Hűha! Mikrotik alatt ilyen bonyolult 2 alhálózat között routolni?
Na mindegy, akkor keresünk valami egyszerübb eszközt :-(

?

Miért lenne ez bonyolultabb mint más, ezeket a szabványokat támogató eszközöké?

Bocsi, de én (mi) csak két (privát) alhálózat között szeretné(n)k átjárást létrehozni.
Gondoltam(uk) a Mikrotik-ben is ez max 2-3 sor route bejegyzés.
Erre belinkeltél egy több száz oldalas leírást (ami nem baj, csak arcul csapott :-))). Erre írtam az, hogy bonyolult, és inkább választunk más eszközt, pl Tomato vagy Dd-Wrt alapon. Ezeken megoldani egy ilyet nem egy nagy varázslat.

Nos, nem mondtad hogy két privát alhálózatról van szó. Azt mondtad "2 (vagy akár több) hálózat között".

A képen pedig több hálózat látható.

Ha statikus, egyszerű megoldást akarsz, akkor az is megoldás amit te magad felvetettél, routing tábla szerkesztése.

Ok, igazad van, ennyire konkrétan nem fogalmaztam
De igen, kb ennyi lenne a feladat (legyalább is, amit eddig tudunk róla).
Mindenesetre köszi szépen!

Sziasztok!

Mikrotik routerhez értő szakembert keresek projekt jellegű munkára. Fizetés megbeszélés szerint.

Ne egyél mosatlan gyümölcslevet! Főleg ha nem tudsz fára mászni!

Sziasztok, egy mikrotik routerboard-al szeretnék wifin megosztani kábelmodemes internetet, de sehogy nem akar működni. Új vagyok még ebben a témában. Azt hogy tudom beállítani, hogy a routerboard lan portján menjen be betáp, majd ezt tolja ki wifin? Valami egyszerű tutorialt tudtok ajánlani?

[ Szerkesztve ]

“Az élet nagy titka az, hogy nincs nagy titok. Bármi legyen is a célod, elérheted, ha hajlandó vagy érte tenni.” (Oprah Winfrey)

Ott járok, hogy az ap fut, az eszközök felcsatlakoznak viszont nem jön rajta net.

“Az élet nagy titka az, hogy nincs nagy titok. Bármi legyen is a célod, elérheted, ha hajlandó vagy érte tenni.” (Oprah Winfrey)

A LAN-on van net?

Mert ha oda eljutottál már, hogy a router felcsatlakozik a netre, NAT működik mind a két irányba, akkor már csak egy bridge interface-t hozzál létre a LAN és a WIFI interface közé. Switch IC-kbe sosincs bekötve a WIFI emlékeim szerint, így bridge kell hozzá.

Sziasztok!

Egy ismerősöm keres olyan Wifis routert, melyiknél be lehet állítani, hogy pl. a WLAN-on max csak 2Mbit sávszélt tudjanak használni, a többi mehet a LAN csatlakozásokon. Sima routernél nem találtam ilyet, Mikrotiknál van olyan ami tudja ezt?

sza.sa

Összes RouterBoard tudja, csak a megfelelő queue szabályt kell alkalmazni.

Létrehoztam egy bridge1-et. Portokat: ether1 a bridge1-el, wlan a bridge1-el, ether2, ether3 a bridge1-el, és dhcp szerver ether 2, ether3-ra. Ez így most működik. Ez így okés? wlan-ra nem kell dhcp szerver? vagy ez az ap bridge az ip-ket is kiosztja?

“Az élet nagy titka az, hogy nincs nagy titok. Bármi legyen is a célod, elérheted, ha hajlandó vagy érte tenni.” (Oprah Winfrey)

Melyik porton jön be a net? Egyáltalán melyik modellről beszélünk?

Csak hogy milyen switch IC van benne. A LAN-nak szánt portokat célszerű azon belül összekötni, hogy HW-ből legyen megoldva. A létrehozott bridge interface ugyanis SW-ből fut, eszi az erőforrásokat. Akkor is, ha csak két gép közt másolnál gigabiten mondjuk. Amit a SW IC kisujjából kiráz, router észre se veszi hogy történik valami.

Pont ezért - bár nem tudom a felállást amit használsz - kiragadnám a WAN portot, többit beraknám egy SW-be ha olyan modellről van szó amit támogatja, és a SW-master portot és a WIFI-t kötném össze bridge interface-be.

A wlannak külön nem kell DHCP szerver. Mivel bridge bekötötted, a bridge-n át megkapja a szolgáltatást. Viszont ha eth2 és eth3 is be van most rakva bridgebe, és külön DHCP-t csináltál mind a kettőre, egyiket töröld mert szükségtelen.

ether1-en, rb532-es.

A másik dolog, hogy most úgy van össze kötve, hogy egy tp-link router elé van rakva, mert mac klónozásra lenne szükségem, kábelmodemből jönne a net. Ki akarnám szedni, de nem tudom módosítani az ether1 mac címét valamiért nem engedi.

/interface ethernet set ether1 mac-address=hálókártya macem kettősponttal tagolva

azt írja rá:

failure: could not set mac address

“Az élet nagy titka az, hogy nincs nagy titok. Bármi legyen is a célod, elérheted, ha hajlandó vagy érte tenni.” (Oprah Winfrey)

Sajnos RB532 elég régi példány, plusz más célra van igazándiból szánva.
Így nincs is benne SW IC, tényleg mindent bridge-be kell rakni.

Az, hogy nem lehet átírni a MAC címet, számomra furcsa. Gondolom összefüggésbe van azzal hogy más architektúra, más ethernet vezérlő, más HW. Lehet ez még nem támogatta. Az meg másik dolog, hogy a rajta lévő RouterOS alapból vinné, de elutasítja a parancs végrehajtását.

Nekem 7xx és 9xx eszközön is ment a MAC cím átírása, szintén kábelnet miatt volt rá szükség.

Nem lenne jobb megoldás, ha lecserélnéd ezt a régi példányt egy újabbra? Mondjuk amit megkapni olcsón, "SOHO" szériák, elég béna WiFi-vel rendelkeznek, kivéve az egyetlen wifis példányt az RB2011 szériából.

mod: most látom, eth1 CPU-ba van integrálva. Próbáld meg átállítani az eth1 vagy eth2 MAC címét.

[ Szerkesztve ]

Köszönöm az infót!

sza.sa

azokat gond nélkül át tudom. Akkor dhcp ether1 re, hogy konfigoljam, hogy mjuk ether3 on menjen be a betáp?

“Az élet nagy titka az, hogy nincs nagy titok. Bármi legyen is a célod, elérheted, ha hajlandó vagy érte tenni.” (Oprah Winfrey)

Ahogy jónak látod.

Mármint úgy értem, mindegy melyik portra dugod akkor a "betápot".

Egy portot szedjél ki a bridgeből, egyetlen DHCP szervered legyen.
Mivel kábelnetet mondtál, legyen DHCP kliens a bridgeből kiszedett portból (WAN). Utána srcnet + masquarade a kimenő portra. Firewall accept szabályok (fontos hogy LAN oldalról mehessen ki forgalom).
Ennyi.

Szia!

És hogyan csináltad ezt a Torrent-es QoS-t?
Ugyanis ezen a pici a képen nem sok minden látszik - legalábbis nekem nem ugrik fel nagy kép :-(

Képre jobb klikk / kép megjelenítése. És már nagy is lesz.
Firefox alatt így nekem megnyitja.

Csak neked még egyszer.

[ Szerkesztve ]

Ez már műxik :-)
Bitte-danke!

Esetleg magukat a szabályokat ki tudnád rakni pastebin-re?
Vetnék rá egy pillantást. Nekem kicsit utópisztikus a tökéletesen működő QoS ugyanis. Illetve, én nekem még nem sikerült elérnem

Nekem ezzel működik. Mikrotik Torrent QOS
QOS 8-ra tettem a torrent-et
Igaz QOS 8-ra már nem jut el semmi, azért mert torrent titkosítva van. Layer 7-tel biztos meg lehetne oldani, de az meg zabálná a cpu-t.

Szóval nálam marad így.

QOS 1 = 80,53,443 ( http, dns, https )
QOS 2 = 110,25,995,465,587,21,113
QOS 7 = tcp/udp minden más forgalom, ami nincs a szabályba, az a legalacsonyabb prioritású.

Úgy látom, hogy te "mangle"-ban csak "mark-packet"-et használod. Kölünböző leírásokban, videókban a "mark-packet" mellet a "mark-connection"-t is használják. Van ennek jelentősége? Őszintén szólva még nem igazán vágom a kettő közötti eltérést :-)
Másik. Úgy nézem, te minden QoS-hez (1,2,7,8) csinálsz In és Out verziót is, mégpedik úgy, hogy egyszer a bejövő forgalomnál nézed "src-port"-ot, majd a kimenő forgalomnál a "dst-port"-ot. Kérdés: amikor pl böngészek, a kifelé menő forgalom "dst-port"-ja tcp:80, de a visszairányú forgalomnál már nem "src-port" tcp:80 lesz, nem igaz?
Bocsi, ha nagy botorságot írtam :-)

[ Szerkesztve ]

Hi All!

Valaki használt már USB GPS eszközt MT-n időszinkron céljából?
Érdekelne milyen eszköz kapható idehaza MT-hez.

Azt látom, hogy van GPS csomag a MOS-ben. Gondoltam ha van ilyen, akkor támogat is vmilyen GPS eszközt, mondjuk USB-n keresztül. És hogy mire is kellene: Időszinkronizáláshoz. Ugyanis lehet kapni GPS alapú időszinkron cuccokat (GPS Time Server, NTP), de x100ezres kategória, mivel 10 a minusz sokadikon pontosak. De nekem az mp pontosság is bőven elég!
Mielőtt még megkérdeznéd: nincs vagy nem lehet/szabad az interneten keresztül szinkronizálni.

Én úgy látom teljesen másképp közelítettem meg a QOS témát. Például preroutingot nem is használtam.
Egyelőre úgy hagyom a szabályaimat ahogy vannak, és amint megjött a RB2011, arra adaptálom a szabályaidat és megnézem miképp működik.
Azután meg beszámolok az eredményemről.

Elég furcsa a use-case amivel rendelkezel, ha NTP-t nem tudsz használni. Gyakorlatilag minden arra épül ma, érthető okokból.
Egyébként nem lesz könnyű olyan eszközt szereznél amit te akarsz, ha jól gondolom.

Az eszközök/gépek amiket szinkronizálni kellene NTP/SNTP alapon mennek (köztük Windows-os gépek is :-).
Viszont az, hogy nem Interneten keresztül kéne az időszinkront megoldani, azt nem tartom különleges dolognak. Számos helyen (főleg ipari, gyártás-technoloógiai stb környezetben) nem elfogadott (egyszerűen nem megbízható forrás) az Interneten keresztüli szinkronizálás (talán másodlagos forrásként elfogadható, bár erre nem merném a nyakamat tenni).

Valakinek valami tapasztalata van már USB-LAN átalakító és Miktorik RouterBoard/RouterOS között.
Értem ezalatt: bedugok egy ilyen kütyüt az RB USB portjáta, majd felveszem mint Ethernet Interface-t.
Én egy ilyen kütyüt http://www.delock.de/produkte/F_671_USB ... kmale.html
próbaképpen rácsatlakoztattam egy Rb951g-2hnd cuccra, ami a System/Resources/USB részben gyönyörűen fel is ismerte :-)
Na de hogyan tovább?
És igen! Van olyan eset, amikor jól jöhet +1 ethernet port. Nem akarok +1 switch-et még használni, cipelni, helyet és konnektor foglalni vele stb-stb.

Hivatalosan csak tárhelyt támogat az USB afaik.

Meg kell hagyni, remekül működik, bár megbütyköltem kissé.
Nekem torrent nincs, steames játék letöltésével szoktak viszont gondjaim lenni az előző beállításokkal.
Most jön le maxon a 4.6gbo-s natural selection, de a böngészést nem akadályozza. Beraktam egy netrádiót szólni, viszont az akad rendesen, mert egy szinten van a steam letöltéssel.

qos7 elvben mindent megfog, mert úgy van beállítva, hogy minden ami eddig nem volt bekategorizálható. Így qos8-ra nem tud ráfutni semmi sem.
Azon kívül nem értettem, miért van qos7-ben külön tcp, külön udp, és külön "maradék". Mivel nem port szinten kezeled már ott, kár megadni hogy tcp vagy udp, elég a "maradék" és abba beletartozik akkor az is.

Plusz nekem ez a mangle felosztás picit átláthatatlan, később még átdolgozom és jobban beszintezem.

Ha csak tárhelyet támogat az USB-n, akkor miért van a Supported Hardware listában USB ethernet cucc?
http://wiki.mikrotik.com/wiki/Supported_Hardware
És hát USB-3G modemet már én magam is használtam/élesztettem MikroTik-en.

Ahogyan elnézem, nem egy embernek sikerült is ezt a funkciót életre kelteni :-)
http://forum.mikrotik.com/viewtopic.php?f=2&t=73502

Kis nyomozás után kiderült, hogy az általam próbált átalakítóban Asix AX88179 chipset van, ami még nem működik jel RouterOS sorozatban :-(
Viszont a régebbi Asix AX88172 chipset működőképes :-)

Az a "supported hardware" lista leginkább a kipróbált és működőnek tűnő hardverek listája.
Hivatalosan, mikrotik support írta valamelyik fórum topicban, hogy nem támogatott. Ami nem azt jelenti hogy nem működhet mint látjuk.

Sziasztok,
egy load balance-ot szeretnék megcsinálni egy mikortik r500-as routerboard-al. Ennek a videónak a mintájára próbáltam. [link]

De nincs net. Egyik interface-el sem tudok pingelni kifele.

Az egyik internet egy routerből jön DHCP-vel, a másik pedig egy kábel-modemből jönne.

Valami kis segítséget kérhetnék? Valami jó tutorialt vagy videót tudnak valaki mutatni?

Előre is köszönöm szépen!

Na ez engem is érdekelne, én is kipróbálnám!

“Az élet nagy titka az, hogy nincs nagy titok. Bármi legyen is a célod, elérheted, ha hajlandó vagy érte tenni.” (Oprah Winfrey)

Az nem jó ha ennek a videónak a mintájára csináltad, mert itt fix IP címekkel megy a variálás.

Valaki próbáltam már ezt a "Brute force login prevention" módszert?

http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

/ip firewall filter
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h

Nekem már az első sokertelen/hibás próbálkozásnál megcsinálja a tiltólistát, és onnantól kezdve nincs belépes :-(
Az első lépést még értem is:
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"

De a másodikat vagy nem értem, vagy nem működik - legalábbis nem úgy, ahogyan én gondolom:
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
Ha jól sejtem, ez 10 sikertelen belépés után bekorlátoz 1 percre. Hát én kipróbáltam 20 sikertelen próbát is 1 percen belül, de a 21-ikre simán beengedett :-)

És az utolsó:
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h
A legelső sikertelen próba után betesz az "ftp_blacklist"-be :-(

Valamit nagyon benézek vagy nem értek :-(

Nincs engedélyezve se SSH se FTP.
Problem? Solved.

1. Köszi a feltételezés :-)
De mint azt írtam is - bár nem pontosan:
"De a másodikat vagy nem értem, vagy nem működik - legalábbis nem úgy, ahogyan én gondolom:
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
Ha jól sejtem, ez 10 sikertelen belépés után bekorlátoz 1 percre. Hát én kipróbáltam 20 sikertelen próbát is 1 percen belül, de a 21-ikre simán beengedett :-)"
Ehhez annyi kiegészítés jár, hogy az első feltételt kikapcsoltam (ezt nem ítam az előbb). Tehát beenged, nemhogy 10 sikerertelen bejelentkezés, de 20 után is. Azaz engedélyezve van az FTP.

2. Az SSH-val még nem is foglalkoztam, gondoltam egyszerre csak 1 lépést teszek meg :-)

Úgy látom ez a "Dst-Limit" dolog meghaladta a fórum tagok ismereteit :-))

Sziasztok!

Van valakinek tapasztalata Mikrotik VPN (L2TP+IPSEC) kapcsolattal?

Röviden a probléma: A Mikrotik routerbe kellene kapcsolódnom L2TP-n keresztül IPsec titkosítással. A kapcsolat látszólag odaáig jut el, hogy az IPsec felépül majd kidob.

"Egy rossz óra is naponta kétszer jó időt mutat"

Nem használok VPN-t.
Próbálj meg érdeklődni hivatalos fórumon.

Pedig viszonylag egyszerű a gondolat menet. Ha tiltó listás ne engedd be,
2. Ha az ftp szerverről az adott válasz jön, engedd be adott ideig
3. Idő után rakd tiltó listára.

A tűzfal szabályok kiértékelése az első illeszkedő szabályig tart, azaz
Pár próbálkozásig be kellene engedje a csomagokat. Én használom ezt, de
Nem teljesen így. Több lépcső után titulálom behatolónak,
Azaz a beengedő szabály előtt van egy add a gyanús listához, ha eddig nem volt az, majd
További próbálkozás után, beteszem a nagyon gyanús listába, de ennek
Már az is feltétele, hogy gyanúsnak kell legyen, stb. Majd a legvégén a tiltó
Listára teszem, de csak 1 napra, mert lehet , sőt majdnem valószínű, hogy másnap
Már nem az az ip címe

Remekül működik, az ssh betörési kísérletek száma drasztikusan
Lecsökkent, kb az ezredére!, napi 100 ról, 10 naponta 1 re..

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Hali Bacus!

A Tűzfal szabályok kiértékelésének menetét nagyjából ismerem/ismertem. Számomra a "gondot" a "Dst-Limit" működése okozta. Mivel választ nem kaptam a működésére, elkezdtem a dologgal játszani. Jelenleg (idő hiányában) ott tartok, hogy a "Limit" már játszogattam egy kicsit. Amit én félreértettem mind a "Limit" és mind a "Dst-Limit" kapcsán az a konkrét működése. Ugyanis egy 20/1min beállítás esetében, én azt hittem, hogy ez azt jelenti, hogy 20db esemény fér bele percenként, és utána jön a következő szabály. Valójában ez egy sebesség érték. Azaz 20db/perc sebességet figyeli :-)) Sajnos a "Burst" érték kezelését még mindig nem sikerült megfejtenem :-((
Amit hiányolok a három soros tűzfal-szabályban, hogy csak az első sorban definiálja a TCP protokoll mellett a 21-es port számot (bár végül is így is jó lehet):

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h

Annyit mindenesetre már csiszoltam a dolgon, hogy én első körben ellenőrzöm a protokollt (TCP) és a hozzá tartozó portot (21), és ha ez teljesül akkor egy külön "Chain" használok a további feldolgozásra (action=jump). Számomra könnyebben érthető és átlátható. Egyébként a te általad leírt több lépcsős feldolgozás sem rossz ötlet :-)

Hi!

Kihajlok ezen a Ip/Firewall/Filter részen
Már azt hittem sikerült megfejtenem a "limit" működését, de most vhogy csak nem úgy működik, ahogyan én szeretném.
A következőket adtam meg:

/ip firewall filter
add action=jump chain=input comment="ICMP feldpolgozas" disabled=yes \
jump-target=icmp-chain protocol=icmp

Ez a legelső szabály, majd ezt követi jónéhány más szabály, de nem erre vonatkozóa.
Majd a végén a 3db Ping-re vonatkozó szabály.

add action=drop chain=icmp-chain comment="Ping-Block Part1" disabled=yes \
protocol=icmp src-address-list=ping_blacklist
add chain=icmp-chain comment="Ping-Block Part2" disabled=yes icmp-options=0 \
limit=10,10 protocol=icmp
add action=add-src-to-address-list address-list=ping_blacklist \
address-list-timeout=5m chain=icmp-chain comment="Ping-Block Part3" \
disabled=yes protocol=icmp

A célom az lenne, hogy korlátozzam az egységnyi idő alatt lehetségek ping-ek számát. Jelen beállításban Rate: 10/sec
Burst: 10
Jelenleg az első ping után bekerülök a tiltó listába (ping_blacklist). Állítottam a Rate értékét már 100/sec-re, 1000/sec-re, de ugyan az :-(
Valamit nagyon elkoncentrálok.

Megoldva: nagyon elkoncentráltam :-)))