跳转到内容
搜索…
搜索
快速链接
悬而未决的话题
活跃的话题
搜索
常见问题解答
活跃的话题
论坛
快速链接
悬而未决的话题
活跃的话题
搜索
常见问题解答
活跃的话题
论坛
搜索…
搜索
注册
登录
记得我
雷竞技网站
社区讨论
公告
l雷竞技
l雷竞技RouterOS beta和rc版本
初学者基础知识
一般
转发协议
无线网络
脚本
虚拟化
有用的用户文章
其他主题
那个家伙
ios版雷竞技官网入口R雷竞技官网网站下载outerBOARD硬件
用户管理器
SwOS
培训
首页
论坛指数
l雷竞技
有用的用户文章
配置问题/锁定-正在访问没有网桥的路由器/AP配置
帖子回复
打印视图
anav
论坛专家
主题作者
职位:
12752
加入:
2018年2月18日星期日11:28
地点:
加拿大新斯科舍省
联系人:
接触anav
脸谱网
Skype
推特
YouTube
配置问题/锁定-正在访问没有网桥的路由器/AP配置
报价
2021年12月29日星期三晚上7:31分
{链接自
新用户通往成功的路径配置成功
-
viewtopic.php吗?t = 182373
}
所有新管理员都会问自己的问题。
1.你是否曾经有过这样的日子,每次你触摸桥的配置,它会打嗝,你会问自己同样的问题,
为什么我不用安全模式
?
2.FRIG,我应该如何设置一个新的子网,并从192.168.88.1移动,而不锁定自己?
或者就像buckeye所说的....
"
它是避免“锯掉你所坐的树枝”
"
问题。
的答案。
3.
使用安全模式
.
使用安全模式
.
使用安全模式
.
4.不要在输入链中删除路由器规则的管理员访问权限——危险,特别是在“drop all else”规则中!
4.一种行之有效的推荐方法是
本文的主题,
就是给自己一个安全的方法来摆脱这样的困境,那就是一个独立的配置进入桥外。这可以用于在网桥更改时锁定自己后访问路由器,或者实际上执行所有配置。
指南
:
如何配置MT设备,
从
这座桥
概念
-隔离端口{remove from bridge}
-add独立IP地址
-ADD TO 'TRUSTED' INTERFACE LIST {TRUSTED =通常包含管理vlan或管理PC所在的子网,坏行为者,粗心的互联网用户和客人不居住}
-确保访问WINBOX (INPUT CHAIN) {interface-list=MANAGE}
-使用手动设置从PC访问相关ipv4地址
安装有线和wifi设备
(通常用于使用RoS的路由器/交换机/ ap -其中可能有备用端口或备用wlan/vwlan)。
1.从桥上删除备用的以太端口(让我们使用5),在capac的情况下(两个端口-使用ether2)。
2.给它起个新名字
ether5-access
3.给它一个不与局域网上的任何其他子网或任何远程子网等冲突的IP地址....允许使用
192.168.5.1/24
网络192.168.5.0
4.添加ether5-access到
值得信赖的接口
作为列表成员。可以是可信vlan,可以是管理vlan,可以是LAN等......(
路由器只
)
5.对于Switch/AP场景,如果还没有完成,请创建一个名为
管理
或者base等等(你可能已经有一个了,所以可以直接用它)。
添加ether5-access作为列表成员(交换机)
-add vlan -access as list member (AP)
-add vlan XX(受信任或管理vlan或子网)作为列表成员(通常应该已经存在)
6.添加接口列表
管理
或者在你的设备上叫它什么作为入口
IP的邻居
7.添加接口列表
管理
或者在你的设备上,在工具MAC服务器下叫它什么
WINMACSERVER
注意:在不做路由的MT设备上,
正常情况下
,唯一需要的接口是“管理”接口(无广域网,无局域网,无IP DHCP,无防火墙规则等)。
注:
A.如果您在WINBOX的IP服务中划分了子网/IP地址,请务必将192.168.5.0/24添加到“
可以从
”专栏。
B.如果在“系统用户”中划定了子网/IP地址,请务必将192.162.5.0/24添加到“
允许地址
"
{在这两种情况下,A和b,如果需要,您可以使用您打算用于访问的单个IP地址,例如192.168.5.5}
无线网络只
8.定义一个虚拟无线局域网,让我们进行呼叫
vwlan-access
从现有的无线局域网。
9.不要把它挂在桥上。
10.提供常用的wifi配置参数,SSID,安全配置文件等........
11.确保上述步骤3,5-7已经完成。
完成了! !
注1:假设交换机/ ap已经创建了IP路由dst-address=0.0.0.0/0, gateway为信任子网/vlan的IP网关
注2:对于路由器,它假定可信接口列表用于允许管理员访问路由器(输入链),因此这个新连接将自动包括在内,否则您将需要在输入链规则中创建允许ether5访问路由器。(
路由器只
)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
连接WIFI设备(假设使用iphone & mt app或笔记本电脑WIFI & winbox)
15.转到WIFI设置中显示的SSID的手动设置。
a.这可以通过使用
(我)
iphone上网络/ssid旁边的符号/图标。
b.在笔记本电脑的网络设置上使用合适的WIFI(适配器)连接。
16.输入192.168.5.5作为地址和掩码255.255.255.0。
17.连接WIFI网络。
注意:您应该通过访问safari或选择的浏览器来建立成功的连接,然后确认访问互联网等。
18.接下来,打开MT APP,进入
192.168.5.1:8291
为IP地址/或在winbox笔记本电脑。
19.使用分配的用户名和密码。
注意:对于一个有两个端口的Capac, ether1仍然是桥的一部分,并通过这个中继端口连接到您的主路由器,上面的例子是使用空闲的ether2或虚拟无线局域网。
最后编辑:
anav
2022年8月18日(星期四)晚上8:11,总共编辑了18次。
我宁愿管理老鼠也不愿管理软件。雷电竞app下载官方版苹果听从我的建议,风险自负!(呜咽和mkx逼我写的!)
MTUNA认证,由Ascerbic美洲驼!
PS.我只是触及了表面!
shafiqrahman
成员的候选人
职位:
123
加入:
2017年4月12日星期三凌晨1:42
回复:配置问题/锁定-访问路由器/AP配置没有网桥
报价
2022年1月18日星期二下午3:50
添加接口列表MANAGE
这是否意味着当我在邻居发现中创建另一个列表时(并且没有选择多个列表的选项),路由器现在将只对托管接口列表可见?
受信任接口作为列表成员。
这不是DHCP的一部分吗?
anav
论坛专家
主题作者
职位:
12752
加入:
2018年2月18日星期日11:28
地点:
加拿大新斯科舍省
联系人:
接触anav
脸谱网
Skype
推特
YouTube
回复:配置问题/锁定-访问路由器/AP配置没有网桥
报价
2022年1月18日星期二下午6:31
邻居发现的接口是为了确保,至少对我来说,当我启动winbox时,我所有的MT设备都能看到彼此!!
这就是为什么所有被管理设备的IP地址都是从管理vlan或受信任vlan或子网获取的。
因此,如果您已经为您的邻居发现和mac winmac winbox条目使用了一个受信任的vlan或子网,那么不需要创建另一个列表.......
有些人称它为base,有些人称它为control,有些人称它为manage,它们都等于所有智能设备获取Ip地址的信任子网。
我宁愿管理老鼠也不愿管理软件。雷电竞app下载官方版苹果听从我的建议,风险自负!(呜咽和mkx逼我写的!)
MTUNA认证,由Ascerbic美洲驼!
PS.我只是触及了表面!
TheLorc
新手
职位:
25
加入:
2022年7月18日星期一凌晨4:53
回复:配置问题/锁定-访问路由器/AP配置没有网桥
报价
2022年8月2日星期二晚上8:28
4.将ether5-access作为列表成员添加到受信任接口。可以是可信vlan,可以是管理vlan,可以是LAN等......(路由器)
我该怎么做呢?我敢肯定,对于有过Mikrotik经验的人来说,这是一个明显而愚蠢的问题。雷竞技网站不过,大多数使用本指南的人都是完全的初学者。添加到“可信接口”意味着什么?
你是在左边的Interfaces选项卡中这样做的吗?我不想搞砸任何东西,以防我搞砸了东西,失去连接,不得不工厂重置设备
编辑:你去接口->接口列表->添加->
列表:局域网
接口:Ether5-access
单击OK
我猜你是这么做的,但上面没写“信任任何地方”
anav
论坛专家
主题作者
职位:
12752
加入:
2018年2月18日星期日11:28
地点:
加拿大新斯科舍省
联系人:
接触anav
脸谱网
Skype
推特
YouTube
回复:配置问题/锁定-访问路由器/AP配置没有网桥
报价
2022年8月3日星期三凌晨2:22
[quote=TheLorc post_id=949340 time=1659461290 user_id=203713]
4.将ether5-access作为列表成员添加到受信任接口。可以是可信vlan,可以是管理vlan,可以是LAN等......(路由器)
我该怎么做呢?我敢肯定,对于有过Mikrotik经验的人来说,这是一个明显而愚蠢的问题。雷竞技网站不过,大多数使用本指南的人都是完全的初学者。添加到“可信接口”意味着什么?
你是在左边的Interfaces选项卡中这样做的吗?我不想搞砸任何东西,以防我搞砸了东西,失去连接,不得不工厂重置设备
编辑:你去接口->接口列表->添加->
列表:局域网
接口:Ether5-access
单击OK
我猜你是这么做的,但上面没写“信任任何地方”
(/报价)
你确实需要做一些试错的工作,但是是的。
一个受信任的子网对我来说意味着,一个你确信没有恶意的或危险的网络。
例如,我不会称客人的wifi为可信网络,但我也不会称青少年的网络为可信网络,因为他们会去探索,可能会访问不那么友好的网站。
企业使用独立于任何工作vlan的管理vlan来监视/配置设备。
所以这取决于你。就我个人而言,无论我的电脑在什么网络上,都是通常的可信网络。
例如,我的妻子在家工作,所以我把她放在一个单独的vlan中,不是可信的网络,但也独立于路由器后面的任何其他用户。
唯一常见的是使用普通打印机。
所以通常除了WAN和LAN的默认接口列表条目之外,我还要添加
管理,或信任。
这个组的接口成员将是
a.管理vlan (add vlan name)
B.选择用于桥外配置的以太网接口的名称。(添加接口名称)
还需要考虑另外两个设置
6.添加接口列表Manage或在设备上调用的任何东西作为入口
IP的邻居
7.在你的设备下面添加接口列表Manage或其他名称
tools mac服务器WINMAC服务器
最后,您的输入规则应该符合实际情况
add chain=input action=accept in-interface-list=MANAGE
您可以通过真正深入到只需要访问Winbox或SSH端口的那些来进一步改进这一点。
Add chain=input action=accept in-interface-list=manage dst-port=winboxport# protocol=tcp src-address-list=authorized。
其中Authorized是由具有配置路由器权限的特定组或单个Ips组成的防火墙地址列表。
add address=管理员列表的桌面IP地址=已授权
添加地址=管理员列表的笔记本IP地址=已授权
添加地址=智能手机的管理列表=授权
add address=OffbridgeIP的笔记本电脑列表=授权{这将设置为您添加到您的iPV4设置的公共IP}
不要忘记,如果您更改了输入规则,其他用户仍然需要访问DNS,可能还需要访问NTP
add chain=input action=accept in-interface-list=LAN dst-port=53 protocol=tcp
add chain=input action=accept in-interface-list=LAN dst-port=53 protocol=udp
最后用Drop all else规则完成输入链
添加链=输入动作=删除
我宁愿管理老鼠也不愿管理软件。雷电竞app下载官方版苹果听从我的建议,风险自负!(呜咽和mkx逼我写的!)
MTUNA认证,由Ascerbic美洲驼!
PS.我只是触及了表面!
显示以前的帖子:
1天
2周
3个月
1年
排序
邮件发送时间
下行
帖子回复
打印视图
谁在线
浏览本论坛的用户:无注册用户,6位嘉宾
公告
l雷竞技
l雷竞技RouterOS beta和rc版本
初学者基础知识
一般
转发协议
无线网络
脚本
虚拟化
有用的用户文章
其他主题
那个家伙
ios版雷竞技官网入口R雷竞技官网网站下载outerBOARD硬件
用户管理器
SwOS
培训
首页
论坛指数
l雷竞技
有用的用户文章
×
map