-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#25737
Zwodkassy
senior tag
lionhearted
#25736
válasz
lionhearted
#25736
üzenetére
Hmmm. Ezek szerint ezt benéztem.
Köszi az infót! -
#25736
lionhearted
őstag
Zwodkassy
#25735
-
válasz
ekkold
#25728
üzenetére
Pár éve találtam, kaptam ezt a megoldást:
/ip firewall address-list
add address=52.0.252.0/22 list=Aws-Viber-Media-List
add address=18.195.4.0/23 list=Aws-Viber-Media-List
add address=ads.viber.com list=Ads-Viber-List
add address=ads.aws.viber.com list=Ads-Viber-List
add address=ads-d.viber.com list=Ads-Viber-List
add address=api.mixpanel.com list=Ads-Viber-List
add address=s-imp.rmp.rakuten.com list=Ads-Viber-List
add address=s-bid.rmp.rakuten.com list=Ads-Viber-List
add address=api.taboola.com list=Ads-Viber-List
add address=ads.cdn.viber.com list=Ads-Viber-List
add address=locp-ir.viber.com list=Ads-Viber-List/ip dns static
add address=127.0.0.1 comment="Ads Viber" regexp="ads(\\-d|\\.aws)\?\\.viber\\.com"Én használgatom itthon a Viber-t Android telefonon és Windows alapon is.
Szerintem műxik mai napig szépen.
Több helyen is beraktam ezt a megoldást, ahová járok, és megszüntek a reklámok :-) -
ekkold
Topikgazda
A listát nem én készítettem, hanem így kaptam valakitől. Gondolom azért ilyen, hogy nem a teljes zónák vannak blokkolva, mert közben azért használni is kell tudni a vibert.
Az sem biztos , hogy meg akarom érteni, vagy tudni, hogy mit honnan tölt le, egyszerűbb ha valakinek esetleg van működő megoldása... -
Tamarel
senior tag
válasz
Zwodkassy
#25731
üzenetére
Csak a hosts formátum jó, a hosts compressed nem.
Igazából kettő közül válassz:
- normal: minden működik, az alkalmazások hibajelentő része is
- pro: lehetnek kisebb anomáliák (kézi whitelist-et igényelhet) és nem mennek a hibajelentésekNormal-t használom, mert dns alapon amúgy sem tud teljes értékű blokkolást csinálni. Végpontra meg ublock / adblockplus / adguard / kinek mi tetszik, elérhetőek mindenhol (iphone-on is).
-
-
mrots
tag
válasz
ekkold
#25728
üzenetére
"Mi hiányozhat a listából?"
Nem tudom, mert nem is hasznalok vibert, de ha hasznalnek es ki akarnam deriteni, akkor vagy megneznem a dns szerverem logjaban, hogy milyen dns keresek erkeztek a telefon IP cimerol (tudom, sok, de egy relative szuk idoablakban hamar vegigkeresheto), vagy, akar mikrotikon is csinalnek egy packet capture-t, a telefonom IP cimere es az altala hasznalt dns szerver ip cimere, 53-as porton. Wireshark megmutatja, milyen neveket akart feloldani a telefon, kozte lesz az, ahonnan a reklamok jonnek.Ami a listadbol meg feltunt, hogy meglehetosen nagy az ismetles olyan ertelemben, hogy sok domain van, aminek egy-egy rekordjat blokkoltad. Biztos van oka, hogy miert igy csinaltad, de peldaul nalam a reklamszures zona alapu, azaz peldaul a sajat dns szerverembe felveszem a rakuten.com zonat es beallitom a catchall-t a 127.0.0.1 -re. Igy teljesen mindegy, mi az FQDN amit a telefon fel akar oldani, a teljes zonaban akarmilyen hostnev a localhostot adja vissza. Igy a lista lenyegesen rovidebb, mivel csak olyan hostneveket kell egyesevel felvenni, ahol amugy magat a domaint nem akarom teljesen blokkolni, csak valoban egyes hostneveket. De az igy keletkezett lista nagysagrendekkel rovidebb, kezelhetobb, mintha tenyleg egyesevel kene mindent felvenni.
-
ekkold
Topikgazda
válasz
Tamarel
#25726
üzenetére
Viberhez használok egy ilyen listát:
viber-ad.txt
0.0.0.0 ads.viber.com
0.0.0.0 ads.aws.viber.com
0.0.0.0 ads-d.viber.com
0.0.0.0 s-bid.rmp.rakuten.com
0.0.0.0 ad.adverticum.net
0.0.0.0 rmp.rakuten.com
0.0.0.0 ams1-mobile.adnxs.com
0.0.0.0 api.mixpanel.com
0.0.0.0 fra1-ib.adnxs.com
0.0.0.0 mediation.adnxs.com
0.0.0.0 s-imp.rmp.rakuten.com
0.0.0.0 s-bid.rmp.rakuten.com
0.0.0.0 api.taboola.com
0.0.0.0 video.primis.tech
0.0.0.0 ads.stickyadstv.com
0.0.0.0 primis.tech
0.0.0.0 live-eu-am.primis.tech
0.0.0.0 live-us-ny.primis.tech
0.0.0.0 live.primis-amp.tech
0.0.0.0 live.primis.tech
0.0.0.0 primis-amp.tech
0.0.0.0 primis-d.openx.net
0.0.0.0 primisttd-d.openx.net
0.0.0.0 rtb.primis.tech
A PC-n futó viber verzióban ezzel megszűntek az idegesítő reklámok, viszont ugyanerre a routerre wifin kapcsolódó mobilon, ismét megjelentek reklámok. Mi hiányozhat a listából? Van valakinek esetleg frissebb blokkoló listája kimondottan viberhez? -
ekkold
Topikgazda
válasz
Zwodkassy
#25725
üzenetére
A fájl formátuma nem kompatibilis.
A hufilter.txt ilyen:
##.ad__main ##.adblokk ##.cikk_reklam ##.cikk-reklam ##.cikkreklam ##.google_hirdetes ##.google_hirdetesek ##.google-hirdetes ##.google-hirdetesek ##.googlehirdetes ##.googlehirdetesek ##.hirdetes_box ##.hirdetes_container ##.hirdetes_doboz ##.hirdetes-boxA mikrotik meg ilyet vár:
0.0.0.0 ad-assets.futurecdn.net
0.0.0.0 ck.getcookiestxt.com
0.0.0.0 eu1.clevertap-prod.com
0.0.0.0 wizhumpgyros.com
0.0.0.0 coccyxwickimp.com
0.0.0.0 webmail-who-int.000webhostapp.com
0.0.0.0 010sec.com
0.0.0.0 01mspmd5yalky8.com
0.0.0.0 0byv9mgbn0.com
0.0.0.0 ns6.0pendns.org
0.0.0.0 dns.0pengl.com
0.0.0.0 12724.xyz
0.0.0.0 21736.xyz
0.0.0.0 www.analytics.247sports.comEz utóbbi ennek a fájlnak egy részlete:
https://raw.githubusercontent.com/StevenBlack/hosts/master/hostsVagy konvertálni kell, vagy más forrást keresni....
Szerk: a filters.hufilter.hu/hufilter-hosts.txt formátuma jónak tűnik, mindjárt kipróbálom, de ezen relatíve kevés domain név van...
-
-
Játszogattam egy kicsit az ajánlot hufilter szűrőkkel.
Először a DNS Cache méretét 32 MB-ra állítottam:
Majd hozzáadtam a listákat:
Ennek ellenére a "Cache used" mérete nem nagyon változott
Ami még fura, ha engedélyezem ezeket a listákat, meg sem tudom nyitni a "prohardver.hu" , "hardverapro.hu" és a többi oldalakat
Valamit nem jól csinálok, csináltam? -
#25724
Tamarel
senior tag
lionhearted
#25722
Tamarel
senior tag
válasz
lionhearted
#25722
üzenetére
Költség miatt, gondolom.
Így is rengeteget tud: 4x4? mu-mimo (2x2 minden sávon), 320Mhz, mesh, passzív hűtés. -
#25723
Shkiz0
nagyúr
lionhearted
#25722
válasz
lionhearted
#25722
üzenetére
Nagyon remélem az 5009 is kap valami frissítést.
-
#25722
lionhearted
őstag
Tamarel
#25721
-
#25721
Tamarel
senior tag
lionhearted
#25720
Tamarel
senior tag
válasz
lionhearted
#25720
üzenetére
A képen 1.1 Ghz van, a leírásban up to 1.5 Ghz, a SoC leírásban meg 4x A53 1.5 Ghz + 1x NPU 1.5 Ghz.
Nekem jó lesz.
-
#25720
lionhearted
őstag
Tamarel
#25719
-
Tamarel
senior tag
válasz
Tamarel
#25714
üzenetére
Cpu elég nagy visszalépésnek tűnik ax3-hoz képest.
MikroTik hAP be³ Media, Triple band Wi-Fi 7, Quad-core 1.1 GHz ARM CPU, 5 x 2.5 Gigabit Ethernet, 2 GB RAM, RouterOS v7, License level 6Description
2.5 Gigabit Ethernet on all ports. That’s right – no more bottlenecks! Ultra-fast ISP uplink, NAS servers, workstations – you can have it all!
A modern home media center
With USB-C, two USB-A ports, and an microSD card slot, hAP be³ Media becomes the heart of your local media storage. Use flash storage for backups, photos, home surveillance footage or a private family cloud. Self-hosted password managers, documents and services, if you care about privacy and security. Store automation data and container workloads without relying on external servers. Everything stays fast, local, and fully under your control. Also, with the MikroTik BackToHome app and the improved File share functionality in WinBox, you can share large files without worrying about expired links, delays or privacy.With Wi-Fi 7, Bluetooth 5.4, and RouterOS v7, hAP be³ Media provides a solid foundation for modern smart homes. A built-in Thread radio and full container support allow users to deploy Matter-over-Thread home automation solutions that remain local, private, and fully customizable.
-
#25718
E.Kaufmann
veterán
lionhearted
#25717
E.Kaufmann
veterán
válasz
lionhearted
#25717
üzenetére
Taiwani származásról tudtam valamint utóbbi időben a Linux és OpenWrt alatt feljötttek. Nem csodálnám, ha utóbbiból is merítene a Mikrotik. Amúgy meg Wifi téren az IPQ-val se brillíroztak...
-
#25717
lionhearted
őstag
E.Kaufmann
#25716
válasz
E.Kaufmann
#25716
üzenetére
Hát, a kliens oldali MT wifikkel azért szokott lenni linux alatt... És hát kínai is.
-
#25716
E.Kaufmann
veterán
lionhearted
#25715
E.Kaufmann
veterán
válasz
lionhearted
#25715
üzenetére
Az baj?
-
#25715
lionhearted
őstag
Tamarel
#25714
-
#25713
lionhearted
őstag
Reggie0
#25710
-
-
aujjobba
addikt
A nyomtatom (Testver markaju) weboldalan fent van, hogy ha az 5ghz es a 2ghz halozatom SSID-je ugyanaz, akkor szamitsak fura mukodesre.
Meg is tortenik, ez a nyavalyatores konkretan percenkent valtogat az AP-k kozott, marmint konkretan lekapcsolodik, majd vissza, ujra DHCP stb.
A naplo tele volt vele. -
Lenry
félisten
más, amin viszont az én agyérgörcsöm múlt ma: különböző okokból nulláról újrakonfigoltam a központi Mikrotikemet. a napelemem invertere az istenért nem volt hajlandó visszamászni a wifire. egy órát küszködtem, mire eszembe jutott, hogy nem-e esetleg az a baja, hogy az új CAPsMAN konfigban csak az n-es szabványt engedélyeztem a 2.4-es sávra. visszakapcsoltam a b és g-t is, et voilà! felmászott rá.
az egy dolog, hogy egy 2023-ban gyártott eszköznek ismeretlenek az ilyen friss újdonságok, mint a 2008 óta létező 802.11n, és hogy a gyártó meg a kézikönyv nem fárasztja a tisztelt felhasználót ilyen pimf információkkal, de felmerült a kérdés: ha egyszer rászánom a valutát, hogy ax vagy neadjisten be eszközre cserélek itthon mindent, akkor mi lesz ezzel a csodás inverterrel?
meg tudom-e nézni valahol, hogy milyen szabvány szerint csatlakozik most? -
#25698
aujjobba
addikt
E.Kaufmann
#25696
aujjobba
addikt
válasz
E.Kaufmann
#25696
üzenetére
A DFS dolog nem azt jelenti, hogy befoglalja ugyan a savot, de idonkent korbenez es atmegy mashova ha zavarast okozna?
Nalam jelenleg is az 52-es DFS savon van a wifi.
"lehetővé teszi a Wi-Fi eszközök számára, hogy a radarok által használt frekvenciákat is használhassák, de csak úgy, hogy nem zavarják a radarokat; az AP-k (Access Pointok) "hallgatják" a frekvenciát, és ha radart észlelnek, el kell mozdulniuk"
-
#25697
lionhearted
őstag
Apollyon
#25692
-
#25696
E.Kaufmann
veterán
MasterMark
#25695
E.Kaufmann
veterán
válasz
MasterMark
#25695
üzenetére
Na ja, vannak országok, ahol pl egyes frekvenciákat csak "indoor use" esetén engednek (gondolom Mikrotiknél ezért is van ilyen beállítás) és ott is csökkentett energiával.
-
-
#25692
Apollyon
Korrektor
MasterMark
#25688
Apollyon
Korrektor
válasz
MasterMark
#25688
üzenetére
1st world problem, komolyan...
Ok, budapestiként ne legyenek erőltetve a tiltott frekvenciák. De ahol (tudtommal) ő lakik, tényleg semmi sincsen, reptér sem, max. kilométerekkel a feje fölött repülnek arra. A troposzférában és a sztratoszférában meg aztán biztos nagyon fogja zavarni a repülőket az ő kis mikrotik routere...Ha meg az időjárási radarokat zavarja, amerre a madár se jár, majd bemérik és kimennek. De ne csináljunk már úgy mintha életek múlnának rajta.
-
válasz
Tamarel
#25686
üzenetére
"A dns listát elvileg sorrendben próbálja használni"
Ennyi infót találtam összesen én is.
De hogy melyik az éppen aktuálisan használt, azt már nem tudom megnézni ... legalábbis én."DoH-ból csak egyet tudsz megadni"
Ja, ezt láttam a leírásban is.
Bár jó lenne tesztelni (tudni) ezt is, hogy tényleg ezt használja-e. -
#25690
Lenry
félisten
MasterMark
#25688
Lenry
félisten
válasz
MasterMark
#25688
üzenetére
ok, átállítom, ne rajtam múljon, hogy milyen idő lesz
-
#25689
kammler
senior tag
lionhearted
#25687
kammler
senior tag
válasz
lionhearted
#25687
üzenetére
Esetleg egy Korda Gyuri ha elénekli a reptért, de az se valószínű, hogy ott terem, meg csak három percig tart, és amúgy se zavarná.
-
#25687
lionhearted
őstag
Lenry
#25684
-
Tamarel
senior tag
válasz
Zwodkassy
#25683
üzenetére
Használhatod nyugodtan url-el. A legelején még flash-re mentette, de javították és teljesen memóriában történik minden. Indulás után tölti le és naponta legalább 1x.
Cache méretet kell csak megnövelni előtte (32 vagy 64Mb, ha van elég szabad ram).
DoH-ból csak egyet tudsz megadni.
A dns listát elvileg sorrendben próbálja használni. -
#25684
Lenry
félisten
MasterMark
#25682
Lenry
félisten
válasz
MasterMark
#25682
üzenetére
őszintén valószínűtlennek tartom, hogy a noname falucskámban a préri közepén zavarni képes bármit az a wifim, ami 3 házzal odébb már nem fogható
-
válasz
Tamarel
#25679
üzenetére
Huh! Elsőre kicsit komplexnek tűnik.
Ha mondjuk a hufilter.hu-t szeretném használni, letöltögetem a listákat (hufilter.txt , hufilter-abp.txt , hufilter-ublock.txt , stb.), és egyesével megetetem a Miki-vel?
Persze úgy látom van hozzájuk hivatkozás is(pl.: hufilter.txt: https://filters.hufilter.hu/hufilter.txt), így akár azt is megadhatnám, igaz?
Botsi a tapogatózó kérdésekért, de még nem foglalkoztam a gyakorlatban ezzel a témával, csak hébe-hóba olvasgattam róla. -
-
#25671
stopperos
senior tag
BigBlackDog
#25658
stopperos
senior tag
válasz
BigBlackDog
#25658
üzenetére
Én itthon L009-et használok hasonló Telekomos internet mellett. 5 VLAN, sok wireguard. A 8 rezes port miatt esett erre a választás, mert így akkor nem kell switch. A wifi szórást sok mindennel csinálom a kísérletek miatt (cAP ac, cAP ax, wAP ac, wAP ax, hAP ac, más gyártók cuccai), most épp egy wAP ac van fenn. 3-5 SSID-val (de kettő van napi használatban csak).
A két AP megoldást javaslom. Belső forgalomra (VLAN-VLAN) elegendő nekem az L009.Ha kevesebb vezetékes eszközöd lenne, akkor javasoltam volna még a hAP ax2-t.
-
#25667
lionhearted
őstag
Vektor77
#25661
-
HUNited
őstag
Sziasztok!
Rákerestem a DoH szóra, de jó fél éves az utolsó post a témában, így talán nem kapom meg a szokásos olvass vissza választ.
Az van hogy a routerem DoH-ot használ, mégpedig Quad9-et, ami szerintem a legjobb választás. Ők viszont ma átálltak a HTTP/2 módra, amit bár hónapok óta tudunk, és kb. minden normálisabb DNS szolgáltató már használ, még mindig nem implementált ezek szerint a mikrotik. Elég sokáig nyomoztam mi az oka hogy nincs internetem... Mivel a router nem Fallback-ol ha 400-as hibát kap, tehát még a hibakezelés sincs normálisan megoldva.
Van esetleg valakinek megoldása arra, hogy tudjam továbbra is használni a Quad9 DoH DNS szolgáltatását, vagy a tyúk miatt kénytelen vagyok átváltani a CloudFlare szolgáltatására (bár szerintem az is hamarosan leállítja az ősöreg HTTP/1.1 szolgáltatását)?
Köszi: Sanyi.
-
#25662
E.Kaufmann
veterán
E.Kaufmann
veterán
Most néztem egy vadi új WAP LTE kit-et, hogyaszondja ethernet interface queue alapbeálítása: fq-codel-ethernet-default...
-
Vektor77
tag
válasz
lionhearted
#25660
üzenetére
Igaz AX de csak 2,4GHz az L009!
-
#25660
lionhearted
őstag
BigBlackDog
#25658
válasz
BigBlackDog
#25658
üzenetére
A leírtakat tudná, én a kollégával ellentétben, ha elfér az antenna, azt választanám a kis felár ellenében plusz funkció. Használat közben nem levehető, akkor se ha konkrétan a wifi ki van kapcsolva.
Viszont! Tudni kell, hogy ez a router nem alkalmas igazából már a gigabit netre se, feljebb meg nagyon nem. Ha nem újonnan nézed, itt a hardveraprón lehet kifogni árban közel RB4011 vagy RB5009, ezek a net bővítéssel se fogynak el, mindamellett hogy minden leírtat tudnak, wifi nélkül.
-
#25659
vmk
tag
BigBlackDog
#25658
vmk
tag
válasz
BigBlackDog
#25658
üzenetére
Szerintem az L009 teljesen jó a leírtakra, van elég portja is, de én a wifi nélkülit venném és hozzá 2 AP-t, ahogy javasolták is. Abból viszont személy szerint a Unifi-t választanék.
-
#25658
BigBlackDog
veterán
BigBlackDog
veterán
Sziasztok!
Kezdő számára, otthoni felhasználásra milyen router lenne ajánlott a Mikrotik kínálatából? Az alábbi paraméterek, igények adottak:
- Telekomos, 250 Mbit/sec sebességű internetkapcsolathoz lenne
- 5-6 vezetékes végpontot kiszolgál legalább 1 Gbps-os hálózaton
- 5-10 vezetéknélküli kliens lenne egy időben legfeljebb rajta
- 1 db 30-cm-es, 1 db 12 cm-es téglafalon és egy darab betonfödémen kéne átérnie a wifi jelnek (a másik topikban kapott infók szerint a födém miatt valószínűleg két AP, vagy mesh kell)
- Két -szeparált- wifi hálózat kialakításának lehetősége, illetve VLANok kezelésének képessége
- Általános felhasználás lenne (internet, streaming, belső hálón NASra backup).Árban nem írnék hard limitet, de feleslegesen magas sávba nem mennék.
Előre is köszönöm szépen!Elsőre a L009UiGS-2HaxD-IN típuson akadt meg a szemem. Ezzel mennyire van tapasztalat, tudja a felsorolt igényeket? Ahogy látom, az 5 GHz hiányzik ebből.
-
Van mac-address és radio-mac
/caps-man interface
add arp=enabled channel=Ch07-2442/20 configuration=Cfg-Kozos-2n disabled=no mac-address=74:4D:28:5C:74:20 master-interface=none name=Cap3-Kozos-2n radio-mac=74:4D:28:5C:74:FD radio-name=""
add arp=enabled configuration=Cfg-Vendeg-2n disabled=no mac-address=74:4D:28:5C:74:21 master-interface=Cap3-Kozos-2n name=Cap3-Vendeg-2n radio-mac=00:00:00:00:00:00 radio-name=""add arp=enabled configuration=Cfg-Teszt-2n disabled=no mac-address=74:4D:28:5C:74:22 master-interface=Cap3-Kozos-2n name=Cap3-Test-2n radio-mac=00:00:00:00:00:00 radio-name=""
mac-address : a CAP virtuális MAC címe
radio-mac : a CAP-nak használt eszközben lévő fizikai (wlan) interfész MAC címe. Ugyanezt adod meg a "wireless / caps-man / provisioning" alatt is.
Legalábbis én így csináltam, ugyanis minden egyes fizikai eszköznek csináltam külön provisoning-et. Ctrl+C -> Ctrl+V majd 1-2 dolog átír, módosít :-) -
Botsánat ha nem voltam egyértelmű!
Én a régi konfigomból néztem ki amiket írtam, és ott még Wireless Capsman volt.
Egyébként elég sokáig ROS 7 alatt is használtam.
Sőt! A régi konfig még ott van a Capsman eszközben most is, miközben már fut Wifi Capsman is :-)
Egy időben futott egymás mellett a kettő :-) -
bacus
őstag
válasz
Zwodkassy
#25651
üzenetére
mivel ezek a cap-ok ac3-k, azaz nem ax-es, a wifi alatt nincs interface, csak a wireless/wireless alatt. Ez gyakorlatilag ugyanaz, mint a régi 6-osban volt, sőt 1 éve még ezek a cap-ok is ros6-on voltak.
Itt egy bridge van és vlanok, nem több bridge.
Viszont a mac address-ek ugyanazok, szóval lehet ebben valami, na még futok vele egy kört
, csak a magam kedvéért, mert ezt még el tudom képzelni, hogy azért nem csatlakozik ide oda, mert mac alapon neki ugyanaz.. és amikor nem ugyanarra a cap-ra csatlakozik fel, akkor felengedi.. erre nem gondoltam.ez a radio mac addresse, vagy mindkét mac ugyanaz? itt a slavek radio macje mindnél 00:00:00:00:00:00, lehet itt a hiba.., minimum kell ide is valamit adni.
-
#25653
lionhearted
őstag
bacus
#25650
-
válasz
Zwodkassy
#25651
üzenetére
Annyit látom, és emléxem is, én statikus CAP interfészeket használtam :
/caps-man/provisioning> set action=none
Gyakorlatilag manuálisan felvettem az összes CAP-ot a CAPsMAN alatt.
Még egy szerintem lényeges dolog : minden statikus CAP interfésznek egyedi MAC címet adtam.
2.4 GHz esetén :
- a master xx:xx:xx:xx:xx:20
- az első slave xx:xx:xx:xx:xx:21
- a második slave xx:xx:xx:xx:xx:22
5.0 GHz esetén :
- a master xx:xx:xx:xx:xx:50
- az első slave xx:xx:xx:xx:xx:51
- a második slave xx:xx:xx:xx:xx:52Az xx:xx:xx:xx:xx rész mindig az eredeti MAC cím eleje volt, csak a végét variáltam.
Emlékeim szerint, ezt még sok-sok (~10) éve, talán Normis ajánlotta a hivatalos MikroTik fórum oldalon. -
Szia!
Én már az általam kezelt pár helyen átálltam a WiFi CapsMan-re, így a régiről csak emlékeim vannak. Azt tudom hogy például itthon is volt egy időszak, amikor 1 master és 2 slave volt, mindhárom eltérő IPv4 subnet-ben. Anno ezt én még külön-külön bridge interfésszel oldottam meg. Ma már inkább egy Bridge-et, és az alatti Vlan-okat használom.
Megpróbálok előkeresni ilyen régi konfig mentést. -
bacus
őstag
Capsman-al lenne némi problémám, amit nem igen értek.
Adott egy nagy épület, 18 db CAP, mind hap ac3 ros 7.20.4-en, mig maga a capsman az még egy 6.49.19 ros RB1100AHx4-en van.
A 2,4 Ghz-es sávon mindenhol volt egy slave interface, tökéletesen ment az elmúlt években, azonban úgy adódott, hogy még két slave interfacere lett volna szükség.
(külön akarták választani az okos vezérléseket, kamerák, klimak, érzékelők, egyéb okos aljzatok, stb az eddigi publikus wifitől, mert a /24-es tartomány nem elegendő)saját datapath, saját security, saját SSID, de egyébként mind a három slave konfigja ugyanaz. Capsman forwarding van, mind a megfelelő VLAN-ba kerül.
A beállítás után azonban néha nem lehet kapcsolódni valamelyik SSID-hez. Először azt mondták csak iphone-al van probléma, de kimentem és android illetve a notebookot sem engedi csatlakozni. Aztán eltelik pár perc, telefonon elfelejtetetm a hálózatot, megint próba, akkor felenged, de onnantól egy másik SSID nem megy. Ugyanakkor egy másik CAP-on egy már felcsatlakozott eszköz továbbra is működik, a probléma, mintha az lenne, hogy egyszerre egy cap.on nem lehet aktiv 1 slave-nél több. A master if-en lévő SSID mindig felenged.
Van valami olyan limitáció, amit én nem ismerek? Valami olyan rémlik, hogy 32 slava Wifi lehet, ebben a konfigban 3 van, ez messze nem kéne problémát okozzon.
Látszólag minden rendben van, capsmanban látom a capokat, azok slavejeit, látszólag minden működik, de mégsem. Letiltottam két slave konfigot, most /23-as tartomány lett, atom stabilan működik, de ez meglepett, illetve nem így szerették volna.Vajon az új AX-es capsmannál is lehet ilyen probléma? Eddig mindenhol csak 2 SSID volt egy wifi interfacen, egy master és egy slave, soha nem volt ilyen probléma, hogy nem enged fel eszközöket.
Volt már valakinek ilyesmi problémája? Van rá megoldás?
A capsman upgrade-t eddig nem mertem megejteni, mert itt 3 wan is van, aminél nem tudom, hogy az upgrade a megfelelő mangle szabályaim jól alakítja át, a 7esben jól hozza e létre a routing táblákat, stb. Erre is érdekelne tapasztalat, ha egy load balancinge-os dual wan ros7 upgrade jó lett e.
-
Sziasztok!
Egy új épületbe bejövő Telekom 2 Gbps netet kellene egy iroda és pár lakás számára szétosztani. Szerintetek erre alkalmas lenne egy MikroTik RB5009UG+S+IN router, amivel az egyes helyeket elkülönült VLAN-okba szerveznénk, és a helyenként külön switchek osztanák tovább a netet kábellel vagy UniFi AP-k felé.
Előre is köszönöm!
-
aujjobba
addikt
válasz
Tamarel
#25641
üzenetére
Nalam 7.20.4 van, nem frissitettem, de ilyen internet elerhetoseg reklamacioval itt is talalkoztam egy Oneplus keszuleknel.
Akarmit kapcsolgattam azt mondta nincs internet, nem is toltott be semmi rajta, mikozben az osszes tobbi eszkoz vidaman netezett.
Restartoltam a telefont es helyrejott :ShAP ax^2 es cAPax van itthon.
-
#25643
Tamarel
senior tag
lionhearted
#25642
Tamarel
senior tag
válasz
lionhearted
#25642
üzenetére
2 ax3, 2 helyszínen. Mindkettő telekom, de vpn-en belül és kívül is jelentkezett. Vegyesen iphone és android.
-
#25642
lionhearted
őstag
Tamarel
#25641
-
Tamarel
senior tag
Wifi anomáliák miatt vissza kellett állnom 7.20.4-es szoftverre. Hullámzó sebesség, egyik eszköz reklamál internet elérhetőségre, míg a másikon szuper gyors minden.
Changelog alapján nem tudom mi lehet. Talán az új route / system javításokat nem sikerült a régi kódba beletenni.
-
ekkold
Topikgazda
válasz
yodee_
#25637
üzenetére
Amit nem látok a hozzászólásodban, hogy: ez megoldotta a problémát?
A fasttracknál kizárni kellene a wg címet tehát ebből: dst-address=10.13.1.0/24 szerintem egy !-jel hiányzik nem? Tehát:dst-address=!10.13.1.0/24 Ill. talán ugyanez forráscímre is: src-address=!10.13.1.0/24 -
yodee_
őstag
válasz
ekkold
#25635
üzenetére
No kérem. X86 mikrotik routerben:
WG interface:
[yodee@MikroTik_x86_Yodee] /interface/wireguard> print where comment="Android interface"Flags: X - disabled; R - running3 R ;;; Android interfacename="wireguard4" mtu=1280 listen-port=9501 private-key="********************************************"public-key="********************************************"WG peer:
[yodee@MikroTik_x86_Yodee] /interface/wireguard/peers> print where comment="Android interface"Columns: INTERFACE, PUBLIC-KEY, ENDPOINT-PORT, ALLOWED-ADDRESS# INTERFACE PUBLIC-KEY ENDPOINT-PORT ALLOWED-ADDRESS;;; Android interface3 wireguard4 ******************************************** 9501 10.13.248.0/2010.13.0.0/20192.168.0.0/20A telefonos konfig:
Tűzfal mangle:
[yodee@MikroTik_x86_Yodee] /ip/firewall/mangle> print where comment="WG MSS clamp"Flags: X - disabled, I - invalid; D - dynamic4 ;;; WG MSS clampchain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp out-interface=wireguard4 log=no log-prefix=""Fasttrack:
[yodee@MikroTik_x86_Yodee] > /ip firewall filter print where action~"fasttrack"Flags: X - disabled, I - invalid; D - dynamic0 chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related dst-address=10.13.1.0/24 log=no log-prefix=""Kapcsolat szakadást nem tapasztaltam sosem, így a 4. lépést hanyagolhatom? Preresistant keepalive mindegyik NAT mögötti kliensben aktív.
-
kammler
senior tag
válasz
ekkold
#25635
üzenetére
chain=forward action=fasttrack-connection
nekem van ilyen, de disabledre van állítva tűzfalban
yettel 5g amúgy 1 gigabit sebesség le, rb5009-en 32% proci terhelés, meg 110 mbit sebesség androidon. 1412 MTU volt, most átírtam. Mondjuk úgy rémlik előtte is volt ennyi. Igazából nekem ok, csak mondom ránézek
-
ekkold
Topikgazda
válasz
yodee_
#25631
üzenetére
További beálítási tanácsok:
1, WireGuard interfész MTU csökkentése
RouterOS terminálban:/interface wireguard set [find name=wg0] mtu=12802, TCP MSS clamping – kötelező mobilnál
Ez RACs után is működik:/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu \ protocol=tcp tcp-flags=syn out-interface=wg0 comment="WG MSS clamp"3. FastTrack kizárás WG-re
Ha FastTrack aktív, az hazavágja a WG forgalmat.
Ellenőrzés:/ip firewall filter print where action~"fasttrack"
Ha ilyet látsz:chain=forward action=fasttrack-connection
Akkor tegyél elé egy exclude szabályt:/ip firewall filter add chain=forward action=accept in-interface=wg0 comment="Accept WG traffic"
vagy FastTrack módosítása interface alapra.4. UDP timeout növelés
Mobilnál kapcsolateldobás ellen:/ip firewall connection tracking set udp-timeout=30s udp-stream-timeout=3m
Android WireGuard kliens – ajánlott beállítások
Android WG app-ban (wg0.conf-ban):
1. MTU megadása
Add hozzá az [Interface] részhez:
MTU = 1280
Ha tesztelni akarsz:
MTU = 1320
2. PersistentKeepalive kötelező mobilnál
A [Peer] részhez:
PersistentKeepalive = 25
Ez:
életben tartja a NAT-ot
csökkenti az LTE random megakadást -
ekkold
Topikgazda
válasz
yodee_
#25631
üzenetére
Megkérzdeztem a chatGPT-től, azt mondja 1350 vagy kisebb MTU kellhet, mert a mobilhálózat alacsonyabb MTU-val működik.
Mobilhálózati MTU kisebb
LTE/5G-n jellemző:
TechnológiaTipikus MTUEthernet1500PPPoE1492LTE / 5G maghálózat1428–1460WireGuard overhead-60 byte
Ez azt jelenti, hogy a valódi átmenő MTU gyakran 1350 körülire esik le.
Ha nincs jól beállítva:
fragmentáció történik
vagy a csomagokat a hálózat eldobja
TCP újraküld → brutális lassulás
Ez tipikusan:
CIFS/SMB esetén nagyon érzékeny
DLNA (HTTP stream) is megakad
iperf kevésbé érzékeny rá, mert más blokkmérettel dolgozik
2. Mobil szolgáltatók forgalomkezelése
Yettel és Telekom LTE core hálózaton gyakran van:
DPI (Deep Packet Inspection)
TCP flow kontroll
nagy latency + jitter
A SMB nagyon nem tolerálja a zajos kapcsolatot, míg az iperf mesterségesen “szép” forgalmat generál.
3. WireGuard tipikus MTU csapda
Ha WireGuard alapértelmezett MTU-val megy (1420 vagy 1500), akkor LTE/5G irányban:
✅ Handshake OK
❌ Normál alkalmazás szív
Ez 100%-ban passzol a tüneteidhez.
-
#25632
Reggie0
félisten
lionhearted
#25630
Reggie0
félisten
válasz
lionhearted
#25630
üzenetére
Nem mondtam h kell hanem kiproblatja mint faek, legegyszerubb, legbiztosabb modositaskent. Abbol kiderul, hogy tenyleg ez-e a gond.
Amugy meg lehetne packet tracelni is a talalgatas es probalkozas helyett.
-
#25631
yodee_
őstag
lionhearted
#25628
yodee_
őstag
válasz
lionhearted
#25628
üzenetére
Köszönöm, utána olvasok a dolgoknak.
-
#25630
lionhearted
őstag
Reggie0
#25629
-
Reggie0
félisten
válasz
yodee_
#25616
üzenetére
De, de nagyjabol par szazalek az elteres, annyit be lehet vallalni. Igazabol kezdetnek probald ki, hogy megoldja-e a problemat. Ha nem, akkor tudod, hogy masfele kell keresni, nem a nas MTU okozza a problemat, sot lehet nem is a packetmerethez van koze, hanem valami teljesen mas dolog okozza a lassulast. Ha igen, akkor meg raersz gondolkodni, hogy mit lehetne meg optimalizalni a halozatodon.
-
#25628
lionhearted
őstag
yodee_
#25627
válasz
yodee_
#25627
üzenetére
Gyakorlatilag bármit, ami illeszkedik a workflowba, és távoli (internet távoli) elérésre terveztek.
Anélkül, hogy vitát nyitnék arról, hogy a publikus felhőszolgáltatókat ide behoznám, maradhatunk self-hosted vonalon is: NextCloud (Webdav, natív kliens, HTTPS), OwnCloud Scale (igen, újraírták), S3 kompatibilis megoldások (nem akarom a minio döntéseit sem idehozni, szóval általánosítok kicsit), Resilio Sync (közös tárterületről syncel), Syncthing (hasonló), Seafile.. a lényeg, hogy megtaláld azt a folyamatot, ami kényelmes és hatékony a továbbiakban. És persze próbáltam a free vonalon is mozogni, mert vannak bőven fizetős verziók is.
Egyébként érdekes fejlemény az SMB over QUIC, de még bőven a sütőben van, annyira friss.
DLNA-t pedig a mediaserverek váltják: Kodi, Jellfyfin csak a legismertebbek (és opensource kitétellel).
-
#25627
yodee_
őstag
lionhearted
#25626
yodee_
őstag
válasz
lionhearted
#25626
üzenetére
Meghallgatok tanácsot szívesen. Alapvetően egy konkrét mappa van amit minden kliens elér, dolgozik benne. Ezt samba-n kívül mivel tudnám kivitelezni? A dlna nem létfontosságú, csak ha már van rá lehetőség használnám.
-
#25626
lionhearted
őstag
yodee_
#25620
-
yodee_
őstag
válasz
ekkold
#25623
üzenetére
Tamarel: Nem csináltam semmit, telefonon kedvencekben el van mentve a média szerver és amikor aktív a wg kapcsolat akkor elérem. Csak a mobil kliens felől lassú a samba, optika mögül rendben van.
ekkold: Amikor próbálkoztam MTU csökkentéssel akkor igen, minkét oldalon csökkentettem. Egy ilyen ollóztam össze:
chain=forward action=change-mss new-mss=1380 passthrough=no tcp-flags=synprotocol=tcp out-interface=wireguard14 tcp-mss=1381-65535 log=nolog-prefix="" -
ekkold
Topikgazda
válasz
yodee_
#25620
üzenetére
A wireguard MTU-t mindkét oldalon egyformán lecsökkentetted? Tehát a mikrotik szerver oldalon is, és a mobilos kliens wg konfigjában is?
Próbáltál esetleg a mikrotikben, a wg intefész felé csomagméretet csökkenteni?
Valahogy így:
/ip firewall mangle
add action=change-mss chain=forward comment="1350 VPN csomagmeret 10.0.8.0" \
dst-address=10.0.8.0/8 new-mss=1350 passthrough=yes protocol=tcp \
src-address=192.168.23.0/24 tcp-flags=syn tcp-mss=!0-1350 -
#25620
yodee_
őstag
lionhearted
#25619
yodee_
őstag
válasz
lionhearted
#25619
üzenetére
Oké akkor megpróbálom pontosabban vázolni. Tehát. A WG szerver a saját x86 alapú L4-es MikroTik eszközöm, egy Telekom-os 2000/1000 optikai internettel, PPPOE kapcsolaton, publikus IP-vel. Ezen a szerveren lóg az ubuntu alapó szerver, ami tartalmazza a korábban felsorolt szolgáltatásokat (minidlna, ftp, samba, web. A kliensek a következőek:
- 1. Mikrotik hAP ac2 + Telekom optika 1000/1000 PPPOE kapcsolaton, az ac2-n lógó eszközök az ac2 maximális sebességével érik el azu ubuntu szolgáltatásait.
- 2. Mikrotik Chateau LTE18 + Yettel Otthonnet LTE frekvencián. A rajta lógó eszközök iperf-el a hálózat maximális tempóját mutatják (100-150 mbps) viszont a minidlna stream megakad, samba másolás nagyon maximum 600KB/s tempóval megy.
- 3. BananaPi BPI-R3 mini + Telekom MultiSIM LTE frekvencián. A rajta lógó eszközök iperf-el a hálózat maximális tempóját mutatják (50-80 mbps) viszont a minidlna stream megakad, samba másolás nagyon maximum 600KB/s tempóval megy.
- 4. Honor Magic 6 Pro + Yettel SIM 5G/LTE frekvencián android klienssel iperf-el a hálózat maximális tempóját mutatják (50-80 mbps) viszont a minidlna stream megakad, samba másolás nagyon maximum 600KB/s tempóval megy.
-
#25619
lionhearted
őstag
yodee_
#25618
válasz
yodee_
#25618
üzenetére
Látod, még mindig nem ismerem a releváns útvonalat. Biztos ki kéne találnom, meg ismernem a korábbi 2 évből, hogy mi van nálad.
Próbálkozom WG optimalizálással, de elfogytak az öteleteim. A saját kapcsolaton T-Home optika 2000/1000. A kérdéses interface mögött mobilinternetes mikrotik/openwrt eszköz van.
Ezt írtad. Ebben melyik a "szerver"? A telekom eszköze, csak nem... a mobilnetes Tik egyszerre vezetékes T-s Tik? Vagy ezek a külsős eszközök, de mi a központ? Hogyan van beállítva? Mit mivel hasonlítasz? Az a 1/1 mögötti ac2 szintúgy egy külsős eszköz ugyanerre a központra, csak az gyors?
Miért csoda, hogy a mobilnet nem gigabites?
Megannyi kérdés. -
#25618
yodee_
őstag
lionhearted
#25617
yodee_
őstag
válasz
lionhearted
#25617
üzenetére
Van egy szerverem ubuntuval. Ezen fut minidlna, ftp, samba, web szereverek. Ezeket érném el távolról. És csak a mobil oldalon vannak problémák.
-
#25617
lionhearted
őstag
yodee_
#25616
-
yodee_
őstag
-
ekkold
Topikgazda
válasz
yodee_
#25608
üzenetére
Ami a leírásodból látszik, hogy az egyik esetben mikrotik-mikrotik, a másik esetben mikrotik-openwrt közötti kapcsolat van. Utóbbi esetben esetleg valamilyen kompatibilitás gond?
Másmilyen VPN-el (pl. l2tp) ki tudod próbálni, akkor is alacsony a sebesség? UDP portot is probáltad lecserélni? -
yodee_
őstag
Sziasztok!
Próbálkozom WG optimalizálással, de elfogytak az öteleteim. A saját kapcsolaton T-Home optika 2000/1000. A kérdéses interface mögött mobilinternetes mikrotik/openwrt eszköz van. Az eszközök között iperf3-al a lefedettségtől függően megvan a megfelelő sebesség (10-50mbps), viszont SMB, FTP, miniDLNA streaming esetén használhatatlanul lassú a kapcsolat. Próbálkoztam a WG interface-ek MTU-jának csökkentésével de nincs hatása a sebességre. Mit tudok még kipróbálni? A másik interface esetén, ahol szintén optika van (T-Home 1000/1000, MikroTik hAP ac2) WG-n keresztül 250-300 mbit/s sebesség van minden extra beállítás nélkül. Ha valakinek van ötlete szívesen fogadom
Nagyon köszönöm.
-
#25607
lionhearted
őstag
aujjobba
#25606
válasz
aujjobba
#25606
üzenetére
Ez így van, Debian alapú, nftablesre épült tűzfal megoldásokkal. De változtattak a kiadási megoldásán legalább is a community vonalon. És nem is találtam még aktívabb magyar közösséget rá, redditen azért vannak rá threadek.
Ez az az OS, amivel a korábban emlegetett fórumtársunk ~ 7/7 feletti eredményt ért el PPPoE felett, speedtest-clivel... Talán egy TCP szálon értve, ha az a default.De talán pont a Linux alap megközelítés miatt hasonló a tűzfal a Mikrotikesre.
-
ekkold
Topikgazda
-Attól is függ milyen protokollal megy a másolás. Lehet, hogy valamelyik eszköz cache-el, vagy tömörít az adatátvitelben... A wg nem szokásos szerver-kliens kapcsolat, egyenrangú a két oldal, ebbe csak az szól bele, ha pl. az egyik oldal NAT-olt interneten lóg... Ja meg persze a köztes hálózaton is múlik, hogy mennyi fér át a gyakorlatban.
A hap ac3 valószínűleg nem tud ekkora sebességet wg-al, tehát biztos van "valami trükk" a dologban. -
Lenry
félisten
érdekes adalék itt a fenti témához.
épp két gépem közt másolok.
A gép -> hap ac3 -> wireguard -> CCR1009 -> B gép útvonalon.B gépen belépve:
rsync -avP Agépről ideparanccsal
a sebesség olyan 150-200 Mbit volt, a hap ac3 60-70%-on pörgöttmost ugyanazt másolom, csak A gép irányából tolva:
rsync -avP innen Bgépreparanccsal, és 800-900 Mbit, hap ac3 20%-on -
#25603
lionhearted
őstag
Reggie0
#25600
válasz
Reggie0
#25600
üzenetére
Akkor nem az encryption teszi, ettől még nem gyors. A NIC se tud segíteni, mert nem érti a PPP fejlécet, szóval azokon sincs offload.
@mrots: nem igazán vagyok oda a kötekedésért. Mikrotiken tudtommal nincs openvpnben ChaCha, aes van és blowfish (és tiktosítatlan, de azt továbbra sem tekintem titkosításnak).
Akár mikrotik felületen kb 3 kattintás egy wireguard peer, aztán ott a generált QR kód, telefon pittyent, készen vagy. Melyik ipsec tud ilyet? Melyik ipsec használható úgy, hogy a vonal egyik fele cgnatolt, mindenféle ISP szűrésen átesett, instabil hálózaton van?
-
mrots
tag
válasz
user12
#25589
üzenetére
A tunnel gyors felepulese igazabol mas technologiaval is elerheto. Igen, ertem, hogy most masodperc nagysagu, vagy annal kisebb idorol beszelunk, tehat a kerdes pusztan elmeleti. OpenVPN nincs keznel, ipsec van. Lebontottam a tunnelt, hogy nullarol induljon, majd elinditottam a linux oldalon, vegul elkezdtem pingelni a cisco oldalrol:
En ebben nem vettem eszre kesleltetest.
cgw#ping 8.8.8.8 source gigabitEthernet 0/1.7
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 10.8.30.33
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 36/36/36 msMegegyszer: nem akarok senkit semmirol meggyozni, mindenki azt hasznal amit akar, megerteni szeretnem a technikai erveket. Nekem jelenleg sem az openvpn, sem a wireguard nem opcio, mert halozati eszkozok az ipsecet tamogatjak es kesz, ez az "ipari" szabvany. De ez nem jelenti, hogy ne akarnam megerteni a szakmai erveket egyik, vagy masik vpn megoldas korul. Ki tudja, talan egyszer meg lesz cisco vagy palo alto eszkoz amiben opcio lesz a wireguard.
-
#25601
mrots
tag
lionhearted
#25586
mrots
tag
válasz
lionhearted
#25586
üzenetére
Erdekes, hogy nem valaszthato a titkositast / autentikacio algoritmusa, de gondolom a lenyeg az egyszeruseg volt - ezzel sem kell bibelodni. OpenVPN-t nem hasznalok mar egy ideje de gondolom az allitasod, hogy 'barmelyik' -nel gyorsabb az valoszinuleg nem igaz, hiszen lehet gyenge titkositast valasztani, vagy akar titkositas nelkul is lehet kuldeni, ami nyilvan gyorsabba teszi az adatatvitelt. De nem is ez a lenyeg, hanem az, hogy - amennyiben jol ertelmezem a wikipediat - a wireguard a felepult tunnelben ChaCha20 stream ciphert hasznal. Elvileg ebben van a truvaj, hogy gyors es biztonsagos is. Nade egy sima strongswan is tudja ezt hasznalni:
root@vm-test:/usr/src/strongswan-6.0.3# ./configure --help | grep -i chacha
--enable-chapoly enables the ChaCha20/Poly1305 AEAD plugin.A kerdes ezek utan - es ez nem okoskodas, oszinten nem tudom a valaszt - az, hogy egy chacha20-szal forditott strongswan, ami ipsec, mitol rosszabb, mint egy wireguard, ha a felepitett tunnel feletti atvitelt nezem?
)
Új hozzászólás Aktív témák
- Keresünk Galaxy S21/S21+/S21 Ultra/S21 FE
- Microsoft Surface Laptop 3 13.5" fekete i5-1035G7 16GB 512GB 1 év garancia
- HIBÁTLAN iPhone 13 Pro Max 256GB Graphite -1 ÉV GARANCIA - Kártyafüggetlen, MS3756, 100% Akkumulátor
- REFURBISHED és ÚJ - Lenovo ThinkPad Ultra Docking Station (40AJ)
- GYÖNYÖRŰ iPhone XR 128GB Red-1 ÉV GARANCIA - Kártyafüggetlen, MS3984, 100% Akkumulátor
Állásajánlatok
Cég: Laptopszaki Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest