-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
iceQ!
addikt
Sziasztok
hAP ac3-hoz milyen wifi anettna való? LTE verzió van, ebben nincs antenna extenderl, viszont így elég gyatra a wifi jel erőssége.
Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS
-
Ejelhar
senior tag
válasz adika4444 #13950 üzenetére
Szia,
nagyon sokat kellet volna irkálni és nem lehetetlen, hogy még így is kimarad valami, ezért úgy döntöttem ez így egyszerűbb, egy működő konfig ehhez (WIFI-vel most nem törődünk):/interface bridge
add arp=local-proxy-arp name=bridge-LAN vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-IPTV
/interface vlan
add interface=bridge-LAN name=vlan10 vlan-id=10
/ip pool
add name=LAN-POOL ranges=172.16.191.20-172.16.191.199
/ip dhcp-server
add address-pool=LAN-POOL disabled=no interface=bridge-LAN name=DHCP-LAN
/interface bridge port
add bridge=bridge-LAN interface=ether3 multicast-router=disabled
add bridge=bridge-LAN interface=ether4 multicast-router=disabled
add bridge=bridge-LAN interface=ether5 multicast-router=disabled
add bridge=bridge-LAN interface=ether2-IPTV multicast-router=disabled pvid=10
/interface bridge settings
set use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=bridge-LAN tagged=ether3,ether4,ether5,bridge-LAN untagged=\
ether2-IPTV vlan-ids=10
/ip address
add address=172.16.191.254/24 interface=bridge-LAN network=172.16.191.0
/ip dhcp-client
add disabled=no interface=ether1-WAN
/ip dhcp-server network
add address=172.16.191.0/24 dns-server=172.16.191.254 domain=hex.local \
gateway=172.16.191.254 netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN src-address=\
172.16.191.0/24
/system clock
set time-zone-name=Europe/Budapest
/system identity
set name=DDS-hEX
/system ntp client
set enabled=yes primary-ntp=162.159.200.1 secondary-ntp=193.225.118.163
[ Szerkesztve ]
-
Edorn
aktív tag
Olyat lehet beállítani Mikrotik routerben, hogy csak bizonyos eszközök esetén használjon VPN-t (surfshark)? Azaz, ha a NAS kommunikálna kifelé, akkor VPN-en keresztül menjen az adat, míg ha a telefon, vagy PC, akkor mehet VPN nélkül? Esetleg protokollra lekorlátozni, illetve címekre? Azaz ha pl p2p, vagy bizonyos kulcsszavakat tartalmaz a cím, akkor VPN, egyébként mehet nélküle?
AMD Ryzen 5 5600 3.50GHz AM4, SAPPHIRE RX580 4GB, EX2220 (1920x1080), crucial MX500 SSD, CRUCIAL 16GB Ballistix DDR4 3200MHz, MSI B450 GAMING PLUS | Tárhely, domain: https://nokturn.hu
-
Necc
addikt
válasz mZoleee #13948 üzenetére
Nézd meg hogy egy külső weboldalt meghívva mit mond vissza WAN IP címednek és nézd meg a routered milyen IP címet kap, ha a kettő nem egyezik NAT-olva vagy és ezért nem jutnak el a packetek a routeredig.
Ügyfélszolgálaton kérheted hogy vegyenek ki NAT-ból.Yo momma's so FAT she can save files bigger than 4GB!
-
senior tag
VLAN témakör
Egy adott porton tudnom kell majd fogadni "Tagged" és "Untagged" csomagokat is.
Alapból minden port - kivétel a WAN - egy Bridge alatt van, és "Untagged", azaz nincs semmi VLAN kezelés.
Viszont (van) lesz majd egy "Tagged" is, amit külön IPv4 tartományként kell kezelnem, külön NAT és DHCP stb.
Elvben a Interfaces / VLAN alatt hozzá tudok adni az adott ethernet port-hoz egy VLAN "kiterjesztést", de ez CPU-t fogyaszt. Nem mintha nagy forgalom lenne rajta, és egy 4011-et egyébként sem hiszem, hogy ez megfektetne. Csak gondoltam elegánsabb lenne Bridge alatt megcsinálni :-)[ Szerkesztve ]
-
senior tag
válasz Reggie0 #13960 üzenetére
Van egy alap VLAN nélküli rész, egy adott IPv4 alhálózattal : ether2-től ether10-ig egy bridge alatt vannak.
Gyakorlatilag itt egy másik IPv4 alhálózatot kell(ene) kezelnem. Ennyi.
Példának okádék legyen az egyik alhálózat 192.168.1.0/24
a másik meg 192.168.2.0/24.
Az ether2-től ether10-ig mindenki ez elsőben van.
És mondjuk (még nem tudom) az ether5-ön 10-es VLAN-ID-vel lesz kapcsolatom néhány eszközzel, melyek a másik alhálózathoz tartoznak.
Ennyi. -
Reggie0
félisten
válasz Zwodkassy #13961 üzenetére
Milyen router? Bridge vlan-nal sem leszel nagyon kisegitve, mert a bridge is prociban fut, szoval ha a procinak foglalkoznia kell a vlanban levo forgalommal(pl. van ipcime a vlanban, vagy routingol), akkor ugyis be kell mennie a prociba.
switch rule-val tudnal filterelni vlan-ra es ip/mac cimre a vlanon belul, de ahhoz a megfelelo switch IC kell.
(Bridge vlan lenyege, hogy javit a teljesitmenyen es le lehet filterelni, hogy milyen portokra milyen vlan tagged packeket engedhet ki, igy a vlan tagged packetek nem mennek el a halozaton minden iranyban)
[ Szerkesztve ]
-
Reggie0
félisten
-
Reggie0
félisten
válasz Zwodkassy #13966 üzenetére
Ott siman bridge-vel, mert nincsen switch chip. De az procibol csinal mindent, csak birja a procija.
Bridge vlan tablat lehet kitolteni, hogy feleslegesen ne kuldje ki azokra a bridge portokra, ahol nem szukseges. Letre kell hozni egy virtualis vlan interfeszt -ugy, hogy a brigere a master interfesz - az adott vlan szammala, es arra a vlan interfeszre pedig a router vlanon beluli ip cimet felhuzni.
Nagyjabol ezt kell csinalni neked is a 4011-en, csak a swithcportok kozotti vlan forgalmat nem fogod tudni korlatozni, mert azt azon a routeren a switch-ben kene allitani, csak eppen nem tamogatja. Ha meg bridge-bol csinalod a switchelest es filterezest, akkor a procit terheli.
[ Szerkesztve ]
-
Ejelhar
senior tag
válasz Zwodkassy #13961 üzenetére
A #13953 hsz-em ilyen konfigot mutat. Ott a 10-es VLAN untagged az ether2 porton, tagged az ether3,ether4,ether5 porton.
Amúgy bridge-be is vannak, és az 1-es VLAN felhúzva az egész bridge-re.
Amúgy én nem szoktam tökölődni ha tutira csak 1 trunk port kell, interface-hez tárítom a VLAN-okat és kész is.
Ha már viszont access port is kell, több trunk, vagy/és a bővítési lehetőség, akkor muszáj bridge-be szervezni.Hardware gyorsításod viszont nem lesz, ahogy nézegetem a routered speckóját. De nem is kell, elég combos az a CPU, bőven bírni fogja, sőt.
-
Ejelhar
senior tag
válasz Zwodkassy #13974 üzenetére
Igen, több fajta módon is meg lehet csinálni, de mindegyik egy kicsit körülményes.
Vagy hát a fene tudja, lehet mi vagyunk túl merevek, csak az elegáns ami Ciscotól jönps. bridge VLAN-oknál egy ici-picit becsapós a WinBox.
A bridge VLANs tabon csak akkor mutatja a tagged, untaged interface-ket, ha azok linkelnek is.
(a "current" mezők nem a konfigra utalnak, hanem az az 'éppen most' állapotot tükrözik) -
Ejelhar
senior tag
válasz Reggie0 #13970 üzenetére
Köszi.
Mint írtam én csak akkor használom, ha tutira egy trunk port kell és nem is lesz több, access port sem.
Bár hát ... ez is olyan, hogy változhat idővel, fel is hagytam vele (kivéve mikor más routerek -nem Mikrotik- konfigját hozom át és mereven ragaszkodunk az adott kialakításhoz, ha az amúgy hülyeség is).
A switch chip -RouterOS esetében- eleve nem szimpatikus erre nekem.
Úgyhogy marad a bridge ha VLAN-ozunk, flexibilis megoldás, egyszerűen bővíthető ha kell, messze ez a legjobb választás szvsz.[ Szerkesztve ]
-
Ejelhar
senior tag
válasz Reggie0 #13979 üzenetére
Okay, csak hát SwOS alatt garantált, hogy ez még működik is, méghozzá jól.
RouterOS esetében meg olyan mint a kutya vacsorája: ha van, akkor örülünk neki és kb. ennyi.
De én nem erőltetném, főleg a mostani hardware felhozatal és árak mellett.Persze megvan ennek a fordítottja is, én már jártam úgy, hogy kaszát kapát eldobni, egy elfüstölt táp okán azonnal eszközt kell cserélni. Igen ám, de éppen csak CRS volt kéznél.
Nos, az IPsec kapcsolattal megspékelt performancia adatait ennek a rendszernek csak halálon napján fogom publikálni, mert különben ti fel fogtok jelenteni emberiesség elleni bűncselekményért.
Mondjuk talán jogos is lenne, tényleg sok ez egy érző szívű embernek. -
user12
őstag
válasz Ejelhar #13953 üzenetére
Szia
Lenne két kérdésem. Javíts ki (vagy bárki más) ha tévednék.
Ez:
/interface bridge vlan
add bridge=bridge-LAN tagged=ether3,ether4,ether5,bridge-LAN untagged=\
ether2-IPTV vlan-ids=10
Nem azt csinálja, hogy az ether 3-5 és bridge-lan portokat trönkként, míg az eth2 portot access-nek definiálja? Tehát a 3-5 portokra még ültetni kell 1-1 menedzselhető switchet.
Valamint natolásnál nem tesz különbséget a vlan10 és a vlan nélküli hálózat között. IPTV nem szeresse a natolást, én úgy tudom. Nekem úgy volna logikus, hogy a vlan10 natolás nélkül bridgelve kapcsolódik ahhoz a hálózathoz, ahová az ether1 van kötve?Rendszergazda vagyok....ha röhögni lát, mentsen
-
Ejelhar
senior tag
válasz Zwodkassy #13983 üzenetére
Készítünk egy VLAN-t mondjuk a 10-est, a neve legyen vlan10, és ezt hozzárendeljük a már létező bridge-hez.
Ez utóbbi neve mondjuk bridge-LAN./interface vlan
add interface=bridge-LAN name=vlan10 vlan-id=10
Adunk neki IP címet.
/ip address
add address=192.168.2.254/24 interface=vlan10 network=192.168.2.0
A firewallnak megmondjuk, hogy ezt a hálót is szabad NAT-olni internet irányban.
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN src-address=\
192.168.2.0/24
A bridge interface-n beállítjuk, hogy -mondjuk- az ether5 portján tagelve küldje tovább a 10-es VLAN-t.
/interface bridge vlan
add bridge=bridge-LAN tagged=ether2,bridge-LAN vlan-ids=10
Rávesszük a bridge-t a VLAN-ok kezelésére:
/interface bridge
add arp=local-proxy-arp name=bridge-LAN vlan-filtering=yes
Opcionális, egy DHCP szervert felhúzunk a vlan10 interface-re. -
Ejelhar
senior tag
válasz user12 #13984 üzenetére
Szia,
1.) Nem, felesleges.
Azért az, mert már van ilyenünk, a tagged interface-ekhez magát a bridge-t is hozzáadtuk, a VLAN 10 taggelve, de mivel a default PVID ezeken a portokon és magán a bridge-en is az 1-es, ezért az is ott vigyorog, az untagged.2.) NAT-nál -ahogy a példa konfigban alant- a feltételeknél a forrás subnet szerepel.
Az meg nem az IPTV tartománya./ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN src-address=\
172.16.191.0/24
[ Szerkesztve ]
-
Ejelhar
senior tag
válasz user12 #13987 üzenetére
Ha bekapcsolva a vlan filtering a bridge-n, akkor annak VLANs lapján meghatározott módon viselkedik.
A hivatkozott konfigban az ether2 PVID-je 10-esre változtatva és a VLANs lapon untagged interface-ek közé besorolva. Magyarán ez egy access port, native VLAN-ja pedig a 10-es.A 3-5 portokon tagged a VLAN 10, illetve -mivel ezek PVID-je nincs változtatva- az alapértelmezett VLAN 1 is elérhető és az untagged.
Ez utóbbit meg sem kell szabni, a bridge ezt dinamikusan hozzárendeli.És van még maga a vlan10 nevű interface, ezt a bridge portok közé fel sem kell venni, az untagged.
[ Szerkesztve ]
-
-
Ejelhar
senior tag
válasz Zwodkassy #13995 üzenetére
Szép magyar szóval: vizualizálom a problémát.
Néha tényleg többet ér egy kép, mint ezer szó.Alant egy próbakonfigról készült kép (egy -nem Mikrotik- router kiváltását szimulálom).
Van egy bridge, a hozzárendelt portok: ether2,3,4,5
az ether2 az trunk,
az ether3 szintén,
az ether4 is, de ezen egy harmadik irányba szintén tagelve továbbzavarjuk az összes VLAN-t.
az ether5 az acces port.A tagged, untagged oszlopok a VLAN-okhoz rendelt portokat listázzák, ahogy a konfigban megszabtuk.
A "Current tagged" és "Current untagged" oszlopok az 'éppen most' állapotot mutatják. Mint látszik itt már nem listázza az ether5 portot, mivel azon jelenleg nincs link.Az utolsó sor a default VLAN-t, az 1-est listázza, amit dinamikusan rendel hozzá a bridge (a portok és saját maga PVID-je alapján)
Az ether5 access port melyik VLAN-ba is kerül pontosan? A port PVID-je alapján dönti azt el:
-
zex
aktív tag
Sziasztok!
Van egy hAP ac2-em és le szeretném cserélni egy hAP ac3-ra. A kérdésem az, hogy a régi roti konfigját egy-az-egyben át tudom rakni az új routerre, ha megegyező ROS van rajtuk? Vagy kell valamit buherálni a backup-on?
Köszi előre is!