Mikrotik

Martin Záruba swz na volny.cz
Úterý Červen 20 14:58:27 CEST 2023 

Dík, už to funguje. Samozřejmě dělaly to zápisy v IP - Firewall. Pokud 
jsem to správně pochopil, mohl za to zápis

add action=drop chain=input comment="defconf: drop all not coming from 
LAN" \
     in-interface-list=!LAN

Ještě k té aktualizaci: stačí pouze v System Autoupgrade zvolit Download 
all? Vím, že je to asi jedno, ale u tohoto Mikrotiku nemohu moc pokazit 
a rád bych si na něm vyzkoušel víc věcí.

Třeba: Pokud to dobře chápu, tak všechny porty, které jsou v Bridge se 
chovají tak, že co se objeví na jednom je přeneseno na ostatní. Takže se 
chová jako HUB. Dalo by se ho naučit, aby se choval jako SWITCH, tedy 
aby komunikace běhala jen mezi porty, které chtějí komunikovat a na 
ostatní porty nešly pakety, které se jich netýkaji?

Martin Záruba

Dne 20.6.2023 v 14:29 Tomáš Koželuh napsal(a):
>
> Chce to smazat úplně vše z IP – DHCP Server a IP – Firewall. Pak by to 
> mělo fungovat. Jenom se na ten Mikrotik nepůjde dostat z jiné sítě než 
> 192.168.15.0/24, pokud by to vadilo, pak je v IP – Router potřeba 
> přidat 0.0.0.0/0 a jako bránu nastavit 192.168.15.1.
>
> A taky bych doporučil aktualizaci firmware minimálně na 6.49, ale u 
> tak jednoduché konfigurace nebude problém ani s nejnovější 7.10.
>
> *From:* Hw-list <hw-list-bounces na list.hw.cz> *On Behalf Of *Martin Záruba
> *Sent:* Tuesday, June 20, 2023 2:11 PM
> *To:* hw-list na list.hw.cz
> *Subject:* Re: Mikrotik
>
> Dík. Posílám:
>
> Chci od toho, aby přijímal z hlavního routeru přes WiFi a převáděl to 
> na jeho 4 ethernet porty. Žádný nat. A to funguje. Asi tam je něco 
> zbytečně navíc, ale raději jsem do toho šťoural co nejmíň.
>
> Moc z toho protokolu chytrý nejsem, snažil jsem se třeba zakázat DHCP 
> server, protože se používá ten z hlavního Mikrotiku, ale to, že je 
> zakázaný tam nevidím.
>
> # jun/19/2023 13:24:47 by RouterOS 6.43.12
> # software id = FEU4-6SFZ
> #
> # model = RouterBOARD 941-2nD
> # serial number = 661606017F4E
> /interface bridge
> add admin-mac=6C:3B:6B:C3:A9:75 auto-mac=no comment=defconf name=bridge
> /interface list
> add comment=defconf name=WAN
> add comment=defconf name=LAN
> /interface wireless security-profiles
> set [ find default=yes ] supplicant-identity=MikroTik
> add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=Ekovy \
>     supplicant-identity="" wpa-pre-shared-key=xxxx wpa2-pre-shared-key=\
>     xxxx
> /interface wireless
> set [ find default-name=wlan1 ] antenna-gain=10 band=2ghz-b/g/n \
>     channel-width=20/40mhz-XX disabled=no distance=indoors 
> frequency=auto \
>     installation=indoor mode=station-bridge name="P\F8ipojen\ED k ekovy" \
>     security-profile=Ekovy ssid=ekovy wireless-protocol=802.11
> /ip pool
> add name=default-dhcp ranges=192.168.88.10-192.168.88.254
> /ip dhcp-server
> add address-pool=default-dhcp interface=bridge name=defconf
> /interface bridge port
> add bridge=bridge comment=defconf interface=ether2
> add bridge=bridge comment=defconf interface=ether3
> add bridge=bridge comment=defconf interface=ether4
> add bridge=bridge comment=defconf interface="P\F8ipojen\ED k ekovy"
> add bridge=bridge interface=ether1
> /ip neighbor discovery-settings
> set discover-interface-list=LAN
> /interface list member
> add interface="P\F8ipojen\ED k ekovy" list=WAN
> add interface=ether1 list=LAN
> add interface=ether2 list=LAN
> add interface=ether3 list=LAN
> add interface=ether4 list=LAN
> /ip address
> add address=192.168.15.8/24 interface=bridge network=192.168.15.0
> /ip dhcp-server network
> add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
> /ip dns
> set allow-remote-requests=yes
> /ip dns static
> add address=192.168.15.7 name=router.lan
> /ip firewall filter
> add action=accept chain=input comment=\
>     "defconf: accept established,related,untracked" connection-state=\
>     established,related,untracked
> add action=drop chain=input comment="defconf: drop invalid" 
> connection-state=\
>     invalid
> add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
> add action=drop chain=input comment="defconf: drop all not coming from 
> LAN" \
>     in-interface-list=!LAN
> add action=accept chain=forward comment="defconf: accept in ipsec 
> policy" \
>     ipsec-policy=in,ipsec
> add action=accept chain=forward comment="defconf: accept out ipsec 
> policy" \
>     ipsec-policy=out,ipsec
> add action=fasttrack-connection chain=forward comment="defconf: 
> fasttrack" \
>     connection-state=established,related
> add action=accept chain=forward comment=\
>     "defconf: accept established,related, untracked" connection-state=\
>     established,related,untracked
> add action=drop chain=forward comment="defconf: drop invalid" \
>     connection-state=invalid
> add action=drop chain=forward comment=\
>     "defconf:  drop all from WAN not DSTNATed" 
> connection-nat-state=!dstnat \
>     connection-state=new in-interface-list=WAN
> /ip firewall nat
> add action=masquerade chain=srcnat comment="defconf: masquerade" 
> disabled=yes \
>     ipsec-policy=out,none out-interface-list=WAN
> /ip route
> add distance=1 gateway=192.168.15.1
> /system clock
> set time-zone-name=Europe/Prague
> /system identity
> set name=ekovy
> /tool mac-server
> set allowed-interface-list=LAN
> /tool mac-server mac-winbox
> set allowed-interface-list=LAN
>
> Martin Záruba
>
> Dne 20.6.2023 v 13:48 Tomáš Koželuh napsal(a):
>
>     Důvodů může být hodně, předně bych překontroloval správnost zápisu té IP, má tam být něco jako 192.168.100.2/24 (pokud tam nebude ta 24, nebude samotná IP fungovat, to /24 znamená maska sítě 255.255.255.0), druhý důvod může být, že obvykle první ethernet je brán jako WAN a aplikují se na něho pravidla firewallu a to dokonce i na dvouportových AP, kdy ether 1 je PoE In. Další možnost je, že je tam nějaký konflikt IP nebo daný port není v bridge, všechny porty, které mají být ve stejné síti musí být v bridge a pokud je tam více bridge třeba z výchozí konfigurace, je třeba si ověřit, že všechny porty jsou v tom samém bridge. Zkuste spustit New Terminal a zadejte export file=nastaveni a v záložce Files si ten soubor lokálně uložte a zkuste sem dát obsah toho souboru. Jenom doporučuju odmazat hesla a případně veřejné IP. Pak bude vidět, kde je chyba.
>
>
> _______________________________________________
> HW-list mailing list  -  sponsored bywww.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20230620/5046f84d/attachment-0001.htm>

Další informace o konferenci Hw-list