Mar miert ne lehetne portforwardolni? Routeren beallitod mint tuzfal szabalyt mind a ket oldalon(vagy eseteg a kliensen, ha ertelmes rendszer van rajta) es kesz is van.

[ Szerkesztve ]

Nagyon bosszantott, hogy dugig volt (>100db) a log piros ipsec error-okkal. pl. LTP2 500-as port nagyon népszerű volt. Most már tisztább, szárazabb érzés.
(Különben is próbálkozzon azzal, ami a lába között van.)

Ja, így igen ! :-)

Ok, de ez L2TP, és nem az általam említett "Winbox, Ssh, Telnet, stb"
Persze abban igazad van, hogy valahogy VPN-t is kell használni.
Én ezért (is) használok inkább a black-list helyett Geo-IP megoldást : 0, azaz nulla "piros" log bejegyzésem van azóta :-)

De két Miki közé az IpIp Tunnel is egészen jól használható

A feketelistás megoldásnak van egy olyan előnye, hogy azok az IP-k amelyek felkerülnek rá, nem csak egy adott portról lesznek kitiltva, hanem minden portról és szolgáltatásról. Tehát azokat a portokat sem fogják elérni a későbbiekben, amelyek egyébként mások számára nyitva vannak.

Az IPIP jó, de van egy olyan hátránya, hogy mindkét oldalon publikus IP cím kell hozzá. PPTP esetén viszont csak a szerver oldalra kell publikus IP, a kliens lehet akár NAT mögött is.
Ezen kívül a mikrotik nem is olyan régen még nem kezelt domain nevet az IPIP kapcsolatoknál, azaz csak IP címeket lehetett megadni, ami dinamikus IP esetén annyit jelentett, hogy szkriptet kellett írni rá, hogy működjön. Nem tudom melyik verziótól kezdve fogad el domain nevet is, de nem túl régóta... (és az EOIP esetében hasonlóképpen)

[ Szerkesztve ]

Így van, a kolléga valamit elrontott a beállításoknál, azért volt neki ilyen log bejegyzése.

Próbáltam mikrotiken sokféle megoldást, a PPTP port forwardolására. A legtöbb amit elértem az volt, hogy a logban látszott, hogy a TCP kapcsolat összeállt, és utána nem történt semmi.
A szerver oldalon:
/ip firewall nat
action=redirect chain=dstnat dst-port=51723 in-interface=ether1 protocol=tcp to-ports=1723

A kliens oldalon scr-nat al próbálkoztam:
/ip firewall nat
add action=src-nat chain=srcnat  dst-address=szerverIPje dst-port=1723 protocol=tcp to-addresses=szerverIPje to-ports=51723

Fogalmam sincs mit rontok el. A szerver oldalon, ha átírom hogy a webfelületre vonatkozzon a redirect, akkor a webfelület elérhető a módosított porton is, tehát a szerver oldal valószínűleg jó így, és talán a kliens oldalon kellene valamit másképp csinálni. De persze, lehet hogy benézek valamit...de mit? A kliens oldalon próbálkoztam DST-NAT-al is, úgy hogy egy saját lokális IP címén fogadja a 1723-as portot, de úgy sem sikerült működésre bírni.Talán a GRE protokollt is valahogyan továbbítani kellene? Hogyan?

Ha valakinek van még ötlete, azt kíváncsian várom!

[ Szerkesztve ]

Sziasztok,

CHR-ben ESXi a kiszolgáló alatt x86_64 alapokon tehetek PCIe Wifi kártyát? Meg fog nekem jelenni mint wireless interface?

Köszönöm!

Ez igaz

Jaja. Régen sok egyéb más kapcsolatnál sem lehetett IPv4 címen kívül mást megadni. De hát erre van a script lehetőség :-)
Szerintem még ma is sok olyan van a RouterOS-ben, amire script-et kell írni.

"Az IPIP jó, de van egy olyan hátránya, hogy mindkét oldalon publikus IP cím kell hozzá."

Szerintem ez megoldható IPv6 használatával, már ahol ez elérhető

[ Szerkesztve ]

Szia! Ma este szerintem ranezek, csak most sok hataridom van.

Sziasztok!
Egy meglévő wifi hálózathoz szeretnék hozzákapcsolni egy kis cAP Lite AP-t.
A lényeg, hogy wifi-n keresztül kell kapcsolódnia a routernek és az AP-nek, saját SSID-n kellene tovább szórnia a jelet és szeparált IP cím tartományra lenne szükség.

Ha a router is wifi AP, nem pedig wifis klienskent csatlakozna a cAP-ra, illetve nem mikrotik a router, akkor nem vagyok benne, hogy cAP Lite-al meg lehet oldani.

[ Szerkesztve ]

Meg kell próbálni, simán tud repeater is lenni. Beállítod a wlan1-t client-nek, felhúzol rá egy virtual wlant, az lesz a wlan2, beállítod ap-nak, adsz neki egy ip címet, raksz rá egy dhcp servert, meg firewallba egy natot.

Igy egy wlan interfeszen meg nem probaltam, en arra gondoltam, hogy 2.4G-n client es 5G-n AP, az tuti megoldhato. Regebben ezzel voltak problemak, pl. a virtual AP-t nem SSID broadcastolta, ha a fizikai interfez nem AP modban volt.

[ Szerkesztve ]

tud egy interfészen is, én is csináltam már ilyet egy hap ac lite-al. annyi hátulütője mindenképp van, hogy lefelezi az antenna sávszélességét

/interface wireless
set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-a/n/ac channel-width=20/40/80mhz-eeCe country=no_country_set disabled=no frequency=5660 \
    frequency-mode=manual-txpower mode=ap-bridge ssid=ssid5G station-roaming=enabled
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" name=wlan1-repeater supplicant-identity=MikroTik wpa2-pre-shared-key=passw0rd
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed name=nopass supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 country=no_country_set disabled=no frequency=2432 frequency-mode=manual-txpower mode=ap-bridge \
    security-profile=wlan1-repeater ssid=azSSIDAmireCsatlakozikAMikrotik station-roaming=enabled wds-default-bridge=bridge1 wds-mode=static wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=02:00:00:AA:00:01 master-interface=wlan1 multicast-buffering=disabled name=wlan3 \
    security-profile=nopass ssid=MikrotikSSIDje station-roaming=enabled wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/interface wireless wds
add disabled=no master-interface=wlan1 name=wds1 wds-address=10:FE:ED:63:14:FE

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Igen. És?

Akkor mar fixeltek.

A kliens oldalon levo routerben is dst-natolnod kell. Az srcnat targetnel a to-addresses es to-ports a forras cimet/portjat valtoztatja meg, de neked ott is a cel-t kell atirnod.

Sziasztok

Ugye jól gondolom hogy a DUDE szerver segítőin az Agent-eken nem történik olyan NAND Flash leamortizáló intenziv hardver-használat illetve degradálódás mint magán a DUDE-szervert futtató vason? Hogy az Agent-ek nem írogatnak olyan sokat a saját vasukra.

A másik kérdésem az lenne, vajon a Dude szerver (ÉS Agent-je közötti) hálózati adatforgalmának sávszélességére mennyire lehet elegendő egybizonyos 1 (egy) mbps?
(T.i. pl. egy pc-n "x86-on" virt.boxban futtatott Mikrotik chr-en úgy tudom ennyi -1mbps- egy free licenszen a limit. )

Köszi mindenkinek.
Elindulok ezen az úton
A wlan1 az station-pseudobridge legyen?

Hello!

Az alábbiban kérném a segítségeteket:
Mikrotik routerre van kötve egy szintén mikrotik wifi AP (2db pontosabban).
Tegnap megszívattam magam, és OFF-ra állítottam az AP bridge beállításnál az auto-negotiation-t és újraindulás után a winbox neighborban nem jelent meg többé, illetve nincs is wifi jel.
A routert és a másik AP-t továbbra is elérem.

Hogyan tudnám ezt visszaállítani anélkül, hogy a plafonba szinte beépített AP-t ki kellene valahogy szedjem resetelni?
Van erre valami megoldás?

Működhet, ha a router és AP-t összekötő utp sima patch kábelt crosslinkre cserélem? Feloldaná ezt a problémát?

Mittudomain!

A routerbe lépve IP - Neighborsben sem látszik? akkor MAC Telnettel be tudnál lépni

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Sajnos nem látszik.
Próbáltam a discovery settingsben állítani, de egyik opcióval sem látszik.
Csak a router és a (működő) AP

Mittudomain!

No, valahogy kitúrtam, de két MAC address-t találtam (gondolom 2.4 és 5 GHz miatt)
Hogyan tudnám elérni MAC telneten és hogy tudom visszaállítani az auto-negotiationt?

Ez a MAC telnet nekem teljesen ismeretlen.

Mittudomain!

Winboxban Tools - Telnet - átpöttyented MAC Telnetre és beírod a MAC addresst
ha be tudsz lépni, akkor parancssorod lesz, onnan már helyre tudod állítani

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Sziasztok!

Próbáltam utána olvasni itt, de anyit találtam, hogy a Mikrotikek lan portjai könnyen halnak. 4 hónapos eszköz MikroTik hAP ac2. Gigás háló van itthon, eddig működött is az előző routerekkel, 3db gigás TPlink switch is van a hálózatban. Egy eszköz 100M-es, LTE6 kit.

Lehet eddig is ezt csinálta, de csak most tünt fel. Folyamatosan leredukálja a hálózatot 100M-re. Ha 1000M-re állítom akkor megszűnik a hálózat. Auto negotiation be van kapcsolva akkor csak 100M. Tegnap sikerült nagy nehezen 1000M-re kényszeríteni, azt hiszem 10Gb hálózatot állítottam be, azon ment 10M-el,aztán 1000M és jó lett. Reggelre megint visszaált. Vicces.
Lehet valamit csinálni vele vagy gari, de gondolom ott is menne egy ideig és visszadobnák, hogy jó.
NASt építettem és másolás miatt fegyeltem fel rá.
Kábelek gyáriak 5 évesek és a Mikrotik előtt tökéletesen működött minden.

Segítséget előre is köszönöm!

Ez a 2es port:

[ Szerkesztve ]

én azért első körben a kettőt összekötő kábelt cserélném ki

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

4db kábelt próbáltam már, mind gyári kábel és mind más márka és CAT6-ak. Ezeken már túl vagyok sajnos.
Ezek a kábelek a miki előtt tökéletesen tették a dolgukat.

[ Szerkesztve ]

Sajnos nekem is csak 1 eszkoz latszodi ka neighbors-ban pedig kettot kene latnia es mukodik is mindketto.

Találtam egy 3. MAC-et is hozzá (A másik AP-hez is 3 van, 2 rádió, a 3. meg a fizikai???)

Szóval a működő AP-hez sikerült is csatlakoznom a 3. MAC címmel, de ami nem működik, ahhoz egyik MAC címmel sem sikerült csatlakozni.

Mittudomain!

"Így van, a kolléga valamit elrontott a beállításoknál, azért volt neki ilyen log bejegyzése."

- Erre hadd térjek vissza egy picit, mert ezek szerint akkor nem is szabadna ilyen bejegyzéseimnek lenni ha jól van beállítva igaz?! Kicsit furcsálom én is, mert eddig nem voltak ilyenek a logban, még a default konfiggal sem. A te leírásod alapján állítottam be az ac2-t, ugyan a feketelistákat nem csináltam meg, de a tűzfalszabályokat, az IP - services korlátozásokat, a Tools - mac server LAN-ra korlátozását igen. Ezek szerint akkor mégis hibáztam vagy kihagyhattam valamit? Átnéztem többször is, nem találok különbséget a leírásodhoz. A Winbox portját most átállítottam az alapértelmezettről máshova, úgy tűnik azóta megszűnt de nem értem én se a dolgot. Ha a winbox-om a LAN-ra van korlátozva, a mac winbox server is, akkor hogy a csudába?!

Mivel azt írtad, hogy el akarod választani a két hálózatot, ezért natolnod kell, ezért a wlan1-t station módba rakd, a wlan2-nek adj ip címet, arra csinálj egy dhcp servert, valamint tegyél egy masquerade szabályt a tűzfalba ami megcsinálja a natot.

Na most úgy náz ki az egyik switch szarakodik... megcseréltem egy másikra és jelenleg van 1Gb.
Köszönöm a motívációt

Erre vki vmit esetleg? Vagy jó ez a beállítás így nagyjából a logra?

''És nagy kópék vagyunk. Igyunk barátaim, yo-hoo!'' - Jack Sparrow

ilyenkor dobálja a router a portot?

szinte az összes portnál előfordul és tele van velük a log.mitől lehet?

Kapcsold ki, kapcsold be

volt már újraindítva,de mindig megjelenik pár óra után.

Szoftverfrissites? Voltak mostanaban ilyen bugok, joparat javitottak is.

akkor az lesz,kipróbálom

Firmware-t se felejtsd el, az trukkosebb.

arra gondoltam,a winboxból a legfrissebb van fenn.

Ize, en a router szoftverere gondoltam, a winbox az mit sem szamit, csak egy feluletet ad.

A routeren is ket szoftver van: a routeros es a firmware. Az utobbi frissitese nem tortenik meg automatikosan amikor felrakod az uj routeros.

[ Szerkesztve ]

hja,akkor utána nézek

Nem nehez amugy. Webinterfeszen igy nez ki: System->Packages menupont, fent Check for Updates gombra ra kell nyomni. Channel-t stable-ra allitsd, majd Check For Updates gomb. Ha van uj verzio, akkor megjelenik a Download&Install gomb, arra kell ranyomni. Ujra fog indulni a router. Ha fejlott utana System->RouterBOARD menupont, ott az Upgrade gombra kattinst. Ekkor meg nem tortenik semmi. System->Reboot-ra kattintva inditsd ujra es mar az uj Firmware-vel fog elindulni.

közben megtaláltam yt-n és sikeresen le is frissítettem ros-t is meg az fw-t is.de azért köszi,hogy leírtad