-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Formaster
addikt
Találtam egy ilyet RouterBOOT-ban. Ha jól értelmezem, akkor a "b" a booter option szerint:
# b - booter options: Select which booter you want to load: * 1 - load regular booter 2 - force backup-booter loading
Ha ezzel sikerülne csatlakozni, backupot csinálni, akkor utána törölhetném a nandot és talán a Netinstall is újra látná. Már ha nem HW alapú hibám van.[ Szerkesztve ]
-
Formaster
addikt
Mit rontok el, hogy a router folyton kiosztja a saját 192.x.x.1-es címét? Amint kiosztja persze össze is omlik a hálózat.
-
Formaster
addikt
válasz
Zwodkassy #18426 üzenetére
Igen, elszámoltam magam, max 4gbps. A kérdés, hogy szét kell-e szedjem egyáltalán 2 switchre
Mert az egyik oldalon lenne 4 hely, ha nem muszáj, nem kábelezem újra a racket.
Nem egészen értem a diagramot, tehát switchen belül maradva nincs korlát, de a switch a cpu-val már max 2.5Gb/s-et tud?
-
Formaster
addikt
Valamiért nem érem el a szolgáltatói router webes felületét (dmz). Eddig is fogta valamelyik tűzfal szabályom a webes guit, de ha azt kikapcsoltam, akkor elértem. Most teljesen kikapcsolt firewall szabályok mellett sem.
Pingre válaszol, szóval nem tudom mi fogja meg. Több eszközről + böngészőről próbáltam.
[ Szerkesztve ]
-
Formaster
addikt
Tűzfal... XY portra van egy drop szabályom input és forward chainen is. Hogyan érkezhet input chainre kintről támadás? Szingapúr, RUS, USA, változatos ip címekről.
A szolgabox dmz módban van. Lehet, hogy én tudom rosszul, de inputra csak akkor érkezhetne, ha a szolgabox által, vagy belső hálózatról a routernek lenne címezve.
-
Formaster
addikt
Kitakarítottam az ARP list-emet és feltűnt, hogy egy cím folyamatosan visszaugrik? Ennek mi lehet az oka? Nincs hozzárendelve semmihez, NAT sincs rá, az ARP listában sem köti semmihez, csak a bridge-hez
Ahogy törlöm, visszaírja magát.
-
Formaster
addikt
válasz
Panthera #18969 üzenetére
Nem, bizonyos portokra azonnal bekerül egy végleges BAN listára. Ilyen az ssh 22-es, winbox 8291 és stb default portok. Akik itt kopogtatnak felkerülnek a fekete listára, bár nem tudom mi fogy el előbb, a memória, vagy az ipv4-es címek
Persze ez lehet csak egy támadást megelőző portscan is, de tapasztalat szerint, ha találnak egy népszerű portot, ott indul is a találgatás. A nyitott portokat meg tovább tűzfalaztam, ddos, syn-ack, brute force stb támadások ellen.
Bár van port scan-re is szabályom, szóval nem sok információt kapnak válaszként, ettől függetlenül még mennek a listára.
szerk: igen, random megnézek néha pár címet. Egyre népszerűbbek az usa címek is.
[ Szerkesztve ]
-
Formaster
addikt
válasz
lionhearted #18972 üzenetére
Igen, egy combosabb tűzfalhoz forgalomtól függően kell erőforrás is.
Az aláírásod hatalmas -
Formaster
addikt
Van valakinek tapasztalata (MK wifi) CapsMan terén? Egy RB4011 wifis változata lett a capsman szerver és kapott egy cAP AC-t. Itt ugye a cAP AC processzor teljesítménye irreveláns, mindent a 4011 végez, aminél még 60%-nál nagyobb cpu terhelést nem láttam.
Meglepetésemre rosszabbnak találom a wifi kapcsolatot, mint eddig, mikor egy ezer éves TP-link Touch P5 volt AP-ként használva. A setup hasonló, ugyanazon a csatornán vagyok, senki nem zavar rajta, nincs interferencia, minden beállítást jónak találok. Alapvetően a wifi antenna nyeresége kisebb TP-linkhez képest, 3 vs 5 dB. De közelről, nem kéne befolyásolja az eredményeket. Ami elfogadható lenne, hogy a TPlink instant 550-600Mbps helyett csak 350-400-at tud. A sebességgel kibékülök, a wifi kapcsolatokhoz elég.
Ami nem kerek, hogy az első mérésnél ez is nehezen épül fel. Elindul 50-ről, felkúszik 100Mbps-re kb 2-3s alatt, majd még 2-3s és eléri a 350-400-at. Azonban, ha azonnal mérek újra, akkor szinte instant megvan a 400Mbps. Ha a régi TP-vel mérek, akkor ott is 10-ből 10x instant felugrik a maxra. Olyan, mintha valami alvó módból ébredne fel és utána egy ideig ébren is maradna.
Ezek a beállításaim, de a HT/VHT pl egyáltalán nem tudom miért felel. Local forwarding van, a Client to Clientet próbáltam be-kikapcsolva, de nem hozott változást. A Basic ratet próbáltam emelni 24-ig, de ott sem jártam sikerrel.
-
Formaster
addikt
válasz
lionhearted #18978 üzenetére
Nem is a sebességgel van a legnagyobb bajom, hanem hogy milyen lassan épül fel a kapcsolat. Az az érzésem, mint amikor egy motor nem akar beindulni, döcög-döcög, majd egyszer csak felpörög.
grabber az MCS tablet nem igazán veszi be az agyam már így késő este. Mely értékeket érdemes kiütni?
[ Szerkesztve ]
-
Formaster
addikt
Én innentől elengedtem ezt a cAP AC-t. Nevetséges... Egy 8 éves TP-link 50%-al jobb sávszélt produkál és ahogy észreveszem a fórumokból az emberek 99%-a szopórolleren van a mikrotik wifivel. Szuper, hogy ilyen mélységig lehet állítani, de egy default, jól működő profil sokat segítene.
Azt még elfogadnám, hogy 350-400Mb-en megáll a sávszél, bár nem értem. De, hogy ezt is nagynehezen ugorja meg, az már vicc. Ha még szórakoznék vele 1-2 napot lehet, hogy megtalálnám az okát, de menjenek már a ... 7.7-es OS-nél tartunk és nincs egy értelmes default config??!
-
Formaster
addikt
válasz
E.Kaufmann #18991 üzenetére
A capsman baromi bug-os, nekem az az érzésem. A 4011-em alatt már egész erősnek mondható hw-van. A rengeteg fw-val szabály és hatalmas forgalom ellenére sem láttam még 50%-nál nagyobb cpu terhelést. Ahogy a capsman módot bekapcsolom és egyetlen kliens csatlakozik, amivel indítok egy speedtestet, rögtön 15-20% terhelést növekedést tapasztalok. Ha az összes eszközt ráereszteném, szerintem el is hasalna. Vagy hova tovább, még menne rá egy guest VLAN is ...
Pont a capsman lett volna a lényeges, mert a lakás egyik végébe már nem ért el a TP-link 5-ös wifije. Az RB4011 sugározta volna a rackből abban a végében kis gőzzel az 5G-t, a nappaliban meg a cAP AC. Elméletben működik is, de a cpu terhelés és a lassan felépülő sávszél miatt elengedem, annyira nem fontos az a vakfolt, csak gondoltam legyen profin kiépítve a wifi mindenhol. Ez minden, csak nem profi ... Az unifibe meg bele sem megyek, mert akkor megint csöbörből vödörbe, ennyire nem fontos az a 10%, ahol nincs wifi.
-
Formaster
addikt
válasz
Audience #18996 üzenetére
Be van kapcsolva a local forwarding. Most teszteltem csak a cAP AC-vel, a buil-in jelenleg nincs bekapcsolva, így mintha nem terhelődne annyira.
A sávszélességek még mindig elég meredeken változnak. Érdekes, hogy néha uploadban megugorja a 600mbps-t is, de letöltésben még a 400 is nyögvenyelősen megy fel, már amikor épp olyanja van, hogy felmegy. Sokszor megreked 250-300 körül
-
Formaster
addikt
válasz
E.Kaufmann #19002 üzenetére
Nem akarok gigabitet és úgy látom nem antenna vagy mhz alapú problémák vannak.
Bár a régi Tp-linken 80Mhz megvan az instant 550-600(-670!), beérném a 400 környékével is, amire nekem a wifi kell. Ami furcsa, hogy az uplink sokkal stabilabb és nagyobb sávszélt tud.A probléma a stabilitással és a lassan felépülő sávszéllel van. Már minden lehetséges beállítást feltúrtam, amit a capsman enged. Rates, MCS tábla és igazából nem tudom eldönteni, hogy mikor, miért ingadozik éppen a sávszél, de egy konstans eredményt nem tudok kicsikarni belőle, amit a 8 éves tp-link-el out-of-the box. Nincs interferencia, a kliens is stabil, ezt alátámasztja a referencia mérés is, illetve teljes scant csináltam az elérhető adásokról.
-
Formaster
addikt
Ddos ellen milyen értéket érdemes beállítani? Jelenleg 45/s-en vagyok, lehet még feljebb menni?
-
Formaster
addikt
válasz
Reggie0 #19069 üzenetére
A syn, dos, ddos rule jelenleg nemcsak tiltja, hanem végleges ban listára is teszi a másodpercenként x alkalommal próbálkozót. Ha a connection nem jön létre és a tűzfal végleges ban listára teszi, akkor nem értem, hogy tudja megbénítani a downlinkem.
Feltételezem, hogy te érted, szóval a kérdés az, hogy ez ellen miként lehet védekezni?
-
Formaster
addikt
válasz
Reggie0 #19075 üzenetére
Köszi Urak, valahogy kimaradt ez a típusú ddos nekem, illetve a cloudflare-el nyilván találkoztam, de mélyebben ezt sem elemeztem.
Tehát, gyakorlatilag egyedül a cloudflare és tsai tudnak valós védelmet nyújtani. Azért ez is érdekes, hogy még állítólag a free pack is elég jól használható. Honnan vesznek ennyi sávszélt, hogy kvázi ingyen osztogatják
[ Szerkesztve ]
-
Formaster
addikt
válasz
Reggie0 #19088 üzenetére
Igen, ezt látom, hogy szép a lefedettség. Azt gondoltam, hogy esetleg valami peer-to-peer működik, vagy van valami pool, amibe be lehet szállni sávszélességgel. 192Tbit az elég durva számnak tűnik.
Smafia mint kiderült hiába van, ha igazán támadás alá kerül egy router mögötti szolgáltatás, akkor hiába fogja meg a router, maga net kapcsolat lesz megbénítva. Esetleg még ilyen brute force próbálkozások ellen jó kb (ha jól sejtem)
-
Formaster
addikt
válasz
Smafia #19108 üzenetére
Nem itt van a probléma. Régebben elértem ugyanezekkel a címekkel. Az ISP router annyit lát, hogy a 192.168.1.101 csatlakozik, az alatta levő címzéseket nem is látja.
Nem emlékszem mit alakítottam át, hogy azóta nem értem el, de valami össze lett kuszálva. Sőt, még valami amit nem értek, mikor beírom a böngészőbe az ISP címét, 192.168.1.1, akkor valamilyen kapcsolat létrejön, mert átvált a dns nevére, de nem tud betölteni az oldal.
Próbáltam a drop tűzfal és minden nat szabályt lelőni, hátha ott akad fent, mert ezek szerint a kapcsolat létrejön.
-
Formaster
addikt
Nálam megvan a probléma. A szolgáltatói routert már nem lehet elérni már csak https kapcsolaton keresztül (valami update óta) Tehát a 192.168.1.1-re nem reagál, de érdekes, hogy átirányít a https://internet.xxx címre, de képtelen betölteni. Valami bug lehet.
A megoldás az lett, hogy https://192.168.1.1 címmel hívom. Esetleg egy próbát ott is megér.
[ Szerkesztve ]
-
Formaster
addikt
válasz
Smafia #19115 üzenetére
Az én problémám megoldódott. Fórumban adott ki hivatalos közleményt a szolgáltató, bár az egész egy vicc kategória. 192-n sem érvényes az SSL cerfitikáció, így mégis elérem https előtaggal. Anélkül meg valami DNS lekérdezési hibába ütközik, de ennyire nem fogok belemenni, a lényeg, hogy elérem, ha kell.
Te meg megnézheted, hogy direktbe, a mikrotiket kihagyva enged-e csatlakozni, de azoknál az airgrides cuccoknál előfordulhat, hogy nem. Ha direktbe enged csatlakozni, akkor valami routolás lesz a ludas.
-
Formaster
addikt
A hAP AX négyzet és köb esetében ugyanazt a procit jelölik meg, de a négyzetnél 864 - 1800 Mhz helyett csak néveleges 864 Mhz szerepel. Ez le van korlátozva, vagy csak szándékos elírás ?
-
Formaster
addikt
Ismerősnél raknánk össze az FTTH Digis kapcsolatra egy mikrotik pppoe bridget. Mire kell odafigyelni majd? Jó lenne, ha csak egyszer kellene lemennem hozzá és nem akkor bénáznék a setuppal.
Ha valaki tud egy gyorstalpalót összefoglalni, nagyon hálás lennék!
-
Formaster
addikt
válasz
E.Kaufmann #19157 üzenetére
Én a sajátomon DMZ-ben vagyok, elég hasonló ehhez a setuphoz képest. Itt sincs bridgeben az az interfész. A tűzfalszabályokkal biztosan meg fog gyűlni a bajom.
Egyenlőre az IPv6-ot elengedném, az majd egy másik alkalom lesz, talán mégvan nélküle egy darabig.
-
Formaster
addikt
Jött egy hAP ax2, egy ismerősnek konfigolnám fel. Wave2-vel érkezett és sehogy nem tudom a 2Ghz-et életre kelteni
Ami érdekes, hogy scan-elés alatt sem látja a 2Ghz-es hálózatokat, szóval merem feltételezni, hogy valami az antennával van, mert ha setup probléma lenne, szvsz akkor is látná a többi hálózatot. Ötlet esetleg?
edit: minden update felment
[ Szerkesztve ]
-
Formaster
addikt
szintén Wireguard ... Adott két különböző lan, mindkéttő mikrotik eszközön lóg és mindkettőn alapból lenne egy WG szerver, hogy távolról hozzá lehessen férni a hálózathoz. Az egyik fix IP-n, a másik ddns-el érhető majd el. Ez eddig tiszta, mikrotikkel megoldható.
Mindkettőn lóg egy-egy ubuntu szerver és a LAN "A" hozzá kéne férjen a LAN "B" ubuntu szerveréhez 0-24-ben. Mivel a LAN "A" van fix IP-n, így annak kéne lennie a szerver oldalnak. Megoldható valahogy, hogy a LAN "B"-n levő ubuntu szerverhez hozzáférjen "A" ubuntu szervere, de ne lássa a "B" az "A" oldal LAN-ját, esetleg a szervert se érje el?
Amennyiben igen, ezt mikrotikkel is le lehet konfigolni, vagy egyszerűbb lenne, ha az "A" oldal ubuntu szervere is futtatna egy WG szervert és ahhoz csatlakozna a "B" lan ubuntu szervere?
-
Formaster
addikt
Köszi
ha elakadok a szabályokkal, akkor még jelentkezek
Új hozzászólás Aktív témák
- Google Pixel 7A 128GB, Kártyafüggetlen, 1 Év Garanciával
- MacBook Air M1 13" 8/256GB - 95%, 76 ciklus, magyar billentyűzet
- Dell G3 3579 15.6" FHD IPS i7-8750H GTX 1050 Ti 16GB 512GB NVMe+1TB HDD magyar vbill ujjlolv gar
- Be Quiet Straight Power 11 750W Gold
- Intel Core I9 13900KF - Tálcás - Eladó! 140.000.-
- Eladó iPhone SE (2020) 64 GB White szép állapotú - 12 HÓ GARANCIA - L5303
- új akku ! RTX3070, 48gb / 1000 SSD, RYZEN7, OMEN by Hp 15.6" 144Hz, 99% sRGB, GARi 2025/0317 +SZÁMLA
- HIBÁS Acer Nitro 5 - AN515-44-R3FK / Ryzen 5 Hexa Core/1650TI GDDR6
- Samsung Galaxy S22 okostelefon eladó!
- Noiseblocker NB-Multiframe M8-2 - fekete 80 mm ventilátor - ELADÓ!