NETWORK: nejede, kdyby jelo, nemel bych tak zaludne otazky.

FATBOZZ: a to RB jede/nejede?

NETWORK: V tom je prave pruser, na konzoli nic videt neni. Proto hledam vyznam tech blikajicich diod.

FATBOZZ: nevim o tom, ze by MT nejakym zpusobem sdeloval nejake problemy skrze diody... nejjednodussi co muzes udelat je to pripojit pres seriak a koukat co se deje pri bootu...

Ahoj, mam tu na stole RB532, kteremu blikaji diody nasledovne. Vsechny najednou ... modra oranzova vedle sebe na panelu kde jich je sest a pak obe na poe ethernetu. Co to znamena ? Nejsou dostupny nekde tyhle troubleshooting kody ?

ARXIE: neni problem, napis do PM co potrebujes... ;)

Hledam cloveka na obcasnou vypomoc s RB Mikrotik - nastavenim ROS. Jedna se predevsim o pomoc s Routes, FW, Mangle, NAT, Queue Tree. Odmena dohodou.

IRO: Mno ja ted stavel jeden P2P spoj prave taky na 711kach a jedna strana OK, druha se uz jednou kousla a 2x samovolne rebootla - je napajena z 1 silneho zdroje a ostatni RB v te lokalite jedou OK, tudiz to vidim taky na reklamaci... Pekne me s tim zacinaji srat, kluci z Lotysska....

zdravím lidi, mám celkem banální problém s RB 711UA-5HnD. ztrácí se z ničeho nic IP adresa. když se mi to stalo poprvé, tak se mi jí podařilo resetnout do defaultu na 192.168.88.1. po změně na požadovanou se na ní zas nešlo připojit a nešlo se připojit samozřejmě ani na defaultní adresu. teď už to nejde ani resetovat, což je taky divné. celkem se mi podařilo dostat do původního nastavení 3x a změnit adresu na požadovanou, pak ovšem vždy "zmizla". mám ty karty dvě a ta druhá maká v pohodě. je to na reklamaci nebo nevíte, co bych případně mohl ještě zkusit? nemáte někdo s těmi RB podobné zkušenosti? díky

dostal se mi do tlap po hodně letech mikrotik 750 a samozřejmě po tý době tak zvládnu maximálně vyrobit ty segmenty.

potřeboval bych na něm "rozpustit" switch (mam pocit ze to nejde) a zavést na něm 3 segmenty z toho dva na dhcp a priorizaci těch portů vůči internetu. Zbavim se tím odporně starýho PC na půdě. kterýmu navíc nejde grafika :)

moje představa:

port1 - WAN1
port2 - Wan2
port3 - 192.168.1.0/24 (dhcp) (lidi na wifi)
port4 - 192.168.2.0/24 (dhcp) (lidi v provozu)
port5 - 192.168.3.0/24 static (ruzny kramy po baraku co musej mit internet)
* 192.168.4.0/24 static (ostatní krámy po baraku co na net nemusej)

situace je taková že wan1 a wan2 jsou dvě identický ADSL linky 8/1 mbit od O2;

- segment na portu3 se dělí o konektivitu z WAN1 rovným dílem - neotravujou provoz. nejde smtp/pop/torrent
- segment na portu4 a 5 se dělí o konektivitu na wan2 tak, že lidi v provozu (port4 maj přednost) segment 192.168.3.0 bere co zbyde.

lidi v segmentu #1 (192.168.1.0/24) se neviděj (zařídí wifina pomocí izolace klientů) a můžou jen na net.

segment 2 vidí do (2),3, 4
segment 3 nevidí nikam. muze jen na net.
segment 4 se vidí s 2

kramy = hw nikoliv obchody tam bych zavedl něco jineho nes mikrotik.

NETWORK: asi by to chtělo :-(

BREBER: ja bych hlavne udelal reinstal, upgrade biosu a /system reset a nastavil to odznova...

super, tak mám další anomálii s tím routrem...pri pokusu přihlásit se k němu z winboxu mi to píše chybu "bad file format" ...z googlu toho moc nevypadlo...

paradoxem je, že z mého PC to jede, ale to je tak asi jediny...nechapu...

zkusil jsem vypnout veškerá firewall pravidla a žádná změna, v services jsou povolene jen winbox a http

BREBER: Mam neco takoveho:


/ip firewall filter
add action=drop chain=forward comment=SPAM disabled=no dst-port=25 protocol=tcp src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=3d chain=forward connection-limit=30,32 disabled=no dst-port=25 limit=50,5 protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=1d chain=input comment="Ochrana pred utokem FTP" content="530 Login incorrect" disabled=no dst-address-list=ftp_stage4
add action=add-dst-to-address-list address-list=ftp_stage4 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage3
add action=add-dst-to-address-list address-list=ftp_stage3 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage2
add action=add-dst-to-address-list address-list=ftp_stage2 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage1
add action=add-src-to-address-list address-list=ftp_stage1 address-list-timeout=1d10s chain=input disabled=no dst-port=21 in-interface=ether10 protocol=tcp
add action=drop chain=input disabled=no dst-port=21 in-interface=ether10 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=input comment="Ochrana pred utokem SSH" connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=sshaccept
add action=drop chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=sshdrop
add action=add-src-to-address-list address-list=sshdrop address-list-timeout=0s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage4
add action=add-src-to-address-list address-list=stage4 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage3
add action=add-src-to-address-list address-list=stage3 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage2
add action=add-src-to-address-list address-list=stage2 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage1
add action=add-src-to-address-list address-list=stage1 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp
add action=accept chain=input comment="Ochrana pred utokem SSH" connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=sshaccept
add action=drop chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=sshdrop
add action=add-src-to-address-list address-list=sshdrop address-list-timeout=0s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage4
add action=add-src-to-address-list address-list=stage4 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage3
add action=add-src-to-address-list address-list=stage3 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage2
add action=add-src-to-address-list address-list=stage2 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage1
add action=add-src-to-address-list address-list=stage1 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp

BREBER: ja pouzivam vice mene podobnej set pravidel jako je tady
Mikrotik Howto to Secure your router from invalid login attempts / Virus Flooding Attacks « Syed Jahanzaib Personnel Blog to Share Knowledge !
http://aacable.wordpress.com/2011/08/15/mikrotik-howto-prevent-mt-host-from-invalid-login-attempts-from-lanwan-users/


#Bruteforce login prevention
60

61
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
62
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
63
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
64

65
#This will prevent a SSH brute forcer to be banned for 10 days after repetitive attempts.
66

67
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
68
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3d comment="" disabled=no
69
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
70
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
71
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no


ještě dotaz, jaky má smysl obecně nastavit limity pro zahazovani packetů při brutal atacku?
Nastavil jsem 10 spojeni za 30s s timeoutem na den (kdybych si spletl heslo nebo tak)

NETWORK: ahoj, jak mas nastavene to pravidlo s tema pokusama? dík

tak jsem tu s tim infem...

no obrazku je videt kam to bylo presmerovany...a verze

BREBER: Welcome bro :)ja to jen teda prejel new firmwarem :) a doufam ze cajk ale mel jsme to na upoc 100mb s verejnou ip a povolenym ssh ale heslo bylo 64 bit :(

uz ho mam na stole, ale nedostanu se k tomu driv ne ve ctvrtek. Ono se z toho asi moc poznat neda...

Daval jsem to mistrum do i4 a komunikovali přímo s Mikrotikem a mám tu i nějaké vyjádření..pak to sem zkusím nejak nandat...bohužel není uplně jasné, jakým způsobem to hackli...

Kazdopadne prosim o podrobne info ohledne toho utoku (verzi RoS, skrze jakou sluzbu (nebo port) se tam dostali, atp). A nebylo by spatne udelat suppout.rif a poslat to na support MikroTiku !