wuhoatu
Senior Member
có khi nào thím tắt service
thảo luận Cộng đồng người dùng MikroTik Router
- Thread starter tuanreb
- Start date
Doraemon309
Senior Member
service trên winbox ạ?
Doraemon309
Senior Member
Koh Dong Jin
Senior Member
Hi bác, mình dùng switch thường thôi bác à. Ether 2 -> Switch -> PC
Hiện tại mình đã update lên ver mới nhất, nhưng nó vẫn bị lỗi không internet mặc dù đã nhận IP, L2 MTU vẫn bị ẩn, không có giá trị gì. Một số hình ảnh cấu hình mình gửi bác nhờ bác đoán bệnh:
2 cái port giờ thấy nói tự đổi hết thành designed port
Gõ lệnh terminal thì nó ra kq như sau
CGGX_ANNX
Senior Member
Nếu ping được 192.168.1.1 từ cả thiết bị trong LAN lẫn router tức là các rule tường lửa bác thêm vào từ trang của MikroTik hoặc từ đống rules defconf là ok. Và route cũng được thiết lập ok. Còn việc bác dùng browser không vào được trang quản lý có thể có những nguyên nhân:
* Giao diện quản lý qua web không bật. Bác thử telnet hay ssh vào địa chỉ kia xem nó có hiện prompt đòi login không?
* Giao diện quản lý qua web có bật nhưng không dùng cổng 80 thông thường, bác thử một số cổng khác như 8080, 443, 8443 xem sao (hai cái sau này cần gõ https://, nếu nó cảnh báo sai certificate thì bác ấn advanced chọn continue hoặc accept the risk tùy browser).
* Có rules nào đó khác trong cấu hình tường lửa ngăn kết nối. Nhưng như bác nói bác không có rules nào khác ngoài những cái từ trang web MikroTik/defconf thì chắc không phải lý do này.
Nếu bác cung cấp thông tin về model cái module SFP GPON thì tốt.
Cái chỗ này bác chỉnh lại như cũ ạ.
Last edited:
CGGX_ANNX
Senior Member
Cắm con đó vào switch cũng không lên được Rate ạ? Như vậy có khả năng chip của bác thuộc revision vẫn chưa được hỗ trợ. Em vừa mượn đống screenshots của bác để post cái bug request xin các chú dùng bản mới hơn của mã nguồn cái driver trực tiếp từ Realtek ạ
Gõ lệnh terminal thì nó ra kq như sau
Ngoài lề 1 chút ạ: Phần này không quan trọng, nhưng nếu mọi người nếu sau khi upgrade lên 7.13 mà khi export cấu hình các interface đều dính thêm mấy cái parameter past-cost kiểu này, và trước đây chưa bao giờ tự chỉnh các giá trị này bằng tay, thì có thể chạy mấy lệnh sau để reset về cấu hình mặc định kể từ 7.13:
Code:
/interface/bridge
set port-cost-mode=long
/interface/bridge/port
unset value-name=path-cost
unset value-name=internal-path-costTừ 7.13 thì port-cost-mode mặc định là long. Vì tốc độ cổng hỗ trợ ngày càng cao, nên để chế độ port cost cũ, 1Gbps là 10, thì không có khả năng phân biệt cost giữa các tốc độ cổng 25, 40, 50, 100Gbps nữa (cost toàn là 1). Từ 7.13 thì default là mode long, 1Gbps là cost 20.000, 2.5Gbps là 8000, 100Gbps là 200 v.v... Nhưng MikroTik xưa nay khi upgrade hầu như không bao giờ tự upgrade cấu hình lên giá trị mặc định mới, mặc dù cấu hình là cấu hình mặc định ở bản trước, nên sau khi upgrade sẽ bị dính cái thiết lập mode short với cost=10 ở mọi cổng. Chạy mấy lệnh kia để cho nó dùng giá trị mặc định của 7.13+.
Doraemon309
Senior Member
1. Service em tắt hết trừ winbox ạ! Có phải do em tắt nhầm service?
2. Https không được luôn ạ!
3. ý anh là ssh vào sfp ạ?
CGGX_ANNX
Senior Member
Không bác, cái trên RouterOS không liên quan. Cái HĐH chạy trên cái module SFP GPON cơ ạ.
Doraemon309
Senior Member
MikroTik RouterOS 使用华为MA5671A GPON Stick 猫棒
使用设备RB4011iGS+5HacQ2HnD,网络环境GPON电信,LOID认证。 一般猫棒刚到手,路由器网络环境默认设置是ether1 dhcp client或者是使用ether1端口进行PPPoE拨号,获取地址和默认路由配置以及除ether1其余端口处于同一网桥下。 初始配置 登录光猫后台记住注册信息LOID注册 准备工作先断开PPPoE拨号,或者取消dhcp client。断开拨号 把光口移出默认桥接光口移出默认桥接 修改默认光猫后台登陆地址以
Em vẫn truy cập được trên openwrt anh!
Sfp chạy OK ạ!
CGGX_ANNX
Senior Member
Em thấy HD trên Link này cũng không được luôn anh!MikroTik RouterOS 使用华为MA5671A GPON Stick 猫棒
使用设备RB4011iGS+5HacQ2HnD,网络环境GPON电信,LOID认证。 一般猫棒刚到手,路由器网络环境默认设置是ether1 dhcp client或者是使用ether1端口进行PPPoE拨号,获取地址和默认路由配置以及除ether1其余端口处于同一网桥下。 初始配置 登录光猫后台记住注册信息LOID注册 准备工作先断开PPPoE拨号,或者取消dhcp client。断开拨号 把光口移出默认桥接光口移出默认桥接 修改默认光猫后台登陆地址以www.bilibili.com
Em vẫn truy cập được trên openwrt anh!
Sfp chạy OK ạ!
Bác check lại cấu hình tường lửa xem có rule nào khác không ạ. Vì hiện bác ping được 192.168.1.1 tức là route cấu hình đúng và phần cấu interface list WAN/LAN cũng ok, và ping đi qua tức là cái rule mặc định drop ở chain forward của defconf, cái này:
Code:
/ipv6 firewall filter
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LANĐã cho packet ping đi qua. Ngoài ra trong tường lửa defconf không có rule nào đối xử đặc biệt với TCP cả.
Bác kiểm tra bảng RAW với mangle của bác có gì không nhé. Như em đã viết nhiều lần là khi dùng hướng dẫn ở
Building Advanced Firewall - RouterOS - MikroTik Documentation
Thì không áp dụng phần từ RAW Filtering trở đi ạ. Nếu bác dùng các rule RAW đó là sẽ dính cái rule
Code:
/ip firewall raw
add action=drop chain=prerouting comment="defconf: drop non global from WAN" src-address-list=not_global_ipv4 in-interface-list=WANnó sẽ chặn ngay packet từ 192.168.1.1 ở bên từ ngoài vào qua interface list WAN đó ạ. Cấu hình firewall defconf không có rule RAW nào ạ, chỉ có ở bảng filter và 1 rule masquerade ở bảng NAT.
Doraemon309
Senior Member
Bác check lại cấu hình tường lửa xem có rule nào khác không ạ. Vì hiện bác ping được 192.168.1.1 tức là route cấu hình đúng và phần cấu interface list WAN/LAN cũng ok, và ping đi qua tức là cái rule mặc định drop ở chain forward của defconf, cái này:
Code:/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
Đã cho packet ping đi qua. Ngoài ra trong tường lửa defconf không có rule nào đối xử đặc biệt với TCP cả.
Bác kiểm tra bảng RAW với mangle của bác có gì không nhé. Như em đã viết nhiều lần là khi dùng hướng dẫn ở
Building Advanced Firewall - RouterOS - MikroTik Documentation
help.mikrotik.com
Thì không áp dụng phần từ RAW Filtering trở đi ạ. Nếu bác dùng các rule RAW đó là sẽ dính cái rule
Code:/ip firewall raw add action=drop chain=prerouting comment="defconf: drop non global from WAN" src-address-list=not_global_ipv4 in-interface-list=WAN
nó sẽ chặn ngay packet từ 192.168.1.1 ở bên từ ngoài vào qua interface list WAN đó ạ. Cấu hình firewall defconf không có rule RAW nào ạ, chỉ có ở bảng filter và 1 rule masquerade ở bảng NAT.
Em thấy chỉ có rule accept imcp từ raw thôi ạ! Để em xem lại rule trên website mikrotik ạ!
CGGX_ANNX
Senior Member
Không bác ạ. Cái rule accept ICMP là cho chain input (kết nối vào chính router ấy ạ). Chain forward mới là cái liên quan ở đây. Bảng filter các rule mặc định (em đã post ở đây
thảo luận - Cộng đồng người dùng MikroTik Router
Cũng ghiền con N5105 mà 3 củ nhiều tiền quá. Nhà nghèo via theNEXTvoz for iPhone
voz.vn
) hay trên trang kia (Building Advanced Firewall - RouterOS - MikroTik Documentation (https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall)) đều không block forwarding từ LAN ra ngoài, và sau khi đã ra thì các packet trả lời từ WAN vào LAN cũng sẽ không bị block (connection-state=established).
Hic, bác post được cái /ip firewall export thì tốt ạ.
Doraemon309
Senior Member
Không bác ạ. Cái rule accept ICMP là cho chain input (kết nối vào chính router ấy ạ). Chain forward mới là cái liên quan ở đây. Bảng filter các rule mặc định (em đã post ở đây
thảo luận - Cộng đồng người dùng MikroTik Router
Cũng ghiền con N5105 mà 3 củ nhiều tiền quá. Nhà nghèo via theNEXTvoz for iPhone
) hay trên trang kia (Building Advanced Firewall - RouterOS - MikroTik Documentation (https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall)) đều không block forwarding từ LAN ra ngoài, và sau khi đã ra thì các packet trả lời từ WAN vào LAN cũng sẽ không bị block (connection-state=established).
Hic, bác post được cái /ip firewall export thì tốt ạ.
Code:
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WANEm gửi anh firewall defconf ạ!
killer.bul
Senior Member
nên để mặc định 10 hay sửa lại là 20.000 vậy ạ?
CGGX_ANNX
Senior Member
Với những rules này của bác thì em không thấy có vấn đề gì hết cả ạ
. Bác có thể thử tạm thời disable cái rule fasttrack xem sao ạ?
Doraemon309
Senior Member
Em làm rồi anh!Với những rules này của bác thì em không thấy có vấn đề gì hết cả ạ
Mà vẫn không được ạ!
CGGX_ANNX
Senior Member
Kể từ 7.13 RouterOS cái bridge để port-cost-mode=long (giá trị mặc định mới, bác có thể xem giá trị hiện thời của từng bridge với lệnh /interface bridge print hoặc xem/chỉnh ở tab STP trong WinBox
) thì giá trị cost mặc định ở các cổng thuộc bridge đó theo bảng này ạ:
Nếu để short thì giá trị mặc định từ 7.13 là ở cột bênh cạnh. Trước bản 7.13 thì cấu hình mặc định là tương đương với mode short và cost mặc định là 10 hết ạ. Thế nên khi bác upgrade lên 7.13 từ phiên bản thấp hơn, RouterOS nó mới coi cấu hình hiện có là mode=short, cost=10 và ép nó lên tất cả các bridge và port trong bridge sẵn có (vì như thế là không thay đổi so với trước khi upgrade). Nếu bác ở bản >= 7.13 và reset cấu hình lại từ đầu thì sẽ áp dụng mặc định mode=long và giá trị 20.000 cho cổng 1Gbps, 8000 cho cổng 2.5Gbps, v.v..., tỉ lệ nghịch với rate của cổng.
v7.13beta [testing] is released! - MikroTik
forum.mikrotik.com
Mấy lệnh em post ở trên là để bác đưa cấu hình về với giống cấu hình mặc định nếu router của bác nếu bác cài mới bản hiện thời (không upgrade từ bảng cũ lên). Bác để nguyên như cấu hình cũ cũng chẳng sao nhưng lúc export cấu hình nó thêm mấy cái properties rối mắt kia. Với nếu có cổng > 1Gbps thì chế độ long mode tốt hơn vì thể hiện được cost tương đối tốt hơn với các cổng tốc độ cao (trước 1Gbps là 10 thì khó chia nhỏ hơn mà vẫn giữ đúng tỉ lệ)
Sau khi unset các giá trị cost kia thì RouterOS sẽ tự tính cost theo tốc độ cổng và hiện ở cột "Actual Path Cost" trong bảng Ports của cửa sổ Bridge trong WinBox.
Cái port cost này nó dùng cho giao thức RSTP (các bridge trên RouterOS sử dụng mặc định nếu bác không chỉnh sửa). RSTP (và cái STP cũ hơn) giúp tránh loop với phân phối tải khi bác nối các bridges/switches Layer 2 với nhau bằng nhiều đường đồng thời (kiểu cắm 2 dây vào 2 cổng cùng bridge của router với 2 cổng của 1 switch khác, hoặc mỗi dây cắm vào 1 switch nhưng 2 switch sau đó lại nối với nhau). Các bridges/switches nối với nhau sẽ dùng giao thức đó để chọn ra 1 cái root bridge (gốc của cái spanning tree), sau đó tính toán đường ngắn nhất (dùng cổng nào) từ mình đến cái root bridge. Cái tính toán này sử dụng cả thông tin từ port cost, nên nếu bác không cấu hình bằng tay mà để tự động thì các cổng tốc độ cao hơn có cost thấp hơn là hợp lý.
Spanning Tree Protocol - RouterOS - MikroTik Documentation
Ở hình trước của bác @Koh Dong Jin post trước khi upgrade RouterOS thì cổng ether2 của bác ấy ghi là root port tức là cái bridge của router của bác ấy không phải là root bridge, mà là switch nào đó khác đang nối trong cùng mạng (và ether2 là đường "ngắn nhất" đi đến đó). Sau khi upgrade, khi cả 2 cổng của bác ấy đều ghi designated port thì chứng tỏ router của bác ấy đang là root bridge.
Last edited:
CGGX_ANNX
Senior Member
Còn nếu bác disable tất cả các rules ở bảng filter thì vào được ạ?
Nếu cấu hình tất cả các bảng firewall của bác chỉ có mỗi như bác post thì đến đây em chịu rồi, không hiểu gì nữa bác ạ. À mà nếu bác chạy Windows thì bác thử mở cửa sổ PowerShell gõ lệnh
Code:
Test-NetConnection -Port 80 192.168.1.1Xem TcpTestSucceeded có là True hay False?
Nếu chạy Linux/macOS thì bác dùng lệnh
nc -zv 192.168.1.1 80
Xem nó ghi open hay connection refused hay treo dài (nếu lệnh treo thì bác Ctrl+C để ngắt).
Doraemon309
Senior Member
Hoàng Anh Trung
Senior Member
Bác nào update lên bản 7.14.2 bị lỗi không nhận SFP ko ạ. Em đang dùng bản 7.14.1 bình thường. Update lên 7.14.2 thì mikrotik ko nhận SFP luôn (Đèn trên Mikrotik mục SFP ko sáng). Mất mạng cả đêm. Em dùng SFP + Hex S mạng FPT ạ
Similar threads
