-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
A másik, hogy illene ezt a listát frissítgetni.
Az én első linkemen elvileg a listák/szabályok naponta frissülnek, más nemzetközi listákból generálva és illene ilyen időközönként a routerre is letölteni, ami ugyan beütemezhető pl éjjelre, de lehet, hogy a flash nem örül annyira neki.Le az elipszilonos jével, éljen a "j" !!!
-
#70234880
törölt tag
válasz E.Kaufmann #7801 üzenetére
Jobban jársz a Pi-Hole megoldással. Alap reklám szűrés, és hozzá tudsz tenni plusz szűrést, advare, malware, stb... A frissítés is automatikus. plusz regex-be tudsz tiltani kulcsszavak alapján stb...
És a routered is kíméled.
Annyi hogy oda kell figyelni a beállításra, és naprakészen tartani.
Karban tartás kb ennyi.
rpi update, apt-get update, upgrade, pihole -up, ha flush-olni kell valamiért akkor pihole -f -
válasz #70234880 #7802 üzenetére
Ezt Ákosnak célozd
Én már rég elhagytam a 3011-et, ha megfő a flash csipp benne, megfő , amúgy heti kétszer frissített már csak a végén, pont azért, hogy ne süljön meg olyan hamar. Otthon én külsős DNS szerverrel operálok csak (9.9.9.9), a kis Mikinek meg (amit inkább azért vettem, hogy ne felejtsek) a QoS is sok.[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
-
#70234880
törölt tag
válasz E.Kaufmann #7803 üzenetére
Ja az igazság az, hogy én csak játszadozni szoktam vele. Ok kb annyi, mint nálad.
Mondjuk én most LTE használom a Mikit, gondoltam már én is rá hogy be fűszerezem plusz egy Pi-Hole-al.
Csak lusta vagyok rákötni. Ami kb 5mp lenne. -
vargalex
félisten
válasz E.Kaufmann #7799 üzenetére
Megjegyezném, hogy egy D-Link DIR-860L B1-nek OpenWrt alatt meg sem kottyant egy hasonlóan méretes lista...
Alex
-
Watercolour
aktív tag
válasz vargalex #7805 üzenetére
Nem a vas a probléma, hanem a szoftveres különbségek.
Én egyelőre a RB4011iGS+RM routeremen nem is szórakoztam ezzel, hanem egy Orange Pi PC2-n futtatok egy Adguard Home-ot. Szimpatikusabb számomra, mint a Pi Hole.
[ Szerkesztve ]
-
akos86
aktív tag
Sziasztok!
A munkahelyen tiltanunk kellett pár weboldalt amit szépen be is állítottunk a mikiben, viszont pár leleményes felhasználó megkerüli a tűzfal szabályt webes proxyk segítségével, az lenne a kérdésem hogy erre van e valami megoldás azon kívül, hogy letiltjuk az egész internet elérhetőséget a gépeken. Bármilyen tanács/segítség jól jönne. Előre is köszönöm!
egy példa a szabályra: block facebook chain=forward action=drop dst-address-list=facebook log=no log-prefix=""
üdv Á!
3dfx, gone but never forgotten...
-
bambano
titán
persze, odamész az egy-két júzerhez a szolgálati baseball ütőddel, és felhívod a figyelmüket néhány keresett és megválogatott 4 betűs szó közlésével, hogy ne tegyék.
egyébként amennyire én tudom, windowsos rendszeren az ilyet group policyből böngésző szinten szokás tiltani, nem routerben.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
oké, akkor közelítsünk szakmai oldalról.
szerintem nem létezik olyan műszaki megoldás, amelynek a költsége vállalható és elég szorgos kolléga sem tudja megkerülni. azt például nem tudod értelmes ráfordítás mellett megakadályozni, hogy vps szolgáltatónál béreljen egy gépet, felrakjon rá egy vpn-t, és azon járjon ki.marad a nem informatikai megoldás, megértetted vele, hogy ne csinálja, és ha mégis, akkor kirúgás.
vagy lehet még olyat, hogy fehérlistázni, megnézni, hogy mik azok a weblapok, amiket munkakörében néznie kell, azokat engedélyezni, minden más alapértelmezetten tiltva. de ennek a menedzselése szerintem bonyolultabb, mint közölni vele, hogy fékezze meg magát.szerk: "én humánusabb megoldásra gondoltam a routerből": ha szerinted routerrel humánusabb pofánverni, mint baseball ütővel, lelked rajta
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Beniii06
addikt
Igaz nincs túl sok tapasztalatom rendszer üzemeltetésben, csak ötletelésként írom elméletileg. Gondolom irodáról lehet szó.
A "leleményes" felhasználók előbb-utóbb addig próbálkoznak, hogy az egész internetelérést tiltani kell majd vagy épp csak azt a 10-20 oldalt engedélyezni, ami kell a munkához(ezt tapasztalatból írom, nálunk is volt szükség ilyenre).Hogy írjak példát is:
1.Ha már rájöttek a proxy használatára, onnan már csak egy lépés a vpn és azt 80-as tcp porton nem fogod tudni kiszűrni, csak layer7-el esetleg, de erősen felejtős kategória.(nem 100% az eredmény)
2. Megpróbálod kézzel tiltani a népszerűbb proxy címeket(nem 100% az eredmény, felejtős)
3. Megpróbálod a layer7 szűrést proxy, node, tor hasonló szavakra
4. Előbbiek kombinációi(nagyon erőforrásigényes, felejtős)
5. MAC/IP- alapján csak azokon a gépeken lenne net, ami feltétlenül munkához is kell(ez is megkerülhető, ha már leleményesek)
6. Beüzemelhetsz proxy szervert is, de mikrotik mellé nem látom értelmétHa nem lehetséges a munka miatt pár oldalt engedélyezni és a többit tiltani, akkor szélmalom harc kb szerintem.
El kell nekik magyarázni, hogy látjátok mikor-mit csinálnak/néznek és ennek a komplett leválasztás lesz a vége. Más kérdéseket is felvet a dolog, hogyha a dolgozóknak van idejük fb-zni, akkor nincsenek leterhelve/nem jó a munkamegosztás, stb.Fontosnak tartom megjegyezni, hogy ha sikerül is teljes mértékben leválasztani a dolgozókat az internetről, akkor is semmi sem fogja megakadályozni, hogy ne vegyenek mobilnetet(jó a telefonokat le lehet adatni),de hoz helyette hotspotot/másik saját routert és netezik arról.
Így elsősorban az okot kellene megszüntetni/megértetni az emberekkel, hogy a közösségi média használatnak nem ott és akkor van ideje. Ha nem megy, akkor mehetnek a szankciók. Mást nem nagyon tudok elképzelni, de erre én is kíváncsi vagyok, hogy lehet másképp megoldani.Más kérdés, hogy szabályzathoz kötve és a GDPR-nek is megfelelve, lehetne a céges gépekre monitorkép figyelő softwaret telepíteni/rögzítést csinálni(személyes adat úgysem lehet a céges gépen), amit továbbít nektek. Nem a korábbi évtizedeket akarom felidézni, de ha ez kell elrettentésnek, pl pár iskolában láttam már ilyet működni és hatásos volt. Persze ennek alaposan utána kell nézni jogilag is.
"Got any other secret weapons?"
-
bambano
titán
válasz Beniii06 #7811 üzenetére
"szabályzathoz kötve és a GDPR-nek is megfelelve, lehetne a céges gépekre monitorkép figyelő softwaret telepíteni/rögzítést csinálni(személyes adat úgysem lehet a céges gépen)": ez konkrétan tilos. tehát aki ilyet csinál, az explicit törvényt sért és nincs kibúvó.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
#70234880
törölt tag
válasz bambano #7810 üzenetére
Ott pont, egyben az egyetlen hatékony megoldás.
Annyi hogy a fehér lista megoldás járható szokott lenni. Addig a pontig amíg menet közben nem jönnek új egyedi igények. Jobb helyeken ez egy adott IT csoport plusz feladatköre szokott lenni.
De ha ehhez több osztályvezető, főosztályvezető jóváhagyása szükséges akkor az esetek X% nem vállalja fel a dolgozó, csak abban az esetben, ha valóban indokolt az elérés. Tapasztalatból mondom.Beniii06
Az igaz hogy mindent elfognak követni hogy megkerüljék a céges policyt, és jönnek a telefonok, miwik, all in one routerek stb.. Viszont ha bele van foglalva a szabályzatba ennek biztonsági kockázata, akkor simán a kirúgást kockáztatja az illető. Érv, a cég hálózatát kritikus veszélyforrásnak tette ki, amik befolyásolják az alapvető működését. Ha ezt még a belépéskor HR-en aláríja mint új belépő, akkor a probléma megoldás adott. Egy-Kettő alkalom amikor max példát kell statuálni a gyengébbek kedvéért, ( Sajnos ) és gyakorlatilag probléma megoldva.Persze a coach ma elég divatos megoldás, de közel se annyira hatékony, mint amit elvárnak tőle.
[ Szerkesztve ]
-
tjnet
aktív tag
Azzal a kérdéssel fordulnék a mindenkihez, a RB951G-2HnD routerbe mit kell beállítani, hogy az otthoni hálózaton a Samsung TV-k megint lássák a Synology és Netgear NAS-ok tartalmát?
Minden eszköz CAT 5e kábellel van rákötve a hálózatra switch-eken keresztül.
A switch-ek közvetlenül vannak a router Lan kimenetein.
Az internet (DIGI optika)mindenhol működik. A torrent megy a NAS-okon.
A hálózaton működik a 4K lejátszás a TV boxon (K1 Pro S905D) Coreelec rendszeren.[ Szerkesztve ]
SAMSUNG QE75Q85RATXXH - Samsung S20+ - K1Pro - ACER H6810 - MARANTZ 5012 - DALI Spektror
-
vargalex
félisten
válasz vampire17 #7819 üzenetére
Ez rendben van, de továbbra sem tudjuk, hogy milyen kliensről van szó. Pl. rengeteg telefonban tiltva van a gyári firmware-ban (jellemzően a Qualcomm SoC-ok esetén) 2,4 GHz-en a channel bonding. Azaz, a routeren hiába állítod 40 MHz-re, ő csak 20 MHz-en fog csatlakozni.
Alex
-
akos86
aktív tag
válasz bambano #7810 üzenetére
Köszönöm szépen az építő jellegű tanácsokat. Hát igen én is odáig jutottam hogy a népszerűbb proxy oldalakat, illetve szavakat és portokat tiltottam, de ugye a 80-as és a 443-as port melyeket használunk, szóval akár ott ki tud menni az aminek nem kellene. Nálunk eléggé szigorú szabályok vannak ki és belépéskor egyaránt, viszont az okos telefonnal nem lehet mit kezdeni, akár azt megosztva vígan mehet a szörfölés, félreértés ne essék nem azzal van a baj ha ezt azt megnéznek, inkább adatvédelmi és biztonsági okból kérdeztem, szeretnénk jobbá és biztonságosabbá tenni az egész rendszert. Mindenesetre köszönöm szépen mindenkinek a hozzászólást.
3dfx, gone but never forgotten...
-
vampire17
addikt
válasz vargalex #7820 üzenetére
Igen, telefon a kliens, egy Redmi Note 3. Akkor ez lehet a problema...
Koszonom a valaszt mindkettotoknek!
Egy ezzel kapcsolatos kerdes. Vettem ma egy PowerLine Adaptert (Mikrotik, termeszetesen ) Szeritetek mi a legoptimalisabb beallitas 2.4 Ghz-en ha ossze akarom loni a a caP AC-al Í(repeater-kent)?
[ Szerkesztve ]
-
bambano
titán
válasz #70234880 #7813 üzenetére
"jönnek a telefonok, miwik, all in one routerek stb..":
az ellen lehet védekezni, hogy a céges hálózatra feldugott router ne működjön.
az ellen, hogy mobilinternetet használjon a telefonján, nem valószínű.
az ellen lehet, hogy a mobilnetet megossza céges kezelésű notebookoknak vagy desktop gépeknek.
az ellen, hogy behozzon egy mobilnet-wifi ap routert, nem nagyon.mondjuk lehet olyat, hogy beállítani egy gépet, ami folyamatosan szkenneli a wifi frekvenciákat, és ha talál idegen ap-t, akkor szól.
ezért mondom, hogy kell tartani egy-két oktatást a témában, majd utána be kell tartatni a szabályokat.
az oktatásban ki kell emelni, hogy mekkora a büntetés, és azt behajtják az illetékeseken.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
#70234880
törölt tag
válasz bambano #7823 üzenetére
Nálunk anno ment a szkennelés és volt dá dá dá aki bepróbálkozott.
Mondjuk csak 1x,1 team, ebéd előtt beüzemelték, mire vissza értek nem volt ott a home router.
Csak egy üzenet, hogy a főosztály vezetője, és biztonságtechnikai főosztály vezető várja őket a XXX tárgyalóba.
Azóta többet nem próbálkozott senki.
Híre ment pillanatok alatt., és 2x is meg gondolták.
Persze levontuk mi is a konzekvenciát, és azóta az új belépők tájékoztatva vannak előre hogy mit nem szabad. -
bambano
titán
válasz #70234880 #7824 üzenetére
"azóta az új belépők tájékoztatva vannak előre hogy mit nem szabad.": ezért kell oktatás. tanulság lehet még, hogy nem mindegy, ki mondja ugyanazt, néha egy külsőstől jobban elfogadják.
tehát ha a rendszergazda azt mondja, hogy veszélyes, kiröhögik. ha odamegy jó sok pénzért egy szakértő, akinek kosárnyi plecsnije van, és pontosan ugyanazt elmondja, elhiszik.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
yodee_
őstag
Sziasztok!
Nem tudom ki mennyire használja a RouterOS-t PXE bootolásra, de nekem ezzel kapcsolatban lenne kérdésem. Mivel egyre több az UEFI-s gép jó lenne, ha a Router kiszolgálna sima legacy és UEFI gépeket is, anélkül hogy a biost állítgatnám. Tehát a kérdés hogy megvalósítható e, hogy a jelenlegi pxelinux.0 fájl helyett valami univerzális boot fájl legyen amit betölt mindkét típusú masina.
Köszönöm
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M920s
-
vargalex
félisten
Sziasztok!
Egy furcsa problémába ütköztem ma. Van egy hAP ac² routerem és egyik notebookról szerettem volna másolni a másik notebookra. Mindkét eszköz az 5 GHz-es rádióhoz csatlakozva. Viszont nem látják egymást. Ping-elni sem tudják egymást. A vezetékes eszközöket gond nélkül elérik. Átkapcsolódva a 2,4 GHz-es sávra, ez a probléma megszűnik. De amint valamelyik is az 5 GHz-es sávon van, olyan, mintha izolált kliens lenne. Pedig a 2,4 GHz és az 5 GHz beállításai (nyilván az SSID, a csatorna és csatorna szélesség kivételével) teljesen azonosak.
A probléma ugyan az, mint itt az utolsó hozzászólásban, csak ugye nálam nincs CAPsMAN, így az ott említett megoldás nem játszik...Alex
-
pschio
őstag
sziasztok!
Egy EdgeRouter és egy Mikrotik router között szeretnék site to site vpn kapcsolatot létrehozni.
Ez alapján indultam el: [link]
Az én helyzetem abban különbözik a videóban lévőtől, hogy a mikrotik NAT mögött van. Tudnátok segíteni megoldani a problémámat? A videóban lévő esetre ha rá tudnátok vetíteni a különbséget, akkor a saját konfigomra be tudnám állítani.
Nagyon köszönöm!
[ Szerkesztve ]
''Én nem süllyedek a hülyék szintjére, mert ott legyőznének a rutinjukkal''
-
Beniii06
addikt
válasz vargalex #7830 üzenetére
Akkor én biztosan azt csinálnám, hogy lementeném a konfigot, reset és 0-ről újra beállítanám az egészet. Egy teszt erejéig kipróbálhatnád quick set segítségével is(majd reset és backup visszaállítása), mert ha úgysem működik, akkor nem router gond lesz szerintem. Más ötletem nincs.
Szerk.: Vlan-ozni nem kezdtél el ugye?
[ Szerkesztve ]
"Got any other secret weapons?"
-
vampire17
addikt
Sziasztok!
CAPsMAN lehetseges az alabbi configgal?
config:
cAP ac + PWR-Line APA PWR-Line AP a cAP ac-t forwardolja (egyelore nem tervezem "igazi" powerline-kent hasznalni, mert teljesen elfogadhato a sebesseg, jelerosseg repeater-kent is, viszont igy nem kellett semmit kabelezni es olcsobb is volt )
Par helyen azt olvastam, mivel a repeater funkcio miatt ugye virtualis a PWR-Line AP-n az interface, igy nem fog mukodni a CAPsMAN.
Van errol valakinek tapasztalata?
-
válasz adam900331 #7844 üzenetére
Használd a mikrotik cloud-ot. esetleg csekkold, nem-e pakolt sunyin téged a szolgáltató CG-NAT mögé.
[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
-
adam900331
csendes tag
válasz E.Kaufmann #7845 üzenetére
Mit jelent a CG-NAT? Hogyan tudom ellenőrizni? Egyébként az internet hozzáférés PPP Clientel megy Telenoros SIM kártyával Huawei mobil stickel.
[ Szerkesztve ]
-
#42556672
törölt tag
válasz adam900331 #7846 üzenetére
Milyen APN-t használsz?
-
válasz adam900331 #7846 üzenetére
A PPP-n át kapott IP címed ha nem egyezik meg azzal amit a https://whatismyipaddress.com/ ír, akkor baj van, pontosabban a szolgáltató is NAT-ol.
[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
-
adam900331
csendes tag
válasz E.Kaufmann #7849 üzenetére
Sajnos ezt nem tudom letesztelni, mert ez a router egy távoli helyszínen található, csak távolról tudok belépni winboxal, publikus IP címmel, ami 91.104.xxx.xxx. A 8291 port rá van irányítva a router ip címére, szóval ebből nem gondolnám, hogy CG-NAT mögött lenne a szolgáltatás.
Új hozzászólás Aktív témák
- Lenovo Legion 5 Pro - 16" 2K IPS 240Hz, i7-13700HX, nVidia GeForce RTX 4060, 16GB, 512GB SSD - GARI
- Logitech G923 Xbox + Váltó ! 1 hónapos! KARCMENTES, HIBÁTLAN! Garanciás!
- Lenovo LOQ 15IRX9 (I5-13450HX, 16GB DDR5-4800, 1TB SSD NVME, RTX 4060 8GB) 6 NAP ÜZEMIDŐ! 3 ÉV GARI
- DJI FPV profi drón táska, koffer (MC-Cases)
- Samsung C43J890DKU Super Ultrawide Gamer Monitor! 43"/3840 x 1200/120hz/PbP/Type-C/KVM/Machez is!
Állásajánlatok
Cég: HC Pointer Kft.
Város: Pécs
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest