thảo luận Cộng đồng người dùng MikroTik Router

qchien said:
Khả năng của em dính đúng ntn, để tối or mai rảnh e thử xem đc k. Bác rảnh e inb zalo tiện hỗ trợ e nhé, tks bác!
Click to expand...

Nếu con hEX S có giờ đúng rồi thì bác bật NTP Server trên nó lên thôi

Code: 
/system ntp server
set enabled=yes

Rồi trên Aruba chọn địa chỉ IP của router làm NTP server luôn (với cổng UDP 123 của router bác không được block trên tường lửa với truy cập từ LAN, thường thì không bị block sẵn rồi).
 
qchien said:
E dùng Mik760 + Sfp Gpon, time Mik đúng, time trên các t.bị khác sync ok. Chỉ mỗi Aruba là k sync đc (đã khai báo NTP Server + Timezone). Mò mẫm mấy hôm rồi mà k đc. Nay thấy bác @spectrumm197 nói là do xài VNPT nên muốn hỏi thêm để tìm cách fix.
Click to expand...
Vô lý nhỉ, nếu ISP nó chặn port thì Mik vs Client phía sau tạch cả chứ đây mỗi Aruba tạch.
Trước bị chặn port thì cả Mik lẫn all client đều tạch, sau đc bác @CGGX_ANNX chỉ cách VPN đi theo VRF là Mik sync đc luôn, routing cho các connection query port 123 (sync time) đi qua VPN nữa là client cũng sync đẹp.
 
CGGX_ANNX said:
Nếu con hEX S có giờ đúng rồi thì bác bật NTP Server trên nó lên thôi

Code: 
/system ntp server
set enabled=yes

Rồi trên Aruba chọn địa chỉ IP của router làm NTP server luôn (với cổng UDP 123 của router bác không được block trên tường lửa với truy cập từ LAN, thường thì không bị block sẵn rồi).
Click to expand...
Bất lực rồi bác ạ!
E để ý thì mỗi lần reboot Aruba time trên Dashboard lại trở về ngày giờ của firmware.
 

Attachments

  • Firm_date.JPG
    Firm_date.JPG
    10.8 KB · Views: 6
  • Time.jpg
    Time.jpg
    102 KB · Views: 8
qchien said:
Bất lực rồi bác ạ!
E để ý thì mỗi lần reboot Aruba time trên Dashboard lại trở về ngày giờ của firmware.
Click to expand...
Lỗi lạ nhỉ, đang dùng 1 dàn 105 & 135 khoảng 20 ap lâu lâu ngứa tay cho reboot nguyên 1 dàn, NTP cập nhật bình thường, mạng viettel.
 
maihuong1990 said:
Code: 
global WaitingforTimer
global LteLoop 1
while ( $LteLoop =1 ) do={
  # Add Apn
  if ([ :len [ /interface/ lte/apn/ find where name="Lte1_Auto" ] ] =0)  do={
    /interface lte apn
    add name="Lte1_Auto" apn="m9-reddi" use-peer-dns=yes use-network-apn=yes add-default-route=yes default-route-distance=2 ip-type=auto authentication=none}
  if ([ :len [ /interface/ lte/apn/ find where name="Lte1_IPv4" ] ] =0)  do={
    /interface lte apn
    add name="Lte1_IPv4" apn="m9-reddi" use-peer-dns=yes use-network-apn=yes add-default-route=yes default-route-distance=2 ip-type=ipv4 authentication=none}
  if ([ :len [ /interface/ lte/apn/ find where name="Lte2_Auto" ] ] =0)  do={
    /interface lte apn
    #add name="Lte2_Auto" apn="m9-reddi" use-peer-dns=yes use-network-apn=yes add-default-route=yes default-route-distance=3 ip-type=auto authentication=none
    add name="Lte2_Auto" apn="m3-world" use-peer-dns=yes use-network-apn=yes add-default-route=yes default-route-distance=3 ip-type=auto authentication=pap user="mms" password="mms"
  }
  if ([ :len [ /interface/ lte/apn/ find where name="Lte2_IPv4" ] ] =0)  do={
    /interface lte apn
    #add name="Lte2_IPv4" apn="m9-reddi" use-peer-dns=yes use-network-apn=yes add-default-route=yes default-route-distance=3 ip-type=ipv4 authentication=none
    add name="Lte2_IPv4" apn="m3-world" use-peer-dns=yes use-network-apn=yes add-default-route=yes default-route-distance=3 ip-type=ipv4 authentication=pap user="mms" password="mms"
  }
  # Change Apn when LTE1, LTE2 disconnected
  if ([ :len [ /interface/find where name="lte1" ] ]=1 and [ :len [ /ip/address/find where interface="lte1" ] ]=0 ) do={      
    if ([/interface lte get [find name=lte1] disabled]=true) do={
      /interface lte set [find name=lte1] disabled=no}
    if ( [/interface lte get [ find name=lte1 ] apn-profiles]!="Lte1_IPv4") do={
      /interface lte set [ find name=lte1 ] apn-profiles="Lte1_IPv4"} else={
      /interface lte set [ find name=lte1 ] apn-profiles="Lte1_Auto"}}
  if ([ :len [ /interface/find where name="lte2" ] ]=1 and [ :len [ /ip/address/find where interface="lte2" ] ]=0) do={    
    if ([/interface lte get [find name=lte2] disabled]=true) do={
      /interface lte set [find name=lte2] disabled=no}
    if ( [/interface lte get [ find name=lte2 ] apn-profiles]!="Lte2_IPv4") do={
      /interface lte set [ find name=lte2 ] apn-profiles="Lte2_IPv4"} else={
      /interface lte set [ find name=lte2 ] apn-profiles="Lte2_Auto"}}
  # Change Apn when LTE1, LTE2 connected but wrong APN
  do {
    if ( [/interface lte get [ find name=lte1 ] apn-profiles]!="Lte1_IPv4" and [/interface lte get [ find name=lte1 ] apn-profiles]!="Lte1_Auto" and [ :len [ /interface/find where name="lte1" ] ]=1 and [ :len [ /ip/address/find where interface="lte1" ] ]=1 ) do={
      /interface lte set [ find name=lte1 ] apn-profiles="Lte1_Auto"}
  } on-error={ }
  do {
    if ( [/interface lte get [ find name=lte2 ] apn-profiles]!="Lte2_IPv4" and [/interface lte get [ find name=lte2 ] apn-profiles]!="Lte2_Auto" and [ :len [ /interface/find where name="lte2" ] ]=1 and [ :len [ /ip/address/find where interface="lte2" ] ]=1 ) do={
      /interface lte set [ find name=lte2 ] apn-profiles="Lte2_Auto"}
  } on-error={ }
  # Waiting for LTE1, LTE2 reconnect
  if ( $WaitingforTimer>0) do={ set WaitingforTimer 0 }
  while ( $WaitingforTimer <61 and [ :len [ /ip/address/find where interface="lte1" ] ]=0 and [ :len [ /interface/find where name="lte1" ] ]=1 ) do={
    delay 1s;
    set WaitingforTimer ($WaitingforTimer+1)}
  while ( $WaitingforTimer <61 and [ :len [ /ip/address/find where interface="lte2" ] ]=0 and [ :len [ /interface/find where name="lte2" ] ]=1) do={
    delay 1s;
    set WaitingforTimer ($WaitingforTimer+1)}
  # change Lte Interface Name
  do {
    #if ([/interface lte get [find name=lte1] comment]="box 3.0_VINA" and [len [interface lte find]]=2 ) do={
      #/interface lte set [find comment="box 3.0_VINA"] name=lte4 }
  } on-error={}
  delay 1s
}
lte interface thím để đúng tên lte1 hoặc lte2, chỉnh lại distance lte trong scripts nếu cần thiết
Click to expand...
Tình hình là thêm scrip này vào thì không bị mất mạng sau vài ngày nữa nhưng đến ngày gia hạn hàng tháng gói Big50Y thì vẫn bị mất mạng, có cách nào khắc phục không thím?
 
qchien said:
Time trên Mik vẫn chuẩn, nhập phần này Mik vẫn sync đc. Ý e là con Aruba nó k sync time đc ấy. E dùng mấy con Linksys vẫn sync time đc (cùng cắm qua switch từ Mik).
Click to expand...
À m dùng 335 mấy con ko thấy bị. Chắc do cấu hình gì đấy liên quan đến múi giờ hay vùng thôi.

via theNEXTvoz for iPhone
 
Multimedia2030 said:
Tình hình là thêm scrip này vào thì không bị mất mạng sau vài ngày nữa nhưng đến ngày gia hạn hàng tháng gói Big50Y thì vẫn bị mất mạng, có cách nào khắc phục không thím?
Click to expand...
thím chạy thêm script này nữa:
Code: 
global lteCheckTimer 0
while ( 1 ) do={
   #PING Check LTE
   if ($lteCheckTimer>600) do={
      global lteUpCounter 0
      # Check LTE1
      for i from=1 to=10 do={
         if ([:len [/ip address find interface="lte1"]]>0) do={
            if ([:len [/ping 8.8.8.8 interface="lte1" count=1 as-value]]=6) do={
               set lteUpCounter ($lteUpCounter+1)
            } else={:set lteUpCounter ($lteUpCounter-1)}
         } else={:set lteUpCounter $i}
      }
      if ($lteUpCounter<2 ) do={:log info "LTE1 disconnected"
         /interface lte set [find name="lte1"] disabled=yes
         #do { /interface lte at-chat lte1 input="AT+CFUN=1,1" } on-error={ }
      }
      set lteUpCounter 0
      # Check LTE2
      for i from=1 to=10 do={
         if ([:len [/ip address find interface="lte2"]]>0) do={
            if ([:len [/ping 8.8.8.8 interface="lte2" count=1 as-value]]=6) do={
               set lteUpCounter ($lteUpCounter+1)
            } else={:set lteUpCounter ($lteUpCounter-1)}
         } else={:set lteUpCounter $i}
      }
      if ($lteUpCounter<2) do={:log info "LTE2 disconnected"
         /interface lte set [find name="lte2"] disabled=yes}
      set lteCheckTimer 0}
   set lteCheckTimer ($lteCheckTimer+1)
   delay 1s
}
 
Hi anh em. Trong 2 con này nên sử dụng con nào để cài mik ổn định (D525 vs N2600) và bản bao nhiêu để ổn định? Xin cám ơn ae. (E đang ưu tiên N2600 vì tiết kiệm điện hơn). 2 con đều tương tự như hình.
 

Attachments

  • 1713760903498.png
    1713760903498.png
    153.3 KB · Views: 5
kokono208 said:
Hi anh em. Trong 2 con này nên sử dụng con nào để cài mik ổn định (D525 vs N2600) và bản bao nhiêu để ổn định? Xin cám ơn ae. (E đang ưu tiên N2600 vì tiết kiệm điện hơn). 2 con đều tương tự như hình.
Click to expand...
+1 N2600. Đã x86 thì cứ stable cao nhất mà xài
 
Các bác cho hỏi giao thức PPTP dù có tốc độ nhanh nhất nhưng được xem là đã lỗi thời vì chỉ có xác thực = username / password, không có public / private key. Lướt qua các forum thì đâu đâu cũng tẩy chay giao thức này.
Vậy trong thực tế thì nó kém an toàn tới mức nào? Có ai thực tế hack được giao thức này chỉ trong 5 phút như các bài viết đó nói không, ý em là khi đăng nhập app banking, rồi stream video, gửi file thì hacker có thể ăn cắp các thông tin đó không? Vì hiện nay hầu hết toàn bộ website đều dùng https, thứ duy nhất có ý nghĩa mà hacker capture được chỉ là tên domain + thời gian mà mình truy cập.
 
ohyourgod said:
ý em là khi đăng nhập app banking, rồi stream video, gửi file thì hacker có thể ăn cắp các thông tin đó không? Vì hiện nay hầu hết toàn bộ website đều dùng https, thứ duy nhất có ý nghĩa mà hacker capture được chỉ là tên domain + thời gian mà mình truy cập.
Click to expand...

Cái "an toàn" này như bác nói chỉ áp dụng khi bác sử dụng cái VPN PPTP theo kiểu bác sử dụng các dịch vụ VPN cài ở máy chủ bên thứ 3 nước ngoài, dùng nó vào mạng xem các trang cấm hay để lách bị nhà mạng bóp. Đúng là nếu dùng như thế thì đa phần các dịch vụ bác sử dụng nó mã hóa hết rồi nên nguy cơ thấp hơn hẳn. Nguy cơ chỉ như khi dùng mạng WiFi quán cà phê hay mạng WiFi Open ở sân bay mà thôi. Cùng lắm thì bị thêm nguy cơ thằng khác nó sài chùa cái tài khoản VPN nước ngoài của bác.

Nhưng mà nếu bác thiết lập kết nối PPTP để quay VPN nối về mạng LAN nhà bác thì nó là chuyện khác bác nhé. Và cái này tuyệt đối tránh bác ạ. PPTP là giao thức gần 30 năm tuổi rồi, từ thuở mã hóa lẫn xác thực đều còn sơ khai :D. Không cần xét đến việc giao thức mã hóa chỉ có RC4 với max 128 bit (đấy là lý do nó nhanh đấy bác), tấn công vào PPTP dễ nhất là bước authentication ban đầu. Chỉ cần thằng chủ quán cà phê bác đang ngồi, hay thằng nào đó đang ngồi cùng sân bay với bác và bác đang dùng mạng WiFi miễn phí ở sân bay, nó capture vài packets lúc bác tạo kết nối PPTP (rất dễ, chỉ cần đợi traffic tới cổng TCP 1723 xuất hiện) là đủ. Khi dùng MSCHAPv2 (đã là tốt hơn cái MSCHAPv1 với CHAP, PAP cổ xưa hơn nữa rồi nhé) để xác thực username/password thì thực ra mức độ phức tạp chỉ còn có 2^56 thôi bác ạ, và từ mười mấy năm trước đã có công cụ GitHub - moxie0/chapcrack (https://github.com/moxie0/chapcrack) cho bác brute-force ra được login từ đống capture này rồi ạ. Hồi đó mất gần 1 ngày tính toán, mười mấy năm sau thì bác suy ra còn bao lâu.

Khi đã giải mã được thông tin login của bác rồi thì thằng tấn công nó coi như mở cửa vào nhà bác rồi chui gầm giường trốn thôi. Nó vào thẳng mạng LAN của bác rồi thì các NAS drives hay Camera này nọ gì của bác nó thích xem với đọc tùy thích, hay thiết bị IoT thích điều khiển thì điều khiển. Chưa kể các thiết bị nào trong LAN của bác có lỗ hổng bảo mật thì nó cũng dễ dàng lợi dụng. Ngoài ra nó nằm trong mạng, đằng sau router của bác rồi thì tất nhiên nó cũng có thể lợi dụng đường truyền internet của bác để tấn công các mục tiêu khác (DDoS hay hack abc gì đó, hay thậm chí tải child pỏn) và bác sẽ bị vạ lây (vì địa chỉ IP xuất phát từ nhà bác), hay nó bán đường truyền nhà bác làm proxy cho mấy bọn MMO gì gì đó nó sử dụng, v.v...

Nếu muốn bảo mật bước authentication với PPTP (cái phần mã hóa dữ liệu sau đó thì vẫn rởm với RC4 thôi) thì bác phải dùng EAP-TLS, tức là khi đó lại phải dùng certificate với public key infrastructure. Mà không phải server PPTP nào cũng hỗ trợ EAP-TLS, đa số chỉ có MSCHAPv2 là hết cỡ. Như cái server PPTP trong RouterOS chỉ hỗ trợ mỗi PAP/CHAP/MSCHAPv1/v2 mà thôi.
 
Last edited:
CGGX_ANNX said:
Khi đã giải mã được thông tin login của bác rồi thì thằng tấn công nó coi như mở cửa vào nhà bác rồi chui gầm giường trốn thôi. Nó vào thẳng mạng LAN của bác rồi thì các NAS drives hay Camera này nọ gì của bác nó thích xem với đọc tùy thích, hay thiết bị IoT thích điều khiển thì điều khiển. Chưa kể các thiết bị nào trong LAN của bác có lỗ hổng bảo mật thì nó cũng dễ dàng lợi dụng. Ngoài ra nó nằm trong mạng, đằng sau router của bác rồi thì tất nhiên nó cũng có thể lợi dụng đường truyền internet của bác để tấn công các mục tiêu khác (DDoS hay hack abc gì đó) và bác sẽ bị vạ lây (vì địa chỉ IP xuất phát từ nhà bác), hay nó bán đường truyền nhà bác làm proxy cho mấy bọn MMO gì gì đó nó sử dụng, v.v...
Click to expand...
Như vậy vấn đề không phải là hacker lấy được pass ngân hàng, hay nghe trộm... mà là nó lấy được pass VPN rồi chui vào mạng LAN của mình, có khi mở port cho camera còn an toàn hơn là dùng PPTP VPN cho toàn mạng LAN.
L2TP cũng được xem là kém an toàn, dù đã hơn PPTP nhiều.

Ikev2/ipsec thì phức tạp, cấu hình xong chạy ok, lúc sau không chạy nữa cũng chẳng biết phải mò chỗ nào, log thì đỏ lòm toàn brute force, chặn mệt nghỉ.

Wireguard thực sự đơn giản hoá, xuất config rồi import qua mikrotik là ăn liền, khỏi phải chứng chỉ rồi kí tên các kiểu, mà không hiểu sao stream video nó chậm hơn ikev2, thỉnh thoảng ping time out, chắc không phải do CPU yếu (J4125)
 
Các bác self host Adguard home có thể chặn dc ads trong app android ko nhỉ? Có vẻ nó ko hoạt động với Facebook vì ads fb gắn vào domain luôn, chặn là khỏi dùng facebook
 

Similar threads

huwgthanh
thắc mắc chia sẻ dữ liệu và kết nối mạng từ máy tính có sẵn wifi sang máy tính khác bằng dây mạng có được không?
Replies
3
Views
162
ohyesssvn
ohyesssvn
ohyourgod
kiến thức Hướng dẫn tạo VPN Wireguard Mikrotik và kết nối từ Windows dễ nhất
2 3
Replies
47
Views
2K
wuhoatu
wuhoatu
ohyourgod
kiến thức [Đơn giản] Hướng dẫn tạo VPN Wireguard trên Mikrotik và kết nối từ điện thoại dễ nhất
Replies
17
Views
751
ohyourgod
ohyourgod
phuongnam93l1
thảo luận Banana pi BPI R4
Replies
3
Views
147
chienbinhso13
chienbinhso13
Cán bụ
thắc mắc Chỉ máy Download + Upload đồng thời là rớt. Máy khác kết nối bình thường
Replies
1
Views
85
zaizai_vjp
zaizai_vjp

Share this page

Back
Top