- Van, amit nehéz lett megtalálni a Google keresőjével
- Rossz üzlet az EV-kölcsönzés
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Milyen routert?
- Milyen switch-et vegyek?
- Mesterséges Intelligencia topik
- Kínában túl sok az EV, fokozódik az árháború
- Vírusirtó topic
- 3 évig még biztosan nem rendelhetünk Xiaomi EV-t
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
DonJoee
tag
válasz Pille99 #13648 üzenetére
Én nem azt mondtam, hogy az SFP nem 1G, hanem azt, hogy az SFP nem SFP+ . Nem korlátozták le az SFP+ portot 1G-re, hanem eleve az SFP portról írtak, ami ugye max. 1.25 G, általános felhasználásban 1 G.
Szóval nincs semmilyen korlátozás, valami más lesz a gond."Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
silver-pda
aktív tag
Át szeretném rakni a konfigot egy hap ac2-ről egy hap ac3-ra.
Sima export parancs kimenetét rakjam át, vagy az export verbose kimenetét?
Mac címekre figyelni kell, az rendben.Meg lehet állapítani, hogy a hap ac2-n teljesen üres volt-e, vagy a defaultra konfigoltam rá? (/system reset-configuration vagy /system reset-configuration no-defaults volt-e kiadva)
Vagy hagyjam a francba, építsem újra a konfigot és csak a spéci dolgokat vegyem ki a régiből? (pár éve csináltam és megkopott az a kevés felszedett tudás azóta )
[ Szerkesztve ]
-
ratkaics
senior tag
Sziasztok!
Egy ideje használok otthon egy mikrotik routert, de eléggé kezdő vagyok még mélyebb témáiban. Esetleg, ha itt le tudnátom írni szájbarágósan, hogyan tudnám beállítani az alábbi dolgokat.
Szükség lenne egy olyan IP cím tartományra a LAN hálózaton, ami a LAN-on belül tud kommunimálni, de a WAN felé nem. Viszont ha VPN-nel becsatlakozik valaki kintről, akkor az elérje a fenti eszközöket.
A hab a tortán az lenne, ha viszonylag egyszerűen (néhány) kattintással meg lehetne azt csinálni, hogy rövid ideig elérje az internetet.Tud ebben segíteni valaki?
Előre is köszönöm a segítséget![ Szerkesztve ]
Olyan nincs, hogy valami nem sörnyitó ....
-
ekkold
Topikgazda
válasz ratkaics #13654 üzenetére
Több különböző LAN IP tartomány használatához, a LAN oldali bridge-nek több IP címet kell adni. Az, hogy melyik tartomány tud netezni, két dologgal szabályzható ill. korlátozható:
- A NAT szabály(ok)ban meg lehet adni, hogy melyik IP tartományra vonatkozzon.
- Tűzfal szabályokkalA VPN alaphelyzetben mindegyik IP tartományt látja, de tűzfal szabályokkal ez is korlátozható.
Mivel minden szabály ki/be kapcsolható egyetlen kattintással, így "hab a tortán" is megoldható.
Nyilván meg kell oldani a DHCP szerver megfelelő beállítását, és azt is hogy melyik eszköz melyik IP tartományba kerüljön (pl. MAC adress alapján). De végülis ez is csak pár kattintás.
Más lehetőség ha csak 1 IP tartomány van, de abból nem minden cím éri el az internetet... Ehhez csak tűzfal szabály(ok) kellenek.
Viszont egy ilyen komplett konfig azért lehet, hogy nem fér el 3..4 sorban itt a fórumban...
[ Szerkesztve ]
-
A_ScHuLcZ
addikt
Sziasztok,
Digi a napokban nálunk is elvégezte az FTTB -> FTTH átállítást, eddig csak egy ethernet kábel (+ a koax a TV-hez) jött be a lakásba, most már optika fut be a végén egy ONT-vel.
Az ONT-t még a szerelés ideje alatt bridge-be rakattuk, nem variálunk.
A probléma az, hogy az átalakítás óta drasztikusan megnövekedtek a pppoe kapcsolat szakadásaink, egységnyi idő alatt nagyjából 100x annyi szakadás van, mint korábban, és (főleg HO idején) ez így nagyon nem jó. Az elmúlt 24 órában 9x szakadtunk le, a cserét megelőzően 3 hónap alatt nem történt ennyi szakadás, néztem a syslogon.
A logban periódikusan ennyit látok, és körülbelül 2-3 óránként ismétlődik:
18:28:22 pppoe,ppp,info pppoe-out1: terminating...
18:28:23 pppoe,ppp,info pppoe-out1: disconnected
18:28:23 pppoe,ppp,info pppoe-out1: initializing...
18:28:23 pppoe,ppp,info pppoe-out1: connecting...
18:28:24 pppoe,ppp,info pppoe-out1: terminating... - failed to authenticate ourselves to peer
18:28:24 pppoe,ppp,info pppoe-out1: disconnected
18:28:24 pppoe,ppp,info pppoe-out1: initializing...
18:28:24 pppoe,ppp,info pppoe-out1: connecting...
18:28:25 pppoe,ppp,info pppoe-out1: terminating... - failed to authenticate ourselves to peer
18:28:25 pppoe,ppp,info pppoe-out1: disconnected
18:28:26 pppoe,ppp,info pppoe-out1: initializing...
18:28:26 pppoe,ppp,info pppoe-out1: connecting...
18:28:27 pppoe,ppp,info pppoe-out1: authenticated
18:28:27 pppoe,ppp,info pppoe-out1: connectedÉrdekelne, hogy rajtam kívül más tapasztalt-e hasonlót, esetleg van-e ötletetek, hogy mit érdemes ellenőrizni/átállítani? (nem gondolom, hogy Mikrotik oldalon lesz a hiba, de szeretnék minden lehetőséget kizárni)
Köszönöm!
"I'd tell you a joke about UDP, but you probably wouldn't get it."
-
bacus
őstag
Melyik router? Irtam, hogy a 3011 -eket downgradelnem kellett, mert ha nem is 8x, de napi 2-3x leszakadt a miki. Ráadásnak nem is volt optika váltás, csak vmi nem volt jó.
(és digi, telekom optika is érintett volt, szóval tuti, hogy a router frissítés okozta nálam)
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
addikt
válasz A_ScHuLcZ #13659 üzenetére
Én átrakatnám rendes router módba a digi eszközét,mert lehet hogy az optikával van gond vagy az új hálózattal.
Ha akkor nem szakadozik ellenőrizném a Mikrotiket. Amúgy elsőnek megpróbálhatnád felfrissíteni a miki-t,mert 1 perc alatt megvan. Ha attól megjavul akkor úgy volt a legkönyebb elhárítani a problémát. -
Necc
addikt
válasz A_ScHuLcZ #13657 üzenetére
Új FTTH bekötésnél gyakori hiba hogy az optikai kábel ügyfél oldali végén a gyorscsatlakozót helytelenül kötik be, aminek következtében túl gyenge lesz a jel az ONT-n, a végeredményt pedig látod. Másik - sokkal ritkább eset - amikor a kábel másik végén a hegesztés van elrontva (pl. buborék keletkezik amit nem látnak vagy nem törődnek vele), ekkor jelszint rendben szokott lenni, de a torzítás miatt ugyanúgy eldobálja a netet (+telefon, TV ha van).
Legegyszerűbb ha közvetlenül rádugod a géped, azon hozol létre PPPoE-t és így használod egy ideig.
Ha így is eldobja, be kell jelenteni.
Yo momma's so FAT she can save files bigger than 4GB!
-
Kenderice
senior tag
Üdv.
Mostanában azt vettem észre, hogy a hap ac2 routeremhez nem tudok 5ghz-n csatlakozni.
Mindig ledobálja a telefont.
Kíváncsiságból kikapcsoltam a 2,4ghz-s interface-t és ezután azonnal tudok csatlakozni és stabil is a kapcsolat.
Ha visszakapcsolom, újra nem enged csatlakozni 5ghz-n.Találkozott valaki ilyesmivel?
Mi lehet a gond?Köszönöm.
-
senior tag
Amikor PPPoE csatlakozáson keresztül van internet (pl Digi), olyanokor az ethernet interfészre is alkalmaztok tűzfal szabály(oka)t?
-
Necc
addikt
válasz Zwodkassy #13663 üzenetére
Ugy erted hogy pl ETH1-en jon be a net, de ETH1-rol megy egy PPPoE kapcsolat, es ekkor alkalmazunk-e tuzfal szabalyt ETH1-re?
Alapbol nem.
PPPoE kapcsolat is interface-nek szamit, igy arra kell csak tuzfal szabaly. ETH1-re alkalmazott tuzfalszabalyok nem vonatkoznak PPPoE forgalomra.
Termeszetesen mehet ETH1-en egyeb forggalom, ami miatt lehet tuzfal szabalyokat alkalmazni ra, de azok ugyszinten nem kell(ene) hogy erintsek a PPPoE forgalmat.
(Nem allitom 100%-ra mert mikrotik specifikus tapasztalatom ezzel kapcsolatban nincs.)Yo momma's so FAT she can save files bigger than 4GB!
-
senior tag
Direkt nem írtam konkrét ethernet port-ot.
Főleg, hogy nem is feltétlenül csak egy ilyen lehet a RouterOS-ben.
De természetesen lehet ez az "ether1" is.
Igen, az internet forgalma a "pppoe" interfészen megy. De ettől, még a "külvilág" felé ott van az adott "ether-x" is. Ez mondjuk egy Digi esetében az ONT-ig tart. Vagy még sem? Erre irányult volna a kérdésem[ Szerkesztve ]
-
ratkaics
senior tag
Sziasztok!
Az mitől lehet (hAPac2), hogy ha wifire kapcsolódik a telefonom, akkor a DHCP kérésnél, csak az "offering" állapotig jut a dolog. utána a telefon kiírja, hogy nincs internet kapcsolat. Onnantól a DHCP Lease-nél nem is látszik a teló.
Más wifi eszközzel még nem próbáltam, de a telefon egy másik wifi hálózaton működik rendesen.
Nem vagyok túl nagy szaki, szóval biztosan én rontottam el valamit.
Kérlek segítsetek, hogy mi okozhat ilyet!Olyan nincs, hogy valami nem sörnyitó ....
-
silver-pda
aktív tag
Ezzel beállítom, hogy csak belső hálóból érjem el a winbox szolgáltatást:
/ip service set winbox address=192.168.88.0/24
Ezzel meg engedélyezem, hogy kívülről elérjem:
/ip firewall filter add chain=input in-interface=ether1 protocol=tcp port=8291 action=accept comment="allow Winbox"
Ha ez a 2 parancs van, akkor ez ellentmondás nem?
Viszont kívülről nem engedném winboxot, akkor ez a firewall filter nem kell, ugye?Kintről szükséges az ssh elérés? Van egy ilyenem:
/ip firewall filter add chain=input in-interface=ether1 protocol=tcp port=22 action=accept comment="allow SSH"Ez a 2 ip firewall skori leírásában nem volt, de a help.mikrotik.com-on szerepelt.
[ Szerkesztve ]
-
ratkaics
senior tag
válasz ratkaics #13666 üzenetére
Még mindig ezzel a problémával küzdök. Semmilyen Wifi-s eszköz nem tud csatlakozni rendesen. Átnéztem a Wifi beállításokat Skori leírása alapján, de nem jövök rá, hogy hol a gond.
Megpróbálom részletesen leírni, hogy mi történik, hátha Ti tudtok segíteni.
1. Kapcsolódni szeretnék, mondjuk egy telefonnal a wifi-re, akkor a DHCP Leases-nél megjelenik az telefon, de a Status-nál azt írja, hogy "offering" (Pedig az IP cím, amit kap elvileg jó)
2. Ekkor a telefon kiírja, hogy "csatlakoztatva, internet kapcsolat ellenőrzése".
3. Egy kis idő elteltével a telő kiírja, hogy "csatlakoztatva, nincs internetkapcsolat". A telefonon ellenőrzöm az a kapott IP címet és ilyenkor a DHCP pool-on kívüli IP-t látok és a Default gateway is más mint, aminek lennie kellene.
4. Eltűnik a DHCP Leases-ből a telefon.Valakinek van ötlete, hogy mi lehet a probléma?
Köszi előre is minden segítséget!Olyan nincs, hogy valami nem sörnyitó ....
-
ratkaics
senior tag
válasz E.Kaufmann #13669 üzenetére
Egy Bridge van és igen AP-Bridge módban van maga az interface.
Olyan nincs, hogy valami nem sörnyitó ....
-
ratkaics
senior tag
Van másik pool-om a VPN kapcsolatoknak, de az más subnet-ben van. Amit a telefon kap IP az ugyan abban a subnetben van, mint a DHCP pool, de nem a pool tartományában, hanem felette. a Pool 200-ig tart. A teló meg kap egy 213-at és default gatewaynek meg kap 201-et.
Nagyon nem értem.Olyan nincs, hogy valami nem sörnyitó ....
-
ratkaics
senior tag
Ott lesz a baj. Az egyik virtuális gép, ami nemrég került fel erre a hálózatra szintén futtat DHCP szervert. Ezt mondjuk nem tudom, hogyan tudom megoldani, mert annak is mennie kellene...
De nagyon köszönöm a segítséget!Olyan nincs, hogy valami nem sörnyitó ....
-
Necc
addikt
válasz ratkaics #13674 üzenetére
Az érintett bridge-ben kapcsold be a DHCP Snooping -ot.
Yo momma's so FAT she can save files bigger than 4GB!
-
adika4444
addikt
válasz silver-pda #13667 üzenetére
Az első a WinBox-ot állítja be, hogy honnan fogadjon el csatlakozásokat. Tehát ami eljut hozzá, azzal mit kezdjen.
A második a tűzfal, azaz, hogy egyáltalán bejuthat-e a routerbe a csomag. Ha a tűzfalon beszabályozod a WinBox-ot (vagy akár tiltod a teljes külső elérést), akkor a WB-t már nem kell piszkálni, hisz nem is jut el addig a kérés. Így a logba sem kerül be alap esetben.
Az SSH-t csak te tudhatod, hogy el akarod-e érni kívülről. De semmiképp nem jelszóval és nem a 22-es porton javaslom, minimum egy portcsere + kulcsos hitelesítés, de ha biztosra akarsz menni, egy VPN, aztán ha arra fellépsz, onnan elérhetsz mindent.
üdv, adika4444
-
silver-pda
aktív tag
Van egy szabályom: /ip firewall nat add action=dst-nat chain=dstnat ...
Csinálnék egy másikat:
/ip firewall filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat <- ez a dstnat az előzőből a chain vagy action (dst-nat) lenne?@adika4444: köszi
-
ekkold
Topikgazda
válasz silver-pda #13667 üzenetére
Sem a Winbox, sem az SSH elérését nem célszerű kintről engedélyezni. Ha valamiért mégis elkerülhetetlen, akkor sem a standard porton, hanem egy másik, véletlenszerűen választott porton (pl. 10000 felett). Ezen kívül ilyenkor érdemes további tűzfal szabályokkal is megtámogatni, pl. hogy adott idő alatt csak 3 próbálkozást engedjen, vagy mondjuk "fehérlistát" létrehozni, és csak a listán szereplők számára engedélyezni a hozzáférést. A fehérlistára dinamikus címeket is fel lehet tenni, illetve az ún. kopogtatásos módszerek is hatékonyak.
De talán még jobb megoldás a VPN használata. Ilyenkor egyáltalán nem kell portokat nyitni kifelé. Ilyenkor elsősorban a VPN-t kell védeni, a fentiekhez hasonlóan, tehát pl.:
- hosszú és bonyolult jelszó használata
- korlátozni a jelszó próbálgatások számát,
- fehérlista használata
- port kopogtatás, vagy csomagméret kopogtatás fehérlistával
- jelszócsere adott időnként
- feketelista a támadó IP címeknek
- stb.... -
ekkold
Topikgazda
válasz silver-pda #13679 üzenetére
Azt szeretnéd ezzel a tűzfal szabállyal elérni, hogy azokat a kapcsolatokat dobja és ne forwardolja amelyekre nincs DST-nat szabály létrehozva?
Lehet, hogy tévedek, de ennek így nem sok értelme van. Amit nem tud hová tovább forwardolni a router, mert nincs rá NAT szabály, az amúgy is el lesz dobva...
Igazából azt kellene eldönteni, hogy a kapcsolat jogos, vagy esetleg káros , és ez alapján dönteni hogy drop legyen-e. Erre vannak módszerek. -
silver-pda
aktív tag
válasz ekkold #13681 üzenetére
Köszi.
Winbox, ssh tiltva lett kívülről.A miki felkonfigurálását 2 leírás alapján végzem: Te leírásod és help.mikrotik.com javaslatai.
Utóbbinál volt egy port forward:
/ip firewall nat add chain=dstnat protocol=tcp port=3389 in-interface=ether1 \
action=dst-nat to-address=192.168.88.254És a későbbiekben egy ilyen szabályt írtak még (kliens védelemre):
/ip firewall filter add chain=forward action=drop \
connection-state=new connection-nat-state=!dstnat in-interface=ether1 \
comment="drop access to clients behind NAT form WAN"
Bár ez alapján dstnat kell és nem dst-nat.
Tehát az első szabályból a chain kell a második szabályba a connection-nat-state -hez, ha jól gondolom. -
ekkold
Topikgazda
válasz silver-pda #13682 üzenetére
Van olyan eszközöd aminek a címe 192.168.88.254 és a TCP 3389-es porton kommunikál?
-
ekkold
Topikgazda
válasz silver-pda #13685 üzenetére
Távoli asztalt kirakni a netre, ahogyan előttem is írták, eléggé veszélyes játék (magyarul: számíthatsz rá, hogy állandóan próbálkoznak majd a hekkeléssel, és esetleg szét is fogják hekkelni).
Még a legkevésbé biztonságosnak tartott PPTP-VPN is sokkal jobb megoldás lenne. Vagy miniumum egy fehérlistás megoldás kellene, hogy ne kapcsolódhasson bárki bárhonnan.
[ Szerkesztve ]
-
ekkold
Topikgazda
válasz Zwodkassy #13687 üzenetére
A VPN-re kapcsolódni próbálkozók felkerülnek két IP listára, ha ezután 90 másodpercen belül nem lép be a megfelelő usernév/jelszó párossal, akkor feketelistára kerül az IP néhány órányi (vagy tetszés szerinti) időtartamra. Ez a 90 másodperc a gyakorlatban 3...4 jelszó kipróbálására ad lehetőséget. A logban annyi látszik ilyenkor, hogy próbálkozik admin, root, user, teszt felhasználónevekkel és kb. ennyire futotta, ment a feketelistára.
Ehhez kell néhány tűzfal szabály, és egy egyszerű script. A script minden VPN kapcsolat felépülésekor lefut + óránként egyszer. Annyit csinál, hogy ha él az adott IP-hez tartozó VPN kapcsolat, akkor az IP listában másfél órára meghosszabbítja azt az időt amíg a tűzfal nem teszi feketelistára. Mivel óránként is lefut így a lejárat előtt mindíg meghosszabítja az időt. Elég régóta használom ezt a megoldást, és szerintem sokat javít a VPN biztonságosságán. -
ekkold
Topikgazda
válasz Zwodkassy #13687 üzenetére
De van egyszerűbb megoldás is, PPTP esetében, adott idő alatt a 1723-as portra érkező új kapcsolatok száma alapján is feketelistára tehető a próbálkozó, mivel minden új jelszó kipróbálásához új TCP kapcsolatot kell indítani. Ehhez csak tűzfal szabályok kellenek, script-re nincs szükség.
-
ekkold
Topikgazda
A játék kedvéért az előbb mindkét megoldást beállítottam, megnézzük melyik tesz több IP-t a feketelistára!
Ja, és két hétig lesz feketelistán egy IP, és hogy saját magamat semmiképpen se zárjam ki, van kopogtatós fehérlista is[ Szerkesztve ]
-
senior tag
Adott egy 3011 és egy 4011. Egyiknél sem tudom megnézni a "Sector Writes" értékeket :-(
Ezekből kimaradt ez a funkció? -
silver-pda
aktív tag
A LAN-on belüli összes forgalom átmegy a Firewall-on?
Dhcp szerver:
- vpn kapcsolatnak, hogy tudok külön pool-ból ip címet adni? Pool-t létrehozom, az rendben, dhcp szerverhez nem kell hozzárendelni külön? Vagy ezt a vpn "szerver" kezeli?
- hogy adható másik pool-ból ip az egyik wlan-nak?[ Szerkesztve ]
-
Reggie0
félisten
válasz silver-pda #13695 üzenetére
Attol fugg melyiken. Ha a sima IP/Firewall-ra gondolsz, akkor odaig az jut el, amivel a procinak dolga van(pl. routing, virtual interfeszre megy, stb. stb..), kulonben a switch IC-n belul marad.
Ha a bridge firewall-ra gondolsz, ott minden forgalom atmegy.- Attol fugg milyen VPN.
- Kulon DHCP szervert raksz arra az interfeszre.[ Szerkesztve ]
-
silver-pda
aktív tag
válasz Reggie0 #13696 üzenetére
Köszi.
IP Firewall-ra gondoltam virtual interfesz esetén, tehát akkor ez átmegy.L2TP, illetve PPTP esetén kérdéses a pool. Úgy látom csak pool-t kell megadni, a többit intézi a vpn szerver.
Egyik wlan-nak pool: tehát kell egy másik dhcp szerver és pool. Viszont a bridge1-be van az összes ethernet port meg a 2 darab wlan.Akkor onnan ki kellene venni vagy vhogy exclude-olni, hogy ne kapjon az eredeti dhcp-től ip-t. -
silver-pda
aktív tag
válasz silver-pda #13697 üzenetére
szóval azt a wlan-t egy új bridge-be kell rakni és arra mehet az új pool és dhcp szerver.
(éppen mást gugliztam és beleszaladtam. )[ Szerkesztve ]
-
silver-pda
aktív tag
válasz silver-pda #13698 üzenetére
Vagy nem kell új bridge, ha ez a wlan virtuális, mert úgyis le lenne tűzfalazva, akkor simán mehet dhcp szerver erre a virt wlan-ra, tűzfal miatt pedig a dhcp kérések nem mennek át másik hálózatba.
-
ekkold
Topikgazda
válasz silver-pda #13699 üzenetére
Ha a egy külön hálózatot akarsz kialakítani wifivel, saját DHCP címtartománnyal, akkor a DHCP működhet a wifi interfészen is, de ha több interfészen is használni akarod ezt a hálózatot, akkor azoknek kell egy külön bridge, és a DHCP szervernek is ezt a bridge-t kell kell beállítani.
Új hozzászólás Aktív témák
- Van, amit nehéz lett megtalálni a Google keresőjével
- Rossz üzlet az EV-kölcsönzés
- Motorola Moto G24 Power - hol van az erő?
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Milyen routert?
- Gitáros topic
- Xbox tulajok OFF topicja
- Fizika topic
- Milyen switch-et vegyek?
- Redmi Note 9 Pro [joyeuse]
- További aktív témák...
- LG NanoCell 55NANO766QA Halvány píxel csík
- Philips 58PUS8545/12 1 ÉV GARANCIA Játék üzemmód
- Tyű-ha! HP EliteBook 850 G7 Fémházas Szuper Strapabíró Laptop 15,6" -65% i7-10610U 32/512 FHD HUN
- Bomba ár! HP EliteBook 840 G5 - i5-8G I 8GB I 128GB SSD I 14" FHD I HDMI I Cam I W10 I Gari!
- The Last of Us Part I Ps5