MikroTik RBD52G-5HacD2HnD-TC hAP ac²

Solutia 2 ar fi sa folosesti switch-ul cu management care il si si sa folosesti port security/port access/port isolation  (pvlan mai pe scurt) cu max-dynamic mac setat la 1 si xonectezi in portul ala camera, fara  vlan-uri aditionale. Cred ca merge si asa :)chiar o sa testez in weekend.

de mers ar trebui sa mearga (cu rezerva modului de implementare in switch), insa mi se pare complicata. Cel mai simplu (si, de altfel, situatia de la care am plecat cu discutia asta) este cum spune Alice.

Se poate face practic "port isolation" doar din firewall, insa e mai lunga povestea:

https://forum.mikrot...pic.php?t=35466 - o discutie interesanta!

Sau se poate porni de la asa ceva:

https://www.medo64.c...otik-lan-ports/

Ohoo....m-ati cam pierdut. In alta ordine de idei am inceput sa creez un Vlan...dar m-am oprit pentru ca imi dadea cu virgula...
Am creat doar un Vlan20. Dupa ce am assignat IP-uri dintr-o noua clasa, cleintii pe care nu i-am mutat in noul vlan comunicau cu cei din vlan20....dar cred ca e normal, nu?
Trebuiau si ceilalti mutati intr-un vlan30 sa zicem...si asa r fi fost izolati. Am resetat routeul si am refacut setarile initiale...insa am constatat ceva ce...nu mi-a placut referitor la blocarea in internet.

Adica:
Action: drop
Chain: forward
Dest Anddress: not 192.168.0.0/24
Src Mac Address: Adresa_maC a dispozitivului care se doreste a fi blocat....

Functioneaza pentur desktop...dar nu pentru Gateway-ul de la Xiaomi care putea fi accesat din exterior (ma conectam cu telefonul mobil, prin reteaua de date)....
A trebuit sa pun si IP-ul in src Address. Intrebarea mea e DE CE?

Nu pot merge mai departe pana nu inteleg aceasta chestie...

Poi hai sa o luam logic: cine initiaza sesiunea? Poate nu inteleg eu cum trebuie!

Regula corecta e cam asa:

/ip firewall filter
add chain=forward src-mac-address=aa:bb:cc:dd:ee:ff action=drop

Insa trebuie atentie la ordinea regulilor.

Un export compact hide (exp c h ) ar ajuta.

Deci chiar nu pot sa cred....am scos si bagat gateway-ul in priza si acum functioneaza corect....

Trebuia ceva de genul conntrack -F.
Nu stiu cum e in mikrotik

*poate*

LE:
e ceva de genul:

/ip firewall connection tracking enabled no
/ip firewall connection tracking enabled yes

[b]enabled[/b] ([i]yes | no | auto[/i]; Default: [b]auto[/b])
Allows to disable or enable connection tracking. Disabling connection tracking will cause several firewall features to stop working.
See the [url="https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Connection_tracking#Features_affected_by_connection_tracking"] list[/url] of affected features.
Starting from v6.0rc2 default value is auto. Which means that connection tracing is disabled until at least one firewall rule is added.

dpua ce aplici noi reguli de firewall e indicat sa re-setezi connection tracking: stop/start. pt ca pachetele deja established si related nu vor fi afectate de noile reguli chiar daca noul action este drop sau reject.

joystick, on 19 decembrie 2018 - 19:18, said:

Da. Default, vlan-urile se vad toate intre ele daca nu sunt reguli de firewall sa le limiteze/interzica acest lucru.

joystick, on 19 decembrie 2018 - 19:18, said:

Nu, "nu trebuia" ca puteai sa-i muti in orice vlan, si tot se vedeau intre ei (vezi afirmatia anterioara).

TIPS:
denumeste vlan-urile logic, ajuta la management, mai ales cand ai cateva (mie de ex. imi place sa numar din 10 in 10):
Ex:
VLAN 10: 10.0.10.1/24
VLAN 20: 10.0.20.1/24
VLAN 100: 10.0.100.1/24

Edited by ogo, 20 December 2018 - 00:11.

Mulțam.
De fapt singurul meu stres e ca o sa fac niște setari care imi va expune prea mult reteaua in internet... Nu ca as avea ceva mai mult decât poze de familie și... Cam atat...

Da, asa îmi creasem și eu vlanurile... Vlan 20 cu 192.168.20.0

Moral va trebui sa trec și eu pe 10.x.x.x...insa am un gargaune in cap care ma tine pe 192.168.x.x...

Câteva zile cred ca voi sta cuminte dar nu ma las eu pana nu rezolvcu vlanurile astea...

Edited by joystick, 20 December 2018 - 01:13.

Ca tot avem un topic al nostru, am decis sa postez aici nelamurirea mea ca sa nu mai stresam pe topicul general pe altii.

Am un sistem OpenVPN implementat pe AC2 (sistem care l-am avut si pe vechiul Asus RT-N18U) prin intermediul caruia imi accesez orice din reteaua privata de oriunde as fi. Bun, pe langa documente samd, uneori, cand sunt in deplasari, imi place sa vizionez cate un film din reteaua locala pe telefon/tableta(Apple) prin intermediul conexiunii VPN(prin wireless, nu GSM) si a unui player care stie SMB/CIFS(share-urile pe reteaua interna fiind prin SMB de pe un server Debian).

Cat timp am avut Asus-ul, tot ce era sub 1080p mergea ca uns, aveam buffering doar cand urcam la 1080p. Acum, dupa implementarea OpenVPN pe MK, abia mai pot face streaming la 720p in jos. Din ce am citit, pe MK, OpenVPN nu stie de UDP, stie doar de TCP, asta fiind cam in neregula. Am tot citit aseara despre IPSec si ma gandeam sa incerc implementarea IPCSec VPN, poate fac lucrurile sa mearga mai "fluent".

Acum, tineti cont ca sunt invatacel, dar imi place sa ma joc cu chestiile astea, drept urmare, nu am cunostintele voastre tehnice. Ce credeti, voi rezolva ceva prin renuntarea la OpenVPN si trecerea la IPSec? Sau mai bine stau linistit?

Tehnicianul1970, on 04 mai 2018 - 14:43, said:

Se simt imbunatatiri daca ii montezi antene externe?

Ai idee ?

Edited by Cool_Kick, 20 December 2018 - 13:05.

Openvpn “suge” cele mai mari resurse. Se zice ca e si cel sigur - totusi - trebuia hardware puternic cu aes-ni si oricum nu exista offload pt openvpn (totul se face in procesor => procesor slab, merge ca “duru”) -sau- sa ai un hardware potent sa faca criptarea open ssl. Si oricum conteaza si criptarea folosita: cu cat mai puternica cu atat mai “putin” troughput ai.
Pe de alta parte IPSec suporta hw offload/acceleration.
Nu stiu la mikrotik dar la ubnt  ipsec e offloaded si wirespeed.
Vezi ca mkr publica si teste ipsec in prezentarea device-uirilor - nu am experiente cu mkr.

Cool_Kick, on 20 decembrie 2018 - 13:05, said:

Da . dar mare atentie cum si in ce fel faci modificarea . Mai ales ca e dual band .

Pe rand:

in zilele noastre este relativ simplu sa testezi reteaua din afara. Insa o serie bine gandita de reguli in firewall ar trebui sa fie mai mult decat suficienta! Mai nasol este cu toate IoT devices, facute - multe dintre ele - vai mama lor. Alea reprezinta deja pericolul majoritar in ziua de astazi, si vor fi porti sigure de intrare in viitor pentru tot felul de ... scopuri!

Anul trecut, la o conferinta de securitate maritima, un tip din Olanda, care conducea un "white-hat kackers" business, mi-a povestit cum au intrat doi dintre baietii lui intr-o retea din aceeasi cladire prin intermediul unui coffee maker legat la retea / internet. De rasul plansului! Vorba alora "Sefu', ce le trebuie astora cafetiera legata la internet, cand ei nu stiu sa-si lege nici macar sireturile (technically speaking)?"

joystick, on 20 decembrie 2018 - 01:12, said:

Continuam: de ce ai vrea sa treci pe 10.x.x.x ?! Ai o retea asa mare acasa?!

Referitor la OpenVPN - de acord cu ce spune ogo mai sus.

Referitor la hAP AC - acoperirea este foarte ok pentru un astfel de device. Nu cred ca e foarte usor sa pui antene externe unui device AC, cu MIMO 2x2, 3x3 etc ...

@tyby...
Da, au trecut unii de philips hue... De xiaomi nici nu vreau sa ma gândesc cât de usor se trece...
Sa nu uitam de camerele chinezesti....

Nu, nu am reteaua mare dar ma gândeam ca e mai usor de tastat 10.0.0.x .

Sunt un pic cam apatic si plictisit in ultimul timp asa ca nu am mai reusit sa mai testez nimic. VLAN-ul e o provocare mare ptr mine...insa pana atunci vreaus a va intreb ceva...
V-am zis ca am un switch cu management TL-SG108E. Se poate accesa pe IP, prin browser.
De ce oare nu il vand in mikrotik IP=>dhcp server => leases?
Vad toate celelalte dispozitive dar pe asta nu....Raspunde la ping, totul e ok.

Poate are ip static?
ce subnet ai / ce pool dhcp ai / ce ip are switch-ul?

PS
sau posibil sa nu vadă static dhcp?

Edited by ogo, 21 December 2018 - 22:02.

Hmmm... În mod sigur ai dreptate...
Router... 192.168.0.1
Dhcp....192.168.0.10-xy (ca nu mai știu)
Switch- 192.168.0.2

Deci de-asta nu il vad. Eu ziceam ca... Dar e o tampenie. Mersi mult.
Eu vedeam celelalte dispozitive ptr ca primeau ip din pool-ul dhcp iar apoi le făceam statice dar din acelasi pool...
M-ai luminat din nou .

Edited by joystick, 21 December 2018 - 23:01.

Am avut ceva timp zilele astea si am facut niste teste VPN pe AC2.

Testul a constat in transferul unui fisier de 4gb prin VPN dintre un server hostat in spatele MK-ului cu samba share si eu client remote conectat wireless intr-un alt oras.

Am testat OpenVPN si L2TP/IPsec pe un sistem cu Windows 10 RS5. Din pacate nu am avut rabdarea sa caut cum pot folosi IPsec CISCO VPN pentru modul IPsec RoadWarrior, dar voi face asta in viitor.

Cert este ca in urma testelor, L2TP/IPsec a fost de 3 ori mai rapid decat OpenVPN. In concluzie, daca vreti VPN si viteza pe AC2, scoateti din calcul OpenVPN.