cuongbv2103
Senior Member
mã nào bác nhỉ? em chỉ cần rẻ rẻ chút, có webfilter.Chiếc này giờ ít thấy bán lại. Qua con hex đi
mã nào bác nhỉ? em chỉ cần rẻ rẻ chút, có webfilter.Chiếc này giờ ít thấy bán lại. Qua con hex đi
Rẻ chút? Tham khảo nè quý anh.mã nào bác nhỉ? em chỉ cần rẻ rẻ chút, có webfilter.
bác mua con này ở đâu thế, em tìm ko mà thấy nhỉ? @tuanreb
mình làm từ 1-2 rồi nhưng vẫn thấy như ip lạ, phần 3 bác có thể chỉ rõ được không bác
via theNEXTvoz for iPhone
VLAN thôi bác. Tham khảo thêm ở đây kiến thức - Tạo VLAN trên Mikrotik và chia mạng Wifi với Aruba (https://voz.vn/t/tao-vlan-tren-mikrotik-va-chia-mang-wifi-voi-aruba.340629/)cho em hỏi nhà đang có 1 pc router chạy routeros, 2 AP phát wifi lấy IP từ mik luôn, em có thể list những IP thành hai list là nội bộ và khách (IP nhận qua guest wifi) và từ đó route tới một trang web bất kì khi có connect vào mạng khách đúng ko ạ, tiện cho em xin nếu bác nào có sẵn script để tham khảo ạ
Hết rồi bác ạ thêm bước 3 nữa là xongMục 3 là áp dụng các rules tường lửa tương tự như ở phần Protect the Device này này
Building Advanced Firewall - RouterOS - MikroTik Documentation
help.mikrotik.com
Đại khái là có rule mặc định drop các thứ ở chain input nếu không đến từ danh sách interface list LAN. Danh sách này bác phải thêm interface tương ứng vào (thí dụ bridge và các vlan) như ở phần trên trang có hướng dẫn.
Nếu thiết bị của bác không phải PC Router x86 hay CHR hay dòng CCR, CSR thì nó sẽ có cấu hình mặc định như bác @longtthanh nói, tốt nhất nên bắt đầu từ cấu hình đó thay vì xóa sạch trắng tinh. Bác lội lên dăm trang trước có nhiều post bàn luận về cấu hình tường lửa mặc định rồi ạ.
Nếu bác có dùng MAC WinBox Server thì cũng đừng quên chỉnh danh sách interface cho phép của nó thành "LAN" thay vì để "all" (mặc dù nếu quay PPPoE để vào internet thì bên ngoài internet cũng không nối bằng MAC address vào WinBox được, nhưng vẫn nên chỉ bật nó cho những interface mình thực sự cần).
Thím chạy scripts lấy list IP theo port etherxMình đang gặp trường hợp thế này, mong mọi người hướng dẫn và giúp đỡ. Mình đang sử dụng OS 7.14.1
- Mình muốn sử dụng các cổng LAN (ether2-5) tương ứng với từng PPPoE riêng biệt, nhưng vẫn cùng trong Bridge (mạng nội bộ) với nhau.
mọi người có ai biết giúp mình với
# Ethernet port Form Format: etherx
local RemoveFlagA
local RemoveFlagB
local OnBridgePort
while (1) do={
#
foreach aLease in=[ /ip dhcp-server lease find where status=bound ] do={
local aLeaseVal [ /ip dhcp-server lease get $aLease ];
if ( [:len [/interface bridge host find mac-address=($aLeaseVal->"mac-address")]]>0) do={
set OnBridgePort [/interface bridge host get [ find mac-address=($aLeaseVal->"mac-address")] interface]
set RemoveFlagA [:len [/ip firewall address-list find address=($aLeaseVal->"address") list~"IP-LAN-ether"]]
set RemoveFlagB [:len [/ip firewall address-list find address=($aLeaseVal->"address") list=("IP-LAN-".$OnBridgePort)]]
if ( $RemoveFlagA>1 or ($RemoveFlagA=1 and $RemoveFlagB=0) ) do={
do {/ip firewall address-list remove [find list~"IP-LAN-ether" address=($aLeaseVal->"address")] } on-error={ }
}
do {/ip firewall address-list add list=("IP-LAN-".$OnBridgePort) address=($aLeaseVal->"address") comment=("IP-LAN-".$OnBridgePort)} on-error={ }
}
}
#
delay 10s
}
Ui thiệt ko biết cảm ơn bác ra sao, đã làm và đã thành công. Một lần nữa cảm ơn bác rất nhiều ạ.Vâng bác, chính chỗ AllowedIPs trong cấu hình Peer trên điện thoại với tablet ý ạ. Nếu trên điện thoại và tablet của bác để AllowedIPs là 0.0.0.0/0 (và ::0/0 nếu dùng cả IPv6) thì mọi traffic sẽ được lái qua kết nối WireGuard. Giờ bác muốn chỉ khi vào 192.168.9.0/24 và 10.7.0.0/24 thì mới dùng kết nối WireGuard thì trên điện thoại và tablet bác sửa cấu hình peer, để
AllowedIPs = 10.7.0.0/24,192.168.9.0/24
là xong (mục AllowedIPs có thể nó ghi là Allowed Address, tùy client).
e muốn thông luôn cho dễ như kiểu trên vps ý ạ, đỡ mất công mỗi lần muốn mở lại mất thời gianCần mở port nhất định thì bác nên tạo rule trong firewall nhé, ko thì bật upnp lên xem sao
Tại nhà e dùng có 1 wan nên dùng cái này, bác dùng nhiều đường cần cập nhật thử gg tìm script sẵn xem có cái nào cho nhiều wan hoặc là để mỗi script update cho 1 ip wan xem ok ko
Dạ bác cho e xin cách chuyển toàn bộ vào VLAN với ạ, Em xin cám ơn bác vì sự nhiệt tình và lượng kiến thức đáng nể của bác về mikrotik,
/interface vrrp
add interface=BridgeLAN name=vrrp2 version=2 vrid=2
add interface=BridgeLAN name=vrrp3 version=2 vrid=3
add interface=BridgeLAN name=vrrp4 version=2 vrid=4
add interface=BridgeLAN name=vrrp5 version=2 vrid=5
AP ko nhận chia VLAN thì có oke ko thím? vì hai cái đang cắm chung một switch và mesh với nhau
thế chịu rồiAP ko nhận chia VLAN thì có oke ko thím? vì hai cái đang cắm chung một switch và mesh với nhau
Anh ơi cho em hỏi về truy cập sfp ạ!Update: Ở trên bác @maihuong1990 đã post 1 giải pháp đơn giản hơn, bác có thể copy & paste để áp dụng nhé
Còn nếu bác vẫn làm kiểu chỉnh gateway như em (nó dài dòng hơn nhưng cũng có lợi thế là không cần script chạy dưới nền đọc tìm các bảng 10 giây một và so sánh O(n²), và không bị delay up to 10s trước khi thiết bị chuyển sang dùng route mới, với không cần dùng mangle rules làm mất fasttrack), thì thay bằng MACVLAN yêu cầu bác phải chuyển sang VLAN, bác có thể giữ lại nguyên cấu hình Bridge và dùng interface VRRP thay thế nhé. Cái này nó không nhẹ như cái MACVLAN. Bác tạo 4 cái interface trên BrigeLAN như thế này:
Code:/interface vrrp add interface=BridgeLAN name=vrrp2 version=2 vrid=2 add interface=BridgeLAN name=vrrp3 version=2 vrid=3 add interface=BridgeLAN name=vrrp4 version=2 vrid=4 add interface=BridgeLAN name=vrrp5 version=2 vrid=5
Rồi sử dụng chúng thay cho 4 cái macvlan2-5 ở post trước nhé (chỗ nào macvlanX thì thay bằng vrrpX). Bác không cần phải chuyển bridge của bác sang VLAN nữa.
Cùng trong bridge thì WG liên quan gì đâu thímMấy bác cho mình hỏi. Mình có 1 dải ip từ 192.168.10.100-192.168.10.150 đi qua wireguard với 1 con nas nằm ở ip 192.168.10.20 .Giờ có cách nào để hairpin nat ip ở dãi đi qua wireguard vẫn có thể truy cập đến con nas qua ddns được không nhỉ?
via theNEXTvoz for iPhone
Với cấu hình tường lửa đó (cái mặc định, trên trang web bác Tarikin kia cũng post cái tường lửa defconf) thì để truy cập vào giao diện web hoặc SSH hay telnet được vào module SFP GPON hay converter cắm vào cổng ethernet bình thường bác chỉ cần làm các bước:Anh ơi cho em hỏi về truy cập sfp ạ!
Em đang chạy firewall ở website của mikrotik or của anh tarikin đều không truy cập được sfp!
Em làm theo post trước của anh @vuducdong và ytb vũ đức anh đều không được!
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
trong bridge mình có chạy 4 cái vlan, nhưng gặp vấn đề hiện tại là trong dải ip đó cứ bật wireguard lên là không vào được nas qua tên miền trong mạng nội bộ. tắt wireguard đi thì vào bình thườngCùng trong bridge thì WG liên quan gì đâu thím
Bên mangle, tạo 1 prerouting--> accept với dst-add là 192.168.10.20 (đưa lên trên cùng), hoặc tạo list các ip không qua wireguard (ví dụ: adguard home, pi-hole, nas v.v....), rồi sử dụng dst-add-list.Mấy bác cho mình hỏi. Mình có 1 dải ip từ 192.168.10.100-192.168.10.150 đi qua wireguard với 1 con nas nằm ở ip 192.168.10.20 .Giờ có cách nào để hairpin nat ip ở dãi đi qua wireguard vẫn có thể truy cập đến con nas qua ddns được không nhỉ?
via theNEXTvoz for iPhone
em thử rồi bác, không hiệu quảBên mangle, tạo 1 prerouting--> accept với dst-add là 192.168.10.20 (đưa lên trên cùng), hoặc tạo list các ip không qua wireguard (ví dụ: adguard home, pi-hole, nas v.v....), rồi sử dụng dst-add-list.
Bạn thử coi sao?