-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
HIJ
őstag
Nos, tegnap este már kicsit fáradt voltam. Szóval a hiba az lehetett, hogy azonos címtartományt próbáltam a WAN -nak is adni. Este megpróbálom megint úgy, hogy most az ONT más tartományt használjon.
Ear001:
Igen sajnos ez így van. Igazából egy dolog nem megy a szolgáltatói routerrel, az pedig a 80 és 443 port Hairpin NAT -ja. Ez bug vagy feature nem tudom, de gondolom ez DMZ -ben is így lesz?
Mit javasolsz? Ha szeretném a sebességet, akkor engedjem el a 2011 -et? -
Audience
aktív tag
Milyen címtartományt használsz a mikrotik mögött? a NAT be van állítva? A DMZ kb. egy olyan speciális port forward ami 0-65535-ig minden portot átirányít a DMZ-ben megadott IP-nek. A DMZ beállításoknál azt az IP-t kell megadni amit a WAN portra kap a mikrotik az ONT-tól. Ugye ne Quick set-et használsz?
-
Ha a Mikrotik ezután nem létesít pppoe kapcsolatot, akkor az ONT-nek kell, ezt viszont csak a Telekom tudja átállítani (bridge módba is ők rakták)
A telefonos ügyfélszolgálat tud segíteniA DMZ csak annyi, hogy az abban lévő eszköz felé menő forgalomba nem nyúl bele az ONT, tulajdonképp egy kivétel a tűzfalszabályok alól.
-
HIJ
őstag
Valamit biztos rosszul csinálok. Beállítottam a DMZ -t az ONT -on a routerhez, aztán a routerben quickset -nél automatic -ra állítottam a WAN -t. Meg is kapja a WAN IP -t és a gateway IP -t is, de ettől még nincs net. Az ONT -nak 192.168.1.5, a routernek 1.1 a címe, illetve kap egy 1.129 WAN IP -t a router, de nincs net
-
Audience
aktív tag
Ha a PPPOE kapcsolatot a 2011 hozza létre akkor az ONT bridge módban van és a Tied a kontroll. Az összes szolgáltató által nem szűrt portot megkapja. Ha a kérdés az, hogy levenni róla aPPPOE-t akkor tedd DMZ-be az ONT-on, ha az tud ilyet és bár duplán NAT-olva de minden befelé jövő csomagot megkap.
-
HIJ
őstag
Sziasztok!
Van egy 2011 -em és most kötötték a Telekom optikát (1/1G). Ha a router végzi a PPPOE kapcsolódást, akkor kb 750/750 a max, amit ki lehet hozni belőle. Esetleg még mit tudnék megpróbálni, hogy ezt növeljem? Próbáltam már játszani az MTU értékkel és a tűzfal szabályok letiltásával, de nem sok sikerrel...
-
-
freddirty
senior tag
válasz
adika4444
#18181
üzenetére
Köszi, OpenVPN van, igen a szabályok fentről lefelé láncolt sorrendjére rájöttem. Ezek szerint az új szabály a jó út nem a listamókolás.
Quicksetes igen, de átnéztem a végén, hogy mi is van benne, illetve az openvpn klienshez is kellettek beállítások. Egyébként nagyon alap funkciókra van szükség, ami extra az az openvpn kliens és az LTE modemben csatornák engedélyezése/tiltása. -
adika4444
addikt
válasz
freddirty
#18180
üzenetére
Hali!
Jó lenne tudni, milyen VPN (WireGuard, OpenVPN, L2TP Ipsec)?
Ezen felül a quickset-es dolgok (a tűzfalszabály alapján annak tűnik) nem a legjobb út, mert feketedoboz jelleggel nem pontosan tudod, mit miként állított be. Mindazonáltal a manageléshez kéne egy olyan input szabály, ahol accept action van és az src-address a VPN pool. Ez a drop-os beírt szabályod fölé, révén a MikroTik fentről lefelé értékeli ki azokat. -
freddirty
senior tag
Sziasztok,
Rookie vagyok mikrotik routerekben, de a hétvégi házba bekonfiguráltam nemrég egyet, mert sokkal korrektebbül lehet konfigurálni az LTE modem részét mint bármilyen más kapható LTE routernek.
Egy dolgo maradt hátra, és az hogy távolról a router konfigurációs portja nem elérhető. Az otthoni és a mikrotik hálózat között van VPN, (Mikrotik a kliens), működik is szépen megbízhatóan és az összes távoli eszköz a távoli LAN-on látszik, kivéve a Mikrotik maga.
A távoli LAN-ból egy lokális szerverről megy az SSH és ott látszik hogy vszleg ez a sor a probléma a firewallban:add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
Ez nyilván pöpec ha kívülről a netről akarnák hekkelni, de jelen esetben túl restriktív. Mi a korrekt megoldás? Kellene egy új sor ahol megengedem hogy távoli VPN subnet felől érkező tcp/upd kérések elérjék a routert? Vagy egyszerűen tegyem bele a LAN csoportba a VPN interfészt? (már ha lehet ilyet)
-
net84
őstag
válasz
Audience
#18175
üzenetére
Tiszta sor. Radius kliens be van állítva, ott a Mikrotik IP-je. A Mikrotik-ben be van állítva a RADIUS server is.
A Network Policy beállításokra gondoltam fentebb. Azt mégsem lehet elhagyni, hiszen ott állítok be minden fontosat (?)...
NTRadPing Test-el viszont hálón belül sem érem el a szervert (time out). Kívülről próbálkozva pedig a Mikrotik log-ban jelenik meg Radius server time out bejegyzés.Ma pl. átállítottam erre a Win szervert (MikroTik bekezdés szerint). Így sem lett változás.
-
Reggie0
félisten
válasz
Pille99
#18164
üzenetére
Mostanaban olyan viharok voltak, hogy brutal. Nekem szept 10 kornyeken ujraindult a mikrotik es lefagyott a NAS, pedig online(mindig konvertalo) 2kW-os szunetmentes mogott vannak, a szunetmentes egy OBO T3-as vedoaljazton keresztul van bedugva, ~20 meterre onnan pedig egy OBO T1+T2 vedelem van az elosztodobozban es megis megtortent a baj. Igaz az RJ45-otokon meg nincsen vedelem de a router es a NAS egy rack szekrenyben van es csak a szekrenyen belul vannak osszekotve.
-
szuszinho
őstag
Remélem elfér ide, sok itt a hálózati guru
Mi a best practice a következő eszközök számára hálózat kialakítás szempontjából?
Digi opika -> RB4011 -> Ubiquity UAP-AC-LR.
Eszközök: NAS, PC, telefonok, laptop, TV, Broadlink RM Mini 3, Echo Dot 2, illetve 3.
NAS-on: DNS szerver, RFLink gateway, MySensors SeerialGateway. A DNS szerver vagy megy a routerre, vagy egy Málnára. NAS több alkalmazást is futtat Dockerben, közülük több kívülről is elérhető (reverse proxy)LtAP Mini WireGuarddal csatlakozik a routerre saját DHCP, de közös DNS
Köszi!
-
-
-
net84
őstag
Abban esetleg tudsz segíteni, hogy a felvett Network Policy-nél mi a jó beállítás? Főként az Authentication Methods (használható több?) és a Settings - Standard Attributes fülön...
Illetve jelenleg (most a Mikrotik kezeli a VPN felhasználókat és oda vannak felvéve az user-ek) a VPN-el becsatlakozó gépek teljesen más IP tartományba kerülnek (szándékosan). Ez nem zavarhat be a RADIUS szerveres hitelesítésbe? -
Eleinor
csendes tag
válasz
ekkold
#18160
üzenetére
Ezeken túl vagyok. A NAS másik portban jó ugyanazzal a kábellel jó, vagyis nem kábel vagy NAS porthiba. Más, addig jól működő eszköz az 5-ös portban rossz. Vagyis magával az 5-ös porttal van valami.
Akkor ez csak azt jelentheti, hogy fizikailag meghalt az 5-ös port és annyi?
-
ekkold
Topikgazda
válasz
Eleinor
#18159
üzenetére
Nincs letiltva az ether5, de nem áll össze a link. Lehetséges okok:
- Lehet ether5 hardverhibája. Próbáld másik portba bedigni a NAS-tól jövő kábelt, hogy úgy működik-e!?
- Okozhatja a kábel hibája is.
- A NAS-on levő ethernet port hibája is okozhat ilyet. Próbálj másik kábellel, egy másik eszközt kapcsolni az ether5-re, hogy azzal működik-e!?
Ha ezt végignézed, akkor kiderül mi a hiba. -
Eleinor
csendes tag
válasz
ekkold
#18157
üzenetére
[admin@MikroTik] > /interface ethernet print
Flags: X - disabled, R - running, S - slave
# NAME MTU MAC-ADDRESS ARP SWITCH
0 R ether1 1500 6C:3B:6B:20:10:D6 enabled switch1
1 RS ether2 1500 6C:3B:6B:20:10:D7 enabled switch1
2 S ether3 1500 6C:3B:6B:20:10:D8 enabled switch1
3 RS ether4 1500 6C:3B:6B:20:10:D9 enabled switch1
4 S ether5 1500 6C:3B:6B:20:10:DA enabled switch1
5 RS ether6 1500 6C:3B:6B:20:10:DC enabled switch2
6 RS ether7 1500 6C:3B:6B:20:10:DD enabled switch2
7 RS ether8 1500 6C:3B:6B:20:10:DE enabled switch2
8 ether9 1500 6C:3B:6B:20:10:DF enabled switch2
9 RS ether10 1500 6C:3B:6B:20:10:E0 enabled switch2
10 sfp1 1500 6C:3B:6B:20:10:DB enabled
Ugyanez van az enable ether5 után is. -
ekkold
Topikgazda
válasz
Eleinor
#18154
üzenetére
A
/interface/ethernet/print
parancs mit ad vissza?Előfordulhat hardver hiba, de szoftveresen is letiltható egy port.
Ez utóbbi esetben a fenti parancs egy X-et tesz elé a listájában.Esetleg az alábbi parancssal próbálkozhatsz ha csak le volt tiltva:
/interface/ethernet/enable ether5 -
Eleinor
csendes tag
Sziasztok!
Bedobom ide is a kérdésem:Adott egy Mikrotik RB3011 router. Eddig pöpecül ment, aztán egyszer azt vettem észre, hogy nem látom a NAS-t a hálózatomon. Kiderült, hogy a rotuerben az a port állt meg, amin a NAS lógott. Se a visszajelző led nem megy, se bármilyen rádugott eszköz. Valami ötlet, hogy mi baja lehet?
A portról ilyen infóim vannak:
[admin@MikroTik] > /interface bridge port monitor 7
interface: ether5
status: in-bridge
port-number: 4
role: disabled-port
edge-port: no
edge-port-discovery: yes
point-to-point-port: yes
external-fdb: no
sending-rstp: yes
learning: no
forwarding: no
hw-offload-group: switch1
[admin@MikroTik] /interface bridge port> /interface ethernet monitor 4
name: ether5
status: no-link
auto-negotiation: done
advertising: 10M-half,10M-full,100M-half,100M-full,1000M-half,
1000M-full
link-partner-advertising: -
net84
őstag
Szegény Mikrotik... és a végén nem is az a hunyó.
RADIUS Client beállítva, az Address a router IP-je. Shared secret szintén beállítva.
Network Policies is be van állítva a lenti link(ek) szerint.A beállításoknál az alap kiindulás ez volt, majd eszerint mentünk tovább. De ez utóbbi már inkább a Mikrotik beállításai miatt.
Túrtam a netet és néztem a Network Policies beállításait, mintha ez-az hiányozna...
-
net84
őstag
Köszönöm, lepróbálom eszerint (nagyon nem így van belőve a PPP profil sem).
#18147 vkp - Köszönöm! Hasznos appnak ígérkezik.
Parancssorból és a Tik-ből is tudom pingelni a szerver IP-t.
NTRadping-el viszont: No response from server (time out) - belső hálóból, tartományból a 1812 és 1813 portokon is. Mégsem jó a RADIUS a Windows szerveren (és akkor nem a Mikrotik-ot kellene csesztetnem)? -
net84
őstag
A ping működik a szerver IP-re.
A portok "szabadok" a tűzfalon.
A bekarikázott részek így épülnek fel Nálad a Mikrotik-ben?Úgy néz ki, hogy a routerből nem jut ki a hitelesítési kérés (nem a fentiek szerint van nálunk a VPN beállítva) és ezért nincs a log-ban sem bejegyzés szerver oldalon.
#18138 Audience - Köszi! Nekem ez most magas...Ha jól néztem és értelmeztem, szövegesen adom meg a hitelesítési adatokat routeren belül?
-
-
-
user12
őstag
válasz
Monkey
#18131
üzenetére
Ez pl jó lehet: https://hardverapro.hu/apro/mikrotik_hap_ac2_wifis_router/hsz_1-200.html
Anyósnál ilyen van. 1000/300-as digis netet két fix vpn tunellel hibátlanul viszi.
Igaz nincs agyon hajtva, alap dolgokra használja, facebook, messenger, meg ha mi ott vagyunk onnan toljuk a melót, de még sose volt vele gond. -
net84
őstag
Gondolkodtam a RADIUS tesztelésén, no de hogyan...
Nincsenek blokkolva a portok és másik szolgáltatás sem használja azokat.
Hitelesítésnél az első kettő nálunk aktív. Nem is akarja engedni a levételt így utólag...A furcsa, hogy a kísérletekről nincs LOG bejegyzés a RADIUS szerveren. Így már szinte biztos, hogy a Mikrotik nem kér hitelesítést az AD-ből, mert nem kommunikálnak (nincs forgalmazás sem abba az irányba a VPN kapcsolódási kísérletkor).
Közben egy másik szerveren is lepróbáltuk és oda is beállítottuk a RADIUS szervert. A routerben is átállítottuk az újra a beállításokat, de semmi változás. -
Monkey
tag
válasz
pitiless
#18129
üzenetére
Beszéltem velük, de fogalmuk sincs, hogy mikor érkezik áru. Ez általános a mikrotiknél? Vagy minek tudható be? A háború nyilván nem magyarázza...
Lehet, hogy átmenetileg veszek valami olcsó kicsi eszközt, akár használtan, innen a hardverapro-ról. Switchem van, optikai szálam meg még nincs, szóval nem akkora gond...Szer.: a fentiek közül semmi nincs raktáron.
user12: igen, sajnos valóban így van, ahogy mondod.
-
Monkey
tag
válasz
pitiless
#18127
üzenetére
Brutál cuccokat linkeltél, köszönöm.
Az RB5009 különösen tetszik. Egy helyen találtam csak meg, a bruttó 107 e Ft vajon reális ár érte?Szerk.: már tudom is, hogy mit szeretnék: MikroTik RB5009UPr+S+IN De persze ez sem kapható...
-
Monkey
tag
válasz
Tamarel
#18125
üzenetére
Szia, köszönöm a választ! Sanszos, hogy nem tudok kihúzni még 1-1,5 hónapot, addigara valószínűleg lehal az eszközöm, tartalékom pedig nincs. Arra esetleg van tipped, hogy milyen kellően erős (=átlagos soho használat, állandó vpn-nel, ~10 eszközzel, a jövőben 1 gigás nettel), de wifi nélküli router jöhetne szóba?
-
Monkey
tag
Sziasztok! Készül meghalni az otthoni routerem (Asus RT-AC66U B1, asuswrt-merlin). Először arra gondoltam, hogy veszek helyette egy hap ax2-t vagy ax3-at, csak épp egyiket sem lehet kapni. A netem mikrón jön, (~40/10 Mbit), de az optikai szál közeledik. Olyan routert kéne, amire lehet dugni usb lte modemet és jövőálló. Arra gondoltam, hogy ha kell, akkor elengedem a wifit és veszek külön 1 vagy 2 db UniFi 6 Lite-ot. Tudnátok wifi nélküli eszközt javasolni, vagy esetleg van tippetek, hogy a fenti kettőre (elsősorban az ax3-ra) mennyit kellhet várni?
-
-
net84
őstag
L2TP/IPsec VPN-nél:
ipsec,error no suitable proposal found.
ipsec,error x.x.x.x failed to pre-process ph2 packet.
Ezt addig dobálja a log-ba, amíg nincs mégsézve a VPN kapcsolat. (X helyén az IP cím)
PPTP VPN-nél:
pptp,ppp,error <1215>: user tesztuser authentication failed - radius timeout
Ezt nagyjából azonnal dobja, ahogy kapcsolódni próbál.Ha viszont rossz felhasználó nevet írok be (pl. olyat, ami nem is létezik), akkor újra kéri a hitelesítést.
Eszerint átjárható a dolog, csak a hitelesítéssel van gond?A teszt felhasználó nincs beállítva a Mikrotik-en. A routerben eszerint van beállítva a RADIUS szerver. A Windows szerveren is ezzel a rendszeren van beállítva.
-
-
#18118
tekes
tag
lionhearted
#18108
tekes
tag
válasz
lionhearted
#18108
üzenetére
Mondom: analfabétának számítok!
-
#18116
lionhearted
őstag
kress
#18112
-
net84
őstag
Igen, aki jogosult azt felvesszük a Mikrotikbe. Ha jól nézem most annyi változás lesz, hogy csinálok pl. egy VPN group-ot az AD-ben és ezt adom meg a beállításoknál. Így aki bent van, az be tud hitelesíteni.
A Secrets-ből ki kell szednem a jelenleg beállított profilokat (a felhasználónévben van azonosság), ha ezután a RADIUS-t akarom használni?
-
net84
őstag
Sziasztok!
Adott egy RB3011 router. A VPN kapcsolatokat ez az eszköz kezeli. Emögött van egy tartományi hálózat AD-vel, sok okos szabállyal.
Gond akkor van, ha eltér az AD user/pass a VPN user/pass-tól. Ez elég gyakran eltér, mert 30-60 naponta kötelesek jelszót cserélni a felhasználók. Ilyenkor a Windows AD hitelesítés nem teljesül és hibás bejelentkezés miatt tiltja a szerver a felhasználót.
Tudom, ez részben a Windows hibája, mert nem néz a VPN mögé és annak a hitelesítési adataival ellenőrzi a jogosultságot, amin egyből meg is bukik.
Van valami "egyszerűbb" módszer arra, hogy működjön a belső hitelesítés a routeren keresztül, VPN kapcsolat esetén? RADIUS szerveres megoldást használ valaki? -
#18108
lionhearted
őstag
tekes
#18107
-
tekes
tag
válasz
Audience
#18104
üzenetére
A bejövő levelek megjönnek, és természetesen mindegyik mail szolgáltató webes felületén belépve küldeni is tudok. A Thunderbird is elküldi a leveleket - más hálózatból.
Analfabétának számítok. Eddíg switch-eket használtam otthon, azoknak a beállításával el is boldogultam, de ez a router azért szaktudást kíván. Igyekeztem nyitni a 465 és 587-es portokat, de nyilván rosszul csinálok valamit... -
A jövő meg majd kiderül...
Új hozzászólás Aktív témák
- DDR5 GAMER PC: Új RYZEN 7 8700F/9700X +RTX 4060/5060/4070/5070 +16-32GB DDR5! GAR/SZÁMLA/50 FÉLE HÁZ
- Dell Latitude 7410 Strapabíró Ütésálló Profi Ultrabook 14" -80% i7-10610U 16/512 FHD
- Szép! HP EliteBook 850 G8 Fémházas Multimédiás Laptop 15,6" -65% i7-1185G7 32/512 Iris Xe FHD Magyar
- HP EliteBook 850 G8 Fémházas Multimédiás Laptop 15,6" -65% i7-1185G7 8/512 Iris Xe FHD Magyar
- 512 Gb-os NVME-k
- Csere-Beszámítás! Xbox One X 1TB Játékkonzol Olvass! Model 1787
- Samsung Galaxy S25 Ultra 1TB, Kártyafüggetlen, 1 Év Garanciával
- Motorola G72 128GB, Kártyafüggetlen, 1 Év Garanciával
- LG 32SQ700S-W - 32" VA Smart - 3840x2160 4K UHD - 62Hz 5ms - WebOS - Wifi + BT - USB-C - Hangszórók
- SanDisk Extreme Portable 8TB (SDSSDE61-8T00-G25)
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest