Mikrotik, Alix a jina mala reseni... Arduino, RaspberryPi, Mikrotik, Alix a jina mala reseni...

LEXXA: aha pises "tak ze je to k nicemu" - takze nejde pouzit?

ROENICK --- --- 14:39:51 7.11.2018

LEXXA: proc vlastne mikrotik nepodporuje openvpn? je to nekde vysvetlene?

ATAN --- --- 14:23:15 7.11.2018

HW zrychleni je jen pro IPSec. A jde take o spravne nastaveni IPSec dle uvedene JOINTERem tabulky.

LEXXA --- --- 13:20:15 7.11.2018

JOINTER: ja jsem prave cetl ze ty novejsi hexy maji akceleraci jen na ipsecu i kdyz sstp pocita stejne sifry to jede pres cpu. a ze to mikrotik nema v planu menit. ale ja to potrebuji ne na p2p tunel ale na tunel s mim vpn providerem takze si tam nemuzu moc vymyslet jakou technologii muzu pouzit. a ipsec tam sice je ale psk maji verejne dostupny a jeste ho nemuzu zmenit. openvpn mikrotik umi tak ze je to k nicemu takze mi zbyva jen sstp

JOINTER --- --- 13:17:20 7.11.2018

LEXXA: Samotneho by me to zajimalo.
Ja jsem nekde okolo 10M na SSTP a s RB433GL poslanym na 800MHz a CPU to ukazuje asi 75%.
Z toho duvodu pouzivam jako site-to-site PPTP...
IPSec jsem zkousel taky, ale taky to zralo, ale Hex 3 ma asi akceleraci?
Manual:IP/IPsec - MikroTik Wiki
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_acceleration
Pro SSTP se tedy akcelerace asi neuplatni?
Taky bych me zajimalo jestli pomuze koupit treba neco jako 4011, jestli pocitani te enkrypce je vicevlaknove (pokud to neumi akcelerovat).

LEXXA --- --- 13:00:04 7.11.2018

prosimvas, mate nekdo nejaky "tucnejsi" mikrotik?
mam hex3 a kdyz hrnu provoz pres SSTP tak dostanu v idealnem pripade 7-8mbitu. linka ustoji nasobne vic.
kdyz pouzivam eoip/ipsec tunel nemam problem se dopracovat na udavanou kapacitu linky.
chci vedet jestli muzu s tim neco udela nebo musim jit do drazsiho/lepsiho cosi od mikrotiku, nebo v krajnem pripade uplne zmenit platformu...

TEAPACK --- --- 8:46:43 5.11.2018

GHORMOON: Tak zádrhel byl v Bridge v nastavení fast-track... teď už to jede =)

GHORMOON --- --- 14:57:21 1.11.2018

TEAPACK: a ten nat mas jak? pripadne jak psal ATAN, jestli tam nemas jeste nejakou jinou botu

TEAPACK --- --- 14:47:59 1.11.2018

GHORMOON: jj ven = internet, v NATu mám akorát maškarádu a ve filtru default:

 D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 
 1    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp 
 2    ;;; defconf: accept established,related
      chain=input action=accept connection-state=established,related 
 3    ;;; defconf: drop all from WAN
      chain=input action=drop in-interface=ether1 
 4    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection 
      connection-state=established,related 
 5    ;;; defconf: accept established,related
      chain=forward action=accept connection-state=established,related 
 6    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid
 7    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new 
      connection-nat-state=!dstnat in-interface=ether1

ATAN --- --- 13:35:03 1.11.2018

TEAPACK: k cemu je tam bridge2? bylo by jednodussi, kdybys jsem dal vystup '/export hide-sensitive'.

GHORMOON --- --- 13:11:47 1.11.2018

TEAPACK: ven -> do internetu? co mas ve firewallu a natu? tam nejspis neco bude chybet :)

TEAPACK --- --- 12:40:07 1.11.2018

Ahoj, už druhej den přehlížím něco v nastavením mikrotiku (RouterOS v6)... Potřebuju oddělit wifi od ethernetu, takže jsem si:
1) přidal druhý pool s požadovaným rozsahem
2) Adresses s taktéž
3) vytvořil jsem druhý bridge a nastavil u iface vlan bridge2
4) vytvořil druhý DHCP server a nastavil mu bridge2

Zařízení se připojí, dostanou IP, ale ven se nedostanou :-/ Pokud to jde udělat jedodušeji, rozhodně se bránit nebudu, ale musím nakombinovat ethernet s DHCP pro jednu část s IP 192.168.3.0/24, další eth bez DHCP (fixní IP v rozsahu 192.168.1.0/26), ale aby na sebe zařízení viděly a wifi, která by měla vidět jen do internetu...

ROENICK --- --- 9:24:12 15.10.2018

Postřehy z bezpečnosti: úroda u MikroTiků - Root.cz
https://www.root.cz/clanky/postrehy-z-bezpecnosti-uroda-u-mikrotiku/

DANYSEK --- --- 9:59:25 7.10.2018

ROENICK: Spousta "profi" firewallu ti tu hlavicku dropne (aby mohla provadet L7 inspekci), kdyz si nepohrajes s nastavenim. Takze me to neprekvapuje :-)
Google & spol to asi tlaci proto, ze se ve svym distribuovanym DNS, ktery navic odpovida ruzne podle toho, odkud se ho zrovna ptas srat s DNSSECem nechce... na druhou stranu to muze skoncit podobne, jako s HPKP - ktery Google taky protlacil do RFC... a v novym Chrome to dnes uz nepodporujou.

ROENICK --- --- 9:31:53 7.10.2018

DANYSEK: jo o tom vsem tam vcera mluvil Hala. Nevim proc napr Google tlaci ten MTA-STS

STARTTLS hlacicku prej dokonce vyhazovali nekteri ISP

DANYSEK --- --- 9:11:41 7.10.2018

ROENICK: vsak vime... DANE je zavisly na DNSSECu, do kteryho se ne vsichni hrnou a tak se vymyslela opicarna MTA-STS, kdy si mail server bude nejakou politiku lovit na webserveru (kdy ne/existenci one politiky zjistis opet z toho nezabezpecenyho DNS, kvuli kterymu ta opicarna je). Aneb dalsi skrabani se levou rukou za pravym uchem z pera tech, co na DNSSEC dlabou... dalsi paskvil, cinici navic dorucovani mailu zavisle nejen na DNS, ale jeste i na webu :-) A stejne to neresi onen uvodni problem - stejne jako muze MITM vymaskovat STARTTLS hlavicku u SMTP spojeni je mozne vyblokovat (podvrhnout) ten potrebny uvodni DNS dotaz, pripadne i ten vlastni download politiky. Proste nedomyslena opicarna :-)

ROENICK --- --- 23:26:13 6.10.2018

1 odpověď +2

DANYSEK: dnes na linuxdays o tom mluvili, chce to implementovat DANE a sifrovat, z CZ.NIC snad bude nakej tlak

DANYSEK --- --- 22:45:12 6.10.2018

ROENICK: me se strasne libi to aktualni "hypersilenstvi" kolem https, ale to ze maily kdekdo transportuje nesifrovane (a sifrovani nepodporuje) nikdo absolutne nepitva... :) Aneb je "uzasny", ze i webik pejskaru pobezi sifrovane, ale ze notifikace treba z datovky (a hromady dalsich mist, i ruzny eshopy, atd... ale treba i tady nyx) litaj nesifrovane je naprosto cajk a nikdo se tim nezabejva...

ROENICK --- --- 22:24:59 6.10.2018