Καλησπέρα σας,
Παίζοντας πρώτη φορά με MT, αγόρασα το rb750gr3 (Hex) και προσπαθώ να το σετάρω. Γενικά δεν έχω καταλάβει πολύ καλά την λογική πίσω από το setup του και χρειάζομαι μια βοήθεια σε αυτό.
Θέλω να φτιάξω την παρακάτω τοπολογία.
ουσιαστικά κάθε θύρα πέρα από την πρώτη που θα είναι wan και θα κάνει ppoe με το modem/router παρόχου(γυρισμένο σε bridge mode) οι υπόλοιπες θύρες θα είναι ένα ξεχωριστό υποδίκτυο η κάθε μια.
Όλα τα δίκτυα θα πρέπει να έχουν πρόσβαση στο internet και θα πρέπει να υπάρχει μια ασφάλεια μεταξύ της πρόσβαση από το ένα υποδίκτυο στο άλλο, δηλαδή πέρα από συγκεκριμένες ip μηχανημάτων που θέλω να έχουν πρόσβαση σε όλα τα υποδίκτυα, οι υπόλοιπες συσκευές/pc δεν θα πρέπει να βλέπουν άλλες που είναι σε ξεχωριστό υποδίκτυο.
ελπίζω να μην σας μπέρδεψα με το σχέδιο, προσπάθησα να το κάνω κατανοητό.
μέχρι στιγμής ψάχνωντας και παίζοντας λιγάκι έχω κάνει τα παρακάτω
Κώδικας:# jan/02/1970 04:15:16 by RouterOS 6.40.4 # software id = XXXXXX # # model = RouterBOARD 750G r3 # serial number = XXXXXXXXX /interface ethernet set [ find default-name=ether1 ] name=internet set [ find default-name=ether2 ] name=localnet-1 set [ find default-name=ether3 ] name=localnet-2 set [ find default-name=ether4 ] name=localnet-3 set [ find default-name=ether5 ] name=localnet-4 /interface pppoe-client add add-default-route=yes dial-on-demand=yes disabled=no interface=internet \ keepalive-timeout=60 name=pppoe-out1 user=guest@hol.gr /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=pool-localnet-1 ranges=192.168.1.150-192.168.1.250 add name=pool-localnet-2 ranges=192.168.2.25-192.168.2.250 add name=pool-localnet-3 ranges=192.168.3.50-192.168.3.60 add name=pool-localnet-4 ranges=192.168.4.10-192.168.4.250 /ip dhcp-server add address-pool=pool-localnet-1 disabled=no interface=localnet-1 name=\ server-localnet-1 add address-pool=pool-localnet-2 disabled=no interface=localnet-2 name=\ server-localnet-2 add address-pool=pool-localnet-3 disabled=no interface=localnet-3 name=\ server-localnet-3 add address-pool=pool-localnet-4 disabled=no interface=localnet-4 name=\ server-localnet-4 /ip address add address=192.168.1.1/24 interface=localnet-1 network=192.168.1.0 add address=192.168.2.1/24 interface=localnet-2 network=192.168.2.0 add address=192.168.3.1/24 interface=localnet-3 network=192.168.3.0 add address=192.168.4.1/24 interface=localnet-4 network=192.168.4.0 /ip dhcp-server network add address=192.168.1.0/24 comment=Localnet-1 dns-server=192.168.1.1 gateway=\ 192.168.1.1 add address=192.168.2.0/24 comment=Localnet-2 dns-server=192.168.2.1 gateway=\ 192.168.2.1 add address=192.168.3.0/24 comment=Localnet-3 dns-server=192.168.3.1 gateway=\ 192.168.3.1 add address=192.168.4.0/24 comment=Localnet-4 dns-server=192.168.4.1 gateway=\ 192.168.4.1 /ip dns set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1 /ip firewall nat # pppoe-out1 not ready add action=masquerade chain=srcnat out-interface=pppoe-out1 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh port=26 set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Europe/Athens /system identity set name=HomeLabRouter /system ntp client set enabled=yes server-dns-names=hercules.eim.gr /system routerboard mode-button set enabled=no on-event=""
Είναι σωστά αυτά που έχω κάνει για να πετύχω το τελικό αποτέλεσμα που θέλω; Τι άλλο χρειάζομαι ακόμα για να το τελειοποιήσω;
Ευχαριστώ!
Εμφάνιση 1-15 από 19
Θέμα: Πρώτη επαφή με Mikrotik
-
01-07-18, 13:31 Πρώτη επαφή με Mikrotik #1
-
02-07-18, 18:37 Απάντηση: Πρώτη επαφή με Mikrotik #2
Καμια ιδέα κανείς;
Σας βοηθάει να δώσω screenshots απο το winbox σχετικά με τις ρυθμίσεις που έχω κάνει; Καταλαβαίνω οτι μάλλον δεν είναι και το ποιο εύκολο να διαβαστεί ένα κατεβατό από κώδικα με τις ρυθμίσεις που έχουν γίνει.
Ουσιστικά χρειάζομαι μια καθοδήγηση σχετικά με το αν έχω κάνει σωστές ενέργειες-ρυθμίσεις για το αποτέλεσμα και τις ανάγκες που περιγράφω παραπάνω. Ξέρω οτι κάτι μου λείπει στις ρυθμίσεις, πχ firewall, αλλά δεν ξέρω αν έχω σετάρει σωστά τα interfaces, NAT, τα subnets και τους dhcp.
-
03-07-18, 10:03 Απάντηση: Πρώτη επαφή με Mikrotik #3
Καλώς τον.
Με μια ματιά, Interfaces/IPs/subnets εντάξει μου μοιάζουν.
To mikrotik δεν ζητάει πολλά για routing,
άν οι ip είναι σωστές θα κάνει routing ανάμεσα στα subnets.
Firewall δεν βλέπω.
Αν το έχεις αφήσει έτσι είναι ανοιχτό στο internet.
Και θα είναι και open resolver.
Και αν δεν τρέχεις πολύ τελευταία έκδοση routeros ή/και δεν έχει ισχυρό pass θα το έχουν ήδη χακέψει.
Αρχικά βάλε ένα firewall.
Δές -> εδώ.
Συνοπτικά:
Φτιάξε ένα interface list με τα trusted interfaces, και μια λίστα από trusted IP/networks.
Σε (τουλάχιστον) input + forward chains:
1. Επιλεκτικά επιτρέπεις πρωτόκολλα που σπάνε το fasttrack (αν έχεις ενεργό το fasttrack).
2. Fasttrack established/related (αν θες fasttrack).
3. Επιτρέπεις related/established/untracked.
4. drop invalid.
5. Επιτρέπεις *new* connections (ή επιλεκτικά protocol/port) από τα interfaces/subnets που εμπιστεύεσαι.
6. Επιτρέπεις *new* dst-natted από wan/pppoe (στην forward chain) αν ενεργοποιήσεις upnp.
Εναλλακτικά κάνεις στατικά allow new dst-nated wan->lan ip αν έχεις port forwards στο lan και δεν θες το upnp.
+ επιτρέπεις επιλεκτικά τι άλλο θέλεις από τα untrusted interfaces.
Sort rule order αναλόγως αναγκών (rule order does matter... )
6. Drop the rest (πρόσεχε μην κλειδωθείς έξω...).
+ τα ανάλογα και στο ipv6.
Δε το wiki της mikrotik για τα σχετικά.
Σημειωτέον, μιας και βλέπω subnet με vm,
δεν νομίζω να δεις wirespeed ανάμεσα στα subnets με το RB750, (ίσως χωρίς firewall και με fasttrack/fastpath, αλλά και πάλι...).Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
03-07-18, 10:27 Απάντηση: Πρώτη επαφή με Mikrotik #4
Το recommended στα δικτυα οταν εχεις switch, ειναι να πεφτουν ολα πανω στο switch και οχι στο ρουτερ οπως στη δικια σου περιπτωση, εκτος και αν υπαρχει λογος για να το κανεις αυτο, π.χ. ξεχωριστα υποδικτυα, vlans, κ.λ.π.
Άλλα Ντάλλα....
-
03-07-18, 17:02 Απάντηση: Πρώτη επαφή με Mikrotik #5
Καλησπέρα! Σε ευχαριστώ πάρα πολύ για την απάντηση, όπως καταλαβαίνεις είμαι νέος στο χώρο των δικτύων, το mikrotik δεν το χρησιμοποιώ ακόμα, μέχρι να το κάνω secure και production ready έχω κρατήσει την παλιά μου υποδομή στο σπίτι.
Συγχωρέστε με για τις ερωτήσεις αλλά επειδή το routerOS έχει ρυθμίσεις σε αρκετά low level επίπεδο (packets / frames) δεν έχω γνώσεις σε αρκετά πράγματα( γιαυτό το σκοπό πήγα και σε mt ώστε να μάθω.)
Έχωντας δει το link από το wiki σχετικά με την ασφάλεια του MT έχω απενεργοποιήσει τα περισσότερα access services, έχω άλλαξει θύρα φυσικα στο SSH και έχω βάλει strong encryption.
Θα ξεκινήσω σήμερα να φτιάχνω το fw χρησιμοποιώντας το μπούσουλα που μου δώθηκε, θέλω να ρωτήσω όμως το fasttrack τι είναι πρακτικά και πως/που μου χρειάζεται;
Σχετικά με τo subnet των vm, δεν κατάλαβα το κομμάτι περί wirespeed, έχω κάνει κάποιο λάθος στο setup? έπρεπε να το προσεγγίσω διαφορετικά το κομμάτι αυτό;
Τέλος, έχω ρυθμίσει σωστά το ppoe ώστε να παίξει η wan(internet) θύρα που έχω ορίσει στο MT με το bridged modem/router μου;
Καλησπέρα φίλε μου, συμφωνώ σε αυτό που λες αλλά όπως έχω παραθέσει στο διάγραμμα παραπάνω, κάθε πόρτα του MT είναι ένα ξεχωριστό interface/subnet. Το switch πέφτει στο πρώτο subnet όπου εκεί τερματίζουν οι περισσότερες συσκευές. Δεν γνωρίζω αν είναι λάθος η προσέγγιση μου με τα powerlines, ουσιστικά από το υποδίκτυο 192.168.2.0/24 φεύγει καλώδιο από το MT στο κεντρικό powerline και με την χρήση 2 ακόμα powerline, δικτιώνω ένα access point για τις ασύρματες συσκευές μου και έναν σταθερό υπολογιστή. Είμαι χαρούμενος να ακούσω οποιαδήποτε παρατήρηση και να κάνω τις αντίστοιχες αλλαγές!
-
03-07-18, 18:31 Απάντηση: Πρώτη επαφή με Mikrotik #6
Όσον αφορά το pppoe interface:
max mtu/mru: λογικά θές 1492.
Dial out: μάλλον δεν θέλεις dial-on-demand.
Authentication allow: μόνο chap (εφόσον το υποστηρίζει ο isp)
use peer dns = ναί, αν θές να πάρει αυτόματα τους dns που σπρώχνει στους clients ο isp.
Τα άλλα καλά τα βλέπω.
Θα το καταλάβεις μόλις το δοκιμάσεις... lol.
------------------------------------
Όσον αφορά το fasttrack -> rtfm.
------------------------------------
Σχετικά με τα subnets και το (non)wire-speed.
Σωστά το κάνεις, υποθέτω ότι θέλεις εξεπιτούτου να είναι σε ξεχωριστά δίκτυα.
Προτείνεται και για λόγους ασφάλειας, *αλλά*,
έτσι όλη η κίνηση ανάμεσα στα δίκτυα LAN 2-3-4 και του isp περνάει* από το tik:
*περνάει = δρομολογείται/L3/routed, όχι switched(L2).
Συνδέεσαι λοιπόν στην gbit πόρτα του tik, και υποθέτω ότι και οι υπόλοιπες πόρτες/switches/vm/pc/etc είναι gbit.
Εφόσον περνάνε από το tik και είναι σε διαφορετικά subnets γίνεται L3 routing.
Εδώ δεν μιλάμε για L2 switching που το asic του switch απλώς σπρώχνει frames,
που σε ένα σωστό switch είναι πάντα σε wirespeed.
Για να μην έχεις πτώση ταχύτητας (wirespeed = 1Gbit, πτώση από το wirespeed, ότι είναι <1Gbit), πρέπει το router σου να είναι ικανά γρήγορο
ώστε να κάνει gbit routing, αμφίδρομα, (worst case: σε όλες τις πόρτες ταυτόχρονα...),
με τους κανόνες firewall/mangle που εσύ θα ορίσεις και με το μέγεθος πακέτων που θα έχει το συγκεκριμένο traffic.
Είναι μια κοινή παρανόηση που έχουν όσοι ξεκινάνε.
Το ότι μιά συσκευή έχει πόρτες gbit δεν πάει να πει ότι μπορεί και να κάνει routing με αυτές τις ταχύτητες.
Μιλάμε για κάμποσα εκατομμύρια pps.
Δεν το βλέπω δυνατό με το συγκεκριμένο, ίσως με fastpath, σε 2 πόρτες μόνο, αλλά και πάλι είναι μικρό...
δές εδώ.
Το δοκιμάζεις και βλέπεις.
Για ένα τέτοιο σενάριο σε tik θα κοίταγα κάτι σε RB1100 ή CCR.
Σε περιβάλλον παραγωγής, αυτά τα σενάρια υλοποιούνται με ένα L3 switch (<- κάνουν απλό routing με asic, στην ουσία είναι routers), ή με μεγάλο router.
Για το σπίτι/lab, δεν έχει σημασία, το ανέφερα για να ξέρεις τι να περιμένεις.
Αυτά τα γλυτώνεις αν τα βάλεις όλα πάνω σε ένα switch:
flat δίκτυο, ένα broadcast domain, ένα switch wirespeed, οι hosts μιλάνε μεταξύ κατευθείαν μεταξύ τους,
από το tik περνάει μόνο το traffic από/πρός τον isp.
Αλλά δεν θα έχεις ξεχωριστά δίκτυα,
και δεν μπορείς να έχεις firewall μεταξύ των LAN 2-3-4.
Σωστά το κάνεις έτσι όπως είναι στο σχέδιο.
Για εργαλείο μάθησης μια χαρά είναι το 750.Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
04-07-18, 01:31 Απάντηση: Πρώτη επαφή με Mikrotik #7
Ευχαριστώ πολύ για την απάντηση!
Αν αντί για διαφορετικά subnets/interfaces έπαιζα με vlans, τι διαφορά θα είχε η τοπολογία και η διαχείρηση; Θα ήταν καλύτερα τα πράγματα όσο αφορά το load του MT?
Ουσιαστικά το μεγάλο τράφικ θα βρίσκεται σε ένα interface/υποδίκτυο, το 192.168.4.0/24, εκεί θα πετάξω έναν NAS server για να παίρνει τα incremental backups των PC μου και των VM. Πιθανά αμα το σηκώνει το δίκτυο να τρέχουν τα vhd των μηχανών στο NAS. Θα πρέπει να κάνω κάποια συγκεκριμένη ρύθμιση για αυτό το interface που θα έχει traffic?
Ευχαριστώ πολύ για την διευκρίνηση σχετικά με τις ταχύτητες και τη διαχείρηση στα L2/L3, δεν ήξερα ούτε είχα φανταστεί οτι θα έχει τόσο μεγάλο impact στο performance το routing σε σχέση με το switching!
Σχετικά με το NAT, η ρύθμιση που έχω βάλει καλύπτει όλα τα interfaces ώστε να "έχουν" internet ή είναι θέμα fw από εδώ και πέρα;
-
04-07-18, 02:39 Απάντηση: Πρώτη επαφή με Mikrotik #8
Με vlans μπορείς να κάνεις λογική διευθυνσιοδότηση πάνω από το φυσικό μέσο (ethernet).
Και αυξάνεις λίγο το overhead λόγω των headers.
Και εννοείται, η συνολική χωρητικότητα είναι αυτή του φυσικού μέσου.
Θα ήταν λίγο πιο πολύπλοκη η διαχείριση.
Θα ήταν καλό για να μάθεις.
Και πρέπει να το υποστηρίζουν και nics/switches.
Ιδανικά θες ένα L2 managed switch, και δεν είναι ότι φτηνότερο.
Για το router δεν έχει ουσιαστική διαφορά, πάλι routing κάνει, πάλι τα πακέτα περνάνε από την cpu και τα routing chains.
Ίσως με τα vlans να είναι ένα κλικ πιο αργό.
Πέραν της εκπαιδευτικής αξίας δεν νομίζω ότι θα σου χρειαστεί.
Κάλλιστα μπορείς να αφιερώσεις ένα interface ανά subnet.
Για να πάει πιο γρήγορα το εσωτερικό δίκτυο, ειδικά εφόσον μιλάμε για μεταφορές αρχείων,
θα δεις μεγάλη διαφορά με jumbo frames.
Όταν ανεβάζεις mtu από 1.500 σε 9.000,
για το ίδιο throughput από LAN1 -> LAN2 έχεις το 1/6 των πακέτων (δεν είναι ακριβώς έτσι αλλά το απλοποιώ...).
Και καλά εμείς έχουμε μάθει να μιλάμε με bit/Mbit,
αλλά τα routers μετράνε σε pps, και τα πακέτα δυστυχώς δεν έχουν σταθερό μέγεθος.
Όσο μειώνεις τον αριθμό των πακέτων (αυξάνοντας το μέγεθος τους), τόσο πιο εύκολη η ζωή του router.
Με jumbo frames μπορείς χαλαρά να πιάσεις wirespeed όσο έχεις μεγάλα πακέτα.
Ψάξε να δεις τι υποστηρίζει το hardware σου.
Οι ρυθμίσεις που θα επηρεάσουν πολύ την ταχύτητα του routing είναι:
Fastrack/= on ή off?
Σειρά/πολυπλοκότητα κανόνων firewall
Και εννοείται δεν θα στήσεις qos και L7 filtering στο εσωτερικό traffic.
Ο κανόνας σου κάνει masquerade ότι πάει να βγει από την pppoe σύνδεση,
που είναι default route.
Βασικά θα βγάλει όλα τα subnets στο internet.
Μπορείς να τον περιορίσεις να βγάλει συγκεκριμένα subnets,
ή να φτιάξεις σχετικές πολιτικές στο firewall.Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
04-07-18, 10:35 Απάντηση: Πρώτη επαφή με Mikrotik #9
Το fasttrack μονο θεματα μπορει να σου δημιουρησει στο μελλον και δε θα σου δουλευει με τα mangles ουτως ή αλλως. Γενικως ολοι εμεις εδω δε το εχουμε τσεκαρισμενο και δουλευεουμε μια χαρα χωρις καποιο θεμα ταχυτητας ή κατι αλλο.
Άλλα Ντάλλα....
-
04-07-18, 13:07 Απάντηση: Πρώτη επαφή με Mikrotik #10
ψάχνωντας λίγο, βλέπω το unmanged switch μου υποστηρίζει jumbo frames, το ίδιο φυσικά και η κάρτα δικτύου του NAS καθώς και η NIC του PC μου. Απότι κατάλαβα πέρα από την πόρτα του MT θα πρέπει στην NIC του NAS και του PC μου να σετάρω το MTU στα 9k. Αν θέλω να έχω πρόσβαση στο NAS από άλλες συσκευές που δεν υποστηρίζουν jumbo frames θα έχω κάποιο πρόβλημα;
Αντίστοιχα στο PC μου πχ, μπαίνοντας σε άλλα υποδικτύα ή σερφάροντας στο ιντερνετ θα με επηρεάσει το 9κ mtu? Έχει δηλαδή κάποιο impact αυτή η ρύθμιση;
-
04-07-18, 14:20 Απάντηση: Πρώτη επαφή με Mikrotik #11
Kαι 7Κ mtu ναχει, το βαζεις οσο ψηλοτερα μπορεις να το δηλωσεις για να εχεις μεγιστα αποτελεσματα. Οχι στο νετ θα σερφαρεις με 1492.
Άλλα Ντάλλα....
-
04-07-18, 14:37 Απάντηση: Πρώτη επαφή με Mikrotik #12Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
04-07-18, 15:36 Απάντηση: Πρώτη επαφή με Mikrotik #13
ουσιαστικά σε όσες συσκευές/nic σετάρω μεγάλο mtu θα εκμεταλεύονται την μεγάλη ταχύτητα, οι υπόλοιπες συσκευές που δεν υποστηρίζουν jumbo frames θα παίζουν αλλά δεν θα μεταφέρουν με μεγαλύτερη ταχύτητα αρχεία από τον nas σωστά;
προσπαθώ να κατανοήσω το fw, έφτιαξα αυτά μέχρι στιγμής, πως σας φαίνονται τα rules?
Κώδικας:/ip firewall address-list add address=192.168.1.0/24 list=support add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you nee\ d this subnet before enable it" disabled=yes list=bogons add address=127.0.0.0/8 comment="Loopback [RFC 3330]" list=bogons add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B # Check if you \ need this subnet before enable it" disabled=yes list=bogons add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C # Check if you\ \_need this subnet before enable it" disabled=yes list=bogons add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=\ bogons add address=198.18.0.0/15 comment="NIDB Testing" list=bogons add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons add address=224.0.0.0/4 comment=\ "MC, Class D, IANA # Check if you need this subnet before enable it" \ disabled=yes list=bogons /ip firewall filter add action=add-src-to-address-list address-list=Syn_Flooder \ address-list-timeout=30m chain=input comment=\ "Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp \ tcp-flags=syn add action=drop chain=input comment="Drop to syn flood list" \ src-address-list=Syn_Flooder add action=add-src-to-address-list address-list=Port_Scanner \ address-list-timeout=1w chain=input comment="Port Scanner Detect" \ protocol=tcp psd=21,3s,3,1 add action=drop chain=input comment="Drop to port scan list" \ src-address-list=Port_Scanner add action=jump chain=input comment="Jump for icmp input flow" jump-target=\ ICMP protocol=icmp add action=drop chain=input comment="Block all access to the winbox - except t\ o support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUP\ PORT ADDRESS LIST" disabled=yes dst-port=8291 protocol=tcp \ src-address-list=!support add action=jump chain=forward comment="Jump for icmp forward flow" \ jump-target=ICMP protocol=icmp add action=drop chain=forward comment="Drop to bogon list" dst-address-list=\ bogons add action=add-src-to-address-list address-list=spammers \ address-list-timeout=3h chain=forward comment=\ "Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=\ 25,587 limit=30/1m,0 protocol=tcp add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 \ protocol=tcp src-address-list=spammers add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcp add action=accept chain=input comment="Accept to established connections" \ connection-state=established add action=accept chain=input comment="Accept to related connections" \ connection-state=related add action=accept chain=input comment="Full access to SUPPORT address list" \ src-address-list=support add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS \ RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED" disabled=yes add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" \ icmp-options=8:0 limit=1,5 protocol=icmp add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=\ icmp add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 \ protocol=icmp add action=accept chain=ICMP comment="Destination unreachable" icmp-options=\ 3:0-1 protocol=icmp add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP \ protocol=icmp /ip firewall nat # no interface add action=masquerade chain=srcnat out-interface=pppoe-out1
Τελευταία επεξεργασία από το μέλος projectX : 04-07-18 στις 16:21.
-
04-07-18, 16:11 Απάντηση: Πρώτη επαφή με Mikrotik #14
-
04-07-18, 18:11 Απάντηση: Πρώτη επαφή με Mikrotik #15
Ευχαριστώ πολύ για την απάντηση!
όποτε έχεις χρόνο ρίξε μια ματιά στις ρυθμίσεις του fw που έκανα, αν έχω αφήσει κάποια τρύπα ή παράλειψη. Προσπαθώ ακόμα να κατανοήσω πως δουλεύει, η σειρά των κανόνων τι διαφορά κάνει στο δίκτυο κλπ. Αν μπορούσε να μου εξηγήσει κάποιος λίγο τη λογική του fw, με ποιο σκεπτικό και σειρά ξεκινάμε να το στήνουμε κλπ
Παρόμοια Θέματα
-
αξίζει η αγορά του Mikrotik hAP mini (RB931-2nd) για πρώτη επαφή με Mikrotik;
Από johann69 στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 10Τελευταίο Μήνυμα: 17-07-18, 17:18 -
αξίζει η αγορά του rb951ui-2nd hap για πρώτη επαφή με Mikrotik;
Από sdikr στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 77Τελευταίο Μήνυμα: 17-03-18, 18:25 -
Nova VDSL με Mikrotik και με θεματάκια
Από kostasandr στο φόρουμ NovaΜηνύματα: 14Τελευταίο Μήνυμα: 08-11-17, 10:56 -
Netfaster iad2 με mikrotik
Από batianis στο φόρουμ ADSL & Broadband Hardware, routers και modems...Μηνύματα: 0Τελευταίο Μήνυμα: 01-09-17, 23:41 -
Σύνδεση Speedport WLAN με MikroTik
Από Mordy στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 24Τελευταίο Μήνυμα: 27-08-17, 07:17
Bookmarks