Archiv rubriky: LAN a WiFi

Povolení starší verze sdílení SMB v1 SMB v2

Z důvodu bezpečnosti byla vypnuta podpora SMB1. Pokud jste si vědomi rizika a přesto potřebujete povolit SMB1 tak to provedeme pomocí aplikace powershell spuštěné s oprávněním správce.

Povolení a zakázání ve SMB Windows 10 a Windows 8.1

SMB v1 ve

//stav služby smb1
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
//povolení služby smb1
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
//zakázání služby smb1
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

SMB v2/v3

//stav služby smb2
Get-SmbServerConfiguration | Select EnableSMB2Protocol
//povolení služby smb2
Set-SmbServerConfiguration -EnableSMB2Protocol $true
//zakázání služby smb2
Set-SmbServerConfiguration -EnableSMB2Protocol $false

Povolení a zakázání SMB ve Windows 8 a server 2012

SMB v1

//stav
Get-SmbServerConfiguration | Select EnableSMB1Protocol
//povolení
Set-SmbServerConfiguration -EnableSMB1Protocol $false
/zakázání
Set-SmbServerConfiguration -EnableSMB1Protocol $false

SMB v2/v3

//stav
Get-SmbServerConfiguration | Select EnableSMB2Protocol
//povolení
Set-SmbServerConfiguration -EnableSMB2Protocol $true
//zakázání
Set-SmbServerConfiguration -EnableSMB2Protocol $false

Povolení a zakázání SMB ve Windows 7 a server 2008

SMB v1

//stav
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
//povolení
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
//zakázání
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

SMB v2/v3

//stav
Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
//povolení
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force
//zakázání
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Odkazy:

https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3
https://support.microsoft.com/cs-cz/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server

Nejde se připojit k VPN serveru za NAT

Pokud provozujete VPN server, který je umístění až za NATem, tak se můžete mít problémy s připojením k síti. Při pokusu k připojení se zobrazí chyba: „The network connection between your computer and the VPN server could not be established because the remote server is not responding…“. Je to upůsobeno tím, že ve výchozím nastavení neumožňují přidružení zabezpečených síťových adres k serverům umístěným za NAT.

Chyba při připojení VPN serveru za NAT

Chyba připojení k VPN server

Pokud musí být server VPN za zařízení NAT a používáte protokoly IPsec NAT-T, tak můžete povolit komunikaci změnou hodnot v registrech. Řešením je přidání proměnné AssumeUDPEncapsulationContextOnSendRule do registru. To provedeme následovně:

//spustíme s oprávněním správce
regedit.exe
//přejdeme do klíče
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
//zde vytvoříme proměnnou DWORD (32 bit) s názvem
AssumeUDPEncapsulationContextOnSendRule
//hodnotu nastavíme hexidecimálně na
2
//restartujeme PC

 

Mikrotik: změna WAN z DHCP na statickou IP adresu

Zakážeme DHCP klienta v IP>DHCP client>ether1-gateway. Pokud by jsme to neudělali a v síti by běžel DHCP server, tak se bude mikrotik snažit načíst adresu z DHCP serveru.

Pro rozhraní ether1-gateway přidáme pevnou IP adresu v IP>Addresses>+

Hodnoty vyplníme dle údajů od poskytovatele připojení.

Dále nastavíme výchozí bránu IP>Routes>+

Dst. Address 0.0.0.0/0
Gateway 188.246.98.97

Dále nastavíme DNS v IP>DNS a zde nastavíme hodnoty dle poskytovatele. Případně můžeme přidat free DNS servery od společnosti Google 8.8.8.8 a 8.8.4.4.

Statické nastavení DNS IP>DNS>Static>Settings pro přidání svých zařízení pro překlad adres.

Mikrotik: LAN jako DHCP server

V našem příkladu budeme chtít, aby nám DHCP server běžel na adrese 192.168.2.1. To provedeme následovně.

  1. změníme rozsah přiřazovaných adres DHCP serverem v IP>POOL>POOLS
    proměnou default-dhcp nastavíme na 192.168.2.200-192.168.2.229

  2. změníme adresu DHCP serveru IP>DHCP server>Networks
    proměnou Adress na 192.168.2.0/24
    Gateway 192.168.2.1
    DNS server 192.168.2.1

  3. teď můžeme změnit adresu rozhraní ether2-master-local na 192.168.2.1
    to provedeme v IP>Addresses
    Address 192.168.2.1/24
    Network 192.168.2.0

Pokud máme vytvořený bridge (např. LAN+WiFi) a chceme na všech rozhraních použít stejný DHCP server, tak musíme nastavit proměnnou interface v IP>DHCP server>DHCP><název DHCP serveru> na bridge.

Nastavení DHCP serveru na bridge

Nastavení DHCP serveru na rozhraní bridge

Privátní rozsahy IP adres

Prefix

První adresa

Poslední adresa

Počet adres

10.0.0.0/8

10.0.0.0

10.255.255.255

16,777,216

172.16.0.0/12

172.16.0.0

172.31.255.255

1,048,576

192.168.0.0/16

192.168.0.0

192.168.255.255

65,536

Mikrotik: WAN jako DHCP client

Základní nastavení je přednastavené již od výrobce (RB750). LAN DHCP server běží na adrese 192.168.88.1. Pokud by vymažete defaultní nastavení a konfigurujete mikrotika ručně, tak nového DHCP klienta na WANu vytvoříme v sekci IP>DHCP client>+. Poté nastavíme interface na kterém DHCP klient poběží.

WAN jako DHCP client

WAN jako DHCP client

Mikrotik: statický DNS a přenesení DNS od poskytovatele

IP>DNS>

Hodnoty vyplníme dle poskytovatele. Případně můžeme přidat free DNS server od google s adresou 8.8.8.8 a 8.8.4.4.

IP>DNS>Static> nastaveni lokálních hostname

Povolit přenesení DNS od poskytovatele pomocí volby Allow Remote Requests.

přenesení DNS od poskytovatele

přenesení DNS od poskytovatele

Mikrotik: SNTP klient (automatické nastavení času)

SYSTEM>SNTP Client

Zašktrknout „enabled“, přepnout mód na „unicast“ a nastavit servery na:

64.236.96.53

ntp.nic.cz (217.31.202.100), time-nw.nist.gov (131.107.13.100), ntp.amnic.net (195.43.74.123)

SYSTEM>Clock

a nastavit „Time zone“ na „Europe/Prague“

/system clock
set time-zone-name=Europe/Prague
/system ntp client
set enabled=yes primary-ntp=217.31.202.100 secondary-ntp=131.107.13.100

Mikrotik: změna hesla administrátora

Klikneme na „System>password“ a zadáme staré a nové heslo.

Změna hesla

Změna hesla

Mikrotik: export a import konfiguračního souboru a záloha konfigurace

Export a import konfiguračního souboru

Potřebujeme-li vyexportovat nastavení mikrotiku v textové podobě lze použít příkazy export a import. Možnost tohoto exportu oceníte při přenosu nastavení na jiný typ routru mikrotik. Případně pokud hledáte chybu v nastavení, tak zjistíte všechny změny od defaultního nastavení. Při exportu se neexportuje heslo administrátora, ale hesla uživatelů do VPN a podobné nastavení se vyexportují včetně uživatelského jména a hesla.

/export compact file=nazev-souboru
/import nazev-souboru.rsc

Ve složce Files vznikce soubor nazev-souboru.rsc kde jsou veškerá nastavení.

Pokud při importu dojde k chybě „already have device with such name“ je většinou způsobeno nesmazaným Bridgem z defaultní konfigurace. Před importem je nejlepší provést reset do výchozího nastavení a následně odstranit defaultní kongiguraci. A pak provést import nastavení. Pokud používáme kartu Mini PCIe 3G/LTE je potřeba před importem provést přenastavení karty v System>Routeboard>USB a vybrat Mini PCIe.

Jestli mikrotik při importu hlásí chyby, je dobré před nastavením smazat z mikrotiku veškeré nastavení, pomocí příkazu:

/system reset-configuration no-defaults=yes skip-backup=yes

případně:

/system reset-configuration no-defaults=yes run-after-reset=<název souboru umístěný v pevné paměti>

Nastavení lze vymazat i přes konzoli winbox a to v nabídce System>Reset configuration.

Import rsc souboru

Reset konfigurace přes aplikaci Winbox

Dále doporučuji do rsc souboru se zálohou nastavení přidat na první řádek, tento příkaz:

:delay 10

A rovnou nastavit i heslo pro přihlášení:

pass old-password="" new-password="<nové heslo>" confirm-new-password="<nové heslo>"

Záloha nastavení

Pokud provede zálohu nastavení pomocí nabídky Files>Backup tak se vytvoří binární soubor který obsahuje všechna nastavení a data. Je to ideální nastavení pokud měníte kus za kus. Ale pokud chcete použít stejné nastavení na jiném mikrotiku potažmo v jiném místě dejte si pozor na to že automaticky dojde k přenastavení MAC adress dle původního mikrotiku. Vymazat nastavení MAC adresy lze v Interface>název-připojení a na záložce General klikneme na tlačítko Reset Mac Address.

TFTP server TFTPD32/64

Občas pro přehrání firmware nebo zavaděče je potřeba TFTP server. Mě se pro svou velikost a jednoduchost osvědčil TFTPD32 případně TFTPD64. Můžete jej stáhnout na adrese http://tftpd32.jounin.net.

Po stažení a rozbalení archívu spustíme na 64bitovém systému tftpd64.exe. A následně nastavíme tftpd64.

TFTP server nastavení

TFTP server nastavení služeb

TFTP server nastavení cesty a vybrání síťové karty

TFTP server nastavení cesty a vybrání síťové karty

Syslog

Syslog

TFTP server nastavení cesty a síťové karty

TFTP server nastavení cesty a síťové karty