-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Lajos1976
friss újonc
válasz
Adamo_sx
#22842
üzenetére
add action=dst-nat chain=dstnat dst-address=Külső ip címem dst-port=8000 protocol=tcp to-addresses=192.168.88.11 to-ports=8000
add action=masquerade chain=srcnat dst-address=192.168.88.11 protocol=tcp src-address=192.168.88.0/24192.168.88.11 kamera
ezzel a beállítással működik!
köszi
Külső címet csak egy bizonyos belső cím érheti el egy bizonyos port ról .ez így jó nem? -
Longeye
tag
válasz
Adamo_sx
#21862
üzenetére
Köszönöm az iránymutatást! Nagy vagy!
A routeren, az interface-ek beállításánál van egy olyan opció, hogy "Skip DFS channels". Ha ezt "all"-ra állítom, akkor szinte azonnal megjelenik az 5GHz-es hálózat. Az 1 perces tesztet azért végrehajtja gondolom, bár nem jelzi. Ha ezt nem állítom be, akkor még 30 perc után sem jelenik meg.
Mivel az ilyen csatornákat eleve kihagyja, gondolom ezzel az opcióval semmiképpen sem sértek törvényt. Nekem viszont lesz ebből valamilyen hátrányom?
A munkahelyemen konfigoltam az egészet. Ott nem fordult elő ilyen. Itthon miért ütközhettem ilyen problémába? Ennyire túlterhelt lenne a környéken az 5GHz-es sáv?
Én csak 3 5GHz-es hálózatot/routert találtam. Az enyém lenne a negyedik. -
Longeye
tag
-
Longeye
tag
-
kammler
senior tag
válasz
Adamo_sx
#21501
üzenetére
USB3? Mert azzal, ahogy olvastam gondjai vannak. Nálam sem mindig jelenik meg az USB3-as pendrive. Az USB2 mindig jó. Ugyan ez a pendrive az RB3011-ben tökéletes. Én dugtam az RB5009-re egy kis USB3-as hubot. Úgy jó. A system resources-ben nem mindig ugyanúgy (!) jelenik meg. Ha korrektül kiírja a sebességét nevét, na akkor nem jó. Ha csak sebességet ír, gyártót nem, akkor jó... De hub-on át ok.
-
#20836
lionhearted
őstag
Adamo_sx
#20833
válasz
Adamo_sx
#20833
üzenetére
Én kilógattam a falból OM4(+ ? más a színe...) LC/LC. 2 fő helyre vezetékeztem be, az irodai részbe és a nappaliba, takarásban lesz. Minden szobába tettem 2 RJ45-öt (Cat6 és árnyékolt Cat6A), amit csillagpontosan vittem a központi helyre. AP a plafonon saját vezetéken, padláson LTEnek szintúgy, és a háztartási helyiség is kapott egyet...szóval vezettem mindenhova. FTTH-ra készült, az is földben csőben jön a házba, a központi helyre... mivel a szolgáltató ezt nem vállalta, ezért általam behúzva.
Sajnos nem találom most a szabványt, de amúgy van erre is, hogy mit érdemes/kell szobánként bekötni és hogyan. Még része volt a koaxiális hálózat is, de magam részéről azt nem vezettem be. -
dave0825
őstag
válasz
Adamo_sx
#20559
üzenetére
Képezzem ki magam Router OS-ből 1 eszköz miatt, hogy egy ilyen egyszerű dolgot beállítsak? Hány órát kell hozzá tanulmányozni?
Asus routerem van itthon, teljesen jól, könnyen be lehet rajt állítani mindent, mindenféle módot.
Ezen meg reset gomb nem működött rendesen, laptop portját hiába állítottam ugyanabba a tartományba, akkor sem töltötte be az oldalt, egy rendes leírás sincs róla a gyártó oldalán, a külön program eldobálta, amikor bejött meg abban eltalálni.... Lehet aztán tényleg hibás, nem tudom. Én letettem róla, megy vissza.Reset gomb 3 dolgot tud (mode, wps, reset), direkt a mikrotik map lite-hoz tartozó "manualban" (idézőjelben, mert az elektromos fogkefémhez részletesebb leírást bírnak adni) leírtak szerint reseteltem, és nem is ugyanazt csinálta ugyanúgy resetelve.
Mindegy, nekem ehhez se türelmem, se időm nyomogatni, hogy egy ilyen egyszerű feladatot "megtanuljak" beállítani.
Nézek másik eszközt, ami egyszerűbb, erre a feladatra úgysem kell ilyentúlbonyolítottkomoly. -
kis.zsolt
aktív tag
válasz
Adamo_sx
#19933
üzenetére
Így van, jól érted. Minden úgy van, ahogy leírtad.
Mikor megnyitok egy portot az Unifi routerben, akkor viszont nem látszik az internet felől. De ahogy írtam, egy tűzfalszabállyal a routerben láthatóvá tettem a mAPlite-ot a wan porton a winbox számára, mert az addig nem látott rá a wan-ra.
Lehet nem is Mikrotik a problémám, hanem Unifi tűzfal? -
#13279
lionhearted
őstag
Adamo_sx
#13278
-
ZPKing
tag
válasz
Adamo_sx
#11508
üzenetére
Nekem is sebesség problémám van L2TP/IPsec-en belül továbbra is.
VPN server L2TP/Ipsec Mikrotik 4011.
Annyit tudunk mostmár ha egy másik mikrotik routerrel csinálunk btestet VPN-en keresztül
100/100 a vpn szerver 1000/300 as digi net kliens között ott nagyjából megvan a sebesség 80-90 Mbit mind a két irány.
Probléma akkor jön ha a routeren lógó SMB szerverről akarok másolni VPN-en keresztül egy kliens windowsra ugyan ezen a rendszeren keresztül akkor csak 20-25Mbit között van a letöltési sebesség. Csináltunk windows kliensről jperf tesztet úgy hogy az SMB serveren (ubuntu 12.04) a jperf server.
Itt is arra jutottunk mint a másolásnál. 20-30Mbit között.
Sajnos érthetetlen a dolog.
Annyi infó hogy szerintünk az MTU érték lehet a probléma. SMB serveren elvileg 1500 az MTU 100/100as Internet ami Ethernet SHD Telekom béreltvonali internet az is 1500.
Az L2TP meg csak 1400MTU értéken fut. Kliens oldalon a digi net ha minden igaz akkor 1498 a másik kliens esetén 1500MTU.
Arra gondolunk hogy a csomag mért miatt darabolásra elmegy a sebesség.
Valakinek ötlet esetleg? -
Formaster
addikt
válasz
Adamo_sx
#11493
üzenetére
A szolgáltatói router csak neted ad, igaz azon nem lehet kikapcsolni a DNS-t, de ettől még szépen átveszi a Pihole-Mikrotik a DNS szerver funkciót. Onnantól, hogy bedobja az "unable to resolve host" logot, nem is csatlakozik rá a Mikrotik kliensként, mintha ott járna le a kapcsolat időtartama, bár ilyen nem lehet elvileg.
Mikrotikben kikapcsolom-bekapcsolom a NAS-ra mutató DNS-t és újra csatlakozik.
-
Formaster
addikt
válasz
Adamo_sx
#11490
üzenetére
Érdekes, logban nem látok semmit a leállás időszakában. Nálam a verify-doh-cert hiányzik, illetve a dynamic-servernek a szolgáltatói routert állítja be automatikusan.
servers: 192.168.88.95dynamic-servers: 192.168.1.1allow-remote-requests: yesmax-udp-packet-size: 4096query-server-timeout: 2squery-total-timeout: 10smax-concurrent-queries: 100max-concurrent-tcp-sessions: 20cache-size: 2048KiBcache-max-ttl: 2dcache-used: 76KiB -
jerry311
nagyúr
válasz
Adamo_sx
#11111
üzenetére
Első körben két egyszerű és szívből szóló kérdés: miért szopatod magad? Tényleg élvezed?
Amit akarsz,a z az hogy a Pi-hole a routertől kapja a kéréseket, annak is küldje vissza, miközben a kérés forrás IP-je más és még egy alhálózaton is vannak. Ezt nem a routeren kell beállítani. Pi-hole-on felveszel 254 host route-ot a router felé és mindent oda fog küldeni ahelyett, hogy közvetlen válaszolna.
-
ekkold
Topikgazda
-
ekkold
Topikgazda
válasz
Adamo_sx
#11107
üzenetére
Szerintem azért nem megy a második esetben, mert:
- az eszközök a routernek küldik el a kérést
- a router továbbküldi a PiHole-nak,
- a PiHole válaszol is a kérésre, csakhogy az eszköz a routertől várja a választ, hiszen tőle kérdezett....Szerintem maradj az első, és egyébként jól is működő beállításnál.
A NAT szabályodból egyébként lemaradt a to-ports=53 -
joekajoeka
tag
válasz
Adamo_sx
#10339
üzenetére
Köszönöm az útbaigazítást!
Ertem, hogy amit felsoroltal peldanak az mit fog eredmenyezni, hogy 3 vagy 2 probalkozas utan automatikousan fekete listara kerul az IP cim amirol probalkoznak.
Csak azt nem tudom ezeket en, hogyan hozzam letre a Terminalba vagy a Firewall ablaknal egyenkent.
Probalkozom, jo dolog a "safe mode" log-out minden nullazodik igy lehet nyugodtan tesztelgetni. -
#9932
aragorn1000
csendes tag
Adamo_sx
#9929
aragorn1000
csendes tag
válasz
Adamo_sx
#9929
üzenetére
Köszi a válaszokat. A beállítás az aminek lennie kell, most állítottam be az alapértelmezett portra, sima pptp, alap windows titkosítással. Megy is mindennel mindenhol csak nálam nem. Való igaz, hogy telenor-os mobilnetem van kettő is. Arról nem tudtam, hogy tiltják a vpn-t egyes szolgáltatók ami azért elég vicces révén, hogy pont otthoni munkára találták ki persze minek is lehessen elérni a benti gépeket
Megnézem a Mikrotikban a kártyámat milyen mert épített routerem van (routerboard + LTE) még a régi korlátlan telenoros mobilnettel. -
brickm
őstag
válasz
Adamo_sx
#9526
üzenetére
Igazából, mindkettőtöknek, ugyanis ez a két szabály oldotta meg: (22,23) kettő közül bármelyiket kiveszem meghal a hairpin.
22 ;;; proba1
chain=dstnat action=dst-nat to-addresses=192.168.0.10 to-ports=80
protocol=tcp src-address-type="" dst-address-type=local dst-port=80
log=no log-prefix=""
23 ;;; proba 2
chain=srcnat action=masquerade protocol=tcp src-address=192.168.0.0/24
dst-address=192.168.0.10 out-interface=bridge dst-port=80 log=no
log-prefix=""24 ;;; site forwarding
chain=dstnat action=dst-nat to-addresses=192.168.0.10 to-ports=80
protocol=tcp in-interface=pppoe-out1 dst-port=80 log=no log-prefix=""Igazából nem arra gondoltam, hogy ROS hiba okozza, csak mielőtt bejött ez a loval bridge használata, egyetlen egy szabály volt, ami a hairpint megoldotta és remekül működött is 2-3éven át használtam.
-
almi
senior tag
válasz
Adamo_sx
#9058
üzenetére
Köszi a tippeket!
A Firewall eszi a legtöbbet speedtest alatt a CPU erőforrásaiból egyébként.
Be van kapcsolva a FastTrack, de most olvastam egy olyat, hogy a FastTrack csak az ether1-2-es porton működik. Ezt majd még kipróbálom, mert most ether3-on van a T-s modem, hátha javít a dolgon. -
válasz
Adamo_sx
#7332
üzenetére
kipróbáltam
packeteket megjelölve 1-2% közt van a CPU Load
connectiont jelölve 0-1%
feleannyi, de elhanyagolhatónak látom így is a terhelést.cserébe nem jövök rá, hogy a megjelölt kapcsolatot hogyan tudom a Queue-ban szabályozni? csak packet-markra tudok szabályt létrehozni
plusz nem vagyok benne biztos, hogy a postroutingban van ez a legjobb helyen.
mármint igazából így is működik, érezhetően jobb lett az otthoni elérésem, de ha lehet még fejlődni, az sosem zavar. -
brickm
őstag
válasz
Adamo_sx
#6925
üzenetére
Ezek szerint olyan jól megszerveztem a tűzfalamat, hogy nem lassít semmit a kapcsolaton, mert hiába rakosgatom, nem történik az égvilágon semmi.
![;]](//cdn.rios.hu/dl/s/v1.gif)
Szerk.: nekem eddig is egy accept rule volt az első, ami a már meglévő felépült kapcsolatokat engedte át. Lehet ezért nincs változás, mert a fasttrack se cisnál sokkal többet.
-
válasz
Adamo_sx
#6925
üzenetére
Fasttrack nélkül
lenry@Echo-Five:/$ speedtest
Retrieving speedtest.net configuration...
Testing from Magyar Telekom (xxx.xxx.xxx.xxx)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Opticon Kft. (Kecskemet) [46.39 km]: 491.587 ms
Testing download speed..................................................................
Download: 17.50 Mbit/s
Testing upload speed.......................................................................
Upload: 1.25 Mbit/sFasttrack-al
lenry@Echo-Five:/$ speedtest
Retrieving speedtest.net configuration...
Testing from Magyar Telekom (xxx.xxx.xxx.xxx)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Opticon Kft. (Kecskemet) [46.39 km]: 494.288 ms
Testing download speed..................................................................
Download: 18.90 Mbit/s
Testing upload speed.......................................................................
Upload: 1.39 Mbit/sén nem érzem az egetrengetést...
-
-
mcll
senior tag
válasz
Adamo_sx
#6081
üzenetére
Közben megtaláltam a hibát.
Mivel UPC alatt nem volt PPPoE így a "WAN" nevű interfészen dolgozott. Ezt át kellett írni a PPPoE interfészre. Tehátglobal theinterface "WAN"
helyett, a jó:
global theinterface "pppoe-out-DIGI"
Most updateli szépen. Majd figyelem menet közben ha váltás történik hogy utánamászik-e. Nem tudom milyen sűrűn vált a Digi.
Amit viszont sajna nem tudok megoldani (és szerintem nem is lehet, csak FIX IP-vel, ami a Diginél csak üzleti csomagban van horror pénzért) hogy van egy <akármi>.earth nevű domainem is (101domain.com-on regisztrálva és hostolva) és ott nem tudom updatelni csak ha bemegyek oda és ott átírom.
-
bacus
őstag
válasz
Adamo_sx
#5653
üzenetére
Ez konkrétan jó tipus, át kellett konfigolni, mert nem lte modemként ismeri fel, de stabil 30/30 Mbitet tud nálam, évek óta használom kempingben egész nyáron május-szeptember. Soha nem kell újraindítani, tápot elvenni. 100 nap folyamatos online, után is áramszünet miatt indult újra.
Egy rb952-be van bedugva, érdekesség, hogy 951g-vel nem ment (2 éve legalábbis)
Ugyanilyen konfigot csináltam még pár embernek, még egyet se hoztak vissza problémával.
-
bacus
őstag
válasz
Adamo_sx
#5101
üzenetére
www - fixed http server vulnerability;
Ráadásnak a http szerverben volt a bug. Ezt még azelőtt tiltom, hogy átírnám a jelszót, ami a 0. lépés
Any RouterOS version with firewall on the www port from untrusted networks was always safe. The original vunlerability that was fixed in march 2017 was only affecting you, if the www port 80 (webfig) was open to untrusted networks.
-
bambano
titán
válasz
Adamo_sx
#5096
üzenetére
"A "befelé" irány számomra, ha mondjuk a pc-re letöltök valamit az internetről.": igen.
ezért nem tudod szabályozni. a befelé irány azt jelenti, hogy a szűk keresztmetszet (bejövő drót) túlvégén vagy, ahol már nincs értelme és nem is lehet semmit szabályozni.qos-t két feltétel teljesülésével lehet csinálni:
- torlódásnak kell lenni
- mindig annak a drótnak az indulási oldalán kell, amelyen szabályozni kell.sorbanállás is mindig egy szűkös erőforrás előtt van, nem utána. a teszkó pénztárban sem állnak sorba a pénztár után.
-
-
-
bambano
titán
válasz
Adamo_sx
#4607
üzenetére
2011-es fórumtémákat nem sok értelme van már elolvasni, annyi minden változott a rosban.
a netflow-val az a baj, hogy a címfordítási táblázatot nem adja ki.
amit meg abban a fórumban írtak, az nettó hülyeség: azt mondja ott valaki, hogy lehetetlen, hogy komplett nat tábla legyen a routerben, mert nem férne el a ramban. ez azért marhaság, mert ha nem lenne komplett nat tábla a routerben, nem tudna natolni.de mindjárt előkapok egy üres routert és megtesztelem, hogy a teljes conntrack tábla kijön-e belőle vagy csak csonkítva.
-
bambano
titán
válasz
Adamo_sx
#4604
üzenetére
nem teljesen.
miután rendszeresen szükségem lenne a conntrack tábla tartalmára, így a kézi buherálás nem működik.viszont az egy érdekes lehetőség, hogy lehet neki fájlnevet megadni... ha a fájlnévbe tudnék dátumot kódolni, majd ki tudnám szedni a routerből, az nagy dobás lenne...
-
#4355
Core2duo6600
veterán
Adamo_sx
#4354
Core2duo6600
veterán
válasz
Adamo_sx
#4354
üzenetére
Ez tiszta sor, nekem nincs output szabály beállítva, de ettől még arra menne, ha lenne.
A szolgáltató dns szerverének a válasza meg szintén input ha jól gondolom (de vajon milyen portokon ?), ezért nem volt feloldásom, ha tiltottam az inputot a wan in -en.
Lényegében elég lenne az input a wan felől a dns válasznak ha jól értem, jól értem ?
-
Lezl
tag
válasz
Adamo_sx
#4024
üzenetére
Minden bizonnyal jó
Csak nem túlzottan látom át a konfigot, mit kéne keresnem hogy néz ki normál esetben egy ilyen szűrés? Van bent vagy 30 szabály... a tűzfalnál. Süsü vagyok hozzá.
A dhcp ip kiosztás sávszél korlátozás rész sima külső port átengedés dolgok mennek pl ezt a portot simán kiengedni tudom de lanon a 2 gép valami szabálllyal teljesen el van zárva...próbálkoznék szabályokkal, csak egy éles rendszer rajta 500 klienssel annyira nem lenne jó ha mindenki eldobná a kapcsolatot -
Proci85
senior tag
válasz
Adamo_sx
#3712
üzenetére
"Így kb. 8-10 Mbps a kimenő irányba a sebesség"
2011-gyel ennyi a teteje L2TP-vel. L2TP nélkül ~12Mbps.
Ezzel szemben 3011:
default ipsec beállításokkal: 84.6 mbps
esp: blowfish-blowfish: 90.9 mbps
esp: blowfish-null: 200 mbpsah: blowfish-blowfish: 222 mbps
itt AH miatt nincs szerepe a második encryptnek.ipsec nélkül: 902 mbps cpu0 40-60%
A mérések iperf programmal történtek.
-
pn4hvq
senior tag
válasz
Adamo_sx
#2725
üzenetére
Először is köszönöm a választ. Kipróbáltam, amit írtál, de nem jártam sikerrel. A port_forward chain esetemben létezik, mert aki bekonfigolta az eszközt, (gondolom) létrehozta.
A saját szabályomat egy másik szabályból másoltam, aminél jól működik a forwardolás. Az eredeti és az én szabályom közötti különbség a belső eszköz ipje, és a külső-, belső port szám.
Máshonnan próbálom megközelíteni: valahol engedélyeznem kellene a belső 80-as és/vagy a külső 91-es portokat? -
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Router logban semmi, Pihole logba unable to resolve host van. Mikrotik oldalon újra engedélyezem és ismét megy 
Típust esetleg tudnál írni?
Új hozzászólás Aktív témák
ekkold- AKCIÓ! Acer Predator Triton Neo 16 15 notebook - Ultra 9 185H 32GB RAM 2TB SSD RTX 4070 WIN11
- Zebra ZP505 EPL - Hőpapíros címkenyomtató
- Update 06.13. Bomba árak 2025-ben is! Üzleti - Consumer laptopok DELL FUJITSU HP LENOVO
- DELL Precision 7540 - Intel Core i9-9980HK, RTX 3000 (nagyon erős GPU-val)
- Csere-Beszámítás! Számítógép PC Játékra! I5 14400F / RTX 4060ti 16GB / 32GB DDR5 / 1TB SSD
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest