PC Ekspert Forum - Mikrotik

PC Ekspert Forum (https://forum.pcekspert.com/index.php)

- Mreže (https://forum.pcekspert.com/forumdisplay.php?f=16)

- - Mikrotik - za početnika (https://forum.pcekspert.com/showthread.php?t=289115)

U down na maksimalnoj brzini drop na bilo kojem eth portu, drugi mirko isto.

Sent from my RMX2002 using Tapatalk

https://mikrotik.com/product/RB962Ui...tn-testresults

moralo bi to iti ..

ajd kopiraj pikčkr ip>>firewall>>filter rules

imam i ja tu igračku doma i sasvim ok radi

mada mi je gazda rb1100ahx2

Citiraj:

Autor dadoremix (Post 3540521)

Ajd
Kod kompa sam
Javi se u pm
Anydesk i pogledamo

dadoremix meštar rješio, dakle problem je bio u nekom WiFi 20/40 XX, kad je to prebacio. Na 20/40 Ce proradilo odma :D Imas pivu :chears:

Opet ja :D

Imam na windows 10 kompu pearl server hostan na 9091 portu kad sam spojen na mikrotik wifi nemogu mu pristupit, kad sam spojen na HT 4g router sve radi oke(otvoren firewall i sve to)

Izgleda da mikrotik blokira port ili pristup? RDP na taj komp radi uredno, znaci ne blokira sve portove, nego samo tog jednog... Ne vidim niti jedan firewall rule koji bi to mogao blokirati, sta jos da gledam osim firewalla?

E i da ako je komp spojen na HT(192.168.0.3) mogu mu pristupiti, jer su mikrotik i HT spojeni, a kad je komp spojen direktno na Mikrotik (192.168.1.2) onda ne mogu.
Sa kompa kad upišem full IP uredno pristupa, tako da je hostano dobro.

A gdje je spojen taj W10, na koji router ?
Po opisanom rekao bih da je na HT - ov.

Ako je jedan u 192.168.0.x a drugi u 192.168.1.x mreži to ne prolazi po defaultu,
sve van 192.168.1.x se računa kao "vanjsko" i fw blokira.

Trebaš jedan PortForward rule da prođe.

W10 je u originalu spojen na Mikrotik, sve je spojeno na mikrotik(I HT router) , ali kad posumnjam da me on nesto zeza, spojim se direktno na HT router da vidim oce li radit ili ne, da eliminiram krivca.

Mikrotik je 192.168.1.1. W10 je 192.168.1.2 servis je na portu 9091

HT je 192.168.0.1 a W10, kad ga direktno spojim na njemu je 192.168.0.3

zanimljivo je da uredno pristupim kompu na 192.168.0.3 preko uredjaja u 192.168.1.1/24 mreze kad je spojen na HT router, a kad je spojen na mikrotik direktno 192.168.1.2 ne mogu mu pristupit

Mora biti neki rule koji to dropa / koči.

Ja ovde nista ne vidim sta bi blokiralo http 9091 port a dopustalo RDP na 3xxx na 192.168.1.2. Probao sam i port promjenit ofc ali ništa.

Code:

# sep/07/2021 10:34:29 by RouterOS 6.48.3

# software id = H8IP-FT07

#

# model = RBD52G-5HacD2HnD

# serial number = D7160D9D7422

/interface bridge

add admin-mac=hide auto-mac=no comment=defconf name=bridge

/interface wireless

set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \

    country="united states" disabled=no distance=indoors frequency=auto \

    installation=indoor mode=ap-bridge ssid=Vulisha station-roaming=enabled \

    wireless-protocol=802.11

set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\

    20/40/80mhz-XXXX country="united states" disabled=no distance=indoors \

    frequency=auto installation=indoor mode=ap-bridge ssid="Vulisha 5GHz" \

    station-roaming=enabled wireless-protocol=802.11

/interface list

add comment=defconf name=WAN

add comment=defconf name=LAN

/interface wireless security-profiles

set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \

    supplicant-identity=MikroTik

/ip firewall layer7-protocol

add name="Amazon Update" regexp="^.+d1s31zyz7dcc2d.cloudfront.net.*\$|^.+amzdi\

    gital-a.akamaihd.net.*\$|^.+amzdigitaldownloads.edgesuite.net.*\$|^.+updat\

    es.amazon.com.*\$|^.+softwareupdates.amazon.com.*\$"

/ip pool

add name=dhcp ranges=192.168.1.150-192.168.1.254

/ip dhcp-server

add address-pool=dhcp disabled=no interface=bridge lease-time=8h name=defconf

/port

set 0 baud-rate=9600 data-bits=8 flow-control=none name=usb1 parity=none \

    stop-bits=1

/interface ppp-client

add apn=internet name=ppp-out1 port=usb1

/interface pppoe-client

add add-default-route=yes default-route-distance=10 disabled=no interface=\

    ether1 max-mru=1480 max-mtu=1480 name=pppoe-out1 profile=\

    default-encryption user=frankvul

/queue simple

add burst-limit=512k/0 burst-threshold=512k/0 burst-time=1s/0s dst=pppoe-out1 \

    limit-at=512k/0 max-limit=512k/0 name="Main Queue" target=192.168.1.0/24

add name=1EM parent="Main Queue" target=192.168.1.40/32

add name="Plug S" parent="Main Queue" target=192.168.1.50/32

add burst-limit=128k/2M burst-time=1s/1s max-limit=128k/2M name="Galaxy J7" \

    parent="Main Queue" target=192.168.1.248/32

/user group

set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\

    sword,web,sniff,sensitive,api,romon,dude,tikapp"

/interface bridge port

add bridge=bridge comment=defconf interface=ether2

add comment=defconf disabled=yes interface=ether3

add bridge=bridge comment=defconf interface=ether4

add bridge=bridge comment=defconf interface=ether5

add bridge=bridge comment=defconf interface=wlan1

add bridge=bridge comment=defconf interface=wlan2

/ip neighbor discovery-settings

set discover-interface-list=LAN

/interface detect-internet

set detect-interface-list=all

/interface list member

add comment=defconf interface=bridge list=LAN

add comment=defconf interface=ether1 list=WAN

add interface=pppoe-out1 list=WAN

add interface=ether3 list=WAN

/interface wireless access-list

add interface=wlan1 mac-address=hide 

add interface=wlan1 mac-address=hide 

add interface=wlan1 mac-address=hide 

add interface=wlan1 mac-address=hide 

add interface=wlan1 mac-address=hide 

add comment=OnStep interface=wlan1 mac-address=hide 

/ip address

add address=192.168.5.2/24 interface=ether1 network=192.168.5.0

add address=192.168.0.2/24 interface=ether3 network=192.168.0.0

add address=192.168.1.1/24 interface=bridge network=192.168.1.0

/ip dhcp-server lease

add address=192.168.1.151 comment="Klima Daikin" mac-address=\

    hide  server=defconf

add address=192.168.1.248 client-id=1:hide  mac-address=\

    hide  server=defconf

add address=192.168.1.120 client-id=1:hide  comment=\

    "Roborock S5max" mac-address=hide  server=defconf

add address=192.168.1.158 client-id=1:hide  mac-address=\

    hide server=defconf

add address=192.168.1.152 client-id=1:hide  mac-address=\

    hide  server=defconf

add address=192.168.1.20 client-id=1:hide  mac-address=\

    hide  server=defconf

add address=192.168.1.150 client-id=Withings mac-address=hide \

    server=defconf

add address=192.168.1.160 client-id=1:hide mac-address=\

    hide  server=defconf

/ip dhcp-server network

add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24

/ip dns

set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8,192.168.1.1

/ip dns static

add address=192.168.1.1 comment=defconf name=router.lan

/ip firewall filter

add action=accept chain=input comment=\

    "defconf: accept established,related,untracked" connection-state=\

    established,related,untracked

add action=drop chain=input comment="defconf: drop invalid" connection-state=\

    invalid

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=accept chain=input comment=\

    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1

add action=drop chain=input comment="defconf: drop all not coming from LAN" \

    in-interface-list=!LAN

add action=accept chain=forward comment="defconf: accept in ipsec policy" \

    ipsec-policy=in,ipsec

add action=accept chain=forward comment="defconf: accept out ipsec policy" \

    ipsec-policy=out,ipsec

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \

    connection-state=established,related disabled=yes

add action=accept chain=forward comment=\

    "defconf: accept established,related, untracked" connection-state=\

    established,related,untracked

add action=drop chain=forward comment="defconf: drop invalid" \

    connection-state=invalid

add action=drop chain=forward comment=\

    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \

    connection-state=new in-interface-list=WAN

add action=drop chain=forward layer7-protocol="Amazon Update" protocol=tcp \

    src-port=80,443

/ip firewall nat

add action=masquerade chain=srcnat comment="defconf: masquerade" \

    ipsec-policy=out,none out-interface-list=WAN

/ip route

add check-gateway=ping distance=20 gateway=192.168.0.1

/ip service

set telnet disabled=yes

set ssh disabled=yes

/system clock

set time-zone-name=Europe/Zagreb

/system logging

add topics=wireless,debug

/tool graphing interface

add interface=pppoe-out1

/tool graphing queue

add simple-queue=1EM

add simple-queue="Galaxy J7"

add simple-queue="Main Queue"

add simple-queue="Plug S"

/tool mac-server

set allowed-interface-list=LAN

/tool mac-server mac-winbox

set allowed-interface-list=LAN

/tool netwatch

add disabled=yes down-script="/interface ethernet disable ether1 \

    \n\r\

    \n /interface ethernet enable ether1" host=213.191.128.9 interval=8s \

    timeout=2s

/tool traffic-monitor

add interface=bridge name=tmon1

Citiraj:

Autor OuttaControl (Post 3544057)

Nisam to dugo radio, ali ako se dobro sjećam, trebao bi na tom portu gdje je uštekan uređaj iz drugog subneta (HT) u mtiku dodijeliti adresu, npr. 192.168.0.2/24.

Nakon toga postaviti NAT, znači /ip firewall nat add action=masquerade.... out interface = taj isti port di je HT krama.

Taj prvi dio sam i odradio ali nije problem kad je W10 ustekan u HT, tu i je caka, problem je kad je samo mikrotik u pitanju.Da sve uredjaje odspojim ostavim:
Mikrotik + W10 server + W10 klijent = ne radi
HT + W10 server + W10 klijent = radi

jos opcija
HT+ W10 server<->Mikrotik + W10 klijent = radi

ali nije mi opcija da mi je W10 spojen na HT, mora bit spojen na mikrotika.

HT router koristim samo za provjeru jel do mikrotika il nije :D I posto radi na HTu uredno zakljucak mi je da je do mikrotika nesto samo opet neman pojma sta, prosli put je dadoremix spasio sa wifi XX Ce čudima, pa da nije opet tako neka glupost.

Ajd za početak ugasi fw na mikrotiku pa probaj prolazi li tad. Ako da, onda je isgurno do fw-a; onda opet uključi fw pa prati na kojem rulu se povećava count kad probaš pristupiti 192.168.1.2.

Koliko sam shvatio iz tog što pišeš i iz konfe, i taj W10 server i W10 klijent su u mreži 192.168.1.0/24 (server pišeš da je 192.168.1.2 dakle je, ali klijent)?

Na eth3 je HT, a što je na eth1?

Meni se čini da njemu HT router ima interno neki NAT posložen pa dok je komp na njemu (subnet 192.16.0.0/24) onda mu HT to routa na 192.168.1.0/24.
Obrat ne radi jer na mtiku nema NAT rule?
Ali nisam ziher jer sam se zagubio po postovima gore i gdje je koji uređaj :)
A zašto nisu svi uređaji u istom subnetu ako već mora biti prometa među njima je isto pitanje :)

Oke, ovakova je situacija:
Imam Mikrotika na 192.168.1.0/24 kao glavni router
Imam Iskon Internet ZyXel na ETH1 192.168.5.0/24 , na kojeg se spajam pppoe i on apsolutno ničem drugom ne služi
Za failover imam 4G ZTE HT router na ETH3 192.168.0.0/24 .
EHT2 je projekt na pauzi, ostatak uređaja je spojen putem WiFija

Svi ostali uređaji su spojeni na Mikrotika jer je to glavna mreža, znači svi uređaji su na 192.168.1.0/24

Od uređaja, da ne nabrajam sve, u ovoj priči su bitni Windows 10 Komp (Server) i Windows 10 Laptop (Klijent)

Kad su Server i Klijent povezani na Mikrotika, kako prirodno i trebaju biti, imaju IP adrese iz subneta 192.168.1.0/24 ne mogu pristupiti portu 9091 na Serveru sa Klijenta.

U tom trenutku na HTovom ZTE uključim WiFi, i Server i Klijent spojim na ZTE (oboje dobiju IPjeve iz 192.168.0.0/24), znači da rade 100% neovisno od Mikrotika, uredno pristupam portu 9091 na Serveru sa Klijenta.

I ovo je sad fun fact informacija ako je bitna:
Kad Server ostavim spojen na ZTE-a, a Klijenta vratim na Mikrotik, mogu pristupiti Serveru na 192.168.0.3:9091, ali ja ne želim da server bude u drugom subnetu, svi moraju bit u 192.168.1.1/24

Nadam se da sam rasčistio malo đumbus :D

Probat cu to sa firewallom cim stignem.

Da vidimo da li je problem u LANu ili WLANu:

Znači problem je što Windows 10 Laptop (Klijent) ne može do servera kad su oba na mtiku. Samo taj port ili općenito?

Kako su spojeni server i klijent na mtika kad se ne vide, oba preko žice ili preko wlana ili mix?

I mislio sam si da nije do NAT-a, a očito niti do WAN-a jer su u istom subnetu.
Treba vidjeti i je li do FW i ako da, u kojem dijelu ga odreže.

Ping prema serveru prolazi, ali spajanje na port 9091 ne?

Jap jap, ping, čak i RDP prolazi što je najčudnije, ali custom port (9000 i 9091) nece nikako...

Sad sam sve ruloeove gasio jedan po jedan i opet nema pristupa :(

Ugasio sam sve ruleove odjednom, opet ništa...

Sve je preko WLANa spojeno, i samo taj port ili custom portovi općenito

Pucam na slijepo, ali restart mikrotika je napravljen?

rijesio sam svoj problem. nije problem u mirku niti u kabelu, vec u mreznoj na mbo.
usb eth radi bez greske.

Da nije koja od novijih Realtek - ovih ?
Dosta ih ima sprčkane drajvere i posljedično loše rade.

ASRock B450M PRO4-F - realtek eth

Ah, da, 8111GR,
za sad si riješio via USB ali gledaj ako gdje naleti povoljno Intel 210 / 211 pci-e mrežna.

A windows firewall rule za server, da nije samo na private postavljen, a za public nije?

Sent from my Mi Note 10 Lite using Tapatalk

ma sve koliko toliko radilo ok do danas.
prosli mj. na full down brzini pocelo gubit pakete i port down ode na nekoliko minuta, no danas nisam ni bio za kompom i standardni promet. nece vise da pokupi ip i flipa port.
u linuxu ista situacija.

preko usb nikakvih problema.

@Nikky, bez obzira sto pise HP, bi li ovo radilo, LINK?

Nema veze šta je izdana pod HP brendom, mislim da je na pcb - u znak Intel - a,
naravno da bi radila,
htio sam ti napisati da nađeš povoljniju cijenu ali vidim da je po DE i skuplje.

Da se ne zezam s mijenjanjem postavki postavit ću ovdje pitanje.
Trenutno imam disc lite 5 ac u ruter modu, uključen dhcp i nat na njemu i na njega povezan Honor 3 ruter u ap modu i on pokriva cijelu kuću i dio dvorišta wifi signalom.
Nabavio sam hap ac2 i sad njega ubacujem između diska i Honora, a na njega će još ići jedan switch i moguće još jedan vanjski ap za pokriti komplet dvorište. Sad me zanima kako postaviti ta dva mikrotika, na kojem uključiti dhcp, disk ostaviti u ruter modu ili prebaciti u bridge?

Citiraj:

Autor spaceman (Post 3547352)

Meni ovako izgleda kao da će ti hap ac2 fizički biti centralna točka mreže.
Ja bi osobno na njega digao sve servise i glavni izlaz na internet, ostalo bi mi bilo postavljeno kao ap-ovi.

honor 3 u ruter modu ?
dhcp isto on ?
ako je mikrotik disc ac gazda .. sve ostalo je u čistom briđu i samo AP radi
a gazduje disc sa rutama, dhcp itd ..

tako i tak novi ac2 .. stavis u WISP mode . i to je to.
sa time da prvo kad ga uključiš .. klineš na REMOVE config
i onda preko quick setupa samo odaberes WISP mode i bok

jer sam primjetio tj doživio da u zadnjem buildu ako prihvatis bazni config .. onda ne prabaci dobro u WISP .. dhcp ostane sa 10.0.0.0 adreso i bljuzga gluposti

Honor 3 ruter je u ap modu i služi samo da pokrije kuću wi-fi signalom. Da prebacim disk u bridge i isključim na njemu dhcp ili da ac 2 ide u taj wisp mode, šta je bolje?

pa ako imas sve namjesteno i samo moras dodati Ap
stavi ac2 u wisp i gotovo

zašto se sad zajebavat

ako ideš kemijat i mijenjat koji je glavni, ako disc ostaviš iza wan porta ostat ćeš mu bez pristupa.
ostavi sve kako je, ionako bilo koji tik radi na isti način i hardver u disc-u je sasvim sposoban kućnu mrežicu održavat.