Jump to content
Калькуляторы

Проблема с подключением к Микротику !

Запретил в сетке (не подумав) весь входящий трафик по протоколу UDP и... (winbox - не работает, dude - показывает, что Микротик не работает, ping не проходит)

... как и чем теперь подключится к Микротику ????? По TCP можно? Как?

Вроде фигня проблема, а уже час голову ломаю...

Share this post


Link to post
Share on other sites

есть несколько вариантов...

либо последовательный порт либо набрав IP в адресной строке браузера,

ну или самое простое сбросить настройки на заводские, перемкнув соответствующие контакты

на плате, но ВНИМАНИЕ все правила которые вы создали в мтике пропадут.

Share this post


Link to post
Share on other sites

есть несколько вариантов...

... либо набрав IP в адресной строке браузера,

 

 

... а про браузер - это не фейк ??? чуть поподробней мона?

 

кто-нибудь в курсе - winbox всегда ( и по ip и по mac) использует UDP ??? может на другой интерфейс по кабелю законектится ?

 

сброс на заводские не вариант, т.к. НУ ОЧЕНЬ неохота размонтировать антенную мачту :(((

 

Share this post


Link to post
Share on other sites

ну, вроде разобрался...

надо по локалке. по проводочку через webbox через 80 порт

 

правильно? фокус в том что сейчас нахожусь от RB за пару-тройку км.

Share this post


Link to post
Share on other sites

Прежде чем что-то запрещать, надо этот фильтр разрешить и посмотреть что он ловит, и если все в порядке то включать его в работу. Вообще очень не хватает функции тестовой конфигурации на пару минут с подтверждением.

Share this post


Link to post
Share on other sites
А ssh не удосужился поднять?

 

... не удосужился... ибо на практике максимум, что используешь - это telnet

Поэтому SSH-туннелинг - чистый лист... дай наводку (кроме гугля, плиз ;)

Share this post


Link to post
Share on other sites
а про браузер - это не фейк ??? чуть поподробней мона?
ну это если у тебя был настроен Interface Rules для просмотра графиков загрузки канала.

тогда набираешь IP точки в браузере и там можешь попасть в настройки точки.

но я так понимаю Вы сначала сожгли моты а теперь хотите перебраться назад на другой берег :)

Share this post


Link to post
Share on other sites
А ssh не удосужился поднять?

 

... не удосужился... ибо на практике максимум, что используешь - это telnet

Поэтому SSH-туннелинг - чистый лист... дай наводку (кроме гугля, плиз ;)

Отсыл в сторону манов от MT не нравится?

А куда деваться, всё там: http://wiki.mikrotik.com/wiki/Manual:Console_login_process

 

Share this post


Link to post
Share on other sites
а про браузер - это не фейк ??? чуть поподробней мона?
ну это если у тебя был настроен Interface Rules для просмотра графиков загрузки канала.

тогда набираешь IP точки в браузере и там можешь попасть в настройки точки.

но я так понимаю Вы сначала сожгли моты а теперь хотите перебраться назад на другой берег :)

выходит, что сжёг :((( ... но желание перебраться осталось ;)

я так думаю - firewall перекрыл UDP только в случае тех интерфейсов, которые входят в bridge ??? Следовательно, если законектится к другому interface, то... вот он берег ???

Share this post


Link to post
Share on other sites

Поробуй ткнуться ssh клиентом, по типовому порту, ИМХО в MT ssh из коробки включен.

Share this post


Link to post
Share on other sites

...и кстати, в чём прикол -

1. winbox видит MT (mac и ip) а законектится - ни в зуб ногой?

2. dude по всем протоколам пишет "таймаут" хотя состояние пишет - подтверждено!

Share this post


Link to post
Share on other sites
Поробуй ткнуться ssh клиентом, по типовому порту, ИМХО в MT ssh из коробки включен.

скачал по-быстрому PuTTY, ткнулся по 22 порту... пишет "таймаут"

Share this post


Link to post
Share on other sites

скорее всего запретил весь трафик, т.к. winbox по mac это эзернет, ssh, telnet, http - это TCP, а ping и вовсе ICMP.

в данной ситуации остается только консоль, ну а до нее понятно добраться при отсутствии заранее смонтированной IP console никак иначе, чем снять железку.

возможно есть некий magic packet, получив который МТ сбросится в дефолт, но я такого не знаю.

 

Share this post


Link to post
Share on other sites

а по МАС доступ есть? через тот же винбокс к примеру. это когда вместо адреса вводится МАС микротика, работает только если вы непосредственно в сегменте данного микротика.

также можно указать МАС для подключения телнетом находясь на третем микротике который видит нужный мт.

или можно по МАС телнетом с другого микротика с другой стороны (интерфейса).

Edited by Fog

Share this post


Link to post
Share on other sites

а что по MAC это уже другой протокол не TCP?

и чем отличается способ зайти на мтик с другого мтика нежели с компьютера?

Share this post


Link to post
Share on other sites

скорее всего запретил весь трафик, т.к. winbox по mac это эзернет, ssh, telnet, http - это TCP, а ping и вовсе ICMP.

 

благодарю за ответ...

... но "запретил весь трафик" - это слишком: пишу эти строчки (как и все предыдущие) используя подключение интернету через МТ, то есть моя Wi-Fi сетка продолжает работать, а вот попасть в настройки МТ (или хотя бы пропинговать его) не могу!

На всяк случай перечислю по памяти все последние действия мною совершённые с МТ (люди! для получения траблы достаточно 5 сек. - не повторяйте моей ошибки!)

В общем на досуге решил поэксперементировать - как одним махом (не маркируя пакеты и не устанавливая лимитов) запретить в сетке все торренты ;)

Для этого добавил правило в firewall -->+ -->chain= input (по умолчанию стоит forwarding) ->protocol= udp (и поставил галочку слева) -->action= drop И ву а ля... имею то, что имею :(

Share this post


Link to post
Share on other sites

вы получается наоборот запретили весь трафик кроме UDP.

Share this post


Link to post
Share on other sites
а по МАС доступ есть? через тот же винбокс к примеру. это когда вместо адреса вводится МАС микротика, работает только если вы непосредственно в сегменте данного микротика.

также можно указать МАС для подключения телнетом находясь на третем микротике который видит нужный мт.

или можно по МАС телнетом с другого микротика с другой стороны (интерфейса).

спасибки... я, действительно, не в сегменте, поэтому пока по маку "Could not connect to ... (port 20561) - time out!" Придётся ехать, лезть и т.д и т.п. Отпишусь о результатах...

 

вы получается наоборот запретили весь трафик кроме UDP.

Ёлки-маталки... и что же теперь получается ????

Share this post


Link to post
Share on other sites

Вы меня этой фразой "вы получается наоборот запретили весь трафик кроме UDP." просто убили! Это действительно так??? Drop = запрет, галочка слева от protocol = распространяет действие на все порты и адреса... Не хочется мне выглядеть полным идиотом в RouterOS, но видно придётся?

Share this post


Link to post
Share on other sites
... но "запретил весь трафик" - это слишком: пишу эти строчки (как и все предыдущие) используя подключение интернету через МТ, то есть моя Wi-Fi сетка продолжает работать, а вот попасть в настройки МТ (или хотя бы пропинговать его) не могу!

На всяк случай перечислю по памяти все последние действия мною совершённые с МТ (люди! для получения траблы достаточно 5 сек. - не повторяйте моей ошибки!)

В общем на досуге решил поэксперементировать - как одним махом (не маркируя пакеты и не устанавливая лимитов) запретить в сетке все торренты ;)

Для этого добавил правило в firewall -->+ -->chain= input (по умолчанию стоит forwarding) ->protocol= udp (и поставил галочку слева) -->action= drop И ву а ля... имею то, что имею :(

Возможно стоит backresolv-verify-on-connection. Соответственно железка пытается проверить backresolv, запрос отправляет, а ответа не получает.

В этом случае надо попасть в локальный эзер железки winbox-ом и законнектиться по мак.

Drop UDP input - это бить все UDP пакеты адресованые самой железке, т.е. то что проходит насквозь оно вообще не затрагивает. Соответственно там можно запретить и весь трафик и сквозной оно не затронет.

чейны INPUT & OUTPUT регламентируют доступ на и с железки соответственно.

а вот FORWARD - это роутинг насквозь, а BROUTE - бридж насквозь(это если ebtables есть).

Вообще прежде чем строить файрволл, надо ознакомиться как оно работает. Оно в данном случае - iptables.

 

 

Share this post


Link to post
Share on other sites
Вы меня этой фразой "вы получается наоборот запретили весь трафик кроме UDP." просто убили! Это действительно так??? Drop = запрет, галочка слева от protocol = распространяет действие на все порты и адреса... Не хочется мне выглядеть полным идиотом в RouterOS, но видно придётся?
Галочка слева это "не равно" тому что выбрали. :)

 

Share this post


Link to post
Share on other sites
а что по MAC это уже другой протокол не TCP?

и чем отличается способ зайти на мтик с другого мтика нежели с компьютера?

По мак - это типа EAD, но проприетарный протокол МТ.

Называется mactelnet, ни TCP ни UDP ни вообще IP не использует, соответственно правилами L3 не затрагивается.

Принцип действия - броадкаст и юникаст эзернет. т.е. телнет (L7) инкапсулируется непосредственно в Ethernet (L2),

естественно software flow-control, и не обрабатываются потери на канальном уровне (но в локальном эзере их и не должно быть).

 

Матчасть все таки иногда надо учить.

 

 

Вы меня этой фразой "вы получается наоборот запретили весь трафик кроме UDP." просто убили! Это действительно так??? Drop = запрет, галочка слева от protocol = распространяет действие на все порты и адреса... Не хочется мне выглядеть полным идиотом в RouterOS, но видно придётся?
Галочка слева это "не равно" тому что выбрали. :)

Ну тогда понятно :)

Я визуально интерфейс винбокса не особо помню - т.к. я его не использую.

 

Share this post


Link to post
Share on other sites

на всяк пожарный сообщаю: поблема решилась подключением по кабелю к др. интерфейсу МТ

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this