Перейти к содержимому
Калькуляторы

Проблема с подключением к Микротику !

Запретил в сетке (не подумав) весь входящий трафик по протоколу UDP и... (winbox - не работает, dude - показывает, что Микротик не работает, ping не проходит)

... как и чем теперь подключится к Микротику ????? По TCP можно? Как?

Вроде фигня проблема, а уже час голову ломаю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть несколько вариантов...

либо последовательный порт либо набрав IP в адресной строке браузера,

ну или самое простое сбросить настройки на заводские, перемкнув соответствующие контакты

на плате, но ВНИМАНИЕ все правила которые вы создали в мтике пропадут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть несколько вариантов...

... либо набрав IP в адресной строке браузера,

 

 

... а про браузер - это не фейк ??? чуть поподробней мона?

 

кто-нибудь в курсе - winbox всегда ( и по ip и по mac) использует UDP ??? может на другой интерфейс по кабелю законектится ?

 

сброс на заводские не вариант, т.к. НУ ОЧЕНЬ неохота размонтировать антенную мачту :(((

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну, вроде разобрался...

надо по локалке. по проводочку через webbox через 80 порт

 

правильно? фокус в том что сейчас нахожусь от RB за пару-тройку км.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прежде чем что-то запрещать, надо этот фильтр разрешить и посмотреть что он ловит, и если все в порядке то включать его в работу. Вообще очень не хватает функции тестовой конфигурации на пару минут с подтверждением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А ssh не удосужился поднять?

 

... не удосужился... ибо на практике максимум, что используешь - это telnet

Поэтому SSH-туннелинг - чистый лист... дай наводку (кроме гугля, плиз ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а про браузер - это не фейк ??? чуть поподробней мона?
ну это если у тебя был настроен Interface Rules для просмотра графиков загрузки канала.

тогда набираешь IP точки в браузере и там можешь попасть в настройки точки.

но я так понимаю Вы сначала сожгли моты а теперь хотите перебраться назад на другой берег :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А ssh не удосужился поднять?

 

... не удосужился... ибо на практике максимум, что используешь - это telnet

Поэтому SSH-туннелинг - чистый лист... дай наводку (кроме гугля, плиз ;)

Отсыл в сторону манов от MT не нравится?

А куда деваться, всё там: http://wiki.mikrotik.com/wiki/Manual:Console_login_process

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а про браузер - это не фейк ??? чуть поподробней мона?
ну это если у тебя был настроен Interface Rules для просмотра графиков загрузки канала.

тогда набираешь IP точки в браузере и там можешь попасть в настройки точки.

но я так понимаю Вы сначала сожгли моты а теперь хотите перебраться назад на другой берег :)

выходит, что сжёг :((( ... но желание перебраться осталось ;)

я так думаю - firewall перекрыл UDP только в случае тех интерфейсов, которые входят в bridge ??? Следовательно, если законектится к другому interface, то... вот он берег ???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поробуй ткнуться ssh клиентом, по типовому порту, ИМХО в MT ssh из коробки включен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...и кстати, в чём прикол -

1. winbox видит MT (mac и ip) а законектится - ни в зуб ногой?

2. dude по всем протоколам пишет "таймаут" хотя состояние пишет - подтверждено!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поробуй ткнуться ssh клиентом, по типовому порту, ИМХО в MT ssh из коробки включен.

скачал по-быстрому PuTTY, ткнулся по 22 порту... пишет "таймаут"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скорее всего запретил весь трафик, т.к. winbox по mac это эзернет, ssh, telnet, http - это TCP, а ping и вовсе ICMP.

в данной ситуации остается только консоль, ну а до нее понятно добраться при отсутствии заранее смонтированной IP console никак иначе, чем снять железку.

возможно есть некий magic packet, получив который МТ сбросится в дефолт, но я такого не знаю.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а по МАС доступ есть? через тот же винбокс к примеру. это когда вместо адреса вводится МАС микротика, работает только если вы непосредственно в сегменте данного микротика.

также можно указать МАС для подключения телнетом находясь на третем микротике который видит нужный мт.

или можно по МАС телнетом с другого микротика с другой стороны (интерфейса).

Изменено пользователем Fog

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а что по MAC это уже другой протокол не TCP?

и чем отличается способ зайти на мтик с другого мтика нежели с компьютера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скорее всего запретил весь трафик, т.к. winbox по mac это эзернет, ssh, telnet, http - это TCP, а ping и вовсе ICMP.

 

благодарю за ответ...

... но "запретил весь трафик" - это слишком: пишу эти строчки (как и все предыдущие) используя подключение интернету через МТ, то есть моя Wi-Fi сетка продолжает работать, а вот попасть в настройки МТ (или хотя бы пропинговать его) не могу!

На всяк случай перечислю по памяти все последние действия мною совершённые с МТ (люди! для получения траблы достаточно 5 сек. - не повторяйте моей ошибки!)

В общем на досуге решил поэксперементировать - как одним махом (не маркируя пакеты и не устанавливая лимитов) запретить в сетке все торренты ;)

Для этого добавил правило в firewall -->+ -->chain= input (по умолчанию стоит forwarding) ->protocol= udp (и поставил галочку слева) -->action= drop И ву а ля... имею то, что имею :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вы получается наоборот запретили весь трафик кроме UDP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а по МАС доступ есть? через тот же винбокс к примеру. это когда вместо адреса вводится МАС микротика, работает только если вы непосредственно в сегменте данного микротика.

также можно указать МАС для подключения телнетом находясь на третем микротике который видит нужный мт.

или можно по МАС телнетом с другого микротика с другой стороны (интерфейса).

спасибки... я, действительно, не в сегменте, поэтому пока по маку "Could not connect to ... (port 20561) - time out!" Придётся ехать, лезть и т.д и т.п. Отпишусь о результатах...

 

вы получается наоборот запретили весь трафик кроме UDP.

Ёлки-маталки... и что же теперь получается ????

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы меня этой фразой "вы получается наоборот запретили весь трафик кроме UDP." просто убили! Это действительно так??? Drop = запрет, галочка слева от protocol = распространяет действие на все порты и адреса... Не хочется мне выглядеть полным идиотом в RouterOS, но видно придётся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

... но "запретил весь трафик" - это слишком: пишу эти строчки (как и все предыдущие) используя подключение интернету через МТ, то есть моя Wi-Fi сетка продолжает работать, а вот попасть в настройки МТ (или хотя бы пропинговать его) не могу!

На всяк случай перечислю по памяти все последние действия мною совершённые с МТ (люди! для получения траблы достаточно 5 сек. - не повторяйте моей ошибки!)

В общем на досуге решил поэксперементировать - как одним махом (не маркируя пакеты и не устанавливая лимитов) запретить в сетке все торренты ;)

Для этого добавил правило в firewall -->+ -->chain= input (по умолчанию стоит forwarding) ->protocol= udp (и поставил галочку слева) -->action= drop И ву а ля... имею то, что имею :(

Возможно стоит backresolv-verify-on-connection. Соответственно железка пытается проверить backresolv, запрос отправляет, а ответа не получает.

В этом случае надо попасть в локальный эзер железки winbox-ом и законнектиться по мак.

Drop UDP input - это бить все UDP пакеты адресованые самой железке, т.е. то что проходит насквозь оно вообще не затрагивает. Соответственно там можно запретить и весь трафик и сквозной оно не затронет.

чейны INPUT & OUTPUT регламентируют доступ на и с железки соответственно.

а вот FORWARD - это роутинг насквозь, а BROUTE - бридж насквозь(это если ebtables есть).

Вообще прежде чем строить файрволл, надо ознакомиться как оно работает. Оно в данном случае - iptables.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы меня этой фразой "вы получается наоборот запретили весь трафик кроме UDP." просто убили! Это действительно так??? Drop = запрет, галочка слева от protocol = распространяет действие на все порты и адреса... Не хочется мне выглядеть полным идиотом в RouterOS, но видно придётся?
Галочка слева это "не равно" тому что выбрали. :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а что по MAC это уже другой протокол не TCP?

и чем отличается способ зайти на мтик с другого мтика нежели с компьютера?

По мак - это типа EAD, но проприетарный протокол МТ.

Называется mactelnet, ни TCP ни UDP ни вообще IP не использует, соответственно правилами L3 не затрагивается.

Принцип действия - броадкаст и юникаст эзернет. т.е. телнет (L7) инкапсулируется непосредственно в Ethernet (L2),

естественно software flow-control, и не обрабатываются потери на канальном уровне (но в локальном эзере их и не должно быть).

 

Матчасть все таки иногда надо учить.

 

 

Вы меня этой фразой "вы получается наоборот запретили весь трафик кроме UDP." просто убили! Это действительно так??? Drop = запрет, галочка слева от protocol = распространяет действие на все порты и адреса... Не хочется мне выглядеть полным идиотом в RouterOS, но видно придётся?
Галочка слева это "не равно" тому что выбрали. :)

Ну тогда понятно :)

Я визуально интерфейс винбокса не особо помню - т.к. я его не использую.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на всяк пожарный сообщаю: поблема решилась подключением по кабелю к др. интерфейсу МТ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.