-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Gyula888
tag
válasz
hoffman_
#23941
üzenetére
Működni működik, de nem éppen komfortos. Ne használj telefont, ha ilyen permission félelmeid vannak, pláne ne Apple-t
Igen, viszont szerintem ha a wireguard a routeren fut, sokkal egyszerűbb a helyzet. Gyakorlatilag magadnak nehezíted és bonyolítod ezekkel a dolgokat, ami nem baj, hiszen azért vagyunk itt, hogy segítsünk egymásnak, csak ezeknek gyakran fejfájás a vége értelmetlenül 
Bevallom, nekem meg sem fordult a fejemben ilyen, hogy majd te telefonon böngészőből szeretnéd a kamerákat nézegetni. Régebben(de lehet még most is) Linuxon az UniFi Firefox-on sem működött például, egyszerűen nem ment a stream. -
#23936
lionhearted
őstag
hoffman_
#23935
-
hoffman_
nagyúr
válasz
hoffman_
#23794
üzenetére
tudom, nem mikrotik téma, de kaptam ajánlást a VIGI rendszerre, amit meg is fogadtam, sok keresés után én is erre jutottam. erről most lebeszélnék mindenkit, aki hasonlóan egyedi forgatókönyv mellé szeretné, nehogy így járjon. jóval több szívás volt felállítani a Tailscale-t, mint vártam, de végül sikerült és a routerhez nem kellett nyúlni. a szép az egészben, hogy a nagy ünneplés közepette, iOS alatt, mint végső céleszköz, minden böngésző elhasal. elérhetetlen az NVR webes felülete. így kell kidobni közel 200k-t : ' )
-
#23795
lionhearted
őstag
hoffman_
#23794
-
-
hoffman_
nagyúr
válasz
hoffman_
#23760
üzenetére
köszi a válaszokat utólag is. szeretnék márkán belül maradni, de ahogy látom a Mikrotik nem mindig segíti a dolgot. az egyetlen normális (értsd nálam: nem passzív) PoE switch, amit jelenleg gyárt és még talán nem kell hozzá rack, az a CRS112-8P-4S-IN POE. erről olvastam jót is, rosszat is. nekem elég lenne, csak két gond van vele. egyrészt, hogy 83k, másrészt, hogy ezért még 2.5GB sincs a Mikrotiknál. tudom, máshogy gondolkodnak, de na.
elsiklok valamin, vagy tényleg felejtős az olcsó PoE switch Mikrotiknél? vagy őszülhetek a passzív 12V PoE kamerák keresés közben. (vagy veszek TPlinket, amit nem akartam.)
#23764, Lenry: igen, pont így.
-
nemurea
aktív tag
válasz
hoffman_
#23757
üzenetére
Az is egy lehetséges út, hogy elengeded a kész ökoszisztémákat. Dedikálsz egy kisfogyasztású gépet a rögzítésnek, bele olyan HDD, ami megfelel a célodnak. Erre olyan kamerákat raksz, amilyet szeretnél, nem vagy kötve brandhez. Vehetsz jó minőségű IP kamerákat valószínűleg sokkal szélesebb választékból.
Elképzelhető, hogy setuptól függően magasabb lesz a hardver ára, mint a TP-link (az Ubi-vonalat tuti nem veri), de még az sem biztos. És nem mellesleg ez egy kiváló kapudrog a ház-automatizáláshoz
-
hoffman_
nagyúr
válasz
hoffman_
#21685
üzenetére
addig próbálkoztam, amíg csak összejött végül. lehet, hogy ez nektek triviális, ezesetben bocsi a flood miatt. a 7.13.4 ROs mellett azonos verzióval új wifi package érkezett, amit szintén felraktam. a package listben ezt először disable/uninstall/reboot során le kellett szedjem, ezután tudtam frissíteni az OS-t. gondolom ez fogta meg, csak nem láttam sehol nyomát.
-
hoffman_
nagyúr
válasz
hoffman_
#21598
üzenetére
hap ax2 esetén valami gebasz lehetett, nem én voltam helikopter talán. ellenőrzötten szedtem Mikrotik oldaláról a 7.13.5 csomagokat arm64-re két hete, amikor nem ment a frissítés. most tudtam elővenni újra, megnéztem winbox-->packages-->update alól, illetve a Mikrotik oldalán is: most a jelenleg is futó 7.13.4-et írja legfrissebbnek.
-
Longeye
tag
válasz
hoffman_
#21598
üzenetére
Nem túl biztató, amiket írtok!
Maga a ROS már stabilan megy azért? Ha már frissítve van?
Elég sok mindent szeretnék csinálni vele. Hotspot, captive portállal, user-manager, meg WPA3-EAP, ha összejön. Még tanulgatom, olvasgatom a dokumentációt.
A ROS frissítést úgy csináltam, hogy letöltöttem a procihoz passzoló ROS-t (nálam ARM64) a Mikrotik-től és bedobtam a winboxba (RAMdisk-be), majd újraindítottam a routert. Az megvolt zökkenőmentesen. Csak a firmware frissítés akasztotta ki.
-
#21559
Kicsirics77
veterán
hoffman_
#21558
-
válasz
hoffman_
#21554
üzenetére
Ha szeretnél guest esetleg később IoT network-öt, akkor azokat saját VLAN-nal célszerű szétválasztani, külön subnettel.
Blacklist szerintem otthoni hálózatra teljesen felesleges.
Nem szeretnél saját DNS szervert használni?
MSS-t tudja gyárilag a RouterOS, nem kell rá külön tűzfalszabály.
Szeretnél IPv6-ot is? Telekom alatt nincs akadálya több VLAN-nal sem, mert a szolgálatátó biztosítja /56-os subnetet. Diginél sajnos nincs így, ott csak egy db /64 subnet van.
Ezt tényleg ne vedd magadra, de ha tippelnék itt nem feltételen Mikrotik problémák vannak, hanem elméleti kérdéseket is tisztázni kell (ami nem probléma csak, akkor e-szerint segítünk).Korábbi konfig ennek a VLAN-os megvalósításához:
#21077 flexes922
#21082 gF -
kress
aktív tag
válasz
hoffman_
#21554
üzenetére
én csak gyorsan átfutottam, lehet érdemes lenne csinálnod valami minimális ábrát meg táblázatot miket akarsz összekötni, mi mit lásson stb. a nast is belevéve
a guestnek csak más ipt osztasz ugyan abbol a subnetből? nézz rá a broadcast domainre, l2, l3 szeparálásra
láttam valami /16os subnetet is a /24 mellett
tűzfalnál érdemes specifikus dolgokat engedni csak, a chaint pedig egy drop al zárni ami minden mást kukáz
a blacklistet még ne keverd bele szerintem az elején
dnsnek ugyan az az ip van megadva 2x
lehet a guestet is elengedném még, csak egy sima lant rakj össze elsőre
használj winboxot és ne szenvedj még a parancsokkal -
hoffman_
nagyúr
válasz
hoffman_
#21552
üzenetére
sziasztok,
pár dolgot próbáltam csiszolni, érdekesek az eredmények. esetleg rá tudnátok nézni a configra, hogy van-e benne valami banális hiba vagy hiány? ez most alap soho beállítás lenne, pár kábeles eszköz (PC, TV) és pár telefon/laptop (egyelőre remote-access WireGuardal még olvasást igényel részemről. illetve a NAS setup lesz kemény dió.) a tűzfalszabályokat nagyjából értem, de abban nem vagyok biztos, hogy mindre így van szükségem.
ami furcsasággal találkozom, hogy nem eszi meg az NTP parancsot a CLI. megnéztem a friss ROS leírásban, az alapján is így jó. mégis hibát hoz a primary-re:
[xyz] > /system ntp client set enabled=yes primary-ntp=148.6.0.1 secondary-ntp=52.178.161.41
expected end of command (line 1 column 36)ami még furcsa, hogy a WiFi 5Ghz erőre kapott, bár nem 700-900, de 550-600Mbit/s körül hoz iPhone és Latitude 7400 esetén is. ez 50 cm-ről és 2m-ről tiszta rálátással. ez így szerintem ok, bár biztos lehetne több, pár fórum komment alapján. viszont a 2.4Ghz nagyon gyenge, 50cm-ről max 120Mbit/s. nem tudom, hogy ennek mi lehet az oka. kisebb távolságra már használhatatlan, pedig ettől várok jobb range-t. itt valami beállítás gondra gyanakszom. nem nagyon van másik hálózat errefelé.
# 1970-03-17 12:50:41 by RouterOS 7.13.4
# software id = 22BQ-PNKF
#
# model = C52iG-5HaxD2HaxD
# serial number = *titkos*
/interface bridge
add name=bridge1 port-cost-mode=short
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=\
disabled name=pppoe-telekom use-peer-dns=yes user=\
*usernameittvan*
/interface list
add name=LAN
add name=WAN
/interface wifi security
add authentication-types=wpa2-psk,wpa3-psk disabled=no name=m104 wps=disable
/interface wifi
set [ find default-name=wifi1 ] channel.band=5ghz-ax .skip-dfs-channels=\
10min-cac .width=20/40/80mhz configuration.country=Hungary .mode=ap \
.ssid="5ghzSSIDja" disabled=no name=wifi1_5ghz security=*securityprofileittvan*
set [ find default-name=wifi2 ] channel.band=2ghz-ax .frequency=2462 .width=\
20mhz configuration.country=Hungary .mode=ap .ssid="2.4ghzSSDIja" \
disabled=no name=wifi2_2.4ghz security=*securityprofileittvan*
/ip pool
add name=dhcp-pool1 ranges=192.168.11.150-192.168.11.199
add name=dhcp-pool2_guest ranges=192.168.11.130-192.168.11.140
/ip dhcp-server
add address-pool=dhcp-pool1 authoritative=after-2sec-delay interface=bridge1 \
lease-time=3d10m name=dhcp-server1
/interface bridge port
add bridge=bridge1 interface=ether2 internal-path-cost=10 path-cost=10
add bridge=bridge1 interface=ether3 internal-path-cost=10 path-cost=10
add bridge=bridge1 interface=ether4 internal-path-cost=10 path-cost=10
add bridge=bridge1 interface=ether5 internal-path-cost=10 path-cost=10
add bridge=bridge1 interface=wifi1_5ghz
add bridge=bridge1 interface=wifi2_2.4ghz
/ipv6 settings
set max-neighbor-entries=15360
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether1 list=WAN
add bridge=bridge1 interface=wifi1_5ghz
add bridge=bridge1 interface=wifi2_2.4ghz/ip address
add address=192.168.11.1/24 interface=bridge1 network=192.168.11.0
/ip cloud
set ddns-enabled=yes update-time=no
/ip dhcp-server network
add address=192.168.11.0/24 dns-server=8.8.8.8,8.8.8.8 gateway=192.168.11.1 \
netmask=24
/ip firewall address-list
add address=0.0.0.0/8 list=blacklist
add address=127.0.0.0/8 list=blacklist
add address=224.0.0.0/3 list=blacklist
/ip firewall filter
add action=drop chain=input dst-port=53 protocol=udp src-address=\
!192.168.0.0/16
add action=fasttrack-connection chain=forward connection-state=\
established,related dst-address=192.168.11.0/24 hw-offload=yes
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment="Invalid csomagok eldob" \
connection-state=invalid
add action=drop chain=forward comment="Invalid csomagok eldob" \
connection-state=invalid
add action=accept chain=input comment="Established connections" \
connection-state=established
add action=accept chain=input in-interface=!pppoe-telekom src-address=\
192.168.0.0/24
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=6h chain=input dst-port=20-1023,8000,8080,8291 \
protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=6h chain=input dst-port=\
20-122,124-499,501-1023,8000,8080,8291 protocol=udp src-address=\
!192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=1d10m chain=input comment="port scanners" protocol=\
tcp psd=21,3s,3,1
add action=drop chain=input comment="drop blacklist" src-address-list=\
blacklist
add action=drop chain=forward comment="drop blacklist" src-address-list=\
blacklist
/ip firewall mangle
add action=change-mss chain=forward new-mss=1440 out-interface=pppoe-telekom \
passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=!0-1440
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-telekom src-address=\
192.168.11.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=8000
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Budapest
/system identity
set name=*eszkoznevittvan*
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/tool mac-server mac-winbox
set allowed-interface-list=LAN -
#21550
Kicsirics77
veterán
hoffman_
#21549
Kicsirics77
veterán
válasz
hoffman_
#21549
üzenetére
Az interfészt csak akkor fogod látni ha a wirelles vagy a wifi-qcom csomagot felteszed, addig az alap wirelles menüben meg sem jelenik.
a megfelelő csomagot drag&drop módszerrel bedobod a winbox ablakba, felmásolja és kell neki egy system/reboot, utána lesz majd olyan menü amiben látod majd az interfészeket, alaphelyzetben le van tiltva, majd neked kell engedélyezni. -
#21548
Kicsirics77
veterán
hoffman_
#21545
Kicsirics77
veterán
-
#21547
lionhearted
őstag
hoffman_
#21545
-
ekkold
Topikgazda
válasz
hoffman_
#20751
üzenetére
Tartalékként azért be van állítva PPTPT és L2TP is (mindkettő egy kicsit szigorúbban védve tűzfallal) sőt mostanában jött egy újabb ötlet, hogyan tudom még hatékonyabban megvédeni ezeket, ill. általában a nyitott portokat.
Az előzőekben említett routerek teljesítménye PPTP-vel hasonló, bár kicsit kisebb a prociterhelés, az L2TP + ipsec már lassúbb és több erőforrást is fogyaszt, viszont az ma még elfogadott biztonsági szempontból. A PPTP bár egyszerű és gyors, állítólag már nem tekinthető biztonságosnak. Viszont mivel ezek (PPTP és L2TP) fix porthoz vannak kötve, sok helyen blokkolják (internet szolgáltatók is, és persze pofátlanul letagadják). Az openvpn és a wg portja viszont majdnem tetszés szerint állítható, így ezeket nehezebb tűzfalakkal blokkolni. Viszont az openvpn erőforrásigénye magasabb mint a wg-é.
-
ekkold
Topikgazda
válasz
hoffman_
#20751
üzenetére
A wireguard általánosságban kevesebb erőforrást igényel, mint mondjuk egy openvpn. Egy mai PC-nek meg se kottyan a wg erőforrásigénye, inkább a mikrotik oldal a kérdésesebb, de még egy régi RB951-es is tud kb. 50Mbit/s-ot wg.-al, egy hAPac^2 200...300Mbit/s-ot, az RB5009 pedig ha jól emlékszem kb. 650Mbit/s sebességet (és kb. a CCR1009 is).
Korábban egy celeronos (J1900) miniPc-re feltelepítettem próbaképpen RouterOS-t, azon kb. 850Mbit/s sebességgel ment a wireguard. Próbáltam a NAS-ra is feltenni wg-t, de elsőre nem ment, aztán nem erőltetem tovább, felfelé úgyis csak 300Bbit-es az internet elérésem, az meg az RB5009-nek sem jelent nagy terhelést. Ekkora sávszélességbe bőven befér amúgy egy 4k-s film. Még a legnagyobb fájlméretű 4k-s film (amivel próbáltam ilyesmit) az is alig több mint 100Mbit/s sávszélt foglalt. Gyanítom, hogy ilyen esetben már nem is ezek az eszközök jelentik a korlátot, hanem maga a netkapcsolat - ami földrészek közzött, ill. nagy távolságok esetén, gyakran nem tud akkora sávszélt, mint "helyben". -
kammler
senior tag
válasz
hoffman_
#20751
üzenetére
Látszólag nemigen terheli a processzort a wireguard. Én nem tudom mi van, de az ipsec-en kívül nálam minden vpn max 50 megabit. De mondom, processzor 10 százalék alatt mindvégig. Hogy mi van félrekonfigolva nálam fogalmam sincs. Böngészni oké. Az ipsec viszont meg a full mobilos sebességen megy Androidon. Vagy lehet nálam a telefon az akadály. Mikrotik mikrotik közt most probálgatom,
-
ekkold
Topikgazda
válasz
hoffman_
#20748
üzenetére
Wireguard a megoldás. Bővebben: ez most az egyik legkorszerűbb VPN megoldás. Gyors, biztonságos, egyelőre nincs ismert biztonsági rés benne, mindenféle oprendszerre van hozzá kliens, és a mikrotik is támogatja. Használom mikrotik-mikrotik és windows-mikrotik összeköttetésre is (de kíváncsiságból ubuntu linuxon is kipróbáltam).
Ha pedig mégis portokat nyitsz, akkor nem illik az eredeti helyén hagyni, hanem át kell helyezni máshová, pl. a NAS webfelülete az 5000/5001-es porton van, de a net felől érdemes jóval 10000 feletti portra átrakni. Aki Synology NAS-t akar hekkelni, az az eredeti porton fogja keresni... Alapjában véve eléggé át kell gondolni, hogy mely portokat teszünk a net felől elérhetővé - azaz csak azt mi feltétlenül kell. Esetemben ez a 80-as és a 443-as port, mert webszervert is futtatok a NAS-on [link] De pl. már a wireguard UDP portja sem a (mikrotik szerinti) alapértelmezett helyén van.
-
hoffman_
nagyúr
válasz
hoffman_
#20708
üzenetére
sziasztok,
sikerrel bejött az ONT, 5670 lett végül. szép varázslat volt. a Telekom kolléga normális volt nagyon, meg akarta oldani. belement volna, úgy tűnt, az ONT közös téren történő elhelyezésbe is PoE-val, de a fogyasztás miatt elengedtük. a kiállásig nem tudtunk bejönni, de a lakás közepén az álmennyezetig jutott fiber, oda ment az ONT, ott meg megvágtuk a kihúzott UTP-t. még 230V-ot kell majd valahonnan odavinnem, hogy szép legyen a hétvégém...
egyelőre átraktam Bridge/PPPoE PT-be az ONT-t és a meglévő Archer C7 WAN-ra dynamicIP-vel rádobtam. így az otthoni háló sem áll földbe, amíg játszom a hAPax2-vel.
nem rég kezdtem ismerkedni a hálózatokkal, Cisco dolgokat konfigurálgatok bébilépésekben, egy CLI DHCP-t kiadni nem esik nehezemre, de attól még messze vagyok, hogy tudjam mit csinálok.
--> Skory 2018-as bejegyzését találtam ma, hogyan is érdemes nekiállni, meg a MikrotikOnline alap dolgait is nézegetem. a kérdésem az, hogy tudnátok még ajánlani "best practice" oldalt, cikkeket SOHO témára? a LAN, wlan beállítás egy dolog, de jól feltűzfalazni már nem. plusz van egy fix IP-s NAS itthon, amihez van pár nyitva kb. fél tucat port (a docker meg Syno kimehet a netre). ezt szerintem sokkal jobban lehet / kellene implementálni, mint ahogy most van... ezt a portnyitogatást el kéne felejteni gondolom teljesen és vpnvpnvpn? erre van esetleg valami specifikusabb oldal, iromány?köszönöm előre is
ui.: tudtam, hogy pöpec lesz a tik és bár egyelőre csak GUI-n próbálkozom, ez tényleg a lehetőségek tárháza otthonra is, ami a beállításokat illeti, nagyon tetszik.
-
vkp
aktív tag
válasz
hoffman_
#20718
üzenetére
Ne nagyon legyenek illúzióid, nem valószínű, hogy a közös területen átadna szolgáltatást. Egyébként meg kreatívak, boldogon fogják átfúrni az ajtótokot és behúzzák azon az üveget. Annyit változott a mazzagos ember, hogy most már nem feltétlen tűzőgéppel okádja végig a lépcsőházat, hanem ragasztópisztollyan taknyolja fel.
-
Reggie0
félisten
válasz
hoffman_
#20706
üzenetére
Szerintem a tplink parossal jobban jarnal, foleg annak a leszedoje nem passziv, hanem ugy tunik DC-DC konvertal feszultseget, igy a kabelen levo veszteseg(feszultsegeses) kesobb okoz feszultsegosszeomlast a kimeneten.
A nagyobb tavon a mikrotik felado/leszedo eseten problema lesz, hogy hogyan lesz 12V a kabelen levobol, mire odaer, mert terhelestol fuggoen ingadozni fog. Egy mikrotik eszkozt rakotve nem problema, mert azoknak szeles a bemeneti tartomanya, de az ont kb. fix 12V-ot ker.
Igen, viszont szerintem ha a wireguard a routeren fut, sokkal egyszerűbb a helyzet. Gyakorlatilag magadnak nehezíted és bonyolítod ezekkel a dolgokat, ami nem baj, hiszen azért vagyunk itt, hogy segítsünk egymásnak, csak ezeknek gyakran fejfájás a vége értelmetlenül 
Bevallom, nekem meg sem fordult a fejemben ilyen, hogy majd te telefonon böngészőből szeretnéd a kamerákat nézegetni. Régebben(de lehet még most is) Linuxon az UniFi Firefox-on sem működött például, egyszerűen nem ment a stream.
Új hozzászólás Aktív témák
ekkold- Samsung Galaxy A12 64GB, Kártyafüggetlen, 1 Év Garanciával
- Alkatrészt cserélnél vagy bővítenél? Nálunk van, ami kell! Enterprise alkatrészek ITT
- BESZÁMÍTÁS! Asus H110M-K i7 6700 16GB DDR4 480GB SSD GTX 1660Ti 6GB Rampage SHIVA FSP 550W
- Dell P2419H P2419Hc Full HD LED IPS 24" + P2719H 27" LCD monitor (vékony keretes)
- Telefon felvásárlás!! Apple iPhone SE (2016), Apple iPhone SE2 (2020), Apple iPhone SE3 (2022)
Állásajánlatok
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest