Dotazy - Mikrotik + Ubi - Firewall, hostovska siet, VLAN

[googler1]

Zdravim som relativne novy uzivatel Mikrotiku a mam par nejasnosti a dotazov aj ked s niecim mi uz pomohli na inych forach tak este si nieco potrebujem ujasnit.
Moja siet vyzera momentalne takto:

VDSL modem v rezime bridge zapojeny do routeru Mikrotik RB3011UIAS v porte ETH1. Samotny internet sa vytaca na Mikrotiku cez vytvoreneho PPPoE klienta (premenovany na WAN)

Manazovatelny switch TPlink zapojeny do routeru ETH2. v routery mam nastaveny jeden bridge v ktorom su prebridgovane porty ETH2 - ETH5 (premenovany na LAN) zatial ale vyuzivam z bridgeu len ETH2 v ktorom je TPlink switch. V bridgei je povoleny HW offload.

V TPlink switchi su zapojene vsetky ethernet koncove zariadenia spolu s 1x AP Ubiquiti nanoHD + 1x AP Ubiquiti Mesh (vonkajsi) + dalsi TPlink switch ktory je na druhom poschodi a su v nom zapojene koncove zariadenia (dva servery) z druheho poschodia. Ten switch na druhom poschodi je ale nemanazovatelny

Prva vec ktorej asi uplne nerozumiem je firewall - Pravidla mam nastavene takto (pri dropovovacich pravidlach je zapnute logovanie):

Kód: Vybrat vše

/ip firewall filter> print             Flags: X - disabled, I - invalid, D - dynamic 0    ;;; Accept established and related packets      chain=input action=accept connection-state=established,related log=no log-prefix=""

1    ;;; Accept all connections from local network      chain=input action=accept in-interface=LAN log=no log-prefix=""

2    ;;; Accept established and related packets      chain=forward action=accept connection-state=established,related log=no log-prefix=""

3    ;;; Drop invalid packets      chain=input action=drop connection-state=invalid log=yes log-prefix="invalid-input"

4    ;;; Drop all packets which are not destined to routes IP address      chain=input action=drop dst-address-type=!local log=yes log-prefix="input-not-destinated-for-route-ip"

5    ;;; Drop all packets which does not have unicast source IP address      chain=input action=drop src-address-type=!unicast log=yes log-prefix="input-no-unicast-ip"

6    ;;; Drop all packets from public internet which should not exist in public network      chain=input action=drop src-address-list=NotPublic in-interface=WAN log=yes log-prefix="input-from-wan-but-should-no-exist"

7    ;;; drop DNS      chain=input action=drop protocol=udp in-interface=WAN dst-port=53 log=yes log-prefix="drop-dns"

8    ;;; drop DNS      chain=input action=drop protocol=tcp in-interface=WAN dst-port=53 log=yes log-prefix="drop-dns"

9    ;;; Drop invalid packets      chain=forward action=drop connection-state=invalid log=yes log-prefix="forward-invalid"

10    ;;; Drop new connections from internet which are not dst-natted      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=WAN log=yes log-prefix="forward-new-wan-but-not-dst-nat"

11    ;;; Drop all packets from public internet which should not exist in public network      chain=forward action=drop src-address-list=NotPublic in-interface=WAN log=yes log-prefix="forward-wan-but-should-not-exist-in-public-net"

12    ;;; Drop all packets from local network to internet which should not exist in public network      chain=forward action=drop dst-address-list=NotPublic in-interface=LAN log=yes log-prefix="forward-LAN--but-should-not-exist-in-public-net"

13    ;;; Drop all packets in local network which does not have local network address      chain=forward action=drop src-address=!lan.adresa.siete.0/24 in-interface=LAN log=yes log-prefix="forward-LAN-but-no-lan-ip"

14    ;;; Drop new connections from internet which are not dst-natted      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=WAN log=yes log-prefix="forward-new-from-WAN-but-not-dst-nated"

Kód: Vybrat vše

ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0    chain=srcnat action=masquerade src-address=lan.adresa.siete.0/24 out-interface=WAN log=no log-prefix=""

1    chain=dstnat action=dst-nat to-addresses=lan.ip.adresa.servera to-ports=443 protocol=tcp dst-address=wan.ip.adresa.routera in-interface=WAN dst-port=443 log=no log-prefix=""

Vsetky pravidla by mali zodpovedat zakladnym pravidlam ktore doporucuje Mikrotik na Wiki webe okrem pravidla tykajuceho sa DNS ktore som pridal sam pretoze router pouzivam na ucely DNS. Tiez som pridal natovany port 443.

Log pri tychto pravidlach vyzera takto:

Kód: Vybrat vše

18:06:09 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 92.118.37.70:50792->wan.ip.adresa.routera:3415, len 40
18:06:11 firewall,info forward-invalid forward: in:LAN out:WAN, src-mac XXXXX, proto TCP (RST), lan.ip.adresa.zariadenia:51742->17.142.171.9:443, len 40
18:07:41 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 185.176.27.18:55490->wan.ip.adresa.routera:7001, len 40
18:07:44 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 5.188.86.114:53104->wan.ip.adresa.routera:33852, len 40
18:07:52 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 198.108.66.80:18098->wan.ip.adresa.routera:443, len 40
18:07:52 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 198.108.66.80:18098->wan.ip.adresa.routera:443, len 40
18:08:38 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 89.248.160.193:42224->wan.ip.adresa.routera:7598, len 40
18:09:44 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 5.188.86.114:53104->wan.ip.adresa.routera:3254, len 40
18:10:44 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 92.119.160.125:45001->wan.ip.adresa.routera:10249, len 40
18:10:52 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 185.175.93.45:53727->wan.ip.adresa.routera:3386, len 40
18:11:09 firewall,info forward-invalid forward: in:LAN out:WAN, src-mac XXXXX, proto TCP (RST), [b]lan.ip.adresa.zariadenia[/b]:51744->17.252.91.246:443, len 40
18:11:09 firewall,info forward-invalid forward: in:LAN out:WAN, src-mac XXXXX, proto TCP (RST), [b]lan.ip.adresa.zariadenia[/b]:51744->17.252.91.246:443, len 40
18:11:34 firewall,info forward-invalid forward: in:LAN out:WAN, src-mac XXXXX, proto TCP (RST), [b]lan.ip.adresa.zariadenia[/b]:51743->17.167.194.230:443, len 40
18:11:36 firewall,info forward-invalid forward: in:LAN out:WAN, src-mac XXXXX, proto TCP (RST), [b]lan.ip.adresa.zariadenia[/b]:51745->17.134.127.250:443, len 40
18:13:02 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 185.176.27.166:55523->wan.ip.adresa.routera:58700, len 40
18:13:39 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 185.222.211.114:55704->wan.ip.adresa.routera:3313, len 40
18:13:40 firewall,info invalid-input input: in:WAN out:(unknown 0), src-mac XXXXX, proto TCP (RST), 34.241.240.50:443->wan.ip.adresa.routera:51490, len 40

Log je z dnesneho dna. Podobne zaznamy sa opakuju v logu dlhodobo a ako vidite tak velmi casto a mozno sa mylim ale myslim si ze ak nejaka siet nastavena spravne tak pouzitie drop pravidla by mala byt anomalia ktora si vyzaduje pozornost hlavne preto ze su pouzite len pravidla doporucene samotnym mikrotikom a myslim si ze by mali zodpovedat standardnej prevadzke. Takze moja otazka teda znie: Je moj predpoklad spravny a mam nieco zle nastavene alebo je taketo dropovanie v praxi bezne a netreba sa tym zaoberat?
Dalsia otazka ktora sa tyka logu/firewallu je ze posledne dva zaznamy (ale aj dalsie) v logu sa tykaju mac adresy ktora sa uz niekolko dni nevyskytuje v mojej sieti (to zariadenie realne nie je na blizku). To znamena ze logicky toto zariadenie nemohlo poslat ziadny request do internetu ale ako je potom mozne ze nejaky server (konkretne censys.io) sa snazi spatne komunikovat s tymto zariadenim resp. s routerom ked to zariadenie je uz niekolko dni mimo siete?

Dalsia vec na ktoru sa chcem spytat sa tyka vytvorenia hostovskej siete pre wifi AP Ubi ktora bude izolovana od LAN. Cital som ze na tento a podobne ucely sa pouzivaju prave VLANy ale chce, sa spytat preco nie je lepsie na tento ucel vytvorit v mikrotiku dalsiu adresu resp. siet v casti /ip/addresses? Ak je to uplna blbost a nema to ziadne vyhody alebo by to ani nefungovalo napiste mi preco.
Keby som to teda riesil cez VLANy potreboval by som aby siet fungovala takto:

1. Normalna interna LAN v ktorej sa uvidia vsetky zariadenia (vratane servera)
2. Izolovana hostovska Wifi siet ktora vobec neuvidi zariadenia v LAN sieti pripadne hostia v tejto sieti uvidia len vybrane zariadenia z LAN siete ktore budem chciet zdielat (napr. tlaciaren).
3. Planujem na Mikrotiku spravit VPN tunel pre zabezpecene pripojenie z internetu do servera takze zrejme budem potrebovat tretiu VLANu pre VPN klientov tak aby po pripojeni do LAN nevideli vsetky zariadenia v sieti ale iba vybrany server

Da sa to spravit? Ako najlepsie a najbezpecnejsie? "topologiu" siete na zaciatku prispevku som napisal preto aby ste mi mohli poradit ak je niekde chyba alebo sa da nieco vylepsit (napr. asi je lepsie pouzit v sieti jeden switch ale ak su dva znamena to automaticky problem/spomalenie apod.?) Ak nie su dva switche problem ale zalezi na ich parametroch napiste mi to.
Diky za rady.

[TTcko]

hochu to je takovej román, že pochybuju že to vůbec někdo bude číst

[iTomB]

hochu to je takovej román, že pochybuju že to vůbec někdo bude číst

A kdyby to nahodou nekdo precetl, tak na konci zjisti, ze odpovedi jsou na foru jiz napsane
Staci jen umet cist a nebyt linej

[TTcko]

hochu to je takovej román, že pochybuju že to vůbec někdo bude číst

A kdyby to nahodou nekdo precetl, tak na konci zjisti, ze odpovedi jsou na foru jiz napsane
Staci jen umet cist a nebyt linej

já sem to nečetl bych to nedal ..

[sacnok]

hochu to je takovej román, že pochybuju že to vůbec někdo bude číst

A kdyby to nahodou nekdo precetl, tak na konci zjisti, ze odpovedi jsou na foru jiz napsane
Staci jen umet cist a nebyt linej

já sem to nečetl bych to nedal ..

Já se hecnul, otevřel jsem si pivo a přečetl jsem to až do konce, akorát teď už nemám to pivo...

[basty]

Taky vůbec tohle nemůžu číst. Sry

[sub_zero]

uff.. pivo a dávám kačenu do trouby

Nicmene:

Log je z dnesneho dna. Podobne zaznamy sa opakuju v logu dlhodobo a ako vidite tak velmi casto a mozno sa mylim ale myslim si ze ak nejaka siet nastavena spravne tak pouzitie drop pravidla by mala byt anomalia ktora si vyzaduje pozornost hlavne preto ze su pouzite len pravidla doporucene samotnym mikrotikom a myslim si ze by mali zodpovedat standardnej prevadzke. Takze moja otazka teda znie: Je moj predpoklad spravny a mam nieco zle nastavene alebo je taketo dropovanie v praxi bezne a netreba sa tym zaoberat?

-ne, nemas neco zle nastavene. V logu je 95% invalid packetu-neresit, vypnout logovani. Resit az Ti neco nepojede

Dalsia otazka ktora sa tyka logu/firewallu je ze posledne dva zaznamy (ale aj dalsie) v logu sa tykaju mac adresy ktora sa uz niekolko dni nevyskytuje v mojej sieti (to zariadenie realne nie je na blizku). To znamena ze logicky toto zariadenie nemohlo poslat ziadny request do internetu ale ako je potom mozne ze nejaky server (konkretne censys.io) sa snazi spatne komunikovat s tymto zariadenim resp. s routerom ked to zariadenie je uz niekolko dni mimo siete?

-a napadlo Te, ze to zarizeni treba s tim serverm nekdy v minulosti komunikovalo a ten srv se snazi komunikovat zpet? Nebo zustava otevreny TCP spojeni v tabulce? Neresit, vypnout logovani. Resit az Ti neco nepojede

Dalsia vec na ktoru sa chcem spytat sa tyka vytvorenia hostovskej siete pre wifi AP Ubi ktora bude izolovana od LAN. Cital som ze na tento a podobne ucely sa pouzivaju prave VLANy ale chce, sa spytat preco nie je lepsie na tento ucel vytvorit v mikrotiku dalsiu adresu resp. siet v casti /ip/addresses? Ak je to uplna blbost a nema to ziadne vyhody alebo by to ani nefungovalo napiste mi preco.
Keby som to teda riesil cez VLANy potreboval by som aby siet fungovala takto:

1. Normalna interna LAN v ktorej sa uvidia vsetky zariadenia (vratane servera)
2. Izolovana hostovska Wifi siet ktora vobec neuvidi zariadenia v LAN sieti pripadne hostia v tejto sieti uvidia len vybrane zariadenia z LAN siete ktore budem chciet zdielat (napr. tlaciaren).
3. Planujem na Mikrotiku spravit VPN tunel pre zabezpecene pripojenie z internetu do servera takze zrejme budem potrebovat tretiu VLANu pre VPN klientov tak aby po pripojeni do LAN nevideli vsetky zariadenia v sieti ale iba vybrany server

-ano, VLAN je odpoved. Pod bridgem vytvor VLANu, dej ji IP adresu, nastav DHCP, udelej NAT toho subnetu do WANu (teda v Tvym pripade do PPPoE), vytvor tu VLANu na vsech mngmt switchich (v modu TAG/TRUNK/HYBRID, nevim co tam mas za krabice), v UniFi CTRL uprav to SSID pro hosty, zapni VLAN-ID a tam napis stejny cislo VLANy jako si naspal na MK a SW. Paklize budes chtit prostup do LAN, udelas to pravidly ve firewallu (Forward).
Na VPN nepotrebujes VLANu. Nastav PPTP/LPTP/OVPN, prirad tem klientum jiny rozsah a opet ve Forwardu pravidly povol kdo kam muze.

.. tak a jdu vytáhnout tu kačenu z trouby..

[googler1]

Diky za odpoved

Vypnut logovanie samozrejme mozem ale skor som mal dojem ze takyto casty vyskyt invalid packetov asi neni zrovna bezny a asi to treba nejako riesit.
Tu mac adresu ktora uz neni v sieti som pre istotu vymazal z mac filtra
Skusim to teda cez tie VLANy. To filtrovamie pristupu na konkretme zariadenia cez FW napadlo aj mna ale v takom pripade budu tie ine zariadenia v sieti vzdy viditelne pre vsetkych akurat FW pri pokuse o pripojenie zablokuje/povoli pristup do vybraneho zariadenia a ja som to planoval tak ze tie zariadenia v sieti budu viditelne iba pre niekoho.

[sacnok]

To filtrovamie pristupu na konkretme zariadenia cez FW napadlo aj mna ale v takom pripade budu tie ine zariadenia v sieti vzdy viditelne pre vsetkych akurat FW pri pokuse o pripojenie zablokuje/povoli pristup do vybraneho zariadenia a ja som to planoval tak ze tie zariadenia v sieti budu viditelne iba pre niekoho.

Tak dej ty zařízení, co chceš ať jsou vidět do jiného IP rozsahu a VPN povol jenom přístup do toho rozsahu.

[googler1]

"iny ip rozsah" tym myslis iny dhcp ppol?
Ak to dobre chapem a spravil by som to tak ze VPN klientov a urcite tariadenia dam do ineho IP poolu ako je zbytok privatnej LAN tak potom zase tie urcite zariadenia neuvidim z privatnej LAN lebo koncove zariadenie asi nemoze fungovat na dvoch IP rozsahoch.

Moja predstava (neviem ci je to mozne) bola taka ze:
- V privatnej LAN sa uvidia uplne vsetky zariadenia
- v hostovskej budu viditelne len niektore vybrane zariadenia (koncove zariadenia uvidia napr. len tlaciaren)
- VPN klienti uvidia zase len ine vybrane zariadenia (VPN klienti uvidia napr len jeden server ale druhy nie)

[sacnok]

Jiný IP rozsah - LAN port, nebo bridge může mít více IP rozsahů, třeba 172.31.123.0/24 a 172.31.255.0/24

Počítače, a to co nechceš aby bylo přes VPN, nebo z Free WIFI sítě vidět, dáš třeba to prvního IP rozsahu. Tiskárny, kamery dáš do druhého.

Pokud ve FW neomezíš, aby mezi sebou oba rozsahy komunikovaly, tak se normálně dostaneš z jednoho rozsahu do druhého, tzn. počítače se na tiskárny a kamery dostanou.

A následně ve FW, omezíš aby IP rozsahu Free WIFI nedalo dostat na první rozsah. No a to samé uděláš pro připojení přes VPN.

[googler1]

Oproti tomu co som pisal v prvom prispevku som z MK vymazal bridge (pretoze nemam vlastne co bridgeovat - ako som pisal predtym, vsetko mam zapojene priamo vo switchi) a port ETH2 som premenoval na LAN.
Vlany na tplinku a MK som nastavil a zatial je vysledok taky ze na kabloch mi net ide ale na UBNT APckach nie. Neviem preco - pripojim sa aj na guest aj na privat ale net nejde + na wifi klientoch mi neprideli ip podla dhcp poolu v MK ale nejaku "nahodnu ip. Navyse wifi klienti maju inu masku (mali by mat 255.255.255.0 ale maju 255.255.0.0) takze ani nemam ako otestovat ci vlany splnia ucel oddelenej siete
NA MK som postupoval podla tohto videa: https://www.youtube.com/watch?v=T0y1F3JmSZc
s tym rozdielom ze ako adresy pre vlany som pouzil 192.x.x.x namiesto 10.x.x.x a WAN ip som nevytvaral lebo uz bola vytvorena automaticky (v MK sa zobrazuje okrem adries vlan aj verejna ip od isp) + som vytvoril pre obidve vlany dhcp server a pool cez dhcp setup v MK + do FW som doplnil forward pravidla na zakaz pristupu z guest do privatu

V pripade tplinku som postupoval podla tohto videa https://www.youtube.com/watch?v=T0y1F3JmSZc
V privatnej vlan su takovane len porty routera a APciek ostatne porty su untag. V guest Vlan su pridelene len tagovane porty routera a APciek (ziadne ine porty v gueste nie su)
Co sa tyka PVID tak v PVID 1 su porty routera a APciek. Spravil som to tak pretoze som iekde cital ze v TPlinku je PVID 1 nieco ako alternativa pre trunk Ostatne porty maju potom pridelene PVID privatu

V UBNT CTR som potom uz len v casti network vytvoril dve corporate siete s identickymi adresami vlan a pridelil som im vlan id a vypol DHCP. Nasledne som v casti Wireless network vytvoril dve SSID znova s prislunymi vlan id.
Stale mi ide net iba "po kabloch" ale cez AP nie. Skusal som aj moznost namiesto profilu corporate network pouzit profil vlan only ale ani to nepomohlo.