-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Adamo_sx
aktív tag
Én hasonló elgondolással, de egy kicsit több IT érdeklődéssel vágtam bele egy 2011-be. Nem bántam meg, de én is azt mondom, ha nem akarsz elmélyedni benne, akkor ne válassz Mikrotik-et, mert nem egy-két kattintással beállítható routerek ezek.
Nézd meg a demo link-en, hogy milyen is a webes felület (egyébként a winbox is hasonlóan néz ki), ebből nagy vonalakban láthatod, mire számíthatsz. -
Adamo_sx
aktív tag
válasz #96292352 #1349 üzenetére
Oké, de ez csak azt mondja, hogy ehhez az IP címhez (...254) a PPP kapcsolaton keresztül lehet eljutni. Esetleg egy móricka ábrát rajzolhatnál a két hálózatról, illetve hogy kintről hogy akarod elérni ezt a 254-es IP-jű gépet. Ez melyik routertől kapja az IP-t (ha DHCP), mi a default gateway-e?
-
Adamo_sx
aktív tag
válasz #96292352 #1351 üzenetére
Sikerült végül megoldani?
Mivel épp a qos-t tanulmányozom, most mindenre a mangle jut eszembe: mark-routing-gal megjelölheted a PPP kapcsolaton bejövő csomagot és a jelölésre tudsz routing szabályt csinálni, ami ugyanazon az interface-en küldi vissza. Elvileg. Mert azért még csak karcolgatom a felszínt... -
Adamo_sx
aktív tag
Van is egy kérdésem a qos-zel kapcsolatban:
Mangle-lel próbálom megjelölni a különböző típusú kapcsolatokat. Szeretném külön jelölni a feltöltést és a letöltést. Például a HTTP(S) kapcsolatra:
add action=mark-connection chain=prerouting comment=WEB dst-port=80 new-connection-mark=HTTP-UP-CONN protocol=tcp src-address=192.168.1.0/24
add action=mark-connection chain=prerouting dst-port=443 new-connection-mark=HTTPS-UP-CONN protocol=tcp src-address=192.168.1.0/24
add action=mark-connection chain=postrouting new-connection-mark=HTTP-DOWN-CONN protocol=tcp src-port=80
add action=mark-connection chain=postrouting new-connection-mark=HTTPS-DOWN-CONN protocol=tcp src-port=443
add action=mark-packet chain=prerouting connection-mark=HTTP-UP-CONN new-packet-mark=HTTP-UP passthrough=no
add action=mark-packet chain=prerouting connection-mark=HTTPS-UP-CONN new-packet-mark=HTTPS-UP passthrough=no
add action=mark-packet chain=postrouting connection-mark=HTTP-DOWN-CONN new-packet-mark=HTTP-DOWN passthrough=no
add action=mark-packet chain=postrouting connection-mark=HTTPS-DOWN-CONN new-packet-mark=HTTPS-DOWN passthrough=noAzaz, ahol a 80-as, vagy a 443-as port a cél port (és a saját hálómból indul), az a fel irány, ahol ezek a források az pedig a le irány. Legalábbis teoretikusan, mert ha megnézem a kapcsolatokat, lefelé irányt szinte soha nem látok. Úgy tűnik, hogy a válasz ugyanazon a kapcsolaton jön vissza, mint amin a kérés kiment, így nem mindig látszik letöltés iránynak. Ez leginkább a p2p kapcsolatoknál látszik. (mondjuk eleve azzal van a legtöbb gond )
A másik problémám a queue-kkal van: A sávszélesség hivatalosan 8/1 Mbit/s. Ha ezt állítom be a parent queue-knál, akkor addig megy is a dolog, amíg a szolgáltatói oldalon megvan ez a sávszélesség. Azonban, ha a szolgáltatónál van szűkület, akkor hiába az egész qos nálam, mivel a router nem fogja priorizálni a kapcsolatokat, mivel ott nem érik el a limitet. Erre van valami megoldás, hogy ezt lehessen kezelni?
Az ok, hogy nem a 8/1-et állítom be, hanem valamivel kevesebbet, de előfordul, hogy csak 3-5 Mbit/s letöltés van a szolgáltatótól, ennyire alacsonyra meg nyilván nincs értelme állítani, hiszen akkor állandóan korlátozom a sebességet. -
Adamo_sx
aktív tag
Csak érdeklődés szintjén: az nem lehet megoldás, hogy ha a Mikrotik adja a DNS-t, akkor oda statikusként felvenni a 192.168.1.11-et a dyndns névre? Így a belső hálón a Mikrotik ezt adná vissza, ha meg kintről jön a kérés, akkor jöhetsimán a dst-nat-on keresztül és ott nem kell address list, meg lehet adni a wan interface-t, mint bemeneti interface.
-
Adamo_sx
aktív tag
-
Adamo_sx
aktív tag
Ennyi kell hozzá, nálam is így van beállítva. Az IN intreface nem egyértelmű nálad, odaírtad az ether1-et is. Én a PPPoE klienst állítottam be.
De kérdés nálad a belső IP cím is, mert a korábbi ábrán, amit belinkeltél, nem volt ilyen IP cím.
DST-NAT,
Interface:
2 chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=51413 protocol=tcp in-interface=WAN dst-port=51413 log=no log-prefix=""
13 R ;;; Digi PPPoE
WAN pppoe-out 1480[ Szerkesztve ]
-
Adamo_sx
aktív tag
Csak tipp: IP tartományok, kiosztott IP címek rendben vannak? A csatolt képeiden pl. a router 192.168.0.1, korábban meg azt írtad, a 192.168.254.10-es IP-re akarsz port forwardot, egy korábbi képen pedig a 192.168.254.11 volt beállítva. Nem lehet, hogy valahol elkavarodtál?
Amit legelőször leírtál, annak működnie kellene, ha valami más gond nincs a hálózatban.
Az in interface-t (és esetleg a WAN ip címet a dst címhez) azért szokás megadni, hogy csak azokban az esetekben működjön a port forward. ha kihagyod, akkor a routerbe érkező összes olyan csomag, ami a dst portra megy, továbbküldi a beállított IP:portra. Azt is, ami a belső hálóból menne kifelé. -
Adamo_sx
aktív tag
Azért a dologhoz az is hozzá tartozik, hogy kérdeztél itt a fórumon részinformációkat megadva. Csupa olyan választ kaptál, hogy ki-hogy állította be magának és nála működik. Nálad egyik sem, az sem, ami más wiki oldalakon, fórumokon szintén sokaknak működött. Alapvető hálózati ismeretek nélkül, csak a példákat nézegetve nem lehet mindent beállítani egy ilyen routeren.
Bár előfordul, hogy egy már működő dolgot elrontanak a Mikrotiknál egy frissítésnél, de azt azért te sem gondolod komolyan, hogy ilyen hiba lett volna a ROS adott, viszonylag új verziójában és ez csak neked tűnik fel... -
Adamo_sx
aktív tag
Ha ezt beállítod "ip dns set allow-remote-requests=yes", azzal engedélyezed, hogy a routered maga válaszoljon a DNS kérésre. Azt nem tudom, hogy ilyenkor a NAT szabály hogy érvényesül.
Tippre, ha beállítod, hogy a routered szépen "ossza ki" a szolgáltatótól kapott DNS-t a klienseknek és ehhez adod a NAT szabályt, annak működnie kellene:
add action=dst-nat chain=dstnat dst-port=53 in-interface=bridge-local protocol=tcp src-address=192.168.88.10 to-addresses=199.85.127.20 to-ports=53
Persze az in-interface-t és a címeket a megfelelőkkel helyettesítsd, és persze kell ugyanez UDP-vel.
Azt nem egészen értem, hogy az IP/FILTER részben mi akar lenni az a két sor... -
Adamo_sx
aktív tag
Jogos, az általad javasolt is ügyes, talán még szebb is, mint az enyém. Az a szép, hogy akár válogathat is az ember a lehetőségekből . Valóban, azzal, amit javasoltam "ráerőszakolódik" a kliensre a DNS, sőt, ha nincs beállítva a kliensen semmi, akkor is működik.
Nyilván a pontos szándék alapján lehet választani. -
Adamo_sx
aktív tag
válasz gazrobur #1488 üzenetére
PPTP VPN beállítás: Winbox-ban megnyomod oldalt a PPP-t. Utána kattintasz a PPTP gomra, az interface fülön. A felugró PPTP server ablakon engedélyezed és kiválasztasz egy profilt ( a példában a "profil1"), majd átmész a secrets fülre: nevet/jelszót kitöltöd, megadod ugyanazt a profilt, mint a szervernél és kiválasztod a pptp service-t. Átmész a "profiles" fülre és az előbb megadott profilra beállítod local és remote addresst. A remote-ba én egy poolt adtam meg (IP->Pool), lásd a képen.
Ha internetet is akarsz a VPN-en keresztül, akkor a belső interface-re az ARP proxy-t be kell állítani.
Elvileg ennyi, persze ez csak az alap, legegyszerűbb, az OPNVPN, vagy a titkosítás az a következő fokozat. -
Adamo_sx
aktív tag
válasz nyilasmisi #1731 üzenetére
Érdekes, eddig sosem láttam ezt az IP címet a logban (persze nem nézegetem folyton), és én is használom az MT cloud ddns-ét. Viszont most kíváncsiságból az IP/Firewall/Connections-ben megnéztem, hogy van-e ilyen. (Filter src addr)
Ezután a mindjárt megjelent a logban: -
Adamo_sx
aktív tag
Kicsit még olvasgass Mikrotik témakörben. Itt nincs olyan, hogy dual WAN. Minden ethernet port egyforma (ilyen szempontból), a beállításoktól függ, hogy éppen mi lesz a funkciója. Akár ez is tudhatja amit szeretnél (persze függ attól, hogy mekkora forgalmat, milyen funkciókkal kell routolnia), vagy kereshetsz olyat, amiben van wifi, illetve olyat, amire USB-n keresztül esetleg mobil stick-et is dughatsz rá.
-
Adamo_sx
aktív tag
Nálam is Digi van, nekem megy az IPv6. (RB2011) Most éppen. Mert néha előfordul, hogy meghal a dolog, pedig a beállításokat nem módosítom. Számomra annyi látszik olyankor a routerben, hogy az IPV6/Addressess-ben a WAN (PPoE) interface-en levő cím átmegy érvénytelenbe (Dynamic, Global, Invalid) és a routerre csatlakozó kliensek valami fura IPv6 címet kapnak, és természetesen nem is működik az Iv6. Azután idővel látszólag magától megjavul. Sajna annyira meg nem értek hozzá, hogy rájöjjek mi a gond...
Kíváncsiságból felraktam egy chrome plugint, ami mutatja az adott oldalról, hogy milyen IP-n érhető el, a mikrotik wiki linkes oldala, amit megadtál pl. ilyen:
Connection does not use HTTPS. wiki.mikrotik.com 2a02:610:7501:1000::201
Connection does not use HTTPS. i.mt.lv 2a02:610:7501:1000::197 -
Adamo_sx
aktív tag
No megint elkoptak a bitek az IPv6 környékén. DIGI optika jön be, van egy digis eszköz rajta, ebből jön a net, telefon, tv. Az eszköz bridge módban van, mindent a mikrotik csinál.
Jelenleg így néz ki az IPv6/Adresses:[admin@EWN] /ipv6 address> print
Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local
# ADDRESS FROM-POOL INTERFACE ADVERTIS
0 G 2a01:36d:XXX:XXXX::/64 DIGIv6... bridge-local yes
1 DL fe80::d6ca:6dff:fee5:e00a/64 bridge-local no
2 DL fe80::d4ca:6dff:fee5:e013/64 AP_guest no
3 DL fe80::5604:a6ff:fe49:9760/64 ether10-gateway no
4 IDG 2a01:36c:XXX:XXXX::23/64 WAN no
5 DL fe80::23/64 WAN noA 4-es sorban látszik, hogy a külső (a WAN a PPPoE kliens) interface-en érvénytelen a cím. Az IPv6 nem is megy, de persze az IPv4 megy hibátlanul. Remek tegnap még jó volt, ma meg nem típusú hiba, közben természetesen a routeren nem változott semmi. Merre lehetne elindulni?
-
Adamo_sx
aktív tag
Nem a port_forward chainbe kell tenni (ilyen nincs is).
Az alábbi minta portot nem változtat, de értelemszerűen át tudod írni, ha neked az is kell):chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=51413 protocol=tcp in-interface=WAN dst-port=51413 log=no log-prefix=""
Külső IP-t nem kell megadni, hanem pl. az interface-t.[ Szerkesztve ]
-
Adamo_sx
aktív tag
Sziasztok!
Használ valaki L2TP/IPSEC párosítást VPN-re, androidos telefonról? Nálam a felállás a következő lenne:
otthon:
- DIGI net
- Huawei ONT bridge módban
- RB2011 (6.37.1) intéz minden nettel kapcsolatos dolgot, nagyjából működik is mindentávolról:
- telefon, android 5.1
- PC, windows 10Az otthoni mikrotiken beállítottam egy L2TP/IPSEC VPN-t, ami távoli PC-ről próbálva működik is (A telefon és a PC ugyanazon a hálózaton vannak).
A teló azonban nem tud csatlakozni és a logban egy ilyen bejegyzés látszik, ami a telefontól jövő válaszra vonatkozik:received control message with wrong tunnel id, ignoring
, aztán pár message-dzsel később:tunnel 19 received no replies, disconnecting
A neten keresgélve sok helyen van szó hasonló problémáról, de a Google is csak tervezi majd javítani pl. ezt a bug-ot, igazi megoldást nem találtam.
Valakinek van valami ötlete, merre érdemes elindulni? Vagy tud működő L2TP/IPSEC VPN-ről androidon? (hogy egyáltalán megoldható-e?) -
Adamo_sx
aktív tag
válasz E.Kaufmann #3066 üzenetére
Néztem a BrownB által javasolt leírást is, de úgy emlékszem, ez alapján csináltam.
-
Adamo_sx
aktív tag
válasz biokill1 #3104 üzenetére
Én egy ilyen Huawei stick-et próbáltam ki, működött a dolog. Igaz, hosszabban nem használtam.
-
Adamo_sx
aktív tag
-
Adamo_sx
aktív tag
válasz Ablakos #3186 üzenetére
"No switch-chip - the device now features only fully independent Ethernet ports each with a direct connection to the CPU, allowing to overcome previous shared 1Gbit limitation from switch-chip ports and utilize full potential of CPU processing power on those ports."
Ez alapján így még gyorsabb is, bár ez ugye a gyártói marketing anyag... -
Adamo_sx
aktív tag
válasz animatrix11 #3532 üzenetére
"és winboxszal próbálok így belépni akkor nem jó a felhasználónév jelszó..."
Szerintem első körben azt kellene kiderítened, hogy mi a jó felhasználónév/jelszó páros.
[ Szerkesztve ]
-
Adamo_sx
aktív tag
Adott egy RB2011 router, az eth10-en jön be az internet a DIGI ONT-ből. Ezzel minden rendben. Az USB portra rádugtam egy Huawei E3372 LTE (USB device Id: 0x14dc) modemet Telenor kártyával. A modemet előtte egy notebookon beállítottam, hogy ne kérjen PIN kódot, illetve olyan APN-t, amivel publikus IP címet kap (a modemet a számítógépre dugva feljön egy "weboldal" a böngészőben, ezen keresztül lehet állítgatni a modemet és itt látszik is a megkapott IP cím). Sajnos azonban úgy tűnik, hogy ez nem csak egy sima modem, hanem router is egyben és NAT-ol, befelé egy 192.168... as címen jelenik meg.
A mikrotikben 'lte1' interfaceként jelenik meg, és egy DHCP klienst ráakasztva ott is megjelenik ez a 192-es privát IP cím.
Namost ezen a mobil neten nem akarok normál forgalmat átküldeni, nem tervezek failover-t sem, annyi lenne csak a cél, hogy adott esetben, ha pl. a DIGI leáll, akkor a routert elérjem kívülről. Ehhez kellene ugye egy dinamikus DNS szolgáltatás, de ehhez kellene a modem külső, publikus IP címe. Ezt hogyan tudnám kinyerni? Modem parancsokra (amik az LTE interface-hez vannak a ROS-ban) nem válaszol:[admin@EWN] /interface lte> info lte1
failure: Modem does not have serial interface!
Illetve egy pillanatnyilag még nem aktuális, de azért kíváncsi lennék rá, hogy lehet-e: a kártyáról lehet SMS-t küldeni és fogadni (a PC-n webes felületen). Ezt a funkciót vajon el lehet érni a Mikrotik alól? -
Adamo_sx
aktív tag
Adott gy RB-2011-en van egy L2TP-IPSec VPN, ami elég rendesen lefogja a procit, amikor használatban van:
[admin@EWN] > /tool profile
NAME CPU USAGE
l2tp 2.5%
wireless 0%
ethernet 3%
console 0.5%
firewall 14.5%
networking 10%
ipsec 0%
winbox 0%
management 0.5%
encrypting 62%
profiling 0.5%
queuing 1.5%
l7-matcher 0%
bridging 0.5%
unclassified 0.5%
total 96%Lehet-e valamit állítani az IPSec beállításaiban, ami érdemben csökkenti a prociterhelést, de nem rontja a titkosítást? Vagy nyugodjak bele, hogy ez ennyit tud. Így kb. 8-10 Mbps a kimenő irányba a sebesség, pedig a kapcsolat maga többet is tudna (Digi 100/50).
-
Adamo_sx
aktív tag
válasz Core2duo6600 #4279 üzenetére
Az RB2011-ben például van 10 ETH port, 2x5-ös switch csoportban (plusz az SFP az egyikben, lásd a blokk diagrammján). Ha "SOHO" routerként akarod használni, azaz egy ETH port a szolgáltató felé, a többi pedig a LAN felé néz, akkor ezeket bridge nélkül hogy hozod össze layer 2-n?
-
Adamo_sx
aktív tag
Holnap haza utazok, utána valamikor lecsekkelem egy RB2011-gyel. (Nyilván nem várok túl sokat tőle, csak az összehasonlítás miatt.) Egy hanyagul megírt tűzfal és mangle szabályokkal (van egy csomó - lehetne rajtuk javítani) tud ~ 90 - 100 Mb/s-t. Ha a mangle-t hamarjában kikapcsoltam (távolról a tűzfalat nem akartam, esetleg nem tudok visszalépni...), akkor felment 180 Mb/s-ra. Ha a tűzfalat teljesen kigyomlálom, csak a NAT-ot hagyom, akkor talán lesz 200 - 220 Mb/s, meglátjuk.
PPPoE-s DIGI-m van, most emelték akciósan 1Gb/s-ra. -
Adamo_sx
aktív tag
válasz Core2duo6600 #4352 üzenetére
Elsőnek a kimenő/bejövő forgalom fogalmát érdemes tisztázni. Mert például mondjuk az index.hu-t pingetheted egy, a belső hálózatodon levő számítógépről és magáról a routerről is. Mind a kettő kimenő (konyhanyelven), de az egyik a forward chain-en megy keresztül, a másik meg az output chainen. Hasznos tanulmányozni a packet flow diagramot.
-
Adamo_sx
aktív tag
No, csak, hogy legyen ilyen tapasztalat is:
RB 2011-es router, 6.40.5-ös ROS verzióval, DIGI 1000-es neten, kikapcsolt tűzfallal (csak a NAT maradt), PPPoE-n keresztül 342/210 Mbs-ot tud speedtest szerint. (Kb. az interface-en is ezt látni a Winbox-ban.) -
Adamo_sx
aktív tag
válasz Gyurka6 #4428 üzenetére
Akkor lehet, hogy én nem értem a kérdést. Ennyi firewall nat szabály van és semmi egyéb:
[admin@EWN] > /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=WAN log=no log-prefix=""
1 ;;; Torrent port
chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=51413 protocol=tcp in-interface=WAN dst-port=51413 log=no log-prefix=""
2 ;;; Transmission WEB
chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=8181 protocol=tcp dst-address=!192.168.1.1 dst-address-type=local dst-port=8181 log=no log-prefix=""
3 chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.101 out-interface=bridge-local dst-port=8181 log=no log-prefix=""
4 ;;; TVHeadend 1
chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=9981 protocol=tcp dst-address=!192.168.1.1 dst-address-type=local dst-port=9981 log=no log-prefix=""
5 chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.101 out-interface=bridge-local dst-port=9981 log=no log-prefix=""
6 ;;; TVHeadend 2
chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=9982 protocol=tcp dst-address=!192.168.1.1 src-address-type="" dst-address-type=local dst-port=9982 log=no log-prefix=""
7 chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.101 out-interface=bridge-local dst-port=9982 log=no log-prefix="" -
Adamo_sx
aktív tag
válasz Gyurka6 #4434 üzenetére
Ahha, ha betettem ezt a fileter rules-ba (a Mikrotik Wiki alapján):
/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related
/ip firewall filter add chain=forward action=accept connection-state=established,related
akkor 710/214 és a CPU kb 80%-ig megy fel. (Egyébként 100%-on volt.) -
Adamo_sx
aktív tag
válasz bambano #4606 üzenetére
Hát sajnos ehhez már nincs lövésem. Van egy fórumtéma, ahol hasonló a kérdés, de további problémák is felmerülnek: NAT connection table print to file
-
Adamo_sx
aktív tag
válasz lazee15 #4615 üzenetére
A dstnat a prerouting chain-ban van (lásd packet-flow), ahol értelemszerűen nem lehet a kimenő interfészt feltételként használni. Ezt írja ugye az üzenet is. Szóval az out interface-t ne töltsd ki.
Nálam így megy a transmission, ez egyben hairpin is:2 ;;; Transmission WEB
chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=8181 protocol=tcp dst-address=!192.168.1.1 dst-address-type=local dst-port=8181 log=no log-prefix=""
3 chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.101 out-interface=bridge-local dst-port=8181 log=no log-prefix=""[ Szerkesztve ]
-
Adamo_sx
aktív tag
A 100-zal kezdődő IP címen lenne a router? Ha igen, akkor ez egy carrier grade IP cím, ami nagyjából azt jelenti, hogy NAT-olt ezért nem éred el kívülről.
Ha a Digi a szolgáltatód, akkor jelezd nekik, hogy publikus IP címre van szükséged és visszaállítják. -
Adamo_sx
aktív tag
válasz lazee15 #4653 üzenetére
Szerintem ez egyértelműbb, mint a sok screenshot. Ezeket kell beírni a terminál ablakba, értelemszerűen módosítva a IP címeket és portokat.
add action=dst-nat chain=dstnat comment="Transmission WEB" dst-address=!192.168.1.1 dst-address-type=local dst-port=8181 protocol=tcp to-addresses=192.168.1.101 to-ports=8181
add action=masquerade chain=srcnat dst-address=192.168.1.101 dst-port=8181 out-interface=bridge-local protocol=tcp src-address=192.168.1.0/24Nálam az otthoni LAN hálózat a 192.168.1.0/24, a router IP címe 192.168.1.1, a gép, amin a transmission fut: 192.168.1.101 és a transmission portja 8181. Ezek alapján már meg tudod csinálni a tiédet. Persze más megoldás is lehet, ez csak egy opció.