Hirdetés
- Ismerkedés a Zyxel NSA325 v2-vel
- Asszociációs játék. :)
- Euro Truck Simulator 2 & American Truck Simulator 1 (esetleg 2 majd, ha lesz) :)
- Fűzzük össze a szavakat :)
- Szólánc.
- Egy korszak vége
- Ingyen kellene, de tegnapra
- PLEX: multimédia az egész lakásban
- Airfryer XL XXL forrólevegős sütő gyakorlati tanácsok, ötletek, receptek
- Nagy "hülyétkapokazapróktól" topik
-
LOGOUT.hu
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
hojos
aktív tag
Sziasztok.
Családi házban Telekom 150/50 internetet használok. Az optika HG8245H elosztóba jön az emeletre. A földszint és az emelet között beton panel van, egy körlépcsőnyi nyílás van csak szabadon.
A wifi a földszinten elég gyér, ezért gondolkodom saját routerben.
Őt néztem ki:
MikroTik RBD52G-5HACD2HND-TC Router
Mi a véleményetek, jó lehet ez arra, hogy legyen normális wifi a földszinten is ?
A helyzetet bonyolítja, hogy a HG mind a 4 portja foglalt. 2 db. IP TV, 1 db. NAS és egy Smart tv-re mennek a kábelek.
Össze lehet hozni a HG-t és a routert valahogy ? -
bacus
őstag
válasz
yodee_
#13597
üzenetére
tools - netwatch
hozzáadod a figyelni kívánt ip címet, amikor él akkor up statuszban lesz, ebből következik, hogy a a down fülre megy a script
ez addig fog renew-t csinálni, amíg nem elérhető a figyelt ip, a timeout ne legyen kicsi, legyen idő helyreállni a kapcsolatnak, azaz 5-10 mp alá ne menj.
[ Szerkesztve ]
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
-
yodee_
őstag
válasz
ekkold
#13594
üzenetére
A dyndns szkript lefut ütemezettem minden órában, és csak annyi van megadva az ütemezőben hogy "dyndns". Gondolom akkor itt is elég ennyi. Kiderül hogy működik e, amikor a hiba fennállt és az IP / DHCP Client / menüben nyomtam egy renew gombot akkor jó lett. Ha nem lesz jó így akkor marad a lekapcsolás. Próba cseresznye
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M920s
-
ekkold
Topikgazda
válasz
yodee_
#13591
üzenetére
Nem biztos, hogy elegendő a script neve.
Ha a scriptek között van tárolva akkor pl.:
/system script run dyndnsscript.rsc
vagy ha a fájl tárolóban van a script akkor pl.:
import file-name=flash/dyndnsscript.rscHa több DHCP kliens is be van állítva az eszközön akkor a nulla helyén az adott interfészre vonatkozó DHCP kliens listában elfoglalt helyének a sorszáma kell.
/ip dhcp-client renew 0Persze az is kérdés, hogy a renew egyáltalán megoldja-e a problémát. De ha kipróbálod akkor kiderül.... Elképzelhető olyan megoldás is, hogy mondjuk minden éjfélkor letiltod az ETH1 interfészt mondjuk 10 másodpercre, majd újra engedélyezed.
[ Szerkesztve ]
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
-
-
zex
aktív tag
válasz
Reggie0
#13584
üzenetére
Beállítottam a jelszavas védelmet, de mivel a scriptem létrehozza az .rsc és a .backup kiterjesztést is, így ha jól látom csak a .backup-nak tudok jelszavas védelmet adni, az .rsc-nek nem. Ez nem gáz így? Vagy azért nem, mert az .rsc nem tartalmaz alapból jelszavakat, a böbbi meg nem sensitive adat?
-
yodee_
őstag
Sziasztok!
Olyan problémám van, hogy több napos használat után gondol egyet a rendszer és nincs internet elérés. A rendszer elemei egy Huawei B818 router mobilinternettel és egy hAP ac2 DHCP kliensként az ether1-en keresztül. A hiba magától megoldódik véletlenszerű idő alatt. Amikor a hiba megoldódik, az alábbi bejegyzés látszik a log-ban. Arra gondoltam, hogy egy szkripttel megoldható e bizonyos időközönként az ether1 IP megújítása?
Köszönöm
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M920s
-
ekkold
Topikgazda
Szerintem a fájlnévben levő kettőspontokkal van a probléma. Hasonló szkriptet én is készítettem, csak én emailben küldöm el magamnak a mentést. Aztán egy barátom átírta magának FTP-s megoldásra... elég régóta szépen teszi a dolgát.
http://skory.gylcomp.hu/ http://www.skory.z-net.hu/ https://skori.hu/ https://skori.spacetechnology.net/
-
zex
aktív tag
Sziasztok!
Talátam egy jópofa scriptet, amivel automatikusan lementem a roti konfigját az FTP szerómra. Egyedüli gondom, hogy a helyes fájlnevekből ilyen lesz pl: ZV0DS1~Q.RSCDe ez csak akkor jelenik meg ilyen f*sul, ha SAMBA-n keresztül tallózom a mappát. Ha FTP-n vagy WebDAV-on nézem vissza, akkor helyesek a fájlnevek (pl: ZEX-hAP-ac2-apr162021-19:29:23.rsc)
Amúgy egy Synology biztosítja az FTP-t, és próbáltam már a kódoláson is állítani de nem segített. Van valakinek ötlete?
-
#13576
Reggie0
félisten
Marcelldzso
#13573
Reggie0
félisten
válasz
Marcelldzso
#13573
üzenetére
Mert nem tunnel igy egyszerubb esetekben is connect/routing markra lesz szukseg. Peldaul probalj meg csak egy virtual wlan ap-ra protonvpn-t behuzni mikrotik routeren, mig mellette kiszolgalja a normal otthoni halodat is.
#13575 tacsk0: mac-telnet-tel be tudsz lepni, ha nem tiltottad le.
[ Szerkesztve ]
-
tacsk0
aktív tag
Sziasztok
Van egy rb3011 routerem ami capsman. A cap ac -t capsman modban hasznalom. Sikeresen regisztral a capsmanba viszont nincs maganak a cap ac-nak IP cime igy nem erem el.
Hogyan adjak neki IP-t?Itt van az ide vonatkozo konfigom. 2 vlanom van a cap ac az eth10en van.
/interface bridge
add frame-types=admit-only-vlan-tagged name=bridge_guest protocol-mode=none pvid=100 \
vlan-filtering=yes
add frame-types=admit-only-vlan-tagged name=bridge_home pvid=200 vlan-filtering=yes
/interface ethernet/interface vlan
add interface=ether10 name=ether10_vlan_guest vlan-id=100
add interface=ether10 name=ether10_vlan_home vlan-id=200
add interface=bridge_guest name=vlan_guest vlan-id=100
add interface=bridge_home name=vlan_home vlan-id=200/interface bridge port
add bridge=bridge_home frame-types=admit-only-untagged-and-priority-tagged interface=ether6 pvid=\
200
add bridge=bridge_home frame-types=admit-only-untagged-and-priority-tagged interface=ether7 pvid=\
200
add bridge=bridge_home frame-types=admit-only-untagged-and-priority-tagged interface=ether8 pvid=\
200
add bridge=bridge_home frame-types=admit-only-untagged-and-priority-tagged interface=ether9 pvid=\
200
add bridge=bridge_guest frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=\
100
add bridge=bridge_guest frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=\
100
add bridge=bridge_guest frame-types=admit-only-untagged-and-priority-tagged interface=ether4 pvid=\
100
add bridge=bridge_home frame-types=admit-only-untagged-and-priority-tagged interface=ether5 pvid=\
200
add bridge=bridge_guest frame-types=admit-only-untagged-and-priority-tagged interface=\
ether10_vlan_guest pvid=100
add bridge=bridge_home frame-types=admit-only-untagged-and-priority-tagged interface=\
ether10_vlan_home pvid=200/interface bridge vlan
add bridge=bridge_home tagged=bridge_home untagged=ether5,ether6,ether7,ether9,ether8 vlan-ids=200
add bridge=bridge_guest tagged=bridge_guest untagged=ether2,ether3,ether4 vlan-ids=100 -
#13574
E.Kaufmann
veterán
Marcelldzso
#13573
E.Kaufmann
veterán
válasz
Marcelldzso
#13573
üzenetére
Ezek szerint nem próbáltad, pláne nem NAT-on és dinamikus IP címeken keresztül, pláne nem eltérő vendor-ok között
Én előbb lőttem össze RADIUS-sal az SSTP-t Mikrotik-en.
Amúgy rém egyszerű, csinálsz egy IPIP-et, megadod a jelszót és már megy is az IPSec. Ha a két eszköz között nincs NAT és fixek a címek, mi sem egyszerűbb
[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
-
DonJoee
tag
válasz
Reggie0
#13570
üzenetére
Most ugyan a 4011 a fő mindenes router, de pár héten belül már "csak" az internet felé történő forgalmat irányítja, nem erre lesz dugva az összes switch, hanem egy CRS305-re, ami 10 gigás optikai SFP+ modulokon keresztül megy a többi új switchez.
Talán így nem akkora gond ez a 4011. Mondjuk eddig még semekkora, mert nem tapasztaltam problémát vele. A wifi csak vendég wifi, le is korlátoztam 10/2 Mbit/s-re. Mondjuk lehet, hogy ezen emelek kicsit."Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
Reggie0
félisten
válasz
DonJoee
#13569
üzenetére
rb4011 SFP+-ja jo gyengen sikerulhetett, mert passziv DAC-al se megy, nincs benne a kompatibilitasi tablaban se.
Sokan panaszkodnak wifi stabilitasi hibara.
- Wifije se egy nagy szam, nagyjabol annyira szamithatsz, mint cAP-AC-vel. Valamivel gyorsabb, de nem eri meg a felarat.
- wifiwave2 mellett a 2.4 gigas freki nem hasznalhato(persze ez nem feltetlen gond), no meg a capsman-t se tudja. Wifiwave2 nelkul nincs MU-MIMO.
- 4x4 mimot nem tud 160MHz csatornasavszel mellett(ket chain-t ki kell kapcsolni, a negybol, de persze errol sehol sincs doksi, rendesen kutakodni kellett utana), Audience ugyan ez(egyezik a wifi chip).
- switch chiprol sincsenek jo velemenyek(pl. vlan support hianya).[ Szerkesztve ]
-
DonJoee
tag
válasz
Reggie0
#13567
üzenetére
Ezzel a port flappinggal kicsit megijesztettél, de ahogy olvasom, leginkább akkor fordul elő, amikor az RB4011 SFP+ portba dugott RJ45-ös modullal találkozik 1 Gbit/s sebességen (t.i. melegszik szerencsétlen). Az auto negotiation kikapcsolásával "javítható", de így csak fix 1 Gbit/s sebesség lesz. Vagy nem lesz, ha mondjuk egy 100 Mbit/s interfészű nyomtató is csatlakozna a hálóra...
Ahogy olvastam, a rev.2-es RB4011-eket már tákolták valamelyest emiatt (ilyen van nekem is), továbbá optikai modullal ugye kevesebb az áramfelvétel és így a melegedés is, tehát port flapping nincs (még).
Egyébként sima üresjárati módban is úgy tud melegedni szegénykém, hogy komolyan elgondolkodtam egy 10cm x 20 cm-es öntapadós hővezető lap + ugyanekkora alapterületű és kb. 10 cm magas hűtőborda felapplikálásán. Mondjuk nem tudom, hogy egy ekkora vasdarab mennyire vágja agyon a WiFi-képességeket?[ Szerkesztve ]
"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
#13568
Reggie0
félisten
Marcelldzso
#13566
Reggie0
félisten
válasz
Marcelldzso
#13566
üzenetére
IPsec vagy Wireguard nelkul kb. semmi, ha ki akarod hasznalni a 100 mbites savszeleket. Szoval el kell donteni, hogy ipsecet szeretnel-e (kissem acerasabb), vagy inkabb wireguardot, az meg gyorsabb is, mint az ipsec, viszont routeros 7-et kell telepiteni hozza. windows/linux/macos kliensek boven vannak wireguardhoz.
Most kiprobaltam es ket rb1100ahx4 kozott egy linken 30mbit megy at openvpnnel.
Nekem a csucsertek amit sikerult kicsikaron ket ccr1009 routerek kozottnel az 65-90mbit volt. Szemelyes velemenyeim szerint az ovpn ilyen jo, hogy van, ha nagyon muszaj lehet hasznalni, de nem teljesitmenyorientalt a dolog. Foleg routeros 6-on, mert csak egyszalas implementacio van, elvileg routeros 7-en mar jobb a helyzet.Ha a stabil v6-os rendszeren akarsz maradni, akkor csak az ipsec johet szoba. Ahhoz pedig a Hap AC2-ot ajanlom.
[ Szerkesztve ]
-
#13567
Reggie0
félisten
Marcelldzso
#13566
Reggie0
félisten
válasz
Marcelldzso
#13566
üzenetére
Peldaul port flapping, neha lemegy es visszajon a semmitol a link. Ezt tobszor probalta javitani a mikrotik de meg mindig feluti a fejet. Illetve meg jopar dolog miatt panaszkodnak ra a forumon.
RB110AHx4 mar kezdetnek jo lehet, ha ipsec-et hasznalsz, olcsobb kategoriabol pedig a Hex S. Ha nem ragaszkodsz wifi nelkuli cucchoz akkor esetleg egy HAP AC3 vagy hasonlo kategoria. -
Marcelldzso
tag
válasz
Reggie0
#13563
üzenetére
Megpróbálom jobban összefogalmazni. Mindhárom telephelyen van 3db SQL szerver amit egy gépre telepített kliens szoftverrel nézegetnek különböző telephelyeken utazgatva.
Tehát A_B_C telephelyeken nézegetik A_B_C sql szervereit. (készletprogram)
WAN oldalon 100/100 van LAN oldalon pedig gigabit. Az elvárt az lenne, hogy, a telephelyek között valamelyest gyorsabb legyen az elérés, gondoltam ehhez megpróbálnék értelmes eszközt találni.
l2tp/ipsec site2site kapcsolatokon gondolkozom.RB4011/RB3011 milyen bugjai vannak?
Mi akkor az első értelmes választás egy /24-es hálóhoz gigabiten?[ Szerkesztve ]
-
-
Lenry
félisten
válasz
ssarosi
#13562
üzenetére
PPTP-re nem tudok mit mondani, nincs vele tapasztalatom.
mi L2TP/IPSec-et használunk, folyamatosan frissített Mikrotikjeink vannak, gond nélkül tudok a 6.48.1-et futtató központi routerre csatlakozni a saját, szintén 6.48.1-et futtató itthoni routeremmel és akármilyen Windows kliensről is, ahogy a kollégák is.Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
#13563
Reggie0
félisten
Marcelldzso
#13555
Reggie0
félisten
válasz
Marcelldzso
#13555
üzenetére
Errol kerlek meselj tobbet. Mekkora savszel kell kliensenkent es milyen VPN-t szeretnel hasznalni? Nagyon fugg ettol a valasz, a 100Mbit WAN-t kihajtani VPN-nel nem trivialis.
RB4011/RB3011-nek azert vannak bugjai, a helyedben elkerulnem.
[ Szerkesztve ]
-
ssarosi
tag
Köszönöm, ha esetleg segíteni próbálsz.
Az eredeti probléma a 13413-as hozzászólásban van leírva.
Kaptam válaszokat (13429, 13430, 13455), de előrébb nem jutottam.
Ma akartam nekiállni az újraprogramozásnak, de nem volt hozzá lelkierőm, és hAP ac2 is csak holnap jön meg. A válaszodig várok.[ Szerkesztve ]
-
e90lci
senior tag
-
BossBoss
őstag
válasz
e90lci
#13557
üzenetére
Próbáltam többször is. Nem lehet, hogy Netinstall módban ragadt? Lehet tovább tartottam nyomva a gombot. Onnan, hogy lehet kiszedni? Csak program? Mert az sem látja az eszközt.
Egyébként nem értem. Elsőre szépen megjelent winboxba, addig jutottam, hogy Ether1-et átírtam Eth1_WAN-ra és rebootolta magát. Azóta se kép se hang.
-
BossBoss
őstag
Sziasztok!
Hogyan tudok egy RB4011-et fizikailag resetelni? Visszaállítottam factory resettel winboxból, azóta nem látja winbox. Sem ip, se mac címet.
Próbáltam több módot is resetre. Reset gomb benyom és adok neki áramot 10mp elenged, majd 30-30-30. Nem igazán akar működni.
Tud valaki tippet adni?
Köszönöm!
-
#13555
Marcelldzso
tag
Marcelldzso
tag
Sziasztok,
Milyen hardvert ajánlanátok az alábbi konfighoz?
3 végpont fix ip-vel fix dhcp-vel. Ezt szeretném site-to-site összekötni.
A 3 végponton a belső hálón egy-egy sql szerver, ezeket kellene bárhonnan elérni.
Wan: 100mb/s a sávszél LAN:gigabit. Ha ki akarjuk használni a teljes szávszélt milyen eszköz lenne a célszerű?
RB4011?Köszönöm!
-
-
e90lci
senior tag
-
-
contaxg
veterán
Sziasztok full amatőrként szeretnék segítséget kérni. Vettem egy HEX S-t amit Quick Set-tel gyorsan be is tudtam állítani. Annyi tettem, még hogy az MTU-t 1500-ról levettem a DIGI féle 1472-re. Remélem nem csináltam ezzel hülyeséget.
Viszont úgy látom, hogy az IPv6 nem megy pedig telepítve van csak éppen scheduled for enable állásban marad fixen amikor a telepített csomagoknál nyomok rá egy enable-t. Van esetleg valahol leírás mit kell tenni, hogy legyen IPv6-om is DIGI hálózaton?Köszönöm a segítséget előre is!
[ Szerkesztve ]
A jó zenehallgatáshoz nem feltétlen kell minőség. Az egy intellektuális kaland, amit mindenki a saját szintjén élhet meg. A hifi egy eszköz ami ezt az élményt fokozza, de nem feltétlen szükséges hozzá.
-
ssarosi
tag
VPN probléma miatt úgy néz ki újra kell konfigurálnom az RB2011-et. Nem találom a hiba okát. Ennek a routernek a használatát csak minimális ideig tudom nélkülözni, és az az időtartam nekem kevés, hogy nulláról újra beállítsam.
Kérdésem az lenne, járható megoldás e, hogy pl. hAP ac2-n elvégzem a konfigurálást, és utána átviszem a 2011-re a config fájlt?[ Szerkesztve ]
-
-
Kroni1
veterán
Sziasztok! Hap Ac2 megtáplálásához a saját tápegysége, és ez a tipusú gyári Gbites POE feladója megfelelően fog működni igaz?
Korábban olvastam h többféle tipus is van és valaki rossz tipust vett, amivel nem ment neki a POE megtáplálás vagy ilyesmi... Köszi előre is!
-
Reggie0
félisten
válasz
DonJoee
#13540
üzenetére
Igen, hulyeseget irtam, mar faradt vagyok. Tunnelnel normalis ez a maszk, mert pont-pont kapcsolat alapbol a routernek kene forwardingolnia. filter forward, illetve a nat tablakban mi szerepel?
A pptp klienseken default route lesz a pptp szerver vagy nem, azaz a kliens internet elerese is onnantol azon megy keresztul? Ha nem, akkor a halozatra kell egy routingot lekuldeni, mert alapbol csak a default route szabalyt szokas kihasznalni a kliens-kliens forwardinghoz. Ezt a PPP/Secrest-ben a juzert megnyitva juzerenkent tudod megadni. Vagy egy routes mezo, oda kell beirni mint pl. ezt: "<cel cimtartomany pl. 192.168.88.0/24> <szerver pl. 192.168.88.1> 1". Az utolso szamjegy, a peldaban az 1-es a metrika. Tehat egy pelda:"192.168.88.0/24 192.168.88.1 1".[ Szerkesztve ]
-
-
DonJoee
tag
válasz
Reggie0
#13536
üzenetére
Köszi, majd megnézem.
Köszönöm neked is, bacus.Ja igen, Reggie0... olvastam fentebb, hogy otthon vagy PPTP-ben.
Tudnál esetleg a #13524 -ben levő, PPTP-vel kapcsolatos problémámmal kapcsolatban segíteni?"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
Reggie0
félisten
válasz
Reggie0
#13536
üzenetére
Na, ma mar nem adok semmi otletet, mert vak vagyok es nem szurja ki a szemem, hogy tcp...
Az alatta levo sort akartam masolni:
add action=add-src-to-address-list address-list=BlackList \address-list-timeout=6h chain=input dst-port=\20-122,124-499,501-1023,8000,8080,8291 log-prefix=UDP-block protocol=udp \src-address-list=!Local[ Szerkesztve ]
-
Reggie0
félisten
válasz
DonJoee
#13535
üzenetére
Loggold meg az add-src-to-address szabalyokat es hamar kiderul.
Mondjuk nekem ez a gyanus:add action=add-src-to-address-list address-list=BlackList \address-list-timeout=6h chain=input dst-port=20-1023,8000,8080,8291 \protocol=tcp src-address-list=!Local
Mar csak azert is, mert a DHCP UDP portja is beleesik, es az broadcast addressrol jon, amikor meg nincs IP cime a gepnek.[ Szerkesztve ]
-
DonJoee
tag
Igen, megvan a "bűnös":
add action=drop chain=forward src-address-list=BlackListHa ezt kikapcsolom, akkor megy minden szépen.
Vajon mennyire fogja hatástalanítani a feketelistázást, ha kiegészítem mondjuk így?add action=drop chain=forward src-address-list=BlackList connection-nat-state=!dstnatMert ezzel a kiegészítéssel is megy minden. Ja, meg spórolnék egy tűzfal szabályt...
[ Szerkesztve ]
"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
Reggie0
félisten
-
DonJoee
tag
Azt hiszem, ez hiányzott még:
/ip firewall add action=accept chain=forward connection-nat-state=dstnatMert most már van incoming data az irodai gépek megfelelő portján.
Érdekes, hogy ezt eddig nem igazán láttam megemlítve sehol. Mármint azokon a helyeken, ahol külön cikkeket és blogpostokat írtak a port forwardról Mikrotik eszközökön...[ Szerkesztve ]
"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
válasz
Zwodkassy
#13526
üzenetére
És Lenry-nek is
Szóval én qtam el, nem kicsit :-)
Az addig szép, és jó volt, hogy két féle cert-et is legyártottam a Miki-ben: egyet IPv4, és egyet xyz.sn.mynetname.net alapján, és ezeket természetesen a Windows-ba is importáltam, telepítettem. Csakhogy ilyenkor a Miki-ben is, a SSTP Server beállítási alatt is cserélni kell a cert-et, a kapcsolódásnak megfelelően :-) :-) :-)
Köszönet a segítségért! -
-
DonJoee
tag
A Mikrotik 10.x.x.x-en van.
A szolgáltatói routerek 192.168.1.x, 192.168.2.x, 192.168.3.x, statikus IP-k, DMZ-zve, kívülről publikus IP-t kapnak. Molyolok még, hátha nem vettem észre valamit.A másik problémám (és ahogy nézem, a fél internet ezzel küzd), hogy PPTP esetén kapom a Mikrotiken beállított tartományból az IP-t, de 255.255.255.255 maszkkal és magamon kívül senki mást nem látok a helyi hálón... Windows 7, 10, mindnél ugyanez a gond. Skori szerint jártam el.
Egyesek szerint a Windows önmaga maszkolja le így a kapott IP-t, de akkor mi értelme van az egésznek?"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
bacus
őstag
Jó lesz ez, szép lassan csepegtetsz még egy kis infot, aztán majd csak rájövünk, hol a hiba...
Még ez a két bejegyzés nem tetszik
add address=0.0.0.0/8 list=BlackListadd address=127.0.0.0/8 list=BlackListSzerintem ezeket le kéne tiltanod, főleg ha a másik router (telekom) címe is beleesik az elsőbe..
[ Szerkesztve ]
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
DonJoee
tag
Bekapcsoltam az egyik NAT-szabályra a logot és ezt hozza:
dstnat: in:ether1-WAN1 out:(unknown 0), src-mac aa:bb:cc:dd:ee:ff, proto TCP (SYN), xx.yy.ww.zz:52200->192.168.x.y:xxxx5, len 52A 192.168-as cím a Mikrotik statikus IP-címe, amit a Telekomos routerben állítottam be és azt DMZ-zem.
Szerk: Nem tudom, az "out"-nak biztos "unknown"-nak kell lennie?
[ Szerkesztve ]
"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
DonJoee
tag
A tűzfalakkal nincs gond, így mentek a Mikrotik előtt is. De azért most kipróbáltam és semmi változás.
A merült még fel bennem, hogy nem kellene külön engedélyezni accepttel a szóban forgó külvilág felé néző portokat? Vagy ezt a NAT-szabály egyúttal intézi?"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
DonJoee
tag
Egyelőre kettő WAN létezik, de most csak a WAN1 van használatban.
Később a másik is feléled, illetve lehet, hogy lesz egy harmadik is. Muszáj, hogy állandó kapcsolatunk legyen. Három szolgáltatóval talán már menni fog..."Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
bacus
őstag
válasz
DonJoee
#13512
üzenetére
Most nekem fura, de mi ez a három interface? 3 wan kapcsolatod is van?
Ha igen, mert feltételezem, hogy igen, akkor a dst-nat szabályok mellett kellene pár mangle szabály is, mert nem fog működni mindhárom (csak a default gw felől) internetes átjáró felől.
Gondold el, hogy te WAN2 címen beküldesz egy csomagot, ami WAN1 címen válaszolgat.
Na most a forrás címen a WAN2 címről vár választ, azt tudja az ottani router is összekapcsolni (hogy related packet legyen), a WAN1, WAN3 ról érkező csomagok az invalid packet kategóriába kerülnek...Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
Reggie0
félisten
válasz
Zwodkassy
#13513
üzenetére
Az a lenyeg, hogy a kliensnel es a certnel is ugyan azt kell hasznalni. Ha IP, akkor IP, ha host, akkor host.
Ha az IP valtozik idonkent, akkor mindenkeppen host-ot erdemes hasznlani, mert kulonben allandoan cserelheted a certet amikor valtozas van. Esetleg probalhatsz wildcard-os certet csinalni. Kiprobaldhatod, hogy ha egy darab * -ot teszel a CN-be arra hogy reagal, valoszinuleg akkor menni fog barhogyan. (Nem ismerem SSTP-t, hogy mit hajlando elfogadni, SSL eseten a * a wildcard karakter)
[ Szerkesztve ]
-
Lenry
félisten
válasz
Zwodkassy
#13513
üzenetére
"A tanúsítvány CN-neve nem felel meg az átadott értéknek."
kicsit föntebb meg írtad, hogy IP-t adtál meg névnek, akkor arra szól a cert, persze, hogy nem fogadja el a mynetname-s URL-tGvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
válasz
Reggie0
#13510
üzenetére
Mind a két verziót kipróbáltam.
Ha a "xyz.sn.mynetname.net" alapján akarok csatlakozni:
"Nem lehet csatlakozni a következőhöz: Miki SSTP teszt
A tanúsítvány CN-neve nem felel meg az átadott értéknek."
Itt azért egy kicsit trükköztem. Jelenleg egy default konfigos KapAc2-val kísérletezek, méghozzá LAN oldalról.
Annyi a trükk, hogy a "xyz.sn.mynetname.net" nevet, felvettem a "IP / DNS / Static" részbe, így ezt a 192.168.88.1 IPv4 címre oldja fel a Windows számára :-)
PING esetén ezzel nincs gond, sőt a RouterOS HTTP elérése is műxik így :-)[ Szerkesztve ]
-
DonJoee
tag
Most azon gondolkodom, hogy van külön interface-list-em a WAN1, WAN2 és WAN3 portoknak. De csináltam egy közös listát is nekik WAN -néven és így hivatkozok rájuk a port forwarding részben is... Lehet, hogy ezt nem szereti? Meg kell csinálnom az összes szabályt mindhárom WAN-ra külön-külön?
"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
DonJoee
tag
Köszi!
Az alap "Skori"-dolgokból építkeztem, meg a vendég wifit leválasztottam a LAN-ról.
De nézd meg te is, kérlek. Azt hiszem, sikerült "open world"-kompatibilissé tennem az exportot (nincs benne érzékeny adat):# apr/08/2021 13:12:00 by RouterOS 6.47.9# model = RB4011iGS+5HacQ2HnD/ip firewall address-listadd address=x.y.z.2-x.y.z.254 list=Guest_WiFiadd address=0.0.0.0/8 list=BlackListadd address=127.0.0.0/8 list=BlackListadd address=224.0.0.0/3 list=BlackListadd address=a.b.0.0/16 list=Localadd address=x.x.0.0/16 list=Localadd address=x.y.z.0/24 list=Localadd address=213.108.134.181 list=BlackListadd address=213.108.134.182 list=BlackListadd address=213.108.134.183 list=BlackList/ip firewall filteradd action=drop chain=input comment="Guest WiFi internet only" dst-address=\x.y.z.1 dst-port=21,22,23,80,443,1723,2000,8291 protocol=tcp \src-address-list=Guest_WiFiadd action=drop chain=forward dst-address-list=Local src-address-list=\Guest_WiFiadd action=drop chain=input comment="DNS from LAN only" dst-address-list=\!Local dst-port=53 protocol=udpadd action=fasttrack-connection chain=forward comment="FastTrack enable" \connection-state=established,related dst-address-list=Localadd action=accept chain=forward connection-state=established,relatedadd action=drop chain=input connection-state=invalidadd action=drop chain=forward connection-state=invalidadd action=accept chain=input connection-state=establishedadd action=accept chain=input in-interface-list=!WAN src-address-list=Localadd action=add-src-to-address-list address-list=BlackList \address-list-timeout=1d10m chain=input comment=\"Blacklisting of port scanners" protocol=tcp psd=21,3s,3,1 tcp-flags=""add action=add-src-to-address-list address-list=BlackList \address-list-timeout=6h chain=input dst-port=20-1023,8000,8080,8291 \protocol=tcp src-address-list=!Localadd action=add-src-to-address-list address-list=BlackList \address-list-timeout=6h chain=input dst-port=\20-122,124-499,501-1023,8000,8080,8291 log-prefix=UDP-block protocol=udp \src-address-list=!Localadd action=drop chain=input log-prefix=Input-BlackList src-address-list=\BlackListadd action=drop chain=forward src-address-list=BlackListadd action=add-src-to-address-list address-list=VPN_login \address-list-timeout=1m30s chain=input comment="VPN login protection" \connection-state=new dst-port=1723 protocol=tcp src-address-list=\!VPN_loggedadd action=add-src-to-address-list address-list=VPN_logged \address-list-timeout=59m chain=input connection-state=new dst-port=1723 \protocol=tcp src-address-list=!VPN_loggedadd action=add-src-to-address-list address-list=BlackList \address-list-timeout=5h59m chain=input connection-state=new dst-port=1723 \protocol=tcp src-address-list=!VPN_logged/ip firewall natadd action=masquerade chain=srcnat out-interface-list=WAN1add action=masquerade chain=srcnat out-interface-list=WAN2add action=masquerade chain=srcnat out-interface-list=WAN3add action=masquerade chain=srcnat comment="VPN internet access" disabled=yes \src-address=x.x.z.0/24add action=dst-nat chain=dstnat comment="New broadcast address for WOW" \
dst-port=abcde in-interface-list=WAN protocol=\udp to-addresses=x.x.w.254 to-ports=9add action=dst-nat comment="Port forwarding for clients" chain=dstnat \
dst-port=xxxx1 in-interface-list=WAN \protocol=tcp to-addresses=x.x.0.201 to-ports=yyyyyadd action=dst-nat chain=dstnat dst-port=xxxx2 in-interface-list=WAN \protocol=tcp to-addresses=x.x.0.202 to-ports=yyyyyadd action=dst-nat chain=dstnat dst-port=xxxx3 in-interface-list=WAN \protocol=tcp to-addresses=x.x.0.203 to-ports=yyyyy........."Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
válasz
Reggie0
#13454
üzenetére
Sikerülni sikerült már létrehozni kapcsolatot, de csak úgy, ha a cert-ben is az IPv4 címet adtam meg, és a Windows-ban is erre az IPv4 címre szól az SSTP kapcsolat.
Próbáltam az "IP / Cloud" alatt található DDNS névvel is (xyz.my.netname.net), de nem jött össze :-(
Valamit nem jól csinálok? -
#13507
Lenry
félisten
silver-pda
#13506
Lenry
félisten
válasz
silver-pda
#13506
üzenetére
szerintem már másnap se volt
én rendeltem, elvileg ma érkezik.Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Sziasztok!
Új vagyok a Mikrotik routerek körében, olvasgattam utána eleget, de sajnos egy kapufába ütköztem..
Van egy hAp ac3 routerem, és port forwarding és névfeloldás problémám van.
Van egy Synology NAS-om amin sok minden fut, köztük webszerver és plex.
A plex 32400 -as porton kommunikál... ez OK. NAT filter résznél megcsináltam a hozzávaló szűrést, és kintről (más netről) tökéletesen el lehet érni a plex-et meg a nast is, viszont belső hálózatból nem megy. Akárhonnan próbálom (kábel vagy wifi) a nast csak IP alapján tudom elérni, a hozzá rendelt domain név alapján nem, és a plex pedig kidobja hogy a szerver nem elérhető, úgy hogy külső hálózatból vagy akár 4G-ről simán elérem...Valakinek van valami ötlete, hogy mihez kellene hozzányúlnom?
Köszi előre is!
--
MZ -
#13502
Lenry
félisten
silver-pda
#13501
Lenry
félisten
válasz
silver-pda
#13501
üzenetére
u.FL
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
köszönöm, kipróbálom. Azt is lehet integrálni, hogy a renew után lefusson egyből a dyndns szkript? A /ip dhcp-client renew 0 után a következő sorba mehet a szkript neve? 
Van ilyen.
Sorry! Köszönet a segítségért! 
Új hozzászólás Aktív témák
Hirdetés
- ASUS ROG Zephyrus G14 -14" WUXGA IPS 144Hz -Ryzen 7 6800HS - 16GB - 512GB - RX 6700S 8GB - 1 év gari
- ! 2 év gyártói garancia ! AULA F87 PRO Vezeték Nélküli Mechanikus Gamer Billentyűzet
- OWON SPM6103 programozható tápegység (0-60V/0-10A) és multiméter
- Razer Blade 16 - i9-13950HX, RTX 4090 (175W MAX TDP!), 32GB DDR5, 2TB SSD, Win11 Pro - GARI
- GoPro 7 Black Edition
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest