Uuenda tarkvara ära, keela IP -> Services all üleliigsed ruuteri teenused ja kui veebiliidest ei taha tulemüürist välisvõrgu jaoks päris kinni panna, siis tõsta vähemalt mingisse muusse porti ning kui võimalik, siis piira IP-dega ära. Üldiselt on mõistlik ruuteri teenuseid välismaailma jaoks üldse mitte lahti hoida vaid tulemüürist kinni ja kasutada winboxi/veebiliidest sisevõrgust või konfida VPN ja läheneda läbi selle.
Praeguse häkkimislaine ohvriks sattumist näitab see, kui scheduleri alla on tekkinud 30 sekundi tagant käivitatav skript, mis tõmbab erinevatest serveritest faili mikrotik.php ja paneb Files alla. Kui see on juhtunud, siis on lahenduseks schedulerist script maha, Files alt fail maha, softiuuendus uusima peale ja Users all kõigil kasutajatel paroolid ära vahetada. Kasutatakse ära hiljutist kasutajaandmete lekkimise bugi, logitakse saadud andmetega ruuterisse ja pannakse see skript itirimisega ootele suuremateks tegudeks.
reints kirjutas:
Kuidas sellest raipest lahti saada?
Kas panna 80 kinni üldse ?
Ei sobi küll siia postitada sellist küsimust, kuid ehk oskab keegi tark aidata.
Nimelt panin tööle omal IPv6. Lihtsalt sellepärast, et ma saan.
Mikrotikuks on siis 951G-2HnD.
Andsin oma inteno ruuteri tagasi, kuid võtsin nende mac aadressi, et saada tööle IPv6.
Ja mul lihtsalt ei õnnestu seda IPv6 tööle saada teise mac aadressiga. Peab olema see sama inteno ruuteri mac mis mul oli.
Tere,
Andsin oma inteno ruuteri tagasi, kuid võtsin nende mac aadressi, et saada tööle IPv6.
Ja mul lihtsalt ei õnnestu seda IPv6 tööle saada teise mac aadressiga. Peab olema see sama inteno ruuteri mac mis mul oli.
Ära põe, kui see inteno naaberkorterisse ei lähe, siis on suva
Kuidas sellest raipest lahti saada?
Kas panna 80 kinni üldse ?
Spoiler
Siin pole port 80'ga mingit pistmist. See käib sul telneti kaudu.
Viska port 23 kinni või tee dünaamiline blocklisti skript.
Nt 3 valet logimiskatset ip'lt ja see ip läheb edaspidi tarpit'i või suunad mõne teise blokeeritud ip peale.
Muidugi Telnet peaks üldse ruuteris kinni olema. Ebaturvalisemat lähenemismeetodit annab leida.
vahetasin ühes kohas vana mikrotiku veidi kangema karbi vastu ja tuvastasin, et esimesed paar minutit valatakse terve vlan4 (vist) multicasti täis ehk 100 megabiti jagu kütet. digitv pilti ette ei võtnud.
peale mõningast ootamist torm vaibus ja digiboksid läksid rõõmsaks.
oskab keegi kommenteerida?
objektil on korteritesse veetud cat5 ja keldris istub kogus catalyst switche.
huvitav ka detail, et kui silla peal oli (r)stp käima jäänud (defaultis on rstp peal), siis visati port kohe maha kui digitv sild üles läks.
ilmselt siis keldris istuvale siskule ei meeldi, kui kliendi poolt stpd räägitakse.
martin3444 kirjutas:
Andsin oma inteno ruuteri tagasi, kuid võtsin nende mac aadressi, et saada tööle IPv6.
Ja mul lihtsalt ei õnnestu seda IPv6 tööle saada teise mac aadressiga. Peab olema see sama inteno ruuteri mac mis mul oli.
mac peab algama 00:22:07. sinna otsa leiuta mida tahad.
ander, keldris oleval catalystil on (kliendi pordil) BPDU guard peal, ehk siis kasulik oleks sinnapoole spanning-treed mitte rääkida.
ander kirjutas:
mac peab algama 00:22:07. sinna otsa leiuta mida tahad.
Ei pea, piisab sellest, et su ruuter IA_PD'd teeb, IA_NA tuleks ainult disableda.
Ise sain sele Tik'uga ilusti tööle, kui proovisin. _________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
viimati muutis Etz 30.07.2018 19:27:35, muudetud 1 kord
mac peab algama 00:22:07. sinna otsa leiuta mida tahad.
Proovisin seda varianti. Ei tööta. Peab olema täpselt see mac mida kandis mu tagasi viidud inteno ruuter.
Proovisin erinevaid mac aadresse ning 00:22:07 algusega. Nothing... Tegin restarti ka tikule, ei midagi. Ikka ei saa ühendust. Searchib ja searchib.
jaakjaak22 kirjutas:
Etz kirjutas:
Ei pea, piisab sellest, et su ruuter IA_PD'd teeb, IA_NA tuleks ainult disableda.
Ise sain sele Tik'uga ilusti tööle, kui proovisin.
Nimelt mul oli pool aastat olnud 100/100 ühendus. Käisin netis, youtubes, tõmbasin asju ja see ei mõjutanud piuksugi teleka pilti.
Sain täna omale 200/200 ühenduse ja kohe tekkisid probleemid kui hakkasin youtubes laadima midagi või midagi tõmbama.
Ruuteri prose youtube laadides on mingi 5-20% seega lahjas proses viga olla ei saa.
Aga kohe tõmbab kinni ja hakkab hakkima, kui midagi mahukamat teha.
Vaatasin siin, et ühed räägivad ühte asja ja teised teist QoS-i kohta. Aga midagi kindlat nagu ei ole.
Tekkis juba mõte isegi, et võtta see Inteno sitanikats tagasi aga tõesti ei tahaks seda teha.
Selle queue-ga on aga üks probleem. Ruuteri protsessor on liiga lahja. Alguses oli 100Mbit/s nett. Upgradesin 200Mbit/s peale aga nüüd pean queue-ga panema 80Mbit/s peale, kuna mu ruuter lihtsalt ei kannata seda queued. Ja kui piirangut pole siis hakib.
Proovisin samuti queue piirangu unlimited panna. Siis üle 130Mbit/s ei saa üldse (Aga 130 juures telekas hakib). Ilma annab vabalt välja 200Mbit/s.
Piiramise mõte selles, et teleka pilt ei hakiks. Ja 80Mbit/s on max mida kannatab. Siis ka vahepeal tekib väike hakkimine sisse korra. Vähemalt speedtesti tehes.
Mida ma selle seadistuse juures paika ei suutnud panna on upload. Uploadi kiirust see seadistus vabsjee ei piira. Läheb lihtsalt läbi, ilma mingi blockita. (Ilmselt siin minu viga, vb mõni targem oskab midagi kirja panna, et milles viga võib olla.)
martin3444, parem võta Hap ac2, isegi kui Wifit ei kasuta siis 4 tuuma on 4 tuuma...
Hinnaklass on sama aga mulle tundub ARM natuke asisem, kui see MIPS. _________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
martin3444, parem võta Hap ac2, isegi kui Wifit ei kasuta siis 4 tuuma on 4 tuuma...
Hinnaklass on sama aga mulle tundub ARM natuke asisem, kui see MIPS.
Äkki keegi oskab arvata milles probleem võiks olla. Nimelt on mul Telia IPTV (Huawei GPON + Arrise digiboks) ja ruuteriks Mikrotik HEx S - confi juhendi võtsin siitsamas threadist eestpoolt. Internet ja IPTV pilt on olemas, aga heli ei ole. Kusjuures heli oli olemas peale ruuteri reseti ja uue confi tegemist, aga kui teleka kinni panin korraks, kadus IPTV heli jäädavalt. Mõtlesin, et ehk on telekas asi, aga peale ruuteri resetti oli heli olemas, seega kahtlane...
Erinevad HDMI pesad ja kaablid on katsetatud, ei aidanud. Teist telekat pole hetkel käepärast. Googlest ka abi ei leidnud.
hetkel conf selline:
Spoiler
/interface bridge
add igmp-snooping=yes name=TV_bridge protocol-mode=none
add admin-mac=<...> auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=vlan1.4 vlan-id=4
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=TV_bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
add bridge=TV_bridge interface=vlan1.4
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Tallinn
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
_________________ If I throw a stick, will you leave?
wolz, ma sügavalt kahtlen, et Mikrotik striimi dekrüpteerib, lahti pakib ja siis uuesti ilma helita uuesti kokku pakib, encodeb ja krüptib. _________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
einoh, ma lihtsalt ei saa aru milles see viga olla võiks. Eks üritan mingi teise telekaga testida lähiajal. Telia Inteno ruuteriga on heli ka peale teleka kinni- ja käimapanekut olemas (10a vana Philipsi LCD telku). _________________ If I throw a stick, will you leave?
Mul on see seadistus veidi lihtsam, mida tahaks käima saada, kui OP instruktsioonides.
Seadmeks on hEx, OS MikroTik RouterOS 6.42.7, mis on otsapidi Elioni ühenduse osas.
hEx ether4 küljest läheb kaabel ASUS LAN port 1 külge.
DHCP'd teeb hEx ja sealt saavad ka ASUS küljes olevad seadmed on IP
Elioni Digibox on ühendatus ASUS LAN port 4
bootsin digibox ja see hakkas kohe midagi sebima. Rida värvilisi palle kadus eest ära, ma tahtsin juba rõõmustada aga ei. Sain teate, et TV'l puudub interneti ühendus ja sellega see asi ka lõppes.
Ehk oskab keegi juhendada, kuidas edasi. _________________ Kõik roheine vajab CO2
Mul on see seadistus veidi lihtsam, mida tahaks käima saada, kui OP instruktsioonides.
Ehk oskab keegi juhendada, kuidas edasi.
igmp-proxyga saad edasi ainult multicasti kanalid, pool teenusest jääb saamata. Bridge'i lihtsalt vlan4 asusesse ja sealt bridge'id vlan4 digiboxi porti. Muu internet tuleb tavalist moodi.
hEx'il on juba selline bridge olemas nagu LAN ja WAN
/interface list print
Flags: * - builtin, D - dynamic
# NAME INCLUDE EXCLUDE
0 * ;;; contains all interfaces
all
1 * ;;; contains no interfaces
none
2 * ;;; contains dynamic interfaces
dynamic
3 ;;; defconf
WAN
4 ;;; defconf
LAN
ja panin tööle ka igmp-proxy nagu juhis ette nägi. Siin jätsin välja eth2.4 ja eth5.2
[code]/routing igmp-proxy
set query-interval=1m5s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=10.0.0.0/23 interface=eth1.4 upstream=yes _________________ Kõik roheine vajab CO2
Variant 1, ainult vlan'iga.
1. tee mikrotikule uus bridge, nimeta see DTV'ks
2. Tee igale lan pesale vlan 4'd, ehk eth 1.4, 2.4, 3.4, 4.4, 5.4
3. pane DTV bridge alla kõik vlan 4 interface'id, ehk kõik mis sa eelmises punktis tegid.
Nüüd jäta mikrotik rahule ja võta ASUS ette.
Olenevalt tarkvara versioonist, mis sul asusel on, kas konfigureerid selles IPTV proxy kaudu või "untag"'id mikrotiku poolse vlan4'ja konkreetsesse porti, kus sul digibox.
1. ASUS ja iptv proxy = ma ei tea mis soft sul seal on, seega seda õpetust raske anda. Osad versioonid hakkavad automaagiliselt menetlema, kui öelda, et IPTV asub VLAN4 peal ja "möla" on 10.0.0.0/16 peal.
2. Untag'imine: võtad selle pordi vlan4'ja, mis sul ühendatud mikrotikuga (näiteks eth2.4) ja teed bridge, kus on kokku sillatud eth2.4 (eth2 vlan4) ja eth4 (või mis iganes pesas sul digibox on). Ja ongi olemas.
Variant2 on teha igmp proxy mikrotikuga, aga kuna mikrotikult ei tööta/ei ole RTSP helperit, siis sisuteenuseid sa inimlikult tööle ei saa.
IGMP proxy tegemiseks on sul vaja teha:
Alustad tavalisest baaskonfist, kus sul internet on olemas ja töötab. DHCP server jagab ilusti ip aadresseid jne.
1. Teed vlan4 interface'i eth 1 suunda, ehk eth1.4
2. Teed selle otsa DHCP cliendi. JAH! TEED DHCP KLIENDI! NEID ONGI 2 tükki nüüd!!! Kokku on sul nüüd 2 dhcp clienti, üks on interneti suunda, teine on DTV suunda.
3. Tulemüüri teed uue masqeraad eth1.4 ehk digiTV suunda. Kõige lihtsam, võta olemasolev maskeraad firewall/nat lahtrist, vajuta copy, muuda uuel interface eth1.4 peale .
4. Tulemüüri teed reegli, in interface = eth1.4, action = accept.
5. Teed igmp proxy all kõigepealt 10.0.0.0/8 upstream
6. Teed igmp proxy all 192.168.0.0/16 downstream
...aga kuna mikrotikult ei tööta/ei ole RTSP helperit, siis sisuteenuseid sa inimlikult tööle ei saa.
Kas ühe boxi jaoks port forwardist ei piisaks?
Või on rõhk justnimelt sõnal "inimlikult" _________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
Variant 1, ainult vlan'iga.
1. tee mikrotikule uus bridge, nimeta see DTV'ks
2. Tee igale lan pesale vlan 4'd, ehk eth 1.4, 2.4, 3.4, 4.4, 5.4
Miks mul neid nii palju vaja? ASUS RT-AC68U on ju füüsiliselt ether4 otsas. (küsin, et aru saada, mis toimub)
ThedEviL kirjutas:
3. pane DTV bridge alla kõik vlan 4 interface'id, ehk kõik mis sa eelmises punktis tegid.
Nüüd jäta mikrotik rahule ja võta ASUS ette.
Olenevalt tarkvara versioonist, mis sul asusel on, kas konfigureerid selles IPTV proxy kaudu või "untag"'id mikrotiku poolse vlan4'ja konkreetsesse porti, kus sul digibox.
1. ASUS ja iptv proxy = ma ei tea mis soft sul seal on, seega seda õpetust raske anda. Osad versioonid hakkavad automaagiliselt menetlema, kui öelda, et IPTV asub VLAN4 peal ja "möla" on 10.0.0.0/16 peal.
Firmware Version:3.0.0.4.384_32738 _________________ Kõik roheine vajab CO2
Miks mul neid nii palju vaja? ASUS RT-AC68U on ju füüsiliselt ether4 otsas. (küsin, et aru saada, mis toimub)
Ma pole ka aru saanud, miks peab igast jumala pordist digitv-d kindlasti tulema. Konfid ainult need pordid, kus on digiboks. Su skeem on täiesti standardne, vaja lihtsalt osata konkreetset riistvara konfida. Mikrotiku oluline eelis on, et kõik mudelid käivad sama softiga. Kahe standardkonfis mikrotikuga teed nii:
### proxy teliatv into another router on port 5
# R1
/interface bridge add arp=disabled name=bridge-vlan4 protocol-mode=none
/interface vlan
add interface=ether1 name=eth1-vlan4 vlan-id=4
add interface=ether5 name=eth5-vlan4 vlan-id=4
/interface bridge port
add bridge=bridge-vlan4 interface=eth1-vlan4
add bridge=bridge-vlan4 interface=ether2 # tv on 1st router
add bridge=bridge-vlan4 interface=eth5-vlan4 # 2nd router
Miks mul neid nii palju vaja? ASUS RT-AC68U on ju füüsiliselt ether4 otsas. (küsin, et aru saada, mis toimub)
Ma pole ka aru saanud, miks peab igast jumala pordist digitv-d kindlasti tulema. Konfid ainult need pordid, kus on digiboks. Su skeem on täiesti standardne, vaja lihtsalt osata konkreetset riistvara konfida. Mikrotiku oluline eelis on, et kõik mudelid käivad sama softiga. Kahe standardkonfis mikrotikuga teed nii:
### proxy teliatv into another router on port 5
# R1
/interface bridge add arp=disabled name=bridge-vlan4 protocol-mode=none
/interface vlan
add interface=ether1 name=eth1-vlan4 vlan-id=4
add interface=ether5 name=eth5-vlan4 vlan-id=4
kas see ei peaks minu joonise järgi ether4 olema? ether5 on PC
Aga järgmise peale hakkab kisama (miks seda ether2 siia vaja? Seal otsas mul PC)
Ega võrguvärgis külma kopipastega kaugele ei sõua. Vaata näitekoodi ja kommentaare, mõtiskle natuke, mida mis real tehakse ja saadki aru, mida tegema pead. Loomulikult ei viitsi keegi sulle tasuta lusikaga suppi suhu tõsta.
Aga järgmise peale hakkab kisama (miks seda ether2 siia vaja? Seal otsas mul PC)
Ega võrguvärgis külma kopipastega kaugele ei sõua. Vaata näitekoodi ja kommentaare, mõtiskle natuke, mida mis real tehakse ja saadki aru, mida tegema pead. Loomulikult ei viitsi keegi sulle tasuta lusikaga suppi suhu tõsta.
Huvitav. Kirjutad ilusa juhise aga nimme jätad asja segaseks, et minusugused, kes võrkudest midagi ei tea, ei saaks ikka aru, mida sa soovitad.
Mis selle mõte on? Sõrmed pidid ju ikka tööd tegema ja pärast saad küsimustele vastata ja seega veel rohkem teksti toksida.
Teiseks, mul ei ole kahte Mikrotik'i ja tundub, et ASUS ei lase ühetegi LAN porti kokku pridgeda va LAN3 või LAN4 ja seda ka ainult WAN pordi pihta.
"LAN - IPTV
To watch IPTV, the WAN port must be connected to the Internet. Please go to WAN - Dual WAN to confirm that WAN port is assigned to primary WAN." _________________ Kõik roheine vajab CO2
Teiseks, mul ei ole kahte Mikrotik'i ja tundub, et ASUS ei lase ühetegi LAN porti kokku pridgeda va LAN3 või LAN4 ja seda ka ainult WAN pordi pihta.
Laseb küll, seda siis käsurealt, robocfg abiks.
Aga oma Asusega oled sa küll nüüd vales teemas. _________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
Teiseks, mul ei ole kahte Mikrotik'i ja tundub, et ASUS ei lase ühetegi LAN porti kokku pridgeda va LAN3 või LAN4 ja seda ka ainult WAN pordi pihta.
Laseb küll, seda siis käsurealt, robocfg abiks.
Aga oma Asusega oled sa küll nüüd vales teemas. :roll:
sa oled enam kui treretulnud siia https://foorum.hinnavaatlus.ee/viewtopic.php?t=737989&highlight= et aidata see jama kuidagi lahendada.
NB! Ma ei tunne võrgundust, esimest korda näen Mikrotik, kaablid on siin nii veetud ja selles osas pole midagi teha. Naine tahab telekat vadata. Päästke mind! :) _________________ Kõik roheine vajab CO2
Ma ei mäleta enam peast RT-AC68U switch layouti (pole ka seadet ennast, kust järgi vaadata), seega tulistan puusalt:
robocfg vlan 4 ports "4t 1u"
Ma miskipärast nagu mäletan, et seespoolt olid sel pordid tagurpidi, 4=1, jne...
Igal juhul, see peaks täägima sulle vlan4'ja pordile 1 ja pordist 4 peaksid selle STB jaoks täägimata kujul kätte saama.
PS: Palju lihtsam oleks olnud, kui uplink oleks sul Asusel WAN pordis ja Asus ise AP modes, ei peaks siin porte mõistatama, sest WAN on alati 0. _________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
PS: Palju lihtsam oleks olnud, kui uplink oleks sul Asusel WAN pordis ja Asus ise AP modes, ei peaks siin porte mõistatama, sest WAN on alati 0.
Alguses oli nii. Seda ma võin alati tagasi muuta aga siis tekkis jama sellega, et hEX DHCP ei andnud IP'si ASUS taga olevatele seadmetele ja siis soovitati siin, et ühendagu ma ether4 mitte WAN vaid ETH1 porti ja siin me oleme :) _________________ Kõik roheine vajab CO2
PS: Palju lihtsam oleks olnud, kui uplink oleks sul Asusel WAN pordis ja Asus ise AP modes, ei peaks siin porte mõistatama, sest WAN on alati 0.
Alguses oli nii. Seda ma võin alati tagasi muuta aga siis tekkis jama sellega, et hEX DHCP ei andnud IP'si ASUS taga olevatele seadmetele ja siis soovitati siin, et ühendagu ma ether4 mitte WAN vaid ETH1 porti ja siin me oleme
AP Mode on siin märksõnaks, aga rohkem ma siia OT'd ei plaani toota, Mikrotikust läheb siin teema juba päris kaugele. _________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
ASUS on nüüd AP ja paitab, et toimib. Mikrotik etehr4 on ühendatud AP WAN porti. Kõik seadmed seal pool AP'd saavad IP ja pääsevad netti. Ainus, mis sellega veel hakkama ei saa, on Elioni digibox.
Kordan veel, ma ei tea sellest võrgundamisest mitte midagi, seega, palun anna puust ja punaseks juhiseid mis vastavad all olevale pildile. "mõtle ise juurde" mind ei aita, sest ma ei tunne seda teemat.
Pilt on siis selline:
Mikrotik'is proovisin teha, nagu üleval pool kirjeldasin aga nüüd pole enam tegu teise routeri, vaid AP'ga. Kas see muudab midagi?
Küsimus on endiselt sama, kuidas saada selliste seadmetega see neetud IPTV tööle ehk kuidas seadistada Mikrotik hEX RB750Gr3 (RouterOS v6.42.7)
TGEgL, kas see Mikrotik on sul seal must have? Mul on ka kodune võrk suht samasugune kui su pildil.
Sarnase keberniidi vältimiseks jätsin Telia Inteno 1. ruuteriks ja enda 2 Mikrotikut toimetavad siis tolle taga.
Sisevõrgu lasin lihtsalt peale Intenot switchiga kokku et ruuterit läbiks ainult see mis vaja.
Et kui ise pole päris võrguekspert, siis milleks sellisel viisil vaevelda?
Võrgunduse õppimiseks on ka lihtsamaid viise.
_________________ Experience is what you get when you don't get what you want.
TGEgL, kas see Mikrotik on sul seal must have? Mul on ka kodune võrk suht samasugune kui su pildil.
Sarnase keberniidi vältimiseks jätsin Telia Inteno 1. ruuteriks ja enda 2 Mikrotikut toimetavad siis tolle taga.
Sisevõrgu lasin lihtsalt peale Intenot switchiga kokku et ruuterit läbiks ainult see mis vaja.
Et kui ise pole päris võrguekspert, siis milleks sellisel viisil vaevelda?
Võrgunduse õppimiseks on ka lihtsamaid viise.
Flags: X - disabled, I - invalid, D - dynamic
# INT... USE ADD-DEFAULT-ROUTE STATUS ADDRESS
0 ;;; defconf
ether1 no yes bound X4.XX.XXX.XXX/22
1 I ;;; IPTV
*F yes special-classless
2 bri... no no bound 10.XXX.XXX.XX/18
jah AP's on WAN ja LAN4 sillatud nagu Etz juhendas
robocfg vlan 4 ports "0t 1u"
Kuidas see digibox nüüd VLAN otsa saada? _________________ Kõik roheine vajab CO2
Raske on kogu seda kahte lehekülge jama nüüd kommenteeridagi...
Ma mõtleks sinu asemel rebuild asemele. Pane oma Asus etteotsa, sealt bridge vlan4 läbi Mikrotiku pihta ja Toimeta edasi nagu ASus oleks sinu ISP.
Loogika oleks siis Asus muuta tavaliseks switchiks, millel on kolm vlan'i. 1 vlan ISP to Mikrotik, DTV to mikrotik, Mikrotik LAN to Asus wifi ja arvutipordid. Asuse tööks jääb ainult switchimine pmts.
jaakjaak22 kirjutas:
Uuenda tarkvara ära, keela IP -> Services all üleliigsed ruuteri teenused ja kui veebiliidest ei taha tulemüürist välisvõrgu jaoks päris kinni panna, siis tõsta vähemalt mingisse muusse porti ning kui võimalik, siis piira IP-dega ära. Üldiselt on mõistlik ruuteri teenuseid välismaailma jaoks üldse mitte lahti hoida vaid tulemüürist kinni ja kasutada winboxi/veebiliidest sisevõrgust või konfida VPN ja läheneda läbi selle.
Praeguse häkkimislaine ohvriks sattumist näitab see, kui scheduleri alla on tekkinud 30 sekundi tagant käivitatav skript, mis tõmbab erinevatest serveritest faili mikrotik.php ja paneb Files alla. Kui see on juhtunud, siis on lahenduseks schedulerist script maha, Files alt fail maha, softiuuendus uusima peale ja Users all kõigil kasutajatel paroolid ära vahetada. Kasutatakse ära hiljutist kasutajaandmete lekkimise bugi, logitakse saadud andmetega ruuterisse ja pannakse see skript itirimisega ootele suuremateks tegudeks.
reints kirjutas:
Kuidas sellest raipest lahti saada?
Kas panna 80 kinni üldse ?
Spoiler
Service alt kinni keeramine ei aita, ainult firewall. Tegin selle läbi juba kevadel ühel ägedal üritusel, kus rünnatakse ja kaitstakse. Malware script saadetakse pikalt peale iga booti.
Astmed lahti saamiseks:
Firewallist Winboxi port kinni ja lubada ainult kindlatele IP'dele
Teha ajutine kasutaja lambiparooliga ja saata scriptid manala teele
Reboot, mis eemaldab ka nö mälus jooksva kurjami
Vaheta enda kasutaja parool.
Puhasta ja remondi enda firewall.
tsitaat:
IPv6
Telial Inteno mac'de peale lukustatud, kloonimine abiks nagu siin juba ka mainiti. Ise ei viitsi sellega jännata kuna endal Native tugi olemas oma võrgust.
tsitaat:
IQueue
Ei tea, HAP AC2 puhul pole vaja. Gigane port tuleb, IGMP Snooping enabletud, mitu TV'd taga ja võin lingi umbe tõmmata, ei hakka hakkima midagi. Torus nii palju vaba ruumi küll, et 100 megsi IPTV'd juurde mahub. 200/200 ühendus.
Vana RB'ga pidin Queued kasutama aga pidage meeles, et Policer on teie suunas Telia poolt 100 Mbps ja kui te küsite 100 mega, siis 100 ka teie välise pordi peale jõuab, mis siis et tikk seda allapoole kruvib, kanal on ikka täis kuni välise pordi ingressini.
Lisaks Queue koormab ilusti proset
ander kirjutas:
huvitava olukorra otsa põrkasin.
vahetasin ühes kohas vana mikrotiku veidi kangema karbi vastu ja tuvastasin, et esimesed paar minutit valatakse terve vlan4 (vist) multicasti täis ehk 100 megabiti jagu kütet. digitv pilti ette ei võtnud.
peale mõningast ootamist torm vaibus ja digiboksid läksid rõõmsaks.
oskab keegi kommenteerida?
bpduguard sekkus, seepärast lendas port maha. bpdu filter oleks pordi püsti jätnud aga see on levinud praktika, et access pordile ehk siis kliendi poole pannakse kõik peale, mis võimalik, et miski rogue switch välja ei ilmuks ja valesti konfitud spanning-tree domeeni puhul kogu võrku mürgitama ei hakkaks
Esimene täislaks oli seepärast, et switchi IGMP-Snooping polnud elgeks õppinud veel, et sinna porti kogu multicast liiklust ei tasu lasta. Peale seda kui ta selgeks õppis, millisese multicasti gruppi su port liidetud on ja millisesse mitte, siis "vaibubki" _________________ kindel on see et miski pole kindel
viimati muutis AgentDeus 11.09.2018 01:27:45, muudetud 1 kord
Raske on kogu seda kahte lehekülge jama nüüd kommenteeridagi...
Ma mõtleks sinu asemel rebuild asemele. Pane oma Asus etteotsa, sealt bridge vlan4 läbi Mikrotiku pihta ja Toimeta edasi nagu ASus oleks sinu ISP.
Nagu siin varem kirjas, ASUS teeb Wifi. Ainus, mis sinna kappi mahtus, kus on ISP ots, oli hEX. Wifi jagamine seal koridoris on tühi töö. _________________ Kõik roheine vajab CO2
Kolm võimalust sul, millest kolmandat ei oska pimesi välja mõelda.
Versioon 1
Teliast ether1.4 tagged vlan 4 -> bridge DTV -> int ether4.4 tagged vlan 4 -> Asus LAN0 vlan bridge nagu eelpool teised on maininud ehk robocfg vlan 4 ports "0t 2u 4u"
Nüüd on kõik vinks-vonks aga sa ei saa LAN 4 kaudu netti.
Versioon 2
Teliast ether1.4 -> IGMP Proxy -> Out interface LAN-Bridge. Bridgele IGMP-Snooping peale. Pista Asus kuhu porti tahad, problem solved. Kirjade järgi peaks Asus toetama ka IGMP-Snoopingut nii et oled good to go.
Kolmas hõlmab seda, et transpordi vlan 4 Asuseni ja tee IGMP-Proxy seal, kirjade järgi toetab. _________________ kindel on see et miski pole kindel
Kolm võimalust sul, millest kolmandat ei oska pimesi välja mõelda.
Versioon 1
Teliast ether1.4 tagged vlan 4 -> bridge DTV -> int ether4.4 tagged vlan 4 -> Asus LAN0 vlan bridge nagu eelpool teised on maininud ehk robocfg vlan 4 ports "0t 2u 4u"
Nüüd on kõik vinks-vonks aga sa ei saa LAN 4 kaudu netti.
Tänan, aga kahjuks tahaks sealt ka netti saada.
AgentDeus kirjutas:
Versioon 2
Teliast ether1.4 -> IGMP Proxy -> Out interface LAN-Bridge. Bridgele IGMP-Snooping peale. Pista Asus kuhu porti tahad, problem solved. Kirjade järgi peaks Asus toetama ka IGMP-Snoopingut nii et oled good to go.
Aaa...OK... ma proovisin seda hEX confiks konverteerida aga ei tule välja. Veelkord. Ma ei ole võrgu admin :) Ma tean sellest keerukast maailmast vaid üht - ma ei tea sellet midagi.
Saada mulle PM'i oma krüptokopika aadress, kuhu võiks tippi saata, kui sa mul selle käima saad. :) _________________ Kõik roheine vajab CO2
Pole sellist asja, ma aitan inimesi täiesti vastumeelselt vabast tahtest.
Räägi parem,kus maal sa oled oma katsetustega ja mis ei tööta või töötab. _________________ kindel on see et miski pole kindel
Pole sellist asja, ma aitan inimesi täiesti vastumeelselt vabast tahtest.
Räägi parem,kus maal sa oled oma katsetustega ja mis ei tööta või töötab.
OK, cheers! (b)
Ma võtsin kõik maha, mis ma olin sinna enne kokku sopperdanud. Puhas plats.
Ainus, mis töötab on see, et AP taga olevad seadmed saavad IP ja pääsevad netti.
Kui ma nüüd õigesti mäletan DD-WRT aegadest, siis see 1u on sul LAN1 untagged vlan4 jaoks. See peab sealt kaduma, kasvõi reseti ära tehaseseadesse.Tee mulle mu kasutaja enda ruuterisse, anna mulle enda Telia IP ja parool privas. Firwewalli tee SSH ja Winbox jaoks auk deus.ee elik 88.196.40.43 pihta. Ma konfin sul selle ära, ei viitsi seletada. _________________ kindel on see et miski pole kindel
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.