Αν βλέπεις τον παρακάτω κανόνα ΠΡΙΝ απο άλλους κανόνες στο input προσπέρνα. Είναι απο άσχετο.
Βάλε το DEFAULT firewall και επάνω του άλλαξε ότι θες.



add action=drop chain=input in-interface-list=!LAN comment="DEFAULT: Drop all other traffic not coming from LAN."

Μονο στο τελος μπαινει αυτος ο κανονας.

Αν βλέπεις τον παρακάτω κανόνα ΠΡΙΝ από άλλους κανόνες στο input προσπέρνα. Είναι από άσχετο.
Βάλε το DEFAULT firewall και επάνω του άλλαξε ότι θες.



add action=drop chain=input in-interface-list=!LAN comment="DEFAULT: Drop all other traffic not coming from LAN."

Δεν το κατάλαβα τι εννοείς προσπέρνα. Έτσι όπως το θέτεις τα παραπάνω είναι σωστά.
Δεν μου απάντησες στα ερώτημά μου που ποστάρισα. Τι εννοείς restore default? Reset Configuration? Ποια είναι η σωστότερη διαδικασία να ακολουθήσω?
Εάν δεν έχεις πρόβλημα πόσταρε το δικό σου firewall εδώ για να το συγκρίνω.
Μια ακόμη ερώτηση τα certificaion keys μπορώ να τα κάνω export και μετά από reset να τα ξανακάνω import και να δουλέψουν ή πρέπει να τα ξαναδημιουργήσω απο την αρχή>

Δεν το κατάλαβα τι εννοείς προσπέρνα. Έτσι όπως το θέτεις τα παραπάνω είναι σωστά.
Δεν μου απάντησες στα ερώτημά μου που ποστάρισα. Τι εννοείς restore default? Reset Configuration? Ποια είναι η σωστότερη διαδικασία να ακολουθήσω?
Εάν δεν έχεις πρόβλημα πόσταρε το δικό σου firewall εδώ για να το συγκρίνω.
Μια ακόμη ερώτηση τα certificaion keys μπορώ να τα κάνω export και μετά από reset να τα ξανακάνω import και να δουλέψουν ή πρέπει να τα ξαναδημιουργήσω απο την αρχή>

https://wiki.mikrotik.com/wiki/Manual:Reset

σβήσε τα πάντα και ξεκίνα απο την αρχή

προσπέρνα = το firewall είναι λάθος, κοίτα αλλού

τα certs τα κάνεις export και μετά Import
δεν φτιάχνεις καινούργια

https://wiki.mikrotik.com/wiki/Manual:Reset

σβήσε τα πάντα και ξεκίνα απο την αρχή

προσπέρνα = το firewall είναι λάθος, κοίτα αλλού

τα certs τα κάνεις export και μετά Import
δεν φτιάχνεις καινούργια

Έχεις δίκιο (θα εξοπλιστώ με υπομονή) μετά το reset θα αφήσω το δικό του firewall και θα χτίσω πάνω του. Σε κάθε απορία μιλάμε.
Γνωρίζω για το reset με το κουμπί μήπως καλύτερα να το κάνω και με το netinstall?

Έχεις δίκιο (θα εξοπλιστώ με υπομονή) μετά το reset θα αφήσω το δικό του firewall και θα χτίσω πάνω του. Σε κάθε απορία μιλάμε.
Γνωρίζω για το reset με το κουμπί μήπως καλύτερα να το κάνω και με το netinstall?

αν έχεις όρεξη ακόμα καλύτερα αρκεί να μήν τικάρεις το keep old configuration

αν έχεις όρεξη ακόμα καλύτερα αρκεί να μήν τικάρεις το keep old configuration
Αυτό το keep old configuration υπάρχει και στο netinstall δεν θυμάμαι. Στο winbox είναι μέσα σαν επιλογή.

Παρε ενα export file=backup και στηστο απο την αρχη.

Με ποιο τρόπο τρόπο θα κρατήσω το default configuration όσο αφορά το firewall? Μετά το netinstall έχω την εντύπωση ότι δεν κρατά το default.

- - - Updated - - -


Παρε ενα export file=backup και στηστο απο την αρχη.

Έχω ήδη ετοιμαστεί με τα backup αλλά μήπως έχω θέμα με το υπάρχον configuration και κάνοντας backup θα έχω τα ίδια. Θα δοκιμάσω και θα δω.
Ξέρεις κάποιος που μπορώ να βρω το deafault firewall που έχει μέσα το mikrotik? Το ψάχνω.

Βαλτο να κανει reset conf. και πριν το κανεις εκει που εχει το keep old, εχει αλλο ενα check box που λεει load default conf.

Βαλτο να κανει reset conf. και πριν το κανεις εκει που εχει το keep old, εχει αλλο ενα check box που λεει load default conf.

Καλημέρα
Το γνωρίζω, απλά δεν θα ήθελα και όλα τα άλλα που έχει μέσα στο load default conf θα προτιμούσα remove το default και να έχω κάπου το default firewall.
Τώρα που το σκέφτομαι αυτό γίνεται κάνοντας export μόνο το firewall και μετά reset πάλι.
Πάντως χθες που έκανα import διάφορα backups που είχα δεν διορθώθηκε κάτι.

Και καπως αλλιως φορτωνει το default αλλα δε το θυμαμαι.................. οποιος το βρει ας το ποσταρει.

...κάνε ;export το δικό σου που έχεις τώρα.... μετά πας στο load default conf.... κάνεις πάλι export....


στο notepad βάλε το παλιό όλο.... και αντικατέστησε το κομμάτι του filter με του default απ το 2ο export... και πέρασε το όλο πίσω... έτσι θα έχεις το παλιό σου config...με το default firewall filter!!!

...κάνε ;export το δικό σου που έχεις τώρα.... μετά πας στο load default conf.... κάνεις πάλι export....


στο notepad βάλε το παλιό όλο.... και αντικατέστησε το κομμάτι του filter με του default απ το 2ο export... και πέρασε το όλο πίσω... έτσι θα έχεις το παλιό σου config...με το default firewall filter!!!

Και έτσι γίνεται...αλλά μήπως πρέπει να στηθούν όλα από την αρχή με ένα Netinstall και να ησυχάσω μια και καλή.

Και έτσι γίνεται...αλλά μήπως πρέπει να στηθούν όλα από την αρχή με ένα Netinstall και να ησυχάσω μια και καλή.


δες αν σε βοηθάει αυτό με ρεσετ απ το κουμπάκι ειναι



MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK

MikroTik RouterOS 6.43.2 (c) 1999-2018 http://www.mikrotik.com/

[?] Gives the list of available commands
command [?] Gives help on the command and list of arguments

[Tab] Completes the command/word. If the input is ambiguous,
a second [Tab] gives possible options

/ Move up to base level
.. Move up one level
/command Use command at the base level
jan/02/1970 00:00:13 system,error,critical router was rebooted without proper shutdown
[admin@MikroTik] > export
# jan/02/1970 00:01:13 by RouterOS 6.43.2
# software id = TG0H-PEX9
#
# model = RouterBOARD 941-2nD
# serial number = 8BxxxxxxxxxxxxF
/interface bridge
add admin-mac=CC:2D:E0:8B:92:B1 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-8B92B5 wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@MikroTik] >










- - - Updated - - -

και αυτό με ρεσετ μεσα απ το winbox ειναι ( αν και δε νομίζω να έχει διαφορά )















MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK

MikroTik RouterOS 6.43.2 (c) 1999-2018 http://www.mikrotik.com/

[?] Gives the list of available commands
command [?] Gives help on the command and list of arguments

[Tab] Completes the command/word. If the input is ambiguous,
a second [Tab] gives possible options

/ Move up to base level
.. Move up one level
/command Use command at the base level
The following default configuration has been installed on your router:
-------------------------------------------------------------------------------
RouterMode:
* WAN port is protected by firewall and enabled DHCP client
* Wireless and Ethernet interfaces (except WAN port ether1)
are part of LAN bridge
wlan1 Configuration:
mode: ap-bridge;
band: 2ghz-b/g/n;
tx-chains: 0;1;
rx-chains: 0;1;
ht-extension: 20/40mhz-Ce;
LAN Configuration:
IP address 192.168.88.1/24 is set on bridge (LAN port)
DHCP Server: enabled;
WAN (gateway) Configuration:
gateway: ether1 ;
ip4 firewall: enabled;
NAT: enabled;
DHCP Client: enabled;
DNS: enabled;

-------------------------------------------------------------------------------
You can type "v" to see the exact commands that are used to add and remove
this default configuration, or you can view them later with
'/system default-configuration print' command.
To remove this default configuration type "r" or hit any other key to continue.
If you are connected using the above IP and you remove it, you will be disconnected.

Failed to confirm this configuration
[admin@MikroTik] > export
# jan/02/1970 00:01:49 by RouterOS 6.43.2
# software id = TG0H-PEX9
#
# model = RouterBOARD 941-2nD
# serial number = 8BxxxxxxxxxxxxxxxxF
/interface bridge
add admin-mac=CC:2D:E0:8B:92:B1 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-8B92B5 wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@MikroTik] >

δες αν σε βοηθάει αυτό με ρεσετ απ το κουμπάκι ειναι



MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK

MikroTik RouterOS 6.43.2 (c) 1999-2018 http://www.mikrotik.com/

[?] Gives the list of available commands
command [?] Gives help on the command and list of arguments

[Tab] Completes the command/word. If the input is ambiguous,
a second [Tab] gives possible options

/ Move up to base level
.. Move up one level
/command Use command at the base level
jan/02/1970 00:00:13 system,error,critical router was rebooted without proper shutdown
[admin@MikroTik] > export
# jan/02/1970 00:01:13 by RouterOS 6.43.2
# software id = TG0H-PEX9
#
# model = RouterBOARD 941-2nD
# serial number = 8BxxxxxxxxxxxxF
/interface bridge
add admin-mac=CC:2D:E0:8B:92:B1 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-8B92B5 wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@MikroTik] >










- - - Updated - - -

και αυτό με ρεσετ μεσα απ το winbox ειναι ( αν και δε νομίζω να έχει διαφορά )















MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK

MikroTik RouterOS 6.43.2 (c) 1999-2018 http://www.mikrotik.com/

[?] Gives the list of available commands
command [?] Gives help on the command and list of arguments

[Tab] Completes the command/word. If the input is ambiguous,
a second [Tab] gives possible options

/ Move up to base level
.. Move up one level
/command Use command at the base level
The following default configuration has been installed on your router:
-------------------------------------------------------------------------------
RouterMode:
* WAN port is protected by firewall and enabled DHCP client
* Wireless and Ethernet interfaces (except WAN port ether1)
are part of LAN bridge
wlan1 Configuration:
mode: ap-bridge;
band: 2ghz-b/g/n;
tx-chains: 0;1;
rx-chains: 0;1;
ht-extension: 20/40mhz-Ce;
LAN Configuration:
IP address 192.168.88.1/24 is set on bridge (LAN port)
DHCP Server: enabled;
WAN (gateway) Configuration:
gateway: ether1 ;
ip4 firewall: enabled;
NAT: enabled;
DHCP Client: enabled;
DNS: enabled;

-------------------------------------------------------------------------------
You can type "v" to see the exact commands that are used to add and remove
this default configuration, or you can view them later with
'/system default-configuration print' command.
To remove this default configuration type "r" or hit any other key to continue.
If you are connected using the above IP and you remove it, you will be disconnected.

Failed to confirm this configuration
[admin@MikroTik] > export
# jan/02/1970 00:01:49 by RouterOS 6.43.2
# software id = TG0H-PEX9
#
# model = RouterBOARD 941-2nD
# serial number = 8BxxxxxxxxxxxxxxxxF
/interface bridge
add admin-mac=CC:2D:E0:8B:92:B1 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-8B92B5 wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@MikroTik] >




Τι έγινε είχες έτοιμο ρουτερ για δοκιμές ή τα βρήκες?....:oneup: Ευχαριστώ
Τα ίδια φαίνονται από ότι βλέπω.

Τι έγινε είχες έτοιμο ρουτερ για δοκιμές ή τα βρήκες?....:oneup: Ευχαριστώ
Τα ίδια φαίνονται από ότι βλέπω.

το είχα ξεχασμένο στο συρτάρι εδώ δίπλα... ;)

Δεν μπορώ να κατανοήσω στο default firewall στους παρακάτω κανόνες γιατί να υπάρχει δηλωμένο το in interface list και όχι το απλό in.interface ποια η διαφορά τους ξέρει κανείς?
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

Για να αποφυγει τους πολλους κανονες στο filter φτιαχνει μια list.

Για να αποφυγει τους πολλους κανονες στο filter φτιαχνει μια list.

Ποιους πολλούς κανόνες? οι παραπάνω δεν μπορούν να γραφτούν όπως παρακάτω? Ποια η διαφορά;
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=WAN
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface=!LAN

Λίστα είναι ότι όταν έχεις πολλά μαζί interfaces και τα βάζεις όλα μαζί σε μια λίστα. Σωστά; Πρόσεξα ότι είναι δηλωμένα στα interfaces lists.

- - - Updated - - -

Έκανα reset από μέσα->Remove Configuration τα έστησα όλα από την αρχή (τα βασικά) πέρασα το default firewall και πέρασα τους κανόνες των port scan και πάλι δεν δούλεψε!!!!


/ip firewall filter
add action=accept chain=input comment= "defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="Port Scanners"

add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment= "defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment= "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

Τους άλλαξα τη σειρά παντού αλλά και πάλι τίποτα. Το επόμενο βήμα θα είναι να το κάνω με το netinstall που τα σβήνω όλα και περνάει το πακέτο της ROS από την αρχή. Δεν ξέρω τι άλλο να υποθέσω;

- - - Updated - - -

Λοιπόν τα έστησα όλα από την αρχή με το netinstall, άρα το config εντελώς κενό. Έβαλα το default firewall και εκεί πρόσθεσα τους κανόνες των port scan.
Τρέχω από το κινητό μου στην εξωτερική Ip του Mikrotik αλλά και πάλι οι κανόνες δεν δουλεύουν.


/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="Port Scanners"

add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

Έχει κάποιος κάποια ιδέα τι μπορεί να συμβαίνει??
Μου έχει σπάσει τα νεύρα δεν μπορώ να το εξηγήσω??

Μονο του το post scan σου δουλεψε? Δοκιμασες απο το site που ποσταρα?

Μονο του το post scan σου δουλεψε? Δοκιμασες απο το site που ποσταρα?

Ναι Macro δοκίμασα και μόνο του και με το site που μου είπες...
Δεν μπορώ να το εξηγήσω??
Ενώ οι κανόνες δουλεύουν εσωτερικά (LAN) απ'έξω είναι λες και δεν περνάει καθόλου προς τον ρουτερ. Πως να τσεκάρω τη δρομολόγηση των πακέτων?

Έτσι όπως το έχεις το σωστό είναι να μήν δουλεύει πάντως.

Έτσι όπως το έχεις το σωστό είναι να μήν δουλεύει πάντως.
Μου είπες να βάλω το default firewall και το έκανα. Τι άλλο να κάνω? Ποιο είναι το σωστό? Και μόνο τους κανόνες του port scan να βάλω και πάλι δεν δουλεύει.

Θα γίνω αντιπαθητικός αλλά ΔΙΑΒΑΣΕ το firewall σου και δές το λάθος.

Το έχεις ξανακάνει τόσες φορές και το έχω ξαναπεί άλλες τόσες.

Το default είναι ολόσωστο απο μόνο του.

Θα γίνω αντιπαθητικός αλλά ΔΙΑΒΑΣΕ το firewall σου και δές το λάθος.

Το έχεις ξανακάνει τόσες φορές και το έχω ξαναπεί άλλες τόσες.

Το default είναι ολόσωστο απο μόνο του.

Καλημέρα
Προσπαθώ να βάλω μέσα τους κανόνες και κατανοώ ότι παίζει ρόλο η σειρά τους, όμως επειδή τους έχω βάλει παντού μέσα και μάλιστα και μόνοι τους με απενεργοποιημένους τους υπόλοιπους πάλι δεν δουλεύουν. Σίγουρα κάτι κάνω λάθος.
Διαβάζω όλους του κανόνες εδώ μέσα, επίσης δοκιμάζω τους κανόνες του macro πάλι τα ίδια!!
Να τονίσω επίσης ότι όλοι δεν έχουμε την ίδια αντίληψη-μυαλό-εμπειρία για αυτά τα θέματα και εάν υπάρχει λίγο διάθεση όλα αντιμετωπίζονται.

Δε διαφωνώ αλλά όταν βλέπω μετά τον drop all others να βάζεις κανόνες στο ίδιο chain ενώ το έχω πεί τόσες φορές τί να κάνω?
Το παρακάτω δουλεύει σίγουρα.
Βάλε στο
http://www.t1shopper.com/tools/port-scan/
την ΙΡ σου και δοκίμασε να βάλεις στο port range 1-800 (στα κουτάκια ξεχωριστά)


Σβήσε το όλο και βάλε το παρακάτω (άλλαξα μόνο τη σειρά).

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="Port Scanners"

add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN


add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN



Αν δε δουλέψει φτιάξε ένα system-user-group μόνο με read/write/winbox και αντίστοιχα ένα χρήστη σε αυτό το group να μας δώσεις πρόσβαση μέσω winbox.
(και το αντίστοιχο firewall rule)
Δε θα μπορούμε να δούμε κωδικούς. Αν φοβάσαι μήπως τα σβήσουμε όλα δώσε χωρίς το write.
(Με ΠΜ)

Δε διαφωνώ αλλά όταν βλέπω μετά τον drop all others να βάζεις κανόνες στο ίδιο chain ενώ το έχω πεί τόσες φορές τί να κάνω?
Το παρακάτω δουλεύει σίγουρα.
Βάλε στο
http://www.t1shopper.com/tools/port-scan/
την ΙΡ σου και δοκίμασε να βάλεις στο port range 1-800 (στα κουτάκια ξεχωριστά)


Σβήσε το όλο και βάλε το παρακάτω (άλλαξα μόνο τη σειρά).

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="Port Scanners"

add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN


add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN



Αν δε δουλέψει φτιάξε ένα system-user-group μόνο με read/write/winbox και αντίστοιχα ένα χρήστη σε αυτό το group να μας δώσεις πρόσβαση μέσω winbox.
(και το αντίστοιχο firewall rule)
Δε θα μπορούμε να δούμε κωδικούς. Αν φοβάσαι μήπως τα σβήσουμε όλα δώσε χωρίς το write.
(Με ΠΜ)

Θόδωρε το ξέρω και σε ευχαριστώ αυτό με το drop all not coming from LAN το κατάλαβα και μου το έχεις τονίσει πολλές φορές, αλλά επειδή δεν δουλεύει για αυτό επέμενα.
Επίσης μετά από πολλές μετακινήσεις ανέβασα τη λανθασμένη θέση. Τα χω "παίξει" τελείως...:)

Το http://www.t1shopper.com/tools/port-scan/ έχει θέμα είναι κατεβασμένο?

Έχεις PM.

Μόνο σε παρακαλώ όταν τελειώσεις ενημέρωσε με να κλείσω την πόρτα.

- - - Updated - - -

Για να το κλείσουμε το θέμα και μετά τη βοήθεια του teodor οι κανόνες δουλεύουν κανονικά, απλά η cosmote έχει προστασία σε κάποιο range από πόρτες και δεν άφηνε εξαρχής να περάσουν.
Τζάμπα όλος ο κόπος.

Κάπου εντόπισα για disable τον fasttract connection κανόνα. Ισχύει? Καταρχάς τι κάνει αυτός ο κανόνας και γιατί είναι μέσα στον default firewall?
Αναφέρει ότι σε περίπτωση που θέλεις να χρησιμοποιήσεις queues τότε τον κάνεις disable.

https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack

https://www.youtube.com/watch?v=6LaqhDm6PHI

Ναι ετσι ειναι. Απλα τον σουταρεις.

...άλλαξα το σεταπ μου... έβαλα τις γραμμές μου στο στο tp-link 470+ και από αυτό στο rb3011 στην ether1

αν δώσω στην ether1
4 ip's

192.168.5.10
192.168.5.20
192.168.5.30
192.168.5.40

με το σκεπτικό στο 470 να τις δρομολογώ μία σε κάθε wan μου.


στα routes τι κανόνες θέλω για να μου δουλέψει στα mangles το new routing mark?

dst.add. 192.168.5.0/24 να εχει gateway την ether1.

dst.add. 192.168.5.0/24 να εχει gateway την ether1.

αυτό υπάρχει στα routes μέσα....

δε θέλει 4 κανόνες με το το καθένα να έχει αντίστοιχα... το δικό του routing mark... to_wan1 to_wan2... κτλ

...άλλαξα το σεταπ μου... έβαλα τις γραμμές μου στο στο tp-link 470+ και από αυτό στο rb3011 στην ether1

αν δώσω στην ether1
4 ip's

192.168.5.10
192.168.5.20
192.168.5.30
192.168.5.40

με το σκεπτικό στο 470 να τις δρομολογώ μία σε κάθε wan μου.


στα routes τι κανόνες θέλω για να μου δουλέψει στα mangles το new routing mark?

Τα mangles θα χρειάζονταν αν ήθελές να κάνεις το Load balance στο Mikrotik, οπότε δεν θα είχε και λόγο ύπαρξης το TPLink.

Στην περίπτωσή σου το Load balance θα γίνετε στο ΤPLink.
Όποτε το μόνο που χρειάζεσαι είναι ένα default route προς το TPLink

Τα mangles θα χρειάζονταν αν ήθελές να κάνεις το Load balance στο Mikrotik, οπότε δεν θα είχε και λόγο ύπαρξης το TPLink.

Στην περίπτωσή σου το Load balance θα γίνετε στο ΤPLink.
Όποτε το μόνο που χρειάζεσαι είναι ένα default route προς το TPLink

μάλλον δεν το έγραψα καλά....


στο 470+ έχω την 192.168.5.1/24 στο 3011 στην λαν1 την 192.168.5.2/24 όλα δουλεύουν οκ


στο 470+ μπορώ να του ορίσω πχ ότι η 192.168.5.10 θα βγαίνει απ την βαν1..... η 192.168.5.20 απ την βαν 2... η 192.168.5.30 απ την βαν3 και η 192.168.5.40 απ την βαν4


οπότε εχοντας αυτές της 4 ip's στην λαν1 του 3011.....

πως να ορίζω στα routes οτι ξέρεις το 192.168.5.10 να είναι το routing mark: wan1..... και το αντίστοιχο για της άλλες 3 ip's...

ώστε με τους αντίστοιχους κανόνες στο mangle.... να μπορώ να στείλω πχ τα mail μου απ την wan4...... το ιντερνετ banking απ την wan2 .... το pbx μου απ την wan1 κτλ

μάλλον δεν το έγραψα καλά....


στο 470+ έχω την 192.168.5.1/24 στο 3011 στην λαν1 την 192.168.5.2/24 όλα δουλεύουν οκ


στο 470+ μπορώ να του ορίσω πχ ότι η 192.168.5.10 θα βγαίνει απ την βαν1..... η 192.168.5.20 απ την βαν 2... η 192.168.5.30 απ την βαν3 και η 192.168.5.40 απ την βαν4


οπότε εχοντας αυτές της 4 ip's στην λαν1 του 3011.....

πως να ορίζω στα routes οτι ξέρεις το 192.168.5.10 να είναι το routing mark: wan1..... και το αντίστοιχο για της άλλες 3 ip's...

ώστε με τους αντίστοιχους κανόνες στο mangle.... να μπορώ να στείλω πχ τα mail μου απ την wan4...... το ιντερνετ banking απ την wan2 .... το pbx μου απ την wan1 κτλ

Καινούργια routes θα ήθελες αν είχες διαφορετικό gateway.
Εσύ θα συνεχίσεις να έχεις το ίδιο gateway 192.168.5.1

Αυτό μου χρειάζεσαι είναι να πιάσεις την κίνηση που θέλεις με κάποιο mangle και να ορίσεις ένα connection mark για αυτή.
Μετά θα πρέπει να κάνεις source nat για traffic με αυτό το connection mark προς το tplink στην αντίστοιχη ip πχ 192.168.5.10
Έτσι το Tplink θα βλέπει ότι αυτή η κίνηση έρχεται από την 192.168.5.10 και όχι από την 192.168.5.2

Επίσης φρόντισε ο καινούργιος source nat κανόνας να είναι πιο πάνω από τον γενικό που έχεις τώρα.
Και φυσικά να προσθέσεις τις ip 192.168.5.10 .20 .30 .40 στην ether1 του mikrotik

Καινούργια routes θα ήθελες αν είχες διαφορετικό gateway.
Εσύ θα συνεχίσεις να έχεις το ίδιο gateway 192.168.5.1

Αυτό μου χρειάζεσαι είναι να πιάσεις την κίνηση που θέλεις με κάποιο mangle και να ορίσεις ένα connection mark για αυτή.
Μετά θα πρέπει να κάνεις source nat για traffic με αυτό το connection mark προς το tplink στην αντίστοιχη ip πχ 192.168.5.10
Έτσι το Tplink θα βλέπει ότι αυτή η κίνηση έρχεται από την 192.168.5.10 και όχι από την 192.168.5.2

Επίσης φρόντισε ο καινούργιος source nat κανόνας να είναι πιο πάνω από τον γενικό που έχεις τώρα.
Και φυσικά να προσθέσεις τις ip 192.168.5.10 .20 .30 .40 στην ether1 του mikrotik

αρα θέλουμε κανόνα στο ΝΑΤ για να στέλνει το connection mark απ την ip της ether1 που θέλουμε στο 470 και μετά κανόνα mangle για να πιάνει την κίνηση που θέλουμε και να την δρομολογεί μέσου του connection mark


θα τσεκάρω και ενημερώνω.

Καλησπερα αγορια. Το γραφω εδω γιατι δεν ξερω που να το γραψω.
Πριν λιγες μερες δοκιμασα να μπω στο ρουτερ της forthnet (192.168.0.254) και ειδα οτι δεν απαντουσε η σελιδα. Ουτε σε ping. Οταν εκανα ping μεσα απο το μικροτικ (192.168.1.254) απαντουσε κανονικα.
Το εβγαλα απο το μικροτικ το συνεδεσα στο δικτυο σκετο και καταφερα ετσι να μπω στο web interface.
Με αφορμη την μεγαλη αναβαθμιση στο Ros εχθες, αναβαθμισα το mikrotik, reset configuration και στησιμο ολο απο την αρχη ομορφα και καθαρα.
Μετα την ολοκληρωση του στησιματος εξακολουθω να μην εχω προσβαση στο forthnet.
Απενεργοποιησα κανονες firewall μηπως και, το αποτελεσμα δεν αλλαξε.
Μαλλον αυτο που πρεπει να γινει ειναι να μπει η ip 192.168.0.254 στο address lists και με καποιο κανονα να επιτρεπεται η προσβαση, αλλα δεν ξερω πως και τι.

Καλησπερα αγορια. Το γραφω εδω γιατι δεν ξερω που να το γραψω.
Πριν λιγες μερες δοκιμασα να μπω στο ρουτερ της forthnet (192.168.0.254) και ειδα οτι δεν απαντουσε η σελιδα. Ουτε σε ping. Οταν εκανα ping μεσα απο το μικροτικ (192.168.1.254) απαντουσε κανονικα.
Το εβγαλα απο το μικροτικ το συνεδεσα στο δικτυο σκετο και καταφερα ετσι να μπω στο web interface.
Με αφορμη την μεγαλη αναβαθμιση στο Ros εχθες, αναβαθμισα το mikrotik, reset configuration και στησιμο ολο απο την αρχη ομορφα και καθαρα.
Μετα την ολοκληρωση του στησιματος εξακολουθω να μην εχω προσβαση στο forthnet.
Απενεργοποιησα κανονες firewall μηπως και, το αποτελεσμα δεν αλλαξε.
Μαλλον αυτο που πρεπει να γινει ειναι να μπει η ip 192.168.0.254 στο address lists και με καποιο κανονα να επιτρεπεται η προσβαση, αλλα δεν ξερω πως και τι.

Προφανώς χρειάζεσαι source nat στο interface που είναι συνδεδεμένο το router της forthnet.

Προσεξε το interface να ειναι out στο src.nat

Ευχαριστω πολυ και τους 2 σας. Επαιξε με: srcnat - out interface ether1 action masquerade.
Πως εξηγειτε οτι μεχρι πριν λιγο καιρο επαιζε και μια στιγμη αλλαξε;

Καλησπερα αγορια.
Στα mikrotik μου εχω περασμενο τα rules του denisun. Προσπαθωντας να μπω στο μηχανημα της δουλειας απο το σπιτι μεσω ip-cloud δεν με αφηνει. Το κοβει ο κανονας "drop input everything else.
Τι μπορω να κανω ουτως ωστε να μου επιτρεψει την προσβαση. Συμπληρωμα στον υπαρχον κανονα η προσθηκη αλλου ψηλοτερα στη σειρα.

Καλησπερα αγορια.
Στα mikrotik μου εχω περασμενο τα rules του denisun. Προσπαθωντας να μπω στο μηχανημα της δουλειας απο το σπιτι μεσω ip-cloud δεν με αφηνει. Το κοβει ο κανονας "drop input everything else.
Τι μπορω να κανω ουτως ωστε να μου επιτρεψει την προσβαση. Συμπληρωμα στον υπαρχον κανονα η προσθηκη αλλου ψηλοτερα στη σειρα.

Δηλ. θέλεις να μπεις από το σπίτι σου στη δουλεία ή το αντίστροφο γιατί με μπέρδεψες αναφέροντας το ip-cloud.

Απο το σπιτι στη δουλεια.

Καλησπερα αγορια.
Στα mikrotik μου εχω περασμενο τα rules του denisun. Προσπαθωντας να μπω στο μηχανημα της δουλειας απο το σπιτι μεσω ip-cloud δεν με αφηνει. Το κοβει ο κανονας "drop input everything else.
Τι μπορω να κανω ουτως ωστε να μου επιτρεψει την προσβαση. Συμπληρωμα στον υπαρχον κανονα η προσθηκη αλλου ψηλοτερα στη σειρα.

Να μπεις... με τι;
winbox, vpn,... ;
Για το κάθε ένα θα πρέπει να ανοίξεις και τις αντίστοιχες πόρτες.
Το cloud δεν σου δίνει πρόσβαση παντού.
Το cloud είναι υπηρεσία dynamic dns.

Να μπεις... με τι;
winbox, vpn,... ;
Για το κάθε ένα θα πρέπει να ανοίξεις και τις αντίστοιχες πόρτες.
Το cloud δεν σου δίνει πρόσβαση παντού.
Το cloud είναι υπηρεσία dynamic dns.

Πιθανολογώ με winbox από το σπίτι του στο ρούτερ της δουλειάς του μάλλον???
Ας το ξεκαθαρίσει να μας πει.

Ναι, μεσω winbox απο το σπιτι στο ρουτερ της δουλειας. Μονο προσβαση στο ρουτερ θελω. Οχι σε υπολογιστες κτλ.

Δυναμικες διευθυνσεις απο isp και στη δουλεια και στο σπιτι.

Ναι, μεσω winbox απο το σπιτι στο ρουτερ της δουλειας. Μονο προσβαση στο ρουτερ θελω. Οχι σε υπολογιστες κτλ.

Δυναμικες διευθυνσεις απο isp και στη δουλεια και στο σπιτι.

1. Αρχικά πρέπει να ορίσεις το winbox να μπορεί να συνδέεται από οποιαδήποτε ΙΡ.
2. Θα πρέπει να ανοίξεις την πόρτα του winbox στο fw.

Ότι σου είπε ο deni, στο router της δουλειάς σου ανοίγεις (επιτρέπεις) την πόρτα 8291 μέσα στα filter rules.
To fw κόβει τα πάντα, εσύ αποφασίζεις τι θα περνάει.
Πρόσεχε τη σειρά που θα μπει ο κανόνας.
Accept Input 8291.

1. το εχω ηδη ετσι
2. για αυτο θελω την βοηθεια. το winbox ειναι στην 8291. σε ποιο σημειο να μπει ο κανονας. στην αρχη, στην μεση, που; και η συνταξη του;
"/ip firewall filter add action=accept chain=input disabled=no dst-port=8291 protocol=tcp". Ειδα αυτον καπου, ειναι σωστος;
υπαρχει τροπος να δηλωσω και την mac διευθυνση μου για να απανταει μονο σε αυτη το winbox?