cuongbv2103
Senior Member
mã nào bác nhỉ? em chỉ cần rẻ rẻ chút, có webfilter.
thảo luận Cộng đồng người dùng MikroTik Router
- Thread starter tuanreb
- Start date
longbedaumtt
Senior Member
CGGX_ANNX
Senior Member
Con hAP ac² này em thấy thỉnh thoảng còn đồ cũ trên Shopee, lần trước em mua 1 con cũ giá 1 triệu. Bác đừng mua nó nếu muốn dùng nó để phát WiFi vì với bản RouterOS hiện thời cài package hỗ trợ WiFi là coi như hết sạch bộ nhớ flash. Mua cũ để cắm dây không thôi thì ok, routing nhanh hơn con hEX. Còn mua mới bác đừng mua con này hoặc con hEX/hEX S, những con này chỉ nên bỏ tiền mua đồ cũ. Mua cũ mà có RB4011 cũng vẫn ngon. Mua mới mà muốn dùng hàng hãng thì hAP ax², hAP ax³, RB5009, hoặc cao hơn là CCR. Mua mới không mua L009 bác nhé!
CGGX_ANNX
Senior Member
Mục 3 là áp dụng các rules tường lửa tương tự như ở phần Protect the Device này này
Building Advanced Firewall - RouterOS - MikroTik Documentation
Đại khái là có rule mặc định drop các thứ ở chain input nếu không đến từ danh sách interface list LAN. Danh sách này bác phải thêm interface tương ứng vào (thí dụ bridge và các vlan) như ở phần trên trang có hướng dẫn.
Nếu thiết bị của bác không phải PC Router x86 hay CHR hay dòng CCR, CSR thì nó sẽ có cấu hình mặc định như bác @longtthanh nói, tốt nhất nên bắt đầu từ cấu hình đó thay vì xóa sạch trắng tinh. Bác lội lên dăm trang trước có nhiều post bàn luận về cấu hình tường lửa mặc định rồi ạ.
Nếu bác có dùng MAC WinBox Server thì cũng đừng quên chỉnh danh sách interface cho phép của nó thành "LAN" thay vì để "all" (mặc dù nếu quay PPPoE để vào internet thì bên ngoài internet cũng không nối bằng MAC address vào WinBox được, nhưng vẫn nên chỉ bật nó cho những interface mình thực sự cần).
wuhoatu
Senior Member
trinhymh
Senior Member
Hết rồi bác ạ thêm bước 3 nữa là xongMục 3 là áp dụng các rules tường lửa tương tự như ở phần Protect the Device này này
Building Advanced Firewall - RouterOS - MikroTik Documentation
help.mikrotik.com
Đại khái là có rule mặc định drop các thứ ở chain input nếu không đến từ danh sách interface list LAN. Danh sách này bác phải thêm interface tương ứng vào (thí dụ bridge và các vlan) như ở phần trên trang có hướng dẫn.
Nếu thiết bị của bác không phải PC Router x86 hay CHR hay dòng CCR, CSR thì nó sẽ có cấu hình mặc định như bác @longtthanh nói, tốt nhất nên bắt đầu từ cấu hình đó thay vì xóa sạch trắng tinh. Bác lội lên dăm trang trước có nhiều post bàn luận về cấu hình tường lửa mặc định rồi ạ.
Nếu bác có dùng MAC WinBox Server thì cũng đừng quên chỉnh danh sách interface cho phép của nó thành "LAN" thay vì để "all" (mặc dù nếu quay PPPoE để vào internet thì bên ngoài internet cũng không nối bằng MAC address vào WinBox được, nhưng vẫn nên chỉ bật nó cho những interface mình thực sự cần).
via theNEXTvoz for iPhone
maihuong1990
Đã tốn tiền
Thím chạy scripts lấy list IP theo port etherx
Định tuyến IP-lan thông qua mangle
Code:
# Ethernet port Form Format: etherx
local RemoveFlagA
local RemoveFlagB
local OnBridgePort
while (1) do={
#
foreach aLease in=[ /ip dhcp-server lease find where status=bound ] do={
local aLeaseVal [ /ip dhcp-server lease get $aLease ];
if ( [:len [/interface bridge host find mac-address=($aLeaseVal->"mac-address")]]>0) do={
set OnBridgePort [/interface bridge host get [ find mac-address=($aLeaseVal->"mac-address")] interface]
set RemoveFlagA [:len [/ip firewall address-list find address=($aLeaseVal->"address") list~"IP-LAN-ether"]]
set RemoveFlagB [:len [/ip firewall address-list find address=($aLeaseVal->"address") list=("IP-LAN-".$OnBridgePort)]]
if ( $RemoveFlagA>1 or ($RemoveFlagA=1 and $RemoveFlagB=0) ) do={
do {/ip firewall address-list remove [find list~"IP-LAN-ether" address=($aLeaseVal->"address")] } on-error={ }
}
do {/ip firewall address-list add list=("IP-LAN-".$OnBridgePort) address=($aLeaseVal->"address") comment=("IP-LAN-".$OnBridgePort)} on-error={ }
}
}
#
delay 10s
}Attachments
pilabcnc
Junior Member
Ui thiệt ko biết cảm ơn bác ra sao, đã làm và đã thành công. Một lần nữa cảm ơn bác rất nhiều ạ.
e muốn thông luôn cho dễ như kiểu trên vps ý ạ, đỡ mất công mỗi lần muốn mở lại mất thời gian
CGGX_ANNX
Senior Member
Update: Ở trên bác @maihuong1990 đã post 1 giải pháp đơn giản hơn, bác có thể copy & paste để áp dụng nhé
Còn nếu bác vẫn làm kiểu chỉnh gateway như em (nó dài dòng hơn nhưng cũng có lợi thế là không cần script chạy dưới nền đọc tìm các bảng 10 giây một và so sánh O(n²), và không bị delay up to 10s trước khi thiết bị chuyển sang dùng route mới, với không cần dùng mangle rules làm mất fasttrack), thì thay bằng MACVLAN yêu cầu bác phải chuyển sang VLAN, bác có thể giữ lại nguyên cấu hình Bridge và dùng interface VRRP thay thế nhé. Cái này nó không nhẹ như cái MACVLAN. Bác tạo 4 cái interface trên BrigeLAN như thế này:
Code:
/interface vrrp
add interface=BridgeLAN name=vrrp2 version=2 vrid=2
add interface=BridgeLAN name=vrrp3 version=2 vrid=3
add interface=BridgeLAN name=vrrp4 version=2 vrid=4
add interface=BridgeLAN name=vrrp5 version=2 vrid=5Rồi sử dụng chúng thay cho 4 cái macvlan2-5 ở post trước nhé (chỗ nào macvlanX thì thay bằng vrrpX). Bác không cần phải chuyển bridge của bác sang VLAN nữa.
tanngle
Senior Member
AP ko nhận chia VLAN thì có oke ko thím? vì hai cái đang cắm chung một switch và mesh với nhau
wuhoatu
Senior Member
thế chịu rồi
Doraemon309
Senior Member
Anh ơi cho em hỏi về truy cập sfp ạ!Update: Ở trên bác @maihuong1990 đã post 1 giải pháp đơn giản hơn, bác có thể copy & paste để áp dụng nhé
Còn nếu bác vẫn làm kiểu chỉnh gateway như em (nó dài dòng hơn nhưng cũng có lợi thế là không cần script chạy dưới nền đọc tìm các bảng 10 giây một và so sánh O(n²), và không bị delay up to 10s trước khi thiết bị chuyển sang dùng route mới, với không cần dùng mangle rules làm mất fasttrack), thì thay bằng MACVLAN yêu cầu bác phải chuyển sang VLAN, bác có thể giữ lại nguyên cấu hình Bridge và dùng interface VRRP thay thế nhé. Cái này nó không nhẹ như cái MACVLAN. Bác tạo 4 cái interface trên BrigeLAN như thế này:
Code:/interface vrrp add interface=BridgeLAN name=vrrp2 version=2 vrid=2 add interface=BridgeLAN name=vrrp3 version=2 vrid=3 add interface=BridgeLAN name=vrrp4 version=2 vrid=4 add interface=BridgeLAN name=vrrp5 version=2 vrid=5
Rồi sử dụng chúng thay cho 4 cái macvlan2-5 ở post trước nhé (chỗ nào macvlanX thì thay bằng vrrpX). Bác không cần phải chuyển bridge của bác sang VLAN nữa.
Em đang chạy firewall ở website của mikrotik or của anh tarikin đều không truy cập được sfp!
Em làm theo post trước của anh @vuducdong và ytb vũ đức anh đều không được!
Mấy bác cho mình hỏi. Mình có 1 dải ip từ 192.168.10.100-192.168.10.150 đi qua wireguard với 1 con nas nằm ở ip 192.168.10.20 .Giờ có cách nào để hairpin nat ip ở dãi đi qua wireguard vẫn có thể truy cập đến con nas qua ddns được không nhỉ?
via theNEXTvoz for iPhone
via theNEXTvoz for iPhone
wuhoatu
Senior Member
Cùng trong bridge thì WG liên quan gì đâu thím
CGGX_ANNX
Senior Member
Với cấu hình tường lửa đó (cái mặc định, trên trang web bác Tarikin kia cũng post cái tường lửa defconf) thì để truy cập vào giao diện web hoặc SSH hay telnet được vào module SFP GPON hay converter cắm vào cổng ethernet bình thường bác chỉ cần làm các bước:
- Cho cổng sfpX/sfp-sfpplusX/etherX liên quan vào interface list WAN
- Vào IP - Addresses, tạo Entry cho cái interface đó, gắn địa chỉ của cái module GPON hay Converter vào chỗ Network, chọn một địa chỉ cùng dải /24 với cái địa chỉ kia làm địa chỉ của router (mục Address), chẳng cần netmask gì cả.
Thí dụ Module GPON có địa chỉ 192.168.1.10, cắm sfp-sfpplus1 thì em gắn thế này thôi bác:
Sau đó dùng web browser hoặc SSH client vào 192.168.1.10 thôi. Miễn là cái địa chỉ của cái module/converter nó đúng.
Lý do nó hoạt động vì: Thêm cái address thế kia là RouterOS tự động thêm route vào bảng Routes, ghi rõ với địa chỉ đích 192.168.1.10/32 thì dùng interface sfp-sfpplus1 làm gateway đi ra. Sau đó vì dùng tường lửa mặc định và sfp-sfpplus1 nằm trong interface list WAN nên cái rule
Code:
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WANnó tự áp dụng cho cái interface này.
Giả sử LAN của bác 192.168.88.0/24 như mặc định, bác ngồi PC có địa chỉ 192.168.88.15 muốn vào 192.168.1.10 kia. PC bác tạo packet có source address 192.168.88.15, destination address 192.168.1.10 (tạm thời không quan tâm đến port).
PC bác thấy địa chỉ ngoài subnet nên gửi packet này qua gateway là router bác ở 192.168.88.1. Router tìm ra được route là phải đi qua sfp-sfpplus1. Vì interface trong list WAN nên áp dụng rule masquerade: router sửa source address của packet thành địa chỉ của mình trên interface, tức là 192.168.1.2 và nhớ điều này lại.
Packet được forward qua interface sfp-sfpplus1 ra bên ngoài do không bị dính rule drop forward. rule drop này trong firewall defconf chỉ drop nếu in-interface-list thuộc list WAN, mà ở đây in-interface lại là cái bridge LAN.
Module SFP nhận được packet, xử lý và trả lời với packet có source address 192.168.1.10 và destination address là 192.168.1.2. Packet này đến router với in-interface là sfp-sfpplus1 thuộc list WAN. Router nhớ là đã masquerade cái kết nối này, nên sẽ tự động sửa packet, thay địa chỉ destination address từ 192.168.1.2 thành địa chỉ PC gốc 192.168.88.15. Source address vẫn là 192.168.1.10. Từ đó tìm ra là sẽ phải forward packet ra interface bridge LAN.
Packet này đến chain forward của router và mặc dù in-interface là từ WAN, vẫn sẽ được router accept mà không drop vì connection-state của packet này là established nên được rule accept ở đầu chain forward cho qua.
Ở interface bridge thì packet được chuyển đến PC bằng Layer 2 với địa chỉ MAC đích là của PC, địa chỉ MAC nguồn là của router trên bridge. PC nhận được packet với source address 192.168.1.10, destination address 192.168.88.15 phù hợp với cái packet gửi đi trước đó.
Tóm lại là nếu cấu hình của bác đúng như thế thì bác sẽ truy cập được cái module ở cổng SFP bình thường. Nếu không thành công thì có thể do địa chỉ IP của module bị sai. Hoặc bác quên không cho interface vào list WAN. Hoặc bác có thêm hay bớt rules tường lửa nào đó chăng?
trong bridge mình có chạy 4 cái vlan, nhưng gặp vấn đề hiện tại là trong dải ip đó cứ bật wireguard lên là không vào được nas qua tên miền trong mạng nội bộ. tắt wireguard đi thì vào bình thường
vuducdong
Senior Member
Bên mangle, tạo 1 prerouting--> accept với dst-add là 192.168.10.20 (đưa lên trên cùng), hoặc tạo list các ip không qua wireguard (ví dụ: adguard home, pi-hole, nas v.v....), rồi sử dụng dst-add-list.
Bạn thử coi sao?
Similar threads
