1. Fórum Root.cz
  2. Profil googler2
  3. Zobrazit příspěvky
  4. Příspěvky

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - googler2

Stran: 1 2 [3]
31
Sítě / Re:MikroTik - divný log (DHCP?)
« kdy: 14. 06. 2021, 22:50:17 »
vlany su dve - jedna sukromna, v ktorej mam vsetky svoje zariadenia a druha na internet pre hosti. Ich ucel je separovat sukromnu siet od hostovskej.
Nerozumiem preco by som mal mat povoleny DHCP traffic napriec VLANami ked kazda VLANa ma svoj vlastny DHCP server pod Mikrotikom? Ak som to pochopil zle a mysleli ste povolit DHCP porty z kazdej VLANy do inputu, tak potom sa samozrejme logy prestanu tvorit, ale mna by skor zaujimal dovod preco sa vobec tvoria, ked sa doteraz netvorili a pritom som nic v poslednej dobe vo firewalle nemenil (okrem portu 53 -DNS). Viac menej v ziadnom tutoriale / diskusii alebo "default" filtroch som nenasiel ze by s dhcp serverom na mikrotiku bolo treba "automaticky" riesit aj porty 67,68 vo firewalle.

32
Sítě / Re:MikroTik - divný log (DHCP?)
« kdy: 14. 06. 2021, 11:52:28 »
este doplnim ze dns do hostovskej VLAN je povoleny pravidlami 14,15 a dhcp server ma kazda VLAN svoj,, takze myslim ze vzajomnu komunikaciu ohladom DHCP netreba povolovat

33
Sítě / Re:MikroTik - divný log (DHCP?)
« kdy: 14. 06. 2021, 11:36:59 »
no ono to v podstate funguje, dhcp server mi da adresu aj v hostovskej sieti. akurat to hadze logy, ktore doteraz nehadzalo, dns (pihole) tiez funguje aj pre hosti, ten jump vyhodim

34
Sítě / MikroTik - divný log (DHCP?)
« kdy: 14. 06. 2021, 01:42:28 »
zdravim, neviem presne kedy sa ten log zacal objavovat, ale pri nasadeni DNS serveru (pihole) som si ho vsimol. Su to dva typy logu:

Kód: [Vybrat]
input: in:host_vlan out:(unknown 0), src-mac (gateway od mojho ISP - NAT 1:1), proto UDP, 0.0.0.0:68->255.255.255.255:67, len 328

input: in:host_vlan out:(unknown 0), src-mac (klienty hostitelskej VLAN), proto UDP, (IP klienta):68->(IP mojho Mikrotiku pre hosti):67, len 328
Siet tvoria dve VLANy jedna sukromna v ktorej su vsetky zriadenia a druha pre hosti Na MT su spustene aj dva DHCP servery (pre kazdu VLANu jeden). DHCP servery funguju, ale ten hostovsky opakovane hadze vyssie uvedeny log.

Donedavna som na MT pouzival aj DNS server, ale presiel som na pihole, takze som z hostovskej VLANy otvoril port 53 na pihole v sukromnej VLAN (nemyslim ze to suvisi).

Tento filter pouzivam uz dlho a este som nezaznamenal log ohladom portu 67, 68 (az teraz) a v poslednej dobe som nemenil ani pravidla logovania. Vie mi niekto povedat co to moze znamenat? Je niekde problem?

Kód: [Vybrat]
0 chain=input action=accept connection-state=established,related

1 chain=input action=drop connection-state=invalid

2 chain=input action=jump jump-target=WAN>INPUT in-interface=WAN

3 chain=input action=accept in-interface=sukr_vlan log=no log-prefix=""

4 chain=input action=accept protocol=icmp

5 chain=input action=drop log=yes

6 chain=forward action=accept connection-state=established,related

7 chain=forward action=drop connection-state=invalid

8 chain=forward action=drop src-address-list=sukr_ip in-interface=sukr_vlan log=no log-prefix=""

9 chain=forward action=drop src-address-list=!host_ip in-interface=host_vlan log=no log-prefix=""

10 chain=forward action=drop dst-address-list=bogon log=yes log-prefix="bogon"

11 chain=forward action=accept in-interface=sukr_vlan out-interface=WAN

12 chain=forward action=accept in-interface=host_vlan out-interface=WAN

13 ;;; DSTNAT chain=forward action=accept connection-nat-state=dstnat log=no log-prefix=""

14 ;;; DNS UDP chain=forward action=accept protocol=udp dst-address-list=DServer in-interface=host_vlan dst-port=53 log=no log-prefix=""

15 ;;; DNS TCP chain=forward action=accept protocol=tcp dst-address-list=DServer in-interface=host_vlan dst-port=53 log=no log-prefix=""

16 chain=forward action=accept src-address-list=host_ip dst-address-list=tlac in-interface=host_vlan log=no log-prefix=""

17 chain=forward action=drop in-interface=host_vlan out-interface=sukr_vlan log=no log-prefix=""

18 chain=forward action=drop log=yes log-prefix=""

19 chain=WAN>INPUT action=drop log=no log-prefix=""

35
Sítě / Mikrotik VLAN - Zmena MAC
« kdy: 17. 12. 2020, 23:01:25 »
zdravim, ako je mozne zmenit MAC adresy VLANiek? Su to "ciste" VLANy, nie je medzi nimi bridge

36
Server / Re:Debian 9 + Seafile + Modoboa server - dve domeny
« kdy: 25. 05. 2020, 03:20:00 »
Teraz mam spusteny len seafile server na domene <seafiledomena.sk> a /etc/hostname mam tiez nastaveny <seafiledomena.sk>. V /etc/hosts mam:
127.0.0.1 localhost
127.0.0.1 <seafiledomena.sk>

Takze ak som Vas dobre pochopil tak hostname mozem pouzit ake chcem (napr. debian) ale mal by som pouzit este tretiu domenu pre server a do /etc/hosts potom zadam napr <debian.domenaservera.sk

Pochopil som to dobre?

37
Server / Debian 9 + Seafile + Modoboa server - dve domeny
« kdy: 23. 05. 2020, 18:08:05 »
caute
mam spusteny seafile server cez apache virtualhost na jednej domene a na tom istom stroji fyzickom stroji potrebujem spustit este modoboa (alebo iredmail) mailserver pre ine domeny.
Da sa to ak ano ako?

Neviem ake hostname (systemctl) mam nastavit v debiane - Mam tam nechat tu domenu na ktorej teraz bezi seafile alebo to mam zmenit na tu na ktorej bude modoboa?

Mam pridat obidve domeny do /etc/hosts?
Mam len jednu verejnu Ip
Od ISP mam PTR na mail.(modoboadomena.sk)

Diky za rady

38
Sítě / Re:Dotazy - Mikrotik + Ubi - Firewall, hostovska siet, VLAN
« kdy: 12. 08. 2019, 23:53:29 »
Opravujem sa - nie su v inej podsieti ale maju inu masku

39
Sítě / Re:Dotazy - Mikrotik + Ubi - Firewall, hostovska siet, VLAN
« kdy: 12. 08. 2019, 23:39:54 »
Oproti tomu co som pisal v prvom prispevku som z MK vymazal bridge (pretoze nemam vlastne co bridgeovat - diky za radu a port ETH2 som premenoval na LAN.
Vlany na tplinku a MK som nastavil a zatial je vysledok taky ze na kabloch mi net ide ale na UBNT APckach nie. Neviem preco - pripojim sa aj na guest aj na privat ale net nejde + na wifi klientoch mi neprideli ip podla dhcp poolu v MK ale nejaku "nahodnu ip. Navyse wifi klienti su v inej podsieti (mali by byt v 255.255.255.0 ale su v 255.255.0.0) takze ani nemam ako otestovat ci vlany splnia ucel oddelenej siete
NA MK som postupoval podla tohto videa: https://www.youtube.com/watch?v=T0y1F3JmSZc
s tym rozdielom ze ako adresy pre vlany som pouzil 192.x.x.x namiesto 10.x.x.x a WAN ip som nevytvaral lebo uz bola vytvorena automaticky (v MK sa zobrazuje okrem adries vlan aj verejna ip od isp) + som vytvoril pre obidve vlany dhcp server a pool cez dhcp setup v MK + do FW som doplnil forward pravidla na zakaz pristupu z guest do privatu

V pripade tplinku som postupoval podla tohto videa https://www.youtube.com/watch?v=T0y1F3JmSZc
V privatnej vlan su takovane len porty routera a APciek ostatne porty su untag. V guest Vlan su pridelene len tagovane porty routera a APciek (ziadne ine porty v gueste nie su)
Co sa tyka PVID tak v PVID 1 su porty routera a APciek. Spravil som to tak pretoze som iekde cital ze v TPlinku je PVID 1 nieco ako alternativa pre trunk Ostatne porty maju potom pridelene PVID privatu

V UBNT CTR som potom uz len v casti network vytvoril dve corporate siete s identickymi adresami vlan a pridelil som im vlan id a vypol DHCP. Nasledne som v casti Wireless network vytvoril dve SSID znova s prislunymi vlan id.
Stale mi ide net iba "po kabloch" ale cez AP nie. Skusal som aj moznost namiesto profilu corporate network pouzit profil vlan only ale ani to nepomohlo.

40
Sítě / Re:Dotazy - Mikrotik + Ubi - Firewall, hostovska siet, VLAN
« kdy: 03. 08. 2019, 19:27:56 »
v prispevku vyssie som zabudol napisat ze problemy s vypadkami nemam. Co sa tyka fw islo mi len o to aby som pouzil dobre pravidla z pohladu bezpecnosti, ale pozeral som ten topic ktory si linkoval a zda sa mi ze mam pouzite dobre pravidla lebo pravdepodobne vsetky sa spominaju v tom topicu. Takze asi len vypnem logovanie u niektorych z nich

41
Sítě / Re:Dotazy - Mikrotik + Ubi - Firewall, hostovska siet, VLAN
« kdy: 03. 08. 2019, 19:07:40 »
Citace: MikyM  03. 08. 2019, 08:12:10
Napis jeste typ TP-Link managed switche a verzi RouterOS.
U switche si nezapomen ohlidat managed vlan.

no zistil som ze ten "hlavny" switch co pouzivam ( TL-SG1016PE) sa sice tvari ako mgmt switch ale v nastaveniach VLAN nie je nic take ako trunk, access alebo hybrid port takze budem musiet hladat este alternativu tychto nastaveni v tom switchi.
RouterOS 6.44.3 stable

42
Sítě / Re:Dotazy - Mikrotik + Ubi - Firewall, hostovska siet, VLAN
« kdy: 02. 08. 2019, 15:32:41 »
1. Takze podla teba je taky casty vyskyt invalid packetov normalny a netreba to riesit?
2. Tu mac adresu som pre istotu "vyriesil tak ze som ju vymazal z whitelistu.
3. Skusim tie VLANy trosku zjednodusit a napisat v kratkych bodoch co chcem docielit ale neviem ci sa to da v ramci mojej topologie:

- V privatnej LAN sa uvidia uplne vsetky zariadenia
- v hostovskej budu viditelne len niektore vybrane zariadenia (koncove zariadenia uvidia napr. len tlaciaren)
- VPN klienti uvidia zase len ine vybrane zariadenia (VPN klienti uvidia napr len jeden server ale druhy nie)

43
Sítě / Dotazy - Mikrotik + Ubi - Firewall, hostovska siet, VLAN
« kdy: 01. 08. 2019, 20:45:17 »
Zdravim som relativne novy uzivatel Mikrotiku a mam par nejasnosti a dotazov aj ked s niecim mi uz pomohli na inych forach aj tu tak este si nieco potrebujem ujasnit.
Moja siet vyzera momentalne takto:

VDSL modem v rezime bridge zapojeny do routeru Mikrotik RB3011UIAS v porte ETH1. Samotny internet sa vytaca na Mikrotiku cez vytvoreneho PPPoE klienta (premenovany na WAN)

Manazovatelny switch TPlink zapojeny do routeru ETH2. v routery mam nastaveny jeden bridge v ktorom su prebridgovane porty ETH2 - ETH5 (premenovany na LAN) zatial ale vyuzivam z bridgeu len ETH2 v ktorom je TPlink switch. V bridgei je povoleny HW offload.

V TPlink switchi su zapojene vsetky ethernet koncove zariadenia spolu s 1x AP Ubiquiti nanoHD + 1x AP Ubiquiti Mesh (vonkajsi) + dalsi TPlink switch ktory je na druhom poschodi a su v nom zapojene koncove zariadenia (dva servery) z druheho poschodia. Ten switch na druhom poschodi je ale nemanazovatelny

Prva vec ktorej asi uplne nerozumiem je firewall - Pravidla mam nastavene takto (pri dropovovacich pravidlach je zapnute logovanie):

Kód: [Vybrat]
/ip firewall filter> print             Flags: X - disabled, I - invalid, D - dynamic 0    ;;; Accept established and related packets      chain=input action=accept connection-state=established,related log=no log-prefix=""

1    ;;; Accept all connections from local network      chain=input action=accept in-interface=LAN log=no log-prefix=""

2    ;;; Accept established and related packets      chain=forward action=accept connection-state=established,related log=no log-prefix=""

3    ;;; Drop invalid packets      chain=input action=drop connection-state=invalid log=yes log-prefix="invalid-input"

4    ;;; Drop all packets which are not destined to routes IP address      chain=input action=drop dst-address-type=!local log=yes log-prefix="input-not-destinated-for-route-ip"

5    ;;; Drop all packets which does not have unicast source IP address      chain=input action=drop src-address-type=!unicast log=yes log-prefix="input-no-unicast-ip"

6    ;;; Drop all packets from public internet which should not exist in public network      chain=input action=drop src-address-list=NotPublic in-interface=WAN log=yes log-prefix="input-from-wan-but-should-no-exist"

7    ;;; drop DNS      chain=input action=drop protocol=udp in-interface=WAN dst-port=53 log=yes log-prefix="drop-dns"

8    ;;; drop DNS      chain=input action=drop protocol=tcp in-interface=WAN dst-port=53 log=yes log-prefix="drop-dns"

9    ;;; Drop invalid packets      chain=forward action=drop connection-state=invalid log=yes log-prefix="forward-invalid"

10    ;;; Drop new connections from internet which are not dst-natted      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=WAN log=yes log-prefix="forward-new-wan-but-not-dst-nat"

11    ;;; Drop all packets from public internet which should not exist in public network      chain=forward action=drop src-address-list=NotPublic in-interface=WAN log=yes log-prefix="forward-wan-but-should-not-exist-in-public-net"

12    ;;; Drop all packets from local network to internet which should not exist in public network      chain=forward action=drop dst-address-list=NotPublic in-interface=LAN log=yes log-prefix="forward-LAN--but-should-not-exist-in-public-net"

13    ;;; Drop all packets in local network which does not have local network address      chain=forward action=drop src-address=!lan.adresa.siete.0/24 in-interface=LAN log=yes log-prefix="forward-LAN-but-no-lan-ip"

14    ;;; Drop new connections from internet which are not dst-natted      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=WAN log=yes log-prefix="forward-new-from-WAN-but-not-dst-nated"

Kód: [Vybrat]
ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0    chain=srcnat action=masquerade src-address=lan.adresa.siete.0/24 out-interface=WAN log=no log-prefix=""

1    chain=dstnat action=dst-nat to-addresses=lan.ip.adresa.servera to-ports=443 protocol=tcp dst-address=wan.ip.adresa.routera in-interface=WAN dst-port=443 log=no log-prefix=""

Vsetky pravidla by mali zodpovedat zakladnym pravidlam ktore doporucuje Mikrotik na Wiki webe okrem pravidla tykajuceho sa DNS ktore som pridal sam pretoze router pouzivam na ucely DNS. Tiez som pridal natovany port 443.

Log pri tychto pravidlach vyzera takto:

Kód: [Vybrat]
18:06:09 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 92.118.37.70:50792->wan.ip.adresa.routera:3415, len 40
18:06:11 firewall,info forward-invalid forward: in:LAN out:WAN, src-mac XXXXX, proto TCP (RST), lan.ip.adresa.zariadenia:51742->17.142.171.9:443, len 40
18:07:41 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 185.176.27.18:55490->wan.ip.adresa.routera:7001, len 40
18:07:44 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 5.188.86.114:53104->wan.ip.adresa.routera:33852, len 40
18:07:52 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 198.108.66.80:18098->wan.ip.adresa.routera:443, len 40
18:07:52 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 198.108.66.80:18098->wan.ip.adresa.routera:443, len 40
18:08:38 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 89.248.160.193:42224->wan.ip.adresa.routera:7598, len 40
18:09:44 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 5.188.86.114:53104->wan.ip.adresa.routera:3254, len 40
18:10:44 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 92.119.160.125:45001->wan.ip.adresa.routera:10249, len 40
18:10:52 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 185.175.93.45:53727->wan.ip.adresa.routera:3386, len 40
18:11:09 firewall,info forward-invalid forward: in:LAN out:WAN, src-mac XXXXX, proto TCP (RST), [b]lan.ip.adresa.zariadenia[/b]:51744->17.252.91.246:443, len 40
18:11:09 firewall,info forward-invalid forward: in:LAN out:WAN, src-mac XXXXX, proto TCP (RST), [b]lan.ip.adresa.zariadenia[/b]:51744->17.252.91.246:443, len 40
18:11:34 firewall,info forward-invalid forward: in:LAN out:WAN, src-mac XXXXX, proto TCP (RST), [b]lan.ip.adresa.zariadenia[/b]:51743->17.167.194.230:443, len 40
18:11:36 firewall,info forward-invalid forward: in:LAN out:WAN, src-mac XXXXX, proto TCP (RST), [b]lan.ip.adresa.zariadenia[/b]:51745->17.134.127.250:443, len 40
18:13:02 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 185.176.27.166:55523->wan.ip.adresa.routera:58700, len 40
18:13:39 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 185.222.211.114:55704->wan.ip.adresa.routera:3313, len 40
18:13:40 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 34.241.240.50:443->wan.ip.adresa.routera:51490, len 40

Log je z dnesneho dna. Podobne zaznamy sa opakuju v logu dlhodobo a ako vidite tak velmi casto a mozno sa mylim ale myslim si ze ak nejaka siet nastavena spravne tak pouzitie drop pravidla by mala byt anomalia ktora si vyzaduje pozornost hlavne preto ze su pouzite len pravidla doporucene samotnym mikrotikom a myslim si ze by mali zodpovedat standardnej prevadzke. Takze moja otazka teda znie: Je moj predpoklad spravny a mam nieco zle nastavene alebo je taketo dropovanie v praxi bezne a netreba sa tym zaoberat?
Dalsia otazka ktora sa tyka logu/firewallu je ze posledne dva zaznamy (ale aj dalsie) v logu sa tykaju mac adresy ktora sa uz niekolko dni nevyskytuje v mojej sieti (to zariadenie realne nie je na blizku). To znamena ze logicky toto zariadenie nemohlo poslat ziadny request do internetu ale ako je potom mozne ze nejaky server (konkretne censys.io) sa snazi spatne komunikovat s tymto zariadenim resp. s routerom ked to zariadenie je uz niekolko dni mimo siete?

Dalsia vec na ktoru sa chcem spytat sa tyka vytvorenia hostovskej siete pre wifi AP Ubi ktora bude izolovana od LAN. Cital som ze na tento a podobne ucely sa pouzivaju prave VLANy ale chce, sa spytat preco nie je lepsie na tento ucel vytvorit v mikrotiku dalsiu adresu resp. siet v casti /ip/addresses? Ak je to uplna blbost a nema to ziadne vyhody alebo by to ani nefungovalo napiste mi preco.
Keby som to teda riesil cez VLANy potreboval by som aby siet fungovala takto:

1. Normalna interna LAN v ktorej sa uvidia vsetky zariadenia (vratane servera)
2. Izolovana hostovska Wifi siet ktora vobec neuvidi zariadenia v LAN sieti pripadne hostia v tejto sieti uvidia len vybrane zariadenia z LAN siete ktore budem chciet zdielat (napr. tlaciaren).
3. Planujem na Mikrotiku spravit VPN tunel pre zabezpecene pripojenie z internetu do servera takze zrejme budem potrebovat tretiu VLANu pre VPN klientov tak aby po pripojeni do LAN nevideli vsetky zariadenia v sieti ale iba vybrany server

Da sa to spravit? Ako najlepsie a najbezpecnejsie? "topologiu" siete na zaciatku prispevku som napisal preto aby ste mi mohli poradit ak je niekde chyba alebo sa da nieco vylepsit (napr. asi je lepsie pouzit v sieti jeden switch ale ak su dva znamena to automaticky problem/spomalenie apod.?) Ak nie su dva switche problem ale zalezi na ich parametroch napiste mi to.
Diky za rady.

44
Sítě / Re:Mikrotik router a Apache server na linuxe - nepristupny na verejnej IP
« kdy: 15. 07. 2019, 20:56:51 »
Uz to ide reklamoval som to u ISP a problem bol u nich. Sorry za "poplach". BTW ako dst address treba naozaj pouzit WAN IP mikrotiku

Stran: 1 2 [3]