Interface của os ak bạn
thảo luận Cộng đồng người dùng MikroTik Router
- Thread starter tuanreb
- Start date
J4uonline123
Senior Member
Các bác cho em hỏi em muốn mở port 80 cho server nginx
Mà không biết có bị trùng với port 80 của router mik không nhỉ? Nếu trùng thì dời port 80 của mik chỗ nào các bác bày em với
Mà không biết có bị trùng với port 80 của router mik không nhỉ? Nếu trùng thì dời port 80 của mik chỗ nào các bác bày em với
Verynoober
Senior Member
Đầu tiên phải xem sợi dây mạng đúng chuẩn chưa. Ko phải cái dây nào cắm cũng lên 2,5
dây mình chuẩn cat6 rồi bác mình thử sợi cat7 cũng vậy
lạ là máy tính cắm vào thì máy tính báo kết nối 2.5G
ohyourgod
Senior Member
Vẫn là ko nên mở port, nhất là port http, https, ssh, dùng vpn dc thì tốt.
Nếu muốn đổi port web interface thì ip / services / web.
CGGX_ANNX
Senior Member
Có vẻ bác ấy muốn đưa cái webserver chạy trên nginx ra ngoài. Thế nên chắc cần mở. Tuy nhiên bác ấy cũng nên forward cả cổng 443 của nginx nữa (tức là cũng phải lái cả cổng của www-ssl trong IP -> Services sang cổng khác 443 để không bị trùng) vì thời nay không ai còn nên dùng HTTP không nữa. Nginx hỗ trợ Let's Encrypt từ lâu rồi. Bác ấy vẫn có thể forward cổng 80, nhưng chỉ để dùng để trả lời với HTTP redirect lái sang HTTPS, với cần để Let's Encrypt bot tự renew certificate.
Còn cái services winbox, www, với www-ssl của RouteOS thì tất nhiên không nên để bên ngoài truy cập được vào như bác nói.
CGGX_ANNX
Senior Member
Bác thử như em có ghi ở mấy trang trước xem sao ạ:
thảo luận - Cộng đồng người dùng MikroTik Router
Chết cổng LAN. GẮN tất cả CÁC CỔNG KHÁC VÀO MẠNG ĐƯỢC BÌNH THƯỜNG NHÉ ! chỉ có gắnVào TIVI nó ko có mạng , nhưng gắn Vào cổng LAN CỦA ROUTER WIFI phụ thì tivi có mạng ? CÓ CÁCH NÀO LÀM CHO Có mạng khi gắn từ MIKROTIK 5009 qua TIVI ko ạ ?
voz.vn
Hoặc là tắt Auto Negotiation, chỉ để lại mỗi rate 2.5G baseT, hoặc là để Auto Negotiation, nhưng xóa bớt rates khỏi danh sách giữ lại mỗi một rate 2.5G baseT, hoặc giữ lại 2 rate 1G baseT VÀ 2.5G baseT.
ohyourgod
Senior Member
Nếu IP đó động hoặc họ fake mac thì phải tạo riêng 1 ssid wifi cho khách, gán vlan guest riêng.
Nếu người dùng cơ bản thì set static IP theo Mac sau đó:
Tạo connection mark.
Tạo packet mark (trên connection mark đã tạo)
Tạo Queue trên packet mark đã tạo, đặt max limit = số cần bóp băng thông
wuhoatu
Senior Member
Tắt service đi, chỉ cho winbox vào qua local hoặc vpn
ohyourgod
Senior Member
IPsec/IKE2 (certificate) thì có hướng dẫn ăn ngay rồi: IPSEC/IKE2 (with certificates) VPN server guide for remote access - MikroTik (https://forum.mikrotik.com/viewtopic.php?t=175656)
Xin hỏi các bác có cách nào cấu hình IPSEC IKEv2 với PSK và login/password sao cho khi ra ngoài đăng nhập vào VPN ở nhà một cách nhanh gọn như L2TP kiểu cũ không nhỉ? Cài certificate mệt quá
Xin hỏi các bác có cách nào cấu hình IPSEC IKEv2 với PSK và login/password sao cho khi ra ngoài đăng nhập vào VPN ở nhà một cách nhanh gọn như L2TP kiểu cũ không nhỉ? Cài certificate mệt quá
hetien
Senior Member
Mik cho xài PPTP & L2TP server mà, tốc độ còn cao hơn hàng draytek nữa. Draytek chỉ được cấu hình dễ do hãng làm firmware ok rồi.
ohyourgod
Senior Member
PPTP và L2TP windows ngon lành mà Android ko kết nối dc á.
Mikrotik báo connected, ko lỗi, cấp IP đúng lun, phía android cứ connecting... 1 phút sau thì mik báo peer is not responding, disconnect.
IKE2 android mới được.
sao thím không chơi wireguard cho nhanh
ohyourgod
Senior Member
E stream camera và phim, test qua thì thấy pptp nhanh nhất, rồi tới ike2 và l2tp, wireguard cảm giác tua video bị khựng, có thể do cấu hình kém
Attachments
CGGX_ANNX
Senior Member
Bác làm theo chỉ dẫn này (Road Warrior setup using IKEv2 with EAP-MSCHAPv2 authentication handled by User Manager), kết hợp với cái bác đã làm sẵn:
IPsec - RouterOS - MikroTik Documentation
Tức là nếu bác đã có sẵn cấu hinh chạy IKEv2 với client certificate từ forum kia rồi, thì các bước còn cần phải làm ở cái guide của MikroTik gồm có:
* Cho router tạo certificate bằng Let's Encrypt. Nếu dùng DDNS thay vì cái IP cloud thì bác có thể thêm tham số trên dòng lệnh để chọn domain name:
Code:
/certificate enable-ssl-certificate dns-name=abc.xyz.example.com* Sau đó bác download intermediate certificate R3 cho cái certificate Let's Encrypt tạo ra cho bác. Bác vào Chain of Trust - Let's Encrypt (https://letsencrypt.org/certificates/) rồi tải cái Let’s Encrypt R3 chỗ Intermediate Certificates, file này https://letsencrypt.org/certs/lets-encrypt-r3.pem rồi kéo lên router, vào System -> Certificates import vào RouterOS.
* Cài package User Manager và cấu hình nó + add user/pass như hướng dẫn của MikroTik
* Phần cấu hình IPsec với IKEv2 coi như bác đã làm hết rồi, giờ còn 1 bước duy nhất phải làm nữa là tạo cái identity sử dụng EAP Radius, thay vì EAP TLS như bác đã làm trước kia:
Code:
/ip ipsec identity
add auth-method=eap-radius generate-policy=port-strict mode-config=ike2-conf \
certificate=letsencrypt-autogen_XXX,lets-encrypt-r3.pem_0 \
my-id=fqdn:abc.xyz.example.com peer=ike2-peer \
policy-template-group=ike2-policiesBác thay các tham số tương ứng với policy group, peer, mode config của bác, cũng như tên certificate và domain. letsencrypt-autogen_XXX là tên certificate đã tạo, lets-encrypt-r3.pem_0 là tên cái certificate R3 bác import ở trên.
Trên điện thoại android bác dùng strongSwan thì chọn IKEv2 EAP (username/password), điền đúng domain cho server cũng như user & pass là xong. EDIT: như của em trong strongSwan còn phải mở rộng chỗ Advanced settings, chỗ Server identity điền domain name của nhà bác nữa mới ok.
Last edited:
ohyourgod
Senior Member
Cảm ơn bác, thử ngay mới dcBác làm theo chỉ dẫn này (Road Warrior setup using IKEv2 with EAP-MSCHAPv2 authentication handled by User Manager), kết hợp với cái bác đã làm sẵn:
IPsec - RouterOS - MikroTik Documentation
help.mikrotik.com
Tức là nếu bác đã có sẵn cấu hinh chạy IKEv2 với client certificate từ forum kia rồi, thì các bước còn cần phải làm ở cái guide của MikroTik gồm có:
* Cho router tạo certificate bằng Let's Encrypt. Nếu dùng DDNS thay vì cái IP cloud thì bác có thể thêm tham số trên dòng lệnh để chọn domain name:
Code:/certificate enable-ssl-certificate dns-name=abc.xyz.example.com
* Sau đó bác download intermediate certificate R3 cho cái certificate Let's Encrypt tạo ra cho bác. Bác vào Chain of Trust - Let's Encrypt (https://letsencrypt.org/certificates/) rồi tải cái Let’s Encrypt R3 chỗ Intermediate Certificates, file này https://letsencrypt.org/certs/lets-encrypt-r3.pem rồi kéo lên router, vào System -> Certificates import vào RouterOS.
* Cài package User Manager và cấu hình nó + add user/pass như hướng dẫn của MikroTik
* Phần cấu hình IPsec với IKEv2 coi như bác đã làm hết rồi, giờ còn 1 bước duy nhất phải làm nữa là tạo cái identity sử dụng EAP Radius, thay vì EAP TLS như bác đã làm trước kia:
Code:/ip ipsec identity add auth-method=eap-radius generate-policy=port-strict mode-config=ike2-conf \ certificate=letsencrypt-autogen_XXX,lets-encrypt-r3.pem_0 \ my-id=fqdn:abc.xyz.example.com peer=ike2-peer \ policy-template-group=ike2-policies
View attachment 2448404
Bác thay các tham số tương ứng với policy group, peer, mode config của bác, cũng như tên certificate và domain. letsencrypt-autogen_XXX là tên certificate đã tạo, lets-encrypt-r3.pem_0 là tên cái certificate R3 bác import ở trên.
Trên điện thoại android bác dùng strongSwan thì chọn IKEv2 EAP (username/password), điền đúng domain cho server cũng như user & pass là xong. EDIT: như của em trong strongSwan còn phải mở rộng chỗ Advanced settings, chỗ Server identity điền domain name của nhà bác nữa mới ok.
CGGX_ANNX
Senior Member
Cảm ơn bác, thử ngay mới dc
Quên chưa nói ở post trước là lúc xin cấp certificate Let's Encrypt bác phải tạm thời bật cái service www của WinBox với tạm thời mở cổng 80 trên firewall. Với max 90 ngày phải xin cấp mới. RouterOS đúng ra là nó tự gia hạn được trước khi hết hạn, nhưng nó chỉ làm nếu cổng 80 của bác mở sẵn tô hô ra thế giới 24/24, ai mà dại làm vậy. Các chú trên diễn đàn MikroTik cũng tạo feature request xin tính năng tự động chỉ mở/bật tạm thời lúc renew certificate, nhưng chưa thấy tăm hơi đâu.
Với khi gia hạn xong thì RouterOS chỉ tự động thay sang certificate mới ở mỗi chỗ www-ssl. Những chỗ khác như chỗ cấu hình SSTP, cái chỗ User Manager, hay cái identity IPsec trên kia bác phải update cái mục drop down bằng tay. Dùng đồ free nên đành đặt lịch hẹn 2.5 tháng 1 lần thôi ạ. Hoặc bỏ tiền mua cert để được 1 năm/lần.
Viyeuxa
Senior Member
chỉ cho winbox vào qua local hoặc vpn thế nào đấy bác? Nãy mình vào service tắt winbox, giờ winbox qua internet với vpn đều tạch cả, chiều làm về không biết local còn vào được ko @@
Similar threads
