PC Ekspert Forum - Mikrotik

PC Ekspert Forum (https://forum.pcekspert.com/index.php)

- Mreže (https://forum.pcekspert.com/forumdisplay.php?f=16)

- - Mikrotik - za početnika (https://forum.pcekspert.com/showthread.php?t=289115)

Ne znam čime pristupaš Mikrotiku, možeš li vidjeti u logu šta se desilo.

Ja obično prilikom konfiguracije:
- izgasim sve servise preko kojih ne pristupam (ostavim samo winbox i telnet). To je pod IP=>Services
- promijenim port preko kojeg pristupam da nije defaultni (defaultni je 8291)
- nakačim dobar password.
Otkad su servisi pogašeni i defaultni port promijenjen nemam više pokušaja pristupa u logu mimo mojih IP adresa. :D

Citiraj:

Autor BlackDwarf (Post 3830399)

ja obavezno kod friske konfiguracije prvo kreiram novi user i pass. onda se ulogiram s njime i obrisem default user.
nikad problema s time nisam imao.

ne samo to, portovi za api i winbox ne bi smjeli biti otvoreni izvana

Ma da i ja prodjem taj "default mikrotik security" nego sam isao testirati brzinu BTH direkt vs relay prije nego sto sam sve to konfigurirao i onda sam "nabrzinu" nesto izletio iz kuce pa je to potrajalo 2 sata i primjetio sam negi lag na netu(700mbps promet, a net mi je max 200) i nakon toga sam opet internet router vratio u Router mode sa Bridge, ali ocito je to bilo dovoljno vremena da se desi sranje i netko je vec usao, tek sam jutros skuzio da mi je nestao WiFi, te nakon toga sam isao uci u terminal vidio no premissions, novi user "system",
onda sam ga netinstall na backup od v6 pa opet digao na v7.

Svakako mi je iznenadilo da me je haknulo u vjerojatno sat vremena, mislim da je nakon restorea ostao admin user, mozda sam ga i ja enableao, čak bez passworda, vjerojatno je to bio glavni entry point.

Citiraj:

Autor Matta (Post 3830417)

Cek.... ne kuzim - pa po defaultu je sve zatvoreno na WAN portu. Cemu to?

Citiraj:

Autor Ivan357 (Post 3830418)

ne samo to, portovi za api i winbox ne bi smjeli biti otovreni izvana

a to svakako, i gasim pristup telnet, web..

Ja ne gasim nego stavim samo lokalni pristup, tj telnet i ssh gasim jer ih ne koristim web, api i winbox ostavljam.

I dalje mi je najveca fascinacija koliko se brzo to odigralo očekivao bih bar neko duže vrijeme, očito se ti scanovi vrte konstatno i stalno pingaju dostupne ipv4 adrese i ocito jako brzo dodju do otvora - u mene ftp - kojeg ne koristim, vjerojatno neki leftover od update upgradea i mog igranja, ali uglavnom dosta se brzo to odiralo i ocito je jako bitno odma prvo setupirat sigurnost, pa onda sve ostalo.

A ja se veselio što prije probati BTH :D

Žao mi je što nisam mogao vidjeti što su mi hakeristanci podvalili jer su mi ogranicili pristup. Vjerojatno neke scan scirpte fake dns i tako

Citiraj:

Autor Nick7 (Post 3830424)

Cek.... ne kuzim - pa po defaultu je sve zatvoreno na WAN portu. Cemu to?

po kakvom defaultu? mislim da većina nas nakon prvog paljenja mikrotika napravi system reset no defaults, da maknemo svu onu skrivenu automatiku.
a kolega kaže da je radio upgrade svog routera i pogasio si fw rule-ove.
tako da - vjerojatno bilo dovoljno. čim mikrotik dobije javnu ip, počinje veselje.

ja i dalje nevjerujem koji je preporod bio sa openwrt-om, nula ničega već 7-8 godina. wan input reject i ćao.

Ne znam... meni Mikrotik super radi.
Imao default rulove, dodao svoje, i sve radi super bez problema.
Da je teze/kompleksnije ga konfati - je, ali kad se slozi, onda radi.

Mikrotik - za početnika

Ja ostavim defaultne firewall ruleove i dodam nove s kojima rejectam bilo kakve DNS querryje izvana (tcp, udp) te ugasim DNS server na mtiku.

Zatim prvo kreiram novog admin usera, defaultnog brisem.

Uz to pogasim sve servise koje ne koristim, prakticki ostavim samo winbox i ssh.

Zatim te servise koje koristim limitiram samo na one subnete iz kojih zelim da im se moze pristupati. Isto to primjenim i za usera s kojim se logiram.

I onda na kraju mac telnet i winbox server ostavim samo za pristup kroz lokalni lan.

Eto, s takvom konfiguracijom nemam zabiljezenih pokusaja logina izvana i sve fino pouzdano radi.

Citiraj:

Autor Cuky (Post 3830643)

ovo prvo je nepotrebno, defaultno su sve nove konekcije izvana blokirane

Dvaput je dvaput, a fata je fata 😃

OpenVPN upute:

Evo ako će netko slučajno trebati, step by step kako podesiti open VPN da radi na Miktrotiku. I čak radi vrlo pristojno na običnom HEX-u:

1. Bridge
2. + (add new)
3. ime - "vpn_bridge"
4. IP - adresses
5. + (add new)
6. 10.10.251.1/24 i vezati na "vpn_bridge"
7. IP - Pool
8. + - "vpn_pool"
9. dodati adresses npr 10.10.251.101-10.10.251.199
10. System - certificates
11. + name - "opnvpn-CA" (key-cert-sign, crl-sign, validity 3650 days common name "openvpn-CA")
12. + name - "opnvpn-server" (digital signature, key encipherment, tls server) common name "openvpn-server" validity 3650 days
13. + name "opnvpn-client" (digital signature, key encipherment, tls client) common name "ovpn-client" validity 3650 days
14. desni klik na opnvpn-CA "sign" - sign
15. desni klik na "opnvpn-server" sign (sign with opnvpn-CA) - sign
16. properties od opnvpn-servera i zaklikati "trusted certificate"
17. desni klik na "opnvpn-client" sign (sign with opnvpn-CA) - sign
18. Export client certifikata u PEM oblliku (obavezno staviti lozinku)
19. Export CA certifikata
20. podesiti Open VPN server na željeni port (1194), default proile se odabere openvpn-profile i certifikat openvpn-server.
21. IP - Firewall - + - Chain "input" - protocol (6,tcp), dest port 1194 (ili željeni podešeni gore), action "accept"
22. PPP profiles - Name "ovpn-profile", local address 10.10.251.1, remote address je "vpn_pool"
23. PPP OVPN Servers, +, Name "ovpn-server1", port 1194 (ili željeni", tcp, Certificate "ovpn-server", ostaviti zaklikano Require ClientCertificate, zaklikati samo sha256 i "aes 256 cbc", "Redirect Gateway" na "def-conf"
24. PPP - Secrets, Ime, Password, Service ovpn, Profile "ovpn-profile"
25. PPP - OVPN Servers i odabrati server. Kad se otvori prozor na desnoj strani kliknuti na "export .ovpn". Pod IP adresu upisati vanjsku IP adresu ili DynDNS servis, CA certifikat, Client certifikat i Client key (dobiveno na exportu certifikata, Files na routeru)
26. Files - odabrati ovpn file i downloadati ga na PC.
27. Downloadati OpenVPN connect i učitati downloadani file
29. za DynDNS se koristi Mikrotik DNS rješenje, piše na početnoj strani pod Quick settings npr "nestoxyz.sn.mynetname.net"

Napomena, za open VPN GUI dodati liniju u ovpn conf file:
cipher AES-256-CBC
compat-mode 2.4.0

Za openVpn connect ne treba ništa dodavati

Upute kako aktivirati BackToHome VPN
1. Skinuti BackToHome aplikaciju na mob
2. Ukljuciti je i pritisnuti Create New
3. Unjeti podatke za ulogirati se u router preko BTH i pritisnuti ok
Prvi put da je nesto na mikrotiku jednostavno :D

I meni cudo dobro radi, top topova.

Dost' jednostavno je i za Wireguard... na hEX-u ide cca 200Mbit/s brzina (limit HW-a).

Citiraj:

Autor zbuzanic (Post 3803636)

ok, jučer sam nabrzakao pokušao sve prebaciti na svoj MT, naletio sam negdje da bi mogao biti problem oko autonegotiationa, danas ću se detaljno pozabaviti pa javim rezultate, čitao sam da je možda i prašina uletila, to je moguće, tavan je prašnjav...jel mogu kako bez alata počistiti konektor? nemam baš iskustva s optikom

ps. složio konačno sve bez huaweia i speedporta, samo mikrotik i zyxel spf. Složim tutorial pa stavim na web za smrtnike poput mene.

Evo i uputa, jučer sam to posložio za 20-tak minuta, djelovalo je puno "strašnije" čitajući po forumu i ostalim stranicama što je potrebno napraviti:

https://www.zvonimir-buzanic.from.hr...el-pmg3000-sfp

Kolega zahvaljujem na detaljnim uputama. Slijedio sam ih i uspio sam podesiti sve i radi odlično.
Zadovoljan sam što sam maknuo ONT, još da RB5009 ima model sa AX wirelessom, to bi bilo taman :goood:

Edit: riješeno. Trebalo je staviti lan brzinu na SFP-u na 1 gb

Netko pokušavao podesiti novi CAPsMAN?
Odradio konfiguraciju na masteru (router, koji nema wlan na sebi), spojio AP na njega, SSID se vidi, spaja se uređaj i dobiva IP, ali nemam net.
Pretpostavljam da mi neka ruta fali?
S tim da je wireless na posebnom vlanu i dhcpu.