Σελ. 92 από 141 ΠρώτηΠρώτη ... 728287909192939497102112 ... ΤελευταίαΤελευταία
Εμφάνιση 1.366-1.380 από 2110
  1. #1366
    Εγγραφή
    28-03-2006
    Περιοχή
    KV G434
    Ηλικία
    49
    Μηνύματα
    42.184
    Downloads
    23
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    310/31
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΕΡΜΟΥ
    Router
    RB4011iGS+5 ONT: G-010G-R
    Παράθεση Αρχικό μήνυμα από kostasandr Εμφάνιση μηνυμάτων
    Στην δουλεια εχω 3 WAN. Να εχω 3 κανονες ξεχωριστους;
    Προσωπική άποψη... ναι.
    | "Anyone can build a fast CPU.
    | The trick is to build a fast system."
    |____________Seymour Cray...

  2. #1367
    Εγγραφή
    31-08-2008
    Περιοχή
    Σητεία Κρήτης
    Ηλικία
    39
    Μηνύματα
    130
    Downloads
    6
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    51200/5120
    ISP
    Forthnet
    DSLAM
    Forthnet - ΣΗΤΕΙΑ
    Router
    H168N - RB951Ui-2HnD
    SNR / Attn
    9.3(dB) / 12.7(dB)
    Path Level
    Interleaved
    Βεβαια διαβαζοντας το τωρα. Εχει αρκετους κανονες που ειναι μονο για το configuration σου.

    Δεν ειναι "generic".
    Για παραδειγμα: allow open vpn, add action=accept chain=forward dst-address=192.168.1.0/24 src-address=\
    192.168.5.0/24.

    Και ο chech icmp input εχει ενα λαθακι...
    Έχω αλλάξει δουλειές και δουλειές... Αλλά σαν την δουλεία του να είσαι πατέρας δεν υπάρχει καμμία...

  3. #1368
    Εγγραφή
    28-03-2006
    Περιοχή
    KV G434
    Ηλικία
    49
    Μηνύματα
    42.184
    Downloads
    23
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    310/31
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΕΡΜΟΥ
    Router
    RB4011iGS+5 ONT: G-010G-R
    Παράθεση Αρχικό μήνυμα από kostasandr Εμφάνιση μηνυμάτων
    Βεβαια διαβαζοντας το τωρα. Εχει αρκετους κανονες που ειναι μονο για το configuration σου.

    Δεν ειναι "generic".
    Για παραδειγμα: allow open vpn, add action=accept chain=forward dst-address=192.168.1.0/24 src-address=\
    192.168.5.0/24.

    Και ο chech icmp input εχει ενα λαθακι...
    1. To allow open vpn το έχω για το δικό μου configuration και για όσους θέλουν να ανοίξουν πόρτα.
    Αν δεν το θέλεις το διαγράφεις.
    Ως παράδειγμα δες το.
    2. Το icmp δεν έχει λάθος.
    Ο editor του φόρουμ αντικατέστησε τους χαρακτήρες με emoji.
    | "Anyone can build a fast CPU.
    | The trick is to build a fast system."
    |____________Seymour Cray...

  4. #1369
    Εγγραφή
    31-08-2008
    Περιοχή
    Σητεία Κρήτης
    Ηλικία
    39
    Μηνύματα
    130
    Downloads
    6
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    51200/5120
    ISP
    Forthnet
    DSLAM
    Forthnet - ΣΗΤΕΙΑ
    Router
    H168N - RB951Ui-2HnD
    SNR / Attn
    9.3(dB) / 12.7(dB)
    Path Level
    Interleaved
    Αυριο στο χωρο εργασιας θα κανω τις υπολοιπες παραμετροποιησεις. Και οτιδηποτε αν υπαρξει τα ξαναλεμε.
    Σας ευχαριστω.
    Καλο βραδυ
    Έχω αλλάξει δουλειές και δουλειές... Αλλά σαν την δουλεία του να είσαι πατέρας δεν υπάρχει καμμία...

  5. #1370
    Εγγραφή
    13-11-2002
    Περιοχή
    Αστρίς Θάσου
    Ηλικία
    45
    Μηνύματα
    4.627
    Downloads
    37
    Uploads
    1
    Τύπος
    Other / Άλλο
    Ταχύτητα
    350/100
    ISP
    Cosmote 4G - 5G - VDSL
    DSLAM
    ΟΤΕ - ΑΣΤΡΙΔΑ ΘΑΣΟΥ
    Router
    RB LHGG & ZTE MC 8020
    πχ ...έχουμε ένα μικροτικ chr σε datacenter με statc ip που τρέχει ovpn server πχ στη θύρα 15000 tcp


    και θέλουμε να συνδέονται μόνο οι clients.... για μεταξύ τους επικοινωνία πχ κινητό... σπιτι... δουλειά...


    τι κανόνα θέλουμε στο firewall ώστε να τα κόβει όλα εκτός την πιο πάνω πόρτα και μια ακόμα για το winbox ( πχ την 15001 )



    πχ αυτά φτάνουν?

    /ip firewall filter
    add action=accept chain=input dst-port=15000 protocol=tcp
    add action=accept chain=input dst-port=15001 protocol=tcp
    add action=drop chain=input
    add action=drop chain=forward

  6. #1371
    Εγγραφή
    14-12-2017
    Μηνύματα
    33
    Downloads
    0
    Uploads
    0
    ISP
    Cosmote
    Παράθεση Αρχικό μήνυμα από puntomania Εμφάνιση μηνυμάτων
    add action=drop chain=forward
    με αυτό θα σου κάνει drop όλα τα πακέτα που πρέπει να γίνουν forward, κοινώς δεν θα κάνει routing

  7. #1372
    Εγγραφή
    13-11-2002
    Περιοχή
    Αστρίς Θάσου
    Ηλικία
    45
    Μηνύματα
    4.627
    Downloads
    37
    Uploads
    1
    Τύπος
    Other / Άλλο
    Ταχύτητα
    350/100
    ISP
    Cosmote 4G - 5G - VDSL
    DSLAM
    ΟΤΕ - ΑΣΤΡΙΔΑ ΘΑΣΟΥ
    Router
    RB LHGG & ZTE MC 8020
    Παράθεση Αρχικό μήνυμα από apostmax Εμφάνιση μηνυμάτων
    με αυτό θα σου κάνει drop όλα τα πακέτα που πρέπει να γίνουν forward, κοινώς δεν θα κάνει routing
    βασικά με ενδιαφέρει οτι έρχεται απ τον έξω κόσμο

  8. #1373
    Εγγραφή
    14-12-2017
    Μηνύματα
    33
    Downloads
    0
    Uploads
    0
    ISP
    Cosmote
    Ως γενική αρχή πρώτα κάνουμε accept ό,τι μας ενδιαφέρει και μετά κόβουμε τα υπόλοιπα ("catch-all" rules).

    Αν θεωρήσουμε ότι θα επικοινωνείς με το ρουτερ μόνο εφόσον έχει εγκατασταθεί σύνδεση vpn, τότε:

    Κώδικας:
    add action=accept chain=input dst-port=vpn_port_here protocol=tcp 
    add action=drop chain=input in-interface-list=WAN_list
    
    add action=accept chain=forward connection-state=established,related,untracked
    add action=drop chain=forward connection-state=invalid
    add action=drop chain=forward connection-state=new connection-nat-state=!dstnat in-interface-list=WAN_list
    Στο παραπάνω θεωρείται δεδομένο ότι υπάρχει λίστα με τα wan interfaces σου με όνομα WAN_list

    Στην πραγματικότητα το παραπάνω είναι μια μικρή παραλλαγή του default config.
    Τελευταία επεξεργασία από το μέλος apostmax : 06-03-19 στις 01:55.

  9. #1374
    Εγγραφή
    14-11-2003
    Περιοχή
    At Milliways, the Restaurant at the End of the Universe
    Ηλικία
    44
    Μηνύματα
    3.048
    Downloads
    96
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    50000/5000
    ISP
    ΟΤΕ Conn-x
    Router
    OpenWRT (WNDR3700v2)
    Παράθεση Αρχικό μήνυμα από kostasandr Εμφάνιση μηνυμάτων
    1. το εχω ηδη ετσι
    2. για αυτο θελω την βοηθεια. το winbox ειναι στην 8291. σε ποιο σημειο να μπει ο κανονας. στην αρχη, στην μεση, που; και η συνταξη του;
    "/ip firewall filter add action=accept chain=input disabled=no dst-port=8291 protocol=tcp". Ειδα αυτον καπου, ειναι σωστος;
    υπαρχει τροπος να δηλωσω και την mac διευθυνση μου για να απανταει μονο σε αυτη το winbox?
    Επειδή δε φαίνεται να το πολύ έχεις, και επειδή πρόκειται για δουλειά, μήπως να μην άνοιγες ports στο internet μέχρι να καταλάβεις τι και πώς?
    See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
    There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)


  10. #1375
    Εγγραφή
    03-09-2011
    Μηνύματα
    3.275
    Downloads
    8
    Uploads
    0
    Ταχύτητα
    Όσο πιάνει
    ISP
    Cosmote-LTE
    Router
    Mikrotik Chateau LTE18
    Δε χρειαζεται να εχεις τριπλους κανονες επειδη εχεις τρια wan. Μπορεις να το φτιαξεις να παιζει με εναν κανονα για ολα τα wan.
    Άλλα Ντάλλα....

  11. #1376
    Εγγραφή
    13-11-2002
    Περιοχή
    Αστρίς Θάσου
    Ηλικία
    45
    Μηνύματα
    4.627
    Downloads
    37
    Uploads
    1
    Τύπος
    Other / Άλλο
    Ταχύτητα
    350/100
    ISP
    Cosmote 4G - 5G - VDSL
    DSLAM
    ΟΤΕ - ΑΣΤΡΙΔΑ ΘΑΣΟΥ
    Router
    RB LHGG & ZTE MC 8020
    ..παιδιά τα φώτα σας... έχω κολλήσει...


    έχουμε 3 μικροτικ

    1ο
    είναι σε datacenter CHR έκδοση που λειτουργεί ως ovpn server ip 10.0.1.254/24

    2o
    ειναι το 3011 που έχω σπίτι με ovpn client προς τον server ip 10.0.1.1/24

    3o
    ειναι το 951 που το έχω στο αμάξι ovpn client προς τον server ip 10.0.1.3/24

    το κομμάτι vpn λειτουργεί κανονικά



    στο 1ο στο firewall έχω 5 κανόνες

    /ip firewall filter
    add action=accept chain=input comment=Vpn dst-port=1ΧΧΧΧ protocol=tcp
    add action=accept chain=input comment="From Home" src-address=10.0.1.1
    add action=accept chain=input comment="Webfig from public" dst-port=16600 protocol=tcp
    add action=accept chain=input comment="Winbox from public" dst-port=16500 protocol=tcp
    add action=drop chain=input log=yes
    /ip firewall nat
    add action=masquerade chain=srcnat
    /ip firewall service-port
    set sip sip-direct-media=no
    -------------------------------------------------------
    στο 3ο στο firewall έχω αυτά

    /ip firewall nat
    add action=masquerade chain=srcnat
    /ip firewall service-port
    set sip sip-direct-media=no
    ------------------------------------------------------
    στο 2ο έχω αυτά

    # model = RouterBOARD 3011UiAS

    /ip firewall filter
    add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
    add action=drop chain=forward dst-address=192.168.0.0/24 src-address=10.50.0.2-10.50.0.99
    add action=drop chain=forward dst-address=192.168.0.0/24 src-address=10.50.0.111-10.50.1.254
    add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
    add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1

    /ip firewall nat
    add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
    add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=ether1
    add action=masquerade chain=srcnat ipsec-policy=out,none src-address=192.168.0.0/24
    add action=masquerade chain=srcnat src-address=10.50.0.0/23

    /ip firewall service-port
    set sip ports=5060,5070,6050 sip-direct-media=no

    ----------------------------------------------------------------------------------------------------




    Το πρόβλημα μου ειναι στο voip

    στο 2ο μικροτικ στο σπίτι έχω το pbx με ip 192.168.10.101 wan που παίρνει ίντερνετ και την 192.168.0.10 lan

    μέσω του 3ου μικροτικ οταν θέλω να συνδέσω το ζοιπερ του κινητού γίνετε μόνο με την 192.168.10.101 κάνει register ακούω τον άλλο αλλα δεν με ακούει, κάτι δηλαδή κόβει τον ήχο στη διαδρομή που κάνει. σε τοπικό επίπεδο στο σπίτι μεσω των wifi AP's που έχω δουλεύει κανονικά, στο 3ο μικροτικ που ειναι στο αυτοκίνητο δεν έχω κανόνες για να το κόβει κάτι... άρα το θέμα ειναι στο 1ο που είναι ο κόμβος που τα συνδέει όλα μεταξύ του.

    για ρίξτε καμιά ιδέα.


    και από το κινητό μέσω ovpn όταν συνδέομε στο 1ο... πάλι τι ίδιο αποτέλεσμα έχω.


    routes έχω βάλει σε όλα

  12. #1377
    Εγγραφή
    14-12-2017
    Μηνύματα
    33
    Downloads
    0
    Uploads
    0
    ISP
    Cosmote
    τα routes σου είναι σωστά; μπορείς να κάνεις ping μεταξύ των επιμέρους δικτύων;
    επίσης κάτι με τα masquerade rules σου δε μου φαίνεται και πολύ σωστό, γενικά φαίνεται ότι έχεις αφήσει rules τα οποία δε χρειάζονται/χρησιμοποιούνται (π.χ. το μπλοκ 10.50.0.0/23 που κολλάει; ), γιατί δε δοκιμάζεις να τα καθαρίσεις λίγο;
    κανονικά ό,τι βγαίνει μέσω vpn tunnel θέλει masquerade εκτός κι αν ρυθμίσεις static routes σε κάθε router.

    επίσης στο ip->settings->rp filter έλεγξε ότι έχεις loose, αν είναι strict δε θα παίξει

  13. #1378
    Εγγραφή
    13-11-2002
    Περιοχή
    Αστρίς Θάσου
    Ηλικία
    45
    Μηνύματα
    4.627
    Downloads
    37
    Uploads
    1
    Τύπος
    Other / Άλλο
    Ταχύτητα
    350/100
    ISP
    Cosmote 4G - 5G - VDSL
    DSLAM
    ΟΤΕ - ΑΣΤΡΙΔΑ ΘΑΣΟΥ
    Router
    RB LHGG & ZTE MC 8020
    Παράθεση Αρχικό μήνυμα από apostmax Εμφάνιση μηνυμάτων
    τα routes σου είναι σωστά; μπορείς να κάνεις ping μεταξύ των επιμέρους δικτύων;
    επίσης κάτι με τα masquerade rules σου δε μου φαίνεται και πολύ σωστό, γενικά φαίνεται ότι έχεις αφήσει rules τα οποία δε χρειάζονται/χρησιμοποιούνται (π.χ. το μπλοκ 10.50.0.0/23 που κολλάει; ), γιατί δε δοκιμάζεις να τα καθαρίσεις λίγο;
    κανονικά ό,τι βγαίνει μέσω vpn tunnel θέλει masquerade εκτός κι αν ρυθμίσεις static routes σε κάθε router.

    επίσης στο ip->settings->rp filter έλεγξε ότι έχεις loose, αν είναι strict δε θα παίξει
    (π.χ. το μπλοκ 10.50.0.0/23 που κολλάει; )

    αυτό το έχω για hotspot ώστε άσχετες συσκευες να μην έχουν πρόσβαση στο 192.168.0.0...


    το πρόβλημα είναι στο ότι εκτός LAN (192.168.0.0/24 % 10.50.0.0/23) μέσω του vpn δηλαδή συνδέετε μόνο στην wan του κέντρου 192.168.10.0/24.

    η σκάλωμα στο μικροτικ ειναι η στο κέντρο.

    - - - Updated - - -

    Παράθεση Αρχικό μήνυμα από apostmax Εμφάνιση μηνυμάτων
    επίσης στο ip->settings->rp filter έλεγξε ότι έχεις loose, αν είναι strict δε θα παίξει
    αυτό το ηταν στο no... το άλλαξα... και έστω με την wan ip του κέντρου... φαίνεται οτι παίζει...

  14. #1379
    Εγγραφή
    14-12-2017
    Μηνύματα
    33
    Downloads
    0
    Uploads
    0
    ISP
    Cosmote
    γράψε μας λίγο τα routes που έχεις σε κάθε router για να δούμε τι παίζει..

  15. #1380
    Εγγραφή
    13-11-2002
    Περιοχή
    Αστρίς Θάσου
    Ηλικία
    45
    Μηνύματα
    4.627
    Downloads
    37
    Uploads
    1
    Τύπος
    Other / Άλλο
    Ταχύτητα
    350/100
    ISP
    Cosmote 4G - 5G - VDSL
    DSLAM
    ΟΤΕ - ΑΣΤΡΙΔΑ ΘΑΣΟΥ
    Router
    RB LHGG & ZTE MC 8020
    έχω στο 1ο CHR (vpn server) 10.0.1.254/24

    Dst. Address 192.168.0.0/24 gateway 10.0.1.1

    Dst. Address 192.168.10.0/24 gateway 10.0.1.1



    και στο 3ο 951 client στο αμάξι) 10.0.1.2/24

    Dst. Address 192.168.0.0/24 gateway 10.0.1.254

    Dst. Address 192.168.10.0/24 gateway 10.0.1.254



    το πρόβλημα φαίνεται να ήταν στο freepbx με τα 2 ethernet που έχει

    έκανα default αυτό με την 192.168.0.10

    και στο 2ο που έχει με την 192.168.10.101 έκανα statric route να βγαίνουν μόνο τα trunk προς ote-yuboto-modulus.


    σήμερα που ήμουν εκτός σπιτιού... όλα δούλευαν όπως πρέπει

    το μόνο που παρατήρησα στο αμαξι ότι κάποιες έχανα το wifi απ το 951... πρέπει να στίσω έναν log server να δω τι θα μαζεύει.. ώστε να βρώ τι θέμα έχει το 951.

Σελ. 92 από 141 ΠρώτηΠρώτη ... 728287909192939497102112 ... ΤελευταίαΤελευταία

Παρόμοια Θέματα

  1. Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
    Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDs
    Μηνύματα: 136
    Τελευταίο Μήνυμα: 24-05-23, 22:17
  2. Μηνύματα: 493
    Τελευταίο Μήνυμα: 18-05-19, 17:35
  3. Mikrotik 2011 DHCP lease failed without success Point to Multipoint
    Από jvam στο φόρουμ Networking
    Μηνύματα: 2
    Τελευταίο Μήνυμα: 18-10-14, 21:56
  4. IPV6 + IPV4 SPEED TEST
    Από babis3g στο φόρουμ ADSL
    Μηνύματα: 7
    Τελευταίο Μήνυμα: 05-09-14, 18:00

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας