-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#96292352
törölt tag
válasz Adamo_sx #1350 üzenetére
Igen, ez pont azt mutatja, amit irtál. Amit hiányolsz, pont az kell.
A 200.254 maga a gateway, a távoli hálózaton.
A PPTP az szépen megy látom az ottani dolgokat, oda-vissza tudok is file átvitelt is csinálni.Tehát, a kérések eljutnak a célgéphez a fix ip felől (a pptp-n keresztül), viszont a válasz az nem arra megy, ahonnan a kérés jött, hanem az otthoni ip-n megy ki, de ott ezzel ki is siklik.
-
senior tag
válasz Adamo_sx #1381 üzenetére
"natolt hálóban levő mikrotik router lehetőségei már eléggé korlátozottak"
Ha a Miki az egyetlen router a kis helyi hálózatban, vagy ő a második ugyanitt, ugyanúgy 1db NAT van az útvonalban. Tehát van egy NAT itt is,meg ott is. Ugyan annyi korlát (NAT) van. Vagy valamit még nem számoltam bele?
[ Szerkesztve ]
-
brickm
őstag
válasz Adamo_sx #1428 üzenetére
Azért írtam oda az ether1-et zárójelbe, hogy jelezzem, oda van bedugva, de a PPPOE kliensre hivatkoztam amúgy. (De próbáltam ether1-re is)
Számomra egy dolog nem egyértelmű még ezzel kapcsolatban.
Vannak források, ahol megadják wan ip címet a 3.sorban, van ahol nem adják meg.
Kell, ha igen miért?
Mivan dinamikus wan ip esetén?Nem kéne a gép tűzfalának zavarnia, mert a tp linkkel ami ezelőtt volt bedugva simán csinálta, amit kell egy forward után.
Megpróbálom kihagyni az in interface-t.[ Szerkesztve ]
-
brickm
őstag
válasz Adamo_sx #1440 üzenetére
A tartományok és a címek azért változnak időközben, mert ahányszor reszetelem, annyiszor másik tartományt használok. Csak közben más dolgokat is próbálgatok benne időnként, ezért reszetelgetem.
Jelen pillanatban:
Addresses:
192.168.0.1/24
pool:
192.168.0.100-192.168.0.150
Networks address:192.168.0.0/24
Gw: 192.168.0.1
DNS:192.168.0.1DHCP fül alatt pedig a pool az ether2-re megy, ami mastere a 3-4-5-nek jelenleg.
A gép ip-je:
192.168.0.101 (fixált)A tűzfal pedig gyári,sorrend is.
Ether1-en egy PPPOE kliens van, arra hivatkozok, bejövő cuccoknál, próbáltam sima ether1-re hivatkozva úgy egyértelműen nem volt netkapcsolat se.
-
lcdtv
aktív tag
válasz Adamo_sx #1453 üzenetére
így csináltam de nem jó valamiért
ip dns set allow-remote-requests=yes
ip firewall filter
add chain=input comment="TCP DNS" connection-state=new dst-port=53 protocol=tcp src-address=192.168.88.10
add chain=input comment="UDP DNS" connection-state=new dst-port=53 protocol=udp src-address=192.168.88.10ip firewall nat add action=dst-nat chain=dstnat comment="Norton DNS" dst-port=53 in-interface=bridge1 protocol=tcp to-addresses=199.85.127.20 to-ports=53
ip firewall nat add action=dst-nat chain=dstnat comment="Norton DNS" dst-port=53 in-interface=bridge1 protocol=udp to-addresses=199.85.127.20 to-ports=53[ Szerkesztve ]
-
bacus
őstag
válasz Adamo_sx #1459 üzenetére
biztos jó ez is, de itt is kell a dhcp-n fixálni az eszközt.. , viszont ami a fő különbség, az az, hogy itt utána a kliens mindegy mit akar majd dns-nek, a dst-nat szabály ráerőszakolja, amit megadsz. (persze lehet ez a cél),
mig a másik megoldásnál, egyszerüen dhcp-n kap beállitásokat, amik eltérnek az alapértelmezettől.pl amig normál esetben mindenki megkapja dhcp-n a belső windows szervert mint dns szervert, addig a windows szerver megkapja a google dns szerverét alapértelmezésben (tehát nem saját magát).
Az már más kérdés, hogy nem hiszem, hogy értelmes ember dhcp-n hagy egy windows szervert.A ráerőszakolással lehet viszont olyan szüréseket csinálni, amik belülről nem érhetőek el.
pl mikrotik lesz a dns szerver, minden dns kérést átirányitasz a mikrotikra, majd a static dns táblában kinyirod az index.hu -t. A user onnét nem tudja behivni egyik index.hu oldalt sem, lévén, hogy nincs névfeloldása, ill. az mondjuk egy belső szerver lapjára mutat, hogy a kért oldal nem elérhető.
(a hosts fájlhoz sem lehet irási joga a saját gépén, illetve az ip cimet sem változtathatja meg - arp táblában staticra állitani, no meg nyilván a mac addresst sem irhatja át)Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
n00n
őstag
válasz Adamo_sx #2130 üzenetére
Köszi, mint mondtam még sose volt doglom Mikrotik routerrel. Forgalomnál említettem, hogy 250-es UPC netünk van, de szinte negyede sincs kihasználva, mivel csak böngészésre használjuk. Semmi extra routolásra nincs szükségünk, jelenleg ezt a UPC-s cisco-s modem/routere látja el alapbeállításokon. Wi-Fire nincs szintén szükség, mivel ez pár emelettel lejjebb van, mint a fenti switch és a gépek. USB mobil stick nem lenne hülyeség ellenben. Erre valami ötlet?
-
bacus
őstag
válasz Adamo_sx #2583 üzenetére
Félre értesz. A fö routeren ok, a gépeken ok, de a fö router mögé rakott capsmanokon nem jó.
(Tetézve azzal, hogy néha androidon nem megy semmi, ezért inkább ki is szoktam kapcsolni. Néha frissités után probálkozom, mert nem értem..)Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
pn4hvq
senior tag
válasz Adamo_sx #2725 üzenetére
Először is köszönöm a választ. Kipróbáltam, amit írtál, de nem jártam sikerrel. A port_forward chain esetemben létezik, mert aki bekonfigolta az eszközt, (gondolom) létrehozta.
A saját szabályomat egy másik szabályból másoltam, aminél jól működik a forwardolás. Az eredeti és az én szabályom közötti különbség a belső eszköz ipje, és a külső-, belső port szám.
Máshonnan próbálom megközelíteni: valahol engedélyeznem kellene a belső 80-as és/vagy a külső 91-es portokat? -
-
-
válasz Adamo_sx #3363 üzenetére
míg a végén kiderül, hogy a capsmant össze lehet rakni alap debianos szoftverekből...
szerk: amikor utoljára néztem a *bsd-t, akkor még nagy kernel lockos single threaded network stackje volt. fejlődtek már?
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Proci85
senior tag
válasz Adamo_sx #3712 üzenetére
"Így kb. 8-10 Mbps a kimenő irányba a sebesség"
2011-gyel ennyi a teteje L2TP-vel. L2TP nélkül ~12Mbps.
Ezzel szemben 3011:
default ipsec beállításokkal: 84.6 mbps
esp: blowfish-blowfish: 90.9 mbps
esp: blowfish-null: 200 mbpsah: blowfish-blowfish: 222 mbps
itt AH miatt nincs szerepe a második encryptnek.ipsec nélkül: 902 mbps cpu0 40-60%
A mérések iperf programmal történtek.
[ Szerkesztve ]
-
Lezl
tag
válasz Adamo_sx #4024 üzenetére
Minden bizonnyal jó Csak nem túlzottan látom át a konfigot, mit kéne keresnem hogy néz ki normál esetben egy ilyen szűrés? Van bent vagy 30 szabály... a tűzfalnál. Süsü vagyok hozzá.
A dhcp ip kiosztás sávszél korlátozás rész sima külső port átengedés dolgok mennek pl ezt a portot simán kiengedni tudom de lanon a 2 gép valami szabálllyal teljesen el van zárva...próbálkoznék szabályokkal, csak egy éles rendszer rajta 500 klienssel annyira nem lenne jó ha mindenki eldobná a kapcsolatot[ Szerkesztve ]
-
Core2duo6600
veterán
válasz Adamo_sx #4354 üzenetére
Ez tiszta sor, nekem nincs output szabály beállítva, de ettől még arra menne, ha lenne.
A szolgáltató dns szerverének a válasza meg szintén input ha jól gondolom (de vajon milyen portokon ?), ezért nem volt feloldásom, ha tiltottam az inputot a wan in -en.
Lényegében elég lenne az input a wan felől a dns válasznak ha jól értem, jól értem ?
Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430
-
válasz Adamo_sx #4604 üzenetére
nem teljesen.
miután rendszeresen szükségem lenne a conntrack tábla tartalmára, így a kézi buherálás nem működik.viszont az egy érdekes lehetőség, hogy lehet neki fájlnevet megadni... ha a fájlnévbe tudnék dátumot kódolni, majd ki tudnám szedni a routerből, az nagy dobás lenne...
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
válasz Adamo_sx #4607 üzenetére
2011-es fórumtémákat nem sok értelme van már elolvasni, annyi minden változott a rosban.
a netflow-val az a baj, hogy a címfordítási táblázatot nem adja ki.
amit meg abban a fórumban írtak, az nettó hülyeség: azt mondja ott valaki, hogy lehetetlen, hogy komplett nat tábla legyen a routerben, mert nem férne el a ramban. ez azért marhaság, mert ha nem lenne komplett nat tábla a routerben, nem tudna natolni.de mindjárt előkapok egy üres routert és megtesztelem, hogy a teljes conntrack tábla kijön-e belőle vagy csak csonkítva.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
válasz Adamo_sx #4685 üzenetére
egyetlen egy kottát se találtam, ahol két bridge lett volna.
amikor beállítottam, akkor a másodikra nem rakott hw offloadot.
valahol van egy doksi, amit most nem tudok megtalálni, ahol ez le is van írva, hogy csak egy bridge esetén megy a hw offload.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
válasz Adamo_sx #5096 üzenetére
"A "befelé" irány számomra, ha mondjuk a pc-re letöltök valamit az internetről.": igen.
ezért nem tudod szabályozni. a befelé irány azt jelenti, hogy a szűk keresztmetszet (bejövő drót) túlvégén vagy, ahol már nincs értelme és nem is lehet semmit szabályozni.qos-t két feltétel teljesülésével lehet csinálni:
- torlódásnak kell lenni
- mindig annak a drótnak az indulási oldalán kell, amelyen szabályozni kell.sorbanállás is mindig egy szűkös erőforrás előtt van, nem utána. a teszkó pénztárban sem állnak sorba a pénztár után.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bacus
őstag
válasz Adamo_sx #5101 üzenetére
www - fixed http server vulnerability;
Ráadásnak a http szerverben volt a bug. Ezt még azelőtt tiltom, hogy átírnám a jelszót, ami a 0. lépés
Any RouterOS version with firewall on the www port from untrusted networks was always safe. The original vunlerability that was fixed in march 2017 was only affecting you, if the www port 80 (webfig) was open to untrusted networks.
[ Szerkesztve ]
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
bacus
őstag
válasz Adamo_sx #5653 üzenetére
Ez konkrétan jó tipus, át kellett konfigolni, mert nem lte modemként ismeri fel, de stabil 30/30 Mbitet tud nálam, évek óta használom kempingben egész nyáron május-szeptember. Soha nem kell újraindítani, tápot elvenni. 100 nap folyamatos online, után is áramszünet miatt indult újra.
Egy rb952-be van bedugva, érdekesség, hogy 951g-vel nem ment (2 éve legalábbis)
Ugyanilyen konfigot csináltam még pár embernek, még egyet se hoztak vissza problémával.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
mcll
senior tag
válasz Adamo_sx #6081 üzenetére
Közben megtaláltam a hibát.
Mivel UPC alatt nem volt PPPoE így a "WAN" nevű interfészen dolgozott. Ezt át kellett írni a PPPoE interfészre. Tehátglobal theinterface "WAN"
helyett, a jó:
global theinterface "pppoe-out-DIGI"
Most updateli szépen. Majd figyelem menet közben ha váltás történik hogy utánamászik-e. Nem tudom milyen sűrűn vált a Digi.
Amit viszont sajna nem tudok megoldani (és szerintem nem is lehet, csak FIX IP-vel, ami a Diginél csak üzleti csomagban van horror pénzért) hogy van egy <akármi>.earth nevű domainem is (101domain.com-on regisztrálva és hostolva) és ott nem tudom updatelni csak ha bemegyek oda és ott átírom.
"Microsoft gives you Windows... Linux gives you the whole house."
Új hozzászólás Aktív témák
- Creative Hybrid Pro Classic (Egyszer kipróbált, garanciális)
- iPhone 15 Pro 128gb Natúr Titanium, bontatlan, független
- ÚJ Apple Watch Ultra 2 GPS + Cellular 49mm - titántok, alpesi szíj
- 8/16GB memoriák
- APPLE MacBook Air 2020 13" Retina - M1 / 8GB / 256 GB SSD / MAGYAR / 96% akku, 81 ciklus / Garancia