-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
KTTech
veterán
Az, hogy nem számlál, kijelzési hiba. Mint látod, csomagforgalom van a szabályon+érezhetően nőtt a sávszélesség (még így sem tudja az 500Mbit/s-et, de jelentősen nőtt a jelenlegi beállítás mellett). Egyébként az elejére van pakolva a szabályoknak.
www.kttech.hu //A szgépem/fényképezőm configja az adatlapomon
-
#96292352
törölt tag
Sziasztok!
Nálam is jelentkezett első pillanattól kezdve a kinai koreai ip-kről a próbálkozások.
Én is beállítottam az előbbi több lépcsős bruteforce szűrőt, sőt most is bent van.De találtam sokkal hatásosabb szabályt:
Minden kapcsolatot, ami a wan1 felől jön, és input, az dropped. Kivéve a whitelist-ben szereplő ip-k.
A whitelisthez hozzá lehet adni az ip-d, egy ilyan ip mögül is, ami nincs benne a whitelist-ben a következőképpen: meg kell nyitni egy portját a wan1 ipjé-nek (pl: 0.0.0.0:12345). Tehát ha erre a port-ra érkezik kérés, akkor a forrás ip-t hozzáadja a whitelist-hez.nálam így megy
-
lcdtv
aktív tag
Mikrotik VPN alól szeretném a windowsos gépeket hálózati szinten látni.
Böngészőbe IP cím szerint látom őket (nas,kamera stb)
Mit kell tennem, vagy egyáltalán lehetséges ez? -
bacus
őstag
válasz #96292352 #602 üzenetére
Nekem megy pár publikus web szerver,továbbá mail szerver, stb. Mindent drop elég vicces lenne :-)
Nyilván az ssh-ra érted, de ez is tökéletes. Hamar black listára kerülnek, nálam 2 hétig utána nem tud egyáltalán kapcsolodni semmilyen porton. Az ftp blacklistben pl alig van néha egy-egy bejegyzés.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
human374
tag
Köszi a részletes választ!!
Igen a sorrenddel nem voltam tisztában, és még mielőtt elolvastam volna a hozzászólásodat kizártam magam De legalább van move parancs és nem kellett minden rule-t újra beadni.
Közben tesztelgettem is és így a 3 stage-el 9 bejelentkezési lehetőséget kap a felhasználó.
[somedude@MikroTik] /ip firewall address-list> print
Flags: X - disabled, D - dynamic
# LIST ADDRESS TIMEOUT
[somedude@MikroTik] /ip firewall address-list>
[somedude@MikroTik] /ip firewall address-list>
echo: system,error,critical login failure for user somedude from 194.227.20.51 via ssh
[somedude@MikroTik] /ip firewall address-list>
echo: system,error,critical login failure for user somedude from 194.227.20.51 via ssh
[somedude@MikroTik] /ip firewall address-list>
echo: system,error,critical login failure for user somedude from 194.227.20.51 via ssh
[somedude@MikroTik] /ip firewall address-list> print
Flags: X - disabled, D - dynamic
# LIST ADDRESS TIMEOUT
0 D ssh_stage1 194.227.20.51 36s
[somedude@MikroTik] /ip firewall address-list>Valahogy nem tetszik annyira ez a megoldás jobb lenne, ha failed login-ra lehetne reagálni nem pedig az új ssh kapcsolatokra. Bár az tény, hogy a brute force-t megfoja
-
MTbc
senior tag
Üdv, kezdő mikrotikes vagyok, és szeretnék egy DD-WRT -es Tp-link és egy RB951G-2HnD WDS-esl összekapcsolni, neten keresgetve több leírás alapján próbálgattam de nem megy sajnos.
Tudna nekem valaki segíteni ebben?
A mikrotik egy pppoe kapcsolatot tart a modemmel, DHCP kikapcsolva egy IP-t Windows szervertől kapnak a kliensek és szeretnék egy WDS összelőni.
Tp-link gyári szoftverével működött de szeretem a kihívásokat -
bacus
őstag
válasz human374 #606 üzenetére
Nem értem ezt a 9 lehetőséget, hiszen az időtől függ. Ha 1 percen belül próbálkozik, akkor a 4. után kizárta magát, ha meg 5 percenként, akkor végtelen lehetősége van.
Akár hiszed, akár nem, de ez a failed loginra reagál. ,én még nem láttam ugyanis usert, aki egy sikeres belépés után kilépne, majd ezt még 3x megcsinálja 1 percen belül.
Egy secure layernél azért az joggal elvárható, hogy a routered SE lásson bele a folyamatba, még akkor se, ha az is a Te eszközöd. A mt mögött lévő szerver pontosan tudja, ha failed login van, ha nem tetszik ez, akkor az ssh szerveren le tudod kezelni a problémát. Ha igazán biztonságosat akarsz, akkor a jelszó alapú belépést eleve tiltod, root felhasználó nem léphet be.., stb.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
#96292352
törölt tag
Na várj, ha az inputot szűröd, akkor az csak a mikrotik felé érvényes csomagokra vonatkozik!
Amire te gondolsz, az nem input, hanem forward, vagyis a mikrotiken átmenő forgalom.
Ezért van nekem az input szűrve, mert nálam is van egy pár port kiforgatva, és több vpn is megy!Csak azért írtam, hogy ne értsük félre egymást!
-
Exom
tag
Sziasztok
Mikrotik RB951g belső wifivel lehet csatlakozni a UPC Wi-Free szolgáltatáshoz?
Station üzemmód + PEAP + MSCHAPV2.
Vagy esetleg Openwrt -t kell feltennem ? -
KTTech
veterán
-
bacus
őstag
Ha már itt tartunk, hogy működik ez a upc wifi? mindenkinek van saját jelszava? Vagy van egy szuper titkos jelszó ami mindenhol működik? Vagy felengedni felenged, de a upc belső hálózatából kifele már kér valami azonositást?
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
#96292352
törölt tag
Én úgy tudom, hogy minden előfizető kap egy (de lehet hogy 3 eszköz részére) hozzáférést a wifree szolgáltatáshoz. Ahol elérhető a városban, ott fel lehet csatlakozni a saját jelszavaddal a wifree-hez. És attól kezdve egy külön kapcsolaton mész ki a netre, mint az adott user, akinek a routerére csatlakozol.
-
KTTech
veterán
Akinek van internetszolgáltatása, az regisztrálhat MyUPC fiókot. Ez a fióknév és jelszó fogja működtetni pl. a HorizonGO-t és a UPC Phone-t is. Viszont a WiFree-hez külön generált jelszó van, a felhasználónév mellé, mindenkinek egyedileg (alaphelyzetben).
1 UN/PW páros egyszerre 3 helyen lehet aktív (persze akár 10 eszközre is be lehet állítani), illetve saját modemen (vagy olyanon, aminek a rendes wifijére már felmentek az adott eszközzel) nem működik (mert nincs értelme). A kapcsolat teljesen elkülönített a modemeken, nem érinti a normál előfizetést (beleértve az IP-t is).[ Szerkesztve ]
www.kttech.hu //A szgépem/fényképezőm configja az adatlapomon
-
gazrobur
csendes tag
Sziasztok. Most vettem egy MikroTik hAP lite-ot azért, mert egy régi netgear routert akartam lecserélni, és azért vettem ezt az olcsóbb fajtát, hogy gyakoroljak, rajta. De sajnos nem tudom beállítani rajta még az internetet se. Bedugom a kábelt a routerbe és csak a router homepage-re tudok rámenni, és elvileg onnan kellene konfigurálnom.
Vagy ez hogy működik?
Tud valaki segíteni?
Azt nagyon megköszönném.
Köszönöm. -
bacus
őstag
válasz gazrobur #625 üzenetére
Tudod ez a mikrotik router kicsit olyan mint amikor a személyautóból átül az ember fia egy egyszerübb repülőbe. (még csak nem is helikoptert mondtam..).
Az autó vezetés hiába ment, repülőt másképp kell vezetni.
Te most vettél egy repülőt, nem egy nagy boeing-et, csak egy kis orrmotorost és most kérdezgeted a társakat a kaszárnyába, hogy mégis hogy kell elindulni.
A webes felületetn a quick settings lesz a te barátod egyelőre.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
gazrobur
csendes tag
Igen, végre sikerült beállítani, hogy legyen net, köszönöm.
Az lenne a kérdésem, hogy 50Mbit-es net van előfizetve, de sajnso csak 16Mbit-et ad a speedtest.
Mi lehet a probléma?
Tud valaki ebben segíteni?
Köszönöm. -
bacus
őstag
válasz gazrobur #630 üzenetére
Mi ezen a csoda? G-s wifi, még 54Mbit /sec csatlakozásnál is a speedteszt csak a hasznos jelet méri, ez 25-27 max. lesz.
Ahogy jön bármi zavarás, pl szomszéd, stb (ne feledd, sok helyen csak úgy ott hagyják az n-es szolgáltatói routereket, aminél csak 2 független /egymást nem zavaró/ csatorna van), már romlik.
A 19es átvitel az sztem jó és korrekt. (már ha g-s wifit sikerült konfigolnod)
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
gazrobur
csendes tag
Értem. Köszi. Akkor még annyi kérdésem lenne, hogy ha a zavaró tényezők miatt nem tudom kihasználni az 50-es előfizetést akkor jobban járok ha alacsonyabbra váltok? Mondjuk 30-assal is adnà a 17-19-et stabilan?
Köszönöm a segítségedet. Illetve olyan kérdésem lenne, hogy hogyan tudnám megoldani azt hogy az internetemet ami kb 20 méterre jó (ott már gyenge a jel)
(falak miatt)
40-50 méterre is jó legyen. Repeaterrel vagy Ap felszerelésével? De ezeket hogyan tudnám felrakni?
Két panelházról lenne szó amik 50 méterre vannak egymástól de az egyikben nem szeretnénk internetet előfizetni.
Ebben esetleg tudsz segíteni? Mit tudsz ajánlani e mellé a MikroTik hAP mellé? Vagy vegyek 30-40ezerért erősebb routert? (Esetleg antennát?) Mennyire lesz stabil a net ha egy nagyobb antennát szerelnék egy routerre? Köszönöm.
Elnézést a sok önlesztett kérdésért. -
bacus
őstag
válasz gazrobur #632 üzenetére
Szerintem ha nem G, hanem N wifit konfigolsz (és az eszközeid is tudják) ki tudod használni az 50-es netet, de igen, harmincassal is hozná ugyanezt.
Nálam a kérdésed második része nem fér bele a fórum segitség kérés kategóriájába. Szerintem keress rá vállalkozót, aki ezt belövi. Attól függ hol van a két panelház, akár engem is megkereshetsz magánban, de lehet sokan foglalkoznak vele ezen a fórumon.
A helyszín ismerete nélkül egyébként is értelmetlen bármi ilyesmire tanácsot adni.[ Szerkesztve ]
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
gazrobur
csendes tag
Rendben. Köszönöm. N-s wifit meg valahogy utánakeresek, mivel Quick Set-ben 2Ghz-only N-el nem tudok csatlakozni a nethez.
Az egyik laptopnak ilyen kártyája van, de ezzel sem tudtam csatlakozni N-es hez. Gondolom azért ennél többet kell bekonfigurálni rajta, de majd utánanézek ennek. Vagy ha esetleg van valami jó tutorial azt is szívesen veszem.
Realtek RTL8723BE wireless LAN 802.11n PCI-E NICAmit említettél azon pedig még gondolkodok.
Köszönöm -
senior tag
válasz HwAdokVeszek #553 üzenetére
Kipróbáltam ezt a FastTrack funkciót, és úgy néz ki, tényleg segít egy kicsit a routernek (RB951G).
Viszont, hazavágta a tűzfal szabályaim egy részét. Itt is a "Url Content Filter" szabálysoromat:/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration - Related+Esteblished" \
connection-state=established,related
add action=drop chain=input comment="default configuration" in-interface=\
ether1-gateway
add action=jump chain=forward comment="Jump to Url-Block" dst-port=80,443 \
jump-target=Url-Block protocol=tcp
add action=fasttrack-connection chain=forward comment="default configuration" \
connection-state=established,related
add chain=forward comment="default configuration - Related+Esteblished" \
connection-state=established,related
add action=drop chain=forward comment="default configuration" \
connection-state=invalid
add action=drop chain=forward comment="default configuration" \
connection-nat-state=!dstnat connection-state=new in-interface=\
ether1-gateway
add action=drop chain=Url-Block content=adverticum
add action=drop chain=Url-Block content=bing.com
add action=drop chain=Url-Block content=gemius.hu
add action=drop chain=Url-Block content=livejasmin
add action=drop chain=Url-Block content=meetdominatrix
add action=drop chain=Url-Block content=femdomchatcity
add action=drop chain=Url-Block content=888poker
add action=drop chain=Url-Block content=xtrasize.hu
add action=drop chain=Url-Block content=pog.com
add action=drop chain=Url-Block content=saloontube
add action=drop chain=Url-Block content=extremetube.com
add action=drop chain=Url-Block content=nunuba.com
add action=drop chain=Url-Block content=fapsex.com
add action=drop chain=Url-Block content=gigiporn.com
add action=drop chain=Url-Block content=play.glomobi.com
add action=drop chain=Url-Block content=landing.pkr.com
add action=drop chain=Url-Block content=ofbinarysystem.com
add action=drop chain=Url-Block content=bb-dating.com
add action=drop chain=Url-Block content=xlovecam.comAmennyiben aktív a "fasttrack-connection" szabály, akkor nem megy az "Url-Block". Ha kikapcsolom, akkor működik (???)
Igen tudom, lehetne ezt Web-Proxy használatával is csinálni, bár nem vagyok benne biztos, hogy kevesebb erőforrással. -
bacus
őstag
válasz Zwodkassy #637 üzenetére
Mi a kérdés?
Gondolom amikor már a content vizsgálat menne, akkor az már rég related, established csomag, igy ignorálódik az a tűzfal szabály.
Bár a sorrend szerint nem kellene, de ha aktiv a fasttrack akkor az egy különleges "mangle" jelet kap utána, és gyanítom felborul a sorrend.
A 443-as portba eddig sem láthattál bele, zárd ki ha a 80-as port a dst, akkor nem lehet fasttrack.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
senior tag
"Gondolom amikor már a content vizsgálat menne, akkor az már rég related, established csomag, igy ignorálódik az a tűzfal szabály."
De a "Related + Established" a
add chain=forward comment="default configuration - Related+Esteblished" \
connection-state=established,relatedszabálytól is igaznak kellene, hogy legyen, mégis csak a
add action=fasttrack-connection chain=forward comment="default configuration" \
connection-state=established,relatedszabály megléte esetén nem működik a szűrés.
"Bár a sorrend szerint nem kellene, de ha aktiv a fasttrack akkor az egy különleges "mangle" jelet kap utána, és gyanítom felborul a sorrend.
A 443-as portba eddig sem láthattál bele, zárd ki ha a 80-as port a dst, akkor nem lehet fasttrack."Ha csak 80-as dst portot használok, akkor is ez a jelenség :-(
Kérdés hogyan működik ez a FastTrack -
bacus
őstag
válasz Zwodkassy #639 üzenetére
Nem, a tűzfal kiértékelése leáll az első illeszkedő szabálynál.
Nekem az az érzésem, hogy a fastrack kapcsolatok előre sorolódnak és ha lehet, akkor már nem is vesznek részt a tűzfal szabályokban. Ettől lesz fast.
Mivel megvan az illeszkedő szabály, ezért utána már nem értékelődik ki semmi, acceptot kapott ráadásnak.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
senior tag
Az oldal "IPv4 FastTrack handler" részénél ott a megoldás:
http://wiki.mikrotik.com/wiki/Manualast_Path
"Fasttracked packets bypass firewall, simple queues, queue tree with parent=global, ip traffic-flow, ip accounting, ipsec, hotspot universal client, vrf assignment, so it is up to administrator to make sure fasttrack does not interfere with other configuration."
Evvan :-)
-
quby
őstag
Sziasztok!
Eltérő adatokat találok arrol hogy a 2011-el milyen sebességű netet tudok kihajtani. Valahol azt irják hogy 230 ig kb (az jó lenne) de olyat is látok hogy 100-nál már 100%körüli a CPU load...
Jelenleg 100/50 van de örülnék neki ha a 200/100 menne simán (digi). Nyilván az 500 ról nem álmodok. Otthon háló max 5-10 kliens ennek a fele csak böngészik.
Meghalt a routerem és kell helyette valami sürgösen, de nem veszek 2011-et ha nem elég a 200-hoz. mert azért nem olcsó egy otthoni hálóhoz.
jaaa....ő a kiszemelt ádozat.:[link]
[ Szerkesztve ]
A legügyesebb állat az ürge, hiszen búzával teli pofazacskóval is képes repülni, miközben egy bagolyt egyensúlyoz a hátán.
-
bacus
őstag
A sebesség és a proci terheltség függ, hogy mire használod.
Ha nincs sok száz tüzfal szabály, nincs proxy, qos, stb, akkor a 200/100 at vinni fogja. Fasttrack bekapcsolva még többet is. Egy otthoni routeren a legtöbbet a pppoe kliens eszik majd a procibol.
Egyéb iránt a digi 100/100 netjénél ritkán kell jobb :-), 3 év alatt egy ilyen router árát sporolod meg.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
bacus
őstag
válasz HwAdokVeszek #643 üzenetére
Upc dhcp-t használ, sima nat kevesebbet eszik.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
quby
őstag
válasz HwAdokVeszek #643 üzenetére
Köszönöm a gyors válaszokat! Már rendelem is.
(#644) bacus
100/100 tényleg elég de ugye csak pár száz forint van a kettő között...
Mikrotikkel még csak virtuálisan találkoztam ugyan (cisco-ban vagyok inkább otthon) de megoldom. Megnézem mi ez a fasttrack..
A legügyesebb állat az ürge, hiszen búzával teli pofazacskóval is képes repülni, miközben egy bagolyt egyensúlyoz a hátán.
-
bacus
őstag
Már megint a megalománia
Az én bajom, hogy a 100/100-hoz elég 1 db utp, ami már bent van a lakásban. (van telefon is).
Az ennél gyorsabbhoz, meg vagy két utp kell (ami nekem a jobb eset), vagy adnak egy szar zte csodát, amivel a telefon megy, fogyaszt/lefagy, stb, szar a wifije, a telefon miatt kihuzni nem lehet.. A routert ki lehet iktatni, ha egy gigabites switchet iktat be az ember, törli a pppoe nevet/jelszót a zte-s routerükből és a saját routert és zte csodát is a switchre köti. De ez már két + adapter / hiba lehetőség.Ha majd lakásfelújitás lesz, akkor lehet behúzok még egy utp kábelt, hátha egyszer lesz nagyobb.
A másik bajom (ez nyilván a home usereket nem érinti), hogy fix ip cim nem rendelhető csak a két alsó csomaghoz. Nekem viszont arra szükségem van, (legalábbis az irodában), ahol a szervereim mennek.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
-
#96292352
törölt tag
Megvan a script, amivel hozzá tudom adni a white list-hez a külső ip-m. Jó volt az elgondolás, hogy a /tool fetch lesz a nyerő. Hát sikerült is összehozni:
/tool fetch mode=http port=12345 address=IP cím host=IP cím src-path="viktor2011" user=some-username password=some-passwordKöszönöm a segítséget! bacus
Új hozzászólás Aktív témák
- Eredeti dizájnnal tér vissza idén a Nokia 225 4G
- Xbox tulajok OFF topicja
- Elektromos autók - motorok
- Azonnali alaplapos kérdések órája
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Mini-ITX
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Óra topik
- Győr és környéke adok-veszek-beszélgetek
- Vicces képek
- További aktív témák...
- ZOTAC GeForce GTX 1080 AMP Edition 8GB GDDR5X 256bit
- Filmes gép gyűjtemény
- Nikon D5000 + AF-S DX NIKKOR 18-105 mm
- Bontatlan Seagate & Western Digital HDD-k 3TB - 12TB -ig - Számla + Garancia, Ár alatt! BeszámítOK!
- DJI Mini 4 pro FMC drón - 3 akku, RC2 táv, 2 táska, Filterek, 2025. decemberig garancia, DJI Care