Worker of Secrets
Senior Member
Em đang dùng PS5, muốn cấu hình mở port để Remote Play từ xa thì mở thế nào nhỉ 
Mik đã cấu hình PPPoE ạ!
Mik đã cấu hình PPPoE ạ!
thảo luận Cộng đồng người dùng MikroTik Router
- Thread starter tuanreb
- Start date
MedSkin
Senior Member
Cho mình hỏi mik của bạn cấp IP từ bao nhiêu? Còn IP của adguard là bao nhiêu?
Hình bạn gửi là IP adguard phải không?
jackpot2
Junior Member
Firewall tạo rules cho dải ip 192*168*88*1 truy cập vào dải ip của con adguard là xong.
wuhoatu
Senior Member
vuducdong
Senior Member
ohyourgod
Senior Member
Nó kêu router is behind a Nat á, chắc là cgnat. Phải chuyển qua poolnat
à của mình dùng adguad trên nas, ip mik cấp là .255 xuống tới .10
.4 là nas để ip tĩnh
via theNEXTvoz for iPhone
e cám ơn bác
Hoàng Anh Trung
Senior Member
Cập nhập lên bản 7.14, thấy có thêm mục “lo” này. Nó là cái gì vậy các bác. Em xoá ko được
via theNEXTvoz for iPhone
via theNEXTvoz for iPhone
Verynoober
Senior Member
Hình như bản từ 7.13 trở lên lỗi gì đó mà nó cứ liên tục detect WAN ngày chục lần.
MedSkin
Senior Member
Detect 1 lần là disconnect 1 cái mới ác
CGGX_ANNX
Senior Member
Bác đã giải quyết được vụ này chưa? Giờ em mới quay lại lội bài cũ
. Nếu bác dùng NAT-T và IKE2 thì chỉ cần con Fortinet cho forward cổng UDP 500 với 4500, không cần ESP. Với nếu router MikroTik của bác là thằng initiate kết nối thì nhiều khả năng không cần chỉnh gì trên con Fortinet trừ phi trên đó cố tình block 2 cổng kia.Vấn đề của bác theo em vẫn là ở chỗ các rules của tường lửa của bác, ở bảng NAT và/hoặc Mangle tác động chỉnh sửa các packet với địa chỉ nguồn/đích là dải IP chạy bên trong cái tunnel. Thí dụ ở đầu này tunnel bác có dải địa chỉ 10.1.1.0/24, đầu kia 10.2.2.0/24. Policy của bác là packet gửi từ dải này sang dải kia sẽ chạy qua tunnel ipsec. Trong trường hợp này ipsec sẽ chỉ mã hóa và authenticate các gói với địa chỉ nguồn và đích đáp ứng được đúng yêu cầu này thôi. Nếu trong firewall của bác có các rules kiểu srcnat hay masquerade hay mangle thay đổi thông tin gói thì ipsec sẽ từ chỗi xử lý packet đó. Tường lửa của routeros khi xử lý các rule filter, nat, mangle ở các loại chain prerouting, input, forward, output, postrouting, v.v... không chỉ chạy thẳng 1 lần đâu mà các rules có thể được xử lý nhiều vòng, khi đến cuối chain lại chạy ngược trở lại từ đầu, bác có thể xem đống sơ đồ ở cái trang này:
Packet Flow in RouterOS - RouterOS - MikroTik Documentation
Ở đây thí dụ cụ thể là khi xử lý các packet của tunnel ipsec (mục IPSec Policies ở trang trên), thí dụ khi mã hóa và đóng gói packet gửi từ 10.1.1.0/24 đến 10.2.2.0/24 qua tunnel, nó sẽ chạy ít nhất 2 vòng như cái hình này qua các chain:
Vòng đầu chạy qua các rules của tường lửa nhưng với mũi tên đỏ, với packet có địa chỉ nguồn và đích gốc kia. Chạy qua các rules xong nó mới qua cái mục số 6 IPSec Encryption, lúc này với NAT-T nó sẽ tạo ra 1 packet UDP mới, bên trong có encapsulate cả header ESP lẫn packet gốc đã được mã hóa. Và địa chỉ nguồn và đích của packet bên ngoài này sẽ là địa chỉ nguồn như khi bác gửi packet ra ngoài internet và đích là địa chỉ public của đầu bên kia của kết nối VPN. Cái packet này sẽ được cho chạy qua tường lửa 1 lần nữa, mũi tên màu xanh trong hình, lúc này mới cần áp dụng các rule masquerade, srcnat, mangle này nọ kia. Trước đó, khi còn chạy theo mũi tên đỏ, trước bước IPSEC Encryption, bác tuyệt đối không muốn các rule này sửa packet gốc.
Vì thế ở post trước em mới bảo bác thử đặt rule accept, với chain srcnat (nếu bác có rule masquerade) với địa chỉ nguồn/đích bên trong tunnel và kéo nó tít lên trên để cho các packet trước bước IPSec Encryption (khi còn mũi tên đỏ) không bị tác động bởi các rule tiếp theo bên dưới (ở thí dụ trên là rule masquerade sửa địa chỉ nguồn packet). Nếu bác có các rule mangle thì bác cũng cần add các rules tương tự lên trên đầu bảng mangle để các rules còn lại bên dưới không thay đổi các packet này. Nếu các packet này bị thay đổi trước khi đến được mục 6 trên hình kia thì nó sẽ không được chấp nhận bởi IPSec.
Tương tự ở bảng filter, nếu bác có các rule fasttrack ở chain forward thì bác cũng cần copy mấy rule accept đặc biệt với các dải địa chỉ này đặt trên cùng của chain forward. Những phần này tài liệu của MikroTik có nhắc đến ở đây:
IPsec - RouterOS - MikroTik Documentation
CGGX_ANNX
Senior Member
Cái cấu hình mặc định nó như ở cái post mà lần trước bác quote em rồi ý
thảo luận - Cộng đồng người dùng MikroTik Router
B @CGGX_ANNX cho mình hỏi tiếp IPv6 Theo như hướng dẫn của b thì mình sửa lại IPv6: Phần đậm mình đặt tạm. Còn phần Thì mình chạy lệnh như post trước đó b có đưa lên. ===>>> Như vậy là ok hả b? Thankb! Vâng bác ạ :). Bác kiểm tra trước khi add đống rules tường lửa IPv6 là danh sách...
voz.vn
Và giống hệt cái mà bác Tarikin cũng đã post ở 2 cái link mà chính bác post bên trên. Tuy nhiên gần đây thì có 1 thay đổi nhỏ. Ở cái rule này
Code:
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udpTừ bản 7.13.4 đã được sửa lại thành
Code:
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept UDP traceroute" dst-port=\
33434-33534 protocol=udpTức là thay port bằng dst-port. Ngẫm ra thì đúng là cái rule cũ là có lỗ hổng bảo mật thật. Vì bên tấn công có thể tự đặt source port là 33434 là sẽ bypass được tường lửa với cổng đích UDP bất kỳ.
CGGX_ANNX
Senior Member
Em định bảo bác lần sau nếu bị thì bác thử không reboot router, chỉ tháo module SFP ra cắm lại xem sao thì có vẻ là bác đã giải quyết được vấn đề này với bản update mới của RouterOS rồi
CGGX_ANNX
Senior Member
Bác xem WebFig có đang chạy không? Bác thử vào IP -> Services trên RouterOS rồi chỉnh cổng của www và www-ssl sang cổng khác với 80 và 443 xem sao?
CGGX_ANNX
Senior Member
Con hEX của bác khi bác tạo bridge, và với cổng ether1 là WAN (không nằm trong bridge) thì băng thông của nó chỉ như này thôi
Tức là từ ether1 đến CPU sẽ có 1Gbps full duplex, nhưng từ CPU ra cái switch ảo với 4 cổng còn lại (trong bridge) cũng chỉ có 1Gbps. Nếu bác tạo 2 bridge trở lên thì còn thảm hơn vì chỉ 1 cái có tăng tốc phần cứng với switch chip, những cái còn lại sẽ dùng CPU và share cái link đến CPU với ether1. Thế nên nếu bác bonding ether4 và ether5 thì cũng không có hi vọng được 2Gbps khi truyền với WAN hay dùng bất kỳ cái gì cần CPU (như routing giữa các VLAN). Khi bác đọc ở đây
Bonding - RouterOS - MikroTik Documentation
Thì sẽ thấy hiện chỉ có switch dòng CRS3xx, CRS5xx, router dòng CCR2116, CCR2216, và router sử dụng switch chip 88E6393X, 88E6191X, 88E6190 (trong đó có con RB5009) là hỗ trợ hardware offloading với bonding. Còn lại sẽ phải dùng CPU hết. Thế nên của bác với con chip MT7521A sẽ không hi vọng mang lại gì. Tốt nhất bác cứ cắm 2 dây vào switch thôi, rồi để RSTP nó làm việc.
Còn cấu hình VLAN thì để có tăng tốc phần cứng, bác chỉ tạo 1 bridge duy nhất gộp cả 4 cổng ether2-ether5. Và cấu hình VLAN theo hướng dẫn Bridge VLAN Filtering
Bridging and Switching - RouterOS - MikroTik Documentation
Last edited:
CGGX_ANNX
Senior Member
Ở tab này bác cho hiện các cột Tagged và Untagged lên nữa, để nhìn cho dễ (không chỉ hiện mấy cột current xxx).
Chú ý trước khi chỉnh sửa nên cắm máy của bác vào cổng 4 hoặc 5 trước đừng cắm cổng 2 hoặc 3. Với kết nối với WinBox bằng MAC address thay vì IP address. Ngoài ra như em nói ở post trước bác để cả 4 cổng này vào cái bridge1. Không tạo bridge nào khác. Cũng như không để cổng nào ngoài bridge, trừ ether1 dùng cho WAN.
Với VLAN 10, bác muốn là access port với ether2 và ether3, trunk với ether4 và ether5, thì bác edit cái dòng có VLAN 10 ở đây, add interface bridge1, ether4 và ether5 vào danh sách Tagged. Danh sách Untagged để trống (xóa hết).
Bác sang bên tab Ports đặt PVID cho ether2 và ether3 là 10 thay vì 1. Frame Type là "admit only untagged and priority tagged" cho cả 2 cổng này. Các cổng còn lại để "admit all" mặc định.
Quay lại tab VLANs này, nếu tất cả các dây đều cắm thì sẽ hiện ở dòng của VLAN 10 này, Current Tagged là bridge1, ether4, ether5. Current Untagged là ether2, ether3. Như thế là ok. Nếu cổng nào không có dây cắm thì nó không hiện ở chỗ Current XXX nhưng thế cũng không sao.
Với dòng của VLAN 11, bác chỉ muốn tagged nó ở cổng ether4 và ether5 thì bác edit nó, cho bridge1, ether4, ether5 vào danh sách Tagged. Danh sách Untagged để trống.
Chú ý là bridge1 phải nằm trong danh sách Tagged của cả 2 VLAN.
Giờ bác quay về cửa sổ Interface List, vào tab VLAN, tạo 2 interface vlan10 và vlan11 nếu chưa tạo, với VLANID tương ứng. Chú ý interface ở đây phải chọn là "bridge1". Các interface VLAN này là con của cái bridge1. Sau đó cấu hình IP address, pool, DHCP Server, v.v... cho 2 cái interface vlan10 và vlan11 này. Add bọn nó vào interface list "LAN" nếu có dùng nó cho cấu hình tường lửa. Nếu bác muốn ngăn routing giữa 2 VLAN này, hay giữa chúng và cái bridge chính dùng PVID1, thì thêm rule drop tương ứng vào filter chain forward.
Ở cửa sổ properties của bridge1, tab VLAN, bật VLAN Filtering nếu chưa bật.
Cổng ether4 và ether5 của bác lúc này là Hybrid port, nếu muốn là Trunk port thì chuyển Frame Type từ "admit all" sang "admit only VLAN tagged" ở bảng Bridge -> Ports cho 2 cổng này. Khi này cái bridge1 (VLAN ID 1) sẽ không truy cập được ở 2 cổng này nữa.
Last edited:
Similar threads
