-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
-
ekkold
Topikgazda
válasz
atiska007
#16597
üzenetére
Pl. a youtube videóban szereplő összes domain névhez felveszel statikus DNS bejegyzést ami a 127.0.0.1-re mutat.
Ahhoz, hogy ez működjön, a mikrotiknek kell lennie a hálózatban az egyetlen elérhető DNS szervernek, és a DHCP-nek is a mikrotik címét kell kiosztania DNS-ként (illetve minden 53-as portra menő UDP csomagot neki kell fogadnia, és válaszolni) . -
ekkold
Topikgazda
válasz
atiska007
#16592
üzenetére
Ahhoz, hogy szelektíven tudj bármit is tiltani, ahhoz tudni kell(ene), hogy milyen oldalt nyit meg a felhasználó. A https miatt ez az út manapság nem igazán járható. A másik út, hogy IP listát készítesz, a tiltani kívánt oldalak összes IP elérhetőségével. Ezt csinálja a youtube-on talált verzió. Ez működhet, de ezzel meg az a gond, hogy bizonyos weboldalak "szerverfarmok" szolgáltatásaként használnak háttértárat. Ezek a háttértárak azonban az adott IP címeiken többféle oldalt is kiszolgálnak. Tehát ha ezeknek az IP címeit tiltod, akkor az összes olyan oldal, ami ugyanazt a háttértár szolgáltatót használja, nem, vagy csak hibásan fog működni.
Ez nem a mikrotiken múlik, manapság már a DNS-t is kezdik https-el használni, magyarul esetleg a router sem tudja, hogy a felhasználók milyen oldallal kommunikálnak. Azonban a felhasználók jelentős része sima DNS szolgáltatást használ, tehát statikus DNS bejegyzésekkel is korlátozható, bár ezt az ügyesebb felhasználók simán kijátsszák, de az "egységsugarú júzerek" korlátozásához elegendő lehet. -
atiska007
senior tag
válasz
atiska007
#16573
üzenetére
Megcsináltam végül google barátom segítségével a TikTok tiltást, DE
- Mikrotik Layer 7 Regexp leírás sz@rt sem ér, minden ugyanúgy működik
- Youtube leírás alapján működik, szűri a TikTok tartalmakat PC-n és telefonon is, VISZONT észrevettem, hogy más weboldalak elkezdtek rosszul működni, a képek nem töltődnek be. Pl. ahol észrevettem eddig, az az EMag és a Decathlon weboldalak.
Mi lehet itt a probléma???? Miért nem töltődnek be más oldalak megfelelően ha ezt a módszert használom??
Nem hiszem el, hogy nincs egy épkézláb megoldás arra, hogy a TikTok-ot (és Instagram-ot) letiltsam a routeren keresztül.
-
Reggie0
félisten
válasz
starchild
#16590
üzenetére
Teny, hogy mas kategoria
Szerintem nincs azzal gond, ha rezes portok karara megy. Viszont a jelenlegi switch chip csak 2db 10g portot tud, a procihoz meno 10g porton felul, igy nagyobb atalakitast igenyelne. Vagy a pcie buszt kene bealdozni egy nic-re.
De a 2.5 gigas portot nyugodtan cserelhetnek 10-esre.
-
starchild
tag
válasz
Reggie0
#16572
üzenetére
Azért szvsz a ccr2116 nem ugyanaz az a kategória, hardverben, teljesítményben és persze árban sem, mint egy rb5009ug+4s+in lenne😃
Azt már tényleg nem tudom elképzelni, a jelenlegi méretekkel hol tudnának még helyet szorítani +3 sfp portnak, kívül és belül. Gondolom a rezes portok kárára nem mehetne, így is határeset a 7+1 rj45, igaz nekem pont megfelelő. Max méretnöveléssel lehetne megoldani, de akkor elvesztené a varázsát, hogy kicsi, de erős. -
Audience
aktív tag
válasz
syler123
#16584
üzenetére
Itt a KMS felé menő csomagokat a megfelelő WAN felé fogja route-olni. Mindegy mi a port csak a cél IP címe számít.
Megcsinálhatod a dst port alapján is egy masuerade szabállyal, csak tedd a legelső helyre, a Src address-ba tedd be azt a tartományt ahonnan jöhetnek a kérések, a port-ba a KMS által használtat, az Out interface meg az a WAN legyen amin kimehetnek. Számtalan jó megoldása van a problémának:
-
bacus
őstag
válasz
syler123
#16580
üzenetére
Ez így biztos nem jó. Most csináltam egy ilyet egy sulinetes ügyfelemnek.
- felhúzod a dual wan failover setupot, default gateway wan1, ami a normál internet elérés
- egy plusz mangle szabály, hogy a 1688 a wan2 felé menjen akkor is ha él a wan 1
- illetve a wan2 (a sulinetnél) nem teljes értékű netet ad.., így a failover (egy route szabály tiltható is.)Ha nagyon nem boldogulsz egy megoldást találsz az aláírásomban
-
syler123
veterán
válasz
Audience
#16583
üzenetére
Akkor rosszul gondoltam
Nem tudtam, hogy ettől szabad lesz a port is, mert nekem még az sincs feloldva.
Pfsense alatt nekem 1db tűzfalszabállyal lett megoldva ez a dolog, szimplán hozzáadtam a kms portját, dest ip a kms server ip-je, az átjáró meg a megfelelő wan lett. De ott ugye ez egy engedélyező szabály, tehát szabad lesz az adott port.
Itt ennél a route-nál nem lehet portot beírni, ahogy látom, tehát attól, hogy átirányítja a megfelelő wan-ra, attól még nem lesz nyitott a port, vagy rosszul gondolom? -
-
syler123
veterán
Sziasztok!
Egy olyan kérdésem lenne, hogy Mikrotik routeren megoldható, hogy egy bizonyos port egy bizonyos wan interface-t használva legyen nyitva? Teljesen új vagyok a mikrotik routerek világában és ami pfsense alatt nagyon egyszerű volt, itt "kicsit" komolyabb feladat.
Tehát mondjuk van nekünk egy wan1 és egy wan2 interface. Wan1-el megy minden lényegében, de az nem használható pl kms aktiválásra. Tehát a cél az lenne, hogy minden maradjon wan1-en, csak a kms 1688-as port menjen wan2-vel, viszont az az összes lannal.
Pfsense-nél ez szépen működik, csak mikrotiknál nem tudom hogyan.
Ehhez a nat rule kell és ott az ininterface-nél kiválasztom a wan2-őt?
A hdcp clientnél ugye már ki van választva, hogy melyik wan-t használják a kliensek (local ip cím szerint), de akkor ez felülírja gondolom a tűzfalszabályt. -
Victorio
aktív tag
Egy SOHO felhasználáshoz (amihez ez készült) teljesen elég lenne ez a teljesítmény is.
A legtöbb esetben nem 0-24-ben dübörögnek szünet nélkül 10G-vel a bitek, hanem pillanatnyi peakekben jelentkezik a terhelés. Meg kell nyitni, vagy átmozgatni valami nagyobb fájlt, letölteni valamit... Időben is eltolva jelentkezne a különböző portok irányába.
De ha nincs meg hozzá az interfész akkor esélyed sincs.Aki meg sokfelhasználós állandó nagy terhelés kezelésére keres eszközt az úgyse ebből a szériából választ.
-
-
amargo
addikt
-
TOZOLI72
csendes tag
Üdv! Ez az üzenet nagyon sokszor jön elő a logban 1-2 perc eltéréssel, de 20-30-szor egymásután, utána megszűnik, később megint előjön többször!
feb/16 19:14:44 caps,info 64:90:C1:F6:78:95@cap ac-2-1 reassociating
feb/16 19:14:46 dhcp,info dhcp_guest deassigned 192.168.30.159 from 64:90:C1:F6:78:95 yeelink-light-strip2_miap7895
feb/16 19:14:46 dhcp,info dhcp_guest assigned 192.168.30.159 to 64:90:C1:F6:78:95 yeelink-light-strip2_miap7895
Azt szeretném kérdezni, hogy kaphatnék bővebb logot, amiből megtudhatnám az okát, illetve hogy lehetne megszüntetni a sokszori újracsatlakozást.
capsman: "RB5009" + cap: "cAP AC", ros: 7.1.2
A cap két hálózatot szór, a guest-en vannak a nem megbízható eszközök, pl. ez a wifis ledsor is. A MI HOME-n keresztül be tudom, kapcsoni, tehát működik, csak a rengeteg log zavar, meg a felesleges le-fel csatlakoztatás. -
#16556
Zwodkassy
senior tag
E.Kaufmann
#16545
válasz
E.Kaufmann
#16545
üzenetére
Szerintem a "modern" eszközökön két idő van (csúnyán megfogalmazva): UTC Time és Local Time.
Néhány, általam már látott és használt eszköz mind a kettőt meg is jeleníti.
A gyakorlatban UTC Time-t használnak, és a Local Time-t jelenítenek meg a felhasználónak.
Sőt olyat is láttam már, hogy a naplóban CET, CEST vagy UTC előtaggal jeleníti meg a bejegyzéseket. -
Reggie0
félisten
válasz
amargo
#16552
üzenetére
/ip firewall layer7-protocol
add comment="Block Bit Torrent" name=layer7-bittorrent-exp regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?info_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"
/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=local layer7-protocol=layer7-bittorrent-exp new-connection-mark=torrent_conn passthrough=yes
add action=mark-packet chain=prerouting connection-mark=torrent_conn layer7-protocol=layer7-bittorrent-exp new-packet-mark=torrent_packet passthrough=no
Ezek utan mar csak egy tuzfal szabalyt kell ki-be kapcsolnod, ami ezeket a kapcsolatokat blokkolja mobilnet eseten. -
amargo
addikt
Lenne még kérdésem, mert mikortik oldaláról elakadt a torrentek leállítása.. (sajnos ehhez többet kellene keresgélnem)
Tehát két utam van, vagy api-n keresztül fetch-el meghívom az url-t, de itt az istenért nem tudtam olyat összehozni mint a curl-ban van..# Login to qbittorrent
curl -s -b ~/.cookies.txt -c ~/.cookies.txt --header "Referer: http://192.168.88.140:8080" --data "username=admin&password=secret" http://192.168.88.140:8080/api/v2/auth/login >/dev/null 2>&1
/tool fetch http-method=post http-header-field="Referer: http://192.168.88.140:8080" http-data="username=admin&password=secret" url="http://192.168.88.140:8080/api/v2/auth/login"vagy be ssh-ok egy linux-os gépre és lefuttatom a script-et (ssh-exec), itt pedig nem találtam arra példát, hogy mikortik-ről egy kulcsos gépre be tudjak lépni..
szerk:
Reggie0 itt szerencsére végül jót akartak -
Reggie0
félisten
válasz
amargo
#16540
üzenetére
Persze. A mobilszolgaltatok minden vackot osszevissza tiltogatnak. Az, hogy a ping nem megy egy elegge hetkoznapi dolog. Ezen kivul meg szoktak korlatozni egyes udp portokat, ha hosszan forgalom van rajta, pl. mi mar tobbszor jarunk ugy telenoros netnel, hogy az openvpn tunnelt tcp-re kellett atraknunk, vegyul 443-as tcp-re. Pedig meg a forgalom sem volt nagy, csak allando.
-
amargo
addikt
Nincs kint a syslog-om, de egy jó ötletet adtál, mert akkor a mikrotik-ről ki ssh-zok (van egy docker user-em) és egyszerűen leállítom container-t amiben fut a torrent. Ez egyszerüen megy.
Viszont most néztem, hogy a qbittorrent-nek van api-ja, ahol szépen http kérésekkel is meglehet ezt csinálni és maga a kliens alapjában véve fut.
Köszönöm a segítséget!
-
-
lokiazarc
csendes újonc
sziasztok ujjabb kérdés ki tudom valahol kapcsolni a mikrotik routerban hogy ne figyelje a bejövő kapcsolat idejét??? Értem ezt úgy hogy pl romániából jönne l2tp a kinti router de time miatt eldobja a központ mert ugye 1 óra előnyben vannak. Vagy csak annyi hogy kiveszem a pipát a time zone auto detectből elég kéne legyen? köszönöm előre is
-
amargo
addikt
válasz
amargo
#16540
üzenetére
Sikerült beszélnem egy technikai emberrel, aki tegnap tett be egy ilyen szabályt a publikus ip-vel rendelkezők esetén, mert rengeteg ping támadás érte ezeket a címeket. Bár kifelé nem szokták szűrni és valahogy belekeveredett az ICMP (8)-at gondolom, túl erősre sikeredett a szabály
Nálam most ICMP-ből az 1-es van csak átengedve. Elsőnek azt hittem, hogy a 7.1.2-vel van valami, mert pont a napokban raktam fel..
-
amargo
addikt
Sziasztok!
Találkozott már valaki olyannal, hogy a szolgáltató kifelé a ping-et tiltotta (?), egyszerűen nem tudom mással magyarázni, netwatch-ba volt, hogy 1.1.1.1 esetén, ha nem jött válasz, akkor mobilnet-re átkapcsol tegnap vettem észre, hogy egyszer csak folyton jött az email, hogy átkapcsolt mobilnet-re.
Csak ma reggel tudtam megnézni, hogy mi lehet a gond és indítok egy ping-et cli-ben az optika net-nél és timeout-ra fut, ha közben mobile-ra kapcsolok, akkor egyből kimennek.(nem csak a router-en, gyakorlatilag semmilyen gépről nem megy ki a ping, ha az optikai net-en vagyok)
-
Mr Dini
addikt
Akkor ez a gondod. Vagy legyen egy peered per interface (nem javaslom), vagy add meg az IP-t minden egyes peer esetében, különben a mikrotik nem fogja tudni, hogy melyik peerhez routolja az adott ip forgalmát. Korábban leírtam ugyanezt.
Például a példádban a kliens IP-je 192.168.2.2/32, akkor a peernél is írd be ezt.
-
Ad@m
tag
Sziasztok,
az alabbi problémám lenne:
wiregurad vpn road warrior setup.
vpnre sikerul csatlakozni el is erem a lanon levo gepeket, de szeretnem kiengedni a netre is a kapcsolódókat,
van egy whitelistem arra van felvéve a lan (192.168.1.0/24) és a vpnes cimlista (192.168.2.0/24)
a netet pppoe-n keresztul érem el./ip firewall nat
add action=masquerade chain=srcnat comment="Home network" log=yes log-prefix=\
"[MASQ]" out-interface=pppoe src-address-list=whitelistezzel a masquerade szaballyal sikeresen ki is jut a netre a lan (192.168.1.0/24) tagjai.
viszont a vpnen kapcsolodott eszközök nem. probaltam ipvel és cimmel is, annyi történik hogy ha ipvel probalom akkor felismeri a cimet hogy mit akarok elerni de nem jonnek be az oldalak.
a kliens oldali wg igy nez ki:[Interface]
PrivateKey = xxx
Address = 192.168.2.2/32
[Peer]
PublicKey = yyy
AllowedIPs = 0.0.0.0/0
Endpoint = dns:port
PersistentKeepalive = 10logokbol latszik hogy rafut a masqa szabalyra:
[MASQ] srcnat: in:wireguardhome out:pppoe, proto TCP (SYN), 192.168.2.2:58443->92.61.114.179:80, len 64van valami tippetek mit ronthatok el ?
-
#16533
amargo
addikt
Marcelldzso
#16518
amargo
addikt
válasz
Marcelldzso
#16518
üzenetére
Pár site nem jött be, ezért az 1500-ról lejjebb vettem kicsivel (1478).
Továbbá volt még talán egy másik beállítás, de azt most nem találom.. -
most közel 5 nap uptime után több a szabad memória, mint anno 2 nap után volt.
hosszútávú következményeket azért ennyiből még nem vonnék le, mindenesetre jónak tűnik, és az általam kezelt kb 50 Mikrotik eszköz mindegyike frissült 7.1.2-re és egyikkel sem látok problémát
-
bacus
őstag
válasz
Reggie0
#16527
üzenetére
köszönöm.
Zwod: ezt ismertem, itt nézem, de ez online van, meg is marad a fiókomban amíg nem törlöm, illetve érdekes a feldolgozása, mert miután megnéztem és alig találtam benne valamit, eltelt 5 perc, visszaléptem és majd hanyatt estem mert minden benne van, még egy komplett mentés is ..., vpn-k pl jelszavakkal..(a jelszavak elvileg nem látszanak, de ki tudja, hogy nem csak a felhasználónak aki feltölti nem látszik.), cimlisták, minden.
Egy ilyen fájlhoz hozzájut valaki, az itthoni routeremről és már be is jutott más routerbe, ha mondjuk benne van még a router jelszó is (azért mert itt nem látszik még benne lehet), és ugyanazt használod a másik helyen, akkor már be is jutott oda is
(a vpn csatlakozásnál az ott konkrétan benne van, hova tud becsatlakozni) -
Audience
aktív tag
válasz
Ablakos
#16521
üzenetére
Megpróbálkozhatsz egy nested virtualizációval Hyper-V vag VMWARE használatával és több CHR-t betenni. Nem kényelmes de le tudsz néhány dolgot tesztelni. Nem árt egy rendes vas alá.
Én személy szerint felhőben szoktam tesztelni, Azure környezetben. Olcsón és egyszerűen ki tudom próbálni az elképzeléseimet. Gondolom AWS-ben szintúgy meglehet csinálni.
-
Marcelldzso
tag
válasz
Marcelldzso
#16514
üzenetére
Mit kellett állítanod az MTU-n?
-
#16512
amargo
addikt
Marcelldzso
#16506
amargo
addikt
válasz
Marcelldzso
#16506
üzenetére
Nagyon leegyszerűsítve (én is csak annyira olvastam utána, hogy tudjam, hogy az LTE6 modem kell nekem) CA - Carrier Aggregation annyit tesz, hogy összefog több Band-et. Azaz Pl van egy B3-as elsődleges és van egy B20-as többedleges összefogás.
Ezen a táblázaton látszódik, hogy melyik szolgáltató hol szolgáltat és mit: [link]
A telenor és a telekom osztozkodik a B3-on azaz, ha haza ér mindenki és a B3-ra szépen rátelepszik, akkor az leterhelt lesz és az addigi sávszélesség mindjárt elveszik. (Én olyan helyen lakom, ahol nyaranta rengeteg ember fordul meg, azaz durván letudják fogni a tornyokat), de a B20-on akkor még vígan lehet használni. De azt tudni kell, ha mindenki "csúcs" eszközöket használ, akkor a versenyhelyzet erősödni fog. Nálam a tetőn van 2x2 es MIMO antenna, a ping is elfogadható volt vele a sebesség pedig bőven elég (60-30ms és 50-200Mbit).A torony elhelyezkedése mind1 vagy is nem egészen arra felé kell irányítani az antennát, ha olyan, ez a térkép elég jól mutatja merre van a lefedettség.
LHGG-be is modem van, létezik LTE6-os változata is meg LTE4-es. itt látszódik a modem ezt bármikor tudod cserélni: [link]
Szerk:
És akkor még ott van az MTU is, amit nekem állítanom kellett -
-
dieselgti
csendes tag
Sziasztok!
Gyakorlati tapasztalaton alapuló infóra/javaslatra lenne szükségem.
Melyik az a router, ami biztonságos tartalékkal elbír 200-500 mBit/s bejövő kapcsolattal?
Normál tűzfal szabályok, kliensek száma kb 50-60.A kliensek 90%-a wifin csatlakozna az alábbiak szerint
"A": wifi-s router + 1 db access point,
"B" sima vezetékes router + 2 db access point.Kinéztem az hAP ac3-at, de nem vagyok meggyőződve róla, hogy elég lesz a feladatra.
Az se lenne baj, ha kicsit future-proof a hardware...Köszöntem...
-
amargo
addikt
válasz
daninet
#16502
üzenetére
Telefonon is visszaesik este a letöltés (LTE6-os készülékkel nézve)?
CA a terhelés miatt is eléggé fontos, ha a fő band tök terhelt, akkor nincs mese.
Itt megtudod nézni, hogy merre van a torony és mi érhető el rajta [link] mikrotik modem-én meg fixen is megtudod mondani hova csatlakozzon (ezt sosem próbáltam).Pl nálam is jó a lefedettsége a telekom-nak, de az internet elég "gyatra" rajta (az adsl-hez képes még így is csúcs volt). A telenor-on viszont az internet is elég jó, ezt is érdemes megnézni.
A képen látható beállítás jó lehet? Tehát csak egy nat rule kell? Van nekünk kettő vlan is, gondolom a megfelelőt kiválasztom out interface-nél és jó lehet úgy.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Robogó, kismotor
- Milyen egeret válasszak?
- Megjelent a Poco F7, eurós ára is van már
- Amlogic S905, S912 processzoros készülékek
- AMD Navi Radeon™ RX 9xxx sorozat
- Sony Xperia 1 V - kizárólag igényeseknek
- Bevezetés a wokok világába
- Facebook és Messenger
- AMD Ryzen 9 / 7 / 5 / 3 5***(X) "Zen 3" (AM4)
- One otthoni szolgáltatások (TV, internet, telefon)
- További aktív témák...
- UHH! Dell Precision 7560 Tervező Vágó Laptop -70% 15,6" i7-11850H 64/1TB NVIDIA A3000 6GB FHD
- Apple Watch Series 9 Celluláros
- Samsung Galaxy S25 Ultra 12/512GB, Titanium silver
- Nvidia RTX 4070 Gainward ghost Video Kártya
- Eladó HONOR 400 5G okostelefon 256 GB / 8 GB, Fekete alig használt, magyar garanciás
- Huawei Nova Y90 128GB, Kártyafüggetlen, 1 Év Garanciával
- Telefon felvásárlás!! iPhone X/iPhone Xs/iPhone XR/iPhone Xs Max
- Samsung Galaxy Xcover 5 64GB, Kártyafüggetlen, 1 Év Garanciával
- Telefon felvásárlás!! Samsung Galaxy Note 10+/Samsung Galaxy Note 20/Samsung Galaxy Note 20 Ultra
- Samsung Galaxy S22 128GB, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest