-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Adamo_sx
aktív tag
-
alitak
senior tag
Hátö, ezek már némileg túlmutatnak az én tudásomon.
Most reggel is ránéztem, az irodából működik a port forward, be tudok jelentkezni, minden működik. Erős a gyanúm, hogy a belső hálózatról a router külső ip címére menő kérést nem forgatta vissza. Az in interface részt ezért is vettem ki, hátha, de sajnos bentről úgy nem működött.
-
#6348
Kiratheonly
tag
almi
#6345
Kiratheonly
tag
Nekem van is egy ilyen eszközöm. A wifi-je tényleg jó, 400mbit/s-et tud nálam 5Ghz-en. A 2,4Ghz-es wifije pedig jókora területet le tud fedni. Nálam AP-ként üzemel, egy RB3011 látja el a többi teendőt. Szerintem egy HAP ac2 jobb választás lehet, mert wifivel majdnem egy szinten van az AC-val és mellette a többi feladatkört is rábízhatod, az újabb és erősebb hardver miatt.
-
ekkold
Topikgazda
A wifi része nem rossz, kimondottan stabil, sok user-t is simán kiszolgál egyszerre, de mint általában a mikrotik-wifi nem egy sávszélesség bajnok. Sima egymagos proci, routerként ill. VPN szerver/kliensként stabil, de sebesség szempontjából ne várj sokat tőle. Manapság már a soho kategóriában is 2...4 magos procikat raknak a routerekbe + hardveres NAT-ot. Ez utóbbi a mikrotikben nincs. Mai szemmel azt mondanám, hogy AP-nek egész jó, de routernek valami erősebb típust választanék. Ha az SFP-re, és a POE out-ra nincs szükséged, akkor vegyél inkább hAPac2-t. Olcsóbb is , és 4 magos proci van benne, a wifije átlagos, de stabil.
-
bambano
titán
nekem kétségeim vannak afelől, hogyha egy gépbe bejött a csomag, és a kernel meghozta a routing döntését, hogy az lokális, akkor te rá tudod venni, hogy kitolja magából.
de elfogadom, ha valaki azt mondja, hogy ebben tévedek.ott kell megoldani az átirányítást, ahonnan a forgalom elindul. tehát a határon, vagy a kliensen.
a másik lehetőség, hogy applikációs szintű proxyt kell felrakni, az biztosan működik. nem tudom, mikrotikben van-e ilyen, sima linuxon van.
-
almi
senior tag
Közben meglett a megoldás.
Sajnos a MikroTik OpenVPN server ugye nem tudja megoldani a push route-ot, és az OpenVPN kliens konfig pedig csak 1 route-ot tud kezelni, valamiért. Ez is szerintem valami MikroTik hiányosság.
Kézzel windows-ban felvéve a szükséges route-okat, hibátlanul működik a dolog a kliensek felől is. Megy a ping a többi subnetbe is.
Üdv.,
almi -
bacus
őstag
Anélkül, hogy megmondanám a megoldást, gondold végig, hogy mit jelent az alhálózat, mi a funkciója a routernek, és mi az a nat, minek kell az.
Ha ez megvan, akkor nézd meg a nat szabályod, mert ott többféle megoldás is jó, gondolok itt arra, hogy azt mondod, hogy
- ha a source innen van, akkor nat
- ha a dest interface ez, akkor nat
- ha a dest hálózat ez, akkor natés ezek keveréke is lehet. Ezek egy belső hálózat, 1 wan esetén mind jó szabályok lehetnek, de itt most nálad ezt meg kell gondolnod, hogy mit szeretnél, melyiket kell alkalmaznod.
Ha ez alapján nem tudod, v. akarod megoldani, az aláírásomban mindig van megoldás
-
bacus
őstag
Először is tilts le minden olyan szolgáltatást amit nem használsz, pl web felület, api, ftp, ssh, stb
illetve ha használod, akkor add meg, hogy melyik alhálózatból legyen elérhető.A dst-nat szabály elvileg jó, amennyiben jó interface-t adtál meg. Ez ugyanis nem egyenlő azzal amibe bedugtad a kábelt pl egy pppoe esetén..
A tesztelést kívülről végezd, vagy vegyél fel hairpin szabályt is, keress rá.
-
#4191
E.Kaufmann
veterán
almi
#4190
E.Kaufmann
veterán
Érdemes, hacsak nincs valami sebességgond, de ahogy említették itt pár hsz-el korábban a Bridge kódon mostanában sokat püfölnek teljesítményre és tudásra gyúrva.
Valamint lehet, könnyebb a meglevő konfigot egy másik esetleg későbbi komolyabb mikrotik HW-ra ültetni. Bár nincs sok tapasztalatom ilyesmiben, de ahogy olvasgattam, hiába támogat ilyesmit a RouterOS gyárilag, nem mindig működik. Így meg csak létrehozod a Bridge-ket az új eszközön régi névvel, a szabályok meg ilyen formában egy az egyben átültethetőek, elvben -
#4188
E.Kaufmann
veterán
almi
#4186
E.Kaufmann
veterán
Ahogy a nagyrabecsült kolléga is említette, vagy legalább célzott rá, nincsenek ilyen szabályaid.
Azért jobb a Bridge-nek adni címet, mert pl akkor is elérhető, ha nincs fizikailag rákötve semmi. Jártam már úgy hogy tesztelni akartam egy hálózat elérhetőségét, de mivel adott interfacén nem volt semmi, még a Miki-t se tudtam pingelni annak az csatinaknak a címén, bezzeg, ha Bridge-re tettem a címet/távoli alhálót és ahhoz rendeltem a csatit, mindjárt működött a távoli hálózat "elérése". Amúgy meg könnyebb később bővíteni portokkal vagy akár cserélni alatta a portokat, míg ha direkt az egyik if-re állítod be a szabályokat, lehet át kell túrni a konfigot és átírni a csatoló nevét. -
#4116
E.Kaufmann
veterán
almi
#4112
E.Kaufmann
veterán
Nem domainnevet használsz? Domainnevet használj és arra a címre generáld a certet is. IP címmel nem célszerű használni amúgy sem, de lehet nem is engedné a windows. A cert fájlneve nem oszt nem szoroz, a tartalma számít. A tartalma fontos, valamint ne feledd nem csak a titkosításhoz kell hanem a domain azonosításához is, ha a szolgáltatás és a tanúsítvány címe nem stimmel, akkor beint a windows
-
almi
senior tag
Most nemrégen kipróbáltam minden féle cert nélkül is.
A Mikrotikről is kitöröltem mindent és a client gépről is a beimportált ca-t és érdekes, mert teljesen ugyan az a hiba, mint amikor bent voltak a certek.
Mintha nem is észlelné a certificate-eket, akkor sem, amikor be vannak töltve. -
#4108
E.Kaufmann
veterán
almi
#4105
E.Kaufmann
veterán
Nekem nem szerette, ha önaláírt volt. Kellett egy fő tanúsítvány amivel egy másik tanúsítványt hozol létre/íratsz alá. A főtanúsítványt importálod be a Windows-ba az mmc-n keresztül, az altanúsítványt meg beállítod SSTP szolgáltatáshoz a Miki-n. Ebbe az a jó még, hogy létrehozhatsz külön tanúsítványokat különböző domain-hez és szolgáltatásokhoz, de elég csak egyszer a főtanúsítványt beimportálni a Windows-ba.
-
bambano
titán
unif ap nem volt még a kezemben, mikrotikkel úgy csinálnám, hogy minden ssid kapna egy vlan-t, és a wifi kártyákkal megtageltetném a bejövő csomagokat. összebridgelném a wifi kártyát és az ethernetet.
A switchben pedig trunk portot kell definiálni az ap-k felé is, a router felé is.
-
bambano
titán
trunkot akkor kell állítani, ha egy interfészen több vlan közlekedik egyszerre.
ha egy interfészen csak egy vlan van, akkor azt access portnak kell állítani, ahol a bejövő forgalmat megcímkézi vlan szerint. ennek megfelelően a router portjára kötött többi eszközön nem kell vlannal foglalkozni, azok sima access portok.
Legközelebb már rutinból tudod, mit kell csinálni.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
ekkold- Kezdő fotósok digitális fényképei
- alza vélemények - tapasztalatok
- Miért vezet mindenki úgy, mint egy állat?
- Milyen légkondit a lakásba?
- iPad topik
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- Gyúrósok ide!
- Milyen videókártyát?
- Apple asztali gépek
- Genshin Impact (PC, PS4, Android, iOS)
- További aktív témák...
- Beszámítás! Apple Mac mini 2020 M1 8GB 256GB SSD számítógép garanciával, hibátlan működéssel
- Teljesen új iPhone 16 128GB Black eladó (bontatlan+garancia)
- HP 15da0000nh Intel Silver N5000 / 8gb ddr4. / UHD 620 / 1TB Hdd / 70% akku / Olcsó DDR4-es laptop
- BESZÁMÍTÁS! Asus B760M i7 12700KF 32GB DDR4 512GB SSD RX 6800 16GB Rampage SHIVA FSP 700W
- BESZÁMÍTÁS! Gigabyte A620M R5 7500F 32GB DDR5 512GB SSD RX 6700 XT 12GB ZALMAN S3 TG CM 700W
- Felújított laptopok Számlával, garanciával! Ingyen Foxpost!
- BESZÁMÍTÁS! Nintendo Switch 32GB V2 játékkonzol garanciával hibátlan működéssel
- BESZÁMÍTÁS! ASUS B450 R7 1700X 16GB DDR4 512GB SSD RX 580 8GB Rampage SHIVA Corsair 450W
- LG 65B4 - 65" OLED - 4K 120Hz 1ms - NVIDIA G-Sync - FreeSync Premium - HDMI 2.1 - PS5 és Xbox Ready
- Kingmax 1x2GB DDR2 800 RAM eladó
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest