Voilá:

C:\Users\csusza>tracert www.index.hu

Tracing route to www.index.hu [217.20.130.99]
over a maximum of 30 hops:

1 <1 ms <1 ms 1 ms 192.168.1.1
2 2 ms 2 ms 2 ms 145.236.238.26
3 4 ms 4 ms 4 ms 81.183.3.144
4 4 ms 4 ms 4 ms 81.183.3.145
5 5 ms 6 ms 6 ms 81.183.2.237
6 4 ms 4 ms 4 ms 195.56.20.177
7 4 ms 7 ms 4 ms index.hu [217.20.130.99]

Trace complete.

Most egyébként újraindítottam a routert, mert kíváncsi voltam, hogy a no-ip DDNS befrissíti-e a címet... Router hiába írja, hogy befrissítette a címet, de nem... Semmi.

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

Csak egy hirtelen ötlet: nem lehetséges, hogy T-Home-os router mögött vagy privát IP-n, nem pedig direktben a DSL "kijáraton"??? Mit mond a ddns szolgáltató az IP-dről? A privát IP-t elfogadja, mégha nem is tudod használni sztem...

Azt hiszem, meg is van a probléma, megleltem a neten...:

"Utóbbi időben megnövekedett azon T-Home előfizetők közül kikerülő ügyfeleink száma, akik segítséget kérnek, mert IP kamerájukat nem tudják elérni távolról. Hiába van DynDNS ill. No-IP vagy gyártói DDNS hosztnév az internet előfizetésen aktiválva, az IP kamera akkor sem érhető el a távolból. Pedig állításuk szerint semmit nem változtattak sem a kamera, sem pedig a router beállításai között.

Az IP kamera továbbra is a régi beállítások mellett működik, a router pedig végezné tevékenységét, ha tudná. De sajnos nem tudja...

... mert a Telekom az összes előfizetőjét NAT-olt hálózatra helyezte úgy, hogy érdemben nem sikerült róla értesítenie az előfizetőit. Ez a módszer már megszokható volt a T-től. Ha küldtek is a változtatásról értesítést, az előfizetők többsége bizonyára nem értesült róla, ahogy sok más egyébről sem, mert a Telekom csak a saját maga által biztosított e-mail címekre hajlandó értesítéseket továbbítani.

Ideje lenne már felébredniük, hogy az előfizetőik jelentős hányada soha nem használja a T-s e-mail címét. Nyugodtan felvehetnének a felhasználók kontakt táblájához egy plusz mezőt az adatbázisukban, amelyben a valóban használatos e-mail címeket tartanák nyilván. Úgy még sikerülne is a kommunikációjuk saját ügyfeleikkel.

De vissza a megoldáshoz.

Ha felhívjuk a 1412-es telefonszámot, véletlenül se érdeklődjük az ügyfélszolgálaton ilyen jellegű probléma megléte felől, mert azt sem tudják, mit kérdezünk. Lövésük sincs az egészről, de még csak körlevelet sem kaptak, hogy bármi változtatást végrehajtottak volna. Tudjuk, hogy nem tudják //, mert kipróbáltuk. Aztán jön a célravezető hívás: jelentsünk be hibát. A hibabejelentési hívásunk már technikai kollégánál landol, aki készséges és természetesen tisztában van a probléma természetével, azaz hogy minden előfizető lába alól kihúzták a talajt, ill. az IP kamera távoli elérése alól a publikus IP címet.

Szóval jelentsünk hibát, amelyet azonnal "javítanak", azaz kiveszik a NAT-olt hálózatból az ügyfelet és máris lesz ismét dinamikusan változó IP az IP kamerák távoli eléréséhez a modem és router újraindítását követően.

Sok sikert és jó szolgáltató váltást mindenkinek!"

http://onlinecamera.net/ip-kamera-nem-erheto-el-t-home-elofizetes-alol

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

Ezt egyszerűen tudod ellenőrizni.megnézed a routered wan ip-jét, majd beírod a google-be hogy my ip.
Ha a kettő nem egyezik NAT-olt hálózatban vagy.
Bár az IP címed tartománya nem erre következtet. Kelet MO-n a 10-es tartományba helyezi a T a NAT-olt ügyfeleit, mielőtt megkapják a WAN ip-jüket.
Pont a kamerarendszerek miatt tudom, mert rengeteget háborúztam a T-vel az utóbbi 2hónapban, rengeteg ügyfelemet tették át értesítés nélkül. Illetve a Dyndns frissítési hiány jelentkezett nem NAT-olt hálózati cím esetén is T-nél. erről írtam is a hálózatokról alaposan témakörben.

Kedden fightolok velük egy sort, aztán meglátjuk...

Addigis lenne még egy kérdésem: VLAN esetén tudja-e esetleg valaki, hogy menedzselt switch-en lehet-e VLAN-t végeztetni úgy, hogy a switch megadott két portján menjen ki a VLAN?
Konkrétan egy Mikrotik routerben 4-es VLAN taggel van létrehozva egy hálózat(192.168.4.x), amely kimegy egy 48portos AlliedTelesis switch-re, aminek a 46-47 portjára kéne ráakasztani két eszközt, amik ezt a 4.x IP-t kapnák meg... Lehet kicsit bonyolult, de nem akarok a switchre még két eszközt switchet ráakasztani, ha nem muszáj.

[ Szerkesztve ]

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

cloud ddns nálam sose ment menüből (digis net,szétfolytkondis RB433 - 6.32.3) , de külön scriptet berakva már igen:

#some Variables
:local hostname [/ip cloud get dns-name]

#resolve current dns-address
:local resolvedIP [:resolve "$hostname"]

#get current external IP
tool fetch mode=http url="http://myip.dnsomatic.com/mypublicip.txt"
:delay 1
:local currentIP [/file get mypublicip.txt contents ]
/file remove "mypublicip.txt"

# Determine if DNS update is needed
:if ($currentIP != $resolvedIP) do={
:log info ("Mynetname update needed: Current-IP: $currentIP Resolved-IP: $resolvedIP")
/ip cloud force-update
} else={
:log info ("Mynetname: No update needed ($currentIP=$resolvedIP)")
}

Ezt rakd be egy scriptbe, semmit nem kell benne átírni. Annyi hogy fusson 5-10 percenként vagy amikor akarod. Ugyan úgy sorozatszám.sn.mynetname.net nevet frissít.

[ Szerkesztve ]

Vintage Story PH szervere újra fut!

Nem csekkoltam, de sztem tuti mennie kell. Én Cisco WAP4410N-Mikrotik viszonylatban sikeresen beüzemeltem. Tehát jó esélyt látok a kompatibilitásra, amennyiben minden eszköz képes "olvasni" a taggelt vlanokat!

[ Szerkesztve ]

Na majd akkor próbálkozunk vele.

MasterDeeJay: köszi, kedden telefonálok egyet a Tré hibabejelentőnek, de kipróbálom azért ezt is majd. Mondom, fura ez, mert a no-ip-t sem frissíti, gyanítom így a Mikrotik scripttel sem tenné.

KÉRDÉS, ha már Mikrotik topic: égen-földön nem találtam SEHOL eladó, működőképes RB532-t. Nincs valakinek esetleg eladó, vagy valami forrás, ahol talán lehet?

[ Szerkesztve ]

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

Köszönöm (a többieknek is), végül ezt a megoldást választottam.

Van ddns-em, be tudok lépni kívülről a routerembe. Ez eddig megy.

Viszont, hogy adom hozzá a NAT szabályban a Dst. address listhez a current_IP address listet?

Ha beírom, hogy current_IP, akkor bemásolja ugyan az élő ip címet, viszont ha frissül, akkor itt már nem frissül automatikusan. Egészen biztosan elrontok valamit, most kezdtem csak jobban beleásni magamat a mikrotikbe.

Valamint a plex ugyan kiírja (a package újraindítása után), remote access-nél hogy "Fully accessible outside your network", de alul a server mapping elbukik. Mobilneten teszteltem, a telefonon a router bejött, de a plex nem működik.

Update: pár frissítés után valid IP-vel a remote accessnél is elbukik újfent.

Még egy dolog, ami feltűnt: amióta kitettem a routert, a logban látom, hogy folyamatosan próbálnak bejutni telneten és ssh-n keresztül. Admin user név megváltoztatva, illetve a jelszó is a bonyolultabbak közül való. Elég ennyi biztonsági óvintézkedés, vagy miket szokás ilyenkor csinálni?

Alapértelmezetten a 80-as portra tette, esetleg ezt kéne még átírnom?

Monnyuk tiltsd le a telnetet és az ssh-t. Vagy Adj hozzá egy tűzfalszabályt, hogy ha nem LAN-ból érkezik a csomag, akkor dobja el őket.

Javaslom ennek a szabálynak a felvételét.

Valamint ennek az oldalnak a tanulmányozását.

[ Szerkesztve ]

Proxy5

Sziasztok!

Site-to-site VPN-t szeretnék MikroTik és pfSense között úgy, hogy a MT-nek dual WAN-ja van 2 db fix IP-címmel. A pfSense-nek pedig 1 db WAN-ja van 1 db fix IP-címmel.

Cél az, hogy a két eszköz mögött lévő LAN hálózat lássa egymást VPN-en keresztül.

pfSense lenne a VPN szerver.
MT pedig a VPN kliens.

Kérdésem az első sorban, hogy mennyire necces megcsinálni?
Következő (pongyola) "megoldásra" (?) gondoltam:

Az MT oldalán a DualWAN-t megoldom scripttel.
VPN esetében pedig MT felől kialakítok két VPN kapcsolatot a pfSense felé.
Így ha lehal az egyik WAN az MT-n, akkor a másik még élő WAN (és VPN) kapcsolaton még látná a távoli helyi hálót.
Elsősorban OpenVPN-el szeretném megoldani a VPN-t. Ismer valaki valamilyen hátrányt MT esetében, ami miatt inkább OpenVPN-t ne?
Illetve életszerű-e a fentebbi felvázolás? (Még bennem sem állt össze teljesen a dolog...)

Köszi az esetleges hozzászólásokat előre is.

"Monnyuk tiltsd le a telnetet és az ssh-t. Vagy Adj hozzá egy tűzfalszabályt, hogy ha nem LAN-ból érkezik a csomag, akkor dobja el őket."

Szerintem még csak tűzfal szabály sem szükséges. Minek lassítani/terhelni a routert. Egyszerűen csak megadod, honnan érhető el ezekkel a szolgáltatásokkal a router:

Köszi, fel is vettem ezt a pár szabályt.

Tudom, nem mentesít a tudás alól, de sajnos folyamatosan szétesett a TP-Link router, így egy quick setupos konfiggal indítottam útjára a mikrotiket, mert kellett a net. Időm viszont sajnos nem nagyon van/volt utánajárni mindennek, megérteni, megtanulni stb.

Most minden nap sikerül valami apróságot megoldani. Egyszer talán sikerül a végére érnem és megtanulnom végre.

A Plex-re van esetleg egyéb ötleted, hogy mit tudnék kezdeni vele? Elvileg most mindent úgy csináltam, ahogyan leírtad, de nem működik sajnos. Találtam egy ilyet: [link] de én ebből csak a média szervert használom kintről, szóval gondolom elég ha azt a portot felviszem (meg is tettem).

Nos, ha nem megy automatikusan a plex remote access, akkor próbáld így:

Valamint ahogy itt is írják ez a lényeg:
Manual Port Forwards for Multiple Servers
If you have more than one Plex Media Server to connect, you will need to choose a unique external port number for each one. To do this:
Choose a different unique port number for each of your Plex Media Servers
Remember, you must use a different WAN/external port for each Server connection you want to have here. For instance, you could use ports 32401, 32402, etc.
Forward that unique external port number to LAN/internal port 32400 for the local IP address of the corresponding computer running that Plex Media Server - follow the previous instructions
For example, imagine you have two computers running Plex Media Servers and their internal IP addresses are "192.168.1.11" and "192.168.1.22". In that situation, you might set up forwards such as:
Server 1
IP Address: 192.168.1.11
WAN/External Port: 32401
LAN/Internal Port: 32400

Server 2
IP Address: 192.168.1.22
WAN/External Port: 32402
LAN/Internal Port: 32400

Ha így sem megy, akkor csinálj nekem egy usert a routerben read joggal és segítek!

Proxy5

Sziasztok!

Mikrotik VPN-nel kapcsolatos kérdésem lenne.
Van egy router, ahol adott egy készre beállított VPN server. A rendszer egyébként elég komplex, 3 alháló, 2 VLAN...
Ez a VPN server egy teljesen független 10.20.0.x IP tartományba dobja be az emberkét a megfelelő felhasználónévvel és jelszóval. Ezek rálátnak a 192.168.1.x tartományra, ami így önmagában királyság, mert ezzel nem kell semmit csinálni - így vettük át a rendszert.
Semmi más nem utal arra, hogy ennek egyébként a 192.168.1.x hálózatba kell rálátnia, mint hogy a tűzfalszabályoknál van egy ilyen, hogy Chain: forward Src. Address: 10.20.0.0/24 és a Dst. Address: 192.168.1.0/24.
Na most nekem kéne egy olyan, hogy egy másik VPN serveren, mondjuk 10.20.1.x -> 192.168.4.x-re. Egy teljesen leválasztott alhálóra dobja be az emberkét - arra a VLAN-ra, amivel a múltkor szenvedtem.
Jól gondolom, hogy akkor megcsinálom a 10.20.1.x VPN szervert, a tűfalszabályoknál pedig egy forward-ot, lemásolva a másik beállításait?

Remélem érthető.

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

Sziasztok!

Otthoni felhasználásra milyen router ajánlanátok? A lényeg, hogy stabil, gyors és nagy legyen a jelerőssége. Illetve jelenleg egy TP-LINK 542G és egy 741ND van. A beállítás minimális, a 741ND kivan kapcsolva a DHCP és kapott egy fix IP-t. Ezt egy MikroTiken mennyire nehéz beállítani, mert a két TP-LINKet összehozni kb 10perc mindennel együtt.
Amihez kell a cucc: 1 PC, 2 Laptop, 2 TV(Wi-Fi, LAN), 1 Tablet, 4 Telefon.
A 2. router igazából a jelerősség miatt kellett.

Köszönöm a segítségeket!

[ Szerkesztve ]

Üdv! Ki tudná nekem megmondani miért nem működik a simple queues (RB2011UiAS-2HnD 6.33.3 (stable)), csak az upload rész működik a download semmit nem csinál mintha nem lenne beállítva semmi.

Ha 4LAN, 1WAN kell, akkor RB951Ui-2HnD, ugyanez gigabites portokkal RB951G-2HnD. 10 portra az RB2011-esek. Előbbi 10-20 közötti árban vannak, a 2011-es 30-40 körül.

Frissítés előtt ment?

Jelerősség is nagyban számítana, családi házban lakok és elég vastagok a falak illetve, ha az udvaron is lenne jel annak megint csak nagyon örülnék. RB2011es elég komolynak tűnik, ha tennék rá két 8 dBis antennát, akkor gondolom jóval erősebb lenne az RB951G-2HnD-tól. Jól gondolom, hogy nekem a lefedettség miatt az RB2011 kellene?

Tegnap előtt lett beállítva ma reggel véletlenül mértem egy speedtestet és nem tudok rá jönni mi lehet. Frissítve tavaly volt. Tegnap csak a fasttrack connections-t állítottam be.

Hát az se rossz, de inkább több AP-t tennék, ha megoldható! hAP ÉS wAP termékek tök jól erre. Persze a 2011-es egymaga megoldhatja, ha jól "középre" tudod telepíteni.

Szerintem a 6.33.3 az vadiúj, nem tavalyi! Van egy ilyenem, ha gondolod, holnap letesztelem...

Biztosan nem ! Mindegy mit teszel adó oldalra, mert az eszközeid nem változnak! Sokat segit a külsö antenna, de jobb megoldás egy wds hálozat, több ap-val.

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Szia!

Csak nálam nem megoldható, én nem fogok furkálni, már sajnálom, hogy nem épitettem ki több végpontot minden szobába. De azért ez az RB2011es azért gondolom mérföldekkel komolyabb mint a szobámban lévő TP-LINK 542G egy 8 dBis antennával.

PowerLine is szóba jöhet. Bár nem olcsó.

2015 decemberi a frissítés.Amúgy 3 napja használok queuee-t vagyis használnák ha működne.

az antenna csere a vételi nyereséget is javítja.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Valaki tudja pontosan hogyan működik, mit csinál az "Ip / Ip Settings / TcpSynCookies" ?

elvileg dos ellen véd azáltal, hogy azoknak a hálózati kapcsolatoknak nem foglal memóriát, amiről a syn cookie-k alapján feltételezni lehet, hogy nem valódi kapcsolat, hanem dos.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

ja ja, csak itt gondolom nem egy irányitott antenna kerül rá, hanem egy sima bot antenna. Javit valamit a jobb antenna, de nem jó megoldás.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Sosem késő..
Egyszerüen nem értem miért félnek az emberek a falfúrástól? A sarokban kell fúrni, vagy a bútor mögött.
Egyébként nem tudom milyen lakás/házról van szó, de ha modern, akkor biztos vannak csövek a falban, oda is be lehet húzni mondjuk egy ftp kábelt, az már árnyékolt, de tapasztalataim szerint, nem igen számit, hogy a hálózati vezeték mellett viszed el métereken keresztül, mert a kábel sokkal többet tud, mint amit te akarsz. Na mond, nem lesz full duplex gigabit..

Ami a router komolyságát illeti, hát az biztos, hogy komolyabb, de ez a wifi szempontjából most lehet nem előny. 100mW a max, egész európában (világon) ennyi, talán csak ausztráliában lehet ennél nagyobb az adóteljesitmény és talán a két sarkkörön és a tengeren is szabad nagyobb teljesitményt használni. De mint irtam, megnöveled, jobb lesz a vétel az eszközön, de nem lesz jobb az adás, a router ledobálhat ugyanúgy. Egy jobb antennával (inkább irányitottra gondolok, nem csak a db számit), sokat lehet javitani, de ha a router gyári bot antennáját lecseréled egy másik elvileg nagyobb nyereségű, de szintén bot antennára, attól érhet csalódás rendesen!

Egy ismerősnél volt egy ki tudja milyen talán d-link router a padláson, nem tudott semmit, heti egy ujrainditás belefért, a nyáron meghalt. Szólt, ha már venni kell, akkor legyen jó, pont a dolgozó szobájában nem volt jó a wifi, két rb951g-2hnd routert vettünk. Ennek nincs ugyan bot antennája, de ugye 1W nak hirdetik a wifit. Gyors konfig, csak a padláson lévő megy, teszt, és döbbenet, de sokkal gyengébben teljesitett, mint az előző wifi ! Adtam rá kakaót, hátha, a telefonon három pálcikás jel, de felcsatlakozni azt nem tudott. (a telefon viszont merült, mert az próbált kommunikálni.)
A második router ment a dolgozószobába, alatta volt a garázs, mellette a műhely, wds (capsman), szuper jel lett majdnem mindenhol a normál beállitásokkal.
Eltelt még fél év, UPC jött a wifis routereivel, szomszédok is nekiálltak wifizni (családi házas környezet), jöttek a panaszok, a nappali sarkában, ahol az ülőgarnitúra van, szakadozik. Nézem telefonon, mindkét router jelét fogja, de egyiket sem jól. Oda ment egy hap lite, szintén capsman, most (kb fél éve) megint öröm és bódottá.. ( sőt most már a spájzban is nagyon királyul megy a wifi, mondtam is, hogy az ott bujdokoló orosz katonák se maradnak net nélkül )

A nappalin kivül, mindenhol van végpont, több is, igy amikor notebook-notebook fájl másolás van, rácsatlakoznak vezetékkel, egyébként meg mindenhol van wifi jel. ( a nappaliban is van a hap liteon végpont, de az ugye ott csak 100Mbites. A tv van rádugva, de annak elég annyi )
3 szintes ház, vasbeton födémek, mégis mindenhol van wifi, csak 1 SSID van, teljes a wifi roaming. Próbáltam telefonnal folyamatos ping mellett mászkáltam a szintek között, nincs csomagvesztés.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

üdv. Urak, egy cimborám ajánlásával beneveztem egy RB 951G-2HnD routerre, be is lőtte a srác, hát csak ámulok mennyire komoly ez a kis kütyü.

ott a kisértet a ganéná.... by: Bendegúz

Van egy bekonfigurált CRS 125 routerem, és ma szembesültem azzal, hogy ip címmel (böngészővel, winboxxal) nem érem el. Ha nem akartam volna futtatni egy Btestet észre se vettem volna, mert minden működik rendes. A winboxal mindig mac alapján lépekbe, így ezidáig ez fel sem tűnt.Nem jövök rá, hogy hol hibázhattam, hol kellene visszatenni a pipát, hogy böngészővel is elérjem a kezelőfelületet.

sztem egy tűzfal szabállyal engedélyezd, vagy lehet hogy ki van kapcsolva a szolgáltatásoknál...

Használ valaki Hairpin NAT szabályt??

a szolgáltatásoknál engedélyezve van a www 80 port, a firewall szabályok között nincs ami tiltaná. Én pedig nagyon kezdő vagyok, így nem tudom hogy hozzak létre engedélyező szabályt.

És mégis mit vársz tőlünk?

Remélem a vakbél gyulladásnál nem csak irsz pár sort az orvosi forumba, hogy valaki 3 soron tömören leirja a trükköt egy laparaszkópos mütéthez.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

ok ,értem én, hogy kérdezni is tudni kell, és csak akkor tudtok segíteni. Én csak tippeket vártam, hogy hol keressem a hiba okát. Az IP service list -ben engedélyezve van a 80 porton történő elérés. Nincs firewall tiltó szabály arra lennék kíváncsi, hogy hol lehet esetleg még letiltva az elérés, merre keresgéljek.

Én ilyet akkor láttam, amikor az ethernet port pl. ether3 bridge-be volt, és az IP cím nem a bridge-re hanem az ethernetre volt felvéve.. Ha bridge-be teszel több ethernetet, akkor az IP címeket minden esetben a bridge-nek add, ne az ethernetnek.. Elvileg mennie kell mindkét esetben, a gyakorlat mást mutat azonban.

Hali!

Szerintetek meg lehet azt csinálni, hogy adott több alhálózat. A 192.168.1.2 IP címen van egy szerver egy SQL adatbázissal, amit a teljesen leválasztott - olyannyira leválasztott, hogy net sincs rajta - 192.168.4.x alhálózatbót el kéne érnem, adatlekérés céljából. A 1433-1434 és 2554-2555 portokat kéne nyitogatni hozzá. Ha jól gondolom, elég egy tűzfalszabályt létrehoznom ehhez az eléréshez, de több mindent próbáltam már, sajnos nem jártam sikerrel.
Az egész 1.x hálózatra nem láthat rá a másik, és lehetőleg az 1.2 gép felől is csak ezeket a portokat szabadna elérni.

Van erre valakinek valamilyen ötlete? Megköszönném!

T

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

Milyen tűzfalszabályaid vannak?

Mind a két hálozat ugyanazon mikrotikről elérhető? Ez a mikrotik a gateway?

Minden eszköz megnézi a saját közvetlenül elérhető hálózatát, hogy tud e kommunikálni a másik eszközzel, ha nem, akkor a csomag megy a gatewayre.
Ha a mikrotikben nincs tűzfal szabály, akkor amennyiben ö a gateway, akkor átrakja a csomagot a másik portjára.
Ergo neked csak tiltanod kell a forwardon a nem elérhető cimeket, portokat.

Ha nem megy, az sql szerver tüzfal beállitásait nézd át, ott engedve van, hogy más hálozatbol elérhető legyen?
Pl tiltod a tüzfalat, ping megy?

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Szia!

Igen, egy routerről megy a két hálózat, az egyik a belső hálózat, a másik VLAN.
Valami ilyesmi szabálynak kéne lennie?

12 ;;; accept forward related
chain=forward action=accept protocol=tcp src-address=192.168.4.11
dst-address=192.168.1.2 dst-port=1433 log=no log-prefix=""

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

csak ezek a szabályok vannak aktiválva:

[admin@MikiCRS125] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward

1 chain=input action=accept protocol=icmp log=no log-prefix=""

2 chain=input action=accept connection-state=established,related log=no
log-prefix=""

3 chain=forward action=fasttrack-connection
connection-state=established,related log=no log-prefix=""

4 chain=forward action=accept connection-state=established,related log=no
log-prefix=""

5 chain=input action=drop log=no log-prefix=""
[admin@MikiCRS125] /ip firewall filter>

Kezdem full hülyének érezni magam az egész témához.
Most a másik problémámtól elvonatkoztatva (subnetek közti portnyitás) - megoldódott végre a ddns kérdés, Telekom hibabejelentőnél kapcsoltak egy technikus, aki közölte, hogy márpedig én nem vagyok NAT-olt hálózaton, de azért lefuttat egy újabb valamilyen-akármilyen tesztet... Utána érdekes mód jó lett. Ja, és még kioktatott azzal kapcsolatban is, hogy nem érti, hogy mi a gondom a ddns-el, az csak az IP-met fordítja be egy webcímre... Nem érti, hogy mi köze van az ő rendszerüknek ehhez. Mindegy is, mission completed, van DDNS.
Na mondom, hogyha már egyszer van ebben egy csomó lehetőség, megcsinálom már magamnak is itthonra a mindenféle tuti eléréseket, VNC, VPN, FTP stb. Másnak már megy, kicsit elidőzök a saját rendszeremmel is, arra úgysincs soha időm. Aha, ja.
Leakadtunk már a VNC portforwardolásnál, a következő dologgal: megcsinálom gyönyörűségessen', a dst-nat-ot, mivel PPPoE kapcsolatom van, emígy néz ki:

chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=5900
protocol=tcp in-interface=pppoe dst-port=55101 log=no log-prefix=""

Oké, melóhelyre beVNC, onnan DDNS-en keresztül (és a Mikrotik Cloudon keresztül is) próba... Hát ez sajnos nem megy így... Oké, Google a barátom - csináljak tűzfalszabályt, ami a pppoe interface-n a new kapcsolatokat beforwardolja... Oké. Volt egy szép kis tűzfaltáblám - legalábbis egészen eddig azt gondoltam, hogy ez így jó. Ez a következőképp nézett ki:

[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; drop in invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""

1 ;;; accept in new local
chain=input action=accept connection-state=new in-interface=br-lanwlan
log=no log-prefix=""

2 ;;; accept in established
chain=input action=accept connection-state=established log=no
log-prefix=""

3 ;;; accept in related
chain=input action=accept connection-state=related log=no log-prefix=""

4 ;;; accept in icmp
chain=input action=accept protocol=icmp log=no log-prefix=""

5 ;;; accept in winbox
chain=input action=accept protocol=tcp dst-port=8291 log=no
log-prefix="winbox"

6 ;;; accept in webfig telnet local
chain=input action=accept protocol=tcp in-interface=br-lanwlan
dst-port=7080,23 log=no log-prefix=""

7 ;;; drop in all
chain=input action=drop log=no log-prefix="FW-drop"

8 ;;; drop forward invalid
chain=forward action=drop connection-state=invalid log=no log-prefix=""

9 ;;; accept forward new local
chain=forward action=accept connection-state=new in-interface=br-lanwlan
log=no log-prefix=""

10 ;;; accept forward established
chain=forward action=accept connection-state=established log=no
log-prefix=""

11 ;;; accept forward related
chain=forward action=accept connection-state=related log=no log-prefix=""

12 ;;; drop forward all
chain=forward action=drop log=no log-prefix=""

Ehhez gondoltam hozzáadni a forward szakaszhoz az alábbi szabályt:

;;; VNC
chain=forward action=accept connection-state=new protocol=tcp
in-interface=pppoe dst-port=55101 log=no log-prefix=""

Ez így ebben a formában még mindig nem ment, a dst-portot kiszedve egyből életre kelt.
Na, most akkor erősítsetek meg: ha a portot kiszedem és úgy használom, az azt jelenti, hogy az új kapcsolatokat a pppoe interfészen keresztül simán beforwardolja, ergo semmi értelme az azt megelőző, egyébként tökéletesen működő forward szabályoknak, mert így gyakorlatilag mindent beenged.
A másik gondom ezzel az, hogyha van mondjuk a hálózatban 100 gép, amit VNC-znem kéne, akkor mindegyikhez vegyek fel tűzfalszabályt (ha a portot meg akarom adni)?!

Nemrég óta foglalkozom a Mikrotikkel, és azt hittem, vannak már olyan területek, amit megfelelően tudok kezelni, de mindig van valami, amibe belefutok...

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

próbáltad már értelmezni a szabályokat?

1. engeded a pinget
2. minden már létrejött kapcsolathoz kapcsolodó csomag engedve (de ilyen nem lesz..)
5. minden szabály ami a routerbe megy eldobva.

Ergo csak a ping van engedve, az viszont bárhonnan.
az 5. szabály elé kell egy input chain-be rakott szabály ami engedi a (belső hálózatodról) 8291-es portot.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Betudujuk, hogy nem régóta foglalkozol mikrotikkel, de nem csak te érzed úgy, hogy full hü..lye vagy
Ez idővel javulni fog

;;; VNC
chain=forward action=accept connection-state=new protocol=tcp
in-interface=pppoe dst-port=55101 log=no log-prefix=""
Ez a szabály jó, de miért csak az új csomagok mehetnek, a related és established az menjen kukába?

Természetesen a dst-nat szabályra is szükség van...

DE, rossz a megközelitésed! VNC portot, (ha csak nem vettem meg a realVNC valamelyik fizetős változatát, vagy nem szenvedted össze valamelyik ingyenes vnc klónnal a titkositást), nem teszünk ki publikusra.

A jó megoldás, ha VPN-t használsz. Mikrotik ros támogat pár fajta lehetőséget, ami közül csak tudsz választani egyet. PPTP, L2TP, SSTP, OpenVPN, ssh mind működik. Ha már becsatlakoztál a routerbe és "helyben" vagy, akkor minden tűzfal szabályt kikerülve szépen tudod közvetlenül a helyi gépek különböző portjait hivogatni. Legyen az vnc, stb.

A szolgáltatásokat, mint ftp, www azokat azért érdemes a fenti metódussal "kinyitni", de vnc, rdc, sql portot nem rakosgatunk ki a netre..

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30