Mikrotik RouterOS - configuratii diverse, tricks, etc

cralin, on 18 martie 2023 - 02:22, said:

Multumesc, da, am reusit; a fost interesant pentru ca lucram din linux prin WinBox si cumva nu imi lua activarea/dezactivarea regulilor de firewall decat daca bagam netwatch rules din CLI, daca scriam in Winbox-Netwatch acelasi lucru nu functiona. Dupa ce am trecut sa lucrez de pe Windows a mers, deci e bun si Windows la ceva, sau e prost si Linux-ul la ceva ).

Daca te uitai in ce pusesem eu pe celalat topic ai fi vazut ca faceam ceva asemanator: - ip firewall nat enable [find comment="SHIFTER100"] , insa prin script. Nu inteleg inca regulile dupa care ia stingurile de comment in considerare; de ex daca am avut doua reguli "PiHole_TCP" si "PiHole_UDP" daca puneam fix aceste doua stringuri in doua linii separate se oprea la prima regula (lucra corect cu ea) si cu a doua nu mai facea nimic, daca puneam "PiHole" tot asa doar prima; insa daca am pus "PiHole" ca si comment la toate, a lucrat corect cu toate care trebuiesc. Daca aveam comment cum am zis mai sus cu SHIFTER100 / 101 si asa mai departe imi activa aproape toate regulile de NAT, nu inteleg de ce nu toate sau de ce nu toate alea care aveau comment care sa includa "SHIFTER" doar.

Acum sistemul lucreaza astfel: un script care verifica daca poate rezolva DNS-ul cu IP-ul PiHole, acest script e chemat la fiecare minut si daca nu poate rezolva face switch pe fallback (GOOGLE, etc). Totodata acelasi script activeaza sau dezactiveaza o regula de Netwatch care activeaza / dezactiveaza regulile de NAT aferente folosirii PiHole, Netwatch este pus la 40 secunde si incepe cu un delay de 5 secunde; adica face switch la regulile alea de NAT 45 secunde dupa ce e detectat PiHole ca poate rezolva DNS request-ul.

Interesante schimbarile pe Netwatch, tocmai de-aia nu il foloseam, ci facusem scriptul acela care verifica si ca poate rezolva DNS-ul, pentru ca inainte Netwatch imi zicea doar ca IP-ul VM-ului cu PiHole e up nu si ca functioneaza acesta..

In cazul in care ai nelamuririm probabil vrei sa citesti mai multe despre scripting in Mikrotik.

Multumesc, din pacate acolo nu am gasit despre regulile aplicate la cautarea si executarea dupa comment-uri; sau scrie si nu am gasit eu?
Ma refer la modul in care foloseste stringurile respective de exemplu cand ai trei stringuri de genul ABC, ABCD si ABC1 sau ABC_1 de ce se opreste la prima regula pe care o gaseste si nu mai trece si la urmatoarele.
De obicei imi testez scripturile folosind
/system script print without-paging where name="test_this_script"
iar din CLI mergea corect, din script nu, si nu era vorba de drepturi pentru ca scriptul l-am setat sa fie rulat si cu drepturi de admin si tot asa facea. Probabil sunt niste reguli de regex ceva duca care trebuiesc gandite commenturile ca sa nu ai probleme, dar daca ne poti indica tu unde le gasim, atat mie cat si altora, probabil ne-ar fi util.
Multumesc

Bx-ul, on 19 martie 2023 - 16:01, said:

Scrie la pagina care am pus link-ul in commentul anterior.
Uite aici inca o data link-ul respectiv:  https://help.mikroti...y/ROS/Scripting

Bx-ul, on 19 martie 2023 - 16:01, said:

Pai scrie, trebuie doar sa citesti mai cu atentie.

Uite, cu exemplul acesta:

/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=53 protocol=tcp to-addresses=192.168.1.10 comment="ABC"
/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=53 protocol=tcp to-addresses=8.8.8.8 comment="ABCD"
/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=53 protocol=tcp to-addresses=8.8.4.4 comment="ABCD_1"

In tabelul de la https://help.mikroti...tionalOperators scrie ca semnul "=" reprezinta proprietatea de egalitate intre valorile din stinga si din dreapta semnului "=".

In cazul string-urilor ABC, ABCD si ABCD_1:

• ABC nu este egal cu ABCD
  
• ABC nu este egal cu ABCD_1
  
• ABCD nu este egal cu ABCD_1

Prin urmare, cind zici comment="ABCD" iti compara valoarea din comment cu stringul ABCD.

In cazul exemplului de mai sus, comment="ABCD" iti intoarce doar o singura regula fiindca doar pentru o singura regula ai stringul "ABCD" in cimpul comment:

/ip firewall nat print where comment="ABCD"
Flags: X - disabled, I - invalid; D - dynamic
1 ;;; ABCD
	 chain=dstnat action=dst-nat to-addresses=8.8.8.8 protocol=tcp dst-port=53

Daca vrei sa-ti intoarca regulile care contin "ABCD" si "ABCD_1" din exemplul de mai sus atunci trebuie sa folosesti altceva in locul semnului de egalitate.
Acel altceva este caracterul "~" care este descris in tabelul de aici: https://help.mikroti...-OtherOperators

In cazul exemplului de mai sus, comment~"ABCD" iti intoarce cele doua reguli pentru care ai stringul "ABCD" in cimpul comment:

/ip firewall nat print where comment~"ABCD"
Flags: X - disabled, I - invalid; D - dynamic
1 ;;; ABCD
	 chain=dstnat action=dst-nat to-addresses=8.8.8.8 protocol=tcp dst-port=53
2 ;;; ABCD_1
	 chain=dstnat action=dst-nat to-addresses=8.8.4.4 protocol=tcp dst-port=53

Edited by cralin, 21 March 2023 - 03:07.

@cralin - Incep sa ma intreb daca tu citesti ce scriu complet, sau incomplet si apoi iti imaginezi chestii sau raspunzi doar cu ceea ce stii sau ceea ce vrei fara sa te intereseze ce problema ridic eu:
Reiau un pic logica ca sa intelegi de ce zic asta....
Eu am zis:
- ca prin script nu pot activa dezactiva reguli de firewall nat dupa comment daca stringul comment-ului este de forma ABC, ABCD si ABC_1 sau ABC1 (whatever) prin cerinte scriptice de genul:
ip firewall nat enable [find comment="SHIFTER100"]
ip firewall nat enable [find comment= "SHIFTER101"]
si ca ori lucreaza doar cu prima regula din setul de comenzi ignorand celelalte comenzi, ori activeaza/dezactiveaza majoritatea regulilor de firewall nat.

Eu mai am zis:
- ca imi verific scripturile cu comanda
/system script print without-paging where name="test_this_script"
si ca ele sunt corecte dpdv scriere script si ca ele totusi nu functioneaza la fel cand se folosesc comenzi pentru enable/disable de reguli de NAT in functie de stringurile din commenturi cand le folosesc : chemand un script (prin scheduler sau cu run - evident) sau prin netwatch (scris in netwatch window) si ca nu e vorba de drepturile de admin ca am testat asta; si ca probabil este vorba de modul in care cauta regulile dupa stringul de firewall nat rule comment. (singurul lucru diferit in trei linii consecutive de script - vezi exemplul dat unde l-am atasat)

Eu am mai zis si ca:
nu am gasit pe pagina data de tine lucruri despre ceea ce am descris ca si comportament si reguli pentru CAUTAREA dupa stringul de comment a regulilor de firewall nat si lucru cu acestea spre a le dezactiva/activa scriptic (de ce se opreste cum am zis mai sus).

Tu ai raspuns:
ca gasesc la linkul ala si l-ai mai dat odata, apoi ai intarit cu un exemplu despre ?adding? a firewall nat rule din CLI ???!!!??? - ce treaba are adaugarea de firewall rule cu comment in problema ridicata? regulile erau facute deja....

Tu ai raspuns:
Imi dai indicatii cu diferente dintre ~ si = (pe care le stiu, ca de-aia am folosit egal, pt ca vroiam fix comment ala exact asa cum e scris sa il gaseasca, ca de-aia aveam commenturi cu 101, 102, etc si si de-aia era neasteptat ca nu merge fix pe comment ala si ca se opreste la 101 de ex, si nu mai face si linia lui 102.....);

....apoi imi dai exemplu din terminal cum printezi niste reguli cu = si ~
am zis eu ca nu mi-a mers ceva din terminal? sau am intrebat de ~ vs =? ce cauti in terminal? jos mana de pe terminal, nu ai voie acolo - glumesc, nu e un flame, e doar o observare a logicii de forum, eu zic una, tu raspunzi alta, dar suntem ok, pt ca cu ce ai zis tu am rezolvat, cu netwatch si o singura actiune punand toate regulile alea cu un singur si unic comment, dar asta e un siretlic nu ceea ce trebuia sa fie; normal era sa am un foreach 100...120 intr-un singur script si nu un script+ 1 netwatch rule

Edited by Bx-ul, 21 March 2023 - 13:28.

@Bx-ul,
Nu-ti bate capul cu ce/daca am citit/inteles sau nu.

Ma bucur ca pina la urma l-ai facut sa-ti mearga asa cum vrei sa mearga pentru tine.

Poate vrei sa areti si altora care citesc thread-ul acesta cum ai implementat pentru tine questia respectiva.

Edited by cralin, 21 March 2023 - 15:30.

O alta metoda sa obtii ce vrei ar fi sa configurezi mikrotik-ul ca si dns cache . Pe clienti la dns setezi ip-ul de lan mikrotik , setezi in mikrotik doua server dns , server primar pihole , server secundar google sau altceva .

In firewall mikrotik blochezi toate cererile catre exterior pentru portul udp 53 , cu exceptia ip mikrotik.

Asa ai incercat ?

Edited by marchand, 22 March 2023 - 09:10.

cralin, on 21 martie 2023 - 15:24, said:

Ok, deci: reteaua e asa: multi VLAN-uri in setup de Router on a stick. Niste VLAN-uri  == (simplificat) ceva pe ethernet, ceva Wifi (home network / IoT / Guest network). Exista niste reguli prin care se permite comunicarea inter-vlan intre anumite puncte. Un PC care e in VLAN99 sa zicem, cu IP luat prin DHCP din router, dar fix. PiHole este aici intr-un VM cu IP-ul lui fix.
Pentru fiecare retea am setate in DHCP serverul fiecareia atat DHCP server de la ISP cat si altele de la Google, Cloudflare sau altii, daca pica unul, merge pe altul.
Un script verifica la minut prin Scheduler daca poate rezolva prin Pihole www.google.com si apoi, daca poate, pune PiHole DNS server pe tot routerul ca DNS. Daca nu poate, pune DNS de fallback (sa zicem Cloudflare cu familyprotection). Tot scriptul activeaza la momentul dupa ce seteaza PiHole ca DNS pe router si regula de Netwatch necesara mai departe.
Pentru ca tot traficul (DNS only) de la toti clientii sa treaca prin DNS-ul de PiHole, trebuiesc facute reguli de NAT conform cu (vezi youtube link de acum cateva cuvinte). Aceste reguli de NAT sunt activate printr-o regula de Netwatch care verifica la 25 secunde daca PiHole raspunde la ping, si daca da pune enable la acele reguli de NAT. Daca Pihole nu raspunde la ping, trece DNS pe router pe Google (nu pe Cloudflare) si dezactiveaza regulile alea de NAT. Scriptul de mai sus cand verifica daca PiHole poate functiona, restaureaza toate astea catre PiHole; iar daca nu poate Pihole sa rezolve DNS requestul pune DNS-ul pe router pe Cloudflare si dezactiveaza regula Netwatch dupa 45 de secunde (ca sa ii dea timp la aia sa ruleze si sa puna pe Google DNS-ul daca ti-a picat intr-un moment prost verificarea si sa nu ramai cu NAT-ul pe PiHole jumate de minut, sau mai bine zis, fara net).
Pentru calculatoarele care vreau sa aiba mereu DNS-ul rezolvat prin Google de ex am pus in DHCP Server Networks ip-ul respectivului cu gateway corespunzator si cu DNS de Google. Acea regula de DHCP este inaintea celei de retea in care sta Pc-ul respectiv in lista de DHCP si este exceptat prin adresslist de la regulile de NAT pentru DNS request per acel VLAN pe care se afla el.

marchand, on 22 martie 2023 - 09:07, said:

Repet, nu stau sa umblu la clienti sa fac setari locale. Pe scurt, nu, si nu o sa fac asta.

Edited by Bx-ul, 23 March 2023 - 01:24.

Pai cine vorbește de stat și făcut setări manuale la useri?
Îl setezi prin DHCP.
În orice caz, sa folosești nat ca sa comunici în LAN-ul intern mi se pare puțin ciudat.

sincer...extra-mega-super complicat..pt prea putin...plimbi pachete prin lan de la router la pihole si inapoi la client doar de dragul traficului...
un router trebuie doar sa routeze si-atat....
personal, zic ca mai puneai inca un pi-hole (hw sau virtualizat) si era totul mult mai simplu&clar fiecare cu 1,2,3-6 upstream-uri pt dns si doar setai in router sa impinga via dhcp adresele locale de dns + dnat pt 53 utp si tcp.
iar daca vroiai sa fi mai catolic decat papa, blocai si tot ce inseama server DoH&DoT in firewall-ul router-ului a.i. toata lumea sa foloseasca dns-urile locale.

Edited by ogo, 23 March 2023 - 09:57.

pihole nu ar merge pus in dockerul de pe mtik direct? sau il ingenuncheaza?

routerul meu nu e compatibil cu docker; iar daca ar fi, nu as face asa ceva din mai multe motive

ogo, on 23 martie 2023 - 09:57, said:

Personal, sint de aceeasi parere

Edited by cralin, 27 March 2023 - 01:55.

Salut domnilor! Nu ma pricep la ce discutati voi aici dar sper sa ma ajutati cu un raspuns la o intrebare aparent stupida. Am un router Mikrotik RB951UI-2HnD in serviciu din 2014. Cel care l-instalat si configurat e plecat destul de departe. Cu bani, nu gasesc pe nimeni dispus sa-si bata capul cu "monstrul" asta. Zilele trecute a dat ceva rateuri si am rezolvat cate ceva cu un update. Ma roade ideea unei resetari cu "reset configuration" si "keep user configuration". Am gasit optiunea asta in meniul lui dar zic sa va intreb si pe voi daca ma pot baza ca se va reconfigura totul 100%. Daca se pierde ceva am cam dat de belea. Rezolv ceva erori ale routerului sau ma gandesc la unul nou mai prietenos cu oamenii care m-ar putea ajuta la o reconfigurare totala? Multumesc.
PS am facut deja un backup extern la setari dar as vrea sa evit varianta asta de teama ca nu ma descurc sa le pun la locul lor.

Ce fel de rateuri iti da ?
Ce ar trebui sa faca routerul ala si nu mai face (aparent fara nici un motiv bine intemeiat) ?
De ce crezi ca te-ar ajuta reset la configuratie daca pastrezi setarile sau le re-aplici din backup ?

Cred ca echipamentul ala este - totusi - depasit, insa astept si eu cu interes raspunsurile la intrebarile de mai sus ale lui cralin.

Prima problema sesizata a fost disparitia unei camere IP  wireless, din clientul de vizualizare DVR. Pe urma nu reuseam sa o readaug in sistem, ea fiind deja "uitata".
Pe urma am observat ca i s-a alocat un alt IP decat cel pe care il avea de ani de zile. Concomitent am observat ca reteaua wifi din casa mergea cu intermitenta si cand reuseam sa ma conectez aveam viteze de sub 2Mbps in conditiile in care uzual aveam 50-60. Am intrat in router via browser si am vazut ca era in urma cu actualizarile si l-am lasat sa se puna la zi. In ultimii ani nu a umblat nimeni la router pentru ca nu a fost nevoie. Stiu ca e depasit dar nici cu cele moderne nu sunt impacat in conditiile in care tehnologia actuala nu are acoperire la fel de buna ca cea pe 2,4.
Nu stiu ce poate rezolva o resetare cu pastrarea setarilor, stiu doar ca setarile nu sunt gresite pt ca asa a mers de ani buni. Nici la telefon nu schimb setari dar macar saptamanal tot e nevoie de un restart ca incepe sa intepeneasca uneori.
Uitandu-ma in istoricul termostatului wireless observ ca aproape o zi intreaga a fost total deconectat de la retea.

Edited by camsonat, 17 April 2023 - 10:00.

Inainte sa dau reset la router sau sa-l schimb, eu as verifica daca nu cumva problema ta este legata de faptul ca s-a aglomerat aerul din jurul tau cu alte AP-uri wireless care ocupa toate canalele 2.4GHz si "striga" atit de tare incit routerul tau si clientii tai wireless le aud acum si nu le auzeau inainte.

Edited by cralin, 17 April 2023 - 18:46.