- Felháborodott az Apple, a Meta az iPhone-felhasználók üzeneteit akarja olvasni
- A luxusmárkáknak kell a bitcoin, az USA jegybankjának nem
- Letiltja az USA a politikusokat a telefonhívásokról és szöveges üzenetekről
- Nagy áttörés jön a napelemek piacán, nem kell annyi hely a paneleknek
- Belenyúlt az USA az Epic Games igazgatótanácsába, nyomoz az NVIDIA
-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#23386
ekkold
Topikgazda
Alteran-IT
#23381
ekkold
Topikgazda
válasz
Alteran-IT
#23381
üzenetére
Némelyik mikrotik tényleg túlságosan melegszik, ami egyértelműen tervezési hiba. Volt egy régebbi hAPac^2 routerem, amit szétszedtem, és átraktam egy RB951G házába (minimális faragással be lehet illeszteni, teljesen gyárinak néz ki). Ez a ház lényegesen szellősebb, és csak kb. félig tölti ki a panel a belső teret. Így lényegesen hűvösebb lett, és jelenleg mint AP funkcionál.
Amúgy abban egyetértek, hogy a 16M flash, eléggé agyrém, és az a káosz amit wifi terén műveltek szintén. Valószínűleg ezt kezdik is érezni az wifis eszközök eladásán... De a többi hardver is gyenge. Korábban írtam, hogy egy tenyérnyi minPC-re feltettem a RouterOS-t, j1900 proci 4Gb RAM-al. Ez PC szempontból manapság egy filléres hardver, 10W körüli fogyasztással, és már ez is erősebb volt egy kicsivel mint az RB5900 routerem.
Persze erre a minipc-re meg kellene venni a RouterOs-t, ha folyamatosan használni szeretném. Akkor már viszont kicsit erősebb PC-t választanák amin több db 2.5G (vagy gyorsabb) ETH port van. Egy ilyen szinte bármelyik mikrotik hardvert lemosná a pályáról jelenleg. Szóval ha rendesen fejlesztenének, akkor valahol itt kellen tartaniuk, és pl. nem egyetlen 2.5G ETH portnak kellene lennie az RB5009-en, hanem mindegyiknek...
De a szoftver továbbra is szimpatikus (a wifi káosztól eltekintve) ezért maradok egyelőre ennél. Viszont ha megjelenne (és/vagy találnék) jobb alternatívát, akkor zokszó nélkül megválnék tőle.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
#23342
ekkold
Topikgazda
Alteran-IT
#23341
ekkold
Topikgazda
válasz
Alteran-IT
#23341
üzenetére
A fénycsövek kora kezd lejárni (a ledes világítások hatásfoka jobb), ill. ebben a témában többnyire már ismertek az elektronikai ill. áramköri lehetőségek. A speciális fénycsövek miatt kellenek csak ilyen elektronikák (szolárium, germicid, UV-A), de ezek olcsón kaphatók. Persze lehetne építeni, de biztosan drágább lenne mint megvenni a boltban...
Nálam az itthoni netemmel mindegyik aláírásomban szereplő url működik. Nálad melyik nem működött.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
szuszinho
#23332
üzenetére
Szét fogják hekkelni... ez így nagyon nem jó.
Ez nem tréfa: [link]
Talán kezdd itt: [link] Pár dolog már kicsit változott a cikk megírása óta, de lényege most is aktuális.[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
Reggie0
#23203
üzenetére
Mikrotiken hogyan natolsz v4 és v6 között?
/ipv firewall natvagy/ipv6 firewall natalatt lehet megadni ilyesmit?szerk:
Valami ilyesmi talán, hogy a
192.168.1.0/24 helyett ezt használom: 2001:db8:3c4d:1::/64[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
Reggie0
#23199
üzenetére
IPv6-al nincs gyakorlati tapasztalatom.
A mikrotik tudja ugyanúgy NAT-olni mint az IPv4-et?
IPv6 - IPv4 között is lehet NAT-olni? Tehát pl. van egy ESP modulom ami csak v4-et tud, de a net meg csak v6-os?http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
yodee_
#23149
üzenetére
Elég régen állítottam be ilyesmit, de régen gyakran használtunk a 802.11 protokoll helyett nv2 protokollt. Ennek akkoriban volt néhány előnye, picivel gyorsabb volt, kisebb prociterheléssel, és más (nem mikortik) eszközök nem ismerték fel, még azt sem hogy ez egy wifi AP, így a hackelés esélye drasztikusan kisebb, ráadásul a titkosítási protokollja is egyedi "mikrotik szabvány".
Manapság nem tudom, hogy egy AC-s eszköz esetén mennyire jó vagy sem ez a protokoll, de egy próbát megérhet. Én biztosan kipróbálnám már csak kíváncsiságból is, hogy most milyen, egy AC eszközön, a szabvány 802.11-hez képest.
szerk: nálam azért nincs a 80MHz is beállítva mert egyik kliens eszközöm sem tudja a 80MHz sávszélt, de p-p kapcsolatnál nyilván érdemes megpróbálni.[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
stopperos
#23137
üzenetére
.....magyarországon fizetős a 60 GHz ~1400 Ft/hó.....
Erről tudnál valamilyen linket betenni? Eddig úgy tudtam, hogy a 60GHz (az 5GHz-hes hasonlóan) szabad frekvencia lett - sőt régebben láttam, hogy így hirdetnek 60GHz-es eszközöket.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
gabro0
#23091
üzenetére
Akkor lehet, hogy nem olvastad az előzményt. A J1900-ra is a mikrotik oprendszerét tettem fel (tehát ugyanazt a RouterOS-t) mint ami a mikrotik hardvereken fut.
Az egyetlen szívás az vele, hogy a demo verzió csak 1 napig megy, azaz meg kellene venni hozzá egy min. liszensz4-et, hogy router legyen belőle. Játéknak, meg csak kísérletezésre is sok, de ha komolyan gondolja az ember, akkor tartós használatra nem olyan vészes költség.
A sebesség tesztelését is 1 napos demóvel csináltam. Amúgy a PC-s verzió nagyon sokféle hardvert felismer, és pl. a samba megosztást bekapcsolva könnyedén kiszolgálta a gigabites hálózatot.[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
Reggie0
#23086
üzenetére
A J4025 kb. 27%-al erősebb (passamark alapján), mint a j1900, ami (wiregurddal nézve) kb. 32%-al erősebb mint az RB5900... Csak a NUC-on nem tudom hány LAN csati van. Routernek használva nem ártana legalább kettő. Szerintem én akkortájt lépem meg ezt, amikor 1Gbps-nél gyorsabb netelérésem, és gyorsabb itthoni hálózatom is lesz. De akkor (nyilván) olyan kisfogyasztású PC-vel, amin 1Gbps-nél gyorsabb LAN portok vannak.
Neked milyen rendszer fut azon a NUC-on?http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
#23084
ekkold
Topikgazda
E.Kaufmann
#23083
ekkold
Topikgazda
válasz
E.Kaufmann
#23083
üzenetére
Igen, ezért gondolkoztam el (párszor itt is említve) PC alapú routeren. Egy gyengének számító, kisfogyasztású celeronos PC is sokkal erősebb mint mondjuk egy RB5009.
[link]http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
Gyula888
#23051
üzenetére
Egyetlen dolog miatt váltottam RouterOs7-re: kellett a wireguard.
Meg aztán az újabb típusokra eleve nincs 6-os verzió.... és közben RB5009-re is változttam.[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
#23049
ekkold
Topikgazda
E.Kaufmann
#23047
ekkold
Topikgazda
válasz
E.Kaufmann
#23047
üzenetére
Nem a fapadosság a gond, hanem az a káosz amit wifi driver címen műveltek, hogy 3 féle wifi van, amiből kétféle wifi csomag, egy meg wireless csomag -és ezek ráadásul nem kompatibilisek beállítás szempontjából sem.
Meg az, hogy pl. frissítesz egy wifis eszközt, amiben utána ott van egy nem működő wireless csomag, a wifi beállításaidnak annyi, és külön fel kell tenned a nem működő wireless csomag mellé egy wifi csomagot, hogy működjön. Ez pedig alig fér bele a szűkre szabott flash-be. Egy nem működő wireless pack ugyanakkor feleslegesen foglaja ezt a szűkös helyet. Ez egyszerűen egy szoftveres gányolás, amit régesrég rendbe kellett volna tenni.
A CAPsMan önmagában jó dolog, annak idején jól jött volna amikor "megörököltem" az akkori munkahelyemen egy több mint 100AP-ból álló mikrotik hálózatot. Akkor tanultam meg scripteket írni, mert anélkül egy sima wifi jelszó csere sem volt egyszerű feladat...
Szóval ez is akkor lenne jó, ha a CAPsMan "alatt" egységesen kezelhető, jól működő, és gányolás nélküli AP-k lennének.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
dombila
#23031
üzenetére
Azért érdemes nyitott szemmel járni, és ezt a mikrotik is megtehetné, ugyanis a soho kategória közép, és felső részében, már ugyanolyan erősségű (vagy akár erősebb) CPU-kat használnak mint ők. Gyakorlatilag a szoftver maradt a mikrotik erőssége, de ennek a wifi része lassan kivétel lesz ez alól. A wifi sosem volt a mikrotik erőssége, és úgy tűnik, hogy ez így is marad, sőt... Aztán az sem kizárt, hogy azt a piaci rést, amit a mikrotik jelenleg nem akar betölteni, egyszercsak valamelyik feltörekvő kínai gyártó felfedezi....
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
Gyula888
#23036
üzenetére
A mikrotik fillérb@szó hozzáállása miatt van most egy csomó routerben 16Mb flash, amibe már alifg fér bele a RouterOS, és ha van 1...2 hibás szektor, (ami flash esetén könnyen összejön) akkor emiatt kuka (gazdasági totálkáros) lesz a router, mert nem tudod rá visszatenni a RouterOs-t. Korábban pl. a régen népszerű RB951-ben még 128Mb volt, aztán az újabb (pl. a szintén népszerű hAPac és hAPac^2) tipusokba csak 16Mb került bele, és ez a gyakorlatban is gondot okozott sokaknak. Összehasonlítás képpen, manapság egy 16...128Gb-os pendrájv úgy kb.. 1000x-es kapacitású ehhez képest , és gyakorlatilag fillérekbe kerül. A jelenlegi helyett, néhány Gb Flash-el, sacc/kb 123Ft-al kerülne többe egy router...
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
yodee_
#23008
üzenetére
Nekem pl. a TV-m kikapcsolt állapotban is csatlakozva marad a wifi-n (a netre nem engedem ki), és fel lehet ébreszteni - azaz be lehet kapcsolni WOL csomaggal. Mikrotik oldalon semmit sem kell beállítani ehhez, tehát ez nem igazán mikrotik probléma, hanem az adott (wifire csatlakozó) eszköz beállításain múlik.
A mikrotiket legfeljebb annyiban érinti, hogy az is tud WOL-t küldeni (winbox-al vagy parancssorból is).[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
#22999
ekkold
Topikgazda
E.Kaufmann
#22997
ekkold
Topikgazda
válasz
E.Kaufmann
#22997
üzenetére
Megpróbálhatod simán a mikrotik webfelületére irányítani, akkor kap majd választ (legfeljebb az egy 404-es lesz), vagy tulajdonképpen bárhová...
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
gabro0
#22926
üzenetére
Nem kell virtualizálni, simán megy natívan (tudom van virtualizálós verziója is, de nem muszáj azzal dolgozni). A PC-s verzió sokféle hardvert támogat. Telepíted egy ISO-ból és müxik - én is így próbáltam ki. Amúgy én is RB5009-et használok jelenleg. (Egyelőre sajnálom is a pénzt a routeros-re, majd egy erősebb hardverhez kifizetem később)
[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
30eFt-ért vettem az apróban (akitől vettem az 5eFt/db árom szerezte be egy sejlejtezésből, de kicsit sem sajnálom, megérte a 30eFt-ot is) Amúgy gyakorlatilag új volt.
[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
-
ekkold
Topikgazda
válasz
gabro0
#22920
üzenetére
Pl. Hasonlóan beállítva mindkét eszközön: Wireguard+NAT, interneten keresztül, speedtesttel mérve, webfelületen:
RB5009: kb. 650Mbps (erről sajna nincs képernyőmentésem)
PC J1900: kb. 850Mbps
Ehhez még hozzájön az is, hogy a J1900 egy kimondottan kicsi fogyasztású proci. RouterOs alatt nem mértem, de NAS-ként 8....15W között fogyaszt a konnektroból (a benne levő SSD-vel együtt). Szerintem az RB5009 is bőven fogyaszt ennyit (de lehet, hogy jóval többet) amikor terhelve van.
Egy mostani celeron vagy laptop proci, akár ennél kisebb energiaigény mellett is, többszörös teljesítményű lehet ehhez képest.[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
-
ekkold
Topikgazda
válasz
Apollyon
#22914
üzenetére
Régebben kipróbáltam ezen a mini PC-n a routerOS-t:
Ez nem noname PC, (Advantech ARK1123H), de csak egy J1900 celeron proci dolgozik benne 4GB RAM társaságában. 2db ethernet portja van, egy switch-el kiegészítve akár használható is lenne. Ez a nem túl erős konfig is simán erősebb volt, mint az RB5009 routerem. Szerintem szinte bármelyik modernebb, kisfogyasztású PC processzorra épülő router lekőrözné a mikrotik hardvereket. Távlati tervek között mindenképpen szerepel ilyesmi (hacsak el nem taszajtják addigra a routeros-t annyira, hoyg elmenjen a kevem tőle).
Jelenleg amúgy NAS-ként használom ezt a kis PC-t, és remekül teszi a dolgát (webszerver, médiaszerver, "letöltőgép", sftp, tftp, smb, nfs,- szerver,stb...)http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
kammler
#22908
üzenetére
Mostmár csak erős proci kellene, meg 2x ennyi port, és persze nem csak 32Mb flash, hanem jóval több mert azt is hamar "kinövi" majd a RouterOS.
Nemrég nézegettem egy MiniPC-t a hwaprón 4db 2,5Gbites porttal. Jóval erősebb router lenne mint a legtöbb mikrotik hardver, de egyelőre még nem szántam rá magam , hogy PC alapú routert "építsek". Majd akkor ha az otthoni eszközeim, és persze az internet elérésem is indokolttá teszik, addig meg marad a gigabites lan.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
Audience
#22899
üzenetére
Nos nálam ez úgy néz ki a gyakorlatban, hogy az 5GHz-en szinte bárhová állítom, akkor leáll (ill. el sem indul), mert radart érzékelt... Ha nem lenne a superchannel, akkor gyakorlatilag nem lenne 5GHz-em. Igaz mostanában nem teszteltem, mert már eleve superchannelre állítom. Beltérben van, és a falakon nem igazán megy át (a szomszédos helyiségben is alig látszik), így nem tartok attól, hogy bármi egyebet megzavarna.
Pl. a tv felé a DLNA 5GHz-en megy, mert vezetéken 100Mbit-es a tv (meg eleve nincs odavezetve LAN kábel), a 2,4GHz meg nem tud ennyit a gyakorlatban. Bár a legtöbb műsor belefér ennél kisebb sávszélbe, de nem mindegyik.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
kammler
#22887
üzenetére
Igen, pl. ezt is hiányoltam (nálam itt, az 5GHz gyakorlatilag használhatatlan enélkül). Az is zavaró, hogy a kisebb eszközök 16Mb flash kapacitása ki van centizve, külön kell rá feltenni a wifiqcomac-t, ugyanakor feleslegesen foglalja az eleve nagyon kevés a helyet a sima wifi. Szóval kicsit tákolmánynak vagy inkább gányolásnak tűnik így, pedig többféle rendes megoldást is csinálhattak volna. Pl. az összes drótnélküli módhoz (tehát ami most: wireless, wifiqcom, és wifi) külön modul lehetne, és minden hardverhez fel lehet tenni az ahhoz megfelelőt (felesleges csomagok nélkül). Vagy külön csomagot kellett volna kiadni a különböző wifi modult igénylő verziókhoz. Persze ne felejtsük, hogy a probléma eleve a mikrotik sz@rrágó 16Mb flash-t használó megoldása miatt (is) van. Mert pl. a régebbi mipsbe eszközökben (pl. az anno népszerű RB951 sorozat) még 128Mb flash volt (ill. van).
Egyelőre nem fogok frissíteni, nem akarom, hogy a saját eszközeim legyenek a kísérleti alanyai a fejlesztőknek. Ki kell várni egy jobb periódust, amikor a javított és az újonnan bekerülő hibák aránya kicsit jobb lesz a jelenleginél.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
nemurea
#22852
üzenetére
Ahogy előttem is írták, az Allow Remote Request itt a mikrotik DNS kiszolgálóját kapcsolja ki/be. Bekapcsolt állapotában a router minden DNS kérést kiszolgál - de ezt pl. tűzfalszabályokkal korlátozhatjuk (pl. a belső hálózatra). Kikapcsolt állapotban semmilyen DNS kérést nem szolgál ki a router, helyette más DNS szolgáltatást kell használnia a klienseknek. De olvasgass egy kicsit (ez is benne van a cikkemben): [link]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
nemurea
#22848
üzenetére
1, Cseréld le a jelszót valami hosszúra (pl. amagyaroknyilaitolmentsmeg), és ne add meg senkinek.
2, Vegyél fel tűzfalszabályt ami tiltja az 53-as port elérését a nem helyi címekről.Ezek után maradhat bekapcsolva az Allow Remote Requests.
Nálam is a mikrotik a DNS szerver itthon, mert így tudok statikus címeket is felvenni.
A back to home nem tudom hogy csinálhat-e ilyet, elvileg nem kéne.A back to home akor kell ha pl. nincs publikus IP címed. Ha viszont van, akkor simán wireguard, kézzel beállítva, és természetesen nem a standard porton...
[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
-
ekkold
Topikgazda
Korábban átsiklottam felette, de most feltűnt a NAT szabályaid között pl. a 10. sorban levő.
Ez a szabály (a felkiáltójel miatt) !10000-10100 minden portot NAT-olni fog a szerver felé ami nincs benne ebben a tartományban. Nem látszik az összes beállítás, de ez pl. elég gázos, mindenképpen olvass kicsit utána a dolgoknak mert szét fognak hekkelni a neten.Ismeretségi körben kaptam az infót, hogy volt akire a TEK törte rá az ajtót éjjel... Mint utólag kiderült, "csak" a routerét törték fel (mert hülyén volt beállítva), és gyerekpornót osztottak meg rajta keresztül. Így aztán másnap hazaengedték, és még az ajtóért is bocsánatot kértek (nem, nem fizették ki), de valószínűleg az addig ott töltött idő sem lehetett túl kellemes.... (azóta talán az eljárás is véget ért, és utána a PC-t, routert, telefont, stb... is visszakapta).
A tanulság amit levont az illető: ha nem értesz hozzá, keress valakit aki igen, és segít beállítani... mert ez nem kevés "tanulópénz" volt.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
yodee_
#22794
üzenetére
Azért egy "rendes linuxban" van komoly fájlkezelés, és a szabad memóriát fehasználja pl. lemez cache-ként, ami "azonnal edobható" ha esetleg másra kell a memória.
A mikrotiknek ez nem akar összejönni, beraktak pl. egy média szervert is, ami gyakorlatilag nem használható (akkor meg minek?)
Az SMB elérés is szinte alap egy linuxban, nekik ez sem jött össze...
Arra használtam volna esetleg, hogy van egy távoli szerver amit elérek VPN-en keresztül, SMB-vel is, ha ezt a médiaszerverrel tovább osztom akkor a TV-m is elérte volna kvázi közvetlenül ezt a távoli szervert DLNA-val. De ahogy látom ez mikrotikkel esélytelen. Viszont a Xpenology-t futtató NAS-ommal (elvileg) megoldható, tehát el tudom engedni mikrotik ilyen funkcióját, inkább csak érdekesség lett volna, hogy ezzel is megoldható. Gyakorlatilag oda jutottam, hogy azok az új funkciók amik engem esetleg érdekelek volna, és amiért érdemes lett volna frissíteni, gyakorlatilag nem érik el a használható szintet. Talán majd egy későbbi verzió...Mondjuk az is gáz amit a régebbi MIPSBE eszközökkel műveltek. Megfrissíted, és mi történik? Nem megy a wireless.. Mert hogy a mipsbe eszközökre kiadott telepítőben is az új wifi van benne (wireless helyett) feleslegesen, mert az ezeken az eszközökön nem megy, tehát külön fel kell tenni rá a wireless csomagot.
Ok értem megoldható, de a legtöbb szakmában az ilyen foltozgatást a köznyelv egyszerűen gányolásnak hívja.
Még valami ami talán nem mindenkinek tűnt fel, de az új wifi modulból valahogy eltűnt a "superchannel". A lakóhelyem közelében van valami, ami zavart sugároz 5GHz-en, ezért minden csatornán radart érzékel a mikotik, és az 5GHz gyakorlatilag használhatatlan (superchannel nélkül).http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
Egy ideje naplózom az IP címemet, (és akkor már egyúttal még pár dolgot), pl. mert anno figyelmeztetés nélkül NAT-olt címre váltottak - így hamar észreveszem azt is, ha megint eljátsszák ugyanezt.
Ez egy kicsi php weboldal a NAS-on, amit mikrotik hív meg időnként. Itt is látszik, ahogy fogy a memória 7.15.3 OS-el (a konfig nem változott), pár nappal a frissítés után. Korábban 7.11.2 volt, így egyelőre arra álltam vissza.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
Ki akartam próbálni a rose package smb megosztás elérését. Hát egy zsák kaka... Parancssorból lehet konfigurálni, winboxban a beállítások egy részét nem találom. Ez még nem lenne tragédia, nem ijedek meg a parancssoros konfigtól sem, a nagyobb baj, hogy nem működik... a NAS-om egyik mappáját próbáltam elérni: unknown file system... Mondanom sem kell minden más eszköz hibátlanul eléri, windoswsok, linuxok, még a TV-mben levő béna smb megoldás is.
A memoria leakkal együtt, háát, ment egy downgrade + visszaállítottam egy korábbi backupot, ami egy korábbi routerOS-en készült. Kopp-kopp-kopp - most jó. Egy darabig nem fogok frissíteni. Kezdenek úgy dolgozni mikrotikék is mint a "nagyok", kiadják a hulladék béta állapotű szoftvert, aztán majd a felhasználók ingyen tesztelik, és szépen küldik a hibákat...http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
#22787
ekkold
Topikgazda
lionhearted
#22786
ekkold
Topikgazda
válasz
lionhearted
#22786
üzenetére
Az interfész feltétel helyett azért jobb a wan ip-t használni, mert akkor a belső hálóból is elérhetővé tehetők ezek a forwardolt portok.
Persze még valami ehhez hasonló is kell hozzá:
/ip/firewall/nat add action=masquerade chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.0.0/16
Ha a wan interfészre korlátozzuk a port forwardot, akkor ez nem fog működni.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
Néhány hete frissítettem az RB5009-et 7.11.2-ről, 7.15.3-ra.
Most tűnt fel hogy korábban a szabad memória 700...800Mb között alakult, most viszont pár nap alatt 885Mb-ról indulva, 460Mb -ra csökkent. Más is tapasztal hasonlót?http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
-
ekkold
Topikgazda
válasz
kammler
#22673
üzenetére
Nálam a tv-n semmilyen módon nem jelenik meg a médiszerver. Az SMB megosztásban viszont duplán van mióta ezt bekapcsoltam... Ja és igen, nekem is kifagy a lejátszás egy idő után (kb.1 órát ment utána megállt). Kiforrtlan sz@r ez még... még bétának sem nevezném.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
Bekapcsoltam kíváncsiságból a médiaszervert az RB5009-en. (/ip/media)
A PC-n a VLC playerben meg is jelenik a NAS mellett, és a routerre dugott pendrájvról, a rajta levő filmet le is tudja játszani a VLC. Ugyanezen hálózatban viszont a TV menüjében nem jelenik meg a MikrotikMediaSzerver (a NAS természetesen igen). Tehát valami hibádzik még ebben (legalábbis nálam) - valakinél működik? Ill. próbálta már valaki?[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
yodee_
#22661
üzenetére
Mondhatjuk azt is, hogy a bár a WiFi stabilitása jónak mondható, a wifi sebessége sosem volt erőssége egyik mikrotiknek sem. Annak idején pl. az RB951-es az 1W-os wifijével simán beszórt egy egész házat. Aztán ahogy elkezdték szorongatni a wifis routerek gyártóit, hogy be kellene ám tartani a szabályokat, elkezdték bezárni a kiskapukat, és a frissítésekkel valahogy ennek is egyre kisebb lett a teljesítménye... A sebessége meg sosem volt kiemelkedő, inkább csak átlagos, vagy átlag alatti. Ugyanakkor ha valaki nem méregetni akarja, és nem nagy fájlokat akar mindenáron wifin keresztül mozgatni, hanem csak átlagos célokra használni, akkor teljesen elfogadható.
[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
yodee_
#22641
üzenetére
Ok, ezt megoldható, csak elgondolkoztam, hogy nyújt-e bármi előnyt (esetleg hátrányt) az újabb szoftver számomra a ezen az eszközön?
Hogy csak egy régi példát említsek: régi routeros-ben pl. egyetlen kattintással ki lehetett kapcsolni radar-detect funkciót...
ez mostmár nem ilyen egyszerű.Tovább gondolva ugyanezt, használatban van egy hAPac-m itthon (tehát nem az ac^2), ennek egész jó a wifije - na nem a sebességre gondolok, hanem stabilitásra, erre csatlakozik pl. a tv-m is 5GHz-en. Van értelme frissíteni, vagy "ami jól működik azt ne piszkáljuk" meggondolás alapján, inkább hagyjam...?
Van egy jelenleg használton kívüli hAPac^2 is (256Mb RAM-os verzió), erre valószínűleg érdemes feltenni az újabb rendszert, mivel ez arm-es és elvileg jó hozzá a WiFi csomag, jól gondolom?Szerk.: akkor már még egy kérdés. RB5009-re feltette már valaki a 7.15.3 routeros-t? Rendben működik?
[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
Feltettem a legújabb (7.15.3) routeros-t egy RB951-re. Majd fel kellett telepítenem a wireless packaget-is, hogy működjön a wifi. Így most van WiFi és Wireless menü is, de a WiFi menü üres (és gyakorlatilag felesleges)... Lehet, hogy nem igazán volt értelme ezt a viszonylag régi eszközt frissíteni?
[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
Ennél összetettebb a dolog. Alaphelyzetben valószínűleg DHCP szervert is indít a defconf, amire jelen helyzetben nem hogy nincs szükség, hanem egyéb problémákat is okozhat (pl. ütközik a router DHCP szerverével), és még lehetne sorolni...
Azt kellene megérteni: a quick set, ill. a defconf annak való, aki csak soho router szinten akarja használni a mikrotiket, és esetleg nincsenek elegendő hálózatos ismeretei ahhoz, hogy bonyolultabb konfigot magától elkészítsen.
Ha viszont ennél több kell, akkor rendes átgondolt konfig kell, amibe nem kavar bele egyéb ismeretlen beállítás. Ez esetben használjuk az összes beállítási lehetőséget, de elkerüljük a quick set-et, mert elállíthat, megváltoztathat más, általunk már beállított dolgokat, sőt időnkét olyasmivel egészíti ki, amiből csak káosz lesz megfelelő működés helyett.Lehetne ezt hasonlítani egy automata váltós, és egy manuális autóhoz. Az előbbinél szinte csak a gáz és fék pedált kell taposni - és megy az autó. De ha manuálisat választasz, akkor a kuplungot és a váltót is neked kell kezelni, és ha ezt úgy karod vezetni mint egy automatát, akkor nem sok jóra számíthatsz. Vannak olyanok is amelyek mindkét üzemmódot tudják, de semmiképpen sem egyszerre (a mikrotiket ehhez hasonlítanám)... Vagy pl. a feleségem autója manuális váltós, de figyelmeztet a műszerfalon, ha szerinte váltani kellene.
[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
MaCS_70
#22625
üzenetére
....a LAN IP-cím beállítása volt a kivétel...
Nincs ilyen kivétel, ha bármit állítasz benne, akkor sok egyebet is megváltoztat. A legjobb ha be sem lépsz ebbe a menübe (ha csak "simán leokézod" már azzal is módosulhet valami)
Winbox-ban ott van az IP/Adresses menü ahol megnézheted ill. állíthatod az címeket.Tehát mégegyszer:
- Csatlakozzon az ETH2 a LAN oldalra.
- Winbox-al csatlakozz az eszközhöz MAC alapon. Ne a mikrotikhez legyen bekötve a laptop, hanem egy másik lan porton át (vagy wifin).
- Töröld a konfigot, és no default konfig legyen bepipálva.
- Ujraindulás után újból winbox. Ilyenkor csak MAC alapon megy, ha mindent jól csináltál, mert nincs IP címe a mikrotiknek. Ha mégis lenne IP-je akkor valamit eltoltál.
- Ezután ETH2 legyen DHCP kliens. Itt a nenüben látni fogod, hogy kap IP-t a routertől, ezután már ezen az IP-n is eléred az eszközt.
- Utána jöhet az LTE konfig, és EHT1 a WAN portra.Ne legyen bridge, és semmi egyéb beállítva.
Ja igen, és azért kell mindenképpen a winbox, mert a webfelület nem megy IP cím nélkül, márpedig ha jól csinálod, akkor addig nincs IP címe, amíg nincs beállítva DHCP kliensnek az ETH2. Tehát egyszerűen fogalmazva: webfelületen konfigurálva nem lesz jó... (ahhoz pontosan, 200%-osan tudni kellene mit miért csinálsz, de ez jelenleg nem így van)
[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
MaCS_70
#22623
üzenetére
Elolvastad amit a múltkor írtam neked? [link]
Ismét idézek a cikkből :- Ha tényleg többet akarunk, mint amit egy sima soho router tud, és az itt leírt beállításokon végigmegyünk, akkor innentõl semmiképpen se használjuk, sõt felejtsük el a router Quick Set menüpontját! A quick set több olyan módosítást is végez egy lépésben, ami a lentebb felsorolt beállításokkal együtt váratlan ill. kiszámíthatatlan eredményre vezethet.
Tehát ha quick set-ben állítasz valamit az több különböző dolgot is megváltoztathat egyszerre. Azoknak való, akik nem értenek hozzá, nem is képesek rá, és nem is akarnak érteni a cucchoz, csak kattintanak párat és megy. Ha többet akarsz ennél (pl. elérni az eszköz menedzsmentjét a belső hálózatodból, internetet adni az eszköznek, NTP-t beállítani), akkor meg kellene érteni a logikáját. Ennek egyik módja - kezdők számára, pl. hogy elolvasod a cikket és megpróbálod megérteni. Gyakorlatilag minden információt leírtak már neked ahhoz, hogy működjön amit szeretnél. De összefoglalom neked:
- állítsd be a nulláról, azaz default konfig nélkül, hogy csak az legyen benne amire szükség van.
- ETH2 DHCP kliens (bridge tulajdonképen nem kell) ez bekötve a routered egyik lan portjára közvetlenül vagy switch-en keresztül.
- LTE konfig beállítása
- ETH1 passtrough, tehát itt továbbadja az LTE csatlakozást routered WAN portjára
- NTP kliens beállítása (és egyebek amire esetleg még szükséged van).
A quick set, ill. default konfig sok alap dolgot beállít egyszerre, de ez ütköz
het azzal a "speciális esettel" ami neked kell. Így senki sem fogja távolról kitalálni, hogy mi és miért nem megy éppen, csak tippelgetni lehet. Ami vagy bejön vagy nem.[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
MaCS_70
#22597
üzenetére
Lehet, hogy tényleg a nulláról kellene kezdeni, default konfig nélkül.
Kezdetnek nézd át ezt a cikket (a fenti kép is ebből származik): [link]
A cikk nem teljesen arról szól mint ami neked kell, de betekinthetsz egy kicsit a mikrotik működésének logikájába, és lesz azért benne olyan ami számodra is hasznos. Az oldal közepe táján van képernyő-kép a DHCP kliens beállításáról is.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
MaCS_70
#22593
üzenetére
Azért nem látja mert a notebookon valószínűleg windows van, annak meg kell IP, addig nem hajlandó rendesen működni MAC alapon sem . Ezért írtam, hogy legyen az ETH2 a routeren, és a routerre csatlakozz a notebook-al is. Tehát először jussunk el idáig.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
MaCS_70
#22589
üzenetére
Winbox-al be lehet lépni IP cím nélkül is, felesleges volt a reset... de nézzük a jó oldalát, kicsit gyakoroltál. De akkor kezdjük..
Először állítsd be DHCP kliensnek az ETH2-t. Ezután vedd ki a bridge-ből.
Az ETH2 és a router egyik lan portja legyen összekötve kábellel.
Az a PC amin a winbox fut. csatlakozzon a routerhez.
Ha nem tudsz belépni, ne ijedj meg, a winbox MAC address alapon is be tud lépni, próbáld ki ezt a lehetőséget. Ha idáig eljutottál jelentkezz, és folytatjuk... Ha nem megy akkor kérdezz![ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
kis20i
#22548
üzenetére
Valószínűleg jól tippelsz, nem rutinos mikrotik felhasználó, és ezért a default konfig-ból indult ki. DCHP kliensként fel kell venni az ETH2-t, winbox-ban valahogy így:
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
MaCS_70
#22541
üzenetére
Mivel a fő routered nem mikrotik, így feltételezhetően nem tud VLAN-okat kezelni. Emiatt logikusan sajnos csak az a megoldás lesz a használható, hogy mindkét ETH portot össze kell kötni a fő routereddel. Azt ETH1 (passtrough) megy a WAN portra, az ETH2 pedig DHCP kliensként egy LAN portra.
Ez a második csatlakozás esetleg kiváltható, valamilyen egyéb wifis eszközzel, de a jelenlegi hálózati ismereteid alapján lehet, hogy ezt sem kellene erőltetni.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
MaCS_70
#22485
üzenetére
Mi lenne ha az ETH2-n kapna dinamuikusan IP-t, és internetet is, a fő routeredtől?
Illetve az ETH1-be lehetne betenni egy VLAN-t, amin megy a menedzsment, és netet is kapna (amúgy sincs komoly sávszélesség igénye), így nem kellene duplán kábelezni.[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
-
ekkold
Topikgazda
Erre gondoltam én is. Ezekből az arányokból az jön ki, hogy amelyik IP felkerül a listára, arról átlagosan kb. még 230 próbálkozás jön különféle portokon, mielőtt odébbáll.
De kérdés második része is érdekes, milyen szabályokat tegyünk Raw-ba, és melyiket ne oda?
[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
Mikrotiken használok feketelistát. Minden olyan IP felkerül rá ami 22, 53, 8291és hasonló portokat próbál piszkálni az internet irányából.
A feketelistát blokkolom a raw fülön, azaz
/ip firewall raw
add action=drop chain=prerouting src-address-list=blacklist
itt jelen pillanatban a csomagszámláló 1.281.937-nél jár
Korábban csak a filter fülön blokkoltam, de ez a szabály itt is bent maradt:
/ip firewall filter
add action=drop chain=forward src-address-list=blacklist
add action=drop chain=input src-address-list=blacklist
Elméletileg ezeknek már nem kellene csinálnia semmit sem, mert a Raw-ban már eldobom ezeket a csomagokat, a gyakorlatban viszont ezek a számlálók is pörögnek, csak éppen lasabban.
forward: 15
input: 5.495Azon gondolkoztam, hogy ez miért lehet, és van is egy ötletem, de felmerült egy újabb kérdés is ezzel kapcsolatban. A szabályok jelentős része most a Filter Rules-ben van, a Raw-ban csak a feketelista eldobás, és a fehérlista engedélyezés van.
Hogyan érdemes, ill. hogyan célszerű eldönteni, hogy melyik szabály legyen a Raw-ban és melyik legyen a Filter Rules fülön felvéve? Konkrétan pl. a fehér/feketelista kezelése melyik helyen a célszerűbb?http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
Multibit
#22423
üzenetére
Nyilván nem csak az LG, csak azoknál bukott ki először, ráadásul a neten is publikálva. Amúgy mindegyik kémkedik, és ahol nem foglalkoznak ezzel, vagy nem figyelnek rá, ott akár egész hatékonyan fog tevékenykedni.
....Csak egy példa: cégvezető, fejlesztő, adatokkal dolgozó alkalmazott stb.. hazaviszi a céges laptopot, és felcsatlakozik az otthoni wifire. A tv meg szkenneli az otthoni hálózatot, hátha talál elérhető adatot, természetesen kizárólag statisztikai céllal...
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
tothd1989
#22417
üzenetére
Amúgy van pl. tv készülék abban a hálózatban? Érdekesség: [link]
Csak azért említem, mert bannolunk mindenféle, IP-t közben meg akkora hátsó ajtó van némelyik hálózatban mint a "bécsi kapu".http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
Mindenképpen 1db eszközzel kell megoldani? Miért ne lehetne pl. egy RB5009 + mondjuk egy cAPac, mint wifi AP?
Nekem egy szekrényben van az RB5009 más cuccokkal együtt, jelenleg 48 fokos, ezeknek van egy közös ventillátora. Egy forró tetőtérben mindenképpen hűteném.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
tothd1989
#22408
üzenetére
Ha jól értem az eth protok egy bridge-ben vannak, de különböző IP címük van? Ennek így tényleg nem sok értelme van. Ha már külön DNS szerverek vannak, és külön alhálózatok, akkor nem kellene layer2 kapcsolattal is összekötni őket. Elegendő lenne a layer3, megfelelő tűzfal szabályokkal. Ha nem nagyon sok eszközből áll a hálózat, akkor egyszerűbb a DHCP leases menüben összerendelni a MAC address-t és a kiadott IP címeket, így egyetlen DHCP szerver elegendő, ami pl. a 192.168.0.0/16 tartományból oszthat IP címeket.
Összességében: nem látszik, hogy mi indokolja, hogy a különböző IP tartományokat egy közös bridge-re rakod, és nem is tűnik jó megoldásnak. Ennek jól kellene működnie bridge nélkül is. Vagy ha mindenképpen közös bridge kell, akkor 1db DHCP szerverrel lenne jobb megoldani. Bár mint írtad, végülis most működik a hálózat....[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
ekkold
#22403
üzenetére
A NAT masquerade szabályoknál kellene out interfészt is megadni, különben NAT-olni fog az alhálózatok között is. Az átjárhatóságot az alhálózatok között tűzfalszabályokkal tudod meghatározni.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
-
ekkold
Topikgazda
Adott esetben elég lehet - ha jól van konfigurálva. De van amikor ki kell nyitni bizonyos portokat, és ilyenkor nagyon nem mindegy pl. a szabályok sorrendje sem.
Pl. ha használunk valamilyen VPN-t (Wireguardot, L2TP-t, PPTP-t), ezeknek a működéséhez ki kell nyitni néhány portot, ami vagy fixen lesz nyitva, vagy valamilyen kopogtatásos, fehérlistás megoldással (én mindegyiket használom).
Régi RouterOS verzióban volt egy bug, ami miatt annak idején rengeteg routert széthekeltek (volt ami javítható maradt, jónéhányból "tégla" lett), de csak azokat tudták meghekkelni, amelyiken nyitva volt a winbox portja.
Nekem már akkor is úgy volt beállítva a router, hogy netről, a 8291 portra jövő csomagok forráscíme kapásból ment a feketelistára, és onnantól minden csomagja drop... Hasonlóképpen még jónéhány további port amit gyakran támadnak (telnet, ssh, ftp, dns, stb..). Persze használok pl. sftp-t is, de nem a standard 22-es porton (átraktam máshová), és csak az "sftp-fehérlistán" szereplő IP címekről lehet elérni.A feketelistás megoldásokkal érdemes vigyázni, mert ha nagyon elkezdenek támadni, akkor hatalmasra nőhet a lista, és az már komoly erőforrást vesz el (egy barátom járt így). Azóta csak eldobja a nemkívánatos csomagokat (nem gyűjt feketelistát), viszont a legtöbb dolgot csak VPN-el lehet elérni, és/vagy csak fehérlistán szereplő IP ről.
[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
nemurea
#22321
üzenetére
Igen, de ez még válaszol a támadónak (megtagadja a kérést), ezért tovább fog próbálkozni. A tűzfalba is érdemes felvenni rá egy tiltást (ahogy az előbb írtam).
Ha a 172.16 kezdetű tartományt nem használod, akkor az ki is vehető (de amúgy ahhoz /16 -ot szoktak használni). A 192.168-hoz meg /24-et, de ha /16-al adom meg akkor az összes ilyen kezdetű címre érvényes lesz.
[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
nemurea
#22318
üzenetére
Ugye nem hagytad nyitva a winbox portját a net felé ??
Ha mégis, akkor szerintem sürgősen változtass a beállításokon.
Minimum valami ilyesmi kellene legalább:
/ip firewall filter add action=drop chain=input dst-port=8291 protocol=tcp src-address=!192.168.0.0/16[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
kammler
#22300
üzenetére
Nálam is többszáz IP gyűlik össze a feketelistán elég rövid idő alatt. Az SFTP-t átraktam nem standard portra, de ott is megtalálták , és próbálták hekkelni. Azóta a port zárva van, és csak megfelelő bejelentkezés után lesz nyitva... [link] Így csak annyit látnak, hogy a port zárva, és továbblépnek (nincs név/jelszó próbálgatás, majd -> feketelista), összességében így kisebb terhelést okoznak a tűzfalnak.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
kammler
#22294
üzenetére
Így van, portot csak akkor nyissunk, ha pontosan tudjuk, hogy mit, hogyan, és miért teszünk. Ha csak el szeretnénk érni a dolgainkat távolról, akkor VPN-el biztonságosabb. Jelenleg leginkább a wireguard az ajánlott, de az a 6-os RouterOS-ben nincs, a 7-esben jelent meg.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
zelikocc
#22272
üzenetére
Ahogy előttem írták, szkripttel minden (is) megoldható. Nekem pl. emailben küld backup-ot minden héten. Mostanában kell majd átírnom a scriptet, mert a digi levelező szolgáltatása megszűnik (az smtp szervere sem lesz elérhető). Az a tervem hogy ezután egy bedugott pendrájvra ment, és SFTP-vel fogja a szerverem egy mappájába is bemásolni a mentést (az email helyett).
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
Audience
#22162
üzenetére
Régi munkahelyemen "megörököltem" egy szálloda wifi hálózatát, 100db feletti AP-vel, ráadásul akkoriban még a Capsman sem létezett. Pl. ott okozott rendesen problémát az eszközök kezelésében. Gondolj csak bele: egy sima wifi jelszó csere mivel jár capsman nélkül.. (persze írtam rá scripteket)
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
Audience
#22159
üzenetére
Ha pl. az a bridge egy AP része, és egy másik eszköztől kap IP-t (pl. a routertől) akkor az IP címe is állandóan változni fog, bizonyos esetekben ez okozhat különféle anomáliákat.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
yodee_
#22151
üzenetére
Az összes mikrotik csinálja évek óta, még egy sima AP is. A bridge általában az egyik ETH MAC addressét vette fel, ha viszont a wifi is aktív akkor a wifi MAC addressét vette fel, és emiatt gyakorlatilag váltogatta a címét. Ezt többnyire úgy kezeltem régen is, hogy amikor a konfig már kész volt, akkor a bridge mac addressét, bemásoltam az admin mac mezőbe, így onnantól megmaradt a fix cím.
Igazából azt nem érem, hogy miért a mac cím váltogatása a default beállítás.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
Laszlo733
#22123
üzenetére
Miért a 80-as portra akarod kitenni a műholdvevőt?
Másik porton sem működik, vagy csak a 80-assal van gond?
A tűzfalban van engedély felvéve, a 80-as portra jövő, forward csomagokra?http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
kammler
#22065
üzenetére
Meg kell jelölni a VPN-en át menő kapcsolatot (IP mangle), és a hozzá tartozó csomagokat, hogy a visszajövő válaszokhoz tartozó csomagokat a VPN felé tudja irányítani. Egyszer már csináltam ilyet, elég rég volt, így csak kb. emlékszem, de teljesen jól meg lehetett oldani a dolgot.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
#22035
ekkold
Topikgazda
lionhearted
#22033
ekkold
Topikgazda
válasz
lionhearted
#22033
üzenetére
Így már értem, köszönöm, hogy felhívtad erre a figyelmem!
Ki is egészítettem a leírást a weblapon (remélem nem gond, hogy megemlítettelek).Ja és a login: a weblapon levő PHP csak egy példa. Ezt célszű olyan formában elkészíteni, hogy a jelszót ne tárolja el közvetlenül, hanem valamilyen kódolt formában, és egy külön fájlban. Amúgy szándékosan nem akarok olyan logint készíteni aminek bármi köze lenne a routerhez.
[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
#22027
ekkold
Topikgazda
lionhearted
#22026
ekkold
Topikgazda
válasz
lionhearted
#22026
üzenetére
...a magic constant port a képletből, amivel amúgy kb bárrmi más is hívhat.
Azért nem tud más hívni a "magic constant port"-ot használva, mert a mikrotik ezt csak a NAS belső IP címéről fogadja el (forráscím), a csomag cél címe pedig a listára felvenni kívánt cím (és persze adott interfészre is lehet szűkíteni a kört.). Ha kintről próbál valaki olyan csomagot küldeni, aminek a cél-címe a saját címe, az a csomag el sem fog jutni a routerig, hiszen annak a csomagnak a számára nem az én mikrotikem lesz a gateway, ez csakis belső hálózatból induló csomagok esetén lesz így, amelyek a router mint gateway-nek szintén a belső címére érkeznek. Persze lehet, hogy hibás a gondolatmenetem, de hol hibás?
Ez szerintem inkább a webszerver felől támadható - ha azt meg tudja hekkelni valaki. Persze ezzel akkor is csak portot tud nyitni, de ezzel még közel sem fér hozzá a routerhez.[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
-
#22022
ekkold
Topikgazda
lionhearted
#22021
ekkold
Topikgazda
válasz
lionhearted
#22021
üzenetére
Hogyan csinálnád meg? Raksz be példát? Az API használatához authentikálni kell a routerbe, ha jól tévedek. Az UDP hívással kizárólag az IP felvétele valósul meg, a routerben gyakorlatilag semmihez sem fér hozzá a webszerver.
A pingeléssel "bekopogtatásnak" is megvan ugyanez az előnye.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
Reggie0
#22015
üzenetére
Igen, ezt a megoldást is alkalmaztam már. Ezért inkább úgy fogalmaznék, hogy mindkettőnek van előnye és hátránya is.
A pingelős módszer, csomagmérettel variálva, különösen ha több lépcsős elég megbízható, de...
- Pl. a windowsos ping és a linuxos nem ugyanúgy kezeli a csomagméretet amikor paraméterként megadom.
- Ha egy egyszerű felhasználót akarok beengedni, egy sima PC-ről, akkor már nehezebb a dolgom (pl. minimum gyártanom kell neki egy .bat fájlt, ami megfelelő csomagméretekkel pingel)
- Egyszerűen a kényelmi szint más, ha csak beírok egy jelszót egy böngésző ablakban. Illetve ez esetben nem csak a saját IP-met tudom felvenni, hanem bármilyen IP-t, amit a form IPcím mezőjébe beírok.
- Ha a form-ot https-el érem el, akkor sokkal nehezebb a jelszót megszerezni (pl. a kommunikáció lehallgatásával), mint egy pingelés, vagy UDP csomag esetében.A pingelős módszer tagadhatatlan előnye, hogy a routeren kívül gyakorlatilag semmi egyéb nem kell hozzá. Lehet, hogy kiegészítem majd ennek a leírásával is ezt a cikket.
Mióta a mikrotikre lehet dockert is telepíteni, elvileg ezzel is megoldható lenne a webszerver, és akkor a cikkben írt megoldás sem igényel további hardvert.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
A két eszköz nem egy kategória.
Az RB5009 soho router, a CCR professzionális.
A CCR:
- közel a duplája árban.
- kb. 2x annyi port
- nagyobb teljesítmény
- a paszív hűtésű erősen melegszik (állítólag), csak jól szellőző rackbe, ajánlott.
- a melegedést a nagyobb teljesítmény is alátámasztjaTehát a zongorát és a pianínót akarjuk összehasonlítani.
- Valóban kell a sokkal több port?
- Valóban szükséges az 5009-nél nagyobb teljesítmény?
- Valóban nem számít az árkülönbség?Ha csak a sávszél növekszik, és eddig a 3011 is bírta a strapát, és nem jelent meg újabb követelmény, akkor 4011 vagy 5009 is bőven elegendő.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
#21985
ekkold
Topikgazda
lionhearted
#21976
ekkold
Topikgazda
válasz
lionhearted
#21976
üzenetére
Akkor nekem az lenne a kérdésem, hogy lehet az, hogy nálam a wireguard interfészek a default 1420-as MTU-van mennek, és PPPOE netem van (1492 MTU-val), ugyanakkor a wireguard látszólag mégis hibátlanul működik.
[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
yodee_
#21920
üzenetére
Ha van export és backup is róla, akkor törölhető a konfig, létrehozol felhasználókat, és import... Ha valamiért nem sikerülne, akkor ott a backup, amiből visszaállítható.
Ha nem titkosított a backup akkor talán visszafejthető, de biztos nem egyszerű.
Nagyjából így állnék neki: egy másik ugyanilyen routeren csinálnék egy backupot, majd lecserélném a jelszót, újra bacup, és megnézném (mondjuk valamilyen hex editorral), hogy mi a különbség a két fájl között... Ezután némi munkával talán megtalálható egy másik backup fájlban is amit keresünk. Ha nem, akkor fenti lépéseket ismételhetjük, hogy több adatból tudjunk kiindulni.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
Igen, de van amikor a könnyebb utat is lehet választani.
Annak idején "megörököltem" egy szálloda a wifi hálózatának foltozgatását, egy kilépő kollégától, mikrotik RB1000, és 100...150 darab különféle AP.
Capsman még a fejlesztők fejében sem volt még akkor... így pl. egy jelszó csere, vagy egy ujabb VLAN + másodlagos SSID bevezetése nem volt könnyű feladat - de azt is megoldottam. Írtam a mikrotikre szkriptet, amit egy .bat fájl (parancssoros ftp-vel) windowsból, egy IP lista alapján feltöltött minden AP-re. A szkript elégezte a módosításokat minden AP-n. Hát, azért az capsman-al egyszerűbb lett volna...
De itthon pl. 3db AP szórja a wifit, és itt sem használom a capsman-t.http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
Mi lenne ha nem "erőltetnéd" a capsman-t, hanem csak beállítanád azt a néhány AP-t külön-külön, hogy tegye a dolgát? Sok AP esetén értem, hogy ügyes, meg minden egy helyen van, de amikor csak néhány AP van, akkor azt nem lenne nagy ügy bekonfigolni.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
-
ekkold
Topikgazda
A mikrotiken le tudod generálni a kulcsokat, és előre legyárthatsz (akár több) kliens konfigot, amit az adott PC-n csak be kell majd importálni a wg kliensbe. (a kliens konfigokat le is tudod tesztelni előre egy másik PC-ről).
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
kammler
#21713
üzenetére
Akkor ezek szerint nem hardver hibád van, hanem mikrotikéknek sikerült (ismét) elbaltázni valamit... Akkor bizony tényleg várok még ezzel a frissítéssel, jelen pillanatban ugyanis minden működik ahogy kell, és nem akarok felesleges munkát csinálni magamnak.
Van itthon hAPac, hAPac^2, cAPac, RB951G2hnd, ezeknél is várakozó állásponton vagyok, konkrétan a wifi cseréje miatt, mert lehet hogy jobb az új, de esetleg kiforratlan. A wifi sebessége jelenleg elegendő arra amire nekem kell, ezért a stabilitása jelenleg sokkal fontosabb, mint a sebessége.Ami esetleg érdekes játék lenne, és később még hasznos is lehet, hogy VPN-en elérhetek SMB-vel média fájlokat, amit a mikrotik DLNA-val elérhetővé tehet a helyi hálóban mondjuk egy TV számára. Ez azért lenne nagyon ügyes dolog, mert nem lenne szükség Layer2 VPN-t létrehozni (vagy EOIP-vel és hasonlókkal küzdeni) egy távoli szerver eléréséhez. Anno kipróbáltuk egy messze lakó barátommal, hogy a TV-mmel tallóztam az ő otthoni szerverén levő filmeket, de a hálózatok layer2 összekötése azért vetett fel nehezen kezelhető problémákat - igazából DHCP szűrés és hasonlókkal kellett volna kezelni a problémát, de a gyakorlatban ez sosem működött megbízhatóan, így a távoli layer2 hálózat most csak egy VLAN-on érhető el itthon, elkülönítve a saját hálótól. Persze ez kiszórható lenne wifin egy másik SSID alatt, de mivel van saját szerverem (NAS-om) erre nincs igazán szükségem, így csak egy kísérlet maradt. Ha majd frissítek akkor rose smb + dlna, és meglátjuk, hogy a gyakorlatban is jól működik-e. Az az érdekes, hogy igazából ezt nem is kell feltétlenül a fő routernek megcsinálnia, mehet bármelyik AP-n is a DLNA szerver, pl. kapásból a wifi interfészen, vagy a hozzá tartozó bridge-n.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
ekkold
Topikgazda
válasz
kammler
#21701
üzenetére
Nekem van rádugva az RB5009-re egy 128Gb-os USB3 pendrájv. Minden működik ahogy kell, elérem SMB-vel (írható-olvasható), erre készíti a mentéseket, amit aztán mailban is elküld.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
ez mostmár nem ilyen egyszerű.
Új hozzászólás Aktív témák
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest