MikroTik - zrusenie bridge (default SOHO settings)

[Odar]

Hotovo. Zda sa, ze vsetko funguje, ako ma. Postupoval som podla tohto prispevku http://pretaktovanie.zoznam.sk/viewtopi ... 4#p1338174 + tohto navodu, co som sem daval skor http://networkingforintegrators.com/201 ... -mikrotik/

Prvy problem. Potrebujem pristupit na WDMycloud cez browser. Bezi na http://192.168.4.50 (zasuvka ether4). Neda mi ale pristup, lebo ti dementi to maju spravene tak (googlil som), ze pristup cez web rozhranie je pristupne iba v ramci rovnakej podsiete. Proste ma to opluje 404rkou.

Neda sa nastavit v routeri, ze ked dam z IP 192.168.10.50 (cize pristupujem z notebooku cez wifi) http://192.168.4.50, aby sa tvaril, ze ide z podsiete 192.168.4.0 ? Nejakym presmerovanim, alebo cim?

Co je tiez divne, ze z HTPC, ktore je pichnute do ether2 (192.168.2.50) na WDMyCloud pichnuty do ether4 neviem pristupit cez meno, ale musim cez IP 192.168.4.50. Active host name vidim v MikroTik "WDMyCloud". Ked dam z HTPC na 192.168.2.50

Kód: Vybrať všetko

ping wdmycloud

nepingne ho. Ked dam

Kód: Vybrať všetko

ping 192.168.4.50

tak ho pingne.

Ostatne zatial OK. Otestujem postupne a doladim.

Dakujem za pomoc.

[mp3turbo]

samozrejme ze sa to da nastavit, ja som takto isto plus ohen a siru na FreeNAS lebo ten ma defaultne nastaveny firewall tiez tak ze sa na neho da pristupit len z jeho "lokalneho subnetu". Kedze bol bol slabych 1.820km odomna, na dialku som na mikrotiku spravit source NAT a bolo, FreeNAS dostal paket z mikrotiku a vobec nevedel ze isiel odomna.

/ip firewall nat
print
/ip firewall nat add chain=srcnat action=src-nat dst-address=192.168.4.50/32 src-address=192.168.10.50/32 to-addresses=192.168.4.1 place-before=1


pisem z hlavy, takato logika :


dst-address=192.168.4.50/32 "ak ide paket na 192.168.4.50"
src-address=192.168.10.50/32 "zo zdrojovej adresy notebooka a iba tohoto notebooka, ziadneho ineho"

to-addresses= nahrad v tomto pakete SRC ADDRESU lebo mame src-nat za taku, akokeby prichadzal z "IPcka-Mikrotiku-v-rozsahu-192-168-4-1" tipujem ze v tej 192.168.4.x sieti mas na mikrotiku jednicku na konci, ked nie tak adekvatne zmenit

place-before=1 znamena umiestnit toto pravidlo uplne na zaciatok vsetkych pravidiel, cize aby sa garantovane uplatnilo = aby ma nahodou nieco ine nepredbehlo = aby som garantovane dostal vysledok ktory potrebujem.


ctrl-x pred pouzitim, tak ako vzdy. Pisem z hlavy, mohol som sa volakde skaredo pomylit. Ak to nebude chodit, daj vediet a ked vyprchaju promile pospekulujem znovu.

[Odar]

Super. Funguje.

Kód: Vybrať všetko

/ip firewall nat> add chain=srcnat action=src-nat dst-address=192.168.4.50 src-address=192.168.10.52 to
-addresses=192.168.4.1

Kód: Vybrať všetko

> ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; default configuration
      chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether1-gateway log-prefix="" 

 1    ;;; Pristup z konkretnej IP na WDMyCloud cez web interface z inej podsiete
      chain=srcnat action=src-nat to-addresses=192.168.4.1 src-address=192.168.10.52 dst-address=192.168.4.50 
      out-interface-list=all log=no log-prefix="" 

Vdaka.

[mp3turbo]

.
.

brutalna sila kolektivu - spolocne porazime aj alkohol !!

[16cmfan]

No aj aj tomu zacinam verit, zalozime Routovacie spolocenstvo subnetov ?

Cize Odar, vsetky interfejsi medzi sebou komunikuju ako sa patri na router ? Aj WIFINa ?

[mp3turbo]

naco mate strach z veci kde netreba... proste sa to medzi interfejsmi posuva podla pravidiel, cele. Bridge je ze vsetko je na zasranej hromade v ktorej sa ani cert nevyzna a nie je tam mozne nieco seriozne urobit. To je akokeby sme vsetci v panelaku byvali v jednom byte - velkom krasnom ale vsetci nahromadke.

Alkohol je metla ludstva !

[16cmfan]

Tak tak, som zvedavy koho dalsieho obratime na vieru... Shiro je dalsi na rade!

Inak Turbo, co vravis na Bogon list ? Resp. nejake mudre slovo o tom - mas nejake skusenosti s tym ? Alebo ISP sa to snazia filtrovat uz na GW? V tomto som uplne mimo, tak sa pytam...

[Odar]

Ano. Ale nefunguje mi to tak, ako pisal niekde skor mp3turbo, ze napisem "sietove meno" zariadenia a dostanem sa nam do druhej podsiete. Mozno to treba este niekde nastavit.

Trebars z HTPC, ktore je pichnute do ether2 chcem pristupit na WDMYCLOUD, ktory je pichnuty do ether4. Viem nan pristupit iba cez IP adresu (\\192.168.4.50\Public). Ked chcem ist nan cez meno \\WDMYCLOUD\Public, tak to nefunguje. Ani ho nepingnem. Priamo IP adresu pingnem. HTPC ma IP 192.168.2.50.

Zily mi to netrha - som zvyknuty pozivat priamo IP adresy. Ale zaujimalo by ma, ci sa to da rozchodit.

[shiro]

Tak tak, som zvedavy koho dalsieho obratime na vieru... Shiro je dalsi na rade!

Odpor je marny, budete naroutovani
Neviem, vzhladom na to, co sme popisali predtym, nejak nevidim dovod ten bridge davat het.
A ked by som ho aj daval, tak by som rovno aj potreboval nejaky command na portforwarding v takomto bezbridgeovom (omg to je slovo) pripade.
Lebo vobec netusim ci budu fungovat commandy na portforward a pravidla do firewallu, ked su robene pre stav, ked mam bridge.
Vravim, tiez som do tohoto amater a modifikovat to nebudem vediet
Ked dojdem domov, tak ich sem hodim a dakto pls povedzte co tam treba zmenit.

Tiez by som bol rad za nejaky tutorial jak pre blbych ohl. nastavenia interfacov...alebo staci len vymazat bridge a zrusit u ether1 (moje wan) ze je master port? Resp. ak by dakto vedel sem hodit co kde nastavit aby som sa po vymaze bridgu dostal aspon na net...hladat help cez mobil je dost ergonomicky napikacu

[mp3turbo]

>> Zily mi to netrha - som zvyknuty pozivat priamo IP adresy. Ale zaujimalo by ma, ci sa to da rozchodit.

isteze da - v roku asi 1965 bolo vymyslene DNS


Port forwarding v bezbridgeovom a bridgeovom usporiadani je absolutne rovnaky. To iste firewalling, NAT, pre-routing/post-routing, mangling a kopec inych zahranicnych termitov. Terminov. Another myth busted

Jejda, henten master a slave port... pitchi. To je myslim nastavenie o Layer nizsie, neriesis logicke interfejsy ale fyzicke, ktory port s ktorym je na jednom "switchi". Nikdy som nepochopil hentu zverinu co chlapci vymysleli az dokial som nezistil ze pouzivaju čipy ktore proste nevedia obsluzit 9 portov naraz. Namiesto toho tam prdli dva 5portove... lebo su lacnejsie. Nakopat do riti, nasrat do ruky, zabalit do alobalu a nepustit k vode.

[Odar]

OK. Zda sa, ze toto http://wiki.mikrotik.com/wiki/Manual:IP ... NS_Entries by mohlo fungovat. Vecer skusim. Nasiel som skript, ktory to z DHCP serveru narve do DNS, ale to sa mi zda na moje potreby zbytocne. Potrebujem tam pridat mozno 3 zariadenia.

[mp3turbo]

rucne.

[Odar]

Jasne. Len mi trosku robi vrasky ten ttl. Aby som to rucne nemusel nastavovat kazdy den nanovo Neviem sa nikde docitat, ci je ten parameter volitelny, alebo ma nejaku hodnotu (povedzme nula) a bude tam ten zaznam naveky.

[StarySkeptik]

Zdravím,

len by som sa chcel spýtať na pravidlá 15 a 16.
Nie sú náhodou zbytočné ak pravidlo 7 povoľuje INPUT na port 8291?
Vykonajú sa vôbec?

Ďakujem.

Pockaj, tu mas vypis ako sa patri, konzolovy!

Kód: Vybrať všetko

1    chain=forward action=accept connection-state=established 
      in-interface=ether1 

 2    chain=forward action=accept connection-state=related in-interface=ether1 

 3    chain=forward action=accept connection-state=established,related log=no 
      log-prefix="" 

 4    ;;; PINGUJESE ZIJES!
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 5    chain=input action=accept connection-state=established 

 6    chain=input action=accept connection-state=related 

 7    ;;; VZDIALENY PRISTUP Z WINBOXu
      chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix="" 

 8    ;;; POVOLIT PPTP na port 1723
      chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix="" 

 9    ;;; POVOLIT PPTP na protocole 47
      chain=input action=accept protocol=gre log=no log-prefix="" 

10    ;;; POVOLIT NESTASTNIKOM DNS cez TCP
      chain=input action=accept protocol=tcp src-address=192.168.60.0/24 
      dst-port=53 log=no log-prefix="" 

11    ;;; POVOLIT NESTASTNIKOM DNS cez UDP
      chain=input action=accept protocol=udp src-address=192.168.60.0/24 
      dst-port=53 log=no log-prefix="" 

12    ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (tcp)
      chain=input action=drop connection-state=new protocol=tcp 
      in-interface=ether1 dst-port=53 log=no log-prefix="" 

13    ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (udp)
      chain=input action=drop connection-state=new protocol=udp 
      in-interface=ether1 dst-port=53 log=no log-prefix="" 

14    ;;; ZAKAZ WEB Z VONKU
      chain=input action=drop protocol=tcp in-interface=ether1 dst-port=80 
      log=no log-prefix="" 

15    ;;; UKAZAT PROSTREDNICKEK PRI POKUSE O LOGIN NA MIKROTICEK
      chain=input action=drop src-address=192.168.60.0/24 log=no log-prefix="" 

16    chain=input action=drop protocol=tcp src-address=192.168.60.0/24 
      dst-port=8291 log=no log-prefix="" 

17    ;;; SUKROMIE JE CENNE
      chain=forward action=reject reject-with=icmp-admin-prohibited 
      src-address=192.168.60.0/24 dst-address=192.168.2.0/24 log=no 
      log-prefix="" 

18    chain=forward action=reject reject-with=icmp-admin-prohibited 
      src-address=192.168.60.0/24 dst-address=192.168.3.0/24 log=no 
      log-prefix="" 

19    chain=forward action=reject reject-with=icmp-admin-prohibited 
      src-address=192.168.60.0/24 dst-address=192.168.4.0/24 log=no 
      log-prefix="" 

20    chain=forward action=reject reject-with=icmp-admin-prohibited 
      src-address=192.168.60.0/24 dst-address=192.168.5.0/24 log=no 
      log-prefix="" 

21    chain=forward action=reject reject-with=icmp-network-unreachable 
      src-address=192.168.60.0/24 dst-address=192.168.24.0/24 log=no 
      log-prefix="" 

22    chain=forward action=reject reject-with=icmp-admin-prohibited 
      src-address=192.168.60.0/24 dst-address=192.168.50.0/24 log=no 
      log-prefix="" 

23    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

24    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new 
      connection-nat-state=!dstnat in-interface=ether1 log=no log-prefix="" 

25    chain=input action=drop in-interface=ether1 log=no log-prefix="" 

[mp3turbo]

nie, nie su obidve tie pravidla zbytocne.
Najprv zdoraznime ze pravidla sa vykonavaju zhora dole, pri prvom matchi (zhode) sa konekcia pusti alebo nepusti a smitec. Dalsie pravidla sa uz na danu konekciu neuplatnuju.



Pravidlo 7 povoluje pristup na Mikrotika (na vsetky jeho IP adresy ktore pouziva lebo je tam napisane chain=input) zo VSETKYCH adries na svete pretoze ziadne nie su specifikovane IBA na port 8291

Pravidlo 15 hovori ze VSETKO prichadzajuce zo siete 192.168.60.0/24 teda 192.168.60.1 az 192.168.60.254 a chce sa pripojit na HOCICO na Mikrotiku (na akykolvek port kedze port nie je specifikovany) bez ohladu na protokol (tcp aj udp, zase nie je specifikovany) je dropnute. Cize to je uzasne rozlicne oproti pravidlu 7.

Pravidlo 16 uz logicky vyvodis sam. Ano, pravidlo 16 je zbytocne kedze existuje pravidlo 15 (obidve hovoria o rovnakej zdrojovej adrese, toto je velmi dolezite), avsak pravidlo 16 specificky odstrihne len pristup na port 8291.Well, neodstrihne, pretoze ako spravne hovoris, pravidlo 7 nad nim uz VSETKYM povolilo pristup na port 8291


Este raz sumar z inej stranky :


na port 8291 na mikrotiku moze pristupovat HOCIKTO pretoze pravidlo 7, pravidla dole uz nemenia spravanie ohladom portu 8291

na akykolvek port na mikrotiku nemozu pristupovat fešáci a fešáčky zo siete 192.168.60.x (cize toto je ine co hovori pravidlo 7 : rozdiel je v ostatnych 65534 portoch ktore mame - port 8291 je povoleny pravidlom 7, vsetky ostatne porty su tymto 15tym pravidlom zakazane)

pravidlo 16 je zbytocne, pravidlo 15 ho plne zastupi (ina formulacia : pravidlo 15 je superset 16ky resp. 16ka je subset 15ky).



Good spot !