Verynoober
Senior Member
Hairpin Nat
thảo luận Cộng đồng người dùng MikroTik Router
- Thread starter tuanreb
- Start date
SoulEvilX
Senior Member
Trong nỗ lực chơi lại MikroTik mình đã mua 1 con RB5009 xài tạm.
Tuy nhiên lại gặp vấn đề connect PPPoE với Draytek
Cấu hình
PPPoE phía Draytek làm server
Sau đó phía MikroTik tạo PPPoe Client để dial tới.
Hồi sáng thì connect okay. Sau khi reset lại MikroTik setup lại thì hoàn toàn không còn dial được nữa ???
Ai có cao kiến gì cho mình xin với.
Thanks
Tuy nhiên lại gặp vấn đề connect PPPoE với Draytek
Cấu hình
PPPoE phía Draytek làm server
Sau đó phía MikroTik tạo PPPoe Client để dial tới.
Hồi sáng thì connect okay. Sau khi reset lại MikroTik setup lại thì hoàn toàn không còn dial được nữa ???
Ai có cao kiến gì cho mình xin với.
Thanks
Attachments
SoulEvilX
Senior Member
Đã tự làm xong ... Nhảm tè ...Xóa PPPoE Client trên Mik rồi recreate là được ???? !!!
hetien
Senior Member
Mik 4011, a quay pptp client đến mik đạt max 300mbps gói home kn2, draytek 2915 làm server thì chỉ được hơn 130mbps, lấy draytek làm pppoe server tiện được nhiều tính năng cấu hình xong ăn liền, mik thì mò thấy mọe.
Er605 mua xong cấu hình định tuyến thấy ngu ngu, quay vpn client cũng chậm. Đang chán nó. Pfsense + tailscale là chân ái.
SoulEvilX
Senior Member
thật chất con Draytek 3910 của mình đang làm router chính dial tới 4 WANs .
Giờ mua thêm 5009 để nghịch nên mới connect SFP+ từ 5009 -> 3910 và dial PPPoE
Trương Tấn Vinh
Junior Member
e có dùng chét của leducanh, mik đang bản v7.9, khi làm nat hay hairpin nat đều báo lỗi. hay bác có bài hdan chuẩn nào vụ hair nat này chỉ e với. thsk ạ.Hairpin Nat
hetien
Senior Member
Chết cổng LAN.
killer.bul
Senior Member
Em dùng mik, dùng adguardhome làm dns. Không mở port 53 mà sao check ping.eu thì hiển thị port 53 đang mở vậy mọi người
tanngle
Senior Member
Bạn post cái cấu hình của bạn lên
killer.bul
Senior Member
em sửa được rồi ạ
Last edited:
TrươngTấnVinh
Junior Member
HIX
CGGX_ANNX
Senior Member
* Vì không rõ bác nói rõ là cast đường nào, nên em cứ coi là không phải kiểu điện thoại và thiết bị smart TV cùng đang login vào một tài khoản YouTube, và dùng điện thoại điều khiển qua tài khoản nhé. Vì nếu vậy thì bác login tài khoản YouTube khác trên TV đi đã.
* Với cũng không phải là dùng wireless display qua Wi-Fi Direct. Nếu là cái này thì bác tắt hỗ trợ Wi-Fi Direct trên TV đi ạ. Nếu buộc cần dùng Wi-Fi Direct với các thiết bị khác thì bác chuyển tới phần block toàn bộ YouTube trên điện thoại bên dưới.
* Tóm lại là bác dùng biện pháp cast mà yêu cầu các thiết bị và TV nằm cùng trong LAN, kiểu Google Cast/AirPlay/Content Cast, và bác không muốn tắt toàn bộ tính năng cast này trên thiết lập của TV (vì có thiết bị cần dùng nó), hoặc do TV không cho tắt (thí dụ TV của em nó chỉ cho tắt AirPlay, không tắt được Google Cast). Còn nếu TV cho tắt và bác không cần dùng tính năng này trên thiết bị nào thì tắt luôn trên TV cho nhanh và gọn nhẹ -> done.
Hiệu quả nhất là bác tách được các thiết bị muốn chặn khỏi smart TV (và các thiết bị được quyền truy cập vào TV).
- Biện pháp đơn giản có thể thử là xem cái đống access point của bác nó có cho thiết lập guest SSID/Network không. Nếu có thì bật lên cho các thiết bị cần chặn vào đó. Các access point ở chế độ này thường sẽ chặn broadcast cũng như các packet có địa chỉ đích trong subnet của mạng LAN mà không phải địa chỉ của router -> done.
- Nếu AP không có cấu hình guest, nhưng lại cho phép tạo nhiều SSID ứng với các VLAN khác nhau, thường là với các dòng access point dính đến business kiểu Aruba, UniFi, TP-Link EAP, v.v... thì bác thiết lập VLAN riêng biệt trên router MikroTik, thêm rule firewall chặn từ VLAN này sang LAN chính, thiết lập SSID sử dụng VLAN này trên AP, cho thiết bị cần chặn vào -> done.
- Nếu AP không có mạng Guest lẫn hỗ trợ VLAN, mà bác có dư vài trăm K và vị trị router/đường dây thuận tiện, thì bác có thể xét phương án mua thêm 1 AP rẻ tiền về, cắm vào 1 cổng của router đã thiết lập là access port của 1 VLAN riêng (được chặn bằng firewall như ở trên). AP rẻ tiền này sẽ phát sóng cho cái VLAN guest mà bác tạo kia, và bác cho các thiết bị cần chặn dùng nó.
* Nếu tất cả các biện pháp trên đều không khả thi với bác, tức là bác không thể ngăn các thiết bị cần chặn nằm trong cùng mạng LAN với TV và nói chuyện trực tiếp được với TV, thì đành phải dùng giải pháp chắp vá là block hẳn YouTube trên các thiết bị này. Nói chung giải pháp này sẽ không đảm bảo hoạt động 100% vì nhiều lý do. Trên router bác sẽ chọn, hoặc là có danh sách các thiết bị được vào YouTube (bác cho vào address list YTDevices chẳng hạn), hoặc là có danh sách các thiết bị không được vào YouTube (bác cho vào list NoYTDevices như thí dụ bác post ở trên). Rồi sau đó tùy bác chọn whitelist hay blacklist mà trong các rules sẽ sử dụng src-address-list=xxx hay src-address-list=!xxx nhé.
Về vấn đền nhận dạng kết nối đến các site nhất định để block hay chuyển hướng chúng sang đường WAN khác em cũng có đề cập đến mấy ngày trước:
thảo luận - Cộng đồng người dùng MikroTik Router
Chip có vẻ là 8153 vì kiểm tra trong thông tin card nó hiện PID 8153 Cái L2MTU nó bị ẩn luôn bác ạ. Frame type đã admit all. Máy tính kết nối với USB Lan đã nhận IP động. Trừ cái không kết nối được winbox bằng cái usb Lan đó và không kết nối được internet bác à. Do không vào dc winbox nên là...
voz.vn
Ở đó em có nói lý do vì sao nó không hiệu quả 100% (do DoH, DoT, ECH, HTTP/3, YouTube có sử dụng HTTP/3 ạ). Bài đó nói về việc đưa kết nối qua đường VPN nhưng bản chất vẫn vậy thôi ạ, khi có cái address list chứa các servers của YouTube thì bác drop forward với điều kiện dst-address-list=YT src-address-list=NoYTDevices (hoặc src-address-list=!YTDevices nếu là whitelist).
Ứng với các mục ở post đó thì giải pháp của bác @wuhoatu ở post thảo luận - Cộng đồng người dùng MikroTik Router (https://voz.vn/t/cong-dong-nguoi-dung-mikrotik-router.50804/post-31126653) là sử dụng danh sách các dải địa chỉ biết trước của YouTube cũng như thêm một số rule để lọc bằng cách đọc SNI lúc bắt đầu kết nối TLS. Ở post trước em có đề cập nếu áp dụng bác phải chú ý cập nhật danh sách dải IP thường xuyên cho nó up to date. Với vì YouTube giờ dùng HTTP/3 nên các lọc theo tls-host=xxx sẽ mất tác dụng nếu client sử dụng HTTP/3. Nếu danh sách địa chỉ IP cập nhật kịp thời và chính xác thì cách này sẽ hoạt động cả khi client sử dụng DNS qua DoH và DoT. Nếu có dùng IPv6 thì bác phải kiếm thêm danh sách server IPv6 hoặc tắt IPv6 nữa mới block được hết.
Giải pháp ở cái hình bác post ở trên là theo dõi các kết nối UDP và TCP tới cổng 53 (tức là theo dõi các kết nối query DNS không mã hóa, không DoT hay DoH) rồi nếu các query chứa các cụm từ như ở dòng thứ 2 thì chặn luôn. Nói cách khác là giải pháp đó block trả lời khi các thiết bị thuộc danh sách NoTYDevices thử tìm địa chỉ cho các tên miền chứa các cụm từ kia, như vậy nó cũng sẽ chỉ hoạt động nếu thiết bị client không sử dụng DoH và DoT bác nhé. Ngoài ra cái rule filter Layer 7 nó đọc đến 10 packets/2KB để xem có cụm từ nào trong các cụm liệt xuất hiện không, nên chưa hẳn đã đúng chính xác là cái domain cần chặn nhé bác. Thí dụ domain howtoblockyoutube.net cũng sẽ bị dính. Scan Layer 7 cũng khá ngốn CPU, tuy nhiên ở đây thì đã giới hạn cổng đích TCP/UDP 53 và src-address-list nên không bị ảnh hưởng đến tốc độ.
Nếu bác muốn chặn dynamic theo domain chính xác thì em vẫn thiên về việc add các domain vào list DNS static với FWD như ở post trước em viết hơn. Và thêm 2 rule srcnat action=redirect để ép các thiết bị sử dụng router làm DNS server. Tất nhiên cái này bó tay với DoH và DoT.
CGGX_ANNX
Senior Member
Tốt nhất không mở cho bên ngoài vào WinBox trực tiếp bác ơi. Mức độ bảo mật của giao thức WinBox không được kiểm chứng, với bật lên là log lại đầy attempt truy cập. Tốt nhất bác bật WireGuard, mở cổng UDP của WireGuard trên firewall, rồi khi nào cần quản lý từ xa thì vào qua WireGuard trước.
CGGX_ANNX
Senior Member
Trong trường hợp này không áp dụng cho lắm vì domain google.com như chỗ em chỉ trả về 1 địa chỉ IPv4 và 1 IPv6. Còn lại thì bác có thể thay bằng điền địa IP thì điền luôn domain name vào mục address khi tạo address list entry
Code:
/ip firewall address-list
add address=www.youtube.com list=YTTương tự bên IPv6:
Code:
/ipv6 firewall address-list
add address=www.youtube.com list=YTTuy nhiên bác chú ý cách này không hỗ trợ wildcard * cho subdomain. Bác phải liệt kê từng subdomain bằng tay. Nếu muốn cả subdomain bất kỳ riêng lẻ thì bác làm như ở post thảo luận - Cộng đồng người dùng MikroTik Router (https://voz.vn/t/cong-dong-nguoi-dung-mikrotik-router.50804/post-30980441) để tự động add các subdomain vào list ngay khi client query được chúng qua DNS. Mỗi tội cái này buộc client phải dùng router làm DNS server và không dùng DoH, DoT.
rockdien
Senior Member
Sao em thực hiện như này mà nó chỉ ra IP 127.0.0.1 nhỉ? Có cần config gì khác nữa ko bác?
Code:
/ip firewall address-list
add address=www.youtube.com list=YTCGGX_ANNX
Senior Member
Bác kiểm tra chỗ thiết lập IP -> DNS của RouterOS xem có gì ở chỗ Servers với Dynamic Servers không, hoặc thiết lập DoH. Ít nhất 1 trong ba cái đó phải có thiết lập, nếu không RouterOS không resolve được tên miền khi sử dụng tính năng kiểu domain name trong address list kia. Servers nào đang cấu hình ở đây là cái đang trả lời 127.0.0.1 cho địa chỉ www.youtube.com kia. Bác kiểm tra xem thiết lập có đúng và server có đáng tin cậy không.
Ngoài ra bác cũng nên ấn vào nút Static, xem liệu có phải có ai đó add entry 127.0.0.1 cho www.youtube.com vào bảng DNS Static này không. Nếu có thì bác xóa đi.
* Chỗ Servers cho bác thiết lập upstream resolvers bằng tay (thí dụ điền mấy cái 1.1.1.1, 1.0.0.1 hay 8.8.8.8, 8.8.4.4 vào đây), sử dụng DNS không mã hóa. Do không mã hóa nên có một số nhà mạng ngay cả khi bác thiết lập địa chỉ của Google DNS hay các dịch vụ khác ở đây cũng không ăn thua và vẫn bị nhà mạng chặn sửa kết quả DNS query như thường. Nếu bác tự cài dịch vụ DNS kiểu AGH hay Pi-hole thì đây là chỗ bác trỏ đến chúng, nếu dịch vụ cài trong LAN thì nhà mạng không can thiệp được vào những gì trao đổi giữa router và AGH/Pi-hole,
* Phần Dynamic Servers nếu không trống thì là do bác bật thiết lập "Use Peer DNS" ở trên kết nối PPPoE client, hoặc DHCP client (nếu bác không dùng PPPoE), thường đây là DNS server của nhà mạng cung cấp. Nói chung với các ISP ở Việt Nam thì không nên bật "Use Peer DNS" và sử dụng DNS của nhà mạng làm gì, bị block với sửa địa chỉ lung tung. Phần này nếu trống là tốt nhất.
* Chỗ DoH là thiết lập DNS over HTTPS. Bác có thể thiết lập cho Router sử dụng upstream qua DoH ở đây, có mã hóa và an toàn hơn. Nếu dùng được cái này thì tốt tuy có hơi phức tạp 1 chút. Bác chọn dịch vụ DoH của ai (Google, Cloudflare, OpenDNS, NextDNS, v.v...) thì tìm URL DoH của họ cung cấp. Nếu bật "Verify DoH Certificate" thì bác cần cài Root CA tương ứng lên router (hoặc cài toàn bộ danh sách CA do Mozilla hoặc curl cung cấp nếu Router không thiếu bộ nhớ trong). Ngoài ra bác cần dò các địa chỉ IP ứng với cái domain DoH muốn sử dụng và cho nó vào bảng DNS static. Nếu không làm thế thì bác lại phải cần DNS server không mã hóa cấu hình ở mục Servers hay Dynamic Servers và như thế lại có thể thành nạn nhân bị nhà mạng chặn sửa DNS queries.
Tóm lại là nếu bác tạo cái address list như trên với domain name mà nó ra 127.0.0.1 trong list là do router đang sử dụng DNS server rỏm, hoặc đang có mục tương ứng trong bảng DNS static. Bác kiểm tra lại cấu hình, nếu có thể, tắt DNS nhà mạng, dùng DoH.
Last edited:
badboy9x30
Junior Member
Đang chuyển từ ac2 lên mikrotik trên proxmox của pc tàu N4100 chip i226, các bác cho em xin cấu hình tối ưu để chạy ppoe hết gói SKy với ạ. Em đang không biết là passthrough card vào vm hay tạo brigde hết các port. Bác nào đang dùng share em xin ảnh cấu hình trên proxmox thì càng tốt ạ. Em cảm ơn.
Similar threads
