• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    SHORTYMikrotik, Alix a jina mala reseni... Arduino, RaspberryPi, Mikrotik, Alix a jina mala reseni...

    OS

    imedialinux.com
    Voyage Linux
    RouterOS/

    Platformy

    PC Engines
    Mikrotik

    Prislusenstvi

    ...

    Reseni

    router, prehravac, ap, monitorovatko, filestorage
    rozbalit záhlaví
    LEXXA
    LEXXA --- ---
    KARYSLAV: me po*er!
    vcera jsem je uplne podle stejneho navodu.
    nejdriv si zkontroluj ze kdyz pristupujes zvenku tak mas otevreny firewall.
    jestli nejak filtrujes adresy tak si dej na chvili 0.0.0.0 do safe listu.
    KARYSLAV
    KARYSLAV --- ---
    Udělal jsem si L2TP IPSEC podle tohodle návodu:

    http://www.nasa-security.net/mikrotik/mikrotik-l2tp-with-ipsec/

    Když se pokusím připojit z wifiny (zevnitř) tak to jede, ale zvenku (o2 mobilní net, iPhone s iOs7), tak se to nespojí. Co hledat? Díky!
    TLOUDEV
    TLOUDEV --- ---
    hi, mate nekdo zkusenosti s flashovanim routerboardu na linux? (idealne debian) konkretne se mi jedna o RB433UL (resp. jakykoli jiny, ktery bude mit alespon 2 miniPCI sloty nebo 1 miniPCI slot a integrovanou 802.11b/g/n...)
    AHARAZ
    AHARAZ --- ---
    ADM: , VLASTIS: u Mikrotiku jsme to tu probirali v navaznosti na HAWKS: pokud se jedna o dva ISP na urovni O2 ADSL a pod...
    ADM
    ADM --- ---
    VLASTIS: nepouzivam to ale kdyz jsem to driv hledal tak mikrotik by to mel umet, bud jako multipath routing (pricemz muzes dat ruznou vahu oboum default routam). v pripade zalozni linky a failoveru by to melo jit testovat a prehodit skripty
    ELPASO
    ELPASO --- ---
    VLASTIS: mam to chlazene serverovne, ale nez to tam slo tak mi to lezelo mesic pod stolem doma na testovani... zadnej problem
    VLASTIS
    VLASTIS --- ---
    ELPASO: a mas to nekde v chlazene serverovne? nebo nekde pohozene?
    tady to bude kdovikde (mozna na pude, kde muze byt v lete peklo..)
    ELPASO
    ELPASO --- ---
    VLASTIS: edgemax router lite, cena 2k. ja osobne na tom pouzivam 2 ISP, ale routovani skrz SOURCE BASED POLICY ROUTING, ale jde tam nastavit i testovani dostupnosti viz https://community.ubnt.com/...eMAX-Configuration-Examples/EdgeMAX-Automatic-WAN-Failover/ta-p/420301

    psal jsem to do LAN/WAN auditka - bezi mi na tom jeden zakaznik - 15 VLAN, 50 FW pravidel, 2x NAT dohromady cca 10 pravidel, routuje to i kamerovej system a uptime 14 mesicu :) za 2k CZK imho docela fpohode
    VLASTIS
    VLASTIS --- ---
    Ahoj,
    potreboval bych poradit box na nasledujici:
    pripojeni pres 2 ISP (10/10 a zaloha 2/2 mbit ) a poteboval bych automatizovane testovan funkcnost obou a v pripade delsiho vypadku (napriklad 2 minuty ?) prepnout routing pres druheho ISP.
    Takze ciste jen router s podminenym routingem

    Muzete mi poradit vhodny box?

    Diky
    TLOUDEV
    TLOUDEV --- ---
    cus, potrebuju nejakou miniaturni antenu pro prijem jak 2.4 tak 5GHz, existuje neco? rad bych to pripojil na http://www.i4wifi.cz/...-klienti/RBGroove-52HPn-outdoor-klient-2-4-5-GHz-802-11n-TDMA-1x-LAN-L3.html a umistil na otaceni mechanismus na strese auta - proto prave shanim antenu pro obe pasma - mam ale dojem, ze kazde pasmo ma totalne jinou charakteristiku a ze asi univerzalni antena je sci-fi. ale presto, nevite nekdo o necem? velikost je - diky umisteni - celkem dulezity faktor.
    TLOUDEV
    TLOUDEV --- ---
    WOJTISHEK: pokud se snazis pripojit ke sve domaci VPN na stejnem portu (1194/udp) a jsi na stejnem segmentu s firemnim VPN serverem, pak to vypada, ze tvou snahu o spojeni mikrotik taktez NATuje (a posle request na firemni VP server namisto ven do netu na tvuj domaci VPN server).
    Tedy to vypada, ze NAT mas definovany na *vsech* interfacech a nemas jej specifikovany pouze na vnejsim interface pro verejnou IP. tedy zkus toto pravidlo predelat tak, aby NATovalo: 1/ pouze a jen pakety, ktere prijdou na vnejsi interface 2/ pouze a jen pro pakety, ktere prijdou na IP xx.xx.xx.xx (verejna IP pro "firemni" VPN)
    REASON
    REASON --- ---
    AHARAZ:
    Howto Save Mikrotik Logs to Remote SYSLOG Server | Syed Jahanzaib Personnel Blog to Share Knowledge !
    http://aacable.wordpress.com/2011/11/29/howto-save-mikrotik-logs-to-remote-syslog-server/

    tak chcel som len toto :)
    a dakujem za vsetku pomoc :)
    AHARAZ
    AHARAZ --- ---
    REASON: Ne, jen neni uplne jasne co vsechno potrebujes. Puvodne jsi psal i "cas". Je cas zacatek kouminkace, nebo je to delka spojeni? V tom je dost rozdil na jedno staci log na druhe potrebujes netflow. Je take otazka co je komunikace - packet, nove spojeni, nove spojeni a k nemu vsechny related?
    Ja jsem asi uz dost zatizeny vic komplexnim resenim a tak mam problem v podobnem zadani videt neco jednoducheho...

    Kazdopadne predpokladam ze reseni pro tebe je:

    Pokud Ti staci zacatek, tak muzes udelat pravidlo FW odpovidajici smeru a treba tomu ze je to nove spojeni jako akci pak bude mit log a dostanes napr.:
    Jul 1 00:10:43 Jul 1 00:10:43 192.168.1.2 192.168.1.2 user notice firewall,info FIREWALL-forward forward: in:ether3 out:ether1, src-mac 0a:0b:0c:0d:0e:0f, proto TCP (RST), 192.168.1.1:38095->74.x.x.x:80, len 40

    Pak musis nastavit jeste system logging na spravnou akci pro firewall a pak v logging action nastavit stroj se syslogem co to ma chytat....


    Pro srovnani z netflow dostanes, neco jako:

    Flow Record:
    Flags = 0x00000000
    size = 52
    mark = 0
    srcaddr = 36.249.80.226
    dstaddr = 92.98.219.116
    First = 1125377992 [2005-08-30 06:59:52]
    Last = 1125377992 [2005-08-30 06:59:52]
    msec_first = 338
    msec_last = 338
    dir = 0
    tcp_flags = 0
    prot = 17
    tos = 0
    input = 5
    output = 3
    srcas = 1299
    dstas = 0
    srcport = 3040
    dstport = 1434
    dPkts = 1
    dOctets = 404
    REASON
    REASON --- ---
    tako je mozne ze pri dd-wrt zapnem log a posiela mi to krasne ip, port smer lan -> wan a mk toto nedokaze??
    AHARAZ
    AHARAZ --- ---
    HTD: Má množinu možností kam netflow z MK posílat, tam je otázka do čeho to bude integrovat, nebo jestli to jen archivuje.

    Kažodpaně by bylo stejně potřeba vedět k čemu to má sloužit.
    Třeba zjistí že potřebuje mít i MAC adresu zdroje a tam s MK narazí, pokud se něco nezměnilo.
    HTD
    HTD --- ---
    AHARAZ: Pomoci netflow a pak to tahat do ntop serveru
    AHARAZ
    AHARAZ --- ---
    REASON: Neni to spis resitelne pomoci netflow ? Protoze tohle vsechno imho neulogujes pomoci logovacich pravidel FW na externi server (treba ukonceni spojeni imho nedas, ale strilim od boku). Ale treba o necem nevim.
    REASON
    REASON --- ---
    YAPLIK:
    ahoj

    logovat komunikaciu smerom von zo siete stym ze remote server by bol nejaky kiwi deamon na odchyt logu. IP ,port, cas napr/
    WOJTISHEK
    WOJTISHEK --- ---
    jiný port je asi jednodušší řešení *self_facepalm*
    Díky moc
    CHOROBA
    CHOROBA --- ---
    nebo jinej port....
    asi by sel i njakej firewall rule " paklize to nejde z tydle adresy, tak to natuj na.."
    HONZAF
    HONZAF --- ---
    WOJTISHEK: mam dojem ze openvpn umi i tcp. nekde na to prejdi
    Kliknutím sem můžete změnit nastavení reklam