MikroTik RBD52G-5HacD2HnD-TC hAP ac²

Pai din acel motiv se recomanda...pentru ca eu sunt de parere ca sub 5% din utilizatori inteleg din retelistica suficient astfel incat sa configureze corect un MK.

Bun, revenind la situatia mea, ca sa fiu ami clar, voi enumera o parte dintre dispozitivele pe care le folosesc:
- PC, laptop, NAS (un NSA310 si un qnap ocazional). Aste e cat se poate de clar ca au nevoie de internet si retea locala "trusted"
- becuri yeelight + benzi led (astea au si nu au voie la internet). Daca vreau sa functineze cu Amazon dot (alexa) au nevoei de acces la internet
- Amazon dot (are nevoie doar de acces la internet)
- Hassio (are nevoie de acces la internet doar cand vreau sa fac update). In rest are nevoie de acces la reteaua IOT (controlez cu el becurile si benzile cu led)
- xiaomi gateway (acces doar local, IOT)
- radio cu internet (doar internet)
- receivere (de regula doar internet dar...depinde)
- camera supraveghere (acces in reteaua trusted, dar fara acces la internet).

Bun, intrebarile mele erau:

1. Este suficient sa folosesc 192.168.0.0/24 si destinatie 192.168.10.0/24 pentru a restrictiona accesul dintr-o retea in alta?
2. trebuie sa folosesc si regula inversa concomitent?
3. spuneai ceva de genul ca reteaua trusted trebuie sa aiba acces la IoT dar invers nu. Cum ste posibil asa ceva? Schimbul de informatii este bidirectional. Ceva inseamnaa ca nu inteleg.

Multumesc.

@Johnny: n-am cum sa compar, nu folosesc asus/tp-link/etc.

1. Este suficient sa folosesc 192.168.0.0/24 si destinatie 192.168.10.0/24 pentru a restrictiona accesul dintr-o retea in alta?
Depinde ce vrei sa faci...regula, asa cum ai zis-o tu, interzice accesul din 0.0/24 in 10.0/24 dar nu si invers.

2. trebuie sa folosesc si regula inversa concomitent?
Da, daca  vrei ca sa limitezi accesul din 10.0/24 in 0.0/24

3. spuneai ceva de genul ca reteaua trusted trebuie sa aiba acces la IoT dar invers nu. Cum ste posibil asa ceva? Schimbul de informatii este bidirectional. Ceva inseamnaa ca nu inteleg.
Este bi-directional dar poti controla ce schimb are loc:
Ca sa ai acces in IoT din alt vlan dar nu si din IoT in alt vlan (de management in cazul de fata), vlan-ul IoT trebuie sa raspunda la established/related si sa aiba interzis la new connections (chain forward)
Totodata, IoT nu ar trebui sa aiba acces nici la interfata router-ului (getaway-ul vlan-lului - in cazul de fata, pt mkr, chain input). Ca informatii suplimentare, incearca sa prospectezi ce inseamna fiecare chain in parte preecum si fiecare tip de conexiune in parte (ele sunt cam universal valabile in orice "univers *NIX).

O sa le gasesti (chain-urile) cu mici diferente de nume, ca de ex:

mkr: chain forward  / cisco univers: IN (pachetele ce trec prin router si nu au ca destinatie nicio interfata (eth) al lui: ex. pachet pleacat din 192.168.0.10 (un calculator) catre 10.10.10.10 (un server din alt vlan sau altfel zis tot ce vine din WAN catre LAN)

mkr: chain input / cisco univers LOCAL (pachetele ce au ca destinatie o adresa a  uneia din interfatetele de access ale routerului) ex: eth1 are ca ip 10.0.0.1 iar tu accesezi via http/ssh interfata lui (ca sa il setezi de ex). (sau tot ce vine din WAN catre LOCAL (router-ul propriu-zis))
exemplu de reguli:

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="ssh from wan" dst-port=22 protocol=tcp
add action=accept chain=input comment="winbox from wan" dst-port=8291 protocol=tcp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

prin regulile de mai sus routerul mkr de mai sus accepta orice conexiune din WAN (internet) pe portul 22(ssh) si portul 8291 (winbox din wan), raspunde la ping catre interfata lui ce vine din orice retea, si da drop la orice alta conexiune ce nu vine din lan catre interfata lui.
Conteaza totusi  ordinea regulilor de firewall: de ex: daca ultima regula

 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

era inainte de

add action=accept chain=input comment="ssh from wan" dst-port=22 protocol=tcp

nu mergea niciun ssh din wan pt deja router-ul stabilise ca tot ce nu vine din LAN e droped (prima regula care se potriveste este luata in calcul, restul dupa nu mai conteaza)


mkr: chain output / cisco OUT (pachetele ce pleaca din reteaua ta, trecand prin router, catre o alta retea / pt router o alta retea poate insemna si alta interfata (vlan) nu neaparat internet)

ca trafic de pachete ai asa (copy/paste ca sunt explicate "ca la cartea" mikrotik) / te intereseaza pentru inceput (si de cele mai multe ori in 99% din cazuri ) doar new/established/related

Interprets the connection tracking analysis data for a particular packet:

established - a packet which belongs to an existing connection

invalid - a packet that does not have determined state in connection tracking (usually - severe out-of-order packets, packets with wrong sequence/ack number, or in case of resource overusage on router), for this reason invalid packet will not participate in NAT (as only connection-state=new packets do), and will still contain original source IP address when routed. We strongly suggest to drop all connection-state=invalid packets in firewall filter forward and input chains

new - the packet has started a new connection, or otherwise associated with a connection which has not seen packets in both directions.

related - a packet which is related to, but not part of an existing connection, such as ICMP errors or a packet which begins FTP data connection

untracked - packet which was set to bypass connection tracking in firewall RAW tables.

O sa incerc sa revin si cu exemple concrete cu ce priveste inter-vlan routing.

therefore....

restrictii totale intre vlan-uri (nimeni nu comunica cu nimeni)

/interface list member
add list=VLAN interface=vlan10
add list=VLAN interface=vlan20
add list=VLAN interface=vlan30
/ip firewall filter
add chain=forward action="drop" comment="No inter-VLAN access" \
in-interface-list=VLAN out-interface-list=VLAN"

acces din management (vlan10) in IOT (vlan20) dar nu si invers:

/ip firewall address-list
add list=VLAN10 address=10.0.10.0/24
add list=VLAN20 address=10.0.20.0/24


/ip firewall filter
add chain=forward src-address-list=vlan10 connection-state=new,established,related,untracked
add chain=forward src-address-list=vlan20 connection-state=established,related
add action=accept chain=forward in-interface=vlan20 out-interface=vlan10 protocol=icmp 
add action=drop chain=forward in-interface=vlan20 out-interface=vlan10

vlan20 doar raspunde (la established/related si la ping) din ce vine din vlan10 nu poate initia noi (new) conexiuni in vlan10.

Edited by ogo, 04 March 2019 - 16:31.

Mulțumesc dar sunt pierdut de mult.
Bebe e racit rau și...nu prea pot sa ma concentrez. Tocmai mi-ai distrus universul. Am înțeles ca nu stiu absolut nimic si ca totul e extrem de complicat. Trebuie sa rumeg tot ce mi-ai scris.
Apreciez mult și chiar trebuie sa iti dau de bãut. Când vii in Brașov, aștept un pm.

Salut,

As vrea si eu sa iau acest router pentru acasa, dar am o ingrijorare referitor la nivelul de securitate pe care il ofera, intrucat sunt tot felul de comentarii pe net asupra acestui aspect, am vazut ca anul sistemul de operare Router OS, a avut o vulnerabilitate semnificativa, nu stiu dc s-a rezolvat.
Nefiind programator, desi sunt inginer de sistem amator pt ce am in casa  , voi face configurarile din WinBox si as fi foarte interest cum sa procedez. Mai precis, exista atatea tutoriale pe net pe acest aspect incat nu stiu pe care sa-l urmez. Daca m-ati putea indrepta catre o sursa despre care stiti ca e ok, raman recunoscator.
Multumesc.

Edited by Semaca007, 20 June 2019 - 10:48.

Winbox-ul te ajuta dar daca nu ai ceva interes in a trece la cli nu prea o sa reusesti alte configurari strict specifice nevoilor tale.
Configuratia standard este indeajuns de secure atata timp cat nu expui (gratuit) echipamentul in internet (ssh, gui interface, etc).
Sunt mii de tutoriale online cam pt orice, totusi incepe cu wiki-ul celor de la mkr. Nu e f explicit dar face o introducere de baza pentru toate cazurile - majoritatea insa sunt cli nu WinBox. Notiunile elementare de networking sunt un must have, nu exista next-next-done in mkr.

Desigur ca am ceva interes sa trec la cli, am inceput sa citesc pe unde m-ai trimis tu, m-am mai uitat o data la comenzile date de Tyby la un mom dat aici si am inteles mai mult din ele decat prima data , o sa mai citesc in continuare.
Am comandat router-ul din titlu, sper sa ma descurc. Daca nu, mai intreb pe aici.

Welcome to the club then

O prima intrebare: de ce e mai ok sa ai 2 retele (2.4 Mhz si 5 Mhz), in loc de una cu routerul setat pe auto?

Depinde ce clienti ai dar prima oara ce vrei sa zici mai exact cu “routerul setat pe auto” ?

@Semaca: 2.4GHz este buna pentru device-urile mai vechi (legacy) care nu suporta 5GHz sau pentru cazul in care acel device este prea departe de router si semnalul pe 5GHz este insuficient (care poate sa fie si la 2 metri daca ai un perete de beton intre router si device. Auto?.. channel selection sau ce anume?

LE: Offtopic: doar mie mi se pare ca denumirile astea de la device-urile MIkrotik sunt exagerat de stupid de lungi?

Edited by AWE, 21 June 2019 - 15:23.

Parca am vazut undeva o setare "auto", adica allege router-ul frecventa cea mai buna pt fiecare client.

Care anume?

 Semaca007, on 21 iunie 2019 - 15:33, said:

Nu alege frecventa pentru fiecare client , ci frecventa cea mai putin interferata . Teoretic.
Toti clientii vor fi pe aceeasi frecventa .

 AWE, on 21 iunie 2019 - 15:20, said:

Nu ti se pare . Asa este . Au fost un timp si ceva plangeri de la multi useri din toata lumea pe tema asta catre Mikrotik.
Explicatia lor a fost ca au dorit sa creeze un cod din denumirea produsului.
- https://wiki.mikroti...:Product_Naming

@ndor: pai sincer nu vad sensul, nu au nshpe milioane de produse incat sa necesite denumiri atat de kilometrice. In rest, no problem, produsele sunt ok. Bine, cata vreme nu te astepti la performante de enterprise router la ceva de cateva sute de lei.

@ogo: Inca nu am router-ul sa pun si eu un printscreen, o sa-l am in aprox 1 sapatamana, dar citisem despre asta undeva. Intre timp vreau sa creez comenzile pentru customizare.
@ndor: Da, cam asa ceva citisem si eu.

Inca o intrebare: cand fac update de routeros si firmware, vine cu configuratia default si tr sa adaug numai customizarile mele, nu tr sa ma apuc sa fac tot ce scrie aici, corect?

 AWE, on 21 iunie 2019 - 20:49, said:

Pai spune-le lor asta . N-ai fi primul !

 Semaca007, on 22 iunie 2019 - 07:20, said:

Corect.

Cineva mi-a facut o surpriza si tocmai am router.  
O alta întrebare de newbie, după ce am cautat o ora pe net, n-am reusit să-mi dau seama cum pot încarcă un script de genul celui postat de Tyby aici.
Evident, l-am adaptat pt mine.
Mulțumesc.