1. Fórum Root.cz
  2. Profil googler2
  3. Zobrazit příspěvky
  4. Příspěvky

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - googler2

Stran: 1 ... 5 6 [7] 8
91
Sítě / Re:Wireguard? Mikrotik - Debian - NFTables
« kdy: 08. 08. 2021, 23:06:42 »
skusim teda port v configoch zmenit na default a zmenim ho aj v NAT na mikrotiku, teraz mam "custom".
Inak co sa tyka configu servera tak ty mas v casti Peer v allowips tiez nulovu ip alebo nulova ip sa zadava len do client configu?
Inak ked som hladal riesenie tak som narazil na prispevky podla ktorych vpn casto nefungovala preto lebo v mikrotiku / v rotery nemali nastavenu routu. Routu som neriesil ani ja (mozno tam je chyba), ako ju mam nastavit? aku hodnotu?

92
Sítě / Re:Wireguard? Mikrotik - Debian - NFTables
« kdy: 07. 08. 2021, 18:47:37 »
ano skusal, vlastne tu konfiguraciu v prvom prispevku som robil podla toho navodu z tvojho linku.
Vsimol som si mozno "zaujimavu" vec: Ked sa pripajam na server cez windows wireguard gui klienta tak sa sice pripoji a tunel je aktivny ale to gui rozhranie ukazuje nejaky nahodny listening port (pri kazdom pripojeni iny) a nie ten ktory som zadal do konfiiguracie toho clienta a servera

93
Sítě / Re:Wireguard? Mikrotik - Debian - NFTables
« kdy: 06. 08. 2021, 13:22:27 »
ten topic na abclinuxu som zalozil ja, ale v nom riesenie tiez este nie je takze neviem co si tym chcel naznacit

94
Sítě / Wireguard? Mikrotik - Debian - NFTables
« kdy: 06. 08. 2021, 09:22:01 »
caute, nedari sa mi rozchodit WG pod debian 10 na RPI3 (cisty debian, nie raspbian), tipujem to na problem vo firewalle - bud v mikrotiku alebo v NFTables.
Na mikrotiku mam dve vlany - sukromnu a pre hosti. Na MT v ip addresses som pod sukromnu vlanu pridal dalsiu siet pre vpn peerov a pre wg0 (RPI3) pricom eth0 na RPI3 ma ip od povodnej sukromnej siete
Na MT som NATol WG port na ip eth0 v RPI a povolil som maskaradu pre vpn siet.

ip firewall filter vyzera takto:

Kód: [Vybrat]
0    chain=input action=accept connection-state=established,related

 1    chain=input action=accept in-interface=fix_vlan log=no log-prefix=""

 2    chain=input action=drop connection-state=invalid

 3    chain=input action=jump jump-target=WAN>INPUT in-interface-list=WAN log=no log-prefix=""

 4    chain=input action=drop log=yes

 5    chain=forward action=accept connection-state=established,related

 6    chain=forward action=accept in-interface=fix_vlan out-interface-list=WAN log=no log-prefix=""

 7    chain=forward action=accept in-interface=host_vlan out-interface-list=WAN log=no log-prefix=""

 8    ;;; DSTNAT
      chain=forward action=accept connection-nat-state=dstnat log=no log-prefix=""

 9    chain=forward action=accept src-address-list=host_ip dst-address-list=tlac in-interface=host_vlan log=no log-prefix=""

10    chain=forward action=accept src-address-list=vpn_ip in-interface=fix_vlan log=no log-prefix=""

11    chain=forward action=drop connection-state=invalid

12    chain=forward action=drop src-address-list=!fix_ip in-interface=fix_vlan log=no log-prefix=""

13    chain=forward action=drop src-address-list=!host_ip in-interface=host_vlan log=no log-prefix=""

14    chain=forward action=drop dst-address-list=bogon log=yes log-prefix="bogon"

15    chain=forward action=drop in-interface=host_vlan out-interface=fix_vlan log=no log-prefix=""

16    chain=forward action=drop log=yes log-prefix=""

17    chain=WAN>INPUT action=drop log=no log-prefix=""

nftables.conf na debiane (RPI) vyzera takto:

Kód: [Vybrat]
define WAN_IFC = eth0
define VPN_IFC = wg0

table inet filter {
        chain input {
                type filter hook input priority 0; policy drop;

                # Allow traffic from established and related packets.
                ct state established,related accept;

                # Drop invalid packets.
                ct state invalid drop;

                # Allow loopback traffic.
                iifname lo accept;

                # Allow all ICMP and IGMP traffic, but enforce a rate limit
                # to help prevent some types of flood attacks.
                ip protocol icmp limit rate 4/second accept;
                ip protocol igmp limit rate 4/second accept;

                # Allow SSH specific IPs
                tcp dport 22 ip saddr $SAFE_IPS accept;

                # Allow WG
                udp dport WG port accept;

                # Deny WG
                udp dport WG port ip saddr $HOST_NET drop;

                # Allow DNS
                udp dport 53 accept;

                # Allow WWW specific IPs
                tcp dport { http, https } ip saddr $SAFE_IPS accept;
                udp dport { http, https } ip saddr $SAFE_IPS accept;

        }
        chain forward {
                type filter hook forward priority 0; policy drop;

                # forward WireGuard traffic, allowing it to access internet via WAN
                iifname $VPN_IFC oifname $WAN_IFC ct state new accept
        }
        chain output {
                type filter hook output priority 0; policy accept;
        }
}

table ip router {
    # both prerouting and postrouting must be specified

    chain prerouting {
        type nat hook prerouting priority 0;
    }

    chain postrouting {
        type nat hook postrouting priority 100;

        # masquerade wireguard traffic
        # make wireguard traffic look like it comes from the server itself
        oifname $WAN_IFC ip saddr $VPN_NET masquerade
    }
}
wg0.conf na servery (RPI) vyzera takto:

Kód: [Vybrat]
[Interface]
Address = lan.ip.adresa.servera z rozsahu vpn_net vytvorenej v MT/24
ListenPort = WG port
PrivateKey = ...

[Peer]
PublicKey = ...
PresharedKey = ...
AllowedIPs = 0.0.0.0/0

client vyzera takto:

Kód: [Vybrat]
[Interface]
PrivateKey = ...
Address = lan.ip.adresa.clienta z rozsahu vpn_net vytvorenej v MT/32
DNS = lan.ip.adresa.mt (je na nom povoleny DNS)

[Peer]
PublicKey = ...
PresharedKey = ...
AllowedIPs = 0.0.0.0/0
Endpoint = verejna.ip.adr.esa:WG port
PersistentKeepalive = 25

Stav je taky ze pripojenie sice funguje (tunel je aktivny) ale vzdialeny client nema pristup na internet ani k zariadeniam v lan sieti.
Ciel: chcem aby mal vzdialeny client pristup k lan zariadeniam a pristup na internet tak aby traffic "pochadzal z miesta vpn

PS: Dufam ze som to napisal zrozumitelne, v pripade potreby nieco upresnim.
Diky za rady

95
Sítě / Re:MikroTik - divný log (DHCP?)
« kdy: 14. 06. 2021, 22:50:17 »
vlany su dve - jedna sukromna, v ktorej mam vsetky svoje zariadenia a druha na internet pre hosti. Ich ucel je separovat sukromnu siet od hostovskej.
Nerozumiem preco by som mal mat povoleny DHCP traffic napriec VLANami ked kazda VLANa ma svoj vlastny DHCP server pod Mikrotikom? Ak som to pochopil zle a mysleli ste povolit DHCP porty z kazdej VLANy do inputu, tak potom sa samozrejme logy prestanu tvorit, ale mna by skor zaujimal dovod preco sa vobec tvoria, ked sa doteraz netvorili a pritom som nic v poslednej dobe vo firewalle nemenil (okrem portu 53 -DNS). Viac menej v ziadnom tutoriale / diskusii alebo "default" filtroch som nenasiel ze by s dhcp serverom na mikrotiku bolo treba "automaticky" riesit aj porty 67,68 vo firewalle.

96
Sítě / Re:MikroTik - divný log (DHCP?)
« kdy: 14. 06. 2021, 11:52:28 »
este doplnim ze dns do hostovskej VLAN je povoleny pravidlami 14,15 a dhcp server ma kazda VLAN svoj,, takze myslim ze vzajomnu komunikaciu ohladom DHCP netreba povolovat

97
Sítě / Re:MikroTik - divný log (DHCP?)
« kdy: 14. 06. 2021, 11:36:59 »
no ono to v podstate funguje, dhcp server mi da adresu aj v hostovskej sieti. akurat to hadze logy, ktore doteraz nehadzalo, dns (pihole) tiez funguje aj pre hosti, ten jump vyhodim

98
Sítě / MikroTik - divný log (DHCP?)
« kdy: 14. 06. 2021, 01:42:28 »
zdravim, neviem presne kedy sa ten log zacal objavovat, ale pri nasadeni DNS serveru (pihole) som si ho vsimol. Su to dva typy logu:

Kód: [Vybrat]
input: in:host_vlan out:(unknown 0), src-mac (gateway od mojho ISP - NAT 1:1), proto UDP, 0.0.0.0:68->255.255.255.255:67, len 328

input: in:host_vlan out:(unknown 0), src-mac (klienty hostitelskej VLAN), proto UDP, (IP klienta):68->(IP mojho Mikrotiku pre hosti):67, len 328
Siet tvoria dve VLANy jedna sukromna v ktorej su vsetky zriadenia a druha pre hosti Na MT su spustene aj dva DHCP servery (pre kazdu VLANu jeden). DHCP servery funguju, ale ten hostovsky opakovane hadze vyssie uvedeny log.

Donedavna som na MT pouzival aj DNS server, ale presiel som na pihole, takze som z hostovskej VLANy otvoril port 53 na pihole v sukromnej VLAN (nemyslim ze to suvisi).

Tento filter pouzivam uz dlho a este som nezaznamenal log ohladom portu 67, 68 (az teraz) a v poslednej dobe som nemenil ani pravidla logovania. Vie mi niekto povedat co to moze znamenat? Je niekde problem?

Kód: [Vybrat]
0 chain=input action=accept connection-state=established,related

1 chain=input action=drop connection-state=invalid

2 chain=input action=jump jump-target=WAN>INPUT in-interface=WAN

3 chain=input action=accept in-interface=sukr_vlan log=no log-prefix=""

4 chain=input action=accept protocol=icmp

5 chain=input action=drop log=yes

6 chain=forward action=accept connection-state=established,related

7 chain=forward action=drop connection-state=invalid

8 chain=forward action=drop src-address-list=sukr_ip in-interface=sukr_vlan log=no log-prefix=""

9 chain=forward action=drop src-address-list=!host_ip in-interface=host_vlan log=no log-prefix=""

10 chain=forward action=drop dst-address-list=bogon log=yes log-prefix="bogon"

11 chain=forward action=accept in-interface=sukr_vlan out-interface=WAN

12 chain=forward action=accept in-interface=host_vlan out-interface=WAN

13 ;;; DSTNAT chain=forward action=accept connection-nat-state=dstnat log=no log-prefix=""

14 ;;; DNS UDP chain=forward action=accept protocol=udp dst-address-list=DServer in-interface=host_vlan dst-port=53 log=no log-prefix=""

15 ;;; DNS TCP chain=forward action=accept protocol=tcp dst-address-list=DServer in-interface=host_vlan dst-port=53 log=no log-prefix=""

16 chain=forward action=accept src-address-list=host_ip dst-address-list=tlac in-interface=host_vlan log=no log-prefix=""

17 chain=forward action=drop in-interface=host_vlan out-interface=sukr_vlan log=no log-prefix=""

18 chain=forward action=drop log=yes log-prefix=""

19 chain=WAN>INPUT action=drop log=no log-prefix=""

99
Sítě / Mikrotik VLAN - Zmena MAC
« kdy: 17. 12. 2020, 23:01:25 »
zdravim, ako je mozne zmenit MAC adresy VLANiek? Su to "ciste" VLANy, nie je medzi nimi bridge

100
Server / Re:Debian 9 + Seafile + Modoboa server - dve domeny
« kdy: 25. 05. 2020, 03:20:00 »
Teraz mam spusteny len seafile server na domene <seafiledomena.sk> a /etc/hostname mam tiez nastaveny <seafiledomena.sk>. V /etc/hosts mam:
127.0.0.1 localhost
127.0.0.1 <seafiledomena.sk>

Takze ak som Vas dobre pochopil tak hostname mozem pouzit ake chcem (napr. debian) ale mal by som pouzit este tretiu domenu pre server a do /etc/hosts potom zadam napr <debian.domenaservera.sk

Pochopil som to dobre?

101
Server / Debian 9 + Seafile + Modoboa server - dve domeny
« kdy: 23. 05. 2020, 18:08:05 »
caute
mam spusteny seafile server cez apache virtualhost na jednej domene a na tom istom stroji fyzickom stroji potrebujem spustit este modoboa (alebo iredmail) mailserver pre ine domeny.
Da sa to ak ano ako?

Neviem ake hostname (systemctl) mam nastavit v debiane - Mam tam nechat tu domenu na ktorej teraz bezi seafile alebo to mam zmenit na tu na ktorej bude modoboa?

Mam pridat obidve domeny do /etc/hosts?
Mam len jednu verejnu Ip
Od ISP mam PTR na mail.(modoboadomena.sk)

Diky za rady

102
Sítě / Re:Dotazy - Mikrotik + Ubi - Firewall, hostovska siet, VLAN
« kdy: 12. 08. 2019, 23:53:29 »
Opravujem sa - nie su v inej podsieti ale maju inu masku

103
Sítě / Re:Dotazy - Mikrotik + Ubi - Firewall, hostovska siet, VLAN
« kdy: 12. 08. 2019, 23:39:54 »
Oproti tomu co som pisal v prvom prispevku som z MK vymazal bridge (pretoze nemam vlastne co bridgeovat - diky za radu a port ETH2 som premenoval na LAN.
Vlany na tplinku a MK som nastavil a zatial je vysledok taky ze na kabloch mi net ide ale na UBNT APckach nie. Neviem preco - pripojim sa aj na guest aj na privat ale net nejde + na wifi klientoch mi neprideli ip podla dhcp poolu v MK ale nejaku "nahodnu ip. Navyse wifi klienti su v inej podsieti (mali by byt v 255.255.255.0 ale su v 255.255.0.0) takze ani nemam ako otestovat ci vlany splnia ucel oddelenej siete
NA MK som postupoval podla tohto videa: https://www.youtube.com/watch?v=T0y1F3JmSZc
s tym rozdielom ze ako adresy pre vlany som pouzil 192.x.x.x namiesto 10.x.x.x a WAN ip som nevytvaral lebo uz bola vytvorena automaticky (v MK sa zobrazuje okrem adries vlan aj verejna ip od isp) + som vytvoril pre obidve vlany dhcp server a pool cez dhcp setup v MK + do FW som doplnil forward pravidla na zakaz pristupu z guest do privatu

V pripade tplinku som postupoval podla tohto videa https://www.youtube.com/watch?v=T0y1F3JmSZc
V privatnej vlan su takovane len porty routera a APciek ostatne porty su untag. V guest Vlan su pridelene len tagovane porty routera a APciek (ziadne ine porty v gueste nie su)
Co sa tyka PVID tak v PVID 1 su porty routera a APciek. Spravil som to tak pretoze som iekde cital ze v TPlinku je PVID 1 nieco ako alternativa pre trunk Ostatne porty maju potom pridelene PVID privatu

V UBNT CTR som potom uz len v casti network vytvoril dve corporate siete s identickymi adresami vlan a pridelil som im vlan id a vypol DHCP. Nasledne som v casti Wireless network vytvoril dve SSID znova s prislunymi vlan id.
Stale mi ide net iba "po kabloch" ale cez AP nie. Skusal som aj moznost namiesto profilu corporate network pouzit profil vlan only ale ani to nepomohlo.

104
Sítě / Re:Dotazy - Mikrotik + Ubi - Firewall, hostovska siet, VLAN
« kdy: 03. 08. 2019, 19:27:56 »
v prispevku vyssie som zabudol napisat ze problemy s vypadkami nemam. Co sa tyka fw islo mi len o to aby som pouzil dobre pravidla z pohladu bezpecnosti, ale pozeral som ten topic ktory si linkoval a zda sa mi ze mam pouzite dobre pravidla lebo pravdepodobne vsetky sa spominaju v tom topicu. Takze asi len vypnem logovanie u niektorych z nich

105
Sítě / Re:Dotazy - Mikrotik + Ubi - Firewall, hostovska siet, VLAN
« kdy: 03. 08. 2019, 19:07:40 »
Citace: MikyM  03. 08. 2019, 08:12:10
Napis jeste typ TP-Link managed switche a verzi RouterOS.
U switche si nezapomen ohlidat managed vlan.

no zistil som ze ten "hlavny" switch co pouzivam ( TL-SG1016PE) sa sice tvari ako mgmt switch ale v nastaveniach VLAN nie je nic take ako trunk, access alebo hybrid port takze budem musiet hladat este alternativu tychto nastaveni v tom switchi.
RouterOS 6.44.3 stable

Stran: 1 ... 5 6 [7] 8