thảo luận Cộng đồng người dùng MikroTik Router

Darias said:
Bạn còn thiếu một bước quan trọng là phải xin IP từ interface gốc rồi mới tạo interface ảo trên interface gốc được.
Còn việc quay pppoe được hay không là do phía ISP có cho phép hay không.
Click to expand...
Bác ơi chỉ giùm em cái bước này với ạ
 
Bạn nào chỉ giúp mình vấn đề này với ạ.
Công ty mình có Public 2 cái Web ra internet nhưng chỉ muốn cho IP Việt Nam truy cập.
Mình muốn chặn tất cả IP từ nước ngoài truy cập đến Router Mik của mình thì mình tìm từ khóa như thế nào ạ. Mình muốn chặn tất cả luôn vì thấy có nhiều IP nước ngoài nó ssh với winbox vào Router bên mình quá. Đặc thù công ty mình chỉ hoạt động ở VN ạ.

Xin cảm ơn các bạn nhiều lắm ạ. Mình mới học cách cấu hinh Mik có 1 ngày nên các bạn vui lòng chỉ thêm ạ

À minh đã thêm được list IP V4 VN vào IP Address List của Mik. theo link http://blog.erben.sk/2014/02/06/country-cidr-ip-ranges/
 
Last edited:
uyvienbotrai1 said:
Bạn nào chỉ giúp mình vấn đề này với ạ.
Công ty mình có Public 2 cái Web ra internet nhưng chỉ muốn cho IP Việt Nam truy cập.
Mình muốn chặn tất cả IP từ nước ngoài truy cập đến Router Mik của mình thì mình tìm từ khóa như thế nào ạ. Mình muốn chặn tất cả luôn vì thấy có nhiều IP nước ngoài nó ssh với winbox vào Router bên mình quá. Đặc thù công ty mình chỉ hoạt động ở VN ạ.

Xin cảm ơn các bạn nhiều lắm ạ. Mình mới học cách cấu hinh Mik có 1 ngày nên các bạn vui lòng chỉ thêm ạ

À minh đã thêm được list IP V4 VN vào IP Address List của Mik. theo link http://blog.erben.sk/2014/02/06/country-cidr-ip-ranges/
Click to expand...

SSH winbox thì zô Mik. IP => Services off hết đi để lại www, winbox, www-ssl thôi
 
Tổng Hơp Cấu Hình IPV6, nhà mạng VNPT , cho Mikrotik, Full chạy.
Đã test trên 2001:0ee0:xxx

Các thím làm theo các bước như 2 thím dưới hướng dẫn.

Step 1: tu vuducdong

Step2: tu khaidq

Step 3: từ ppptran, khúc MTU này nó vật mình ra bã.

Mục 2 và 3 , của thím vuducdong, bỏ chọn cái Use Peer DNS đi. DNS của vnpt lởm khởm.

RỒi: Giờ phải gán DNS cho IPv6.
Các thím vô IP4 -> DNS -> Gán thêm 2 cái dns của ipv6, để nằm dưới v4 dns nha. Mik nó xài DNS từ v4 config cho global.

For IPv6: 2001:4860:4860::8888 and/or 2001:4860:4860::8844 ip v6 của google.

OK, giờ tới mục các thím có lúc chạy, có lúc kẹt, có lúc giựt.

CHỉnh lại MTU , tuyệt ko để trên 1400, quá over size packgage, router nó drop hết.

Nằm trong mục : IPv6 -> ND -> interface -> MTU
CHỉnh lại MTU tầm 1280 là chạy mượt mà,

Còn muốn biết chính xác bao nhiêu chỉ có hỏi OMC nó set ra sao, xong rồi mình trừ ra overhead của pppoe etc. ...

Edit 1 : Sau 1 hồi reset error và trial, tạm chấp nhận ở mức MTU 1400.
Edit2: Phải setup cái đống firewall đưới dây, để nó không drop imcpv6 sảng.


Và phải setup compelete IPv6 firewall rule ở đây:
IPv6 Firewall Rule


Test coi ổn chưa : http://test-ipv6.com/ tại đây, 10/10 , ko báo lỗi gì hết là ổn.
Ping google -t các thứ xem có rớt riếc gì ko.

@vuducdong ,@khaidq , @idmresettrial , @thinhsve ,@khang_dk
 
Last edited:
ppptran said:
Tổng Hơp Cấu Hình IPV6, nhà mạng VNPT , cho Mikrotik, Full chạy.
Đã test trên 2001:0ee0:xxx

Các thím làm theo các bước như 2 thím dưới hướng dẫn.

Step 1: tu vuducdong

Step2: tu khaidq

Step 3: từ ppptran, khúc MTU này nó vật mình ra bã.

Mục 2 và 3 , của thím vuducdong, bỏ chọn cái Use Peer DNS đi. DNS của vnpt lởm khởm.

RỒi: Giờ phải gán DNS cho IPv6.
Các thím vô IP4 -> DNS -> Gán thêm 2 cái dns của ipv6, để nằm dưới v4 dns nha. Mik nó xài DNS từ v4 config cho global.

For IPv6: 2001:4860:4860::8888 and/or 2001:4860:4860::8844 ip v6 của google.

OK, giờ tới mục các thím có lúc chạy, có lúc kẹt, có lúc giựt.

CHỉnh lại MTU , tuyệt ko để trên 1400, quá over size packgage, router nó drop hết.

Nằm trong mục : IPv6 -> ND -> interface -> MTU
CHỉnh lại MTU tầm 1280 là chạy mượt mà,

Còn muốn biết chính xác bao nhiêu chỉ có hỏi OMC nó set ra sao, xong rồi mình trừ ra overhead của pppoe etc. ...

Và phải setup compelete IPv6 firewall rule ở đây:
IPv6 Firewall Rule


Test coi ổn chưa : http://test-ipv6.com/ tại đây, 10/10 , ko báo lỗi gì hết là ổn.
Ping google -t các thứ xem có rớt riếc gì ko.

@vuducdong ,@khaidq , @idmresettrial , @thinhsve ,@khang_dk
Click to expand...
Của mình chắc bệnh khác, chỉ đêm mới dùng được, ngày tịt, cùng 1 config. :sweat:
 
ppptran said:
Tổng Hơp Cấu Hình IPV6, nhà mạng VNPT , cho Mikrotik, Full chạy.
Đã test trên 2001:0ee0:xxx

Các thím làm theo các bước như 2 thím dưới hướng dẫn.

Step 1: tu vuducdong

Step2: tu khaidq

Step 3: từ ppptran, khúc MTU này nó vật mình ra bã.

Mục 2 và 3 , của thím vuducdong, bỏ chọn cái Use Peer DNS đi. DNS của vnpt lởm khởm.

RỒi: Giờ phải gán DNS cho IPv6.
Các thím vô IP4 -> DNS -> Gán thêm 2 cái dns của ipv6, để nằm dưới v4 dns nha. Mik nó xài DNS từ v4 config cho global.

For IPv6: 2001:4860:4860::8888 and/or 2001:4860:4860::8844 ip v6 của google.

OK, giờ tới mục các thím có lúc chạy, có lúc kẹt, có lúc giựt.

CHỉnh lại MTU , tuyệt ko để trên 1400, quá over size packgage, router nó drop hết.

Nằm trong mục : IPv6 -> ND -> interface -> MTU
CHỉnh lại MTU tầm 1280 là chạy mượt mà,

Còn muốn biết chính xác bao nhiêu chỉ có hỏi OMC nó set ra sao, xong rồi mình trừ ra overhead của pppoe etc. ...

Và phải setup compelete IPv6 firewall rule ở đây:
IPv6 Firewall Rule


Test coi ổn chưa : http://test-ipv6.com/ tại đây, 10/10 , ko báo lỗi gì hết là ổn.
Ping google -t các thứ xem có rớt riếc gì ko.

@vuducdong ,@khaidq , @idmresettrial , @thinhsve ,@khang_dk
Click to expand...
Thanks bác. Mấy nay đang chạy Openwrt con R7800 Firmware của KONG nhận full IPv6, còn con HAP AC2 đang để nhà ông anh, nên lâu rồi ko nghịch dc :smile:
 
Có bác nào đang dùng router mirotik và mạng internet lease của viettel không nhỉ ?
Cho mình hỏi có phải chỉ cần gán ip tĩnh vào interface ( không cần quay pppoe ) là ra được internet đúng không ?
 
Có bạn nào update lên 7.6 xong bị tịt luôn cái DDNS của mikrotik ko ? nó cứ updating hoài mà ko xài đc gì.
//FYI : đều phân giải đc địa chỉ cloud.mikrotik.com và cloud2.mikrotik.com

Sau cả ngày thì giờ nó lại đc rồi anh em.
1672134364233.png
 
Last edited:
Mấy nay không remote từ internet vào 8291 của Mikrotik, mới để ý là Viettel không đẩy IP Public về cho modem nữa. Như hình đúng không ae

1672151214550.png
 
vuducdong said:
//Protect DNS and webproxy

Code: 
/ip firewall filter
add protocol=udp dst-port=53 in-interface=pppoe-out1 chain=input action=drop comment=" Protect DNS and webproxy"
add protocol=tcp dst-port=53 in-interface=pppoe-out1 chain=input action=drop
add protocol=tcp dst-port=8080 in-interface=pppoe-out1 chain=input action=drop

//Protect WINBOX - recommended to change port 8291 to another port (IP -> Services)

Code: 
/ip firewall filter
add chain=input protocol=tcp dst-port=8291 src-address-list=winbox_blacklist action=drop \
comment="Drop Winbox Brute Forcers" disabled=no

add chain=input protocol=tcp dst-port=8291 connection-state=new \
src-address-list=winbox_stage3 action=add-src-to-address-list address-list= winbox_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=input protocol=tcp dst-port=8291 connection-state=new \
src-address-list= winbox_stage2 action=add-src-to-address-list address-list= winbox_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list= winbox_stage1 \
action=add-src-to-address-list address-list= winbox_stage2 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=8291 connection-state=new action=add-src-to-address-list \
address-list= winbox_stage1 address-list-timeout=1m comment="" disabled=no

//DROP DDoS

Code: 
/ip firewall address-list
add list=DDoS-attackers comment="List all IP of DDoS-attackers"
add list=DDoS-target comment="List all IP of DDoS-target"

/ip firewall filter
add action=jump chain=forward comment="Drop DDoS" connection-state=new \ jump-target=detect-DDoS

/ip firewall filter

add chain=detect-DDoS dst-limit=32,32,src-and-dst-address/1s action=return

/ip firewall filter

add chain=detect-DDoS action=add-dst-to-address-list address-list=DDos-target address-list-timeout=10m

add chain=detect-DDoS action=add-src-to-address-list address-list=DDos-attackers address-list-timeout=10m

/ip firewall raw

 add action=drop chain=prerouting dst-address-list=ddos-target src-address-list=ddos-attackers comment="Drop DDoS Raw"

/ip firewall filter

 add chain=forward connection-state=new src-address-list=DDos-attackers dst-address-list=DDos-target action=drop
Click to expand...
1672154690067.png

không biết em có làm sai chỗ nào không nhưng mà nó nhận ip local là ddos attackers luôn mới đau ạ :beat_brick:
 

Similar threads

T
thắc mắc Hỏi về Unifi Dream Machine
Replies
3
Views
163
hetien
hetien
L
thắc mắc Mua router wifi
2
Replies
21
Views
669
Chocobolife90
C
O
tin tức Xiaomi ra mắt router Wi-Fi 7: 5011Mbps, cổng LAN 2.5Gbps, hỗ trợ mesh, giá chưa tới 1 triệu đồng
Replies
10
Views
1K
thomas@
thomas@
Chanh Huynh
thảo luận Không kết nối được VPN khi tạo trên Router Mesh ZenWifi 6 Ba băng tần chuẩn AX6600 ASUS XT8 (W-2-PK)
Replies
1
Views
139
truonggiahyp0
truonggiahyp0
huynq41
thắc mắc Cài đặt vpn wireguard từ ubuntu
Replies
0
Views
131
huynq41
huynq41

Share this page

Back
Top