-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
_kovi_
aktív tag
válasz grabber #19551 üzenetére
/interface bridge
add name=bridge
/interface wireless
set [ find default-name=wlan2 ] ssid=home
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=profile1 \
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no frequency=auto hide-ssid=yes mode=ap-bridge security-profile=\
profile1 ssid=hnet wps-mode=disabled
/ip pool
add name=dhcp_pool0 ranges=192.168.0.50-192.168.0.90
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge name=dhcp1
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=wlan1
/interface bridge settings
set use-ip-firewall=yes
/ip address
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.0.50 client-id=
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=drop chain=input connection-state=invalid in-interface=ether1
add action=accept chain=input in-interface=ether1 protocol=udp src-port=53
add action=accept chain=input connection-state=established,related \
in-interface=ether1
add action=accept chain=forward connection-state=established,related
add action=fasttrack-connection chain=forward connection-state=\
established,related out-interface=ether1
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat comment="qBittorrent port" in-interface=ether1 \
protocol=tcp to-addresses=192.168.0x
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Budapest
/system identity
set name=Mikrotik -
stopperos
senior tag
válasz IamGabor #19546 üzenetére
Ha nem kell wifi az eszközbe, akkor egy hEX is elegendő lehet. A "Test Results" fülön lévő eredmények alapján válaszd ki, hogy mire van szükséged.
"What is Linux? I only joined because of the the penguin..." - meanwhile in the linux community. http://9gag.com/gag/arpZGOy
-
addikt
válasz _kovi_ #19553 üzenetére
Csak az invalid csomagokat dobod el az ETHER1-en?
Nagyon-nagyon nem jó. Mindent is el kéne dobni az utolsó szabállyal. Így konkrétan mindent beengedsz.
DNS nem UDP de TCP porton is megy. Azt is blokkolni kellene.Felesleges ezeket külön blokkolni. AZ utolsó szabály Drop input ether1. Aztán ami kell azt előtte meg engedélyezni egyesével. Tök felesleges külön blokkolni az invalid csomagokat,meg DNS-t is,ha utána úgy is blokkolni kell mindent.
lionhearted ajánlott egy leírást,próbáld meg elölről az alapján. Jobb lenne úgy újat csinálni.
[ Szerkesztve ]
-
őstag
válasz grabber #19556 üzenetére
Az IP firewall része egy nagy katyvasz, amiről nem lehet kivenni, hogy mit miért...
- miért van a bridgen ip firewall engedélyezve?
- mit akar engedi ether1 felől az udp 53 FORRÁS porton?
- miért van a fasttrack az accept után?És akkor jönnek a hiányok, amiket te is felvetettél.
[ Szerkesztve ]
Tegnap még működött...
-
_kovi_
aktív tag
Kalapos Laci, mindenamimikrotik.hu video alapján csináltam anno.
Volt is régen előfizetésem, de mivel nem ezzel foglalkozom, már elfelejtettem készség szinten, hogy mit kell állítani.
Véleményem szerint is a tűzfal konfig rossz.
Köszönöm a skori leírást, áttanulmányozom.! -
yodee_
őstag
Üdv!
Mivel a windows topicban nem kaptam semmilyen választ így megpróbálom itt is hátha valaki agyalt már ilyenen vagy esetleg volt is dolga már ilyennel. Szóval. Szeretném automatizálni a biztonsági mentést windowson kívülről, tehát meghatározott időközönként vagy külön boot partíciót vagy PXE bootot (a hAP ac2-n van aktív TFTP-m)szeretnék indítani. Kivitelezhető ez valahogy? Jelenleg az acronis-nak a funkciója aktív amivel boot közben F11-et nyomva betölti a backup környezetet. Viszont sehol sem találom hol hívja meg ezt az F11-es folyamatot.
Köszönöm, remélem maradhat.
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M920s
-
válasz yodee_ #19559 üzenetére
De miért nem jó a menet közbeni snapshot? Le kell állítani, hogy biztosan menthető legyen? Egy Veeam azért elég sokféle rendszerre fel van készítve, hogy menet közben nagy biztonsággal tudjon menteni.
A másik, hogy eleve VM-be kellett volna tenni, ha nem valami spéci hw vezérléséről van szó, amit még PCIe passtrough-val se lehet. A VM-et meg akár a host rendszer alatt szépen le lehet állítani, menteni (vagy simán egy gyors snapshot), újraindítani ütemezetten (már ha tényleg kell ezzel bohóckodni.)[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
-
yodee_
őstag
válasz E.Kaufmann #19560 üzenetére
Ezek sima átlag PC-k, semmi extra. Windows 10 van rajtuk. Szoktam havonta teljes rendszer hdd képet készíteni mióta volt adatvesztés. Egyszer Azóta nem volt Menet közben tud csinálni teljes képet? Tudtommal nem.
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M920s
-
válasz yodee_ #19561 üzenetére
1. Rosszul tudod,
2. Még csak Veeam se kell hozzá:
https://learn.microsoft.com/en-us/sysinternals/downloads/disk2vhd[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
-
yodee_
őstag
válasz E.Kaufmann #19562 üzenetére
Ez nagyon jól hangzik! Utána járok. Köszönöm!
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M920s
-
kecstama
tag
Sziasztok!
Mérnökinfót tanulok és Cisco után bele akarok vágni a MikroTik világába is.
Van kb. 1 hónapom elkészíteni egy "kisebb" projektet, Ehhez kérnék tippeket és majd segítséget.
Valami olyasmit szeretnék csinálni ami nem csak az eszközök lehetőségeit mutatja be, de van valami haszna is a gyakorlatban. Nincs ötletem mivel tudnám kihasználni a külön wifi kártyák adta előnyöket.
Eszközeim: RB800, RB433,RB411, kb. 10db wifi kártya.
Ha tudtok valami jó projektötletet megköszönöm
-
-
addikt
válasz kecstama #19564 üzenetére
Mikrotikről mindenről van video a youtube-on.
Azt kellene tudni mit akarsz letrehozni? Mert lehet mindent is tanulni,de ha nem most kell akkor ne pazarold az időd. Ami kell azt megnézed youtube-on és úgy tanulsz. Ha már van halózati tudásod,akkor elég ha csak megmutatják hogyan kell ezt Mikrotiken alkalmazni.
Én az alábbiakat venném bele.
Capsman,vendég háló. Wifi kiismerése fontos
Access list
Vlan Mikrotikkel
EOIP,Openvpn,Ipsec, wireguard(Ros7)tunnelek
Mangle szabályok
2WAN -
kecstama
tag
válasz E.Kaufmann #19565 üzenetére
Ja, azt nem írtam hogy 3db RB433 van és 2db RB411
Ez a CAPsMAN bulisnak tűnik, jól értem hogy ezzel elég lenne a fő routert bekonfigolni, a többi meg megtanulja a dolgokat tőle? Ilyen AP vezérlőt sajna csak Cisco szimulációba használtam még.Ilyen hotspot captive portalt tud az RB800 futtatni, vagy ehhez kéne egy szerver is?
Tudok egy Linux szervert betenni, legalább komplexebb lesz a feladat, csak akkor nem marad kimeneti port az RB800on (ETH1: ISP , ETH2: LTE , ETH3:Szerver).Mondjuk több nem is kell ha vezeték nélkül összehangolhatóak a routerek egymással.
Valami scriptet is be kéne csempészni, de ha jól emlékszem az internet failovert csak scriptel lehet megoldani. (vagy csak nem találtam)
-
kecstama
tag
válasz E.Kaufmann #19568 üzenetére
Ú köszi, a hétvégén ki is próbálom
-
nagyúr
válasz yodee_ #19561 üzenetére
Én is acronist használok, teljesen okés.
Minden hónap 2x csinál nálam komplett mentést a C: meghajtóról (minden hónap 1. és 15. napja) amit utána a gépemben lévő egyik HDD-re ment. Azt hiszem azt is be lehet állítani benne, hogy egyszerre több helyre is mentse az adott képfájlt.
Rajtad áll milyen időintervallumot állítasz be, akkár naponta is csinálhatsz mentést ha úgy tartja kedved.[ Szerkesztve ]
Új hardverek számlával, garanciával érd PM.
-
kress
aktív tag
válasz Ablakos #19572 üzenetére
nem azt mondja hogy csak revokeolni tudod?,. azt próbáltad? nem használod valahol azt a kulcsot?
gyorsan rá is kerestem a hibaüzenetre:
Why I can't remove issued certificates?
If certificate is issued by RouterOS it cannot be removed for security reasons. Whenever certificate is revoked it must stay in the list. Issued certificates are removed only when issuer CA is removed.[ Szerkesztve ]
-
kammler
senior tag
Van különösebb feltétele, hogy a dhcp relay működjön két mikrotik között? Az RB3011-em mögé raktam egy HAP AC3-at. Amúgy minden működik az AC3 DHCP szerverével, még az IPV6-is, csak mondom kíváncsiságképp megpróbálom a DHCP relay-t ipv4-el, de response 0. Afféle kísérletként kipróbálnám. Ugye, ha jól hámoztam ki, akkor nagyobb hálózatoknál van egy központi DHCP szerver, aztán az oszt címeket a többi routeren át. A két router teljesen látja egymást a egymás bridge-jeit stb. Pingek mennek oda-vissza. Eszközök között is.
[ Szerkesztve ]
-
őstag
-
adika4444
addikt
Hali!
Van egy elég komplex hálózat, ahol a netet egy hAP ac^2 építi fel, PPPoE-vel és ez össze van kötve egy CRS-sel CAT5E-vel.
Az ac2-n van egy bridge a 2--5 portokkal, 1-esen jön be a net, sima NAT-olás van a bridge felől a net felé.
A problémám: IP-kapcsolat híján, mivel nem vagyok a helyszínen, mac-telnet-tel közlekedek az eszközök közt. Ez teljesen jól működik. Az ac2-n elérek bármit ami a CRS-re van kötve, kivéve magát a CRS-t. A CRS mögötti eszközökről ugyancsak elérem a CRS-t és az ac2-t és ha a CRS-be belépek, abból is az ac2-t. Az egyetlen nem működő út tehát az ac2-CRS kapcsolat.
A CRS-en az összes port egy bridge-ben van. Az ac2 az ő 16-os portjára van téve, ahol a bridge port konfignál a pvid be van állítva 12-re, hogy a CRS-en már a 12-es VLAN-ban legyen a NAT-olt, működő internetkapcsolat.
A kérdés: Ez alapján van ötletetek, miért nem megy az ac2--CRS mac-telnet? Egyáltalán fogadó oldalon lehet ezt a mac-telnet témát korlátozni? Eddig nem találtam. A neighbors-nál rendben látszik az eszköz.
üdv, adika4444
-
kammler
senior tag
válasz adika4444 #19581 üzenetére
Lehet korlátozni a MAC addressel belépést, sőt el is lehet rejteni, hogy winbox ne mutassa. De azt is lehet, hogy csak elrejted, de ha tudod a MAC addresst be tudsz lépni. Tools MAC serverben tudod intézni. De a MAC addressel való menedzselés nagyon nem ajánlott, megszakadozhat. Az csak arra való, hogy ameddig nem állítod be az IP-ket. Csinálj valami egyszerű VPN-nt úgy tudsz IP alapján belépni.
-
XENISETE
kezdő
Tudna valaki segíteni?
A Let's Encrypt certificate készítés valamiért folyton zátonyra fut.
Cloud bekapcsolva. Publikus ip megvan. lefuttatom a/certificate enable-ssl-certificate
A válasza hogy nem fut a www szerviz.
De ez nem igaz, be van kapcsolva, még ip-t se rendeltem hozzá.
Valamit rosszul csinálok ezek szerint. De hogyan is kell ezt pontosan, és mik a feltételek? Mármint lehet valami beállítás elkerülte a figyelmem.[ Szerkesztve ]
-
válasz XENISETE #19584 üzenetére
Legyen elérhető az internet felől a 80-as port (tűzfal vagy szolgáltatói NAT zavarhat be), valamint nekem volt, hogy olyan hibát dobott, miszerint túl sok mynetname.net végződésű címhez rendeltek egy időben tanúsítványt, de egy idő eltetltével már engedett.
Mi a teljes hibaüzenet?
Valamint én megadtam a domain nevet is a parancsban (a cloud-osat ez alapján, de ha te valami maszekkel mókolsz, biztosan jó helyre mutat az a domain név?)[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
-
XENISETE
kezdő
válasz E.Kaufmann #19585 üzenetére
Pár órája nagy nehezen összejött a filterbe fel vettem hogy a 80 porton be enged mindent.
Más kérdés. A www service mezőbe felveszem a privat ip címet. Az mennyire tud bezavarni? Nem nagyon értem, egyébként mert tegnap este is így próbáltam és nem jött össze. Hogy azóta mi változott, mi nem, nem tudom. Na mindegy a lényeg összejött. Nagy nehezen. Illetve még egy kérdés, a 80 port be engedése, annak folyamatosan nyitva kell hogy legyen? Vagy elég akkor, amikor meg kell újítani?[ Szerkesztve ]
-
válasz XENISETE #19586 üzenetére
Jó kérdés, azt se tudom még, próbálja-e magától frissíteni a tanúsítványt, vagy majd szkriptet kell erre írni, mert nem nagyon van bő lére eresztve a leírás. De szerintem nem kell folyamatosan nyitva tartani a 80-as portot.
Jó lenne ha az IP cloud-on keresztül lehetne valami DNS alapú azonosítás, de örüljünk most ennek is, mert én még régen erre egy külön Linux rendszert tartottam és onnan importáltam be szkripttel a tanúsítványt. Ahogy hallom, mai napig még működik.[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
-
ekkold
Topikgazda
válasz E.Kaufmann #19587 üzenetére
Ez a tanusítvány tulajdonképpen mire is kell?
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/ https://www.hobbielektronika.hu/apro/index.php?u=1574
-
válasz ekkold #19588 üzenetére
Pl. HTTPS eléréshez és VPN-hez (OpenWRT, bár az jól megvan maszekkal is és SSTP, aminél viszont a Windows beépített kliense háklis, hogy minden klappoljon, vagy telepíthetjük a maszek főtanúsítványt)
Én utóbbihoz használom. Kicsit püfölni kell a klienset, ha nem akarunk minden forgalmat átdobni (volt rá egy PS scriptem), de egyébként egy megbízható és kéznél lévő (nem kell maszek kliens) VPN megoldás, még ha nem is gyors, de tényleg bárhonnan elérhető (ahonnan nem, ott valami nagyon alacsony MTU és szigorú tűzfal volt a ludas).[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
-
XENISETE
kezdő
válasz E.Kaufmann #19587 üzenetére
Hát akkor nem lettem okosabb.
-
-
bupemko
senior tag
válasz XENISETE #19586 üzenetére
Szerintem privát IP nem mehet SAN-ba (nem fogja tudni validálni a CA):
ISRG CP v3.4 - Let's Encrypt (letsencrypt.org)
7.1.4.2.1 Subject Alternative Name Extension
Certificate Field:extensions:subjectAltName
Required/Optional: Required
Contents: This extension MUST contain at least one entry. Each entry MUST be one of the following types:dNSName
: The entry MUST contain either a Fully-Qualified Domain Name or Wildcard Domain Name that the CA has validated in accordance with Section 3.2.2.4. Wildcard Domain Names MUST be validated for consistency with Section 3.2.2.6. The entry MUST NOT contain an Internal Name.
The Fully-Qualified Domain Name or the FQDN portion of the Wildcard Domain Name contained in the entry MUST be composed entirely of LDH Labels joined together by a U+002E FULL STOP (".") character. The zero-length Domain Label representing the root zone of the Internet Domain Name System MUST NOT be included (e.g. "example.com" MUST be encoded as "example.com" and MUST NOT be encoded as "example.com.").
The Fully-Qualified Domain Name or the FQDN portion of the Wildcard Domain Name MUST consist solely of Domain Labels that are P-Labels or Non-Reserved LDH Labels.iPAddress
: The entry MUST contain an IPv4 or IPv6 address that the CA has validated in accordance with Section 3.2.2.5. The entry MUST NOT contain a Reserved IP Address. -
csgy66
tag
Sziasztok!
A közelmúltban váltottam TP-Link AX20-ról hAP ac^2-re (OS v7.8). Haladok a belakással, de most megakadtam. Van egy (Polar) klímám, amit az Ewpe Smart app-al lehet távvezérelni, és nem tudom beüzemelni. Fellép a Wifire, de nem konnektál a felhőbe, nem jelenik meg az app-ban. Megpróbáltam ideiglenesen az összes drop tűzfal szabályt kikapcsolni, hátha a felhőből nem találnak vissza, de semmi. Találtam egy leírást, ami említi a 6000, 6002, 16384 portokat, azokat forwardoltam a klímának, de semmi. A TP-Linken minden különösebb beállítás nélkül működött. Használ esetleg valaki ilyen appot Mikrotik-kel? -
addikt
-
-
csgy66
tag
válasz grabber #19594 üzenetére
És #19595 E.Kaufmann!
Van felhős szolgáltatásuk, be is vagyok regisztrálva. Az előző routerrel működött.
Ez a külön LAN jó ötlet. Az átlátást meg megtiltom.Ennyi van a konfigban, ami érinti a klímát:
/ip dhcp-server lease
add address=192.168.69.198 address-lists=internet_access client-id=\
1:f4:91:1e:e0:4:1f comment="Polar klima - konyha" mac-address=\
xx:xx:xx:xx:xx:xx server=server1/ip firewall filter
add action=drop chain=forward comment="FORWARD LANC VEGE - Minden internet fel\
e meno forgalom tiltasa a belso halozatokbol, kiveve az engedelyezett hosz\
tokat." in-interface=bridge1 out-interface=ether1 src-address-list=\
!internet_access -
válasz csgy66 #19596 üzenetére
Na ezt az uccsót nem teljesen értem. Érdemes tényleg a végén mindent dobni de előtte plusz szabályban megadni, ami mehet, valamint LAN felöl WAN irányába érdemes mindent engedni valamint az erre a forgalomra hivatkozó WAN felöl bejövő established, related kapcsolatokat engedni.
Le az elipszilonos jével, éljen a "j" !!!
-
csgy66
tag
válasz E.Kaufmann #19597 üzenetére
Van egy internet_access nevű address-list, ezzel szabályozom, hogy melyik eszköz lát ki a netre, és melyik nem. A kamerákat például nem engedem ki.
Akkor van drop, ha src-address-list=!internet_access. (Esetemben nincs kitöltve.)
A többi Általad említett szabály is megvan, csak előrébb. Ez az utolsó. -
-
csgy66
tag
válasz E.Kaufmann #19599 üzenetére
Átgondolom.
Viszont a kettőtök tapasztalata alapján mindez nem segít a Ewpe Smart problémámon. (Ahogy írtam is, próbáltam kikapcsolt szabályokkal.)
Új hozzászólás Aktív témák
- Bomba ár! Lenovo X1 Yoga 3rd - i5-8GEN I 8GB I 256GB SSD I 14" 2K Touch I W11 I CAM I Garancia!
- Bomba ár! Lenovo X1 Carbon G3: i7-G5 I 8GB I 256GB SSD I 14" QHD I HDMI I Cam I W10 I Gari!
- Bomba ár! Lenovo ThinkPad T450s - i5-5GEN I 8GB I 128GB SSD I 14" HD+ I Cam I W10 I Garancia!
- Bomba ár! Lenovo ThinkPad T14s - i5-10G I 8GB I 256GB SSD I 14" FHD Touch I Cam I W11 I Garancia!
- Bomba ár! Lenovo ThinkPad T490s - i5-8G I 8GB I 256GB SSD I 14" FHD Touch I Cam I W11 I Gari!
Állásajánlatok
Cég: HC Pointer Kft.
Város: Pécs
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest