"Route-olás nélkül" - mármint a kliensen route hozzáadás nélkül. A fenti példában pl a mikrotik routeren egy dst-nat szabály, ha l2tp interfaceről jön és 3389, akkor az a 192.168.0.3-ra menjen, e mellé egy src-nat, hogy a l2tp interface felé masquarade kell, és máris a becsatlakozott kliens a 192.168.1.1 (ha ez a router ip cime), rdp-zve valójában a 0.3-as gépet éri el.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Értem mit mondasz, és már azóta látom hogy a gépen a net miért megy át az otthonira.
Gyakorlatilag mikor létrejön a vpn kapcsolat le kapcsolja a lanon a nettemet. De ez végülis nem gond. A gond hogy nem látszik a tuloldalt lévő gépem. igazándiból a fájl megosztás kéne, a megosztott mappákat kéne elérni. Esetleg kamera rendszert. Bár kamerát el tudom érni más módon is mert fix ip címem van és így nyitottam neki portokat. De ami érdekes kamerát is elérem és a megosztott könyvtárakat is az androidos telefonomról, vpnen keresztül. Persze a média lejátszó már nem éri el a gépeken lévő mappákat. A munkahelyi gépem meg semmit sem ér el az otthoni hallóból. De a kapcsolat létrejön.
Megnéztem egy csomó videót, de ott sem állítottak be többet mint én. Na persze ök helyi hálón tesztelték ami otthon jó is tényleg csak mikor kintről akarom elérni akkor nem látok egy gépet sem. olyan 15 éve mentek még ezek a dolgok de azóta már sok mindent el felejtettem, és meg változott.

A demokrácia azt jelenti, hogy mindenkinek lehetősége van a híd alatt aludni!

15 éve sem mentek másképp a dolgok, illetve akkor még minden szarabb volt.
A tcp/ip régebbi találmány 15 évnél, samba is volt már akkoriban, sőt az xp-n is volt tűzfal, még ha nem is volt olyan erőszakos mint win10-en.

A fájlmegosztás több portot is használ, illetve az ottani tűzfal letilt mindent ami nem a saját subnetjéből van. Egy win10 tűzfal alapból még a pingelést is tiltja még saját subnetből is, de idegenből meg pláne.

A tesztelés idejére tiltsd le az elérni kívánt gépen a tűzfalat, mindet, az utólag felrakott nod32, meg avast meg hasonló szarokat még inkább !
Ha jó a route, akkor ip alapon el fogod tudni érni a géped.

A \\gepnev wins szerver nélkül nem fog menni automatikusan, de megkerülheted, mert amennyiben IP alapon megy pl \\192.168.0.3 nál megjön a megosztás, akkor a külső gép hosts fájljába beirva már menni fog név szerint is. (de ezt is kézzel kell minden külső gépen, mig a belső hálózaton a gépeket fixre kell tenni...

Ha nem megy valami, de szeretnéd és nem ragaszkodsz az ingyenességhez, akkor írj rám privátban, megbeszéljük, vagy távolról megoldom akár.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

A routerként funkcionáló eszköz vezetéknélküli hálózatát is rá lehet bízni a capsmanra, vagy csak a külsőleg csatlakoztatott eszközöket lehet vele vezérelni?

Van annak esélye, hogy telefonok/chromecast azért ugrál le a konyhában elhelyezett cap-ról, mert még valamennyire fogni a nem capsman által vezérelt, de azonos névvel/jelszóval ellátott vezetéknélküli router hálózatot?

[ Szerkesztve ]

Igen, azt is hozzá lehet adni a capsman-hez.

a kliensek nem tudják hogy capsman vagy sem, nekik név / jelszó számít, ha az ugyanaz, akkor jelerősség szerint váltanak köztük. az persze előfordulhat, hogy adott eszköz nem akar leszakadni a gyengülő jelről, ezt egyébként tudod szabályozni, az Access List részben tudsz szabályt felvenni, a Signal Range opció fog kelleni.

a Chromecast esetében inkább az lehet probléma, ha nem kapcsoltad be a Client-to-client forwardingot, ezt a Capsman Datapathban tudod bekapcsolni

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

És hogy? Mert nekem nem megy. Ugyanúgy requestet kell kérni a tanusítványhoz, vagy ki kell választani a capsmant manuálisan? (bár próbáltam mindkettőt) Figyelnie a bridge-en kell gondolom. (bár azt is próbáltam még wlan1-re is lőni) Nem?

(#10306) Lenry: Köszi, ezt pótoltam. Meglátom holnap hogy teljesít.

MÁS: A topikban nem találtam hasonló problémát, de hátha valaki belefutott már abba, hogy a Netflix TLS hibákat dobál. A Vivaldi még csak-csak kiküzdi magából időnként, de a Firefox alatt kategorikusan megállunk a TLS handshakenél Windows és Linux alatt is. Okozhatja ezt az IPv6?

Sziasztok,
ubiquiti amplifi hd szerűséget keresek, olcsóbban Ide küldtek, tudtok segíteni?
Nem baj ha nem ennyire csincsa és nem ennyire mobilapp meg minden, csak legyen atom stabil, mert a mostani Asustól már a falat kaparjuk.

5-7 wifi eszköz, 2 UTP és 1 TV lógna rajta (4k - wifin).

nem kell nagy területet lefedni.

Köszi!

Ha a hangya saját súlyának 50x -esét bírja el, akkor 10g hangyát le lehet küldeni egy sörért :)

A kliens ugyan nem tudja, hogy capsman vagy sem, de a szakadásmentes roamingnak jót tesz ha az összes rádió capsmanban van.

(#10308) Nikla
Pedig az Asus routerek általában az ajánlott típusok közt vannak, persze nem mind.
hAP ac2 valószínűleg tökéletesen kiszolgál ha Mikrotiket szeretnél.
"Milyen routert?" kérdésekre van külön topic is.

nem muszáj a tanúsítvány (annak akkor van jelentősége, ha több capsman is van a hálózatodon vagy ki akarod zárni az esélyét, hogy egy támadó egy második capsmant futtatva átvegye az ellenőrzést az AP-id felett)
Discovery Interfaceben kiválasztod a belső hálózatos bridged (vagy amilyen interfacere ki van adva a capsman) és kész, lock to capsman sem kell.

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Na itt akár none van a certificate-nél, akár request, akár egy konkrétan kiválasztott tanúsítvány, a wifijel azonnal eltűnik, amint az véglegesítem. És nem tér vissza.

Capsman-ban még hozzá kéne adni explicite az antennát, vagy megjelenne magától?

antennát nem kell hozzáadni, ha a capsmanben van rá találat, annak működnie kell.
capsmanben van valami szűrés, amire esetleg nem passzol az AP? ha bekapcsolod arra az eszközre, akkor a wirelessnél megjelenik, hogy managed by capsman?
logban látszik valami releváns?

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Wirelessnél megjelenik, viszont capsmanben nem tudom hol kellene egyáltalán akkor megtalálnom. A cap2-höz csak a másik cAP tartozik és ha abban scannelek, akkor csak a környékbeli wifi eszközöket mutatja (ami nem meglepő, mert a hAP 2G-s antennája ilyenkor nem megy), a remote cap és a radio esetében ugyanúgy csak a cAP jelenik meg.

(#10309) jerry311: Én is ASUS-ról menekültem át (AC57U). Kilehet belőlük is fogni problémásat, pláne, ha az embernek nem hobbija a routerrel vacakolni napi szinten.

[ Szerkesztve ]

Ha jól emlkszem akkor a capman eszköz wifi portjai ne legyenek bridge-ben. És a túzfal szabályokban engedni kell, hogy saját magához csatlakozzon.

Hibás mindenből van.
Az első Mikrotikem kb. két hónap után cserélni kellett.

Sziasztok,
Vasaroltam egy RB750Gr3-at, volna par kerdesem ez az elso mikrotikem, de kezdek egy egyszeruvel.
Hogyan jobb konfiguralni az RB750Gr3 portokat, a quick sett-bol automatan bridge modba kerulnek a portok vagy inkabb ne hasznaljam a quick settet es konfiguraljam switch modba a routert?

Koszonom!

És ahhoz nekem kell hozzáadni a tűzfalban a szabályt, hogy tudjon magához csatlakozni?

" topikban nem találtam hasonló problémát"
akkor nem jól kerested ! 99%, hogy a kis mtu okozza, én szívtam vele valamikor év elején, igaz nem a netflix hanem a kormány oldalak nem mentek az ügyfelemnél.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Igen, neked kell.

Valami ilyesmi:
/ip firewall filter
add action=accept chain=output dst-address=127.0.0.1 port=5246,5247 protocol=\
udp src-address=127.0.0.1
add action=accept chain=input dst-address=127.0.0.1 port=5246,5247 protocol=\
udp src-address=127.0.0.1
/interface wireless cap
set caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1

A bridge beállítások így néznek ki. 1500 fölé kellene emelni? Vagy pont ez túl nagy?

(#10320) jerry311: Köszi! Megpróbálom.

Viszont most észrevettem, hogy hiába 1500 a bridge esetében az MTU, a PPPoE esetében már 1450. Melyiket érdemes megváltoztatni? Vagy egyikhez se nyúljak így?

szerintem a PPPoE-t ne piszkáld, mert ledobhat a szolgáltató

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Ez végül bevált, köszönöm szépen!

(#10323) Lenry: Okés. Akkor a bridge esetében csökkenteni kellene 1450-re? Vagy elég, hogy a PPPoE-féle 1450 belefér a bridge által biztosított 1500-ba?

a válasz nagyon egyszerű: a poe mtu-ját NEM TUDOD megváltoztatni.
az összes gépen kisebbre kell venni az mtu-t, ami ezen a vonalon megy ki.
annak, hogy a bridge-n leveszed az mtu-t, nem sok értelme van.
egyébként clamp-mss-t szoktak használni, viszont az egyes titkosításokat tönkrevág.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Köszönöm! A jelek szerint bevált. Csak nem volt elég az IP fül alatti firewall menüben hozzáadni, hanem az IPv6 esetében külön hozzá kellett adni.

Egyébként az IPv6-os tűzfal teljesen üres. Hozzá kellene adnom ugyanazokat a szabályokat, mint az IPv4 esetén, vagy ez így normális így?

Továbbá, ha már itt tartok, érdemes külsős DNS szolgáltatót megadni, vagy a DIGI is támogatja a DNS Sec-et?

Ja, ha vannak IPv6 szabályok az segít, hogy ne legyen átjáróház.

ha az ipv4-es tűzfalad teljesen üres, akkor semmi sem működik.
ha az ipv6-os, akkor minden működik.
ez szöget üthetne a fejedben, hogy mit okoz, hogy v6-on nincs nat.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Sziasztok, melyik mikrotik a lebjobb a wifi szórásban? Családi ház 100nm 1 szintre.

Hja kérem az élet nem egy habostorta

1 szintes 120 m^2-es családi házamat lefedi a hap ac^2

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Ha csak AP kell a wAP ac a személyes kedvencem.

Nem komplett megoldás, router+wifi. 4011-es 4 antennás már tulzás lenne?

Hja kérem az élet nem egy habostorta

A wifis 4011-el voltak korábban problémák. Ha már erre lenne kereted és a wlan lefedettség a lényeg, akkor inkább hap ac2-t vennék(capsman) + 1-2 db cap ac-t és még árban mindig egy cap ac-val bentebb lennél. Attól, hogy 4 antennája van a wlanos 4011-nek, nem azt jelenti hogy gyorsabb/jobb is lesz. Ezt több eszközzel oldanám meg, 1 db erőből helyett, mert nem tudjuk mennyire zajos a környéked stb. és hiába írja más, hogy neki jó ugyanakkora alapterületre, másak a falak, környezet stb.

"Got any other secret weapons?"

Hát köszönöm a segítséget. A dolog meg oldódott. Tényleg a windows 10 tűzfala volt a ludas. Az SMB fájl megosztást engedélyezni kellett benne. És mindjárt ment is. Sőt az internet is meg oldódott, csak a kliens gépen azaz munkahelyin, SplitTunneling -et kellet enabledre kapcsolni, bár ezt még nem tudom hogy androidon lehet e valahogy megoldani. Gondolom nem. a 7 android alapon tudja hogy saját netet használ de a 9 android már szórakozik. de végül is el bírja az otthoni optikai kábel.

Így most telefonról is médialejátszóval nézhetem filmeket anélkül hogy át kéne töltenem őket. De akár számítógépről is. Igazándiból az zavart meg a dologban hogy a droidon az X-Plore fájl kezelő elérte a gépeket, ami azért érdekes mert az is smb2 használ, bár gyanús volt hogy a vlc player meg nem érte el ami szintén smb2 használ. Ezért nem is gondoltam a tűzfalra. De mindegy ez egy megoldatlan rejtély marad hogy a file kezelő miért érte el a fájlokat.

A demokrácia azt jelenti, hogy mindenkinek lehetősége van a híd alatt aludni!

Nagy baj van,
Amint mar fentebb irtam ez az elso mikrotik routerem es jelen pillanatban a quick set-et hasznaltam az elso konfiguralashoz, vpn-t is akarok hasznalni.
De ma latom, hogy valakik be akartak torni a routerbe
Ez jol kezdodik....

Mit tudok csinalni?

[ Szerkesztve ]

Huh, fura fogalmaid lehetnek a "nagy baj" ról.

Mi ezzel a probléma? Be akarnak jönni... és? betudtak? Miért nem teszel ellene ha zavar a próbálkozásuk? Ez egy mikrotik router, számtalan megoldás van ellene, port knocking-tól az egyéb egyedi script, tiltó lista, stb. Itt többször volt róla szó.

"Mit tudok csinálni?"
- igy hagyod
- teszel ellene (visszaolvasol, választasz egy szimpatikus megoldást és megvalósítod)

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Fura nekem,
Eddig egy Asus AC66U-ot hasznaltam (most az AP modban van a wi-fi miatt), ott nem igazan vettem eszre ilyent, lehet csak nem irta ki, nem tudom.
Tenni mindenkepp akarok ellenuk.
Ezt csinaltam eddig, ez igy eleg?

Kezdetnek ez is elég. Ha rutinosabb leszel, teszel mást is 😁

Nem a router típusa miatt kezdtek el most támadni, valószínűleg eddig is mentek a próbálkozások, csak a boldog tudatlanságban éltél.
A legtöbb próbálkozás a routerre irányul, ezért én az input chain-ben próbálom ezeket szűrni. És kézzel elég macera lesz, mert elég sok IP cím lesz, amit be kellene írnod.
Én ezzel próbálom megoldani:
 6    ;;; Drop IP from Blacklist
      chain=input action=drop src-address-list=blacklist log=no log-prefix="" 
 8    ;;; Block IP address that attempted to create 3. VPN/SSH/Telnet connections
      chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bl_attempt_2 address-list=blacklist address-list-timeout=1w3d dst-port=1723,22,23,50022 log=yes log-prefix="Added to blacklist" 
 9    ;;; Block IP address that attempted to create 3. VPN/SSH/Telnet connections
      chain=input action=add-src-to-address-list connection-state=new protocol=udp src-address-list=bl_attempt_2 address-list=blacklist address-list-timeout=1w3d dst-port=1723,22,23,50022 log=yes log-prefix="Added to blacklist" 
10    ;;; IP address that attempted to create 2 VPN/SSH/Telnet connection
      chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bl_attempt_1 address-list=bl_attempt_2 address-list-timeout=10h dst-port=1723,22,23,50022 log=no log-prefix="" 
11    ;;; IP address that attempted to create 2 VPN/SSH/Telnet connection
      chain=input action=add-src-to-address-list connection-state=new protocol=udp src-address-list=bl_attempt_1 address-list=bl_attempt_2 address-list-timeout=10h dst-port=1723,22,23,50022 log=no log-prefix="" 
12    ;;; IP address that attempted to create a VPN/SSH/Telnet connection
      chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=bl_attempt_1 address-list-timeout=1h dst-port=1723,22,23,50022 log=no log-prefix="" 
13    ;;; IP address that attempted to create a VPN/SSH/Telnet connection
      chain=input action=add-src-to-address-list connection-state=new protocol=udp address-list=bl_attempt_1 address-list-timeout=1h dst-port=1723,22,23,50022 log=no log-prefix="" 

Köszönöm az útbaigazítást!
Ertem, hogy amit felsoroltal peldanak az mit fog eredmenyezni, hogy 3 vagy 2 probalkozas utan automatikousan fekete listara kerul az IP cim amirol probalkoznak.
Csak azt nem tudom ezeket en, hogyan hozzam letre a Terminalba vagy a Firewall ablaknal egyenkent.
Probalkozom, jo dolog a "safe mode" log-out minden nullazodik igy lehet nyugodtan tesztelgetni.

én a saját routereimnél úgy kezdem, hogy egy jó nagy listát ami évek alatt összegyűlt, eleve tiltok. Ezek nem érhetnek el, talán a https web kiszolgáló működik, de van ahol az sem.

Amikor jön új spam pár darab, akkor (persze nem egy kósza spam után) sokszor az egész 16-os netmaskját tiltom. Ez a related accept után van, ezért ha én tévednék az ő web oldalára, akkor megjön a válasz..., tehát én elérem őt.

Van script (volt itt a fórumon, de biztos beteszi neked valaki) ami összegyüjti a magyar ip cimeket és ráteszi egy listára. Ha elég, hogy csak innen van vpn, akkor csak onnan engedsz be bárkit, másnak zárod a portot.

szépen ki fog tisztulni a log.

Egyébként a vpn-felől jövő kapcsolatokat is mindig másik alhálóba rakom, minden onnan nem érhető el, csak az amit adott user el kell érjen. Igy pl ügyfeleket is le tudom szeparálni. Ha valaki végig scannel, bekerül egy logba, majd nagyobb figyelmet.
A vpn userek soha nem kapnak netet. Nekem ez bevált eddig.

Ja és adamo_sx megoldása is tökéletes. Itt csak arra kell figyelj, hogy egy szakadozó net is kibannolhatja a klienst, tehát kellhet mellé port knocking, amivel törlöd az ilyet a blakclistről.

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Sziasztok!

Szeretnék egy alkalmazáshoz egy dedikált szervert futtatni a gépemen. Csak egy rövid időre, teszt jelleggel, szóval nem szeretnék semmit 0-24-ben üzemeltetni.

A szerver futtatásához nyitnom kellene portokat a routeren, hogy a kliensek tudjanak csatlakozni. Na most én nem szeretném a teljesen jó bekonfigurált routerem beállításait széttúrni, plusz annyira bonyolultnak találom a portforwarding részt, hogy jó sokat kell meditálnom rajta, hogy most mi a destination ip és társai.

Viszont eszembe jutott, hogy van ez az UPnP beállítás a routeren. Ha simán csak bekapcsolom (mondjuk a quick set oldalon), akkor ez jól tudom, hogy azt eredményezi, hogy az összes szolgáltatás, aminek portra van szüksége, addig kinyithatja magának, ameddig fut?

Ez a beállítás akkor megoldaná a problémámat? Arra a rövid időre, amíg kipróbálnánk ezt a szóban forgó szerver alkalmazást, bekapcsolnám az UPnP-t és akkor minden működne, majd ha végzünk a teszteléssel, akkor kikapcsolom?

Vagy milyen egyéb megoldást választanátok?

Előre is köszönöm a segítséget!

Rip and cut and mutilate the innocent, his friends, and again and again and on and on.

"Na most én nem szeretném a teljesen jó bekonfigurált routerem beállításait széttúrni"

A quick set-tel pont azt fogod csinálni, ha már egyszer is le okézol ott bármit. A kulcsszó: Backup

Files --> Backup, a létrejött file-t lemented a gépedre, majd amikor már nincs szerver, akkor Files --> Restore (ha törlődött közben a backup file, akkor felmásolod a gépedről értelemszerűen)

Ha nagyon biztosra akarsz menni, akkor egy "export file=[bárminév]" terminálban lefuttatod és a végeredmény .rsc file-t szintén lemented a saját gépedre.

Én így csinálnám.

[ Szerkesztve ]

"Got any other secret weapons?"

Okés, ez jó ötlet, köszi szépen!
Viszont akkor az UPnP bekapcsolásával azt a hatást fogom elérni, amire számítok?

Rip and cut and mutilate the innocent, his friends, and again and again and on and on.

Szerintem inkább nézegesd azt a port forward beállítást még egy kicsit, annyira azért nem vészes megcsinálni.

Akár a Winboxban, akár a terminálban csinálhatod, mindkettőben megoldható, amelyik szimpatikusabb. Ha rákeresel itt a fórumban, az egyik tagtárs készített egy leírást a kezdő beállításokról, azt mindenképp érdemes átfutni.

@bacus: Csak én használom a VPN-t, úgyhogy észben tartom a "korlátozásokat", illetve amikor sikerül belépni, akkor egy script törli az aktuális IP-t a feketelistáról, így a belépés után "tiszta lappal" kezdek.

Pár hete próbálok beüzemelni egy "Wap Ac Lte Kit" cuccot, de el-el felejti a konfig egy részét újraindítás vagy táp elvétel után.
Ez a konfig elfelejtés konkrétan annyit tesz, hogy az "Ip / Firewall / Address-List"-ben szereplő összes tétel eltűnik :-(
Jelenleg (egyelőre) Magyar (HU), Holland (NL) és Kínai (CN) IPv4 címlistát használnék, de ha mindhármat betöltöm, akkor újraindítás után mindent kiürít (más listákat is , pár darab van még ezeken kívül).
Ami furcsa még nekem, hogy a "Flash"-re nem nagyon tudok mentést csinálni, csak a memóriába. Elvileg ez is elegendő, de ez az első 16 MB Flash-el rendelkező Miki aminél ez nem fasza (és már legalább 30 db-nál ez nem volt gond).
További érdekesség, hogy a "System / Resources" alatt a "Total HDD Size : 15.3 MiB". Ez normális?

[ Szerkesztve ]

Az address listben a sor előtt nincs 'D' flag?