Ratkaistu MikroTik RB3011UiAS - Laitteeseen ei pääse käsiksi VLANista

[andelsssi]

Tuli hankittua otsikon mukainen laitos (ohjelmisto RouterOS 6.45.9) ja tässä konffailujen aikana on tullut vastaan ongelma, että VLANista ei pääse käsiksi laitteeseen käyttäen gateway IP:tä.

Nykyisessä konffissa siis routerin 4 viimeistä interfacea on bondattu yhdeksi loogiseksi interfaceksi, jonka alla on tällä hetkellä 3kpl VLAN joista kaikista pitäisi päästä tällä hetkellä käsiksi kerta itse palomuuri asetuksia en ole vielä kerinnyt sörkkiä. Oma kone saa kyllä nätisti VLANien DHCP servereiltä IP:t sekä itse gatewayta pystyy pingaamaan, mutta SSH yhteys tai web interface eivät aukea eli tällä hetkellä ainoa tapa päästä laitteelle on consolesta.

Onko muilla MikroTikin kanssa hääränneillä ollut tämän kanssa ongelmia?

Alhaalla tämän hetkinen konfiguraatio.

mar/05/2021 21:54:54 by RouterOS 6.45.9
# software id = J4B0-3LIZ
#
# model = RB3011UiAS
# serial number = ************
/interface bridge
add admin-mac=08:55:31:6D:72:1A auto-mac=no comment=defconf disabled=yes \
    name=bridge
/interface ethernet
set [ find default-name=ether8 ] mac-address=08:55:31:6D:72:20
set [ find default-name=ether9 ] mac-address=08:55:31:6D:72:20
set [ find default-name=ether10 ] mac-address=08:55:31:6D:72:20
/interface bonding
add mode=802.3ad name=PO1 slaves=ether7,ether8,ether9,ether10 \
    transmit-hash-policy=layer-2-and-3
/interface vlan
add interface=PO1 mtu=1496 name=ACCESS vlan-id=20
add interface=PO1 mtu=1496 name=IOT vlan-id=30
add interface=PO1 mtu=1496 name=MANAGEMENT vlan-id=100
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool3 ranges=192.168.20.40-192.168.20.230
add name=dhcp_pool4 ranges=192.168.100.100-192.168.100.200
add name=dhcp_pool5 ranges=192.168.30.2-192.168.30.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
add address-pool=dhcp_pool3 disabled=no interface=ACCESS lease-time=23h name=\
    dhcp1
add address-pool=dhcp_pool4 disabled=no interface=MANAGEMENT lease-time=23h \
    name=dhcp2
add address-pool=dhcp_pool5 disabled=no interface=IOT name=dhcp3
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=PO1 list=LAN
/ip address
add address=192.168.100.1/24 interface=MANAGEMENT network=192.168.100.0
add address=192.168.20.1/24 interface=ACCESS network=192.168.20.0
add address=192.168.30.1/24 interface=IOT network=192.168.30.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    ether1
/ip dhcp-server network
add address=192.168.20.0/24 dns-server=195.74.0.47,195.197.54.100 domain=\
    access.local gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=195.74.0.47,195.197.54.100 domain=\
    iot.local gateway=192.168.30.1
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
add address=192.168.100.0/24 dns-server=195.74.0.47,195.197.54.100 domain=\
    management.local gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Helsinki
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

 

[telcoM]

Tuossa ei nähtävästi oteta mitään kantaa siihen onko ssh ja www-ssl palvelut päällä vai ei, ja mistä pääsy niihin on sallittu tai ei.
(Jos mitään palveluasetuksia ei ole määritelty, turvalliset oletusarvot olisivat "ei mitään palveluita päällä" ja "ei pääsyä palveluihin mistään".)

Mitä sanoo seuraava komento:

/ip service print

Saatat tarvita jotain seuraavanlaista:

/ip service
# listataan mistä mihinkin sallittuun palveluun saa päästä
set www-ssl address=192.168.88.0/24,192.168.20.0/24,192.168.30.0/24,192.168.100.0/24
set ssh address=192.168.88.0/24,192.168.20.0/24,192.168.30.0/24,192.168.100.0/24
# laitetaan palvelut päälle
enable ssh,www-ssl
# varmistetaan että salaamattomat palvelut ovat poissa päältä
disable telnet,ftp,www,api,api-ssl

 

[mikajh]

VLANista ei pääse käsiksi laitteeseen käyttäen gateway IP:tä

Jos tarkoitat sitä, että VLAN:ista ei pääse käsiksi laitteen hallintaan, niin se on ihan turvallisuusominaisuus. Eikä pelkästään Mikrotikin.
Oletuksena management VLAN lienee tässäkin tapauksessa 1. Mikrotikin toteutuksesta riippuu, voiko sen vaihtaa joksikin muuksi.
Mitä todennäköisimmin on mahdotonta päästä hallintaan useammasta kuin yhdestä VLAN:ista.

EDIT: Tuon säätämisessä kannattaa välttää aloittelijan virhe sulkea itsensä pois hallinnasta lopullisesti. Jos niin käy, niin factory reset auttaa ja sen päälle asetusten restore.
EDIT2: Tästä voi olla apua Bridge VLAN Table - RouterOS - MikroTik Documentation
EDIT3: Manual:Interface/Bridge - MikroTik Wiki

 

[andelsssi]

Mitä sanoo seuraava komento:

/ip service print

Palvelut olivat oletuksena päällä

Saatat tarvita jotain seuraavanlaista:

/ip service
# listataan mistä mihinkin sallittuun palveluun saa päästä
set www-ssl address=192.168.88.0/24,192.168.20.0/24,192.168.30.0/24,192.168.100.0/24
set ssh address=192.168.88.0/24,192.168.20.0/24,192.168.30.0/24,192.168.100.0/24
# laitetaan palvelut päälle
enable ssh,www-ssl
# varmistetaan että salaamattomat palvelut ovat poissa päältä
disable telnet,ftp,www,api,api-ssl

Määritin addressit ainoastaan VLAN100 (192.168.100.0/24), kerta siitä tarkoitus olisi laitetta hallita. Ei ollut vaikutusta.

Oletuksena management VLAN lienee tässäkin tapauksessa 1. Mikrotikin toteutuksesta riippuu, voiko sen vaihtaa joksikin muuksi.

Todennäköisesti kyllä on. Yritin kyllä etsiä interwebseistä onko itsessään mahdollista määritellä jonnekin Management VLAN mutta en löytänyt tähän vastausta. Mielestäni sinänsä huono, jos ei voisi, kerta ymmärtääkseni esim. Ciscon best praticen mukaan VLAN1 ei käyttettäisi kuin ainoastaan ns. black holena eli sinne ei mene mitään liikennettä.

Mitä todennäköisimmin on mahdotonta päästä hallintaan useammasta kuin yhdestä VLAN:ista.

Voi olla, mutta tarkoituksena onkin päästä hallitsemaan laitetta vain VLAN100 kautta, avausviestissä tavoite ehkä hieman epäselvästi esitetty. Jotkut muiden valmistajien laitteet tämän mahdollistavat kuten esim. Fortinet FortiGate reititin/palomuurit kunhan vain administrative access https/ssh sallittu.

EDIT: Tuon säätämisessä kannattaa välttää aloittelijan virhe sulkea itsensä pois hallinnasta lopullisesti. Jos niin käy, niin factory reset auttaa ja sen päälle asetusten restore.
Tämä tulikin vedettyä jo ja palautetta conffi. Syy miksi en päässyt laitteen hallintaan enää oli kun menin sörkkimään oletusbridgeä, joka on atm ether2 interfacessa.
EDIT2: Tästä voi olla apua Bridge VLAN Table - RouterOS - MikroTik Documentation
EDIT3: Manual:Interface/Bridge - MikroTik Wiki

Pitänee noita katsella ja pyöritellä.

 

[mikajh]

Pitänee noita katsella ja pyöritellä.

Tuossa jälkimmäisessä linkissä näytti olevan täsmäohjeet

 

[andelsssi]

Tähän löytyi lopulta ratkaisu lisästä bonding interface osaksi oletus bridgeä. Tällöin laitteeseen pääsee kääsiksi VLANeista. Vielä pitää tehdä hieno säädöt mistä, mutta muuten voin sanoa että case closed.

Kiitoksia vinkeistä sekä linkeistä, ehkä paremmalla ajalla paneudun tuohon Management VLAN määritykseen.