aga, mis seal siis konfitud on, et ta paanikasse läheb kui BPDU paketti näeb?
Spoiler
spanning-tree bpduguard enable
Nagu BPDU paketti näeb, läheb port err-disabledi'ks.
Põhjus väga lihtne, kliendid topivad võrku igasugu põnevaid seadmeid, milledest osad ka spanning-treed räägivad ja tänu sellele võrgu topoloogia ära solkida võivad. _________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
EDIT:
Eemaldasin teise silla ja praegune conf on selline nagu attachmentitel.
Panin Telia muundurist tuleva kaabli eth01 porti, ruuteri enda seadistus oli quickconfigis WISP AP
Sain ka mingi liikluse vlan4 peale, kuid telekapilti ette ei tulnud.
Interface aknas vlan1.4 pane delete või remove. Seda ei ole vaja.
Independent learningu linnukese võid ka maha võtta switchi all.
Restart ruuterile ja digiboxile.
Tänud näpunäidete eest.
Interface aknas eemaldasin vlan1.4
Independent learning linnuke maas.
Interfaces all enam ei näita ka eelnevalt olnud liiklust 7.6mbit.
Teen midagi valesti või on puudu mingi firewalli konf?
Digibox väidab jätkuvalt, et Telia-Tvl puudub ühendus internetiga.
EDIT:
Eemaldasin teise silla ja praegune conf on selline nagu attachmentitel.
Panin Telia muundurist tuleva kaabli eth01 porti, ruuteri enda seadistus oli quickconfigis WISP AP
Sain ka mingi liikluse vlan4 peale, kuid telekapilti ette ei tulnud.
Interface aknas vlan1.4 pane delete või remove. Seda ei ole vaja.
Independent learningu linnukese võid ka maha võtta switchi all.
Restart ruuterile ja digiboxile.
Tänud näpunäidete eest.
Interface aknas eemaldasin vlan1.4
Independent learning linnuke maas.
Interfaces all enam ei näita ka eelnevalt olnud liiklust 7.6mbit.
Teen midagi valesti või on puudu mingi firewalli konf?
Digibox väidab jätkuvalt, et Telia-Tvl puudub ühendus internetiga.
Kas etherneti pesadest 4 ja 5 internet on olemas?
Mis IP saad kui pistad oma arvuti etherneti auku 2 või 3.
Huvitav kas Telioni mehed ikka teavad, et kui mingi idioot lükkab nüüd 2 porti kokku siis on kogu switch maas? Ja mitte ainult switch vaid päris suur osa võrgust.
Või topib lollswitchi sinna sappa, millel on 2 porti kaabliga kokku lükatud...
Aga noh, Cisco rõõmud.
Kahtlane tunne, et BPDU guard lülitati sisse selle pärast, et juhul kui 2 klienti purjus peaga oma pordid kokku ühendavad. Samas jäi neil kontrollimata, et mis reaalselt juhtub kui 2 portfast porti kaabliga või lollswitchiga kokku lükata.
Jah, tarkswitchiga tuleb BPDU pakett ja kukub perseli. Aga kui BPDU paketti ei tule vaid on konkreetne short loop, siis seda err-disable'ks ei visata.
Aga nüüd ma siis tean, miks kaablitelia + bridge interneti otsas on korrusmaja switchi pikali visanud.
Ja osad "targad" switchid selle kaablitelia otsas on lolli mänginud.
Veere T, Mida sa nüüd täpsemalt teha tahad? Hetkel kerge pudru/kapsad...
1. Kas digitv eraldada switchi kivi peal? Kõige efektiivsem aga sa ei näe ega saa kuidagi lugeda ega monitoorida neid pakette, sest need ruuteri prosele ei jõua. Samas ei kasuta sa ruuteri proset....
2. Kas digitv eraldada ruuteri prose peal? Saad umbes <10 protsenti prose kasutust HD kanali korral. Samas on liiklus ilusti interface lehel näha ja saad selle signaali mingit tunnelit kasutades kasvõi usbekistani saata.
3. Teed igmp proxy. Aga sellega on järelvaatamine raskendatud. Nõuab tulemüüri reegleid. Prose kasutus ka kõige suurem.
Vali neist üks ja saad konfi. Hetkel on seda poolpaistes konfi keeruline lahendada sest sul on kõige kolme hübriid.
Kui sa tahad switchi peal seda teha, siis sa oled üsna vales kohas. Õige on minna : switch/port, sealt vali millisesse porti sa paned digiboxi ja pane default vlan ID: 4
Midagi muud pole vaja teha. Aga kuna sa kuskil jumala vales kohas panid vlanID 4 siis ma alustaks puhtaks konfist, et mingit jäänukit ei jääks.
Info ja tabel selle kohta: https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#VLAN_Forwarding
Pordist3 saan ip:
169.254.40.79
mask 255.255.0.0
Interneti pol
WLAN annab:
192.168.88.252
netmask 255.255.255.0
Internet töötab
Port4:
192.168.88.251
mask; 255.255.255.0
GW 192.168.88.1
Internet töötab
Ok siis miskit on valesti. Pordist 3 peaksid saama midagi 10.*.*.*. Ma just proovisin ise ja saan oma arvutile 10.241.88.203. Mul endal on konfitud porti 4.
Ega Bridge all midagi vlan lehele ei ole konfitud?
Hetke peaülesanne on panna tööle Mikrotik RB951Ui-2HnD inteno routeri asemel.
Valitud sai see mudel, kuna tundus pakkuvat piisavat prose jõudlust ja mälumahtu.
Kodus 2 digiboxi, paar wifiga läpakat, mõned telefonid ja kaabliga PC.
Üritangi aru saada kus see juala vale koht on, kus ma vlanID 4 panin
EDIT:
Uue confi sammud:
Restore settings to default
Wifi conf
Admin pw
/interface bridge set [ find name=bridge ] protocol-mode=none
set ether1 vlan-mode=fallback
set ether2 default-vlan-id=4 vlan-header=always-strip vlan-mode=secure
set ether3 default-vlan-id=4 vlan-header=always-strip vlan-mode=secure
reboot
EDIT2:
Selle configa digibox ei saa ühendust ei pordis 2 ega 3.
Linuxi läpakas ei saanud samuti IPd, samas win8.1 masin sai eelpool kirjeldatud ip:169.254.40.79
Bridge all pole VLAN lehel midagi confitud.
Kui sa plaanid switchi all oma konfi teha, siis jäta interface'id ja Bridged rahule.
/interface bridge set [ find name=bridge ] protocol-mode=none
set ether1 vlan-mode=fallback
set ether2 default-vlan-id=4 vlan-header=always-strip vlan-mode=secure
set ether3 default-vlan-id=4 vlan-header=always-strip vlan-mode=secure
On kahtlane teema. Sa paned 2 täiesti erinevat lähenemist kokku. Kui sa siin torgid, siis Switchi all sa ei tohi midagi torkida ja vastupidi.
Igastahes, kõige lihtsam. Alusta nullist, tee nii:
1. Interface Vlan'i alt lisa üks vlan, interface on see, kus sul internet sisse tuleb, vlanid:4 Minul on see:
Kui sa plaanid switchi all oma konfi teha, siis jäta interface'id ja Bridged rahule.
/interface bridge set [ find name=bridge ] protocol-mode=none
set ether1 vlan-mode=fallback
set ether2 default-vlan-id=4 vlan-header=always-strip vlan-mode=secure
set ether3 default-vlan-id=4 vlan-header=always-strip vlan-mode=secure
On kahtlane teema. Sa paned 2 täiesti erinevat lähenemist kokku. Kui sa siin torgid, siis Switchi all sa ei tohi midagi torkida ja vastupidi.
Ainuke muudatus, mis bridge all tehakse on seesama protocol-mode=none. Selle tegin UI peal.
Ülejäänud liigutused olid pärit siit:
http://pezz.tkwcy.ee/mikrotik.txt
# multiple TeliaTVs, incoming: ether1, TeliaTVs: ether2, ether3
/interface ethernet switch port
set ether1 vlan-mode=fallback
set ether2 default-vlan-id=4 vlan-header=always-strip vlan-mode=secure
set ether3 default-vlan-id=4 vlan-header=always-strip vlan-mode=secure
/interface ethernet switch vlan add ports=ether1,ether2,ether3 switch=switch1 vlan-id=4
1. Interface Vlan'i alt lisa üks vlan, interface on see, kus sul internet sisse tuleb, vlanid:4 Minul on see:
add comment=dTV interface=ether1 name=eth1.4 vlan-id=4
Lisasin, tulemus:
Flags: X - disabled, R - running
# NAME MTU ARP VLAN-ID INTERFACE
0 R ;;; dTV
eth1.4 1500 enabled 4 ether1
2. Tekitan teise silla:
Flags: X - disabled, R - running
0 R name="DTVBr" mtu=auto actual-mtu=1500 l2mtu=65535 arp=enabled
arp-timeout=auto mac-address=02:89:0A:EF:38:4B protocol-mode=none
fast-forward=no igmp-snooping=no auto-mac=yes ageing-time=5m
vlan-filtering=no dhcp-snooping=no
reboot.
Paistab, et esimest korda sain ma pildi ette, kuid väidab, et teenuse töös on häireid. Nüüd on küsimus selles, et kas silla lisamine muutis midagi või muutis selle vlani lisamine :).
Etv töötab, puldi menüüd mitte.
EDIT:
Eemaldasin swtichi alt seadistuse ja paistab, et bridgega hakkas asi tööle.
Toimivad foxplay, hbo, erinevad kanalid ja ka salvestuste vaatamine.
Suured tänud Kasutaja Kozlorile ja ThedEviL nõuannete eest :)
Esialgu sõidan selle configa ja hiljem vaatan edasi.
Hetke peaülesanne on panna tööle Mikrotik RB951Ui-2HnD inteno routeri asemel.
Valitud sai see mudel, kuna tundus pakkuvat piisavat prose jõudlust ja mälumahtu.
Kodus 2 digiboxi, paar wifiga läpakat, mõned telefonid ja kaabliga PC.
Üritangi aru saada kus see juala vale koht on, kus ma vlanID 4 panin
EDIT:
Uue confi sammud:
Restore settings to default
Wifi conf
Admin pw
/interface bridge set [ find name=bridge ] protocol-mode=none
set ether1 vlan-mode=fallback
set ether2 default-vlan-id=4 vlan-header=always-strip vlan-mode=secure
set ether3 default-vlan-id=4 vlan-header=always-strip vlan-mode=secure
reboot
EDIT2:
Selle configa digibox ei saa ühendust ei pordis 2 ega 3.
Linuxi läpakas ei saanud samuti IPd, samas win8.1 masin sai eelpool kirjeldatud ip:169.254.40.79
Bridge all pole VLAN lehel midagi confitud.
Ok tegin om ruuterile reset configuratioon. Konfimiseks kasutasin Winboxi.
Huvitav kas Telioni mehed ikka teavad, et kui mingi idioot lükkab nüüd 2 porti kokku siis on kogu switch maas? Ja mitte ainult switch vaid päris suur osa võrgust.
Või topib lollswitchi sinna sappa, millel on 2 porti kaabliga kokku lükatud...
Aga noh, Cisco rõõmud.
Telia lihtsalt on julmem kui mõni teine. Alati ei pea Guard sees olema, saab ka Filter kasutada, mis lihtsalt dropib sul BPDU paketi ära ja laseb normaaset liiklust rõõmuga edasi ilma igasuguse katkestuseta
Kuid kui sa kasutad filtrit, siis juhtubki see, mida sa järgmisena kirjeldad. Kui panna Telia kahte porti oma switch, millel kasutad Filtrit elik sööd sisse tuleva BPDU ära, siis Cisco oma teises pordis ei näe enam ei sinu ega ka iseenda BDPU'd ja lendab loopi.
Portide kokku laskmise vastu on ciscol keep-alive, saadetakse iga nt 10 sek tagant + port-sekjuuriti broadcast-storm väärtused + veel loopguard + ruuteritest pärinenud down-when-looped (ei tea, kas see reaalselt ikkagi teeb midagi peale Apple arvutite portide disablemise)
Anyway kõige lollikindlam on Ciscos broadcast storm control üks kõik, millise konfi puhul ja ei ole seal Telias nii lollid midagi tööl, päris targad poisid on enamasti PS! Ma ise seal ei tööta, vahel ainult helistan virisemiseks.
Lisaks tuleb arvestada ka seda, et kogu võrk tehakse ikkagi peaarhitekti käe järgi, ülejäänud löövad kulpi ja teevad ära. Kui peaarhitekt muutub, siis muutub ka võrgureeglistik, nii lihtne see ongi, pole mingit demokraatiat vaid diktatuur. _________________ kindel on see et miski pole kindel
kuna mul siia pilli tuleb tikust sisse eraldatud pordist iptv siis kuidas lahendada asi siin?
et oleks õige
[quote="Bridge kohta hoiatussõnad. STP kinni!!![/quote]
Kas see kehtib ka üle vpn lahenduse? et seal need iptv bridged mis tehtud mõlemal pool otsas seal see kinni keerata?
Ja kas Fast forward peab olema sees või väljas?
Tänan! _________________
Pole otseselt digitv teema, aga interneti wild-wild-west vajab tähelepanu, seega osavatele Mikrotiku seadistajatele meeldetuletuseks:
1) Populaarsus ja pisut kergem võimalus asjatundmatusest seadet kehvasti konfida on viimase aasta jooksul võimaldanud hulgaliselt Mikrotiku seadmeid ära häkkida. Tulemuseks erinevad võimalused pahalastele krüptoraha kaevandada vms.
2) Default konfi tulemüürireeglid on turvalised, neid ei maksa maha kakkuda, kui ei tea, mida teed.
3) Uuenda oma ruuteri tarkvara: /system routerboard settings set auto-upgrade=yes ja /system package update install
4) Ära ava tulemüürist Winboxi ja veebiliidest avalikku internetti, seadista oma ruuterit kas sisevõrgust või VPN-i kaudu
5) Internetis pole ammu enam kõik kuld, mis hiilgab ja iga saadaolev Wifi ei pruugi olla heatahtlik Wifi, seega kasuta enda turvalisuse huvides võõrastes kohtades VPN-i.
Koduühendusele VPN-i seadistamine pole raketiteadus, turvalise (jajah, saab veel turvalisemalt) ja lihtsasti kasutatava L2TP/IPSec VPN-i, mis ei vaja Win10/macOS/iOS/Android peal lisatarkvara, saab mõne reaga:
# Let MikroTik create and manage public IPv4/IPv6 DNS record for your router (XXXXXXXXXX.sn.mynetname.net). Hostname is generated from serial number of your device. Also let device sync time from MT cloud.
/ip cloud set ddns-enabled=yes update-time=yes
# What is my dyndns hostname?
/ip cloud print
# You can have static name for your router in your domain: accuire the name value from /ip cloud and add CNAME XXXXXXXXXX.sn.mynetname.net record at your DNS hosting.
### Create L2TP/IPSec VPN server
# create IP pool for VPN
/ip pool add name=vpn-pool ranges=192.168.89.2-192.168.89.255
# profile for vpn, remote address from vpn pool
/ppp profile set [ find name=default-encryption ] local-address=192.168.89.1 remote-address=vpn-pool use-compression=yes use-encryption=required
# add user for vpn
/ppp secret add name=VpnUser password=VpnPassword profile=default-encryption
# start L2TP server
/interface l2tp-server server set authentication=mschap2 default-profile=default-encryption enabled=yes ipsec-secret=MySecret keepalive-timeout=10 max-mru=1460 max-mtu=1460 use-ipsec=yes
# after adding move these rules above the first drop rule
/ip firewall filter
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
# allow ssh, Winbox and webaGUI from VPN
/ip firewall filter add action=accept chain=input dst-port=22,8888,8291 log=yes log-prefix="VPN ADMIN" protocol=tcp src-address=192.168.89.0/24 comment="allow ssh,webadmin,winbox from VPN"
### end-VPN
## Some additional steps to add security: disable IP-services you do not need, change webGUI port, enable SSH and use stronger crypto.
### Configuration of IP services
# Disable IP services not needed today, maybe later
/ip service set api,api-ssl,ftp,telnet,www-ssl disabled=yes
# Enable web interface and move away from default port. By default visible only from intranet. Do not expose it directly to Internet, use VPN, if needed.
/ip service set port=8888 disabled=no www
# Enable SSH access and enable stronger crypto. By default visible only from intranet. Better do not expose it directly to Internet, use VPN, if needed.
/ip service set ssh disabled=no
/ip ssh set strong-crypto=yes
###
viimati muutis jaakjaak22 11.03.2019 01:09:47, muudetud 1 kord
Hoopis tuleks www disableda ja www-ssl'i kasutada selle asemel.
Muuseas ma kahtlustan, et su VPN'i konf ei tööta, kuna puudub VPN'i lubavad firewall input ruulid UDP 500,1701, 4500 ja ipsec-esp jaoks...
Mis kasu on VPN serverist, kui sinna ei õnnestu connectida... _________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
Hoopis tuleks www disableda ja www-ssl'i kasutada selle asemel.
Muuseas ma kahtlustan, et su VPN'i konf ei tööta, kuna puudub VPN'i lubavad firewall input ruulid UDP 500,1701, 4500 ja ipsec-esp jaoks...
Mis kasu on VPN serverist, kui sinna ei õnnestu connectida...
Jah, loomulikult, tulemüürireeglid jäid puudu, aga lisasin juurde. www-ssl kasutuselevõtt tähendab eelnevat sertifikaadi genereerimist/importimist, mis omakorda eeldab korrektset tegutsemist, sest self-signed sert ei anna olulist turvet juurde. Mõte jääb samaks: uuenda tarkvara, ära lehvita adminporte maailmale, keela ruuteris mittevajalikud teenused ja kasuta tihedamini VPN-i. Uuemad koduruuterid teevad riistvaralist krüptot, nii et olulist koormust ei lisandu.
Kohtvõrgus ruuteri seadistamiseks mõeldud parooli pealt kuulamise vastu soovitaks ikkagi kasutada SSL-i.
Mismoodi sa seda pealtkuulamist täpsemalt ette kujutad, kui wifi on krüptitud ja ethernet switchitud?
Lisaks krüptimisele on HTTPS-i teine ja olulisemgi point veebiteenuste turvamisel usalduse kontroll, kas teisel pool vastab ikka see server, keda sa arvad, või hoopis mõnes ruuteris DNS-i solkimisega ette visatud peibutuspart. Seepärast, antud juhtumil HTTPS otseselt juurde ei anna, kui just ei hangi endale korralikku serti, seadista ahelaid jne. Küll aga olenevalt turbeastmest võib olla mõistlik VPN-i puhul kasutada kasutajatunnuse ja parooli asemel sertifikaadiga autentimist.
Kohtvõrgus ruuteri seadistamiseks mõeldud parooli pealt kuulamise vastu soovitaks ikkagi kasutada SSL-i.
Mismoodi sa seda pealtkuulamist täpsemalt ette kujutad, kui wifi on krüptitud ja ethernet switchitud?
Lisaks krüptimisele on HTTPS-i teine ja olulisemgi point veebiteenuste turvamisel usalduse kontroll, kas teisel pool vastab ikka see server, keda sa arvad, või hoopis mõnes ruuteris DNS-i solkimisega ette visatud peibutuspart. Seepärast, antud juhtumil HTTPS otseselt juurde ei anna, kui just ei hangi endale korralikku serti, seadista ahelaid jne. Küll aga olenevalt turbeastmest võib olla mõistlik VPN-i puhul kasutada kasutajatunnuse ja parooli asemel sertifikaadiga autentimist.
Paned tiku sisse oma SSL proxy käima ja replitseerid legaalselt kohtvõrku sertifikaadid laiali, switchikivi lööd hubiks, wifi pakettidest arvutad võtme välja ja naudid plain texti. Lihtne ju.
Üldiselt müürige ära oma masinad ja leidke mingid jumphostid staatiliste IP'dega, mille kaudu confida, kui rämedalt paranoiline olla. Winboxi turvaauk lisas mu nimekirja päris palju mikrotike, mis endiselt on upgrademata, mille peal oma virtukasruutereid jooksutada.
NB! MÜÜRIGE!!! Mitte ei pane ip service allowed hosts alla miski IP kirja ja ei arva, et nüüd ongi kõik äge. _________________ kindel on see et miski pole kindel
Kes müürimisest miskit ei jaga need peaksid siis vastava müürikarbikese soetama, ilmselt igaastase litsentsiga?
Kodukasutajale müüakse analoogseid https://www.f-secure.com/en/web/home_global/sense ja selle analooge. Kes küberturvaliseusega kursis pole niikuinii ise seda oskust kusagilt välja ei võlu. _________________ " Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine."
Tiku enda default müür on hea küll tegelt. Lihtsalt ei tasu seda minu kombel kohe kustutama hakata eriti arvestades, et nüüd pole vaja seda IGMP-Proxy jama tegema hakata vaid piisab kui bridge/switch maagiat teha. _________________ kindel on see et miski pole kindel
[admin@MikroTik] /interface ethernet switch port> print
Flags: I - invalid
# NAME SWITCH VLAN-MODE VLAN-HEADER DEFAULT-VLAN-ID
0 ether1 switch1 fallback leave-as-is auto
1 ether2 switch1 disabled leave-as-is auto
2 ether3 switch1 disabled leave-as-is auto
3 ether4 switch1 secure always-strip 4
4 ether5 switch1 disabled leave-as-is auto
5 switch1-cpu switch1 disabled leave-as-is auto
Kõik toimis hetkega.
Ma loodan, et sa neid vlan 0 sinna default-vlan-id ei pannud.
Tuleb sellisel viisil sealt ether4 pordist nii net kui tv või ainult tv?
Kui aint tv siis kuda siis nüüd moodne switchimisega conf välja näeb kui mõlemat vaja?
Samuti jääb telia juhendist mulje nagu tv seade saab ka eraldi interneti välivõrgu ip ning polegi siis natis enam või mis?
TV ei tööta sul nii kui nii enam. Digiboxiga pole sul netti vaja, võta Telia 10.x.x.x aadress vastu oma digiboxile ja naudi. _________________ kindel on see et miski pole kindel
>> Tuleb sellisel viisil sealt ether4 pordist nii net kui tv või ainult tv?
AgentDeus, tv all on siin mõeldud ikka digiboksi töötamiseks vajalikku infot.
Ühesõnaga et kas saab siis lihtsalt MT all nuti ja neti samast pordist tööle või ei? Nii nagu Inteno seda võimaldab.
Mul nt. jookseb elutuppa 1 kaabel mille otsas on pmst switch ja tolle taga digiboks, ressiiver, RPi meediaplayer ja TV.
10a tagasi maja ehitades tõesti ei tulnud selle peale et sinna mitu kaablit vedada. _________________ Experience is what you get when you don't get what you want.
Tegelikult ei taha mõelda jah, et kui midagi kodus ümber tõstad ruumi planeeringus siis kas teise seina võrgupesa annab ainult netti või ainult telerit.
Lihtsaim viis on ikka, et sellele ei peaks mõtlema, netikaabel seina ja tarbi mis teenust vaja. _________________ " Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine."
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.