Mikrotik Hap ac3 достъп до домашна мрежа WiFi и кабел

[f1fan]

Здравейте
Тотален новак съм в темата за мрежи както и микротиците, но си купих посочения модел, защото ми е мерак да се науча. Интернет доставчика ми е Виваком и след като свържа техния рутер с моя Микротик, който има сетъпната домашна мрежа както и WiFi + парола, мога да  използвам Микротика за да имам достъп до интернет. Въпроса ми е така сетъпнат с парола за WiFi сигурен ли е и някой може ли да се върже към домашната ми мрежа(човек, който няма физически достъп до рутера), защото все още чета как се използват и останалите му функции ?

Редактирано 5 Април, 2022 от f1fan

[yHuKyM]

Ако си избрал WPA2 и паролата ти е достатъчно дълга;

Ако си добавил друг потребител в рутера и си махнал admin;

Ако си сложил FW правило в INPUT веригата което да ограничи рутерът да е достъпен само от вътрешната мрежа;

 

Тогава да, можеш да си спокоен.

Редактирано 5 Април, 2022 от yHuKyM

[f1fan]

6 minutes ago, yHuKyM said:

Ако си избрал WPA2 и паролата ти е достатъчно дълга;

Ако си добавил друг потребител в рутера и си махнал admin;

Ако си сложил FW правило в INPUT веригата което да ограничи рутерът да е достъпен само от вътрешната мрежа;

 

Тогава да, можеш да си спокоен.

До тук съм направил само стъпка едно.

За добавянето на друг потребител, горовиш да направя потребител, който да е админ, но с друго име ?

За стъпка три, трябва да прочета как става.

[yHuKyM]

Преди 1 час, f1fan написа:

За добавянето на друг потребител, горовиш да направя потребител, който да е админ, но с друго име ?

да

[f1fan]

8 hours ago, yHuKyM said:

Ако си сложил FW правило в INPUT веригата което да ограничи рутерът да е достъпен само от вътрешната мрежа;

 https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

Тази статия, ще ми свърши ли работа, за да наглася рутера да е достъпен само от вътрешната мрежа ?

[yHuKyM]

Да, ще ти свърши. Има и неща които аз не бих спрял, например ddns-a, но това е щото го ползвам.

[master]

Ако не ползваш wps а го спри. Желателно е да си смениш портовете на сървисите които ползваш, а останалите ги спри най-добре.

[f1fan]

add action=accept chain=input comment="Allow access to router from known network" in-interface-list=!WAN \ src-address=192.168.88.0/24

Здравейте, този firewall rule, достатъчен ли е, за да може да се достъпва рутера само от вътрешната мрежа ?

[JohnTRIVOLTA]

Преди 19 часа, f1fan написа:

add action=accept chain=input comment="Allow access to router from known network" in-interface-list=!WAN \ src-address=192.168.88.0/24

add action=accept chain=input comment="Allow access to router from known network" in-interface-list=!WAN \ src-address=192.168.88.0/24

Здравейте, този firewall rule, достатъчен ли е, за да може да се достъпва рутера само от вътрешната мрежа ?

Да, стига да нямаш нещо в прерутинг веригата , което да те ограничава!

....

Предполага се , че последно правило на input веригата е drop за всичко!

Редактирано 24 Юли, 2022 от JohnTRIVOLTA

[f1fan]

On 7/23/2022 at 9:46 PM, JohnTRIVOLTA said:

Да, стига да нямаш нещо в прерутинг веригата , което да те ограничава!

....

Предполага се , че последно правило на input веригата е drop за всичко!

Мерси много за отговора.

По същата тема, това правило правилно ли го тълкувам. До рутера да имат достъп само устройства от тази мрежа 192.168.88.0/24(src-address=192.168.88.0/24) както и с това in-interface-list=!WAN  се казва, че от ISP устройството няма да има достъп до Микротика ?

Също, когато изпълня командата в терминала имам тези грешка

Quote

[admin@MikroTik] > add action=accept chain=input comment="Allow access to router from local network" in-interface-list=!WAN src-address=192.168.88.0/24  bad command name add (line 1 column 1)

 

Към момента нямам нищо друго добавено към firewall
 

А това са route-те, които имам

Редактирано 24 Юли, 2022 от f1fan

[111111]

Научи се да ползваш Winbox, управлението от браузера е силно ограничено.

[JohnTRIVOLTA]

Преди 14 часа, f1fan написа:

Мерси много за отговора.

По същата тема, това правило правилно ли го тълкувам. До рутера да имат достъп само устройства от тази мрежа 192.168.88.0/24(src-address=192.168.88.0/24) както и с това in-interface-list=!WAN  се казва, че от ISP устройството няма да има достъп до Микротика ?

.....

Също, когато изпълня командата в терминала имам тези грешка

Правилото гласи: Позволи на вход заявки с адрес от мрежа 192.168.88.0/24 без тези , които идват на интерфейс листата "WAN".

.....

Дава грешка понеже не си в секцията , където да изпълни командата /във филтъра/т.е. трябва да имаш пред нея :

ip fi fi

Може да видиш за твоето устройство какъв е деф. конфига с :

/system default-configuration print 

И да видиш липстващите основни правила.

Редактирано 25 Юли, 2022 от JohnTRIVOLTA

[f1fan]

2 hours ago, JohnTRIVOLTA said:

Правилото гласи: Позволи на вход заявки с адрес от мрежа 192.168.88.0/24 без тези , които идват на интерфейс листата "WAN".

Това значи, че до Микротика, ще имат достъп само устройства, които са закачение към него с кабел или wifi, а рутера на ISP няма достъп до Микротика?
Правилно ли го тълкувам ?

 

Като изпълня командата пак имам грешка
 

[admin@MikroTik] > /ip firewall filter add chain=input comment="Access router via internal network" in-interafce-list=!WAN src-address-192.168.88.0/24 action=accept
expected end of command (line 1 column 82

Също като се опитам да го добавя това правило ръчно нямам опцията за !WAN в winbox или в браузър апп-а
 

Редактирано 25 Юли, 2022 от f1fan

[JohnTRIVOLTA]

Първо си създаваш такава листа и добавяш в нея интерфейса от който приемаш нета.

Последното правило за вход /input/ трябва да е забрана/drop/ глобално за всичко или принципа е позволяваш каквото е нужно и накрая дроп за всичко друго!