Εμφάνιση 1.366-1.380 από 2112
-
05-03-19, 23:25 Απάντηση: Mikrotik IPv4/IPv6 firewall #1366
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
05-03-19, 23:33 Απάντηση: Mikrotik IPv4/IPv6 firewall #1367
Βεβαια διαβαζοντας το τωρα. Εχει αρκετους κανονες που ειναι μονο για το configuration σου.
Δεν ειναι "generic".
Για παραδειγμα: allow open vpn, add action=accept chain=forward dst-address=192.168.1.0/24 src-address=\
192.168.5.0/24.
Και ο chech icmp input εχει ενα λαθακι...Έχω αλλάξει δουλειές και δουλειές... Αλλά σαν την δουλεία του να είσαι πατέρας δεν υπάρχει καμμία...
-
05-03-19, 23:37 Απάντηση: Mikrotik IPv4/IPv6 firewall #1368
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
05-03-19, 23:48 Απάντηση: Mikrotik IPv4/IPv6 firewall #1369
Αυριο στο χωρο εργασιας θα κανω τις υπολοιπες παραμετροποιησεις. Και οτιδηποτε αν υπαρξει τα ξαναλεμε.
Σας ευχαριστω.
Καλο βραδυΈχω αλλάξει δουλειές και δουλειές... Αλλά σαν την δουλεία του να είσαι πατέρας δεν υπάρχει καμμία...
-
06-03-19, 00:06 Απάντηση: Mikrotik IPv4/IPv6 firewall #1370
πχ ...έχουμε ένα μικροτικ chr σε datacenter με statc ip που τρέχει ovpn server πχ στη θύρα 15000 tcp
και θέλουμε να συνδέονται μόνο οι clients.... για μεταξύ τους επικοινωνία πχ κινητό... σπιτι... δουλειά...
τι κανόνα θέλουμε στο firewall ώστε να τα κόβει όλα εκτός την πιο πάνω πόρτα και μια ακόμα για το winbox ( πχ την 15001 )
πχ αυτά φτάνουν?
/ip firewall filter
add action=accept chain=input dst-port=15000 protocol=tcp
add action=accept chain=input dst-port=15001 protocol=tcp
add action=drop chain=input
add action=drop chain=forward
-
06-03-19, 01:12 Απάντηση: Mikrotik IPv4/IPv6 firewall #1371
-
06-03-19, 01:32 Απάντηση: Mikrotik IPv4/IPv6 firewall #1372
-
06-03-19, 01:47 Απάντηση: Mikrotik IPv4/IPv6 firewall #1373
Ως γενική αρχή πρώτα κάνουμε accept ό,τι μας ενδιαφέρει και μετά κόβουμε τα υπόλοιπα ("catch-all" rules).
Αν θεωρήσουμε ότι θα επικοινωνείς με το ρουτερ μόνο εφόσον έχει εγκατασταθεί σύνδεση vpn, τότε:
Κώδικας:add action=accept chain=input dst-port=vpn_port_here protocol=tcp add action=drop chain=input in-interface-list=WAN_list add action=accept chain=forward connection-state=established,related,untracked add action=drop chain=forward connection-state=invalid add action=drop chain=forward connection-state=new connection-nat-state=!dstnat in-interface-list=WAN_list
Στην πραγματικότητα το παραπάνω είναι μια μικρή παραλλαγή του default config.Τελευταία επεξεργασία από το μέλος apostmax : 06-03-19 στις 01:55.
-
06-03-19, 06:07 Απάντηση: Mikrotik IPv4/IPv6 firewall #1374See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)
-
06-03-19, 10:31 Απάντηση: Mikrotik IPv4/IPv6 firewall #1375
Δε χρειαζεται να εχεις τριπλους κανονες επειδη εχεις τρια wan. Μπορεις να το φτιαξεις να παιζει με εναν κανονα για ολα τα wan.
Άλλα Ντάλλα....
-
09-03-19, 18:37 Απάντηση: Mikrotik IPv4/IPv6 firewall #1376
..παιδιά τα φώτα σας... έχω κολλήσει...
έχουμε 3 μικροτικ
1ο
είναι σε datacenter CHR έκδοση που λειτουργεί ως ovpn server ip 10.0.1.254/24
2o
ειναι το 3011 που έχω σπίτι με ovpn client προς τον server ip 10.0.1.1/24
3o
ειναι το 951 που το έχω στο αμάξι ovpn client προς τον server ip 10.0.1.3/24
το κομμάτι vpn λειτουργεί κανονικά
στο 1ο στο firewall έχω 5 κανόνες
/ip firewall filter
add action=accept chain=input comment=Vpn dst-port=1ΧΧΧΧ protocol=tcp
add action=accept chain=input comment="From Home" src-address=10.0.1.1
add action=accept chain=input comment="Webfig from public" dst-port=16600 protocol=tcp
add action=accept chain=input comment="Winbox from public" dst-port=16500 protocol=tcp
add action=drop chain=input log=yes
/ip firewall nat
add action=masquerade chain=srcnat
/ip firewall service-port
set sip sip-direct-media=no
-------------------------------------------------------
στο 3ο στο firewall έχω αυτά
/ip firewall nat
add action=masquerade chain=srcnat
/ip firewall service-port
set sip sip-direct-media=no
------------------------------------------------------
στο 2ο έχω αυτά
# model = RouterBOARD 3011UiAS
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=10.50.0.2-10.50.0.99
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=10.50.0.111-10.50.1.254
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=ether1
add action=masquerade chain=srcnat ipsec-policy=out,none src-address=192.168.0.0/24
add action=masquerade chain=srcnat src-address=10.50.0.0/23
/ip firewall service-port
set sip ports=5060,5070,6050 sip-direct-media=no
----------------------------------------------------------------------------------------------------
Το πρόβλημα μου ειναι στο voip
στο 2ο μικροτικ στο σπίτι έχω το pbx με ip 192.168.10.101 wan που παίρνει ίντερνετ και την 192.168.0.10 lan
μέσω του 3ου μικροτικ οταν θέλω να συνδέσω το ζοιπερ του κινητού γίνετε μόνο με την 192.168.10.101 κάνει register ακούω τον άλλο αλλα δεν με ακούει, κάτι δηλαδή κόβει τον ήχο στη διαδρομή που κάνει. σε τοπικό επίπεδο στο σπίτι μεσω των wifi AP's που έχω δουλεύει κανονικά, στο 3ο μικροτικ που ειναι στο αυτοκίνητο δεν έχω κανόνες για να το κόβει κάτι... άρα το θέμα ειναι στο 1ο που είναι ο κόμβος που τα συνδέει όλα μεταξύ του.
για ρίξτε καμιά ιδέα.
και από το κινητό μέσω ovpn όταν συνδέομε στο 1ο... πάλι τι ίδιο αποτέλεσμα έχω.
routes έχω βάλει σε όλα
-
10-03-19, 00:03 Απάντηση: Mikrotik IPv4/IPv6 firewall #1377
τα routes σου είναι σωστά; μπορείς να κάνεις ping μεταξύ των επιμέρους δικτύων;
επίσης κάτι με τα masquerade rules σου δε μου φαίνεται και πολύ σωστό, γενικά φαίνεται ότι έχεις αφήσει rules τα οποία δε χρειάζονται/χρησιμοποιούνται (π.χ. το μπλοκ 10.50.0.0/23 που κολλάει; ), γιατί δε δοκιμάζεις να τα καθαρίσεις λίγο;
κανονικά ό,τι βγαίνει μέσω vpn tunnel θέλει masquerade εκτός κι αν ρυθμίσεις static routes σε κάθε router.
επίσης στο ip->settings->rp filter έλεγξε ότι έχεις loose, αν είναι strict δε θα παίξει
-
10-03-19, 00:38 Απάντηση: Mikrotik IPv4/IPv6 firewall #1378
(π.χ. το μπλοκ 10.50.0.0/23 που κολλάει; )
αυτό το έχω για hotspot ώστε άσχετες συσκευες να μην έχουν πρόσβαση στο 192.168.0.0...
το πρόβλημα είναι στο ότι εκτός LAN (192.168.0.0/24 % 10.50.0.0/23) μέσω του vpn δηλαδή συνδέετε μόνο στην wan του κέντρου 192.168.10.0/24.
η σκάλωμα στο μικροτικ ειναι η στο κέντρο.
- - - Updated - - -
αυτό το ηταν στο no... το άλλαξα... και έστω με την wan ip του κέντρου... φαίνεται οτι παίζει...
-
10-03-19, 15:55 Απάντηση: Mikrotik IPv4/IPv6 firewall #1379
γράψε μας λίγο τα routes που έχεις σε κάθε router για να δούμε τι παίζει..
-
10-03-19, 22:14 Απάντηση: Mikrotik IPv4/IPv6 firewall #1380
έχω στο 1ο CHR (vpn server) 10.0.1.254/24
Dst. Address 192.168.0.0/24 gateway 10.0.1.1
Dst. Address 192.168.10.0/24 gateway 10.0.1.1
και στο 3ο 951 client στο αμάξι) 10.0.1.2/24
Dst. Address 192.168.0.0/24 gateway 10.0.1.254
Dst. Address 192.168.10.0/24 gateway 10.0.1.254
το πρόβλημα φαίνεται να ήταν στο freepbx με τα 2 ethernet που έχει
έκανα default αυτό με την 192.168.0.10
και στο 2ο που έχει με την 192.168.10.101 έκανα statric route να βγαίνουν μόνο τα trunk προς ote-yuboto-modulus.
σήμερα που ήμουν εκτός σπιτιού... όλα δούλευαν όπως πρέπει
το μόνο που παρατήρησα στο αμαξι ότι κάποιες έχανα το wifi απ το 951... πρέπει να στίσω έναν log server να δω τι θα μαζεύει.. ώστε να βρώ τι θέμα έχει το 951.
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks