-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
feel2006
tag
válasz bambano #3949 üzenetére
voltak még a szeptemberi hírlevélben érdekes termékek pl: Woobm-USB .
Mikrotik-Hu | -unofficial- | https://www.facebook.com/groups/mikrotikhu/
-
-
#19482368
törölt tag
Keresek Budapesten Mikrotik router-ben jártas, számlaképes szakembert. Természetesen nem ingyen. ár megbeszélés tárgya. Feltételezem igény függő.
Amit szeretnék.
Mikrotik router kiválasztása, Wifi nem kell. Biztonságos internet kiépítés, megfelelő tűzfal szabályokkal.
És plusz egy hozzám nagyon ragaszkodó egyed, inaktivitása. Szóval, kihívás is van benne.
További megbeszélés, privátban, itt a prohardveren. Kérem ónjelölteket kíméljenek.Köszönöm.
[ Szerkesztve ]
-
vkp
aktív tag
Sávszél korlát bajom van, van egy vlan, be van rá állítva egy 50/50, valamint egy 10/10 pcq.
Ez így működik is szépen.
Ami nem megy és régen ment, ha ez elé a szabály elé berakok egy másikat, ami 1db ip címnek ad(na) nagyobb sávszélt...
Ez régen teljesen jól működött, most viszont bármennyit állítok, az előtte lévő szabályban szereplő címnek, ugyanaz vonatkozik rá, mint a lejjebb lévő szabályban.
Tud valaki megoldást? -
vkp
aktív tag
válasz Core2duo6600 #3955 üzenetére
0 name="test_IP" target=10.42.0.8/32 parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=100M/100M
burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s bucket-size=0.1/0.11 name="vlan42" target=10.42.0.0/18 parent=none packet-marks="" priority=8/8 queue=perip_10M/perip_10M limit-at=0/0 max-limit=50M/50M burst-limit=0/0
burst-threshold=0/0 burst-time=0s/0s bucket-size=0.1/0.1 -
Core2duo6600
veterán
válasz daninet #3958 üzenetére
A nat ra ez lenne a megfelelő, be kell állítani a bejövő net kapcsolatot, ez nálam Digi-PPPOE, nálad nyilván más
;;; Ftp
chain=dstnat action=dst-nat to-addresses=192.168.1.199 to-ports=21 protocol=tcp in-interface=Digi-PPPOE dst-port=21 log=no log-prefix=""A filters alatt mit csinál az a szabály ?
[ Szerkesztve ]
Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430
-
feel2006
tag
válasz daninet #3958 üzenetére
Szia,
NAT szabálynál én nem látom, hogy állítottál volna be a general fülön bejövő portot (port számot), az pedig tudtommal kell.Próbáld így
chain=dstnat action=dst-nat to-addresses=192.168.1.199 to-ports=21 protocol=tcp in-interface=ether1 dst-port=21[ Szerkesztve ]
Mikrotik-Hu | -unofficial- | https://www.facebook.com/groups/mikrotikhu/
-
-
-
feel2006
tag
válasz daninet #3963 üzenetére
Nem bentről próbálod kinti címeden elérni az FTP-t ugye? Ha mégis, Harpin NAT van? Anélkül nem hiszem, hogy menne, még jó beállítás esetén sem.
Én innen próbálkoznék, mert ha nyitott a port, fut az ftp szolgáltatás akkor "open"-nt kell kiírnia.
Firewall filter rules-ba is, én betenném a kívánt portot (21)
chain=forward action=accept protocol=tcp in-interface=ether1 dst-port=21
Illetve ha csak a 192.168.1.199:21 -re próbálsz belső hálózatból kapcsolódni, úgy megy gondolom az ftp, az ftp szerver hibáját kizárhatjuk.
[ Szerkesztve ]
Mikrotik-Hu | -unofficial- | https://www.facebook.com/groups/mikrotikhu/
-
user12
őstag
válasz daninet #3958 üzenetére
A beállítások jók, viszont az üfsz-on érdemes lenne utánakérdezni, hogy engedik-e a "gyakran használt" portokat (szolgáltatói oldalról) vagy nincs-e natolva az IP címed.
Akár ettől függetlenül is kipróbálhatod, hogy a dst-port helyett megadsz egy másikat (pl. 52484) és azzal megpróbálod. Nekem a T-nél ilyen módon (nem ezzel a portszámmal) működik.Rendszergazda vagyok....ha röhögni lát, mentsen
-
Core2duo6600
veterán
Hello,
Kiegészítettem a az alap szűréseket, ime :
Mit kellene még eszközölni ?
Ill. jó-e a sorrend ?E szerint csináltam a szabályokat [link]
Ime :
[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; default configuration
chain=input action=accept connection-state=established,related
2 ;;; Allowed to router
chain=input action=accept src-address-list=allowed_to_router log=no log-prefix=""
3 chain=input action=drop protocol=tcp dst-port=53 log=yes log-prefix="Drop_DNS"
4 chain=input action=drop protocol=udp dst-port=53 log=yes log-prefix="Drop_DNS"
5 ;;; FastTrack
chain=forward action=fasttrack-connection connection-state=established,related
6 ;;; Established, Related
chain=forward action=accept connection-state=established,related
7 ;;; Drop invalid
chain=forward action=drop connection-state=invalid log=yes log-prefix="invalid"
8 ;;; Drop tries to reach not public addresses from LAN
chain=forward action=drop dst-address-list=not_in_internet in-interface=Lan out-interface=!Lan log=yes log-prefix="!public_from_LAN"
9 ;;; Drop incoming packets that are not NATted
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=Digi-PPPOE log=yes log-prefix="!NAT"
10 ;;; Drop incoming from internet which is not public IP
chain=forward action=drop src-address-list=not_in_internet in-interface=Digi-PPPOE log=yes log-prefix="!public"
11 ;;; Drop packets from LAN that do not have LAN IP
chain=forward action=drop src-address=!192.168.1.0/24 in-interface=Lan log=yes log-prefix="LAN_!LAN"
12 chain=input action=drop log=no log-prefix="Drop"
[admin@MikroTik] /ip firewall filter>[ Szerkesztve ]
Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430
-
csusza`
senior tag
válasz daninet #3963 üzenetére
Szerintem, ha már portot nyitsz konstans a net felé, akkor lehetőleg ne a szabvány portokra tedd, ergo 21-et felejtsd el. Rakd be, ahogy mások is mondták, pl 50021-re vagy valami ilyesmire.
Net kapcsolatod nem PPPoE? Mert akkor a NAT-ot arról az interfészről lődd be, ne az ether1-ről.
Próbaként tiltsd le az összes filtert és nézd meg, hogy ha CSAK a NAT van megcsinálva, megy-e.
Ha NAT-olt a hálózat, nem fog menni. Ki a szolgáltató? T-Com-ra csak rá kell telefonálni és kérésre kivesznek a NAT-olt rendszerből.
Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!
-
-
csusza`
senior tag
válasz Core2duo6600 #3969 üzenetére
Én Mikrotikkel mindig másik portot használok.
Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!
-
balaaa88
aktív tag
Sziasztok!
Szeretnék egy kis segítséget / tanácsot kérni, hogy az alábbi igényt / feladatot ti hogyan oldanátok meg, mennyire macerás ezt megoldani:
Adott egy Mikrotik RB850Gx2 eszköz.
Van rajta két darab WAN elérés.
1 db mikrohullámú (alapértelmezetten ezen forgalmaznak a hálózati eszközök) és 1 db ADSL vonal.
Mindkettő kapcsolat fix IP-címes.
Mindkét kapcsolat egyidőben aktív, load balancing nincs rajta, csak fail-over.Ha az alapértelmezett (mikrohullámú) kapcsolat nem elérhető (ezt egy egyszerű, az adott route-on lévő ping-el ellenőrzi), akkor a hálózati forgalom az ADSL vonalat fogja használni.
Ha a mikrohullámú kapcsolat rendbejött, akkor visszavált rá.
Feladat:
Adott egy távoli szerver, amire a mikrotik irodájából távasztallal csatlakoznak.
Azt kellene megoldani, hogy ezen távoli szerver irányába menő forgalom ne az alapértelmezett kapcsolatot használja, hanem erre (és csak erre) az ADSL vonalat használja.Ha kell még info, ne tartsátok magatokba!
Tudok mutatni tűzfal / mangle szabályokat is.Köszi előre is.
-
Core2duo6600
veterán
válasz csusza` #3970 üzenetére
Ez idáig rendben, de nem érek vele semmi, ha a céges rendszer csak a szabvány portokat ismeri. . .
Sőt azt is meg lehet csinálni, hogy kivülről nem szabvány, belül szabvány vagy akár fordítva !Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430
-
csusza`
senior tag
válasz Core2duo6600 #3972 üzenetére
Igen, tudom.
Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!
-
bacus
őstag
válasz Core2duo6600 #3972 üzenetére
Ftp-re használhatod nyugodtan a szabvány portot, mert az ftp blacklist könnyen építhető, erre kész script is van fent a neten. Ez is a sima ftp nagy hátránya, a plain text authentikáció. Nem attól kell tartani, hogy feltörik, hanem attól, hogy ellopják a név/jelszó párokat.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
-
-
bacus
őstag
válasz bambano #3977 üzenetére
sajnos a sima ftp-ket használják böngészőből is, ahol ugye egy url-ben szerepelhet mind a név, mind a jelszó is. Én ezt nyílt honlapon is láttam, mert ugye a usereket könnyű hülyének nézni, hogy úgyse tudja mire kattint..
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
SimLockS
tag
válasz Core2duo6600 #3979 üzenetére
Gondolom úgy, hogy az érintett szerver “visszaír” a routerbe. Vagy futtatja a routerben a scriptet. De ha pl. x időn belül több bejövő kísérlet van egy adott külső IP-ről, akkor a router is egyszerűen felveheti fekete listára az adott IP-t...
-
Blackdeath12
csendes tag
Sziasztok! Mitől lehet az, hogy elvileg minden fasza a VPN emmel, de a letöltés az kegyetlen szar?
Internet kapcsolat jó/stabil, és nagyon gyatra a Speedtest . Valaki tudja hogy melyik beállítással lehet baj, vagy valaki tapasztalt már ilyet? Frissítve van minden, és amint látni csak a letöltés katasztrofális a feltöltés nagyon jól megy.... kb mind 2 oldalról hasonló értéket kéne látni.... MikroTik RB951G-2HnD Routerem van. -
#19482368
törölt tag
Sziasztok látott már valaki ilyen hiba üzenetet?
defconf: failed to add arp entry for 192.168.88.200 alredy have such arp 6
Időnként pirosan világít a log-ban. Kb 5-10 percenként. Tudja valaki mi lehet ez? Vagy én konfiguráltam el valamit?
-
-
-
#19482368
törölt tag
válasz bambano #3985 üzenetére
Hát csak 1 gép van rajta, az amiről írok. Az DHCP-re van beállítva, és megegyezik a leírt IP/Mac address-el.
Olyan mintha valami be akarná hamisítani. A Gép Win 10, a mcaffe, malwarebyte nem talált semmit. Rendszeresen frissítve. Annyira, hogy ép ma lett újra telepítve pont ezért. Mert arra gondoltam valami vírus csinálja.Ezt állítottam be.
Az add ARP for leases-ről azt találtam, hogy ha engedélyezve van, és a hozzá tartozó interface-en az ARP beállítás reply-only akkor csak a DHCP klienseket engedi a hálózation forgalmazni, a statikusan beállított IP című eszközök nem fogják elérni a hálózatot.De ezek szerint valami más generálja, már csak az a kérdés mi.
[ Szerkesztve ]
-
csusza`
senior tag
válasz #19482368 #3986 üzenetére
"Az add ARP for leases-ről azt találtam, hogy ha engedélyezve van, és a hozzá tartozó interface-en az ARP beállítás reply-only akkor csak a DHCP klienseket engedi a hálózation forgalmazni, a statikusan beállított IP című eszközök nem fogják elérni a hálózatot."
Na ez speciel magyarázná azt, amivel én elég régóta szopok, hogy a static IP-s eszközökön egy idő után elmegy a net... kézzel kell DNS-t állítani... Add ARP for Leases engem is érdekelne, hogy pontosan mi is, mert a Mikrotik wiki alapján nem megyek el rajta...
Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!
-
#19482368
törölt tag
válasz csusza` #3987 üzenetére
Ha jól értelmezem,akkor azt csinálja hogy csak DHCP ügyfelek tudnak csatlakozni a hálózathoz. Azaz minden fix IP címmel beállított kliens nem éri el a hálózatot.
Lepróbáltam, működik. topológia így nézet ki.
Mikotik ---> USG --> USW ---> gépek
Amit csináltam, az USG-ben fixre állítottam az IP címet, és ugyan látszólag csatlakozott, a hálózathoz, de forgalmat nem generált. és nem érte el a Mikortik belső hálózatot. Ahogy vissza tettem az USG- dhcp-re megindult a forgalom.Ja bocs, félre értelmeztem a Add ARP for Leases engem is érdekelne, hogy pontosan mi is, mert a Mikrotik wiki alapján nem megyek el rajta...
Passzolom, nem értek hozzá, csak próbálok valamit virítani,valójában magam is segítségre szorulok, 1 hete van csak mikortik eszközöm. Közben meg próbálok valami szakembert keresni, aki sokkal jártasabb mint én, és tudja, érti, stb... Persze nem ingyen. De úgy tűnik, itt is valamit rosszul csinálok, mert nem találom emberem. Így a magam kárán próbálok összefaragni valamit.
[ Szerkesztve ]
-
válasz csusza` #3987 üzenetére
a statikus ip-s eszközökön mindig kézzel kell dns-t állítani
"Add ARP for Leases engem is érdekelne, hogy pontosan mi is": nem bonyolult ez. az ip-mac összerendelést normális esetben arp protokollal végzi a rendszer, a mikrotikből kimenő ip csomagok ethernet címét arp-vel tudja meg a router. ez lehet rossz, ha attól félsz, hogy idegen eszközt dugnak fel a hálózatra.
helyette lehet azt csinálni, hogy a router nem használ arp-t, hanem az általa dhcp-n kiadott ip címekhez rögtön az arp táblába is megcsinálja a bejegyzést, így nem kell arp protokoll és amelyik gép nem kap dhcp-n tőle ip címet, az nem fog forgalmazni.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
#19482368
törölt tag
válasz bambano #3989 üzenetére
a statikus ip-s eszközökön mindig kézzel kell dns-t állítan
Persze az megvolt, akkor se ment. Szóval ez így úgy tűnik működik.
Amit meg akarok akadályozni, hogy valaki le clonozza a csatlakozott gépek Mac/ip címét. Azért gondoltam ez megoldja. Mert a DHCP nem osztja ki ugyan azt az IP címet, ha meg fixre állítja, akkor meg nem csatlakozik. De lehet rosszul közelítem meg a problémát. Mint fentebb írtam, nem értek hozzá. -
csusza`
senior tag
válasz bambano #3989 üzenetére
Persze, rosszul fogalmaztam.
Amikor static IP-t állítottam, DNS kiszolgálónak a routert adtam meg, abban pedig meg volt adva a 8.8.8.8 és a 8.8.4.4, így nem ment. A static IP mellé a kliensen is állítottam Google DNS-t, utána volt jó.
Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!
-
mcll
senior tag
Sziasztok!
Lenne egy kérdésem, mert egy dologgal nem boldogulok sehogy.
Van egy hEX routerboardom. Szeretném azt beállítani hogy bizonyos IP-jű gépek mondjuk este 10-től reggel 8-ig ne mehessenek ki a netre. A Simple Queues-ben próbálom megoldani a dolgot.
Hozzáadok egy új szabályt: Target: az adott gép IP-je, Max limit Upload-ra és Download-ra beállítva 1k-ra (0k-t hiába állítok be, akkor unlimited marad). és apply-olom, akkor azonnal szuperül leveszi a sebességet 1/1kbps-re. Azonban ha a Time mezőbe beírom a kezdeti és vége időt, akkor már nem működik, azaz az adott időszakban nem korlátoz. Továbbá azt is látom, hogy az egész szabály sor piros, tehát valami baja van.
Le tudná valaki írni lépésről lépésre hogy az ilyen szabályt hogy kell megcsinálni?"Microsoft gives you Windows... Linux gives you the whole house."
-
csusza`
senior tag
Szerintem egyszerűbb, ha írsz egy firewall filter rule-t, ami a net fele menő interfészen eldroppolja a csomagokat, az Extra fülön pedig be lehet állítani az ütemezést.
Mondjuk ilyenkor az a baj, hogy ha mondjuk VNC-zni vagy TeamViewer-ezni vagy bármit akarsz, nem fogod elérni a gépet.A queue is jó ötlet, hogy belassítod a kapcsolatot, viszont az elérésekkel ekkor is gond lesz.
Masquerade-del is megoldhatod, le kell tiltani a masqurade-t amiken akarod.
Amúgy szerintem azt rontod el, hogy a kezdeti és a vég időpontot állítod be, de a Mikrotik-ben általában nem a vége időt kell megadni, hanem az időtartamot...
[ Szerkesztve ]
Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!
-
nyilasmisi
tag
Sziasztok!
Egy olyan kérdésem lenne, hogy Digi+ipv6 esetén az miért van hogy 7naponta amikor lejár a prefix-nek a timere, és újat kapok akkor a prefix szépen megújjul az ipv6 dhcp kliensnél, de LAN oldalon a bridge-localon (és az eszközökön) sem megy ez végbe (marad a régi)?
Már mindent kipróbáltam de nem jöttem rá.
Minden alkalommal amikor új prefix-et kapok, akkor manuálisan ki kell törölni a pppout1-digi interface-en a címet, és a dhcpv6 kliensen pedig egy release-et nyomni am új prefix-et kér! És minden tökéletesen megy 1 hétig.Nektek ez rendesen megy?
-
brickm
őstag
Sziasztok!
Két kérdés lenne egyben,
az egyik, hogy milyen firewall ruée-al lehet egy adott IP cím kommunikációját meggátolni a hálózaton?
A másik, hogy mennyire öngyilkosság a mikrotikes quicksettings-es pptp vpn szervert használni? -
mcll
senior tag
válasz csusza` #3993 üzenetére
Amúgy szerintem azt rontod el, hogy a kezdeti és a vég időpontot állítod be, de a Mikrotik-ben általában nem a vége időt kell megadni, hanem az időtartamot..
Na ebben látod lehet tényleg igazad lehet! Ezt mindig elfelejtem a Mikrotiknál. Holnap letesztelem.
Köszi.
"Microsoft gives you Windows... Linux gives you the whole house."
-
djmorphy
tag
Sziasztok!
Tudnátok abban segíteni, hogy mi a különbség a MIKROTIK RB951G-2HnD és az MIKROTIK RB951Ui-2HnD
között?Tervezek venni egy ilyen routert vendég-routernek a céghez de nem tudok rájönni mi a különbség a kettő között? Vagy csak Licence Level különbség van hardveresen ugyan az?
Melyiket ajánlanátok egy kis céges tárgyalóba? Annyit akarok csak vele ha vendéget fogadunk akkor ne a belső hálón lógjanak.
-
Új hozzászólás Aktív témák
- Linux kezdőknek
- Politika
- HiFi műszaki szemmel - sztereó hangrendszerek
- Óra topik
- Luck Dragon: Asszociációs játék. :)
- Kerékpárosok, bringások ide!
- exHWSW - Értünk mindenhez IS
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- sh4d0w: Rebel Moon - Ne nézd meg!
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- További aktív témák...