Mikrotik

[Pacho69]

Mikrotik si, pravda, si dynamicky vytváří routovací tabulku, nicméně tu lze omezit pravidly, buď na interface nebo na IP síť. Na zrušení provozu mezi dvěma interface z různých sítí firewall nutný není, musí stačit pravidla v routovací tabulce (/ip route rule)

[MrChodny]

Máš pravdu, i to je způsob.

[punkac]

Chtěl bych moc poděkovat za včerejší pomoc od Tommma ohledně kompletního nastavení Mikrotiku operativně u mě doma.... Po výměně wlan karet jsem se do toho tak zamotal, že jedině zásah odborníka mě uchránil od rány válečkem od ženy z důvodů "proč jí zase nejde fejsbůk" :D:D

 

Tommme, ještě jednou moc děkuji, jsem tvůj dlužník a to pivko určo dáme, Rychta to jistí

[Péťa]

Asi bych také využil Tommma, pokud by mu to nevadilo.

 

1. Potřeboval bych zkontrolovat, zda jsem si na svém Mikrotiku vše dobře nakonfiguroval.

2. Chtěl bych zablokovat YouTube u dvou klientů, na PC mi to jde, ale u android tabletu stále jede aplikace YouTube

[punkac]

Péťo, nyní je u mě bratr a ladíme práva..

poradil mi toto

IP/Firewall/NAT

a tam dáš na kartě GENERAL v políčku CHAIN "dstnat"  pak zvolíš dst adres (to je ta co chci přesměrovat) www.youtube.com

dále protocol bude 6(TCP) a DST port bude 80

 

přepnu se do karty ACTION a tam zvolím v Action dst-nat, to addresses dám www.seznam.cz (to je to, kam se má youtube přesměrovat) port bude zase 80

 

tady můžeš dár třeba www.rouskovi.cz a dát si tam obrázek.... kluci, táta vás vidí a nechtějte ho naštvat :D:D

[Péťa]

Hmmm, já to mám v IP-Firewall-Filter Rules. Ale problém je, že to nezabírá na aplikaci YouTube v androidu

[punkac]

nezakazuju youtube ale přesměrovávám jinam

takže by to stačilo zjistit, jaký server hledá aplikace youtube v android zařízení a na to je možná Trafic flow v IP sekci, ale to neumím nastavit

[tommm]

Dostal jsem se k tomu až dneska abych to otestoval. Youtube v mobilu používá port 443 (https). Proto když tam máš jen port 80 tak to na PC správně nechodí a na mobilu chodí.

Potíž je v jiné věci.

Když přidáš do firewall pravidla cílovou adresu www.youtube.com tak se při zápisu pravidla přeloží přes DNS na IP adresu a v pravidlu je právě ta aktálně přeložená IP.

No a youtube má serverů víc kvůli rozložení zátěže a může se stát, že při příštím požadavku to vrátí jinou adresu, která není zablokovaná. (takhle rozkládají zátěž všechny hodně navštěvované weby) - jen pro zajímavost, www.youtube.com má aktuálně asi 61 IP adres v DNS

Takže aby se to zablokovalo komplet musely by tam být pravidla pro všechny jejich IP z DNS.

A jestli přidají do DNS další IP nového serveru tak by požadavek zase mohl projít.

 

Takže lepší je řešení přes web-proxy. Kontroluje http(s) dotazy a odmítne už pokus o přístup na adresu youtube.com bez DNS překladu.

Konfigurace:

 

/ip proxy
set enabled=yes port=8080
/ip proxy access
add action=deny dst-host=*.youtube.com src-address=192.168.99.0/24 --- tohle je adresa vnitřní sítě na které jsou PC, kterým budeme youtube zakazovat.

 

a nakonec nasměrujeme přes NAT veškeré dotazy ze sítě blokovaných PC na port 80 a 443 do proxy

 

/ip firewall nat
add action=redirect chain=dstnat comment="do proxy" dst-port=80 protocol=tcp src-address=192.168.99.0/24 to-ports=8080
add action=redirect chain=dstnat comment="do proxy" dst-port=443 protocol=tcp src-address=192.168.99.0/24 to-ports=8080

 

Při pokusu o youtube.com to dopadne asi takhle:

 

ERROR: Forbidden

While trying to retrieve the URL http://www.youtube.com/:

• Access Denied

Your cache administrator is velky@borec.cz.

Generated Tue, 04 Nov 2014 20:39:30 GMT by 192.168.99.1 (Mikrotik HttpProxy)

 

Upraveno 4. listopad 2014 uživatelem tommm

[Péťa]

OK, vyzkouším a napíšu. Dík!!!

[MrChodny]

A já zase doporučím variantu bez proxy, ale s l7.

/ip firewall layer7-protocol
add name=facebook regexp="^.+(facebook|youtube).*\$"
/ip firewall filter
add action=drop chain=forward comment="drop facebook" disabled=yes layer7-protocol=facebook src-address=\
    192.168.1.0/24

Blokují se požadavky na youtube a facebook z adres 192.168.1.0/24

[tommm]

L7 firewall se taky dá použít, ale záleží na jakém HW ho provozuješ. Spotřebuje spoustu CPU a paměti routeru. Na takových RB133 nebo RB532 (že, punkaci ) bych ho vyloženě nedoporučil.

[Péťa]

Já mám tuhle hračku: http://routerboard.com/RB951Ui-2HnD

[tommm]

Na tomhle přesně jsem to taky testoval.

Chystám vyzkoušet L7 řešení ale nevím, jestli přes USB dongle (O2  internet) udělám takovou rychlost aby bylo vidět použití  L7 FW na zatížení CPU.

Přeci jen, RB951 je dost výkonná mašinka...

 

Nicméně, teď jsem se dočetl, že podle WIKI Mikrotiku, NELZE použít L7 FW na šifrované (https) spojení. Ono je to logické, L7 se kouká do prvních 10 paketů spojení a když obsahují regulární výraz který má definovaný, tak zafunguje. HTTPS spojení je ale zašifrované a logicky L7 FW v tom "sypaném čaji" nenajde nic.

Upraveno 5. listopad 2014 uživatelem tommm

[MrChodny]

L7 sice nevidí do https, ale ten regexp řeší hlavně dns dotazy, které zašifrované nejsou.

[punkac]

L7 firewall se taky dá použít, ale záleží na jakém HW ho provozuješ. Spotřebuje spoustu CPU a paměti routeru. Na takových RB133 nebo RB532 (že, punkaci ) bych ho vyloženě nedoporučil.

Mě to po tvém zásahu šlape jak víno, brácha mě naučil dělat pravidla omezující to či ono a jsem s tím mikrotik dědečkem spokojený, wifina po výměně karet jede bezproblémů po celém bytě, takže kdybys Tommme měl chuť, můžem někdy skočit na pivsona

[punkac]

Tak po letech zase trochu problémek

nevím jestli odchází do věčných lovišť RB532 nebo čínaswitch ovislink s 24 porty....

Co to dělá? Na nějakých PC připojených přes kabel nebo mobilech přes wifi net jde (když dám zobrazit úplnou síťovou mapu ve win7, ukáže to všechna připojená zařízení ve vnitřní síti a i že připojení k internetu je aktivní)

Na jiných kompech se dostanu na všechna zařízení ve vnitřní síti ale internet nejde, někdy je na ikonce síťového připojení trojúhelník s hláškou, že připojení není k dispozici ale zase na nasku, TV jiné sdílené disky z jiných kompů, tam se všude dostanu.... Každý den je situace jiná. To co včera nešlo dnes jde a naopak

Stačí odpojit na pár minut kabel příslušného pc ze switche nebo restartovat mikrotik a je tak 75% šance, že to půjde..... Čekal jsem nějakou botu ohledně přidělování adres ve vnitřní síti pro jednotlivá zařízení (IP je svázána za pomoci MAC adresy u všech mích zařízení) Ale když ve vnitřní síti vše jde, tak netuším proč jednou notebook, jindy můj stolní pc jindy lenčin iphon nebo ipad a její stolní PC stávkují a na internet se nedostanu. Vše je nastaveno stále stejně, jak před lety udělal Tommm a dříve toto normálně bez problémů fungovalo...

[MrChodny]

není nastavený malý pool pro přidělování adres? Taky prověř desku, jestli na ní nejsou nafouknuté kondenzatory.

Edit: beru zpět, pokud máš adresy přidělované staticky podle MAC, poolu se to netýká.

/ip pool print

Upraveno 4. listopad 2015 uživatelem MrChodny

[punkac]

na desku jsem koukal a kondy jsou alespoň pohledově v pořádku

ten příkaz zkusím, až přijedu z práce po 18:00

jak velký číslo mám očekávat pro cca 15 zařízení?

EDIT: aha, vše naše je dle MAC, když přijde někdo na návštěvu přidělí IP mikrotik, jenže hosti se na můj rozsah 192.168.2.1 vůbec nedostanou připojí se na jinou wifikartu (která s tou pro naše zařízení není v bridge) a dostávají 192.168.4.XX

Upraveno 4. listopad 2015 uživatelem punkac

[MrChodny]

vypíše ti to rozsah adres, které používá DHCP server pro přidělování klientům.

[punkac]

stejně to zkusím, uvidím tam nějakou kolizi?