Mikrotik IPv4/IPv6 firewall

[teodor_ch]

Bypass στο Hotspot τα έχεις κάνει;

Κώδικας:

/ip hotspot ip-binding
add address=192.168.4.7 type=bypassed

είχα δοκιμάσει και με mac και συνδυασμό mac/IP.

- - - Updated - - -

Μέχρι και restart έκανα μήπως και κάτι σκάλωσε!
Το επόμενο που σκέφτομαι είναι reset defaults και ξαναστήσιμο αλλά κουράζομαι στην ιδέα!

Το άλλο που βλέπω είναι ότι κάνω reset all counters στο filter/nat και δοκιμάζοντας Tools-Ping 192.168.4.7
δε βλέπω να ανεβαίνει κάποιος counter...

[kostas2911]

Κώδικας:

/ip hotspot ip-binding
add address=192.168.4.7 type=bypassed

είχα δοκιμάσει και με mac και συνδυασμό mac/IP.

Τα access point έχουν static ip?
Αν ναι έχεις τσεκάρει ότι δεν τους δίνει το hotspot κάποια άλλη?

[teodor_ch]

Γ@μ0 την τύχη μου!!!!!


Στο bridge-customers είχα βάλει Arp-reply only και έβαζε το arp ο dhcp server για να μήν μπορεί κάποιος να αλλάξει ΙΡ χειροκίνητα στο εύρος 192.168.4.2-192.168.4.19

Με κλειστό το hotspot όλα δουλεύουν.
Με ανοιχτό για κάποιο λόγο βγαίνει το arp μάλλον και δεν υπάρχει επικοινωνία.
Το είδα γιατί στο Tools-Ping βάζοντας arp ping τα κατάφερα.

Έβαλα arp:enabled στο bridge και τώρα δουλεύει σωστά.

Πώς μπορώ να συνδυάσω το hotspot με το reply-only?
Το IP binding μαζι με mac address είναι το αντίστοιχο?

- - - Updated - - -

Τα access point έχουν static ip?
Αν ναι έχεις τσεκάρει ότι δεν τους δίνει το hotspot κάποια άλλη?

dhcp
διάβασε και το επόμενο ποστ μου....

Όσο ζείς μαθαίνεις

[kostas2911]

Γ@μ0 την τύχη μου!!!!!


Στο bridge-customers είχα βάλει Arp-reply only και έβαζε το arp ο dhcp server για να μήν μπορεί κάποιος να αλλάξει ΙΡ χειροκίνητα στο εύρος 192.168.4.2-192.168.4.19

Με κλειστό το hotspot όλα δουλεύουν.
Με ανοιχτό για κάποιο λόγο βγαίνει το arp μάλλον και δεν υπάρχει επικοινωνία.
Το είδα γιατί στο Tools-Ping βάζοντας arp ping τα κατάφερα.

Έβαλα arp:enabled στο bridge και τώρα δουλεύει σωστά.

Πώς μπορώ να συνδυάσω το hotspot με το reply-only?
Το IP binding μαζι με mac address είναι το αντίστοιχο?

- - - Updated - - -



dhcp
διάβασε και το επόμενο ποστ μου....

Όσο ζείς μαθαίνεις

Περίπου ναι για το ip binding.
Αλλά μπορείς να βάλεις το pool να δίνει μετά την 4.19, έτσι αν κάποια συσκευή που δεν είναι bypass έχει διεύθυνση εκτός pool το hotspot θα την κάνει 1to1 nat με κάποια του pool

Εφόσον είναι dhcp κάνε απλά bypass τη mac και στο to address δωσε την ip που θέλεις

[teodor_ch]

Περίπου ναι για το ip binding.
Αλλά μπορείς να βάλεις το pool να δίνει μετά την 4.19, έτσι αν κάποια συσκευή που δεν είναι bypass έχει διεύθυνση εκτός pool το hotspot θα την κάνει 1to1 nat με κάποια του pool

Εφόσον είναι dhcp κάνε απλά bypass τη mac και στο to address δωσε την ip που θέλεις

Ωραία σε ευχαριστώ.
Οπότε τα static dhcp leases αντικαθίστανται στο hotspot απο το IP binding απο ότι κατάλαβα.

Είχα ένα κενό στο γιατί ζητάει pool αφού υπάρχει ο dhcp server

Και για επαλήθευση, αν βάλω pool 192.168.4.20-192.168.4.250
και κάποιος κάνει login,
ΔΕΝ θα μπορεί να βάλει χειροκίνητα 192.168.4.19 για παράδειγμα?
Θα την κάνει απο ότι μου λές 1to1 ΝΑΤ σε κάποια του pool.

Στο firewall filter/nat ποιά ΙΡ θα φαίνεται? Η διορθωμένη ή η manual που έχει βάλει?
Άρα έτσι ακόμα και όσοι έχουν σετάρει στις συσκευές τους static IPs δε θα παίρνουν χαμπάρι τίποτα. Σωστά?

[kostas2911]

Ωραία σε ευχαριστώ.
Οπότε τα static dhcp leases αντικαθίστανται στο hotspot απο το IP binding απο ότι κατάλαβα.

Είχα ένα κενό στο γιατί ζητάει pool αφού υπάρχει ο dhcp server

Και για επαλήθευση, αν βάλω pool 192.168.4.20-192.168.4.250
και κάποιος κάνει login,
ΔΕΝ θα μπορεί να βάλει χειροκίνητα 192.168.4.19 για παράδειγμα?
Θα την κάνει απο ότι μου λές 1to1 ΝΑΤ σε κάποια του pool.

Στο firewall filter/nat ποιά ΙΡ θα φαίνεται? Η διορθωμένη ή η manual που έχει βάλει?
Άρα έτσι ακόμα και όσοι έχουν σετάρει στις συσκευές τους static IPs δε θα παίρνουν χαμπάρι τίποτα. Σωστά?

Σωστά.
Εσύ θα βλέπεις την ip που έχει δώσει ο router

Να θυμάσαι όμως ότι όπως σου είπαν και νωρίτερα ο καλύτερος και με πολύ πιο εύκολη διαχείρηση τρόπος είναι να παίξεις με vlans.
Αρκεί βέβαια να το υποστηρίζουν και τα access points σου.

[teodor_ch]

Τώρα που σε βρήκα αν και στη μία απορία είναι εύκολο να βρώ τη λύση της μάλλον

Έστω κάνει κάποιος login. Πώς μπορώ να ορίσω για 14 μέρες να μήν ξαναχρειαστεί να κάνει login?
Ακόμα και όταν φύγει και ξαναέρθει δηλαδή (με την ίδια συσκευή φυσικά!)

Επίσης, στα του hotspot ποιό certifcate αντιστοιχεί?
Και υπάρχει η δυνατότητα συμμετοχής σε σεμινάριο χωρίς να πάρω τη πιστοποίηση οικονομικότερα? Σαν hobby που ασχολούμαι δηλαδή.
Κοιτάω που θα πάτε Χανιά αλλά θέλω ένα 50ευρω βενζίνες και ~4ώρες δρόμο για την κάθε μέρα!!! Άσε που πρέπει να περάσω τον χειρότερο δρόμο της Κρήτης για να έρθω!

[kostas2911]

Τώρα που σε βρήκα αν και στη μία απορία είναι εύκολο να βρώ τη λύση της μάλλον

Έστω κάνει κάποιος login. Πώς μπορώ να ορίσω για 14 μέρες να μήν ξαναχρειαστεί να κάνει login?
Ακόμα και όταν φύγει και ξαναέρθει δηλαδή (με την ίδια συσκευή φυσικά!)

Επίσης, στα του hotspot ποιό certifcate αντιστοιχεί?
Και υπάρχει η δυνατότητα συμμετοχής σε σεμινάριο χωρίς να πάρω τη πιστοποίηση οικονομικότερα? Σαν hobby που ασχολούμαι δηλαδή.
Κοιτάω που θα πάτε Χανιά αλλά θέλω ένα 50ευρω βενζίνες και ~4ώρες δρόμο για την κάθε μέρα!!! Άσε που πρέπει να περάσω τον χειρότερο δρόμο της Κρήτης για να έρθω!

Καταρχήν για να μην υπάρχουν παρεξηγήσεις, δεν κάνω εγώ πιστοποιήσεις ούτε έχω άμεση σχέση με κάποια εταιρεία που κάνει.
Νομίζω πως δεν υπάρχει δυνατότητα καλύτερης τιμής αλλά μπορείς να το συζητήσεις με τις εταιρείες που κανουν εκπαιδεύσεις.

Για τις 14 μέρες θα πρέπει να ορίσεις στο profile το session time. Αν και προσωπικά μου φαινέται υπερβολικός χρόνος.
Certficate διαλέγεις ένα από αυτά που έχεις φτιάξει εσύ αλλά γενικά δεν χρειάζεται, ούτε θα σου προσφέρει κάτι παραπάνω.

[teodor_ch]

Για το certificate εννοούσα ποιό σεμινάριο μιλάει για τα hotspot.
Μάλλον το MTCWE.
Και σε μπέρδεψα με τον smarag απο το διπλανό τοπικ!

Ευχαριστώ για τη βοήθεια

Οι 14 μέρες (ή και παραπάνω) είναι για τους πελάτες των διαμερισμάτων. Υπάρχει λόγος να τους αναγκάσω να ξανα-κάνουν login?
Για τους περαστικούς πελάτες θα βάλω 3 ώρες.

Και όλα τα wifi AP θα τα αφήσω χωρίς κωδικό και θα αναλαμβάνει το ΜΚ με το Hotspot την ασφάλεα.

Για να μή μπορεί να δεί ο ένας τον άλλο βάζω απλά?

Κώδικας:

chain=forward in-interface=bridge-customers out-interface=bridge-customers action=drop

[kostas2911]

Για το certificate εννοούσα ποιό σεμινάριο μιλάει για τα hotspot.
Μάλλον το MTCWE.
Και σε μπέρδεψα με τον smarag απο το διπλανό τοπικ!

Ευχαριστώ για τη βοήθεια

Οι 14 μέρες (ή και παραπάνω) είναι για τους πελάτες των διαμερισμάτων. Υπάρχει λόγος να τους αναγκάσω να ξανα-κάνουν login?
Για τους περαστικούς πελάτες θα βάλω 3 ώρες.

Και όλα τα wifi AP θα τα αφήσω χωρίς κωδικό και θα αναλαμβάνει το ΜΚ με το Hotspot την ασφάλεα.

Για να μή μπορεί να δεί ο ένας τον άλλο βάζω απλά?

Κώδικας:

chain=forward in-interface=bridge-customers out-interface=bridge-customers action=drop

Το MTCUME

[puntomania]

..για να μη ανοίγω άλλο θέμα...

στο κινητό έχω το zoiper με το ddns.net λογαριασμό μου να κάνει register στο freepbx που έχω.

οταν στο κινητό είμαι συνδεμένος σε internet που είναι πίσω απο nat...

ακούω αυτών που με καλεί... αλλά όχι αυτός εμένα.

στο rb

κάνω nat την udp 13589 που είναι η bind-port
στο filter την έχω επίσης να κάνει forward...

τι άλλο μπορεί να θέλει?

γιατί αποτι κατάλαβα κόβετε η κίνηση προς το rb.

[RyDeR]

Καλησπέρα,

Τρέχω αυτο το fw:

Κώδικας:

/ip firewall filter
add action=accept chain=input comment=\
    "Accept input established, related connections" connection-state=\
    established,related
add action=drop chain=input comment="______Drop input invalid connections" \
    connection-state=invalid
add action=accept chain=forward comment=\
    "Allow forward forward established, related connections" \
    connection-state=established,related
add action=drop chain=forward comment=\
    "______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="Add port scanners to list" \
    in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
    protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
    protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______SYN/RST scan" \
    protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
    protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
    protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
    src-address-list="port scanners"
add action=accept chain=input comment="Allow SIP" disabled=yes dst-port=5060 \
    in-interface=all-ppp protocol=udp
add action=accept chain=forward disabled=yes in-interface=all-ppp \
    src-address=!10.10.10.0/24
add action=accept chain=input comment="WINBOX ACCESS GR" dst-port=8291 \
    in-interface=all-ppp protocol=tcp src-address-list=GR
add action=accept chain=input dst-port=8728 protocol=tcp src-address-list=GR
add action=accept chain=input comment="Allow all input from LAN" \
    in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" \
    in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"

Το πρόβλημα μου ειναι οτι δεν μπορω να συνδεθω απομακρυσμενα με Winbox και δεν καταλαβαίνω το γιατί.



** Εχω περιορισμό στις θυρες του Winbox. Η λίστα GR έχει ελληνικα IP blocks ωστε η πρόσβαση του Winbox να γινεται μονο απο Ελλαδα. Και με disabled αυτό το rule, παλι δεν μπαίνω.

[sdikr]

..για να μη ανοίγω άλλο θέμα...

στο κινητό έχω το zoiper με το ddns.net λογαριασμό μου να κάνει register στο freepbx που έχω.

οταν στο κινητό είμαι συνδεμένος σε internet που είναι πίσω απο nat...

ακούω αυτών που με καλεί... αλλά όχι αυτός εμένα.

στο rb

κάνω nat την udp 13589 που είναι η bind-port
στο filter την έχω επίσης να κάνει forward...

τι άλλο μπορεί να θέλει?

γιατί αποτι κατάλαβα κόβετε η κίνηση προς το rb.

Θέλει και τις rtp πόρτες αν δεν κάνω λάθος

[puntomania]

Θέλει και τις rtp πόρτες αν δεν κάνω λάθος

δοκίμασα και με αυτές....

[sdikr]

δοκίμασα και με αυτές....

Υποθέτω πως έχεις δηλώσει σωστά στο asterisk ότι υπάρχει nat
δες εδώ https://www.voip-info.org/asterisk-sip-nat/ και https://support.gradwell.com/hc/en-g...a-NAT-firewall.

Ακόμα, αφού έχεις το zoiper μήπως να δούλευες Iax extension;