Doraemon309
Senior Member
Em để phần wan là pppoe luôn ạ!
Lan thì chỉ có một nên chưa làm list ạ!
Test OK mới đưa vào thực tế ạ!
thảo luận Cộng đồng người dùng MikroTik Router
- Thread starter tuanreb
- Start date
Lan thì chỉ có một nên chưa làm list ạ!
Test OK mới đưa vào thực tế ạ!
CGGX_ANNX
Senior Member
Nếu bác copy các rules tường lửa từ blog bác Tarikin như ở trên, tức là bác copy cái tường lửa như từ defconf thì bác cần 2 cái interface list WAN và LAN (tên đúng như thế) với member đúng (WAN chứa interface pppoe và interface ethernet pppoe sử dụng. LAN chứa cái bridge). Nếu không mấy rules sử dụng các list đó không áp dụng đúng.
Sau này lúc bác thiết lập thêm VLAN thì cũng chỉ việc add các interface VLAN mới vào list LAN là các mạng đó vào được internet và tự động được bảo vệ bởi cái tường lửa kia. Hoặc khi bác cấu hình PPPoE Server trên router, hay host VPN L2TP hoặc SSTP, bác cũng có thể chọn trên profile PPP là tự động add kết nối của client vào interface list LAN và tường lửa sẽ hoạt động đúng khi các VPN hay PPPoE client đó vào internet thông qua router bác. Tương tự, lúc bác thiết lập interface WireGuard trên router với mục đích khi ở quán cà phê ngoài đường có thể nối về nhà và dùng đường mạng ở nhà để vào internet thì bác cũng chỉ cần add interface WireGuard đó vào list LAN. Ngược lại, nếu bác dùng dịch vụ WireGuard thuê bên ngoài và lái traffic ra internet qua đó thì cũng chỉ việc add cái interface WireGuard tương ứng vào list WAN là mấy cái NAT masquerade với chặn kết nối vào router tự được áp dụng.
Bản thân trong cấu hình mặc định của cá dòng home router thì interface list LAN còn được dùng ở một số chỗ nữa ngoài firewall. Thí dụ defconf hạn chế chỉ bật cái này Neighbor discovery - RouterOS - MikroTik Documentation (https://help.mikrotik.com/docs/display/ROS/Neighbor+discovery) trên các interface thuộc list LAN
Code:
/ip neighbor discovery-settings
set discover-interface-list=LANhay defconf bật login WinBox bằng MAC address nhưng chỉ bật trên các interface thuộc list LAN
Code:
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Last edited:
chacuavip10
Đã tốn tiền
Nếu wan là trunk (kiểu ko tag vlan trên converter), thì cơ bản là tạo vlan 2502 trên wan của mik, sau đó cho vlan2502 bridge chung với cổng đấu về STB, bật mấy cái dhcp/igmp snooping là xong. Nếu có firewall thì permit all trong cái bridge IPTV. Nếu test ko thấy luồng thì reboot con STB, trước mình làm ko để ý mãi ko nhận
)VD dưới cổng wan là ether0_To_SFP, cổng setopbox là ether1_STB
Code:
/interface vlan
add interface=ether0_To_SFP name=vlan2502_iptv vlan-id=2502
add interface=ether0_To_SFP name=vlan35_internet vlan-id=35
/interface bridge
add add-dhcp-option82=yes dhcp-snooping=yes igmp-snooping=yes name=BridgeIPTV port-cost-mode=short
/interface bridge port
add bridge=BridgeIPTV interface=vlan2502_iptv internal-path-cost=10 path-cost=10
add bridge=BridgeIPTV interface=ether1_STB internal-path-cost=10 path-cost=10
Bosusu
Junior Member
thank bạn, đọc thấy hoa mắt quá, chắc em chưa đụng đến nên chưa biết, có gì nhờ bác chỉ giáo ạNếu wan là trunk (kiểu ko tag vlan trên converter), thì cơ bản là tạo vlan 2502 trên wan của mik, sau đó cho vlan2502 bridge chung với cổng đấu về STB, bật mấy cái dhcp/igmp snooping là xong. Nếu có firewall thì permit all trong cái bridge IPTV. Nếu test ko thấy luồng thì reboot con STB, trước mình làm ko để ý mãi ko nhận
VD dưới cổng wan là ether0_To_SFP, cổng setopbox là ether1_STB
Code:/interface vlan add interface=ether0_To_SFP name=vlan2502_iptv vlan-id=2502 add interface=ether0_To_SFP name=vlan35_internet vlan-id=35 /interface bridge add add-dhcp-option82=yes dhcp-snooping=yes igmp-snooping=yes name=BridgeIPTV port-cost-mode=short /interface bridge port add bridge=BridgeIPTV interface=vlan2502_iptv internal-path-cost=10 path-cost=10 add bridge=BridgeIPTV interface=ether1_STB internal-path-cost=10 path-cost=10
chacuavip10
Đã tốn tiền
Lệnh thì nó nhìn thế thôi, chứ dùng winbox có mỗi mấy click
CGGX_ANNX
Senior Member
Cũng tùy thiết bị bác ấy đang dùng nữa ạ. Vì config như vậy thì đang bị dính theo trường hợp "Layer 2 misconfiguration - VLAN in a bridge with a physical interface"
Layer2 misconfiguration - RouterOS - MikroTik Documentation
Nếu cổng kia cắm mỗi cái IPTV box thì chắc cũng chẳng sao. Nhưng mà nếu bác ấy dùng thiết bị của MikroTik với switch chip có dấu cộng ở cái cột này
(tức là gồm hEX, hEX S, hAP ax lite, RB1100AHx4, RB4011, L009, RB5009, CCR2004, CCR2116, CCR2216) thì sẽ phí phạm CPU vô ích thay vì để phần cứng tăng tốc nó tự đẩy traffic IPTV giữa 2 cái cổng. Nếu có 1 trong các thiết bị đó thì nên tạo 1 bridge cho mỗi 1 cái switch chip (mấy con lắm cổng có thể có 2 chip) rồi dùng Bridge VLAN filtering trên bridge. Vì Viettel tag VLAN cả traffic internet lẫn iptv nên cái cổng cắm ra modem/converter vẫn nhét được vào cùng 1 cái bridge với các cổng LAN như bình thường được, chỉ có điều là sau đó cấu hình nó thành trunk port (trên cái bridge), tag 2 VLAN ID kia.
Ngay cả nếu dùng thiết bị không có switch chip, thí dụ PC x86, thì MikroTik vẫn khuyến cáo dùng bridge VLAN filtering.
Basic VLAN switching - RouterOS - MikroTik Documentation
Khác biệt là không bị giới hạn phải tạo 1 bridge/1 switch chip nên có thể cho 2 cổng ethernet kia vào 1 bridge riêng với 2 cổng đó (nhưng không phải bridge giữa 1 cổng ethernet và 1 vlan như thí dụ của bác).
chacuavip10
Đã tốn tiền
Trên là mình dùng x86, còn nếu dùng đồ mik thì cấu hình như bạn bảo.
Trước cũng cấu hình kiểu vlan filtering, nhưng bị mất quản trị (ip của sfp) nên thôi dùng cách cũ.
Trước cũng cấu hình kiểu vlan filtering, nhưng bị mất quản trị (ip của sfp) nên thôi dùng cách cũ.
Last edited:
hoanganhtk
Senior Member
À em làm theo thì iptv của FPT lại không coi được ạ, tắt đi thì coi bình thường. Mong bác chỉ bảo ạ, em cám ơnNếu danh sách rules filter của tường lửa bác có mỗi cái dòng đó thì lỗi đó là bình thường. Bở vì dòng đó block packet đi tới router từ các interface không có trong list LAN, tức là block packet đến từ WAN. Nên khi router tạo kết nối đến server DoH thì router gửi được packet đi, nhưng khi server trả lời thì packet bị drop.
Bác chú ý ở đây
Building Advanced Firewall - RouterOS - MikroTik Documentation
help.mikrotik.com
Code:/ip firewall filter add action=accept chain=input comment="defconf: accept ICMP after RAW" protocol=icmp add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
chacuavip10
Đã tốn tiền
iptv thì cái defcon disable hết mấy cái "224.0.0.0/4" trong address list, ngoài ra tốt nhất cho thêm 1 rule permit all trong cái bridge iptv.
Van Huong
Đã tốn tiền
Đừng nói bác mua mấy con R3G với TPLink flash lại SPI Mik level nhaĐã bác nào xài RouterOS lvl 1 chưa ah??? Em nó có Wireguard không? Mình đang có nhu cầu 1 em 750Gr3 clone
Theo tài liệu của Mik thì là có
Level 1 là giới hạn mỗi loại Interface chỉ được số lượng là 1 thôi
wuhoatu
Senior Member
Mua giúp bạn, nhu cầu đơn giản 1 line DHCP client 100mbps + WG VPN client-to-site, quản lý tầm 15 devicesĐừng nói bác mua mấy con R3G với TPLink flash lại SPI Mik level nha
Theo tài liệu của Mik thì là có
Level 1 là giới hạn mỗi loại Interface chỉ được số lượng là 1 thôi
Van Huong
Đã tốn tiền
Thế original con R3G nó chạy Openwrt dư sức. Việc gì phải mua mấy con chọc ngoáy SPI chỉ để chạy RouterOS
Gì thì gì chứ đồ điện tử mà chọc ngoáy rồi mình k an tâm lắm
via theNEXTvoz for iPhone
Van Huong
Đã tốn tiền
wuhoatu
Senior Member
Thx bác, ông bạn lấy con 750 clone rồi, đang nhờ mình config
Van Huong
Đã tốn tiền
wuhoatu
Senior Member
Hơn 300 tẹo, mình ko biết chính xscs
ohyourgod
Senior Member
chia sẻ các bác script fail over tự viết, nếu PPPoE ko có IP ra internet hoặc có nhưng là dải 100.x.x.x của IPTV thì tăng distance lên 10 để tự nhảy qua dùng mạng 4G trên DHCP Client.
Còn giải pháp ping liên tục 8.8.8.8 nhưng dc 2 ngày liên tục thì google nó block vì nghi DDoS
1, Thay pppoe-fpt-out1 thành pppoe out hiện tại. Bỏ check Add default Route tại interface pppoe out.
2, Tại IP/ Routes List tạo và comment gateway như sau:
3, Copy code vào system / script, đặt tên fail_over
4, Tại system / scheduler lặp lại mỗi 5 giây là xong
Kết quả:
Còn giải pháp ping liên tục 8.8.8.8 nhưng dc 2 ngày liên tục thì google nó block vì nghi DDoS
1, Thay pppoe-fpt-out1 thành pppoe out hiện tại. Bỏ check Add default Route tại interface pppoe out.
2, Tại IP/ Routes List tạo và comment gateway như sau:
3, Copy code vào system / script, đặt tên fail_over
4, Tại system / scheduler lặp lại mỗi 5 giây là xong
Code:
:local pppoeInterface "pppoe-fpt-out1"
:local defaultRouteDistance [/ip route get [find comment=$pppoeInterface] distance]
#:log info "Current default route distance for $pppoeInterface: $defaultRouteDistance"
:local firstOctet 0
:local ipAddress [/ip address find interface=$pppoeInterface]
:local publicAddress 0
:if ($ipAddress != "") do={
:set publicAddress [/ip address get $ipAddress value-name=address]
#:log info "$pppoeInterface IP address is $publicAddress."
:set firstOctet [:pick $publicAddress 0 ([:find $publicAddress "." -1])]
}
#:log info "Address found for $publicAddress "
#:log info "First octet of $pppoeInterface IP address: $firstOctet"
:if ($publicAddress = 0 || $firstOctet = 100) do={
:if ($defaultRouteDistance != 10) do={
/ip route set [find comment=$pppoeInterface] distance=10
:log info ("$pppoeInterface Offline, switched to LTE")
}
} else={
:if ($defaultRouteDistance != 1) do={
/ip route set [find comment=$pppoeInterface] distance=1
:log info ("$pppoeInterface Online, switched back")
}
}Kết quả:
Attachments
Last edited:
Bosusu
Junior Member
ui bác mua 750 đâu mà rẻ thế
