thảo luận Cộng đồng người dùng MikroTik Router

bukkahero said:

hi bác, em đã fix được vấn đề thông vlan từ vlan1 sang mấy vlan khác, nhưng vẫn đang gặp vấn đề với cái force dns. ping từ cái dải vlan khác đến con pihole vẫn không được, và khi em bật nat cho 2 rule force dns thì bị mất mạng. Thêm 1 vấn đề nữa là khi em ping từ các vlan khác đến dải vlan 1 thì thấy không ping được nhưng 2 rule block vlan to vlan và drop all from wan not dstnat không thấy nhảy counter. Em gửi lại bảng config bác xem dùm e nhé!

Code:

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!Lan
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=forward comment="allow access to pihole" dst-address=192.168.10.10 in-interface-list=Lan
add action=drop chain=forward comment="block vlan to lan" in-interface-list=Lan-Ex-Home out-interface-list=Lan
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=Wan
/ip firewall mangle
add action=accept chain=prerouting comment="-----Mark Hijack DNS Tcp-----" dst-port=53 protocol=tcp
add action=accept chain=prerouting comment="-----Mark Hijack DNS Udp-----" dst-port=53 protocol=udp
add action=accept chain=prerouting comment="-----Hairpin Nat Mangle-----" dst-address-list="Wan IP" src-address=192.168.10.100-192.168.10.150
add action=accept chain=prerouting comment="-----VlanHome Access Recorder Dahua-----" disabled=yes dst-address=192.168.2.200 src-address=192.168.10.0/24
add action=mark-routing chain=prerouting comment="-----IP qua Wg hp225-----" dst-address-list="!ip from vlan" new-routing-mark=To-Wg-Hp225 passthrough=no src-address-list="ip to vpn hp225"
add action=change-mss chain=forward comment="-----Thay doi MSS-----" new-mss=clamp-to-pmtu out-interface=wghp225 passthrough=yes protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment="-----Quay PPOE-----" out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="-----Hairpin Nat------" dst-address=192.168.10.0/24 src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="-----Nat Wireguard Hp225-----" out-interface=wghp225
add action=dst-nat chain=dstnat comment="-----Nat Port 80 DS918-----" dst-address-list="Wan IP" dst-port=80 protocol=tcp to-addresses=192.168.10.8 to-ports=80
add action=dst-nat chain=dstnat comment="-----Nat Port 443 DS918-----" dst-address-list="Wan IP" dst-port=443 protocol=tcp to-addresses=192.168.10.8 to-ports=443
add action=dst-nat chain=dstnat comment="-----Nat Port 6690 DS1621-----" dst-address-list="Wan IP" dst-port=6690 protocol=tcp to-addresses=192.168.10.5 to-ports=6690
add action=dst-nat chain=dstnat comment="-----Hijack DNS-----" dst-port=53 in-interface-list=Lan protocol=udp src-address=!192.168.10.10 to-addresses=192.168.10.10
add action=dst-nat chain=dstnat comment="-----Hijack DNS-----" dst-port=53 in-interface-list=Lan protocol=tcp src-address=!192.168.10.10 to-addresses=192.168.10.10

Click to expand...

• Ở bên vlan1 có vào được internet không ạ?
• Khi bác ở vlan1 ping cái NAS bằng domain name của nó thì có thấy là nó ping địa chỉ local 192.168.10.5 không ạ?

• Cái list "ip to vpn hp225" chỉ có địa chỉ của thiết bị ở vlan1 đúng không ạ?
• Hiện ở bên vlan2-4 thì không vào được mạng (vì không liên lạc được với DNS server), nhưng ping được 8.8.8.8 đúng không ạ?
• Ở bên vlan2-4, nếu query DNS qua 8.8.8.8 thì bị timed out? Thí dụ khi chạy lệnh nslookup cnn.com 8.8.8.8 dưới Windows hay dig @8.8.8.8 cnn.com dưới Linux/macOS?
• Lúc bác chạy lênh query DNS qua 8.8.8.8 trên từ vlan2-4 thì có rule nào ở bảng mangle nhảy counter không ạ? với 2 rule action=drop chain=forward ở bảng filter kia có nhảy couter không ạ? Ngoài ra, cái rule action=dst-nat chain=dstnat dst-port=53 protocol=udp ở bảng NAT nó có tăng counter đúng không ạ?
• Nếu disable 2 rules dstnat dst-port=53 ở cuối bảng NAT thì vlan2-4 vào được mạng và có thể dùng nslookup hoặc dig để query DNS qua 8.8.8.8 (lệnh ở trên)?
• Nếu bác tạm thời disable tất cả các rules ở bảng mangle thì từ vlan2-4 có ping được pihole bên 192.168.10.10 không ạ?

/ip route print detail

/interface list export

CGGX_ANNX said:

Hm, để em thử recap hiện trạng bây giờ ạ. Nếu với nội dụng firewall như trên (các rules dstnat với cổng 53 có bật):

• Ở bên vlan1 có vào được internet không ạ?
• Khi bác ở vlan1 ping cái NAS bằng domain name của nó thì có thấy là nó ping địa chỉ local 192.168.10.5 không ạ?

Hai cái này bác test cả với thiết bị trong list "ip to vpn hp225" lẫn ngoài list (nhưng vẫn thuộc vlan1)

• Cái list "ip to vpn hp225" chỉ có địa chỉ của thiết bị ở vlan1 đúng không ạ?
• Hiện ở bên vlan2-4 thì không vào được mạng (vì không liên lạc được với DNS server), nhưng ping được 8.8.8.8 đúng không ạ?
• Ở bên vlan2-4, nếu query DNS qua 8.8.8.8 thì bị timed out? Thí dụ khi chạy lệnh nslookup cnn.com 8.8.8.8 dưới Windows hay dig @8.8.8.8 cnn.com dưới Linux/macOS?
• Lúc bác chạy lênh query DNS qua 8.8.8.8 trên từ vlan2-4 thì có rule nào ở bảng mangle nhảy counter không ạ? với 2 rule action=drop chain=forward ở bảng filter kia có nhảy couter không ạ? Ngoài ra, cái rule action=dst-nat chain=dstnat dst-port=53 protocol=udp ở bảng NAT nó có tăng counter đúng không ạ?
• Nếu disable 2 rules dstnat dst-port=53 ở cuối bảng NAT thì vlan2-4 vào được mạng và có thể dùng nslookup hoặc dig để query DNS qua 8.8.8.8 (lệnh ở trên)?
• Nếu bác tạm thời disable tất cả các rules ở bảng mangle thì từ vlan2-4 có ping được pihole bên 192.168.10.10 không ạ?

Nếu có thể, bác paste output của lệnh

Code:

/ip route print detail

với

Code:

/interface list export

được không ạ. Bác censor các địa chỉ IP public trong output thành xxx.xxx để khỏi lộ thông tin ạ.

Click to expand...

/ip route print detail
   DAv   dst-address=0.0.0.0/0 routing-table=main pref-src="" gateway=pppoe-out1
         immediate-gw=pppoe-out1 distance=1 scope=30 target-scope=10
         vrf-interface=pppoe-out1 suppress-hw-offload=no

   DAc   dst-address=10.6.0.0/24 routing-table=main gateway=wghp225
         immediate-gw=wghp225 distance=0 scope=10 suppress-hw-offload=no
         local-address=10.6.0.13%wghp225

   DAc   dst-address=xxx.xxx.xxx.xxx/32 routing-table=main gateway=pppoe-out1
         immediate-gw=pppoe-out1 distance=0 scope=10 suppress-hw-offload=no
         local-address=xxx.xxx.xxx.xxxx%pppoe-out1

   DAc   dst-address=192.168.2.0/24 routing-table=main gateway=vlancam
         immediate-gw=vlancam distance=0 scope=10 suppress-hw-offload=no
         local-address=192.168.2.1%vlancam

   DAc   dst-address=192.168.5.0/24 routing-table=main gateway=vlanmg
         immediate-gw=vlanmg distance=0 scope=10 suppress-hw-offload=no
         local-address=192.168.5.1%vlanmg

   DAc   dst-address=192.168.10.0/24 routing-table=main gateway=vlanhome
         immediate-gw=vlanhome distance=0 scope=10 suppress-hw-offload=no
         local-address=192.168.10.1%vlanhome

   DAc   dst-address=192.168.30.0/24 routing-table=main gateway=vlaniot
         immediate-gw=vlaniot distance=0 scope=10 suppress-hw-offload=no
         local-address=192.168.30.1%vlaniot

   DAc   dst-address=192.168.40.0/24 routing-table=main gateway=vlanguest
         immediate-gw=vlanguest distance=0 scope=10 suppress-hw-offload=no
         local-address=192.168.40.1%vlanguest

 0  As   dst-address=0.0.0.0/0 routing-table=To-Wg-Hp225 pref-src=""
         gateway=wghp225 immediate-gw=wghp225 distance=1 scope=30
         target-scope=10 suppress-hw-offload=no

/interface list
add comment=defconf name=Wan
add comment=defconf name=Lan
add comment=defconf name=Lan-Ex-Home
/interface list member
add interface=ether1 list=Wan
add interface=pppoe-out1 list=Wan
add interface=wghp225 list=Wan
add interface=vlancam list=Lan
add interface=vlanguest list=Lan
add interface=vlanhome list=Lan
add interface=vlaniot list=Lan
add interface=vlanmg list=Lan
add interface=vlancam list=Lan-Ex-Home
add interface=vlanguest list=Lan-Ex-Home
add interface=vlaniot list=Lan-Ex-Home
add interface=vlanmg list=Lan-Ex-Home

• Cái list "ip to vpn hp225" chỉ có địa chỉ của thiết bị ở vlan1 đúng không ạ?
  • Đúng
• Hiện ở bên vlan2-4 thì không vào được mạng (vì không liên lạc được với DNS server), nhưng ping được 8.8.8.8 đúng không ạ?
  • Đúng
• Ở bên vlan2-4, nếu query DNS qua 8.8.8.8 thì bị timed out? Thí dụ khi chạy lệnh nslookup cnn.com 8.8.8.8 dưới Windows hay dig @8.8.8.8 cnn.com dưới Linux/macOS?
  • Enable tất cả rule thì ping 8.8.8.8 vẫn được, nhưng lệnh dig thì bị timeout
• Nếu disable 2 rules dstnat dst-port=53 ở cuối bảng NAT thì vlan2-4 vào được mạng và có thể dùng nslookup hoặc dig để query DNS qua 8.8.8.8 (lệnh ở trên)
  • Giữ nguyên rule này không cần disable chỉ cần đổi dns qua 8.8.8.8 là vàođược mạng bình thường à bác
• Nếu bác tạm thời disable tất cả các rules ở bảng mangle thì từ vlan2-4 có ping được pihole bên 192.168.10.10 không ạ?
  • Vẫn không được bác

longtthanh said:

nay nghịch adguard với mikrotik mới thấy nguồn quan trọng thế nào, trước giờ cứ kệ để nguồn 12v (nhiều bạn bảo thế là tốt, mát) và con ac2 cứ thế reboot lung tung. Kết quả, quay đầu là bờ, cắm nguồn 24v của nó vào là chạy ngon lành.

Click to expand...

longtthanh said:

nguồn mình dùng cũng loại ngon, 12v 2.5A nhưng lần này mới tải file lên xuống usb thấy con mikrotik tắt lên xuống mấy phát. đổi về nguồn 24v thì chạy bình thường.

Click to expand...

timon68 said:

Mọi người cho hỏi có cách nào lưu cái thống kê tổng data đã sử dụng trên con mik không, bình thường nó đếm nhưng khởi động lại là mất...ý mình muốn khởi động lại vẫn còn thống kê và tiếp tục cộng dồn

Click to expand...

longtthanh said:

thì route traffic ntp qua WG interface ?

Click to expand...

hoanglong0712 said:

các bác chỉ em cách forward 1 IP đi 1 đường Wan fix cứng với , nó cứ nhảy loạn xạ wan , em search thử mọi cách trên forum mikrotik với trên voz mà cũng bị nhảy wan loạn xạ

Click to expand...

1. quản lý firewall, chặn website
2. thiết lập giờ tắt/mở của 1 cổng LAN
3. cải thiện tốc độ truy cập mạng LAN đến NAS synology

aura said:

Hello các bác,
Em đang dùng Huawei HG8045A của VNPT thì nên dùng model nào cho các việc sau đây ạ, bác nào biết thì góp ý giúp em nhé, xin cám ơn

1. quản lý firewall, chặn website
2. thiết lập giờ tắt/mở của 1 cổng LAN
3. cải thiện tốc độ truy cập mạng LAN đến NAS synology

Click to expand...

bukkahero said:

Hi bác, em vừa check lại hiện tại thì khi bật hijack dns như trên thì vlan1 vào được mạng bình thường kể cả dải đi qua wireguard. Nhưng tất cả các dải vlan khác đều bị rớt mạng do không connect được tới ip của pihole. Bác check hộ em nhé

Click to expand...

bukkahero said:

• Ở bên vlan2-4, nếu query DNS qua 8.8.8.8 thì bị timed out? Thí dụ khi chạy lệnh nslookup cnn.com 8.8.8.8 dưới Windows hay dig @8.8.8.8 cnn.comdưới Linux/macOS?
  • Enable tất cả rule thì ping 8.8.8.8 vẫn được, nhưng lệnh dig thì bị timeout
• Nếu disable 2 rules dstnat dst-port=53 ở cuối bảng NAT thì vlan2-4 vào được mạng và có thể dùng nslookup hoặc dig để query DNS qua 8.8.8.8 (lệnh ở trên)
  • Giữ nguyên rule này không cần disable chỉ cần đổi dns qua 8.8.8.8 là vàođược mạng bình thường à bác

Click to expand...

/interface bridge filter export
/routing rule export

/ip firewall nat
add action=redirect chain=dstnat src-address=!192.168.10.10 \
    dst-address=!192.168.10.10 dst-port=53 in-interface-list=Lan protocol=udp
add action=redirect chain=dstnat src-address=!192.168.10.10 \
   dst-address=!192.168.10.10 dst-port=53 in-interface-list=Lan protocol=tcp

wuhoatu said:

Mình có 2 em Mik cổng WAN được cấp DHCP client nằm sau firewall không thể sync time đc. Đã thành công config để các client sau 2 em Mik sync time với cổng 123, 1023 qua WG interface. Vướng mắc là time trên chính 2 em Mik này chưa thể sync đc. Ko biết có giải pháp nào để Mik sync time qua WG interface ko???

Click to expand...

/ip vrf
add interfaces=lo name=usewg

/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=wireguard2 \
    routing-table=usewg suppress-hw-offload=no

/system ntp client
set enabled=yes vrf=usewg
/system ntp client servers
add address=asia.pool.ntp.org

CGGX_ANNX said:

Dùng VRF bác nhá, nhưng mà upgrade con router lên 7.14.1 đã, vì bản này vừa sửa một lỗi liên quan đến VRF và bảng route

Bác tạo VRF, gán với cái interface loopback, và thêm chỉnh default route ở bảng ứng với cái VRF cho đi qua interface wireguard:

Code:

/ip vrf
add interfaces=lo name=usewg

/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=wireguard2 \
    routing-table=usewg suppress-hw-offload=no

Lúc này để test bác có thể vào Tools -Traceroute, kiểm tra bằng cách chọn VRF = usewg rồi so sánh với VRF = main xem có đúng lúc chọn usewg thì nó đi qua WireGuard hay không:

View attachment 2398080

View attachment 2398083

Sau đó config cho NTP client sử dụng VRF usewg này:

Code:

/system ntp client
set enabled=yes vrf=usewg
/system ntp client servers
add address=asia.pool.ntp.org

View attachment 2398088

Các chú MikroTik đang dần dần update để nhiều chỗ trong RouterOS chọn được VRF hơn bác ạ. Bác vào MikroTik (https://mikrotik.com/download/changelogs) Expand ra rồi search VRF là thấy.

Click to expand...

CGGX_ANNX said:

Cảm ơn bác. Những thông tin route với interface list nhìn ok, nên vấn đề không ở chỗ bọn này rồi.



Ở phần này tức là nếu ở trạng thái mà dig @8.8.8.8 cnn.com bị timed out, bác chỉnh cấu hình DNS của thiết bị trong vlan2-4 thành 8.8.8.8 thì chúng lại vào được mạng ạ? Cái này hơi khó hiểu nếu chúng vẫn dùng DNS qua UDP/TCP 53 (vì giống khi dùng dig). Chỉ có thể giải thích được là thiết bi của bác tự chuyển sang dùng DNS over TLS với 8.8.8.8.

Có những chỗ nữa mà còn có thể có thiết lập ngăn traffic từ các vlan kia về vlanhome. Bác thử

Code:

/interface bridge filter export
/routing rule export

Xem hiện có routing rules với bridge filter rules nào có thể đang ngăn kết nối giữa các interface không ạ?

Tạm thời có thể có 1 workaround để các thiết bị ở các vlan ngoài vlan home cũng vẫn dùng được pihole làm DNS server. Bác có thể thử thế này ạ.

Bác phải đảm bảo trước là thông tin quay pppoe-out1, Use Peer DNS đã được tắt

View attachment 2397905

Gắn pihole làm upstream DNS server của con router trong IP -> DNS, bật allow remote requests. Bác kiểm tra cho chắc ăn là chỗ Dynamic Servers rỗng (nếu không rỗng kiểm tra chỗ Use Peer DNS).

View attachment 2397907

Hai rules Hijack với dstnat dst-port 53 ở cuối bảng NAT kia bác thay chúng thành:

Code:

/ip firewall nat
add action=redirect chain=dstnat src-address=!192.168.10.10 \
    dst-address=!192.168.10.10 dst-port=53 in-interface-list=Lan protocol=udp
add action=redirect chain=dstnat src-address=!192.168.10.10 \
   dst-address=!192.168.10.10 dst-port=53 in-interface-list=Lan protocol=tcp

Hai rule NAT này sẽ lái các packet với cổng đích UDP/TCP 53 từ LAN vào con router. DNS server chạy trên router sẽ xử lý và forward qua pihole. Với các thiết bị ở Vlan-Ex-Home thì việc này không đòi hỏi phải đi sang vlan khác.

Click to expand...

bukkahero said:

hiện tại vấn đề em thấy là mấy vlan kia không ping qua địa chỉ của con pihole được với em có 1 con máy in dùng chung đặt ở vlan1 nên cũng cần cấu hình sao cho nhưng vlan kia ping tới được máy in để xài chung máy in. Có cách nào khả thi không bác

via theNEXTvoz for iPhone

Click to expand...

/ip firewall filter
add action=accept chain=forward comment="allow access to pihole" \
    dst-address=192.168.10.10 in-interface-list=Lan

/interface bridge port export 
/interface bridge vlan export 
/interface vlan export

CGGX_ANNX said:

Nếu danh sách rules filter của tường lửa bác có mỗi cái dòng đó thì lỗi đó là bình thường. Bở vì dòng đó block packet đi tới router từ các interface không có trong list LAN, tức là block packet đến từ WAN. Nên khi router tạo kết nối đến server DoH thì router gửi được packet đi, nhưng khi server trả lời thì packet bị drop.

Bác chú ý ở đây

Building Advanced Firewall - RouterOS - MikroTik Documentation

help.mikrotik.com

Code:

/ip firewall filter
  add action=accept chain=input comment="defconf: accept ICMP after RAW" protocol=icmp
  add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
  add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

là trước cái rule "drop all not coming from LAN" này, bác cần có cái rule ở cái dòng có cái comment "accept established,related,untracked" nữa. Dòng đó bảo router chấp nhận (tức là không drop) những packet gửi vào router (tức là cả packet từ WAN) nếu packet đó thuộc một kết nối đã tạo ra trước đó, hoặc là packet trả lời một packet đã gửi đi trước đó. Phải có dòng đó thì khi nextdns gửi packet trả lời về mới không bị dòng tiếp theo nó drop. Không có dòng thứ 2 đó thì router của bác không nối được vào đâu ở các interface WAN hết, vì chỉ gửi đi được chứ không nhận về được. Các thiết bị trong mạng thì vẫn ok vì với chúng thì chain input không áp dụng, mà là chain forward. Thường cái dòng "accept established,related,untracked" này sẽ để lên trên cao, cả với chain forward cũng vậy, để router có thể dừng xử lý rules sớm với những packet của kết nối đã qua được filter trước đó. Như vậy để nếu có thật nhiều rules đi chăng nữa thì phần lớn chỉ phải kiểm tra với những packet đầu tiên của kết nối mà thôi.

Bác chú ý thứ tự các rules nó quan trọng, tường lửa sẽ match từ trên xuống, gặp cái nào match mà có accept hoặc drop thì nó sẽ dừng lại không match tiếp.

Tương tự giả sử sau này bác muốn mở cổng nào đó với 1 rule accept với dst-port thì bác cũng đừng quên kéo rule đó lên trên cái rule "drop all" kia.

Ngoài ra bác cũng cần cái rule accept ICMP kia thì những cái cần thiết như Path MTU Discovery nó mới hoạt động. ICMP không chỉ phục vụ Ping mà còn có nhiều nhiệm vụ cần thiết khác. Việc block ICMP trên tường lửa vì lo bên ngoài ping được router của bác là lỗi thời rồi.

Em post lại tường lửa defconf của các dòng home router MikroTik nếu các bác dùng x86 cần, cơ bản nó là như cái link "Advanced firewall", thay mỗi 1 vài rules vì không dùng raw filter:

IPv4 (có fasttrack và NAT masquerade):

Code:

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN

IPv6 (gồm các rules IPSEC có thể disable nếu không dùng - IKE, AH, ESP):

Code:

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6

/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" \
    dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" \
    protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" \
    protocol=ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" \
    protocol=139
add action=accept chain=forward comment="defconf: accept IKE" \
    dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" \
    protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" \
    protocol=ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=!LAN

Hai interface list LAN và WAN như hướng dẫn ở link MIkroTik.

Click to expand...

killer.bul said:

cái masquerade nat này phải thêm cả cổng quay pppoe à bác. em để ether1 thì không có mạng

Click to expand...