- Magga: PLEX: multimédia az egész lakásban
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Luck Dragon: Asszociációs játék. :)
- eBay-es kütyük kis pénzért
- sziku69: Fűzzük össze a szavakat :)
- Eztis_Aztis: Hogyan tovább....
- gerner1
- Lalikiraly: Astra kalandok @ Harmadik rész
- sziku69: Szólánc.
- Fogkefe: elektromos vagy manuális?
-
LOGOUT
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#13700
ekkold
Topikgazda
silver-pda
#13699
ekkold
Topikgazda
válasz
silver-pda
#13699
üzenetére
Ha a egy külön hálózatot akarsz kialakítani wifivel, saját DHCP címtartománnyal, akkor a DHCP működhet a wifi interfészen is, de ha több interfészen is használni akarod ezt a hálózatot, akkor azoknek kell egy külön bridge, és a DHCP szervernek is ezt a bridge-t kell kell beállítani.
-
#13699
silver-pda
aktív tag
silver-pda
#13698
silver-pda
aktív tag
válasz
silver-pda
#13698
üzenetére
Vagy nem kell új bridge, ha ez a wlan virtuális, mert úgyis le lenne tűzfalazva, akkor simán mehet dhcp szerver erre a virt wlan-ra, tűzfal miatt pedig a dhcp kérések nem mennek át másik hálózatba.
-
#13698
silver-pda
aktív tag
silver-pda
#13697
silver-pda
aktív tag
válasz
silver-pda
#13697
üzenetére
szóval azt a wlan-t egy új bridge-be kell rakni és arra mehet az új pool és dhcp szerver.
(éppen mást gugliztam és beleszaladtam. ) -
#13697
silver-pda
aktív tag
Reggie0
#13696
silver-pda
aktív tag
válasz
Reggie0
#13696
üzenetére
Köszi.
IP Firewall-ra gondoltam virtual interfesz esetén, tehát akkor ez átmegy.L2TP, illetve PPTP esetén kérdéses a pool. Úgy látom csak pool-t kell megadni, a többit intézi a vpn szerver.
Egyik wlan-nak pool: tehát kell egy másik dhcp szerver és pool. Viszont a bridge1-be van az összes ethernet port meg a 2 darab wlan.Akkor onnan ki kellene venni vagy vhogy exclude-olni, hogy ne kapjon az eredeti dhcp-től ip-t. -
#13696
Reggie0
félisten
silver-pda
#13695
Reggie0
félisten
válasz
silver-pda
#13695
üzenetére
Attol fugg melyiken. Ha a sima IP/Firewall-ra gondolsz, akkor odaig az jut el, amivel a procinak dolga van(pl. routing, virtual interfeszre megy, stb. stb..), kulonben a switch IC-n belul marad.
Ha a bridge firewall-ra gondolsz, ott minden forgalom atmegy.- Attol fugg milyen VPN.
- Kulon DHCP szervert raksz arra az interfeszre. -
#13695
silver-pda
aktív tag
silver-pda
aktív tag
A LAN-on belüli összes forgalom átmegy a Firewall-on?
Dhcp szerver:
- vpn kapcsolatnak, hogy tudok külön pool-ból ip címet adni? Pool-t létrehozom, az rendben, dhcp szerverhez nem kell hozzárendelni külön? Vagy ezt a vpn "szerver" kezeli?
- hogy adható másik pool-ból ip az egyik wlan-nak? -
ekkold
Topikgazda
válasz
Zwodkassy
#13687
üzenetére
De van egyszerűbb megoldás is, PPTP esetében, adott idő alatt a 1723-as portra érkező új kapcsolatok száma alapján is feketelistára tehető a próbálkozó, mivel minden új jelszó kipróbálásához új TCP kapcsolatot kell indítani. Ehhez csak tűzfal szabályok kellenek, script-re nincs szükség.
-
ekkold
Topikgazda
válasz
Zwodkassy
#13687
üzenetére
A VPN-re kapcsolódni próbálkozók felkerülnek két IP listára, ha ezután 90 másodpercen belül nem lép be a megfelelő usernév/jelszó párossal, akkor feketelistára kerül az IP néhány órányi (vagy tetszés szerinti) időtartamra. Ez a 90 másodperc a gyakorlatban 3...4 jelszó kipróbálására ad lehetőséget. A logban annyi látszik ilyenkor, hogy próbálkozik admin, root, user, teszt felhasználónevekkel és kb. ennyire futotta, ment a feketelistára.
Ehhez kell néhány tűzfal szabály, és egy egyszerű script. A script minden VPN kapcsolat felépülésekor lefut + óránként egyszer. Annyit csinál, hogy ha él az adott IP-hez tartozó VPN kapcsolat, akkor az IP listában másfél órára meghosszabbítja azt az időt amíg a tűzfal nem teszi feketelistára. Mivel óránként is lefut így a lejárat előtt mindíg meghosszabítja az időt. Elég régóta használom ezt a megoldást, és szerintem sokat javít a VPN biztonságosságán. -
#13686
ekkold
Topikgazda
silver-pda
#13685
ekkold
Topikgazda
válasz
silver-pda
#13685
üzenetére
Távoli asztalt kirakni a netre, ahogyan előttem is írták, eléggé veszélyes játék (magyarul: számíthatsz rá, hogy állandóan próbálkoznak majd a hekkeléssel, és esetleg szét is fogják hekkelni).
Még a legkevésbé biztonságosnak tartott PPTP-VPN is sokkal jobb megoldás lenne. Vagy miniumum egy fehérlistás megoldás kellene, hogy ne kapcsolódhasson bárki bárhonnan.
-
#13683
ekkold
Topikgazda
silver-pda
#13682
ekkold
Topikgazda
válasz
silver-pda
#13682
üzenetére
Van olyan eszközöd aminek a címe 192.168.88.254 és a TCP 3389-es porton kommunikál?
-
#13682
silver-pda
aktív tag
ekkold
#13681
silver-pda
aktív tag
válasz
ekkold
#13681
üzenetére
Köszi.
Winbox, ssh tiltva lett kívülről.A miki felkonfigurálását 2 leírás alapján végzem: Te leírásod és help.mikrotik.com javaslatai.
Utóbbinál volt egy port forward:
/ip firewall nat add chain=dstnat protocol=tcp port=3389 in-interface=ether1 \
action=dst-nat to-address=192.168.88.254És a későbbiekben egy ilyen szabályt írtak még (kliens védelemre):
/ip firewall filter add chain=forward action=drop \
connection-state=new connection-nat-state=!dstnat in-interface=ether1 \
comment="drop access to clients behind NAT form WAN"
Bár ez alapján dstnat kell és nem dst-nat.
Tehát az első szabályból a chain kell a második szabályba a connection-nat-state -hez, ha jól gondolom. -
#13681
ekkold
Topikgazda
silver-pda
#13679
ekkold
Topikgazda
válasz
silver-pda
#13679
üzenetére
Azt szeretnéd ezzel a tűzfal szabállyal elérni, hogy azokat a kapcsolatokat dobja és ne forwardolja amelyekre nincs DST-nat szabály létrehozva?
Lehet, hogy tévedek, de ennek így nem sok értelme van. Amit nem tud hová tovább forwardolni a router, mert nincs rá NAT szabály, az amúgy is el lesz dobva...
Igazából azt kellene eldönteni, hogy a kapcsolat jogos, vagy esetleg káros , és ez alapján dönteni hogy drop legyen-e. Erre vannak módszerek. -
#13680
ekkold
Topikgazda
silver-pda
#13667
ekkold
Topikgazda
válasz
silver-pda
#13667
üzenetére
Sem a Winbox, sem az SSH elérését nem célszerű kintről engedélyezni. Ha valamiért mégis elkerülhetetlen, akkor sem a standard porton, hanem egy másik, véletlenszerűen választott porton (pl. 10000 felett). Ezen kívül ilyenkor érdemes további tűzfal szabályokkal is megtámogatni, pl. hogy adott idő alatt csak 3 próbálkozást engedjen, vagy mondjuk "fehérlistát" létrehozni, és csak a listán szereplők számára engedélyezni a hozzáférést. A fehérlistára dinamikus címeket is fel lehet tenni, illetve az ún. kopogtatásos módszerek is hatékonyak.
De talán még jobb megoldás a VPN használata. Ilyenkor egyáltalán nem kell portokat nyitni kifelé. Ilyenkor elsősorban a VPN-t kell védeni, a fentiekhez hasonlóan, tehát pl.:
- hosszú és bonyolult jelszó használata
- korlátozni a jelszó próbálgatások számát,
- fehérlista használata
- port kopogtatás, vagy csomagméret kopogtatás fehérlistával
- jelszócsere adott időnként
- feketelista a támadó IP címeknek
- stb.... -
#13679
silver-pda
aktív tag
silver-pda
aktív tag
Van egy szabályom: /ip firewall nat add action=dst-nat chain=dstnat ...
Csinálnék egy másikat:
/ip firewall filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat <- ez a dstnat az előzőből a chain vagy action (dst-nat) lenne?@adika4444: köszi
-
#13678
adika4444
addikt
silver-pda
#13667
adika4444
addikt
válasz
silver-pda
#13667
üzenetére
Az első a WinBox-ot állítja be, hogy honnan fogadjon el csatlakozásokat. Tehát ami eljut hozzá, azzal mit kezdjen.
A második a tűzfal, azaz, hogy egyáltalán bejuthat-e a routerbe a csomag. Ha a tűzfalon beszabályozod a WinBox-ot (vagy akár tiltod a teljes külső elérést), akkor a WB-t már nem kell piszkálni, hisz nem is jut el addig a kérés. Így a logba sem kerül be alap esetben.
Az SSH-t csak te tudhatod, hogy el akarod-e érni kívülről. De semmiképp nem jelszóval és nem a 22-es porton javaslom, minimum egy portcsere + kulcsos hitelesítés, de ha biztosra akarsz menni, egy VPN, aztán ha arra fellépsz, onnan elérhetsz mindent.
-
ratkaics
senior tag
Van másik pool-om a VPN kapcsolatoknak, de az más subnet-ben van. Amit a telefon kap IP az ugyan abban a subnetben van, mint a DHCP pool, de nem a pool tartományában, hanem felette. a Pool 200-ig tart. A teló meg kap egy 213-at és default gatewaynek meg kap 201-et.
Nagyon nem értem.
-
#13671
silver-pda
aktív tag
ratkaics
#13668
-
#13670
ratkaics
senior tag
E.Kaufmann
#13669
ratkaics
senior tag
válasz
E.Kaufmann
#13669
üzenetére
Egy Bridge van és igen AP-Bridge módban van maga az interface.
-
ratkaics
senior tag
válasz
ratkaics
#13666
üzenetére
Még mindig ezzel a problémával küzdök. Semmilyen Wifi-s eszköz nem tud csatlakozni rendesen. Átnéztem a Wifi beállításokat Skori leírása alapján, de nem jövök rá, hogy hol a gond.
Megpróbálom részletesen leírni, hogy mi történik, hátha Ti tudtok segíteni.
1. Kapcsolódni szeretnék, mondjuk egy telefonnal a wifi-re, akkor a DHCP Leases-nél megjelenik az telefon, de a Status-nál azt írja, hogy "offering" (Pedig az IP cím, amit kap elvileg jó)
2. Ekkor a telefon kiírja, hogy "csatlakoztatva, internet kapcsolat ellenőrzése".
3. Egy kis idő elteltével a telő kiírja, hogy "csatlakoztatva, nincs internetkapcsolat". A telefonon ellenőrzöm az a kapott IP címet és ilyenkor a DHCP pool-on kívüli IP-t látok és a Default gateway is más mint, aminek lennie kellene.
4. Eltűnik a DHCP Leases-ből a telefon.Valakinek van ötlete, hogy mi lehet a probléma?
Köszi előre is minden segítséget! -
#13667
silver-pda
aktív tag
silver-pda
aktív tag
Ezzel beállítom, hogy csak belső hálóból érjem el a winbox szolgáltatást:
/ip service set winbox address=192.168.88.0/24
Ezzel meg engedélyezem, hogy kívülről elérjem:
/ip firewall filter add chain=input in-interface=ether1 protocol=tcp port=8291 action=accept comment="allow Winbox"
Ha ez a 2 parancs van, akkor ez ellentmondás nem?
Viszont kívülről nem engedném winboxot, akkor ez a firewall filter nem kell, ugye?Kintről szükséges az ssh elérés? Van egy ilyenem:
/ip firewall filter add chain=input in-interface=ether1 protocol=tcp port=22 action=accept comment="allow SSH"Ez a 2 ip firewall skori leírásában nem volt, de a help.mikrotik.com-on szerepelt.
-
ratkaics
senior tag
Sziasztok!
Az mitől lehet (hAPac2), hogy ha wifire kapcsolódik a telefonom, akkor a DHCP kérésnél, csak az "offering" állapotig jut a dolog. utána a telefon kiírja, hogy nincs internet kapcsolat. Onnantól a DHCP Lease-nél nem is látszik a teló.
Más wifi eszközzel még nem próbáltam, de a telefon egy másik wifi hálózaton működik rendesen.
Nem vagyok túl nagy szaki, szóval biztosan én rontottam el valamit.
Kérlek segítsetek, hogy mi okozhat ilyet! -
Direkt nem írtam konkrét ethernet port-ot.
Főleg, hogy nem is feltétlenül csak egy ilyen lehet a RouterOS-ben.
De természetesen lehet ez az "ether1" is.
Igen, az internet forgalma a "pppoe" interfészen megy. De ettől, még a "külvilág" felé ott van az adott "ether-x" is. Ez mondjuk egy Digi esetében az ONT-ig tart. Vagy még sem? Erre irányult volna a kérdésem -
Necc
addikt
válasz
Zwodkassy
#13663
üzenetére
Ugy erted hogy pl ETH1-en jon be a net, de ETH1-rol megy egy PPPoE kapcsolat, es ekkor alkalmazunk-e tuzfal szabalyt ETH1-re?
Alapbol nem.
PPPoE kapcsolat is interface-nek szamit, igy arra kell csak tuzfal szabaly. ETH1-re alkalmazott tuzfalszabalyok nem vonatkoznak PPPoE forgalomra.
Termeszetesen mehet ETH1-en egyeb forggalom, ami miatt lehet tuzfal szabalyokat alkalmazni ra, de azok ugyszinten nem kell(ene) hogy erintsek a PPPoE forgalmat.
(Nem allitom 100%-ra mert mikrotik specifikus tapasztalatom ezzel kapcsolatban nincs.) -
Kenderice
senior tag
Üdv.
Mostanában azt vettem észre, hogy a hap ac2 routeremhez nem tudok 5ghz-n csatlakozni.
Mindig ledobálja a telefont.
Kíváncsiságból kikapcsoltam a 2,4ghz-s interface-t és ezután azonnal tudok csatlakozni és stabil is a kapcsolat.
Ha visszakapcsolom, újra nem enged csatlakozni 5ghz-n.Találkozott valaki ilyesmivel?
Mi lehet a gond?Köszönöm.
-
Necc
addikt
válasz
A_ScHuLcZ
#13657
üzenetére
Új FTTH bekötésnél gyakori hiba hogy az optikai kábel ügyfél oldali végén a gyorscsatlakozót helytelenül kötik be, aminek következtében túl gyenge lesz a jel az ONT-n, a végeredményt pedig látod. Másik - sokkal ritkább eset - amikor a kábel másik végén a hegesztés van elrontva (pl. buborék keletkezik amit nem látnak vagy nem törődnek vele), ekkor jelszint rendben szokott lenni, de a torzítás miatt ugyanúgy eldobálja a netet (+telefon, TV ha van).
Legegyszerűbb ha közvetlenül rádugod a géped, azon hozol létre PPPoE-t és így használod egy ideig.
Ha így is eldobja, be kell jelenteni.
-
válasz
A_ScHuLcZ
#13659
üzenetére
Én átrakatnám rendes router módba a digi eszközét,mert lehet hogy az optikával van gond vagy az új hálózattal.
Ha akkor nem szakadozik ellenőrizném a Mikrotiket. Amúgy elsőnek megpróbálhatnád felfrissíteni a miki-t,mert 1 perc alatt megvan. Ha attól megjavul akkor úgy volt a legkönyebb elhárítani a problémát. -
A_ScHuLcZ
addikt
Sziasztok,
Digi a napokban nálunk is elvégezte az FTTB -> FTTH átállítást, eddig csak egy ethernet kábel (+ a koax a TV-hez) jött be a lakásba, most már optika fut be a végén egy ONT-vel.
Az ONT-t még a szerelés ideje alatt bridge-be rakattuk, nem variálunk.
A probléma az, hogy az átalakítás óta drasztikusan megnövekedtek a pppoe kapcsolat szakadásaink, egységnyi idő alatt nagyjából 100x annyi szakadás van, mint korábban, és (főleg HO idején) ez így nagyon nem jó. Az elmúlt 24 órában 9x szakadtunk le, a cserét megelőzően 3 hónap alatt nem történt ennyi szakadás, néztem a syslogon.
A logban periódikusan ennyit látok, és körülbelül 2-3 óránként ismétlődik:
18:28:22 pppoe,ppp,info pppoe-out1: terminating...
18:28:23 pppoe,ppp,info pppoe-out1: disconnected
18:28:23 pppoe,ppp,info pppoe-out1: initializing...
18:28:23 pppoe,ppp,info pppoe-out1: connecting...
18:28:24 pppoe,ppp,info pppoe-out1: terminating... - failed to authenticate ourselves to peer
18:28:24 pppoe,ppp,info pppoe-out1: disconnected
18:28:24 pppoe,ppp,info pppoe-out1: initializing...
18:28:24 pppoe,ppp,info pppoe-out1: connecting...
18:28:25 pppoe,ppp,info pppoe-out1: terminating... - failed to authenticate ourselves to peer
18:28:25 pppoe,ppp,info pppoe-out1: disconnected
18:28:26 pppoe,ppp,info pppoe-out1: initializing...
18:28:26 pppoe,ppp,info pppoe-out1: connecting...
18:28:27 pppoe,ppp,info pppoe-out1: authenticated
18:28:27 pppoe,ppp,info pppoe-out1: connectedÉrdekelne, hogy rajtam kívül más tapasztalt-e hasonlót, esetleg van-e ötletetek, hogy mit érdemes ellenőrizni/átállítani? (nem gondolom, hogy Mikrotik oldalon lesz a hiba, de szeretnék minden lehetőséget kizárni)
Köszönöm!
-
ekkold
Topikgazda
válasz
ratkaics
#13654
üzenetére
Több különböző LAN IP tartomány használatához, a LAN oldali bridge-nek több IP címet kell adni. Az, hogy melyik tartomány tud netezni, két dologgal szabályzható ill. korlátozható:
- A NAT szabály(ok)ban meg lehet adni, hogy melyik IP tartományra vonatkozzon.
- Tűzfal szabályokkalA VPN alaphelyzetben mindegyik IP tartományt látja, de tűzfal szabályokkal ez is korlátozható.
Mivel minden szabály ki/be kapcsolható egyetlen kattintással, így "hab a tortán" is megoldható.
Nyilván meg kell oldani a DHCP szerver megfelelő beállítását, és azt is hogy melyik eszköz melyik IP tartományba kerüljön (pl. MAC adress alapján). De végülis ez is csak pár kattintás.
Más lehetőség ha csak 1 IP tartomány van, de abból nem minden cím éri el az internetet... Ehhez csak tűzfal szabály(ok) kellenek.
Viszont egy ilyen komplett konfig azért lehet, hogy nem fér el 3..4 sorban itt a fórumban...
-
ratkaics
senior tag
Sziasztok!
Egy ideje használok otthon egy mikrotik routert, de eléggé kezdő vagyok még mélyebb témáiban. Esetleg, ha itt le tudnátom írni szájbarágósan, hogyan tudnám beállítani az alábbi dolgokat.
Szükség lenne egy olyan IP cím tartományra a LAN hálózaton, ami a LAN-on belül tud kommunimálni, de a WAN felé nem. Viszont ha VPN-nel becsatlakozik valaki kintről, akkor az elérje a fenti eszközöket.
A hab a tortán az lenne, ha viszonylag egyszerűen (néhány) kattintással meg lehetne azt csinálni, hogy rövid ideig elérje az internetet.Tud ebben segíteni valaki?
Előre is köszönöm a segítséget! -
#13652
silver-pda
aktív tag
silver-pda
aktív tag
Át szeretném rakni a konfigot egy hap ac2-ről egy hap ac3-ra.
Sima export parancs kimenetét rakjam át, vagy az export verbose kimenetét?
Mac címekre figyelni kell, az rendben.Meg lehet állapítani, hogy a hap ac2-n teljesen üres volt-e, vagy a defaultra konfigoltam rá? (/system reset-configuration vagy /system reset-configuration no-defaults volt-e kiadva)
Vagy hagyjam a francba, építsem újra a konfigot és csak a spéci dolgokat vegyem ki a régiből? (pár éve csináltam és megkopott az a kevés felszedett tudás azóta
) -
DonJoee
tag
-
Beniii06
addikt
A sárga jelzés tippre 100-as kapcsolatot jelent gigabit helyett(szín szerint általában fordítva van jelölve, gondolom nem az összes többi eszközöd 100-as kapcsolaton lóg), lehet haldoklik a port vagy a kábellel van valami. Először csatlakoztasd másik portra és ha ott is csinálja, akkor kábel(vég)csere.
-
-
#13642
Reggie0
félisten
E.Kaufmann
#13641
Reggie0
félisten
válasz
E.Kaufmann
#13641
üzenetére
En IPQ4000-res szeriaju cuccokkal hasonlitottam ossze. Az egyik egy CAP AC wifi AP volt, a masik amivel kiprobaltam a Mikrotik Audience (az is IPQ4000-res), a harmadik pedig a CRS326-os szeriaju switchem.
Most nekem egyedul a NAS van bekotve a CCR routerre bondinggal, mert linuxos a NAS es a legolcsobb megoldas a savszel novelesere egy usb-gigabit ethernet adapter vasarlasa volt.
-
#13640
Reggie0
félisten
E.Kaufmann
#13639
Reggie0
félisten
válasz
E.Kaufmann
#13639
üzenetére
CCR routeren kb. nulla terheles
-
#13639
E.Kaufmann
veterán
Reggie0
#13638
E.Kaufmann
veterán
válasz
Reggie0
#13638
üzenetére
Nem játszottam vele ilyet, inkább "kettébontottam" (hw diagramnak megfelelően) a Mikrotik-et és hanyagoltam a bondingot. Így azóta is müxik, se CPU terhelés, se hálózati gixerek. Egyik lábon meg még a PoE is jön. Igaz, így nincs olyan szépen elosztva a terhelés, de jobb mint egy darab gigabites uplink.
-
#13638
Reggie0
félisten
E.Kaufmann
#13637
Reggie0
félisten
válasz
E.Kaufmann
#13637
üzenetére
Nekem mikrotik es mikrotik kozott hibatlanul megy. Elviekben TCP-nel lehet vele problema, ha a linkek kesleltetese elter, mert akkor a megvaltozo packetsorrend miatt elkezdi ujraadni, mert azt hiszi h elveszett.
-
Reggie0
félisten
válasz
Pille99
#13631
üzenetére
Ha visszaolvasol kicsit nemreg sztorizgattam a bondingrol, mert en is jatszottam vele itthon.
Rossz hirem van: switchel neked sosem lesz dupla savszeled. De reszletesebben: a 802.11ad uzemmod ami a mikrotikes switchekben implementalva van a source es target cimek alapjan egy hash tablat keszit es a hash tabla eleme alapjan donti el, hogy a tobb interfeszbol melyiken kuldje az adott csomagot. Tehat ket egyazon pont kozott mindig csak az egyik kabelen megy a forgalom, igy a sebesseg annak a maximuma lesz. Pont-multipon kapcsolat eseten, azaz, ha pl. tobb klienssel hasznalod a NAS-t akkor mar szetosztja a terhelest.
(Alternativakent meg a balance xor-t tudod valasztani layer3-layer4 hash tablaval, igy az ip-cim es port alapjan kesziti a hash tablat, de ekkor is egy streamen nem lesz dupla savszeled, legalabb ket kapcsolatot kell hozza inditani egy geprol a nasra.)
Ahhoz, hogy a sebesseg duplajara novekedjen ugynevezett "balance rr"="balance round-robin" uzemmod kell, ami a csomagokat felvaltva kuldi ki a portokon, a tuloldalt meg felvaltva fogadja. A rossz hirem, hogy ezt csak processzorbol tudja csinalni, mert a switch IC nem tamogatja hardverbol, viszont ehhez gyengek ezek a switchben levo procik. Az elemeleti 1gigabit sem lesz meg, nekem a CRS324-es switchen 700mbit korul tetozott. Es RouterOS kell hozza.Az RB4011-nel varhatoan 40-50% processzorterhelest fok eredmenyezni 2GBit forgalmazas balance-rr uzemmodban, iranyonkent! Azaz, ha mindket iranyban 2GBit forgalom eseten mar 80% vagy felette lesz a proci.
-
Pille99
tag
válasz
Beniii06
#13632
üzenetére
Tudják a 802.3ad-t, ki is írják, hogy 2 GB.
Közben a laptopomat is rádugtam a switchre a Nas2 mellé. A NAS1 a 4011-re csatlakozott.
Másoltam a Nas1-ről a Nas2-re. Ment 1 GB-tel. Elkezdtem a laptopra is másolni és a sebesség leesett. A két másolás együtt volt 1 GB. Mintha a 10 Gb-os optikai 1 GB lenne.
A 4011 és a CSS610 is azt jelzi, hogy 10 GB az sfp. -
Pille99
tag
Sziasztok.
Van egy nasom 2 db 1 Gigás lan porttal. Ezt egyesítettem port trönköléssel (802.3ad szerint)
A miki 4011-ben ezt a műveletet Bonding néven találtam meg. Sikerült a 4011-et és a NAS-t összehozni.
Most vettem egy miki switch-et (CSS610-8G-2S+IN).
A SwOS-ben se Bonding, se port trönkölést nem találok.
Itt, hogy kell egyesíteni?
Előre is kösz. -
ekkold
Topikgazda
válasz
totoka2
#13621
üzenetére
Wifi kikapcsolása:
/interface disable wlan1
Wifi bekapcsolása:
/interface enable wlan1
A per jel ne maradjon le az elejéről. Ha az interfész nevét megváltoztattad, akkor a wlan1 vagy wlan2 helyén az aktuális nevét kell beírni (nálam pl. wlan2.4G és wlan5G).
Időzíteni a scheduler-ben tudod ezeket a parancsokat. Kipróbáltam, jól működnek. -
totoka2
tag
válasz
ekkold
#13617
üzenetére
"AP-nek konfigurálni csak annyi hogy 1db bridge-t kell létrehozni, és abba betenni az összes interfészt, és be kell állítani a wifi paramétereit. Még IP címet sem feltétlenül kell adni neki, de akár DHCP kliens, akár fix IP is beállítható (akár egyszerre is) a könnyebb kezelhetőség érdekében."
Ez érthető. Skory leírása alapján sztem menni fog.
A wlan1-2 ki/bekapcs szkriptjére van valami ötlet? Az időzítése azt hiszem menni fog. -
ekkold
Topikgazda
A tűzfalad alap logikai koncepciója hibás. Korlátoztad a kimenő forgalmat 12 portra. Attól, hogy te mondjuk a 43788-as portot használod a torrent klienseden, mások valószínűleg teljesen más portot használnak, de mivel ezek nem szerepelnek a listádon, ezekkel nem tudsz kommunikálni, azaz kb. senki más torrent kliensével sem. Egy munkahelyen még csak-csak megértem (megértem, de nem értek egyet vele), hogy ilyen drasztikusan korlátozzák pl. a dolgozók net elérését, ha pl. a munkájukhoz nincs szükségük rá. Otthon meg szimplán hülyeség (bocs) mert csak saját magadat (és esetleg a családtagokat) szivatod meg vele. Ugyanakkor semmilyen plusz biztonságot nem ad, sőt lényeges dolgokat meg nem védesz (pl. winbox portja, DNS, stb...), amit viszont igencsak kellene...
-
fsgl
csendes tag
Sziasztok! Torrent klienst szeretnék működésre bírni. Kliensben a kapcsolat állapotánál Online van, viszont a le-fel töltés nem indul el.
A következő szabályaim vannak:/ip firewall filter
add action=accept chain=forward out-interface=bridge1-LAN
add action=accept chain=forward connection-nat-state="" dst-port=\
80,81,21,110,123,143,443,465,853,53,43788,8080 in-interface=bridge1-LAN out-interface=\
ether1-WAN protocol=tcp
add action=accept chain=forward dst-port=80,81,21,110,123,143,443,465,853,53,43788,8080 \
in-interface=bridge1-LAN out-interface=ether1-WAN protocol=udp
add action=drop chain=forward comment="DROP ALL"/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN
add action=dst-nat chain=dstnat dst-port=43788 protocol=udp src-port="" to-addresses=\
192.168.10.50 to-ports=43788
add action=dst-nat chain=dstnat dst-port=43788 protocol=tcp src-port="" to-addresses=\
192.168.10.50 to-ports=43788Mit rontottam el? Köszönöm
-
ekkold
Topikgazda
válasz
totoka2
#13616
üzenetére
Az, hogy a DHCP-t be kell-e kapcsolni attól függ, hogy sima AP-ként van konfigurálva, vagy routerként működik úgy, hogy a a wifi külön hálózat lesz.
A QuickSet szoftver verziónként változhat, sokan nem is követik, hogy éppen mit tud, és mit nem. Már erősebb kezdő szinten sem javasolt a QuickSet használata (sőt kimondottan kerülendő).AP-nek konfigurálni csak annyi hogy 1db bridge-t kell létrehozni, és abba betenni az összes interfészt, és be kell állítani a wifi paramétereit. Még IP címet sem feltétlenül kell adni neki, de akár DHCP kliens, akár fix IP is beállítható (akár egyszerre is) a könnyebb kezelhetőség érdekében.
Persze ehhez meg kell ismerni kicsit a Mikrotik ill. a RouterOS beállításának logikáját - kell hozzá némi szakértelem ill. műszaki érzék.
Ha ez nincs meg, ill. ha szándék sincs a tanulásra, akkor egyszerűbb eladni és más típust venni, vagy megbízni valakit, hogy állítsa be neked.
Ha van szándék és kitartás megismerni a RouterOS-t, akkor bizonyára sokan tudnak majd segíteni, de ehhez is el kel jutni egy olyan szintre, hogy legalább kérdezni tudj, és meg tudd érteni a választ amit kapsz. Kezdésnek talán olvasgass itt egy kicsit: [link]
Persze ha érthető volt , hogyan állítsd be AP-nek (bridge+portok +wifi beállítás - QuickSet nékül), akkor hajrá... Ha elakadsz kérdezz! -
totoka2
tag
Sziasztok!
Új vagyok Mikrotik témában és lenne néhány konfig kérdésem. Eddig csak egyszerűbb Routerekkel hozott össze a sors (többnyire TP-link) de most vettem egy cAP ac AP-t, és nem boldogulok a konfigurálással.
Az egyik kérdésem, hogy a régi mini TP-link AP-nél nem kellett, hogy az AP-n bekapcsoljam a DHCP-t ... anélkül is ment a net rajta keresztül. AP- módban felcsatlakozott rá az eszköz, és gondolom a Telekom-os SagemCom router adta az IP-t. Ha a Mikrotik-ben kikapcsolom a DHCP-t, akkor nincs internet a rá csatlakozott eszközzel (nem kap IP-t). ez hogy van? ... mindenképpen be kell kapcsolni a DHCP-t?
QuickSet-ben "HomeAP Dual"-ba állítottam, és gateway+DNSnek megadtam a Telekom-os Router IP-jét. mit hibáztam el ?
A másik kérdésem, hogy a wifi-t hogyan tudom időzítetten ki, és bekapcsolni? Éjszakára szeretném kikapcsolni.
Azt olvastam itt, hogy scrip-el lehet ki/bekapcsolni, és utána időzíteni lehet, de a kikapcs script nem, vagy nem jól működik.
Az itt írottakat írtam be #12369
... de ha csak wlan1-et írok, akkor is kilövi mindkét wifi-t, és a logban pirosan írja, hogy "script, error" -
#13615
Shkiz0
nagyúr
silver-pda
#13608
válasz
silver-pda
#13608
üzenetére
Én is vettem már tőlük, nincs gond velük.
-
Bobolit
aktív tag
Sziasztok! Ez most lehet, kicsit hülyén fog hangzani, de egyelőre nem lelem a megoldást
Nemrég cseréltem a szolgáltatói DLINK-et egy 3110-re. Az egyik cél az volt, hogy az IoT-s eszközök külön VLAN-on legyenek, legyen külön Guest, stb. Mindent szépen át is tudtam költöztetni, kivéve egy dolgot, egy Broadlink RM Pro-t. Az ide vonatkozó konfig úgy néz ki, hogy az ether9-en van a Unifi AP, ezen vannak a VLAN interface-ek. Az ether9 pedig benne van egy bridge-ben, ami a management LAN, hogy wifi-ről is lehessen piszkálni a router-t, meg ezen vannak a 'biztonságos' eszközök. Ez a Broadlink azt csinálja, hogy ha a VLAN nélküli management SSID-ra lököm fel, akkor szépen beregisztrálja magát és működik. Ellenben a VLAN-okon csak elkezdi a párosítást, de soha nem fejezi be, IP-t még kap.Próbaképpen még a subnet szeparációt is kikapcsoltam a tűzfalban, az sem érdekli. Mi lehet a különbség?Illetve lehetne-e monitorozni a kapcsolatot, hogy hol akadhat el? Köszönöm! -
#13610
silver-pda
aktív tag
silver-pda
#13608
silver-pda
aktív tag
válasz
silver-pda
#13608
üzenetére
Most már itthon is látszik a sima posta.
@Lenry: kösz az infót -
#13609
Lenry
félisten
silver-pda
#13608
Lenry
félisten
válasz
silver-pda
#13608
üzenetére
én vásároltam már tőlük, nem volt vele gond
-
#13608
silver-pda
aktív tag
silver-pda
#13607
silver-pda
aktív tag
válasz
silver-pda
#13607
üzenetére
Nem ismerem ezt a céget, de most utána olvasgatva, érdekes vélemények vannak a vásárlások után.
Úgy tűnik, van egy központi "helyük", mert szlovák oldalt nézve, ugyanaz a készlet látszódik. Viszont szlovák oldalról a rendelésnél előre fizetésnél van cirka 2200ft-ért is szállítás, míg magyarnál ez nem létezik.
-
#13607
silver-pda
aktív tag
silver-pda
aktív tag
Állítólag van sima hap ac3 itt
-
bigrock
addikt
Sziasztok,
Segítséget szeretnék kérni: a melóhelyemen beüzemeltem egy Hex Poe routert Skori instrukciói alapján (köszönöm).
Szeretném elérni VPN-en keresztül, ami az otthoni wifi hálózatomból sikerül is a Mikrotik saját Dyn szolgáltatásával, de ha mobilneten megyek ki a netre a laptoppal, akkor már nem. Gondolom, berakja a próbálkozást a blacklist-re és nem enged be.
Hogyan tudnám ezt engedélyezni?
Itt a tűzfal:0 D ;;; special dummy rule to show fasttrack counterschain=forward action=passthrough1 ;;; Drop invalid packages INPUT chainchain=input action=drop connection-state=invalid log=no log-prefix=""2 ;;; Enable established connections INPUT chainchain=input action=accept connection-state=established,related log=no log-prefix=""3 ;;; Fasttrack connectionchain=forward action=fasttrack-connection connection-state=established,related dst-address=10.0.10.0/24 log=no log-prefix=""4 ;;; Enable established connections FORWARD chainchain=forward action=accept connection-state=established,related log=no log-prefix=""5 ;;; Disable DNS outside accesschain=input action=drop protocol=udp src-address=!10.0.10.0/24 dst-port=53 log=no log-prefix=""6 ;;; Disable invalid connections FORWARD chainchain=forward action=drop connection-state=invalid log=no log-prefix=""7 ;;; A <LAN IP> tartomanyba eso forrascimu csomagok atengedesechain=input action=accept src-address=10.0.10.0/24 in-interface=!ether1 log=no log-prefix=""8 ;;; Port scannerschain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=blacklist address-list-timeout=1d10m log=no log-prefix=""9 chain=input action=add-src-to-address-list protocol=udp src-address=!10.0.10.0/24 address-list=blacklist address-list-timeout=6h dst-port=20-122,124-499,501-1023,8000,8080,8291 log=no log-prefix=""10 ;;; drop blacklist INPUTchain=input action=drop src-address-list=blacklist log=no log-prefix=""11 ;;; drop blacklist FORWARDchain=forward action=drop src-address-list=blacklist log=no log-prefix=""12 ;;; L2TP input acceptchain=input action=accept protocol=udp dst-port=1701 log=no log-prefix=""13 chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""14 chain=input action=accept protocol=udp dst-port=4500 log=no log-prefix=""Köszönöm a segítséget.
-
Beniii06
addikt
"Egyébként a routerről amit írtam mi a véleményed ? Jó lehet, vagy esetleg van másik alternatíva ?"
Általános otthoni célra teljesen tökéletes, akár 1000/1000 nethez is elég. Ettől komolyabb már ennek a többszörösébe kerül. Wifi sebességben maximum ~300 Mbps várható el/annyit fog tudni 5GHz-en is, ha ettől többre van szükséged, akkor másik márkát kell nézned. Szerintem a csak hap ac2-vel nem fogod tudni megfelelően lefedni a földszintet és az emeletet is, így muszáj leszel az ONT mögé rakni DMZ-be vagy csak AP-nak(erre felesleges a mikrotik, nem tudod kihasználni a képességeit)
-
hojos
aktív tag
válasz
Beniii06
#13601
üzenetére
Köszönöm a válaszod.
Még a régi rendszerű az IP TV.
Minden eszközöm a földszinten van, csak az HG van az emeleten.
Tudom kábelre kötni a routert a földszinten, ha mondjuk a NAS helyére teszem.
Egyébként a routerről amit írtam mi a véleményed ? Jó lehet, vagy esetleg van másik alternatíva ? -
Beniii06
addikt
Attól függ hol akarod elhelyezni a hap ac2-t. Ha van a földszintre lemenő utp vagy legalább megtudod csinálni, azzal lehetne a legjobb lefedettséget elérni. Ha az ONT mellé teszed, földszinten nem sok javulás lesz, de akkor fentre is kell egy igmp képes switch is, aminek nem muszáj mikrotiknek lennie, ~8k körül kapni ilyet.
Mindkét tv az emeleten van? Régi fajta iptv-d van vagy az új androidos?
Ha a régi akkor akkor pppoe passthrough-al akár ki is iktathatod az ONT-ot vagy berakhatod DMZ-be az ONT-ot, ekkor lesz azon is net elérés, cserében dupla nat van és lehetnek port nyitási problémák. Ha az új akkor annyival is bonyolódik, hogy pppoe passthrough esetén az ONT-nak is fel kell jelentkeznie, mert net is kell a boxoknak, de két pppoe session engedélyezett a Telekomnál.
Úgy tervezz, hogy az iptv-k mindenképpen maradjanak az ONT-ra kötve, mert hiba esetén egyből azt kérdezi a szolgáltató és nem hajlandóak hibajegyet felvenni rá, ha saját eszközre csatlakoztatod őket.
, mondjuk, ha azon a címen nincs PC, akkor nincs gond.
Új hozzászólás Aktív témák
- HP 14 Pavilion FHD IPS i5-1135G7 4.2Ghz 16GB RAM 512GB SSD Intel Iris XE Graphics Win11 Garancia
- GYÖNYÖRŰ iPhone SE 2020 128GB Black -1 ÉV GARANCIA - Kártyafüggetlen, MS3278, 100% Akkumulátor
- Xiaomi 12T Pro 256GB, Kártyafüggetlen, 1 Év Garanciával
- Eladó karcmentes Apple iPhone 13 Pro Max 512GB / 12 hó jótállással
- Bomba ár! Lenovo ThinkPad Yoga 260 - i5-G6 I 8GB I 256SSD I 12,5" Touch I W10 I Cam I Gari!
Állásajánlatok
Cég: FOTC
Város: Budapest