-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
ekkold
Topikgazda
-
ekkold
Topikgazda
válasz yodee_ #15950 üzenetére
Nekem hAPac^2-n a PPTP VPN volt a leggyorsabb, az tudott talán 100Mbit körül, az L2TP+IPsec már jóval lassúbb volt, IPsec nélkül meg csak kicsit volt lassúbb a PPTP-nél. A wireguard gyorsabb volt mindegyiknél (nem emlékszem pontosan mekkora sebességet tudott, de biztosan többet mint 100Mbit/s). IPIP + Ipsec és az EOIP+IPsec sem volt igazán jobb sebességben a fentieknél - bár ezekkel nem túl sokat kísérleteztem. Szóval azért nem kell csodát várni ettől a kis routertől, szerintem a gyakorlatban az a 100Mbit körüli VPN sebesség reális. Ha nagyobb sebesség kell akkor vagy a PC-n kell futtatni valamilyen VPN-t, vagy jóval erősebb router kell. Gyanítom, hogy pl. a Wireguard PC-n futtatva, simán tudna közel gigabitet, de ezt nincs módom tesztelni.
[ Szerkesztve ]
-
ekkold
Topikgazda
válasz yodee_ #15958 üzenetére
Nálam ehhez hasonló bejegyzés erre kell:
- Van több különféle port kifordítva, pl. egy webszerver, ami a router WAN oldaláról elérhető (skori.spacetechnology.net)
- Hogyha egy LAN címről (mondjuk asztali PC) el akarom érni a webszervert, de úgy hogy nem a belső LAN oldali címére hivatkozok, hanem pl. az előbbi domain névre - ami ugye a WAN oldali címre fordul, akkor a PC a routerhez fog fordulni a kéréssel, hiszen nem lokális címet akar elérni. A router viszont "észreveszi", hogy az a cím (is) a saját címe, és ezért az említett NAT szabály alapján, annak ellenére kiszolgálja a kérést, hogy az eredetileg a WAN oldali címre vonatkozott.
Magyarán, a LAN-on belül is kiszolgálja a NAT kéréseket. Sokak szerint ez így nem működhet, és valóban kicsit fura a dolog logikája, de a gyakorlatban viszont mégis működik a dolog. A Te esetedben, ha mégis meg akarnád tartani ezt a szabályt, akkor úgy kellene módosítani, hogy a VPN címekre ne vonatkozhasson ez a szabály, ha viszont nincs ilyesmire szükséged, akkor nyugodtan törölheted. -
pzoli888
kezdő
-
ekkold
Topikgazda
válasz yodee_ #15981 üzenetére
Mobilneten a szolgáltatók valamiért szeretik blokkolni a VPN-ek működését. Természetesen letagadják. Ezért jobb olyan VPN-t használni, amelyik nem fix portokat használ, hanem tetszés szerint állítható, ugyanis ezeket emiatt nehéz blokkolni... itt jön a képbe az openvpn mert az ilyen, csak éppen sokkal lassúbb mint a PPTP / L2TP / ipsec (ezek viszont csak adott porton működnek). Viszont a RouterOs7-be bekerült a wireguard, ami szintén bármelyik porton működhet, és gyors
Gyakran előfordult, hogy olyan helyen interneteztem ahonnan sem PPTP-t sem L2TP-t nem tudtam használni, és így nehezebben értem el pl. az otthoni NAS-t. A wireguard-al viszont működik.[ Szerkesztve ]
-
-
Lenry
félisten
válasz yodee_ #15985 üzenetére
kell program, mert egyelőre nincs beépített kliens a legtöbb OS-ben
azt a leírást nem találom, ami alapján én csináltam, de nem volt bonyolult, ez pl úgy látom jól összefoglaljaGvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Audience
aktív tag
válasz yodee_ #16081 üzenetére
Nekem a Cloud szolgáltató miatt is le kellett vennem az MTU-t, Hollandiai adatközpontot használok, ebből ennyi jön ki. Néha felmegy 200Mbps-ig de az a plafon. Ha nagyobb VM-re áttenném a CHR-t lehet, hogy lehetne még faragni de amire használom arra már így is bőven jó.
-
Audience
aktív tag
válasz yodee_ #16086 üzenetére
Én csináltam egy bridge-et hozzá raktam egy portot és összekötöttem még egy kábellel a HGW-t és a router-t, a TV-nél lévő Mikrotikre is tettem egy plus bridge-et, két portot hozzá adtam és a két bridge-et EoIP tunel-lel összekötöttem. így ha ott a megfelelő portra csatlakozom látom a HGW-t, a másik porton a set top box lóg.
-
Lenry
félisten
válasz yodee_ #16108 üzenetére
1280 a WAN bridge (ezt nem is tudom állítani)
1200-ra vettem le a WG-étannyit még hozzá kell tenni, hogy külön interface-t csináltam végül ennek a kapcsolatnak, tehát most a két WireGuard kapcsolat két külön WG interface-en fut.
(nem tudom, hogy ez befolyásol-e bármit, de gondoltam leírom)[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
-
Lenry
félisten
válasz yodee_ #16331 üzenetére
látszik, hogy egyetlen találat sincs arra a szabályra, mert valószínűleg rég kiértékelésre kerülnek azok a kapcsolatok, el se jut odáig a listában.
tedd valahova a lista elejére.a drop szabályokat egyébként is érdemes előre tenni, hogy mielőbb végezzen a router a kiértékeléssel és aztán ne kelljen rájuk erőforrást pazarolni.
[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Statikus
senior tag
válasz yodee_ #16374 üzenetére
Én azt nem értem, mi köze a windowsnak egy BIOS által vezérelt hálózati kártyára érkező jel feldolgozásában, a gép elindításában, bootolás előtt? Szerintem semmi... De ha rosszul gondolom, ha a windows bármit is vezérel egy kikapcsolt gép indításában, akkor légyszi osszátok meg velem.
-
ekkold
Topikgazda
válasz yodee_ #16413 üzenetére
Biztos, hogy érdemes azonnal tiltani? Néha látok olyat a logban, hogy egy barátom hAPac^2 routere csak másodszorra tud valamiért kapcsolódni hozzám - ilyen esetben pedig feketelistára kerülne...
Mondjuk ha majd frissít 7-es routerOs-re, akkor kihajítom az L2TP-t, és amit csak lehet wireguard-ra cserélek. -
ekkold
Topikgazda
válasz yodee_ #16416 üzenetére
Miért lenne értelme váltanom wireguard-ra?
- Pl. nem kellene ilyen tűzfal scriptekkel bajlódni, mint amit beraktál.
- Az egész fixportos ipsec-es megoldást ki lehetne hajítani, és akkor nem is lenne mit hackelni...
- Az l2tp/ipsec által használt portokra érkező csomagok forráscíme kapásból mehetne a feketelistára, minden különösebb trükközést mellőzve.
- Van fehérlistád: elegendő a fehérlista számára kinyitni a megfelelő portot. Az alkalmi elérésekhez meg lehetne pl. kopogtatással a fehérlistára felkerülni. (Ez mondjuk most is feleslegessé tenné a scriptes megoldást.)[ Szerkesztve ]
-
ekkold
Topikgazda
válasz yodee_ #16428 üzenetére
Azt hiszem a sebességen kívül (egyébként: igen, valószínűleg több is menne) elég sok további indok le lett itt írva.
Ha a fehérlistára felveszel engedélyező szabályt, akkor minden további drop-olható. Vagy akár egy sima drop szabályba is betehető kivételként a fehérlista. Több megoldás is van.
-
Beniii06
őstag
válasz yodee_ #16655 üzenetére
A VPN kliensnek kellene egy IP-t adni a 4G router tartományában, pl 192.168.8.3/24 az address listben, a 4G eszköz DHCP tartományán kívül mindenképpen. Tippre Huawei eszközöd van, azok a 8.100-tól kezdik a DHCP címeket osztani általában.
A VPN szerveren pedig szerencsésebb lenne megadni a vpn kapcsolatot átjárónak, az ip cím helyett, bár elvileg ugyanaz a kettő, nekem így stabilan működik.
+ Az ip --> firewallban nézd meg, hogy van-e a NAT résznél létrehozva masquerade szabály, srcnat, a 192.168.8.0/24 re aminek kimenő interfésze a vpn kapcsolat.
[ Szerkesztve ]
"Got any other secret weapons?"
-
Lenry
félisten
válasz yodee_ #16713 üzenetére
gondolom teljes elérési úttal küldi el, tehát /disk3/backup/xxx.rsc-ként , de egy fájlnév nem tartalmazhat
/
jelet, ezért lesz belőle az, ami.egyszer mintha olvastam volna valami olyasmit, hogy a Mikrotik nem kezel rendesen mappaszerkezeteket, hanem a fájlnévből csinál ilyen pszeudo-elérési utat, tehát /backup/ kezdetű fájlneveket úgy mutatja, mintha egy backup nevű mappában volnának.
de elég homályosan emlékszem erre, szóval lehet, hogy hülyeséget beszélek[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
ekkold
Topikgazda
válasz yodee_ #16713 üzenetére
Szerintem, a mikrotik nem kezeli külön a fájl és a mappaneveket, vagy valójában nincsenek is mappák, csak a névben vannak per jelek. Az RB5009-en én is egy pendrájvra küldöm a backupot, és onnan megy az email. Az eredmény hasonló mint nálad... annyi eltéréssel, hogy a fájlnév per jelekkel érkezik meg a levelező programba, és a programból már kötőjelekkel lehet menteni a csatolt fájlt. Szerintem nálad is, a levelezést kezelő program cseréli le alulvonás jelre.
Még annyit, hogy azokon a routereken, ahol van /flash almappa, a gyökérkönyvtár valójában RAMdiszk, ebben az esetben nyugdodtan mehet a backup a gyökérkönyvtárba. Az email küldése után törlendő, de ez nem fogja a flash-t "koptatni". Nem emlékszem hirtelen, de mintha a hAPac2 is ilyen lenne.
[ Szerkesztve ]
-
ekkold
Topikgazda
válasz yodee_ #16747 üzenetére
Némelyik kapcsolat esetében meghagytam a PPTP vagy L2TP kapcsolatot is tartaléknak, a wireguard mellett. Egyszerűen a régi, erre vonatkozó routing szabályokat letiltottam, és felvettem újakat, amelyek már a wireguard kapcsolaton át tolják az adatokat. Így bármikor át tudok kapcsolni a régi VPN megoldás, és a wireguard között oda-vissza. A két router között pedig mindkét kapcsolat él, persze más IP címekkel - így ha az egyik kapcsolat megszakadna, a két router akkor is látja egymást.
-
Lenry
félisten
válasz yodee_ #16766 üzenetére
nem lehet, fix IP kell hozzá, meg olyan előfizetés, ami egyáltalán engedi az email szolgáltatást.
én azt tervezem, hogy bérelek valahol egy VPS-t[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
amargo
addikt
válasz yodee_ #16774 üzenetére
Mármint? Céges adatokat kell megadni. Nekem egy account-om még azure-on keresztül van, de van egy private is, amihez végül is szintén céges adatokat adtam meg.
A sendgrid tömeges email küldésre van, nem mondom, hogy ez a legjobb megoldás erre a problémára (van pár maradi ISP (pl.: freemail), akik "blokkolják/spam-nak jelölik meg" azt pedig csak a fizetős csomagban tudod kivédeni), de én évek óta használom erre a célra is..[ Szerkesztve ]
“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”
-
amargo
addikt
válasz yodee_ #16776 üzenetére
Ez egy szolgáltató, azaz valamilyen olyan email címet, aminek a postaládáját eléred. Nekem gmail-es van és gmail-es céges is.
Az előre le írom, ahhoz, hogy verificálni tud majd a kilétedet, ahhoz pl kell egy domain. Nálam pl úgy van megcsinálni, hogy a céges info-s cím nevében küldöm ki innen a leveleket (ehhez persze verification kell).“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Alpha Laptopszerviz Kft.
Város: Pécs
Cég: Promenade Publishing House Kft.
Város: Budapest