Trzepak.pl


Nowy temat  Odpowiedz w temacie
Autor Wiadomość
Post: pt, 21 cze 2019 17:09:56 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 21 cze 2019 17:06:54
Posty: 9
Początek

Zostałem zmuszony do resetu mikrotika ze względu, że nasz informatyk zniknął ze swoją firmą w niewyjaśnionych okolicznościach. Jego adresy mailowe nie istnieją, a tel. nie odbiera.

W związku z tym, że nie podał mi hasła do logowania to zresetowałem mk. Musiałem to zrobić bo trzeba było dodać użytkowników vpn (było ustawione ale spec od informatyki nigdy nie przekazał haseł).

Proszę o wyrozumiałość.

Interesuje mnie:
1. Poprawne ustawienie sieci lokalnej i jej adresacji - zrobiłem, ale trzeba zweryfikować moje pomysły.
2. Ustawić dostęp do interenetu - teraz jest, do weryfikacji
3. Ustawić vpn po pptp - obejrzałem kilkanaście filmów na yt i przeczytałem kilka artykułów w necie i za nic nie mogę się połączyć
4. USTAWIENIA FIREWALLA - zabezpieczyć sieć.

W tej chwili mk mam ustawione w trybie bridge. Adresacja sieci lokalnej to 10.0.0.0

W tej chwili mk jest w trybie bridge any.

Opcjonalnie mam zapisany backup starych ustawień. Obawiam się, że po ich przywróceniu system zapyta mnie o hasło. Chyba, że można wydobyć hasło z takiego backupu ?

Jeszcze raz proszę o cierpliwość i pomoc w ustawieniach. Ja postaram się dostarczyć niezbędnych informacji.

Sieć jest tak zbudowana, że na wejściu jest światłowód orange. Potem router zyxexl z wifi, potem mikrotik, potem znowu zyxel (chyba tak się nazywa). Do niego podpięty qnap. Z miktotika rozchodzi się sieć na trzy lokalne biura.

VPN chciałbym mieć na mikrotiku oraz na qnapie. Jednak kiedy ustawiam na qnapie to nie mogę się połączyć, podejrzewam, że mk blokuje ruch.

Proszę o pomoc.


Na górę
Post: pt, 21 cze 2019 19:55:46 
Odpowiedz z cytatem
Online
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: wt, 08 gru 2009 9:21:34
Posty: 481
Dzien dobry.
To raczej w dziale gielda powinienes napisac.


Na górę
Post: pt, 21 cze 2019 20:25:15 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 21 cze 2019 17:06:54
Posty: 9
Wiataj,

dlaczego ?


Na górę
Post: pt, 21 cze 2019 20:36:29 
Odpowiedz z cytatem
Online
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 474
Nie ma takiego modelu mikrotika.

Wysłane z mojego ONEPLUS A6000 przy użyciu Tapatalka


Na górę
Post: sob, 22 cze 2019 0:20:49 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 21 cze 2019 17:06:54
Posty: 9
Przepraszam, może źle spojrzałem.

W tej chwili tak ustawiłem bezmyślnie firewall, że nie mogę połączyć się winboxem po lan.


Na górę
Post: sob, 22 cze 2019 16:23:40 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 21 cze 2019 17:06:54
Posty: 9
Tutaj jest schemat sieci

Obrazek


Na górę
Post: ndz, 23 cze 2019 7:29:24 
Odpowiedz z cytatem
Offline
Powieściopisarz
Powieściopisarz

Rejestracja: wt, 12 cze 2007 11:57:30
Posty: 1950
Przywróć backup, a tym wyciągniesz hasło: https://github.com/BasuCert/WinboxPoC


Na górę
Post: ndz, 23 cze 2019 18:25:02 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 21 cze 2019 17:06:54
Posty: 9
HMM, za tydzień spróbuję.


Na górę
Post: pn, 24 cze 2019 18:26:17 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 21 cze 2019 17:06:54
Posty: 9
Oto dotychczasowe reguły. Część z nich jest nieaktywna. Proszę o ich weryfikację i modyfikację.

# jun/22/2019 17:29:31 by RouterOS 6.29.1
# software id = 5X4K-6X48
#
/ip firewall address-list
add address=10.0.0.0-10.0.0.254 list=allowed_to_router
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
/ip firewall filter
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=gre
add action=add-src-to-address-list address-list=step_1 address-list-timeout=\
1m chain=input disabled=yes dst-port=3311 protocol=tcp
add action=add-src-to-address-list address-list=step_2 address-list-timeout=\
1m chain=input disabled=yes dst-port=1289 protocol=tcp src-address-list=\
step_1
add action=add-src-to-address-list address-list=allowed_to_router \
address-list-timeout=1h chain=input disabled=yes dst-port=9933 protocol=\
tcp src-address-list=step_2
add chain=input comment="default configuration" disabled=yes protocol=icmp
add chain=input comment="default configuration" connection-state=\
established,related disabled=yes
add chain=input comment="allow l2tp" disabled=yes dst-port=1701 protocol=udp
add chain=input comment="allow pptp" disabled=yes dst-port=1723 protocol=tcp
add chain=input comment="allow sstp" disabled=yes dst-port=443 protocol=tcp
add action=drop chain=input comment="default configuration" disabled=yes \
in-interface=all-ethernet
add action=fasttrack-connection chain=forward comment="default configuration" \
connection-state=established,related disabled=yes
add chain=forward comment="default configuration" connection-state=\
established,related disabled=yes
add action=drop chain=forward comment="default configuration" \
connection-state=invalid disabled=yes
add action=drop chain=forward comment="default configuration" \
connection-nat-state=!dstnat connection-state=new disabled=yes \
in-interface=all-ethernet
add chain=input disabled=yes dst-port=1723 protocol=tcp
add chain=srcnat disabled=yes out-interface=all-ethernet
add chain=input disabled=yes dst-port=4500 protocol=udp
add chain=input disabled=yes dst-port=500 protocol=udp
add chain=input disabled=yes dst-port=1701 protocol=udp
add chain=input comment="default configuration" connection-state=\
established,related
add chain=input src-address-list=allowed_to_router
add chain=input protocol=icmp
add action=drop chain=input
add action=fasttrack-connection chain=forward comment=FastTrack \
connection-state=established,related
add chain=forward comment="Established, Related" connection-state=\
established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid \
log=yes log-prefix=invalid
add action=drop chain=forward comment=\
"Drop incoming packets that are not NATted" connection-nat-state=!dstnat
add action=drop chain=forward comment=\
"Drop incoming from internet which is not public IP" in-interface=br_lan
add action=drop chain=forward comment=\
"Drop packets from LAN that do not have LAN IP" in-interface=br_lan log=\
yes
add chain=input comment="akceptuj SSH" disabled=yes dst-port=22 protocol=tcp
add chain=input comment="akceptuj WinBox" disabled=yes dst-port=8491 \
protocol=tcp
add chain=input comment="akceptuj zapytania DNS (UDP)" disabled=yes dst-port=\
53 in-interface=br_lan protocol=udp
add chain=input comment="akceptuj zapytania DNS (TCP)" disabled=yes dst-port=\
53 in-interface=br_lan protocol=tcp
add chain=input comment="akceptuj polaczenia zestawione" connection-state=\
established disabled=yes
add chain=input comment="akceptuj polaczenia powiazane" connection-state=\
related disabled=yes
add chain=forward comment="akceptuj dmz do * polaczenia powiazane" \
connection-state=related disabled=yes src-address=10.0.1.0/24
add action=jump chain=forward comment="chron dmz" disabled=yes dst-address=\
10.0.1.0/24 dst-port=80 jump-target=dmz protocol=tcp
add chain=forward comment="akceptuj * do pracownicy polaczenia zestawione" \
connection-state=established disabled=yes dst-address=10.0.0.0/24
add chain=forward comment="akceptuj * do pracownicy polaczenia powiazane" \
connection-state=related disabled=yes dst-address=10.0.0.0/24 \
in-interface=all-ethernet
add action=drop chain=forward comment="blokuj wszystko inne" disabled=yes
add action=drop chain=dmz comment="blokuj z listy atak_dos_blokada" disabled=\
yes src-address-list=atak_dos_blokada
add action=add-src-to-address-list address-list=atak_dos_blokada \
address-list-timeout=1d chain=dmz comment=\
"dodaj do listy atak_dos_blokada" connection-limit=100,32 disabled=yes \
log=yes log-prefix="atak dos"
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=all-ethernet
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.89.0/24
add chain=srcnat out-interface=all-ethernet src-address=10.0.0.0/24


Na górę
Post: wt, 02 lip 2019 10:20:26 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat

Rejestracja: pt, 30 mar 2012 20:46:19
Posty: 827
Lokalizacja: PL
fv na czyje dane wystawić ? :zlosnik:


Na górę
Post: czw, 15 sie 2019 12:20:45 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 21 cze 2019 17:06:54
Posty: 9
1. Hasło wyciągnięte.
2. MK ustawiony w trybie bridge.
3. Zaktualizowany.

Model to RB750GL

Dobrze by było aby ustawić firewalla. Nie chcę tego sam robić. Nie chcę za bardzo spowalniać ruchu w sieci.

W tytule forum jest : "Amatorskie sieci komputerowe".


Na górę
Post: pt, 16 sie 2019 23:09:31 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent

Rejestracja: śr, 06 lut 2013 0:25:13
Posty: 328
Nie odbierz tego źle. Konfiguracja jakiej potrzebujesz jest do "zlepienia" z tysięcy przykładów znajdujących się w sieci, na tym forum również. Nie ma w niej absolutnie nic specyficznego i mało komu chce się nad tym tematem pochylać (ponownie, bo tak jak napisałem - wiele razy było to przerabiane). Nie oczekuj, że ktoś nudzi się na tyle, żeby przejrzeć i przeanalizować kilkadziesiąt linii konfiguracji (ponownie, bo tak jak napisałem - wiele razy było to przerabiane) i zmodyfikuje to tak, aby wstrzelić się w wymagania twojego przypadku. Miej na uwadze, że mikrotik/routeros jest bardzo elastyczną platformą i wiele rzeczy można zrobić na co najmniej kilka sposobów.


Na górę
Post: sob, 17 sie 2019 23:42:24 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 21 cze 2019 17:06:54
Posty: 9
Nie napisałeś niczego nowego. Wszystko jest w sieci. Zawsze było i będzie.
Nie biorę się za ustawienie firewalla bo nie mam gwarancji że zrobię to dobrze. Zostanę przy firewallu Orange.


Na górę
Post: ndz, 18 sie 2019 2:35:51 
Odpowiedz z cytatem
Online
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 474
Tak więc za jakiś czas pewnie wrócisz bo Mikrotik będzie zawirusowany :)


Na górę
Post: wt, 20 sie 2019 19:23:00 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 21 cze 2019 17:06:54
Posty: 9
W tej konfiguracji sieć chodziła parę lat. Nie było wirusów. Router orange dawał radę.


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest czw, 19 wrz 2019 23:09:40

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl