PC Ekspert Forum
Stranica 1 od 2 1 2
Show 40 post(s) from this thread on one page

PC Ekspert Forum (https://forum.pcekspert.com/index.php)
-   Mreže (https://forum.pcekspert.com/forumdisplay.php?f=16)
-   -   hakiran mi je mikrotik router, help firewall (https://forum.pcekspert.com/showthread.php?t=294755)

jp_rv 29.09.2018. 17:29
hakiran mi je mikrotik router, help firewall
 
noćas je nekome očito bilo dosadno, i hakirao mi je mikrotik glavni router, koji diže pppoe i općenito služi cijelu mrežu.
bilo mi je čudno jer na nekim kompovima mi je net radio, na nekima ne, a onda sam skužio da mi winbox više ne pokazuje taj router, iako ga i dalje mogu pingat.
kad sam došao fizički do njega , nisam se mogao spojit na njegov wifi, a kabelom me nije puštao unutra (promijenili su password).

nakon šta sam popizdio i resetirao ga na default, probao sam vratiti config, ali i tu je mikrotik govno i javlja grešku "interface already exists" kad radim restore.

ukratko, molim nekoga da mi kaže kako podesit firewall i kako onemogućit pristup routeru izvana. ne želim niti da odgovara na ping, niti da mu se može pristupiti preko niti jednog servisa (http, winbox, telnet, ssh).

znači vi kojima je mikrotik "glavni" u mreži, molim lijepo, firewall rule-ove da je apsolutno sve iz wan -> lan zabranjeno.

Nikky 29.09.2018. 18:27
Pa imaš na netu objašnjenja / rule - ova,
ako me sjećanje služi poznato je "upadanje" preko DNS i/ili WinBox porta,
u principu trebaš podavit "sumljive" konekcije izvana na portu koji ti je WAN tj. Dial-Up

Prvo digni zadnju stabilnu verziju pameti i stavi dužu šifru pa onda sve po redu ...

Materijal:
http://wirelessconnect.eu/articles/s...outer_firewall
https://wiki.mikrotik.com/wiki/Manua...ng_Your_Router
Securing RouterOS router - MUM - MikroTik > https://mum.mikrotik.com/presentatio...1441096994.pdf
poviri i ovdje za primjere QoS + zaštita > https://klseet.com/213-tm-unifi/unif...otik-rb750-qos
ne zaboravi da trebaš "prilagoditi" tvojoj situaciji tj. interface name,
a evo primjera zaštite > https://klseet.com/213-tm-unifi/unif...all-a-security

dadoremix 29.09.2018. 18:57
@ jp_rv

koju verziju si imao sw-a ?

jp_rv 29.09.2018. 19:39
bio (i ostao) na 6.38.7 .

je, dodao sam hrpetinu drop rule-ova, i ugasio sve servise osim www i winboxa. testirao, još uvijek je javlja na ping izvana, ali preko niti jednog servisa mu se ne može pristupit, telnet/ssh ne otvaraju konekciju tako da mislim da je sad OK (a log se crvenio dok nisam ubio ssh, očito sam nekom botu na piku, a username je varirao tp-link , ubnt, root, admin).

sad se mučim sa ddns skriptom, gledam backup, gledam skriptu s neta, sve je ok, ali ne update-a ddns.

sad se treba sjetit jos svih portova koje sam imao otvoreno -.-

vezano za napad, tikovi imaju bug, nije hakiran password, nego se netko domogao backupa, dekriptirao backup pa iz njega izvukao password.

ono šta me ljuti da se ne može vratit konfiguracija, sa iste verzije softvera.
sve manje i manje mi se mikrotici sviđaju. jedino di su OK je kao vanjski AP, ove konfiguracije i miljardu stvari za podesit za najmanju glupost uzima jako puno vremena. kao kućni ap-ovi su preslabi, a kao routeri te ubije konfiguracija.
tamo gdje svi ostali proizvođači imaju kvačicu, na ovome imaš pol sata drkanja.

dadoremix 29.09.2018. 19:47
upgrejdaj brate
jer budu opet došli unutra
preko winbox porta ti uđe .. odi malo na mikrotik stranicu i čitaj update log



udri na zadnji stable
nemaš se čega bojat, ili ? zašto ne updejtaš ?




a bekap bi se morao vratit bez problema


baci ga na tvornički setup

uđeš unutra preko mac-a i restore bekap .. nadam se da imas bekap i na kompu ili imas samo taj koji je unutra ?
jer taj je očito modificiran

Matta 29.09.2018. 19:48
Citiraj:
Autor jp_rv (Post 3234095)
bio (i ostao) na 6.38.7 .

A oni trube već mjesecima da se nadogradi firmware. Jebiga, nije njihova greška, tvoj firmware je star godinu i 4 mjeseca.

jp_rv 29.09.2018. 20:34
jer ja zaista svaki dan visim na forumu od mikrotika. :lol2:

ne volim update-at jer me uvijek strah da će se nešto zajebat u postupku. čitao sam da bi se tik znao zaglavit ponekad uslijed update-a sa neke specifične verzije na neku drugu specifičnu verziju. bio sam se preznojio kad sam na repeateru lupio update, dok nije opet došao online. da se zablokirao mogao sam se pozdravit s netom do daljnjeg.
na sxt-ovima koji su mi fizički nedostupni nisam nikad dirao, nego ostavio ono šta je tvornički došlo s njima (6.34).

@dado - imam backup na kompu. ali kad ga vratim, javi gore navedeni error.
sad sam već upogonio dosta toga, gledam u backup i dodajem stvari. jebe me prvenstveno ddns. neznam zašto neće update-at. koristim dynu i njihovu skriptu, ali ne radi.
i ok, update-at ću ga. jednostavno nisam išao za tim da bi se ovako neka glupost mogla dogodit.

dadoremix 29.09.2018. 20:39
ja ti na našoj lokalnoj mreži cca 94 uređaja . lupam svako malo updejt


jedino ekipa poludi jer se meni digne to radit u petak ili nedelju poslije 22/23h
pa mi hebu sve po spisku kad net ode i dođe pa opet ode :D


al za 30 min je sve gotovo


al da, istina je .. zna ponekad zaglavit .. al bilo je to na starijim verzijama
sad ne zaglavi, ali se preznojiš da digne se, ali neki njihov novi "feature" ne radi kak treba, a na stable kanalu sam .. pa onda pizidš i dorađuješ opet config ili se vračaš


zato sam se naučio pričektat 2-3 dana ili tjedan dana pa onda udaram updejt


ako ne središ dyndns .. imam ti ja skriptu

ali ide preko dns-o-magic pa on roka na dyndns

domis 29.09.2018. 21:03
moguće da je u pitanju vpnfilter, good luck :)

https://blog.talosintelligence.com/2...VPNFilter.html
https://blog.talosintelligence.com/2...er-update.html


također, ove godine je bio aktualan i neki mikrotik botnet :)
https://security.radware.com/ddos-th...krotik-botnet/

jp_rv 29.09.2018. 21:13
skinuo, i pukne mi upload na 6.7MB / 7.3MB. storage dođe do 0%.

ako idem na autoupdate, javi da nema pristup netu, (can't resolve dns request).

malo mi je idiotski da je to glavni router, a nema pristup netu sam za sebe.

onda sam skinuo 6.40, i taman ostalo 1% free. rebootam, i ne desi se ništa.

dadoremix 29.09.2018. 22:41
pod files?
šta sve imas?
btw pa koji to ruter updejtas?
hap lite ?

jp_rv 30.09.2018. 08:59
pod files nemam ništa , ima 5-6 malih fajlova i jedan od 500KB.
je, hap lite, rb941. imam 7MB disk free, i cca 3.8MB ram free.

dadoremix 30.09.2018. 10:16
A kak nemas nikaj?
Obrisi sve
Bekap potegni u komp i probaj

Imali su nedavno problem da su se neki fajlovi ne brisali pa se punio flash
A i sad nakon upgrade bude vukao iz rama upgrade

Mac_F 30.09.2018. 20:04
Citiraj:
Autor jp_rv (Post 3234116)
jer ja zaista svaki dan visim na forumu od mikrotika. :lol2:
pretplatiš se na mail listu pa ti jave za kritične propuste i hitne nadogradnje

Citiraj:
Autor jp_rv (Post 3234116)
ne volim update-at jer me uvijek strah da će se nešto zajebat u postupku.
onda ga drži na long-term verziji (bugfix po starom) koji se ne mijenja često, ne mijenjaju sintaksu, ne dodaju nove feature, ali krpaju rupe. Trenutni je 6.40.9

Citiraj:
Autor jp_rv (Post 3234116)
@dado - imam backup na kompu. ali kad ga vratim, javi gore navedeni error.
sad sam već upogonio dosta toga, gledam u backup i dodajem stvari. jebe me prvenstveno ddns. neznam zašto neće update-at. koristim dynu i njihovu skriptu, ali ne radi.
i ok, update-at ću ga. jednostavno nisam išao za tim da bi se ovako neka glupost mogla dogodit.
Imaš .backup file ili /export sa routera? /export za neke stvari ne prolazi, pogotovo ako imaš defaultnu konfu, zato možeš resetirati na nulu sa "/system reset-configuration no-defaults=yes" pa primijeniti export. Backup bi trebalo restorati na istu verziju rOS-a na kojoj je napravljen, inače zna radit probleme.

Citiraj:
Autor jp_rv (Post 3234122)
ako idem na autoupdate, javi da nema pristup netu, (can't resolve dns request).

malo mi je idiotski da je to glavni router, a nema pristup netu sam za sebe.
Malo vjerojatno, ali ako ti mikrotik-ov uplink interface ima privatnu adresu koja nije rutabilna, npr. privatni point-to-point /30 onda će ti probati sa te adrese pristupati internetu, što se može riješiti sa src-natom. Ne znam kakav ti je setup mreže za detaljnije upute.

A što se tiče firewalla ako hoćeš zabraniti sve izvana, mislim da to imaš u defaultnom firewallu gdje kaže chain=input action=drop src-address=!192.168.0.0 ili kaj je već lokalna iz koje želiš pristup. input chain ti nema veze sa routingom tj forwardingom.

jp_rv 01.10.2018. 15:16
testirao danas s posla, sve zatvoreno, ne prolazi ni 80, ni 8291, ni ssh, telnet... tako da valjda sam sad na miru.

i dado - ne radi mi skripta i dalje. pošalješ mi tvoju plz?

dadoremix 01.10.2018. 15:52
Code:


# DNSoMatic automatic DNS updates
#--------------- Change Values in this section to match your setup ------------------
# User account info of DNSoMatic

:local maticuser USER_OD_DNS_O_MATIC
:local maticpass PASS_OD_DNS_O_MATIC

# Set the hostname or label of network to be updated. This is the part after the double colon (::) on the DNSoMatic services page.
# Hostnames with spaces are unsupported. Replace the value in the quotations below with your host names.
# To specify multiple hosts, separate them with commas.
# Use "all.dnsomatic.com" for the matichost to update all items in dnsomatic with this IP.

:local matichost HOST.dyndns.XXX

#NEW
:global previousIP;
:global currentIP [:resolve myip.opendns.com server=208.67.222.222];

:if ($currentIP != $previousIP) do={
    :log info "DNSoMatic: Update needed"
    :set previousIP $currentIP
   
# The update URL. Note the "\3F" is hex for question mark (?). Required since ? is a special character in commands.
    :local url "http://updates.dnsomatic.com/nic/update\3Fmyip=$currentIP&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG"
    :local matichostarray;
    :set matichostarray [:toarray $matichost];
    :foreach host in=$matichostarray do={
        :log info "DNSoMatic: Sending update for $host"
        /tool fetch url=($url . "&hostname=$host") user=$maticuser password=$maticpass mode=http dst-path=("dnsomaticupdate-" . $host . ".txt")
        :log info "DNSoMatic: Host $host updated on DNSoMatic with IP $currentIP"
    }
}  else={}



evo ti skripte ..

scheduler znaš valjda slozit ili ?




Code:


/system scheduler
add interval=5m name=dnsOmatic_run on-event="/system script run dnsOmatic" \
    policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=feb/01/2017 start-time=23:56:00

Dakle na dns-o-matic stranici imam acc
tamo sam upisao dyndns podatke
user i API key .. ne password
i tako radi ok..
ako zapneš .. javi se

jp_rv 01.10.2018. 22:05
kako da ovo radi na dynu?

moja je tu, i trebala bi raditi, ali ne radi. i nije do schedulera, jer ni kad lupim ručno run script, ne odradi update.
može li bit da sam router nema pristup netu jer sam ubio sve živo u firewallu?

Code:
#############################################
# DYNU SCRIPT for Mikrotik , DSL Modem BRIDGE MODE,
# Wan dialing is done by mikrotik so public ip is on mikrotik directly
# CHANGE THE FOLLOWING ACCORDING TO YOUR CREDENTIALS
# Syed Jahanzaib / aacable at hotmail dot com
# ####################################################
 
:global ddnsuser bblablauser
:global ddnspass "blablapassword"
:global theinterface "pppoe_out1"
:global ddnshost "bablabla.org"
 
#### Donot change below this line ####
 
:global ipddns [:resolve $ddnshost];
:global ipfresh [ /ip address get [/ip address find interface=$theinterface ] address ]
:if ([ :typeof $ipfresh ] = nil ) do={
:log info ("DynuDDNS: No IP address on $theinterface .")
} else={
:for i from=( [:len $ipfresh] - 1) to=0 do={
:if ( [:pick $ipfresh $i] = "/") do={
:set ipfresh [:pick $ipfresh 0 $i];
}
}
:if ($ipddns != $ipfresh) do={
:log info ("DynuDDNS: IP-Dynu = $ipddns")
:log info ("DynuDDNS: IP-Fresh = $ipfresh")
:log info "DynuDDNS: Update IP needed, Sending UPDATE...!"
:global str "/nic/update?hostname=$ddnshost&myip=$ipfresh"
/tool fetch address=api.dynu.com src-path=$str mode=http user=$ddnsuser password=$ddnspass dst-path=("/Dynu.".$ddnshost)
:delay 1
:global str [/file find name="Dynu.$ddnshost"];
/file remove $str
:global ipddns $ipfresh
:log info "DynuDDNS: IP updated to $ipfresh!"
} else={
:log info "DynuDDNS: dont need changes";
} }
 
####################################################
edit
upravo je router umro bez da sam mu išta napravio.
sve sporije i sporije otvarao net, na kraju umro skroz. mogu ga pingat, ali winbox ga ne vidi, i ne mogu mu pristupiti niti preko browsera.
dok pišem post došao sebi, ali dobrih 5 minuta je bio mrtav.

http://i68.tinypic.com/259cykx.jpg

nemam ja živaca za ove pizdarije.

evo firewall ss-a.
http://i66.tinypic.com/aak7ph.jpg

Pomo 02.10.2018. 04:38
Oće i Mikrotik krepucnut, eno moj RB2011 u smetju.
Doduše triput ga je grom zvizno...
Što se pristupa Internetu s routera tiče, imaš u winboxu new terminal, pa ping 8.8.8.8 i ping google.com.
A za ovu skriptu, imao sam i ja slično za freedns.afraid.org.
Ne vidim potrebe za time pored IP->Cloud, osim čitljivosti domene, ali zapišeš si negdje i bok.

Matta 02.10.2018. 07:01
Citiraj:
Autor Pomo (Post 3234882)
Oće i Mikrotik krepucnut, eno moj RB2011 u smetju.
Doduše triput ga je grom zvizno...
:lol2::lol2::lol2:
:dobar:

jp_rv 03.10.2018. 09:55
da li ovo znači da je tik u fazi umiranja ipak?
http://i65.tinypic.com/awx57b.png

već vidim da se vraćam na openwrt za glavni router.

dadoremix 03.10.2018. 10:29
Koji sw?
Koji ruter

Neki modeli imaju problema sa out of memory na zadnjem sw-u koliko sam vidio prijave na forumu

Rokni ga netinstall-om i format uz to neka napravi
Nebude crklo... kod mikrotika krepava samo strujni adapter i stariji rb-i kondiči

jp_rv 03.10.2018. 11:07
paaa - hap lite. nije da sam kupio novi.
ista verzija kao gore napisana, kad ga nisam uspio update-at.
ne mogu netinstall, nemam fizički pristup do njega do kraja 10. mjeseca.

dadoremix 03.10.2018. 11:13
hap lite je da bude samo AP ..

ne neki ruter .. a kaj sad .. bude došao i taj kraj 10-ti mj ..

do onda vjezbaj how to netinstall

jer ponekad ne ide iz prve .. ako imas krive korake ili pa te windowsi ne vole .. hint firewall

jp_rv 17.10.2018. 20:47
ok ide novi router.

danas sam se igrao sa ubiquiti air routerom (ali gore je openwrt).
da uzmem air router sa openwrt-om? air router sa originalnim firmverom?
ili neki jači tp-link tipa 1043 (64mb ram, 16mb flash, gigabit) koji ima openwrt gore?

treba mi za:
normalan vdsl pppoe i cjelokupan ruting u mreži (to sad radi mikrotik hap lite). uključuje ddns i port forwarding.
wifi normalan / nelimitiran (to trenutno isto radi mikrotik hap).
wifi guest limitiran u drugom subnetu na 10/1 mbit (imam dedicirani AP za to trenutno).
failover sa druge linije (to trenutno mi niti jedan ne radi, radim ručno po potrebi)
wifi 3 sa druge linije (imam dedicirani AP za to trenutno).

bi li za ijednu kombinaciju gore navedenih zahtjeva mogao koristiti tvornički OS sa ubiquiti routera, ili mora openwrt?

jp_rv 18.10.2018. 15:55
uzeo na kraju tp-link tl-wr1043 v5 (64mb ram).
podesio gore svašta, 3 wireless-a, limit brzine na guest wifi-ju, 3 subneta.
jedino nisam uspio riješiti multiwan niti dignuti neki jednostavan vpn server.

po pitanju dometa, pretpostavljam da će pojesti mikrotika. uglavnom sa jednim routerom sam zamijenio trenutna 3.

je da košta skoro 300kn...

Cuky 18.10.2018. 20:08
To je nikakva cifra za router. Posten home router je u rangu cijene od 500-1200 kn.

dadoremix 18.10.2018. 20:28
I radi sve isto ko i ovaj gore
Svaka roba ima svog kupca
Kao mi mazohisti sa mikrotikom

Cuky 18.10.2018. 20:30
Ma znam. Osobno vrtim mtik hap ac2 i super sam zadovoljan. Radi odlicno i za te pare je avion.

Vise sam se referirao na kolegin osvrt na cijenu :)

jp_rv 18.10.2018. 21:59
hah, ako usporedim sa hap lite-om i hap lite mini-jem, ovo je skupo :P

hap lite ću probat dignut na zadnju verziju ros-a preko netinstall, i bit će samo AP, umirovit ću rb433. odnosno prodat ga.

ovaj tp-link izgleda ko avion... sad ću se opet trebat učit openwrt, svaku sitnicu posebno instalirati.

Matta 19.10.2018. 07:08
Citiraj:
Autor dadoremix (Post 3239990)
Svaka roba ima svog kupca
Kao mi mazohisti sa mikrotikom

:lol2::lol2::chears:


Sva vremena su GMT +2. Sada je 18:19.
Stranica 1 od 2 1 2
Show 40 post(s) from this thread on one page

Powered by vBulletin®
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 1999-2024 PC Ekspert - Sva prava pridržana ISSN 1334-2940
Ad Management by RedTyger