-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
-
#16068
lionhearted
őstag
betyarr
#16066
-
-
#16065
lionhearted
őstag
betyarr
#16064
válasz
betyarr
#16064
üzenetére
Amit beállítasz magadnál, az a bejövő port. Az is a gépeden. Amikor kifelé csatlakozol, akkor OS és alkalmazás beállítás függően egy magas portot kapsz forrásportnak, célport pedig a célod beállított bejövő portja, amit nyilván nem tudsz szabályozni. És akkor az egészet fejeljük meg azzal, hogy van NAT itt is, ott is...
-
-
jerry311
nagyúr
-
Reggie0
félisten
válasz
betyarr
#16039
üzenetére
Az src address teljesen normalis, hogy ilyen, mivel mindig a kovetkezo szabad portot nyitja egy uj kapcsolathoz, ha az elozoekbol nem zarodott be. OS es beallitas fuggo, van amelyik randomizalja az src portokat, van ami meg addig noveli, amig nem talal egy szabad portot.
Viszont eleg szerteagazo cimekre probal becsatlakozni, valoszinu, hogy vmi portscanner fut a gepen, vagy meghekkeltek.
-
Reggie0
félisten
válasz
betyarr
#15969
üzenetére
Eleg valoszinu. Sok szolgaltato szuri, mivel tamadasra hasznalhato, lasd: "DNS amplification DDOS attack"
A tuzfal szerintem rendben van, bar az elso ket szabalyt megcserelheted. (Ha a logikan nem valtoztat azt erdemes elorebb rakni, amelyik tobbszor kovetkezik be, igy kevesebb szabalyt kell kiertekelni atlagosan.)
-
ekkold
Topikgazda
válasz
betyarr
#15891
üzenetére
Cseréld meg a portokat, ne az ether1 legyen a WAN port, hogy másik eth porttal is ugyanezt csinálja-e. Lehet kábel vagy dugó probléma is, kontakthiba vagy nem jó minőségű kábel. Megpróbálhatod kísérletképpen 100MBit-en is, hogy úgy is ezt csinálja-e.
A 4011-ben két switch chipvan, olyan portot próbálj, ami a másik chip-re van kötve. -
Beniii06
addikt
válasz
betyarr
#15891
üzenetére
Kábel csere, port csere, kézzel állítani link sebességet automata helyett. Ezekkel próbálkoznék.
Arra figyelj, ha portot cserélsz(jól gondolom neked az ether1 wan port), akkor a bridgeből is ki kell venni az új portot és a tűzfal szabályokat is át kell írni az újra, különben védtelen lesz a router.
Nem olvastam vissza, csak erre válaszolok.
-
#15884
lionhearted
őstag
betyarr
#15877
-
-
-
#15870
lionhearted
őstag
betyarr
#15857
-
#15855
lionhearted
őstag
betyarr
#15851
-
-
ekkold
Topikgazda
válasz
betyarr
#13165
üzenetére
Gondolom kábelcserén már túl vagy. Még annyi lehet (a hardverhibán kívül) hogy valami zavarja a kábeleket, pl. 230v-os hálózat közelében mennek, vagy valamilyen háztartási gép termel zavarokat. Esetleg még tápegység hiba is lehet, ha van rá lehetőség, akkor ki kell próbálni másik táppal...
-
Reggie0
félisten
válasz
betyarr
#13148
üzenetére
Nem nehez amugy. Webinterfeszen igy nez ki: System->Packages menupont, fent Check for Updates gombra ra kell nyomni. Channel-t stable-ra allitsd, majd Check For Updates gomb. Ha van uj verzio, akkor megjelenik a Download&Install gomb, arra kell ranyomni. Ujra fog indulni a router. Ha fejlott utana System->RouterBOARD menupont, ott az Upgrade gombra kattinst. Ekkor meg nem tortenik semmi. System->Reboot-ra kattintva inditsd ujra es mar az uj Firmware-vel fog elindulni.
-
-
Reggie0
félisten
-
betyarr
veterán
válasz
betyarr
#13019
üzenetére
asszem sikerült megoldani: az volt a probléma,hogy a ovpn-hez beállított poolból kiosztott címeknek szerepelniük kell a szerviz/available from-ban,mert ott korlátozva van az említett 192.168.0.0-ra az elérés.
viszont mobilról (mobilneten/másik wifi hálón keresztül) hiába csatlakozik fel sikeresen vpn-en a szerverre (látom is a router logjában),a lan-t nem lehet látni.pedig sem a miki logjában,sem az ovpn logjában nem látok semmi hibát.
-
betyarr
veterán
válasz
betyarr
#13014
üzenetére
az ovpn konfig fájlban sztem pont ezért van egy route betéve 192.168.1.0-ra.
illetve nem pont ezért van a route,hanem,hogy ne az ovpn szerver címén akarjon a winbox csatlakozni.de ha átroutol a 192.168.1.0-ra,akkor miért nem érzékeli a miki router,hogy ez benne van az engedélyezett 192.168.0.0 ip-tartományban?
-
betyarr
veterán
válasz
betyarr
#13002
üzenetére
kezdek egy kicsit begőzölni.igaz távoli pc-ről már sikerült be openvpn-ezni az otthoni hálómra (elérem az összes lanon lévő klienst),de a routert meg mégsem érem el.se winboxon,se webfigen.mit rontok el vajon?pedig az openvpn fájlban megcsináltam a 10.8.0.1-ről a routot 192.168.1.0-ra,mégsem sikerül
lehet valami tűzfal szabály miatt van? -
ekkold
Topikgazda
válasz
betyarr
#12987
üzenetére
Torrent esetében, a megnyitott portra érkező csomagok eljutnak a torrent kliensig. Ezek után elsősorban a torrent kliens biztonságosságán ill. megbízhatóságán múlik minden.
A logban annyi látszik, hogy a winbox portjára próbáltak csatlakozni, de a router elutasította. A winbox portját nem érdemes kinyitni az internet felé, az erre jövő csatlakozási próbálkozások forráscímét meg feketelistára tenni.
-
Reggie0
félisten
válasz
betyarr
#12987
üzenetére
Persze, vannak. Meg a mikrotik wikijen is van ra par pelda. Pl. csinalhatsz olyat, hogy egy meghatarozott meretu csomaggal kell pingelni a routert es akkor nyitja ki a portot annak az ip-nek, ahonnan a ping jott. Ezt lehet tetezni azzal, hogy egymas utan meghatarozott sorrendben n darab kulonbozo megadott meretu pinget var, mint egy kombinacios zar.
-
ekkold
Topikgazda
-
ekkold
Topikgazda
válasz
betyarr
#12967
üzenetére
Írtam rá scriptet, az adott ethernet porton levő összes eszközt ébreszti, így nem kell MAC adresst keresgélnem.
De ha a MAC addresseket ismered, akkor nem probléma mindegyik PC-hez egy külön indító scriptet írni (vagy változtatod a MAC adresseket a PC-ken?). Amúgy a WOL alaphelyzetben nem IP alapon működik, tehát az IP címet nem is kell tudni hozzá. IP címre csak akkor van szükség, ha távolról (pl. interneten keresztül) ébreszted. Akkor viszont a routernek kell tudni forwardolni (ami megintcsak megoldható). -
-
Adamo_sx
aktív tag
válasz
betyarr
#12943
üzenetére
A fent leírt szabályod az input chainre vonatkozik, ebbe az a forgalom kerül, ami a routernek van címezve.
A torrent szervered gondolom, hogy nem a routeren fut, hanem mögötte egy szerver, aminek a webes felülete forwardolva van a routeren kifelé. Azt a szabályt kell megszűntetni, ami forwardolja és máris elérhetetlen lesz kívülről. -
#12865
E.Kaufmann
veterán
betyarr
#12864
E.Kaufmann
veterán
válasz
betyarr
#12864
üzenetére
Most gyorsan ránéztem pár fórumtopicra a Mikrotik oldalán de elég mimóza egy valami ez a VoWifi, valamint azt is írták, nem tudom, mennyire igaz az állítás, hogy kimenő hívásokhoz van használatban ezért külön szabály nem feltétlen kell hozzá, de nem foglalkoztam ilyennel, csak sima SIP+RTP kombóval még régen.
Olyat is írtak, hogy a SIP NAT helper be tud zavarni, és ebben az esetben érdemes kikapcsolni (IP - Firewall - Service ports - SIP disable) -
#12863
E.Kaufmann
veterán
betyarr
#12862
E.Kaufmann
veterán
válasz
betyarr
#12862
üzenetére
Kamerák pl, bár én nyugodt szívvel nem engedném ki, VOIP eszköz, NAS. Bármi, amit nem lehet vagy nem akarod gyártói felhőn keresztül használni, hanem te direktbe szeretnéd mondjuk fix IP címmel vagy IP Cloud szolgáltatás által adott domain névvel.
Amúgy biztosabb, ha VPN-t használsz, de pl VoIP és Torrent esetén meg csak kell átirányítás. -
#12861
E.Kaufmann
veterán
betyarr
#12859
E.Kaufmann
veterán
válasz
betyarr
#12859
üzenetére
A legtöbb mai alkalmazás már jól elboldogul, ha van névfeloldás és távoli állomások/szerverek 80-as és 443-as portját eléri TCP protokollal, hisz vagy főleg böngészik az ember, vagy ha nem is böngészőt használ, valamilyen webszerver szerűség várja az alkalmazást a túloldalon. A torrent pl kivétel, de már lassan a DNS is HTTPS felett megy, és sajnos ezt lekövetik a kártevők is, azok is át tudnak jutni ilyen módon, lényegében az ilyen egyszerűbb tűzfalszabályokkal már sokra nem megy az ember.
Vagy ki kell bontani a titkosított adatforgalmat, amire a Mikrotik nem képes, és úgy elemezni, vagy pedig a kliens oldalon kell megfogni/elemezni a forgalmat, pl vírusvédelmi szoftverekkel.
IP és DNS alapú listákkal vagy pl külön DNS szerverrel (PiHole) lehet valamennyire megfogni a kéretlen forgalmakat még (de ha utóbbit megkerüli a böngésző DNS over HTTP-vel, akkor cs*szhetjük). Elvileg még be lehet kukkantani SNI-n át, hogy a titkosított forgalom milyen domain-re menne, de egyrészt CPU-t nagyon terheli (bár ugye be lehet lőni hogy csak első x Byte legyen csak átkutatva és úgy azért nem olyan vészes), másrészt ez se működik mindig.
Amit lehet tenni, hogy új bejövő forgalom csak azt a szolgáltatást érje el, amit mi akarunk megengedni (port forward). Az UPnP egy kényelmi szolgáltatás, ami azért kockázatos is, bár a fentiek miatt, már egyre kevésbő ez jelent kockázatot, a Torrent kliensek viszont szeretik használni, úgyhogy hasznos kényelmi funkció.
Van pár trükk pl portszkennerek tiltására, és más támadások elleni védelemre, de júzer oldali hülyeségek ellen egyre kevésbé véd bármi, ami nem tudja felügyelni a teljes forgalmat. -
ekkold
Topikgazda
válasz
betyarr
#12724
üzenetére
Szerintem kb annyira biztonságos, mint bármi amit egy szem jelszóval védesz. Ha megszerzik a jelszót akkor pl. máshova irányíthatják a domain nevet. Pl. ha van webszervered, akkor a kezdőlapod másolatát megcsinálják, és ha azon bejelentkezel akkor pl. további jelszólopás, ilyesmik. Aki egy kicsit odafigyel, azt nem tudják így csőbehúzni. Más, ennél komolyabb kockázatot nem látok ebben.
-
ekkold
Topikgazda
válasz
betyarr
#12711
üzenetére
Ok. de én nem jelentkeztem be nagyon régóta, mégis működött. Arra gondoltam, hogy valahol a felhasználási feltételek között is ott kellene lennie. Illetve az nem lehet, hogy ez is csak akkor van ha a DNS-névhez tartozó IP-t sem frissíted? Mert nekem viszont rendszeresen frissül (mikrotik script-el).
-
bacus
őstag
válasz
betyarr
#12689
üzenetére
"de tényleg jó lenne már egy olyan router,amivel meg vagyok elégedve"
Mennyire nem vagyunk egyformák !? Nekem az a jó router, amit felprogramozok és teszi a dolgát, sosem fagy le, stb., lehetőleg ki tudja használni a sávszélességet, de ez már sokszor másodlagos. Te mivel lennél megelégedve? Mit kell tudjon egy routernek? Főzzön ebédet, mossa ki a ruhákat?
Engem még a router kinézete SEM érdekel, mindig értetlenkedve olvasom, mikor közlik, hogy olyan designos formája van, hogy ez lehet a nappali dísze..., a csodás ívelt formák a 12 mimo antennával lehet családi gyűrű tartó az asszony pipere asztalkáján, vagy mégis hogy kell érteni ?!
-
Beniii06
addikt
válasz
betyarr
#12698
üzenetére
"még annyi,hogy melegedés terén mi a helyzet a 4011 esetében?"
Melegszik rendesen, a ház fele hűtőbordaként funkcionál, legfőképpen a hátulja, de semmi olyan probléma nincs, hogy átlagos körülmények között, otthon ne lehetne működtetni.
"mennyire hajlamosak ezek a routerek a meghibásodásra?"
Ha arra törekszel, hogy minél kevesebb nand írás művelet legyen(scriptek,logok), akkor nem fog egyhamar elromlani. A wifis verziónak a wifi, egyébként a nand chip a gyenge pont. Az egyiket már vásárlásnál meg lehet oldani, a másikra pedig odafigyelve megbízhatóan működik nálam már ~2+ éve a vezetékes változat. Ha wifit is szeretnél, akkor egy cap ac javasolt mellé részemről.
-
#12700
Core2duo6600
veterán
betyarr
#12698
Core2duo6600
veterán
válasz
betyarr
#12698
üzenetére
Ha abból indulok ki, hogy az 1100 AHX4 esben ugyanez a cpu van, akkor nem lesz gond, épp csak langyos a teteje.
Nyári kánikulában már melegebb, de akkor szvsz mindegyik, mindenhol ahol nincs állandó klíma.
Nem rég vettem a 3 ik miki eszközt, eddig egyikkel sem volt gond. -
ekkold
Topikgazda
válasz
betyarr
#12684
üzenetére
FreeDNS-nél hol írja hogy félévente be kell jelentkezni? Mért én régóta használom, és nem szoktam bejelentkezni. Nem lehet, hogy csak a DNS-hez tartózó IP-nek kell frissülnie rendszeresen?
A lényeg nekem a freedns megy és eddig atomstabil. A WOL is megy, át lehet forwardolni, sőt a mikrotik is tud WOL-t küldeni pl. scritptből (próbáltam il. használtam már mindkét megoldást) VPN is működik, PPTP és L2TP+IPesec VPN-t használok, de sokan használják az openVPN-t is. Ez utóbbi biztoságosabb, a PPTP meg a legkevésbé ezek közül - cserébe viszont gyorsabb. A weblapomon pedig megtalálod, hogy lehet egy kicsit fokozni a biztonságát.
-
#12685
Core2duo6600
veterán
betyarr
#12684
Core2duo6600
veterán
válasz
betyarr
#12684
üzenetére
A ddns re egy jó megoldás, hogy az általad választott szolgáltatásban a hosz hoz beírod a miki által generált host ot, és kész.
Van rá scriptelési lehetőség is.
Én pl a no-ip set használom, ezt havonta kell megújítani.
Az Unifi security gateway -t is nézted? ha már Unifi az AP?
Szerintem jó kis router amit kinéztél, én az 1100 AHX4 est vettem, és természetesen a vásárlás utáni héten jelent meg a 4011 es, ugyanazzal a cpu val, de kedvezőbb árral.A YT ra találtam leírást és működik is.
Értelemszerűen a net elérést is tudok akár időben is korlátozni.
A norton connect safe is jó szolgálatot tehet.Akár az is lehet, hogy rendes tűzfal kell neked, de azok legtöbbször igen drágák.
Pl fortinet.
Nem vettem észre. 
lehet valami tűzfal szabály miatt van?
Új hozzászólás Aktív témák
ekkold- ÁRCSÖKKENTÉS Dell Latitude E6320 notebook eladó
- Hibás! Dísznek, Porfogónak, tesztkártyának vagy böngészni! Asus Rog Strix RX 470 4GB Videokártya.
- Törött, Hibás iPhone felvásárlás!!
- ÁRGARANCIA!Épített KomPhone Ryzen 5 5600X 16/32/64GB RAM RTX 4060 8GB GAMER PC termékbeszámítással
- LG 27GR95QL - 27" OLED / Limitált LoL Edition / QHD 2K / 240Hz & 0.03ms / NVIDIA G-Sync / FreeSync
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest