-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
SimLockS
tag
Konkrétan ezt a típust nem ismerem, de minden dobozos cucc licenszelve fenn van a "vason". Sztem szokott rajta lenni alapkonfig is, hogy IP alapon is elérd. Ha Winboxszal ugrasz neki, akkor felajánlja az alapkonfig törlést. Legalábbis így emlekszem azokra, amiket próbáltam...
-
-
-
beírod, hogy print
ha van benne switch chip, akkor látni fogod a konfigját. (a konfig egy részét)
tehát valami ilyet:/interface ethernet> print
Flags: X - disabled, R - running, S - slave
# NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH
0 ether1-master-l... 1500 E4:8D:8C:81:CA:1D enabled none switch1
1 S ether2-slave-local 1500 E4:8D:8C:81:CA:1E enabled ether1-master-local switch1
2 S ether3-slave-local 1500 E4:8D:8C:81:CA:1F enabled ether16-lan switch1
3 S ether4-slave-local 1500 E4:8D:8C:81:CA:20 enabled ether16-lan switch1
4 RS ether5-slave-local 1500 E4:8D:8C:81:CA:21 enabled ether16-lan switch1
5 RS ether6-slave-local 1500 E4:8D:8C:81:CA:22 enabled ether16-lan switch1
6 S ether7-slave-local 1500 E4:8D:8C:81:CA:23 enabled ether16-lan switch1
7 S ether8-slave-local 1500 E4:8D:8C:81:CA:24 enabled ether16-lan switch1ezen már látszik pár dolog, amin el lehet indulni.
szerk: ja, neked pc-n vmware-ben futtatott routeros-ed van. abban nincs switch szerintem.
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Proci85
senior tag
Ha elég a features limit (pl. 1 egyidejű VPN kapcsolat), akkor kérj ingyenes demo licenszet ami örök élet, nem áll le 24 óra után.
Én több x86-os rendszert igy használok és elég amire kell. Frissíthető, semmi hátrányt nem szenvedsz a számbeli limiteket leszámítva.[ Szerkesztve ]
-
Proci85
senior tag
Szia
A switch chip HW-s switch, bridge pedig egy SW megoldás, erősebb CPU terheléssel.
Amelyikben van switch chip, ott tehermentesíteni tudod a CPU-t, ha adott portotokat 1 switchez kapcsolod (master port -os szisztéma).
Ez a portok közötti komminikációnál, VLAN kezelésnél kihagyja a CPU-t (konkrétan a csomag nem jut fel CPU szintre), és nagyságrendekkel nagyobb átvilteli sebességet tudsz elérni a portok között.
Persze, amint tűzfal szabályokat használsz ezekre a portokra, fel kell küldenie a CPU-nak.
A VLAN kezelést is máshol, másként kell intézni, ha switch chipen vagy bridgelt módban akarod használni.
[link][ Szerkesztve ]
-
csusza`
senior tag
Voilá:
C:\Users\csusza>tracert www.index.hu
Tracing route to www.index.hu [217.20.130.99]
over a maximum of 30 hops:
1 <1 ms <1 ms 1 ms 192.168.1.1
2 2 ms 2 ms 2 ms 145.236.238.26
3 4 ms 4 ms 4 ms 81.183.3.144
4 4 ms 4 ms 4 ms 81.183.3.145
5 5 ms 6 ms 6 ms 81.183.2.237
6 4 ms 4 ms 4 ms 195.56.20.177
7 4 ms 7 ms 4 ms index.hu [217.20.130.99]
Trace complete.Most egyébként újraindítottam a routert, mert kíváncsi voltam, hogy a no-ip DDNS befrissíti-e a címet... Router hiába írja, hogy befrissítette a címet, de nem... Semmi.
Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!
-
csusza`
senior tag
Kedden fightolok velük egy sort, aztán meglátjuk...
Addigis lenne még egy kérdésem: VLAN esetén tudja-e esetleg valaki, hogy menedzselt switch-en lehet-e VLAN-t végeztetni úgy, hogy a switch megadott két portján menjen ki a VLAN?
Konkrétan egy Mikrotik routerben 4-es VLAN taggel van létrehozva egy hálózat(192.168.4.x), amely kimegy egy 48portos AlliedTelesis switch-re, aminek a 46-47 portjára kéne ráakasztani két eszközt, amik ezt a 4.x IP-t kapnák meg... Lehet kicsit bonyolult, de nem akarok a switchre még két eszközt switchet ráakasztani, ha nem muszáj.[ Szerkesztve ]
Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!
-
bacus
őstag
Nem tudom mire gondolsz, mindenkinél másra van szükség. Ami kell, azt felhúzod rá.
A minimális firewall konfig (ami a reset után előhivható) tartalmazza a tényleg minimálisat, ez kb ugyanaz mint a soho routerek firewallja.
input wan felől tiltva, nat, invalid csomagok eldobása, establised,related elfogadása, a többi eldobása.
Ez igy egy nagy halom semmi, de látod, van aki megveszi weben beállitja, aztán boldog vele
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
brickm
őstag
Illetve még egy kérdés, mert közben sikerült visszacsinálhatatlanul elnyomnom a routert...
Ha nem csinálok bridge-et...akkor nem adhatok dhcp servert az etherhez?
Most próbálgattam és ha kiveszem a bridge-et, és átirányítom a dhcp servert meg a tűzfalat az ether2-re direktbe, akkor elmegy a netem. -
Adamo_sx
aktív tag
-
Adamo_sx
aktív tag
Ennyi kell hozzá, nálam is így van beállítva. Az IN intreface nem egyértelmű nálad, odaírtad az ether1-et is. Én a PPPoE klienst állítottam be.
De kérdés nálad a belső IP cím is, mert a korábbi ábrán, amit belinkeltél, nem volt ilyen IP cím.
DST-NAT,
Interface:
2 chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=51413 protocol=tcp in-interface=WAN dst-port=51413 log=no log-prefix=""
13 R ;;; Digi PPPoE
WAN pppoe-out 1480[ Szerkesztve ]
-
brickm
őstag
-
Adamo_sx
aktív tag
Csak tipp: IP tartományok, kiosztott IP címek rendben vannak? A csatolt képeiden pl. a router 192.168.0.1, korábban meg azt írtad, a 192.168.254.10-es IP-re akarsz port forwardot, egy korábbi képen pedig a 192.168.254.11 volt beállítva. Nem lehet, hogy valahol elkavarodtál?
Amit legelőször leírtál, annak működnie kellene, ha valami más gond nincs a hálózatban.
Az in interface-t (és esetleg a WAN ip címet a dst címhez) azért szokás megadni, hogy csak azokban az esetekben működjön a port forward. ha kihagyod, akkor a routerbe érkező összes olyan csomag, ami a dst portra megy, továbbküldi a beállított IP:portra. Azt is, ami a belső hálóból menne kifelé. -
rekop
senior tag
Chain:dstnat
Protocol: tcp
dst port: 40082
Action-:dst-nat
To Adresses:192.168.0.101
To Port: 40082
In interface-nek ne írj be semmit, a te konfigodban nem szükséges. Így menni kellene, vagy még annyit kipróbálhatsz, hogy csinálsz még egy szabályt ugyanezekkel a beállításokkal udp-re is.Eladó dolgaim: https://tinyurl.com/5n7jmuvj
-
brickm
őstag
Feltettem a 6.34.1-es csomagból a ROS mipsbe csomagot, kinyitottam megint a portot és elérem kintről.... Mást nem csináltam közbe.,..elvileg.
kerestem bugfix logokat senki nem jelzett efféle hibát, vagy nem találtam meg.
sebaj.
Másik: az ntp csomagot hogy tudom telepíteni? Felmásoltam lefuttattam a frissítést, de nem tudok az SNTP client-ben szervert megadni.Csak boradcast-re lehet állítani...
szerk.:meg is válaszoltam magamat, nem telepítette az ntp-t még.rekop
Próbálkoztam tegnap este tcp és udp porttovábbítással egyaránt, nem ment egyikkel sem.
De megoldódott szerencsére. köszönöm azért mindenkinek a segítséget![ Szerkesztve ]
-
bacus
őstag
Látod itt a baj, amikor betévedsz egy fórumra, nem olvasol, csak kérdezel.
Ha csak kicsit vissza lapoznál akkor megtaláltad volna a megoldást. HAIRPIN néven. Többször előjött, több megoldás is linkelve lett.
Mobilnetről viszont mennie kellene. (feltéve, hogy nem szűrik az adott portot, mert pár port azért szürve van jó pár csomagban.)
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
bacus
őstag
Hát legyen. Ha még a megoldást sem akarod elolvasni, vagy megérteni, akkor szenvedj tovább. Szar ez a mikrotik, hogy nem tudja alapból a hairpin szabályt, mint bármelyik gagyi soho router, vagy pont úgy működik ahogy kell?
Amit linkeltem oldalt olvasd el még párszor, talán sikerül megérteni mi a probléma, ha megérted, talán sikerül a megfelelő nat szabályt még hozzáadni a tűzfaladhoz. Minden más esetben ott a visa / ecmc / paypal.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
Adamo_sx
aktív tag
Azért a dologhoz az is hozzá tartozik, hogy kérdeztél itt a fórumon részinformációkat megadva. Csupa olyan választ kaptál, hogy ki-hogy állította be magának és nála működik. Nálad egyik sem, az sem, ami más wiki oldalakon, fórumokon szintén sokaknak működött. Alapvető hálózati ismeretek nélkül, csak a példákat nézegetve nem lehet mindent beállítani egy ilyen routeren.
Bár előfordul, hogy egy már működő dolgot elrontanak a Mikrotiknál egy frissítésnél, de azt azért te sem gondolod komolyan, hogy ilyen hiba lett volna a ROS adott, viszonylag új verziójában és ez csak neked tűnik fel... -
bacus
őstag
Kivülröl megy, (ment mindig is, erre sok pénzzel mernék fogadni), de szarul teszteled, ugyanis a te tesztedhez hairpin kell.
Napi 15 órában hálozatokkal foglalkozom, már akkor értem a problémát, mielött sikerül rendesen megfogalmaznia az emberek 99%-nak.
Olvasd el mit kérdeztem, majd mit válaszoltál rá.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
brickm
őstag
Elfelejtettem:
Most egy ilyen tűzfal rule-t tettem be, hogy ne tudjon kifelé kapcsolódni, így ha portot nis nyitok neki, nem érem el kintről.0 chain=forward action=drop src-address=192.168.0.111-192.168.0.126 log=no log-prefix=""
Kérdés, hogy ez így mennyire szakszerűtlen és hogy ennek körülbelül hol kell elhelyezkednie a szabályok között?
-
bacus
őstag
Ezt a feladatot tökéletesen megoldja a maszkolás, a nat.
Ezen túl már csak a csipő fogós módszer ami biztosabb, azaz simán levágod a csába a hálózatról, egy zárt láncra és csak helyben nézegethető az nvr.
Ugyanis az összes többi módszer, nincs átjáró, firewall tiltó szabályok szart se érnek, ha mondjuk már vpn-el bejutott, ugyanis akkor már nincs tűzfal, nincs semmi, ott van helyi hálón. (egy fertőzőtt gép elegendő, vagy egy teamviewer, vagy logme in, vagy hamachi, vagy...)
Fél megoldás, ha leragasztod a kamerák objektivjét fekete szigszalaggal, vagy mint a filmekben egy konzolon egy statikus képet raksz a kamera elé.."Kérdés, hogy ez így mennyire szakszerűtlen és hogy ennek körülbelül hol kell elhelyezkednie a szabályok között?"
Tedd a legvégére, abból baj nem lehet.
Komolyan: minden linux alapú tűzfal úgy megy, hogy a szabályok kiértékelése az első illeszkedő szabályig tart.
Azaz ha van előtte egy accept, utána nem értékeli már ki, hogy helló, a végén még ide irtam, hogy de ha ez akkor drop, vagy fordítva, ha egyszer azt mondtad, hogy drop, akkor aztán hiába akarod később acceptálni.ha nincs illeszkedő szabály, akkor accept fog érvényesülni.
Két féle képpen gondolkozhatsz:
-tiltod amit nem akarsz, majd a végén minden accept (ezt ugye oda se kell irni)
-engeded amit akarsz és a végén minden dropa második módszer biztonságosabb és kevesebb szabályt is kell alkalmazz. Innen visszatérhetünk a legelejére, hogy is kell biztonságosan letiltani, hogy kivülről ne legyen elérhető? Nem forwardolsz oda semmit. Ennyi.
[ Szerkesztve ]
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
gabyka
aktív tag
Köszi , ezeken már túl vagyok, nem ma kezdtem...nyomtató jó, gépek (3 laptop) jók, hálózat (wifi) működik. Nyomtatás, nyomtatóval kommunikáció, na az provizórikus...nyominger válaszol de nem nyomtat (viszont HP, val'szeg ő a gyenge láncszem), mindez win10 óta. Megy vissza a 8.1, nem ér annyit az órabérem
-
bacus
őstag
Nem igen van olcsó alternativa. Ujraépitett toner 3e /db fekete, 4-5e a szines. Egy huszas, ha mindet egyszerre kell cserélni. Itt uj szelén henger, uj chip, stb. Gyakorlatilag gyári minöségü tonereket kapsz, vele gondtalanságot. W10 nekem csak szivás (vállalati környezetben) w7 hez képest, nulla elönnyel! W7 alatt minden működik, remélem még évekig fog is.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
gazrobur
csendes tag
Szia.
Nekem automatikusan hozzáad egy masquerade-et. (Firewall->Nat)
http://kepfeltoltes.hu/160219/tik_www.kepfeltoltes.hu_.jpg
Itt pedig gyönyörűen ad ip-t. Egy problémám van. Mikor elmegyek egy másik hálóra, és ott próbálok vpn-re csatlakozni akkor viszont nem lesz interneten ping nem működik. Mi lehet a probléma?
[ Szerkesztve ]
-
SimLockS
tag
Azt úgy tudod megoldani, hogy csinálj egy simple queue-t az adott IP-re, de adj is rá valami korlátot, ami lehet nagyobb is mint az egész net elérésé is. Utána amikor látod, hogy matchcsel az adott szabály, akkor abba belelépve már van torch.
Esetleg -ezt fejből nem tudom biztosan- a dhcp lease -nél is lehet, hogy megnézhető...[ Szerkesztve ]
-
-
balaaa88
aktív tag
Lényegében "MAC-cím szűrést" szeretnék beállítani egy adott interface-re. Tehát felveszem firewall szabályok közé az ismert MAC-eket, azokat engedélyezem, majd az adott interface-en eldobom a többi kapcsolatot.
A kérdés az akart lenni, hogy 1. ez így jó-e? 2. illetve, hogy elég csak az input chain-be megadni az engedélyező szabályokat és a drop-ot vagy kell hozzá még az output illetve forward chain is?
Köszi
Új hozzászólás Aktív témák
- APPLE MacBook Air 2020 13" Retina - M1 / 8GB / 256 GB SSD / MAGYAR / 96% akku, 81 ciklus / Garancia
- LG NanoCell 55NANO766QA Halvány píxel csík
- Philips 58PUS8545/12 1 ÉV GARANCIA Játék üzemmód
- Tyű-ha! HP EliteBook 850 G7 Fémházas Szuper Strapabíró Laptop 15,6" -65% i7-10610U 32/512 FHD HUN
- Bomba ár! HP EliteBook 840 G5 - i5-8G I 8GB I 128GB SSD I 14" FHD I HDMI I Cam I W10 I Gari!