[reints]

Kuidas sellest raipest lahti saada?
Kas panna 80 kinni üldse ?

Spoiler

[jaakjaak22]

Uuenda tarkvara ära, keela IP -> Services all üleliigsed ruuteri teenused ja kui veebiliidest ei taha tulemüürist välisvõrgu jaoks päris kinni panna, siis tõsta vähemalt mingisse muusse porti ning kui võimalik, siis piira IP-dega ära. Üldiselt on mõistlik ruuteri teenuseid välismaailma jaoks üldse mitte lahti hoida vaid tulemüürist kinni ja kasutada winboxi/veebiliidest sisevõrgust või konfida VPN ja läheneda läbi selle.

Praeguse häkkimislaine ohvriks sattumist näitab see, kui scheduleri alla on tekkinud 30 sekundi tagant käivitatav skript, mis tõmbab erinevatest serveritest faili mikrotik.php ja paneb Files alla. Kui see on juhtunud, siis on lahenduseks schedulerist script maha, Files alt fail maha, softiuuendus uusima peale ja Users all kõigil kasutajatel paroolid ära vahetada. Kasutatakse ära hiljutist kasutajaandmete lekkimise bugi, logitakse saadud andmetega ruuterisse ja pannakse see skript itirimisega ootele suuremateks tegudeks.

[martin3444]

Tere,

Ei sobi küll siia postitada sellist küsimust, kuid ehk oskab keegi tark aidata.

Nimelt panin tööle omal IPv6. Lihtsalt sellepärast, et ma saan.
Mikrotikuks on siis 951G-2HnD.

Andsin oma inteno ruuteri tagasi, kuid võtsin nende mac aadressi, et saada tööle IPv6.
Ja mul lihtsalt ei õnnestu seda IPv6 tööle saada teise mac aadressiga. Peab olema see sama inteno ruuteri mac mis mul oli.

Tagasisidet oodates,
Martin.

[jaakjaak22]

[ThedEviL]

[ander]

huvitava olukorra otsa põrkasin.

vahetasin ühes kohas vana mikrotiku veidi kangema karbi vastu ja tuvastasin, et esimesed paar minutit valatakse terve vlan4 (vist) multicasti täis ehk 100 megabiti jagu kütet. digitv pilti ette ei võtnud.

peale mõningast ootamist torm vaibus ja digiboksid läksid rõõmsaks.

oskab keegi kommenteerida?

objektil on korteritesse veetud cat5 ja keldris istub kogus catalyst switche.

huvitav ka detail, et kui silla peal oli (r)stp käima jäänud (defaultis on rstp peal), siis visati port kohe maha kui digitv sild üles läks.

ilmselt siis keldris istuvale siskule ei meeldi, kui kliendi poolt stpd räägitakse.

[Etz]

ander, keldris oleval catalystil on (kliendi pordil) BPDU guard peal, ehk siis kasulik oleks sinnapoole spanning-treed mitte rääkida.

[jaakjaak22]

[ander]

[martin3444]

[ander]

ipv6 käib ilma inteno maci prefixit kasutamata kenasti.

küll aga ei õnnestu prefix hintiga küsida meeldivat prefixit, kasvõi prooviks.

või ei peagi saama ja telia annab hinti alusel ainult siis, kui sul oli see hiljuti kasutusel või mingi perioodi kasutusel olnud?

[martin3444]

[anubis]

Upgradesin AC66U -> hAP AC2

Kõik Telia IPTV teenused toimivad probleemideta. Wifiga ei paista ka probleeme.
https://www.speedtest.net/my-result/d/a74bec2a-2077-4a9e-9ce8-4e30a8d61823

Huvitav karbike Selle rahaeest küll midagi paremat olemas ei ole.

[Etz]

martin3444, parem võta Hap ac2, isegi kui Wifit ei kasuta siis 4 tuuma on 4 tuuma...
Hinnaklass on sama aga mulle tundub ARM natuke asisem, kui see MIPS.

[jaakjaak22]

Üks sarnane teema MT foorumis: https://forum.mikrotik.com/viewtopic.php?f=3&p=681721
hAP AC2 salajane featuur on, et tegelikult on RAMi 240MB, mitte 128 nagu paber ütleb.

[martin3444]

Tervist. Olge te tänatud. Ostan teie soovituse järgi hap ac2. Aitäh!

[wolz]

Äkki keegi oskab arvata milles probleem võiks olla. Nimelt on mul Telia IPTV (Huawei GPON + Arrise digiboks) ja ruuteriks Mikrotik HEx S - confi juhendi võtsin siitsamas threadist eestpoolt. Internet ja IPTV pilt on olemas, aga heli ei ole. Kusjuures heli oli olemas peale ruuteri reseti ja uue confi tegemist, aga kui teleka kinni panin korraks, kadus IPTV heli jäädavalt. Mõtlesin, et ehk on telekas asi, aga peale ruuteri resetti oli heli olemas, seega kahtlane...
Erinevad HDMI pesad ja kaablid on katsetatud, ei aidanud. Teist telekat pole hetkel käepärast. Googlest ka abi ei leidnud.

hetkel conf selline:

Spoiler

/interface bridge add igmp-snooping=yes name=TV_bridge protocol-mode=none add admin-mac=<...> auto-mac=no comment=defconf name=bridge /interface vlan add interface=ether1 name=vlan1.4 vlan-id=4 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=TV_bridge comment=defconf interface=ether5 add bridge=bridge comment=defconf interface=sfp1 add bridge=TV_bridge interface=vlan1.4 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /ip address add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1 /ip dhcp-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 name=router.lan /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN /system clock set time-zone-name=Europe/Tallinn /system routerboard settings set silent-boot=no /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN

[Etz]

wolz, ma sügavalt kahtlen, et Mikrotik striimi dekrüpteerib, lahti pakib ja siis uuesti ilma helita uuesti kokku pakib, encodeb ja krüptib.

[wolz]

einoh, ma lihtsalt ei saa aru milles see viga olla võiks. Eks üritan mingi teise telekaga testida lähiajal. Telia Inteno ruuteriga on heli ka peale teleka kinni- ja käimapanekut olemas (10a vana Philipsi LCD telku).

[TGEgL]

Mul on see seadistus veidi lihtsam, mida tahaks käima saada, kui OP instruktsioonides.

Seadmeks on hEx, OS MikroTik RouterOS 6.42.7, mis on otsapidi Elioni ühenduse osas.

hEx ether4 küljest läheb kaabel ASUS LAN port 1 külge.
DHCP'd teeb hEx ja sealt saavad ka ASUS küljes olevad seadmed on IP
Elioni Digibox on ühendatus ASUS LAN port 4

Hakkasin seda rida realt järgima https://foorum.hinnavaatlus.ee/viewtopic.php?p=7975469#7975469
"Puust ja punaseks:
kõige pealt tuleb lisada Elionipoole vaatava pordi peale vlan 4 nagu ülal kirjeldatud:
..."

Kui jõudsin

[ThedEviL]

dhcp cliendi panid eth1.4 peale?
aga downstream? Selle jätsid ka igmp proxy juures vahele.

[jaakjaak22]

[TGEgL]

OK, koristasin kõik omalt poolt lisatud saasta ära ja hakkan nullist peale. Ma arvan, et ma panen millegagi bambusesse juba esimestes sammudes.

Juhendiks võtsin selle postituse (edaspidi OP) ja selle all olevad kommentaarid mõne näpuka paranduseks https://foorum.hinnavaatlus.ee/viewtopic.php?p=7975469#7975469

[ThedEviL]

TGEgL,
Oeh, sul on praegu kõik pudru ja kapsad.

Variant 1, ainult vlan'iga.
1. tee mikrotikule uus bridge, nimeta see DTV'ks
2. Tee igale lan pesale vlan 4'd, ehk eth 1.4, 2.4, 3.4, 4.4, 5.4
3. pane DTV bridge alla kõik vlan 4 interface'id, ehk kõik mis sa eelmises punktis tegid.

Nüüd jäta mikrotik rahule ja võta ASUS ette.

Olenevalt tarkvara versioonist, mis sul asusel on, kas konfigureerid selles IPTV proxy kaudu või "untag"'id mikrotiku poolse vlan4'ja konkreetsesse porti, kus sul digibox.
1. ASUS ja iptv proxy = ma ei tea mis soft sul seal on, seega seda õpetust raske anda. Osad versioonid hakkavad automaagiliselt menetlema, kui öelda, et IPTV asub VLAN4 peal ja "möla" on 10.0.0.0/16 peal.
2. Untag'imine: võtad selle pordi vlan4'ja, mis sul ühendatud mikrotikuga (näiteks eth2.4) ja teed bridge, kus on kokku sillatud eth2.4 (eth2 vlan4) ja eth4 (või mis iganes pesas sul digibox on). Ja ongi olemas.


Variant2 on teha igmp proxy mikrotikuga, aga kuna mikrotikult ei tööta/ei ole RTSP helperit, siis sisuteenuseid sa inimlikult tööle ei saa.
IGMP proxy tegemiseks on sul vaja teha:
Alustad tavalisest baaskonfist, kus sul internet on olemas ja töötab. DHCP server jagab ilusti ip aadresseid jne.
1. Teed vlan4 interface'i eth 1 suunda, ehk eth1.4
2. Teed selle otsa DHCP cliendi. JAH! TEED DHCP KLIENDI! NEID ONGI 2 tükki nüüd!!! Kokku on sul nüüd 2 dhcp clienti, üks on interneti suunda, teine on DTV suunda.
3. Tulemüüri teed uue masqeraad eth1.4 ehk digiTV suunda. Kõige lihtsam, võta olemasolev maskeraad firewall/nat lahtrist, vajuta copy, muuda uuel interface eth1.4 peale .
4. Tulemüüri teed reegli, in interface = eth1.4, action = accept.
5. Teed igmp proxy all kõigepealt 10.0.0.0/8 upstream
6. Teed igmp proxy all 192.168.0.0/16 downstream

[Etz]