потерял доступ из winbox и web-как исправить через консоль?

Обсуждение ПО и его настройки
Ответить
okrus
Сообщения: 4
Зарегистрирован: 30 дек 2017, 17:12

настраивал =2011UiAS-nD
сеть 192.168.33.0/24, есть один порт со статикой от провайдера, работает интернет через L2TP, настроен DNS,DHCP, Wi-Fi объедена в бридж с остальными портами. Все работает, но не могу получить доступ к рутеру через winbox (рутер видет но выдает ошибку при подключенииerror could not conect to 192.168.33.1 - я так понимаю таймаут), ssh (таймаут) ,telnet (таймаут), web (таймаут).
имею консольный шнурок но не могу понять что и где я накрутил.

вот что в сервисах

/ip service
set telnet address=192.168.33.0/24
set ftp disabled=yes
set www address=192.168.33.0/24
set ssh address=192.168.33.0/24
set api disabled=yes
set winbox address=192.168.33.0/24
set api-ssl disabled=yes

вот что имею в фильтрах

/ip firewall filter
add action=acceptchain=input connection-state=established,related
add action=accept chain=input connection-state=related in-interface=\
bridgeLocal
add action=acceptchain=input connection-nat-state=dstnat
add action=accept chain=forward in-interface=bridgeLocalsrc-address=\
192.168.33.0/24
add action=drop chain=input
add action=fasttrack-connection chain=forward connection-state=\
established,related
add action=acceptchain=forward connection-state=established,related
add action=drop chain=forward
add chain=input
add chain="input protocol:tcp dst.port:8291 in.intrface:all aCtion:accpet"
add chain=SSH-2.0-PuTTY_Release_0.70
[admin@MikroTik] /ip firewall filter> PuTTY

не могу понять что не так?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Информации всё же не так уж много.

1) а винбоксом пробовали, но не по IP, а по МАКу подключиться?
1.1) а что SSH - работает по IP ?
1.2) а файрволлы на компе не мешают (точно-точно) ?
2) если есть бэкап, то проще обнулить роутер и заново с бэкапа восстановить,
предварительно после восстановление правила файрвола отключить.
Да и остальные моменты защиты проверить.
3) нет бэкапа, ну тогда в любом случаи обнулять, и с нуля настраивать, лишние 2-3 часа,
зато и повторения и проверите как усвоили некоторые моменты.

P.S.
Читал на Хабре, человек тоже перестарался с защитой, конфигурация была сложной,
роутер рабочий-конторский, много настроек, он взял другой роутер, с эмитировал подключение
к провайдеру и через это подключение вроде залез. Примерно как-то так, детали
не помню, задача не простая, то тоже, как вариант имеет право на жизнь.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Прежде чем что-то править - включи безопасный режим :)


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

okrus писал(а):настраивал =2011UiAS-nD
сеть 192.168.33.0/24, есть один порт со статикой от провайдера, работает интернет через L2TP, настроен DNS,DHCP, Wi-Fi объедена в бридж с остальными портами. Все работает, но не могу получить доступ к рутеру через winbox (рутер видет но выдает ошибку при подключенииerror could not conect to 192.168.33.1 - я так понимаю таймаут), ssh (таймаут) ,telnet (таймаут), web (таймаут).
имею консольный шнурок но не могу понять что и где я накрутил.

вот что в сервисах

/ip service
set telnet address=192.168.33.0/24
set ftp disabled=yes
set www address=192.168.33.0/24
set ssh address=192.168.33.0/24
set api disabled=yes
set winbox address=192.168.33.0/24
set api-ssl disabled=yes

вот что имею в фильтрах

/ip firewall filter
add action=acceptchain=input connection-state=established,related
add action=accept chain=input connection-state=related in-interface=\
bridgeLocal
add action=acceptchain=input connection-nat-state=dstnat
add action=accept chain=forward in-interface=bridgeLocalsrc-address=\
192.168.33.0/24
add action=drop chain=input
add action=fasttrack-connection chain=forward connection-state=\
established,related
add action=acceptchain=forward connection-state=established,related
add action=drop chain=forward
add chain=input
add chain="input protocol:tcp dst.port:8291 in.intrface:all aCtion:accpet"
add chain=SSH-2.0-PuTTY_Release_0.70
[admin@MikroTik] /ip firewall filter> PuTTY

не могу понять что не так?


Так сейчас ваш конфиг если упростить выглядит:
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=forward in-interface=bridgeLocal src-address=192.168.33.0/24
add action=drop chain=input
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward

add action=drop chain=input - вот после этой строчки у вас не важно какие правила, очередь до них не дойдет никогда


okrus
Сообщения: 4
Зарегистрирован: 30 дек 2017, 17:12

Vlad-2 писал(а):Информации всё же не так уж много.

1) а винбоксом пробовали, но не по IP, а по МАКу подключиться?


пробовал не подключается
вернул доступ по маку вот такой командой:
mac-server mac-winbox set [ find default=yes ] disabled=no

Vlad-2 писал(а):1.1) а что SSH - работает по IP ?

в смысле?

Vlad-2 писал(а):1.2) а файрволлы на компе не мешают (точно-точно) ?


не мешают потому как если полностью сбрасываю настройку все работает

Vlad-2 писал(а):2) если есть бэкап, то проще обнулить роутер и заново с бэкапа восстановить,
предварительно после восстановление правила файрвола отключить.

после восстановления бекапа рутер автоматом перегружается и картина возвращается в ту же позу

Vlad-2 писал(а):Да и остальные моменты защиты проверить.
3) нет бэкапа, ну тогда в любом случаи обнулять, и с нуля настраивать, лишние 2-3 часа,
зато и повторения и проверите как усвоили некоторые моменты.

хочется понять где именно ошибся в конфиге, и не могу понять где чего перемудрил...


okrus
Сообщения: 4
Зарегистрирован: 30 дек 2017, 17:12

enzain писал(а):
okrus писал(а):настраивал =2011UiAS-nD
add action=drop chain=input - вот после этой строчки у вас не важно какие правила, очередь до них не дойдет никогда


спасибо
пойду читать настройки фильтров

пытался командой move опустить её вниз - но что-то как-то пропал инет... :-)


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

okrus писал(а):
enzain писал(а):
okrus писал(а):настраивал =2011UiAS-nD
add action=drop chain=input - вот после этой строчки у вас не важно какие правила, очередь до них не дойдет никогда


спасибо
пойду читать настройки фильтров

пытался командой move опустить её вниз - но что-то как-то пропал инет... :-)


Для того чтобы не обрубить себе инет - в консоли надо нажимать Ctrl+X тогда при обрубании инета сессия отвалится и все изменения откатятся.
после внесения настроек - если все хорошо еще раз Ctrl+X и настройки применятся не на сессию а запишутся.

В винбоксе - это Safe Mode вверху экрана справа :)


okrus
Сообщения: 4
Зарегистрирован: 30 дек 2017, 17:12

enzain писал(а):
okrus писал(а):
enzain писал(а):

В винбоксе - это Safe Mode вверху экрана справа :)


спасибо


Ответить