Mikrotik - za početnika

[alengrosevic]

Evo mali update. Ako se u klijentu doda ručno ruta (editira se ovpn file sa notepadom) i kad se spojiš, dobiješ dobru rutu i sve radi kako treba. Vidiš računala i rdp-om mogu na server. U samom mikrotiku to nisam uspio. Dodavao sam rute ali nikako nisam vidio niti sam se rdp-om mogao spojiti na drugi server.
VPN pool mora biti različit od lokalnog, to je i smisao radi sigurnosti i svega, zar ne?
Ono što je pomoglo je to da sam na samom ovp serveru zaklikao "defcon" na redicrect gateway-u i onda sam se spojio na drugi pool, nisam vidio računala u lokalnoj mreži ali sam rdp-om mogao pristupiti serveru. U biti to je najbliže onom što sam htio. Da mogu rute podesiti da automatski vidim sve kompove (bez podešenja ručno ovpn file-a) to bi bilo izvrsno. Bedasto mi je da još moram ručno klijente podešavati za konekciju, trebalo bi raditi out of the box dok se sve dobro podesi.

Evo što sam trebao uključiti, bilo je default na "disabled"



Ne odbacujem tvrdnju da nisam dobro podesio rute, firewall ili nešto treće.

[OuttaControl]

Citiraj:

Autor Ivan357

pazi da imaš mikrotika na ARM-u, na drugim platformama BtH nije podržan

Ac2 je kaze ARMv7, ali odlican info!

[Mac_F]

Citiraj:

Autor alengrosevic

Evo mali update. Ako se u klijentu doda ručno ruta (editira se ovpn file sa notepadom) i kad se spojiš, dobiješ dobru rutu i sve radi kako treba. Vidiš računala i rdp-om mogu na server. U samom mikrotiku to nisam uspio. Dodavao sam rute ali nikako nisam vidio niti sam se rdp-om mogao spojiti na drugi server.
VPN pool mora biti različit od lokalnog, to je i smisao radi sigurnosti i svega, zar ne?
Ono što je pomoglo je to da sam na samom ovp serveru zaklikao "defcon" na redicrect gateway-u i onda sam se spojio na drugi pool, nisam vidio računala u lokalnoj mreži ali sam rdp-om mogao pristupiti serveru. U biti to je najbliže onom što sam htio. Da mogu rute podesiti da automatski vidim sve kompove (bez podešenja ručno ovpn file-a) to bi bilo izvrsno. Bedasto mi je da još moram ručno klijente podešavati za konekciju, trebalo bi raditi out of the box dok se sve dobro podesi.

Evo što sam trebao uključiti, bilo je default na "disabled"



Ne odbacujem tvrdnju da nisam dobro podesio rute, firewall ili nešto treće.

Možeš i tako, ali ti onda šalje sav promet u tunel (nije split-VPN)
https://openvpn.net/community-docs/r...h-the-vpn.html

Ovaj push routes ispod toga bi trebao biti samo za specifične rute.

[alengrosevic]

ima li tko ZYXEL PMG3000 modul za prodati? ili da zajedno naručimo s ebaya? da podijelimo troškove dostave

[stef]

Citiraj:

Autor OuttaControl

Ac2 je kaze ARMv7, ali odlican info!

Koliko vidim, razlika između AC2 i AX2 je minimalna u cijeni ... kod nas.
Također ima i AC Lite. Jel može netko tko je duže u Mikrotik vodama objasnit što je što? Nedavno sam imao tu trilemu, i na kraju završio na AX2 (64-bit ARM).

[jp_rv]

ac2 je na ac standardu.

ax2 je na ax standardu (i ne podržava 160mhz, ergo banana)
ac lite je qurac od uređaja.

[stef]

Eh, trebali su ga nazvati AX/2 isto ko i IBM svoj OS .... pola OS-a .
Vidim da zapravo dosta uređaja ima tu manjkavost. Ili opcija ne postoji, ili postoji ali po defaultu nije uključena, ili je uključena pa ne radi. Klasično istitravanje novog standarda? Ili je više vezano za entry level uređaje?

[jp_rv]

ti raniji modeli koji nisu po "punom" standardu su samo 80mhz ax.

ima mikrotik i cap/wap modele, jedan podržava 160mhz, drugi samo 80. nisam zapamtio koji.

i onda imaš te koji podržavaju 160mhz kanal ali je cpu zaqurac pa ne ide više od 600mbit. opet kako koji..

[stef]

Ekipica, jel tko dizao pi-hole container na tikaču?
Vidim da bi moglo, trenutno sam u fazi istraživanja što i kako.

[The AC]

Pi hole ne ali vrtim već dugo ad guard, nikakvih problema nemam, osim što mi je jednom crko usb stick na kojem sam ga vrtio. Interneti preporučuju da na vanjski stick/disk to složiš kako bi izbjegao wear and tear tikovog internog storagea.

[stef]

e da. Skužio da treba storage.

[Nikky]

Pa složiš usb ssd za takve upotrebe ...

[stef]

otpada mi to na AX2, nema USB porta.

[The AC]

Citiraj:

Autor Nikky

Pa složiš usb ssd za takve upotrebe ...

Eno stoji mi doma već pola godine pa nikako da uhvatim volje da zamijenim stik sa ssd-om

[stef]

Da ne idem u dodatni trošak s Raspberry Pi 4/5, gledam Igel M340C thin clienta koji se čini lako nadogradiv (SSD + 16GB RAM) i na *bay-u ih ima za 15-20€ s low-power quad-core x86.

[jp_rv]

jbt ax2 nema usb port


ovi koji ga imaju, spajanje sticka/diska na usb radi interference na wifiju, pa ubije wifi propusnost.

ima par tema na mikrotik forumu.

https://forum.mikrotik.com/t/wifi-co...ached/172822/6
i goglo AI kaže sličnu stvar.



ja sam vrtio dude na ac2, 2 puta mi je crko stick. nakon toga sam ga vrtio na chr virtualci na nasu dok mi nije dopizdilo. tako da savjetujem da si pihole vrtite na pravom hardveru.

[Nikky]

Onda se više isplati složiti na "pravom" hw, fino x86 router i možeš šta ti srce poželi.

[stef]

Da ne zagađujem previše temu, nakon malo istraživanja:
* Igel UD6 H830C (quad-core Celeron J1900) + quad-port nic + openwrt (ili slični image)
* Fujitsu Futro s920 ili s930 (quad-core AMD Puma 15 ili 25W) + 90° riser + quad-port nic + openwrt (ili slični image)

Lik je uspio dobiti 6-7 Gbit/s putem iperf-a na 10g kartici s 15W modelom: https://www.youtube.com/watch?v=uAxe2pAUY50

[OuttaControl]

Odradio update, tako easy i simple da je nevjerojatno kako je simple bilo. Sve radi i wifi radi, i BTH setupao sve radi, top topova.

Jutros javljaju IOT uređaji da su offline, gledam nema wireless paketa. Oke nesto se ocito desilo nema veze napravit cu interface/wifi svejedno bolje da to koristim.

Kad ono "no permissions", idem otvorit terminal, "no permissions" idem dodat novog usera "no permissions" a moj user je grupa "admin" sta se dogadja :O

Par sati sam glavni router drzao kao IP Passthrough, jel moguce da me haknilo u par sati? I to nemam tipican username i password ali ni firewall ruleove tj imam ih al su bili disableani

[BlackDwarf]

ja obavezno kod friske konfiguracije prvo kreiram novi user i pass. onda se ulogiram s njime i obrisem default user.
nikad problema s time nisam imao.

[Matta]

Ne znam čime pristupaš Mikrotiku, možeš li vidjeti u logu šta se desilo.

Ja obično prilikom konfiguracije:
- izgasim sve servise preko kojih ne pristupam (ostavim samo winbox i telnet). To je pod IP=>Services
- promijenim port preko kojeg pristupam da nije defaultni (defaultni je 8291)
- nakačim dobar password.
Otkad su servisi pogašeni i defaultni port promijenjen nemam više pokušaja pristupa u logu mimo mojih IP adresa.

[Ivan357]

Citiraj:

Autor BlackDwarf

ja obavezno kod friske konfiguracije prvo kreiram novi user i pass. onda se ulogiram s njime i obrisem default user.
nikad problema s time nisam imao.

ne samo to, portovi za api i winbox ne bi smjeli biti otvoreni izvana

[OuttaControl]

Ma da i ja prodjem taj "default mikrotik security" nego sam isao testirati brzinu BTH direkt vs relay prije nego sto sam sve to konfigurirao i onda sam "nabrzinu" nesto izletio iz kuce pa je to potrajalo 2 sata i primjetio sam negi lag na netu(700mbps promet, a net mi je max 200) i nakon toga sam opet internet router vratio u Router mode sa Bridge, ali ocito je to bilo dovoljno vremena da se desi sranje i netko je vec usao, tek sam jutros skuzio da mi je nestao WiFi, te nakon toga sam isao uci u terminal vidio no premissions, novi user "system",
onda sam ga netinstall na backup od v6 pa opet digao na v7.

Svakako mi je iznenadilo da me je haknulo u vjerojatno sat vremena, mislim da je nakon restorea ostao admin user, mozda sam ga i ja enableao, čak bez passworda, vjerojatno je to bio glavni entry point.

[Nick7]

Citiraj:

Autor Matta

Ne znam čime pristupaš Mikrotiku, možeš li vidjeti u logu šta se desilo.

Ja obično prilikom konfiguracije:
- izgasim sve servise preko kojih ne pristupam (ostavim samo winbox i telnet). To je pod IP=>Services
- promijenim port preko kojeg pristupam da nije defaultni (defaultni je 8291)
- nakačim dobar password.
Otkad su servisi pogašeni i defaultni port promijenjen nemam više pokušaja pristupa u logu mimo mojih IP adresa.

Cek.... ne kuzim - pa po defaultu je sve zatvoreno na WAN portu. Cemu to?

[BlackDwarf]

Citiraj:

Autor Ivan357

ne samo to, portovi za api i winbox ne bi smjeli biti otovreni izvana

a to svakako, i gasim pristup telnet, web..

[OuttaControl]

Ja ne gasim nego stavim samo lokalni pristup, tj telnet i ssh gasim jer ih ne koristim web, api i winbox ostavljam.

I dalje mi je najveca fascinacija koliko se brzo to odigralo očekivao bih bar neko duže vrijeme, očito se ti scanovi vrte konstatno i stalno pingaju dostupne ipv4 adrese i ocito jako brzo dodju do otvora - u mene ftp - kojeg ne koristim, vjerojatno neki leftover od update upgradea i mog igranja, ali uglavnom dosta se brzo to odiralo i ocito je jako bitno odma prvo setupirat sigurnost, pa onda sve ostalo.

A ja se veselio što prije probati BTH

Žao mi je što nisam mogao vidjeti što su mi hakeristanci podvalili jer su mi ogranicili pristup. Vjerojatno neke scan scirpte fake dns i tako

[jp_rv]

Citiraj:

Autor Nick7

Cek.... ne kuzim - pa po defaultu je sve zatvoreno na WAN portu. Cemu to?

po kakvom defaultu? mislim da većina nas nakon prvog paljenja mikrotika napravi system reset no defaults, da maknemo svu onu skrivenu automatiku.
a kolega kaže da je radio upgrade svog routera i pogasio si fw rule-ove.
tako da - vjerojatno bilo dovoljno. čim mikrotik dobije javnu ip, počinje veselje.


ja i dalje nevjerujem koji je preporod bio sa openwrt-om, nula ničega već 7-8 godina. wan input reject i ćao.

[Nick7]

Ne znam... meni Mikrotik super radi.
Imao default rulove, dodao svoje, i sve radi super bez problema.
Da je teze/kompleksnije ga konfati - je, ali kad se slozi, onda radi.

[Cuky]

Ja ostavim defaultne firewall ruleove i dodam nove s kojima rejectam bilo kakve DNS querryje izvana (tcp, udp) te ugasim DNS server na mtiku.

Zatim prvo kreiram novog admin usera, defaultnog brisem.

Uz to pogasim sve servise koje ne koristim, prakticki ostavim samo winbox i ssh.

Zatim te servise koje koristim limitiram samo na one subnete iz kojih zelim da im se moze pristupati. Isto to primjenim i za usera s kojim se logiram.

I onda na kraju mac telnet i winbox server ostavim samo za pristup kroz lokalni lan.

Eto, s takvom konfiguracijom nemam zabiljezenih pokusaja logina izvana i sve fino pouzdano radi.

[Ivan357]

Citiraj:

Autor Cuky

Ja ostavim defaultne firewall ruleove i dodam nove s kojima rejectam bilo kakve DNS querryje izvana (tcp, udp) te ugasim DNS server na mtiku.

Zatim prvo kreiram novog admin usera, defaultnog brisem.

Uz to pogasim sve servise koje ne koristim, prakticki ostavim samo winbox i ssh.

Zatim te servise koje koristim limitiram samo na one subnete iz kojih zelim da im se moze pristupati. Isto to primjenim i za usera s kojim se logiram.

I onda na kraju mac telnet i winbox server ostavim samo za pristup kroz lokalni lan.

Eto, s takvom konfiguracijom nemam zabiljezenih pokusaja logina izvana i sve fino pouzdano radi.

ovo prvo je nepotrebno, defaultno su sve nove konekcije izvana blokirane