Mikrotik RouterOS - configuratii diverse, tricks, etc

Sa-ti pui increderea in scripturile alea si listele oferite de ceva site-uri obscure, clar nu.
Ca si-a lasat propriul ID in adresa pentru NextDNS, clar nu.
Sa ai (n-am numarat cate) asa multe reguli prin firewall e meh.
Am avut candva ceva blacklist bazat pe stage-uri cam cum e si in acel script, dar putin altfel.
Ma uitam dupa regula de drop, luam porturile mai des scanate si le monitorizam, la N incercari pleca intr-o lista care avea drop in raw.
Era ceva mai simplu cu un singur chain, el are mai multe, probabil sa para scriptul mai stufos, de obicei se incearca porturile la rand, nu acelasi port de mai multe ori, in fine.
Pe scurt, nu, n-as folosi asa ceva.
Firewall-ul default e suficient si mult mai usor de "intretinut".

Subscriu, nici macar nu am avut rabdare sa trec cu privirea peste tot ce a scris acolo.

Prefer ca un firewall sa fie cat mai simplu de urmarit, de inteles si - la nevoie - de modificat / ajustat. Pentru asta, trebuie sa fie clar, cu reguli directe.

Nu nu, nu scripturile, alea logic ca nu le iei asa de pe site-ul lui sau altul de genul, ca nu stii ce e acolo sau ce va baga cineva acolo vreodata [de ex: ii sparge cineva site-ul], ma refeream la:

1. idei din el, e ex: vad ca blocheaza 255.255.255.255 care in regulile similare de la Mtk de pe site nu apare - de ce? o fi bine / o fi rau?
2. chestii de genul, cum ati raspuns mai sus - e prea stufos, e prost gandit ca devine greoi de citit - inteles - rulat / sau - "da" cam atatea reguli ar trebui sa cuprinda [si mie mi s-au parut cam prea multe]
3. Citat: "Era ceva mai simplu cu un singur chain, el are mai multe, probabil sa para scriptul mai stufos, de obicei se incearca porturile la rand, nu acelasi port de mai multe ori, in fine." - exact ce cautam sa aflu, ceva de genul "sfat cum sa faci, sau cum sa faci mai bine, cum sa optimizezi"

Mie mi-a atras atentia ca pentru RFC are o gramada de reguli care in marea lor parte cred ca se puteau face ca pe site-ul oficial:
https://wiki.mikroti...ing_Your_Router
Dupa cum am zis, ma interesa ceva de genul: ce poti si e bine sa iei din cartulia aia de reguli.

255.255.255.255/32 este pt L3 ce este ff:ff:ff:ff:ff:ff pt L2 adica adresa de broadcast.

Nu prea o sa vezi pe interfata ta WAN asa ceva pt ca L3 broadcast nu prea se foloseste cu protocolul TCP/IP ci cu altele (de pe vremuri, gen IPX sau Appletalk). Dupa, s-a 'inventat' adresa directa de broadcast pt L3 (adica ce e de ex 192.168.0.255 pt 192.168.0.0/24) si teoretic nu se poate sa ai ca ip sursa 255.255.255.255/32.
Astazi, BOGONS (trafic ce intra din WAN spre LAN - aka ingress),pt  ipv4 sunt doar:
0.0.0.0/8
10.0.0.0/8
100.64.0.0/10
127.0.0.0/8
169.254.0.0/16
172.16.0.0/12
192.0.0.0/24
192.0.2.0/24
192.168.0.0/16
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
240.0.0.0/4

Problema in ziua de azi nu este WAN-LAN (pt ca acolo totul e simplu) ci LAN-WAN care de obicei, permite orice (iar de aici apar problemele gen virusi/etc).
Daca mediul tau trebuie sa fie cat mai septic cu putinta, lasa router-ul sa ruteze si aditional adauga un firewall (transparent) in adevaratul sens al cuvantului (forti/sofos/pfsense/sonic/palo/opn/etc).
Dar, daca e vb de reteaua de acasa, nici n-are rost sa-ti bati capul.

RouterOS version 7.1rc1 has been released in public "development" channel!

Quote

https://forum.mikrot...hp?f=1&t=177800
Inca n-am testat, cred ca testez mai tarziu un CHR daca am timp.

ipv6 nat. asta e noua. cine ar avea nevoie de ipv6 nat? ia sa caut si eu mikrotik-ul meu

Aparent e un bug, sau "new feature":
PPPoE Client adauga default route si pentru IPv6, daca lasi enabled add-default-route si de la DHCPv6 Client, vor aparea doua default routes cu distance=1, iar IPv6 va fi.. nefunctional.

N-am mai scris, dar cu aceleasi setari pe RouterOS v6 tot apar doua default routes, doar ca una din ele e inactiva, nici nu observasem.
Pe v7 in schimb, devin amandoua active, una din ele primeste flag-ul ECMP, de acolo .. probleme. Si trebuie renuntat la una din ele, cum ar fi si normal

Dupa ce au introdus hardware offload pentru bridge vlan filtering in 7.1rc1 pentru dispozitivele cu switch-uri RTL8367 (RB4011 si RB1100AHx4), in v7.1rc5 au adaugat suport si pentru dispozitivele cu MT7621 (hEX, hEX S, RBM33G, RBM11G, LtAP) + au reparat si bug-ul cu port / CPU Lane mentionat de mine aici: https://forum.softpe...2#entry27629144 (nu e mentionat acest fix in changelog, dar am testat, e ok https://forum.mikrot...=128729#p888484 ).
Documentatia actualizata: https://help.mikroti...dwareOffloading

Edited by Znevna, 04 November 2021 - 07:58.

Aparent, exista niste "baieti buni" care daca reusesc sa intre pe router-ul tau (fie prin parole adunate de pe vremea cand exista acea vulnerabilitate si era foarte usor de facut acest lucru, si tu n-ai schimbat parolele de atunci, sau prin alte metode) iti cer si ransome daca vrei sa-ti recuperezi accesul la router, intrucat te lasa pe afara, iti seteaza protected routerboot si interval de formatare random astfel incat sa nu-l poti nici formata, adica, ramane doar sa-l arunci si sa-ti cumperi alt router si data viitoare sa-l securizezi mai bine.
Probabil dupa ceva plangeri si dupa un lung topic de pe forumul lor, aparent se va implementa ceva in versiunile urmatoare:

Quote

https://forum.mikrot...=179987#p890657
Adica, sa confirmi setarea "protected routerboot" si prin apasarea unui buton.
Pana atunci, grija la securitatea dispozitivelor!

un prieten m-a rugat sa il ajut cu un link ("prelungire internet") peste curtea unei institutii (publice), temporar (lucrari de infrastructura), pentru legarea a 5-6 posturi de lucru. Pentru ca traseul este pe niste tevi suspendate pe care mai sunt inca vreo doua manunchiuri de cabluri, despre care nu se stie mare lucru, am decis sa mergem pe fibra. Pe repede inainte, am gasit patch de fibra autoportanta (cu sufa) gata mufata. SC/UPC sau APC, 50 - 100 - 150 m etc.

Si de aici incepe distractia. Cum eram plecat din tara, am facut o lista de necesar, si - cum si echipamentele locale sunt depasite, si avea nevoie si de un switch remote, cea mai buna varianta a fost 2 x switch cu SFP. Si module SFP/SFP+ compatibile SC. (SC/UPC).

Am ales CSS-uri, din motive de buget si nevoie, am recomandat 2 x CSS326 (CSS326-24G-2S+RM), insa pana la urma s-a facut achizitie publica de 1 x CSS326 si 1 x CSS610.

Fibra trasa, fara alimentare in locatia noua, am tras de niste prelungitoare prin curte sa ajunga, am bagat fibra in ele, link ok, pun laptop, ping ok in ambele switch-uri, aia e.

Ma reintorc cu laptop la 326, link ok, ping ok in 326, fara ping in 610. Culmea ca interfata de management (web page) a functionat.

Am adus 610 la rack, am legat prin toate modulele posibile si toate tipurile de fibra pe care le aveam la indemana (SM SC / LC - simplex / duplex, 1.25 / 10G, MM LC 1.25 / 10G), de pe la diversi.

O singura pereche nu a avut link (un kit de SC-uri SM de 3 km, no-name), restul toate ok, insa fara ping dinspre 326 spre 610. Invers ok.

Cu link pe cablu in porturile 1G, nici o problema.

Pe scurt: primul lucru pe care l-am facut apoi a fost apoi upgrade firmware (evitasem, pentru ca nu eram conectat la internet direct, era noapte, cam frigut, si voiam mai intai sa vad testele ok, si apoi sa intru "la caldura". Dupa upgrade pare sa mearga in regula link SC cu un kit de module de la Extralink, SM/1.25G/3 km. Le vom vedea si la punerea in functiune cum se comporta.

In fine, nu povestea in sine este cea relevanta pentru topic, ci:

1. Faptul ca CSS610 este - cred - primul echipament Mikrotik care ... "nu merge". Initial am crezut ca este de la modulele 3rd party, "ne-compatibile", insa acelasi lucru l-am avut si cu trei seturi de module Mikrotik (1 pe cupru, si doua de fibra / LC - MM / SM), deci nu era de acolo.

Am avut apoi, peste week-end, timp sa citesc despre CSS610, se pare ca sunt norocos, ca nu m-am infipt in el acu' 5-6 luni, cand update era doar ceva beta, si nu rezolva prea mare lucru.

si

2. Separat, am acum un set de module no-name (ceva de genul), 1.25G SM SC 3 KM care NU "baga" link pe Mikrotik. Sau, ma rog, functioneaza aparent excelent intre un hAP AC si un switch Cisco de 48G + 4 x SFP, dar deloc in orice alta combinatie (teste incrucisate facute intre 2 x CCR1009, 1 x CRS309, 1 x CRS305, 1 x hAP AC) - pur si simplu nu am link deloc, sau am doar la un capat! . Am renuntat la idee, le las infipte in Cisco-ul ala plus hAP AC (care oricum sta in retea doar pentru teste / backup), si aia e.

PS: cum mai vechiul CRS305 era depasit ca si capacitate, mi-a "aparut" in retea un CRS309, care are o amestecatura de module in el:

(pentru oarece motiv, swOS vede modulul de pe portul 8 ca si multi-mode, desi e clar SM)

 2021-11-21 16_13_00-MikroTik SwOS — Mozilla Firefox.png   123.09K   24 downloads  2021-11-21 [email protected] (hro-mik-ccr1009-01-r) - WinBox (64bit) v6.49.1 on CCR1009-7.png   41.31K   28 downloads

poate ai incercat, poate nu, dar pe FO e indicat sa ai hard-coded link speed - i.e. sa nu lasi nimic pe auto-neg si sa pui de "mana" speed si duplex.

Ogo, am incercat diverse variante, doar ca era ciudat link-ul (practic unul dintre echipamente spune ca are link, pe cand cel de la celalat capat zice ca nu).

O sa ma mai joc cu ele cand ma intorc / imi fac ceva timp.

In afara de chestiile absolut esentiale, restul le cam las pe auto atat timp cat functioneaza as-expected, recunosc. In laboratorul de la birou, cel putin, toate sunt pe auto, ca setup-ul este extrem de ... dinamic

Ceva de genul:

Iar are MikroTik-ul ceva probleme, nu le functioneaza site-ul, forum-ul, si nici serviciul IP Cloud DDNS.
Iarasi, cine se bazeaza doar pe o singura solutie DDNS si era cea oferita de MikroTik, ghinion
Dar o rezolva ei, nu-i panica.
LE: pana m-am gandit eu daca sa scriu sau nu, vad ca au rezolvat partea cu IP Cloud DDNS. Probabil revin si restul de servicii in urmatoarele minute.

Edited by Znevna, 06 December 2021 - 10:50.

S-a rezolvat intre timp.

PS: tocmai ma conectam la un hAP AC3 nou-nout mai devreme, sa-l configurez repede pentru o locatie ... ultimul WinBox, conectat pe eth5 la mine in retea, discovery ok, connect, ma deconecteaza imediat, cu revenire la lista de neighbors, si la cateva secunde apare o noua fereastra de Winbox, cu "Router 2C:C8:1B: ... has been disconnected for x seconds" ... Daca reiau, aceeasi poveste. Daca ii dau reconnect in a doua fereastra, intra pe interfata. Nou nout, fara nici o modificare ...

Dupa ce i-am pus o parola si am modificat 1-2 chestii, se conecteaza fara probleme din prima ... :\

Of, of, mai, mai ...

Conectarea pe MAC s-a comportat identic la mine in ultima vreme, la prima conectare apare peste cateva secunde acea fereastra cu "disconnected", ii dai in acea fereastra reconnect si se conecteaza fara probleme, daca o inchizi si incerci din nou din fereastra principala.. ajungi tot acolo
Nu i-am dat prea mare importanta, rar ma conectez pe MAC, cand fac diverse teste pe ele doar.
PS: chiar si configurat cu parola si tot ce trebuie, la fel face in continuare.. o fi de la faptul ca-s pe 7.1, nu stiu.

Edited by Znevna, 06 December 2021 - 14:42.

Salutari, recent am trecut la 7.1.2 si voiam sa testez Wireguard-ul. Din pacate, nu reusesc sa-l fac sa functioneze si nu inteleg unde gresesc. Sunt interesat de modul Road Warrior pentru a ma putea conecta prin telefon/laptop la vpn-ul de acasa in momentul in care sunt plecat pe drumuri. Ideea este ca din reteaua locala, ma pot conecta la VPN. Insa, Din internet, pauza..."Handshake did not complete after 5 seconds".

Configuratia este urmatoarea:

/interface wireguard
add listen-port=12345 name=wireguard-rw

/ip address
add address=192.168.50.1/24 interface=wireguard-rw

/interface wireguard peers
add allowed-address=192.168.50.2/32 comment=PeerRW interface=wireguard-rw \
public-key="YaaI7tBckOioHXPtpIeZlWEcfjOMmQ5eTBsWgX/BzC4="

/ip firewall filter
add action=accept chain=input comment="vpn: allow wireguard-rw" \
dst-port=12345 protocol=udp \
place-before [find comment="defconf: drop all not coming from LAN"]

...am completat corect campurile in aplicatia Wireguard de pe tel

Edited by JohnnyUSA, 16 February 2022 - 12:43.

Nu cred ca s-a asezat regula aia de allow wireguard unde trebuie, sintaxa aia cu find nu pare corecta.
Verifica ordinea regulilor.