thảo luận Cộng đồng người dùng MikroTik Router

ohyourgod said:
Thực tế, khi truy cập 1 trang web bất kì thì dữ liệu sẽ đi qua cả 7 tầng này, từ tầng Ứng dụng (chrome, firefox) cho tới tầng vật lí (cáp, wifi...)
  • Tầng 7 tại trình duyệt xử lý địa chỉ web mà bạn nhập vào, khởi tạo yêu cầu http chứa header hoặc post, get, ví dụ: Đây là trinh duyệt chrome phiên bản 123, thiết bị máy tính, hãy đi đăng nhập: example.com?page=login
  • Tầng 6 mã hóa dữ liệu https
  • Tầng 5 duy trì kết nối phiên session
  • Tầng 4 Chuyển dữ liệu thành các gói tin
  • Tầng 3 Định tuyến dữ liệu qua các router tới đích
  • Tầng 2 Chuyển các gói tin thành data frame, thêm địa chỉ MAC... để truyền qua LAN.
  • Tầng 1 Chuyển thành tín hiệu vật lí như ánh sáng, sóng wifi.

Sau đi tới được máy chủ, quá trình xử lí và phản hồi sẽ đi ngược lại từ tầng 1 tới 7 và trả kết quả lại ứng dụng Chrome
Click to expand...
chacuavip10 said:
Ko bỏ qua được đâu, xem cái post OSI trước ấy, nó chạy từ thấp đến cao, lớp 3 xong mới đến lớp 7. Khi bạn dùng proxy truy cập vào web A thì destination của gói tin là ip con proxy, và gửi đến con mik. Mik nó có route đi qua VPN nên nó sẽ đẩy gói đó qua VPN. Đến con VPN server nó sẽ đẩy tiếp đến con proxy. Con proxy đọc được gói tin của bạn, nó mới biết đc domain đích là A, nó sẽ tiếp tục routing tiếp.
Click to expand...

Bản thân em cũng thường quen mồm nói Layer 2, Layer 3 với Layer 7 này nọ của cái OSI model, với cái OSI model vẫn thường được nhắc tới khi dạy học với giải thích minh họa, nhưng mà từ 2 chục năm trước lúc em còn đi học các ông thầy nói về OSI xong cũng đã bảo là liệt kê thế thôi chứ với những cái dùng trong thực tế (thí dụ TCP/IP dùng rộng rãi mọi nơi mọi chỗ bây giờ) hay với rất nhiều ứng dụng, đơn giản như cái Web Browser, thì chia 7 layer kiểu OSI không hợp thời nữa, nhất là cái Layer 5 với Layer 6, bình thường nó đan xen vào cái Application Layer, hay thậm chí phụ thuộc/nằm bên trên những cái thuộc application layer. Thế nên có cái hình mượn của Wikipedia để minh họa là ngày nay phần lớn các model thực tiễn đều merge 3 cái trên đỉnh lại thành 1 cái application layer chung chung mà thôi. Thậm chí có nhiều protocol thí dụ HTTP/3 còn lan cả sang Layer Transport.

U3UK6wJ.png


Hợp thời hơn là cái model với các lớp tương tự như cái TCP/IP model, với cái này để so sánh:

Internet protocol suite - Wikipedia

en.wikipedia.org en.wikipedia.org

n50EodG.png
350px-IP_stack_connections.svg.png
 
CGGX_ANNX said:
Cái này nó ra giống nhau vì chỗ cái trang này (Traceroute Online - Tracert Tracks Full Path of IP Packet or Domain (https://dnschecker.org/online-traceroute.php)) nó test traceroute từ server của tụi nó (tụi dnschecker.org) đến cái đích zing.vn, chứ không liên quan đến từ nhà bác đến zing.vn. Ở nhà em hay nhà bác nó vẫn ra cái output như vậy mà thôi.



Trên PC của bác, lúc bác đang bật cái proxy trong browser, thì bác chạy lệnh netstat, hoặc cài cái này Sysinternals Suite - Free download and install on Windows | Microsoft Store (https://www.microsoft.com/store/productId/9P7KNL5RWT25?ocid=pdpshare) và chạy cái tool TCPView trong cái Sysinternals Suite đó của Microsoft. Bằng 2 cách đó bác sẽ mò ra được cái Proxy trong browser nó kết nối đến server ở đâu (dải địa chỉ nào, cổng nào, UDP hay TCP). TCPView thì nó cho bác hiện kết nối hiện thời của từng process, tắt option Resolve Addresses thì nó hiện ra địa chỉ IP với cổng thuần túy. Bác cho dãy IP đó vào 1 cái address list.

Trên router hiện theo như bác bảo bác đang có cái rule mangle này để ép mọi kết nối đi dùng cái bảng route to_wg-hk:

Code: 
add action=mark-routing chain=prerouting comment=all_to_wg-hk disabled=yes \
    dst-address-list=!local new-routing-mark=to_wg-hk passthrough=no \
    src-address-list=local

Thì giờ bác thêm 1 rule mangle mới, chain=prerouting, action=accept, dst-address-list=cái_list_mò_ra_với_tcpview dst-port=ports_mò_ra_từ_tcpview, protocol tùy theo trên kia mò ra là UDP hay TCP, rồi kéo cái rule mới này lên trên cái rule sẵn có kia. Như thế các kết nối với đích là cái address list đó nó không sử dụng cái bảng route to_wg-hk nữa.
Click to expand...
Cảm ơn anh rất nhiều ạ. Để em thử liền :love:
 
CGGX_ANNX said:
Nếu hệ thống access point của bác hỗ trợ WPA2/3 Enterprise (có vẻ là có vì nghe chừng chúng hỗ trợ VLAN, nên chắc là các dòng Aruba, UniFi, Omada, MikroTik hAP v.v... hoặc OpenWrt?) thì đây là giải pháp cho các vấn đề của bác.

Các hệ điều hành (iOS, Android, Win) đều khóa chức năng share tài khoản login WiFi khi dùng WPA Enterprise, không có QR-Code nào để mà quét. Bác điền thông tin đăng nhập 1 lần lên thiết bị của các cụ rồi quên luôn cái thông tin login đi, không cần ghi chép lại ở đâu cả.

Bác có thể tạo cho mỗi thiết bị một tài khoản đăng nhập riêng, và bác có thể giới hạn 1 tài khoản chỉ cùng lúc có 1 session, nên cũng sẽ không dùng nó đăng nhập cho 2 thiết bị cùng một lúc được. Lỡ bị lộ thì cũng dễ dàng xóa tài khoản này đi tạo cái mới mà không cần đi update ở các thiết bị khác. Ngoài ra bác giới hạn được ngày giờ cho phép xử dụng mạng theo tài khoản, không cần quan tâm MAC address hay địa chỉ IP. Tùy hệ thống AP còn tích hợp được quản lý Transfer Rate, Down/Upload Limit.

Với các hệ thống AP trên bác cũng có thể cho mỗi tài khoản đăng nhập vào 1 VLAN riêng biệt, không chỉ bị giới hạn home/guest/iot.

Để làm RADIUS server bác có thể dùng cái User Manager của RouterOS, hay cài FreeRADIUS vào container, hoặc có Windows Server với Active Directory thì dùng luôn cũng được.
Click to expand...
Tks fen nhiều. Mình đang dùng combo Mik và Aruba.

Xin phép fen hỏi khó thêm 1 câu. Với trường hợp người già thì có cách nào dễ access vào các WPA Enterprise nếu không có QRcode không. Nếu không có cách thì chắc mình dùng user là sđt và pass là 123456 quá.:beauty:
 
RutoVi said:
Tks fen nhiều. Mình đang dùng combo Mik và Aruba.

Xin phép fen hỏi khó thêm 1 câu. Với trường hợp người già thì có cách nào dễ access vào các WPA Enterprise nếu không có QRcode không. Nếu không có cách thì chắc mình dùng user là sđt và pass là 123456 quá.:beauty:
Click to expand...
MAC Authentication Bypass
 
CGGX_ANNX said:
Nếu hệ thống access point của bác hỗ trợ WPA2/3 Enterprise (có vẻ là có vì nghe chừng chúng hỗ trợ VLAN, nên chắc là các dòng Aruba, UniFi, Omada, MikroTik hAP v.v... hoặc OpenWrt?) thì đây là giải pháp cho các vấn đề của bác.

Các hệ điều hành (iOS, Android, Win) đều khóa chức năng share tài khoản login WiFi khi dùng WPA Enterprise, không có QR-Code nào để mà quét. Bác điền thông tin đăng nhập 1 lần lên thiết bị của các cụ rồi quên luôn cái thông tin login đi, không cần ghi chép lại ở đâu cả.

Bác có thể tạo cho mỗi thiết bị một tài khoản đăng nhập riêng, và bác có thể giới hạn 1 tài khoản chỉ cùng lúc có 1 session, nên cũng sẽ không dùng nó đăng nhập cho 2 thiết bị cùng một lúc được. Lỡ bị lộ thì cũng dễ dàng xóa tài khoản này đi tạo cái mới mà không cần đi update ở các thiết bị khác. Ngoài ra bác giới hạn được ngày giờ cho phép xử dụng mạng theo tài khoản, không cần quan tâm MAC address hay địa chỉ IP. Tùy hệ thống AP còn tích hợp được quản lý Transfer Rate, Down/Upload Limit.

Với các hệ thống AP trên bác cũng có thể cho mỗi tài khoản đăng nhập vào 1 VLAN riêng biệt, không chỉ bị giới hạn home/guest/iot.

Để làm RADIUS server bác có thể dùng cái User Manager của RouterOS, hay cài FreeRADIUS vào container, hoặc có Windows Server với Active Directory thì dùng luôn cũng được.
Click to expand...
Bác cho e hỏi e bật FW chặn kết nối từ mạng lan khác, giờ làm thế nào cho VPN hoặc kết nối từ xa được nhỉ
 
RutoVi said:
Sorry fen trong cái quote trước mình bỏ qua MAC rồi, do mình ở xa, mà iDevice mới nó hay rotate MAC addr nữa. Hay do mình đọc thiếu ý của fen về cái MAB nhỉ
Click to expand...
Cái chỗ random mac, nó tắt dc mà, per ssid nên chỉ cần tắt cho cái wifi nhà.
 
chacuavip10 said:
Cái chỗ random mac, nó tắt dc mà, per ssid nên chỉ cần tắt cho cái wifi nhà.
Click to expand...
tanngle said:
Bạn tắt 1 lần thôi là được?
Click to expand...
Toàn người lớn phen ơi, bật tắt mấy cái khó hiểu này dễ bị quên lắm, nhiều khi sau này thằng A nó đổi chỗ nữa. Nên thôi dùng tới limit session là được rồi, lâu lâu vô check thôi. Cảm ơn các fen nhiều :beauty:
 
RutoVi said:
Tks fen nhiều. Mình đang dùng combo Mik và Aruba.

Xin phép fen hỏi khó thêm 1 câu. Với trường hợp người già thì có cách nào dễ access vào các WPA Enterprise nếu không có QRcode không. Nếu không có cách thì chắc mình dùng user là sđt và pass là 123456 quá.:beauty:
Click to expand...

Hic, em tưởng mấy cái này bác điền 1 lần rồi đến khi nào điện thoại hỏng thay cái mới thì mới cần phải điền lại. Bác không điền hộ được cho các cụ 1 lần ạ, hoặc nhờ ai đó điền hộ 1 lần? Tại ngoài cái password còn có cái username, với nếu muốn an toàn (cái này là optional) bác sẽ phải thiết lập cả certificate cho cái phái RADIUS nên chỗ thiết bị sẽ phải chọn thêm 1 mục drop down và điền 1 cái domain. Nên nếu các cụ cao tuổi chắc không tự làm được.
 
dinhmenh143 said:
Bác cho e hỏi e bật FW chặn kết nối từ mạng lan khác, giờ làm thế nào cho VPN hoặc kết nối từ xa được nhỉ
Click to expand...

Bình thường có nhiều subnet trong mạng LAN thì nếu không có gì chặn trên tường lửa thì giữa các subnet sẽ nói chuyện được với nhau thoải mái và router sẵn lòng route các packet giữa các subnet. Giờ bác đã cấu hình tường lửa chặn việc này tức là trong bảng filter của bác đâu đó sẽ có các rule drop bác thêm vào chặn forwarding giữa các dải hoặc giữa các interface.

Giờ bác muốn giữa 2 subnet không bị chặn thì bác chỉ cần thêm rule action=accept chain=forward, phần điều kiện bác có thể chọn cho phép giữa các interfaces (lúc này nên dùng interface list, add các interface vào list và dùng các điều kiện dst-interface-list, src-interface-list cho các rule accept này) hoặc cho phép giữa các dải địa chỉ (lúc này tạo address list, đưa các dải vào, và sử dụng các điều kiện dst-address-list, src-address-list). Sau đó bác kéo các rule accept này lên phía trên các rule drop kia là xong ạ.

Thí dụ bác có interface wireguard1 dải 10.0.50.0/24 cho các thiết bị từ xa nối về nhà, và interface vlan30 dải 10.0.30.0/24 chứa cái NAS chẳng hạn. thì hoặc là

Code: 
/interface list
add name=ABCD

/interface list member
add interface=wireguard1 list=ABCD
add interface=vlan30 list=ABCD

/ip firewall filter
add action=accept chain=forward in-interface-list=ABCD out-interface-list=ABCD

và kéo rule lên trên các rule drop của chain forward. Hoặc

Code: 
/ip firewall address-list
add address=10.0.30.0/24 list=EFGH
add address=10.0.50.0/24 list=EFGH

/ip firewall filter
add action=accept chain=forward src-address-list=EFGH dst-address-list=EFGH

và cũng kéo rule accept này lên trên.
 
CGGX_ANNX said:
Bản thân em cũng thường quen mồm nói Layer 2, Layer 3 với Layer 7 này nọ của cái OSI model, với cái OSI model vẫn thường được nhắc tới khi dạy học với giải thích minh họa, nhưng mà từ 2 chục năm trước lúc em còn đi học các ông thầy nói về OSI xong cũng đã bảo là liệt kê thế thôi chứ với những cái dùng trong thực tế (thí dụ TCP/IP dùng rộng rãi mọi nơi mọi chỗ bây giờ) hay với rất nhiều ứng dụng, đơn giản như cái Web Browser, thì chia 7 layer kiểu OSI không hợp thời nữa, nhất là cái Layer 5 với Layer 6, bình thường nó đan xen vào cái Application Layer, hay thậm chí phụ thuộc/nằm bên trên những cái thuộc application layer. Thế nên có cái hình mượn của Wikipedia để minh họa là ngày nay phần lớn các model thực tiễn đều merge 3 cái trên đỉnh lại thành 1 cái application layer chung chung mà thôi. Thậm chí có nhiều protocol thí dụ HTTP/3 còn lan cả sang Layer Transport.
Click to expand...
Mô hình OSI có từ trước cái thời người ta chuyển tín hiệu số thành âm thanh rồi truyền qua dây điện thoại bàn, như một cuộc gọi quốc tế cước cắt cổ với các tiếng tít tè vô nghĩa.
Khi đi học thì cái OSI này là kì quặc và mơ hồ nhất, ai cũng nói tới mô hình OSI, tầng nọ tầng kia. Và ngay cả khi biết việc truyền dữ liệu thô qua âm thanh, ánh sáng là tầng vật lí, hay việc mã hóa dữ liệu là ở tầng 6, thì vẫn khó giải thích tất cả những điều đó có tác dụng cụ thể như thế nào khi triển khai thực tế.

Trong thực tế với mô hình IP/TCP có thể chỉ có 3 lớp, 1 là các phương tiện vật lí, 2 là địa chỉ MAC, switch..., 3 là IP, định tuyến và các thứ khác
 
Fast-track thần thánh v sao các sếp :D
Speedtest Viettel Net5plus 20/6/2024 sau khi bật fast-track mikrotik
Screenshot-2024-06-20-165502.png


Trước khi bật fast-track
Screenshot-2024-06-20-170037.png
 
CGGX_ANNX said:
Hic, em tưởng mấy cái này bác điền 1 lần rồi đến khi nào điện thoại hỏng thay cái mới thì mới cần phải điền lại. Bác không điền hộ được cho các cụ 1 lần ạ, hoặc nhờ ai đó điền hộ 1 lần? Tại ngoài cái password còn có cái username, với nếu muốn an toàn (cái này là optional) bác sẽ phải thiết lập cả certificate cho cái phái RADIUS nên chỗ thiết bị sẽ phải chọn thêm 1 mục drop down và điền 1 cái domain. Nên nếu các cụ cao tuổi chắc không tự làm được.
Click to expand...
Ý mình là các cụ phải làm 2 cái:
  • Tắt MAC rotate nếu muốn dùng MAB. Cái này mình nghĩ là khó, không cần thiết
  • Share username và password cho người khác, nhưng fen nói có session limit thì cũng được rồi. Chạy monitor một thời gian xem sao đã

Cảm ơn fen nhóe :beauty:
 
Hello anh,

Mình có con VPN Surfshark muốn cấu hình cho MikroTik mà không hiểu sao không chạy.

Em lấy location Singapore. Muốn mangle để duy nhất 1 địa chỉ IP 192.168.XX.111 nhận luồng VPN.

Mong anh em xem thử config xem có vấn đề gì không?
/interface wireguard
add listen-port=33963 mtu=1420 name=WG-SGP

/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=sg-sng.prod.surfshark.com \
endpoint-port=51820 interface=WG-SGP name=Peer-WG-SGP public-key=\
"XXXXXXXXX="

/ip address
add address=10.14.0.2/16 interface=WG-SGP network=10.14.0.0

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=WG-SGP \
routing-table=WG-SGP scope=30 suppress-hw-offload=no target-scope=10

/routing table
add disabled=no fib name=WG-SGP
Click to expand...
/ip firewall mangle
add action=mark-routing chain=prerouting comment=WG-SGP disabled=yes \
new-routing-mark=WG-SGP passthrough=no src-address=192.168.XX.111

/ip firewall nat
add action=masquerade chain=srcnat comment=WG-SGP out-interface=WG-SGP
Click to expand...

File WG em tải từ setting của Surfshark về đã import vào Wireguard setting

#
# Use this configuration with WireGuard client
#
[Interface]
Address = 10.14.0.2/16
PrivateKey = ABCXYZ
DNS = XXX.XXX.XXX.XXX, XXX.XXX.XXX.XXX
[Peer]
PublicKey = ABCZZZ
AllowedIPs = 0.0.0.0/0
Endpoint = sg-sng.prod.surfshark.com:51820
Click to expand...
 
Worker of Secrets said:
Hello anh,

Mình có con VPN Surfshark muốn cấu hình cho MikroTik mà không hiểu sao không chạy.

Em lấy location Singapore. Muốn mangle để duy nhất 1 địa chỉ IP 192.168.XX.111 nhận luồng VPN.

Mong anh em xem thử config xem có vấn đề gì không?



File WG em tải từ setting của Surfshark về đã import vào Wireguard setting
Click to expand...
Thím chưa change MSS cho WG surfshark
 

Similar threads

hongducwb
thắc mắc gateway bị đổi
2 3
Replies
44
Views
1K
hongducwb
hongducwb
K
tin tức Acer ra mắt Router Mesh Wave 7 với Wi-Fi 7 và công nghệ Multi-Link cho kết nối gia đình toàn diện
Replies
0
Views
326
Kisuf
K
M
thảo luận Cách Mesh router tp link AX5400 với WA8021V5 cùng 1 mạng ??
Replies
7
Views
437
ohyourgod
ohyourgod
Duy1122
kiến thức NAT là gì, và tại sao lại cần NAT trong mạng?
Replies
6
Views
1K
schaffer513655
schaffer513655
T
thắc mắc Hỏi về Unifi Dream Machine
Replies
9
Views
493
titani
T

Share this page

Back
Top