-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
senior tag
Bocsi, de én (mi) csak két (privát) alhálózat között szeretné(n)k átjárást létrehozni.
Gondoltam(uk) a Mikrotik-ben is ez max 2-3 sor route bejegyzés.
Erre belinkeltél egy több száz oldalas leírást (ami nem baj, csak arcul csapott :-))). Erre írtam az, hogy bonyolult, és inkább választunk más eszközt, pl Tomato vagy Dd-Wrt alapon. Ezeken megoldani egy ilyet nem egy nagy varázslat. -
őstag
válasz Zwodkassy #153 üzenetére
Nos, nem mondtad hogy két privát alhálózatról van szó. Azt mondtad "2 (vagy akár több) hálózat között".
A képen pedig több hálózat látható.
Ha statikus, egyszerű megoldást akarsz, akkor az is megoldás amit te magad felvetettél, routing tábla szerkesztése.
-
Frederic
tag
Sziasztok!
Mikrotik routerhez értő szakembert keresek projekt jellegű munkára. Fizetés megbeszélés szerint.
Ne egyél mosatlan gyümölcslevet! Főleg ha nem tudsz fára mászni!
-
Sanyi19
őstag
Sziasztok, egy mikrotik routerboard-al szeretnék wifin megosztani kábelmodemes internetet, de sehogy nem akar működni. Új vagyok még ebben a témában. Azt hogy tudom beállítani, hogy a routerboard lan portján menjen be betáp, majd ezt tolja ki wifin? Valami egyszerű tutorialt tudtok ajánlani?
[ Szerkesztve ]
“Az élet nagy titka az, hogy nincs nagy titok. Bármi legyen is a célod, elérheted, ha hajlandó vagy érte tenni.” (Oprah Winfrey)
-
őstag
A LAN-on van net?
Mert ha oda eljutottál már, hogy a router felcsatlakozik a netre, NAT működik mind a két irányba, akkor már csak egy bridge interface-t hozzál létre a LAN és a WIFI interface közé. Switch IC-kbe sosincs bekötve a WIFI emlékeim szerint, így bridge kell hozzá.
-
sza.sa
tag
Sziasztok!
Egy ismerősöm keres olyan Wifis routert, melyiknél be lehet állítani, hogy pl. a WLAN-on max csak 2Mbit sávszélt tudjanak használni, a többi mehet a LAN csatlakozásokon. Sima routernél nem találtam ilyet, Mikrotiknál van olyan ami tudja ezt?
sza.sa
-
Sanyi19
őstag
Létrehoztam egy bridge1-et. Portokat: ether1 a bridge1-el, wlan a bridge1-el, ether2, ether3 a bridge1-el, és dhcp szerver ether 2, ether3-ra. Ez így most működik. Ez így okés? wlan-ra nem kell dhcp szerver? vagy ez az ap bridge az ip-ket is kiosztja?
“Az élet nagy titka az, hogy nincs nagy titok. Bármi legyen is a célod, elérheted, ha hajlandó vagy érte tenni.” (Oprah Winfrey)
-
őstag
Melyik porton jön be a net? Egyáltalán melyik modellről beszélünk?
Csak hogy milyen switch IC van benne. A LAN-nak szánt portokat célszerű azon belül összekötni, hogy HW-ből legyen megoldva. A létrehozott bridge interface ugyanis SW-ből fut, eszi az erőforrásokat. Akkor is, ha csak két gép közt másolnál gigabiten mondjuk. Amit a SW IC kisujjából kiráz, router észre se veszi hogy történik valami.
Pont ezért - bár nem tudom a felállást amit használsz - kiragadnám a WAN portot, többit beraknám egy SW-be ha olyan modellről van szó amit támogatja, és a SW-master portot és a WIFI-t kötném össze bridge interface-be.
A wlannak külön nem kell DHCP szerver. Mivel bridge bekötötted, a bridge-n át megkapja a szolgáltatást. Viszont ha eth2 és eth3 is be van most rakva bridgebe, és külön DHCP-t csináltál mind a kettőre, egyiket töröld mert szükségtelen.
-
Sanyi19
őstag
ether1-en, rb532-es.
A másik dolog, hogy most úgy van össze kötve, hogy egy tp-link router elé van rakva, mert mac klónozásra lenne szükségem, kábelmodemből jönne a net. Ki akarnám szedni, de nem tudom módosítani az ether1 mac címét valamiért nem engedi.
/interface ethernet set ether1 mac-address=hálókártya macem kettősponttal tagolva
azt írja rá:
failure: could not set mac address
“Az élet nagy titka az, hogy nincs nagy titok. Bármi legyen is a célod, elérheted, ha hajlandó vagy érte tenni.” (Oprah Winfrey)
-
őstag
Sajnos RB532 elég régi példány, plusz más célra van igazándiból szánva.
Így nincs is benne SW IC, tényleg mindent bridge-be kell rakni.Az, hogy nem lehet átírni a MAC címet, számomra furcsa. Gondolom összefüggésbe van azzal hogy más architektúra, más ethernet vezérlő, más HW. Lehet ez még nem támogatta. Az meg másik dolog, hogy a rajta lévő RouterOS alapból vinné, de elutasítja a parancs végrehajtását.
Nekem 7xx és 9xx eszközön is ment a MAC cím átírása, szintén kábelnet miatt volt rá szükség.
Nem lenne jobb megoldás, ha lecserélnéd ezt a régi példányt egy újabbra? Mondjuk amit megkapni olcsón, "SOHO" szériák, elég béna WiFi-vel rendelkeznek, kivéve az egyetlen wifis példányt az RB2011 szériából.
mod: most látom, eth1 CPU-ba van integrálva. Próbáld meg átállítani az eth1 vagy eth2 MAC címét.
[ Szerkesztve ]
-
őstag
Mármint úgy értem, mindegy melyik portra dugod akkor a "betápot".
Egy portot szedjél ki a bridgeből, egyetlen DHCP szervered legyen.
Mivel kábelnetet mondtál, legyen DHCP kliens a bridgeből kiszedett portból (WAN). Utána srcnet + masquarade a kimenő portra. Firewall accept szabályok (fontos hogy LAN oldalról mehessen ki forgalom).
Ennyi. -
jbl
aktív tag
Nekem ezzel működik. Mikrotik Torrent QOS
QOS 8-ra tettem a torrent-et
Igaz QOS 8-ra már nem jut el semmi, azért mert torrent titkosítva van. Layer 7-tel biztos meg lehetne oldani, de az meg zabálná a cpu-t.Szóval nálam marad így.
QOS 1 = 80,53,443 ( http, dns, https )
QOS 2 = 110,25,995,465,587,21,113
QOS 7 = tcp/udp minden más forgalom, ami nincs a szabályba, az a legalacsonyabb prioritású. -
senior tag
Úgy látom, hogy te "mangle"-ban csak "mark-packet"-et használod. Kölünböző leírásokban, videókban a "mark-packet" mellet a "mark-connection"-t is használják. Van ennek jelentősége? Őszintén szólva még nem igazán vágom a kettő közötti eltérést :-)
Másik. Úgy nézem, te minden QoS-hez (1,2,7,8) csinálsz In és Out verziót is, mégpedik úgy, hogy egyszer a bejövő forgalomnál nézed "src-port"-ot, majd a kimenő forgalomnál a "dst-port"-ot. Kérdés: amikor pl böngészek, a kifelé menő forgalom "dst-port"-ja tcp:80, de a visszairányú forgalomnál már nem "src-port" tcp:80 lesz, nem igaz?
Bocsi, ha nagy botorságot írtam :-)[ Szerkesztve ]
-
senior tag
Hi All!
Valaki használt már USB GPS eszközt MT-n időszinkron céljából?
Érdekelne milyen eszköz kapható idehaza MT-hez. -
senior tag
Azt látom, hogy van GPS csomag a MOS-ben. Gondoltam ha van ilyen, akkor támogat is vmilyen GPS eszközt, mondjuk USB-n keresztül. És hogy mire is kellene: Időszinkronizáláshoz. Ugyanis lehet kapni GPS alapú időszinkron cuccokat (GPS Time Server, NTP), de x100ezres kategória, mivel 10 a minusz sokadikon pontosak. De nekem az mp pontosság is bőven elég!
Mielőtt még megkérdeznéd: nincs vagy nem lehet/szabad az interneten keresztül szinkronizálni. -
őstag
-
senior tag
Az eszközök/gépek amiket szinkronizálni kellene NTP/SNTP alapon mennek (köztük Windows-os gépek is :-).
Viszont az, hogy nem Interneten keresztül kéne az időszinkront megoldani, azt nem tartom különleges dolognak. Számos helyen (főleg ipari, gyártás-technoloógiai stb környezetben) nem elfogadott (egyszerűen nem megbízható forrás) az Interneten keresztüli szinkronizálás (talán másodlagos forrásként elfogadható, bár erre nem merném a nyakamat tenni). -
senior tag
Valakinek valami tapasztalata van már USB-LAN átalakító és Miktorik RouterBoard/RouterOS között.
Értem ezalatt: bedugok egy ilyen kütyüt az RB USB portjáta, majd felveszem mint Ethernet Interface-t.
Én egy ilyen kütyüt http://www.delock.de/produkte/F_671_USB ... kmale.html
próbaképpen rácsatlakoztattam egy Rb951g-2hnd cuccra, ami a System/Resources/USB részben gyönyörűen fel is ismerte :-)
Na de hogyan tovább?
És igen! Van olyan eset, amikor jól jöhet +1 ethernet port. Nem akarok +1 switch-et még használni, cipelni, helyet és konnektor foglalni vele stb-stb. -
őstag
Meg kell hagyni, remekül működik, bár megbütyköltem kissé.
Nekem torrent nincs, steames játék letöltésével szoktak viszont gondjaim lenni az előző beállításokkal.
Most jön le maxon a 4.6gbo-s natural selection, de a böngészést nem akadályozza. Beraktam egy netrádiót szólni, viszont az akad rendesen, mert egy szinten van a steam letöltéssel.qos7 elvben mindent megfog, mert úgy van beállítva, hogy minden ami eddig nem volt bekategorizálható. Így qos8-ra nem tud ráfutni semmi sem.
Azon kívül nem értettem, miért van qos7-ben külön tcp, külön udp, és külön "maradék". Mivel nem port szinten kezeled már ott, kár megadni hogy tcp vagy udp, elég a "maradék" és abba beletartozik akkor az is.Plusz nekem ez a mangle felosztás picit átláthatatlan, később még átdolgozom és jobban beszintezem.
-
senior tag
Ha csak tárhelyet támogat az USB-n, akkor miért van a Supported Hardware listában USB ethernet cucc?
http://wiki.mikrotik.com/wiki/Supported_Hardware
És hát USB-3G modemet már én magam is használtam/élesztettem MikroTik-en.Ahogyan elnézem, nem egy embernek sikerült is ezt a funkciót életre kelteni :-)
http://forum.mikrotik.com/viewtopic.php?f=2&t=73502Kis nyomozás után kiderült, hogy az általam próbált átalakítóban Asix AX88179 chipset van, ami még nem működik jel RouterOS sorozatban :-(
Viszont a régebbi Asix AX88172 chipset működőképes :-) -
Machinehead
csendes tag
Sziasztok,
egy load balance-ot szeretnék megcsinálni egy mikortik r500-as routerboard-al. Ennek a videónak a mintájára próbáltam. [link]De nincs net. Egyik interface-el sem tudok pingelni kifele.
Az egyik internet egy routerből jön DHCP-vel, a másik pedig egy kábel-modemből jönne.
Valami kis segítséget kérhetnék? Valami jó tutorialt vagy videót tudnak valaki mutatni?
Előre is köszönöm szépen!
-
Sanyi19
őstag
válasz Machinehead #188 üzenetére
Na ez engem is érdekelne, én is kipróbálnám!
“Az élet nagy titka az, hogy nincs nagy titok. Bármi legyen is a célod, elérheted, ha hajlandó vagy érte tenni.” (Oprah Winfrey)
-
őstag
válasz Machinehead #188 üzenetére
Az nem jó ha ennek a videónak a mintájára csináltad, mert itt fix IP címekkel megy a variálás.
-
senior tag
Valaki próbáltam már ezt a "Brute force login prevention" módszert?
http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention
/ip firewall filter
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3hNekem már az első sokertelen/hibás próbálkozásnál megcsinálja a tiltólistát, és onnantól kezdve nincs belépes :-(
Az első lépést még értem is:
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"De a másodikat vagy nem értem, vagy nem működik - legalábbis nem úgy, ahogyan én gondolom:
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
Ha jól sejtem, ez 10 sikertelen belépés után bekorlátoz 1 percre. Hát én kipróbáltam 20 sikertelen próbát is 1 percen belül, de a 21-ikre simán beengedett :-)És az utolsó:
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h
A legelső sikertelen próba után betesz az "ftp_blacklist"-be :-(Valamit nagyon benézek vagy nem értek :-(
-
senior tag
Nincs engedélyezve se SSH se FTP.
Problem? Solved.1. Köszi a feltételezés :-)
De mint azt írtam is - bár nem pontosan:
"De a másodikat vagy nem értem, vagy nem működik - legalábbis nem úgy, ahogyan én gondolom:
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
Ha jól sejtem, ez 10 sikertelen belépés után bekorlátoz 1 percre. Hát én kipróbáltam 20 sikertelen próbát is 1 percen belül, de a 21-ikre simán beengedett :-)"
Ehhez annyi kiegészítés jár, hogy az első feltételt kikapcsoltam (ezt nem ítam az előbb). Tehát beenged, nemhogy 10 sikerertelen bejelentkezés, de 20 után is. Azaz engedélyezve van az FTP.2. Az SSH-val még nem is foglalkoztam, gondoltam egyszerre csak 1 lépést teszek meg :-)
-
gra3o
csendes tag
Sziasztok!
Van valakinek tapasztalata Mikrotik VPN (L2TP+IPSEC) kapcsolattal?
Röviden a probléma: A Mikrotik routerbe kellene kapcsolódnom L2TP-n keresztül IPsec titkosítással. A kapcsolat látszólag odaáig jut el, hogy az IPsec felépül majd kidob.
"Egy rossz óra is naponta kétszer jó időt mutat"
-
bacus
őstag
válasz Zwodkassy #191 üzenetére
Pedig viszonylag egyszerű a gondolat menet. Ha tiltó listás ne engedd be,
2. Ha az ftp szerverről az adott válasz jön, engedd be adott ideig
3. Idő után rakd tiltó listára.A tűzfal szabályok kiértékelése az első illeszkedő szabályig tart, azaz
Pár próbálkozásig be kellene engedje a csomagokat. Én használom ezt, de
Nem teljesen így. Több lépcső után titulálom behatolónak,
Azaz a beengedő szabály előtt van egy add a gyanús listához, ha eddig nem volt az, majd
További próbálkozás után, beteszem a nagyon gyanús listába, de ennek
Már az is feltétele, hogy gyanúsnak kell legyen, stb. Majd a legvégén a tiltó
Listára teszem, de csak 1 napra, mert lehet , sőt majdnem valószínű, hogy másnap
Már nem az az ip címeRemekül működik, az ssh betörési kísérletek száma drasztikusan
Lecsökkent, kb az ezredére!, napi 100 ról, 10 naponta 1 re..Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
senior tag
Hali Bacus!
A Tűzfal szabályok kiértékelésének menetét nagyjából ismerem/ismertem. Számomra a "gondot" a "Dst-Limit" működése okozta. Mivel választ nem kaptam a működésére, elkezdtem a dologgal játszani. Jelenleg (idő hiányában) ott tartok, hogy a "Limit" már játszogattam egy kicsit. Amit én félreértettem mind a "Limit" és mind a "Dst-Limit" kapcsán az a konkrét működése. Ugyanis egy 20/1min beállítás esetében, én azt hittem, hogy ez azt jelenti, hogy 20db esemény fér bele percenként, és utána jön a következő szabály. Valójában ez egy sebesség érték. Azaz 20db/perc sebességet figyeli :-)) Sajnos a "Burst" érték kezelését még mindig nem sikerült megfejtenem :-((
Amit hiányolok a három soros tűzfal-szabályban, hogy csak az első sorban definiálja a TCP protokoll mellett a 21-es port számot (bár végül is így is jó lehet):add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3hAnnyit mindenesetre már csiszoltam a dolgon, hogy én első körben ellenőrzöm a protokollt (TCP) és a hozzá tartozó portot (21), és ha ez teljesül akkor egy külön "Chain" használok a további feldolgozásra (action=jump). Számomra könnyebben érthető és átlátható. Egyébként a te általad leírt több lépcsős feldolgozás sem rossz ötlet :-)
-
senior tag
Hi!
Kihajlok ezen a Ip/Firewall/Filter részen
Már azt hittem sikerült megfejtenem a "limit" működését, de most vhogy csak nem úgy működik, ahogyan én szeretném.
A következőket adtam meg:/ip firewall filter
add action=jump chain=input comment="ICMP feldpolgozas" disabled=yes \
jump-target=icmp-chain protocol=icmpEz a legelső szabály, majd ezt követi jónéhány más szabály, de nem erre vonatkozóa.
Majd a végén a 3db Ping-re vonatkozó szabály.add action=drop chain=icmp-chain comment="Ping-Block Part1" disabled=yes \
protocol=icmp src-address-list=ping_blacklist
add chain=icmp-chain comment="Ping-Block Part2" disabled=yes icmp-options=0 \
limit=10,10 protocol=icmp
add action=add-src-to-address-list address-list=ping_blacklist \
address-list-timeout=5m chain=icmp-chain comment="Ping-Block Part3" \
disabled=yes protocol=icmpA célom az lenne, hogy korlátozzam az egységnyi idő alatt lehetségek ping-ek számát. Jelen beállításban Rate: 10/sec
Burst: 10
Jelenleg az első ping után bekerülök a tiltó listába (ping_blacklist). Állítottam a Rate értékét már 100/sec-re, 1000/sec-re, de ugyan az :-(
Valamit nagyon elkoncentrálok. -
senior tag
Megoldva: nagyon elkoncentráltam :-)))
Új hozzászólás Aktív témák
- Hobby elektronika
- Az USA beperelte az Apple-t: túl drágák az iPhone-ok
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- Amlogic S905, S912 processzoros készülékek
- Ezek a OnePlus 12 és 12R európai árai
- Android alkalmazások - szoftver kibeszélő topik
- Autós topik
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Gitáros topic
- Kerékpárosok, bringások ide!
- További aktív témák...
- Hp elitebbok 755 G5 Áfás Számlával
- Mini PC Lenovo M710q i5-6500T/8Gb - 16Gb DDR4/ 256Gb SSD M2 + 250Gb HDD/USB 3.0/DP Port/ 1Év Gari
- Mini PC HP 400 G3 DM i5-7500T/8 Gb DDR4/ 256 Gb SSD/USB 3.0/ DP Port/ VGA Win 11 Pro 1Év gari
- Olcsó számítógép játékra! I5 6500 / GTX 1060 6GB / 16GB DDR4 / 500Gb SSD
- XFX AMD Radeon RX 7900 GRE Reference GARANCIA 2027.02.08-ig