-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#2973
Bile Demon
őstag
Zwodkassy
#2972
Bile Demon
őstag
válasz
Zwodkassy
#2972
üzenetére
Frissítettem a 6.38.1 verzióra, de továbbra sem megy át az IPv6 forgalom a Mikrotiken.
Látsz valami olyat az utolsó képemen, ami problémát okozhat?
Az IPv6 Route List nálad is hasonlóan néz ki? (3. és 4. bejegyzést nem értem, ugyan az a cím, mégis kettő van belőle és az egyik nem elérhető) -
bacus
őstag
-
-
#2963
Bile Demon
őstag
Zwodkassy
#2962
Bile Demon
őstag
válasz
Zwodkassy
#2962
üzenetére
Miután beállítottam a LAN oldalra a ::81/64 címet (a poolbol) automatikusan kap címet és Default Gateway-t a PC.
A PC-ről a Default Gateway-t tudom pingelni, mégse működik!Kell e még bármit konfigurálni a Mikrotiken, hogy routolja az IPv6 forgalmat az interfészei között, vagy ez automatikusan megtörténik? Mert én csak annyit állítottam, be, hogy:
WAN interfész DHCPv6 kliens (prefix + address kérés)
LAN interfész manuális címkiosztás a poolbol (a kapott prefix van az elején).
Minden más dinamikusan létrejött.
-
#2960
Bile Demon
őstag
Zwodkassy
#2955
Bile Demon
őstag
válasz
Zwodkassy
#2955
üzenetére
Megadtam a ::81/64 címet a pool-ból.
Lett is egy értelmes, globális címe a LAN oldali interfésznek.Ez után, már kapott is IPv6 címet a Mikrotik mögötti PC.
(Már akkor, amikor még a DHCPv6 szervert nem is engedélyeztem a LAN oldalon.)
A felső 64 bit megegyezik a router LAN interfész címével, az alsó 64 bit, meg valami random (vagy MAC address alapján generált).
Ennek ellenére nem működik.
ping -6 google.com, a név feloldás működik (IPv4-en keresztül gondolom), de nincs válasz...A DHCPv6 szerver engedélyezése után, nem történik semmi. (bindingsnél semmi), mondjuk ha jobban belegondolok, a pool, amit a WAN oldalon kapott a Ciscotool egy /64-es tartományt már teljesen el van használva, a LAN interfész címére (poolnál used prefixes: ether2-masterhez a teljes /64 tartomány).
Vagy ez nem gond, ebből kellene egyedi címeket osztania? (már ha működne)
A Mikrotiken belül a Tools / Ping-nél jön válasz az IPv6 szerverektől a pingre.
A PC-ről is tudom pingelni a Mikrotik LAN és WAN interfész címét (válaszolnak), de az interneten lévő szerverektől nem jön válasz.
Már csak arra tudok gondolni, hogy a gateway beállítás nem jó, vagy a routolás, mert LAN-ról és netről is el lehet érni a Mikrotik interfészeit...
Rosszat kereteztem be, de a két alsó cím megegyezik, a kék sorra mégis azt mondja, hogy "unreachable".
-
#2953
Bile Demon
őstag
Zwodkassy
#2947
Bile Demon
őstag
válasz
Zwodkassy
#2947
üzenetére
"Nekem Digi van, cask erről tudok nyilatkozni:
- Wan iterfész: ezen DhcpClientv6, Address és Prefix pipa (igénylés), megadtam egy Pool-t, és a PoolPrefixLength=64 (a Diginél 64 bit). UsePeerDns és AddDefault Route pipa.
- Lan oldal: itt a Bridge interfészre definiáltam egy Dhcp-Server-v6-t, ahol is a előzőleg megadott IpV6Pool-t használom, adom meg. A gond akkor van, ha ez nem jön neked létre."Megpróbáltam pontosan így, ahogy írtad.
WAN interfész kap egy címet ami így néz ki:
2001:xxxx:xxxx:9500:aaaa:bbbb:cccc:dddd:eeee:ffff/64
Ez szerintem jó, internetről tudom pingelni a Mikrotik WAN interfészét, tehát odáig routol a Cisco.És létrejön egy pool, benne egy /64-es címtartománnyal:
2001:xxxx:xxxx:9580::/64Ebből hogy lehet értelmesen tovább osztani?
Van egyáltalán lehetőség így, arra, hogy a Mikrotik mögül elérjem az IPv6-os szervereket?LAN interfészre (nálam ether2 switch master) beállítottam a DHCPv6 szervert, megadtam a poolt, engedélyeztem. A kliens PC-k NEM kapnak IPv6 címet ettől a szervertől.
Amiről sejtem, hogy gond lehet: a LAN interfésznek nem állítottam be IPv6 címet, csak egy link local címe van. (Jó az úgy, vagy mit állítsak be?) -
bambano
titán
válasz
Zwodkassy
#2947
üzenetére
"/64-es prefix 1db subnet. /63-as 2db subnet, /62-es 4db subnet lehetséges. Még nem egészen vágom miért": azért, mert az okosok úgy gondolták, hogy a helyi hálózaton úgy osztanak ipv6-os ip címet, hogy az ethernet kártya mac címéből, ami 48 bit, fix módszerrel csinálnak 64 bitet, az lesz a v6-os cím egyik fele. a másik felét kapod a szolgáltatótól.
szerintem pazarlás, de ez van, ezt kell szeretni.
-
#2946
Bile Demon
őstag
Zwodkassy
#2945
Bile Demon
őstag
válasz
Zwodkassy
#2945
üzenetére
És mi lett a megoldás?
Nekem egyelőre még működik.
Más:
Már csak az IPv6-al vagyok elakadva.
(Telekomos kábelneten van IPv6, ami működik is, ha a PC a Cisco EPC3925-be van dugva közvetlenül.)Mikrotikben beállítottam a DHCPv6 klienst. (Request és Prefix pipa)
WAN port kap egy címet, ami kintről elérhető és az IPv6 poolba egy /64 címtartományt kapok. Sehogy sem tudok /62 /60 vagy /56 tartományt igényelni. Ennek nem tudom mi az oka?
A poolbol kiosztok címtartományt (/64-et jobb híján) a belső hálózatra.Belülről tudom pingelni a belső és külső interfészt is, de az internetet nem éri el. Az internet felől is tudom pingelni a külső interfészt, de nem lát be.
IPv6 tűzfalnál minden üres. -
bacus
őstag
válasz
Zwodkassy
#2773
üzenetére
Valamit keversz szerintem.
Ma már nincsenek hubok, csak switchek, és te abból indulsz ki, hogy ha a switch két portja kommunikál, akkor az nem lassitja a többit. A wifi ebből a szempontból inkább úgy működik mint a hub. Egy csatornán egyszerre egy pofázik, a manager ezt vezérli, hogy ki. (azt is tudja, ha elég messze vannak egymástól az ap-k és fizikai átfedés nincs), akkor nincs lassulás, nem zavar, ha van átfedés akkor nyilván lassul.
(és épp ezért sok sok kliensnél több ap-t és több csatornát sem bün használni)De ez nem a zavarás, ami sztem inkább az amikor mondjuk két független ap ugyanazon a csatornán két klienssel művel ...
Ott akár egyszerre is pofázhatnak, ami után mindenki kussba vágja magát, majd kivár egy random időt és újra pofázni kezd. Ha nincs mázli, akkor újból összeakadnak, és kezdődik előlről. Ez a zavarás! Itt a kliensek növekedésével exponenciálisan nő az ütközés, és látványos a lassulás. (és igy működtek a régi még 93 ohmos koax vezetékkel még bnc dugókkal szerelt arcnet hálózatok. Uhh de sokat szereltem még olyat.)Capsmannal a másolásnál a max átviteli sebességen osztoznak a kliensek! De itt a lassulás mondjuk közel lineáris a kliensekkel.
De kérem, aki ezt jobban tudja nálam, nem sértődöm meg, ha kijavit és alátámasztja pár linkkel.
-
bacus
őstag
válasz
Zwodkassy
#2770
üzenetére
valamit nagyon benézel. Még közös ssid sem kell, nemhogy közös csatorna - a jó zavarásért.
Naná, hogy kimarad ping. Egy jol beállitott capsmannál nincs vesztés!
Én több irodában, lakásban csináltam, nincs ma különbség, hogy otthonra minek, mindenki voipol (skype, whatsapp, messanger, rendes voip) 100 ft/hó egy vezetékes szám, egymást ingyen hivják, kinek nincs még otthon voip telefonja?Lakótelep, 80 ap, mindenki zavar mindenkit, vasbeton falak, naná, hogy több ap, kell a capsman! És mivel capsman vezérli, nem zavarják egymást közös csatornán, sőt!
-
bacus
őstag
válasz
Zwodkassy
#2102
üzenetére
egy kicsit zavaros még, hogy van nálad bekötve.
Ha mögötte vannak gépek, nat nélkül, hogy megy a net?
Ha mellette lenne, mondjuk csak úgy switchként beteszem egy hálózatba, akkor a mikin nem tudsz mit konfigolni, mert a redirect szabály jó lenne, de visszafele a valódi ntp szerver már nem a mikin keresztül küld választ, ezért nem fog menni.
lehet félre értettelek, de lehet egy egyszerü rajz nem ártana, hogy van nálad ez bekötve..
-
bacus
őstag
válasz
Zwodkassy
#200
üzenetére
jó gyors volt.
a burst lényege, hogy nem egyenletes eloszlást is enged. Ha azt mondom 10 kérés percenként, akkor az 6mp-ként egy. Ez az egyenletes eloszlás, ez elég ritkán van a való életben.*** A burst azt mondja, hogy mennyi ideig engedje túl és mennyivel a limitet.
Ez a queue-knél is nagyon fontos. Mert lekorlátozol valakit 32 kbitre, egy web oldalt nem tud betölteni normálisan, de ha a burstel azt mondod, hogy 5mp -re 50Mbit, majd utána 32 kbit, akkor a böngészés élmény megvan, csak letölteni nem tud.
*** sajnos aki nem tanult felsőoktatásban, valószínűleg nem igen találkozott az eloszlás (mint fogalom), eloszlás függvényekkel, pedig eléggé fontos pl. a "pro" konfigoláshoz..
Azért nem kell nagyon belemászni a matekba, elég megérteni, hogy ha megeszek 1 nap 1 zsemlét, az ritkán jelenti azt, hogy minden fél órában eszem egy falatot... -
bacus
őstag
válasz
Zwodkassy
#1391
üzenetére
Akinek több kell, az két dolgot tehet
-vagy vesz egy erősebb mikrotiket (a 3011 nem vészes)
-vagy vesz egy hardver natos soho routert és lemond a miki extráiról. Esetleg beteszi a mikrotiket és mint egy hálózatos szervert továbbra is használhatja, oszthat ip cimeket dhcpn, lehet vpn szerver, stb. Ekkor sincs dupla nat. A port forwardokat a hardver natos routerek is tudják, hairpin is mind alapból ott van. -
bacus
őstag
válasz
Zwodkassy
#1371
üzenetére
"Ugye itt már többször is szó volt arról, hogy a kis Miki routerek (pl. Rb951G sorozat) megtérdelnek a PPPoE kapcsolattól (nem túl gyosak ezen a téren :-)."
Ez azért relativ, ki mire mondja, hogy megtérdel, mert a 200Mbitet átviszi, az meg már nem rossz.
A hardver natos egyéb routerek custom firmwarrel is kb ennyit tudnak.
Aki meg ennél nagyobb sávszélességet akar, az ne egy kis soho eszközt vegyen.Én nemrégen cseréltem le az irodai routerem, most egy 3011-re, mert az előd 493G-t nem "csak" pppoe -vel tudtam megfektetni
-
bacus
őstag
válasz
Zwodkassy
#1077
üzenetére
"márpedig csak addig élsz"
egy dologról beszélünk, de a wds mesh nem csak és kizárólag wifin kommunikált, hiszen az útvonalakat ott tudtad súlyozni, akinek volt esze, az pont nem a wifinek adta az előnyt. Amennyiben csak wifi kapcsolatot használtál, akkor teljesen igazad van, de én wds meshez is mindig használtam egy gerincet.
Kiindulási alap: wifi roaming, wifi hatósugár növelés.
Szerintem ha az eszköz frekit is vált, (vagy más az ssid), stb, akkor nem lesz folyamatos a kapcsolat, azaz a váltásnál újból kap pl dhcp-n ip-t. Ez szerintem még capsmannel is igy van, mert maga az eszköz fogja kezdeményezni ezt, neki az a hálózat NEM ugyanaz. Bár ezt nem próbáltam.
Capsmanban azonos profilt használva, az én eszközeim úgy váltanak a cap-ok között, hogy nem szakad meg a kapcsolat, pl. ping folyamatos, stb. Sőt, nem is látszik több eszköznek sem windows, sem android alól.
/saját panel lakásomban rb493g wifi+capsmanager, mellette egy hap, és egy rb951, itt 80 wifit látok, ezért kellett minden szobába egy ap/És itt el is érkeztünk a hatósugár növeléshez, több cap használatával sokszoros terület lefedhető wififel az eszközök felé teljesen transparens módon, pl. egy ügyfelemnél budaörsi 3 szintes ház minden szintjén maxhoz közeli térerő még a spájzban is, whatsapp beszélgetés nem szakad meg, miközben a kertből lemegy a pincébe, majd a házon belül fel az emeletre. Mindeközben minden wifi eszköz szabályosan működik, max 100mW.
-
bacus
őstag
válasz
Zwodkassy
#1066
üzenetére
Miért kellene mást? Szerintem pont ez a lényege, hogy nem csak központilag van menedzselve, de teljesen transparensen vált, stb. Egy freki, naná, több ilyet is csináltam, remekül megy.
Régebben (capsman előtt) erre egy wds mesh hálót kellett csinálni, az is működött, de tény, hogy a capsman sokkal megbizhatóbb. A wds mesh is ugyanazon a frekvencián ment.
-
-
SimLockS
tag
válasz
Zwodkassy
#988
üzenetére
Jaja, ez is igaz...
Tehát ez mindenképpen szívás...A queue-nél megszoktam, hogy kismillió sor van. A tűzfalnál talán szerencsésebb, ha minél egyszerűbb. Próbálok rágyúrni az interfész alapú szabályozásra.
Az IP alapú szabályozás nem megfelelő, mert akkor elveszik az a minimális szimmetria is, ha egy helyen tíz, a másik AP-n meg 1 user lóg.
-
SimLockS
tag
válasz
Zwodkassy
#984
üzenetére
Ez igaz, de a szemléletesség kedvéért egy példa: van egy bérház, ahol van 50 lakás. WiFi hálót akar bele a tulajdonos, de csak 30-ba kell tenni, mert az egy tulaj kezében van. Régi ház, így egy lakás, egy AP módszerrel mindenhova kerül egy AP. Mindenhol azonos SSID kell, azonos IP tartomány is mehet. Azért 30-szoros tűzfal/szűrő stb elég húzós...
Amúgy igen, ott a virtuális interfész, a queue-ben ki is lehet választani, de erre nem úgy látszik, mintha illeszkedne a szabály. Még felmerült bennem, hogy interfészenként másik vlan legyen, picit egyszerűbbnek tűnik, aztán taggeletlenül átfolyatom a tűzfalon, de nem próbáltam még ki, igaz ez sem túl "elegáns"...
-
vgergo
aktív tag
válasz
Zwodkassy
#920
üzenetére
Valami más lesz, mert www tiltva van, csak ssh-t használok.
Mikrotik wiki akapján próbálom beállítani a hairpin-t, de valamit félreérthettem, mert nem sikerült.
Így próbáltam:
5 ;;; hairpin
chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24 dst-address=192.168.88.254
out-interface=bridge-local dst-port=80, 443 log=no log-prefix="" -
válasz
Zwodkassy
#902
üzenetére
6 chain=forward action=accept protocol=tcp dst-port=80 log=no
log-prefix="filter"7 chain=forward action=accept protocol=udp dst-port=80 log=no log-prefix=""
8 chain=forward action=accept protocol=tcp dst-port=443 log=no
log-prefix=""9 chain=forward action=accept protocol=udp dst-port=443 log=no
log-prefix=""Ezekre miért is van szükség? Én használok "port-forward"-ot, de ilyen szabályok nélkül, és műxik.
Üdv,
z -
#805
vitezlejszlo
őstag
Zwodkassy
#803
vitezlejszlo
őstag
válasz
Zwodkassy
#803
üzenetére
Az nem lehet, hogy túlságosan az antenna alatt álsz? Emlékeim szerint a rúdantennák nem szórnak nagyon maguk alá. Esetleg próbáld meg kicsit megdönteni az udvar fele ahol jobb vétel kell, vagy ha nem lehet, akkor próbáld ki távolabbról, hogy nem-e jobb a vétel úgy (mármint hogy "belemenj" a sugárzási profiljába)
-
bacus
őstag
válasz
Zwodkassy
#639
üzenetére
Nem, a tűzfal kiértékelése leáll az első illeszkedő szabálynál.
Nekem az az érzésem, hogy a fastrack kapcsolatok előre sorolódnak és ha lehet, akkor már nem is vesznek részt a tűzfal szabályokban. Ettől lesz fast.
Mivel megvan az illeszkedő szabály, ezért utána már nem értékelődik ki semmi, acceptot kapott ráadásnak.
-
bacus
őstag
válasz
Zwodkassy
#637
üzenetére
Mi a kérdés?
Gondolom amikor már a content vizsgálat menne, akkor az már rég related, established csomag, igy ignorálódik az a tűzfal szabály.
Bár a sorrend szerint nem kellene, de ha aktiv a fasttrack akkor az egy különleges "mangle" jelet kap utána, és gyanítom felborul a sorrend.
A 443-as portba eddig sem láthattál bele, zárd ki ha a 80-as port a dst, akkor nem lehet fasttrack.
-
#555
HwAdokVeszek
aktív tag
Zwodkassy
#554
HwAdokVeszek
aktív tag
válasz
Zwodkassy
#554
üzenetére
Egész hétvégén nekem működött, eddig semmi probléma nem volt.
Nem bonyolult beállítani.
ip/firewall/filter rules
Hozzá kell adni ezt:
chain: forward
connection state: established, related
action: fasttrack connectionKét másikat le kell tiltani aminek nekem ez volt a tartalma:
chain: forward
connection state: established
action: acceptchain: forward
connection state: related
action: acceptip/settings
Allow fast path -
-
HaZse
őstag
válasz
Zwodkassy
#439
üzenetére
Köszönöm ez a kimerítő választ. Tisztában vagyok vele, hogy ez nem igazán otthoni felhasználásra szánták, DE mivel számpmra megfelelő routert nem találtam, amit csak bedugok és megy. Kipróbáltam már sokféle routert, de az én igényemnek nem jöttek be.
Szerencsére időm van, mert itthon dolgozok és ez a fajta tanulás nem vesz el időt a családtól.
Mivel 1995-ben végeztem prog/mat szakon Szegeden, ezért a programozás nem áll tőlem messze. Igaz, a hálózati dolgok nekem újak, de szívesen tanulok és próbálom megoldani azokat a problémákat, amik nekem fontosak az itthoni hálózat működéséhez.
(Kaptam segítséget, amit áttanulmányoztam és az eddig beállított dolgokkal szerencsére tisztában vagyok).
A tanfolyamot majd lehet, hogy elvégzem, de ehhez jelenleg nincs meg az anyagi hátterem. (pl.: ház felujítás)
Ui.: Szerencsére nem gázoltál a lelkivilágomba.
-
HaZse
őstag
válasz
Zwodkassy
#406
üzenetére
Nem.
A mikrotikben a 192.168.0.x-es DHCP-s részt nem használnám, mert a jelenlegi routerem (D-Link) is ezen a tartományon van.
Hanem azt szeretném elérni, hogy az eth5-ös porton (IP: 192.168.1.x) lévő gépemen lévő internet menjen át a mikrotik WAN (eth1) portján, ami a D-Link routertől kapja az IP címet (192.168.0.x).
ítehát a WAN porton lévő IP címről (192.168.0.x) menjen át az internet az LAN (eth5)-ös portra.
Mert sajnos most hiába kapok IP cymet az eth1-en (DHCP client), a mikrotik menüjében nem tudok semmit se pingelni, ami az interneten van. (pl. 8.8.8.8)
-
bacus
őstag
válasz
Zwodkassy
#191
üzenetére
Pedig viszonylag egyszerű a gondolat menet. Ha tiltó listás ne engedd be,
2. Ha az ftp szerverről az adott válasz jön, engedd be adott ideig
3. Idő után rakd tiltó listára.A tűzfal szabályok kiértékelése az első illeszkedő szabályig tart, azaz
Pár próbálkozásig be kellene engedje a csomagokat. Én használom ezt, de
Nem teljesen így. Több lépcső után titulálom behatolónak,
Azaz a beengedő szabály előtt van egy add a gyanús listához, ha eddig nem volt az, majd
További próbálkozás után, beteszem a nagyon gyanús listába, de ennek
Már az is feltétele, hogy gyanúsnak kell legyen, stb. Majd a legvégén a tiltó
Listára teszem, de csak 1 napra, mert lehet , sőt majdnem valószínű, hogy másnap
Már nem az az ip címeRemekül működik, az ssh betörési kísérletek száma drasztikusan
Lecsökkent, kb az ezredére!, napi 100 ról, 10 naponta 1 re.. -
válasz
Zwodkassy
#153
üzenetére
Nos, nem mondtad hogy két privát alhálózatról van szó. Azt mondtad "2 (vagy akár több) hálózat között".
A képen pedig több hálózat látható.
Ha statikus, egyszerű megoldást akarsz, akkor az is megoldás amit te magad felvetettél, routing tábla szerkesztése.
Működik egyáltalán valakinél hibátlanul az ipv6? (mármint minden eszközén)
)
majd kipróbálom...
Új hozzászólás Aktív témák
ekkold- Tőzsde és gazdaság
- iPhone topik
- Audi, Cupra, Seat, Skoda, Volkswagen topik
- Xbox Series X|S
- Apple MacBook
- Counter-Strike: Global Offensive (CS:GO) / Counter-Strike 2 (CS2)
- Blood Message - Egy újabb akció-kalandjáték Kínából
- Elektromos autók - motorok
- Autós topik
- Budapest és környéke adok-veszek-beszélgetek
- További aktív témák...
- LG 45GR95QE - 45" Ívelt OLED / 2K WQHD / 240Hz 0.03ms / NVIDIA G-Sync / FreeSync Premium / HDMI 2.1
- Lejárt a gyártói garancia? Mi tovább támogatjuk az IT infrádat!
- 130+131+132+133 - Lenovo Legion Pro 7 (16IRX9H) - Intel Core i9-14900HX, RTX 4080
- 10% -tól elvihető.Országosan a legjobb BANKMENTES részletfizetési konstrukció! ACER PREDATOR HELIOS
- ÁRGARANCIA!Épített KomPhone i9 14900KF 32/64GB RAM RTX 5070Ti 16GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest