-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
-
brickm
őstag
Sziasztok!
Ha vásárolok egy mikrotik 1100AHx2 router boardot, azt előtelepített mikrotik RouterOS-es kapom?
Alapvetően, ha rácsatlakoztatom a hálózatomra a fizikai címével elvileg elérhetőnek kell lennie azonnal? -
brickm
őstag
válasz lajos75 #1165 üzenetére
Nem ezzel a routerrel kezdek...egyáltalán nem. De mivel pl a juniper kb semmiben nem hasonlít a mikrotikre, ahogy eddig nézegettem.... így.... hol is kezdjem?
Nem azt várom hogy lépésről- lépésre elmagyarázd mit hogy csináljak, erre nincs szükségem. Megoldom magamtól, amit meg akarok, csak nem mindegy, hogy 4 napig keresem a megoldásra vezető utat, meg csinálok 30 túlbonyolított felesleges variációt, vagy valaki segít 2 félmondattal és 10perc alatt csinálom meg és még meg is értem a lényeget.
Amúgy meg a nők észjárását se értem, mégis szóba állok velük[ Szerkesztve ]
-
brickm
őstag
válasz bambano #1166 üzenetére
Akkor szerencse, hogy a routerboard árában van licensz is.
Közben újraolvastam a hozzászólásodat, amiben ecsetelted nekem a dolgot, így pár kérdésem tárgytalanná vált.
Végülis nem kell vlant létrehoznom, sőt, az ahogy neten olvasgattam pont hátrány nekem.
Most épp keresem hol tudok switcheket létrehozni a szoftverben, ugyanis a leírással ellentétben nálam nincs a bridge ppp mesh résznél switch menü.... -
brickm
őstag
válasz Freestyle79 #1220 üzenetére
Szia. Ilyen célra én az ubiquity antennát ajánlanám. Otthonró simán fogtam a cégem hálózatát. 1.5km.
-
brickm
őstag
Lenne egy kérdésem nekem is. Mikrotik eszközöknél mi a különbség a switch portok és a bridge portok között?
Azt észleltem hogy nem minden eszközzel lehet switch portokat csinálni, de azoknál,is lehet bridge-elni. Ezek szerint a switch ic-vel nem rendelkező eszközöknél a bridge-et kell alkalmaznom? Ennek van valami hátránya? Gondolom igen,mégpedig az,hogy a brisbelt portok átmennek a cpu-n, de ez csak az én tippem. -
brickm
őstag
válasz csusza` #1240 üzenetére
"Egyébként T-Home PPPoE van, nem lehet, hogy az agyon NAT-olt hálózat miatt nem tudja lekérni azt a bizonyos címet?"
De te vagy a NATolt hálózat rossz végén, ahová indítod a lekérdezést, arrafelé megvannak nyitva a megfelelő portok, feléd nincsenek nyitva.
Ezzel a logikával NATolt hálózatból netezni se lehetne, sőt, semmit se lehetne csinálni.Legegyszerűbben úgy tudom ezt leírni, hogy képzelj el egy webszervert, amit te a 80-as porton el tudsz érni,de ő téged ugyan ezen a porton nem tud visszakérdezni.
-
brickm
őstag
válasz csusza` #1253 üzenetére
Ezt egyszerűen tudod ellenőrizni.megnézed a routered wan ip-jét, majd beírod a google-be hogy my ip.
Ha a kettő nem egyezik NAT-olt hálózatban vagy.
Bár az IP címed tartománya nem erre következtet. Kelet MO-n a 10-es tartományba helyezi a T a NAT-olt ügyfeleit, mielőtt megkapják a WAN ip-jüket.
Pont a kamerarendszerek miatt tudom, mert rengeteget háborúztam a T-vel az utóbbi 2hónapban, rengeteg ügyfelemet tették át értesítés nélkül. Illetve a Dyndns frissítési hiány jelentkezett nem NAT-olt hálózati cím esetén is T-nél. erről írtam is a hálózatokról alaposan témakörben. -
brickm
őstag
Van valami megbízható mikrotik basic config leírás?
keresgéltem most 1100AHx2-höz, de nemnagyon találtam. Vagyis nem teljesen egyértelmű, mert találtam pr videót és basic alatt, mindegyik mást csinált kb.Ha pl adott 1 ISP PPPOE-val, meg 2 tartomány, egyik gépekkel, amik neteznek, másik meg egy belső hálózat, aminek 3portja kívülről is elérhető.
-
brickm
őstag
Oké, de én ilyesmikre gondolok, hogy 2 DHCP szerver felkonfigurálása, PPPOE konfigurálása...
Ilyesmik.
Múltkor kezeltem egy kis mikrotiket, amin volt vagy 4 hálózati tartomány, az meg swtich-ekkel elosztva.
Azon próbálgattam szárnyaimat...Arra jöttem rá, hogy az IP>POOL részben konfigurálok egy tartományt.
Létrehozok az IP DHCP server szekcióban egy interface-re egy szervert, aminek kiadom az előbbi pool-t, mint tartomány.
A leases-ben meg gondolom MAC címhez tudok rendelni fix IP-ket.
szükséges még valami ahhoz, hogy egy gép rádugva az 1-es interface-re kapjon IP címet?Ha teszek gy asztali pc-be egy hálókártyát, mindkét interface-t fogja látni a gép? vagy csak az egyiket?
Egy ilyennel tudnám próbálgatni mondjuk a dolgot itthon.[ Szerkesztve ]
-
brickm
őstag
Rb750 lv4 licensszel 6-os ros-el tud pendrive-ot kezelni háttértárnak? Vagy hdd-t? Ipkamera mentene rá.
-
brickm
őstag
Sziasztok!
Az egyik kérdésem ez lenne:
[link]Először betettem az ether5-ös is slave portba ether2-re, de utána levettem. Azóta indítottam újra a routert de még mindig slave-ként azonosítja.
Bridge-ben van egyébként 2-4-el most.A másik kérdésem.
Kíváncsiságból tettem egy tplink routert az ether3-portra, mégpedig kliensként (nem switchként)
beállítottam neki egy fix ip-t, kiadtam neki a dns szervert. Tudok róla netezni, de szeretném elérni a pc-ről a webes felületét. Ehhez mit kellene tennem?
Kapcsolási ábrát mellékelek:
[link] -
brickm
őstag
Illetve még egy kérdés, mert közben sikerült visszacsinálhatatlanul elnyomnom a routert...
Ha nem csinálok bridge-et...akkor nem adhatok dhcp servert az etherhez?
Most próbálgattam és ha kiveszem a bridge-et, és átirányítom a dhcp servert meg a tűzfalat az ether2-re direktbe, akkor elmegy a netem. -
brickm
őstag
Port forwardoláshoz kell még valamit csinálni azon túl, hogy az ip>firewall nat fülön csinálok egy NAT rule-t
így:
chain:dstnat
protocol:6
Dst port: 40082
In interf: pppoe_digi(ether1)
action>
dst-nat
address 192.168.254.10
port 40082??
csak mert így akármilyen IP-re akármit akarok továbbítani nem sikerül..
Bár az open port check tool azt mondja, hogy nyitott a port, se http szerver, se ftp szerver, se IP kamera nem látható kintről.
Innen csináltam, plusz a mikrotik wiki is ennyit ír. -
brickm
őstag
válasz Adamo_sx #1428 üzenetére
Azért írtam oda az ether1-et zárójelbe, hogy jelezzem, oda van bedugva, de a PPPOE kliensre hivatkoztam amúgy. (De próbáltam ether1-re is)
Számomra egy dolog nem egyértelmű még ezzel kapcsolatban.
Vannak források, ahol megadják wan ip címet a 3.sorban, van ahol nem adják meg.
Kell, ha igen miért?
Mivan dinamikus wan ip esetén?Nem kéne a gép tűzfalának zavarnia, mert a tp linkkel ami ezelőtt volt bedugva simán csinálta, amit kell egy forward után.
Megpróbálom kihagyni az in interface-t.[ Szerkesztve ]
-
brickm
őstag
-
brickm
őstag
-
brickm
őstag
válasz SimLockS #1438 üzenetére
Értem.MEgmagyarázza a jelenséget akkor..
Bekapcsoltam az UpNp-t.
A utorrenttel simán működik kinyitja automatikusan a tcp és az udp portot is...
de a hfs-sel nem...
tanácstalan vagyok.
Vagy 100fórumoldalt megnéztem, mindenhol ugyan úgy forwaldolnak...csak nálam nem megy...
még a dyndns scriptet is sikerült megcsinálni és időzíteni, pedig arra is sokan panaszkodtak...de ez. -
brickm
őstag
válasz Adamo_sx #1440 üzenetére
A tartományok és a címek azért változnak időközben, mert ahányszor reszetelem, annyiszor másik tartományt használok. Csak közben más dolgokat is próbálgatok benne időnként, ezért reszetelgetem.
Jelen pillanatban:
Addresses:
192.168.0.1/24
pool:
192.168.0.100-192.168.0.150
Networks address:192.168.0.0/24
Gw: 192.168.0.1
DNS:192.168.0.1DHCP fül alatt pedig a pool az ether2-re megy, ami mastere a 3-4-5-nek jelenleg.
A gép ip-je:
192.168.0.101 (fixált)A tűzfal pedig gyári,sorrend is.
Ether1-en egy PPPOE kliens van, arra hivatkozok, bejövő cuccoknál, próbáltam sima ether1-re hivatkozva úgy egyértelműen nem volt netkapcsolat se.
-
brickm
őstag
Ahogy azt, amikor megy. BEírom a külső IP-met meg a kívánt portot a böngészőbe.
Digis vagyok, a digi nem tiltja a saját IP-re való visszacsatlakozást, illetve nem is a belső hálózatba keringtet vissza, ahogy a T szokott.Illetve van egy mobilnetes elérésem, azzal is rápróbáltam. Nem tudom ez mennyire szakszerű így, de eddig működött, amit elértem a tp linkkel ezenformában, az elérhető volt mindig kintről, amit nem értem el, az meg ténylegesen nem volt...
De valami beállítás gond lesz az tuti, ugyanis mondoma gyári 21-es 80-as 22-es portokat a külső IP-mmel elérem, tehát be tudok lépni messziről winbox-szal, SSH-val webes felülettel stb.Csak nem tudom mi lehet a gond. Rengeteg fórumot átnyálaztam ezügyben, verziószámokat egyeztettem...most letöltöttem a 6.34-es firmware-t, felteszem, hátha.
-
brickm
őstag
Feltettem a 6.34.1-es csomagból a ROS mipsbe csomagot, kinyitottam megint a portot és elérem kintről.... Mást nem csináltam közbe.,..elvileg.
kerestem bugfix logokat senki nem jelzett efféle hibát, vagy nem találtam meg.
sebaj.
Másik: az ntp csomagot hogy tudom telepíteni? Felmásoltam lefuttattam a frissítést, de nem tudok az SNTP client-ben szervert megadni.Csak boradcast-re lehet állítani...
szerk.:meg is válaszoltam magamat, nem telepítette az ntp-t még.rekop
Próbálkoztam tegnap este tcp és udp porttovábbítással egyaránt, nem ment egyikkel sem.
De megoldódott szerencsére. köszönöm azért mindenkinek a segítséget![ Szerkesztve ]
-
brickm
őstag
Merész állítás, mertugyanis ezt a wiki oldalt is megtaláltam és az itt írt megoldásokon kívül még kettőt kipróbáltam...ami nem működött szintúgy,ahogy ez sem...
NEvezetesen, hogy forrásIP-nek 0.0.0.0 -t vagy 255.255.255.255-öt adok meg, illetve hogy az átjárót használom helyezze(de ezt azt hiszem ez a wiki oldal is említi.)
...
Próbáltam accept-tel fogadni mindent első tűzfalszabályként, majd onnan átirányítani...sikertelenül.De ezen semmi különleges nincs, amikor bekapcsoltam az UpNp-t az is hasonló NAT szabályt hozott létre...az első 10 próbálkozásomban benne volt az is.
-
brickm
őstag
Ha már az értetlenkedést firtatjuk, nézd már meg,hogy mi a problémám..az,hogy kívülről SEMMI nem lát be.. Se a mobilnet,sesemmi.
Feltettem az új fw-t,most jó... Ennyi. A hairpin-teljesen más kérdés. Arra nincs szükségem.ha lenne beállítanám. Sőt, most csakazért is befogom."a mikrotik a szar.."
Tudom,ilyenkor ez a klisé duma.
A mikrotik szarságát senki nem emlegette rajtad kívül,legalábbis én biztos nem.
A mikrotok nem szar...a tplink meg a dlink se, sőt a speedport se szar...csak azok nem arra valók,amire használni akarják.
És amiért mindezt offtopicba teszem:
Tudom jól,hogy irritáló az aki egy hozzáértőnek teljesen egyértelmű problémával küzd,de ezt sejtelmes félmegoldásra vezető tanácsok helyett egy szimpla megoldással is meg lehet oldani... Csak tudom sokan meg a megoldásra vágynak gondolkodás nélkül, azok meg f szok.Azért köszönöm az építőkritikát.
[ Szerkesztve ]
-
brickm
őstag
Sziasztok!
Arra lennék kíváncsi, hogy biztonsági szempontból hogyan lehet olyasmit megvalósítani, hogy egy adott eszköz sehogy se legyen elérhető a netről közvetlen?
Azon túl, hogy nem forwardolom a portját.Pl egy IP kamera csoportra gondolok, ami mondjuk fekszik a 192.168.0.111-126 tartományon, csatlakozik egy NVR-re, az NVR bizonyos portjai forwardolva vannak kifelé. A cél az lenne, hogy magát a kamerát ne lehessen sehogy közvetlenül elérni.
Vagy tiltsam a kamera IP tartományán a kifelé kapcsolódást? -
brickm
őstag
Elfelejtettem:
Most egy ilyen tűzfal rule-t tettem be, hogy ne tudjon kifelé kapcsolódni, így ha portot nis nyitok neki, nem érem el kintről.0 chain=forward action=drop src-address=192.168.0.111-192.168.0.126 log=no log-prefix=""
Kérdés, hogy ez így mennyire szakszerűtlen és hogy ennek körülbelül hol kell elhelyezkednie a szabályok között?
-
brickm
őstag
oké, akkor leszedem azt a rule-t, feleslegesen ne legyen ott.
ÉS még lenne egy kérdésem, csak hogy teljes legyen a napotok:
Láttam youtube videon az URL blokkolást, proxy szerver nélkül.
Layer7-tel.
Namár most megcsináltam pl ezt:
layer7:
0 facebook ^.+(facebook.com).*$
filter:
3 chain=forward action=drop layer7-protocol=facebook log=no log-prefix=""Így oké, nem érhető el a facebook, viszont nem frissít a gmail kliens, nem indul el pár alkalmazás sem a tableten..igazából nem értem hogy függ össze.
-
brickm
őstag
válasz gazrobur #1488 üzenetére
Szia!
Simán winbox quick set-ben bepipáltam a VPN-t, csinált egy pool-t, beütöttem win10 kapcsolatok közé, és megy:
[link]Csinálsz a pool ip tartományra egy masquerade-et és eléred a hálót.
add action=masquerade chain=srcnat comment="masquerade vpn to local" src-address=192.168.89.0/24[ Szerkesztve ]
-
brickm
őstag
Win10-en is megy a hálózati nyomtatás.
Adj hozzá új nyomtatót, válaszd a tcp\ip protokolt, add meg az IP-jét a nyomtatónak\szervernek, majd telepítsd a drivert.
elmúlt 3 napban 3ilyet csináltam. ELőször engem is megzavart a win10, mert az egyik gép csak automatikusan volt hajlanó nyomtatót keresni, manuálisan nem akarta hagyni a megadást(vagy én nem figyeltem fel a kis linkre alul) MInden esetre miután újraindítottam sikeresen hozzáadta mindegyik géphez a nyomtatószervert és nyomtatott is. -
brickm
őstag
Ja bocsánat, nem tudtam. Akkor nem szóltam.
Igazából én a HP nyomtatókba vetett bizalmamat kb 2003-ban elvesztettem, mert már akkor kinlódtam a nyomtatójukkal bőségesen. Azóta meg hálistennek itthonra nem kell nyomtató, nyomtatok ott, ahol épp csinálok valamit Akkor jó szórakozást hozzá![ Szerkesztve ]
-
brickm
őstag
Sziasztok!
Ha beteszem layer7-be ezt:
^.+(facebook.com).*$És csinálok egy filter rule-t így:
add action=drop chain=forward disabled=yes layer7-protocol=*2
és ezt bekapcsolom, akkor letiltja ugyan a facebook elérését, de több androidos alkalmazás is megáll vele.
Pl gmail kliens nem jelzi ha új üzenet jön, online felületre bejelentkező játék nem érhető el... A két dolog tutira összefügg, ugyanis próbálgattam ki-be kapcsolgatással, ha kikapcsoltam minden helyreállt. -
brickm
őstag
válasz SimLockS #1548 üzenetére
A helyzet az, hogy a torch-al konkrétan nem tudok az adott ether portra elindítani semmit.
Ugyanis a mikrotikem nem wifis,így egy wifi gateway van az ether3-ra kötve.
Arra mennek a wifis eszközök alhálózatban.
Az ether 3-ra indítanék torch-al egy alapbeállításos lekérdezést, de nem történik semmi.
Kiválasztom az ether2-t, amibe csak egy üres kábel van most épp dugva, akkor meg listáz egy csomó adatforgalmat...SZerk.ké rájöttem miért az ether2-re írja az adatforgalmat, ő a switch-em master portja, nem szóltam.Köszönöm megkeresem vele.
[ Szerkesztve ]
-
brickm
őstag
válasz SimLockS #1550 üzenetére
Igen, így már meg tudtam nézni.
Igazából nem találtam benne eddig semmi olyat amivel megtudnám fejteni a dolgot.
Mert pl ha megpingelem az indexet, annak látom az IP-jét. mondjuk 80.10.10.100.
Beírom a src addressnek ugye a 192.168.0.2-t, ami a wifi gateway IP-je, erre csatlakozok telefonnal.
Beírom dst address-nek a 80.10.10.100-as IP-t hogy lássam az ide kimenő dolgokat, de nincs semmi.
Kirpróbáltam google IP-vel, itcafe-val, semmi.bambano
Erre én is gondoltam, le is teszteltem. Olyan oldalt megnyitva ahol facebook lap van embeddelve simán bejön, csak a facebook tartalmat dobja el a router.
Tehát magának a szoftvernek el kellene indulni akkor is(szerintem) ha tiltva vannak a facebook kontentek.
Plusz pl a gmail kliensben nincs fb login ha jól emlékszem.
Sem pl a Tapped out nevű játékban, ami szintén nem nyiladik így meg.Kipróbáltam közbe most gépről emulátorral. Ugyan az a helyzet, ha csak a facebook.com-ot írom be layer7be, akkor is.
Gondolatom szerint a szoftver induláskor kommuikál valamit a facebook felé, és dns szervere keresztül, nem IP címre, ezért nem indul el, ha tiltva van a facebook.com.Ugyan ilyet a police-hu val tapasztaltam évekkel ezelőtt, ha perblock-kal tiltottam a visszakommunikációt a gépről, nem nyílt meg az oldaluk.
Az is elgondolkodtatott, ez is...Ugyanis pl a tapped out semmiféle fb-os utalást nem tesz menetközben, mégis oda küld valamit. Nemrég volt a fb-os per, amiben ugye kötelezték őket rá, hogy nem gyüjthetnek adatokat a nem regisztrált tagokról...stb. hmm[ Szerkesztve ]
-
brickm
őstag
Az hogy lehet,hogy a másodlagos notebookom, ami a tp link wifi routerhez kapcsolódik wifin, nyitottnak látja a portját, ami nincs kinyitva a mikrotiken, amibe bejön a gateway...
Külön érdekesség, hogy a másik laptopom, ami meg a mikrotikre kapcsolódik nem kap nyitott portot, míg ki nem nyitom neki...
A tplinken upnp van érvényben, de ugye a natolás miatt ez nem jelent semmit, a mikrotik fogja a portokat. Nem? -
brickm
őstag
válasz vjozsef #1571 üzenetére
Bocs, most látom, a teló kiszedett mondatot és összecsúsztatott mondatot helyettem. fúdedurvalett
Szóval kicsit egyszerűsítve:
Adott egy mikrotik router amibe beérkezik az ISP, innen van alhálózat képezve egy TPlink wifi routerrel.
A másodlagos gép a tp linkre csatlakozik wifin keresztül, amin upnp van érvényben, viszont a mikrotiken a portpár nincs forwardolva a tplink felé. Tehát elvileg ott meg kellene álljon a történet, ahogy egy szolgáltatói netes végpontnál is.
Mégis nyitott a port...vagy legalábbis a kliens annak látja.
Ennek mi lehet az oka? -
brickm
őstag
Lenne még egy dolog.
Kerestem ezügyben neten megoldásokat, de nem találtam számomra megfelelőt.
Azt megoldottam, hogy egy IP cím sávszélessége korlátozott legyen, viszont azt is szeretném ha egy IP cím csak bizonyos adatmennyiséget tudna forgalmazni...
Kb mint a mobilnet szolgáltatóknál mondjuk Havi 100MB, vagy 500.... Ha kulcsszavakat mondtok hogy találok megoldásra vezető fórumokat, nekem az is elég.Ilyen traffic control scripteket találtam, de azok menedzselése elég körülményes, ha mondjuk 10-20IP címre van ez elképzelve, mind más adatmennyiséggel.
Új hozzászólás Aktív témák
- Bomba ár! HP EliteBook 840 G5 - i5-8G I 8GB I 128GB SSD I 14" FHD I HDMI I Cam I W10 I Gari!
- The Last of Us Part I Ps5
- Bomba ár! HP EliteBook 830 G6 - i7-8G I 8GB I 256GB SSD I 13,3" FHD I HDMI I Cam I W11 I Gari!
- Bomba ár! Dell Latitude 5580 - i5-G6 I 8-16GB I 256 SSD I 15,6" FHD I HDMI I CAM I W10 I Garancia
- Bomba ár! Dell Latitude 5490 Touch - i5-8G I 8GB I 256SSD I 14" FHD Touch I Cam I W11 I Garancia!