Mikrotik

Tomáš Koželuh mr.death na ipq.cz
Úterý Červen 20 16:26:31 CEST 2023 

Ten Autoupgrade nejspíš nebude fungovat, musí se nastavit na nějaký server. Takže je potřeba stáhnout z webu Mikrotiku nový firmware pro správný typ CPU (Winbox ho píše hned nahoře v závorce), přes Files ho nahrát a Mikrotik restartovat. Ideální je pak ještě zvolit System - RouterBOARD a Upgrade a druhý restart.
Bridge se chová jako switch a to u spousty modelů včetně hw offload (provoz neběží přes CPU). Pro monitoring se to musí nastavit, ale taky to jde.

-----Original Message-----
From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Martin Záruba
Sent: Tuesday, June 20, 2023 2:58 PM
To: hw-list na list.hw.cz
Subject: Re: Mikrotik

Dík, už to funguje. Samozřejmě dělaly to zápisy v IP - Firewall. Pokud jsem to správně pochopil, mohl za to zápis 


add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN


Ještě k té aktualizaci: stačí pouze v System Autoupgrade zvolit Download all? Vím, že je to asi jedno, ale u tohoto Mikrotiku nemohu moc pokazit a rád bych si na něm vyzkoušel víc věcí.

Třeba: Pokud to dobře chápu, tak všechny porty, které jsou v Bridge se chovají tak, že co se objeví na jednom je přeneseno na ostatní. Takže se chová jako HUB. Dalo by se ho naučit, aby se choval jako SWITCH, tedy aby komunikace běhala jen mezi porty, které chtějí komunikovat a na ostatní porty nešly pakety, které se jich netýkaji?


Martin Záruba
Dne 20.6.2023 v 14:29 Tomáš Koželuh napsal(a):


	Chce to smazat úplně vše z IP – DHCP Server a IP – Firewall. Pak by to mělo fungovat. Jenom se na ten Mikrotik nepůjde dostat z jiné sítě než 192.168.15.0/24, pokud by to vadilo, pak je v IP – Router potřeba přidat 0.0.0.0/0 a jako bránu nastavit 192.168.15.1.

	A taky bych doporučil aktualizaci firmware minimálně na 6.49, ale u tak jednoduché konfigurace nebude problém ani s nejnovější 7.10.

	 

	From: Hw-list <hw-list-bounces na list.hw.cz> <mailto:hw-list-bounces na list.hw.cz>  On Behalf Of Martin Záruba
	Sent: Tuesday, June 20, 2023 2:11 PM
	To: hw-list na list.hw.cz <mailto:hw-list na list.hw.cz> 
	Subject: Re: Mikrotik

	 

	Dík. Posílám:

	Chci od toho, aby přijímal z hlavního routeru přes WiFi a převáděl to na jeho 4 ethernet porty. Žádný nat. A to funguje. Asi tam je něco zbytečně navíc, ale raději jsem do toho šťoural co nejmíň.

	Moc z toho protokolu chytrý nejsem, snažil jsem se třeba zakázat DHCP server, protože se používá ten z hlavního Mikrotiku, ale to, že je zakázaný tam nevidím.

	 

	# jun/19/2023 13:24:47 by RouterOS 6.43.12
	# software id = FEU4-6SFZ
	#
	# model = RouterBOARD 941-2nD
	# serial number = 661606017F4E
	/interface bridge
	add admin-mac=6C:3B:6B:C3:A9:75 auto-mac=no comment=defconf name=bridge
	/interface list
	add comment=defconf name=WAN
	add comment=defconf name=LAN
	/interface wireless security-profiles
	set [ find default=yes ] supplicant-identity=MikroTik
	add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=Ekovy \
	    supplicant-identity="" wpa-pre-shared-key=xxxx wpa2-pre-shared-key=\
	    xxxx
	/interface wireless
	set [ find default-name=wlan1 ] antenna-gain=10 band=2ghz-b/g/n \
	    channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto \
	    installation=indoor mode=station-bridge name="P\F8ipojen\ED k ekovy" \
	    security-profile=Ekovy ssid=ekovy wireless-protocol=802.11
	/ip pool
	add name=default-dhcp ranges=192.168.88.10-192.168.88.254
	/ip dhcp-server
	add address-pool=default-dhcp interface=bridge name=defconf
	/interface bridge port
	add bridge=bridge comment=defconf interface=ether2
	add bridge=bridge comment=defconf interface=ether3
	add bridge=bridge comment=defconf interface=ether4
	add bridge=bridge comment=defconf interface="P\F8ipojen\ED k ekovy"
	add bridge=bridge interface=ether1
	/ip neighbor discovery-settings
	set discover-interface-list=LAN
	/interface list member
	add interface="P\F8ipojen\ED k ekovy" list=WAN
	add interface=ether1 list=LAN
	add interface=ether2 list=LAN
	add interface=ether3 list=LAN
	add interface=ether4 list=LAN
	/ip address
	add address=192.168.15.8/24 interface=bridge network=192.168.15.0
	/ip dhcp-server network
	add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
	/ip dns
	set allow-remote-requests=yes
	/ip dns static
	add address=192.168.15.7 name=router.lan
	/ip firewall filter
	add action=accept chain=input comment=\
	    "defconf: accept established,related,untracked" connection-state=\
	    established,related,untracked
	add action=drop chain=input comment="defconf: drop invalid" connection-state=\
	    invalid
	add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
	add action=drop chain=input comment="defconf: drop all not coming from LAN" \
	    in-interface-list=!LAN
	add action=accept chain=forward comment="defconf: accept in ipsec policy" \
	    ipsec-policy=in,ipsec
	add action=accept chain=forward comment="defconf: accept out ipsec policy" \
	    ipsec-policy=out,ipsec
	add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
	    connection-state=established,related
	add action=accept chain=forward comment=\
	    "defconf: accept established,related, untracked" connection-state=\
	    established,related,untracked
	add action=drop chain=forward comment="defconf: drop invalid" \
	    connection-state=invalid
	add action=drop chain=forward comment=\
	    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
	    connection-state=new in-interface-list=WAN
	/ip firewall nat
	add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
	    ipsec-policy=out,none out-interface-list=WAN
	/ip route
	add distance=1 gateway=192.168.15.1
	/system clock
	set time-zone-name=Europe/Prague
	/system identity
	set name=ekovy
	/tool mac-server
	set allowed-interface-list=LAN
	/tool mac-server mac-winbox
	set allowed-interface-list=LAN

	Martin Záruba

	Dne 20.6.2023 v 13:48 Tomáš Koželuh napsal(a):

		Důvodů může být hodně, předně bych překontroloval správnost zápisu té IP, má tam být něco jako 192.168.100.2/24 (pokud tam nebude ta 24, nebude samotná IP fungovat, to /24 znamená maska sítě 255.255.255.0), druhý důvod může být, že obvykle první ethernet je brán jako WAN a aplikují se na něho pravidla firewallu a to dokonce i na dvouportových AP, kdy ether 1 je PoE In. Další možnost je, že je tam nějaký konflikt IP nebo daný port není v bridge, všechny porty, které mají být ve stejné síti musí být v bridge a pokud je tam více bridge třeba z výchozí konfigurace, je třeba si ověřit, že všechny porty jsou v tom samém bridge. Zkuste spustit New Terminal a zadejte export file=nastaveni a v záložce Files si ten soubor lokálně uložte a zkuste sem dát obsah toho souboru. Jenom doporučuju odmazat hesla a případně veřejné IP. Pak bude vidět, kde je chyba.
		 
		 


	 
	_______________________________________________
	HW-list mailing list  -  sponsored by www.HW.cz <http://www.HW.cz> 
	Hw-list na list.hw.cz <mailto:Hw-list na list.hw.cz> 
	http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list