PDA

Επιστροφή στο Forum : Περί ROS ο λόγος...



Σελίδες : [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

deniSun
28-06-17, 13:52
Ας ξεχωρίσουμε λίγο τα πράγματα και ας μιλάμε εδώ πλέον για ότι έχει αν κάνει με το ROS όπως νέες εκδόσεις, fw, scripting, προβλήματα, βελτιώσεις, νέες δυνατότητες κλπ.
Ας αφήσουμε το νήμα "Εδώ μιλάμε για Mikrotik RouterBoard (https://www.adslgr.com/forum/threads/821468-%CE%95%CE%B4%CF%8E-%CE%BC%CE%B9%CE%BB%CE%AC%CE%BC%CE%B5-%CE%B3%CE%B9%CE%B1-Mikrotik-RouterBoard/page254)" μόνο για συζητήσεις που σχετίζονται με το hw.

teodor_ch
28-06-17, 14:22
Αφού έχεις όρεξη για καθάρισμα, βάλε το τελευταίο firewall σου σε νέο θέμα και ζήτα να κλειδωθεί το παλιό.

Νομίζω πιο σημαντικό είναι αυτό απο το διαχωρισμό software/hardware!

Ikarantanis
28-06-17, 15:12
Τελικά δεν μπόρεσα να βρω άκρη με τα 2 scripts όποτε σήκωσα user manager και ησύχασα ...
Έχω σηκώσει web proxy πάνω στο ίδιο το ρουτερ με έναν εξωτερικό σκληρό δίσκο .
Έχω δυο ερωτήσεις :
1. Μηχανικό δίσκο ή ssd? Οι ssd έχουν θέμα λόγω trimming αν δεν υποστηρίζεται από το λειτουργικό και οπωσδήποτε το routeros δεν θα υποστηρίζει κάτι τέτοιο.
2. Υπάρχει τρόπος μαζί με τα logs που έχω σεταρει να παίρνω στο μειλ μου κάθε 12 ώρες να μπορέσω να βλέπω και την κατάσταση υγείας του δίσκου ;

deniSun
28-06-17, 16:48
Αφού έχεις όρεξη για καθάρισμα, βάλε το τελευταίο firewall σου σε νέο θέμα και ζήτα να κλειδωθεί το παλιό.

Νομίζω πιο σημαντικό είναι αυτό απο το διαχωρισμό software/hardware!

Δεν υπάρχει λόγος να κλειδωθεί τίποτε.
Και το fw όπως και το qos είναι κάτι που εξελίσσονται.
Σήμερα προσφέρουμε την Χ-υλοποίηση και αύριο την Υ.
Δεν υπάρχει η τέλεια λύση για όλους.
Οπότε δεν υπάρχει και λόγος να κλειδωθεί το παλιό πχ γιατί γράφαμε αρχικά κάποια πράγματα που ανατρέψαμε.
Με αυτή την λογική θα ανοίγουμε ξεχωριστά θέματα για κάθε υλοποίηση πχ υλοποίηση fw denisun v2.2.3 κλπ


Τελικά δεν μπόρεσα να βρω άκρη με τα 2 scripts όποτε σήκωσα user manager και ησύχασα ...
Έχω σηκώσει web proxy πάνω στο ίδιο το ρουτερ με έναν εξωτερικό σκληρό δίσκο .
Έχω δυο ερωτήσεις :
1. Μηχανικό δίσκο ή ssd? Οι ssd έχουν θέμα λόγω trimming αν δεν υποστηρίζεται από το λειτουργικό και οπωσδήποτε το routeros δεν θα υποστηρίζει κάτι τέτοιο.
2. Υπάρχει τρόπος μαζί με τα logs που έχω σεταρει να παίρνω στο μειλ μου κάθε 12 ώρες να μπορέσω να βλέπω και την κατάσταση υγείας του δίσκου ;

0. Δεν τα θυμάμαι τα script που λες.
Αν θες πόσταρέ τα ξανά.
1. Μιλάς για ROS σε x86;
Πάντως δεν υπάρχει θέμα με την χρήση ssd σε ros απ όσο ξέρω.
Τον μηχανικό θα σου τον πρότεινα μόνο αν χρειάζεσαι τόσο μεγάλη χωρητικότητα.
Διαφορετικά... ταχύτητα, θερμοκρασία, κραδασμούς... όλα οδηγούν σε ssd.
2. Ποια στοιχεία του (για την υγεία);
Από ποιο μενού;
Μπορείς να το δώσεις σαν εντολή με script και να το παίρνεις ανάλογα με τον τύπο event που σου εμφανίζεται στα logs.

Ikarantanis
28-06-17, 17:24
RB951G-2HnD χρησιμοποιώ και δεν έχω θέμα με την χωρητικότητα του δίσκου όσο με την αξιοπιστία .
Άρα πιστεύεις ότι δεν θα υπάρχει θέμα με το trimming ?
Ο δίσκος τώρα είναι συνδεδεμένος απευθείας στο ρουτερ και τον χρησιμοποιώ για τον web proxy server .
Δεν ξέρω από που θα μπορούσα να παίρνω στατιστικά για την υγεία του.. πχ όταν εμφανίσει bad sector κτλ .
Έχεις καμία ιδέα αν υπάρχει δυνατότητα να πάρω αυτά τα στοιχεία σε κάποιο log?

deniSun
28-06-17, 18:39
RB951G-2HnD χρησιμοποιώ και δεν έχω θέμα με την χωρητικότητα του δίσκου όσο με την αξιοπιστία .
Άρα πιστεύεις ότι δεν θα υπάρχει θέμα με το trimming ?
Ο δίσκος τώρα είναι συνδεδεμένος απευθείας στο ρουτερ και τον χρησιμοποιώ για τον web proxy server .
Δεν ξέρω από που θα μπορούσα να παίρνω στατιστικά για την υγεία του.. πχ όταν εμφανίσει bad sector κτλ .
Έχεις καμία ιδέα αν υπάρχει δυνατότητα να πάρω αυτά τα στοιχεία σε κάποιο log?

Δεν νομίζω να μπορείς να πάρεις τέτοια στοιχεία για bad sector.
Το ROS δίνει παρόμοια στοιχεία για την εσωτερική μνήμη.
Προσωπικά έχω σταματήσει να χρησιμοποιώ μηχανικούς δίσκους.
Όσο για την αξιοπιστία...
Χρησιμοποιώ μόνο samsung της σειράς evo και pro.
Δεν εμπιστεύομαι τίποτε άλλο.
Για το triming...
Δεν το έχω ψάξει σε επίπεδο ROS.
Δεν ξέρω και πόσο σημαντικό είναι κάτι τέτοιο σε επίπεδο ROS.

teodor_ch
28-06-17, 21:05
Δεν υπάρχει λόγος να κλειδωθεί τίποτε.
Και το fw όπως και το qos είναι κάτι που εξελίσσονται.
Σήμερα προσφέρουμε την Χ-υλοποίηση και αύριο την Υ.
Δεν υπάρχει η τέλεια λύση για όλους.
Οπότε δεν υπάρχει και λόγος να κλειδωθεί το παλιό πχ γιατί γράφαμε αρχικά κάποια πράγματα που ανατρέψαμε.
Με αυτή την λογική θα ανοίγουμε ξεχωριστά θέματα για κάθε υλοποίηση πχ υλοποίηση fw denisun v2.2.3 κλπ


Εκείνο το fw δεν είναι για κανέναν.
Στο είπα, το άλλαξες αλλά το ποστ έμεινε και είναι και θέμα ασφάλειας.
Άλλο το QOS.

Και, όσοι ξανακολλήσουν γιατί δεν περνάνε οι dst-nat connections θα τους λέω ρώτα τον Denisun ;)

deniSun
28-06-17, 23:38
Εκείνο το fw δεν είναι για κανέναν.
Στο είπα, το άλλαξες αλλά το ποστ έμεινε και είναι και θέμα ασφάλειας.
Άλλο το QOS.

Και, όσοι ξανακολλήσουν γιατί δεν περνάνε οι dst-nat connections θα τους λέω ρώτα τον Denisun ;)

Όπως το νήμα για το qos έτσι και αυτό για το fw, ξεκινάς να το διαβάζεις από το τέλος προς την αρχή.
Επίσης... κανένα ποστ μου δεν είναι χωρίς δοκιμή ότι δουλεύει.
Άλλο δεν δουλεύει όπως πρέπει (έχει λάθη/παραλείψεις)
άλλο δεν κάνει αυτό που θέλω
και άλλο δεν δουλεύει καθόλου.
Αυτό που λες ότι "δεν είναι για κανέναν" σημαίνει το τελευταίο.
Πράγμα που δεν ισχύει.

Ας επικεντρωθούμε λοιπόν στα περί ROS.

Nikiforos
29-06-17, 20:39
καλησπέρα! αγορασα αυτο προσφατα https://routerboard.com/RB951Ui-2HnD και το "στηνω" τωρα να ειναι ετοιμο οσο γινεται για το ΣΚ ωστε εκει που θα μπει να μην χασω πολυ χρονο να παμε για μπανακια...:P
το προβλημα μου ειναι οτι εχει κανονες μεσα στο firewall που δεν με αφηνει να σβησουν!!!!
αναφερονται και εδω : https://forum.mikrotik.com/viewtopic.php?t=98471
ειμαι στην τελευταια current και δεν αλλαξε κατι!
ξερει κανεις τπτ? υπαρχει τελικα τροπος να φυγουν???
επισης με export δεν τα δειχνει!!! τα βλεπω απο κονσολα με print εκτος το winbox/webfig

ολα αυτα ειναι, ειχε και ενα κανονα ΝΑΤ αλλα οκ αυτος εσβηνε.



/ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

/ip firewall filter> remove
numbers: 1
Script Error: action cancelled




/ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=prerouting action=passthrough


1 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough


2 D ;;; special dummy rule to show fasttrack counters
chain=postrouting action=passthrough




/ip firewall raw> print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=prerouting action=passthrough

deniSun
29-06-17, 22:43
1. Δοκίμασε με κάποια προηγούμενη current ή bugfix.
2. Κάνε hw reset και πέρνα το ROS με netinstall.
3. Κάνε τις ρυθμίσεις χωρίς load default, από winbox.
4. Μην περάσεις κάποιο backup σε οποιαδήποτε μορφή.

Nikiforos
29-06-17, 22:58
1. οταν το πηρα ειχε πολυ παλιοτερη και bugfix και παλι τα ειχε, δεν ειναι θεμα εκδοσης, αμα δεις το λενε και στο forum στο link που εδωσα πριν.
2. Δυσκολο εχω περασει τα παντα πανω, δε νομιζω οτι ενοχλουν καπου οποτε δεν πειραζει, αν ηξερα ακριβως τι κανουν ωραια θα ηταν. Οπως λενε στο forum μαλλον ειναι και καπως χρησιμα. Οταν θα εχω περισσοτερο χρονο θα διαβασω καλυτερα, εφαγα αρκετο χρονο να το στησω να ειναι ετοιμο για εκει που θα μπει γιατι εβαλα πολλα πραγματα πανω.
3. Εννοειτε ετσι τις εκανα, και αρκετα τα περασα απο exports απο τα αλλα που ειχα. Γιατι για να τα κανω απο winbox θα ηθελα 10 χρονια!
4. Οχι βεβαια σε αυτο, δεν εχει σχεση με τα αλλα, μερικα απο αυτα που ηθελα ηταν απο το 711, μερικα αλλα απο το 951 το gigabit, και λιγα απο το 109!!! οποτε και να ηθελα δεν μπορουσε να γινει!
εχω σωσει τα exports ολων και κανω copy paste απο κονσολα μονο οτι χρειαζομαι, αν θελει κατι edit το κανω απο το winbox.

Tελος να πω οτι δεν δειχνει usbport δλδ πχ στο PPP που εφτιαξα δεν βλεπει, ομως θεωρω οτι ειναι επειδη δεν εχω τωρα στικ 4G εδω να βαλω, usbstick με δεδομενα επαιζε κανονικα.
Στο 109 και στο αλλο 951 προφανως επειδη ειχε μπει το στικ μετα που λειπει μενει η πορτα να φαινεται αν και γινεται με κοκκινα οτι δεν υπαρχει δλδ.

Και αυτα που δεν σβηνουν επισης εχουν να κανουν με fast track καπου το ειχαμε αναφερει στο γενικο θεμα?

https://forum.mikrotik.com/viewtopic.php?t=98471 στο ποστ #9 λεει :

As I understand, things work as follows:

If packet matches a fasttracked connection, it is not being processed by the firewall at all. Just accepted. Thus no rule's counters are being updated when such packets are being processed by your router.
A rule with 'action=fasttrack' (fasttrack rule) just marks the corresponding connection-tracking entry for fasttrack. The packet hitting a fasttrack rule is not being fasttracked yet, and thus updates the rules' counters.
A fasttrack rule does not automatically imply 'accept', effectively passing the matching packet through. If you have an accept rule immediately following the fasttrack rule with the same traffic selectors, the hit and byte count on both rules is always the same. This is perfectly normal and expected.

Δεν καταλαβαινω ομως, τα ποστς ειναι απο το 2015!!! εχω ποσα Rbs και ΠΟΤΕ δεν εχω δει κατι τετοιο!

μαλλον κατι πρεπει να εκανα λαθος στην αρχη και εμειναν defaults πραγματα γιατι πηγα να τα σβησω και αυτα δεν εσβηναν.
Οποτε θα κανω το 3 αφου ΠΡΩΤΑ κρατησω οτι εκανα σε export ωστε να τα ξαναπερασω και ενημερωνω.
Δεν ειναι θεμα εκδοσης του ROS πρεπει να εχει να κανει με τα defaults γιατι ελεγε comments σε διαφορα πραγματα ;defconf απο πανω.
Βλακεια πρεπει να εκανα....ηθελα να πω οτι απλα δεν ακολουθησα τον ετοιμο wizard.

Το βρηκα το λαθος μου, εδω https://www.youtube.com/watch?v=Afit-y-1TZA στο 1:50 στο παραθυρο εγω πατησα ΟΚ, επρεπε να πατησω remove default configuration. Απο την αρχη τωρα....

deniSun
30-06-17, 18:37
1. οταν το πηρα ειχε πολυ παλιοτερη και bugfix και παλι τα ειχε, δεν ειναι θεμα εκδοσης, αμα δεις το λενε και στο forum στο link που εδωσα πριν.
2. Δυσκολο εχω περασει τα παντα πανω, δε νομιζω οτι ενοχλουν καπου οποτε δεν πειραζει, αν ηξερα ακριβως τι κανουν ωραια θα ηταν. Οπως λενε στο forum μαλλον ειναι και καπως χρησιμα. Οταν θα εχω περισσοτερο χρονο θα διαβασω καλυτερα, εφαγα αρκετο χρονο να το στησω να ειναι ετοιμο για εκει που θα μπει γιατι εβαλα πολλα πραγματα πανω.
3. Εννοειτε ετσι τις εκανα, και αρκετα τα περασα απο exports απο τα αλλα που ειχα. Γιατι για να τα κανω απο winbox θα ηθελα 10 χρονια!
4. Οχι βεβαια σε αυτο, δεν εχει σχεση με τα αλλα, μερικα απο αυτα που ηθελα ηταν απο το 711, μερικα αλλα απο το 951 το gigabit, και λιγα απο το 109!!! οποτε και να ηθελα δεν μπορουσε να γινει!
εχω σωσει τα exports ολων και κανω copy paste απο κονσολα μονο οτι χρειαζομαι, αν θελει κατι edit το κανω απο το winbox.

Tελος να πω οτι δεν δειχνει usbport δλδ πχ στο PPP που εφτιαξα δεν βλεπει, ομως θεωρω οτι ειναι επειδη δεν εχω τωρα στικ 4G εδω να βαλω, usbstick με δεδομενα επαιζε κανονικα.
Στο 109 και στο αλλο 951 προφανως επειδη ειχε μπει το στικ μετα που λειπει μενει η πορτα να φαινεται αν και γινεται με κοκκινα οτι δεν υπαρχει δλδ.

Και αυτα που δεν σβηνουν επισης εχουν να κανουν με fast track καπου το ειχαμε αναφερει στο γενικο θεμα?

https://forum.mikrotik.com/viewtopic.php?t=98471 στο ποστ #9 λεει :

As I understand, things work as follows:

If packet matches a fasttracked connection, it is not being processed by the firewall at all. Just accepted. Thus no rule's counters are being updated when such packets are being processed by your router.
A rule with 'action=fasttrack' (fasttrack rule) just marks the corresponding connection-tracking entry for fasttrack. The packet hitting a fasttrack rule is not being fasttracked yet, and thus updates the rules' counters.
A fasttrack rule does not automatically imply 'accept', effectively passing the matching packet through. If you have an accept rule immediately following the fasttrack rule with the same traffic selectors, the hit and byte count on both rules is always the same. This is perfectly normal and expected.

Δεν καταλαβαινω ομως, τα ποστς ειναι απο το 2015!!! εχω ποσα Rbs και ΠΟΤΕ δεν εχω δει κατι τετοιο!

μαλλον κατι πρεπει να εκανα λαθος στην αρχη και εμειναν defaults πραγματα γιατι πηγα να τα σβησω και αυτα δεν εσβηναν.
Οποτε θα κανω το 3 αφου ΠΡΩΤΑ κρατησω οτι εκανα σε export ωστε να τα ξαναπερασω και ενημερωνω.
Δεν ειναι θεμα εκδοσης του ROS πρεπει να εχει να κανει με τα defaults γιατι ελεγε comments σε διαφορα πραγματα ;defconf απο πανω.
Βλακεια πρεπει να εκανα....ηθελα να πω οτι απλα δεν ακολουθησα τον ετοιμο wizard.

Το βρηκα το λαθος μου, εδω https://www.youtube.com/watch?v=Afit-y-1TZA στο 1:50 στο παραθυρο εγω πατησα ΟΚ, επρεπε να πατησω remove default configuration. Απο την αρχη τωρα....

Πάντα κάτι ξεφεύγει.
Και συνήθως είναι αυτό για το οποίο είμαστε σίγουροι.
Γι αυτό χρειάζεται καθαρό μυαλό και υπομονή.

Nikiforos
30-06-17, 19:38
Πάντα κάτι ξεφεύγει.
Και συνήθως είναι αυτό για το οποίο είμαστε σίγουροι.
Γι αυτό χρειάζεται καθαρό μυαλό και υπομονή.

καλησπερα, ακριβως! το εκανα τοσο γρηγορα λογω βιασυνης που ειδα μονο το ΟΚ!!!
τωρα ετοιμαζω καφεδακι και το πιανω γιατι αυριο εχει δουλεια να κανει και πρεπει να ειναι ετοιμο....

τελικα οκ αμα σβησεις το default configuration δεν τα εχει αυτα.
δυστυχως ξεχασα να παρω τα exports και εκανα h/w reset οποτε παλι απο την αρχη ολα....
ευτυχως εχω ολα τα exports απο τα αλλα rbs, ειναι συνδυασμος 3 αλλων και πρεπει να τα ψαχνω παλι, ενω αμα ειχα παρει απλα θα περνουσα μπαμ μπαμ.

μαλλον θελει να με τρελανει....
το wireless interface απλα δεν υπαρχει, ενω το πακετο wireless υπαρχει!!! WTF?????
ενταξει αυτο εκανα downgrade σε bugfix και μετα ξανα σε current και τωρα ειναι οκ! λολ!

deniSun
30-06-17, 22:17
καλησπερα, ακριβως! το εκανα τοσο γρηγορα λογω βιασυνης που ειδα μονο το ΟΚ!!!
τωρα ετοιμαζω καφεδακι και το πιανω γιατι αυριο εχει δουλεια να κανει και πρεπει να ειναι ετοιμο....

τελικα οκ αμα σβησεις το default configuration δεν τα εχει αυτα.
δυστυχως ξεχασα να παρω τα exports και εκανα h/w reset οποτε παλι απο την αρχη ολα....
ευτυχως εχω ολα τα exports απο τα αλλα rbs, ειναι συνδυασμος 3 αλλων και πρεπει να τα ψαχνω παλι, ενω αμα ειχα παρει απλα θα περνουσα μπαμ μπαμ.

μαλλον θελει να με τρελανει....
το wireless interface απλα δεν υπαρχει, ενω το πακετο wireless υπαρχει!!! WTF?????
ενταξει αυτο εκανα downgrade σε bugfix και μετα ξανα σε current και τωρα ειναι οκ! λολ!

1. Με το import θα σου περνούσαν (και πάλι) οι εγγραφές που ήθελες να σβήσεις.
2. Αν κάνεις import από άλλο MT, είναι λογικό να μην σου εμφανίζονται κάποια στοιχεία (θύρες, lcd, usb, wireless κλπ).

Ikarantanis
01-07-17, 21:14
Πάμε πάλι στα δύσκολα τώρα ...
Όταν συνδέθεις με ένα λαπτοπ ή κινητό κτλ σε έναν hotspot σου πετάει ένα pop up window που σε ενημερώνει για το υπόλοιπο κτλ .
Ως γνωστόν όλοι οι browsers το κόβουν αυτό.
Υπάρχει τρόπος να κάνουμε κάτι Γι αυτό χωρίς να αλλάξουμε ρυθμίσεις σε browsers ?

Nikiforos
02-07-17, 16:34
1. Με το import θα σου περνούσαν (και πάλι) οι εγγραφές που ήθελες να σβήσεις.
2. Αν κάνεις import από άλλο MT, είναι λογικό να μην σου εμφανίζονται κάποια στοιχεία (θύρες, lcd, usb, wireless κλπ).

καλησπέρα, μαλλον κατι δεν καταλαβες....
μιλαω για τα exports με τις εντολες, μου μετα κανεις οτι θες και τα περνας οπως τα θες οπου θες και απο οποια rbs θες.
Δεν μιλαω για backup. Το 2 δεν ισχυει δεν εκανα κατι import.
Επειδη αυτα που ηθελα ηταν σκορπια σε 3 rbs επελεγα τι θα περασω, ε μετα ΠΡΙΝ κανω h/w reset και ενω τα ειχα φτιαξει ολα την Πεμπτη το απογευμα, την Παρασκευη το απογευμα ξεχασα να παρω τις εντολες και πανε....
δεν εχω ασχοληθει με τον τροπο που ειχες πει καποτε για ετοιμα αρχεια.
Εγω μπαινω τελνετ απο κονσολα γραφω export και τα σωνω με copy paste σε ενα αρχειο libreoffice .οdt μετα παλι κανω copy paste οτι χρειαζομαι μονο.
Αυτο με τα αρχεια που ειχες πει καποτε οτι κανει, δεν το εχω κανει ποτε.

Πχ απο το firewall filters αυτο λεω



/ip firewall filter
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=accept chain=forward connection-nat-state=dstnat
add action=accept chain=input connection-nat-state=dstnat
add action=accept chain=forward comment="from openvpn" in-interface=all-ppp src-address=10.2.237.248/29
add action=accept chain=forward comment="from pptp vpn" in-interface=all-ppp src-address=10.2.237.128/29
add action=accept chain=input comment="from openvpn" in-interface=all-ppp src-address=10.2.237.248/29
add action=accept chain=input comment="from pptp vpn" in-interface=all-ppp src-address=10.2.237.128/29
add action=accept chain=input comment="L2TP port traffic" dst-port=1701 log=yes protocol=udp
add action=accept chain=input comment="L2tp internet key exchange" dst-port=500 log=yes protocol=udp
add action=accept chain=input comment="IPSec Network Address Translation (NAT-T) " dst-port=4500 log=yes protocol=udp
add action=accept chain=input log=yes protocol=ipsec-ah
add action=accept chain=input log=yes protocol=ipsec-esp
add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others
add action=drop chain=input comment="Drop input everything else" disabled=yes
add action=accept chain=input dst-address=10.2.237.0/27 src-address=10.71.99.0/24

Ikarantanis
02-07-17, 16:37
Λοιπόν το έλυσα το θέμα και οποίος θέλει επιπλέον πληροφορίες ευχαρίστως να του πω.
Έχω όμως ένα τελευταίο μεγάλο θέμα που μόλις ανακάλυψα .
Όταν ο χρήστης χρησιμοποιεί το Ίντερνετ μέσω του hotspot που έφτιαξα οι μετρητές δουλεύουν άψογα εκτός αν ο χρήστης μπει στο YouTube !!!
Προφανώς αυτό συμβαίνει γιατί είναι https .
Πως μπορώ να συμπεριλάβω να μετριέται και αυτή η κίνηση στο hotspot ???

deniSun
02-07-17, 16:42
καλησπέρα, μαλλον κατι δεν καταλαβες....
μιλαω για τα exports με τις εντολες, μου μετα κανεις οτι θες και τα περνας οπως τα θες οπου θες και απο οποια rbs θες.
Δεν μιλαω για backup. Το 2 δεν ισχυει δεν εκανα κατι import.
Επειδη αυτα που ηθελα ηταν σκορπια σε 3 rbs επελεγα τι θα περασω, ε μετα ΠΡΙΝ κανω h/w reset και ενω τα ειχα φτιαξει ολα την Πεμπτη το απογευμα, την Παρασκευη το απογευμα ξεχασα να παρω τις εντολες και πανε....
δεν εχω ασχοληθει με τον τροπο που ειχες πει καποτε για ετοιμα αρχεια.
Εγω μπαινω τελνετ απο κονσολα γραφω export και τα σωνω με copy paste σε ενα αρχειο libreoffice .οdt μετα παλι κανω copy paste οτι χρειαζομαι μονο.
Αυτο με τα αρχεια που ειχες πει καποτε οτι κανει, δεν το εχω κανει ποτε.

Πχ απο το firewall filters αυτο λεω



/ip firewall filter
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=accept chain=forward connection-nat-state=dstnat
add action=accept chain=input connection-nat-state=dstnat
add action=accept chain=forward comment="from openvpn" in-interface=all-ppp src-address=10.2.237.248/29
add action=accept chain=forward comment="from pptp vpn" in-interface=all-ppp src-address=10.2.237.128/29
add action=accept chain=input comment="from openvpn" in-interface=all-ppp src-address=10.2.237.248/29
add action=accept chain=input comment="from pptp vpn" in-interface=all-ppp src-address=10.2.237.128/29
add action=accept chain=input comment="L2TP port traffic" dst-port=1701 log=yes protocol=udp
add action=accept chain=input comment="L2tp internet key exchange" dst-port=500 log=yes protocol=udp
add action=accept chain=input comment="IPSec Network Address Translation (NAT-T) " dst-port=4500 log=yes protocol=udp
add action=accept chain=input log=yes protocol=ipsec-ah
add action=accept chain=input log=yes protocol=ipsec-esp
add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others
add action=drop chain=input comment="Drop input everything else" disabled=yes
add action=accept chain=input dst-address=10.2.237.0/27 src-address=10.71.99.0/24


Μια χαρά κατάλαβα.
Και για να σου το πω με παράδειγμα...
Πάρε export από ένα MT χωρίς sfp και προσπάθησε να το βάλεις σε ένα με sfp.
Αν δεις στο interface να υπάρχει η sfp από το import που θα κάνεις... γράψε μου.
Ή για να σου το πω και αλλιώς... μπορεί να υπάρχει αλλά δεν θα δουλέψει.

Nikiforos
02-07-17, 16:48
δεν καταλαβαινεις τι λεω....
δεν προκειτε να κανω αυτο που λες, αυτο προσπαθω να σου πω τοσην ωρα.
Εχω κανει τα αρχεια .odt απο καθε RB που εχω, 3 απο αυτα ειχαν καποια πραγματα που ηθελα να περασω σε ενα 4ο.
Παω στο καθε αρχειο και περναω απο κονσολα ΜΟΝΟ οτι χρειαζομαι ΟΧΙ ολα τα κειμενα απο τα exports που εχω παρει!!!!
Αμα δεν εχει λοιπον sfp δεν θα περασει κατι τετοιο, ατυχες παραδειγμα.
Οτι περασα υπηρχε μεσα.
Και δεν καταλαβα γιατι το ανεφερες κιολας δεν εκανα κατι λαθος σχετικα με αυτα.
Το λαθος που εκανα ειναι οτι δεν εσβησα το default configuration!
μετα τα ειχα περασει ΟΛΑ σωστα οπως ειπα στο νεο 951 και οταν εκανα h/w reset ξεχασα να παρω με export τα παντα απο μεσα, και καθομουν να ξανακανω ολη την διαδικασια απο την αρχη!
μιλαμε για το ΙΔΙΟ μηχανημα την 2η φορα λοιπον.

Οπως εχουμε πει και εσυ ο ιδιος το ελεγες αλλες φορες, οτι αυτο ειναι το καλο να κανουμε export οτι μετα μπορουμε να κανουμε copy paste ΜΟΝΟ οτι χρειαζομαστε.
Επισης επειδη ειναι σε κειμενο οι εντολες μπορουμε να κανουμε κατι edit απο πριν.
Οποτε δεν υπαρχει απολυτως το παραμικρο προβλημα περι αυτου.
Μιλαω για export εντολών και μετα με copy paste, οποτε αντιγραφω οτι θελω επιλλεκτικά, και οχι τα αρχεια που λεει εδω https://forum.mikrotik.com/viewtopic.php?t=75091 αυτο ΔΕΝ το εχει δοκιμάσει ποτέ!

Ikarantanis
03-07-17, 19:06
Βασικά δεν περνάει καμία σελίδα https μέσα από τον hotspot και για μένα που έχω θέσει traffic limitations αυτό είναι ένα θέμα .
Δεν με ενδιαφέρει τόσο το ότι ο proxy μου δεν cashάρει αυτές τις σελίδες αλλά το ότι είναι μια τεράστια τρύπα στο traffic !
Υπάρχει κανένας τρόπος να το μαζέψω αυτό ρε παιδιά ;

- - - Updated - - -

Κάποιος λειτουργικός τρόπος να κόψω το YouTube (layer 7) υπάρχει ρε παιδιά ;
Έχω δοκιμάσει ένα σκασμό διαφορετικά πράγματα και δεν τα έχω καταφέρει !
Βέβαια φοβάμαι ότι με τα rules που περνάει αυτόματα ο hotspot παίζει να μου βγάζει εκτός αυτά που πάω να περάσω μετά ...

jkoukos
03-07-17, 19:11
Δες το μήνυμα (https://www.adslgr.com/forum/threads/821468-%CE%95%CE%B4%CF%8E-%CE%BC%CE%B9%CE%BB%CE%AC%CE%BC%CE%B5-%CE%B3%CE%B9%CE%B1-Mikrotik-RouterBoard?p=6203057#post6203057) του deniSun, που απαντά στο ίδιο σχεδόν ερώτημα.

Ikarantanis
03-07-17, 20:02
Σ ευχαριστώ πολύ φίλε μου ! Μόλις πόσταρα κι εκεί για να τσεκάρω κι εγώ αυτόν τον οδηγό μήπως βγάλω κάτι :)

Nikiforos
03-07-17, 20:36
Κάποιος λειτουργικός τρόπος να κόψω το YouTube (layer 7) υπάρχει ρε παιδιά ;
Έχω δοκιμάσει ένα σκασμό διαφορετικά πράγματα και δεν τα έχω καταφέρει !
Βέβαια φοβάμαι ότι με τα rules που περνάει αυτόματα ο hotspot παίζει να μου βγάζει εκτός αυτά που πάω να περάσω μετά ...

καλησπέρα, δεν εχω ιδεα απο hotspot και δεν εχω ασχοληθει ποτε, σε mikrotik web proxy ηταν ευκολο και το ειχα κοψει.
Με αναζητηση βλεπω πολυ πραμα, για να μην τα λεω ενα ενα δες https://www.google.gr/?gws_rd=ssl#q=mikrotik+hotspot+block+youtube
τα εχεις δει ολα αυτα και κανενα δεν σου δουλευει?

Ikarantanis
04-07-17, 02:04
Ναι τα έχω τσεκάρει όλα ! Τίποτε δεν είναι αποτελεσματικό .
Αρχίζω και αναρωτιέμαι μήπως κάποιο από τα rules του hotspot δεν αφήνει τα υπόλοιπα να λειτουργήσουν

Nikiforos
04-07-17, 06:34
Ναι τα έχω τσεκάρει όλα ! Τίποτε δεν είναι αποτελεσματικό .
Αρχίζω και αναρωτιέμαι μήπως κάποιο από τα rules του hotspot δεν αφήνει τα υπόλοιπα να λειτουργήσουν

καλημερα, κριμα τι να πω, δες τα παλι μηπως εχεις κανει κατι λαθος, δυστυχως καποιος που δεν κατσει να το στησει να κανει δοκιμες δεν μπορει να ξερει, οπως εγω πχ που δεν εχω ασχοληθει και ποτε αφου δεν ετυχε να μου χρειαστει.
Τσεκαρε καλα τα rules μηπως καπου εχεις λαθος?

jkoukos
04-07-17, 11:25
Δεν είναι θέμα hotspot κλπ. Παντού ισχύει ο περιορισμός αυτός.
Σε ένα από τα link που που έδωσε ο Νικηφόρος, αναφέρεται (https://forum.mikrotik.com/viewtopic.php?t=97856#p487324) το πρόβλημα με τα https και γιατί δεν παίζει όπως σε http. Την απάντηση την έχει δώσει στο άλλο θέμα ο deniSun.

Nikiforos
10-07-17, 07:02
καλημερα, στο 951 που αγορασα τελευταια για ιντερνετ ρουτινγκ κινητης, παρατηρησα χτες οτι καποια στιγμη ειχα θεμα με το voip δλδ εριχνε κλησεις μετα απο ωρα.
Μπηκα στο προγραμμα απο το κινητο και ειδα χρηση cpu να παει πανω κατω μεχρι και 66%.
Μπηκα στο ip-profile και ειδα cpu0 να εχει την μιση χρηση αυτη και την αλλη μιση το DNS.
Στο DNS ειδα στο cache σελιδες οχι τπτ πονηρο, αλλα δεν τις εχω ανοιξει εγω!
μετα απο restart ολα εγιναν στα φυσιολογικα τους!
ξερει κανεις τι ειναι το cpu0 που ειχε μεγαλα νουμερα σημαινει κατι?
και το dns γιατι μπορει να εχει στο cache διαφορα πραγματα?
να πω οτι το ιντερνετ κινητης με το υπαρχον σεταπ το δουλευει μονο ενα καταγραφικο με καμερες για προσβαση σε 2 συγκεκριμενες πορτες με ειδικα προγραμματα μεσω ip cloud και για voip μεσω openvpn μονο πλεον.
Πριν το κανω αυτο καποιος με Ip ιαπωνιας ειχε καταφερει μαλλον να συνδεθει στο pptp και να παρει και Ip!!!

deniSun
10-07-17, 09:23
καλημερα, στο 951 που αγορασα τελευταια για ιντερνετ ρουτινγκ κινητης, παρατηρησα χτες οτι καποια στιγμη ειχα θεμα με το voip δλδ εριχνε κλησεις μετα απο ωρα.
Μπηκα στο προγραμμα απο το κινητο και ειδα χρηση cpu να παει πανω κατω μεχρι και 66%.
Μπηκα στο ip-profile και ειδα cpu0 να εχει την μιση χρηση αυτη και την αλλη μιση το DNS.
Στο DNS ειδα στο cache σελιδες οχι τπτ πονηρο, αλλα δεν τις εχω ανοιξει εγω!
μετα απο restart ολα εγιναν στα φυσιολογικα τους!
ξερει κανεις τι ειναι το cpu0 που ειχε μεγαλα νουμερα σημαινει κατι?
και το dns γιατι μπορει να εχει στο cache διαφορα πραγματα?
να πω οτι το ιντερνετ κινητης με το υπαρχον σεταπ το δουλευει μονο ενα καταγραφικο με καμερες για προσβαση σε 2 συγκεκριμενες πορτες με ειδικα προγραμματα μεσω ip cloud και για voip μεσω openvpn μονο πλεον.
Πριν το κανω αυτο καποιος με Ip ιαπωνιας ειχε καταφερει μαλλον να συνδεθει στο pptp και να παρει και Ip!!!

Σχετικά με την cpu... ίσως να σου την χρησιμοποιεί το dns που είδες.
Για το dns... μήπως το έχεις ανοικτό για τους έξω;
Τότε θα μπορούσαν να σου τον χρησιμοποιούν πολλοί από έξω και να σου αυξάνουν την κίνηση αλλά και την χρήση.
Για το voip... όταν λες ότι σου έριχνε την κλήση... για να σου ρίξει την κλήση θα πρέπει να σου σκότωνε τα connections.
Αυτό λίγο δύσκολο μου ακούγεται από μεριάς ΜΤ.
Το πιο πιθανό είναι να είχες καθυστερήσεις στην μεταγωγή πακέτων και γι αυτό το λόγο το pbx σου να τερμάτιζε την συνομιλία.
Για το pptp... είχε αναφερθεί και αλλού από άλλον χρήστη (αν δεν ήσουν εσύ).
Γιατί pptp και όχι openvpn;

Nikiforos
10-07-17, 17:05
καλησπέρα, τι εννοεις να το εχω ανοιχτο για τους απεξω δλδ? μονο απο awmn μπορει να υπαρξει προβαση, αν δηλωσει καποιος για dns server την ip του router μου, απο ιντερνετ δεν το βλεπει κανεις.
Ναι αναφερθηκε απο αλλον οτι μπηκε καποιος σε pptp και μολις το ειπε εγινε και σε εμενα!
ετσι αποφασισα να αντικαταστησω οτι ειχα σε pptp με openvpn.
Το γιατι οχι νομιζω ειναι ακρως αυτονοητο, γιατι το pptp εχει πολυ ευκολο στησιμο που το θυμαμαι μαλιιστα απεξω, και φυσικα δεν απαιτει αρχεια στους πελατες του.
Πλεον καταφερα να τα αντικαταστησω με openvpn και δεν θα ξανασχοληθω ποτε ξανα με pptp.
Εχω ομως στο 109 εναν l2tp server με ipsec για φιλο με mac που δεν ηθελε openvpn αν και νομιζω οτι υποστηριζεται απο mac os. Σιγουρα απο IOS γιατι ειχα iphone με openvpn client που μαλιστα ειχα αγορασει τοτε ειχε μονο 1 και οχι free.

Σχετικα με το vpn επειδη δεν θελω να βγαζω τον αστερισκ στο ιντερνετ για λογους ασφαλειας ειναι πολυπλοκο το πραμα.
Εχω στο 951 με την κινητη ενα openvpn client παιρνει awmn ips μεσω ιντερνετ κινητης, βλεπει τον αστερισκ server κανει register, αλλα μετα απο εκει προς το pap2 (στο μερος που ειναι το 951 κινητης) προσπαθει να ερθει απο AWMN!
ετσι στο 951 με την κινητη εκανα και openvpn server δινει στο 109 ip awmn απο το subnet του αλλου μερους και του εβαλα ενα route οτι ειναι να παει για το pap2 να εχει gw αυτο το ovpn client.
Ετσι το voip παιζει μονο μεσω κινητης.
αν τωρα για καποιο λογο εχει προβλημα το σημα, παρολο που εχω εξωτερικη κεραια 4G και εχω δει να δειχνει τερμα σημα (τσεκαρισμενο απο netbook) τοτε ναι μπορει να φταιει αυτο.
Τα ms παντως ειναι σημαντικα ποιο αυξημενα απο το AWMN οταν παιζει αψογα (δεν ειναι παντα 100% αξιοπιστο) αλλα δεν δημιουργει προβλημα.
Το προβλημα οταν εγινε ειδα μεγαλο cpu usage και υπεθεσα οτι φταιει αυτο.

deniSun
10-07-17, 17:18
καλησπέρα, τι εννοεις να το εχω ανοιχτο για τους απεξω δλδ? μονο απο awmn μπορει να υπαρξει προβαση, αν δηλωσει καποιος για dns server την ip του router μου, απο ιντερνετ δεν το βλεπει κανεις.
Ναι αναφερθηκε απο αλλον οτι μπηκε καποιος σε pptp και μολις το ειπε εγινε και σε εμενα!
ετσι αποφασισα να αντικαταστησω οτι ειχα σε pptp με openvpn.
Το γιατι οχι νομιζω ειναι ακρως αυτονοητο, γιατι το pptp εχει πολυ ευκολο στησιμο που το θυμαμαι μαλιιστα απεξω, και φυσικα δεν απαιτει αρχεια στους πελατες του.
Πλεον καταφερα να τα αντικαταστησω με openvpn και δεν θα ξανασχοληθω ποτε ξανα με pptp.
Εχω ομως στο 109 εναν l2tp server με ipsec για φιλο με mac που δεν ηθελε openvpn αν και νομιζω οτι υποστηριζεται απο mac os. Σιγουρα απο IOS γιατι ειχα iphone με openvpn client που μαλιστα ειχα αγορασει τοτε ειχε μονο 1 και οχι free.

Σχετικα με το vpn επειδη δεν θελω να βγαζω τον αστερισκ στο ιντερνετ για λογους ασφαλειας ειναι πολυπλοκο το πραμα.
Εχω στο 951 με την κινητη ενα openvpn client παιρνει awmn ips μεσω ιντερνετ κινητης, βλεπει τον αστερισκ server κανει register, αλλα μετα απο εκει προς το pap2 (στο μερος που ειναι το 951 κινητης) προσπαθει να ερθει απο AWMN!
ετσι στο 951 με την κινητη εκανα και openvpn server δινει στο 109 ip awmn απο το subnet του αλλου μερους και του εβαλα ενα route οτι ειναι να παει για το pap2 να εχει gw αυτο το ovpn client.
Ετσι το voip παιζει μονο μεσω κινητης.
αν τωρα για καποιο λογο εχει προβλημα το σημα, παρολο που εχω εξωτερικη κεραια 4G και εχω δει να δειχνει τερμα σημα (τσεκαρισμενο απο netbook) τοτε ναι μπορει να φταιει αυτο.
Τα ms παντως ειναι σημαντικα ποιο αυξημενα απο το AWMN οταν παιζει αψογα (δεν ειναι παντα 100% αξιοπιστο) αλλα δεν δημιουργει προβλημα.
Το προβλημα οταν εγινε ειδα μεγαλο cpu usage και υπεθεσα οτι φταιει αυτο.

1. Οπότε θεωρητικά θα μπορούσαν άλλοι χρήστες του awmn (10-100-1000) να χρησιμοποιούν τις υπηρεσίες dns σου και να σου αυξάνουν την χρήση.
2. Ναι το pptp έχει ευκολότερο στήσιμο.
Αλλά σε ενδιαφέρει η ευκολία ή η ασφάλεια.
Εγώ πάντα προτιμώ το δεύτερο.

Nikiforos
10-07-17, 17:29
το 1 ειναι πολυ θεωρητικο καθως το συγκεκριμενο μηχανημα παιζει μεσω κινητης και εχει προβαση στο awmn μονο μεσω openvpn αρα ειναι θεωρω ανεφικτο αυτο.
μετα για να βαλει καποιος σαν dns το μηχανημα μου πρεπει να ξερει την ip δε νομιζω οτι καποιος καθεται να δηλωνει σαν dns server ενα αγνωστο μηχανημα που δεν ξερει αν ειναι dns server, καθως οσοι εχουν dns servers και ΔΕΝ ειναι φυσικα mikrotik καθως ως γνωστoν ειναι μαπα ο dns server που εχει, οσοι εχουν σοβαρο dns server ειναι σε linux, και πρεπει να επιλυει και awmn διευθυνσεις αλλα και ιντερνετικες και ειναι δηλωμενοι στην επισημη σε σελιδα του awmn, συνηθως για 100% αξιοπιστια βαζουμε ολοι τους dns servers του συλλογου του AWMN.
Αρα αποκλειετε για μενα τουλαχιστον κατα 99%.
2. Ναι ακριβως επειδη και εμενα με ενδιαφερει περισσοτερο η ασφαλεια και εφοσον πλεον εχω παρει το καλαι και στο mikrotik μετα το openwrt+linux+android για στησιμο openvpn servers-clients επιασα και τα αλλαξα ολα επιτυχως 100%.

teodor_ch
10-07-17, 17:47
'Οταν είχα βάλει το τρύπιο firewall απο το πρώτο ποστ που υπάρχει ακόμα, είχα συνδέσεις απο έξω στο DNS server του μικροτικ.

Το είδα γιατί έβλεπα αύξηση του επεξεργαστή νομίζω και έφτιαξα δύο κανόνες για να μπλοκάρω τη πόρτα 53 απο έξω στην αλυσίδα Input. (ημίμετρο αλλά τότε δε το ήξερα)

Nikiforos
10-07-17, 17:53
'Οταν είχα βάλει το τρύπιο firewall απο το πρώτο ποστ που υπάρχει ακόμα, είχα συνδέσεις απο έξω στο DNS server του μικροτικ.
Το είδα γιατί έβλεπα αύξηση του επεξεργαστή νομίζω και έφτιαξα δύο κανόνες για να μπλοκάρω τη πόρτα 53 απο έξω στην αλυσίδα Input. (ημίμετρο αλλά τότε δε το ήξερα)

καλησπέρα, και σενα τα ιδια εκανε δλδ ειχε αυξηση στο cpu0 και dns?
μου εκανε εντυπωση στην cache που ειδα και σελιδες που δεν ηξερα! γινεται απο ιντερνετ να το κανει καποιος dns server?
μπορεις να δεις και να γραψεις τι εχεις κανει?
καλυτερα να τα δουμε αυτα στο θεμα του firewall.
σημειωση οταν εγιναν αυτα δεν ειχα ενεργοποιησει ακομα τον openvpn server αντι pptp.
Οπως ειχα γραψει ειδα καποιον να εχει συνδεθει με ip ιαπωνιας!!!

teodor_ch
10-07-17, 17:58
καλησπέρα, και σενα τα ιδια εκανε δλδ ειχε αυξηση στο cpu0 και dns?
μπορεις να δεις και να γραψεις τι εχεις κανει?
καλυτερα να τα δουμε αυτα στο θεμα του firewall.

Σου απαντάω εδώ για να γλυτώσω μερικά κλικ :oops:

Με τους κανόνες drop all others στο input και forward και με τη προυπόθεση ότι δεν έχεις κάποιον accept εκτός απο μέσα απο το δίκτυο σου έχεις λύσει το θέμα.
Επειδή νομίζω ότι το drop το έχεις, μήπως έχεις αφήσει κάποιο κανόνα στο input allow from *** και μπαίνουν και άλλοι?
Δές στα connections ένα δείγμα κίνησης στη θύρα 53 να βρούμε την αιτία.
Ή κάτσε κοίτα το αν είναι συνέχεια το πρόβλημα, ή βάλε κανόνα LOG input tcp/udp port 53 για να το πιάσεις.

Συνέχισε τη κουβέντα στο firewall :p

Nikiforos
10-07-17, 18:04
οκ θα κανω quοte αυτο που χρειαζεται στο θεμα εκει, εχω γραψει και κατι αλλο πριν αλλα δεν ειχε απαντησει κανεις και μπορει να εχει και σχεση!

deniSun
26-07-17, 16:50
What's new in v6.40 (2017-Jul-21 08:45) [current]:



!) lte - added initial fastpath support (except SXT LTE and Sierra modems);
!) lte - added initial support for passthrough mode for lte modems that supports fastpath;
!) wireless - added Nv2 AP synchronization feature "nv2-modes" and "nv2-sync-secret" option;
*) bonding - fixed 802.3ad mode on RB1100AHx4;
*) btest - fixed crash when packet size has been changed during test;
*) capsman - added "current-registered-clients" and "current-authorized-clients" count for CAP interfaces;
*) capsman - fixed EAP identity reporting in "registration-table";
*) capsman - set minimal "caps-man-names" and "caps-man-certificate-common-names" length to 1 char;
*) certificate - added "crl-use" setting to disable CRL use (CLI only);
*) certificate - update and reload old certificate with new one if SKID matches;
*) chr - fixed MAC address assignment when hot plugging NIC on XenServer;
*) chr - maximal system disk size now limited to 16GB;
*) conntrack - fixed IPv6 connection tracking enable/disable;
*) console - fixed different command auto complete on <tab>;
*) crs212 - fixed Optech sfp-10G-tx module compatibility with SFP ports;
*) defconf - added IPv6 default firewall configuration (IPv6 package must be enabled on reset);
*) defconf - improved IPv4 default firewall configuration;
*) defconf - renamed 192.168.88.1 address static DNS entry from "router" to "router.lan";
*) dhcp - added "debug" logs on MAC address change;
*) dhcpv4-client - added "gateway-address" script parameter;
*) dhcpv4-server - fixed lease renew for DHCP clients that sends renewal with "ciaddr = 0.0.0.0";
*) dhcpv4-server - fixed server state on interface change in Winbox and Webfig;
*) discovery - fixed timeouts for LLDP neighbours;
*) dns - remove all dynamic cache RRs of same type when adding static entry;
*) dude - fixed server crash;
*) email - added support for multiple attachments;
*) ethernet - fixed occasional broken interface order after reset/first boot;
*) ethernet - fixed rare linking problem with forced 10Mbps full-duplex mode;
*) export - added "terse" option;
*) export - added default "init-delay" setting for "/routerboard settings" menu;
*) export - added router model and serial number to configuration export;
*) export - fixed "/interface list" verbose export;
*) export - fixed "/ipv6 route" compact export;
*) export - fixed MPLS "dynamic-label-range" export;
*) export - fixed SNMP "src-address" for compact export;
*) fastpath - improved performance when packets for slowpath are received;
*) fastpath - improved process of removing dynamic interfaces;
*) fasttrack - fixed fasttrack over interfaces with dynamic MAC address;
*) fetch - added "src-address" parameter for HTTP and HTTPS;
*) filesystem - improved error correcting process on tilera and RB1100AHx4 storage;
*) firewall - added "none-dynamic" and "none-static" options for "address-list-timeout" parameter;
*) firewall - fixed bridge "action=log" rules;
*) firewall - fixed cosmetic "inactive" flag when item was disabled;
*) firewall - fixed crash on fasttrack dummy rule manual change attempt;
*) firewall - removed unique address list name limit;
*) hAP ac lite - removed nonexistent "wlan-led";
*) hotspot - added "address-list" support in "walled-garden" IP section;
*) hotspot - require "dns-name" to contain "." symbol under Hotspot Server Profile configuration;
*) ike1 - added log error message if netmask was not provided by "mode-config" server;
*) ike1 - added support for "framed-pool" RADIUS attribute;
*) ike1 - create tunnel policy when no split net provided;
*) ike1 - fixed minor memory leak on peer configuration change;
*) ike1 - kill phase1 instead of rekey if "mode-config" is used;
*) ike1 - removed SAs on DPD;
*) ike1 - send phase1 delete;
*) ike1 - wait for cfg set reply before ph2 creation with xAuth;
*) ike2 - added RADIUS attributes "Framed-Pool", "Framed-Ip-Address", "Framed-Ip-Netmask";
*) ike2 - added pfkey kernel return checks;
*) ike2 - added support for "Mikrotik_Address_List" RADIUS attribute;
*) ike2 - added support for "mode-config" static address;
*) ike2 - by default use "/24" netmask for peer IP address in split net;
*) ike2 - fixed duplicate policy checking with "0.0.0.0/0" policies;
*) ike2 - prefer traffic selector with "mode-config" address;
*) ipsec - added "firewall=add-notrack" peer option (CLI only);
*) ipsec - added information in console XML for "mode-config" menu;
*) ipsec - added support for "key-id" peer identification type;
*) ipsec - allow to specify chain in "firewall" peer option;
*) ipsec - do not deduct "dst-address" from "sa-dst-address" for "/0" policies;
*) ipsec - enabled modp2048 DH group by default;
*) ipsec - fixed connections cleanup on policy or proposal modification;
*) ipsec - optimized logging under IPSec topic;
*) ipsec - removed policy priority;
*) l2tp - fixed handling of pre-authenticated L2TP sessions with CHAP authentication;
*) l2tp-server - added "one-session-per-host" option;
*) log - added "poe-out" topic;
*) log - improved "l2tp" logs;
*) log - optimized "wireless,info" topic logs;
*) log - work on false CPU/RAM overclocked alarms;
*) lte - added "accounting" logs for LTE connections;
*) lte - added additional driver support for DWR-910;
*) lte - added info command support for the Jaton LTE modem;
*) lte - added initial support for "NTT DoCoMo" modem;
*) lte - added support for Huawei E3531-6;
*) lte - added support for ZTE TE W120;
*) lte - fixed info command when it is executed at the same time as modem restarts/disconnects;
*) lte - improved SMS delivery report;
*) lte - improved reliability on SXT LTE;
*) metarouter - fixed display of bogus error message on startup;
*) mmips - added support for NVME disks;
*) ovpn - added support for "push-continuation";
*) ovpn - added support for topology subnet for IP mode;
*) ovpn - fixed duplicate default gateway presence when receiving extra routes;
*) ovpn - improved performance when receiving too many options;
*) packages - increased automatic download retry interval to 5 minutes if there is no free disk space;
*) ping - fixed ping getting stuck (after several thousands of ping attempts);
*) ppp - added initial support for ZTE K4203-Z and ME3630-E;
*) ppp - added output values for "info" command for finding the GSM base station's location ("LAC" and "IMSI");
*) ppp - fixed "user-command" output;
*) ppp - fixed non-standart PAP or CHAP packet handling;
*) ppp - improved MLPPP packet forwarding performance;
*) ppp - use interface name instead of IP as default route gateway;
*) proxy - fixed potential crash;
*) proxy - fixed rare program crash after closing client connection;
*) quickset - added "Band" setting to "CPE" and "PTP CPE" modes;
*) quickset - added special firewall exception rules for IPSec;
*) quickset - fixed incorrect VPN address value on arm and tilera;
*) quickset - simplified LTE status monitoring;
*) quickset - use active user name and permissions when applying changes;
*) rb1100ahx4 - fixed startup problems (requires additional reboot after upgrade);
*) rb3011 - fixed packet passthrough on switch2 while booting;
*) rb750gr3 - fixed USB power;
*) routerboard - added "caps-mode" option for "reset-configuration";
*) routerboard - added "caps-mode-script" for default-configuration print;
*) routing - allow to disable "all" interface entry in BFD;
*) safe-mode - fixed session handling when Safe Mode is used on multiple sessions at the same time;
*) sfp - fixed invalid temperature reporting when ambient temperature is less than 0;
*) sms - decode reports in readable format;
*) sniffer - do not skip L2 packets when "all" interface mode was used;
*) snmp - added "ifindex" on interface traps;
*) snmp - added CAPsMAN interface statistics;
*) snmp - added ability to set "src-address";
*) snmp - fixed "/system resource cpu print oid" menu;
*) snmp - fixed crash on interface table get;
*) snmp - fixed wireless interface walk table id ordering;
*) socks - fixed crash while processing many simultaneous sessions;
*) ssl - added Wildcard support for "left-most" DNS label (will allow to use signed Wildcard certificate on VPN servers);
*) supout - fixed IPv6 firewall section;
*) switch - fixed "loop-protect" on CRS SFP/SFP+ ports;
*) switch - fixed multicast forwarding on CRS326;
*) tile - fixed copying large amount of text over serial console;
*) tr069-client - fixed lost HTTP header on authorization;
*) trafficgen - added "lost-ratio" to statistics;
*) ups - show correct "line-voltage" value for usbhid UPS devices;
*) userman - added "/tool user-manager user clear-profiles" command;
*) userman - do not send disconnect request for user when "simultaneous session limit reached";
*) userman - lookup language files also in "/flash" directory;
*) vlan - do not delete existing VLAN interface on "failure: already have such vlan";
*) webfig - fixed wireless "scan-list" parameter not being saved after applying changes;
*) winbox - added "eap-identity" to CAPsMAN registration table;
*) winbox - added "no-dad" setting to IPv6 addresses;
*) winbox - added "reselect-channel" to CAPsMAN interfaces;
*) winbox - added "session-uptime" to LTE interface;
*) winbox - added TR069 support;
*) winbox - do not autoscale graphs outside known maximums;
*) winbox - fixed wireless interface "amsdu-threshold" max limit;
*) winbox - hide LCD menu on CRS112-8G-4S;
*) winbox - make IPSec policies table an order list;
*) winbox - moved LTE info fields to status tab;
*) winbox - show "/interface wireless cap print" warnings;
*) winbox - show "/system health" only on boards that have health monitoring;
*) winbox - show "D" flag under "/interface mesh port" menu;
*) wireless - NAK any methods except MS-CHAPv2 as inner method in PEAP;
*) wireless - added option to change "nv2-downlink-ratio" for nv2 protocol;
*) wireless - added option to set "fixed-downlink" mode for nv2 protocol;
*) wireless - allow VirutalAP on Level0 (24h demo) license;
*) wireless - always use "multicast-helper" when DHCP is being used;
*) wireless - do not skip >2462 channels if interface is WDS slave;
*) wireless - fixed 802.11u wireless request processing;
*) wireless - fixed EAP PEAP success processing;
*) wireless - fixed compatibility with "AR5212" wireless chips;
*) wireless - fixed rare crash on cap disable;
*) wireless - fixed registration table "signal-strength" reporting for chains when using nv2;

macro
28-07-17, 19:27
Την εχει περασει κανεις την 6.40 να μου πει αν ολα καλα?

Nikiforos
28-07-17, 21:58
Την εχει περασει κανεις την 6.40 να μου πει αν ολα καλα?

την εχω βαλει απο οταν το εγραψε ο Denis στο 109 και στο 433ΑΗ και ολα βαινουν πολυ καλως και αψογα.
αυριο θα την βαλω και στα 2 Χ 951, 411 και 911, θελω να ειμαι τοπικα ωστε αμα κατι δεν παει καλα να το φτιαξω να μην μεινει εκτος.
Γιατι με το κεντρικο 951 την πατησα μια φορα, οποτε δεν ξανακανω απομακρυσμενες αναβαθμισεις αν δεν ειμαι εκει.

Nikiforos
30-07-17, 13:47
Την εχει περασει κανεις την 6.40 να μου πει αν ολα καλα?

καλησπέρα, απο το Σαββατο το πρωι νωρις περαστηκε σε ολα τα αλλα που ανεφερα πριν ολα πολυ καλα....
θεωρω οτι μπορεις να την περασεις ανεπιφυλακτα, την περασα μεσα απο το μενου των πακετων με upgrade.

deniSun
31-07-17, 23:27
Την εχει περασει κανεις την 6.40 να μου πει αν ολα καλα?

Εγώ είμαι σε bugfix.
Πάντα :whistle:

macro
01-08-17, 11:13
Τη περασα και εγω Νικηφορε........... μια χαρα.

Nikiforos
01-08-17, 17:46
Τη περασα και εγω Νικηφορε........... μια χαρα.

Καλησπέρα και καλο μηνα! μπραβο ωραιος! και εγω τωρα που την εχω σε 7 rbs μου ολα καλα! :oneup:
γιαυτο κιολας την περναω απο τα packages γιατι με τοσα μηχανηματα που μαζευτηκαν ποιος περναει με αλλους χρονοβορους τροπους?

minas
01-08-17, 19:56
Καλησπέρα και καλο μηνα! μπραβο ωραιος! και εγω τωρα που την εχω σε 7 rbs μου ολα καλα! :oneup:
γιαυτο κιολας την περναω απο τα packages γιατι με τοσα μηχανηματα που μαζευτηκαν ποιος περναει με αλλους χρονοβορους τροπους?

Εάν δεν φορτώνει ROS ή θέλεις να κάνεις κάτι ιδιαίτερο, το καταλαβαίνω... διαφορετικά τί λόγο μπορεί να έχεις για να μην χρησιμοποιήσεις package manager?

macro
01-08-17, 21:21
Για να μη τα κατεβαζει απο οτι καταλαβα. Τα βαζει μαλλον σε ενα usb και τα τρεχει απο εκει σε καθενα, ή καπως ετσι. Αλλα δεν ειναι και μεγαλα αρχεια. Εγω το κανω απο download-install παντα. 5 δευτερα κανει να κατεβει.

Nikiforos
02-08-17, 06:39
Εάν δεν φορτώνει ROS ή θέλεις να κάνεις κάτι ιδιαίτερο, το καταλαβαίνω... διαφορετικά τί λόγο μπορεί να έχεις για να μην χρησιμοποιήσεις package manager?

Kαλημερα! Ο Deni ειχε πει καποια στιγμη οτι το σωστο ειναι να περναμε τα πακετα με netinstall.
Και λεω επειδη εχω αρκετα RBs που να κατσω να κανω πχ τετοια δουλεια, παω στο system-packages και κανω upgrade απο εκει.
Netinstall κανω μονο αμα χαλασει, οπως λες και εσυ φυσικα, αν ηταν να το κανουμε ετσι δεν θα ειχε εκεινο το μενου τοτε η μαμα mikrotik!


Για να μη τα κατεβαζει απο οτι καταλαβα. Τα βαζει μαλλον σε ενα usb και τα τρεχει απο εκει σε καθενα, ή καπως ετσι. Αλλα δεν ειναι και μεγαλα αρχεια. Εγω το κανω απο download-install παντα. 5 δευτερα κανει να κατεβει.

παντα τα κατεβαζω να τα εχω αλλα το κανω απο την σελιδα, και το zip, και το npk και το netinstall αρχειο για ωρα αναγκης.
δεν βλεπω καποιο λογο να μην κανω upgrade μεσα απο το μενου των packages....

deniSun
02-08-17, 08:51
Το netinstall το συστήνω μόνο σε περιπτώσεις μεγάλων αναβαθμίσεων πχ bugfix <> current <> rc ή από πολύ παλιές εκδόσεις σε πολύ νεώτερες της ίδιας σειράς.
Επίσης σε περιπτώσεις που έχουμε χοντρά προβλήματα διαφόρου είδους, ο μόνος αξιόπιστος τρόπος για να είμαστε σίγουροι ότι "κάθισε" σωστά το ros είναι να περαστεί με netinstall.
Σε όλες τις άλλες περιπτώσεις δεν απαιτείται.

Nikiforos
02-08-17, 17:50
Μου εχει τυχει ισως αρκετες θα ελεγα φορες μετα απο αναβαθμιση οπως ειπα πριν να λειπει ενα πακετο, συνηθως τυγχανει περισσοτερο με το wireless ειδικα μετα απο αλλαγες που ειχαν γινει στα ονοματα των πακετων αυτων, αλλα μια φορα ειχε γινει και με το PPP. Σε αυτη την περιπτωση επειδη παντα κατεβαζω και το zip με ολα τα αρχεια, απλα εριξα το αρχειο μεσα και reboot και ολα καλα.
Ειχα αναφερει στο γενικο θεμα μερικες απο αυτες τις φορες.

deniSun
04-08-17, 14:03
v6.40.1 [current]

What's new in 6.40.1 (2017-Aug-03 12:37):

*) bonding - improved reliability on bonding interface removal;
*) chr - fixed false warnings on upgrade reboots;
*) dhcpv6-client - do not run DHCPv6 client when IPv6 package is disabled;
*) export - fixed export for different parameters where numerical range or constant string is expected;
*) firewall - properly remove "address-list" entry after timeout ends;
*) interface - improved interface state change handling when multiple interfaces are affected at the same time;
*) lte - fixed LTE not passing any traffic while in running state;
*) ovpn-client - fixed incorrect netmask usage for pushed routes (introduced in 6.40);
*) pppoe-client - fixed incorrectly formed PADT packet;
*) rb2011 - fixed possible LCD blinking along with ethernet LED (introduced in 6.40);
*) rb922 - restored missing wireless interface on some boards;
*) torch - fixed Torch on PPP tunnels (introduced in 6.40);
*) trafficgen - fixed "lost-ratio" showing incorrect statistics after multiple sequences;
*) winbox - added "none-dynamic" and "none-static" options for "address-list-timeout" parameter under NAT, Mangle and RAW rules;

Nikiforos
27-08-17, 18:14
Καλησπέρα, DeniSun που πηγε η αλλη εκδοση δεν ηταν εδω?

deniSun
28-08-17, 17:39
Κατά λάθος το πόσταρα εδώ (https://www.adslgr.com/forum/threads/821468-%CE%95%CE%B4%CF%8E-%CE%BC%CE%B9%CE%BB%CE%AC%CE%BC%CE%B5-%CE%B3%CE%B9%CE%B1-Mikrotik-RouterBoard?p=6227964#post6227964).
Αν μπορεί κάποιος ας το μεταφέρει.

@ ADSLgr.com All rights reserved.