Παιδες κολλησαμε κακως στο drop others forward ενω δεν ηταν αυτο το θεμα και δε το εθεσα μαλλον σωστα.

Οταν φτιαχνεις το firewall βαζεις πρωτα ολα τα input και το τελειωνεις με το drop. Μετα ξεκινας τα forward το οποιο επισης τελειωνεις με το drop all others. To drop all others input, επρεπε να ειναι εκει που τελειωνουν οι input rules και ΟΧΙ προτελευταιο μιας και ετσι δε κανει drop μερικα πακετα που γινονται allow απο το allow forward πιο πανω, μιας και ο κανονας ειναι μετα απο αυτους των allow forward (Που δε θα επρεπε). Αρα περνανε πακετα (Μερικα και ισως, οχι παντα) επειδη ακριβως δεν υπαρχει ο κανονας drop all others input αμεσως μετα το τελος των input. Ειναι τρυπα αυτο.

Το ειπα και πριν, αν κολλησει αυτο το πισι ransomware spread, τον ηπιες σε ολο το δικτυο.

Δλδ αν περασει στο input, περναει αυτοματα επειδη δε το κανεις εσυ drop και στο forward και απλα τον πινεις.


/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related Untracked" connection-state=established,related,untracked
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid

add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______Add Port scanners to list" protocol=tcp psd=21,3s,3,1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp psd=21,3s,3,1 tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop Port scanners from list" src-address-list="Port Scanners"

add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge
add action=drop chain=input comment="Drop everything else Input"

add action=drop chain=forward comment=Ransomware_Protection_Ports dst-port=67-69,111,135-139,445,3389,2049,3133,12345-12346,20034 protocol=tcp
add action=drop chain=forward dst-port=69,111,135-139,445,2049,3133,3389 protocol=udp
add action=jump chain=forward comment="Make jumps to ICMP chains" jump-target=icmp protocol=icmp
add action=accept chain=forward comment="Accept forward Established Related Untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge
add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat

Αυτο εχω φτιαξει σα γενικο......

input και forward είναι τελείως διαφορετικά chains
δεν γίνεται να περάσει απο το ένα στο άλλο

στη συγκεκριμένη περίπτωση δεν αλλάζει κάτι πέρα απο το τί βολεύει τον κανένα
και τα δύο το ίδιο αποτέλεσμα έχουν όταν το drop all others είναι τελευταίος κανόνας στο εκάστοτε chain

205524

Αφου μετα το routing decision παει στο forward, θα περασει αναγκαστικα και πρεπει να το κοψεις οταν πρεπει και οχι οταν τυχει.

Να το πώ αλλιώς.
Μπορείς να βάλεις πρώτα είτε τους input είτε τους forward κανόνες. Δεν θα αλλάξει κάτι στην πράξη.

Prerouting - input - τέλος
prerouting - forward - postrouting - τέλος

ή input ή forward

Αν το πακέτο προορίζεται για το ΜΚ το ίδιο δεν πάει απο forward αλλά μόνο απο Input

Αυτο που λες ..... και η ΜΤ να το εγραφε ή να μου το ορκιζοταν οτι γινεται ετσι............... θα πηγαινα τοιχο τοιχο. δλδ μετα το input τι γινονται τα data? εξαφανιζοντε?

Αυτο που λες ..... και η ΜΤ να το εγραφε ή να μου το ορκιζοταν οτι γινεται ετσι............... θα πηγαινα τοιχο τοιχο. δλδ μετα το input τι γινονται τα data? εξαφανιζοντε?

Τα data στο input chain καταναλώνονται από το ίδιο το router. Στο forward chain προωθούνται στο lan.

Αυτο που λες ..... και η ΜΤ να το εγραφε ή να μου το ορκιζοταν οτι γινεται ετσι............... θα πηγαινα τοιχο τοιχο. δλδ μετα το input τι γινονται τα data? εξαφανιζοντε?

Ρε συ για να πάνε στο input σημαίνει ότι προορίζονται για το ίδιο το ΜΚ (πχ System-Packages-Update!)
Ή απο τον DNS server του ΜΚ αν τον χρησιμοποιείς.

Στο forward απλά περνάνε μέσα απο το ΜΚ και προωθούνται σε άλλες ΙΡ

Και πως περναει στο client τοτε? Παιδια για αυτο το θεμα εχει πεσει απειρη συζητηση για το πως συμβαινει να ξερετε? Εγω ειμαι σιγουρος με αυτο το τροπο παντως.

Υπάρχει documentation και γενικότερα πληροφορία στο internet που εξηγεί τα traffic flows σε σχέση με τα tables/chains (μιας και βασίζεται σε Linux iptables):


-- https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
-- https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

-- https://rlworkman.net/howtos/iptables/chunkyhtml/c962.html
-- http://pld.cs.luc.edu/courses/netmgmt/sum17/notes/iptables.html
-- https://wiki.archlinux.org/index.php/iptables
-- https://codefarm.me/2018/04/20/firewall-netfilter-iptables/
-- https://www.youtube.com/watch?v=yE82upHCxfU

Τα πράγμα είναι αρκετά απλά σε πρώτο επίπεδο.

Input -> κίνηση που έχει dst το ίδιο το router
Forward -> κίνηση που περνάει μέσα από το router
Output -> κίνηση που έχει γίνει originate από το ίδιο το router

Ναι δε διαφωνουμε οτι ετσι ειναι. Το θεμα ειναι θα περασει απο forward καποιο πακετο οταν το ζητησει καποιος client? Και βεβαια θα περασει. Μπορει οχι ολα και οχι παντα αναλογως τι κανεις πριν στο prerouting.

τελικά βγάλαμε άκρη?

Ναι δε διαφωνουμε οτι ετσι ειναι. Το θεμα ειναι θα περασει απο forward καποιο πακετο οταν το ζητησει καποιος client? Και βεβαια θα περασει. Μπορει οχι ολα και οχι παντα αναλογως τι κανεις πριν στο prerouting.

δε μιλάμε για prerouting όμως :)

Ρε παιδια ειναι απλα τα πραγματα. Ζηταω εγω να ανοιξω μια σελιδα ιντερνετ. Θα περασει ή οχι απο forward για να μου ανοιξει η σελιδα? Θα περασει αλλιως δεν εχεις ιντερνετ. Πως θα παει στο bridge για να την δω εγω στο πισι μου?

Ολα αυτα τα διαγραμματα δειχνουν βελος προς το forward.

Ρε παιδια ειναι απλα τα πραγματα. Ζηταω εγω να ανοιξω μια σελιδα ιντερνετ. Θα περασει ή οχι απο forward για να μου ανοιξει η σελιδα? Θα περασει αλλιως δεν εχεις ιντερνετ. Πως θα παει στο bridge για να την δω εγω στο πισι μου?

Ολα αυτα τα διαγραμματα δειχνουν βελος προς το forward.

Αν το εχει ζητησει μηχάνημα απο lan τα πακετα πανε στο forward.

Αρα αν δεν εχεις το κανονα απο κατω απο ολα τα input το drop else, το πακετο αντι να εξατμιστει ή να εκραγει, θα γινει accepted απο το πιο πανω κανονα που εχετε allow lan. Αρα το drop τελευταιο δε κοβει ολα οσα θα ηθελες. Ειναι τρυπα.

Αρα αν δεν εχεις το κανονα απο κατω απο ολα τα input το drop else, το πακετο αντι να εξατμιστει ή να εκραγει, θα γινει accepted απο το πιο πανω κανονα που εχετε allow lan. Αρα το drop τελευταιο δε κοβει ολα οσα θα ηθελες. Ειναι τρυπα.

επειδή αυτό που έχουμε είναι το σωστό δεν κάθομαι να καταλάβω τί έχεις καταλάβει για να στο εξηγήσω
ο συλλογισμός σου πάντως είναι λάθος οπότε δες τα λινκς για να το καταλάβεις

πάντως πχ.
input drop everything else
forward drop everything else

δεν έχει καμία σχέση ποιο θα μπεί πρώτο
είναι ανεξάρτητα τα chains

το μόνο που μετράει είναι η σειρά στο εκάστοτε chain

μπορείς να τα βάλεις και εναλλάξ
input allow from lan
forward allow from lan
input drop all other
forward drop all other

δεν αλλάζει τίποτα απολύτως


τέλος το drop EVERYTHING ELSE μπαίνει πάντα τελευταίο γιατί μιλάμε για EVERYTHING ELSE !!!!!!!!!!!!!!!!!!!!!!!!!!!!
δές και το default.

ξαναδές τα λινκς που σου έβαλαν δεν έχει νόημα αυτό που κάνουμε εδώ

Πρεπει να βρω τη κουβεντα πανω σε αυτο το θεμα οπου τη λενε χοντρα στο normis επειδη υποστηριζε ακριβως αυτα που γραφεις και εσυ.

Χοντρα χοντρα οταν εσυ ζητησεις κατι σα client ta data εχουν input>forward........... αναγκαστικα, αλλιως δεν εχεις ιντερνετ. Το οτι ειναι 2 διαφορετικα chains δεν ειναι δικαιολογια για κατι, σκεψου το. Αν εννοεις οτι ειναι διαφορετικα chains που δε συνδεονται ποτε μεταξυ τους, οχι κανεις λαθος και αλοιμονο αν ηταν ετσι. Δες ολα τα διαγραμματα που ποσταρες. ολα δειχνουν με βελακι κινηση απο input σε forward.

Τι εννοεις δλδ οτι το firewall περιμενει να τελειωσουν πρωτα οι κανονες input για να περασει στο forward? Το firewall θα δει το κανονα 2 και θα περασει μετα στο 3. Δε θα πηδηξει το 3 για να κανει αυτο που λες οτι κανει.

Χοντρα χοντρα οταν εσυ ζητησεις κατι σα client ta data εχουν input>forward........... αναγκαστικα, αλλιως δεν εχεις ιντερνετ.

Όχι!
Πάει prerouting - forward - postrouting

Για να το επαληθεύσεις γιατί εγώ είμαι σίγουρος βάλε pass-through κανόνες για να μετρήσεις πακέτα.

Αυτό που λέω είναι ότι ένα πακέτο απο το in.gr στο pc σου θα περάσει μόνο απο forward.
Δεν πά να έχεις 1000 κανόνες input πρώτα απλά δε θα περάσει απο εκεί.
Κάνε το τσεκ με το Passthrough.

Συγνώμη και χωρίς παρεξήγηση αλλά κουράστηκα! Κάνε τις δοκιμές σου και βρές και τη συζήτηση που λές.

ΥΓ. Απο input σε forward έχουμε για παράδειγμα όταν το ΜΚ ΠΑΡΑΓΕΙ πακέτο (dns server) και στο στέλνει στον client.
Αν το πακέτο έρχεται απο έξω τότε δεν μπαίνει καν στο input

[QUOTE=macro;6636878]
Χοντρα χοντρα οταν εσυ ζητησεις κατι σα client ta data εχουν input>forward........... αναγκαστικα, αλλιως δεν εχεις ιντερνετ./QUOTE]

Όχι!
Πάει prerouting - forward - postrouting

Για να το επαληθεύσεις γιατί εγώ είμαι σίγουρος βάλε pass-through κανόνες για να μετρήσεις πακέτα.

Αυτό που λέω είναι ότι ένα πακέτο απο το in.gr στο pc σου θα περάσει μόνο απο forward.
Δεν πά να έχεις 1000 κανόνες input πρώτα απλά δε θα περάσει απο εκεί.
Κάνε το τσεκ με το Passthrough.

Συγνώμη και χωρίς παρεξήγηση αλλά κουράστηκα! Κάνε τις δοκιμές σου και βρές και τη συζήτηση που λές.

ΥΓ. Απο input σε forward έχουμε για παράδειγμα όταν το ΜΚ ΠΑΡΑΓΕΙ πακέτο (dns server) και στο στέλνει στον client.
Αν το πακέτο έρχεται απο έξω τότε δεν μπαίνει καν στο input

Με όλη αυτή την φασαρία στο fw, τι θέλεις να πετύχεις;

Τοτε αμα ισχυουν αυτα, βαλτε και τα drop invalid τελευταια και οχι κατω απο τα established. Aν ισχυει για ενα ισχυει και για ολα.

Και theodor τα πακετα θα πανε input - prerouting - forward - postrouting. Στο input δεχεται το ρουτερ και μετα τα κανει οτιδηποτε.

Για να μην αρχισεις να loggareis τωρα και να ψαχνεσαι κανε το εξης ευκολο. Βαλε ενα utube ή internet radio, κατι δλδ να παιζει συνεχεια, κανε ρεσετ τους counters στο fw και δες αμεσως ενω παιζει η μουσικη απο πισω, ποιοι 2 κανονες ξεκινανε και γραφουν μαζικα. Τα established input και forward θα δεις και θα γραφουν σχεδον τα ιδια πακετα. Αν ισχυει αυτο που λες established input δε θα επρεπε να βλεπω.

Εγώ είμαι σίγουρος. Δεν τσεκάρω τίποτα :)
Στο input έχω αυτή τη στιγμή 68MB και στο forward 8.6GB (allow from lan)
Στο input έχω αυτή τη στιγμή 12MB και στο forward 12.7GB (established connections)
Τέλος απο εμένα :)


205586

205587

Εγώ είμαι σίγουρος. Δεν τσεκάρω τίποτα :)
Στο input έχω αυτή τη στιγμή 68MB και στο forward 8.6GB (allow from lan)
Στο input έχω αυτή τη στιγμή 12MB και στο forward 12.7GB (established connections)
Τέλος απο εμένα :)


205586

205587

Όσο και να προσπαθείς δεν θα τα καταφέρεις να είσαι ο μοναδικός.
Υπάρχει άλλος ένας σαν και εσένα... κάτοικος Βατικανού.

Όσο και να προσπαθείς δεν θα τα καταφέρεις να είσαι ο μοναδικός.
Υπάρχει άλλος ένας σαν και εσένα... κάτοικος Βατικανού.

Προσπαθείς να πεις κάτι;

Προσπαθείς να πεις κάτι;

Αυτό που σου έχω με bold.
Και το έγραψες εσύ. Όχι εγώ.

Αυτό που σου έχω με bold.
Και το έγραψες εσύ. Όχι εγώ.


Προσπαθείς να πεις κάτι;

123456

Παιδιά έχω βάλει το παρακάτω DNS Rule, που δουλεύει με επιτυχία.



add action=redirect chain=dstnat comment="Transparent DNS-UDP" dst-port=53 in-interface-list=LAN protocol=udp
add action=redirect chain=dstnat comment="Transparent DNS-TCP " dst-port=53 in-interface-list=LAN log=yes protocol=tcp


Το θέμα μου είναι πως θέλω μερικά client να τα κάνω exception από το συγκεκριμένο rule και να λειτουργήσουν με εξωτερικό dns server, αλλά δυστυχώς με όποιο τρόπο και να δοκίμασα, έφαγα πόρτα.

Έχετε κανένα τρόπο να το παρακάμψω?

Παιδιά έχω βάλει το παρακάτω DNS Rule, που δουλεύει με επιτυχία.



add action=redirect chain=dstnat comment="Transparent DNS-UDP" dst-port=53 in-interface-list=LAN protocol=udp
add action=redirect chain=dstnat comment="Transparent DNS-TCP " dst-port=53 in-interface-list=LAN log=yes protocol=tcp


Το θέμα μου είναι πως θέλω μερικά client να τα κάνω exception από το συγκεκριμένο rule και να λειτουργήσουν με εξωτερικό dns server, αλλά δυστυχώς με όποιο τρόπο και να δοκίμασα, έφαγα πόρτα.

Έχετε κανένα τρόπο να το παρακάμψω?

αν τα βγάλεις απ την LAN list?

Για ποιο λογο εχεις αυτους τους κανονες?

@puntomania: Θα πρέπει να φτιάξω virtual-ap και να συνδέετε εκεί ο χρήστης. Οπότε θα ήθελα να το αποφύγω.

@macro: έχω βάλει opendns και δεν θέλω οι χρήστες να χρησιμοποιούν άλλους DNS.

αφού έχεις λίστα, βάλε από εκεί

Παράδειγμα

Δοκίμασε - ip firewall nat add chain=dstnat src-address=2.2.2.2 dst-port=53 protocol=udp action=dst-nat to-addresses=1.1.1.1

2.2.2.2 - η διεύθυνση εκείνου που θές να κανει redirect
1.1.1.1 - η διεύθυνση που θές να κανει redirect

αφού έχεις λίστα, βάλε από εκεί

Παράδειγμα

Δοκίμασε - ip firewall nat add chain=dstnat src-address=2.2.2.2 dst-port=53 protocol=udp action=dst-nat to-addresses=1.1.1.1

2.2.2.2 - η διεύθυνση εκείνου που θές να κανει redirect
1.1.1.1 - η διεύθυνση που θές να κανει redirect

Το είχα κάνει και πριν αλλά δεν μου δούλευε..!! Το ξαναδοκίμασα και πάλι με copy paste από το δικό σου μπας και έκανα κάτι λάθος και τελικά το πρόβλημα ήταν ότι το έβαζα σε λάθος priority. Ήταν πιο κάτω από το κανονικό rule.

Ευχαριστώ για την βοήθεια! :worthy:

Το είχα κάνει και πριν αλλά δεν μου δούλευε..!! Το ξαναδοκίμασα και πάλι με copy paste από το δικό σου μπας και έκανα κάτι λάθος και τελικά το πρόβλημα ήταν ότι το έβαζα σε λάθος priority. Ήταν πιο κάτω από το κανονικό rule.

Ευχαριστώ για την βοήθεια! :worthy:

Να'σε καλα

υπαρχει καποιος να μου δωσει κανονες που να κοβουν προσπαθεις συνδεσης για pptp για καποιο διαστημα αν προσπαθησουν να συνδεθουν με λαθος στοιχεια?

Ειχα ρωτησει και παλιοτερα και βρηκα καποιους οπως ο παρακατω αλλα ειναι σωστος?

/ip firewall filter
add action=drop chain=input comment="pptp brute force drop 1/4 - complete comunication DROP" disabled=no \
src-address-list=pptp_blacklist_DROP
add action=add-dst-to-address-list address-list=pptp_blacklist_DROP address-list-timeout=10m chain=output comment="pptp brute force drop 2/4" \
content="bad username or password" disabled=no dst-address-list=pptp_blacklist_stage_2 protocol=gre
add action=add-dst-to-address-list address-list=pptp_blacklist_stage_2 address-list-timeout=1m chain=output comment="pptp brute force drop 3/4" \
content="bad username or password" disabled=no dst-address-list=pptp_blacklist_stage_1 protocol=gre
add action=add-dst-to-address-list address-list=pptp_blacklist_stage_1 address-list-timeout=1m chain=output comment="pptp brute force drop 4/4" \
content="bad username or password" disabled=no protocol=gre

Μπορεις να δηλωσεις πια ip range θα μπορει να συνδεεται στο ρουτερ και ολες οι αλλαες να τρωνε ban.

ναι αλλα δεν ξερω απο που θα μπαινω και δεν ειμαι μονο Ελλαδα.

Το εβαλα και δουλευει αλλα παρατηρω στο log οτι προσπαθουν συνεχεια (με τα γνωστα user/pass απο διαφορους οδηγους) αλλα τα λαμογια δεν κανουν 2 προσπαθεια απο την ιδια ip αλλα εχουν διάφορες.
Δηλαδη βλεπεις προσπαθειες με διαφορα ελαχιστα δευτερολεπτα με αλλα στοιχεια και απο αλλες ip.

Καλο θα ηταν να μπλοκαρει την ip και μονο που θα μπει username καποιο απο τα στανταρ που προσπαθουν για παντα.

ναι αλλα δεν ξερω απο που θα μπαινω και δεν ειμαι μονο Ελλαδα.

Το εβαλα και δουλευει αλλα παρατηρω στο log οτι προσπαθουν συνεχεια (με τα γνωστα user/pass απο διαφορους οδηγους) αλλα τα λαμογια δεν κανουν 2 προσπαθεια απο την ιδια ip αλλα εχουν διάφορες.
Δηλαδη βλεπεις προσπαθειες με διαφορα ελαχιστα δευτερολεπτα με αλλα στοιχεια και απο αλλες ip.

Καλο θα ηταν να μπλοκαρει την ip και μονο που θα μπει username καποιο απο τα στανταρ που προσπαθουν για παντα.

ξέχνα το pptp, βάλε άλλο πρωτόκολλο που να έχει ασφάλεια. αν ειχα mtik μόνο με το l2tp/ipsec θα δούλευα.
Το sstp δεν έχει γίνει audit γιατί είναι closed source, και το ovpn είναι κουτσουρεμένο.

ξέχνα το pptp, βάλε άλλο πρωτόκολλο που να έχει ασφάλεια. αν ειχα mtik μόνο με το l2tp/ipsec θα δούλευα.
Το sstp δεν έχει γίνει audit γιατί είναι closed source, και το ovpn είναι κουτσουρεμένο.
Τι εννοείς "κουτσουρεμένο";

οταν τους μπλοκαρεις στην τριτη προσπαθεια γιατι για περισσοτερη ασφαλεια να περασω σε sstp,openvpn?
Φανταζομαι οτι απο την στιγμη που δεν το θες για κατι που απαιτει ιδιατερη ασφαλεια την ωρα της συνδεσης μηπως για να μην υπαρξει περιπτωση που σου παρουν το pass την ωρα που γινεται η συνδεση?

l2tp εχω σε ορισμενα.
εκει τι κανουμε αλλαζουμε απλα τον κανονα παραπανω για να αποτρεψουμε επιθεσεις?
εχει κανεις ετοιμους κανονες?

Τι εννοείς "κουτσουρεμένο";

https://wiki.mikrotik.com/wiki/Manual:Interface/OVPN

δες στα unsupported, εχουν περασει απειρα χρονια απο οταν εμφανιστηκε στην Mikrotik απο την εκδοση 3.20 και ΑΚΟΜΑ!!!!! ειναι κουτσουρεμενο....
καμια σχεση δεν εχει με του linux το openvpn.
Προσωπικα εχω στησει και σε linux nas server και σε raspi pi zero WH σε raspbian με το pivpn για να εχω το σωστο και ολοκληρο openvpn οπως ακριβως πρεπει να ειναι.

https://wiki.mikrotik.com/wiki/Manual:Interface/OVPN

δες στα unsupported, εχουν περασει απειρα χρονια απο οταν εμφανιστηκε στην Mikrotik απο την εκδοση 3.20 και ΑΚΟΜΑ!!!!! ειναι κουτσουρεμενο....
καμια σχεση δεν εχει με του linux το openvpn.
Προσωπικα εχω στησει και σε linux nas server και σε raspi pi zero WH σε raspbian με το pivpn για να εχω το σωστο και ολοκληρο openvpn οπως ακριβως πρεπει να ειναι.

Αααα ΟΚ αυτά τα γνωρίζω ήδη sorry, κάπου έχω διαβάσει σε απάντηση στο forum τους, ότι στην έκδοση 7 του ROS θα είναι έτοιμα αυτά.

Αααα ΟΚ αυτά τα γνωρίζω ήδη sorry, κάπου έχω διαβάσει σε απάντηση στο forum τους, ότι στην έκδοση 7 του ROS θα είναι έτοιμα αυτά.

Απο το 2013 υπάρχει η 6
Release 6.0 2013-05-20

Μέχρι να βγεί η 7 θα υπάρχει νέο openvpn και πάλι θα έχουν μείνει πίσω.

https://forum.mikrotik.com/viewtopic.php?f=1&t=26499&hilit=Teaser&start=100#p617477

Καλημέρα, ωραια ας πουμε ότι στην 7 θα δωσουν UDP με τα αλλα τι γινεται?
όπως ειπε και ο φιλος από πανω μεχρι να βγει η 7 στην STABLE για να την βαλουμε , το Openvpn θα εχει νεα features γιατι εξελισεται οποτε η Mikrotik όχι μονο δεν θα υποστηριζει τα αλλα, αλλά θα εχει και παραπανω ελλειψεις ισως.
Το βημα όμως για το UDP παρα πολύ σημαντικο βημα, αλλα παλι Linux servers δεν μπορει να τους φτασει...



Currently unsupported OpenVPN features:
UDP mode
LZO compression
TLS authentication
authentication without username/password


- - - Updated - - -


Αααα ΟΚ αυτά τα γνωρίζω ήδη sorry, κάπου έχω διαβάσει σε απάντηση στο forum τους, ότι στην έκδοση 7 του ROS θα είναι έτοιμα αυτά.

Καλημέρα, όπως λενε ΜΟΝΟ UDP support τιποτα παραπανω...ΑΙΣΧΟΣ και παλι ΑΙΣΧΟΣ απλα….
από την 3 υπαρχει δεν μπορουν να υποστηριζουν ότι και το Linux? ΕΛΕΟΣ!!!!! :down::twisted:

https://forum.mikrotik.com/viewtopic.php?f=1&t=26499&hilit=Teaser&start=100#p617477

Για ανέκδοτο καλό είναι ;)
Το λένε και στο νήμα που έβαλες.

Προσωπικά έχω το ovpn του ΜΚ σαν λύση έκτακτης ανάγκης αν πέσει ο σερβερ μου λόγω παρατεταμένης διακοπής ρεύματος.
Συνδέομαι στο μισό χρόνο και είναι και πολύ πιο γρήγορο.

Αφήστε που το στήσιμο γίνεται σε 2 λεπτά με έτοιμα για profile για τα clients.

Για ανέκδοτο καλό είναι ;)
Το λένε και στο νήμα που έβαλες.

Προσωπικά έχω το ovpn του ΜΚ σαν λύση έκτακτης ανάγκης αν πέσει ο σερβερ μου λόγω παρατεταμένης διακοπής ρεύματος.
Συνδέομαι στο μισό χρόνο και είναι και πολύ πιο γρήγορο.

Αφήστε που το στήσιμο γίνεται σε 2 λεπτά με έτοιμα για profile για τα clients.

Θεωρείς ότι τεχνικά δεν μπορεί να υλοποιηθεί;

Θεωρείς ότι τεχνικά δεν μπορεί να υλοποιηθεί;

Δεν θεωρώ τίποτα.
Βλέπω ότι είναι γελοία η υποστήριξη της μικροτικ και έχω πάψει να περιμένω να κάνει κάτι που δεν το κάνει τώρα.

Πιστεύω ότι αν ήθελαν θα το έφτιαχναν αλλά προφανώς δεν είναι στις προτεραιότητες τους ή δεν έχουν τα άτομα

κάτι άλλαξε πάντως μετά το 2013


Major versions

RouterOS v6: May 2013 (based on Linux kernel 3.3.5). Current as of September 2019
RouterOS v5: March 2011 - September 2013 (based on Linux 2.6.35 kernel)
RouterOS v4: October 2009 - March 2011 (based on Linux 2.6.26 kernel)
RouterOS v3: January 2008 - October 2009 (based on Linux 2.4.31 kernel)

Δεν θεωρώ τίποτα.
Βλέπω ότι είναι γελοία η υποστήριξη της μικροτικ και έχω πάψει να περιμένω να κάνει κάτι που δεν το κάνει τώρα.

Πιστεύω ότι αν ήθελαν θα το έφτιαχναν αλλά προφανώς δεν είναι στις προτεραιότητες τους ή δεν έχουν τα άτομα

κάτι άλλαξε πάντως μετά το 2013

Άρα πιστεύεις ότι τεχνικά είναι δυνατόν απλά για κάποιον λόγο δεν το υλοποιούν.

Για ανέκδοτο καλό είναι ;)
Το λένε και στο νήμα που έβαλες.

Προσωπικά έχω το ovpn του ΜΚ σαν λύση έκτακτης ανάγκης αν πέσει ο σερβερ μου λόγω παρατεταμένης διακοπής ρεύματος.
Συνδέομαι στο μισό χρόνο και είναι και πολύ πιο γρήγορο.

Αφήστε που το στήσιμο γίνεται σε 2 λεπτά με έτοιμα για profile για τα clients.

Θοδωρή τι ακριβώς έχεις στήσει;

- - - Updated - - -

Πραγματικά τώρα, αλλά είναι επιεικώς απαράδεκτο αυτό με το ovpn της mikrotik.
Κόσμος και κοσμάκης να γράφει αμέτρητα για αυτό το θέμα και αυτοί σφυρίζουν αδιάφορα

Μα γιατι δε πατε σε ipsec...... ποτε δε το καταλαβα.