Mikrotik firewall казус

[geckolina]

Здравейте колеги,

Това са ми правилата на fireawall-a .... сигурно не чак толкова идеални......

Като се опитам да забия правило 11 и 14 (блокиране на вход и изход до бляклист IP адреси), ми спира достъпа до локалните мрежи, с които се свързвам с IPsec

Някакви идеи?.....

[JohnTRIVOLTA]

Преди 7 часа, geckolina написа:

Здравейте колеги,

Това са ми правилата на fireawall-a .... сигурно не чак толкова идеални......

Като се опитам да забия правило 11 и 14 (блокиране на вход и изход до бляклист IP адреси), ми спира достъпа до локалните мрежи, с които се свързвам с IPsec

Някакви идеи?.....

Това вероятно е листа на непублични адреси/мрежи/ и вашата мрежа е част от тях. Може да разрешите вашите мрежи с правило което ще поставите под номер 10 - същото, като правило 5 само че с верига/chain/ forward!

Edited January 31, 2023 by JohnTRIVOLTA

[111111]

Най-просто, опиши интерфейсите или групите интерфейси, към правилата.

[geckolina]

Моля, ако може с пример да ми опишете правилно, къде да отбележа външен и къде вътрешен адрес на отсрещните мрежи.Моля, ако може с пример да ми опишете правилно, къде да отбележа външен и къде вътрешен адрес на отсрещните мрежи.

[JohnTRIVOLTA]

Преди 1 час, geckolina написа:

Моля, ако може с пример да ми опишете правилно, къде да отбележа външен и къде вътрешен адрес на отсрещните мрежи.Моля, ако може с пример да ми опишете правилно, къде да отбележа външен и къде вътрешен адрес на отсрещните мрежи.

Пробвайте първо да добавите правило същото/копирано/ като номер 5, като само сменяте на место input да бъде forward за верига(chain). Накрая привлачвате правилото да е под номер 10 !

[geckolina]

Супер, така тръгна правило 12, което преди беше 11, но правило 15 като го активирам и пак ми спира достъпа до IPsec машините

а според мен е важно и добре да го има

[JohnTRIVOLTA]

преди 41 минути, geckolina написа:

Супер, така тръгна правило 12, което преди беше 11, но правило 15 като го активирам и пак ми спира достъпа до IPsec машините

а според мен е важно и добре да го има

Не е нужно при вас това правило понеже 13то правило върши достатъчно работа за защита от публична страна!

[geckolina]

Много ви благодаря.

[111111]

Разгледай правилата на защитната стена по подразбиране.

system/ default-configuration/print

 

[geckolina]

Пичове помагайте, получават ми се моменти в забавяне на интернат скоростта, на виваком съм и при нормални условия speedtesta показва 

В определени моменти обаче връзката ми пада до 69/60mbps. От Виваком ми заявяват, че при тях няма проблем. Как мога на микротика да засека тези спадове, и къде по инфраструктурата да търся проблема. Никъде по микротика нямам рестрикции по скорост. След него имам 2бр  1gbit суича  zyxel. В момента на спада, спеедтеста го пуснах на две различни машини, вързани всеки към отделен суич. Нищо по суичовете няма различно от стандартните им настройки. Не съм рестартирал само медиата с оптиката.

[JohnTRIVOLTA]

Кой модел ви е рутера?

[111111]

Преди 23 часа, geckolina написа:

От Виваком ми заявяват, че при тях няма проблем. 

При тях никога няма проблем, защото не знаят как да си ползват техниката и какво им казва тя.

Но в крайна сметка винаги е при тях проблема.

ползвай traceroute и гледай как техниката им лагва, а те понятие си нямат.

[geckolina]

MikroTik RB2011UiAS-RM

[JohnTRIVOLTA]

преди 31 минути, geckolina написа:

MikroTik RB2011UiAS-RM

Рутерчето е сравнително старо със стара архиктектура - mipsbe и има верочтност да не смогва. Като тествате вижте в ресурси колко се товари! Макар да имате правило за фасттрак във филтъра всяко едно друго правило влияе на производителността. Не на последно място, ако не сте ъпдейтнете ROS с последна стейбъл версия и след това и Fimware-а му.

[geckolina]

За този модел MikroTik RB4011iGS+RM какво ви е мнението? 

[JohnTRIVOLTA]

Преди 1 час, geckolina написа:

За този модел MikroTik RB4011iGS+RM какво ви е мнението? 

Хубав е, мощен е, но няма USB да го имате в предвид спрямо вашия сегашния рутер!