Επιστροφή στο Forum : Mikrotik IPv4/IPv6 firewall
δοκιμασα ολες τις επιλογες στο openvpn κανονα τιποτα δεν γινεται, με ανοιχτο τον κανονα που λετε παραπανω στο εξοχικο δεν παει ιντερνετ μεσω openvpn.
Δεν με αφηνει μονο να δηλωσω την ether2-awmn που παει στο 433AH της ταρατσας.
Λεει οτι ειναι slave. Αλλα και all ethernet να βαλω παλι δεν παιζει.
Δεν μπορω να καταλαβω γιατι.
Να εξηγησω λιγο πως τα εχω για να καταλαβουμε και τι φταιει.
Στην Αθηνα εχω εσωτερικο ενα 109 που ειναι internet router και εχει το ppoe client και εχω και ενα openvpn server που δινει στο εξοχικο ιντερνετ μεσω ασυρματων εξωτερικων δικτυων δλδ το AWMN.
Στο 109 στην ether2 εχω βαλει ενα 433ΑΗ στην ταρατσα που εχει τις 3 ασυρματες ζευξεις οποτε απο εκει περναει.
Στο εξοχικο εχω ενα 951 που εχει openvpn client και παιρνει ιντερνετ απο την Αθηνα απο το 109 δλδ.
Παντως με την σωστη πορτα και δοκιμες σε ολα τα διαθεσιμα interfaces με κανενα δεν δουλευει μονο αμα κλεισω εκεινον τον τελευταιο κανονα.
Ειναι σημαντικο αυτος να υπαρχει?
δοκιμασα ολες τις επιλογες στο openvpn κανονα τιποτα δεν γινεται, με ανοιχτο τον κανονα που λετε παραπανω στο εξοχικο δεν παει ιντερνετ μεσω openvpn.
Δεν με αφηνει μονο να δηλωσω την ether2-awmn που παει στο 433AH της ταρατσας.
Λεει οτι ειναι slave. Αλλα και all ethernet να βαλω παλι δεν παιζει.
Δεν μπορω να καταλαβω γιατι.
Να εξηγησω λιγο πως τα εχω για να καταλαβουμε και τι φταιει.
Στην Αθηνα εχω εσωτερικο ενα 109 που ειναι internet router και εχει το ppoe client και εχω και ενα openvpn server που δινει στο εξοχικο ιντερνετ μεσω ασυρματων εξωτερικων δικτυων δλδ το AWMN.
Στο 109 στην ether2 εχω βαλει ενα 433ΑΗ στην ταρατσα που εχει τις 3 ασυρματες ζευξεις οποτε απο εκει περναει.
Στο εξοχικο εχω ενα 951 που εχει openvpn client και παιρνει ιντερνετ απο την Αθηνα απο το 109 δλδ.
Παντως με την σωστη πορτα και δοκιμες σε ολα τα διαθεσιμα interfaces με κανενα δεν δουλευει μονο αμα κλεισω εκεινον τον τελευταιο κανονα.
Ειναι σημαντικο αυτος να υπαρχει?
Αν δεν υπάρχει το drop all others τότε δεν έχει κανένα νόημα να δηλώνεις πιο πάνω allow γιατί πολύ απλά σου τα αφήνει όλα να περνάνε από default.
Τσέκαρε στο κανόνα drop το log στο action και δες τι καταγράφει στο παράθυρο log όταν προσπαθείς να συνδεθείς με openvpn.
Εκεί θα καταλάβεις από που έρχεται η κλήση.
Αν δεν υπάρχει το drop all others τότε δεν έχει κανένα νόημα να δηλώνεις πιο πάνω allow γιατί πολύ απλά σου τα αφήνει όλα να περνάνε από default.
Τσέκαρε στο κανόνα drop το log στο action και δες τι καταγράφει στο παράθυρο log όταν προσπαθείς να συνδεθείς με openvpn.
Εκεί θα καταλάβεις από που έρχεται η κλήση.
ωραιος! και αυτο δεν το σκεφτηκα παλι!
παραθετω το log εχεις καμια ιδεα τι γινεται?
τα log ειναι στον κανονα που πρεπει να κανω disable.
Για εξήγησε τι γίνεται με τις ΙΡ και τις πόρτες για να καταλάβω.
αυτη που λεει 10.2.237.253 ειναι η ip που εχει το openvpn interface στο εξοχικο, στην Αθηνα δλδ εχω την .252
το 10.71.99.8 ειναι το καταγραφικο η δικια του ip δλδ οι καμερες.
Μεσω του openvpn μπορω απο το κινητο μεσω ιντερνετ δλδ κινητης να μπαινω με το mt ipcloud απευθειας σε αυτες.
Ετσι δοκιμαζω τωρα απο το κινητο γιαυτο βγαζει τετοια logs, παντως ακομα ακρη δεν εχω βγαλει και συνεχιζει να μην παιζει.
εκτος απο τις καμερες μεσα απο το 951 εκει περα δεν εχει ιντερνετ.
Δεν καταλαβαινω γιατι στο .253 δειχνει συνεχεια αλλες πορτες δεν το ξερω αυτο.
Στην ip του καταγραφικου λεει 8888 γιατι ειναι η πορτα στο προγραμμα του κινητου.
Ξεχασα να πω οτι μεσω του openvpn ερχονται και emails αμα οι καμερες δουν κινηση.
Ακομα δεν εχω καταλαβει πως ακριβως παιζει αυτο.
Παντως εχω ανοιξει πορτα στο 109 στο NAT δλδ για αυτο τον λογο.
To fw για το openvpn το έχεις στο openvpn server.
H σύνδεση με τον openvpn client από πιο interface γίνεται;
To fw για το openvpn το έχεις στο openvpn server.
H σύνδεση με τον openvpn client από πιο interface γίνεται;
ναι το firewall ειναι στον server δλδ στο RB109.
Eγραψα και πριν γιαυτο γινεται μεσω του ether2 που ειναι συνδεδεμενο το 433ΑΗ στην ταρατσα δλδ το AWMN.
αυτο δεν μπορει να δηλωθει στον openvpn κανονα γιατι λεει οτι ειναι slave, αλλα και all ethernet να βαλω δεν παιζει.
ναι το firewall ειναι στον server δλδ στο RB109.
Eγραψα και πριν γιαυτο γινεται μεσω του ether2 που ειναι συνδεδεμενο το 433ΑΗ στην ταρατσα δλδ το AWMN.
αυτο δεν μπορει να δηλωθει στον openvpn κανονα γιατι λεει οτι ειναι slave, αλλα και all ethernet να βαλω δεν παιζει.
Αντί για in.interface δήλωσε src.address.
Αντί για in.interface δήλωσε src.address.
τιποτα δεν γινεται, εβγαλα και την πορτα γιατι εχει διαφορες, δηλωσα την ip του openvpn interface εκει μια απο τα ιδια.
τιποτα δεν γινεται, εβγαλα και την πορτα γιατι εχει διαφορες, δηλωσα την ip του openvpn interface εκει μια απο τα ιδια.
Πώς είναι δυνατόν να παίρνει πολλές πόρτες;
Δεν έχεις δηλώσει μια συγκεκριμένη;
Πώς είναι δυνατόν να παίρνει πολλές πόρτες;
Δεν έχεις δηλώσει μια συγκεκριμένη;
φυσικα την 1722 στο openvpn, δεν ξερω πως γινεται οπως ειδες στα logs λεει διαφορες.
Ερχονται emails απο το καταγραφικο οταν δουν κατι οι καμερες μηπως γιαυτο?
Αυτές οι πόρτες στα logs είναι από αλλού.
Εσύ θα συνεχίζεις να βάζεις την 1722.
αφου οι πορτες αυτες ειναι διπλα στην ip που εχει εκει το openvpn client interface!
αφου οι πορτες αυτες ειναι διπλα στην ip που εχει εκει το openvpn client interface!
Μπορεί να είναι και από άλλα δεδομένα.
σαν τι? δεν παιρνει τπτ αλλο εκει περα ιντερνετ!
οι καμερες οταν δουν κινηση στελνουν εντολη στο καταγραφικο dvr cctv να στειλει email μεσω ιντερνετ δλδ.
Το αλλο που εχω κανει ειναι οτι εχω ανοιξει στο 109 στο ΝΑΤ δλδ την πορτα 8888 για να μπορω μεσω του προγραμματος σε android να βλεπω απευθειας μεσω noip ή mt ip cloud.
εχω δοκιμασει ολα οσα ειπες, και πολλους αλλους συνδυασμους ρυθμισεων στο openvpn κανονα τιποτα δεν γινεται, αμα δεν κανω disable εκεινον τον κανονα στο τελος δεν περναει με τιποτα!
αυτος ο κανονας ειναι υποχρεωτικος? ειναι σημαντικος? μηπως να τον πεταξω να τελειωνω? απελπισια ειναι λεμε!
Πρεπει να παω για υπνο, αμα εχεις καμια αλλη ιδεα πες μου να το δοκιμασω αυριο, προς το παρον disable o last rule για να δουλευει το ιντερνετ εκει, ειναι πολυ σημαντικο για τις καμερες γιατι εχει τυχει να δω διαφορα, ευχαριστω!
καληνυχτα :)
Να υποθέσω ότι έχεις την δήλωση πάνω από τα drop.
Να υποθέσω ότι έχεις την δήλωση πάνω από τα drop.
καλημερα, ναι ρε συ οπως εχεις δωσει εσυ τους κανονες στο tutorial, καπου σε προηγουμενο ποστ εχω βαλει και σε ποια σελιδα τους εχεις.
το ξερω οτι πρεπει να ειναι ΠΡΙΝ τις απαγορευσεις αυτα αλλιως δεν πιανουν!
καλημερα, ναι ρε συ οπως εχεις δωσει εσυ τους κανονες στο tutorial, καπου σε προηγουμενο ποστ εχω βαλει και σε ποια σελιδα τους εχεις.
το ξερω οτι πρεπει να ειναι ΠΡΙΝ τις απαγορευσεις αυτα αλλιως δεν πιανουν!
Κάνε έναν κανόνα που να επιτρέπει τα πάντα για είσοδο από την ΙΡ του μηχανήματος του openvpn client.
Λογικά θα σου το επιτρέψει.
επειδή βλέπω νατ στα logs
για δες το ποστ
#169
Κάνε έναν κανόνα που να επιτρέπει τα πάντα για είσοδο από την ΙΡ του μηχανήματος του openvpn client.
Λογικά θα σου το επιτρέψει.
δεν καταλαβα δλδ τι να δηλωσω?
δεν μου ειπες ομως, αυτος ο τελευταιος κανονας που κανω disable για να παιζει το ovpn τι κανει ακριβως? χρειαζεται? ειναι υποχρεωτικος?
επειδή βλέπω νατ στα logs
για δες το ποστ
#169
το κοιταξα δεν βρισκω κατι να μου χρειαζεται παραπανω, εχω ΝΑΤ και δουλευει απλα καταγραφει το Openvpn στα logs και δειχνει και το ΝΑΤ.
Το προβλημα εχει σχεση καθαρα με τους κανονες στο firewall filters και οχι στο ΝΑΤ.
Μολις κλεισω τον κανονα που εχω αναφερει και ποιο πριν παιζει κανονικα. Αν ηταν θεμα ΝΑΤ παλι δεν θα επαιζε.
Αν δεν πείς στο firewall να επιτρέπει το NAT τότε θα στο κόβει.
Στο log βλέπω κάποιες γραμμές.
Σε ποιά εντολή έχεις βάλει να logάρει?
Αν είναι σε εντολή forward block all others,
τότε τίκαρε το connection NAT state = ~dst-nat
γιατί δεν επιτρέπει ΝΑΤ κίνηση προς το δίκτυο σου.
Αντίστοιχα και στο input block all others,
γιατί δεν επιτρέπει ΝΑΤ προς το ίδιο το ΜΚ (αλλά δεν έχεις πρόβλημα γιατί δεν έχεις ΝΑΤ προς το ΜΚ)
δοκιμασα log και στο fw rule για το ovpn αλλα και στο αλλο που ειπαμε, δεν εχω σε ΝΑΤ.
Τα αλλα πρεπει να τα δω δεν ειμαι σπιτι και δεν ξερω.
Λες δλδ οι νεοι κανονες FW rules να κοβουν το ΝΑΤ που εχει σχεση με το openvpn? δεν το ειχα σκεφτει αυτο.
Θα ξανατσεκαρω τα logs και ενημερωνω αργοτερα.
Μπορει και να συμβαινει αυτο που λες :
Αν είναι σε εντολή forward block all others,
τότε τίκαρε το connection NAT state = ~dst-nat
γιατί δεν επιτρέπει ΝΑΤ κίνηση προς το δίκτυο σου.
στην ιδια εντολη ειναι αυτο που πρεπει να τικαρω για το ΝΑΤ?
To firewall του deni κόβει το ΝΑΤ αφού δε του λές να το επιτρέπει.
Το έπαθα και το έμαθα.
μπέρδεψα το ~ με το !
το σωστό είναι
connection NAT state = !dst-nat
άρα να μπλοκάρει all-others εκτός όσων είναι ΝΑΤ connections
ΥΓ.
Η συζήτησή μας τότε
http://www.adslgr.com/forum/threads/858118-Mikrotik-IPv4-IPv6-firewall?p=5908250&viewfull=1#post5908250
Βασικα στο drop everything else input - forward δε θελει καμια τετοια δηλωση του connection nat state, ουτε το ενα ουτε το αλλο.
forward-allppp-drop, αυτο ειναι ολο
Βασικα στο drop everything else input - forward δε θελει καμια τετοια δηλωση του connection nat state, ουτε το ενα ουτε το αλλο.
forward-allppp-drop, αυτο ειναι ολο
αυτό είναι όλο τί?
αυτόν τον κανόνα έχει
και αφού δεν έχει απο πάνω accept connection nat state = dst-nat
του λέω να βάλει στο drop all others connection nat state = !dst-nat για να μή ρίχνει και αυτά
δεν καταλαβα δλδ τι να δηλωσω?
δεν μου ειπες ομως, αυτος ο τελευταιος κανονας που κανω disable για να παιζει το ovpn τι κανει ακριβως? χρειαζεται? ειναι υποχρεωτικος?
Σου το είπα (http://www.adslgr.com/forum/threads/858118-Mikrotik-IPv4-IPv6-firewall?p=6012075#post6012075).
Τώρα που ξαναβλέπω το log,
εκτός απο το connection NAT state = !dst-nat
χρειάζεσαι κανόνα στο forward που να επιτρέπει όλα απο in-interface=ovpn-nikiforos το οποίο είναι dynamic και δε ξέρω αν θα το πάρει
ειδάλλως βάζεις src-address= την ΙΡ του ovpn-nikiforos
- - - Updated - - -
Για παράδειγμα οι δικοί μου τελευταίοι κανόνες με BOLD οτι σε αφορά στο πρόβλημά σου
add chain=forward comment="Allow forward established and related connections" connection-state=established,related
add chain=forward comment="From our VPN" src-address=192.168.1.151-192.168.1.160
add chain=forward comment="From our VPN Synology" src-address=192.168.4.0/24
add chain=forward comment="From NVR " src-address=192.168.254.0/24
add chain=forward comment="Allow all forward from LAN" in-interface=bridge-local
add chain=forward comment="Allow NAT incoming connections" connection-nat-state=dstnat
add action=drop chain=input comment="______Drop input everything else"
add action=drop chain=forward comment="______Drop forward everything else"
καλησπέρα! καταρχην να ευχαριστησω για τις απαντησεις σας και τους αλλους macro και teoch_ch καθως και deni να ξερετε οτι σας εκτιμω ιδιαιτερα!
δυστυχως δεν τα καταλαβαινω πολυ καλα οπως μαλλον θα εχετε καταλαβει ολα αυτα! πειτε μου να αλλαξω σασμαν, δισκο-πλατο-ρουλεμαν πολυ ποιο ευκολο μου φαινεται! :lol::rofl:
θα προσπαθησω να δοκιμασω οτι ειπατε τωρα σιγα σιγα και θα ενημερωσω.
Για αρχη ποσταρω και τους κανονες που εχω στο Firewall-NAT και με τον σωστο τροπο δλδ με export και οχι print οπως κακως εκανα μερικες φορες.
Τα παρακατω ειναι στο RB109 internet router στην Αθηνα για να μην μπερδευομαστε.
Ενας χαμος γινεται και εδω....
με bolt οτι ειναι disable για διαφορους λογους.
Α και κατι αλλο οτι ειναι με 10.2 κατι ειναι subnet Aθηνας και οτι ειναι με 10.71 κατι ειναι subnet εξοχικου, ειναι απο το awmn και βλεπονται μεταξυ τους τα 2 μερη σαν να παιζουν τοπικα.
Να πω οτι για αρχη κοιταω το openvpn που δινει ιντερνετ στο εξοχικο, το αλλο ειναι για να εχω awmn ips σε κινητο πχ ωστε να μπορω να μπαινω στο δικτυο μου οπου και να ειμαι, κυριως λογος ειναι να δουλευει ο αστερισκ ωστε να εχω παντου το σταθερο μου. Εχω και για τις 2 περιπτωσεις για backup χρηση και απλο pptp vpn γιαυτο και υπαρχουν και οι κανονες στο ΝΑΤ.
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="Gia internet apo ppoe client" dst-address=!10.0.0.0/8 out-interface=pppoe-out1 src-address=10.2.237.0/27
add action=masquerade chain=srcnat comment="Vpn internet gia exoxiko" disabled=yes dst-address=!10.0.0.0/8 out-interface=pppoe-out1 src-address=10.2.237.244/30
add action=masquerade chain=srcnat comment="Vpn awmn apo internet" src-address=10.2.237.128/29
add action=masquerade chain=srcnat comment="openvpn internet exoxiko" dst-address=!10.0.0.0/8 out-interface=pppoe-out1 src-address=10.2.237.248/29
add action=masquerade chain=srcnat comment="openvpn awmn to internet" src-address=10.2.237.248/29
add action=masquerade chain=srcnat comment="masquerade ppp for usb 4g modem" disabled=yes dst-address=0.0.0.0/0 out-interface=ppp-out1
add action=dst-nat chain=dstnat dst-port=1722-1723 in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=10.2.237.4 to-ports=1722-1723
add action=dst-nat chain=dstnat dst-port=8888 in-interface=pppoe-out1 protocol=tcp to-addresses=10.71.99.8 to-ports=8888
add action=dst-nat chain=dstnat dst-port=3128 in-interface=pppoe-out1 protocol=tcp to-addresses=10.71.99.9 to-ports=3128
add action=dst-nat chain=dstnat disabled=yes dst-port=7500 in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=10.2.237.6 to-ports=65000
add action=dst-nat chain=dstnat disabled=yes dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=10.2.237.3 to-ports=80
add action=dst-nat chain=dstnat disabled=yes dst-port=21 in-interface=pppoe-out1 protocol=tcp to-addresses=10.2.237.3 to-ports=21
add action=redirect chain=dstnat comment="Web Proxy" disabled=yes dst-port=80 protocol=tcp src-port=8085 to-ports=8085
add action=dst-nat chain=dstnat disabled=yes dst-port=53 protocol=tcp src-address=!10.2.237.4 to-addresses=10.2.237.4 to-ports=53
add action=dst-nat chain=dstnat disabled=yes dst-port=53 protocol=udp src-address=!10.2.237.4 to-addresses=10.2.237.4 to-ports=53
Αν δεν πείς στο firewall να επιτρέπει το NAT τότε θα στο κόβει.
Στο log βλέπω κάποιες γραμμές.
Σε ποιά εντολή έχεις βάλει να logάρει?
Αν είναι σε εντολή forward block all others,
τότε τίκαρε το connection NAT state = ~dst-nat
γιατί δεν επιτρέπει ΝΑΤ κίνηση προς το δίκτυο σου.
Αντίστοιχα και στο input block all others,
γιατί δεν επιτρέπει ΝΑΤ προς το ίδιο το ΜΚ (αλλά δεν έχεις πρόβλημα γιατί δεν έχεις ΝΑΤ προς το ΜΚ)
ακριβως αυτο που ειπες ειναι! :oneup: βεβαια δεν εχω πειραξει το δευτερο που ειπες, εκανα πολλες δοκιμες και απο αυτο δεν ειδα κανενα απολυτως αποτελεσμα.
δλδ εχω τα παρακατω τωρα :
add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
add action=drop chain=forward connection-nat-state=dstnat log=yes
Το προβλημα ειναι οτι αμα στο nat state = dst-nat δεν τικαρω το ! τοτε δεν μπορω να μπω στις καμερες στο εξοχικο μεσω ιντερνετ κινητης, αν το τικαρω τοτε δεν συνδεται το openvpn client στο κινητο μεσω ιντερνετ κινητης και στο εξοχικο δεν εχω και ιντερνετ! μα καλα αυτο πως γινεται θα μας τρελανει? εχω φαει ποσες ωρες με απειρες δοκιμες και δεν βρισκω λυση!
επισης αν δεν παιζουν απευθειας μου φαινεται δεν μου ερχονται και τα emails αν δουν κινηση!!! που ειναι ΠΟΛΥ κακο αυτο!
Να τονισω οτι ασχετως με αυτα που κανω εγω τωρα, εχει τυχει αναλογα την δρομολογηση του AWMN προς το εξοχικο μερικες φορες αν εχει αλλαξει απο αλλους κομβους (17-20 hops) να εχω ακριβως το ιδιο προβλημα!!!
προφανως επειδη καποιος κομβος ειχε λαθος ρυθμισμενο firewall.....
ο κανονας που ελυσε το προβλημα αλλα δεν ξερω ακομα αν ερχονται τα emails γιατι πρεπει να εχω κινηση ειναι ο παρακατω :
το σκεφτηκα οταν ειδα τα logs στο κανονα drop chain forward αυτον δλδ που εκανα disable για να παιζει το openvpn.
add action=accept chain=forward comment="DVR exoxiko apo kinito" in-interface=pppoe-out1 out-interface=bridge1-lan-wlan
Σου το είπα (http://www.adslgr.com/forum/threads/858118-Mikrotik-IPv4-IPv6-firewall?p=6012075#post6012075).
sorry δεν το καταλαβα!
μήν αλλάζεις πολλά ταυτόχρονα γιατί χανόμαστε!
καταρχάς
Κάνε ένα
/ip firewall filter export
και με ότι έχεις κάνει δώσε ένα μικρό log και ιδανικά είναι να βάζεις log prefix να ξέρουμε ποιός κανόνας γράφει τί
- - - Updated - - -
αυτός θα έπρεπε να είναι είτε
add action=drop chain=forward connection-nat-state=!dstnat log=yes
είτε
add action=accept chain=forward connection-nat-state=dstnat log=yes
με τον δικό σου βγάζεις άκυρο το dstnat
αν δουλεύει όταν το κάνεις drop, τότε το πρόβλημα είναι στο ΝΑΤ σε ότι έχεις dstnat
/ip firewall filter
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
add action=accept chain=forward comment="DVR exoxiko apo kinito" in-interface=pppoe-out1 out-interface=bridge1-lan-wlan
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward connection-nat-state=dstnat log=yes
αν μπορεις πες μου κατι ποιο συγκεκριμενο γιατι δεν τα πολυκαταλαβαινω. Αυτο με το log prefix δεν το ξερω, δεν το εχω δουλεψει ποτε.
Δεν καταλαβα για ποιον κανονα μιλας αυτον που εβαλα μετα? με το comment DVR exoxiko?
Το θαυμαστικο ! τι κανει ακριβως?
οπως τα εχω παραπανω παιζουν ολα, δεν ξερω μονο αν ερχονται emails απο το καταγραφικο γιατι πρεπει οι καμερες να δουν κινηση για να στειλει και σημερα δεν βλεπω ουτε γατες ουτε αρουραιους....
/ip firewall filter
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
add action=accept chain=forward comment="DVR exoxiko apo kinito" in-interface=pppoe-out1 out-interface=bridge1-lan-wlan
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=accept chain=forward connection-nat-state=dstnat log=yes
add action=accept chain=input connection-nat-state=dstnat
add action=accept chain=forward connection-nat-state=dstnat
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else" log=yes log-prefix=forward-all-others"disabled=yes
Τους τελευταίους 2-3 κανόνες σου πείραξα.
το drop forward all others είναι disabled για να μή σε πετάξει απο το νετ
ενεργοποίησε αν έχεις εξασφαλισμένη πρόσβαση
και βάλε ένα μέρος του LOG
αν θές γράψε επίσης τα ip ranges (είτε single IP είτε subnet είτε range πχ. 192.168.1.50-192.168.1.60) που δεν έχουν πρόσβαση απο την κάθε πλευρά
expected end of command (line 1 column 107) ενταξει το βρηκα πρεπει να βγει ενα " μετα το others add action=drop chain=forward comment="Drop forward everything else" log=yes log-prefix=forward-all-others"disabled=yes
δεν παω εξοχικο μεσω ιντερνετ αλλα μεσω awmn οποτε δεν με πεταει.
αυτο με τα ip ranges που δεν εχουν προσβαση που εννοεις?
τα εκανα οπως εγραψες και παλι δεν εχω ιντερνετ εξοχικο.
ομως απο το κινητο μπαινω στο καταγραφικο μεσω ιντερνετ.
Ειναι 3 διαφορετικα πραγματα που πλεκετε το openvpn.
Tα λεω αναλυτικα :
1. Nα εχω ιντερνετ στο εξοχικο μεσω εξωτερικων ασυρματων δικτυων AWMN δλδ.
2. Να μπορω απο το κινητο να μπαινω μεσω ιντερνετ κινητης απευθειας στο καταγραφικο να βλεπω τις καμερες μου εκει, αυτο εχει σχεση και με το να ερχονται emails αν οι καμερες δουν κινηση.
3. Συνδεση απο το κινητο με το openvpn client ωστε να εχω ip απο το subnet μου στην Αθηνα δλδ.
/ip firewall filter add action=drop chain=forward comment="Drop forward everything else" log=yes log-prefix="forward-all-others" disabled=no
το έκανα λοιπόν enable
να μου πείς απο ποιές ΙΡ δεν βλέπεις ποιές ΙΡ
ή δώσε το log και βλέπουμε
τελικα ειναι να τραβαμε τα μαλια μας! οι δοκιμες επειδη ειναι 3 διαφορετικα πραγματα οπως ειπα απο πανω ειναι χρονοβορες και ακρη δεν εχω βγαλει.
Με αυτα που καναμε τωρα εχει γινει το εξης :
Μεσω κινητου μπαινω στις καμερες, συνδεεται το openvpn client αλλα δεν περναει κινηση μεσω ιντερνετ κινητης, και στο εξοχικο δεν εχω καθολου ιντερνετ.
Παραθετω logs εγω δεν βγαζω ακρη παντως.
Παραθετω και τους παλιους κανονες μηπως βοηθανε σε κατι, δυστυχως με print και δεν ειχα ΚΑΝΕΝΑ προβλημα τοτε! εννοειτε οτι τους εχω σβησει ετσι?
οταν τους αλλαξα με το τελευταιο tutorial του deni εγιναν τα προβληματα προφανως κατι εχει αλλαξει.
/ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; OPENVPN
chain=input action=accept protocol=tcp dst-port=1722 log=no log-prefix=""
1 ;;; place hotspot rules here
chain=unused-hs-chain action=passthrough log=no log-prefix=""
2 ;;; Port scanners to list
chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=port scanners address-list-timeout=2w log=no log-prefix=""
3 ;;; NMAP FIN Stealth scan
chain=input action=add-src-to-address-list tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""
4 ;;; SYN/RST scan
chain=input action=add-src-to-address-list tcp-flags=syn,rst protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""
5 ;;; SYN/FIN scan
chain=input action=add-src-to-address-list tcp-flags=fin,syn protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""
6 ;;; FIN/PSH/URG scan
chain=input action=add-src-to-address-list tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""
7 ;;; ALL/ALL scan
chain=input action=add-src-to-address-list tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""
8 ;;; NMAP NULL scan
chain=input action=add-src-to-address-list tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""
9 ;;; dropping port scanners
chain=input action=drop src-address-list=port scanners log=no log-prefix=""
10 ;;; Echo reply
chain=icmp action=accept protocol=icmp icmp-options=0:0 log=no log-prefix=""
11 ;;; Net unreachable
chain=icmp action=accept protocol=icmp icmp-options=3:0 log=no log-prefix=""
12 ;;; Host unreachable
chain=icmp action=accept protocol=icmp icmp-options=3:1 log=no log-prefix=""
13 ;;; Allow source quench
chain=icmp action=accept protocol=icmp icmp-options=4:0 log=no log-prefix=""
14 ;;; Allow echo request
chain=icmp action=accept protocol=icmp icmp-options=8:0 log=no log-prefix=""
15 ;;; Allow time exceed
chain=icmp action=accept protocol=icmp icmp-options=11:0 log=no log-prefix=""
16 ;;; Allow parameter bad
chain=icmp action=accept protocol=icmp icmp-options=12:0 log=no log-prefix=""
17 ;;; Deny all other types
chain=icmp action=drop log=no log-prefix=""
18 ;;; Disable ICMP ping
chain=input action=drop protocol=icmp in-interface=pppoe-out1 log=no log-prefix=""
19 ;;; Port scanners to list
chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=port scanners address-list-timeout=2w in-interface=pppoe-out1 log=no log-prefix=""
20 ;;; NMAP FIN Stealth scan
chain=input action=add-src-to-address-list tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""
21 ;;; SYN/FIN scan
chain=input action=add-src-to-address-list tcp-flags=fin,syn protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""
22 ;;; SYN/RST scan
chain=input action=add-src-to-address-list tcp-flags=syn,rst protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""
23 ;;; FIN/PSH/URG scan
chain=input action=add-src-to-address-list tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""
24 ;;; ALL/ALL scan
chain=input action=add-src-to-address-list tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""
25 ;;; NMAP NULL scan
chain=input action=add-src-to-address-list tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""
26 ;;; Dropping port scanners
chain=input action=drop src-address-list=port scanners log=no log-prefix=""
27 ;;; Drop Invalid connections
chain=input action=drop connection-state=invalid log=no log-prefix=""
28 ;;; Allow Established connections
chain=input action=accept connection-state=established log=no log-prefix=""
29 ;;; Drop invalid connections
chain=forward action=drop connection-state=invalid log=no log-prefix=""
30 ;;; Allow already established connections
chain=forward action=accept connection-state=established log=no log-prefix=""
31 ;;; Allow related connections
chain=forward action=accept connection-state=related log=no log-prefix=""
32 chain=forward action=drop src-address=127.0.0.0/8 log=no log-prefix=""
33 chain=forward action=drop dst-address=127.0.0.0/8 log=no log-prefix=""
34 chain=forward action=drop src-address=169.254.0.0/16 log=no log-prefix=""
35 chain=forward action=drop dst-address=169.254.0.0/16 log=no log-prefix=""
36 chain=forward action=drop src-address=172.16.0.0/12 log=no log-prefix=""
37 chain=forward action=drop dst-address=172.16.0.0/12 log=no log-prefix=""
38 chain=forward action=drop src-address=192.0.0.0/24 log=no log-prefix=""
39 chain=forward action=drop dst-address=192.0.0.0/24 log=no log-prefix=""
40 chain=forward action=drop src-address=192.0.2.0/24 log=no log-prefix=""
41 chain=forward action=drop dst-address=192.0.2.0/24 log=no log-prefix=""
42 chain=forward action=drop src-address=198.18.0.0/15 log=no log-prefix=""
43 chain=forward action=drop dst-address=198.18.0.0/15 log=no log-prefix=""
44 chain=forward action=drop src-address=198.51.100.0/24 log=no log-prefix=""
45 chain=forward action=drop dst-address=198.51.100.0/24 log=no log-prefix=""
46 chain=forward action=drop src-address=203.0.113.0/24 log=no log-prefix=""
47 chain=forward action=drop dst-address=203.0.113.0/24 log=no log-prefix=""
48 chain=forward action=drop src-address=224.0.0.0/3 log=no log-prefix=""
49 chain=forward action=drop dst-address=224.0.0.0/3 log=no log-prefix=""
50 ;;; Make jumps to new chains
chain=forward action=jump jump-target=tcp protocol=tcp in-interface=pppoe-out1 log=no log-prefix=""
51 chain=forward action=jump jump-target=udp protocol=udp in-interface=pppoe-out1 log=no log-prefix=""
52 chain=forward action=jump jump-target=icmp protocol=icmp in-interface=pppoe-out1 log=no log-prefix=""
53 ;;; Deny TFTP
chain=tcp action=drop protocol=tcp dst-port=69 log=no log-prefix=""
54 ;;; Deny RPC portmapper
chain=tcp action=drop protocol=tcp dst-port=111 log=no log-prefix=""
55 ;;; Deny RPC portmapper
chain=tcp action=drop protocol=tcp dst-port=135 log=no log-prefix=""
56 ;;; Deny NBT
chain=tcp action=drop protocol=tcp dst-port=137-139 log=no log-prefix=""
57 ;;; Deny cifs
chain=tcp action=drop protocol=tcp dst-port=445 log=no log-prefix=""
58 ;;; Deny NFS
chain=tcp action=drop protocol=tcp dst-port=2049 log=no log-prefix=""
59 ;;; Deny NetBus
chain=tcp action=drop protocol=tcp dst-port=12345-12346 log=no log-prefix=""
60 ;;; Deny NetBus
chain=tcp action=drop protocol=tcp dst-port=20034 log=no log-prefix=""
61 ;;; Deny BackOriffice
chain=tcp action=drop protocol=tcp dst-port=3133 log=no log-prefix=""
62 ;;; Deny TFTP
chain=udp action=drop protocol=udp dst-port=69 log=no log-prefix=""
63 ;;; Deny PRC portmapper
chain=udp action=drop protocol=udp dst-port=111 log=no log-prefix=""
64 ;;; Deny PRC portmapper
chain=udp action=drop protocol=udp dst-port=135 log=no log-prefix=""
65 ;;; Deny NBT
chain=udp action=drop protocol=udp dst-port=137-139 log=no log-prefix=""
66 ;;; Deny NFS
chain=udp action=drop protocol=udp dst-port=2049 log=no log-prefix=""
67 ;;; Deny BackOriffice
chain=udp action=drop protocol=udp dst-port=3133 log=no log-prefix=""
68 ;;; Allow established connections
chain=input action=accept connection-state=established log=no log-prefix=""
69 ;;; Allow related connections
chain=input action=accept connection-state=related log=no log-prefix=""
70 ;;; Drop invalid connections
chain=input action=drop connection-state=invalid log=no log-prefix=""
71 ;;; Allow established connections
chain=forward action=accept connection-state=established log=no log-prefix=""
72 ;;; Allow related connections
chain=forward action=accept connection-state=related log=no log-prefix=""
73 ;;; Drop invalid connections
chain=forward action=drop connection-state=invalid log=no log-prefix=""
/ip firewall filter add chain=forward comment="From our VPN" src-address=10.2.237.248/29
και βάλε το πάνω απο τα drop all others (τα οποία πάντα πρέπει να είναι τελευταία. μπορεί να το ξέρεις αλλά καλύτερα να το ξαναπώ)
- - - Updated - - -
για αυτό σου είπα να μου πείς τα ΙΡ ranges που έχεις θέμα
εκτός απο το 10.2.237.248/29
το οποίο το κάναμε accept (και είναι δικό σου σωστά?)
βλέπω και ένα 10.2.237.128/29
αν το θές και αυτό βάλε και για αυτό κανόνα
- - - Updated - - -
βάλε κανόνα και πάλι LOG και πές και τί δε δουλεύει με το ΙΡ του
καλα πλακα μου κανεις?
τωρα ολα δουλευουν μονο με το 1ο κανονα!
αυτο δεν χρειαζεται τωρα : add action=accept chain=forward comment="DVR exoxiko apo kinito" in-interface=pppoe-out1 out-interface=bridge1-lan-wlan
εβαλα εναν κανονα και για το 10.2.237.128/29 αυτο εδω περα ειναι vpn pptp που δεν το δουλευω τωρα.
γενικά πρέπει να αφήσεις ότι θές να περνάει μέσα απο το ΜΚ
και δεν αρκεί το
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
γιατί έχεις in-interface ppp (του OVPN)
θα μπορούσες να βάλεις
add action=accept chain=forward comment="Allow all forward from VPN" in-interface=<ovpn-nikiforos>
αλλά επειδή είναι dynamic name νομίζω είχα κάποιο πρόβλημα όταν το προσπαθούσα
και έτσι το έκανα μέσω
add action=accept chain=forward comment="Allow all forward from VPN" src-address= ip subnet του OVPN
ωραιος, ευχαριστω με εφτιαξες παραθετω τωρα πως ειναι ακριβως :
/ip firewall filter
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=accept chain=forward connection-nat-state=dstnat log=yes
add action=accept chain=input connection-nat-state=dstnat
add action=accept chain=forward connection-nat-state=dstnat
add action=accept chain=forward comment="From our OpenVPN" src-address=10.2.237.248/29
add action=accept chain=forward comment="From our VPN_PPTP" src-address=10.2.237.128/29
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else" log=yes log-prefix=forward-all-others
βεβαια δεν βλεπω ακομα emails αλλα πιστευω να μην ειναι κατι ξεχωριστο αυτο και θελουμε αλλο κανονα παλι!
λογικα περναει οπως οταν συνδεομαι στις καμερες απευθειας απο ιντερνετ κινητης γιατι οποτε δεν δουλευε αυτο δεν ερχονταν και τα emails.
Σωστός!
αφαίρεσε και αυτό να μή σου γεμίζει το λογ
log=yes log-prefix=forward-all-others
και ομαδοποίησε τα input/forward για να είναι και πιο εύκολο να ψάχνεις/διορθώνεις κάτι
ΕΚΤΟΣ απο τα DROP ALL OTHERS που πρέπει να είναι στο τέλος
Η διαφορά με το παλιό firewall είναι τα drop all others
που είχα ανοίξει εγώ τη συζήτηση με τον Deni.
Πρίν στην ουσία μόνο τα 2-3 drop έκαναν δουλειά αφού στο τέλος υπήρχε ένα accept all others!
Δοκίμασε κάτι όποτε βαριέσαι.
Απενεργοποίσε τα drop all others και ζήτα κάποιον απο το ΑWMN να σε ψάξει μέσω samba //dikia-sou-ip
Φοβάμαι ότι θα σε βρεί παρόλα τα OVPN που έχεις!
σβήσε και αυτό που υπάρχει δύο φορές
add action=accept chain=forward connection-nat-state=dstnat log=yes
τελικα ερχονται και emails!
Δοκίμασε κάτι όποτε βαριέσαι.
Απενεργοποίσε τα drop all others και ζήτα κάποιον απο το ΑWMN να σε ψάξει μέσω samba //dikia-sou-ip
Φοβάμαι ότι θα σε βρεί παρόλα τα OVPN που έχεις!
Το openvpn τι σχεση εχει δεν καταλαβα, τι εννοεις να εχουν προσβαση σε τι, στην samba στο desktop pc ή στο 109 πχ?
Το awmn βλεπει ολους τους αλλους, δεν περναμε μεσω VPN δλδ αν αυτο εννοεις.
Το vpn το θελουμε μονο αμα θελουμε να περασουμε ιντερνετ μεσω του awmn να δωσουμε δλδ αλλου ή αν θες να εχεις awmn ips μεσω internet οπως κανω πχ εγω στο κινητο.
Για το awmn στο 433ΑΗ που ειναι το ασυρματο ρουτερ εχω filter rules και κοβουν την προσβαση σε προσωπικα μου μηχανηματα.
Εχω δλδ και στο 433ΑΗ και στο 951 στο εξοχικο εναν κανονα να βλεπονται μεταξυ τους τα δικα μου subnet και τα μηχανηματα μου οσα δεν ειναι αναγκη να τα βλεπουν ολοι τα κοβω απο το 10.0.0.0/8 δλδ πχ το καταγραφικο dvr cctv γιατι να το βλεπουν ολοι? Δεν θα αφηνα τα εσωτερικα μου μηχανηματα ανοιχτα σε ολο το AWMN!
τετοια μηχανηματα πχ ειναι δικτυακος εκτυπωτης, καταγραφικο για καμερες CCTV, ipcamera κτλ. Πραγματα δλδ που ΔΕΝ δημιουργουν προβληματα στην λειτουργια του δικτυου.
Γενικα επειδη υπαρχει τροπος (στην σελιδα καταχωρησεων κομβων) να βρισκεις ευκολα σε ποιον ανηκει το καθε subnet και που ειναι αυτος δεν εχουμε κρουσματα χακεραδων κτλ, οποτε δεν εχουμε προβλημα, ειναι καλα παιδια στο δικτυο :p
επειδη πρεπει να παω για υπνο, ευχαριστω και παλι που βρηκες την λυση γιατι ειχα φαει ωρες!
επισης παραθετω την τελευταια εκδοση των filters :
/ip firewall filter
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=accept chain=forward connection-nat-state=dstnat
add action=accept chain=input connection-nat-state=dstnat
add action=accept chain=forward comment="From our OpenVPN" src-address=10.2.237.248/29
add action=accept chain=forward comment="From our VPN_PPTP" src-address=10.2.237.128/29
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else" log-prefix=forward-all-others
καληνυχτα! :):goodnight:
αυτό που θέλω να πώ, είναι ότι χωρίς το drop all others
δεν υπάρχει firewall
και αν είναι σε κοινό bridge οι θύρες του εσωτερικού δικτύου με του ασύρματου τότε βλέπουν ο ένας τον άλλο
Γενικά η λογική είναι...
Κόβεις τα πάντα και αφήνεις να περάσουν μόνο ότι θέλεις.
εγω το !dst δε το εχω βαλει και μου παιζουν ολα κανονικα. Μπορει να ειναι τυχαιο βεβαια και απλα να μη μου εχει τυχει ακομη.
Δεν εχω vpn ομως.
έχεις ΝΑΤ dst κανόνες?
αν ναί,
έχεις τα input/forward drop all others?
αν ναί, τότε κάτι άλλο συμβαίνει που δε γνωρίζω
Ναι τα εχω ολα αυτα,
Νατ εκτος απο το βασικο εχω αλλα 2.... ενα για τα τορρεντς και ενα για να εχω access στο modem. input forward τελευταιοι κανονες.
τότε μήπως έχεις κάποιον άλλο κανόνα accept στο firewall filter
και σου κρατάει τρύπιο το firewall?
θές να βγάλεις ένα /ip firewall filter export
και τους κανόνες dst-nat γιατί με το firewall του deni το ΝΑΤ κόβεται
- - - Updated - - -
Μα έχεις κανόνα για το dst-nat, τί συζητάμε?
http://www.adslgr.com/forum/threads/858118-Mikrotik-IPv4-IPv6-firewall/page12?p=5916488#post5916488
Μπα τα εχω αλλαξει απο τοτε, για δες..........
/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related " \
connection-state=established,related
add action=drop chain=input comment="Drop Invalid connections" \
connection-state=invalid
add action=accept chain=forward comment="Accept forward established,related" \
connection-state=established,related
add action=drop chain=forward comment="Drop Invalid connections" \
connection-state=invalid
add action=accept chain=input comment="Allow ICMP" in-interface=all-ppp \
protocol=icmp
add action=accept chain=forward comment="Accept Torrent" dst-address=\
192.168.1.2 port=61132 protocol=udp
add action=accept chain=forward dst-address=192.168.1.2 port=61132 protocol=\
tcp
add action=jump chain=forward comment="Make jumps to new chains" jump-target=\
tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=accept chain=icmp comment=\
"Allow only needed icmp codes in icmp chain..................echo reply" \
icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 \
protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 \
protocol=icmp
add action=accept chain=icmp comment=\
"host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 \
protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=drop chain=tcp comment=\
"Create tcp chain and deny some tcp ports in it...........deny TFTP" \
dst-port=69 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 \
protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 \
protocol=tcp
add action=drop chain=tcp comment="deny NBT" dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment="deny cifs" dst-port=445 protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 \
protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\
tcp
add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 protocol=tcp
add action=drop chain=udp comment=\
"Deny udp ports in udp chain..........deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 \
protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 \
protocol=udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp
add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=\
udp
add action=drop chain=forward comment="Block Bogon IPs" src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=drop chain=input comment="Drop DNS queries from WAN" dst-port=53 \
in-interface=all-ppp protocol=udp
add action=drop chain=input dst-port=53 in-interface=all-ppp protocol=tcp
add action=jump chain=forward comment="SYN Flood protect" connection-state=\
new disabled=yes jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=accept chain=SYN-Protect connection-state=new disabled=yes limit=\
500,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new disabled=yes protocol=\
tcp tcp-flags=syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"
add action=drop chain=forward comment=\
"Disallow TCP/UDP port 0 DDoS protection" disabled=yes port=0 protocol=\
tcp
add action=drop chain=forward disabled=yes port=0 protocol=udp
add action=jump chain=forward comment="DDos Protection" connection-state=new \
disabled=yes jump-target=detect-ddos
add action=return chain=detect-ddos disabled=yes dst-limit=\
32,50,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=\
10m chain=detect-ddos disabled=yes
add action=add-src-to-address-list address-list=ddoser address-list-timeout=\
10m chain=detect-ddos disabled=yes
add action=drop chain=forward connection-state=new disabled=yes \
dst-address-list=ddosed src-address-list=ddoser
add action=accept chain=input comment="Allow Broadcast-Multicast" \
dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!all-ppp
add action=drop chain=forward comment="Drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface=all-ppp
add action=drop chain=input comment="Drop everything else" in-interface=\
all-ppp
add action=drop chain=forward in-interface=all-ppp
αυτό που θέλω να πώ, είναι ότι χωρίς το drop all others
δεν υπάρχει firewall
και αν είναι σε κοινό bridge οι θύρες του εσωτερικού δικτύου με του ασύρματου τότε βλέπουν ο ένας τον άλλο
καλησπέρα, βασικα το 109 το εχω και σαν switch οποτε ολα βλεπονται και μεταξυ τους, και λογικο ειναι πως θα λειτουργησουν αλλιως? το καθενα θα εχει δικο του subnet?
στο εξοχικο στο 951 εχω αλλο switch και επειδη εχω αλλα 2 RBs εχουν αλλο subnet απο το εσωτερικο μου δικτυο.
Εδω δεν γινεται ετσι.
Αλλα σου εξηγησα εχω αλλο awmn router και εχει κανονες firewall που κοβουν σε ολο το awmn subnet την προσβαση σε συγκεκριμενα μηχανηματα του τοπικου μου δικτυου οπως κανω και στο εξοχικο.
Αυτο που λες βασικα ειναι θεμα του awmn και το συζηταμε εδω, γιαυτο θα πω μονο ενα ακομα.
Οτι υπαρχουν 2 τροποι , ο ενας ειναι να εχεις awmn ips στα μηχανηματα του εσωτερικου σου δικτυου και να κανεις fw rules σε οτι δεν θες να βλεπουν.
Αλλιως μπορεις να εχεις ενα αλλο subnet πχ σε 192.168.1.Χ αλλα πρεπει να κανεις routing κτλ αλλιως δεν θα βλεπεις το awmn εφοσον ανηκει σε αλλο subnet.
Eπειδη ειναι μεγαλη μανουρα νομιζω θελει και ΝΑΤ εχω κανει τον ευκολο τροπο οπως οι περισσοτεροι και απλα βαζουμε awmn dns servers για να εχουμε και ιντερνετ μαζι με το awmn.
Γενικά η λογική είναι...
Κόβεις τα πάντα και αφήνεις να περάσουν μόνο ότι θέλεις.
ακριβως αυτο κανει το firewall!
Μπα τα εχω αλλαξει απο τοτε, για δες..........
/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related " \
connection-state=established,related
add action=drop chain=input comment="Drop Invalid connections" \
connection-state=invalid
add action=accept chain=forward comment="Accept forward established,related" \
connection-state=established,related
add action=drop chain=forward comment="Drop Invalid connections" \
connection-state=invalid
add action=accept chain=input comment="Allow ICMP" in-interface=all-ppp \
protocol=icmp
add action=accept chain=forward comment="Accept Torrent" dst-address=\
192.168.1.2 port=61132 protocol=udp
add action=accept chain=forward dst-address=192.168.1.2 port=61132 protocol=\
tcp
add action=jump chain=forward comment="Make jumps to new chains" jump-target=\
tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=accept chain=icmp comment=\
"Allow only needed icmp codes in icmp chain..................echo reply" \
icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 \
protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 \
protocol=icmp
add action=accept chain=icmp comment=\
"host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 \
protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=drop chain=tcp comment=\
"Create tcp chain and deny some tcp ports in it...........deny TFTP" \
dst-port=69 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 \
protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 \
protocol=tcp
add action=drop chain=tcp comment="deny NBT" dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment="deny cifs" dst-port=445 protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 \
protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\
tcp
add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 protocol=tcp
add action=drop chain=udp comment=\
"Deny udp ports in udp chain..........deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 \
protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 \
protocol=udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp
add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=\
udp
add action=drop chain=forward comment="Block Bogon IPs" src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=drop chain=input comment="Drop DNS queries from WAN" dst-port=53 \
in-interface=all-ppp protocol=udp
add action=drop chain=input dst-port=53 in-interface=all-ppp protocol=tcp
add action=jump chain=forward comment="SYN Flood protect" connection-state=\
new disabled=yes jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=accept chain=SYN-Protect connection-state=new disabled=yes limit=\
500,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new disabled=yes protocol=\
tcp tcp-flags=syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"
add action=drop chain=forward comment=\
"Disallow TCP/UDP port 0 DDoS protection" disabled=yes port=0 protocol=\
tcp
add action=drop chain=forward disabled=yes port=0 protocol=udp
add action=jump chain=forward comment="DDos Protection" connection-state=new \
disabled=yes jump-target=detect-ddos
add action=return chain=detect-ddos disabled=yes dst-limit=\
32,50,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=\
10m chain=detect-ddos disabled=yes
add action=add-src-to-address-list address-list=ddoser address-list-timeout=\
10m chain=detect-ddos disabled=yes
add action=drop chain=forward connection-state=new disabled=yes \
dst-address-list=ddosed src-address-list=ddoser
add action=accept chain=input comment="Allow Broadcast-Multicast" \
dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!all-ppp
add action=drop chain=forward comment="Drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface=all-ppp
add action=drop chain=input comment="Drop everything else" in-interface=\
all-ppp
add action=drop chain=forward in-interface=all-ppp
αυτό εδώ τί είναι? :p
add action=drop chain=forward comment="Drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface=all-ppp
Βέβαια στο τέλος ξανακάνεις μπλοκ.
Γίνεται ένα μπάχαλο γενικά.
Αν σου δουλεύει άστο αλλιώς κάνε ένα copy-paste του Deni!
- - - Updated - - -
καλησπέρα, βασικα το 109 το εχω και σαν switch οποτε ολα βλεπονται και μεταξυ τους, και λογικο ειναι πως θα λειτουργησουν αλλιως? το καθενα θα εχει δικο του subnet?
στο εξοχικο στο 951 εχω αλλο switch και επειδη εχω αλλα 2 RBs εχουν αλλο subnet απο το εσωτερικο μου δικτυο.
Εδω δεν γινεται ετσι.
Αλλα σου εξηγησα εχω αλλο awmn router και εχει κανονες firewall που κοβουν σε ολο το awmn subnet την προσβαση σε συγκεκριμενα μηχανηματα του τοπικου μου δικτυου οπως κανω και στο εξοχικο.
Αυτο που λες βασικα ειναι θεμα του awmn και το συζηταμε εδω, γιαυτο θα πω μονο ενα ακομα.
Οτι υπαρχουν 2 τροποι , ο ενας ειναι να εχεις awmn ips στα μηχανηματα του εσωτερικου σου δικτυου και να κανεις fw rules σε οτι δεν θες να βλεπουν.
Αλλιως μπορεις να εχεις ενα αλλο subnet πχ σε 192.168.1.Χ αλλα πρεπει να κανεις routing κτλ αλλιως δεν θα βλεπεις το awmn εφοσον ανηκει σε αλλο subnet.
Eπειδη ειναι μεγαλη μανουρα νομιζω θελει και ΝΑΤ εχω κανει τον ευκολο τροπο οπως οι περισσοτεροι και απλα βαζουμε awmn dns servers για να εχουμε και ιντερνετ μαζι με το awmn.
Δε ξέρω πώς δουλεύει το AWMN αλλά,
αν κάποιος βάλει χειροκίνητη ΙΡ εκτός του AWMN subnet δε θα μπορεί να σε βρεί αφού δε θα τον μπλοκάρεις?
Αλλά άστο γιατί έχουμε φτάσει στα όρια των γνώσεων για τα δικτυακά και δεν έχω ιδέα πώς λειτουργεί το AWMN.
Αφού φτιάξαμε και το πρόβλημα σου όλα καλά!
Δε ξέρω πώς δουλεύει το AWMN αλλά,
αν κάποιος βάλει χειροκίνητη ΙΡ εκτός του AWMN subnet δε θα μπορεί να σε βρεί αφού δε θα τον μπλοκάρεις?
Αλλά άστο γιατί έχουμε φτάσει στα όρια των γνώσεων για τα δικτυακά και δεν έχω ιδέα πώς λειτουργεί το AWMN.
Αφού φτιάξαμε και το πρόβλημα σου όλα καλά!
χειροκινητη ip σε τι πραγμα? και πως θα με φτασει? δεν πλεκεται το internet με το awmn γιαυτο εχουμε τα VPN!
αν ειναι μεσα απο το awmn σου ειπα και πριν δεν κανει κανεις κατι τετοιο, αμεσως θα τον βρεις και ξερεις και που ειναι ακριβως!
και παλι δεν μπορει να σε φτασει γιατι δεν θα δουλευει το routing του εφοσον δεν ειναι στο δικο του subnet, γενικα αυτο που λες δεν γινεται.
Bλεπομαστε απο εξωτερικα δικτυα ταρατσα-ταρατσα-στεγη-σκεπη κτλ αμα δεν εχει το σωστο routing, ips κτλ δεν παιζει απλα, δεν μπορει να μπει.
Αυτοι που εχουν και Access points εξωτερικα με omnis για πελατες αν δεν εχουν καλη ασφαλεια και εχουν dhcp server εκει κατι ισως να γινεται απο τυχαιους, εγω ομως δεν εχω....
οι συνδεσεις μου ειναι σημειου-σημειου δλδ ap bridge με client οποτε αυτο που λες δεν παιζει, δλδ το routing στηριζεται σε BGP αμα δεν εχεις σωστο subnet δεν...
Αμα θες και σε ενδιαφερει να μαθεις περισσοτερα για να μην ειμαστε εδω offtopic www.awmn.net :)
@ ADSLgr.com All rights reserved.