Mikrotik WiFi klient, LAN

Ne. Predpokladam, ze ten Mikrotik na strese spravuje poskytovatel pripojeni. Ten tvuj vlastni router mu zabranuje v tom, aby videl zarizeni ve tve siti a mohl na ne pristupovat. Taky ten tvuj router pravdepodobne provozuje DHCP server (tj. dava tvym zarizenim IP adresy, aby spolu mohla komunikovat a "chodit na Internet"), coz ten na strese nemusi delat.

Dovoluji si tvrdit opak NAT ti neschová zařízení :D NAT neni firewall a DHCP už bude na tom zařízení co ti spravuje ISP předpokládam a mít dva NATy za sebou je uplná pičovina :D takovýhle sítě jsou pak skvělí když potřebuješ otevřít port někam do netu apd.Tazateli doporujčuju se zeptat ISP jak to udělat co nejlépe ten by tomu měl trochu rozumět :)

To bych si tedy opak tvrdit nedovolil ;) Opravdu si myslíš, že je rozumné mít svoje síťová zařízení připojená přímo na router ve správě poskytovatele? Já myslím, že není. A kromě toho, když si zapojí za to vlastní router, tak to není jen NAT, ale aspoň základní firewall v tom je taky.

Jinak dva NATy za sebou ničemu nevadí.

ipsec, l2tp, ftp, sip…

No a? Pokud nutně tyhle věci potřebuje (pakliže vůbec provozuje veřejnou IP), tak celá složitost nastavení spočívá v tom, že ho musí provést 2x, když bude mít 2 NATy :) To je malá daň za to, mít síť oddělenou poskytovatele.

Mluvím o klientském použití, nikoliv o serverovém. Navíc jsem reagoval na to tvoje "mít dva NATy ničemu nevadí" tak ti vyjmenovávám, kde všude to vadí…

No a? Chceš tvrdit, že přes jeden NAT to projde a přes dva ne?

Zajímavé, že mně skrz dva NATy (a možná je jich víc...) IPSEC, L2TP i FTP chodí. SIP nepoužívám, ale pokud vím, také je to TCP/UDP. Pod kontrolou mám NAT jen jeden, a stejně tak to bude mít většina lidí, co nemá veřejku.Jo, kdybyste psal třeba o PPTP, kde je problém kvůli GRE, tak neřeknu ani popel.

plně souhlasím s jackem. Ale na to, zda to vůbec tazateli takto půjde máme sakra málo informací. Rozhodně bezpečnější je to, jak to je nyní.

Kde jsem zminil NAT nebo dokonce tvrdil, ze NAT je firewall?

Nat že "neschová" zařízení? A jakpak že se někdo připojí k mému NAS serveru 192.168.10.10 schovaným za mým NAT-routerem LAN192.168.10.1 / WAN192.168.88.20 ze sítě 192.168.88.x, pokud nemám forwardované porty?

Uplne jednoduse, posle tam paket na cilovou adresu. Ten ale nedojde, protoze mas zaroven aktivovany firewall, ktery brani v pruchodu vsem paketum "zvenku", jez nejsou soucasti nejakeho existujiciho spojeni.

NAT není firewall. SPI je firewall, a tím je vybavené každé domácí zařízení vybavené NATem. Jde to docela ruku v ruce. Ještě jsem neviděl zařízení pro BFU s NATem bez SPI.

Nebylo. Ten Mikrotik si konfiguruje provider podle svých potřeb a router zase ty podle svých potřeb.

Ahoj, omlouvám se za nepřesnost, Mikrotik je můj, já si spravuji připojení k providerovi.

Hlavně mám strach, abych měl správně nastavené zabezpečení, aby mi z wlan nemohl někdo do lan. Mám zařízení nově a teprve se s ním učím pracovat.

Mikrotik je v zakladnim nastaveni celkem bezpecny, takze pokud jsi tam nedelal nejake velke zmeny, mel bys byt v poradku. Pokud se bojis, hod nekam screenshot ze sveho nastaveni firewallu (nebo prislusne radky z konfigurace).

no tak to je skoro vtip dne:) základní nastavení se často rovná bůhví jak stará verze OS a firmware:(

Ty vis o nejake verzi RouterOS, ktera by byla *v defaultnim nastaveni* napadnutelna z WAN ?

Firmware jsem samozřejmě okamžitě updatoval.

Ty asi casto nectes doporuceni od Mikritiku, ze? A ja se zdaleka neomezil jen na utok na wan port, resp. na to, co byva za wan port povazovano:)

Ctu. Stejne i od spousty dalsich vyrobcu (pokud se necim takovym obtezuji). Tazatel se ptal, jestli ho Mikrotik dokaze odstinit od vnejsi site a v tom duchu taky odpovidam.

Nastavení firewallu jsem zatím vůbec nijak nenastavoval.

Pak je ten router mezi tim Mikrotikem na strese a switchem zbytecny, pokud zaroven neslouzi jako WiFi AP.

Děkuji, myslel jsem si to. Bojím se ale zabezpečení. Poskytovatel má šifrování jen wep. Stačí mít pouze silné heslo do administrace, nebo je potřeba zakázat administraci z wlan? Popřípadě jak?

zkus kouknout na návody, po internetu je jich hafo. Nastavování mikrotika vypadá sice úděsně pro laiky, ale za chvíli se v tom zorientuješ.

Administrace z WAN je zakazana uz od vyrobce. Pokud jsi na tom nic nemenil ani ty ani ten poskytovatel, melo by to byt v poradku.

A pak mame exploity, utoky napric siti atd...

Jak to souvisi s tazatelovym dotazem a situaci?

S tvym tvrzenim, ze Mikrotik je v defaultu celkem bezpecny...

Ty vis o nejakem funkcnim exploitu smerem z WAN na Mikrotik v defaultnim nastaveni?Co se tyka "utoku napric siti" tak tezko rict, co si o to predstavujes. Ale pokud jde on napadeni routeru z vnitrni site pres kompromitovany stroj v LAN (z pohledu routeru), tak je to problem obecny a netyka se Mikrotiku vic, nez jinych routeru. Zkus byt konkretnejsi - obecne pojmy sem dokazu davat taky, ale nepomuze to konstruktivni diskusi.