-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Proci85
senior tag
Sziasztok
Melyik Mikrotik router javasolnátok?
Amire lesz:
-60/10Mbites kábelnet
-15 fős iroda, max 15 PC, 15 IP telefon, néhány laptop, 15 telefon WIFI-n. Wifit külön wifi AP viszi majd. Tehát ~50 kliens max, ebből átlag 25 lesz fent.
-dual wan megoldás kell, fő a kábelnet, tartalék net ADSL. Fail-over megoldás kell, tehát ha az egyik leszakad, a másikra menjen át.
-VPN-nel összeköttetés távoli szerverrel, VPN 0-24 megy, onnan érünk el fontos hálókat. VPN forgalom átlag 10Mbit.Köszönöm!
-
Proci85
senior tag
Sziasztok
CCR1009-8G-1S -ről van valakinek tapasztalata?
Mennyire bugzik? Nem túl régről azt olvastam, hogy a RouterOS nem képes kezelni a több magot, szálat, így tök fölösleges a 9 mag ide...nem tudom azóta alkottak-e valamit a fiúk?
Köszi
[ Szerkesztve ]
-
Proci85
senior tag
Próbáltad már?
Egyébként amennyire bugosan jönnek ki a Mikrotik sw-k 1-1 új hw-hez, simán elhiszem."Pár napra (még tavaly év vége fele) volt nálunk két CCR1016-12G, viszont nekünk nem vált be, processzor igényes munkát végzett volna (gre tunnel, natolás, tűzfal szabályok, és gbit közeli forgalom), de mint kiderült akkoriban a szoftvere még nem ismerte a multithreadet, így 1 mag 100%-on pörgött amíg a másik 15 pihent."
[link]
Egy ilyen vasnál ez CINK![ Szerkesztve ]
-
Proci85
senior tag
válasz menyus11 #307 üzenetére
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=9457 in-interface=WAN protocol=udp to-addresses=192.168.200.2 to-ports=9457A WAN az az interface, ahonnan a netet kapod. Nekem az ether1 WAN-ra van átnevezve. Ird át a tiédre.
A 192.168.200.2 az a belső hálós IP, ahol a szerver van, írd át a tiédre.Ha a forwardot alapból dropolod, akkor ott is engedd be ezeket a portokat. Ott már nem szükséges megadni cél IP-t, csak portot.
[ Szerkesztve ]
-
Proci85
senior tag
Irhatsz a gyártónak, de szerintem elhajt. Ilyen okok miatt a licenszet ki kell menteni vész esetére.
Amit tehetsz legrosszabb esetben: a mikrotik oldalán beregelsz és kérsz 1-es szintű ingyenes demo licenszet. Az alap dolgokat korlátlan ideig használhatod. Ehhez bekéri az installált RouterOS key számát (ki tudod olvasni a licensek alatt) és arra rögtön kapsz mailben egy privat key-t. Ezt beadod a RouterOS-nek és level 1-ed lesz. -
Proci85
senior tag
1x van egy key amit a netről letöltött RouterOS-ek random(?) generálnak, tehát mindegyiknek más. Aztán, hogy abból hogyan kapsz privat keyt, azt passz.
Ha nem értettem félre, minden RouterOS installer egyedi azonosítóval van ellátva. Ebből azt tippelem, ha tehát a letöltött installert többször felteszed, ugyanaz a key lesz? Ezt letesztelem magam is. A napokban kezdtem el foglalkozni a licenszelés kérdésével én is. -
Proci85
senior tag
Nézz át a milyen router vegyek topikba. Ott több felsőkategóriás 20.000 Ft körüli asus asztali router is van ami hardveres NAT-ot tud, így a 8-900Mbitet tud routeolni. Arra is számolj, hogy több kisebb wifi jobb, mint 1 nagy, mert noha a mikrotik 1W-tal sugároz, az csak egyik irány. A matyi telefonod még nem fog tudni 1W-tal viszaválaszolni a messzi mikrotiknek -> több, kisebb wifi.
[ Szerkesztve ]
-
Proci85
senior tag
Ha nins extra igényed, amit egy home router ne tudna, akkor neked is javaslom az Asus routereket ahol hardveres NAT van, így kiviszi a gigabit route-ot.
Újabban Tomato firmware is ki tudja használni a hardveres NAT-ot, így a open-source firmwarek előnyét is élvezheted (VPN, storage mount, iptables tűzfal, scriptelés,stb). -
Proci85
senior tag
válasz TonTomika #344 üzenetére
CRS-ről nincs infóm, de CCR-t (Cloud Core Router) szidják páran kiforratlansága miatt. Félek a CRS is ilyen, de aki jobban benne van, majd kijavít.
1100AHx2 illetve a 2011 nagyon kiforrott típusok. Legutóbb épp egy szerverteremben telepített Mikrotik nézett szét milyen szomszédos eszközök vannak és meglepően tapasztaltam, hogy szinte csak e két típus közül volt mind. (10 eszközt láttam a hálózati szegmensemben). -
Proci85
senior tag
RouterOS-ben megoldható, hogy a routerrre csatlakozott LAN IP-k napi/heti/havi net forgalmának MByte-os mennyiségét lássam?
-
Proci85
senior tag
Sziasztok
Ha van egy RB750-es routerem v3.x-es RouterOS-el, akkor azt fel tudom upgradelni 5 vagy 6.x-es RouterOS-re külön licensz vásárlása nélkül?
-
Proci85
senior tag
Gyári router, gyári licensszel (pl. level 4). 1x megveszed a HW-t, jellemzően nem kell fizetni x frissítésig. Kérdés, hogy a 3.x-es RouterOS meddig engedne felmászni Vagy van-e benne korlát vagy mindig a következőt jelzi előre, mint jelen esetben fórum társunknak a 7.x-et. Majd 7.x eljöttével a 8.x-et jelzi?
Egy tapasztalt RouterOS frissítő válasza megnyugtató lenne
A kérdés azért merült fel, mert lehet venni használtan RB750-et, de ha régi a HW, régi az SW is rajta. Leírás szerint 3.x-es RouterOS van rajta, ami annyira azért nem kellene...[ Szerkesztve ]
-
Proci85
senior tag
Remélem azért van jobb megoldás
Egy ilyet találtam az imént. Nem próbáltam még és nem is most fogom, mert távol van az eszköz. wlan tx power - wlan tx power 2
Ezt birizgálta már valaki?[ Szerkesztve ]
-
Proci85
senior tag
Sziasztok
Senki nem próbálta együtt használni a Queues + Fast path/fasttrack kombót?
Úgy tapasztalom, hogy amint bekapcsolom a fasttrack-et, a queues hasztalanná válik. -
Proci85
senior tag
Srácok, múlt héten & héten voltam MTCNA és MTCRE tanfolyamon.
Le a kallappal. Foglalkozom már egy ideje Mikrotikkel (hAP lite, 2011, 1100AHx2), hálózatokkal is, de nagyon alapos, nagyon széles repertoárból merítettünk anyagot. Nagyon sok mindent helyretett nekem és sok újat is adott. Tudtam, hogy svájci bicska a TIK, de hogy ennyire....kb egy hűha-val távoztam a tanfolyam végén
Szóval akinek van lehetősége és affinitása az ilyesmire, abszolút ajánlom.[ Szerkesztve ]
-
Proci85
senior tag
Ha elég a features limit (pl. 1 egyidejű VPN kapcsolat), akkor kérj ingyenes demo licenszet ami örök élet, nem áll le 24 óra után.
Én több x86-os rendszert igy használok és elég amire kell. Frissíthető, semmi hátrányt nem szenvedsz a számbeli limiteket leszámítva.[ Szerkesztve ]
-
Proci85
senior tag
válasz bambano #1181 üzenetére
Virtuális szerverben fut. Nincs vele szenvedés. Magam sem gondoltam, de jól teszi a dolgát.
Legutóbb épp Mikrotik tanfolyam mesélte egy srác, náluk Supermicro szerveren fut és ezres nagyságrendű VPN-t kezel le (meg ki tudja mi egyebet még).Legelőször egy 500 fős cég cloud rendszerében találkoztam vele, amikor én még iptables-szel raktam össze a natolást, külön dhcp-t, stb, Itt RouterOS látta el a NAT, fw, DHCP, lightosabb VPN funkciókat.
Megtetszett, hogy pikk-pakk összerakja az ember. Attól kezdve, ha virtális szerver környezetben alszegmenst kell létrehozni, én is hamarabb feldobok egy RouterOS-t, mint mást. Ha elég a feladatra.Az igazsághoz hozzátartozik, egy kritikus szint után leromlik a RouterOS teljesítménye, ahol már Linuxra érdemes cserélni. Ez kb ~2-3000 VPN kapcsolatnál és datacenter szintű route-ingnál jelentkezik...a fórumos nyelvek szerint.
[ Szerkesztve ]
-
Proci85
senior tag
Milyen VPN megoldással szeretnéd összekötni a telephelyeket?
IPsec-et használok pár helyen, RB2011: 12.5MBit/s, hAP lite(!): ~10MBit/s
PPTP-vel és OpenVPN-nel már jobb eredményeid lehetnek, csak ezért-azért nem mindenki szereti. Ha kell, megnézem neked.
Ha biztonságra gyúrsz, RB1100AHx2 amiben hardveres encrypt van, így elvileg 500Mbit/s -ig kihajtható IPsec-el. Csak ez nettó 70-80.
VPN-nel történő telephely összekötettésre a Vigor routereket szokták még szeretni illetve újabban az Ubiquiti Edge routereket felől is nagyon jókat mondanak. Ha gondolod, nézz rájuk.[ Szerkesztve ]
-
Proci85
senior tag
Persze, ha a telephelyeken van erre hely, kapacitás, jó megoldás a PC alapú VPN is. Ha esetleg futnak virtuális gépek, melléjük fel lehet dobni +1 virt.gépet VPN-nek.
Ha még is kis méretű gépet keresel, akkor érdemes megnézni a single boardokat pl. odroid, amikből már egész komoly számítási kapacitással rendelkezők vannak (4 mag), VPN-nél neked ez kell. Ettől a ponttól kezdve viszont csináld magad a történet, nem next-next finish. -
Proci85
senior tag
Szia
A switch chip HW-s switch, bridge pedig egy SW megoldás, erősebb CPU terheléssel.
Amelyikben van switch chip, ott tehermentesíteni tudod a CPU-t, ha adott portotokat 1 switchez kapcsolod (master port -os szisztéma).
Ez a portok közötti komminikációnál, VLAN kezelésnél kihagyja a CPU-t (konkrétan a csomag nem jut fel CPU szintre), és nagyságrendekkel nagyobb átvilteli sebességet tudsz elérni a portok között.
Persze, amint tűzfal szabályokat használsz ezekre a portokra, fel kell küldenie a CPU-nak.
A VLAN kezelést is máshol, másként kell intézni, ha switch chipen vagy bridgelt módban akarod használni.
[link][ Szerkesztve ]
-
Proci85
senior tag
válasz csusza` #1233 üzenetére
Szerencsére ma már a Mikrotik is ad DDNS szolgáltatást a RouterOS-en keresztül, így nem kell no-ip és társaival szórakozni.
http://wiki.mikrotik.com/wiki/Manual:IP/Cloud -
Proci85
senior tag
válasz nyilasmisi #1288 üzenetére
Igen. Pár hónapja használom. Jól teszi a dolgát. Mi a kérdés?
-
Proci85
senior tag
Sziasztok
Adott egy rb532. 2.9-es RouterOS van rajta, amit szeretnék fentebb frissíteni, de elakadtam.
JP1-re jumpert felhelyezem, tápot adok rá, de sosem kezd el villogni az user led. Csak config reset történik.
5.26-os netinstall fut vele egy switchen lévő gépen, de nem jön fel az eszköz.
Mi a trükk? Sosem csináltam még netinstallt.
A cél, hogy valahogy verziót frissítsek 4.x vagy 5.x-re.
Alapból a felmásolt npk+reboot megoldással nem frissül.[ Szerkesztve ]
-
Proci85
senior tag
Köszönöm a választ és bambano-nek is, mert az ő válasza után ugyanebbe az irányba mentem én is
3.30 felment, viszont a licensz alatt nem jelezte a köv. verzióra való frissíthetőséget, mint manapság, hogy 7.x-ig mehetünk.
Kiexportáltam a licenszet, majd kértem egy level 1 demo-t. Így már egészen 5.x -ig felfrissítettem. 6.x-re már nem mertem. ~20MB szabad ram, 90MB szabad HDD. Ugyan bukom a rádió használatát, de alap dolgokra megteszi.A licensz frissítést kipróbálom, köszi a tippet.
[ Szerkesztve ]
-
-
Proci85
senior tag
válasz nyilasmisi #1731 üzenetére
Nincs jelentősége, hogy cloud fut vagy nem. Neten van a cucc, random IP-ket próbálgatnak.
Told el a tipikus portokat és már is a kutya sem fog bepróbálkozni.
Még jobb, ha VPN mögé teszed az egész cuccot.Nem kell annyira rápörögni a próbálkozásokra. Aki pl. linux szervert üzemeltet (és van annyi esze, hogy nem tolja el a tipikus 22-es porton futó SSH-t). az naponta több száz ilyen bejegyzést talál a logban.
Amit még tehet az ember: admin usert csak LAN-ról engedélyezi és további usereket vesz fel, akik adott tartományból vagy ha szükséges, bármilyen címről becsatlakozhatnak. Ettől kezdve az usernév is egyfajta védelem, mivel úgy is default nevekkel próbálkoznak. admin, operator,stb.
-
Proci85
senior tag
válasz nyilasmisi #1747 üzenetére
DROP-ra tegyél logot és szépen látszik majd, hogy milyen csomag illeszkedik rá. Ez alapján pedig javítsd a felette lévő szabályaidat, hogy a DROP-ig ne jusson el.
-
Proci85
senior tag
Ha csak az IP címedet szeretnéd megtudni, akkor az nem járható út, hogy bekapcsolod a belső dynDNS szolgáltatást (cloud), kapsz egy $azonosítót.domain.com címet, ami mindig az IP címedre mutat? Ezt a domaint időnként linuxból lekérdezed és SQL-be rakod.
B verzió, kicsit overkill: A mikrotik FTP-n mindig feltölt egy fájlt egy külső FTP szerverre. A mikrotiken nem jár írással. Szerver oldalon ismét megvan a végponti IP címed.
[ Szerkesztve ]