Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem MK v internej sieti - cez fw ide len hostovska wifi

v internej sieti mam mikrotik. Vstup je eth1, nasledne 2,3,4 su interna siet - LAN (plus wifi, bez dhcp v MK), port 5 je hostovska spolu s host wifi - Guest (dhcp v MK). Vo fw MK nastavene len zakladne veci, povolene na input a forward akceptovane, naviazane spojenia . . . ale ked sa pripojim na hostovsku, tak vidim ako nabiehaju pakety, ale ked sa pripojim na LAN (internu) cez wifi, tak fw nic, nikde nic nepribuda, len na input nabiehaju nejake pakety ale to su asi tie co idu na winbox, ktory mam spusteny na pc . . .

Předmět Autor Datum
není ti rozumět. V první řadě vypiš konfigurace obou bridgí, pak se můžeme bavit. Pokud nevíš jak,…
touchwood 23.10.2019 12:33
touchwood
# INTERFACE BRIDGE HW PVID PR PATH-COST INTERNA... HORIZON 0 H ether1 LAN yes 1 0x 10 10 none 1 I H…
truhlik 23.10.2019 12:46
truhlik
tady to máš správně. Tak ještě ta firewallová pravidla. /ip firewall export /ip firewall nat export…
touchwood 23.10.2019 17:42
touchwood
/ip firewall filter add action=accept chain=input comment="pristup na MK z GUEST len moj pc" dst-por…
truhlik 24.10.2019 09:21
truhlik
tady to vypadá poměrně OK, jen si úplně nejsem jistý, jak máš řešenou tu guest síť, protože forward…
touchwood 24.10.2019 10:49
touchwood
Vsetko fici, jediny problem pripojenie cez wifi - ak sa pripojim na Guest, a spustim nejaky test ryc…
truhlik 24.10.2019 11:04
truhlik
Ten hostovsky port na lan mas v v bridge s wifi guest, alebo su to samostatne rozsahy?
fleg 24.10.2019 11:08
fleg
eth1 je vstup na MK interna siet eth2,3,4 a wlan_aaa_24 spolu s eth1 su v LAN - tam v podstate nieje…
truhlik 24.10.2019 11:27
truhlik
Kedze mas obe rozhrania v bridge nemal b tam byt rozdiel. Mozes si skusit vytvorit forwardovacie pra…
fleg 24.10.2019 12:06
fleg
preco guest?
truhlik 24.10.2019 12:50
truhlik
Pretoze mas obe rozhrania v bridge co sa vola Guest.
fleg 24.10.2019 13:10
fleg
Ale to su len eth5 a virtual wifi, to bezi v pohode. Problem je s tym, co je pripojene do internej s…
truhlik 24.10.2019 13:15
truhlik
queues ti ale fungují na L3, ne na L2!! Chápeš rozdíl mezi L2 a L3?
touchwood 24.10.2019 13:31
touchwood
Tak pridaj forward pre LAN. Inak sledovat MB na firewalle mi pride divne. Pridaj si queues cely rozs…
fleg 24.10.2019 13:54
fleg
v LAN neforwarduje, protože to je jeden velký bridge, sakva, náčelníku! Jediný, kde by to viděl by b…
touchwood 24.10.2019 13:57
touchwood
Vo vypise ho sice nevidim, ale MT pridava fasttrack forward do default pravidiel na fw a ked mas zap…
fleg 24.10.2019 14:18
fleg
O tom viem, to mam vyhodene . . . a uz je to ok, vid posledna odpoved, dik za snahu. poslední
truhlik 24.10.2019 21:36
truhlik
znova, znova, znova: iptables (firewall) funguje na L3! Ne na L2!
touchwood 24.10.2019 13:32
touchwood
Takze uz to nacitava aj z internej siete vo fw . . . v Bridge - settings povolit Use IP firewall . .…
truhlik 24.10.2019 13:58
truhlik
a víš, že sis povolením ebtables snížil výkon o desítky procent?
touchwood 24.10.2019 14:23
touchwood
No to neviem, ale MKT sa vyuziva len nahodne na pripadne skolenia - od toho wifi a guest . . . aj ta…
truhlik 24.10.2019 14:36
truhlik
omg. na to se nedá víc říct.
touchwood 24.10.2019 14:53
touchwood
#     INTERFACE     BRIDGE        HW  PVID PR  PATH-COST INTERNA...    HORIZON
 0   H ether1        LAN           yes    1 0x         10         10       none
 1 I H ether2        LAN           yes    1 0x         10         10       none
 2 I H ether3        LAN           yes    1 0x         10         10       none
 3   H ether4        LAN           yes    1 0x         10         10       none
 4 I   ether5        Guest         yes    1 0x         10         10       none
 5     wlan_INT_24   LAN                  1 0x         10         10       none
 6 I   wlan_guest_24 Guest                1 0x         10         10       none

LAN by mala byt interna siet, kde IP prideluje stroj pred MK 10.6.X.X, Guest prideluje MK 192.168.1.X

/ip firewall filter
add action=accept chain=input comment="pristup na MK z GUEST len moj pc" dst-port=9999 protocol=tcp src-address=192.168.1.0/24 src-mac-address=01:23:45:67:AB:CD
add action=drop chain=input comment="drop na MKT z Guest" src-address=192.168.1.0/24 add action=drop chain=forward comment="drop z Guest do internej siete"  dst-address=10.6.0.0/16 log-prefix="GUEST  to LAN - " src-address=192.168.1.0/24
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log-prefix="YYY - "
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid log-prefix="XXX - "
/ip firewall nat
add action=masquerade chain=srcnat log-prefix="NAT - " out-interface=LAN src-address=192.168.1.0/24

Vsetko fici, jediny problem pripojenie cez wifi
- ak sa pripojim na Guest, a spustim nejaky test rychlosti, pekne vo fw vidim ako nabiehaju MB (pravidlo tusim 4)
- ak sa pripojim na LAN, a spustim ten isty test, vo fw nwvidim zeby niekde pribudali nejake MB, ako keby to slo mimo fw

eth1 je vstup na MK interna siet
eth2,3,4 a wlan_aaa_24 spolu s eth1 su v LAN - tam v podstate nieje nastavene nic, len na wifi heslo a pod.
eth5 a wlan_guest_24 su v GUEST, maju svoj dhcp, zdielaju jeden pool (192.168.....),

INTERFACE BRIDGE HW PVID PR PATH-COST INTERNA... HORIZON
0 H ether1 LAN yes 1 0x 10 10 none
1 I H ether2 LAN yes 1 0x 10 10 none
2 I H ether3 LAN yes 1 0x 10 10 none
3 H ether4 LAN yes 1 0x 10 10 none
4 I ether5 Guest yes 1 0x 10 10 none
5 wlan_INT_24 LAN 1 0x 10 10 none
6 I wlan_guest_24 Guest 1 0x 10 10 none
LAN by mala byt interna siet, kde IP prideluje stroj pred MK 10.6.X.X, Guest prideluje MK 192.168.1.X

Ale to su len eth5 a virtual wifi, to bezi v pohode.
Problem je s tym, co je pripojene do internej siete.
Apropo, mozno pre niekoho voditko, pripojim sa, dostanem IP z interneho rozsahu od niekoho, 10.6.0.190, s touto IP zalozim sipmple queue, obmedzim rychlost, ale nic sa nedeje, fici to naplno, a total up/down stale sama 0 . . .
Pre MK mam vyhradenu jednu IP z interneho rozsahu, tym ze MK pre interne adresy nefunguje ako router, s tym neviem na internom rozsahu nic robit?

Zpět do poradny Odpovědět na původní otázku Nahoru