-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Lenry
félisten
válasz ssarosi #5129 üzenetére
1. In Wireless > CAP > CAPsMAN Addresses: make sure you have 127.0.0.1
2. IP > Firewall > Add: create a new rule for the input "chain", set the src address as "127.0.0.1", protocol "UDP", dst ports "5246,5247", action "accept"
3. Make sure the above firewall rule comes right before the default rule whose comment is "drop all not coming from LAN"
4. PROFITGvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz daninet #6385 üzenetére
átrakom bridge-be az összes portot
Bridge - Ports, itt az összes interfészt hozzáadogatod a bridge1-hez, vagy kiválasztod az
all
-t és azt adod hozzá a bridge1-hez(#6390) daninet nah úgy látom ez meg is lett, elvileg ennyi
[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
van egy bridge-em.
két portja van, a WAN, meg egy EoIP tunnel (ami egy VPN kapcsolatra van ültetve)szeretném a tunnelen keresztül menő forgalmat priorizálni, amihez meg szeretném jelölni a rajta kimenő csomagokat. igenám, de a Mikrotik ezt nem engedi, mert hogy a tunnel slave interfész, és szerinte inkább a mastert, vagyis a bridge-t adjam meg, annak viszont a WAN miatt nincs értelme.
mi lenne a megoldás? jelöljem a VPN kapcsolat csomagjait?
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz robrob007 #6422 üzenetére
- System / RouterBoard / Mode Button
ezt bekapcsolod, aztán olyan scriptet írsz a gombnyomásra, amilyet csak szeretnél, pl WiFi ki/bekapcsolósat is- tekintve, hogy a szabályos kikapcsolási módja az, hogy áramtalanítod, így nem az áramtalanítástól nem lesz baja
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
-
Lenry
félisten
ha eddig Mikrotiked volt, akkor szerintem tartsd meg jó szokásod, a routerOS ugyanaz lesz az új routeren is.
viszont ha nincs szükséged az SFP portra meg a PoE feladásra, akkor ajánlom a hAP ac2-t, bruttó 20k környékén megkapod, de az ac-vel szemben négymagos CPU van benne feleannyi pénzért[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
-
Lenry
félisten
válasz Beniii06 #6699 üzenetére
azért nem folytatása az ac^2 az ac-nek...
a hAP ac^2-ben nincs PoE out vagy SFP port pl, de tény, hogy hardverileg jóval erősebb, ha valakinek nincs szüksége a felsoroltakra, akkor valóban jobb választás az ac^2[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz robrob007 #6713 üzenetére
Sosem írtam Mikrotikre scriptet, de általános ötletként az jutott eszembe hogy nem lehet hogy a script elején egy IF szerűséggel lekéred az aktuális interfész állapotot, aztán annak megfelelő ágát futtatod a scriptnek?
Aktív az interfész?
Ha igen, kapcsold ki, ha nem, kapcsold be.Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz robrob007 #6723 üzenetére
Csak user-led választási lehetőség van a LEDs menüpont alatt
miért? mi más LED-et szeretnél vezérelni?és az nem csinál semmit sem.
nekem elkezdett világítani, amikor ezt beállítottam.
rá volt valami eszköz csatlakozva? mert most így belegondolva, jelentheti ezt is az interface statusGvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz MaCS_70 #6733 üzenetére
mert a bridge MAC címe nem ugyanaz, mint egyes portoké, amikor letiltottad a bridge-t, az a MAC megszűnt, nyilván nem tudsz rá visszacsatlakozni.
Winboxban átváltasz a Neighbors fülre, és ott meg fogja találni a routeredet az aktuálisan érvényes MAC címmel, amire majd tudsz csatlakozni
[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz grabber #6757 üzenetére
port forward:
/ip firewall nat
chain=dstnat action=dst-nat to-addresses=<IP cím, ahová forwardolni akarsz> to-ports=<belső port>
protocol=tcp in-interface=<WAN interfész> dst-port=<külső port> log=noblocklistre összeszedtem a netről két scriptet, azokat használom.
az első letölti a netről a listát/tool fetch address=www.squidblacklist.org host=www.squidblacklist.org mode=http src-path=/downloads/drop.malicious.rsc
a második lecseréli a tegnapi listát a maira
/ip firewall address-list remove [find where list="sbl*"]
/import file-name=drop.malicious.rsc
:log info "Removed old aggregated records and imported new list";ezeket minden éjjel lefuttatja a scheduler, a tűzfalban lévő szabályok pedig azonnal kivágják, aki ezekről a címekről érkezik
/ip firewall filter
chain=input action=drop connection-state=new src-address-list=sbl blocklist.de in-interface=<WAN interfész> log=no log-prefix="blacklist"
chain=input action=drop connection-state=new src-address-list=sbl dshield in-interface=<WAN interfész> log=no log-prefix="blacklist"
chain=input action=drop connection-state=new src-address-list=sbl spamhaus in-interface=<WAN interfész> log=no log-prefix="blacklist"[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
jut eszembe mert fontos
az import scripthez tapasztalataim szerint egy egymagos router kevés, legalábbis hAP ac, meg hEX r2 lehalt tőle, minden más, amin próbáltam, többmagos eszköz volt (hAP ac2, CCR1009, hEX r3, stb), azokon egy perc alatt megvolt az import.
nem biztos, hogy konkrétan a magok száma számít, de ezt tapasztaltam, ha valaki esetleg használná a scriptet, ezt vegye figyelembe[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz grabber #6765 üzenetére
Van saját blacklistám,elég csak ahhoz hozzáadnom
perszeegyébként az iptables sorrendben értékel ki, ha valamelyik szabályra találat van, akkor már nem megy tovább, ergo egy hátul lévő plusz szabály nem foglal plusz erőforrást.
én azt szoktam csinálni, hogy mivel a számlálón látom, hogy melyik szabály hány packetet fog meg, így igyekszem a jobban pörgő szabályokat előrébb venni.
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz Ricsi.M #6800 üzenetére
az a baj hogy ennyi infó elég kevés.
mi változott pontosan? hogy működött eddig és mi nem működik most? hogyan kapcsolódott össze a két hálózat eddig?ki rakta össze korábban a rendszert?
[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz bambano #6812 üzenetére
nekem is gyanús volt, főleg annak fényében hogy előtte vagy két hónapig nem volt upgrade, de a changelogban majdnem semmi nincs
What's new in 6.43.12 (2019-Feb-08 11:46):
*) winbox - improvements in connection handling to router with open winbox service;[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz Adamo_sx #6925 üzenetére
Fasttrack nélkül
lenry@Echo-Five:/$ speedtest
Retrieving speedtest.net configuration...
Testing from Magyar Telekom (xxx.xxx.xxx.xxx)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Opticon Kft. (Kecskemet) [46.39 km]: 491.587 ms
Testing download speed..................................................................
Download: 17.50 Mbit/s
Testing upload speed.......................................................................
Upload: 1.25 Mbit/sFasttrack-al
lenry@Echo-Five:/$ speedtest
Retrieving speedtest.net configuration...
Testing from Magyar Telekom (xxx.xxx.xxx.xxx)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Opticon Kft. (Kecskemet) [46.39 km]: 494.288 ms
Testing download speed..................................................................
Download: 18.90 Mbit/s
Testing upload speed.......................................................................
Upload: 1.39 Mbit/sén nem érzem az egetrengetést...
[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
-
Lenry
félisten
nem túl fényes az uploadom (és akkor még nagyon finoman fogalmaztam), azt is eléggé elviszi a torrent.
egyelőre annyit csináltam, hogy megjelölöm a torrent csomagjait
chain=postrouting action=mark-packet new-packet-mark=torrent-mark passthrough=yes tcp-flags="" protocol=tcp dst-port=51414 log=no log-prefix=""
és a Queue Tree-ben ez a mark a legalacsonyabb prioritást kapja
name="torrent" parent=global packet-mark=torrent-mark limit-at=0 queue=default-small priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s bucket-size=0.1
tudok-e még bármit tenni ezen kívül?
[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
köszi, ennyi azért nekem is megvolt.
nem akarom korlátozni, az egy kőbalta megoldás.
azt akarom, hogy amikor nem kell éppen semmi másra a sávszél, akkor tolja csak, ami a csövön kifér. amikor viszont kell, akkor szoruljon háttérbe a torrentforgalom.Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz E.Kaufmann #7327 üzenetére
a src portot kissé macerás figyelni, mert az szinte minden kapcsolatnál más.
vagy valamit nagyon félreértelmezek...
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz bambano #7330 üzenetére
és (#7329) E.Kaufmann
köszi, akkor most felvettem két új szabályt
4 ;;; torrent mark
chain=postrouting action=mark-packet new-packet-mark=torrent-mark passthrough=yes tcp-flags="" protocol=udp src-port=51414
log=no log-prefix=""
5 ;;; torrent mark
chain=postrouting action=mark-packet new-packet-mark=torrent-mark passthrough=yes tcp-flags="" protocol=tcp src-port=51414
log=no log-prefix=""src portot figyel, udp-n és tcp-n
[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz Adamo_sx #7332 üzenetére
kipróbáltam
packeteket megjelölve 1-2% közt van a CPU Load
connectiont jelölve 0-1%
feleannyi, de elhanyagolhatónak látom így is a terhelést.cserébe nem jövök rá, hogy a megjelölt kapcsolatot hogyan tudom a Queue-ban szabályozni? csak packet-markra tudok szabályt létrehozni
plusz nem vagyok benne biztos, hogy a postroutingban van ez a legjobb helyen.
mármint igazából így is működik, érezhetően jobb lett az otthoni elérésem, de ha lehet még fejlődni, az sosem zavar.[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz George30 #7379 üzenetére
amennyi látszik a képből, az alapján jó, meghát elrontani is nehéz, de azért nézd át, hogy tuti így néz-e ki
;;; Plex
chain=dstnat action=dst-nat to-addresses=<PMScíme> to-ports=32400 protocol=tcp in-interface=DIGI dst-port=32400 log=no
log-prefix=""illetve, hogy biztos hogy az-e az IP címe a szervernek, amit te gondolsz
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz George30 #7381 üzenetére
melyik részét?
nézd át, hogy a NAT-olásod tutira így néz-e ki, tehát biztosan a szervered IP címére és megfelelő portjára irányít.
a szervered IP címét meg Windowsban azipconfig
, Linuxban azip addr
paranccsal tudod legegyszerűbben ellenőrizniGvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
hosszútávon boldogabb leszel a Mikrotikkel.
de kétségtelen, hogy nagyon más, mint az OpenWRT, egy consumer routertől meg fényévekre van. meg kell tanulni használni, de ha egyszer ezen túl vagy, végtelen lehetőséget ad bármire.
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
válasz Beniii06 #7477 üzenetére
de ez mind megvan egy WiFi-s eszköz esetén is.
az égvilágon semmi nem gátol meg, hogy ráköss egy második eszközt AP gyanánt, ha nagyobb lefedettséget akarsz, vagy terhelést megosztani vagy akármi.amíg viszont ezek az igények nem merülnek fel, addig pénzkidobás külön megvenni egy vezetékes "fő" eszközt meg egy AP-t, csak azért, hogy külön műanyag dobozban legyenek
[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
vettünk egy új CRS routert, és egyszerűen nem jövök rá mit nem állítottam be, hogy kilásson a netre.
vázolom a helyzetet:
a netre egy CCR csatlakozik, alatta van mostmár kettő CRS, azok alatt további switchek, majd végül a kliensek.
az új CRS alatt is van net (én is most abba vagyok bedugva), de maga az eszköz nem lát ki a netre, a CCR-t még meg tudom pingelni, de semmit ami azon túl van, nem.[lengyelr@SomogyiCRS2] > ping 8.8.8.8
SEQ HOST SIZE TTL TIME STATUS
0 8.8.8.8 timeout
1 8.8.8.8 timeout
2 10.19.1.2 84 64 962ms host unreachable
3 8.8.8.8 timeout
sent=4 received=0 packet-loss=100%így nem tudom rOS-t frissíteni pl, meg egy csomó mindent.
tűzfalszabály nincs felvéve, DNS be van állítva, Route-ok szintén[lengyelr@SomogyiCRS2] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 bridge1 1
1 ADC 10.19.1.0/30 10.19.1.2 bridge1 0
2 A S 192.168.0.0/16 bridge1 1biztos valami triviális fasság hiányzik, de nem tudom merre induljak el.
a másik CRS-el nincs semmi baj, végignéztem a beállításait, de szinte ugyanezek...[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
megvan
[lengyelr@SomogyiCRS2] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.19.1.1 1
1 ADC 10.19.1.0/30 10.19.1.2 bridge1 0
2 A S 192.168.0.0/16 bridge1 1Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
dolgok, amiket ellenőrizz
- Bridge - a port, amit WAN-nak szeretnél, ne legyen a belső portok bridge-ében
- IP cím - vagy kérsz egyet a szolgáltatói eszköztől (IP - DHCP Clientben ráteszel egy klienst a WAN portra) vagy az IP - Addressben adsz egyet a következő formában
nyilván a saját beállításaidnak és a szolgáltatói eszköznek megfelelően, interface ugye a WAN (nálam ez egy bridge része, azért az van megadva)- IP - Routes
itt a fenti beállításoknak megfelelően már létre kellett hogy jöjjön a route a szolgáltató eszköz felé, itt még felveszed a 0.0.0.0/0-t mint dst-addresst, gateway pedig a szolgáltatói eszköz IP címe legyen- IP - Firewall - NAT
ide felveszel egy masquerade-t a WAN-rachain=srcnat action=masquerade out-interface=<a WAN portod> log=no log-prefix=""
opcionálisan felvehetsz még DNS-t, de ha ezek megvannak, akkor a Mikrotik már ki kell, hogy lásson az internetre
[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-