-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
adika4444
addikt
válasz Pille99 #10972 üzenetére
Hali!
A Hairpin NAT-ot kell beállítani, utána menni fog belső hálózatról is a külső IP-s elérés.
üdv, adika4444
-
E.Kaufmann
addikt
válasz Pille99 #11623 üzenetére
Még akár normális is lehet, sajnos. Az IP cím egy nagyobb felhős infraszolgáltató egyik címe, a port meg a STUN protokolhoz szokott tartozni, így deríti fel, mi a külső IP címe, de hogy minek... Régebben VoIP miatt kellett ilyen, mostanában passz.
Le az elipszilonos jével, éljen a "j" !!!
-
E.Kaufmann
addikt
válasz Pille99 #11628 üzenetére
Én rejectel-nék (nem droppolnék!) mindent az erősítő IP címéről (miután fixáltam a DHCP-n kiosztott címét) a forward listán, ne szenvedjen itt sokat próbálkozásokkal, ha csak nincs valami streaming szolgáltatás amihez kell, pl netrádió, ha meg úgy is ki kell a netre mennie, akkor meg nem piszkálnám.
[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
-
amargo
addikt
válasz Pille99 #11634 üzenetére
port scanner-ek futnak mindenre, nem kell ezen csodálkozni
Nálam az a szabály, ha a port scanner rule nem fogja meg és eljut a vpn portjára és ott próbálkozik is bejelentkezni akkor 3 kisérlet után kap 1nap pihenőt.
“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”
-
iceQ!
addikt
válasz Pille99 #11634 üzenetére
A múltkori BF támadásnál ami egésznapos volt, az összes olyan portot amit nem használtam tiltottam + ami nyitva van azt pedig átírtam másra. OpenVPN portot is átírtam egy másikra, azóta nincs a logban kritikus.
Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS
-
-
bacus
őstag
válasz Pille99 #12016 üzenetére
tűzfal szabályoknál a winboxban nézve extra fülön a limiteket lenyitva látod.
Ha a syn csomagokra teszel ilyet, végül is limitálhatod a bejelentkezést, mert a csomagok egy része eldobásra kerül.
A log-ban viszont guest felhasználó csatlakozik. Ez jó így? Esetleg nincs bemappelve egy megosztása a nas-nak?
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
iceQ!
addikt
válasz Pille99 #12018 üzenetére
Az nem QUEST, hanem GUEST, gével. Egyszer biztos beléptél a Guest-el és cachelte, nem?
Más nem telepítsd újra a géped akkor biztos nem fog bejelentkezni állandóanAmiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS
-
iceQ!
addikt
válasz Pille99 #12020 üzenetére
Csinálj egy másik profilt Win10 alatt... Lépj be és nézd meg, ha ott is ez van akkor téged figyelnek
[ Szerkesztve ]
Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS
-
Alteran-IT
őstag
válasz Pille99 #12023 üzenetére
Valószínűleg van akkor, csak nem látszik és nem enged hozzányúlni, vagy bizonyos dolgokhoz hozzá lehet férni azonosítás nélkül is és ő azt azonosítja guest-ként, én valahogy visszakövetném, hogy a gépen melyik alkalmazás, vagy folyamat használja a NAS-t és miért, ezt lehet gépről is, vagy NAS-ról is talán, igazából nem tudom hogy egy Synlogy mit tud ilyen téren, nem szeretem az ilyen drága szarokat, így nincs is nekem.
-
e90lci
senior tag
válasz Pille99 #12549 üzenetére
Lenry a múltkor írta le.
vWLAN az a virtuál wifi (vendég wifi) -
bacus
őstag
válasz Pille99 #12556 üzenetére
A mikrotiken csak azt tudod szűrni, ami átmegy rajta, ezt már párszor leírtuk itt. Nem az megy át a mikrotiken, ami bele van dugva, hanem ami úgy van beállítva.
Nem tudom a tp-link mesh mit tud, mit csinál, milyen alhálózataid vannak. Talán kicsit rajzolhatnál.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
bacus
őstag
válasz Pille99 #12564 üzenetére
A routered fizikai portjai egy bridge-ben vannak? Az IP címet a routered osztja?
A rajzod abból hiányos, hogy nem látok rajta ip címeket, amiből kiderülne a fenti két kérdésHa így van, akkor a belső hálózat forgalma nem szűrhető a routeren.
A két alhálózat előnye, hogy a forgalom a routeren keresztül megy, ott lehet tűzfal szabályokkal (address list szerint is) engedni, tiltani, stb.
A NAS elhelyezése pl mindenképpen problémás, mert azonos switchen van (feltételezem ezek nem managelhető switchek) mint az AP.Ha managelhető switcheket használsz, akkor fizikai átkábelezés nélkül is VLAN-okkal megoldható amit szeretnél.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
bacus
őstag
válasz Pille99 #12566 üzenetére
De érzed a logikai bukfencet? Ha a mikrotik helyett egy switchet raksz és mindenkinek beállítod azt az ip címet amit a miki osztott volna, akkor is látják egymást az eszközök (netet nem) de egymást elérik. Nem kell hozzá router, mert egy alhálózatban vannak.
A közös bridge gyakorlatilag egy switch ! Mit szeretnél a mikrotiken szűrni?
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
Alteran-IT
őstag
válasz Pille99 #12569 üzenetére
Nem biztos hogy jó ötlet a 3 vlan, főleg ha a routeren nem hozod létre őket a 3 hálózattal, amivel végül azt csinálnád, amit javasoltam, csupán a vlan-ozással annyi a buktató, hogy ha minden igaz a Wifi-n max. 1 hálózat lesz így, ezért javasoltam a közös "fizikai" hálót 3 logikai hálózattal, mert ebben az esetben talán így tudod a legjobban megoldani, kivéve ha a Wifi-n nincs szükség több hálózatra, vagy valahogy azon is meg lehet oldani, akkor mehet a vlan-ozás, máshogy sajnos nem lehet megoldani, ezért is előny a több hálózat az előző kérdésedre válaszolva, az address list-es kérdést viszont nem értem, főként hogy hol állítanád be, mondjuk mindegy, mert ha nincs több hálózat, nem megoldható amit szeretnél, mert már maguk a switch-ek, illetve a bridge-ek továbbítják a hálózati forgalmat az eszközök között azonos hálózatban.
[ Szerkesztve ]
-
bacus
őstag
válasz Pille99 #12571 üzenetére
Én kihasználnám, hogy ezek buta switchek. Arra gondolok, hogy lenne egy alhálózat (pl 192.168.100.0/24), ahol nincs DHCP, kézzel osztott IP címek vannak, illetve lenne a mostani alhálózatod ahol a miki osztogatja a címeket.
Minden eszköznek, ami fix és mindent elérhet, TE megadod az ip címét a fenti tartományból.A mikin a bridgehez két IP címet is hozzárendelsz, mindkét tartományból egyet.
Ez nem szép, nem elegáns, de működő megoldás, tudsz a mikin tiltást adni, hogy milyen addres list mehet a másik hálózat felé.
A szebb megoldás az lenne, ha mikin két bridge interface lenne, mindkettőn mehet dhcp, a mikrotik portjait pedig hozzárendeled a megfelelő bridghez. (NAS lehet rossz helyen van..)
A wifin csatlakozó eszközök, amik kaphatnak hozzáférést azoknak a kiosztott ip címeit fixálni kell. Az új wifi felcsatlakozók alapból csak netet kapnak.
A még szebb, jobb megoldáshoz mikrotik AP-k kellenének, capsmannel.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
ekkold
Topikgazda
válasz Pille99 #12573 üzenetére
Egyszerűen 3db IP tartományt készítenék. A DHCP alapból azt a tartományt osztaná ami csak netezhet. A másik két tartományba tartozó eszközöknek (szintén a DHCP szerver által) fix IP-t osztanák ki. Ehez csak annyi kell hogy a DHCP POOL-on kívül a másik két hálózatot is fel kell venni a DHCP Networks-be. Ezután tűzfal szabályokkal kezelhető minden. Ennek az a hátránya, hogy kijátszható úgy, hogy ha valaki felvesz egy fix IP-t az eszközébe egy másik tartományból. Viszont erre is van megoldás ha szükséges, a mikrotik beállítható úgy, hogy csak a DHCP klienseket szolgálja ki, aki fix IP-t állít be az eszközén azzal nem fog szóba állni. Kicsit trükkösebben ez is (részben) kijátszható, de egy átlag user által nem, és ismerni kell hozzá a hálózatot is.
-
Alteran-IT
őstag
válasz Pille99 #12573 üzenetére
Máshogy nem fog menni, csak mint ahogy mondtam, illetve ahogy ekkold is megerősített, plusz bacus is kitért rá, muszáj lesz 3 IP hálózat/tartomány, azaz logikai hálózat arra az egy hálózatra és fix IP-kkel megoldani az egészet a vendéghálózaton kívül, amit nyilván nem tudsz máshogy megoldani ezekkel a gagyi TP-Link eszközökkel, persze oké, árban és sebességben nem gagyi, de ehhez már dukálna egy normális tudás végre, a vlan-ozás illetve a plusz hálózatok létrehozása nem egy olyan nagy etwas, amit az ilyen drágább kategóriák ne tudhatnának, főleg hogy a vendég hálózat eleve hasonló módon működik, viszont itt a kérdésedre rátérve ez nem jó ötlet, mert egyrészt dupla NAT lesz és így a routerre kötött eszközök sem fogják látni ami a Deco hálózaton és az arra kötött switch-ekre van kötve, másrészt a DECO vendéghálózaton lévő eszközök ugyan nem látják az ugyan úgy DECO-n lévő "belső eszközöket", viszont a Mikrotik-en lévő belső eszközöket láthatják, persze ez attól függ a Deco-t milyen hálózatra teszed és a többi milyenen lesz, lesz-e átjárás és így tovább, szóval szerintem a Deco vendéghálózatát felejtsd el, az így egy vicc lenne, akkor lenne jó ha valahogy a vendég hálót vezetékre is le lehetne vinni, akkor a Miki sem kellett volna, bár akkor még mindig csak két csoportot tudsz megvalósítani, ugyanis a zártakat nem tudod úgy megcsinálni, hogy el lehessen őket érni, de ők ne kapjanak netet és őket se érjék el kívülről, mást ha másik IP tartományt választasz, akkor nincs ami a routing-ot csinálja, ha meg nem adsz neki ugyan azon a tartományon átjárót, akkor ugyan ők nem érik el a netet, de kívülről elérhetik őket bizonyos módszerekkel válasz hiányában, attól függ van-e és milyen sebezhetőség azon az eszközön, bár lehet ez így megoldható, ha nem boncolgatjuk feleslegesen a téma ezen részét, mondjuk az nem fog teljesülni, hogy a mindenes hálózatból a vendéget is elérd, mert ugye a mindenen van a hangsúly, Mikin meg ha jól emlékszem, meg lehet oldani, hogy te kezdeményezz elérést a másik hálózatra, viszont onnan a válaszon kívül kezdeményezés nem jöhet, persze lehet rosszul emlékszem, de akkor javítson ki valaki.
[ Szerkesztve ]
-
Alteran-IT
őstag
válasz Pille99 #12577 üzenetére
Akkor megoldható akár 2 logikai hálózattal is akár, bár akkor két eszköznek kliensen belüli fix IP kellene, vagy tiltani tűzfalszabállyal a netelérést, illetve a NAT tartományt azon a hálózaton csökenteni és a tartomány azon részére tenni az eszközöket, amik nem esnek a szabály alá és akkor lesz átjáró cím is, de internet nem lesz.
#12579ekkold: Persze, így gondoltam megoldani, bocsi csak egyszerűen fix IP-nek hívtam, de ilyenkor általában mindig a DHCP által osztott fix IP-re gondolok, kivéve ha olyat teszek hozzá mint most, hogy átjáró nem kellene bele, mert Miki DHCP szerverénél talán nem lehet megoldani, hogy mondjuk átjárót ne osszon ki, illetve anno láttam rá egy elég bonyolult megoldást mikor kerestem, de ezért is írtam most fentebb, hogy egyszerűbb ha ugyan úgy DHCP-n keresztül kapja az is a fix IP-t mindenféle módosítás nélkül és vagy külön szabállyal, vagy a NAT szabály megfelelő alkalmazásával/zsugorításával oldja meg, hogy az említett kliens eszközök ne kapjanak internetet és ne is lehessen elérni őket kívülről, persze már amennyiben ugyan azon a hálózaton lesznek, bár így talán egyszerűbb, mert nem kell külön routing, switching-el elmegy a belső forgalom, így a router sem kap különösebb terhelést.
#12580Pille99: Minden eszköznek van egy fix, vagy inkább úgy mondom hogy saját MAC címe, szóval van jövője, sőt elég rég van, mobiloknál is van fix MAC cím, ez inkább egy elég hülye "biztonsági" "fejlesztés", ami alap esetben be van kapcsolva és normálisabb céges, vagy otthoni hálózatokban rosszul sül el, ha ugye az illető nem tudja, hogy hogy kezelje, de android-on csatlakozáskor van lehetőség talán a további beállításoknál vagy hol, hogy ne véletlenszerű MAC címmel, hanem a saját MAC címével csatlakozzon, ezt talán első csatlakozásnál kell beállítani, ha elfelejtetted, akkor törölni kell a "hálózatot" és újra csatlakozni, szóval nem egy nagy etwas megoldani, mert a lehetőség ugyan úgy megvan, csak sajnos nem az az alap lehetőség, bár gondolom itt sem a biztonságra jobban figyelő embereket vették alapul, hanem a felelőtlenebb réteget, ezért ez az alap beállítás, bár ez sem véd meg szinte semmitől, na de mindegy, ez más téma.
-
ekkold
Topikgazda
válasz Pille99 #12583 üzenetére
Az Apple szereti felrúgni a szabványokat. Volt olyan időszak, hogy pl . a mikrotik wifijével nem volt kompatibilis, és sorra jöttek a reklamációk az almás telók tulajaitól, hogy rossz a hotel wifije... persze mindenki másnak jól működött. Tudtommal nem a mikrotik volt a ludas...
Amúgy meg magával szúr ki, ha cserélgeti a címét, ha amúgy adott MAC-hoz vannak bővebb engedélyek rendelve a hálózatban. Továbbá a MAC tartományok használata a gyártók számára fizetős dolog, meg kell venniük adott tartományokat. Nem lehet csak úgy véletlenszerű MAC címet használni, mert abból MAC cím ütközés lehet a hálózatban. Pl két egyforma MAC című telefon sem működhet egyszerre egy hálózatban.
Mellesleg én nem tapasztaltam eddig még sehol sem, hogy cserélgetnék a telefonok a mac címüket.
[ Szerkesztve ]
-
ekkold
Topikgazda
válasz Pille99 #12586 üzenetére
Ok, értem, hogy vannak olyan telefonok és egyebek amik tudnak ilyet, de mint írtam ezzel esetleg kizárják magukat minden olyan hálózatból ahol esetleg a MAC address-t (is) felhasználják azonosításra.Egy nyilvános free wifi esetében nyilván nem lesz ilyen probléma, (max akkor ha két egyforma MAC cím ütközik) de mondjuk egy szigorúbb (pl. céges) hálózatban már okozhat gondot.
-
Reggie0
félisten
válasz Pille99 #12904 üzenetére
Elvileg a mesh wifinek meg lehet adni, hogy csak egy vezetek fele legyen aktiv linkje, de az TP-link cuccokat nem ismerem.
Masfelol nem kell ezzel foglalkozni, az RSTP prioritasokat allitsd be, hogy a legjobb link legyen elol es onnantol bizd a rendszerre. Nem baj, ha lenyomja a portot, ha masfelol elerheto marad a halo. Direkt erre valo.
[ Szerkesztve ]
-
Reggie0
félisten
válasz Pille99 #13631 üzenetére
Ha visszaolvasol kicsit nemreg sztorizgattam a bondingrol, mert en is jatszottam vele itthon.
Rossz hirem van: switchel neked sosem lesz dupla savszeled. De reszletesebben: a 802.11ad uzemmod ami a mikrotikes switchekben implementalva van a source es target cimek alapjan egy hash tablat keszit es a hash tabla eleme alapjan donti el, hogy a tobb interfeszbol melyiken kuldje az adott csomagot. Tehat ket egyazon pont kozott mindig csak az egyik kabelen megy a forgalom, igy a sebesseg annak a maximuma lesz. Pont-multipon kapcsolat eseten, azaz, ha pl. tobb klienssel hasznalod a NAS-t akkor mar szetosztja a terhelest.
(Alternativakent meg a balance xor-t tudod valasztani layer3-layer4 hash tablaval, igy az ip-cim es port alapjan kesziti a hash tablat, de ekkor is egy streamen nem lesz dupla savszeled, legalabb ket kapcsolatot kell hozza inditani egy geprol a nasra.)
Ahhoz, hogy a sebesseg duplajara novekedjen ugynevezett "balance rr"="balance round-robin" uzemmod kell, ami a csomagokat felvaltva kuldi ki a portokon, a tuloldalt meg felvaltva fogadja. A rossz hirem, hogy ezt csak processzorbol tudja csinalni, mert a switch IC nem tamogatja hardverbol, viszont ehhez gyengek ezek a switchben levo procik. Az elemeleti 1gigabit sem lesz meg, nekem a CRS324-es switchen 700mbit korul tetozott. Es RouterOS kell hozza.Az RB4011-nel varhatoan 40-50% processzorterhelest fok eredmenyezni 2GBit forgalmazas balance-rr uzemmodban, iranyonkent! Azaz, ha mindket iranyban 2GBit forgalom eseten mar 80% vagy felette lesz a proci.
[ Szerkesztve ]
-
DonJoee
tag
válasz Pille99 #13648 üzenetére
Én nem azt mondtam, hogy az SFP nem 1G, hanem azt, hogy az SFP nem SFP+ . Nem korlátozták le az SFP+ portot 1G-re, hanem eleve az SFP portról írtak, ami ugye max. 1.25 G, általános felhasználásban 1 G.
Szóval nincs semmilyen korlátozás, valami más lesz a gond."Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
Reggie0
félisten
válasz Pille99 #15559 üzenetére
Melyik RC-rol?
Reseteles: dugd ra a tapot, majd utana nyomd le a reset gombot, varj amig villogni kezd a led, majd varj amig abbahagyja a villogast. Ekkor fog netinstall szervert keresni. Netinstallhoz 192.168.88.2 IP-t adjal a gepednek es allitsd be, hogy a default gw az 192.168.88.1. Ha a default gw-t nem allitod be, akkor nem fog menni(tipikus hiba).
[ Szerkesztve ]