Jump to content
  • 0

couldnt reset configuration-not permitted(9)


sauronnet

Въпрос

Здравейте, от няколко дни при опит за ъпдейт, бекъп или някой по-основни настройки излиза грешка couldnt reset configuration-not permitted(9). Активния потребител е Admin, като това, което ми направи впечатление е, че е в група Admin, а не Full както бе преди. Появил се е и втори потребител System, който е  Full , но аз не съм го създавал него и съответно не му знам паролата. Никой освен мен няма достъп до настройките на рутера.

Някой има ли идея за причината и как може да се орави проблема без да правя ресет  ?

 

Адрес на коментара
Сподели в други сайтове

9 отговори на този въпрос

Recommended Posts

  • 0

изключи protected-routerboot и направи NetInstall

 

ако е в няква сериозна мрежа устройството направи форензик копия на всичко, на флаша, или ги хвани в крачка който е бил  вероятно някой  🖤💩 цвят

 

Редактирано от NetworkPro

-

Адрес на коментара
Сподели в други сайтове

  • 0

Направих ресет и конфигурацията наново  , но с малко по-сериозна парола. 

NetworkPro  да разбирам, че според теб трябва достъп по устройството за да се получи подобно нещо - така ли ?

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 14 часа, sauronnet написа:

Направих ресет и конфигурацията наново  , но с малко по-сериозна парола. 

NetworkPro  да разбирам, че според теб трябва достъп по устройството за да се получи подобно нещо - така ли ?

Използвай правилата по подразбиране на защитната стена.
На дали някой ще те достъпи отвън с тях.

  • Харесай 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Малко продължение по темата. 

Не съм отворил порт 8291 който е по дефоулт за достъп отвън, но все пак стигам до рутера през външното IP.  Какво правило трщбва да се създаде за да няма достъп до рутера  през външното ИП ?

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
/ip firewall address-list
add address=192.168.0.0/16 list=accept
add address=1.2.3.4 list=accept
add address=5.6.7.8 list=accept

/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input icmp-options=8:0-255 protocol=icmp
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input src-address-list=!accept
add action=fasttrack-connection chain=forward connection-state=established,related

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

Ако ether1 ти е WAN, това е най кратката и ефективна защитна стена която можеш да съдадеш, нищо няма да се вижда от вън освен ping а 1.1.1.1 и 2.2.2.2 са ти адреси за достъп от Интернет ако имаш нужда.

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 1 час, Самуил Арсов написа:
/ip firewall address-list
add address=192.168.0.0/16 list=accept
add address=1.2.3.4 list=accept
add address=5.6.7.8 list=accept

/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input icmp-options=8:0-255 protocol=icmp
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input src-address-list=!accept
add action=fasttrack-connection chain=forward connection-state=established,related

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

Ако ether1 ти е WAN, това е най кратката и ефективна защитна стена която можеш да съдадеш, нищо няма да се вижда от вън освен ping а 1.1.1.1 и 2.2.2.2 са ти адреси за достъп от Интернет ако имаш нужда.

Направих посочената от вас конфигурация, и вече през външното IP вече не се достъпва рутра, но когато се свържа отвън  с Wireguard към домашната мрежа също немога да се логна в микротика. иначе локално няма проблем - логва се нормално. Започнах да ги изключвам едно по едно и :

 

add action=drop chain=input src-address-list=!accept 

това е правилото, което след като се добави спира достъпа отвън, но и спира достъпа ако съм свързан през Wirguard. Някакви идеи ? 

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Трябва да добавиш допълнително правило според ситуацията.

Вариант 1: Ako IP адрес на отдалечения рутер с който правиш Wireguard не се променя.

/ip firewall address-list
add address=1.2.3.4 list=accept

Вариант 2: В случай, че отдалечения устройство с който правиш Wireguard адреса се променя (телефон, лаптоп).

/ip firewall/filter
add place-before=2 action=accept chain=input dst-port=13231 protocol=udp

Тоест при вариант 2 пълната конфигурацията трябва да изглежда така:

/ip firewall address-list
add address=192.168.0.0/16 list=accept
add address=1.2.3.4 list=accept
add address=5.6.7.8 list=accept

/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input dst-port=13231 protocol=udp
add action=accept chain=input icmp-options=8:0-255 protocol=icmp
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input src-address-list=!accept
add action=fasttrack-connection chain=forward connection-state=established,related

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

 

  • Харесай 1
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Я пробвай така
 

/interface list member add list=LAN interface=bridge comment="defconf"
/interface list member add list=WAN interface=ether1 comment="defconf"
/ip firewall nat add chain=srcnat out-interface-list=WAN ipsec-policy=out,none action=masquerade comment="defconf: masquerade"
/ip firewall {
filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
filter add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
filter add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
filter add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
filter add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"
}
/ipv6 firewall {
address-list add list=bad_ipv6 address=::/128 comment="defconf: unspecified address"
address-list add list=bad_ipv6 address=::1 comment="defconf: lo"
address-list add list=bad_ipv6 address=fec0::/10 comment="defconf: site-local"
address-list add list=bad_ipv6 address=::ffff:0:0/96 comment="defconf: ipv4-mapped"
address-list add list=bad_ipv6 address=::/96 comment="defconf: ipv4 compat"
address-list add list=bad_ipv6 address=100::/64 comment="defconf: discard only "
address-list add list=bad_ipv6 address=2001:db8::/32 comment="defconf: documentation"
address-list add list=bad_ipv6 address=2001:10::/28 comment="defconf: ORCHID"
address-list add list=bad_ipv6 address=3ffe::/16 comment="defconf: 6bone"
filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
filter add chain=input action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
filter add chain=input action=accept protocol=udp dst-port=33434-33534 comment="defconf: accept UDP traceroute"
filter add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/10 comment="defconf: accept DHCPv6-Client prefix delegation."
filter add chain=input action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
filter add chain=input action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
filter add chain=input action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
filter add chain=input action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
filter add chain=forward action=drop src-address-list=bad_ipv6 comment="defconf: drop packets with bad src ipv6"
filter add chain=forward action=drop dst-address-list=bad_ipv6 comment="defconf: drop packets with bad dst ipv6"
filter add chain=forward action=drop protocol=icmpv6 hop-limit=equal:1 comment="defconf: rfc4890 drop hop-limit=1"
filter add chain=forward action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
filter add chain=forward action=accept protocol=139 comment="defconf: accept HIP"
filter add chain=forward action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
filter add chain=forward action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
filter add chain=forward action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
filter add chain=forward action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
}
/ip neighbor discovery-settings set discover-interface-list=LAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

Правилата на Самуил важат, но е по добре да са в групи интерфейсите, за да се създават по лесно и ясно да се прилагат правилата спрямо тях.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.