mp3turbo: klobuk dolu pred Tvojimi vedomostami.
Firewall na "lolov" som si nastavil.
Pravidla 0-5 som nenastavoval. Tie boli uz v zaklade po zapnuti MT. Proste som si nastavil PPPoE, Wifi a pravidla tam uz boli "od vyroby". A nemam ani tusenia "zatial" co znamenaju pravidla 1 a 2. Som zatial zaciatocnik a este sa ucim. Su tie pravidla zle?
K zvysnemu sa dostanem zajtra.
Dakujem za cenne rady.
Nastavenie MikroTiku
-
MaxMan
- Redaktor
- Príspevky: 1652
- Dátum registrácie: Po 18. Okt, 2004, 14:00
- Bydlisko: Liptovský Mikuláš
Re: Nastavenie MikroTiku
Ani srnky netušia čo som mal/mám...
-
mp3turbo
- Pokročilý používateľ
- Príspevky: 12258
- Dátum registrácie: St 27. Apr, 2011, 11:16
- Bydlisko: ta Blava, ňe ?
Re: Nastavenie MikroTiku
ale urcite ma, kludne ma doplnte kde treba - ja nemam patent na rozum ani zdaleka. Aj v hentych veciach hore som mohol spravit nejaku chybu.
Max, co chcem povedat : kludne sem prdni /interface wireless print detail, /interface wireless print advanced a /interface wireless registration-table print detail, eventualne aj /interface wireless info print pozreme sa ci sa nejako da zoptimalizovat tvoje nastavenie wirelessky pretoze tam su oooobrovske vykonove moznosti. Samozrejme nevynechaj popis tvojho prostredia, cize "v mikrotiku pouzivam kartu XY" (co by malo byt vidno v INFO PRINT zozname) ale hlavne klientov : takyto a takyto notebook, ma 5GHz alebo nema, ma 802.11an alebo nema, ma 802.11ac alebo nema. Telefon, tablet, kazdu jednu vec zvlast. Ked mozes, sprav registration-table print ked su klienti popripajani vo svojej typickej pozicii a ked ich eventualne prenesies najdalej ako sa len da - prejavi sa to samozrejme poklesom signalu.
V tych informaciach sa nenachadza nic co by ta mohlo zradit alebo co by sme mohli na dialku zneuzit. Vsetky tieto /interface wireless prikazy som zase napisal z hlavy, takze mozno som sa tu alebo tam pomylil. Zase ale vidno z mojho rozmyslania ze akym smerom sa hybem a o to ti islo - nechcel si copy/paste, ale princip.
Casto sa mi stava ze klientom ustabilizujem splasene pingy, zvysim robustnost wirelessky a aj priepustnost. Rekordy mam aj take ze klient vyskocil z 20Mbit/s na 150Mbit/s... a to potom hlava dlho bolela http://www.fajntricko.sk/resize/e/800/8 ... -knihu.png
Samozrejme nemozem slubit nic, na dialku sa to neda. Vyskusame, uvidime.
Max, co chcem povedat : kludne sem prdni /interface wireless print detail, /interface wireless print advanced a /interface wireless registration-table print detail, eventualne aj /interface wireless info print pozreme sa ci sa nejako da zoptimalizovat tvoje nastavenie wirelessky pretoze tam su oooobrovske vykonove moznosti. Samozrejme nevynechaj popis tvojho prostredia, cize "v mikrotiku pouzivam kartu XY" (co by malo byt vidno v INFO PRINT zozname) ale hlavne klientov : takyto a takyto notebook, ma 5GHz alebo nema, ma 802.11an alebo nema, ma 802.11ac alebo nema. Telefon, tablet, kazdu jednu vec zvlast. Ked mozes, sprav registration-table print ked su klienti popripajani vo svojej typickej pozicii a ked ich eventualne prenesies najdalej ako sa len da - prejavi sa to samozrejme poklesom signalu.
V tych informaciach sa nenachadza nic co by ta mohlo zradit alebo co by sme mohli na dialku zneuzit. Vsetky tieto /interface wireless prikazy som zase napisal z hlavy, takze mozno som sa tu alebo tam pomylil. Zase ale vidno z mojho rozmyslania ze akym smerom sa hybem a o to ti islo - nechcel si copy/paste, ale princip.
Casto sa mi stava ze klientom ustabilizujem splasene pingy, zvysim robustnost wirelessky a aj priepustnost. Rekordy mam aj take ze klient vyskocil z 20Mbit/s na 150Mbit/s... a to potom hlava dlho bolela http://www.fajntricko.sk/resize/e/800/8 ... -knihu.png
Samozrejme nemozem slubit nic, na dialku sa to neda. Vyskusame, uvidime.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
-
mp3turbo
- Pokročilý používateľ
- Príspevky: 12258
- Dátum registrácie: St 27. Apr, 2011, 11:16
- Bydlisko: ta Blava, ňe ?
Re: Nastavenie MikroTiku
Max, tvoje pravidla 1,2 hovoria "akekolvek spojenie na router samotny [pretoze pouzivaju chain=input] mozu vytvarat akekolvek naviazane spojenia ktore budu automaticky povolene". Nevelmi sa mi pacia, v pripade Mikrotikov a akejkolvek infrastruktury vseobecne ja osobne panicky a sakrastriktne obmedzujem vsetko s chain=input (cize to co ide direkt na router), proste maximalne SSH a smitec. Mam vela instalacii takych ze na router samotny sa neda dostat nijako na dialku, na management pouzivam napriklad VMware vzdialenu konzolu pretoze to podmienky dovoluju.
Ked tieto dve pravidla zakazes, nic sa principalne nezmeni, maximalne ti prestane fungovat pasivne FTPcko pre prenos suborov. Alebo aktivne ? Sakra, to ktore si dohaduje porty pri spojeni, som daromny to vyhladat.
edit : este jedna dolezita vec, ako som mohol zabudnut. Na tvoj mikrotik nemas vobec firewallovane spojenia, napriklad ani SSHcko. Ak by si chcel obmedzit adresy z ktorych sa da pripajat na tvoje SSH, aj ked bude bezat na porte 22222 napriklad, kludne daj vediet, spravime. Uz ked to SSHcko zmenis na nestandartny port a ked zavedies hento automaticke banovanie po X neuspesnych pokusoch, tak si velmi zahojeny, len keby nahodou. Inak samozrejme pridanim dalsieho pravidla s nazvom address-listu SSH_Stage4 mozes rozsirit pocet uspesnych alebo neuspesnych pokusov o prihlasenie v danych casovych limitoch (cize to co som postol ja odreze utocnika po troch pokusoch, keby si chcel napriklad styri alebo pat tak tam musis pridat stage4, stage5 a samozrejme zmenit cas v Stage3 lebo tych 60 dni je tam zurivych).
No proste toto su vyhody Mikrotiku - je to hodne komplikovane ale je to hodne flexibilne. Za kazdu srandu sa plati, Skoda 105 mala trosku menej gombikov na volante aj okolo neho ako ma dnes Mercedes S63AMG, ze ?
Ked tieto dve pravidla zakazes, nic sa principalne nezmeni, maximalne ti prestane fungovat pasivne FTPcko pre prenos suborov. Alebo aktivne ? Sakra, to ktore si dohaduje porty pri spojeni, som daromny to vyhladat.
edit : este jedna dolezita vec, ako som mohol zabudnut. Na tvoj mikrotik nemas vobec firewallovane spojenia, napriklad ani SSHcko. Ak by si chcel obmedzit adresy z ktorych sa da pripajat na tvoje SSH, aj ked bude bezat na porte 22222 napriklad, kludne daj vediet, spravime. Uz ked to SSHcko zmenis na nestandartny port a ked zavedies hento automaticke banovanie po X neuspesnych pokusoch, tak si velmi zahojeny, len keby nahodou. Inak samozrejme pridanim dalsieho pravidla s nazvom address-listu SSH_Stage4 mozes rozsirit pocet uspesnych alebo neuspesnych pokusov o prihlasenie v danych casovych limitoch (cize to co som postol ja odreze utocnika po troch pokusoch, keby si chcel napriklad styri alebo pat tak tam musis pridat stage4, stage5 a samozrejme zmenit cas v Stage3 lebo tych 60 dni je tam zurivych).
No proste toto su vyhody Mikrotiku - je to hodne komplikovane ale je to hodne flexibilne. Za kazdu srandu sa plati, Skoda 105 mala trosku menej gombikov na volante aj okolo neho ako ma dnes Mercedes S63AMG, ze ?
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
-
MaxMan
- Redaktor
- Príspevky: 1652
- Dátum registrácie: Po 18. Okt, 2004, 14:00
- Bydlisko: Liptovský Mikuláš
Re: Nastavenie MikroTiku
Takze postupne:
Doma mam MikroTik RB951G-2HnD. Port 1 WAN - z modemu ADSL v Bridge mode. Port 2 LAN - do Gbit switchu (schema odtialto: http://pretaktovanie.zoznam.sk/viewtopi ... 9&t=106744). Akurat PC a Rezervu z ADSL som presunul priamo do switchu. Na nakrese su len kablove spojenia. Cez WiFi sa bezne pripaja este: 2x notebook, 2-4 smartfony. Obcasne dalsie cudzie notasy a PC (neriesim ci na ten cas to pojde 11 alebo 54 Mbit).
Raz za rok dojde rodina na dlhsiu dovolenku a tu nastava mensi problem: byvaju na prizemi (MT je na poschodi). Bud to pokryje MT, alebo pripojim druhy WiFi router. Ked som vypiekol MT na maximum (30db), pokryl aj prizemie. Lenze nase normy/zakony (20db)
Tu si myslel asi bez detail
Lebo s detail vypise len:
Momentalne mam po ruke len 2 zariadenia WiFi. Popisem ale aj ostatne.
Napajaju sa tieto masiny:
-Notebook Asus UL30VT, WiFi Intel® WiFi Link 1000 (b/g/Draft-N) len 2,4GHz
-smartfon ZTE Grand X In, WiFi b/g/n (asi len 2,4GHz)
-smartfon Samsung Galaxy S3 mini, WiFi a/b/g/n 2,4GHz + 5 GHz
-notebook Asus N61Jv, WiFi b/g, mozno b/g/n (nemam ho tu a vyrobca nespecifikuje presny model)
-tablet Asus Transformer Pad Infinity TF700T, WiFi b/g/n len 2,4GHz
+ nejake smartfony - na 90% bude WiFi b/g, maximalne b/g/n 2,4GHz (5GHz asi nie, aj tak moj MT ma len 2,4GHz
)
+ cudzie noteooky - to ma netrápi. Ked treba, zapojim ich kablom na dobu servisu
Teraz k firewall pravidlam:
Skusal som menit pravidlo 0 (pingy), ale nedari sa mi. Ako teda nastavim, aby z WAN nesli, ale z LAN isli? Zatial som pravidla 0-2 zakazal.
Nejako som skombinoval pravidla od Teba spolu s tym co som nasiel na forach. Kukni to prosim, ci to je OK, pripadne co mam upravit/doplnit/vyhodit.
Servisy som nechal len:
- www (iny port) - kvoli grafom by som to chcel nechat. Ak treba nejake pravidla do FW, skus ma nasmerovat
- ssh (iny port) - taktiez si nieco o pravidlach pisal
- winbox (zatial pouzivam, kedze je to viac user friendly pre mna, ako ssh)
Zvysne som vypol
/ip neighbor discovery - vypol som vsetky interfejsy
Scheduler na ON/OFF WiFi som nastavil
Casove servery su nastavene, ale neviem ci sa aktualizuju:
Doma mam MikroTik RB951G-2HnD. Port 1 WAN - z modemu ADSL v Bridge mode. Port 2 LAN - do Gbit switchu (schema odtialto: http://pretaktovanie.zoznam.sk/viewtopi ... 9&t=106744). Akurat PC a Rezervu z ADSL som presunul priamo do switchu. Na nakrese su len kablove spojenia. Cez WiFi sa bezne pripaja este: 2x notebook, 2-4 smartfony. Obcasne dalsie cudzie notasy a PC (neriesim ci na ten cas to pojde 11 alebo 54 Mbit).
Raz za rok dojde rodina na dlhsiu dovolenku a tu nastava mensi problem: byvaju na prizemi (MT je na poschodi). Bud to pokryje MT, alebo pripojim druhy WiFi router. Ked som vypiekol MT na maximum (30db), pokryl aj prizemie. Lenze nase normy/zakony (20db)
Kód: Vybrať všetko
[admin@MikroTik] > /interface wireless print detail
Flags: X - disabled, R - running
0 name="wlan1" mtu=1500 mac-address=4C:5E:0C:E7:13:D5 arp=enabled
interface-type=Atheros AR9300 mode=ap-bridge ssid="cechovci" frequency=2417
band=2ghz-b/g/n channel-width=20/40mhz-ht-above scan-list=default
wireless-protocol=802.11 wds-mode=disabled wds-default-bridge=none
wds-ignore-ssid=no bridge-mode=enabled default-authentication=yes
default-forwarding=yes default-ap-tx-limit=0 default-client-tx-limit=0 hide-ssid=no
security-profile=default compression=noKód: Vybrať všetko
[admin@MikroTik] > /interface wireless print advanced
Flags: X - disabled, R - running
0 name="wlan1" mtu=1500 mac-address=4C:5E:0C:E7:13:D5 arp=enabled
disable-running-check=no interface-type=Atheros AR9300 radio-name="4C5E0CE713D5"
mode=ap-bridge ssid="cechovci" area="" frequency-mode=regulatory-domain
country=slovak republic antenna-gain=0 frequency=2417 band=2ghz-b/g/n
channel-width=20/40mhz-ht-above scan-list=default wireless-protocol=802.11
rate-set=default supported-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps
supported-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
basic-rates-b=1Mbps basic-rates-a/g=6Mbps max-station-count=2007 distance=indoors
tx-power-mode=default noise-floor-threshold=default nv2-noise-floor-offset=default
periodic-calibration=default periodic-calibration-interval=60 dfs-mode=none
wds-mode=disabled wds-default-bridge=none wds-default-cost=100 wds-cost-range=50-150
wds-ignore-ssid=no update-stats-interval=disabled bridge-mode=enabled
default-authentication=yes default-forwarding=yes default-ap-tx-limit=0
default-client-tx-limit=0 proprietary-extensions=post-2.9.25 wmm-support=disabled
hide-ssid=no security-profile=default disconnect-timeout=3s on-fail-retry-time=100ms
preamble-mode=both compression=no allow-sharedkey=no
station-bridge-clone-mac=00:00:00:00:00:00 ht-ampdu-priorities=0
ht-guard-interval=any
ht-supported-mcs=mcs-0,mcs-1,mcs-2,mcs-3,mcs-4,mcs-5,mcs-6,mcs-7,mcs-8,mcs-9,mcs-10,
mcs-11,mcs-12,mcs-13,mcs-14,mcs-15,mcs-16,mcs-17,mcs-18,mcs-19,mcs-20,mcs-
21,mcs-22,mcs-23
ht-basic-mcs=mcs-0,mcs-1,mcs-2,mcs-3,mcs-4,mcs-5,mcs-6,mcs-7 ht-txchains=0,1
ht-rxchains=0,1 ht-amsdu-limit=8192 ht-amsdu-threshold=8192 tdma-period-size=2
nv2-queue-count=2 nv2-qos=default nv2-cell-radius=30 nv2-security=disabled
nv2-preshared-key="" hw-retries=7 frame-lifetime=0 adaptive-noise-immunity=none
hw-fragmentation-threshold=disabled hw-protection-mode=none
hw-protection-threshold=0 frequency-offset=0 rate-selection=advanced
multicast-helper=default multicast-buffering=enabled
Kód: Vybrať všetko
[admin@MikroTik] > /interface wireless registration-table print
# INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH TX-RATE UPTIME
0 wlan1 B4:98:42:83:CD:10 no -47dBm@HT20-7 65.0... 3m59s
1 wlan1 00:1E:64:4F:5C:A0 no -52dBm@6Mbps 72.2... 3m31s
Kód: Vybrať všetko
[admin@MikroTik] > /interface wireless registration-table print detail
0 interface=wlan1 mac-address=B4:98:42:83:CD:10 ap=no wds=no bridge=no
1 interface=wlan1 mac-address=00:1E:64:4F:5C:A0 ap=no wds=no bridge=no
Kód: Vybrať všetko
[admin@MikroTik] > /interface wireless info print
0 interface-type=Atheros AR9300
chip-info="mac:0x300/0x3, phy:0x2080, a5:0x0, a2:0x0, eeprom:0x0"
capabilities=tx-power-control,ack-timeout-control,virtual-ap,alignment-mode,noise-floor-
control,scanning,nstreme,sniffing,power-channel,ht40-g,wmm,spectral-scan,nv2,
no-ant-mode,20mhz-sgi,21
supported-bands=2ghz-b,2ghz-g,2ghz-10mhz,2ghz-5mhz,2ghz-n,2ghz-n-10mhz,2ghz-n-5mhz
2ghz-b-channels=2412:20,2417:20,2422:20,2427:20,2432:20,2437:20,2442:20,2447:20,2452:20,
2457:20,2462:20,2467:20,2472:20
2ghz-g-channels=2412:20,2417:20,2422:20,2427:20,2432:20,2437:20,2442:20,2447:20,2452:20,
2457:20,2462:20,2467:20,2472:20
2ghz-10mhz-power-channels=2412:20,2417:20,2422:20,2427:20,2432:20,2437:20,2442:20,
2447:20,2452:20,2457:20,2462:20,2467:20,2472:20
2ghz-5mhz-power-channels=2412:20,2417:20,2422:20,2427:20,2432:20,2437:20,2442:20,2447:20,
2452:20,2457:20,2462:20,2467:20,2472:20
ht-chains=0:chain0,1:chain1
Napajaju sa tieto masiny:
-Notebook Asus UL30VT, WiFi Intel® WiFi Link 1000 (b/g/Draft-N) len 2,4GHz
-smartfon ZTE Grand X In, WiFi b/g/n (asi len 2,4GHz)
-smartfon Samsung Galaxy S3 mini, WiFi a/b/g/n 2,4GHz + 5 GHz
-notebook Asus N61Jv, WiFi b/g, mozno b/g/n (nemam ho tu a vyrobca nespecifikuje presny model)
-tablet Asus Transformer Pad Infinity TF700T, WiFi b/g/n len 2,4GHz
+ nejake smartfony - na 90% bude WiFi b/g, maximalne b/g/n 2,4GHz (5GHz asi nie, aj tak moj MT ma len 2,4GHz
)+ cudzie noteooky - to ma netrápi. Ked treba, zapojim ich kablom na dobu servisu
Teraz k firewall pravidlam:
Skusal som menit pravidlo 0 (pingy), ale nedari sa mi. Ako teda nastavim, aby z WAN nesli, ale z LAN isli? Zatial som pravidla 0-2 zakazal.
Kód: Vybrať všetko
[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 X ;;; default configuration
chain=input action=accept protocol=icmp log=no log-prefix=""
1 X ;;; default configuration
chain=input action=accept connection-state=established,related log=no log-prefix=""
2 X ;;; default configuration
chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""
3 ;;; default configuration
chain=forward action=accept connection-state=established,related log=no log-prefix=""
4 ;;; default configuration
chain=forward action=drop connection-state=invalid log=no log-prefix=""
5 ;;; default configuration
chain=forward action=drop connection-state=new connection-nat-state=!dstnat
in-interface=ether1-gateway log=no log-prefix=""
6 ;;; list IP's who try rdp
chain=input action=add-src-to-address-list protocol=tcp address-list=trying_to_rdp
address-list-timeout=1d dst-port=3389 log=no log-prefix=""
7 ;;; list IP's who try remote login
chain=input action=add-src-to-address-list protocol=tcp address-list=trying_to_login
address-list-timeout=1d dst-port=20-23 log=no log-prefix=""
8 ;;; drop ssh brute forcers
chain=input action=drop protocol=tcp src-address-list=ssh_blacklist dst-port=22 log=no
log-prefix=""
9 chain=input action=add-src-to-address-list connection-state=new protocol=tcp
src-address-list=ssh_stage3 address-list=ssh_blacklist address-list-timeout=1w3d
dst-port=22 log=no log-prefix=""
10 chain=input action=add-src-to-address-list connection-state=new protocol=tcp
src-address-list=ssh_stage2 address-list=ssh_stage3 address-list-timeout=1m dst-port=22
log=no log-prefix=""
11 chain=input action=add-src-to-address-list connection-state=new protocol=tcp
src-address-list=ssh_stage1 address-list=ssh_stage2 address-list-timeout=1m dst-port=22
log=no log-prefix=""
12 chain=input action=add-src-to-address-list connection-state=new protocol=tcp
address-list=ssh_stage1 address-list-timeout=1m dst-port=22 log=no log-prefix=""
Servisy som nechal len:
- www (iny port) - kvoli grafom by som to chcel nechat. Ak treba nejake pravidla do FW, skus ma nasmerovat
- ssh (iny port) - taktiez si nieco o pravidlach pisal
- winbox (zatial pouzivam, kedze je to viac user friendly pre mna, ako ssh)
Zvysne som vypol
/ip neighbor discovery - vypol som vsetky interfejsy
Scheduler na ON/OFF WiFi som nastavil
Casove servery su nastavene, ale neviem ci sa aktualizuju:
Kód: Vybrať všetko
[admin@MikroTik] /system ntp client> print
enabled: yes
primary-ntp: 217.75.72.153
secondary-ntp: 94.229.33.221
server-dns-names:
mode: unicast
poll-interval: 16s
active-server: 94.229.33.221
last-bad-packet-from: 184.105.139.94
last-bad-packet-before: 3h22m21s710ms
last-bad-packet-reason: bad-packet-length
Ani srnky netušia čo som mal/mám...
-
Hexaris
Re: Nastavenie MikroTiku
Ak je to indoor tak by som sa tolko nebal, skorej je problem max. na karte. Vysledok byva vacsinou v prenose horsi, ako ked mas znizeny vykon. V tom pripade sa to da riesit cez externu antenu, cez maly pigtail. Nebude to uz tak pekne, ale 5db alebo 8db antena zlepsi minimalne aspon signal na vstupe. A co sa tyka nastavenia vykonu dobre je to mat medzi 13-19 db (19 def.). Nevadi, ze klient ma 75db, hlavne je sledovat CCQ a throughput. Pokial mozno pri prenose dat, lebo obcas je tam bug a ukazuje blbe hodnoty ...
Inak od verzie 6.13 sa mi dost podstatne zlepsil upload medzi 2011uhd a MB pro, takze pravidelne sledovat changelog ...
Inak od verzie 6.13 sa mi dost podstatne zlepsil upload medzi 2011uhd a MB pro, takze pravidelne sledovat changelog ...
-
mp3turbo
- Pokročilý používateľ
- Príspevky: 12258
- Dátum registrácie: St 27. Apr, 2011, 11:16
- Bydlisko: ta Blava, ňe ?
Re: Nastavenie MikroTiku
plny suhlas = zvysovanim "cisel" vykonu na karte nedosiahnes lepsi kvalitnejsi signal dalej dostreleny - pretoze keby to bolo takto jednoduche, tak tam proste vyrobca napali 30dBm a hotovo. O ziadne limity a legalnost sa doma nestrachuj, to nikdy nikto nepride merat. Ani ti to neublizi na zdravi.
Podobne ako zZosilovac a reproduktory : cim viac srobujes vykonny zosilovac, tym vacsiu distortion (skreslenie v audiu ?) dosiahnes. Nebude to hrat ani lepsie ani kvalitnejsie, akurat horsie. To iste radia. 17dBm je uz podla mojho nazoru prilis moc co tie čipíky dokazu zo seba vytlacit pri CISTOM priebehu amplitudy, keby si mal mikroskop tak by si videl co to s tym signalom robi.
Externu antenu na tvojom mikrotiku RB951G-2HnD nepouzijes, to mas proste najzakladnejsi model aky existuje. Skoda. Lebo spravnym riesenim je nechat standartny vykon na karte a pritlacit trosku na antene, cize napr. kupit take tie 9dB tycinky. Netrepem z vetra, o radiach co-to viem. Vyriesit tvoju situaciu s prizemim nebude prilis jednoduche - ak staci vypeckovat karte tak dobre (ale nedoporucujem to dlhodobo), mozno by stacilo premiestnit mikrotik niekam inam - idealne DIREKT NAD MIESTO KDE SA BUDU POUZIVAT KONCOVE ZARIADENIA na spodnom poschodi.
Akonahle ides so signalom "sikmo cez stenu" dole k rodicom, cize pod nejakym uhlom, dana stena sa samozrejme tvari akokeby mnohobasobne hrubsia. Jednoduche. Darmo mas stenu 30cm, ked ju od mikrotiku k tatkovmu notebooku o poschodie nizsie lizes pod 15 stupnovym uhlom, ta stena je akokeby tri metre hruba (cojaviem tri metre, nechce sa mi pytagorovat).
Na zaklade tvojej konfiguracie by som skusil : /interface wireless set wlan1 rate-set=configured supported-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps max-station-count=15 default-forwarding=no
rate-set=configured : nebudu sa pouzivat vsetky mozne datarate karty, ale len tie ktore nastavis (vid dalej).
supported-rates-a/g : len tieto chces pouzit. Vypadli odtial 48Mbit a 54Mbit ktore pouzivaju najcitlivejsie kodovanie. Malo by sa dosiahnut mensie skackanie pingov (=stabilnejsie) a stabilnejsia priepustnost, i ked v zavislosti na pocte pripojenych radii a ich signalu moznoze trosicku mensia. Na 36Mbit datarate prenesies circa 25Mbit REALNYCH dat max, na 48Mbit je to 33Mbit real, cize je tam rozdiel, AVSAK len za idealnych okolnosti ktore nastavaju velmi malokrat. Ak mas internet pomalsi ako 25Mbit ci uz download alebo upload, je to uplne jedno a kludne si nechaj nastavenie ako som napisal. Ak mas internet rychlejsi, nastav si to ako pisem, otestuj rychlosti, potom si na koniec dopln 48Mbps a otestuj znovu. Porovnas, uvidis. 54ku tam rozhodne nedavaj, to nema vyznam. Zmensenim vyberu datarate prinutis radio aby prestalo skackat hore-dole ako besne s klientami : ti co su blizsie a maju kvalitnejsi signal mozno vysielaju na 48Mbit avsak ti vzdialenejsi horsi musia ist na 24Mbit alebo mozno 36Mbit a proste to radio sa len prepina a prepina. Preto hovorim "ustabilizuju" sa pingy.
max-station count : maximalny pocet wireless klientov ktori mozu byt pripojeni naraz. 2007 je standardtne cislo a prilis velke a zbytocne. Ak potrebujes viac ako 15 radii naraz, nastav tam 20 alebo 25.
default-forwarding : je to vlastne layer2 bridge. Akakolvek radiova stanica sa pripoji na tvoj mikrotik, moze s akoukolvek inou komunikovat napriamo bez toho aby o tom tvoj mikrotik vedel. Tie radia su akokeby v bridge, neuvidis ich traffic, akurat to pojde cez tvoj vysielac a bude ti uberat dostupnu kapacitu keby uz teda malo prist k nejakemu zneuzitiu. Ked to vypnes (=no), vsetka komunikacia ide na layer3 vrstve, teda tcp/ip, uplatnuje sa firewalling a podobne. Zabranujes tymto nejakej moznosti zneuzitia tvojho vysielaca, i ked je to na veeeelmi dlho a veeeelmi technicky.
tx-power-mode=default : tu sme sa venovali o stranu dopredu, myslim ze tam musis vnutit manualne nastavenie na to, aby sa ti uplatnili rucne nastavenia vykonu. Pozor na jednu vec : to ako silno mikrotik vysiela je uplne nadherne, avsak vysielanie klienta tymto nezmenis. System : pridas tomu mandle, Mikrotik bude kricat viac (nech uz aj kvalitne, co nebude ale dobre), avsak telefonik/tablet o poschodie nizsie furt vysiela rovnako. Bude ho Mikrotik dobre pocut ? Bude ho pocut lepsie ked na Mikrotiku zvysis vykon ? Bude susedove auto zrat polovicu paliva a poskytovat trojnasobny vykon ? Odpovede su ti jasne.
N-kove nastavenie : tuto budem korculovat na hodne tenkom "ladíku" : http://en.wikipedia.org/wiki/IEEE_802.11n-2009
skusil by som cez winbox VYPNUT pouzivanie MCS 16 az 31, pretoze to proste vyuzit nevies, vypol by som aj 13, 14, 15 verzie a uvazoval by som o zhodeni 7cky. Su to tie najvyssie kodovania ktore tazko vyuzijes inak ako v laboratornych podmienkach, avsak musis testovat priepustnost PRED touto zmenou a PO nej, aby som ti nahodou neublizil v podobe znizenej priepustnosti. Odrezes veci ktore nepotrebujes/nedokazes vyuzit v dosledku zdaleka nie uplne dokonaleho signalu radiovych klientov, mozno to bude lepsie.
Ked pouzivas mikrotik/radia na kopirovanie suborov medzi zariadeniami, sprav aj tento test. Musis si zabezpecit opakovatelne podmienky, aby si netestoval hrusky a jablka.
.
.
.
.
>> Skusal som menit pravidlo 0 (pingy), ale nedari sa mi. Ako teda nastavim, aby z WAN nesli, ale z LAN isli? Zatial som pravidla 0-2 zakazal.
jednoducho a mame viacero moznosti. Budeme sa tvarit ze cokolvek prichadza z radia je tvoja lokalna siet (no rozhodne nie internet z Bulharska) a v tomto pripade nas nezaujimaju IP adresy odkial tie pingy prichadzaju :
/ip firewall filter add chain=input protocol=icmp action=accept in-interface=wlan1 comment=pingy-prichadzajuce-cez-radio-doma log=no
pripadne mozeme pustit pingy z lokalnej siete podla IP adries bez ohladu na interface odkial pridu (cize aj cez ethernet, aj cez radio) :
/ip firewall filter add chain=input protocol=icmp action=accept src-address=192.168.0.0/16 comment=pingy-prichadzajuce-z-lokalnej-siete-192-168-hocico-hocico
pripadne to samozrejme mozes skombinovat :
/ip firewall filter add chain=input protocol=icmp action=accept in-interface=wlan1 src-address=192.168.4.0/24 comment=pingy-prichadzajuce-cez-radio-z-adries-192-168-4-hocico log=no
"nechaj prejst ping poziadavky z radia ktore maju zdrojovu adresu 192.168.4.hocico"
pokial nechas zakomentovane = zakazane tvoje sucasne pravidlo 0, nedokazes router pingnut ani zvnutra ani zvonku lebo to proste nie je povolene. Co nie je explicitne povolene, to je zakazane.
Pravidla sa uplatnuju zvrchu nadol, akekolvek prve vyhovuje danemu spojeniu.
Ako spravis poradie pravidiel ? Vo Winboxe sa myslim daju nejako presuvat mysou (su tam + a - tlacitka), inak:
/ip firewall filter
print
a ked ich budes pridavat, tak do riadku s pravidlom napises "place-before=CISLO", cize :
/ip firewall filter add chain=input protocol=icmp action=accept in-interface=wlan1 src-address=192.168.4.0/24 comment=pingy-prichadzajuce-cez-radio-z-adries-192-168-4-hocico log=no place-before=4
umiestni toto konkretne nove pravidlo medzi existujuce pravidla 3 a 4 a vsetko od stvorky vratane sa posunie dolu, cize povodna 4ka bude teraz nova 5ka atd. a nove pravidlo bude mat cislo 4
Rovnako firewallujes aj webove spojenia :
/ip firewall filter add chain=input protocol=tcp dst-port=80 action=accept in-interface=wlan1 src-address=192.168.4.0/24 comment=povol-pristup-na-web-rozhranie-cez-radio-z-adries-192-168-4-hocico log=no
/ip firewall filter add chain=input protocol=tcp dst-port=80 action=drop log=no comment=zakaz-pristup-na-web-mikrotiku-vsetkym-ktori-doteraz-nie-su-povoleni
dalsie pravidlo zmenit port 80 na 443 (https), to uz zvladnes. Samozrejme pises ze si uz zmenil port pre web sluzby, takze adekvatne zmenis aj port 80/443 co tu pisem. A to iste pre SSH aj Winbox :
/ip firewall filter add chain=input protocol=tcp dst-port=22222 action=accept in-interface=wlan1 src-address=192.168.4.0/24 comment=povol-pristup-na-SSH-cez-radio-z-adries-192-168-4-hocico log=no
/ip firewall filter add chain=input protocol=tcp dst-port=22222 action=accept src-address=200.300.400.0/16 comment=povol-pristup-na-SSH-z-roboty-z-adries-200-300-400-hocico log=no
/ip firewall filter add chain=input protocol=tcp dst-port=22222 action=accept src-address=600.700.800.900/32 comment=povol-pristup-na-SSH-z-datacentra-kde-mam-svoj-server-na-verejnej-IP-600-700-800-900 log=no
v tom druhom riadku musi vypadnut in-interface=wlan1, pretoze z roboty cez radio asi neprides, ze... takze preto tam zostal len klasifikator src-address, cize z ktorej zdrojovej adresy prichadzas. Samozrejme ze 300 a 400 v realnych IP adresach neocakavame, tu len prehravame dramaticky americky film o hákeroch.
Pouzitie masky v adresovani, teda /16, /24, /32, zvladas ? Velmi dolezite. /32 urcite jednu jedinu konkretnu IP adresu ktoru napises napriklad 55.22.33.44/32 (=presne a jedine IPcka 55.22.33.44)
/24 je to iste ako maska 255.255.255.0 cize 55.22.33.0/24 by pracovalo so VSETKYMI adresami od 55.22.33.0 az do 55.22.33.255 VRATANE, takze bud by si im povolil alebo zakazal nejaky pristup. Tu sa teda bavime o 256 "cislach".
podobne /16 znamena : 55.22.0.0/16 definuje vsetky IP adresy od 55.22.0.0 az do 55.22.255.255 cize 65536 cisel (256x256) a to uz je slusny ranec.
Ci sa synchronizuje cas uvidis v /system ntp client, uplne naspodu by mal byt riadok STATUS (synchronized). Preco ho tam ty nemas je mi zahadou, zrejme kvoli tomu bad packet reason. V /system clock treba pozriete nastavenie time-zone, mozes kludne zapnut autodetect co tam je - podla tvojej IPcky ta priradi do prislusneho casoveho pasma a automaticky bude posuvat aj letny/zimny cas.
enjoy !
Podobne ako zZosilovac a reproduktory : cim viac srobujes vykonny zosilovac, tym vacsiu distortion (skreslenie v audiu ?) dosiahnes. Nebude to hrat ani lepsie ani kvalitnejsie, akurat horsie. To iste radia. 17dBm je uz podla mojho nazoru prilis moc co tie čipíky dokazu zo seba vytlacit pri CISTOM priebehu amplitudy, keby si mal mikroskop tak by si videl co to s tym signalom robi.
Externu antenu na tvojom mikrotiku RB951G-2HnD nepouzijes, to mas proste najzakladnejsi model aky existuje. Skoda. Lebo spravnym riesenim je nechat standartny vykon na karte a pritlacit trosku na antene, cize napr. kupit take tie 9dB tycinky. Netrepem z vetra, o radiach co-to viem. Vyriesit tvoju situaciu s prizemim nebude prilis jednoduche - ak staci vypeckovat karte tak dobre (ale nedoporucujem to dlhodobo), mozno by stacilo premiestnit mikrotik niekam inam - idealne DIREKT NAD MIESTO KDE SA BUDU POUZIVAT KONCOVE ZARIADENIA na spodnom poschodi.
Akonahle ides so signalom "sikmo cez stenu" dole k rodicom, cize pod nejakym uhlom, dana stena sa samozrejme tvari akokeby mnohobasobne hrubsia. Jednoduche. Darmo mas stenu 30cm, ked ju od mikrotiku k tatkovmu notebooku o poschodie nizsie lizes pod 15 stupnovym uhlom, ta stena je akokeby tri metre hruba (cojaviem tri metre, nechce sa mi pytagorovat).
Na zaklade tvojej konfiguracie by som skusil : /interface wireless set wlan1 rate-set=configured supported-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps max-station-count=15 default-forwarding=no
rate-set=configured : nebudu sa pouzivat vsetky mozne datarate karty, ale len tie ktore nastavis (vid dalej).
supported-rates-a/g : len tieto chces pouzit. Vypadli odtial 48Mbit a 54Mbit ktore pouzivaju najcitlivejsie kodovanie. Malo by sa dosiahnut mensie skackanie pingov (=stabilnejsie) a stabilnejsia priepustnost, i ked v zavislosti na pocte pripojenych radii a ich signalu moznoze trosicku mensia. Na 36Mbit datarate prenesies circa 25Mbit REALNYCH dat max, na 48Mbit je to 33Mbit real, cize je tam rozdiel, AVSAK len za idealnych okolnosti ktore nastavaju velmi malokrat. Ak mas internet pomalsi ako 25Mbit ci uz download alebo upload, je to uplne jedno a kludne si nechaj nastavenie ako som napisal. Ak mas internet rychlejsi, nastav si to ako pisem, otestuj rychlosti, potom si na koniec dopln 48Mbps a otestuj znovu. Porovnas, uvidis. 54ku tam rozhodne nedavaj, to nema vyznam. Zmensenim vyberu datarate prinutis radio aby prestalo skackat hore-dole ako besne s klientami : ti co su blizsie a maju kvalitnejsi signal mozno vysielaju na 48Mbit avsak ti vzdialenejsi horsi musia ist na 24Mbit alebo mozno 36Mbit a proste to radio sa len prepina a prepina. Preto hovorim "ustabilizuju" sa pingy.
max-station count : maximalny pocet wireless klientov ktori mozu byt pripojeni naraz. 2007 je standardtne cislo a prilis velke a zbytocne. Ak potrebujes viac ako 15 radii naraz, nastav tam 20 alebo 25.
default-forwarding : je to vlastne layer2 bridge. Akakolvek radiova stanica sa pripoji na tvoj mikrotik, moze s akoukolvek inou komunikovat napriamo bez toho aby o tom tvoj mikrotik vedel. Tie radia su akokeby v bridge, neuvidis ich traffic, akurat to pojde cez tvoj vysielac a bude ti uberat dostupnu kapacitu keby uz teda malo prist k nejakemu zneuzitiu. Ked to vypnes (=no), vsetka komunikacia ide na layer3 vrstve, teda tcp/ip, uplatnuje sa firewalling a podobne. Zabranujes tymto nejakej moznosti zneuzitia tvojho vysielaca, i ked je to na veeeelmi dlho a veeeelmi technicky.
tx-power-mode=default : tu sme sa venovali o stranu dopredu, myslim ze tam musis vnutit manualne nastavenie na to, aby sa ti uplatnili rucne nastavenia vykonu. Pozor na jednu vec : to ako silno mikrotik vysiela je uplne nadherne, avsak vysielanie klienta tymto nezmenis. System : pridas tomu mandle, Mikrotik bude kricat viac (nech uz aj kvalitne, co nebude ale dobre), avsak telefonik/tablet o poschodie nizsie furt vysiela rovnako. Bude ho Mikrotik dobre pocut ? Bude ho pocut lepsie ked na Mikrotiku zvysis vykon ? Bude susedove auto zrat polovicu paliva a poskytovat trojnasobny vykon ? Odpovede su ti jasne.
N-kove nastavenie : tuto budem korculovat na hodne tenkom "ladíku" : http://en.wikipedia.org/wiki/IEEE_802.11n-2009
skusil by som cez winbox VYPNUT pouzivanie MCS 16 az 31, pretoze to proste vyuzit nevies, vypol by som aj 13, 14, 15 verzie a uvazoval by som o zhodeni 7cky. Su to tie najvyssie kodovania ktore tazko vyuzijes inak ako v laboratornych podmienkach, avsak musis testovat priepustnost PRED touto zmenou a PO nej, aby som ti nahodou neublizil v podobe znizenej priepustnosti. Odrezes veci ktore nepotrebujes/nedokazes vyuzit v dosledku zdaleka nie uplne dokonaleho signalu radiovych klientov, mozno to bude lepsie.
Ked pouzivas mikrotik/radia na kopirovanie suborov medzi zariadeniami, sprav aj tento test. Musis si zabezpecit opakovatelne podmienky, aby si netestoval hrusky a jablka.
.
.
.
.
>> Skusal som menit pravidlo 0 (pingy), ale nedari sa mi. Ako teda nastavim, aby z WAN nesli, ale z LAN isli? Zatial som pravidla 0-2 zakazal.
jednoducho a mame viacero moznosti. Budeme sa tvarit ze cokolvek prichadza z radia je tvoja lokalna siet (no rozhodne nie internet z Bulharska) a v tomto pripade nas nezaujimaju IP adresy odkial tie pingy prichadzaju :
/ip firewall filter add chain=input protocol=icmp action=accept in-interface=wlan1 comment=pingy-prichadzajuce-cez-radio-doma log=no
pripadne mozeme pustit pingy z lokalnej siete podla IP adries bez ohladu na interface odkial pridu (cize aj cez ethernet, aj cez radio) :
/ip firewall filter add chain=input protocol=icmp action=accept src-address=192.168.0.0/16 comment=pingy-prichadzajuce-z-lokalnej-siete-192-168-hocico-hocico
pripadne to samozrejme mozes skombinovat :
/ip firewall filter add chain=input protocol=icmp action=accept in-interface=wlan1 src-address=192.168.4.0/24 comment=pingy-prichadzajuce-cez-radio-z-adries-192-168-4-hocico log=no
"nechaj prejst ping poziadavky z radia ktore maju zdrojovu adresu 192.168.4.hocico"
pokial nechas zakomentovane = zakazane tvoje sucasne pravidlo 0, nedokazes router pingnut ani zvnutra ani zvonku lebo to proste nie je povolene. Co nie je explicitne povolene, to je zakazane.
Pravidla sa uplatnuju zvrchu nadol, akekolvek prve vyhovuje danemu spojeniu.
Ako spravis poradie pravidiel ? Vo Winboxe sa myslim daju nejako presuvat mysou (su tam + a - tlacitka), inak:
/ip firewall filter
a ked ich budes pridavat, tak do riadku s pravidlom napises "place-before=CISLO", cize :
/ip firewall filter add chain=input protocol=icmp action=accept in-interface=wlan1 src-address=192.168.4.0/24 comment=pingy-prichadzajuce-cez-radio-z-adries-192-168-4-hocico log=no place-before=4
umiestni toto konkretne nove pravidlo medzi existujuce pravidla 3 a 4 a vsetko od stvorky vratane sa posunie dolu, cize povodna 4ka bude teraz nova 5ka atd. a nove pravidlo bude mat cislo 4
Rovnako firewallujes aj webove spojenia :
/ip firewall filter add chain=input protocol=tcp dst-port=80 action=accept in-interface=wlan1 src-address=192.168.4.0/24 comment=povol-pristup-na-web-rozhranie-cez-radio-z-adries-192-168-4-hocico log=no
/ip firewall filter add chain=input protocol=tcp dst-port=80 action=drop log=no comment=zakaz-pristup-na-web-mikrotiku-vsetkym-ktori-doteraz-nie-su-povoleni
dalsie pravidlo zmenit port 80 na 443 (https), to uz zvladnes. Samozrejme pises ze si uz zmenil port pre web sluzby, takze adekvatne zmenis aj port 80/443 co tu pisem. A to iste pre SSH aj Winbox :
/ip firewall filter add chain=input protocol=tcp dst-port=22222 action=accept in-interface=wlan1 src-address=192.168.4.0/24 comment=povol-pristup-na-SSH-cez-radio-z-adries-192-168-4-hocico log=no
/ip firewall filter add chain=input protocol=tcp dst-port=22222 action=accept src-address=200.300.400.0/16 comment=povol-pristup-na-SSH-z-roboty-z-adries-200-300-400-hocico log=no
/ip firewall filter add chain=input protocol=tcp dst-port=22222 action=accept src-address=600.700.800.900/32 comment=povol-pristup-na-SSH-z-datacentra-kde-mam-svoj-server-na-verejnej-IP-600-700-800-900 log=no
v tom druhom riadku musi vypadnut in-interface=wlan1, pretoze z roboty cez radio asi neprides, ze... takze preto tam zostal len klasifikator src-address, cize z ktorej zdrojovej adresy prichadzas. Samozrejme ze 300 a 400 v realnych IP adresach neocakavame, tu len prehravame dramaticky americky film o hákeroch.
Pouzitie masky v adresovani, teda /16, /24, /32, zvladas ? Velmi dolezite. /32 urcite jednu jedinu konkretnu IP adresu ktoru napises napriklad 55.22.33.44/32 (=presne a jedine IPcka 55.22.33.44)
/24 je to iste ako maska 255.255.255.0 cize 55.22.33.0/24 by pracovalo so VSETKYMI adresami od 55.22.33.0 az do 55.22.33.255 VRATANE, takze bud by si im povolil alebo zakazal nejaky pristup. Tu sa teda bavime o 256 "cislach".
podobne /16 znamena : 55.22.0.0/16 definuje vsetky IP adresy od 55.22.0.0 az do 55.22.255.255 cize 65536 cisel (256x256) a to uz je slusny ranec.
Ci sa synchronizuje cas uvidis v /system ntp client, uplne naspodu by mal byt riadok STATUS (synchronized). Preco ho tam ty nemas je mi zahadou, zrejme kvoli tomu bad packet reason. V /system clock treba pozriete nastavenie time-zone, mozes kludne zapnut autodetect co tam je - podla tvojej IPcky ta priradi do prislusneho casoveho pasma a automaticky bude posuvat aj letny/zimny cas.
enjoy !
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
-
shiro
- Pokročilý používateľ
- Príspevky: 8558
- Dátum registrácie: Št 21. Dec, 2006, 02:00
- Bydlisko: Banska Bystrica
Re: Nastavenie MikroTiku
Sorry ze to vytahujem, no je to tuna tak pekne pokope a az teraz som sa dostal k nastavovaniu mojho RB950G-2HnD 
Pozeral som vsetky tieto rady a padla mi sanka
Mam uz daco vo firewalle ponastavovane a chcel by som pocut turbov nazor na to.
Z mikrotik webu som nahadzal pravidla:
A nieco proti port skenom:
+ som este pozakazoval veci co turbo odporucil:
Treba tam este daco riesit? Nejake napady?
Pozeral som vsetky tieto rady a padla mi sanka
Mam uz daco vo firewalle ponastavovane a chcel by som pocut turbov nazor na to.
Z mikrotik webu som nahadzal pravidla:
Kód: Vybrať všetko
add chain=input protocol=icmp action=accept comment="Allow ICMP"
add chain=input src-address=192.168.0.0/24 action=accept comment="Allow access to router from known network"
add chain=input action=drop comment="Drop anything else" Kód: Vybrať všetko
add chain=forward protocol=tcp connection-state=invalid action=drop comment="drop invalid connections"
add chain=forward connection-state=established action=accept comment="allow already established connections"
add chain=forward connection-state=related action=accept comment="allow related connections"
Kód: Vybrať všetko
add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="drop invalid connections"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="allow established connections"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="allow already established connections"
add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="allow source quench"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow time exceed"
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow parameter bad"
add chain=icmp action=drop comment="deny all other types" Kód: Vybrať všetko
add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP"
add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT"
add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs"
add chain=tcp protocol=tcp dst-port=2049 action=dropcomment="deny NFS"
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice"
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP" Kód: Vybrať všetko
add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice" Kód: Vybrať všetko
/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address- list="port scaners" address-list-timeout=2w comment="port scanners to list" disabled=no
Kód: Vybrať všetko
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"Kód: Vybrať všetko
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=noKód: Vybrať všetko
/ip neighbor discovery : zakazat vsetky interfejsy. Nech tvoj stroj nic neannouncuje von a nech na nic nepocuva.Ryzen 7 3700X | SilentiumPC Fera 3 | Asrock X570M Pro4 | Patriot Viper 4 Blackout 16GB DDR4-3600 CL17 | Gainward RTX4060 Ti Pegasus 8GB | Samsung 970evo Plus 250GB NVMe | Corsair MP510 1TB NVMe | Samsung 980 Pro 2TB NVMe | Corsair RM550x | 24" BenQ GW2470H | 3x Noctua NF-S12B redux 1200 PWM
Xiaomi Mi 9 Lite 64GB
Xiaomi Mi 9 Lite 64GB
-
MaxMan
- Redaktor
- Príspevky: 1652
- Dátum registrácie: Po 18. Okt, 2004, 14:00
- Bydlisko: Liptovský Mikuláš
Re: Nastavenie MikroTiku
Toto vlákno asi opäť vstane z mŕtvych
Teraza ale k veci:
Dnes mi vypadol ADSL internet a keďže mám 3g modem a MikrtoTik má USB, rozbehal som ho v ňom (ako náhrada ADSL). Všetko šlape super, ale je možnosť predchádzať takýmto "nehodám" a nastaviť MT tak, aby prioritne vytáčal ADSL a v prípade výpadku (napr. po 10 minútach offline ADSL) naštartoval 3G ako zálohu? Samozrejme po nábehu ADSL by 3G odpojil a používal len ADSL.
Určite sa to nejak dá, len som nedošiel na to, ako to zautomatizovať.
Teraza ale k veci:
Dnes mi vypadol ADSL internet a keďže mám 3g modem a MikrtoTik má USB, rozbehal som ho v ňom (ako náhrada ADSL). Všetko šlape super, ale je možnosť predchádzať takýmto "nehodám" a nastaviť MT tak, aby prioritne vytáčal ADSL a v prípade výpadku (napr. po 10 minútach offline ADSL) naštartoval 3G ako zálohu? Samozrejme po nábehu ADSL by 3G odpojil a používal len ADSL.
Určite sa to nejak dá, len som nedošiel na to, ako to zautomatizovať.
Ani srnky netušia čo som mal/mám...
-
Hexaris
Re: Nastavenie MikroTiku
Toto je uplny zaklad a mozno postaci: http://wiki.mikrotik.com/wiki/Two_gateways_failover
Da sa to riesit scriptom, hodne toho je popisane na ispfore (https://ispforum.cz/search.php?keywords=modem+zaloha), ak ti nie je cudzia LUA dokazes sa vyblaznit kolko chces ...
Da sa to riesit scriptom, hodne toho je popisane na ispfore (https://ispforum.cz/search.php?keywords=modem+zaloha), ak ti nie je cudzia LUA dokazes sa vyblaznit kolko chces ...
-
MaxMan
- Redaktor
- Príspevky: 1652
- Dátum registrácie: Po 18. Okt, 2004, 14:00
- Bydlisko: Liptovský Mikuláš
Re: Nastavenie MikroTiku
Potrebujem trochu poradiť. Keďže Orange zaviedol FUP na xDSL a nie je schopný poskytnúť online informáciu o prenesených dátach, chcem si to poriešiť doma sám. Viem, že Mikrotik vie robiť grafy aj pre jednotlivé stroje v sieti, ale to je pre mňa nedostatočné, nakoľko nepočíta sumárne dáta. A tu je moja otázka:
Ako by sa dalo poriešiť to, aby som z Mikrotiku dostal sumárne údaje o prenesených dátach z/do internetu (UP/DOWN)? Ideálne keby sa všetko dalo nastaviť na Mikrotiku (ukladanie na Mikrotik) a následne v nejakej rozumnej forme zobraziť. A hlavne nech si to ukladá a aj pri reštarte mikrotiku nestratím sumárne dáta.
Prinajhoršom mám doma NAS čo beží 24/7/365 - tam by sa dal možno nasadiť nejaký SW, čo zbiera dáta z mikrotiku a generuje grafy/tabuľky s dátami (nginx, SQL mám - niekde som videl, že chlapík používal PHP na vyčítanie dát z Mikrotiku). Prípadne stačí aj to, že na Mikrotiku sa ukladajú len dáta v nejakej rozumnej forme (TXT,CSV,..) a tie si viem už na PC prečítať/spojiť prípadne dať do grafu v Exceli.
Určite sa chcem vyhnúť riešeniu na Windows platforme (nebeží mi nonstop).
Vedel by niekto o nejakom jednoduchom riešení? Možno mp3turbo?
Ako by sa dalo poriešiť to, aby som z Mikrotiku dostal sumárne údaje o prenesených dátach z/do internetu (UP/DOWN)? Ideálne keby sa všetko dalo nastaviť na Mikrotiku (ukladanie na Mikrotik) a následne v nejakej rozumnej forme zobraziť. A hlavne nech si to ukladá a aj pri reštarte mikrotiku nestratím sumárne dáta.
Prinajhoršom mám doma NAS čo beží 24/7/365 - tam by sa dal možno nasadiť nejaký SW, čo zbiera dáta z mikrotiku a generuje grafy/tabuľky s dátami (nginx, SQL mám - niekde som videl, že chlapík používal PHP na vyčítanie dát z Mikrotiku). Prípadne stačí aj to, že na Mikrotiku sa ukladajú len dáta v nejakej rozumnej forme (TXT,CSV,..) a tie si viem už na PC prečítať/spojiť prípadne dať do grafu v Exceli.
Určite sa chcem vyhnúť riešeniu na Windows platforme (nebeží mi nonstop).
Vedel by niekto o nejakom jednoduchom riešení? Možno mp3turbo?
Ani srnky netušia čo som mal/mám...
-
Hexaris
Re: Nastavenie MikroTiku
Mozes tahat data s queue (counter), pravidelne ho resetovat a nejak si scriptom posielat hodnotu pre konkretnu ip napr. na mail.
Pripadne cez ip accounting, len musis data niekam ukladat a co si s nimi spravis je na tebe. Data tahame v podstate dodnes takto nakolko si to externe grafujeme. Tu najdes vsetko pokope http://mikrotik.gbely.net/traff_accounting_MT.rar sice bash, perl ... ale tak v zaciatkoch nam to stacilo a ano ma to cca 10r
Pripadne cez ip accounting, len musis data niekam ukladat a co si s nimi spravis je na tebe. Data tahame v podstate dodnes takto nakolko si to externe grafujeme. Tu najdes vsetko pokope http://mikrotik.gbely.net/traff_accounting_MT.rar sice bash, perl ... ale tak v zaciatkoch nam to stacilo a ano ma to cca 10r
Re: Nastavenie MikroTiku
Toto by mohlo pomoct: https://aacable.wordpress.com/2015/03/09/5386/
Len si tam bude treba doplnit okrem RX aj TX.
Dalsia moznost by bola vyuzit snmp (prtg, librenms), avsak k tomu treba zariadenie na ktorom to pobezi. zalezi aky mas NAS, mozno by sa dal rozbehat librenms.
Len si tam bude treba doplnit okrem RX aj TX.
Dalsia moznost by bola vyuzit snmp (prtg, librenms), avsak k tomu treba zariadenie na ktorom to pobezi. zalezi aky mas NAS, mozno by sa dal rozbehat librenms.
-
mp3turbo
- Pokročilý používateľ
- Príspevky: 12258
- Dátum registrácie: St 27. Apr, 2011, 11:16
- Bydlisko: ta Blava, ňe ?
Re: Nastavenie MikroTiku
uffff tuto problematiku nemam ani zdaleka zvladnutu - som majitel AS (autonomneho systemu) a teda pocitanie dat mi nikdy neslo.
System co je direkt nadomnou ma jednu sialenost, okrem toho ze je to cele moc rozvetvene : skript c.1 ktory "rata data" naverimboha spocita download plus upload data dohromady, co je podla mojho nazoru ultrapitomost. V nasich koncinach sa udava FUP limit nie ako kombinovany traffic dohromady, ale len jednym smerom cize "mas 300GB, cokolvek pride skor upload alebo download" a castokrat je to limitovane iba na download - viac prezradi konkretny provider lebo je to interna vec.
Upozornujem na dalsi problem : neviem s akymi premennymi Mikrotik interne operuje. Neviem ci na tych mydlovych krabickach su 64bitove systemy [co by teoretickoprakticky aj mohli byt] a hlavne 64bitove premenne - napriklad v Intel svete chlapci 64bit nemaju, je tam len 32bitova verzia. Povedane inak, treba si dat bacha na to aby 2^32 nebola maximalna hodnota teda 4GB ktora pretecie velmi skoro a zacne sa odznovu od nuly. Hovorim neviem, len upozornujem na mozne uskalie. Musis to vyskusat. Ked vies ze budes stahovat nejaky film, dvd, cokolvek, proste sebadisciplina a kukat na countre nech uz si vyberies akekolvek riesenie.
Okrem moznosti vytahovat /interface get ether1 rx-byte ukazovatele skusim upozonit aj na dalsiu moznost, jednak uz spomenuty /ip accounting [velmi pekne, mas tam zaznamenany kazdy traffic z kazdej IPcky na kazdu IPcku, co je zaroven jeho najvacsi problem - prilis vela detailnych udajov ktore nemas sumarne spracovane ako potrebujes a musis to zase nejako bicyklovat skriptom] a hlavne moznost :
/ip firewall filter
print
add chain=forward action=passthrough place-before=0 comment=pocitanie-dat-pretecenych-cez-Mikrotik-router
a potom /ip firewall filter print stats
Tento PRINT STATS ti vytlaci statistiku dat pretecenych cez jednotlive filter pravidla, kedze si nadefinujeme hentake prve pravidlo "vsetko co forwarduje router teda vsetko co cez neho tecie bez ohladu na interface"... a mas cislo ktore potrebujes. To je mnozstvo dat bez rozlisenia source alebo destination IP ktore proste cez Mikrotik pretiekli.
1) bacha na lokalny trafffffic v ramci baraku. Ak mas oddelene siete routovane cez Mikrotik, bude to tam zaratane.
2) bacha na maximalne cislo ktore tato statistika dokaze napisat. Neviem kolko to je, aby to nebolo nahodou 4GB a potom od nuly. Vyskusas.
Najlepsie na tom je ze tato metoda je primitivne jednoducha a okrem malinkej sebadiscipliny nevyzaduje ziadne skriptovanie a bash a perl a dynamicke weby a neviemco. Prďák. Ano, s istymi obmedzeniami, ale ved ktora z metod popisanych vyssie ich nema...
Vyskusaj co ti padne najlepsie. Bohuzial fakt neviem poradit lepsie v tejto problematike
System co je direkt nadomnou ma jednu sialenost, okrem toho ze je to cele moc rozvetvene : skript c.1 ktory "rata data" naverimboha spocita download plus upload data dohromady, co je podla mojho nazoru ultrapitomost. V nasich koncinach sa udava FUP limit nie ako kombinovany traffic dohromady, ale len jednym smerom cize "mas 300GB, cokolvek pride skor upload alebo download" a castokrat je to limitovane iba na download - viac prezradi konkretny provider lebo je to interna vec.
Upozornujem na dalsi problem : neviem s akymi premennymi Mikrotik interne operuje. Neviem ci na tych mydlovych krabickach su 64bitove systemy [co by teoretickoprakticky aj mohli byt] a hlavne 64bitove premenne - napriklad v Intel svete chlapci 64bit nemaju, je tam len 32bitova verzia. Povedane inak, treba si dat bacha na to aby 2^32 nebola maximalna hodnota teda 4GB ktora pretecie velmi skoro a zacne sa odznovu od nuly. Hovorim neviem, len upozornujem na mozne uskalie. Musis to vyskusat. Ked vies ze budes stahovat nejaky film, dvd, cokolvek, proste sebadisciplina a kukat na countre nech uz si vyberies akekolvek riesenie.
Okrem moznosti vytahovat /interface get ether1 rx-byte ukazovatele skusim upozonit aj na dalsiu moznost, jednak uz spomenuty /ip accounting [velmi pekne, mas tam zaznamenany kazdy traffic z kazdej IPcky na kazdu IPcku, co je zaroven jeho najvacsi problem - prilis vela detailnych udajov ktore nemas sumarne spracovane ako potrebujes a musis to zase nejako bicyklovat skriptom] a hlavne moznost :
/ip firewall filter
add chain=forward action=passthrough place-before=0 comment=pocitanie-dat-pretecenych-cez-Mikrotik-router
a potom /ip firewall filter print stats
Tento PRINT STATS ti vytlaci statistiku dat pretecenych cez jednotlive filter pravidla, kedze si nadefinujeme hentake prve pravidlo "vsetko co forwarduje router teda vsetko co cez neho tecie bez ohladu na interface"... a mas cislo ktore potrebujes. To je mnozstvo dat bez rozlisenia source alebo destination IP ktore proste cez Mikrotik pretiekli.
1) bacha na lokalny trafffffic v ramci baraku. Ak mas oddelene siete routovane cez Mikrotik, bude to tam zaratane.
2) bacha na maximalne cislo ktore tato statistika dokaze napisat. Neviem kolko to je, aby to nebolo nahodou 4GB a potom od nuly. Vyskusas.
Najlepsie na tom je ze tato metoda je primitivne jednoducha a okrem malinkej sebadiscipliny nevyzaduje ziadne skriptovanie a bash a perl a dynamicke weby a neviemco. Prďák. Ano, s istymi obmedzeniami, ale ved ktora z metod popisanych vyssie ich nema...
Vyskusaj co ti padne najlepsie. Bohuzial fakt neviem poradit lepsie v tejto problematike
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
-
shiro
- Pokročilý používateľ
- Príspevky: 8558
- Dátum registrácie: Št 21. Dec, 2006, 02:00
- Bydlisko: Banska Bystrica
Re: Nastavenie MikroTiku
toto mam spravene na mikrotiku cez snmp, router posiela data cez LAN do programu networx, ktory mi bezi na pozadi v pc a robi statistiky kolko dat sa suhrnne prenieslo von a nu za den/mesiac atd.
Vysledok vyzera takto:
Vysledok vyzera takto:
Ryzen 7 3700X | SilentiumPC Fera 3 | Asrock X570M Pro4 | Patriot Viper 4 Blackout 16GB DDR4-3600 CL17 | Gainward RTX4060 Ti Pegasus 8GB | Samsung 970evo Plus 250GB NVMe | Corsair MP510 1TB NVMe | Samsung 980 Pro 2TB NVMe | Corsair RM550x | 24" BenQ GW2470H | 3x Noctua NF-S12B redux 1200 PWM
Xiaomi Mi 9 Lite 64GB
Xiaomi Mi 9 Lite 64GB
-
MaxMan
- Redaktor
- Príspevky: 1652
- Dátum registrácie: Po 18. Okt, 2004, 14:00
- Bydlisko: Liptovský Mikuláš
Re: Nastavenie MikroTiku
Ďakujem za balíček. Zbežne som to pozrel a je to dosť zložité Skúsim to však nejak prelúskať a možno to využijem.
shiro:
Dobrý nástroj, ale je na Windows Mne mašina s Windows nebeží nonstop aby zbierala dáta z Mikrotiku. Alebo je tam možnosť zbierania dát len niekedy (Mikrotik si napr. ukladá info u seba a ja z PC stiahnem len keď potrebujem)? Ak je nutné mať nonstop pustený ten soft, tak to radšej rozbehám na NASku niečo (Linux - OMV postavené na Debiane)
mp3turbo:
Problém s počítaním dát a limitom 4GB by nemal byť, nakoľko už teraz mi ukazuje firewall 90GiB na pravidle forward.
Pre mňa vyzerá najjednoduchšie /ip firewall filter print stats, len musím zistiť, ako vytiahnuť tento údaj a dať ho do súboru (po reštarte mikrotiku sa údaje anulujú), prípadne ich na mesačnej báze automaticky nulovať.
Skúsim to však nejak prelúskať a možno to využijem.shiro:
Dobrý nástroj, ale je na Windows
Mne mašina s Windows nebeží nonstop aby zbierala dáta z Mikrotiku. Alebo je tam možnosť zbierania dát len niekedy (Mikrotik si napr. ukladá info u seba a ja z PC stiahnem len keď potrebujem)? Ak je nutné mať nonstop pustený ten soft, tak to radšej rozbehám na NASku niečo (Linux - OMV postavené na Debiane)mp3turbo:
Problém s počítaním dát a limitom 4GB by nemal byť, nakoľko už teraz mi ukazuje firewall 90GiB na pravidle forward.
Pre mňa vyzerá najjednoduchšie /ip firewall filter print stats, len musím zistiť, ako vytiahnuť tento údaj a dať ho do súboru (po reštarte mikrotiku sa údaje anulujú), prípadne ich na mesačnej báze automaticky nulovať.
Ani srnky netušia čo som mal/mám...