wuhoatu
Senior Member
Vâng bác, flash nó đủ chỗ cho container package thì cái này đưa sang USB đơn giản.
thảo luận Cộng đồng người dùng MikroTik Router
- Thread starter tuanreb
- Start date
wuhoatu
Senior Member
Ko biết Mik nó support cho realtek nào rồi, mình có con router x86 4 LAN realtek giga mà lắp SSD mik chạy ko thấy nhận LAN nào mới cay.
longbedaumtt
Senior Member
Nô đang dư 1 ssd chứa license mik, quý anh nào cần thì pm nhé
Verynoober
Senior Member
Xin inbox nào bạn
CGGX_ANNX
Senior Member
Với một cái nữa cần lưu ý là con ac² chỉ có 128MB RAM (xưa có thể may mắn vớ được bản có 256MB hAP ac² - more RAM than in HW specification - MikroTik (https://forum.mikrotik.com/viewtopic.php?t=132051#p649005)) nên giờ chạy lên sẽ còn trống khoảng 55-60MB với cấu hình defconf và không WiFi. Container sẽ bị giới hạn trong lượng RAM đó. Ngoài ra vì con này Flash gần như hết sạch nên những gì ghi ra file mặc định là vào RAM disk, trừ khi lưu nó vào thư mục flash. Cái này gồm cả lúc download package để upgrade. Nên lúc upgrade mà không đủ mười mấy MB RAM free cho cái package thì nên stop cái container trước.
longbedaumtt
Senior Member
Chưa cắm lần nào, shop có hỗ trợ flash lại fw nếu quý anh lỡ format, 160k cho tròn có thể free ship nếu tiện đườngXin inbox nào bạn
Attachments
vuducdong
Senior Member
nếu được hãy backup lại và Netinstall cho sạch
CGGX_ANNX Phiền bác xem lại dùm em, em đã xoá sạch filter rule và làm lại như bác nói nhưng vẫn vlan hình như vẫn bị chặn mặc định, với cấu hình force dns như bác hương dẫn thì bị mất mạng luôn, tắt các ru force dns bên phần nat đi thì lại vào mạng bình thường
Code:
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list="List All Vlan"
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=forward comment="allow access to pihole" dst-address=\
192.168.10.10 in-interface-list="List All Vlan"
add action=drop chain=forward comment="block vlan to lan" in-interface-list=\
"List Vlan Exclude VlanHome" out-interface-list="List All Vlan"
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=\
"List WanOut"
/ip firewall mangle
add action=accept chain=prerouting comment="-----Mark Hijack DNS Tcp-----" \
dst-port=53 protocol=tcp
add action=accept chain=prerouting comment="-----Mark Hijack DNS Udp-----" \
dst-port=53 protocol=udp
add action=accept chain=prerouting comment="-----Hairpin Nat Mangle-----" \
dst-address-list="Wan IP" src-address=192.168.10.100-192.168.10.150
add action=accept chain=prerouting comment=\
"-----VlanHome Access Recorder Dahua-----" disabled=yes dst-address=\
192.168.2.200 src-address=192.168.10.0/24
add action=mark-routing chain=prerouting comment="-----IP qua Wg hp225-----" \
dst-address=!192.168.10.0/24 new-routing-mark=To-Wg-Hp225 passthrough=no \
src-address-list="ip to vpn hp225"
add action=change-mss chain=forward comment="-----Thay doi MSS-----" new-mss=\
clamp-to-pmtu out-interface=wghp225 passthrough=yes protocol=tcp tcp-flags=\
syn
/ip firewall nat
add action=masquerade chain=srcnat comment="-----Quay PPOE-----" out-interface=\
pppoe-out1
add action=masquerade chain=srcnat comment="-----Hairpin Nat------" \
dst-address=192.168.10.0/24 src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="-----Nat Wireguard Hp225-----" \
out-interface=wghp225
add action=dst-nat chain=dstnat comment="-----Nat Port 80 DS918-----" \
dst-address-list="Wan IP" dst-port=80 protocol=tcp to-addresses=\
192.168.10.8 to-ports=80
add action=dst-nat chain=dstnat comment="-----Nat Port 443 DS918-----" \
dst-address-list="Wan IP" dst-port=443 protocol=tcp to-addresses=\
192.168.10.8 to-ports=443
add action=dst-nat chain=dstnat comment="-----Nat Port 6690 DS1621-----" \
dst-address-list="Wan IP" dst-port=6690 protocol=tcp to-addresses=\
192.168.10.5 to-ports=6690
add action=dst-nat chain=dstnat comment="-----Hijack DNS-----" dst-port=53 \
in-interface-list="List All Vlan" protocol=tcp src-address=!192.168.10.10 \
to-addresses=192.168.10.10
add action=dst-nat chain=dstnat comment="-----Hijack DNS-----" dst-port=53 \
in-interface-list="List All Vlan" protocol=udp src-address=!192.168.10.10 \
to-addresses=192.168.10.10
add action=masquerade chain=srcnat comment="-----Hijack DNS-----" dst-address=\
192.168.10.10 src-address=192.168.10.0/24CGGX_ANNX
Senior Member
Hiện chỉ có cái bảng từ cái wiki cũ không được update này thôi bác ạ
Supported Hardware - MikroTik Wiki
Có vẻ Realtek 1GbE hỗ trợ hầu hết. Chắc của bác là 2.5Gbps (chắc RTL8125?) nên chưa được hỗ trợ (cái này là confirmed chưa được hỗ trợ). NIC 2.5Gbps thì hiện có intel I225/I226 là chạy.
CGGX_ANNX
Senior Member
Em mới liếc qua nhưng bác chú ý cái chỗ này:
Chỗ màu đỏ là phải làm ngược lại bác nhé. Có dấu ! ở trước, tức là NOT trong list đó, của bác bị mất !, nên thành ngược lại drop mọi interface từ "List All Vlan". Trong winbox bác edit cái rule thì có cái checkbox ở phía trước cái chỗ in interface list này thì bác ấn vào để nó bật dấu chấm than lên.
Ngoài ra rule fasttrack chỗ màu tím là bác disable rule đó nhé. Ở post trước em để disabled=yes ở đó. Lý do là fasttrack không tương thích với các rules mangle, nên bảo bác tạm thời disable rule fasttrack đã. Trong cấu hình hiện thời của bác nó đang enabled đó.
Sau khi chỉnh 2 cái đó bác thử từ vlan1 vào lại vlan2-4 xem có được không. Nếu vẫn không được bác xem counter của rule nào trong số 2 rule "block vlan to lan" và "defconf: drop all from WAN not DSTNATed" bị tăng lên (trước đó ấn reset counters của 2 rules đó cho về 0 để dễ nhận diện).
Last edited:
em vừa xoá trắng firewall thử ping lại nhưng vẫn không ping được từ vlan1 qua bất kỳ vlan nào khác cả. Hay do em cấu hình vlan xai nhỉ?
via theNEXTvoz for iPhone
hungbe0vipxx
Senior Member
cho em hỏi dành cho gia đình mua MikroTik nào oke nhất ạ , MikroTik dành cho người phải am hiểu mới mua ạ , như em em biết setup thì sao ạ , họ có đội hộ trơ setup gì không ạ , vì như em thấy Draytek có An phát
longbedaumtt
Senior Member
Gia đình thì 750gr3.
Trong chủ đề này #2 đã hướng dẫn quý anh từ a tới z để chạy được cho gia đình.
Gia đình thì làm con này nhé bạn (NIC 2.5Gb x 4, intel N5100, 4GB RAM, mikrotik lv6). Ở HP thì mình pass 2tr
CGGX_ANNX
Senior Member
Giờ em mới có thời gian xem thêm cái bảng mangle của bác, lúc thử ping từ vlan1 sang các vlan2-4, có phải bác thử từ thiết bị thuộc danh sách địa chỉ "ip to vpn hp255" không? nếu có thì sẽ có vấn đề ở cái rule mangles màu tím này:
Vì khi địa chỉ đích là địa chỉ ở vlan2-4, thì dst-address=!192.168.10.0/24 sẽ match. Nếu địa chỉ nguồn cũng thuộc list "ip to vpn hp255" nữa thì packet sẽ bị markrouting sang To-Wg-Hp255 nên không dùng bảng main nữa và không đến được các vlan đích.
Giờ bác tạo danh sách địa chỉ "ip from vlans" chẳng hạn, rồi cho dải 192.168.10.0/24 cũng như 3 dải địa chỉ của 3 vlan còn lại vào address list đó. Sau đó ở rule mangle này, bác thay cái điều kiện dst-address=!192.168.10.0/24 thành điều kiện dst-address-list=!"ip from vlans" nhé. Như thế nếu đích đến của 1 packet là các dải địa chỉ của các vlan thì sẽ không bị lái đi đường WG.
Sau đó bác khôi phục lại nội dung bảng filter, nhưng không có hai lỗi như em đề cập ở post #14986 thảo luận - Cộng đồng người dùng MikroTik Router (https://voz.vn/t/cong-dong-nguoi-dung-mikrotik-router.50804/post-30882281) nhé.
CGGX_ANNX
Senior Member
Em đồng ý là dùng cho gia đình con 750Gr3 là đủ, nhưng em không đồng ý với việc post #2 là đủ để dùng cho gia đình. Ngược lại làm mỗi như post #2 thì cái router chẳng có firewall rule gì bảo vệ cả, có mỗi cái rule NAT masquerade, với cái mấy cái block facebook này nọ kia. Nếu chưa quen với RouterOS thì sau khi mua 750Gr3 về nên làm thế này:
Bật lên, vào ngay mục System - Reset Configuration này. Nhưng tuyệt đối không được bật cái checkbox "No Default Configuration"
Ấn Reset Configuration, đợi nó khởi động lại. Khởi động lại xong sẽ xuất hiện cửa sổ cho đặt password và cửa sổ Quick Set. Dùng cái cửa sổ Quick Set này để thiết lập kết nối internet. Nếu Router nằm sau router nhà mạng thì chọn DHCP với cổng ether1 cắm vào router nhà mạng, nếu là dùng Converter hay Bridge modem nhà mạng thì chọn PPPoE và điền thông tin login. Ở đây cũng cho thay địa chỉ MAC nếu nhà mạng yêu cầu địa chỉ MAC trùng với cái đang dùng (như FPT).
Khi đã vào mạng thành công thì ấn ngay vào cái Nút "Check for Updates" ở cửa sổ này cài bản update. Có thể lặp lại đến khi không còn bản update mới (vì hiện nếu nâng cấp từ < 7.12 thì sẽ có 2 bước, bước đầu lên 7.12, và bước sau lên bản mới nhất).
Khi đã lên bản mới nhất rồi thì lại vào menu System - Reset Configuration, reset cấu hình 1 lần nữa, và cũng vẫn không được phép chọn mục "No Default Configuration". Lý do là cái default configuration nó được MikroTik thay đổi với các bản mới của RouterOS, nhưng nó không từ áp dụng lên thiết bị đã có cấu hình từ trước rồi. Thí dụ lúc chạy RouterOS6 mà không bật IPv6 thì không có cấu hình tường lửa IPv6 trong default configuration, upgrade từ 6 lên 7 có thể bật IPv6 lên nhưng lúc này trong configuration không có cấu hình tường lửa mặc định cho IPv6. Thế nên sau khi upgrade lên bản mới nhất, phải reset configuration 1 lẫn nữa, để đảm bảo có cái default configuration up-to-date nhất.
Sau đó lại chạy Quick Set 1 lần nữa và cấu hình lại kết nối internet để vào lại được mạng. Kể từ lúc này trở đi thì nên không bao giờ quay lại cửa sổ Quick Set này nữa, cần cho nó vào quên lãng không bao giờ mở lại. Sau này muốn check update thì vào System - Packages.
Lúc này Router có 1 cấu hình an toàn và nhanh, có bật tăng tốc phần cứng, và đủ dùng cho nhu cầu gia đình. Muốn nghịch ngợm gì thì bắt đầu từ trạng thái này chứ không phải trạng thái trắng tinh.
Last edited:
hi bác, em đã fix được vấn đề thông vlan từ vlan1 sang mấy vlan khác, nhưng vẫn đang gặp vấn đề với cái force dns. ping từ cái dải vlan khác đến con pihole vẫn không được, và khi em bật nat cho 2 rule force dns thì bị mất mạng. Thêm 1 vấn đề nữa là khi em ping từ các vlan khác đến dải vlan 1 thì thấy không ping được nhưng 2 rule block vlan to vlan và drop all from wan not dstnat không thấy nhảy counter. Em gửi lại bảng config bác xem dùm e nhé!
Code:
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!Lan
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=forward comment="allow access to pihole" dst-address=192.168.10.10 in-interface-list=Lan
add action=drop chain=forward comment="block vlan to lan" in-interface-list=Lan-Ex-Home out-interface-list=Lan
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=Wan
/ip firewall mangle
add action=accept chain=prerouting comment="-----Mark Hijack DNS Tcp-----" dst-port=53 protocol=tcp
add action=accept chain=prerouting comment="-----Mark Hijack DNS Udp-----" dst-port=53 protocol=udp
add action=accept chain=prerouting comment="-----Hairpin Nat Mangle-----" dst-address-list="Wan IP" src-address=192.168.10.100-192.168.10.150
add action=accept chain=prerouting comment="-----VlanHome Access Recorder Dahua-----" disabled=yes dst-address=192.168.2.200 src-address=192.168.10.0/24
add action=mark-routing chain=prerouting comment="-----IP qua Wg hp225-----" dst-address-list="!ip from vlan" new-routing-mark=To-Wg-Hp225 passthrough=no src-address-list="ip to vpn hp225"
add action=change-mss chain=forward comment="-----Thay doi MSS-----" new-mss=clamp-to-pmtu out-interface=wghp225 passthrough=yes protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment="-----Quay PPOE-----" out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="-----Hairpin Nat------" dst-address=192.168.10.0/24 src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="-----Nat Wireguard Hp225-----" out-interface=wghp225
add action=dst-nat chain=dstnat comment="-----Nat Port 80 DS918-----" dst-address-list="Wan IP" dst-port=80 protocol=tcp to-addresses=192.168.10.8 to-ports=80
add action=dst-nat chain=dstnat comment="-----Nat Port 443 DS918-----" dst-address-list="Wan IP" dst-port=443 protocol=tcp to-addresses=192.168.10.8 to-ports=443
add action=dst-nat chain=dstnat comment="-----Nat Port 6690 DS1621-----" dst-address-list="Wan IP" dst-port=6690 protocol=tcp to-addresses=192.168.10.5 to-ports=6690
add action=dst-nat chain=dstnat comment="-----Hijack DNS-----" dst-port=53 in-interface-list=Lan protocol=udp src-address=!192.168.10.10 to-addresses=192.168.10.10
add action=dst-nat chain=dstnat comment="-----Hijack DNS-----" dst-port=53 in-interface-list=Lan protocol=tcp src-address=!192.168.10.10 to-addresses=192.168.10.10longbedaumtt
Senior Member
Quý anh nào cần ssd mikrotik pm Nô nhé.
