Mikrotik IPv4/IPv6 firewall

[RyDeR]

Καλημέρα. Αναβάθμισα σε v7 για να δουλέψω τα VPN που υποστηρίζει αυτή η έκδοση και έχω μια ερώτηση για τα mangles/routes για αυτό το βάζω στο thread του firewall. Το config έχει ως εξής:

WAN 1 - PPPoE - Public IP (DSL)
WAN 2 - DHCP client - cgNAT (LTE)

Όλα είναι με χειροκίνητα routes. Συγκεκριμένα έχω:

WAN1 σαν distance 2 (θέλω να βγαίνουν συγκεκριμένα από εκεί)
WAN2 σαν distance 1 (θέλω σχεδόν όλα να βγαίνουν από εκεί μιας και έχει μεγαλύτερη ταχύτητα)

Έχω κάνει νέο routing table με όνομα dsl. Ταυτόχρονα υπάρχει και το main που έγινε αυτόματα.

Ρυθμίζω τα routes σύμφωνα με τα routing tables, στο WAN2 έχω το main και στο WAN1 το dsl.

Αν προσθέσω νέο routing rule, με την IP της συσκευής που θέλω με routing table dsl, λειτουργεί ΟΚ. Προσπαθώ να κάνω το ίδιο για την IP του ίδιου του router, ώστε να ανανεώνει το mTik cloud του με την IP του WAN1 (που έχει public IP) για να λειτουργούν τα port forward και το VPN που θέλω να στήσω.

Πώς θα βάλω να γίνεται το update forced απο την WAN1;

[teodor_ch]

Νομίζω το είχα κάνει παλιότερα με mangle στο chain output και mark routing.

Βρήκα κάτι παλιούς κανόνες που δεν χρησιμοποιώ πλέον.



και address lists

[RyDeR]

Νομίζω το είχα κάνει παλιότερα με mangle στο chain output και mark routing.

Βρήκα κάτι παλιούς κανόνες που δεν χρησιμοποιώ πλέον.



και address lists

Ετσι το ειχα σε v6 rOS. Δούλευε μια χαρα. Στο v7 δεν λειτουργεί. Έχει γενικά αλλάξει το implementation του route με rules και άλλα διάφορα.

[teodor_ch]

Δηλαδή mangle mark routing + routing rules με routing mark δεν δουλεύει?

Τί να πω..

Αν βρείς λύση γράψε την να τη μάθω και εγώ!

[minas]

Εμένα σε 7 δουλεύει πάντως, αν και το χρησιμοποιώ για άλλο λόγο:
Έχω ανοιχτό ένα VPN και μαρκάρω πακέτα για να δρομολογηθούν συγκεκριμένα αυτά μέσα από το VPN.

[deniSun]

Έχετε πάθει ψύχωση με το 7άρι.

[BillyVan]

Έχετε πάθει ψύχωση με το 7άρι.

Γιατι το λες αυτο?

[Nikiforos]

Εμένα σε 7 δουλεύει πάντως, αν και το χρησιμοποιώ για άλλο λόγο:
Έχω ανοιχτό ένα VPN και μαρκάρω πακέτα για να δρομολογηθούν συγκεκριμένα αυτά μέσα από το VPN.

Ναι το ειχα κανει και εγω τοτε που το express vpn επαιζε με l2tp+ipsec ειναι καλος λογος.

[BillyVan]

Διαβασα το https://forum.mikrotik.com/viewtopic.php?t=204180

και ειπα να το αναφερω εδω για να μας το αναλυσει καποιος καλυτερα.

Το ενδιαφερον ειναι οτι στο ros 6 ο τυπος λεει παιζει οκ.

[K1m0n]

Plz note:

Απο το changelog των 7.13.4 & 6.49.13:

Κώδικας:

*) defconf - fixed firewall rule for IPv6 UDP traceroute;

Το fix δεν εφαρμόζεται αν δεν φορτώσει κάποιος το νεώτερο default firewall script.

Οπότε αν βαριόμαστε να κάνουμε diff, και σύμφωνα με τον normis από εδώ:
https://forum.mikrotik.com/viewtopic.php?t=204179

Κώδικας:

Firewall rule before the fix:
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp

Firewall rule now:
add action=accept chain=input comment="defconf: accept UDP traceroute" dst-port=33434-33534 protocol=udp

[BillyVan]

Αν κανει καποιος χρηση blacklist εχει παρατηρησει προβλημα οταν το μεγεθος ειναι μεγαλο?

Συνηθως εβαζα με σκριπτ μια καθημερινα απο τον joshaven περιπου 1300 γραμμες.

Αποφασισα να δοκιμασω κι αλλα σκριπτ για να εχω ακομη μεγαλυτερη λιστα με ιπ και ενω εχω χωρο αρχιζε να

μου κανει π@π@ριες το 5009 οκ λεω ας ξηλωσω.

Εκανα με το χερι λοιπον μια λιστα με 30000 γραμμες (κοψε ραψε συκρινε αφαιρεση διπλοεγγραφων κλπ)

Οποτε εχω μια λιστα Ελλαδα 1700 γραμμες που επιτρεπω και μια blacklist 30000 γραμμες που κοβω.

Οι ιπ ειναι φυσικα πολλαπλασιες γιατι εχει μεσα /20 και /10 κλπ.

Εχετε παρατηρησει κι εσεις κατι αναλογο κι αν ναι πως το αντιμετωπισατε?

[x_undefined]

Οποτε εχω μια λιστα Ελλαδα 1700 γραμμες που επιτρεπω και μια blacklist 30000 γραμμες που κοβω.

Ποιο το νόημα να τα έχεις και τα 2; Αν θες να επιτρέπεις μόνο την Ελλάδα, δεν μπορείς όλα τα υπόλοιπα να τα κόβεις απλώς χωρίς λίστα;

[BillyVan]

Ποιο το νόημα να τα έχεις και τα 2; Αν θες να επιτρέπεις μόνο την Ελλάδα, δεν μπορείς όλα τα υπόλοιπα να τα κόβεις απλώς χωρίς λίστα;

Ισχυει αυτο που λες αλλα δεν ειναι το ιδιο...εχουμε google, microsoft και ποσα ακομη που αφηνουμε

[deniSun]

Αν κανει καποιος χρηση blacklist εχει παρατηρησει προβλημα οταν το μεγεθος ειναι μεγαλο?

Συνηθως εβαζα με σκριπτ μια καθημερινα απο τον joshaven περιπου 1300 γραμμες.

Αποφασισα να δοκιμασω κι αλλα σκριπτ για να εχω ακομη μεγαλυτερη λιστα με ιπ και ενω εχω χωρο αρχιζε να

μου κανει π@π@ριες το 5009 οκ λεω ας ξηλωσω.

Εκανα με το χερι λοιπον μια λιστα με 30000 γραμμες (κοψε ραψε συκρινε αφαιρεση διπλοεγγραφων κλπ)

Οποτε εχω μια λιστα Ελλαδα 1700 γραμμες που επιτρεπω και μια blacklist 30000 γραμμες που κοβω.

Οι ιπ ειναι φυσικα πολλαπλασιες γιατι εχει μεσα /20 και /10 κλπ.

Εχετε παρατηρησει κι εσεις κατι αναλογο κι αν ναι πως το αντιμετωπισατε?

Έχω λίστα από IP2Location με ~1600 εγγραφές χωρίς πρόβλημα.
Παλιότερα είχα δοκιμάσει adblock όπου εκεί οι εγγραφές έφταναν >10000 και γονάτιζε.

[x_undefined]

Ισχυει αυτο που λες αλλα δεν ειναι το ιδιο...εχουμε google, microsoft και ποσα ακομη που αφηνουμε

Άρα πώς δουλεύει; Μία λίστα που μπλοκάρεις, μία με Ελλάδα που επιτρέπεις και τα Google, Microsoft κλπ. πώς τα επιτρέπεις ξεχωτιστά; Άλλη λίστα;

Μήπως είναι γενικά αχρείαστες όλες οι λίστες; Ό,τι κερδίζεις από «επιθέσεις» το χάνεις στο να τρέχει κάθε φορά το firewall όλες τις γραμμές της λίστας;