1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Mikrotik - login failure via winbox z IP adresy bridge
« předchozí další »
Stran: 1 [2]

Mikrotik - login failure via winbox z IP adresy bridge

  • 21 Odpovědí
  • 7613 Zhlédnutí

Jan Blahout

Re:Mikrotik - login failure via winbox z IP adresy bridge
« Odpověď #15 kdy: 26. 07. 2021, 22:11:13 »
v rámci problémů na síti se řídím pravidlem „Jakmile vyloučíte vše nemožné, všechno ostatní, co zbude, ať je to jakkoli nepravděpodobné, musí být pravda.“ :)
IP zaznamenána

Reklama

  • * * * * *

Pavelb66

Re:Mikrotik - login failure via winbox z IP adresy bridge
« Odpověď #16 kdy: 27. 07. 2021, 16:30:14 »
Dej sem ještě co máš nastaveno v natu
IP zaznamenána

Jan Blahout

Re:Mikrotik - login failure via winbox z IP adresy bridge
« Odpověď #17 kdy: 27. 07. 2021, 20:44:55 »
Citace: Pavelb66  27. 07. 2021, 16:30:14
Dej sem ještě co máš nastaveno v natu
Bylo to v tom exportu
Kód: [Vybrat]
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-LIBLI
add action=dst-nat chain=dstnat comment="WinBox ZSK-Wifi" dst-port=8292 protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.15  to-ports=8291
add action=dst-nat chain=dstnat comment="RDP server" dst-port=3390 in-interface=pppoe-LIBLI protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.253 to-ports=3389
add action=dst-nat chain=dstnat comment="SYNOLOGY MGMT for Allowed" dst-port=8001 in-interface=pppoe-LIBLI protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.105 to-ports=5001
add action=dst-nat chain=dstnat comment=UrBackup disabled=yes dst-port=55414 in-interface=pppoe-LIBLI protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.252 to-ports=55414
add action=dst-nat chain=dstnat comment="RDP PC-Honza" dst-port=3391 in-interface=pppoe-LIBLI protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.2 to-ports=3389
IP zaznamenána

spacek5

Re:Mikrotik - login failure via winbox z IP adresy bridge
« Odpověď #18 kdy: 27. 07. 2021, 22:11:11 »
Citace: Milan Cagap  26. 07. 2021, 14:45:19
Ten firewall vypada dost divne. Kedze hlavna zasada je vzdy povolit, co sa ma povolit a zakazat vsetko ostane na konci firewallu jednoduchym input drop all pravidlom. Pokial neriesis nejaky limit rate pre ddos ci ping flood. Kde treba mat drop skor.

Este by som odporucal skontrolovat nastavenie bridge interfacu, ci tam nie je nastavena admin mac adresa.
Tato adresa sa vacsinou nakonuje z jedneho interfacu v bridge. A moze sposobovat aj loop paketov ...
Opravdu je na interface "bridge" nastavená stejná Admin MAC address jako na interface "ether2-master" MAC address. Mám na tom bridgi tedy nastavit jinou?
 
IP zaznamenána

spacek5

Re:Mikrotik - login failure via winbox z IP adresy bridge
« Odpověď #19 kdy: 27. 07. 2021, 22:17:45 »
Děkuju za všechny rady, postupně to zkouším a výsledek je tentýž.
MT jsem restartoval, všechny address-listy se mi hezky plní adresama tak, jak mají...
Ale log ukazuje zase login pokusy z 192.168.1.1...
« Poslední změna: 27. 07. 2021, 22:27:28 od spacek5 »
IP zaznamenána

Reklama

  • * * * * *

spacek5

Re:Mikrotik - login failure via winbox z IP adresy bridge
« Odpověď #20 kdy: 27. 07. 2021, 22:36:19 »
Citace: Jan Blahout  26. 07. 2021, 21:11:05
zkusil bych pod pravidlo "DROP RDP4 Port Scanners" přidat ještě jedno pravidlo
Kód: [Vybrat]
/ip firewall filter
add action=add-src-to-address-list address-list="WAN Port Scanners" address-list-timeout=5d chain=input comment="WAN IP WinBox Port Scanner to list" dst-port=8291 protocol=tcp in-interface=pppoe-LIBLIa následně ještě upravit pravidlo "LAN Port Scanners" kam dát in-interface="název bridge" a odebrat src-address=192.168.1.1 pro výpis do logu. Aby se ukázalo, z jakého směru se o přihlášení něco pokouší. Možná bych ještě zduplikoval "WAN Port Scanners" na interface, na které je zařazeno PPPoE volání.
Když jsem vyhodil 192.168.1.1 ze src-address a zadal do in-interface ten můj bridge, tak se address-list vůbec neplnil a v logu se hromadily errory failedauth (příloha v předch. příspěvku). Musel jsem to vrátit zatím zpět.
IP zaznamenána

Milan Cagap

Re:Mikrotik - login failure via winbox z IP adresy bridge
« Odpověď #21 kdy: 28. 07. 2021, 12:38:49 »
Citace: spacek5  27. 07. 2021, 22:11:11
Citace: Milan Cagap  26. 07. 2021, 14:45:19
Ten firewall vypada dost divne. Kedze hlavna zasada je vzdy povolit, co sa ma povolit a zakazat vsetko ostane na konci firewallu jednoduchym input drop all pravidlom. Pokial neriesis nejaky limit rate pre ddos ci ping flood. Kde treba mat drop skor.

Este by som odporucal skontrolovat nastavenie bridge interfacu, ci tam nie je nastavena admin mac adresa.
Tato adresa sa vacsinou nakonuje z jedneho interfacu v bridge. A moze sposobovat aj loop paketov ...
Opravdu je na interface "bridge" nastavená stejná Admin MAC address jako na interface "ether2-master" MAC address. Mám na tom bridgi tedy nastavit jinou?
 

Urcie ano. Na bridge treba vypnut admin mac address a zmenit ju na dalsiu volnu, ako maju eth porty mikrotku.

U mna presne toto nastavenie sposobovalo, ze mi spanning tree hlasil, ze mu prichadza rovanky paket z bridge na bridge. Cim docasne blokovalo interface, kde bolo pripojene AP, ktore chvilu slo a chvilu nie.

Po vypnuti admin mac adresy a zmene mac na bridge, vseko funguje ako ma a uz dane chybove hlasky o loop-e paketov na bridge nevidim.
« Poslední změna: 28. 07. 2021, 12:41:04 od Milan Cagap »
IP zaznamenána
Stran: 1 [2]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Mikrotik - login failure via winbox z IP adresy bridge