-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#23966
lionhearted
őstag
Edorn
#23965
-
#23944
lionhearted
őstag
Edorn
#23939
Feltételeztem, hogy az FTP port nyitásai ismeretesek mindenkinek, de ha nem, akkor:
* aktív FTP kapcsolat: kliens nyit egy TCP sessiont szerver felé (command channel), majd a szerver visszafelé a kliens felé (data channel)
* passzív FTP kapcsolat: kliens nyit két TCP sessiont a szerver felé, úgy, hogy egy random porton kezd el hallgatni a szerver és oda várja.Legtöbbször nem a fenti, hanem a lenti szokott megvalósulni, mivel kliens oldalon senki nem tud/akar tűzfalat bontani, és még NAT is lehet közben... szóval van egy helper a Mikrotikben (IP->Firewall->Service ports), ahol a tűzfal figyeli az FTP forgalmat és kiolvassa belőle a port nyitási szándékot a random porton.
Segítség lehet, ha:
* egy a szerveren megadsz egy szűk tartományt, amit erre fenntartasz, és fixen beengeded a szerver felé.
* felépítesz egy VPN tunnelt, és azon keresztül FTP-zel.
* dobod az FTP-t, mondjuk SFTP-re cserélve. -
Tamarel
senior tag
A packet sniffert még soha nem használtam, így arról nem tudok nyilatkozni.
A beállításokban vannak zavarok, a tűzfal szabály elnevezések is mutatják a bizonytalanságod.
Kezdésnek: ipv6 kikerüli a proton wireguard vpn-t. A nasról mindenképp le kell szedned az ipv6-ot, ha úgy egyébként vpn-en belül szeretnéd tartani a forgalmát.
Ha a routeren van ipv6, akkor a dns-edben is lesz, aztán az ftp vagy megoldja majd vagy nem.Vlan, guest, routing: kell némi (szabad)idő a kibogozásához.
-
#23934
lionhearted
őstag
Edorn
#23933
-
Reggie0
félisten
Nem az volt a ludas, hanem az, hogy rosszul volt beallitva a metrika. Ha jol csinalod akkor a lokalisan hasznalt ipcimek routingjanak mindig magasabb prioritasunak kell lennie, mint a globalisnak. Ha nem, akkor akar a szolgaltato felol rosszindulatuan el lehet iranyitani a forgalmadatat es kozbe tudnak ekelodni ket eszkozod koze kivulrol.
Az, hogy a 23.23.23.x-et valasztottad csak elohozta ezt a problemat. -
#23564
lionhearted
őstag
Edorn
#23562
-
#23561
lionhearted
őstag
Edorn
#23560
Ennyivel mennie kéne, szóval esélyesen mégiscsak tűzfal. Viszont a képről nem derül ki minden, ahogy minden sor sincs rajta, egy export sokat tud segíteni, akár a portok utólagos elrejtésével.
Amúgy nagyon bántja a szemem a 23.23.23.0/24 ... miért nem jó egy privát címtartomány? De tudom, nem erre keresed a választ.
-
Horvi
őstag
Ez a szabály szerintem csak azt csinálja, hogy a vendégek is tudnak netezni.
Kellene hozzá tűzfalszabály, hogy a vendég tartományból ne lehessen elérni a belső hálót.
Nálam valami ilyesmi van:
;;; Block Guest Network to Access LAN
chain=forward action=drop src-address=192.168.2.0/24 dst-address=192.168.1.0/24Nálam a 2.0/24 a vendég hálózat, az 1.0/24 a belső. Biztos meg lehet oldani másképp is én így csináltam meg. Lehet a többieknek lesz jobb ötletük.
-
user12
őstag
Szia
Az eszköz alapból nem földelt, a két pines DC csati csak + és - szálon csatlakozik az egyébként sem földelt tápegységhez.
Valami hasonlót ha nézel, akkor földeltté tudod tenniVagy ha a routerhez csatlakoztatott switch fémháza földelt és ezt összekötöd egy FTP kábellel a routerral, az is hasonló eredményre vezet.
-
#22420
lionhearted
őstag
Edorn
#22419
-
ekkold
Topikgazda
-
stopperos
senior tag
* L009 - wifi nélkül, van hozzá rack fül.
* hAP ax2 - wifivel, kevesebb port, talán gyorsabb is mint az L009
* RB5009 - wifi nélkül, a három közül a legerősebb, van hozzá rack fül
#22397 Funthomi:
Valószínűleg el fogja bírni, nézd meg a 3 fent linkelt eszköz esetén, hogy mennyi forgalmat enged át a routing alapján válassz. A másik két eszköz erősebb mint az L009, a hAP ax2-nél akkor jobb az L009 hogyha nem akarsz még egy switch-et mellé. -
Tamarel
senior tag
Most dobtam össze, remélem nincs benne hiba.
/routing table
add disabled=no fib name=proton
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=%proton-interface routing-table=proton suppress-hw-offload=noForrás ip alapján:
/routing rule
add action=lookup-only-in-table disabled=no src-address=192.168.0.2/32 table=protonForrás ip + cél port alapján:
/ip firewall mangle
add action=mark-connection chain=prerouting protocol=tcp dst-port=22 src-address=192.168.0.2 new-connection-mark=proton passthrough=yes
add action=mark-routing chain=prerouting connection-mark=proton new-routing-mark=proton passthrough=no protocol=tcp
/routing rule
add action=lookup-only-in-table disabled=no routing-mark=proton table=proton+ ha van fasttrack, akkor első szabálynak:
/ip firewall filter
add action=accept chain=forward connection-mark=proton connection-state=established,related -
-
ekkold
Topikgazda
Adott esetben elég lehet - ha jól van konfigurálva. De van amikor ki kell nyitni bizonyos portokat, és ilyenkor nagyon nem mindegy pl. a szabályok sorrendje sem.
Pl. ha használunk valamilyen VPN-t (Wireguardot, L2TP-t, PPTP-t), ezeknek a működéséhez ki kell nyitni néhány portot, ami vagy fixen lesz nyitva, vagy valamilyen kopogtatásos, fehérlistás megoldással (én mindegyiket használom).
Régi RouterOS verzióban volt egy bug, ami miatt annak idején rengeteg routert széthekeltek (volt ami javítható maradt, jónéhányból "tégla" lett), de csak azokat tudták meghekkelni, amelyiken nyitva volt a winbox portja.
Nekem már akkor is úgy volt beállítva a router, hogy netről, a 8291 portra jövő csomagok forráscíme kapásból ment a feketelistára, és onnantól minden csomagja drop... Hasonlóképpen még jónéhány további port amit gyakran támadnak (telnet, ssh, ftp, dns, stb..). Persze használok pl. sftp-t is, de nem a standard 22-es porton (átraktam máshová), és csak az "sftp-fehérlistán" szereplő IP címekről lehet elérni.A feketelistás megoldásokkal érdemes vigyázni, mert ha nagyon elkezdenek támadni, akkor hatalmasra nőhet a lista, és az már komoly erőforrást vesz el (egy barátom járt így). Azóta csak eldobja a nemkívánatos csomagokat (nem gyűjt feketelistát), viszont a legtöbb dolgot csak VPN-el lehet elérni, és/vagy csak fehérlistán szereplő IP ről.
-
#22329
lionhearted
őstag
Edorn
#22328
-
mrzed
senior tag
Mielőtt konfigolsz döntsd el mit szeretnél. Ha megfelel számodra, hogy a szolgáltató eszköze natol, akkor elég betenni az ether1-et is a bridge-be és a bridge-re tenni egy dhcp klienst. Viszont ekkor felesleges a mikrotik tűzfalával, dhcp-jével bajlódni. Ha a mikrotikkel szeretnél natolni, akkor annak megfelelően kell konfigurálni és nem ether1-re hivatkozni, hanem a pppoe kapcsolatra.
szerk:
m0ski
ebben a felállásban értettem, hogy a dhcp és pppoe vagylagos, így nem fog menni egyszerre a kettő. -
kammler
senior tag
-
-
Edorn
senior tag
Kiegészítés: Ha a fenti állapotra most bekapcsolom a pppoe-t, akkor megmarad a net, viszont random dolgok honlapok böngészésénél nem töltődnek be (time out). Jellemzően google .js-e (vagy az hívna valamit), vagy egyéb háttérbeni hívások. Youtube is iszonyat lassan indul el, bár most már lejátszik videot. Speedtest is jó eredményeket hoz. Illetve továbbra is my-vel ugyanazt az ip-t látom, amit a telekeom eszköze is kap magának. Pedig elvileg külön ip-t kellene kapnom...
Ha pppoe-t kikapcsolom, akkor minden jó.
-
kammler
senior tag
Az 1-es portján (is?) fut a pppoe szerver. A HG8245-ből simán kitörölhetnéd a jelszót. Így használtam nagyon sok éven át. Ma már lehet dupla bejelentkezés is, ezért, ha IPTV van, és lehetséges a HG8245-ből mégse töröld ki a jelszót. Abba dugd a TV-t. Nálam is két bejelentkezés van más okok miatt, mindkettőn publikus IP van. Vannak leírások, kísérletezhetsz IGMP proxy-val, meg mittudomén, hogy mikrotiken át menjen az IPTV. Ha egyszerű megoldást akarsz, a HG8245-be dugod a TV-t. Szintén optika. Telekom. Nem zaklattak még, hogy cseréltesd le? Én belementem hosszas unszolás után, 2G net lett. Fú mekkora kálvária volt...
-
mrzed
senior tag
Nálam F@st 5670 egység van a szolgáltatótól. Bridge módba van téve, saját router hozza létre a pppoe kapcsolatot, publikus ip-t kap. Ha van rá lehetőség és a szolgáltató eszközébe dugod az iptv boxok kábeleit akkor nem kell semmiféle varázslás a működéshez. Mindössze pár napig volt iptv előfizetésem, még a 14 napos elállásban vissza is adtam, viszont addig tökéletesen működött. Van a padláson egy mindigtv antenna, számunkra tökéletesen elegendőek az ingyen fogható csatornák.
-
MikroTik RB5009UG+S+IN Router br 78k
MikroTik cAPGi-5HaxD2HaxD 47k
125k ez az ajánlott. Igen több mint a keret.Olcsóbban 2 wifis közép kategória
MikroTik ax3 C53UiG+5HPaxD2HPaxD Router 50k
MikroTik hAP ax2 35k
Így 85kHa kell SFP
MikroTik L009UiGS-2HaxD-IN Router 45k
MikroTik C53UiG+5HPaxD2HPaxD Router 50k
95k
). Ha nem kell agyon VLANozni, akkor egy random tplink SG108E és készen vagy.
Az kell, az a DHCP szervered a mikrotikre dugott többi eszköz felé. Azt ne kapcsold ki. IP-->DCHP client. Van ott az ETH1-en DHCP kliens? Ott a rout-nál annak az IP-nek 192.168.1.254 az nem kell, ha pppoe kapcsolatot akarsz publikus IP-vel. Így kell kinézzen. 
Új hozzászólás Aktív témák
ekkold- Mibe tegyem a megtakarításaimat?
- Samsung Galaxy Watch (Tizen és Wear OS) ingyenes számlapok, kupon kódok
- Amlogic S905, S912 processzoros készülékek
- További kavarás a Pixel 10-ek körül
- f(x)=exp(x): A laposföld elmebaj: Vissza a jövőbe!
- CNC topik
- Luck Dragon: Asszociációs játék. :)
- Gyúrósok ide!
- Battlefield 2042
- Ford topik
- További aktív témák...
- 4 év gari - magyar bill. - Lenovo ThinkPad Z13 G1 - AMD Ryzen R7 Pro 6850U, 13.3" 2.8K OGS érintő
- Tablet felvásárlás! Samsung Galaxy Tab S10+, Samsung Galaxy Tab S10 Ultra, Samsung Galaxy Tab S10 FE
- ÁRGARANCIA!Épített KomPhone Ryzen 5 5600X 16/32/64GB RAM RTX 4060 8GB GAMER PC termékbeszámítással
- AKCIÓ! ASUS B460M i7 10700 16GB DDR4 512GB SSD GTX 1080Ti 11GB KOLINK Observatory TG TT 600W
- ÁRGARANCIA!Épített KomPhone i5 13400F 16/32/64GB RAM RTX 5070 12GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest