται τα εχεις δοκιμασει αυτα που ειπαμε? οι θυρες του δεν παιζουν οπως ειναι σαν switch θελει ειδικες ρυθμισεις, εγω δεν το δουλευω ετσι, στην 1η εχω ενα αλλο RB (911 N dual polarity 5ghz), στην 2η ενα 411 N και στην 3η ενα switch για το εσωτερικο μου δικτυο, οι αλλες κενες για επεκτασεις με αλλα RB's για ασυρματες ζευξεις στα 5ghz. Δεν εχω ιδεα τι θελει για να ενωθουν μεταξυ τους οι ethernet μαλλον πρεπει να δηλωθουν ολες μαζι στο Bridge μαζι και με το WLAN για να μπορει να παιξει και ο dhcp server σε όλα.
Για PPOE client ειναι MUST δες εδω http://www.miro.co.za/userfiles/file/PPPoE%20Client%20Setup.pdf και http://www.youtube.com/watch?v=wNopEUkeQvM το θεωρω αρκετα ευκολο, αλλα μετα πρεπει να κανεις filtra firewall, nat και να ανοιξεις πορτες οτι χρειαζεται, τα εχω πει σε προηγουμενο ποστ αυτα.

καλησπερα.κατ`αρχην θελω να σας ευχαριστησω.οι απαιτησεις μου δεν ειναι μεγαλες(για την ωρα) απλα θελω να μπορεσω να ξεκινησω απο καπου.εχω ομως μια μια απορια που ισως σας φανει γελοια.η lan 1 που λεει οτι ειναι poe εννοει οτι μπορει το ρουτερ να δουλεψει παιρνωντας ρευμα απο εκει η οτι μπορει να δωσει απο εκει ρευμα και να τροφοδοτησει αλλη συμβατη συσκευη?το mikrotik το συνδεσα πανω στο ρουτερ μου χωρις καμια ρυθμιση και απ`οτι ειδα πηρε μια "εσωτερικη"ip στο range του δικτυου μου απο το dhcp και μου εδωσε εμενα μετα μια αλλη ip σε αλλο range και μοιραζε κανονικα ιντερνετ.αυτο που θελω ειναι να δουλεψει το ρουτερ μου σαν μοντεμ και με bridge μετα να χρησιμοποιησω το Mikrotik για τα περαιτερω.δεν μ`ενδιαφερει και τοσο να ειναι pppoe.ας κανει την συνδεση το αλλο ρουτερ.απλα θελω για αρχη να μπορεσω να σεταρω το ασυρματο και τις ethernet να μοιραζουν ιντερνετ στις συσκευες.μετα θα προχωρησουμε σε αλλες ρυθμισεις.δεν βιαζομαι.υπομονη εχω αρκετη αρκει να μαθω να κανω αυτο που θελω και να μην χρειαζεται παντα να ρωταω καποιον για το ιδιο πραγμα.γι`αυτο προτιμησα το winbox που ειναι πιο "απλα" τα πραγματα εκει.

Καλημέρα Αντρέα.
Εσύ βιάζεσαι περισσότερο και από εμένα.
Λοιπόν θα σου γράψω τον πιο γρήγορο τρόπο να σετάρεις το ρούτερ σου χωρίς να διαβάσεις κανένα αρχείο ή να μπλέξεις με αναλυτικές ρυθμίσεις.
Μπορείς να σετάρεις το ρούτερ με διάφορους τρόπους:
α) Μέσω web interface: web fig
β) Μέσω εφαρμογής για windows: winbox
γ) Μέσω εντολών από CLI: telnet, ssh
Για τον (γ) έχει δώσει οδηγίες ο @kostas_thess.
Εγώ προτιμώ τον (β) τρόπο.
Και εκεί μπορείς να κάνεις όλες τις ρυθμίσεις μία-μία με γραφικό τρόπο.
Απλά "μεταφράζεις" τις εντολές του @kostas_thess και τις πραγματοποιείς μέσα από το webfig.

Υπάρχει όμως και ακόμα πιο σύντομος τρόπος για σετάριμα του ρούτερ.
Πρώτα απ όλα ας αναφέρουμε το σενάριο για διαμοιρασμό του internet στους ΗΥ μέσω του RB:
Μ <-> RB <-> PCs
Μ: Modem
RB: RouterBoarb
PCs: Υπολογιστές
α) Σετάρεις το modem/router που έχεις σε bridge mode (προσοχή όλα τα modem/router δεν έχουν αυτή την δυνατότητα πχ το άθλιο dgn2200v4)
β) Κλείνεις το dhcp server στο modem/router σου.
γ) Δίνεις μια ΙΡ στο modem (σε λειτουργία bridge το modem/router σου λειτουργεί ως modem) πχ 192.168.0.253
δ) Συνδέεσαι μέσω winbox στο RB και κάνεις τα παρακάτω:
-0- Κάνεις reset το default configuration
-1- Επιλέγεις από αριστερά την πρώτη επιλογή για quick set
-2- Βάζεις στο mode > router (για λειτουργία του RB ως ρούτερ)
-3- Internet > Address Acq: PPPoE
-4- Local Network > IP: 192.168.88.1 (η ΙΡ του RB)
-5- Netmask: 255.255.255.0/24
-6- DHCP Server: enable
-7- DHCP Server Range > 192.168.88.50-192.168.88.60
-8- NAT: enable
-9- Πηγαίνεις στο IP > Address και προσθέτεις την ΙΡ για την διασύνδεση με το modem:
IP > Addresses
(add)
Address: 192.168.0.1/24
Netmask: 192.168.0.0
Interface: ethernet1
Για το ασύρματο δεν έχω έτοιμες τις ρυθμίσεις για να τις ποστάρω.

Με όλα τα παραπάνω θα έχεις όλες τις ρυθμίσεις που πρέπει για να έχεις δίκτυο στους ΗΥ.
Στην ουσία υλοποιούν αυτόματα όλες τις ρυθμίσεις από τις εντολές που έδωσε ο @kostas_thess.
Και όπως είπα μπορείς να κάνεις κάνεις όλα τα παραπάνω ένα-ένα με το χέρι σαν να έδινες εντολές, αλλά αυτή την φορά με γραφικό τρόπο.

Μετά μπορείς να κάνεις όλα τα υπόλοιπα:
Να δώσεις ονόματα στα eth και bridge για να τα ξεχωρίζεις, να βάλεις psw και χρήστες και όλα τα υπόλοιπα.

για το ppoe client θέλει και μια καταχώρηση ΝΑΤ για να εχουν Internet και οι ασυρματοι και ενσυρματοι πελατες, επισης σε εμενα τουλαχιστον ηθελε μια καταχωρηση στο ip-route να του πω όλα τα 0.0.0.0/0 να εχουν gateway το ppoe interface. Mαλλον αυτο χρειαζεται σε εμενα επειδη ερχονται και εξωτερικες Ips απο το awmn Και τις σπρωχνω στο 433ΑΗ gateway router, μπορει αν καποιος εχει μονο ιντερνετ και οχι αλλο router να μην χρειαζεται. Οποτε να το έχετε υποψην μονο αν δεν εχετε ιντερνετ και δεν βρίσκεται κάτι αλλο να φταιει.
Ξέχασα να αναφέρω οτι το winbox παίζει και από Linux μέσω wine, και οτι σε android υπάρχει εκδοση στο google play αλλά δεν κανει τα παντα ομως. https://play.google.com/store/apps/details?id=wolfen.DroidWinBox&hl=el και αυτο αλλα οχι free https://play.google.com/store/apps/details?id=br.com.meganetdf.droidbox&hl=el (δεν το εχω δοκιμασει) μονο το free.

Νικηφόρε για ΝΑΤ δεν χρειάζεται να κάνεις κάποια επιπλέον εγγραφή.
Με το που επιλέγεις το ΝΑΤ στο quick set σου προσθέτει αυτόματα και την ανάλογη καταχώρηση για masquerade.
Το άλλο με το 0.0.0.0, όπως είπα και σε άλλο μου μήνυμα, σε κάποιους οδηγούς το είδα να το βάζουν και σε άλλους όχι.
Προσωπικά πιστεύω ότι χρειάζεται.
Θα το δοκιμάσω και θα σου πω.
Σήμερα εκτός απροόπτου θα το έχω στα χέρια μου.
Σκέφτομαι να το στήσω αμέσως αλλά μάλλον θα το πάρω το ΣΚ στο εξοχικό για να παίξω μαζί του.
Δυστυχώς εκεί δεν έχω δίκτυο αλλά δεν πειράζει...

Στην δικια μου περιπτωση το ΝΑΤ μπηκε χειροκινητα, επισης πρεπει να ανοιχτουν πορτες και αυτα στο ΝΑΤ γινονται. Xωρις την 1η καταχωρηση δεν ειχα πουθενα ιντερνετ παντως, εμενα δεν μπηκε αυτοματα. Εξαλου πως θα ξερει τι ips πρεπει να βαλει εκει. Αλλα ξαναλεω επειδη εχω και 2ο 433AH router που εχει τα ασυρματα links ειναι πιθανως να τα θελει ετσι για να μην μπλεκονται τα δικτυα, αλλο να εχεις ενα μονο router αλλο 2 που πρεπει να διαχειριστει αλλη κινηση με αλλο ευρoς ip's. Γμτ δεν θυμαμαι στο ΝΑΤ οταν εχει μπροστα ! τι σημαινει....ξερει κανεις?

Το δοκίμασα σε emulation με το GNS3 και ROS6.14 και μπήκαν αυτόματα.
Δεν νομίζω να υπάρχει κάποιο θέμα στο πραγματικό RB.
ΥΓ
Μόλις μου ήρθε... :yahoo:

Είναι αναλογα τις καταχωρησεις, αυτα που εδειξα παραπανω τιποτα απολυτως δεν περναει αυτοματα....
Με γειααααααααααα!!! περιμενουμε φωτος και αναλυτικο review! θυμαμαι και οταν πηρα και το δικο μου απεξω και εγω εκανα κολοτουμπιδια απο την τρελη χαρα μου! τελειο το εργαλειο λεμεεεεεεεεεεεΕ!

Είναι αναλογα τις καταχωρησεις, αυτα που εδειξα παραπανω τιποτα απολυτως δεν περναει αυτοματα....
Με γειααααααααααα!!! περιμενουμε φωτος και αναλυτικο review! θυμαμαι και οταν πηρα και το δικο μου απεξω και εγω εκανα κολοτουμπιδια απο την τρελη χαρα μου! τελειο το εργαλειο λεμεεεεεεεεεεεΕ!

Θα ετοιμάσω αναλυτικό review μέσα στο ΣΚ.
Καλά... έπαθα την πλάκα μου...
Πολύ μικρό...
Ίδιες διαστάσεις με το ZTE ZXV10 W300 που έχω.
Αφού άνοιξα το κουτί μήπως και δεν έχει το τροφοδοτικό. :rofl:
Κοιτούσα στα χέρια το παιδί που μου το έφερε μήπως μου δώσει και άλλο κουτί... :lol:

ΧΑΧΑΧΑΑΧΧΑΧΑΧΑΧΑΧΑ :worthy::lol: ακριβως το ιδιο επαθα και εγω! νομιζα οτι ειναι ποιο μεγαλο!

καλησπερα για αλλη μια φορα.ειχα κατι τρεξιματα και δεν προλαβα να "πιασω"καθολου το ρουτερ.επειδη λοιπον δεν θελω να γινομαι κουραστικος με τις ερωτησεις μου και επειδη κυριως οταν κολλαω καπου θελω εκεινη την ωρα την απαντηση,ειμαι διατεθειμενος να πληρωσω καποιον να μου κανει μερικα μαθηματα(απομακρυσμενα φυσικα αφου βρισκομαι κρητη) αρκει να εχει καποιος ορεξη γι`αυτο.δεν θελω να γινω αυθεντια (οχι πως θα με χαλουσε βεβαια) αλλα να μπορω να κανω μερικα πραγματα και οταν κολλαω καπου η εχω μια απορια να μπορω να ρωτησω και να παρω απαντηση αμεσως.αν καποιος νομιζει οτι μπορει να με βοηθησει σε αυτο ας ενημερωσει.δεν εχω τρελες απαιτησεις.καμια ωριτσα την ημερα για μερικες μερες πιστευω θα ειναι αρκετες για να μπορεσω μετα μονος μου να συνεχισω.

καλησπερα για αλλη μια φορα.ειχα κατι τρεξιματα και δεν προλαβα να "πιασω"καθολου το ρουτερ.επειδη λοιπον δεν θελω να γινομαι κουραστικος με τις ερωτησεις μου και επειδη κυριως οταν κολλαω καπου θελω εκεινη την ωρα την απαντηση,ειμαι διατεθειμενος να πληρωσω καποιον να μου κανει μερικα μαθηματα(απομακρυσμενα φυσικα αφου βρισκομαι κρητη) αρκει να εχει καποιος ορεξη γι`αυτο.δεν θελω να γινω αυθεντια (οχι πως θα με χαλουσε βεβαια) αλλα να μπορω να κανω μερικα πραγματα και οταν κολλαω καπου η εχω μια απορια να μπορω να ρωτησω και να παρω απαντηση αμεσως.αν καποιος νομιζει οτι μπορει να με βοηθησει σε αυτο ας ενημερωσει.δεν εχω τρελες απαιτησεις.καμια ωριτσα την ημερα για μερικες μερες πιστευω θα ειναι αρκετες για να μπορεσω μετα μονος μου να συνεχισω.

Δεν χρειάζεται να πληρώσεις κανένα.
Μόλις τελείωσα το σετάρισμα και έχω γράψει αναλυτικό οδηγό για την δημιουργία pppoe client.
Αύριο θα το ποστάρω γιατί σήμερα είμαι κουρασμένος (όχι από το σετάρισμα του ρούτερ).
Ακολουθείς τα βήματα που θα σου πω ένα-ένα και θα τα καταφέρεις.
Είναι πολύ απλό.

ευχαριστω προκαταβολικα για τον οδηγο αλλα δεν αναφερομαι μονο σ`αυτο.βεβαια ειναι μια αρχη αλλα εγω μιλαω γενικα για το στησιμο.για παραδειγμα θελω καποια στιγμη να δω πως γινεται το στησιμο ενος απλου hot spot.αυτο βεβαια οχι τωρα.ας μαθω τα βασικα πρωτα

Οι παρακάτω ρυθμίσεις αναφέρονται σε ROS 6.15.
Προηγούμενες ή νεότερες εκδόσεις μπορεί να διαφοροποιούνται ως προς το στήσιμο.
Η υλοποίηση έγινε σε ένα Mikrotik RB951G-2HnD.

Οδηγός δημιουργίας PPPoE Client με Mikrotik ROS 6.15:
Σενάριο:
Μ <> R <> PCs
M: Ένα modem/router σε λειτουργία brisge ώστε να λειτουργεί μόνο ως modem (192.168.0.1)
R: Mikrotik (192.168.0.1/192.168.5.39)
PCs: Οι συνδεδεμένες συσκευές (192.168.5.Χ)
Οι IPs μπορεί να οριστούν διαφορετικά, ανάλογα με τις προτιμήσεις μας, ακολουθώντας όμως την ίδια λογική.
Δηλαδή ξεχωριστό δίκτυο μεταξύ M-R και διαφορετικό μεταξύ R-PCs.
Σύνδεση:
Συνδέουμε το modem στην ether1 και τα PCs στις ether2-5.
Modem:
- Ρυθμίζουμε το modem/router σε λειτουργία brisge ώστε να λειτουργεί μόνο ως modem.
- Κλείνουμε το DHCP.
- Κλείνουμε το WiFi.
- Αλλάζουμε την ΙΡ σε 192.168.0.1 (ή οποιαδήποτε άλλη).
Καλό αφού τελειώσετε με τις ρυθμίσεις του modem να το αποσυνδέσετε από την ether1.
Θα το συνδέσετε μετά όταν τελειώσετε και με τις ρυθμίσεις του ρούτερ.
Router:
Σύνδεση:
Συνδεόμαστε μέσω winbox.

usr: admin
psw: <κενό>
Στο Connect To κάνουμε κλικ στις τελείες (...) και στη συνέχεια στην MAC του Μικροτικ.
Αργότερα μπορούμε να συνδεόμαστε απευθείας με την ΙΡ.
Λόγω των ρυθμίσεων που θα κάνουμε θα πρέπει να αλλάξουμε την ΙΡ του ρούτερ οπότε αν συνδεόμασταν με ΙΡ θα μας πετούσε προς στιγμή έξω.
Αναβάθμιση FW:
Κατεβάζουμε το τελευταίο fw από εδώ (http://www.mikrotik.com/download).
Επιλέγουμε το αρχείο από τα Windows και κάνουμε αντιγραφή.
Στο winbox κάνουμε τα παρακάτω:

Files > Paste
System > Reboot
System > Sesources (για έλεγχο της έκδοσης)
Αργότερα μπορούμε να κάνουμε τις αναβαθμίσεις μέσω:
System > Packages > Check for Updates
Αρχεία ασφαλείας (Backup/Restore Configuration):
Μόλις τελειώσουμε κάποια υλοποίηση και δούμε ότι δουλεύει καλό είναι να κάνουμε Backup το configuration ώστε αν κάτι πάει στραβά μετά να μπορούμε να επιστρέψουμε στο τελευταίο σύστημα που δούλευε.
Για Backup:

Files > Backup
Name: myBackup
Επιλογή του αρχείου, αντιγραφή και μετά επικόλληση στα Windows.
Για Restore:
Επιλέγουμε το αρχείο από τα Windows και κάνουμε αντιγραφή.
Στο winbox κάνουμε τα παρακάτω:

Files > Paste
Files > Επιλογή του αρχείου και Restore
Reset Configuration:

System > Reset Configuration
No Default Configuration
Do Not Backup
Ρύθμισης ώρας:
Αρχικά δεν θα γίνει ο συγχρονισμός γιατί δεν έχουμε σύνδεση στο internet.

System > SNTP Client
Enables
Primary NTP Server: 64.4.10.33
Sxecondary NTP Server: 147.102.224.241
Οι διευθύνσεις αφορούν τους ΗΥ της M$ και του ntua.
Αλλαγή ονόματος του ρούτερ:
Αρχικά έχει ως όνομα Mikrotik.
Μπορούμε να το αλλάξουμε όπως εμείς θέλουμε.

System > Identity
Αλλαγή κωδικού για admin:

System > User List > Users > admin > Password
Προσθήκη WiFi:

Interfaces > Interface > wlan1
Wireless > Mode: ap bridge
Band: 2GHz-B/G/N
Channel width: 20/40MHz HT Above
SSID: mySSID
Bridge Mode: enabled
Hide SSID
Αλλαγή WiFi Security:

Wireless > Security profiles
General > Name: default
Mode: dynamic keys
Authntication Types: WPA2 PSK
Unicast Ciphers: aes ccm
Gorup Ciphers: aes ccm
WPA2 Pre-Shared Key: myPassword
Δημιουργία γεφυρών bridges (2-5):
Δημιουργούμε γέφυρα μεταξύ όλων των πορτών και της ether1 ώστε να έχουμε διαμοιρασμό του internet.

Bridge > Bridges > (+)
General > Name: bridge1
Bridge > Ports > (+)
General > Interface > ether2
Bridge: bridge1
Όπως προσθέσαμε την ether2, προσθέτουμε και όλες τις άλλες (3-5).
Η ether1 είναι αυτή που από default περιέχει την σύνδεση με το internet και γι αυτό δεν χρειάζεται να την αναφέρουμε παραπάνω.
Προσθήκη IPs:
Αλλάζουμε την ΙΡ του Mikrotik για την ether1 (σύνδεση με modem) και την bridge1 (εσωτερικό δίκτυο σύνδεση με PCs)

IP > Addresses > (+)
(+) Address: 192.168.0.39/24
Network: 192.168.0.0
Interface: ether1
(+) Address: 192.168.5.39/24
Network: 192.168.5.0
Interface: bridge1
Δημιουργία DHCP Server:

IP > DHCP Servers > DHCP > DHCP setup
Interface: bridge1
Addresses space: 192.168.5.0/24
DHCP Network: 192.168.5.39
Addresses Give out: 192.168.5.100-192.168.5.105
DNS Servers: 192.168.5.39
Lease Time: 3d 00:00:00
Δημιουργία DNS Server (cache):

IP > DNS
Allow Remote Requests
Μπορούμε να ορίσουμε και δικούς μας servers στην αντίστοιχη επιλογή.
Προσθήκη PPPoE Client:

PPP > Interface > (+) PPPoE Client
General > Name: pppoe-out1
Interfaces: ether1
Max MTU: 1492
Max MRU: 1492
Dial Out > User: myUsrName
Password: myPassword
Use Peer DNS
Add Default Route
Allow: check all
Προσθήκη NAT:

IP > Firewall > NAT > (+)
General > Chain: srcnat
Src Address: 192.168.5.0/24
Action > Action: masquerade
Απενεργοποίηση Watchdog:
Σε πολλούς μπορεί να χρειάζεται.
Προσωπικά δεν το θέλω.

System > Watchdog
Disable All
Ρύθμιση Services:
Ρυθμίζουμε την πρόσβαση των services να γίνεται μόνο από το εσωτερικό δίκτυο.
Κάποιοι μπορεί να θέλουν να έχουν πρόσβαση και από έξω οπότε παραλείπουν τα παρακάτω.

IP > Services
All services Available From > 192.168.5.0/24
Απενεργοποίηση UPnP:
Προσωπικά δεν μου χρειάζεται.

IP > UPnP
Ρύθμιση FW:
Ανοίγουμε το Terminal (κονσόλα) και δίνουμε την εντολή:
/ip firewall filter
Στη συνέχεια κάνουμε αντιγραφή τα παρακάτω και μετά επικόλληση στην κονσόλα.
Το τι κάνει κάθε μία εντολή υπάρχει στο comment.
Στο τέλος πατάμε enter.

add chain=icmp protocol=icmp icmp-options=0:0 action=accept \ comment="echo reply"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept \ comment="net unreachable"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept \ comment="host unreachable"
add chain=icmp protocol=icmp icmp-options=4:0 action=accept \ comment="allow source quench"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept \ comment="allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept \ comment="allow time exceed"
add chain=icmp protocol=icmp icmp-options=12:0 action=accept \ comment="allow parameter bad"
add chain=icmp action=drop comment="deny all other types"
add action=drop chain=forward comment="Drop Traceroute" disabled=no \ icmp-options=11:0 protocol=icmp
add action=drop chain=forward comment="" disabled=no icmp-options=3:3 \ protocol=icmp
add action=drop chain=input comment="Disable ICMP ping" disabled=no protocol=\ icmp
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
add chain=forward src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
add chain=input connection-state=invalid action=drop \ comment="Drop Invalid connections"
add chain=input connection-state=established action=accept \ comment="Allow Established connections"
add chain=input src-address=192.168.5.0/24 action=accept \ in-interface=pppoe-out1
add chain=forward connection-state=invalid \ action=drop comment="drop invalid connections"
add chain=forward connection-state=established action=accept \ comment="allow already established connections"
add chain=forward connection-state=related action=accept \ comment="allow related connections"
add chain=forward src-address=127.0.0.0/8 action=drop
add chain=forward dst-address=127.0.0.0/8 action=drop
add chain=forward src-address=169.254.0.0/16 action=drop
add chain=forward dst-address=169.254.0.0/16 action=drop
add chain=forward src-address=172.16.0.0/12 action=drop
add chain=forward dst-address=172.16.0.0/12 action=drop
add chain=forward src-address=192.0.0.0/24 action=drop
add chain=forward dst-address=192.0.0.0/24 action=drop
add chain=forward src-address=192.0.2.0/24 action=drop
add chain=forward dst-address=192.0.2.0/24 action=drop
add chain=forward src-address=198.18.0.0/15 action=drop
add chain=forward dst-address=198.18.0.0/15 action=drop
add chain=forward src-address=198.51.100.0/24 action=drop
add chain=forward dst-address=198.51.100.0/24 action=drop
add chain=forward src-address=203.0.113.0/24 action=drop
add chain=forward dst-address=203.0.113.0/24 action=drop
add chain=forward src-address=224.0.0.0/3 action=drop
add chain=forward dst-address=224.0.0.0/3 action=drop
add chain=forward protocol=tcp action=jump jump-target=tcp \ comment="Make jumps to new chains"
add chain=forward protocol=udp action=jump jump-target=udp
add chain=forward protocol=icmp action=jump jump-target=icmp
add chain=tcp protocol=tcp dst-port=69 action=drop \ comment="deny TFTP"
add chain=tcp protocol=tcp dst-port=111 action=drop \ comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=135 action=drop \ comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=137-139 action=drop \ comment="deny NBT"
add chain=tcp protocol=tcp dst-port=445 action=drop \ comment="deny cifs"
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS"
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice"
add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"
Τελειώσαμε με τις ρυθμίσεις...
Μπορούμε να συνδέσουμε στην ether1 το modem και να δούμε αν παίρνουμε internet.
Με τις παραπάνω ρυθμίσεις μπορείτε να έχετε πρόσβαση και στο web interface του modem.
Στα Logs μπορείτε να βλέπετε όλες τις λεπτομέρειες της σύνδεσης.
Τα παραπάνω είναι δοκιμασμένα ένα-ένα.
Στις ρυθμίσεις του fw πιθανόν να χρειάζεστε κάποια.
Οι περισσότεροι όμως "απλοί" χρήστες χρειάζονται την πιο πάνω προστασία.
πχ μπλοκάρονται όλα τα πακέτα ping και tracerouter από έξω προς τα μέσα.
Για έλεγχο της προστασίας κάντε ένα τεστ εδώ (https://www.grc.com/x/ne.dll?bh0bkyd2), και εδώ (http://network-tools.com).

Αυτά προς το παρόν.
Οτιδήποτε άλλο το συζητάμε όλοι μαζί...

ΥΓ
Υπολείπεται η υλοποίηση για IPv6 και QoS που θα την κάνω σύντομα και θα την ποστάρω με τον ίδιο τρόπο.

Καλημέρα και καλή εβδομάδα! καλά μιλάμε είσαι και ο πρώτος! μπράβο για τον αναλυτικότατο οδηγό! βλέπω τελικά και εσύ έχεις βάλει ΝΑΤ, όπως είπα πει χρειάζεται, το Interface του δεν φαίνεται εκεί στην εντολή στο ppoe interface δεν το έχεις βάλει? επίσης όταν γεφυρωθούν γίνουν δλδ bridge όλες οι ethernet θύρες του 951 είναι σαν switch? γιατί εγώ όπως έχω εξηγήσει στο εξοχικό πρέπει να παίζω αλλιώς επειδή έχω άλλα 2 μονά RBs και έχω ένα switch για το τοπικό μου δίκτυο, οπότε από περιέργεια και μόνο ρωτάω. Βλέπω το ip-route 0.0.0.0/0 gateway ppoe interface δεν χρειάζεται σε αυτή την υλοποιήση? εγώ το έχω βάλει στο 711 αλλά έχω και άλλο εξωτερικό ταρατσο RB 433AH Και πρέπει να ξεχωρίσω internetikes ips από τις awmn (ασύρματων δικτύων) οπότε λογικά γιαυτό μου χρειάζεται.

Καλημερα,

Αναλυτικοτατος και κατατοπιστικος.
Θα το δοκιμασω το μεσημερακι που θα ειμαι σπιτι.

Πηρα το θαρρος και το εκανα pdf για να ειναι ευκολα διαθεσιμο.
140904

Καλημέρα και καλή εβδομάδα! καλά μιλάμε είσαι και ο πρώτος! μπράβο για τον αναλυτικότατο οδηγό! βλέπω τελικά και εσύ έχεις βάλει ΝΑΤ, όπως είπα πει χρειάζεται, το Interface του δεν φαίνεται εκεί στην εντολή στο ppoe interface δεν το έχεις βάλει? επίσης όταν γεφυρωθούν γίνουν δλδ bridge όλες οι ethernet θύρες του 951 είναι σαν switch? γιατί εγώ όπως έχω εξηγήσει στο εξοχικό πρέπει να παίζω αλλιώς επειδή έχω άλλα 2 μονά RBs και έχω ένα switch για το τοπικό μου δίκτυο, οπότε από περιέργεια και μόνο ρωτάω. Βλέπω το ip-route 0.0.0.0/0 gateway ppoe interface δεν χρειάζεται σε αυτή την υλοποιήση? εγώ το έχω βάλει στο 711 αλλά έχω και άλλο εξωτερικό ταρατσο RB 433AH Και πρέπει να ξεχωρίσω internetikes ips από τις awmn (ασύρματων δικτύων) οπότε λογικά γιαυτό μου χρειάζεται.

Το ΝΑΤ εννοείται πως χρειάζεται.
Εγώ είχα πει για το αν χρειάζεται να προστεθεί το 0.0.0.0/0 προς την ether1:

IP > Routes > Routes
Dst. Addr: 0.0.0.0/0
Gateway: ether1
Και τελικά ΟΧΙ δεν χρειάζεται γιατί το προσθέτει αυτόματα όταν πραγματοποιείται η σύνδεση pppoe client.
Μόλις κλείσεις την σύνδεση pppoe client, διαγράφει την συγκεκριμένη εγγραφή από το routing table.
Αν το προσθέσεις με το χέρι, το αφήνει ως έχει.
Γενικά δεν μου φαίνεται σωστό να υπάρχει γιατί πολύ απλά αν δεν υπάρχει σύνδεση θα δρομολογεί όλα τα πακέτα (πλην των δικτύων που δρομολογείς) προς την ether1.
Δεν θα δημιουργήσει πρόβλημα στην λειτουργία, αλλά προσωπικά πιστεύω ότι δεν είναι σωστό.

Αυτό με το Interface που λες δεν το κατάλαβα...

Το θέμα της γεφύρωσης έχει να κάνει και με την λειτουργία switch.
Ομαδοποιεί όλες τις θύρες σαν να είναι μία.
Αν δεν είχες bridge θα έπρεπε να κάνεις δηλώσεις για IP, DHCP για κάθε μια θύρα χωριστά.

- - - Updated - - -


Καλημερα,

Αναλυτικοτατος και κατατοπιστικος.
Θα το δοκιμασω το μεσημερακι που θα ειμαι σπιτι.

Πηρα το θαρρος και το εκανα pdf για να ειναι ευκολα διαθεσιμο.
140904

Κανένα πρόβλημα...

Το ΝΑΤ εννοείται πως χρειάζεται.
Εγώ είχα πει για το αν χρειάζεται να προστεθεί το 0.0.0.0/0 προς την ether1:

IP > Routes > Routes
Dst. Addr: 0.0.0.0/0
Gateway: ether1
Και τελικά ΟΧΙ δεν χρειάζεται γιατί το προσθέτει αυτόματα όταν πραγματοποιείται η σύνδεση pppoe client.
Μόλις κλείσεις την σύνδεση pppoe client, διαγράφει την συγκεκριμένη εγγραφή από το routing table.
Αν το προσθέσεις με το χέρι, το αφήνει ως έχει.
Γενικά δεν μου φαίνεται σωστό να υπάρχει γιατί πολύ απλά αν δεν υπάρχει σύνδεση θα δρομολογεί όλα τα πακέτα (πλην των δικτύων που δρομολογείς) προς την ether1.
Δεν θα δημιουργήσει πρόβλημα στην λειτουργία, αλλά προσωπικά πιστεύω ότι δεν είναι σωστό.

Αυτό με το Interface που λες δεν το κατάλαβα...

Το θέμα της γεφύρωσης έχει να κάνει και με την λειτουργία switch.
Ομαδοποιεί όλες τις θύρες σαν να είναι μία.
Αν δεν είχες bridge θα έπρεπε να κάνεις δηλώσεις για IP, DHCP για κάθε μια θύρα χωριστά.


Εμενα εχει μια ethernet γιατι ειναι 711, το δοκιμασα τωρα εσβησα την καταχωρηση με το 0.0.0.0/0 ανοιγοκλεισα το PPOE δεν το κανει μονο του, αν δεν το κανω με το χερι δεν εχω ιντερνετ. Οπως ειπα ομως μαλλον γινεται επειδη εχω και 2ο RB - Router και μπερδευεται, ετσι πρεπει να μπει χειροκινητα. Οπως αντιστοιχα και οταν εχουμε VPN οπως στο εξοχικο πρεπει να του δωσω τα 0.0.0.0/0 απο το vpn interface. Και εδω θελει απο το PPOE interface να το δηλωσω, αν βαλω eth1 δεν μου δουλευει.
Για το bridge δεν το εχω δοκιμασει στο 951 σαν switch γιατι εχω αλλα 2 RB's επανω που ειναι δρομολογητες και παιζει διαφορετικά εντελως απο το δικο σου, απο περιεργεια ρωτησα οποτε αν κανουμε bridge ολες τις ethernet γινεται switch ωραιο και χρησιμο αυτο, οχι σε εμενα βεβαια.

Εμενα εχει μια ethernet γιατι ειναι 711, το δοκιμασα τωρα εσβησα την καταχωρηση με το 0.0.0.0/0 ανοιγοκλεισα το PPOE δεν το κανει μονο του, αν δεν το κανω με το χερι δεν εχω ιντερνετ. Οπως ειπα ομως μαλλον γινεται επειδη εχω και 2ο RB - Router και μπερδευεται, ετσι πρεπει να μπει χειροκινητα. Οπως αντιστοιχα και οταν εχουμε VPN οπως στο εξοχικο πρεπει να του δωσω τα 0.0.0.0/0 απο το vpn interface. Και εδω θελει απο το PPOE interface να το δηλωσω, αν βαλω eth1 δεν μου δουλευει.
Για το bridge δεν το εχω δοκιμασει στο 951 σαν switch γιατι εχω αλλα 2 RB's επανω που ειναι δρομολογητες και παιζει διαφορετικά εντελως απο το δικο σου, απο περιεργεια ρωτησα οποτε αν κανουμε bridge ολες τις ethernet γινεται switch ωραιο και χρησιμο αυτο, οχι σε εμενα βεβαια.

Ναι είναι ανάλογα με το στήσιμο αλλά καλό είναι να τα δοκιμάζουμε για να βλέπουμε τις διαφορές...

Και τώρα η υλοποίηση για Native ΙΡν6.
Βρήκα πολλά αρχεία αλλά κανένα δεν έπαιξε.
Τελικά το έκανα από την αρχή με το χέρι...
Τα παρακάτω είναι δοκιμασμένα και δουλεύουν με ISP: OTE.

Υλοποίηση για Native ΙΡν6
Ενεργοποιούμε το πακέτο για ΙΡν6:

System > Package List > ipv6 (enable)
Ενεργοποιούμε το ΙΡν6 για την ΡΡΡοΕ Client σύνδεση:

PPP > Profiles > default
Protocols
Use IPv6
Ρυθμίσεις για το Neighbor Discovery (τι θα μεταδίδει κάθε Interface):

IPv6 > ND > Interfaces
(αλλάζουμε τις τιμές στο all)
Interface: pppoe-out1
Advertise MAC Address
(προσθέτουμε +)
Interface: bridge1
Advertise MAC Address
Advertise DNS
Προσθέτουμε έναν DHCPv6 Client (θα δέχεται διευθύνσεις από τον DHCPv6 Server του ISP):

IPv6 > DHCPv6 Client (προσθέτουμε +)
Interface: pppoe-out1
Pool Name: ipv6-pool
Use Peer DNS
Add Default Route

Ρυθμίζουμε το routing table ώστε να δρομολογούμε τα πακέτα από το εσωτερικό δίκτυο:

IPv6 > Addresses (προσθέτουμε +)
Address: ::/64
From Pool: ipv6-pool
Interface: bridge1
Advertise
Ρυθμίζουμε το fw για τις IPv6 συνδέσεις:

Ανοίγουμε Terminal και δίνουμε την εντολή:

/ipv6 firewall filter
Στη συνέχεια αντιγράφουμε τα παρακάτω και τα επικολλούμε στο Terminal.
Στο τέλος πατάμε enter.


add action=accept chain=input comment="Router - Allow IPv6 ICMP" disabled=no protocol=icmpv6
add action=accept chain=input comment="Router - Accept established connections" connection-state=established disabled=no
add action=accept chain=input comment="Router - Accept related connections" connection-state=related disabled=no
add action=drop chain=input comment="Router - Drop invalid connections" connection-state=invalid disabled=no
add action=accept chain=input comment="Router- UDP" disabled=no protocol=udp
add action=accept chain=input comment="Router - From our LAN" disabled=no in-interface=bridge1
add action=drop chain=input comment="Router - Drop other traffic" disabled=no
add action=drop chain=forward comment="LAN - Drop invalid Connections" connection-state=invalid disabled=no
add action=accept chain=forward comment="LAN - Accept UDP" disabled=no protocol=udp
add action=accept chain=forward comment="LAN - Accept ICMPv6" disabled=no protocol=icmpv6
add action=accept chain=forward comment="LAN - Accept established Connections" connection-state=established disabled=no
add action=accept chain=forward comment="LAN - Accept related connections" connection-state=related disabled=no
add action=accept chain=forward comment="LAN - Internal traffic" disabled=no in-interface=bridge1
add action=log chain=forward comment="LAN - Log everything else" disabled=no log-prefix="Log IPv6"
add action=reject chain=forward comment="LAN - Drop everything else" connection-state=new disabled=no in-interface=pppoe-out1 reject-with=icmp-no-route
Πλέον το ρούτερ μας δεν απαντάει σε ping και traceroute σε IPv6 πακέτα.
Μπορείτε να δείτε την διεύθυνση ΙΡν6 που παίρνει το ρούτερ εδώ (http://test-ipv6.ntua.gr/).
Κάντε αντιγραφή και επικόλληση και μετά μπορείτε να κάνετε τον έλεγχο εδώ (http://centralops.net/co/Traceroute.aspx) και εδώ (http://centralops.net/co/Ping.aspx).


Πλέον έχετε Native IPv6.
Μπορείτε να κάνετε τον έλεγχο εδώ (http://test-ipv6.ntua.gr/) και εδώ (http://ipv6-test.com/) (για το δεύτερο αυτό τεστ κλείστε και ανοίξτε ξανά τον browser σε περίπτωση που τον είχατε ανοικτό όταν κάνατε τις ρυθμίσεις).

ΥΓ
Απομένει το QoS που θα το κάνω και αυτό σύντομα (ελπίζω... :p)

Ωραιος μπραβο! αλλα επειδή το έχω απορια, εγω δουλευω με ipv4 (στο internet), τι παραπανω κερδιζουμε αν έχουμε και ipv6? μου φαίνεται και η forthnet το υποστηρίζει.

Ωραιος μπραβο! αλλα επειδή το έχω απορια, εγω δουλευω με ipv4 (στο internet), τι παραπανω κερδιζουμε αν έχουμε και ipv6? μου φαίνεται και η forthnet το υποστηρίζει.

Δεν θα κερδίσεις κάτι από την άποψη ότι θα δεις πχ την σύνδεσή σου να είναι γρηγορότερη κλπ.
Οι ΙΡν4 διευθύνσεις έχουν τελειώσει εδώ και καιρό (εδώ και χρόνια το λένε αυτό αλλά...).
Οπότε κάποια στιγμή όλοι οι ISPs θα αναγκαστούνε να περάσουν σε ΙΡν6.
Εδώ και 2 χρόνια κάνουν δοκιμές οι πάροχοι.
Καλό είναι να περάσεις από τώρα στην νέα τεχνολογία.
Τώρα στο θεωρητικό κομμάτι μπορείς να δεις τις διαφορές με το ΙΡν4 ψάχνοντας πχ στο google.
Προσωπικά θέλω να το δοκιμάσω όπου μπορώ να το έχω.

Το ξερω αυτο με τις ip εννοω αυτη την στιγμή τι παραπανω θα κερδισουμε. Και στο awmn εχω ipv6 στο εξοχικο ενω εδω στην Αθηνα οχι, αλλα τα εχει φτιαξει αλλος εκει τα ipv6 και δεν ξερω ακομα να τα σεταρω εγω. Πρεπει να πεσει διαβασμα. Παντως να συμπληρώσω οτι πρέπει και στο adsl modem να δηλωσουμε να παιζει και ipv6. Tωρα το εχω μονο ipv4. Αν ξερει κανεις σιγουρα αν υποστηριζει η forthnet ipv6 γιατι δεν θυμαμαι πως ηταν default νομιζω ειχε και τα 2 μαζι.

Το ξερω αυτο με τις ip εννοω αυτη την στιγμή τι παραπανω θα κερδισουμε. Και στο awmn εχω ipv6 στο εξοχικο ενω εδω στην Αθηνα οχι, αλλα τα εχει φτιαξει αλλος εκει τα ipv6 και δεν ξερω ακομα να τα σεταρω εγω. Πρεπει να πεσει διαβασμα. Παντως να συμπληρώσω οτι πρέπει και στο adsl modem να δηλωσουμε να παιζει και ipv6. Tωρα το εχω μονο ipv4. Αν ξερει κανεις σιγουρα αν υποστηριζει η forthnet ipv6 γιατι δεν θυμαμαι πως ηταν default νομιζω ειχε και τα 2 μαζι.

Η συγκεκριμένη ρύθμιση στο IP version δεν επηρεάζει την λειτουργία του ΙΡν6 αφού την υλοποίηση του πρωτοκόλλου την κάνει το ρούτερ και όχι το modem (όταν φυσικά βρίσκεται σε λειτουργία bridge).
Κλασικό παράδειγμα είναι η χρήση του Thomson TG585v7-8 σε ρόλο bridge.
Το συγκεκριμένο μηχάνημα δεν υποστηρίζει ΙΡν6 αλλά βάζοντάς το σε λειτουργία bridge θα έχει κανονικά ΙΡν6.
Αν τώρα παίζεις το modem/router που έχεις σε λειτουργία modem/router και όχι bridge τότε ναι υπάρχει λόγος να το ρυθμίσεις σε IPv4/IPv6.
Αυτό για να μπορείς να παίζεις και με τα δύο αφού σήμερα δεν υποστηρίζουν όλοι οι web servers IPv6.
πχ το in.gr δεν υποστηρίζει IPv6 (αν είχες μόνο ΙΡν6 δεν θα είχες πρόσβαση)
το adslgr.com υποστηρίζει IPv6 (αν δεν έχεις ΙΡν6 θα το βλέπεις μόνο με ΙΡν4)
Οι servers που υποστηρίζουν ΙΡν6 υποστηρίζουν και ΙΡν4.
Σε αυτή την περίπτωση ο browser είναι υπεύθυνος για το ποιο πρωτόκολλο θα χρησιμοποιήσει.
Ο ff από default υποστηρίζει ΙΡν6 όταν ο server υποστηρίζει και τα δύο πρωτόκολλα.
Η forthnet υποστηρίζει (http://ipv6.forthnet.gr/) ΙΡν6.

Ωραία thanks! αρα δεν έχει σημασία αυτό που λεει στο modem μου οποτε να το αλλαξω να ειναι και τα 2 μαζί. Θα σωσω τον οδηγο σε pdf να το εχω μαζι με τα αλλα! :oneup::worthy::respekt:

Ωραία thanks! αρα δεν έχει σημασία αυτό που λεει στο modem μου οποτε να το αλλαξω να ειναι και τα 2 μαζί. Θα σωσω τον οδηγο σε pdf να το εχω μαζι με τα αλλα! :oneup::worthy::respekt:

Και εγώ όταν το είδα απόρησα.
Το άφησα όπως το είχα και όταν το δούλευα σαν modem/router.
Αλλά όπως είπα δεν παίζει κανένα ρόλο όταν το έχεις σε bridge.
Όπως επίσης και όλες οι άλλες ρυθμίσεις του modem περί fw, upnp κλπ

Καλά για όλες τις άλλες το ήξερα οτι δεν εχει σημασια, αφου μετα το bridge το adsl router είναι μόνο modem, εντάξει το δικό μου είναι και wifi AP :p
μολις εβαλα και εγω ipv6! δεν αντεξα! μονο αλλαξα οπου στο firewall ειχες εσυ bridge1 εγω εβαλα ether1 γιατι δεν εχω bridge και εχω μονο μια ethernet και το ονομα του ppoe.
Δεν μου δουλευει σωστα κάτι με DNS μαλλον, ισως φταιει οτι δουλευω με του AWMN για να παιζει και το δικτυο και το ιντερνετ μαζι και δεν ειναι ipv6 αυτοι?



Test with IPv4 DNS record
ok (0.040s) using ipv4 ASN 1241
Test with IPv6 DNS record
bad (0.008s)
Test with Dual Stack DNS record
ok (0.068s) using ipv4 ASN 1241
Test for Dual Stack DNS and large packet
ok (0.058s) using ipv4 ASN 1241
Test IPv4 without DNS
ok (0.068s) using ipv4 ASN 1241
Test IPv6 without DNS
bad (0.011s)
Test IPv6 large packet
bad (0.012s)
Test if your ISP's DNS server uses IPv6
ok (0.061s) using ipv4 ASN 1241
Find IPv4 Service Provider
ok (0.076s) using ipv4 ASN 1241
Find IPv6 Service Provider
bad (0.007s)

Καλησπερίζω την κοινότητα.
Είμαι κάτοχος απο πέρυσι ενός RB751 το οποίο είναι το προγενέστερο του 951 (το 751 υπολείπεται 64 mb μνήμης του 951).
Εχω εγκαταστήσει metarouter το openwrt-mr-mips-rootfs-18961.tar.gz image και πάνω σε αυτό τρέχω asterisk18 με το native asterisk18-gui και openvpn.
Το συγκεκριμμένο image τρέχει ένα mini web interface (δεν χρειάστηκε να το χρησιμοποιήσω γιατί ο διαχειρηστής πακέτων opkg ήταν αρκετός).
To adsl router μου δεν το έχω σε bridge mode με το 751 αλλά το έκανα pppoe client μέσω της gateway με αποτέλεσμα να έχω δεύτερη wan ip.
Απο την ιστοσελίδα της mikrotik βρήκα και διαμόρφωσα το κατάλληλο script το οποίο τρέχει κάθε 15 λεπτά ώστε να ενημερώνεται η ip σε κάποιο hostname με το no-ip.
Εφτιαξα τους κατάλληλους κανόνες στο firewall του 751 ώστε να έχω πρόσβαση στις υπηρεσίες του metarouter και σε ένα asus 701 το οποίο είναι συνδεδεμένο στο 751 το οποίο τρέχει squid.
Για όλα αυτά δεν χρειάστηκε να κάνω nat (port forward) στο adsl router.
H μνήμη που εκχώρησα στο metarouter είναι 32mb (είναι οριακά αλλά το 751 δεν τραβάει το ζόρι ενός κόμβου).
Επίσης χρησιμοποιώ και τις 2 embeded antenas ( chain0 , chain1).
Mπορώ να πώ ότι είμαι πολύ ευχαριστημένος απο το όλο στήσιμο αλλά ενα 951 δεν θα με χαλούσε (μάλλον θα είναι η επόμενη αγορά μου και σύντομα μάλιστα)

Καλως ηρθες! πολυ ωραιος! εχω δοκιμασει και εγω και με αστερισκ αλλα τα εφτυσε το 711 που εκανα τις δοκιμες οταν με παιρνανε τηλεφωνο. Εδω περα ειναι και ο οδηγος που εχω κανει για τον asterisk (τωρα τον τρεχω σε linux nas server) με μικρες αλλαγες : http://www.openwrt.gr/viewtopic.php?f=13&t=302
Το script με το noip το εχω κανει και εγω γιατι μας τελείωσε το dyndns.
Αυτό : " To adsl router μου δεν το έχω σε bridge mode με το 751 αλλά το έκανα pppoe client μέσω της gateway με αποτέλεσμα να έχω δεύτερη wan ip. " τι εννοεις? εχεις 2 ip's απο τον ISP σου? τι κερδιζεις με αυτο ακριβως? δεν καταλαβαινω.

Καλως ηρθες! πολυ ωραιος! εχω δοκιμασει και εγω και με αστερισκ αλλα τα εφτυσε το 711 που εκανα τις δοκιμες οταν με παιρνανε τηλεφωνο. Εδω περα ειναι και ο οδηγος που εχω κανει για τον asterisk (τωρα τον τρεχω σε linux nas server) με μικρες αλλαγες : http://www.openwrt.gr/viewtopic.php?f=13&t=302
Το script με το noip το εχω κανει και εγω γιατι μας τελείωσε το dyndns.
Αυτό : " To adsl router μου δεν το έχω σε bridge mode με το 751 αλλά το έκανα pppoe client μέσω της gateway με αποτέλεσμα να έχω δεύτερη wan ip. " τι εννοεις? εχεις 2 ip's απο τον ISP σου? τι κερδιζεις με αυτο ακριβως? δεν καταλαβαινω.
Απλά για τις υπηρεσίες που παρέχει ο metarouter και για το squid χρησιμοποιώ άλλο hostname (αυτό που αντιστοιχεί στην wan ip του 751) αλλά και οι φίλοι μου που συνδέονται ασύρματα στο 751 έχουν wan ip του 751 (έχω κάνει το κατάλληλο route) .
Αλλά γενικά μου αρέσει να πειραματείζομαι :)
Αυτά τα μηχανάκια είναι απίθανα.

αφού εδώ μιλάμε για mtik, εδώ και αρκετό (ίσως και πολύ) καιρό χρησιμοποιώ ένα mtik για adsl router. το πρόβλημα που είχα γενικά ήταν ότι συνέχεια όλο και κάποιος προσπαθούσε να βρει κωδικούς για το home server μου.

τελικά αποφάσισα να το ψάξω και βρήκα μια ωραία λύση η οποία ίσως και να σας ενδιαφέρει.

αυτό που έκανα είναι να μπλοκάρω την κίνηση στο ssh από όλες τις ip που είναι εκτός Ελλάδας.

script:

/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/GR
/import file-name=GR



στη συνέχεια το βάζουμε να τρέχει κάθε 24 ή 48 ώρες.

το script δημιουργεί- ανανεώνει μια firewall-list με όνομα GR

στη συνέχεια πάμε στο firewall rule που επιτρέπει τη κίνηση στο port tcp 22, πάμε στο advanced και στο src address list διαλέγουμε το GR


thats all.

A ναι όντως έχω 2 ip απο τον ISP και θα μπορούσα περισσότερες αν είχα licence5 όπου θα μπορούσα να δημιουργήσω περισσότερες gateways.
Η ωφέλεια : αθροίζεται το badwidth (up/down) των gateways (το έχω δεί).

Καλά για όλες τις άλλες το ήξερα οτι δεν εχει σημασια, αφου μετα το bridge το adsl router είναι μόνο modem, εντάξει το δικό μου είναι και wifi AP :p
μολις εβαλα και εγω ipv6! δεν αντεξα! μονο αλλαξα οπου στο firewall ειχες εσυ bridge1 εγω εβαλα ether1 γιατι δεν εχω bridge και εχω μονο μια ethernet και το ονομα του ppoe.
Δεν μου δουλευει σωστα κάτι με DNS μαλλον, ισως φταιει οτι δουλευω με του AWMN για να παιζει και το δικτυο και το ιντερνετ μαζι και δεν ειναι ipv6 αυτοι?



Test with IPv4 DNS record
ok (0.040s) using ipv4 ASN 1241
Test with IPv6 DNS record
bad (0.008s)
Test with Dual Stack DNS record
ok (0.068s) using ipv4 ASN 1241
Test for Dual Stack DNS and large packet
ok (0.058s) using ipv4 ASN 1241
Test IPv4 without DNS
ok (0.068s) using ipv4 ASN 1241
Test IPv6 without DNS
bad (0.011s)
Test IPv6 large packet
bad (0.012s)
Test if your ISP's DNS server uses IPv6
ok (0.061s) using ipv4 ASN 1241
Find IPv4 Service Provider
ok (0.076s) using ipv4 ASN 1241
Find IPv6 Service Provider
bad (0.007s)


Αν βάλεις καρφωτά στην κάρτα DNSv6 θα δουλέψει φαντάζομαι.
Για δοκίμασε και πες μου.

- - - Updated - - -


αφού εδώ μιλάμε για mtik, εδώ και αρκετό (ίσως και πολύ) καιρό χρησιμοποιώ ένα mtik για adsl router. το πρόβλημα που είχα γενικά ήταν ότι συνέχεια όλο και κάποιος προσπαθούσε να βρει κωδικούς για το home server μου.

τελικά αποφάσισα να το ψάξω και βρήκα μια ωραία λύση η οποία ίσως και να σας ενδιαφέρει.

αυτό που έκανα είναι να μπλοκάρω την κίνηση στο ssh από όλες τις ip που είναι εκτός Ελλάδας.

script:



στη συνέχεια το βάζουμε να τρέχει κάθε 24 ή 48 ώρες.

το script δημιουργεί- ανανεώνει μια firewall-list με όνομα GR

στη συνέχεια πάμε στο firewall rule που επιτρέπει τη κίνηση στο port tcp 22, πάμε στο advanced και στο src address list διαλέγουμε το GR


thats all.

Δεν νομίζω ότι κερδίζεις πολλά πράγματα από αυτό.
Κόβεις την κίνηση στο ssh από το εξωτερικό.
Αν σου έρθει κάποιος επίδοξος κακοθελητής από το εσωτερικό;
Το καλύτερο είναι να ρυθμίσεις πχ το ssh να σου κάνει ban την ΙΡ για 1h μετά από 3 αποτυχημένες προσπάθειες.
Και αυτό φυσικά το κάνεις με software fw στον server που έχεις.
Αυτό έχω κάνει και εγώ σε στημένο server που έχω στο Πανεπιστήμιο.

- - - Updated - - -


A ναι όντως έχω 2 ip απο τον ISP και θα μπορούσα περισσότερες αν είχα licence5 όπου θα μπορούσα να δημιουργήσω περισσότερες gateways.
Η ωφέλεια : αθροίζεται το badwidth (up/down) των gateways (το έχω δεί).

Και 10 ΙΡ να έχεις από ένα πάροχο το bw που έχεις είναι συγκεκριμένο.
Είναι αυτό που συγχρονίζει η γραμμή σου.
Αυτό που είδες να κάνουν για αύξηση του bw είναι να έχουν 2 ή περισσότερες συνδέσεις πχ DSL που η μια συγχρονίζει στα X η άλλη στα Y και όλες μαζί δίνουν στην γραμμή σου Χ+Υ.
Αλλά με μία σύνδεση δεν έχει νόημα αυτό που λες.

Καλημερα! @Xchaos εχεις κανει τα firewall rules που εχουμε δειξει εδω περα? μονο αυτα σε σωνουν....και εμενα με ειχαν σκισει στις επιθεσεις, απο τοτε που τα εβαλα τιποτα ξανα. Για το SSH αν δεν θες να μπαινεις απο το ιντερνετ εσυ, εγω μπαινω μεσω vpn και awmn στα μηχανηματα μου, μπορεις να το βαλεις να τρεχει μονο για Ip's του εσωτερικου σου δικτυου. Αυτοι χρησιμοποιουν port scanners και βλεπουν τι ειναι ανοιχτο και το χτυπανε. Πρεπει ΟΠΩΣΔΗΠΟΤΕ να βαλεις τα firewall rules που ειπαμε, μπλοκαρουν και αυτους και καταγραφονται κιολας οι ip's των επιθεσεων.
δες και εδω http://blog.gowifi.co.nz/2012/10/secure-your-mikrotik-firewall.html και εδω MUST : http://wiki.mikrotik.com/wiki/Drop_port_scanners
Το firewall του mikrotik κανει παπαδες, αλλα πρεπει να ειναι καλορυθμισμενο, αν δεν ειναι, ειναι αχρηστο. Εγω εχω filters και κοβω προσβαση απο ολους σε μερικα μηχανηματα του εσωτερικου μου δικτυου και εχω επιτρεψει μονο το subnet απο το σπιτι μου, απο τα vpn μου και το εξοχικο.

Δεν εχει αναφερθει ακομα πως ανοιγουμε πορτες στο ΜΤ οταν το εχουμε PPOE client εδω : http://www.icafemenu.com/how-to-port-forward-in-mikrotik-router.htm

@gsan δεν καταλαβα με τα διπλα gateways τι γινεται? εχεις μεγαλυτερη ταχυτητα? εχω δει και εγω οτι γινεται να ειναι συνδεδεμενο και το adsl router αλλα και το ppoe client αλλα δεν ειδα τον λογο και το αφησα bridge τελικά. Συμφωνω και εγω οτι δεν υπαρχει λογος και δεν εχουν νοημα 2 gw's.

τα έχω βάλει, αλλά ειδικά από κίνα έβλεπα ότι με έψαχναν πολύ συχνά πυκνά. οποτε σαν added layer ....

τα έχω βάλει, αλλά ειδικά από κίνα έβλεπα ότι με έψαχναν πολύ συχνά πυκνά. οποτε σαν added layer ....

Συνήθως τέτοιους ελέγχους κάνουν όταν κατεβάζεις torrents.
Διαφορετικά είναι πολύ σπάνιο κάποιος από τόσο μακριά να ενδιαφερθεί για να παραβιάσει το δίκτυό σου.

Δεν εχει αναφερθει ακομα πως ανοιγουμε πορτες στο ΜΤ οταν το εχουμε PPOE client εδω : http://www.icafemenu.com/how-to-port-forward-in-mikrotik-router.htm


ΠΡΟΣΟΧΗ, με αυτό τον τρόπο κάνεις ρύθμιση του ΝΑΤ, θα πρέπει να υπάρχουν και firewall rules, γιατί το ΝΑΤ μπορείς να το ξεγελάσεις.
γενικά ΝΑΤ is not firewall.

Τελικά αποφάσισα να μην πειράξω τις ρυθμίσεις του QoS.
Εχθές που το δοκίμασα με torrent απέδιδε καλά.
Θα κάνω και άλλους ελέγχους και θα επανέλθω στο θέμα QoS αν χρειαστεί.

Επίσης παρατήρησα ότι εχθές το βράδυ υπήρχαν κάποιες αποσυνδέσεις στο pppoe client σε συγκεκριμένη ώρα για περίπου 2λεπτά.
Όλη την διάρκεια της μέρας εχθές δεν υπήρχε κανένα πρόβλημα.
Σήμερα το βράδυ υπήρχε η ίδια κατάσταση αλλά σε περισσότερες χρονικές στιγμές.
Μετά από ένα reboot η κατάσταση σταθεροποιήθηκε.
Στις αποσυνδέσεις δεν υπήρχε απώλεια της DSL σύνδεσης.
Υπέθεσα ότι μπορεί να είναι θέμα ΟΤΕ με αναβαθμίσεις που κάνουν τις βραδυνές ώρες.
Αποφάσισα να πειράξω και κάποιες τιμές στο pppoe client.
Άλλαξα την τιμή του MRRU από 1600 > 1492 (αν και η συγκεκριμένη τιμή έχει λόγο μόνο σε πολλαπλές συνδέσεις).
Επίσης το Keepalive Timeout του άλλαξα τιμή από 60 > 10.
Θα το παρατηρήσω και σήμερα.

πάντως στους κανόνες που λέει jump tcp-udp σε αντίστοιχα δικά του chains, το έχω κάνει να ισχύει ΜΟΝΟ για ότι έρχεται από το pppoe-1. νομίζω είναι τσάμπα φόρτος για το mtik να τα κάνει για ΟΛΟ το δίκτυο αυτά.

πάντως στους κανόνες που λέει jump tcp-udp σε αντίστοιχα δικά του chains, το έχω κάνει να ισχύει ΜΟΝΟ για ότι έρχεται από το pppoe-1. νομίζω είναι τσάμπα φόρτος για το mtik να τα κάνει για ΟΛΟ το δίκτυο αυτά.

Σωστή η παρατήρησή σου.
Αν είσαι σίγουρος για το εσωτερικό σου δίκτυο δεν το χρειάζεσαι.
Και εγώ το γύρισα μόνο για την pppoe client σύνδεση:

add chain=forward protocol=tcp action=jump jump-target=tcp in-interface=pppoe-out1\ comment="Make jumps to new chains"
add chain=forward protocol=udp action=jump jump-target=udp in-interface=pppoe-out1
add chain=forward protocol=icmp action=jump jump-target=icmp in-interface=pppoe-out1

ΠΡΟΣΟΧΗ, με αυτό τον τρόπο κάνεις ρύθμιση του ΝΑΤ, θα πρέπει να υπάρχουν και firewall rules, γιατί το ΝΑΤ μπορείς να το ξεγελάσεις.
γενικά ΝΑΤ is not firewall.

αυτό εννοείτε και φυσικά ουδέποτε εχω πει εγω κατι τετοιο. Firewall rules έχω απειρους αστακος το δικτυο τοσο στο ασυρματο δικτυο, οσο και στο Internet. To NAT χρειαζεται για αλλους λογους, παντως πορτες αν χρειαζονται πρεπει να ανοιχτουν απο το Mikrotik οταν δουλευουμε το adsl modem bridge και εχουμε PPOE CLIENT στο ΜΤ, γιατι πλεον δεν τις ανοιγουμε στο adsl router. Router = Mikrotik RB πλεον. Επειδη εχω κατι καμερες στο εξοχικο χρειαζομαι να ανοιξω πορτες και περναω εκει internet μεσω VPN, γιαυτο ειπα κιολας οτι εχω παντου firewall rules, μονο τα δικα μου subnet μπορουν να εχουν προσβαση. Bασικά εχω ανοιξει πορτα για το VPN και για το προγραμμα του καταγραφικου CCTV, 2 πορτες δλδ μονο.

αυτό εννοείτε και φυσικά ουδέποτε εχω πει εγω κατι τετοιο. Firewall rules έχω απειρους αστακος το δικτυο τοσο στο ασυρματο δικτυο, οσο και στο Internet. To NAT χρειαζεται για αλλους λογους, παντως πορτες αν χρειαζονται πρεπει να ανοιχτουν απο το Mikrotik οταν δουλευουμε το adsl modem bridge και εχουμε PPOE CLIENT στο ΜΤ, γιατι πλεον δεν τις ανοιγουμε στο adsl router. Router = Mikrotik RB πλεον. Επειδη εχω κατι καμερες στο εξοχικο χρειαζομαι να ανοιξω πορτες και περναω εκει internet μεσω VPN, γιαυτο ειπα κιολας οτι εχω παντου firewall rules, μονο τα δικα μου subnet μπορουν να εχουν προσβαση.

οχι δεν είπε κανένας μας κάτι τέτοιο, αλλά το tutorial για το ΝΑΤ δεν έλεγε τίποτα. και όταν το ακολουθήσει κάποιος θα έχει ανοίξει τις πόρτες τους και θα είναι ξεβράκωτος γιατί δεν θα έχει firewall.

οχι δεν είπε κανένας μας κάτι τέτοιο, αλλά το tutorial για το ΝΑΤ δεν έλεγε τίποτα. και όταν το ακολουθήσει κάποιος θα έχει ανοίξει τις πόρτες τους και θα είναι ξεβράκωτος γιατί δεν θα έχει firewall.

Το tutorial αναφερει πως ανοιγεις πορτες στο Mikrotik, το πως κανεις firewall ειναι σε αλλα tutorials, λογικο δεν είναι? ενω στα adsl router τι κανουν ολοι? ειτε κλειστο εντελως firewall ειτε και ανοιχτο μαπα εντελως 100% και ανοιγουν πορτες καργα για ολα η ακομα χειροτερα ανοιχτα ολα σε μια εσωτερικη ip. Εξαλου εδω εγω το συμπληρωσα επειδη ηδη εχουμε πει για το firewall αλλα δεν εχουμε πει πως ανοιγουμε πορτες σε Mikrotik. Τωρα αν καποιος δεν ξερει απο Mikrotik και παει και ανοιξει μονο πορτες τι να πω. Παντως ppoe client σε MT αν δεν βαλεις firewall rules εισαι ξεφραγο αμπελι. Στο δικό μου είχα κάνει το PPOE πριν κανω FW rules και τα logs των επιθεσεων ηταν κατι σελιδες!!! βασικα με port scanners βρηκαν ανοιχτο telnet και SSH και εκει προσπαθουσαν να μπουν με ονοματα χρηστη admin και root! ΛΟΛ!!! εννοειτε οτι στο ΜΤ κανουμε το admin disable αφου εχουμε κανει χρηστη με άλλο ονομα και πληρη δικαιωματα για να μπαινουμε, το admin ειναι default και αυτο δοκιμαζουν πρωτα. Για περισσότερη ασφαλεια μην ανοιγετε την πορτα του Winbox προς το Internet, μπαινουμε με web interface ή SSH (δεν χρειαζεται και το telnet ανοιχτό), αλλα και παλι μπορειτε να εχετε ενα VPN (αυτο κανω εγω) να μπαινετε απο εκει στο εσωτερικο σας δικτυο που ειναι ποιο ασφαλες ακόμα αντι να εχουμε ανοιχτα προς το internet το winbox, ssh και telnet. Και για τον asterisk το ιδιο ισχυει για οσους εχουν, εχουν γινει πολλα περιστατικά με υποκλοπες κλησεων, πχ καποιος να κανει login σαν extention και να παιρνει τηλ απο το σταθερο μας!!! :lol:
Το ποιό ασφαλες VPN είναι το OpenVPN (ΟVPN στο Mikrotik), Παλιοτερα που δουλευα με το Rspro + οpenwrt αντι 433ΑΗ ειχα στησει 3, αλλα ο server ηταν στο openwrt και στο εξοχικο ηταν ovpn client το mikrotik εκεί. Τωρα εχω βολευτει με το PPTP VPN αλλά δεν είναι τοοοοοσο ασφαλες οσο το Openvpn που ειναι κορυφαιο. Επισης τα μειονεκτηματα στο mikrotik ειναι οτι δεν υποστηριζει UDP (μονο ΤCP) ουτε LZO compression.

Υ.Γ προσοχή μην κανει κανεις disable το admin account ΠΡΙΝ Κανει account χρηστη με πληρη δικαιωματα! ναι το ειχα κανει και μετα επαναφορα....:rofl::lol:

για όποιον τον ενδιαφέρει, το firewall που τρέχω είναι το εξής:




/ip firewall filter
add action=drop chain=input comment="Drop Invalid connections" \
connection-state=invalid
add chain=input comment="Allow Established connections" connection-state=\
established
add action=drop chain=virus comment="Drop Spammer" dst-port=25 protocol=tcp \
src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=\
1d chain=virus comment="add to spammer list" connection-limit=30,32 \
dst-port=25 limit=10,5 protocol=tcp src-address-list=!smtpOK
add action=drop chain=virus comment="SMTP SPAM stopper!" dst-port=25 \
protocol=tcp src-address-list=!smtpOK
add action=drop chain=virus comment="Drop 53 DoS attack" dst-port=53 \
protocol=tcp src-address-list=spammer
add action=drop chain=virus comment="Drop 53 DoS attack" dst-port=53 \
protocol=udp src-address-list=spammer
add action=drop chain=virus comment="Drop 80 DoS attack" dst-port=80 \
protocol=tcp src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=\
2d chain=virus comment="Drop 80 DoS attack" connection-limit=40,32 \
dst-port=80 limit=20,5 protocol=tcp src-address-list=!smtpOK
add action=drop chain=input comment="Drop FTP BruteForce Attack" dst-port=21 \
protocol=tcp src-address-list=ftp_blacklist
add chain=output content="530 Login incorrect" dst-limit=\
1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
address-list-timeout=3h chain=output content="530 Login incorrect" \
protocol=tcp
add action=drop chain=input comment="Drop SSH BruteForce Attack" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add Port Scanners To List" \
protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="NMAP FIN Stealth " protocol=\
tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment=SYN/FIN protocol=tcp \
tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment=SYN/RST protocol=tcp \
tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="FIN/PSH/URG " protocol=tcp \
tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment=ALL/ALL protocol=tcp \
tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \
tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="NMAP NULL" protocol=tcp \
tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Port scanners to list " \
protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop ALL Port Scanners" \
src-address-list="port scanners"
add action=drop chain=input comment="Drop Invalid Connections" \
connection-state=invalid
add chain=input comment="Accept UDP" protocol=udp
add action=drop chain=input comment="Drop Pings After 5sec" limit=0,5 \
protocol=icmp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \
protocol=tcp src-address-list=ftp_blacklist
add chain=output content="530 Login incorrect" dst-limit=\
1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
address-list-timeout=3h chain=output content="530 Login incorrect" \
protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp
add chain=input comment="Allow ICMP" protocol=icmp
add chain=input in-interface=!forthnet src-address=10.140.xx.0/24
add chain=input comment=SSTP dst-port=443 protocol=tcp
add chain=input comment=PPTP dst-port=1723 protocol=tcp
add chain=input protocol=gre
add chain=input comment=OpenVPN dst-port=1194 protocol=tcp
add chain=input comment=L2TP dst-port=500 protocol=udp
add chain=input dst-port=1701 protocol=udp
add chain=input dst-port=4500 protocol=udp
add chain=input protocol=ipsec-esp
add action=drop chain=input comment="Drop everything else"
add chain=forward comment="allow already established connections" \
connection-state=established
add chain=forward comment="allow related connections" connection-state=\
related
add action=drop chain=forward comment="block bogon ip addresses" src-address=\
0.0.0.0/8
add action=drop chain=forward comment="block bogon ip addresses" dst-address=\
0.0.0.0/8
add action=drop chain=forward comment="block bogon ip addresses" src-address=\
127.0.0.0/8
add action=drop chain=forward comment="block bogon ip addresses" dst-address=\
127.0.0.0/8
add action=drop chain=forward comment="block bogon ip addresses" src-address=\
224.0.0.0/3
add action=drop chain=forward comment="block bogon ip addresses" dst-address=\
224.0.0.0/3
add chain=forward comment="Allow from Summer" dst-address=10.140.xx.0/26 \
src-address=10.140.yy.0/26
add action=jump chain=forward comment="make jumps to new chains" \
in-interface=forthnet jump-target=tcp protocol=tcp
add action=jump chain=forward comment="make jumps to new chains" \
in-interface=forthnet jump-target=udp protocol=udp
add action=jump chain=forward comment="make jumps to new chains" \
in-interface=forthnet jump-target=icmp protocol=icmp
add action=log chain=forward comment="Log everything else" in-interface=\
forthnet
add action=drop chain=forward comment="Drop everything else" in-interface=\
forthnet
add action=drop chain=tcp comment="deny TFTP" dst-port=69 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 \
protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 \
protocol=tcp
add action=drop chain=tcp comment="deny NBT" dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment="deny cifs" dst-port=445 protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 \
protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\
tcp
add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 protocol=tcp
add action=drop chain=udp comment="deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 \
protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 \
protocol=udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp
add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=\
udp
add chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add chain=icmp comment="host unreachable fragmentation required" \
icmp-options=3:4 protocol=icmp
add chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add chain=tcp comment="Open Port SSH" dst-address=10.xxx.xxx.5 dst-port=22 \
in-interface=forthnet limit=1,5 protocol=tcp src-address-list=GR
add action=drop chain=tcp comment="Drop SSH BruteForce Attack" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=tcp connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=tcp connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=tcp connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=tcp connection-state=new dst-port=22 \
protocol=tcp
in-interface=forthnet limit=1,5 protocol=tcp src-address-list=GR
add chain=tcp dst-address=10.140.xx.5 dst-port=25,32400,p2p \
in-interface=forthnet protocol=tcp
add chain=udp dst-address=10.140.xx.5 dst-port=p2p in-interface=\
forthnet protocol=udp
add action=drop chain=tcp comment="Drop remaining TCP"
add action=drop chain=udp comment="Drop remaining UDP"
add action=drop chain=icmp comment="Drop remaining PING"



η λογική είναι:
1. διαχείριση πακέτων προς mtik (input) και ξεκαθάρισμα απειλών προς router
2. διαχωρισμός πακέτων σε tcp,udp,ping
3. διαχείριση απειλών στο κάθε chain
4. άνοιγμα port στο κάθε chain

Πωπω! πολυ πραμα ρε συ! :oneup: εσυ εχεις παραπανω firewall rules και απο του Mikrotik wiki , θέλει πολυ μελέτη το πράγμα. Πάντως ένα είναι σίγουρο οτι το firewall του Mikrotik είναι απλά απίστευτο.:p

αυτό που θέλω να κάνω είναι να περάσω tor στο mtik.

υπάρχει και σχετικό guide (http://wiki.mikrotik.com/wiki/Use_Metarouter_to_Implement_Tor_Anonymity_Software) αλλά δεν έχω προλάβει ακόμα.

Καλα στην ουσια δεν το περνας στο Μικροτικ αλλα στο openwrt, το TOR μονο γιατι τα αλλα ειναι ρυθμισεις του ΜΤ, οτι παιζει απο το metarouter τρεχει στο openwrt πλεον, οπως και ο asterisk. Εγω εκανα μια δοκιμη στο 711 για να δω πως ειναι το metarouter, οπως εχω ξαναπει εχω ηδη ενα routerstation pro http://www.ubnt.com/rspro και καθεται και εχει openwrt οποτε ολες τις δοκιμες που θελω τις κανω εκει, ή στο εικονικο virtualbox με openwrt για να μην πειραζω το Rspro, δεν θα ξαναδοκιμασω metarouter στο ΜΤ αλλωστε το 711 και 411 που εχω και καθονται ειναι μικρης ram και cpu και δεν σηκωνουν πολλα πολλα. Φυσικά οτιδηποτε κανουμε επανω στο Μικροτικ ενδιαφερει το θεμα ας ειναι τα αλλα στο openwrt γιατι ειναι δυνατοτητες που μπορουμε να κάνουμε με routerboards της Mikrotik και αξιζει να τα εκμεταλλευτούμε πλήρως, μεχρι να τα λιωσουμε....:respekt::worthy::rofl:
Μεγαλη μανουρα το TOR, το ειχα στησει σε debian testing καποτε στο pc μου δλδ αλλα τωρα δεν το εχω πλεον, ειχα και γραφικο περιβαλλον το vidalia πως το λεγανε.


Αν βάλεις καρφωτά στην κάρτα DNSv6 θα δουλέψει φαντάζομαι.
Για δοκίμασε και πες μου.


Που λες? δεν κατάλαβα :sorry:

Επειδή τρώω πολλά attack στον asterisk θα με καλύψουν τα rules που ποστάρισε ο xhaos ? ή να ρυθμίσω το netfilter στο metarouter ?