-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
ekkold
Topikgazda
Ebben maximálisan igazad van. Jobb helyeken nem foglalkoznak azzal, hogy megy-e valami (pl. facebook) a háttérben, egyszerűen csak számon kérik, hogy a munka kész van-e határidőre...
Nem tudom, hogy mikrotik vagy synology téma-e inkább. Megoldható-e (hogyan, milyen beállításokkal) hogy a synology log centere fogadja a mikrotik syslog üzeneteit?
-
#9599
bacus
őstag
Alteran-IT
#9598
bacus
őstag
válasz
Alteran-IT
#9598
üzenetére
köszi, de lehet valamit félre értettél, kicsit olvass vissza. Pont az a baja akos86-nak, hogy nem megy...
Azt, hogy hogyan kell tiltani, szerintem nem kérdeztem
, még az is lehet, hogy ennél jobb módszert is tudnék rá , de ha már elmesélted, mennyivel nőtt a népszerűségi indexed? 
Tőlem már sokszor kérték, hogy tiltsak ezt meg azt, mert nem dolgoznak a mocsok munkavállalók, mert megy a fb a háttérben, stb. Én mindig elmagyarázom első körben, aztán persze elfogadom a döntést, hogy miért nem jó ez a megoldás ! Ha másért nem, mert a mobilinternet korában elmennek szarni 2 órára a telefonjukkal... Annál már csak jobb az, ha legalább a helyén van és a háttérben megy a fb. Egyébként én mindig javaslom, hogy ilyenkor be kell hívni a kollégát, elmondani neki, mennyire jó munkaerő, mennyire kár lenne megválni tőle. A második figyelmeztetés után nem kell jönni dolgozni. Ez szerintem hatásosabb, egyébként pedig ha pl a gyerek vizsgázik és annak a bejelentkezését várja, akkor is fb-ozni fog, ha kirúgod utána..
-
#9598
Alteran-IT
őstag
bacus
#9597
Alteran-IT
őstag
A VPN szűrését egy Mikrotik, illetve egy pfSense esetén már nagyon könnyen meg lehet oldani, a PPTP-t egy-két kattintással lehet tiltani Mikrotik-ben, L2TP-t megint nem valami bonyolult, amit meg nem nagyon lehet szolgáltatás, vagy port alapon tiltani, azt lehet IP cím szerint tiltani a routerben, ugyanis ha ismerjük a VPN szerver címét/domain nevét, ami általában fix és azt tiltjuk, akkor onnantól kezdve nem épül fel a VPN és minden forgalom látható.
Nekem menőzött egy-két kolléga anno, hogy ha én akarnám sem látnám, hogy ők mit forgalmaznak, ugyanis operát használnak, annak meg a beépített VPN-je mindig működik, ráadásul ingyenes, na én meg ugye fogtam és megnéztem, hogy ezek a gépek milyen címekkel építenek ki kapcsolatot, tiltottam azt a kis tartományt és onnantól kezdve nem volt Opera VPN, ahogy menőzés sem, azokat az arcokat látni kellett volna
Ráadásul pár VPN szolgáltató szervereinek a címe publikus is, illetve van ahol kérésre kiadják, bár ez is csak akkor kell, ha valaki egy egyszerű logból nem tudja kihámozni a VPN szerver IP címét. -
bacus
őstag
És ezzel, hogy megváltozott az átjáró, minden más a vpn-n kívül megy? Milyen vpn?Mi az ami nem megy? Nincs a pfsensen belül valami szűrés?
Szerintem is meg lehetne oldani, hogy a router logoljon, sőt ezt akár egy log szerverre küldje át, főleg ha csak a http (80-as) port, esetleg a https (443) felé irányuló forgalmak az érdekesek.
Ugyanakkor bármilyen vpn felépül (ahol a teljes forgalom a vpn felé terelődik), akkor a logolásnak annyi.
-
-
akos86
aktív tag
Sziasztok!
VPN kapcsolatos kérdésem lenne: Adott egy mikrotik router ami DHCP-n osztja a a helyi hálózatot eddig az alapértelmezett átjáró a router ip-címe volt, viszont azt egyéb technikai okok miatt meg kellett változtatni, viszont így nem tudunk csatlakozni a távoli VPN szerverre a saját VPN szerverünkre változatlanul szépen megy a VPN becsatlakozás. Bármilyen tanács vagy segítsége jól jönne.
Előre is köszönöm!
üdv Á! -
#9586
csongi
veterán
Alteran-IT
#9585
csongi
veterán
válasz
Alteran-IT
#9585
üzenetére
koszi!
A jel erosseget latom a router feluleten. Ki indulasi pontnak jo.
Lehet szoftvert kellene frissitenem a kapucsengon -
#9585
Alteran-IT
őstag
feel2006
#9583
Alteran-IT
őstag
válasz
feel2006
#9583
üzenetére
Gyanús is volt, hogy nem 1594 az L2 MTU, de a lényeg, hogy már működik.
(#9584) csongi:
Igazából egy alap beállítás esetén normálisan kellene működnie a dolognak, de itt kérdés inkább az, hogy pl. egy másik WiFi routerrel is ugyan így működik? A kapucsengőnek van elég jelszint? Mert gyanús, hogy azért késik a hang, mert esetleg nem elég erős a jel, azt viszont egy belső antennás routernél nem nagyon fogod tudni növelni.
Ha a jelszintet a kapucsengőbe nem is látod, esetleg az IP-jét pingelve ki lehet deríteni, hogy kb. milyen erősségű, nyilván ha nagy a ping, akkor gyenge a jel, viszont ha jó a ping/jel és ugyan úgy késik a hang és vízhangzik, akkor ott szerintem más a probléma. -
#9583
feel2006
tag
Alteran-IT
#9582
feel2006
tag
válasz
Alteran-IT
#9582
üzenetére
Megoldódott a probléma.
1. javítanom kell magam L2-MTU volt 1594 és nem az MTU, elnéztem.
2. kicsit a rajzhoz képest a portok változtak
3. a routerben mivel írtam is hogy jó volt tesztelve, nem próbáltam ki ugye pl. egy notival, hagyatkoztam a rákötött eszközre, hogy biztos jó. Hát kiderült nem. Egy kaon boksz veszi fel a pub ip-t, de nem vette, factory reset után viszont most igen, és minden az elképzelés szerint müködik, azaz egy kábelen 2 VLAN-ban átjön a belső hálózat és a modem felöl érkező pub ip.Igértem azért a vlan konfigot, így bemásolnám:
[admin@BP-HQ-RB3011] > /interface printFlags: D - dynamic, X - disabled, R - running, S - slave# NAME TYPE ACTUAL-MTU L2MTU MAX-L2MTU MAC-ADDRESS7 R ether8 ether 1530 1598 8156 B8:69:F4:2F:8E:6521 RS vlan10_eth8 vlan 1530 1594 B8:69:F4:2F:8E:6522 RS vlan100_eth8 vlan 1500 1594 B8:69:F4:2F:8E:65[admin@BP-HQ-RB3011] > /interface bridge port printFlags: X - disabled, I - inactive, D - dynamic, H - hw-offload# INTERFACE BRIDGE HW PVID PRIORITY PATH-COST INTERNAL-PATH-COST HORIZON9 vlan100_eth8 bridge_home 1 0x80 10 10 none10 ether7 bridge7 yes 1 0x80 10 10 none11 vlan10_eth8 bridge7 1 0x80 10 10 none[admin@BP-HQ-RB3011] >[admin@BP-HQ-RB3011] > /interface bridge printFlags: X - disabled, R - running0 R name="bridge7" mtu=auto actual-mtu=1530 l2mtu=1594 arp=enabled arp-timeout=auto mac-address=B8:69:F4:2F:8E:64 protocol-mode=rstp fast-forward=yesigmp-snooping=no auto-mac=yes ageing-time=5m priority=0x8000 max-message-age=20s forward-delay=15s transmit-hold-count=6 vlan-filtering=nodhcp-snooping=no1 R name="bridge_home" mtu=auto actual-mtu=1500 l2mtu=1594 arp=enabled arp-timeout=auto mac-address=B8:69:F4:2F:8E:5E protocol-mode=rstp fast-forward=noigmp-snooping=no auto-mac=yes ageing-time=5m priority=0x8000 max-message-age=20s forward-delay=15s transmit-hold-count=6 vlan-filtering=nodhcp-snooping=no[admin@MikroTik] > /interface printFlags: D - dynamic, X - disabled, R - running, S - slave# NAME TYPE ACTUAL-MTU L2MTU MAX-L2MTU MAC-ADDRESS0 R ether1 ether 1530 1598 2028 6C:3B:6B:41:E9:802 RS ether3 ether 1530 1598 2028 6C:3B:6B:41:E9:824 RS ether5 ether 1500 1598 2028 6C:3B:6B:41:E9:847 R bridge7 bridge 1530 1594 6C:3B:6B:41:E9:808 R bridge100 bridge 1500 1594 6C:3B:6B:41:E9:809 RS vlan10_ether1 vlan 1530 1594 6C:3B:6B:41:E9:8010 RS vlan100_ether1 vlan 1500 1594 6C:3B:6B:41:E9:80[admin@MikroTik] > /interface bridge port printFlags: X - disabled, I - inactive, D - dynamic, H - hw-offload# INTERFACE BRIDGE HW PVID PRIORITY PATH-COST INTERNAL-PATH-COST HORIZON0 vlan100_ether1 bridge100 1 0x80 10 10 none1 vlan10_ether1 bridge7 1 0x80 10 10 none2 H ether5 bridge100 yes 1 0x80 10 10 none3 ether3 bridge7 yes 1 0x80 10 10 none[admin@MikroTik] > /interface bridge printFlags: X - disabled, R - running0 R name="bridge7" mtu=auto actual-mtu=1530 l2mtu=1594 arp=enabled arp-timeout=auto mac-address=6C:3B:6B:41:E9:80 protocol-mode=rstp fast-figmp-snooping=no auto-mac=yes ageing-time=5m priority=0x8000 max-message-age=20s forward-delay=15s transmit-hold-count=6 vlan-filteringdhcp-snooping=no1 R name="bridge100" mtu=auto actual-mtu=1500 l2mtu=1594 arp=enabled arp-timeout=auto mac-address=6C:3B:6B:41:E9:80 protocol-mode=rstp fastigmp-snooping=no auto-mac=yes ageing-time=5m priority=0x8000 max-message-age=20s forward-delay=15s transmit-hold-count=6 vlan-filteringdhcp-snooping=no -
#9582
Alteran-IT
őstag
feel2006
#9577
Alteran-IT
őstag
válasz
feel2006
#9577
üzenetére
A leírt cél egyértelmű, bár az ábra nem, mert elég hiányos, illetve ugye valahol jelölve van, hogy a LAN az benne van egy VLAN-ba, valahol meg nincs, ezért is kellenének inkább a konfigok, az alapján már könnyebb elindulni, hol lehet a hiba.
(#9578) s.roland93: Az nem lehet, hogy az adott hálózaton, amin korlátozni próbálod a sávszélességet, van egy fasttrack szabály? Mert ha van, akkor nem fog működni.
(#9579) m0ski: Fasttrack nélkül olyan max. 400 Mbit/s-t tud 100%-os processzor terheléssel, fasttrack-el viszont ugyan ekkora terhelés mellett max. 900 Mbit/s-t tud. A 100%-os terhelést azért írtam oda, hogy azért itt érezhető lesz a hardver limit, nagyobb igénybevételnél a válaszidő is megnövekedhet.
-
m0ski
aktív tag
Sziasztok!
Jövő héten jönnek átkötni a DIGI FTTB-t FTTH-ra.
Eddig az RB2011 elég volt a 100/100-as csomagra, mekkora az elméleti sebesség maximum, amit az új csomagból át tud tolni (alap tűzfal szabályok, néhány NAT szabály ami a NAS-hoz kell)?A korábbi sebesség is bőven elegendő volt, de ha eszközt cserélnék, akkor a hAP ac2 elég? (több hozzászólásban is ezt a típust említettétek).
-
#9578
s.roland93
csendes tag
s.roland93
csendes tag
Sziasztok!
Egy olyan problémám lenne hogy van egy Mikrotik ami körlátozza a sávszélességet es ezt winboxon keresztül érem el.
Na már most felveszek egy új simple queuest név gép íp címe le és feltöltési limti és semmi...
0 adatforgalmat jelez és a glpről csinálok egy speed tesztet és jóval a megadott limit felett vannak a számok -
#9577
feel2006
tag
Alteran-IT
#9576
feel2006
tag
válasz
Alteran-IT
#9576
üzenetére
Igen, az 1596 a default érték, nem szándékos.
Megrajzoltam, a konfig sorokat este tudom mellé tenni.
A cél remélem látszik (szaggatott vonalak). A lan hálózatot, a képen egy PC-ra vinném át a két RB között vlan-ban (müködik is),
a modemtől jövő PUB ip-t a képen egy TV-nek rajzolt eszközre vinném végig, hogy ott kapja meg egy másik vlan-ban. Ez nem megy.
-
#9576
Alteran-IT
őstag
Beniii06
#9575
Alteran-IT
őstag
válasz
Beniii06
#9575
üzenetére
Lehetséges 1596 is, bár nem hiszem, hogy ebben az esetben annyinak kellene lennie, bár itt a konfiguráció is érdekelne, abból többet lehetne mondani, mondjuk itt nem egy router konfigurációja kéne
Amúgy talán egyszerűbb lett volna az RB3011 ether2 portjának adni azt a publikus IP-t, majd annak külön NAT-olt hálózatot adni és azt végig tolni egy VLAN-on, sőt így talán jobb lenne olyan szempontból, hogy bármelyik routeren, vagy switch-en rá tud csatlakozni az adott VLAN-ra, én legalább is így csinálnám, hacsak feltétlen máshova kell helyileg az a publikus IP. -
feel2006
tag
Mit rontok el/hogy oldanátok meg az alábbi esetet?
Adott egy UPC végpont (4 portos szolgáltatói modem), a modem 5 pub ip-t tud kiadni, dhcp-vel lehet kérni, tehát portonként 1-1et.
Jelenleg 1 porton a RB3011 levesz egy IP-t DHCP-vel magának melyet natol tovább, ez a belső hálózat, ezzel nincs baj.
Egy másik fizikai porton szintén bedrótoztam a modem újabb portját a RB-be, amit VLAN-ban tovább viszek még 1 újabb routeren, és szeretném az ott rákötött eszköznél ha Dhcp-n kapna pub ip-t, mintha csak a UPC modemre lenne kötve direktbe.
Na ez nem megy. Pedig nincs közte semmi VPN, vagy egyéb.Valahogy így nézne ki:
UPC modem port 2 <> RB3011 port 2 (UNI/Acces VLAN konfig UPC felé, Trünk a további RB felé port3) <> RB952 újabb (Trunk port az RBfelé port1, és UNI a port3-on a PC/NB felé)VLAN ok, mert a két végére ha teszek az RB-ben ip-t át tudom pingelni a vlan-t.
MTU 1596, ha jól látom végig.
De mégsem tudom lekérni DHCP kliens-el az IP-t a végén, csak ha direktbe kötöm a UPC-s modemre.
Köszönöm előre is.
-
akos86
aktív tag
válasz
DanielK
#9568
üzenetére
pfSense-t kötöttünk a router mögé az ipcímeket a Mikortik eszköz osztja, átjárónak megadtuk a pfsense lan felőli ip címét és szépen megy a log ip alapján, csak ugye a tűzfalszabályaim nem működnek a mikrotik routerben ezután. A felépítés röviden eth1=wan, eth2=dhcp ***.1/0
24 ami egy switchben landol, eth9 pfsense wan oldala ****30/24, pfsense lan oldala is a switchben landol aminek fix ipcímet adtunk ****.1.X ami jelenleg az átjáró is egyben. Ha router ipcíme az átjáró, akkor a szabályaim működnek csak ugye akkor nem megy log. Esetleg az megoldható e hogy egy szabállyal minden csomagot a pfsense-re küldenék át a routerben vagy ez nagy marhaság? -
-
zsolt1224
csendes tag
Kerdes, hogy mi a buntetesi tetel? Manapsag elegge elvart, hogy egy kavezoban szolgaltassal ingyenesen elerheto wifi-t (bar az mas kerdes, hogy lassan nem latom ertelmet a jo lefedettsegu es egyre alacsonyabb koltsegu mobilnet mellet). Tehat kb. mindenki megserti a torvenyt. Szemelyes velemenyem szerint sokkal aggalyosabb lenne minden vendeg minden internetes tevekenysegenek naplozasa. Nem hiszem, hogy sokan orulnenek neki. A buntetes merteke az igazan erdekes kerdes ezek utan, mert mindig akadhatnak jo szandeku emberek...Egyre fontosabb a tokeletes fedhetetlenseg, csak kar hogy ez a vendegek rovasara menne.
-
zsolt1224
csendes tag
-
bambano
titán
válasz
zsolt1224
#9556
üzenetére
az elektronikus hírközlésről szóló törvény (ha jól emlékszem fejből, 2003. évi C. törvény) szerint ha így használod a netet, hírközlési szolgáltatónak minősülsz, amivel kapcsolatban követelmények vannak. ha nem tartod be, megbüntetnek. minden forgalomról meg kell tudnod mondani, hogy ki kezdeményezte, vagyis minden, a hálózatra csatlakozó eszköz tulajdonosának személyes adatait be kell kérned, tárolnod kell, és naplóznod kell, hogy mit csinált.
-
bambano
titán
weboldalak használatát nem lehet logolni. amióta minden weboldalon a https-t erőltetik a http helyett, azóta ez nemigen működik.
ettől független kérdés, hogy weboldalak használatát nem tudod legálisan logolni. ismerni kellene rendesen a gdpr-t, az infotörvényt meg a naih állásfoglalásokat.
-
válasz
zsolt1224
#9552
üzenetére
Mikrotiket nehezebb beállítani egy átlag usernek,ebből a szempontból más gyártóét egyszerűbb. Én Mikrotiket vennék,mert jobban beállíthatóak és 100x több a lehetőség rajta,mint egy TP Linknél. Ha Mikrotik akkor SXT vagy ha kell az AC akkor WAP AC LTE. Manapság már legyen rajta Gigabites port is,ha esetleg nem lesz 4G akkor is lehessen használni.
snorbi82: Van olyan tapasztalat is,hogy 5 user fölött több kapcsolatnál már már dobálja a hálózat. De simán lehet,hogy elbír ennyit is,de torrenttel hamar le lehet lőni a kapcsolatot.
bacus: Rendben,akkor ha ilyen tapasztalat is van,hogy ennyi usernél is rendben működik,akkor elfogadom. Nálam többnyire 3 user szokott csak rajta lenni,de ott nem vettem észre problémát. -
Istv@n
aktív tag
Hello!
Én erre egy squid-et használtam, egy mysar (mysql squid access report) nevű megoldással. Tud ip-re, időintervallumra, meg mindenre riportolni. A felülete (web) pedig olyan, hogy egy hozzá nem értő is elmegy rajta...
Lehet, hogy a mikrotik is tudna úgy loggolni, hogy látszódjon a teljes "útvonal", de szerintem jobban jársz, ha hagyod a routert csak a router funkciókra. -
zsolt1224
csendes tag
Koszonom a valaszokat!
Szerencsere vannak optimistabb hozzaszolasok is
grabber: Pontosan melyik Mikrotik routert ajanlanad/hasznalod a TL-MR6400 utan? Arra is gondoltam, hogy talan megprobalnam csak TL-MR6400 vagy TP-Link Archer MR200 AC750 (melyiket ajanlatok a 2 kozul) eszkozokkel kielegiteni az igenyt, ha ez lathatoan nem mukodik, akkor beraknank utana egy Mikrotik routert.
bacus: Probalnank egyelore elkerulni a 2 lte egyuttes hasznalatat. A jobb router alatt pontosan melyik tipusokat erted?
A felhasznalok szama szamomra meg erosen kerdeses. Kb. 100 embert tudunk leultetni, de hogy abbol mennyi fog wifi-t hasznalni es hogyan sajnos egyelore maximum homalyos sejteseim vannak. (en pl. mindig a sajat mobilnetem hasznalom barhova is megyek)
-
bacus
őstag
válasz
grabber
#9548
üzenetére
Én nem így látom, persze van/lehet benne pár szűk keresztmetszet. a 40 ember például egy AP-re már önmagában lehet korlát, de anélkül, hogy tudnánk mi az eszközök sávszélesség igénye, azért merész ezt kijelenteni.
Én most már 5 (vagy több) éve használok nyaranta a kempingemben 3G-4G -n keresztül netet egy teljes szezonban (májustól-szeptember), amit meg is osztok a barátaimmal.
Az eszközök száma általában 15-20, de volt már nálam nagyobb társaság is vendégként, amikor 30-t is elérte. Nem volt probléma, egy részük 5 gigán, egy részük 2,4 gigán csatlakozott a routerre, ami ráadásnak usb sticken kapja a netet.Mindenki egyszerre nem youtubeozott, ezt nem teszteltem, de nejem sokat online rádiózott, én szinte folyamatosan bent lógok valamelyik szerverben vnc, rdp-n, mellette fut a teamviewer szerü (saját app) képátvitel amivel látom az ügyfél desktopját, lányom fiam állandóan spotifyt hallgat, vagy digi online-n tévét néz, két tableten az idős szomszédok nézik a kékszalagot, időjárást, olvasgatnak, stb, másik szomszéd is állandóan dolgozik, dropbox, online árlisták, mit tudom még mivel, mennek az online szinkronok az eszközöknek, frissítések, stb, észre sem veszem, hogy más is használja.
Én egyébként a vendégek forgalmát teljesen külön választanám a saját forgalomtól, azaz két lte eszköz (két előfizetéssel), egy jobb router és egy vagy inkább két AP.. A kinézett eszközök árai alapján ez sokkal többe kerül, cserébe még akár tartósan működhet is.
A munkadíjam se lenne kevés, ha pl engem bíznának meg egy ilyen konfigurálással. -
akos86
aktív tag
Köszönöm szépen a válaszokat!
Nos odáig jutottam a mikrotik routerrel hogy a logolás az megy, de sajnos mindenhol csakis a router ip címe jelenik meg a syslog szerveren és nem a kliens gépeké. Így továbbra sem tudom logolni a céges környezeteben lévő felhasználók tevékenységét ip alapján.
-
snorbi82
senior tag
válasz
grabber
#9548
üzenetére
Nálam fent van egy TL-MR6400 ami csak a 4G csatlakozást látja el. Mikrotik router, wifi.
kb van 60 gép és 30 mobil, és még a vendégek akik jönnek. Persze mobilok és vendégek max sebessége meg van határozva. Napi forgalmam kb 25 - 30 giga. A 4G köszöni jól van.
Volt egy kolléga aki torrentezni akart, attól azért eldobta a 4G magát (de azóta torrent tiltva). -
zsolt1224
csendes tag
Sziasztok!
A milyen router topikban ajanlottak, hogy nezzek ide is be. Bemasolnam az ott elhangzott kerdesemet ide is:
"Sziasztok!
Egy kis segitsegre lenne szuksem. Most nyito kavezoba szeretnenk venni 4G sim kartyarol mukodo routert. Elkepzeleseink szerint 20-30-40 ember csatlakozna a wifire egyszerre csucsidoben. A wifi-re csatlakozo vendegeken kivul ra lesz kotve meg egy szamitogep, amelyen a vendeglatos rendszer fut es egy laptop. A routertol varhatoan a legtavolabbi wifi-t hasznalo szemely 15-20 meternyire lesz, azonos szinten, mindeosszesen par boltiv szabdalja a teret. Milyen tipusokat tudnatok ajanlani, amik stabilan, megbizhatoan mukodnenek erre a celra? Koltseghatekony megoldast keresunk, ami mar kielegitene ezeket az igenyeket, de ezen felul semmi extrara nincs igeny.
A 4G internetszolgaltatonk (trioda) a kovetkezo tipust ajanlotta: TL-MR6400. En meg neztem egy kicsivel dragabb opciot: TP-Link Archer MR200 AC750. Persze nyitottak vagyunk mas eszkozokre is. Sajnos most nincs idom teszteket es leirasokat olvasgatni hetekig mire eldontom mit vasarolok (mint ifjonc koromban) ezert is kernem a segitsegeteket.
Elore is koszonom a segitseget!" -
-
akos86
aktív tag
Sziasztok!
Céges környezetben weboldalak logolását kellene megoldanunk ez megvalósítható e a mikrotik routerrel? Neten böngészve nem sok eredményre jutottam, a lényeg az lenne, hogy látható legyen hogy melyik ip című gép mikor és hol barangolt. Bármilyen tanács vagy segítség vagy legalább kiindulási alap jó lenne. Az eszközünk egy Mikrotik 1100AHx4
-
van itthon egy hAP ac2 meg egy RB2011.
történelmi okokból az ac2 a fő router (mert az volt meg előbb), tehát az kapcsolódik a WAN-ra, esetemben a Telekomos HGW-re, az végez nagyjából minden feladatot, az RB2011 szinte csak egy switch.
van-e bármi, ami miatt esetleg érdemes lenne őket felcserélni? -
Krumple
csendes tag
Sziasztok!
Egy olyan problémám van, hogy beállítottam egy NAT-ot, hogy kívűlről elérjem egy a hálózaton belül futó webservert, ami tökéletesen működik. A problémám csupán az, hogy mikor letiltom ezt a natolást, akkor utána pár percig még mindig elérem. Mit és hol kellene beállítsak, hogy letiltás után egyből elérhetetlenné váljon ismét? -
-
brickm
őstag
válasz
Adamo_sx
#9526
üzenetére
Igazából, mindkettőtöknek, ugyanis ez a két szabály oldotta meg: (22,23) kettő közül bármelyiket kiveszem meghal a hairpin.
22 ;;; proba1
chain=dstnat action=dst-nat to-addresses=192.168.0.10 to-ports=80
protocol=tcp src-address-type="" dst-address-type=local dst-port=80
log=no log-prefix=""
23 ;;; proba 2
chain=srcnat action=masquerade protocol=tcp src-address=192.168.0.0/24
dst-address=192.168.0.10 out-interface=bridge dst-port=80 log=no
log-prefix=""24 ;;; site forwarding
chain=dstnat action=dst-nat to-addresses=192.168.0.10 to-ports=80
protocol=tcp in-interface=pppoe-out1 dst-port=80 log=no log-prefix=""Igazából nem arra gondoltam, hogy ROS hiba okozza, csak mielőtt bejött ez a loval bridge használata, egyetlen egy szabály volt, ami a hairpint megoldotta és remekül működött is 2-3éven át használtam.
-
Adamo_sx
aktív tag
Elég valószínűtlen, hogy a ROS upgrade-ben van olyan hiba, ami miatt egyszer csak nem működik a hairpin NAT.
Nálam pl. ez működik már elég régóta:0 chain=srcnat action=masquerade out-interface=WAN log=no log-prefix=""4 ;;; Embychain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=8096 protocol=tcp dst-address=!192.168.1.1 dst-address-type=local dst-port=8096 log=no log-prefix=""5 chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.101 out-interface=bridge-local dst-port=8096 log=no log-prefix=""Ez az Emby webes felületét port forwardolja. Az Emby a 192.168.1.101-es gépen fut, a 8096-os porton. (A 0. szabály az "általános" NAT-olás, az nem az Emby forward része.)
-
bacus
őstag
az a szabály jó amit írtál, mondhatnám szükséges, de nem elégséges feltétel.
Szerintem kell még legyen egy dst-nat szabályod is, amit letiltottál, töröltél.
valami ilyesminek kellene benne lenni
chain=dstnat action=dst-nat to-addresses=192.168.0.10 to-ports=80 protocol=tcp dst-address-type=local dst-port=80 log=no log-prefix="" -
brickm
őstag
válasz
Zwodkassy
#9523
üzenetére
Hát nekem ez a fő problémám, hogy ezt a konkrét szabályt rendesen értelmezni sem tudom( amugy a mikrotik wikiről van). Én sem értem, így hogyan jönne vissza a csomagom a belső hálóba. Mármint: ugye van egy fő masq. szabályom, ami minden belső cím kérését kiforgatja a NAt mögül. Namost ez annyit tesz hozzá, hogy amennyiben kilép a LAN bridge-ből kiforgatja a netre. Ez oké, de ez megtörténik az első szabályommal is, ami mindent kiforgat. Tehát... nem is moccan a számlálója.
-
brickm
őstag
válasz
Zwodkassy
#9520
üzenetére
192.168.0.10 -es gép, 80-as port,
WP engine fut rajta, settingben a külső domainnel, ugyanis ha a belső IP-t hagyom benne, akkor az index.php után minden más kérést a belső IP-n keres a kliens kívülről (chrome f12 network alatt szépen látszik, hogy a CSS-ek már nem töltődnek be)
Laca0
Hálistennek a hairpint leszámítva teljesen stabil a rendszer, így nem gondoltam, hogy indokolt lehet frissíteni. -
brickm
őstag
Sziasztok!
Mióta ROS 6.43.12 van fent nem működik a local hairpin.
Eddig nem zavart, most viszont van egy új kiszolgáló, ami ki van forgatva, és szeretném bentről is elérni, szóval...kéne. Hol hibázom el?21 ;;; Local hairpin NAT
chain=srcnat action=masquerade src-address=192.168.0.0/24
out-interface-list=LAN log=no log-prefix=""
Előző ROS-el simán működött a dolog. -
#9518
Marcelldzso
tag
Marcelldzso
tag
Sziasztok,
Megkérdezlek benneteket hátha tudtok némi információval szolgálni.
Telepítettem egy esxi-t virtualizálok rajta egy routeros-t.
Az RJ45 a wan oldal, az optikai 10g kártya pedig a lan oldal.Ha tesztelem iperf-el a kapcsolatot esxi - pc között akkor az upload/download is 9.6gbps viszont vm és pc között már az upload az latency hibás a download oldal pedig ugyanúgy 9.6gbps.
Hol lehet a gond?
Rendgeteg mindent kipróbáltam már a CPU és network beállításokon keresztül.
Nem hiszem, hogy disk io lenne mert ilyenkor nincs írás. A disk amúgy egy 256-os m2.ssd. -
Beniii06
addikt
válasz
bambano
#9515
üzenetére
Igaz nálam két ros eszköz van összekötve openvpn-el, csak sajnos a TCP korlátozás miatt, a sebesség ilyen 12Mbps-nél kifullad egy kapcsolaton, viszont eddig ez a legstabilabb amit használtam és bevált.
Debianra előbb én is openvpn-t próbálnék, elég nagy támogatottsága van + millióféle leírás, ami felhívja a figyelmedet minden előforduló problémára. Ha van időd, megcsinálhatod a másikkal is és össze fogod tudni hasonlítani, neked melyik a jobb (sebességben, stabilitásban stb.) -
#70234880
törölt tag
válasz
Zwodkassy
#9513
üzenetére
Passz, én létrehozok egy újat, az admin felhasználót meg törlöm.
A többivel kapcsolatban, az szerintem soha nem baj, ha több megközelítésből védjük az eszközt. Soha nem lehet tudni mikor melyik biztonsági beállítás védi meg az eszközt egy esetleges rosszúl sikerült, vagy kevésbé jól sikerült frissítés után. -
válasz
#70234880
#9510
üzenetére
"Telnet és egyéb nem használt szolgáltatásokat kapcsold ki. Mint a felhasználó, mint pl winbox, web, ssh belső címhez kötni, vagy címtartományhoz."
Ezt sokszor leírják (és jó is megcsinálni őket), de ezek a funkciók alap konfig esetében nem érthetőek el kívülről (WAN).
Tehát ha valaki nem tiltja le őket, akkor sem jutnak be így a router-be kívülről.
Természetesen az erős jelszó KÖTELEZŐ.
Kérdés : pár éve még az volt, hogy a default "admin" usert nem átnevezni kell, hanem tiltani. Ugyanis attól, hogy átnevezed, még valahol ugyanaz marad (passz, hogy hol és miért). Ezt javították már és/vagy változott már? -
Beniii06
addikt
válasz
zmaster
#9509
üzenetére
Gondoltam, hogy valami ilyesmi megoldja. A DMZ, főleg szolgáltatói eszközökben nem mindig működik jól, ezért én ahol lehet kerülöm. Amúgy sem szerencsés most szolgáltatói HGW-t használni egy frissen felfedezett biztonsági rés miatt a szoftverükben. Általánosan minden szolgáltató érintett valamilyen módon, ahol HGW használnak/használtak. A Ubee igaz nincs a listán, de az is lehet még csak nem került fel. A CB/Cisco rajta van a listán, a CB-n hiába javítják szoftveresen a hibát, az sajnos hardveresen is érintett, ezért sose engedd lecsérelni CB-re, az a lényeg.
Az lenne a jó, ha menne quick set nélkül is a beállítás, mert akkor ahogy előttem is írták sokkal biztonságosabb hálózatot lehet létrehozni. -
#70234880
törölt tag
válasz
zmaster
#9509
üzenetére
quick setup felejtsd el, sajna időnként problémákat tud okozni.
A Default config még elmegy ... bár időnként ott is előfordulhatnak anomáliák.
Ne felts el egyedi felhasználó nevet adni, és valami elfogadható egyedi jelszót.
Telnet és egyéb nem használt szolgáltatásokat kapcsold ki. Mint a felhasználó, mint pl winbox, web, ssh belső címhez kötni, vagy címtartományhoz. pl, Abban az esetben ha 192.168.88.0/24 címet oszt a DHCP szervered, akkor mint a felhasználónévhez, mint a router belépési szolgáltatásihoz is hozzá adni. Ha eddig esetleg nem tetted meg. -
zmaster
csendes tag
válasz
Beniii06
#9508
üzenetére
Köszi, sikerült a mikrotiket megtenni "fő" routernek. Én csináltam egyébként a setupot eddig is, jórészt quick setuppal, csak az alhálózatot stb. állítottam be, meg egy dns szervert.
Most viszont sikerült és úgy néz ki megy a gta is. Köszi mindenkinek! 
A fő gondomat az okozta a router tekintetében, hogy a default gateway-t nem írtam át a mikrotikben ,most automatikusra tettem a 192.168.0.1 helyett. Legalábbis sejtem, hogy ez lehetett a bibi. -
Beniii06
addikt
válasz
zmaster
#9506
üzenetére
Akkor azon csodálkozom a mostani állapotot, hogyan állítottad be vagy nem te csináltad? Quick set-el csináltad?
Ismerem a Ubee-t stabilitás szempontjából megbízhatóbb, mint a connect box. Amit leírtál az természetes, miután bridged módra állítottad az Ubee-t(restart után), az egyik lan portot, lehetőleg az 1-est összekötöd a mikrotik szintén 1 es portjával. IP -> DHCP Clientnél hozzáadod a Mikrotik portját, default route pipa be, IP ->DNS résznél beállítod elsődlegesnek a 8.8.8.8-át és ellenőrzöd, hogy az IP routes-ban, az dhcp kliens résznél kapott IP mellett ott van-e a 0.0.0.0 és a distance oda 0, alatta a kapott IP cím átjárójának kell lennie 1-es distance-el. Amit beállítottál, gondolom kézzel statikus utat(Ubee címére), azt ki kell kapcsolni. Így már lennie kell netnek ha a mikrotikre csatlakozol.
Az első mielőtt bármit is csinálsz,hogy legyen backup lementve a gépedre az Ubee-ról és a Mikiről is.
-
zmaster
csendes tag
válasz
Beniii06
#9505
üzenetére
A upc modemben 2 mód van (ez még a régi Ubee modem fajta [link] , nem az új connect box), router vagy bridge. Ha bridge-re állítottam, akkor fél napig sehol nem volt net, mert még a upc modem alap 192.168.0.1 címe sem volt elérhető (más címet kap ilyenkor, nem emlékszem már mit), nemhogy a mikrotik IP-t kapjon
Sz_ptam vele mire visszaállítottam, inkább nem piszkálnám megint. -
Beniii06
addikt
válasz
zmaster
#9503
üzenetére
A upc modemben DMZ-nek van állítva a mikrotik ip címe
Miért nem teszed/kéred modem módba? (ez önmagában is egy plusz hibaforrás) A felületén egy kattintás, ha nem ipv6 módban vagy(az ipv6 is okozhat hibát, amilyen módon meg van oldva a UPC-nél, kérj ipv4 címet ügyfélszolgálattól) és a Mikrotiken pedig állíts be DHCP klienst arra a portra és onnantól a Miki lesz a fő router, lehet az megoldaná a problémádat. -
-
zmaster
csendes tag
Sziasztok.
Segítsetek már légyszíves kiengedni a képen látható portokat, nat-olni normálisan, mert egy hónapja nem megy a GTA online és már agyf_szt kapok. A upc modemben DMZ-nek van állítva a mikrotik ip címe, szóval elvileg ott nem lehet gond, illetve ha közvetlen a upc modembe megy a gépemből a kábel, akkor hibátlanul megy a rockstar client. Ha mikrotikből, akkor meg offline tölt be a rockstar client csak.
Valaki részletesen tudna képeket küldeni a beállításról?
Köszi.
, még az is lehet, hogy ennél jobb módszert is tudnék rá 
Új hozzászólás Aktív témák
ekkold- BESZÁMÍTÁS! MSI B550M R7 5800X 32GB DDR4 512GB SSD RX Nitro+ 6700XT 12GB Corsair 4000D ASUS ROG 650W
- ÁRGARANCIA!Épített KomPhone i5 12400F 16/32/64GB RAM RTX 3060 12GB GAMER PC termékbeszámítással
- Bomba ár! MacBook AIR 13" 2018 - i5-8210Y I 16GB I 512SSD I OS X Sonoma I Cam I Gari!
- ÁRGARANCIA!Épített KomPhone Ryzen 7 5800X 32/64GB RAM RX 7700 XT 12GB GAMER PC termékbeszámítással
- Samsung Galaxy A22 5G 128GB, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged