Hirdetés

2023. február 7., kedd

Gyorskeresés

Téma összefoglaló

Téma összefoglaló

  • Utoljára frissítve: 2021-08-17 20:43:18

LOGOUT.hu

Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Összefoglaló kinyitása ▼

Hozzászólások

(#13001) betyarr válasza ekkold (#12999) üzenetére


betyarr
veterán

nincsen nyitva,hála a leírásodnak.akkor ezek szerint ezek próbálkozások a net felől.

[link] erre esetleg valaki?ezen geccsolok már tegnap este óta,fenn voltam éjjel 1-ig,de nem bírtam rájönni a hibára.alighanem nem is fogok már magamtól :(

(#13002) betyarr válasza betyarr (#13001) üzenetére


betyarr
veterán

b@sszus...mobilról nem ment,de a munkahelyi gépről meg sikerül elérni az otthoni LAN-t.hogy van ez :F

(#13003) Reggie0 válasza ekkold (#13000) üzenetére


Reggie0
félisten

Mar miert kene? Alapbol is csak 1 porton listenel a PPTP. Ezt kell atirni, nem kell gepenkent kulon port. Ezek a scannerek csak a default porton, azaz PPTP eseten a 1723-on fognak probalkozni. Ha ezt atirod akkor nem kell foglalkozni a probalkozokkal.

[ Szerkesztve ]

(#13004) betyarr válasza betyarr (#13002) üzenetére


betyarr
veterán

kezdek egy kicsit begőzölni.igaz távoli pc-ről már sikerült be openvpn-ezni az otthoni hálómra (elérem az összes lanon lévő klienst),de a routert meg mégsem érem el.se winboxon,se webfigen.mit rontok el vajon?pedig az openvpn fájlban megcsináltam a 10.8.0.1-ről a routot 192.168.1.0-ra,mégsem sikerül :W lehet valami tűzfal szabály miatt van?

(#13005) Reggie0 válasza betyarr (#13004) üzenetére


Reggie0
félisten

Mikrotiken van egy LAN address list, amibe nem veszi fel az openvpn-es ip-t es a hozza tartozo halozatot, viszont ez alapjan szuri le, hogy honnan lehet csatlakozni a routerhez.

(#13006) Horvi válasza betyarr (#13004) üzenetére


Horvi
őstag

Lehet hülye kérdés de nem korlátoztad le a routerhez hozzáférést IP tartományra és az openvpn-es IP tartomány nincs benne?

Hello darkness, my old friend...

(#13007) Reggie0 válasza Horvi (#13006) üzenetére


Reggie0
félisten

Ez a default config, nem kell neki kulon megcsinalnia.

[ Szerkesztve ]

(#13008) betyarr válasza Reggie0 (#13005) üzenetére


betyarr
veterán

és Horvi: ööö,lehet nem jól értem,de ez lenne a gebasz az esetemben?

Korlátozzuk a router elérését a LAN IP tartományára, kapcsoljuk ki azokat a szolgáltatásokat, amiket egyelõre nem használunk (api, ftp, telnet, ssh, stb...) csak a www és a winbox maradjon. A saját routeremen a www elérés portját lecserétem az eredei 80-as portról a 8000-es portra.

(#13009) Reggie0 válasza betyarr (#13008) üzenetére


Reggie0
félisten

99%

(#13010) betyarr válasza Reggie0 (#13009) üzenetére


betyarr
veterán

vagy még erre is gondoltam:

és korlátozzuk a MAC address alapján történõ elérést is a LAN portokra

(#13011) ekkold válasza Reggie0 (#13003) üzenetére


ekkold
Topikgazda

Azért mert benéztem, és azt hittem a WOL-al kapcsolatban írtál először. :)
PPTP amúgy fixen a 1723-on megy, nem lehet átírni, sem a szerverben sem a kliensben.

(#13012) Beniii06 válasza betyarr (#13008) üzenetére


Beniii06
őstag

Winboxal próbálkozol belépni? Nézd meg IP --> Services-ben, hogy a winbox elérés milyen ip tartományra van korláttozva. ("available from" oszlop)

A webes hozzáférést is itt lehet korlátozni "www" sor.

[ Szerkesztve ]

"Got any other secret weapons?"

(#13013) Reggie0 válasza ekkold (#13011) üzenetére


Reggie0
félisten

Jah oke :)

Nem gond, mi mindig tuzfalbol portforwardoltuk a pptp-t, ugy nem egy nehez dolog, cserebe megszuntek ezek a gondok es egyes szolgaltatok sem szurtek ki onnantol.

(#13014) betyarr válasza Beniii06 (#13012) üzenetére


betyarr
veterán

winbox illetve webfig-en is próbáltam.mindkettőnél 192.168.0.0-án kívül tiltva van a kapcsolódás.viszont az ovpn konfig fájlban sztem pont ezért van egy route betéve 192.168.1.0-ra.vagy rosszul gondolom :F

(#13015) ekkold válasza Reggie0 (#13013) üzenetére


ekkold
Topikgazda

Úgy ok., csak sajnos a windowsokba épített kliensben sem állítható át a standard port. A szerver oldalt még meg tudnám oldani pl úgy hogy a NAS-on bekapcsolom a PPTP-t, és ezt a mikrotik forwardolná másik portra. De ehhez kapcsolódni (azaz a kliens oldalt beállítani) már nem lenne egyszerű, sem windows/linux, sem mikrotik kliens esetében. Igazából nem is értem miért nem állítható ez a port már alapból is.

(#13016) betyarr válasza betyarr (#13014) üzenetére


betyarr
veterán

az ovpn konfig fájlban sztem pont ezért van egy route betéve 192.168.1.0-ra.

illetve nem pont ezért van a route,hanem,hogy ne az ovpn szerver címén akarjon a winbox csatlakozni.de ha átroutol a 192.168.1.0-ra,akkor miért nem érzékeli a miki router,hogy ez benne van az engedélyezett 192.168.0.0 ip-tartományban?

[ Szerkesztve ]

(#13017) amargo válasza betyarr (#13016) üzenetére


amargo
addikt

Kicsit fordítva értelmezel itt valamit (szerintem), nem a szűkebb csatornából látsz a bővebbe, hanem fordítva.
[link]

“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”

(#13018) iceQ! válasza betyarr (#13004) üzenetére


iceQ!
addikt

Én ugy szoktam hogy router ip + port a winboxba miután csatlakoztam a hálóüzathoz. (xxx.xxx.xx.xxx:xxxx).

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S21 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

(#13019) betyarr válasza amargo (#13017) üzenetére


betyarr
veterán

lehet...ezt átolvasom,aztán meglássuk mire jutok :R most itthon már kiderült a logból,hogy a 10.8.0.X cím akart csatlakozni a winboxhoz,nem pedig a 192.168.1.0 tartományból való ip.

iceQ!: hidd el,hogy nem csak ezt,de már mindent IS próbáltam :B :B

[ Szerkesztve ]

(#13020) betyarr válasza betyarr (#13019) üzenetére


betyarr
veterán

asszem sikerült megoldani: az volt a probléma,hogy a ovpn-hez beállított poolból kiosztott címeknek szerepelniük kell a szerviz/available from-ban,mert ott korlátozva van az említett 192.168.0.0-ra az elérés.

viszont mobilról (mobilneten/másik wifi hálón keresztül) hiába csatlakozik fel sikeresen vpn-en a szerverre (látom is a router logjában),a lan-t nem lehet látni.pedig sem a miki logjában,sem az ovpn logjában nem látok semmi hibát.

(#13021) betyarr


betyarr
veterán

miért lehet a torrentes portom zárva?

# feb/20/2021 17:48:18 by RouterOS 6.45.9
# software id = 85EM-JDDR
#
# model = RB4011iGS+
# serial number
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-digi src-address=\
192.168.1.0/24
add action=masquerade chain=srcnat out-interface=pppoe-digi
add action=dst-nat chain=dstnat dst-port=44772 in-interface=pppoe-digi \
protocol=tcp to-addresses=192.168.0.111 to-ports=44772
add action=dst-nat chain=dstnat dst-port=44772 in-interface=pppoe-digi \
protocol=udp to-addresses=192.168.1.111 to-ports=44772
add action=accept chain=srcnat dst-port=5060 protocol=tcp
add action=accept chain=srcnat dst-port=6050 protocol=udp
add action=masquerade chain=srcnat

(#13022) betyarr válasza betyarr (#13021) üzenetére


betyarr
veterán

pfff,sry.én barmoltam el az egyik helyi ip-t... :B

más: a tűzfalszabályokat hogyan érdemes rendezni?mintha az rémlene,hogy nem mindegy hogyan jönnek egymás után.

[ Szerkesztve ]

(#13023) Zwodkassy válasza betyarr (#13022) üzenetére


Zwodkassy
senior tag

A rendszer, a RouterOS szépen sorba, egymás után megy rajtuk végéig

(#13024) betyarr válasza Zwodkassy (#13023) üzenetére


betyarr
veterán

ööö,ami mit is jelent pontosan?mit érdemes előre venni,illetve mit a végére hagyni?

(#13025) ekkold válasza betyarr (#13021) üzenetére


ekkold
Topikgazda

Azért elég nagy katyvasz ez. Próbáltad értelmezni, hogy mi miért van, és mit csinál? Miért van 3x is action=masquerade , úgy hogy a legalsó gyakorlatilag lefedi a másik kettő hatókörét ??

(#13026) vkp válasza betyarr (#13024) üzenetére


vkp
aktív tag

Mindig az megy előre, amit engedni akarsz, és utána amit tiltani.

(#13027) bacus válasza vkp (#13026) üzenetére


bacus
őstag

Hát ez így ebben a formában NEM igaz.

Amit tudni kell (és számtalanszor elmondtam), hogy az első illeszkedő* szabályig folyik a kiértékelés, azaz NEM MEGY VÉGIG az összes szabályon! (baj is lenne, ha egy tiltás után folytatódna a kiértékelés és később mégis engedélyt kapna, vagy fordítva.) A legkevesebb terhelés érdekében azokat kell előre venni, amibe biztos belefut, és akkor sokkal kevesebb szabály kerül kiértékelésre.

(*illeszkedő - ami megfelel a feltételeknek)

Pl blokkolni akarsz egy IP tartományt. Ha ezt a végére teszed, akkor minden szabályon végig fog menni a tartományba eső IP, fogja a procit, és a legvégén kap egy DROP-t. Ugye beláthatjuk, hogy ez nem túl gazdaságos, no meg a blokkolás sem fog menni, ha előtte valami miatt kap egy ACCEPT-t.

Érdemes előre venni az established és related ill az invalid csomagokat, mert a tűzfalunk sokat gyorsul. (tulajdonképpen a fasttrack is ilyesmi, ami egyszer megkapta a fasttrack jelölést utána nem értékelődik már ki).

Ezek után jöhetnek a mindenkire érvényes tiltó majd az engedő szabályok, pl vpn, stb.

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

(#13028) betyarr válasza vkp (#13026) üzenetére


betyarr
veterán

köszi! :R

ekkold: jaja,nem is figyeltem :B nagy lázban voltam azzal,hogy nem működik a torrentes port,meg egyebek miatt is.most pl a kid control szivatott.beállítottam egy pause durationt és hiába akartam hogy már ne legyen aktív,nem akart hallgatni a szép szóra és nem is kapott az eszköz netet.végül csak sikerült megoldani,de legalább fél óra volt.nem sokat írnak erről a pause durationról és pause till funkcióról a wikiben.vagy mert szinte felesleges (én legalábbis nem értem a lényegét) vagy mert bugos.lásd a fenti történetet.

kid controlra nem lehet vmi király sriptet írni?mondjuk egy olyat,hogy engedélyezve van a net a gyerekeknek reggel 8-tól este 8-ig,de ebből a 12 órából csak 3 órát lóghatnak rajta,de úgy,hogy a számláló csak akkor indul,amikor létrejön a netkapcsolat az eszközükkel.

(#13029) betyarr válasza bacus (#13027) üzenetére


betyarr
veterán

most próbáltam rendezni a hsz-ed alapján:

/ip firewall filter
add action=accept chain=input in-interface=!pppoe-digi src-address=\
192.168.0.0/24
add action=accept chain=input comment="Established connections" \
connection-state=established
add action=drop chain=input comment="Invalid csomagok eldob" \
connection-state=invalid
add action=drop chain=forward comment="Invalid csomagok eldob" \
connection-state=invalid
add action=accept chain=input dst-port=11194 protocol=tcp
add action=drop chain=input comment="DNS net fel\F5l eldob" dst-port=53 \
protocol=udp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=1d10m chain=input comment="port scanners" protocol=\
tcp psd=21,3s,3,1
add action=drop chain=forward comment="drop blacklist" src-address-list=\
blacklist
add action=drop chain=input comment="drop blacklist" src-address-list=\
blacklist

az elsőben nagyon nem vagyok biztos,de a többi jó helyen van így?

(#13030) Reggie0 válasza betyarr (#13029) üzenetére


Reggie0
félisten

Kezdetnek jo. Ugyis latod a firewall beallitasoknal, hogy melyikre hany packet esett be. A logika megtartasaval elorebb rakhatod azokat elobbre. Chainek kozott nincs atjaras, igy pl. mindegy, hogy az egy szem forward chaines szabalyt hova rakod a tobbi kozott.

(#13031) vkp válasza bacus (#13027) üzenetére


vkp
aktív tag

Pont ezért írtam, hogy ha először tiltasz valamit, (pl. bejövő összes csomagot eldobod), utána már hiába engedsz meg bármit, mivel az első egyező szabály után már nem fogja nézni a többit.

(#13032) Reggie0 válasza vkp (#13031) üzenetére


Reggie0
félisten

Marmint az elso egyezo szabaly utan, ami utan nem folytatodik a kiertekeles, mert van par ami utan folytatodik.

(#13033) bacus válasza vkp (#13031) üzenetére


bacus
őstag

De fordítva is igaz, ha már egyszer engedted, nem tudod tiltani, nem?
A lényeg, hogy ez már az optimalizálás része a tűzfalbeállításnak, amit azért a vége felé csinálunk. Első körben a funkcionalitás fontos, ha jól működik akkor jön az egyszerűsítés, majd a végén lehet optimalizálgatni.

(vagy jó erős router kell, akkor meg lehet állni, ha már funkcionálisan megy :) )

Régebben egyébként írtam a két féle megközelítésről, hogy először tiltasz, aztán a többi mehet, vagy a fordítottjáról aminél elöször engedsz aztán tiltasz.
Ez a tervezés része (meg a szokásé), hogy ki mit tart jobbnak, illetve mire van szükség.
Mind a kettő lehet jó.

(egyébként hasonlatos ez a valószínűség számítás, kombinatorika részhez, mikor annak a valószínűségét keresed, hogy egymás után 5x dobsz dobókockával, akkor egyszer sem lesz hatos..., itt is egyszerűbb megmondani annak a valószínűségét, hogy legalább 1x hatost dobsz, majd ezt kivonni 1-ből, hogy megtudd a kérdésre a választ)

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

(#13034) bacus


bacus
őstag

végig gondolva, nem , azt egyszerűbb megmondani, hogy egyszer sem lesz hatos. :), de a lényeg, hogy két féle módon is megkaphatod az eredményt, az egyszerűbbet érdemes választani.

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

(#13035) Reggie0 válasza bacus (#13034) üzenetére


Reggie0
félisten

Azt kell valasztani, amelyik kevesebb es gyorsabban lefuto szabalyokbol all.

[ Szerkesztve ]

(#13036) betyarr


betyarr
veterán

most,hogy szerte szét szívattam magam az androidos openvpn connect appal,feltettem az openvpn for android appot,amivel már sikerült is csatlakozni a lanomhoz.
de akkor a hivatalos openvpn connect app vajh miért nem működik?azon létrejön a kapcsolat,de a lanomat nem érem el.direkt a hivatalos appot szerettem volna használni erre a célra.

(#13037) mgy


mgy
senior tag

Urak, tudnátok segíteni?
Itt maradtam egy félig bekonfigol Hex-S-el, úgy-ahogy megy rajta a net, de messze nem vagyok még boldog. Szeretném megtanulni a Router OS-t legalább felhasználói szinten (már ha van ilyen), de most egész egyszerűen nem fér a többi dolgom mellé.
Két fontosabb dolog lóg még, szeretném, ha VPN kapcsolatom már a router kezelné, nem az egyes helyi hálón lógó gépek. Találtam leírást rá, de nem boldogultam vele. Van működő eljárásotok ennek a beállítására?
A másik pedig egy második wifi hálózat összerakása lenne, ennek viszont fogalmam sincs, hogyan kezdjek hozzá. Ideális esetben három weifi hálózatot szeretek itthon látni, egyet a családnak, egyet a vendégeknek, egyet pedig a "dolgoknak". Nyilván a családin lévő gépek látják egymást és a netet, a vendégek csak a netet plusz 2-3 stream eszközt a házban, míg a harmadik, a dolgok nete egyáltalán semmit nem ad a rajta csüngőknek, csak net elérést.
Unify AP-k vannak amúgy a itthon, elsőre úgy érzem, a mikrotiken kell csinálni egy második lant a "dolgoknak" és azt adni a unify-oknak, hogy a megfelelő wifin azt adja, de ez csak elképzelés.
Köszi előre, ha tudtok picit segíteni!

(#13038) Ablakos


Ablakos
őstag

Van egy bekonfigurált L2TP/IPSEC előre kiosztott kulccsal. Működik.
Próbáltam a biztonságát RSA kulccsal emelni, de nem sikeredik windows 10 alatt.

Adott: system/certificate alatt a CA(saját aláírt), 1server és 1client cert.

Van valakinek a kulcsok elhelyezéséről, kezeléséről valamilyen jó leírása?
(A mikrotik manual nem ad valami részletes útmutatást.)

(#13039) betyarr


betyarr
veterán

áttértem openvpn-ről pptpvpnre.otthon kipróbáltam és működött (telefonról megosztottam a mobilnetet az egyik pc-nek).telefonról mobilnetről is sikerült működésre bírni.azonban itt a munkahelyen nem kapcsolódik a pc-ről.ez lehet proxy miatt?

(#13040) Beniii06 válasza betyarr (#13039) üzenetére


Beniii06
őstag

"ez lehet proxy miatt?"

Valószínűleg igen, ezért szokták a default portot(neked mikrotiken) átírni 80,8080,8008 vagy 443-ra és ha csak a port volt tiltva a proxy-n akkor működnie kell TCP-n.

"Got any other secret weapons?"

(#13041) ratkaics


ratkaics
senior tag

Sziasztok!

Azt, hogyan lehet megcsinálni, hogy egy hAPac3-on lévő két portra kötött gépet, csak belső hálózatról(és VPN-ből) lehessen elérni, de az internet felől nem? Illetve azok se tudjanak az internetre kimenni. Mindezt úgy, hogy többi porton lévők tudjanak netezni is.

Köszi előre is!

Olyan nincs, hogy valami nem sörnyitó ....

(#13042) MasterDeeJay

Valami modernebb USB 4G stick-et tudnátok ajánlani ami jó mikrotikhez (RB3011) és itthon elérhető áron kapható?
Most egy Huawei E3372 van ami tökéletesen megy de át kell raknom egy másik routerbe. Aztán ha van gyorsabb nála azt venném.

(#13043) betyarr


betyarr
veterán

no,végre sikerült a vpn kérdést megoldani: [link] ez alapján állítottam be az openvpn-t és működik távoli pc-ről és telefonról (mobilnetről) egyaránt.köszönöm szépen mindenkinek a segítő hozzászólást :R

más.

szeretném a hozzáértő ph!órumozók segítségét kérni: a miki kid control-ja elég "kezdetleges" és csak tól-ig időpontot tudok beállítani.nekem azonban egy olyan beállítás kellene,amivel időkvótát tudok beállítani.a legjobb az lenne (már ha egyáltalán megoldható),hogy a router mondjuk egy script segítségével figyelné az adott wifin (ssid 1) lévő klienseket és a netre/lanra való felcsatlakozást követően X idő elteltével blokkolná az internetelérést, illetve a hálózaton lévő médiaszerverként üzemelő pc-hez való csatlakozást (a képen ez a 192.168.1.111-es ip-jű pc).itt egy séma,hogy hogyan épül fel az otthoni háló:

szerintetek ez megoldható?ha igen,akkor kérhetek ehhez segítséget?sajnos én hiába túrom a netet,eddig még nem sikerült megfelelő megoldást találnom.
köszi előre is a segítséget! :R

(#13044) Bobolit


Bobolit
aktív tag

Sziasztok!

Ha egy dst-nat szabállyal átirányítok minden belülről induló DNS kérést egy biztonságos DNS szerverre - Norton - akkor meg lehet oldani, hogy ez alól bizonyos IP-k kivételt képezzenek és használhassák a 8.8.8.8-at?
Tűzfal szabállyal valahogy? De ha a NAT előbb fut le...

(#13045) Reggie0 válasza Bobolit (#13044) üzenetére


Reggie0
félisten

NAT szaballyal. A megadott ip-knel az 53-as port eseten csak egy accept rule kell, vagy ha masqueradingolsz foszabalykent, akkor egy masquerade kell. Masik lehetoseg, hogy csinalsz egy uj chain-t, amire jumpolsz a dns nat elott, az uj chainben ellenorzod az ip-ket, es ha olyan van, amire nem kell, akkor returnt nyomsz, majd utana dnatolsz a maradekra.

(#13046) ekkold válasza Bobolit (#13044) üzenetére


ekkold
Topikgazda

A legegyszerűbb ha létrehozol egy IP listát a kivételezett IP-k számára, és a NAT szabályba beleteszed, hogy ezekre ne vonatkozzon.

(#13047) Bobolit válasza ekkold (#13046) üzenetére


Bobolit
aktív tag

Erre nem is gondoltam, köszönöm.

Reggie
Ezt is köszi.

(#13048) Kenderice


Kenderice
senior tag

Sziasztok.
Hairpin nat segítség kéne.
A mikrotik LHG LTE helyi IP címe 192.168.88.1
Mögötte van egy router a 192.168.0.1 címen.
Ezen ül egy gép 192.168.0.18 IP-n.

Hogyan tudom megcsinálni a haipin NAT-ot így?

Másik helyen sikerült de ott a mikrotik router ugyanazon az alhálózaton van, mint a többi gép...

(#13049) mrzed


mrzed
senior tag

Az utóbbi 2 hétben előjött egy olyan hibaüzenet a lob-ban, hogy inaktív s+rj10 modul túl meleg:
"sfp-sfpplus7 high temperature warning! Please, improve module cooling/placement or use different type of modules for this solution"
A jelzett időpontokban a modulok nem voltak link-ben, a túloldalon lévő gépek ki voltak kapcsolva. Inaktív állapotban csak 50-52 fokosak szoktak lenni, aktívan pedig 65-67. Érdekes, hogy a folyton aktív wan-ra még soha nem jött ilyen riasztás.
Más is tapasztalta már ezt? Lehet hogy a 6.48.1 verzióban baltáztak el valamit ezzel kapcsolatban?!

(#13050) odrif


odrif
MODERÁTOR

Üdv!
Teljesen kezdő vagyok a Mikrotik eszközök világában.
Tanulás céljából, szereztem egy ilyet: [kép]
Elsőre a cél az hogy az ASUS routerem után kötve AP-ként üzemeljen vezetékkel és wifin.
A rá csatlakoztatott eszközök ne érjék el a 192.168.1.5 IP címet.
Illetve ha meg lehet oldani akkor a rá kapcsolódott eszközökről készüljön egy log a meglátogatott weboldalakról.

Ha tudtok ajánlani hasznos olvasmányt a beállításokkal kapcsolatban, azt köszönöm.

[ Szerkesztve ]

18 éve a Prohardveren!

Copyright © 2000-2023 PROHARDVER Informatikai Kft.