Samsyng Tv и микротик.

[aleksandr.maslov]

Всем привет, подскажите, как настроить и возможно ли это сделать, чтоб телевизор мой самсунг не видели другие пользователи и я их. Роутер hAP ac^2 подключен к ростелику все мои телефоны ноутбуке подключенные по wifi и по кабелю спокойно подключаются к телевизору, но заметил такую вещь, когда нажимаю поиск телевизора, то нахожу в списке другие телевизоры не мои) и бывает какие-то левые устройства пытаются подключиться к моему телевизору) Как настроить микротик, чтоб я их телики не видел и они мои не видели?)

[xvo]

Красная шапка, пункт 5.

[aleksandr.maslov]

Да я особо не шаманил над настройками, они почти стоковые.

 

# jun/26/2020 15:51:29 by RouterOS 6.45.9
# software id = JHEP-CKNA
#
# model = RBD52G-5HacD2HnD
# serial number = ********
/interface bridge
add admin-mac=**:**:**:**:**:89 auto-mac=no name=LAN-Bridge
/interface ethernet
set [ find default-name=ether2 ] name=LAN1-Ethernet
set [ find default-name=ether3 ] disabled=yes name=LAN2-Ethernet
set [ find default-name=ether4 ] disabled=yes name=LAN3-Ethernet
set [ find default-name=ether5 ] disabled=yes name=LAN4-Ethernet
set [ find default-name=ether1 ] name=WAN
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX country=russia3 disabled=no distance=indoors frequency=auto \
installation=indoor mode=ap-bridge name=LAN5-WiFi-2.4G ssid=***** wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-onlyac channel-width=20/40/80mhz-XXXX country=russia3 disabled=no distance=indoors \
frequency=auto installation=indoor mode=ap-bridge name=LAN6-WiFi-5G ssid=*****-5G wps-mode=disabled
/interface list
add name=Local
add name=Internet
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=LAN-Bridge lease-time=3d name=defconf
/system logging action
set 0 email-to=******@ya.ru target=email
set 1 email-to=******@ya.ru target=email
set 2 email-to==******@ya.ru target=email
set 3 email-to==******@ya.ru target=email
add disk-file-count=5 disk-file-name=usb1/log disk-lines-per-file=10000 name=usb target=disk
/interface bridge port
add bridge=LAN-Bridge comment=defconf interface=LAN1-Ethernet
add bridge=LAN-Bridge comment=defconf disabled=yes interface=LAN2-Ethernet
add bridge=LAN-Bridge comment=defconf disabled=yes interface=LAN3-Ethernet
add bridge=LAN-Bridge comment=defconf disabled=yes interface=LAN4-Ethernet
add bridge=LAN-Bridge comment=defconf interface=LAN5-WiFi-2.4G
add bridge=LAN-Bridge comment=defconf interface=LAN6-WiFi-5G
/ip neighbor discovery-settings
set discover-interface-list=Local
/ip settings
set tcp-syncookies=yes
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=LAN-Bridge list=Local
add interface=WAN list=Internet
/ip address
add address=192.168.88.1/24 comment=defconf interface=LAN1-Ethernet network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=WAN
/ip dhcp-server lease
add address=192.168.88.88 client-id=******** mac-address=******** server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!Local
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=Internet
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=Internet
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip hotspot service-port
set ftp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set www-ssl disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ipv6 address
add from-pool=pool-ipv6 interface=LAN-Bridge
/ipv6 dhcp-client
add add-default-route=yes interface=WAN pool-name=pool-ipv6 request=address,prefix
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=\
fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!Local
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!Local
/system clock
set time-zone-name=Europe/Moscow
/system logging
set 0 action=usb
set 1 action=usb
set 2 action=usb
set 3 action=usb
/system routerboard settings
set auto-upgrade=yes
/tool bandwidth-server
set enabled=no
/tool e-mail
set address=smtp.gmail.com from=Mikrotik port=587 start-tls=yes user=******@gmail.com
/tool mac-server
set allowed-interface-list=Local
/tool mac-server mac-winbox
set allowed-interface-list=Local

[xvo]

А что это вообще значит, вы их где видите?
У Samsung'а какой-то свой облачный сервис или что?

А то чудеса какие-то.
С конфигом вроде все ок и никакие чужие устройства у себя в локалке вы бы видеть не должны.

Единственное, по чему у меня вообще есть вопрос - это вот эта строчка в ipv6 firewall'е:

Код: Выделить всё

add action=accept chain=forward comment="defconf: accept HIP" protocol=139

Зачем оно?

[aleksandr.maslov]

А что это вообще значит, вы их где видите?
У Samsung'а какой-то свой облачный сервис или что?

А то чудеса какие-то.
С конфигом вроде все ок и никакие чужие устройства у себя в локалке вы бы видеть не должны.

Единственное, по чему у меня вообще есть вопрос - это вот эта строчка в ipv6 firewall'е:

Код: Выделить всё

add action=accept chain=forward comment="defconf: accept HIP" protocol=139

Зачем оно?

Это стоковый конфиг микротика ipv6.


Вот на скрине надеюсь будет понятно, что происходит) А вообще с телефона кто-то бывает хочет к моему телику подключится) я сам подключаюсь к телевизору к примеру ютуб включить или управлять теликом, но вот не нравится, что кто-то видит мой телевизор и пытается включить на нем что-то)

[aleksandr.maslov]

Я так подозреваю я вижу другие телевизоры в сети которые подключены в dgs свитч ростелекома в который и подключен мой роутер в итоге они наверное в моем доме или даже в одном подъезде)

[xvo]

Попробуйте прикрыть udp 1900 порт в обоих firewall’ах в цепочке forward.

[aleksandr.maslov]

Если я правильно сделал, то не работает это правило.

/ip firewall filter
add action=drop chain=forward comment="udp1900" dst-port=1900 protocol=udp


/ipv6 firewall filter
add action=drop chain=forward comment="udp1900" dst-port=1900 protocol=udp

все равно вижу другой телевизор)

[KARaS'b]

Ставлю ящик пива, что на скрине предоставленном топикстарером, с другими телевизорами, которые он "видит", отображаются окружающие устройства блютуз, которые не имеют никакого отношения к микротику и все что могут сделать остальные это "видеть" и не более, т.к. для того что бы подключиться нужно еще и "запарить" устройства, либо просто включить на телевизоре обязательное сопряжение если оно выключено, или же попросту выключить блютуз ели он не используется.
Для проверки выключите блютуз на своем компе\буке и выполните поиск, с вероятностью 99.99% вы не обнаружите чужой телевизор, но возможно попрежнему будете видеть свой, т.к. он будет доступен уже по сети, вашей, локальной, у вас дома, к которой доступа остальные не имеют.
З.Ы. но даже если я ошибся с блютузом и телевизоры вещают себя как т.д., то все равно микротик тут не причем, виноват сам телек и исправить это можно только его настройкой и никак больше, что именно настраивать и как читайте в инструкции своего телевизора.

[aleksandr.maslov]

Ставлю ящик пива, что на скрине предоставленном топикстарером, с другими телевизорами, которые он "видит", отображаются окружающие устройства блютуз, которые не имеют никакого отношения к микротику и все что могут сделать остальные это "видеть" и не более, т.к. для того что бы подключиться нужно еще и "запарить" устройства, либо просто включить на телевизоре обязательное сопряжение если оно выключено, или же попросту выключить блютуз ели он не используется.
Для проверки выключите блютуз на своем компе\буке и выполните поиск, с вероятностью 99.99% вы не обнаружите чужой телевизор, но возможно попрежнему будете видеть свой, т.к. он будет доступен уже по сети, вашей, локальной, у вас дома, к которой доступа остальные не имеют.
З.Ы. но даже если я ошибся с блютузом и телевизоры вещают себя как т.д., то все равно микротик тут не причем, виноват сам телек и исправить это можно только его настройкой и никак больше, что именно настраивать и как читайте в инструкции своего телевизора.

Походу я проиграл ящик пива, скрин посмотрите)))

На моем телике к примеру нет блютуза, на том телике, что на скрине я хз конечно. Поймите одно когда я сижу и смотрю телик у меня выходит сообщение, что какой-то телефон хочет подключиться к моему телевизору на котором нет блютуза. Я конечно нажимаю запретить, но мне как-то не нравится, что кто-то видит в сети мой телик.