Не мога да подкарам hEX S

[Huku_911]

Привет хора, реших да ъпгрейда домашната мрежа с един hEX S и срещам трудности да го подкарам. Клонирах мак-а от старият рутер, като виждам че си взима ip от мрежата на доставчика, но реално нямам достъп до интернет, нямам пинг извън локалната мрежа. Експортнах настройките и съм заличил серийният номер и мак адреса. Някой може ли да предложи някакво решение с което да подкарам рутера. 

Поздрави

# jan/02/1970 00:46:34 by RouterOS 6.41.3
# software id = 59SA-20HS
#
# model = RB760iGS
# serial number = ***********
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] mac-address=**:**:**:**:**:**
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=sfp1
/interface detect-internet
set detect-interface-list=all internet-interface-list=WAN lan-interface-list=\
    LAN wan-interface-list=WAN
/interface list member
add interface=ether1 list=WAN
add list=LAN
add interface=bridge1 list=LAN
/ip address
add address=192.168.88.1/24 interface=ether2 network=192.168.88.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes cache-max-ttl=15m max-udp-packet-size=768 \
    servers=8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/system ntp client
set enabled=yes primary-ntp=195.238.84.23 secondary-ntp=212.233.131.131

 

[gbdesign]

Гетъуея отговаря ли на пинг от рутера?

Редактирано 25 Август, 2018 от gbdesign

[111111]

Какви параметри за ип получават клиентите?

ipconfig /all

ifconfig

особено днс

липсва описание от рода на 

/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=192.168.88.1 gateway=192.168.88.1

 

[Huku_911]

На 25.08.2018 г. at 22:08, gbdesign написа:

Гетъуея отговаря ли на пинг от рутера?

Да има нормален пинг към гетъуея от доставчика.

 

C:\Users\RS>ipconfig /all

Windows IP Configuration

   Host Name . . . . . . . . . . . . : RS-laptop
   Primary Dns Suffix  . . . . . . . :
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : europe.intranet


Wireless LAN adapter Wireless Network Connection:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Broadcom 802.11n Network Adapter
   Physical Address. . . . . . . . . : 00-26-82-C3-5F-50
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Realtek PCIe FE Family Controller
   Physical Address. . . . . . . . . : 88-AE-1D-C7-79-CF
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::959d:e5b5:5f3e:d3d3%12(Preferred)
   IPv4 Address. . . . . . . . . . . : 192.168.88.254(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : 26 ?????? 2018 ?. 13:21:41 ?.
   Lease Expires . . . . . . . . . . : 26 ?????? 2018 ?. 13:36:40 ?.
   Default Gateway . . . . . . . . . : 192.168.88.1
   DHCP Server . . . . . . . . . . . : 192.168.88.1
   DHCPv6 IAID . . . . . . . . . . . : 260615709
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-1C-2B-02-AB-88-AE-1D-C7-79-CF

   DNS Servers . . . . . . . . . . . : 192.168.88.1
                                       8.8.8.8
                                       8.8.4.4
   NetBIOS over Tcpip. . . . . . . . : Enabled

Когато изпълня добавянето на dns, gateway-а ми дава, че вече съществува такава мрежа

such network already exists

 

[gbdesign]

/ip address
add address=192.168.88.1/24 interface=ether2 network=192.168.88.0

Това го промени така:

/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0

 

 

[Huku_911]

Пробвах го и пак същият резултат, като си помислих че може би от mac-ка на бриджа може да бъде. Смених го да съвпада с този които е регистриран при доставчика, но няма положителен резултат.

[111111]

Преди 10 часа, Huku_911 написа:

Пробвах го и пак същият резултат, като си помислих че може би от mac-ка на бриджа може да бъде.

Смених го да съвпада с този които е регистриран при доставчика, но няма положителен резултат.

искам да чуя логиката на това ти действие... мак адреса вътре и вън един и същи

Направи ли редакция на правилата както беше посъветвано в горните постове?

[Huku_911]

На 27.08.2018 г. at 0:36, 111111 написа:

искам да чуя логиката на това ти действие... мак адреса вътре и вън един и същи

Направи ли редакция на правилата както беше посъветвано в горните постове?

Логиката на проба грешка  , върнах дефолтният мак на ether1 , както и изпълних всико по-горе. Отново имам пинг до гейта на доставчика но не и извън него.

# jan/02/1970 00:26:22 by RouterOS 6.41.3
# software id = 59SA-20HS
#
# model = RB760iGS
# serial number = ************
/interface bridge
add admin-mac=**:**:**:**:**:** auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
    192.168.88.0
add address=192.168.88.1/24 interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

 

[111111]

И какво казва доставчика?

Ако в браузера отвориш геита на доставчика какво става?

[JohnTRIVOLTA]

Промени нещата по този начин и кажи дали се получават нещата:

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,4.2.2.1,208.67.222.222,80.80.80.80,37.235.1.174,64.6.64.6

/ip dhcp-server network add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1

[Huku_911]

На 31.08.2018 г. at 9:32, 111111 написа:

И какво казва доставчика?

Ако в браузера отвориш геита на доставчика какво става?

Отказва да се свърже когато лоудна гейта през браузър, рефюз ту конект... иначе има пинг, пуснах и един трейс рут минава през рутера стига от гейта на достачика и от там нататък няма изход.

Преди 17 часа, JohnTRIVOLTA написа:

Промени нещата по този начин и кажи дали се получават нещата:

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,4.2.2.1,208.67.222.222,80.80.80.80,37.235.1.174,64.6.64.6

/ip dhcp-server network add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1

Първата команда мина без проблем и ги адднах, като до сега бяха сетнати само гугълските, а втората команда съм я изпълнил преди и ми дава, че има такава мрежа вече.

Ползвам един netgear към момента и си има нормален достъп през същият мак.

 

[JohnTRIVOLTA]

преди 38 минути, Huku_911 написа:

Първата команда мина без проблем и ги адднах, като до сега бяха сетнати само гугълските, а втората команда съм я изпълнил преди и ми дава, че има такава мрежа вече.

Ползвам един netgear към момента и си има нормален достъп през същият мак.

/ip dhcp-server network set dns-server=192.168.88.1 numbers=0

с add се добавя, а със set се променя вече съществуващ запис

Смени ли си мак адреса на ether1 през CLI ? : 

/interface ethernet set mac-address=XX:XX:XX:XX:XX:XX number=ether1

Редактирано 1 Септември, 2018 от JohnTRIVOLTA

[Huku_911]

Смених мак-адреса на ether1 още в началото и няма резултат, по долу е конфига

 

[admin@RB760iGS] > /export
# jan/03/1970 15:19:38 by RouterOS 6.41.3
# software id = 59SA-20HS
#
# model = RB760iGS
# serial number = *****
/interface bridge
add admin-mac=B8:69:F4:01:6A:DB auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=мак на регистриран при доставчика
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
add address=192.168.88.1/24 interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,4.2.2.1,208.67.222.222,80.80.80.80,37.235.1.174,64.6.64.6
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/system identity
set name=RB760iGS
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@RB760iGS] > 

 

Както винаги зад компютърното устройство е виновно, преписъл съм мак-а не на WAN , а на LAN портта, фикснах го и всичко заспа.

Гайс , Благодаря ви за помощта!

Редактирано 1 Септември, 2018 от Huku_911

[JohnTRIVOLTA]

Дай да видим:

 /ip address print  

[111111]

при пинг на гейта на доставчика каква е стойността на TTL

[Huku_911]

На 1.09.2018 г. at 12:45, JohnTRIVOLTA написа:

Дай да видим:

 /ip address print  

 

[admin@MikroTik] > /ip address prin
Flags: X - disabled, I - invalid, D
 #   ADDRESS            NETWORK    
 0   192.168.88.1/24    192.168.88.
 1 D ip което доставчика ми дава/25   мрежата на доставчика.0
[admin@MikroTik] > 

 

На 2.09.2018 г. at 12:38, 111111 написа:

при пинг на гейта на доставчика каква е стойността на TTL

TTL=64

Бях малко отпуска и позабавих отговора. 

Интересното е , че веднага след като го вдигнах започнаха яко атаки за брут форс за админ акаунта, но бях сменил паролата и ъпдетнах веднага до последната версия 6.42.7.  

Поразрових и добавих няколко правала, с които успях да прекратя тези атаки, както и спрях всички ненужни услуги

/ip firewall filter
add action=add-src-to-address-list address-list=typing_to_login \
    address-list-timeout=1d chain=input comment=remote_logins dst-port=20-23 \
    protocol=tcp
add action=drop chain=input comment="ssh samo ot vatreshnata mrega" dst-port=\
    20-23 protocol=tcp src-address-list=Telnet-&-SSH
add action=log chain=input dst-port=20-23 log-prefix=SSH protocol=tcp
add action=add-src-to-address-list address-list=Telnet-&-SSH \
    address-list-timeout=4d chain=input dst-port=20-23 protocol=tcp \
    src-address-list=!my-net-Access
add action=accept chain=input dst-port=20-23 protocol=tcp src-address-list=\
    my-net-Access
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
    protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN

Нещо друго може ли да добавя като правала към firewall-a.

 

Поздрави и благодаря за помощта!