Bridge и Britge TV port knocking

[Go1924]

Здравейте,

 

Опитвам се да направя port-knoking, но съм с два бриджа и нещата не се получават напълно. Два бриджа са за да мога да ползвам и телевизия през рутера.

Може ли някой да даде насока, не съм мрежар, нито разбирам от микротик?

От вътрешната мрежа нещата работят тоно както трябва и с две почуквания на третото отварям сесия. От външната мрежа виждам заявките към първия порт, виждам и заявките през втория порт, виждам че имам accept за започване на сесия, но такава няма. Като за начало пробвам да  достъпя микротика през Winbox.

Имам предположение че заявките отиват към частта с телевизорите защото входут eth1  е към Bridge TV, но не знам как да ги насоча към Bridge net.

Порт форладрд работеше, но не и след като дадох правило за port knoking. Тоест предполага се ползвам правилния бридж за изход на вън.

Действай съм според инструкцията  (https://hardwarebg.com/forum/newreply.php?do=newreply&p=4539057). Копирам описанието по което съм действал:

1. За предпочитане да се ресетне с дефаулт конфигурация.

2. Отивате на Interfaces и избирате порт 5 (примерно или някой друг, на който ще има STB-та). След двоен клик на съответния порт от подменю General можете да преименувате порта, и долу на master port задавате none.

3. Отивате на bridge и в подменю bridge добавяте бридж с име да речем bridge-viva и сетвате admin mac adress -> някакъв там, примерно аз сетнах същия като мака на бридж1, но с променени последни 2 бройки символи. След това в подменю ports добавяте нов bridge port и в полето interface -> ether5 (или там на каквото сте го преименували; Bridge -> bridge TV (или каквото сте писали за 2-ри бридж); Давате ОК; След това повтаряте операцията, само че с Ether1-gateway порта. По същия начин добавяте колкото порта желаете да присъстват в новосъздадения бридж.

4. В меню IP -> Firewall -> Nat променяте out interface от ether1 на bridge-viva за да тръгне и интернета.

5. За финал отивате в IP -> DHCP Client и променяте интерфейса на записа към bridge TV.

[JohnTRIVOLTA]

По-добре постнете тук правилата от стената да видим какво сте сътворили и евентуално, ако е нужно да се коригира!

[111111]

И винаги се описват интерфейси в правилата.

[Go1924]

8 hours ago, Go1924 said:

Здравейте,

 

Опитвам се да направя port-knoking, но съм с два бриджа и нещата не се получават напълно. Два бриджа са за да мога да ползвам и телевизия през рутера.

Може ли някой да даде насока, не съм мрежар, нито разбирам от микротик?

От вътрешната мрежа нещата работят тоно както трябва и с две почуквания на третото отварям сесия. От външната мрежа виждам заявките към първия порт, виждам и заявките през втория порт, виждам че имам accept за започване на сесия, но такава няма. Като за начало пробвам да  достъпя микротика през Winbox.

Имам предположение че заявките отиват към частта с телевизорите защото входут eth1  е към Bridge TV, но не знам как да ги насоча към Bridge net.

Порт форладрд работеше, но не и след като дадох правило за port knoking. Тоест предполага се ползвам правилния бридж за изход на вън.

Действай съм според инструкцията  (https://hardwarebg.com/forum/newreply.php?do=newreply&p=4539057). Копирам описанието по което съм действал:

1. За предпочитане да се ресетне с дефаулт конфигурация.

2. Отивате на Interfaces и избирате порт 5 (примерно или някой друг, на който ще има STB-та). След двоен клик на съответния порт от подменю General можете да преименувате порта, и долу на master port задавате none.

3. Отивате на bridge и в подменю bridge добавяте бридж с име да речем bridge-viva и сетвате admin mac adress -> някакъв там, примерно аз сетнах същия като мака на бридж1, но с променени последни 2 бройки символи. След това в подменю ports добавяте нов bridge port и в полето interface -> ether5 (или там на каквото сте го преименували; Bridge -> bridge TV (или каквото сте писали за 2-ри бридж); Давате ОК; След това повтаряте операцията, само че с Ether1-gateway порта. По същия начин добавяте колкото порта желаете да присъстват в новосъздадения бридж.

4. В меню IP -> Firewall -> Nat променяте out interface от ether1 на bridge-viva за да тръгне и интернета.

5. За финал отивате в IP -> DHCP Client и променяте интерфейса на записа към bridge TV.

Има ли начин за join на двата bridge. предполагам че това ще свърши работа. Не знам дали може да се прави рутиране между два бриджа в един рутер.

[JohnTRIVOLTA]

Преди 1 час, Go1924 написа:

Има ли начин за join на двата bridge. предполагам че това ще свърши работа. Не знам дали може да се прави рутиране между два бриджа в един рутер.

По подрзбиране всеки интерфейс със задеден IP адрес било физически или логически /вкл. бридж/ се рутират вазимно. От там нататък допълнителните правила влияят за различен начин на преминаване на трафика между мрежите.

P.S. За какво ви е нужен порт нокинг?

Редактирано 4 Януари, 2023 от JohnTRIVOLTA

[Go1924]

Това е конфигурацията

 

# model = RouterBOARD 962UiGS-5HacT2HnT
/interface bridge
add admin-mac=64:D1:54:B5:1B:A1 auto-mac=no comment=defconf name=bridge
add admin-mac=64:D1:54:B5:1B:B1 auto-mac=no igmp-snooping=yes multicast-querier=yes name="bridge TV"
/interface ethernet
set [ find default-name=ether4 ] name="ether4 TV"
set [ find default-name=ether5 ] name="ether5 TV"
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-B51BA7 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-B51BA6 wireless-protocol=\
    802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=XXXXXXX wpa2-pre-shared-key=XXXXXXXXXX
/ip kid-control
add mon=7h-22h name="Restriction for Kali" sun=6h-22h thu=7h-22h tue=7h-22h wed=7h-22h
add mon=7h-22h name=Galaxi sun=6h-22h thu=7h-22h tue=7h-22h wed=7h-22h
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
set *FFFFFFFE dns-server=192.168.88.1 local-address=192.168.89.1 remote-address=vpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge="bridge TV" comment=defconf interface="ether4 TV"
add bridge="bridge TV" comment=defconf interface="ether5 TV"
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge="bridge TV" interface=ether1
/interface bridge port-controller
# no hw support
set bridge="bridge TV" cascade-ports=ether1 switch=switch1
/interface bridge port-extender
# no hw support
set control-ports=ether1 excluded-ports=ether2 switch=switch1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes ipsec-secret=XXXXXXXXXX use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface="ether4 TV" list=LAN
add interface="ether5 TV" list=LAN
add interface=sfp1 list=LAN
add interface=wlan2 list=LAN
add interface=wlan1 list=LAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=10m59s
/ip cloud advanced
set use-local-address=yes
/ip dhcp-client
add comment=defconf disabled=no interface="bridge TV"
/ip dhcp-server lease
add address=192.168.88.232 client-id=1:96:9:ff:22:d0:58 comment=Mi mac-address=96:09:FF:22:D0:58 server=defconf
add address=192.168.88.252 client-id=1:f8:16:54:22:5c:bd mac-address=F8:16:54:22:5C:BD server=defconf
add address=192.168.88.239 client-id=1:d8:fc:93:e5:e6:6a comment="An" mac-address=D8:FC:93:E5:E6:6A server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=add-src-to-address-list address-list=knok address-list-timeout=20s chain=input dst-port=333protocol=tcp
add action=add-src-to-address-list address-list=safe address-list-timeout=15m chain=input dst-port=444 protocol=tcp src-address-list=knok
add action=accept chain=input protocol=tcp src-address-list=safe
add action=drop chain=input protocol=tcp
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
/ip firewall mangle
add action=accept chain=input disabled=yes log=yes log-prefix=TKSJA
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
add action=dst-nat chain=dstnat comment="za testove" dst-port=5000 in-interface=bridge protocol=tcp to-addresses=192.168.88.50 to-ports=5000
add action=dst-nat chain=dstnat dst-port=335 in-interface=bridge protocol=tcp to-addresses=192.168.88.203 to-ports=335
/ip kid-control device
add mac-address=DF:FC:93:E5:E6:6A name="Laptop V" user="Restriction for Kali"
add mac-address=3A:F7:A4:A0:29:2D name=Galaxi user=Galaxi
/ppp secret
add name=vpn password=XXXXXXXXXXX
/system clock
set time-zone-name=Europe/Sofia
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

 

[JohnTRIVOLTA]

Махаш бридж ТВ и събери етернет портовете от 2 до 5 в единия бридж и му пусни IGMP Snooping на него.

/interface bridge add igmp-snooping=yes multicast-querier=yes name=bridge

Сетни си  IGMP Proxy:

/routing/igmp-proxy/interfacе

add upstream=yes interface=ether1

add interface=bridge

Мембъри на листите да останат само

/interface list member

add iterface=bridge list=LAN

add interface=ether1 list=WAN

Тук всичко да стане NONE:

/interface bridge port-controller

# no hw support

set bridge="bridge TV" cascade-ports=ether1 switch=switch1

/interface bridge port-extender

# no hw support

set control-ports=ether1 excluded-ports=ether2 switch=switch1

Променяш DHCP Client да ти е ether1, а не бриджа, който ще е премахнат вече /бридж ТВ/.

SFP порта може да го дизейбнеш, ако не го ползваш.

Този нат не е нужен в случая понеже пред него имаш глобално правило - add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24

Преди да започнеш каквито и да били промени е силно препоръчително да си правиш бекъпи, който също да го имаш свалени и на PC за да може да връщаш в различми позиции рутера, ако нещо се обърка или не сработва и т.н.

[111111]

Снупинга и да заработи приемника може и да не зареди.

Не е ясно кой е доставчикът.