Hálózatok általános

Nem megy a routing úgy ahogy szeretném, és nem jövök rá, hogy miért.

Az alap felállás a következő:

* van egy test01 szerver (docker host), amin létrehoztam egy docker internal network-öt, 10.241.32.0/24
* van egy test02 szerver (docker host), amin létrehoztam egy másik docker internal network-öt, 10.241.33.0/24
* mindkét szerveren elindítottam egy-egy konténert "gateway" néven, amin beállítottam wireguard-ot. ezeknek a címei az internal hálózatokon 10.241.32.11 és 10.241.33.11, plusz ezek a bridge hálózatban is benne vannak (elérik az internetet)
* ezen felül a test01 szerveren elindítottam egy busybox01-et is, 10.241.32.12 címmel, illetve a test02 szerver is, ott 10.241.33.12 címmel. Ők csak az internal hálózatokon vannak rajta.
* Elvileg mindenhol beállítottam a route-okat, de a két busybox nem látja egymást, illetve a busybox-ok nem érik a távoli gatweway-eket se.

Móricka rajz:

busybox01 <--> 10.241.32.0/24 <--> gateway01  <--> wireguard <--> gateway02 <--> busybox02

A végső cél az lenne, hogy a test01 és test02 gépeken indítsak különféle konténereket az internal hálózatokon, és ez a konténerek elérjék egymást a gateway-eken keresztül.

A gateway01 és gateway02 ezekkel a beállításokkal van indítva:

    -v /lib/modules:/lib/modules \
    --sysctl="net.ipv4.conf.all.src_valid_mark=1" \
    --sysctl="net.ipv4.ip_forward=1" \
    --cap-add=NET_ADMIN

Amennyire én tudom, ennek elégnek kellene lennie ahhoz, hogy gateway-ként működjön.

Ami már működik: a gateway01 és a gateway02 -őn működik a wireguard kapcsolat, és ők látják egymást.

0ba58a4b5cfc:/config# ip a | grep 10.241
    inet 10.241.32.11/24 brd 10.241.32.255 scope global eth0
0ba58a4b5cfc:/config# ping -c 1 10.241.33.11
PING 10.241.33.11 (10.241.33.11) 56(84) bytes of data.
64 bytes from 10.241.33.11: icmp_seq=1 ttl=64 time=22.2 ms

--- 10.241.33.11 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 22.161/22.161/22.161/0.000 ms
0ba58a4b5cfc:/config# 

2bc76d2071c6:/config# ip a | grep 10.241
    inet 10.241.33.11/24 brd 10.241.33.255 scope global eth0
2bc76d2071c6:/config# ping -c 1 10.241.32.11
PING 10.241.32.11 (10.241.32.11) 56(84) bytes of data.
64 bytes from 10.241.32.11: icmp_seq=1 ttl=64 time=22.3 ms

--- 10.241.32.11 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 22.337/22.337/22.337/0.000 ms
2bc76d2071c6:/config# 

A wireguard így néz ki rajtuk (a nyilvános címeket lecseréltem x.y.z.w -re):

0ba58a4b5cfc:/config# wg show
interface: grimdam
  public key: aICWm8W3nJfE7Y/y3ghGHp1GEkBEoCuc0ymodNUh6EA=
  private key: (hidden)
  listening port: 51820

peer: z9XEpgLuNPOfP+0VmubixYd3sqiadpZwfa9ui1Gf8Vk=
  endpoint: x.y.z.w:51820
  allowed ips: 10.241.33.0/24
  latest handshake: 1 minute, 30 seconds ago
  transfer: 4.63 KiB received, 4.38 KiB sent
  persistent keepalive: every 5 seconds
0ba58a4b5cfc:/config# 

2bc76d2071c6:/config# wg show
interface: grimdam
  public key: z9XEpgLuNPOfP+0VmubixYd3sqiadpZwfa9ui1Gf8Vk=
  private key: (hidden)
  listening port: 51820

peer: aICWm8W3nJfE7Y/y3ghGHp1GEkBEoCuc0ymodNUh6EA=
  endpoint: x.y.z.w:51820
  allowed ips: 10.241.32.0/24
  latest handshake: 1 minute, 33 seconds ago
  transfer: 4.26 KiB received, 4.66 KiB sent
  persistent keepalive: every 5 seconds
2bc76d2071c6:/config# 

Hogy kizárjam a tűzfal beállítási hibalehetőségeket, egy forward accept all rule-t adtam hozzá mindkét oldalon. Alább látható a két konténer iptables-save kimenetei. A nat részt nem én adtam hozzá, hanem a docker magától, amit én adtam hozzá az a -A FORWARD -j ACCEPT.

# Generated by iptables-save v1.8.10 (nf_tables) on Sun Feb 25 19:26:57 2024
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -j ACCEPT
COMMIT
# Completed on Sun Feb 25 19:26:57 2024
# Generated by iptables-save v1.8.10 (nf_tables) on Sun Feb 25 19:26:57 2024
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:DOCKER_OUTPUT - [0:0]
:DOCKER_POSTROUTING - [0:0]
-A OUTPUT -d 127.0.0.11/32 -j DOCKER_OUTPUT
-A POSTROUTING -d 127.0.0.11/32 -j DOCKER_POSTROUTING
-A DOCKER_OUTPUT -d 127.0.0.11/32 -p tcp -m tcp --dport 53 -j DNAT --to-destination 127.0.0.11:43875
-A DOCKER_OUTPUT -d 127.0.0.11/32 -p udp -m udp --dport 53 -j DNAT --to-destination 127.0.0.11:44004
-A DOCKER_POSTROUTING -s 127.0.0.11/32 -p tcp -m tcp --sport 43875 -j SNAT --to-source :53
-A DOCKER_POSTROUTING -s 127.0.0.11/32 -p udp -m udp --sport 44004 -j SNAT --to-source :53
COMMIT
# Completed on Sun Feb 25 19:26:57 2024

# Generated by iptables-save v1.8.10 (nf_tables) on Sun Feb 25 19:27:02 2024
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -j ACCEPT
COMMIT
# Completed on Sun Feb 25 19:27:02 2024
# Generated by iptables-save v1.8.10 (nf_tables) on Sun Feb 25 19:27:02 2024
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:DOCKER_OUTPUT - [0:0]
:DOCKER_POSTROUTING - [0:0]
-A OUTPUT -d 127.0.0.11/32 -j DOCKER_OUTPUT
-A POSTROUTING -d 127.0.0.11/32 -j DOCKER_POSTROUTING
-A DOCKER_OUTPUT -d 127.0.0.11/32 -p tcp -m tcp --dport 53 -j DNAT --to-destination 127.0.0.11:36441
-A DOCKER_OUTPUT -d 127.0.0.11/32 -p udp -m udp --dport 53 -j DNAT --to-destination 127.0.0.11:42835
-A DOCKER_POSTROUTING -s 127.0.0.11/32 -p tcp -m tcp --sport 36441 -j SNAT --to-source :53
-A DOCKER_POSTROUTING -s 127.0.0.11/32 -p udp -m udp --sport 42835 -j SNAT --to-source :53
COMMIT
# Completed on Sun Feb 25 19:27:02 2024

A route-ok a következők:

0ba58a4b5cfc:/config# ip route
default via 172.17.0.1 dev eth1 
10.241.32.0/24 dev eth0 proto kernel scope link src 10.241.32.11 
10.241.33.0/24 dev grimdam scope link src 10.241.32.11 
172.17.0.0/16 dev eth1 proto kernel scope link src 172.17.0.2 

2bc76d2071c6:/config# ip route
default via 172.17.0.1 dev eth1 
10.241.32.0/24 dev grimdam scope link src 10.241.33.11 
10.241.33.0/24 dev eth0 proto kernel scope link src 10.241.33.11 
172.17.0.0/16 dev eth1 proto kernel scope link src 172.17.0.2 

A wireguard interface neve mindkét oldalon "grimdam", és a két gateway erre route-olja a másol oldal privát hálózatát.

Eddig minden szép és jó. Ezek után elindítok egy busybox-ot a test01 (docker host) gépen úgy, hogy a címe 10.241.32.12, és a gateway01-el azonos internal docker hálózaton van, és hozzáadom a következő static route-ot:

ip route add 10.241.32.0/20 via 10.241.32.11

Ezután próbálom elérni a vele azonos gépen levő gateway-t (10.241.32.11) és a távoli oldalon levőt is (10.241.33.11), és a következőt látom:

/ # ip route
10.241.32.0/24 dev eth0 scope link  src 10.241.32.12 
10.241.32.0/20 via 10.241.32.11 dev eth0 
/ # ping -c 1 10.241.32.11
PING 10.241.32.11 (10.241.32.11): 56 data bytes
64 bytes from 10.241.32.11: seq=0 ttl=64 time=0.182 ms

--- 10.241.32.11 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.182/0.182/0.182 ms
/ # ping -c 1 10.241.33.11
PING 10.241.33.11 (10.241.33.11): 56 data bytes
^C
--- 10.241.33.11 ping statistics ---
1 packets transmitted, 0 packets received, 100% packet loss
/ # 

Tehát a "közeli" gateway01-el van kapcsolat, és a gateway01-nek is van kapcsolata a gateway02-vel. Viszont a busybox01-nek nincs kapcsolata a gateway02-vel.

Ha traceroute-ot próbálok, akkor a gateway01 nem küld vissza ICMP-t:

/ # traceroute 10.241.33.11
traceroute to 10.241.33.11 (10.241.33.11), 30 hops max, 46 byte packets
 1  *  *  *
 2  *  *  *

Mivel a gateway01 nem jelenik meg a traceroute-ban, ezért azt sejtem, hogy a gateway-nél rontottam el valamit, de nem jövök rá, hogy mit.

Mit rontottam el? A route-ok a rosszak, vagy a tűzfal szabályok, vagy valamilyen sysctl-t felejtettem el?

Köszönöm!

Sziasztok!

OpenWRT (Linux) alatt a dnsmasq a DHCP-n kiosztott IP-ket bejegyzi a helyi LAN-ba, így név szerint lehet elérni
az eszközöket, mindenféle trükk nélkül.

Van ilyen a RouterOS-ben?
Vagy valami megoldás erre?

Köszönöm!

BIX stat alapján átálltak a másik portjukra. Tud valaki részleteket?

Sziasztok!

20:28:37 pppoe,info PPPoE connection established from 94:83:C4:1F:X:Y
20:28:37 pppoe,ppp,error <c0b8>: user <my-id>@t-online.hu authentication failed 
20:28:42 pppoe,info PPPoE connection established from 94:83:C4:1F:X:Y
20:28:42 pppoe,ppp,error <c0b9>: user <ny-id>@t-online.hu authentication failed 
20:28:48 pppoe,info PPPoE connection established from 94:83:C4:1F:X:Y 
20:28:48 pppoe,ppp,error <c0ba>: user <my-id>@t-online.hu authentication failed 
20:28:53 pppoe,info PPPoE connection established from 94:83:C4:1F:X:Y
20:28:53 pppoe,ppp,error <c0bb>: user <my-id>@t-online.hu authentication failed 
20:28:58 pppoe,info PPPoE connection established from 94:83:C4:1F:X:Y 
20:28:59 pppoe,ppp,error <c0bc>: user <my-id>@t-online.hu authentication failed

...

Ebből kilóra van a log-ban!
pppoe-out1 interfész megy:

Mi lehet itt a baj?

Köszönöm! 

[rattila@DHMTr] > ping ipv6.google.com
invalid value for argument address:
    invalid value of mac-address, mac address required
    invalid value for argument ipv6-address
    failure: dns name exists, but no appropriate record
[rattila@DHMTr] > ping index.hu
  SEQ HOST                                     SIZE TTL TIME  STATUS           
    0 194.143.245.39                             56  58 3ms  
    1 194.143.245.39                             56  58 3ms  
    2 194.143.245.39                             56  58 3ms  
    sent=3 received=3 packet-loss=0% min-rtt=3ms avg-rtt=3ms max-rtt=3ms 

Az index.hu-nak van IPv6-os címe is ...

Hogyan lehet IPv6-os címet pingetni?

Köszönöm!
 

Sziasztok!

Mit kell beállítani, hogy pl. a 192.168.1.1-es címről be lehessen SSH-zni a routerbe?

LAN porton megy az SSH, a 192.168.1.1-et meg tudom pinget.
Csináltam tűzfal szabályt, ami az input-ban a legelső szabály és csak TCP+22-es port van beállítva accept-re, de nem
mozdul a számláló és nem megy az SSH.

Köszönöm!

Sziasztok!

Csak elméleti szinten kíváncsiskodok h. ki hogy szervezi az IP ACL-jeit. Igazából rossz és jó megoldás nincs szerintem, inkább az a kérdés h. hogy logikus. Szóval ebben kérném segítségeteket, véleményeteket.

Kifejtem. Tételezzük fel, van egy 3 VLAN-os hálózatom, ahol egy L3 switch a router a hálózatok között. Nyilván nem szeretném h. minden elérjen mindent, ezt ACL-ekkel remekül lehet szabályozni. Igaz h. nem stateful firewall, de az legyen a hostok úri hóbortja a szegmentációs réteg alatt.

Ki hogyan definiálja az acl groupokat, benne az acleket? Pl. vlan1 ingress 'allow-10-10-10-x' vagy esetleg 'allow-web' szemantika alapján? Tehát inkább szolgáltatás? Vagy inkább forrás network/cím alapján készítünk groupokat?

Nyilvánvalóan ugyanez a kérdés az egress-re is érvényes, de maradjunk annyiban az egyszerűség kedvéért h. most csak ingress és IP filtert kezelünk.

 Köszi a válaszokat!

Bocsánat a hosszú szövegért - szeretném ha világos lenne a helyzet.

Van nekem két OPNsense tűzfalam HA rendszerbe összefogva.
Mindkettőn a LAN interface-en vannak VLAN interface-ek.
Mindkettőn megy a DHCP és válaszolnak is mindketten a kérésre.

Itt jön a csavar:
A két válasz teljesen megegyezik kivéve a netmaskot. Az egyik 255.0.0.0 a másik 255.255.255.0-t mond. 
Az utóbbi a helyes.
Emiatt a kliens attól függően, hogy melyiket hallja előbb hol jó lesz hol nem.

Amit eddig csináltam:
Ellenőriztem az összes interface-en a netmaskokat a GUI-ban - OK és egyforma
Megnéztem a konzolon az interface-ek netmaskját ifconfiggal - OK és egyforma 
Megnéztem a DHCP lapon, hogy mit fog hirdetni - OK és egyforma
Lementettem mindkét konfigot xml-be és diffeltem - OK és egyforma (kivéve ahol különbözőnek kell lenni)
Csináltam friss ropogós VLAN interface-t azon is ugyanez a helyzet.
Bár nem logikus, hogy segítene, de megnéztem, ha cserélek master és slave között akkor nem költözik át a hülyeség a másikra.

Konkrétabb információ:
A Master a rossz.
                 Master        Slave
LAN IP       10.0.0.11     10.0.0.12
LAN mask   255.0.0.0     255.0.0.0

VLAN IP      172.20.1.2    172.20.1.3
VLAN mask  255.255.255.0 255.255.255.0

Vannak még interface-ek a szinkronizáláshoz és az egyes interface-eknek van CARP címe is.
Ezek jók.

A wireshark ezt látja a kliensen:
Kimegy egy DHCP request amire jön két ACK a két géptől:
Első:
  Dhcp Server Identidier (Option 54): 172.20.1.2
  Netmask (Option 1): 255.0.0.0
Második:
  Dhcp Server Identidier (Option 54): 172.20.1.3
  Netmask (Option 1): 255.255.255.0
  
Ami gyanús és nem értem, hogy a két szerver más lease time-ot ad meg 
(a master rövidebbet a slave hosszabbat). 
Megnézve a két képen a lease létezi, de más kezdeti és végidőpontokkal.
A lease táblának nem kellene szintén szinkronizálódni a HA-ban?

A helyzet a következő:

van 1 ilyen URL:

Dolby Vision streams | Dolby Developer

Innen akarnám letölteni a sample videókat. De egyiket se engedi: amint kopizom az URL-t, és másik browser tab-ban meg akarom nyitni, mindig ilyen hibaüzenetet kapok:

403 ERROR

The request could not be satisfied.

Bad request. We can't connect to the server for this app or website at this time. There might be too much traffic or a configuration error. Try again later, or contact the app or website owner.
If you provide content to customers through CloudFront, you can find steps to troubleshoot and help prevent this error by reviewing the CloudFront documentation.

Generated by cloudfront (CloudFront)
Request ID:

Több alkalommal is próbáltam, de nem adja a fájlokat sosem. Ötletem sincs mi lehet a hiba.

Létezik h. a kopi link vmi javascriptes anti-hotlinking szarságot csinál a háttérben, amit vmi adblocker megfog nálam, ezért nem lesz érvényes az URL? Mert ugyanazon a LAN-on 2 desktop gép egyikén sem megy, de ugyanezen LAN-on egy androidon meg elindult.

Sziasztok,

Használtam már párszor mikrotik eszközöket, viszont ebbe beletört a bicskám. A tünet a következő: Megnyitok egy oldalt és vagy betölt elsőre vagy sem, néha egyáltalán, több frissítés után sem, néha egy reload megoldja. Kb egy hete el vagyok ezzel akadva és nem jövök rá, hogy mi lehet a baj. Tudtok esetleg segíteni? Nagyjából minden fórumot átolvastam, kértem segítseget a hivatalos discordjukon is, ahol az MTU-ra gyanakodtak, de az sem oldotta meg.

A setup a következő: ISP modem (Vodafone, a brige mód nem opció sajnos, TG3442DE típusú csodadoboz) ---> hAP ax² RouterOS 7.13.3 ---> 1 Pc, pár laptop, mobil és tablet.

Próbáltam MTU-t csökkenteni, MSS clampelni, de amikor azt hiszem meg van oldva a hiba, akkor egyszer csak megint ebbe ütközök. Általában ez a böngésző baja: DNS_PROBE_FINISHED_NXDOMAIN. Ether1-be megy a net, állítólag elég azon belőni az mtu-t, de próbáltam levinni minden interfacen 1460-ra. Az MTU-t ezzel számoltam ki: ping 4.2.2.4 -l 1432 -f

Csatolok egy konfigot, belőttem egy nextDNS-t de azt kikapcsolva is van sajnos baj...

Nagyon köszi előre is minden olvasást, tanácsot,
B

edit: elütések

UPDATE: Vodától kértem ipv4-et, most stabil default configgal is. Köszi mindenkinek a segítseget!

/interface ethernet
set [ find default-name=ether1 ] l2mtu=1560 mtu=1460 poe-out=off
set [ find default-name=ether2 ] l2mtu=1560
set [ find default-name=ether3 ] l2mtu=1560
set [ find default-name=ether4 ] advertise=1G-baseT-half,1G-baseT-full l2mtu=1560
set [ find default-name=ether5 ] l2mtu=1560
/interface wifi
set [ find default-name=wifi1 ] channel.band=5ghz-ax .frequency=5180,5260,5500 .skip-dfs-channels=10min-cac .width=20/40/80mhz configuration.mode=ap .ssid=MikroTik-B73075 \
    disabled=no security.authentication-types=wpa2-psk,wpa3-psk .ft=yes .ft-over-ds=yes
set [ find default-name=wifi2 ] channel.band=2ghz-ax .frequency=2300-7300 .skip-dfs-channels=10min-cac .width=20/40mhz comment="1560 L2MTU" configuration.mode=ap .ssid=\
    MikroTik-B73075 disabled=no security.authentication-types=wpa2-psk,wpa3-psk .ft=yes .ft-over-ds=yes
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge lease-time=10m name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wifi1
add bridge=bridge comment=defconf interface=wifi2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip cloud
set update-time=no
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes use-doh-server=https://dns.nextdns.io/6ba475 verify-doh-cert=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
add address=45.90.28.0 name=dns.nextdns.io
add address=45.90.30.0 name=dns.nextdns.io
add address=2a07:a8c0:: name=dns.nextdns.io type=AAAA
add address=2a07:a8c1:: name=dns.nextdns.io type=AAAA
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward comment="drop access to clients behind NAT from WAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1
/ip firewall mangle
add action=change-mss chain=forward new-mss=1420 out-interface=ether1 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1421-65535
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set irc disabled=no
set rtsp disabled=no
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh port=2200
set api disabled=yes
set winbox address=192.168.88.0/24
/ip ssh
set strong-crypto=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Budapest
/system note
set show-at-login=no
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN