-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Reggie0
félisten
válasz hoffman_ #20706 üzenetére
Szerintem a tplink parossal jobban jarnal, foleg annak a leszedoje nem passziv, hanem ugy tunik DC-DC konvertal feszultseget, igy a kabelen levo veszteseg(feszultsegeses) kesobb okoz feszultsegosszeomlast a kimeneten.
A nagyobb tavon a mikrotik felado/leszedo eseten problema lesz, hogy hogyan lesz 12V a kabelen levobol, mire odaer, mert terhelestol fuggoen ingadozni fog. Egy mikrotik eszkozt rakotve nem problema, mert azoknak szeles a bemeneti tartomanya, de az ont kb. fix 12V-ot ker.[ Szerkesztve ]
-
nagyúr
-
vkp
aktív tag
válasz hoffman_ #20718 üzenetére
Ne nagyon legyenek illúzióid, nem valószínű, hogy a közös területen átadna szolgáltatást. Egyébként meg kreatívak, boldogon fogják átfúrni az ajtótokot és behúzzák azon az üveget. Annyit változott a mazzagos ember, hogy most már nem feltétlen tűzőgéppel okádja végig a lépcsőházat, hanem ragasztópisztollyan taknyolja fel.
-
hoffman_
nagyúr
válasz hoffman_ #20708 üzenetére
sziasztok,
sikerrel bejött az ONT, 5670 lett végül. szép varázslat volt. a Telekom kolléga normális volt nagyon, meg akarta oldani. belement volna, úgy tűnt, az ONT közös téren történő elhelyezésbe is PoE-val, de a fogyasztás miatt elengedtük. a kiállásig nem tudtunk bejönni, de a lakás közepén az álmennyezetig jutott fiber, oda ment az ONT, ott meg megvágtuk a kihúzott UTP-t. még 230V-ot kell majd valahonnan odavinnem, hogy szép legyen a hétvégém...
egyelőre átraktam Bridge/PPPoE PT-be az ONT-t és a meglévő Archer C7 WAN-ra dynamicIP-vel rádobtam. így az otthoni háló sem áll földbe, amíg játszom a hAPax2-vel.
nem rég kezdtem ismerkedni a hálózatokkal, Cisco dolgokat konfigurálgatok bébilépésekben, egy CLI DHCP-t kiadni nem esik nehezemre, de attól még messze vagyok, hogy tudjam mit csinálok.
--> Skory 2018-as bejegyzését találtam ma, hogyan is érdemes nekiállni, meg a MikrotikOnline alap dolgait is nézegetem. a kérdésem az, hogy tudnátok még ajánlani "best practice" oldalt, cikkeket SOHO témára? a LAN, wlan beállítás egy dolog, de jól feltűzfalazni már nem. plusz van egy fix IP-s NAS itthon, amihez van pár nyitva kb. fél tucat port (a docker meg Syno kimehet a netre). ezt szerintem sokkal jobban lehet / kellene implementálni, mint ahogy most van... ezt a portnyitogatást el kéne felejteni gondolom teljesen és vpnvpnvpn? erre van esetleg valami specifikusabb oldal, iromány?köszönöm előre is
ui.: tudtam, hogy pöpec lesz a tik és bár egyelőre csak GUI-n próbálkozom, ez tényleg a lehetőségek tárháza otthonra is, ami a beállításokat illeti, nagyon tetszik.
[ Szerkesztve ]
"The time you enjoy wasting is not wasted time."
-
ekkold
Topikgazda
válasz hoffman_ #20748 üzenetére
Wireguard a megoldás. Bővebben: ez most az egyik legkorszerűbb VPN megoldás. Gyors, biztonságos, egyelőre nincs ismert biztonsági rés benne, mindenféle oprendszerre van hozzá kliens, és a mikrotik is támogatja. Használom mikrotik-mikrotik és windows-mikrotik összeköttetésre is (de kíváncsiságból ubuntu linuxon is kipróbáltam).
Ha pedig mégis portokat nyitsz, akkor nem illik az eredeti helyén hagyni, hanem át kell helyezni máshová, pl. a NAS webfelülete az 5000/5001-es porton van, de a net felől érdemes jóval 10000 feletti portra átrakni. Aki Synology NAS-t akar hekkelni, az az eredeti porton fogja keresni... Alapjában véve eléggé át kell gondolni, hogy mely portokat teszünk a net felől elérhetővé - azaz csak azt mi feltétlenül kell. Esetemben ez a 80-as és a 443-as port, mert webszervert is futtatok a NAS-on [link] De pl. már a wireguard UDP portja sem a (mikrotik szerinti) alapértelmezett helyén van.
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
kammler
senior tag
válasz hoffman_ #20751 üzenetére
Látszólag nemigen terheli a processzort a wireguard. Én nem tudom mi van, de az ipsec-en kívül nálam minden vpn max 50 megabit. De mondom, processzor 10 százalék alatt mindvégig. Hogy mi van félrekonfigolva nálam fogalmam sincs. Böngészni oké. Az ipsec viszont meg a full mobilos sebességen megy Androidon. Vagy lehet nálam a telefon az akadály. Mikrotik mikrotik közt most probálgatom,
[ Szerkesztve ]
-
ekkold
Topikgazda
válasz hoffman_ #20751 üzenetére
A wireguard általánosságban kevesebb erőforrást igényel, mint mondjuk egy openvpn. Egy mai PC-nek meg se kottyan a wg erőforrásigénye, inkább a mikrotik oldal a kérdésesebb, de még egy régi RB951-es is tud kb. 50Mbit/s-ot wg.-al, egy hAPac^2 200...300Mbit/s-ot, az RB5009 pedig ha jól emlékszem kb. 650Mbit/s sebességet (és kb. a CCR1009 is).
Korábban egy celeronos (J1900) miniPc-re feltelepítettem próbaképpen RouterOS-t, azon kb. 850Mbit/s sebességgel ment a wireguard. Próbáltam a NAS-ra is feltenni wg-t, de elsőre nem ment, aztán nem erőltetem tovább, felfelé úgyis csak 300Bbit-es az internet elérésem, az meg az RB5009-nek sem jelent nagy terhelést. Ekkora sávszélességbe bőven befér amúgy egy 4k-s film. Még a legnagyobb fájlméretű 4k-s film (amivel próbáltam ilyesmit) az is alig több mint 100Mbit/s sávszélt foglalt. Gyanítom, hogy ilyen esetben már nem is ezek az eszközök jelentik a korlátot, hanem maga a netkapcsolat - ami földrészek közzött, ill. nagy távolságok esetén, gyakran nem tud akkora sávszélt, mint "helyben".Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
ekkold
Topikgazda
válasz hoffman_ #20751 üzenetére
Tartalékként azért be van állítva PPTPT és L2TP is (mindkettő egy kicsit szigorúbban védve tűzfallal) sőt mostanában jött egy újabb ötlet, hogyan tudom még hatékonyabban megvédeni ezeket, ill. általában a nyitott portokat.
Az előzőekben említett routerek teljesítménye PPTP-vel hasonló, bár kicsit kisebb a prociterhelés, az L2TP + ipsec már lassúbb és több erőforrást is fogyaszt, viszont az ma még elfogadott biztonsági szempontból. A PPTP bár egyszerű és gyors, állítólag már nem tekinthető biztonságosnak. Viszont mivel ezek (PPTP és L2TP) fix porthoz vannak kötve, sok helyen blokkolják (internet szolgáltatók is, és persze pofátlanul letagadják). Az openvpn és a wg portja viszont majdnem tetszés szerint állítható, így ezeket nehezebb tűzfalakkal blokkolni. Viszont az openvpn erőforrásigénye magasabb mint a wg-é.
[ Szerkesztve ]
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
őstag
-
Kicsirics77
veterán
válasz hoffman_ #21545 üzenetére
Frissíteni sem ártana a ros verziót, illetve a mikrotik oldaláról leszedni a megfelelő extra csomgagot és feltenni ha a frissítéssel nem menne, arra figyelj hogy a megfelelő csomagot töltsd le(arm,x86,mipsbe)vagy ami éppen az ax2-n van ha jól emlékszem arm64 lenne.
.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--
-
Kicsirics77
veterán
válasz hoffman_ #21549 üzenetére
Az interfészt csak akkor fogod látni ha a wirelles vagy a wifi-qcom csomagot felteszed, addig az alap wirelles menüben meg sem jelenik.
a megfelelő csomagot drag&drop módszerrel bedobod a winbox ablakba, felmásolja és kell neki egy system/reboot, utána lesz majd olyan menü amiben látod majd az interfészeket, alaphelyzetben le van tiltva, majd neked kell engedélyezni..... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--
-
hoffman_
nagyúr
válasz hoffman_ #21552 üzenetére
sziasztok,
pár dolgot próbáltam csiszolni, érdekesek az eredmények. esetleg rá tudnátok nézni a configra, hogy van-e benne valami banális hiba vagy hiány? ez most alap soho beállítás lenne, pár kábeles eszköz (PC, TV) és pár telefon/laptop (egyelőre remote-access WireGuardal még olvasást igényel részemről. illetve a NAS setup lesz kemény dió.) a tűzfalszabályokat nagyjából értem, de abban nem vagyok biztos, hogy mindre így van szükségem.
ami furcsasággal találkozom, hogy nem eszi meg az NTP parancsot a CLI. megnéztem a friss ROS leírásban, az alapján is így jó. mégis hibát hoz a primary-re:
[xyz] > /system ntp client set enabled=yes primary-ntp=148.6.0.1 secondary-ntp=52.178.161.41
expected end of command (line 1 column 36)ami még furcsa, hogy a WiFi 5Ghz erőre kapott, bár nem 700-900, de 550-600Mbit/s körül hoz iPhone és Latitude 7400 esetén is. ez 50 cm-ről és 2m-ről tiszta rálátással. ez így szerintem ok, bár biztos lehetne több, pár fórum komment alapján. viszont a 2.4Ghz nagyon gyenge, 50cm-ről max 120Mbit/s. nem tudom, hogy ennek mi lehet az oka. kisebb távolságra már használhatatlan, pedig ettől várok jobb range-t. itt valami beállítás gondra gyanakszom. nem nagyon van másik hálózat errefelé.
# 1970-03-17 12:50:41 by RouterOS 7.13.4
# software id = 22BQ-PNKF
#
# model = C52iG-5HaxD2HaxD
# serial number = *titkos*
/interface bridge
add name=bridge1 port-cost-mode=short
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=\
disabled name=pppoe-telekom use-peer-dns=yes user=\
*usernameittvan*
/interface list
add name=LAN
add name=WAN
/interface wifi security
add authentication-types=wpa2-psk,wpa3-psk disabled=no name=m104 wps=disable
/interface wifi
set [ find default-name=wifi1 ] channel.band=5ghz-ax .skip-dfs-channels=\
10min-cac .width=20/40/80mhz configuration.country=Hungary .mode=ap \
.ssid="5ghzSSIDja" disabled=no name=wifi1_5ghz security=*securityprofileittvan*
set [ find default-name=wifi2 ] channel.band=2ghz-ax .frequency=2462 .width=\
20mhz configuration.country=Hungary .mode=ap .ssid="2.4ghzSSDIja" \
disabled=no name=wifi2_2.4ghz security=*securityprofileittvan*
/ip pool
add name=dhcp-pool1 ranges=192.168.11.150-192.168.11.199
add name=dhcp-pool2_guest ranges=192.168.11.130-192.168.11.140
/ip dhcp-server
add address-pool=dhcp-pool1 authoritative=after-2sec-delay interface=bridge1 \
lease-time=3d10m name=dhcp-server1
/interface bridge port
add bridge=bridge1 interface=ether2 internal-path-cost=10 path-cost=10
add bridge=bridge1 interface=ether3 internal-path-cost=10 path-cost=10
add bridge=bridge1 interface=ether4 internal-path-cost=10 path-cost=10
add bridge=bridge1 interface=ether5 internal-path-cost=10 path-cost=10
add bridge=bridge1 interface=wifi1_5ghz
add bridge=bridge1 interface=wifi2_2.4ghz
/ipv6 settings
set max-neighbor-entries=15360
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether1 list=WAN
add bridge=bridge1 interface=wifi1_5ghz
add bridge=bridge1 interface=wifi2_2.4ghz/ip address
add address=192.168.11.1/24 interface=bridge1 network=192.168.11.0
/ip cloud
set ddns-enabled=yes update-time=no
/ip dhcp-server network
add address=192.168.11.0/24 dns-server=8.8.8.8,8.8.8.8 gateway=192.168.11.1 \
netmask=24
/ip firewall address-list
add address=0.0.0.0/8 list=blacklist
add address=127.0.0.0/8 list=blacklist
add address=224.0.0.0/3 list=blacklist
/ip firewall filter
add action=drop chain=input dst-port=53 protocol=udp src-address=\
!192.168.0.0/16
add action=fasttrack-connection chain=forward connection-state=\
established,related dst-address=192.168.11.0/24 hw-offload=yes
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment="Invalid csomagok eldob" \
connection-state=invalid
add action=drop chain=forward comment="Invalid csomagok eldob" \
connection-state=invalid
add action=accept chain=input comment="Established connections" \
connection-state=established
add action=accept chain=input in-interface=!pppoe-telekom src-address=\
192.168.0.0/24
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=6h chain=input dst-port=20-1023,8000,8080,8291 \
protocol=tcp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=6h chain=input dst-port=\
20-122,124-499,501-1023,8000,8080,8291 protocol=udp src-address=\
!192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=1d10m chain=input comment="port scanners" protocol=\
tcp psd=21,3s,3,1
add action=drop chain=input comment="drop blacklist" src-address-list=\
blacklist
add action=drop chain=forward comment="drop blacklist" src-address-list=\
blacklist
/ip firewall mangle
add action=change-mss chain=forward new-mss=1440 out-interface=pppoe-telekom \
passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=!0-1440
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-telekom src-address=\
192.168.11.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=8000
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Budapest
/system identity
set name=*eszkoznevittvan*
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/tool mac-server mac-winbox
set allowed-interface-list=LAN[ Szerkesztve ]
"The time you enjoy wasting is not wasted time."
-
kress
aktív tag
válasz hoffman_ #21554 üzenetére
én csak gyorsan átfutottam, lehet érdemes lenne csinálnod valami minimális ábrát meg táblázatot miket akarsz összekötni, mi mit lásson stb. a nast is belevéve
a guestnek csak más ipt osztasz ugyan abbol a subnetből? nézz rá a broadcast domainre, l2, l3 szeparálásra
láttam valami /16os subnetet is a /24 mellett
tűzfalnál érdemes specifikus dolgokat engedni csak, a chaint pedig egy drop al zárni ami minden mást kukáz
a blacklistet még ne keverd bele szerintem az elején
dnsnek ugyan az az ip van megadva 2x
lehet a guestet is elengedném még, csak egy sima lant rakj össze elsőre
használj winboxot és ne szenvedj még a parancsokkal -
senior tag
válasz hoffman_ #21554 üzenetére
Ha szeretnél guest esetleg később IoT network-öt, akkor azokat saját VLAN-nal célszerű szétválasztani, külön subnettel.
Blacklist szerintem otthoni hálózatra teljesen felesleges.
Nem szeretnél saját DNS szervert használni?
MSS-t tudja gyárilag a RouterOS, nem kell rá külön tűzfalszabály.
Szeretnél IPv6-ot is? Telekom alatt nincs akadálya több VLAN-nal sem, mert a szolgálatátó biztosítja /56-os subnetet. Diginél sajnos nincs így, ott csak egy db /64 subnet van.
Ezt tényleg ne vedd magadra, de ha tippelnék itt nem feltételen Mikrotik problémák vannak, hanem elméleti kérdéseket is tisztázni kell (ami nem probléma csak, akkor e-szerint segítünk).Korábbi konfig ennek a VLAN-os megvalósításához:
#21077 flexes922
#21082 gF[ Szerkesztve ]
-
Kicsirics77
veterán
válasz hoffman_ #21558 üzenetére
nem találok NTP server megadára lehetőséget, egyszerűbbnek tűnt a CLI
minek neked ntp szerver???
ntp client kell ahol megtudsz adni 4 ntp szerver ip címet és ha van net akkor frissít rendesen.
winbox alatt system/ntp client[ Szerkesztve ]
.... .- --... -.- ..-. . -.- .-. .- ..-. - .-- . .-. -.- .-. .- -.. .. --- .- -.-. - .. ...- .. - -.--
-
Longeye
tag
válasz hoffman_ #21598 üzenetére
Nem túl biztató, amiket írtok!
Maga a ROS már stabilan megy azért? Ha már frissítve van?
Elég sok mindent szeretnék csinálni vele. Hotspot, captive portállal, user-manager, meg WPA3-EAP, ha összejön. Még tanulgatom, olvasgatom a dokumentációt.
A ROS frissítést úgy csináltam, hogy letöltöttem a procihoz passzoló ROS-t (nálam ARM64) a Mikrotik-től és bedobtam a winboxba (RAMdisk-be), majd újraindítottam a routert. Az megvolt zökkenőmentesen. Csak a firmware frissítés akasztotta ki.
/* Egy lelkes kontár */
-
hoffman_
nagyúr
válasz hoffman_ #21598 üzenetére
hap ax2 esetén valami gebasz lehetett, nem én voltam helikopter talán. ellenőrzötten szedtem Mikrotik oldaláról a 7.13.5 csomagokat arm64-re két hete, amikor nem ment a frissítés. most tudtam elővenni újra, megnéztem winbox-->packages-->update alól, illetve a Mikrotik oldalán is: most a jelenleg is futó 7.13.4-et írja legfrissebbnek.
"The time you enjoy wasting is not wasted time."
-
hoffman_
nagyúr
válasz hoffman_ #21685 üzenetére
addig próbálkoztam, amíg csak összejött végül. lehet, hogy ez nektek triviális, ezesetben bocsi a flood miatt. a 7.13.4 ROs mellett azonos verzióval új wifi package érkezett, amit szintén felraktam. a package listben ezt először disable/uninstall/reboot során le kellett szedjem, ezután tudtam frissíteni az OS-t. gondolom ez fogta meg, csak nem láttam sehol nyomát.
[ Szerkesztve ]
"The time you enjoy wasting is not wasted time."
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen