-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
jerry311
nagyúr
válasz
szuszinho
#15208
üzenetére
Jaaaaaa, hogy ez itt az egész 1 hoston belül 2 Docker hálózat.
Első körben azt mondom, hogy ennek a kapcsolatnak el sem kellene hagynia a Docker hostot.
Egy router konfig segítene szerintem. Nem biztos, hogy én fogom ezt neked megoldani, mert bár ~20 éve foglalkozom hálózatokkal Mikrotikben aránylag kezdő vagyok. -
-
jerry311
nagyúr
válasz
szuszinho
#15167
üzenetére
A VPN kliensek IP tartománya a többi eszköznek a LAN-on ismeretlen. A Wireguard szervered kidob magából egy csomagot, aminek a forrása a VPN kliens IP címe. Ha a hálózatodon lévő gépek nem tudják, hogy erre a VPN szerver felé kell válaszolni, akkor a nem oda küldik a választ, hanem a default gateway felé., ami meg jó eséllyel az internet felé továbbítja.
Ezt elkerülendő, legalább a default gateway-re kell egy route, ami a Wireguard felé küldi a csomagokat, aminek címzettje a kliensek IP tartományában van. -
#15166
jerry311
nagyúr
Marcelldzso
#15164
jerry311
nagyúr
válasz
Marcelldzso
#15164
üzenetére
A böngésző eleve cache-ből dolgozik, a szerverek is sokkal szívesebben küldenek vissza '304 Not Modified' üzenetet, mint újra a tartalmat. Ezen annyit gyorsíthatsz, hogy a proxy mondjuk X ideig nem kérdezi a szervert, csak visszaküldi a tárolt tartalmat a böngészőnek, nyertél néhány ezredet. Nem sok.
Egy proxy sok meló, én előbb utánajárnék. hogy mi lassú...
Lehet nem is forgalom lassú, hanem a DNS...A digitális aláírás kicsit macerásabb, mert valid tanúsítványt nem fogsz kapni, amivel dinamikusan aláírhatsz más nevet (melyik weblapot éppen letöltöd). Tehát neked kell készíteni egyet, amit aztán be kell importálnod a számítógépeidre és/vagy böngészőidbe. Mindbe.
-
#15163
jerry311
nagyúr
Marcelldzso
#15161
jerry311
nagyúr
válasz
Marcelldzso
#15161
üzenetére
Milyen net sebességre? Mert ez az, ami nagyon nem mindegy. Gyors neten egy lassú proxy csak ront.
Digitális aláírásokkal jó barátságban vagy? Mert ha ne, akkor a HTTPS oldalakkal csak szopni fogsz, vagy a proxy csak átküldi magán és nem csinál vele semmit.
Na meg a nagy kérdés, nézted már, hogy mi lassítja a netezést? -
jerry311
nagyúr
válasz
starchild
#15098
üzenetére
Éppen nem fér be 450 vs 456 mm. Nincs is hozzá gyári dupla beépítő keret. Simán elkúrták, vagy nemtom. Lehettek volna beépített LEDek a portokban (lásd 5009), amivel nyerhettek volna legalább 30 mm-t, de hát nem, ezt megtartották az 5009-nek. Tippelem panaszkodtak nekik elegen, hogy miért kellett 6 mm-rel elbaszni a 2 vagy 4 / 1U helyigényt.
Én levettem 533 MHz-re a 4011-et, nem tapasztaltam lassulást, cserébe csak 38 fokos.
-
jerry311
nagyúr
válasz
Victorio
#15082
üzenetére
Ezt mint aktív 10G használó mondom: nem nagyon kell 10G otthonra. Ezt legalább megtanultam miután megépítettem itthonra.
Ha mégis szeretnél, akkor meg kell fizetni. A szokásos háromszög van: jó-gyors-olcsó, ebből lehet kettőt választani.#15084
Az 5009 sebességét még a Mikrotik sem titkolja. Bridge: 9.8 Gbps config nélkül, 25 tűzfal szabállyal már csak max 7.5G, de nem minden csomag 1500 byte, úgyhogy a valós sebesség ennél kevesebb lesz. Ha még hozzáadod a PPPoE-t, NAT-ot, egyebeket aztán lehet már a 4G is alig lesz meg.
10G-hez teljesítmény kell router és kliens oldalon is. Plusz még PCIe lane is kell, amiből desktop szinten inkább kevesebb van, mint amennyi jó lenne. Úgyhogy vagy nem működik megfelelően a PC, vagy valami lassabb lesz mint szeretnéd. -
jerry311
nagyúr
Nem olvastam az egészet, úgyhogy csak bekérdezem a fentiekrre, hogy Port isolation?
-
-
jerry311
nagyúr
Ilyet még nem láttam, egy cégnél sem.
ZScaler-nek van valami hasonlója, de az nagyon más kategória, és ott is csak 1-2 feature esetében. Illteve F5-ben, de ott is csak néhány feature-nél.
Ilyen order of operation jellegű folyamatábrába beleírva az aktuális szabályokat még egyik gyártónál sem láttam. -
#14909
jerry311
nagyúr
SnoopDoggOG
#14908
jerry311
nagyúr
válasz
SnoopDoggOG
#14908
üzenetére
IP DNS --> Amit a routered használ.
DHCP server options pedig, amit a DHCP megad a klienseknek.DHCP optionsbe tedd be és jó lesz.
Példa
/ip dhcp-server optionadd code=6 name=DNS value="'192.168.0.11'"add code=3 name=router1 value="'192.168.0.1'"add code=1 name=mask value="'255.255.255.0'"add code=4 name=NTP value="'pool.ntp.org'"/ip dhcp-server option setsadd name=dhcpset1 options=DNS,NTP,mask,router1/ip dhcp-serveradd address-pool=dhcppool1 dhcp-option-set=dhcpset1 disabled=no interface=bridge lease-time=1d name=dhcp1 -
jerry311
nagyúr
válasz
jerry311
#14839
üzenetére
Ez ilyen alacsony szintű SFP beállításnak tűnik, ami javíthatja a kompatibilitást és/vagy stabilitást. SFP oldalon opcionális, mert megengedett, hogy csak 1 sebességet támogasson.
Rate Select : "This is an optional input used to control the receiver bandwidth for compatibility with multiple data rates". Setting this for low bandwidth allows the receiver to reduce its input bandwidth and improve it's sensitivity when a lower data rate input is expected. If your module only has one mode of operation you can ignore this input.
-
jerry311
nagyúr
Óóóóóóóóóó milliónyi SFP fix.
What's new in 6.49 (2021-Oct-06 11:55):
*) crs3xx - fixed LEDs for QSFP+ interface on CRS326-24S+2Q+ device;
*) crs3xx - fixed SFP and SFP+ link rate reporting (introduced in v6.48beta11);
*) crs3xx - improved QSFP+ linking and mode changing for CRS326-24S+2Q+ and CRS354 devices;
...
*) crs3xx - improved packet transmit on SFP+ interfaces;
...
*) qsfp - improved system stability when setting unsupported link rates;
...
*) sfp - added "sfp-rate-select" setting;
*) sfp - fixed GPON module linking (introduced in v6.47);
*) sfp - improved 25Gbps optical module stability and linking;
*) sfp - improved SFP, SFP+, SFP28 and QSFP+ interface stability for CRS3xx and CCR2004 devices;
*) sfp - improved link stability for 10G, 25G and 40G modules on CRS309, CRS312, CRS326-24S+2Q+ CRS354 and CCR2004 devices;
*) sfp28 - changed FEC auto mode to disabled; -
#14833
jerry311
nagyúr
E.Kaufmann
#14826
jerry311
nagyúr
válasz
E.Kaufmann
#14826
üzenetére
Igazából az ami ingyen volt.
D-Link DHP-W610AV. Teljesen csendes, kb. 1.5 méterre alszom tőle. 625 Mbps-t ír az admin felületen, kétlem hogy átvisz ennyit, de a felhasználás módja miatt mindegy is 100M már bőven elég. -
jerry311
nagyúr
válasz
Zwodkassy
#14806
üzenetére
Én tennék bele egy mirror-t, mert számomra a new-dst-ports action csak annyit jelent, hogy a további feldolgozás során úgy kezeli a csomagot, mintha az az eth6-ra menne, de ettől még nem küldi ki oda.
/interface ethernet switch rule add disabled=yes dst-address=12.34.56.255 dst-port=1234 mac-protocol=ip new-dst-ports=ether6 ports=ether5 protocol=udp src-address=12.34.56.25 switch=switch1 mirror=yes
-
jerry311
nagyúr
válasz
Statikus
#14432
üzenetére
A MAC tábla megmondja melyik cím melyik porton található.
Az ARP tábla megmondja melyik címhez milyen IP tartozik. (ez lehet üres is, layer 2 switchet nem nagyon érdekli az IP)
Még a DHCP tábla (ip dhcp-server lease print) segíthet, de az is kétesélyes, mert ami nem beszélt a DHCP szerverrel az nem lesz benne. Illetve nem mutatja meg a portot sem.
Az említett 3 táblát szépen összefésülve egész tűrhető lista készülhet. -
jerry311
nagyúr
válasz
ekkold
#14416
üzenetére
Akkor már inkább 802.1.x és digitális aláírás, de erre mondtam, hogy nem kell rögtön atombombát dobni a légyre.
Első körben elég az IP vagy MAC alapú tiltás, ha kikerüli, akkor lehet feljebb lépni.Van ismerősöm, ahol akkor van WiFi ha fent van az MDM kliens (Meraki), abból viszont simán lehet tiltani dolgokat már a kliensen. Nem kell IP vagy MAC alapon vicceskedni, maga az eszköz nem enged fel a netre, vagy mondjuk nem indul el a Netflix/Facebook/akármi.
-
jerry311
nagyúr
Mennyit mantráztam én, hogy nem költök hülyeségekre, mint pl. ez a 2/1 internet téma. Aztán mégis lett itthon 10G optika, az 1G internethez, meg a NAS-hoz, mondjuk ez utóbbi legalább hajlandó elmenni 4G-ig, de minek is?
Azért fejlődőképes vagyok, csökken az ilyen beruházásaim száma.
-
#13868
jerry311
nagyúr
E.Kaufmann
#13867
jerry311
nagyúr
válasz
E.Kaufmann
#13867
üzenetére
Hasonló, de 6.x-en.
IPSec VPN-en keresztül az első RDP kapcsolat megszakad pár másodperc után. Szépen újra csatlakozik és stabil marad. -
#12808
jerry311
nagyúr
minimumgame
#12807
jerry311
nagyúr
válasz
minimumgame
#12807
üzenetére
Mikrotik 1. szabály: nem használunk quick configot, nem használunk default configot (/system reset-configuration no-defaults=yes). Sajnos, mindkettőre építkezve előfordulhatnak meglepetések. A legjobb ha nulláról indul az ember.
-
#12800
jerry311
nagyúr
minimumgame
#12794
jerry311
nagyúr
válasz
minimumgame
#12794
üzenetére
0.0.0.0/8-ból hiába kap bármit (egyébként leginkább nem kap, mert a 0.0.0.0 ugyanúgy DHCP vagy hálózati hibára utal, mint a 169...), ez a tartomány speciális, nem használható, nem routeolható, semmi. Mikrotik is okos, és nem enged ilyen poolt beállítani, tehát nem is foga kiosztani.
Tessék szépen bekapcsolni a DHCP logot és megnézni, hogy mit mond a Mikrotik DHCP szervere. -
#12779
jerry311
nagyúr
minimumgame
#12778
jerry311
nagyúr
válasz
minimumgame
#12778
üzenetére
Milyen HW és SW?
-
#12697
jerry311
nagyúr
Core2duo6600
#12695
jerry311
nagyúr
válasz
Core2duo6600
#12695
üzenetére
Egyik se.
-
jerry311
nagyúr
válasz
WolfLenny
#12670
üzenetére
Az attól függ milyen forgalom...
https://mikrotik.com/product/CCR1009-7G-1C-1SplusPC#fndtn-testresults1 VPN-re 112-115 kpps a max, ami 1G felett teljesít, ha ki van maxolva az MTU, de csak 60 Mbps a minimummal tesztelve. Nyilván az ilyen tesztek alatt semmi mást nem csinál a router. Normál körülmények közt nem fog kijönni belőle 1G VPN-en, szvsz 600M körül lesz a vége, vagy annyi se.
-
jerry311
nagyúr
válasz
ratkaics
#12662
üzenetére
Mert nincs csatlakozva a szerverhez.
Én NTT Pool Project és DNS párti vagyok.
Nálam a Pri és Sec IP 0.0.0.0 így azt nem használja, és be van állítva a 4 regionális szerver:
0.hu.pool.ntp.org
1.hu.pool.ntp.org
2.hu.pool.ntp.org
3.hu.pool.ntp.orgEhhez még persze kell, hogy legyen beállítva DNS szerver (IP/DNS).
-
#12652
jerry311
nagyúr
MasterDeeJay
#12651
jerry311
nagyúr
válasz
MasterDeeJay
#12651
üzenetére
Akkor a célt kell megkérdezni.
-
#12650
jerry311
nagyúr
MasterDeeJay
#12649
jerry311
nagyúr
válasz
MasterDeeJay
#12649
üzenetére
Ha minden megy, kivéve ezt (vagy párat)...
Ha fix IP-d van, akkor keresgélj blacklistekben, előfordulhat, hogy valahogy felkerült rá az IP-d. -
#12648
jerry311
nagyúr
MasterDeeJay
#12647
jerry311
nagyúr
válasz
MasterDeeJay
#12647
üzenetére
A 10.0.0.0/8 privát tartomány, de ami neked nyilvános hálózat, az a szolgáltatónak a saját magánhálózata. A legtöbb szolgáltató használja mindhárom privát tartományt.
-
#12617
jerry311
nagyúr
atlagenber
#12616
jerry311
nagyúr
válasz
atlagenber
#12616
üzenetére
Az a baj a közös IP tartománnyal, hogy ARP alapon működik. Ha valaki beszélni akar egy másik valakivel, akkor broadcastba küldenek egy ARP kérést, ha valaki válaszol a cél MAC címével, akkor működik. Na most, ha a routeren nincs proxy ARP, akkor nem működik.
Ha külön IP tartományban vannak, akkor nincs ilyen gond, mert a másik IP tartományba menő csomagokat a def gw-nek küldi automatikusan. -
#12609
jerry311
nagyúr
atlagenber
#12607
jerry311
nagyúr
válasz
atlagenber
#12607
üzenetére
Ha a VPN megy de forgalom nincs, akkor marad a NAT meg a tűzfal.
-
#12605
jerry311
nagyúr
Marcelldzso
#12604
jerry311
nagyúr
válasz
Marcelldzso
#12604
üzenetére
Előfordulhat olyan, hogy amíg DNS cache-ből olvassa az IP-t, addig nem megy. Amikor lejár a TTL, akkor újra megkérdezi a DNS szervert és megint elkezd működni.
-
#12602
jerry311
nagyúr
Marcelldzso
#12601
jerry311
nagyúr
válasz
Marcelldzso
#12601
üzenetére
VPN NAT után van, szóval ha a NAT elkapja, akkor a VPN már nem fogja, ha NAT előtti IP-kre van megírva.
-
-
jerry311
nagyúr
Jogos, hogy kizárólag 'A' 20 MHy-en nem túl gyors.
Viszont amondó vagyok, hogy inkább 20/40/80 Ceee, mint fix 40 vagy 80. Eddig ezzel volt a legkevesebb gondom. Ha nem volt elérhető a 20 MHz, vagy nem a legalacsonyabb freki volt az alap, akkor néhány kliens nem volt stabil, vagy fel sem csatlakozott. -
jerry311
nagyúr
Tűzfal megengedi?
6 ;;; defconf: accept in ipsec policy
chain=forward action=accept ipsec-policy=in,ipsec
7 ;;; defconf: accept out ipsec policy
chain=forward action=accept ipsec-policy=out,ipsecIPSec a NAT után történik, tehát az IPSec policz vagy a NATolt címeket kell tartalmazza, vagy NAT kivétel kell.
Pl. a standard internet felé menő NAT szabályba beleteszed plusz feltételnek, hogy DST address nem 192.168.19.0/24. -
#12433
jerry311
nagyúr
Marcelldzso
#12432
jerry311
nagyúr
válasz
Marcelldzso
#12432
üzenetére
Ez normális, a két végpont egymás felé néző IP-je lesz src/dst, hiszen a Mikrotiknek nincs 5.x.x.x IP címe, csak a 192.168.8.100. Hogy utána a Huawei NATol az már más kérdés, ezért megy a VPN UDP/4500-ra ESP protokoll helyett.
-
#12427
jerry311
nagyúr
Marcelldzso
#12426
jerry311
nagyúr
válasz
Marcelldzso
#12426
üzenetére
A local address az lesz (hacsak be nem állítod), ami a remote address (internet) felé néz route tábla alapján. Ha ez a 192.168.8.100, akkor az jó. A kép azt mutatja, hogy Uptime 8 másodperc, illetve, hogy van egy darab phase 2 (Installed SAs tab, 2 SA egy TX egy RX), úgyhogy annyira nagyon nem lehet elrontva a konfig.
-
jerry311
nagyúr
válasz
#70234880
#12401
üzenetére
Nekem is csak azért van ilyen problémám, mert több mint 10 gyártó több mint 50 féle eszközét támogatjuk. A "legszebb" az volt, amikor a jelszó cserélő funkció olyan karaktereket is elfogadott, amit a beléptető funkció nem, úgyhogy sikeresen ki is zártam magam.
Ami eddig mindenhol működött, az legfeljebb 21 karakter, kis/nagy betű, szám, -. Ez az univerzális jelszó karakterkészlet, amivel eddig még nem volt gondom. (Leszámítva pár weblapot (köztük bank!), ami legfeljebb 12 karaktert enged.
) -
jerry311
nagyúr
válasz
#70234880
#12399
üzenetére
Nem kell ezzel vacakolni, pár karakterrel hosszabb jelszó még biztonságosabb is lehet, mint a speciális karakterekkel telerakott eredeti.
Inkább használok 16+ jelszavakat, minthogy azzal szívjak melyik rendszer melyik speciális karaktert nem eszi meg. 21 fölé nem megyek, mert így a 21 század elején még mindig van, ami nem kezel ennél hosszabb jelszót. -
#12398
jerry311
nagyúr
Core2duo6600
#12397
jerry311
nagyúr
válasz
Core2duo6600
#12397
üzenetére
Létezik, vezetékes eszközöknél is létezik, hogy nem szeretik egymást, de ritka mint a fehér holló.
-
#12388
jerry311
nagyúr
TechToys2020
#12387
jerry311
nagyúr
válasz
TechToys2020
#12387
üzenetére
Ja, add el.
-
#12049
jerry311
nagyúr
Alteran-IT
#12043
jerry311
nagyúr
válasz
Alteran-IT
#12043
üzenetére
A pénz nem minden. Ha a szabadidőmet szánom rá, az drága. Ha néhány napi keresetemből veszek egy NAS-t vinyókkal az nem drága.
Mindennek megvan a helye, a játszós projektnek is, meg a bekapcsolom-és-működik megoldásoknak is.
-
#11996
jerry311
nagyúr
Alteran-IT
#11995
jerry311
nagyúr
válasz
Alteran-IT
#11995
üzenetére
Nálam egy SamKnows firmware-rel futó 1043ND van, olyan rég hogy egyszer már tápot is cseréltem alatta. Panel 10. emelet. Több mint 10 éves, és nincs rajta semmi módosítás.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- ÁRGARANCIA!Épített KomPhone Ryzen 7 7800X3D 32/64GB RAM RX 7800 XT 16GB GAMER PC termékbeszámítással
- 14" Dell Latitude laptopok: 5400, 5480, 5490, 7480, E7440, E7450 / SZÁMLA + GARANCIA
- Apple iPhone 14 Pro 128GB Kártyafüggetlen, 1Év Garanciával
- DELL PowerEdge R730xd 26SFF rack szerver - 2xE5-2680v3 (24c/48t, 2.5/3.3GHz), 64GB RAM, 10G, H730p
- BESZÁMÍTÁS! 32GB (2x16) G.Skill Trident Z RGB 6600MHz DDR5 memória garanciával hibátlan működéssel
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest