hmm skoro tak mówisz to podsyłam raz jeszcze konfigurację:
od razu mówię - nie zwracaj uwagi na komunikaty pppoe-WAN not ready po prostu WAN nie jest podpięty bo raz, że to nie jest konfiguracja ostateczna a 2, że ten model nie ma wi-fi a mi jutro do pracy jest wi-fi potrzebne więc na razie go odłączyłem
export
[admin@MikroTik] > export
jan/02/1970 09:45:51 by RouterOS 6.45.6
software id = 3RAI-F436
model = RouterBOARD 3011UiAS
serial number = xxxxxxx
/interface bridge
add name=bridge1 protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment=WAN name=ether1-WAN
set [ find default-name=ether2 ] comment=Marek-PC name=ether2-Marek-PC
set [ find default-name=ether3 ] comment=NAS name=ether3-NAS
set [ find default-name=ether4 ] comment=BOX name=ether4-BOX
set [ find default-name=ether5 ] comment=switch name=ether5-switch
set [ find default-name=ether10 ] comment=WI-FI name=ether10-wifi
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-WAN name=pppoe-WAN
password=haslo user=uzytkownik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add comment=“DHCP Pool” name=dhcp_pool ranges=192.168.1.20-192.168.1.99
/ip dhcp-server
add address-pool=dhcp_pool disabled=no interface=bridge1 lease-time=6h name=
server1
/interface bridge port
add bridge=bridge1 interface=ether2-Marek-PC
add bridge=bridge1 interface=ether3-NAS
add bridge=bridge1 interface=ether4-BOX
add bridge=bridge1 interface=ether5-switch
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10-wifi
/ip address
add address=192.168.1.100/24 interface=bridge1 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.100 gateway=192.168.1.100
netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall filter
pppoe-WAN not ready
add action=drop chain=input comment=“Odrzucanie zapyta\F1 DNS” dst-port=53
in-interface=pppoe-WAN protocol=udp
pppoe-WAN not ready
add action=accept chain=input comment=
“Zezwolenie na ruch z polaczen nawi\B9zanych i powiazanych”
connection-state=established,related in-interface=pppoe-WAN
pppoe-WAN not ready
add action=drop chain=input comment=“Odzrcuanie uszkodzonych pakietow”
connection-state=invalid in-interface=pppoe-WAN
pppoe-WAN not ready
add action=drop chain=input comment=
“Odrzucanie pakietow nie pasujacych do regul wyzej” in-interface=
pppoe-WAN
pppoe-WAN not ready
add action=accept chain=forward comment=
“Zezwolenie na ruch z polaczen nawi\B9zanych i powiazanych”
connection-state=established,related in-interface=pppoe-WAN
pppoe-WAN not ready
add action=drop chain=forward comment=“Odzrucanie uszkodzonych pakietow”
connection-state=invalid in-interface=pppoe-WAN
pppoe-WAN not ready
add action=drop chain=forward comment=
“Odrzucanie pakietow nie pasujacych do regul wyzej” in-interface=
pppoe-WAN
/ip firewall nat
pppoe-WAN not ready
add action=masquerade chain=srcnat out-interface=pppoe-WAN src-address=
192.168.1.0/24
[admin@MikroTik] >
Swoją drogą co byście polecali do wi-fi? Myślałem o kupnie Ubiquiti UAP AC LR i podłączenie go do mikrotika przez PoE, dobrze kombinuję, że jak podepnę taki ubiquiti kablem ethernet do portu ether10 (oznaczony jako PoE out w mikrotiku) to nie będę potrzebować dodatkowego zasilania, czy to nie takie proste i coś trzeba konfigurować?
Wiem, że 3011 nie ma wifi, bo one są tylko RM (rack mount). Zresztą WLAN, MPLS i co jie potrzebujesz możesz wyłączyć.
Kurcze konfig wygląda okej. MT hAP AC ma aktywne PoE, więc UAP AC zasila się bez problemu. W 3011 nie pamiętam czy PoE jest aktywne, musiałbyś sprawdzić w specyfikacji.
Czyli jak dobrze rozumiem to aby zasilić MT przez POE-IN to musiałbym mieć jakiegoś switcha lub inne sprzęt? Chyba, że wiesz czy ubiquiti ma POEin , wtedy odwróciłbym sytuację - ubiquiti z gniazdka a mikrotik przez POE?
Dzięki serdeczne, konfigurację jutro sprawdzę. z tym, że nie wiem czy dobrze się wyraziłem, moja obecna konfiguracja też działa, podesłałem ją tylko dlatego, że napisałeś, że nie jest optymalna i tak się nie robi.
Co do pytań o PoE to przyznam, że nie do końca rozumiem, wyżej piszesz:
Więc założyłem, że skoro mikrotika zasilam tradycyjnie przez gniazdo sieciowe a nie przez PoE-IN to i ubiquiti nie zasilę przez PoE-out a teraz napisałeś
Zechcesz wyjaśnić bo w końcu nie wiem czy ubiquiti będę mógł zasilić przez PoE z mikrotika czy nie?
Razem z Ubi dostałeś zasilacz PoE, chyba że kupiłeś 5-pak (UAP-AC-LR-5), to zasilaczy nie ma w packu, więc zasilasz Ubi tym zasilaczem.
Możesz zasilić MT tym zasilaczem, ale to nie ma sensu. Co innego przy aktywnym PoE, wtedy Ubi wpinasz do MT i go zarazem zasilasz.
Zresztą inaczej tego nie zrobisz, musiałbyś mieć switcha PoE, PoE IN też jest pasywny, więc potrzebny jest jeszcze dodatkowy zasilacz. Tym sposobem tracisz 2 porty ethernet, jedno na zasilanie, drugie na WAN.
Możesz spróbować podpiąć do PoE Out, ale to raczej nie zadziała.
Czy mógłbyś mi podpowiedzieć co robię nie tak? Mianowicie mam problem z przekierowaniem portów na firewallu, próbuję przekierować port 811 z urządzenia z LANu na dostęp z zewnątrz?
Ewidentnie jakaś reguła blokuje przekierowanie na firewallu, bo jak wyłączę wszystkie reguły w firewallu to przekierowanie portu działa. Próbowałem dodać odpowiednią regułę w firewallu ale chyba coś robię nie tak, oto odpowiedni fragment configu:
[Marek@MikroTik] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Blokowanie zapytan DNS z Internetu.
chain=input action=drop protocol=udp in-interface=pppoe-WAN dst-port=53
log=no log-prefix=""
1 ;;; Zezwolenie na ruch z polaczen nawiazanych i pozwiazanych.
chain=input action=accept connection-state=established,related
in-interface=pppoe-WAN log=no log-prefix=""
2 chain=forward action=accept protocol=tcp src-address=192.168.1.7
dst-address=185.85.85.85 out-interface=pppoe-WAN src-port=811
dst-port=811 log=no log-prefix=""
3 ;;; Blokowanie uszkodzonych pakietow.
chain=input action=drop connection-state=invalid in-interface=pppoe-WAN
log=no log-prefix=""
4 ;;; Blokowanie pakietow nie pasujacych do reugl wyzej.
chain=input action=drop in-interface=pppoe-WAN log=no log-prefix=""
5 ;;; Zezwolenie na ruch z polaczen nawiazanych i powiazanych nie kierowan>
do MT.
chain=forward action=accept connection-state=established,related
in-interface=pppoe-WAN log=no log-prefix=""
6 ;;; Blokowanie uszkodzonych pakietow.
chain=forward action=drop connection-state=invalid
in-interface=pppoe-WAN log=no log-prefix=""
7 ;;; Blokowanie pakietow nie pasujacych do regul wyzej.
chain=forward action=drop in-interface=pppoe-WAN log=no log-prefix=""
[Marek@MikroTik] > /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=192.168.1.0/24
out-interface=pppoe-WAN log=no log-prefix=""
1 chain=dstnat action=dst-nat to-addresses=192.168.1.7 to-ports=811
protocol=tcp dst-address=185.85.85.85 dst-port=811 log=no
log-prefix=""
Co robię nie tak? Jak będę wiedział gdzie jest błąd z jednym to z pozostałymi portami sobie poradzę.
Dziękuję za pomoc wszystko działa, mam jeszcze jedną zagadkę. Potrzebuję dopuścić tracert na MT z zewnątrz i nie wiem jak, ping działa a traceroute nie. Przesyłam mój obecny firewall i od razu taka prośba. Nie krytykujcie, ja wiem, że dopuszczenie dostępu do MT z sieci to zła - baardzo zła praktyka, ale jest to tymczasowe, zgłosiłem swojemu ISP kilka problemów i poprosił mnie, żeby mógł poobserwować ruch na sieci u mnie, jak tylko testy zakończy to te wpisy znikną albo przynajmniej zostaną ograniczone do konkretnych adresów IP.
/ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Blokowanie zapytan DNS z Internetu.
chain=input action=drop protocol=udp in-interface=pppoe-WAN dst-port=53 log=no log-prefix=""
1 ;;; Zezwolenie na ruch z polaczen nawiazanych i pozwiazanych.
chain=input action=accept connection-state=established,related in-interface=pppoe-WAN log=no log-prefix=""
2 ;;; Blokowanie uszkodzonych pakietow.
chain=input action=drop connection-state=invalid in-interface=pppoe-WAN log=no log-prefix=""
3 ;;; dozwolenie ICMP
chain=input action=accept protocol=icmp in-interface=pppoe-WAN log=no log-prefix=""
4 ;;; Dostep do WinBox z WANu
chain=input action=accept protocol=tcp dst-port=10091 log=no log-prefix=""
5 ;;; Dostep do www Mikrotika z WANu
chain=input action=accept protocol=tcp dst-port=1008 log=no log-prefix=""
6 ;;; Dostep do SSH mikrotika z WANu
chain=input action=accept protocol=tcp dst-port=10222 log=no log-prefix=""
7 ;;; Blokowanie pakietow nie pasujacych do reugl wyzej.
chain=input action=drop in-interface=pppoe-WAN log=no log-prefix=""
8 chain=forward action=accept connection-state=new protocol=tcp in-interface=pppoe-WAN dst-port=811 log=no log-prefix=""
9 chain=forward action=accept connection-state=new protocol=tcp in-interface=pppoe-WAN dst-port=5000 log=no log-prefix=""
10 chain=forward action=accept connection-state=new protocol=tcp in-interface=pppoe-WAN dst-port=5001 log=no log-prefix=""
11 chain=forward action=accept connection-state=new protocol=tcp in-interface=pppoe-WAN dst-port=8001 log=no log-prefix=""
12 chain=forward action=accept connection-state=new protocol=tcp in-interface=pppoe-WAN dst-port=8002 log=no log-prefix=""
13 ;;; Zezwolenie na ruch z polaczen nawiazanych i powiazanych nie kierowanych do MT.
chain=forward action=accept connection-state=established,related in-interface=pppoe-WAN log=no log-prefix=""
14 ;;; Blokowanie uszkodzonych pakietow.
chain=forward action=drop connection-state=invalid in-interface=pppoe-WAN log=no log-prefix=""
15 ;;; Blokowanie pakietow nie pasujacych do regul wyzej.
chain=forward action=drop in-interface=pppoe-WAN log=no log-prefix=""
Jeśli hosty (routery) po drodze do Twojego IP nie odpowiadają, to znaczy, że zostały tak skonfigurowane, aby odrzucać pakiety ICMP. Nie masz na to wpływu.
Nie zrozumiałeś - puszczam tracert na mój IP przydzielony przez ISP z zewnątrz sieci, np. z backupowego łącza i pakiety urywają się na moim hoscie, jak wyłącze cały firewall w MT mam trace complete, więc ewidentnie coś u mnie blokuje.
Wszystkie reguly zezwalajace musisz umieszczać przed regułą nr 1 (dla łańcucha input, dla łańcucha forward przed 13), o czym pisałem w innym wątku. Edytuj regułę 3, piszę z pamięci, więc mogę coś poknocić.
Jeśli nie wiesz o czym piszesz, to lepiej nie pisz nic.
Od kiedy możliwość pingowania to zła praktyka? Trzeb to zrobić rozsądnie. Chyba że masz na myśli Winbox, to faktycznie mało rozsądne, najlepiej zmienić porty usług, a przynajmniej filtrować po IP, a WWW, API, FTP i Telnet wyłączyć, zostaw tylko Winbox i SSH.
/ip firewall access-list
add name=Allow_MT_Access address=x.x.x.x
/ip firewall filter
print
set 4 src-address-list=Allow_MT_Access
set 5 src-address-list=Allow_MT_Access
Set 6 src-address-list=Allow_MT_Access
Warto tez w ip/services określić dozwolone adresy IP. Zmień port SSH, bo przydadzą Ci się te reguly. Po kilku minitach zobaczysz ile syfu się zbiera
No i niestety dalej mam problem z tracert @roobal odezwij się do mnie na priv jeśli możesz i chcesz podam Ci IPka i nawet dam na porządne pi*** coca cole za pomoc w konfiguracji firewalla porządnie
P.S porty oczywiście pozmieniane co widać w regułkach. Mój aktualny firewall wygląda tak:
0 ;;; Blokowanie zapytan DNS z Internetu.
chain=input action=drop protocol=udp in-interface=pppoe-WAN dst-port=53
log=no log-prefix=""
1 ;;; Zezwolenie na ruch z polaczen nawiazanych i pozwiazanych.
chain=input action=accept connection-state=established,related
in-interface=pppoe-WAN log=no log-prefix=""
2 ;;; Zezwolenie ICMP
chain=input action=accept protocol=icmp in-interface=pppoe-WAN
limit=5,5:packet log=no log-prefix=""
3 ;;; Blokowanie uszkodzonych pakietow.
chain=input action=drop connection-state=invalid in-interface=pppoe-WAN
log=no log-prefix=""
4 ;;; Dostep do WinBox z WANu
chain=input action=accept protocol=tcp dst-port=10091 log=no
log-prefix=""
5 ;;; Dostep do www Mikrotika z WANu
chain=input action=accept protocol=tcp dst-port=1008 log=no log-prefix=""
6 ;;; Dostep do SSH mikrotika z WANu
chain=input action=accept protocol=tcp dst-port=10222 log=no
log-prefix=""
7 ;;; Blokowanie pakietow nie pasujacych do reugl wyzej.
chain=input action=drop in-interface=pppoe-WAN log=no log-prefix=""
8 chain=forward action=accept connection-state=new protocol=tcp
in-interface=pppoe-WAN dst-port=811 log=no log-prefix=""
9 chain=forward action=accept connection-state=new protocol=tcp
in-interface=pppoe-WAN dst-port=5000 log=no log-prefix=""
10 chain=forward action=accept connection-state=new protocol=tcp
in-interface=pppoe-WAN dst-port=5001 log=no log-prefix=""
11 chain=forward action=accept connection-state=new protocol=tcp
in-interface=pppoe-WAN dst-port=8001 log=no log-prefix=""
12 chain=forward action=accept connection-state=new protocol=tcp
in-interface=pppoe-WAN dst-port=8002 log=no log-prefix=""
13 ;;; Zezwolenie na ruch z polaczen nawiazanych i powiazanych nie kierowanyc>
o MT.
chain=forward action=accept connection-state=established,related
in-interface=pppoe-WAN log=no log-prefix=""
14 ;;; Blokowanie uszkodzonych pakietow.
chain=forward action=drop connection-state=invalid in-interface=pppoe-WAN
log=no log-prefix=""
15 ;;; Blokowanie pakietow nie pasujacych do regul wyzej.
chain=forward action=drop in-interface=pppoe-WAN log=no log-prefix=""
Generalnie chciałbym publicznie wystawić porty 811,8001,8002,5001 i może 443 ale może jeszcze to ostatnie przemyślę, póki co potrzebuję też mieć możliwość spingowania mnie z zewnątrz i puszcenia tracert do mnie, na tą chwilę ping przechodzi, tracert nie chyba, że wyłączę regułę 15
Dlaczego chcesz wyłączać regułę 15? Tracert ma iść do Mietka?
Przypomnę, reguły input zezwalajace na dostęp do Mietka muszą być przed regułą zezwalajacą na połączenia nawiazane.
Zrobiłem trace route do jednego ze swoich MT, który ma włączone pingowanie na FW i to wystarczy. Trace route wykorzystuje ping, przy czym wysyła w jednym czasie 3 pakiety eche request, z tego powodu niektóre routery/serwery odrzucają takie pakiety.
RouterOS to Linux, firewall to filtr pakietow Linuksa. Konfiguruje się prawie identycznie jak iptables.
Z moim czasem ostatnio kiepsko, więc nie wiem czy dam radę Ci to ogarnąć.
Oczywiście, że nie chcę wyłączać reguły 15 wyłączyłem na sekundę, żeby sprawdzić co blokuje i tak - tracert ma iść do MT a nie z niego… potrzebne mi to tylko na jakiś czas, żeby analizować trasy z narzędzi typu looking-glass. Stan na chwilę obecną wygląda tak, że ping do mt idzie OK, natomiast tracert nie no chyba, że wyłączę regułę 15 co oczywiście na dłuższą metę jest nie do przyjęcia. Z niego idzie zarówno ping jak i tracert - oczywiście tam gdzie serwery na to pozwalają.
za pomoc w konfiguracji firewalla porządnie