Én nem azt mondtam, hogy az SFP nem 1G, hanem azt, hogy az SFP nem SFP+ . Nem korlátozták le az SFP+ portot 1G-re, hanem eleve az SFP portról írtak, ami ugye max. 1.25 G, általános felhasználásban 1 G.
Szóval nincs semmilyen korlátozás, valami más lesz a gond.

"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen

Át szeretném rakni a konfigot egy hap ac2-ről egy hap ac3-ra.
Sima export parancs kimenetét rakjam át, vagy az export verbose kimenetét?
Mac címekre figyelni kell, az rendben.

Meg lehet állapítani, hogy a hap ac2-n teljesen üres volt-e, vagy a defaultra konfigoltam rá? (/system reset-configuration vagy /system reset-configuration no-defaults volt-e kiadva)

Vagy hagyjam a francba, építsem újra a konfigot és csak a spéci dolgokat vegyem ki a régiből? (pár éve csináltam és megkopott az a kevés felszedett tudás azóta )

[ Szerkesztve ]

Nem. Az SFP+-os portok remekül mentek, az SFP-moduloknál volt gond, mást jelzett ki, mást lehetett állítani, mint amilyen sebességet tudott.

Sziasztok!
Egy ideje használok otthon egy mikrotik routert, de eléggé kezdő vagyok még mélyebb témáiban. Esetleg, ha itt le tudnátom írni szájbarágósan, hogyan tudnám beállítani az alábbi dolgokat.
Szükség lenne egy olyan IP cím tartományra a LAN hálózaton, ami a LAN-on belül tud kommunimálni, de a WAN felé nem. Viszont ha VPN-nel becsatlakozik valaki kintről, akkor az elérje a fenti eszközöket.
A hab a tortán az lenne, ha viszonylag egyszerűen (néhány) kattintással meg lehetne azt csinálni, hogy rövid ideig elérje az internetet.

Tud ebben segíteni valaki?
Előre is köszönöm a segítséget!

[ Szerkesztve ]

Olyan nincs, hogy valami nem sörnyitó ....

Több különböző LAN IP tartomány használatához, a LAN oldali bridge-nek több IP címet kell adni. Az, hogy melyik tartomány tud netezni, két dologgal szabályzható ill. korlátozható:
- A NAT szabály(ok)ban meg lehet adni, hogy melyik IP tartományra vonatkozzon.
- Tűzfal szabályokkal

A VPN alaphelyzetben mindegyik IP tartományt látja, de tűzfal szabályokkal ez is korlátozható.

Mivel minden szabály ki/be kapcsolható egyetlen kattintással, így "hab a tortán" is megoldható.

Nyilván meg kell oldani a DHCP szerver megfelelő beállítását, és azt is hogy melyik eszköz melyik IP tartományba kerüljön (pl. MAC adress alapján). De végülis ez is csak pár kattintás.

Más lehetőség ha csak 1 IP tartomány van, de abból nem minden cím éri el az internetet... Ehhez csak tűzfal szabály(ok) kellenek.

Viszont egy ilyen komplett konfig azért lehet, hogy nem fér el 3..4 sorban itt a fórumban...

[ Szerkesztve ]

Köszönöm!

Olyan nincs, hogy valami nem sörnyitó ....

Sziasztok,

Digi a napokban nálunk is elvégezte az FTTB -> FTTH átállítást, eddig csak egy ethernet kábel (+ a koax a TV-hez) jött be a lakásba, most már optika fut be a végén egy ONT-vel.

Az ONT-t még a szerelés ideje alatt bridge-be rakattuk, nem variálunk.

A probléma az, hogy az átalakítás óta drasztikusan megnövekedtek a pppoe kapcsolat szakadásaink, egységnyi idő alatt nagyjából 100x annyi szakadás van, mint korábban, és (főleg HO idején) ez így nagyon nem jó. Az elmúlt 24 órában 9x szakadtunk le, a cserét megelőzően 3 hónap alatt nem történt ennyi szakadás, néztem a syslogon.

A logban periódikusan ennyit látok, és körülbelül 2-3 óránként ismétlődik:

18:28:22 pppoe,ppp,info pppoe-out1: terminating... 
18:28:23 pppoe,ppp,info pppoe-out1: disconnected 
18:28:23 pppoe,ppp,info pppoe-out1: initializing... 
18:28:23 pppoe,ppp,info pppoe-out1: connecting... 
18:28:24 pppoe,ppp,info pppoe-out1: terminating... - failed to authenticate ourselves to peer 
18:28:24 pppoe,ppp,info pppoe-out1: disconnected 
18:28:24 pppoe,ppp,info pppoe-out1: initializing... 
18:28:24 pppoe,ppp,info pppoe-out1: connecting... 
18:28:25 pppoe,ppp,info pppoe-out1: terminating... - failed to authenticate ourselves to peer 
18:28:25 pppoe,ppp,info pppoe-out1: disconnected 
18:28:26 pppoe,ppp,info pppoe-out1: initializing... 
18:28:26 pppoe,ppp,info pppoe-out1: connecting... 
18:28:27 pppoe,ppp,info pppoe-out1: authenticated 
18:28:27 pppoe,ppp,info pppoe-out1: connected

Érdekelne, hogy rajtam kívül más tapasztalt-e hasonlót, esetleg van-e ötletetek, hogy mit érdemes ellenőrizni/átállítani? (nem gondolom, hogy Mikrotik oldalon lesz a hiba, de szeretnék minden lehetőséget kizárni)

Köszönöm!

"I'd tell you a joke about UDP, but you probably wouldn't get it."

Melyik router? Irtam, hogy a 3011 -eket downgradelnem kellett, mert ha nem is 8x, de napi 2-3x leszakadt a miki. Ráadásnak nem is volt optika váltás, csak vmi nem volt jó.

(és digi, telekom optika is érintett volt, szóval tuti, hogy a router frissítés okozta nálam)

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Ez egy RB450Gx4, a szoftver mostanában nem lett pöcögtetve: 6.47.2

"I'd tell you a joke about UDP, but you probably wouldn't get it."

Én átrakatnám rendes router módba a digi eszközét,mert lehet hogy az optikával van gond vagy az új hálózattal.
Ha akkor nem szakadozik ellenőrizném a Mikrotiket. Amúgy elsőnek megpróbálhatnád felfrissíteni a miki-t,mert 1 perc alatt megvan. Ha attól megjavul akkor úgy volt a legkönyebb elhárítani a problémát.

Új FTTH bekötésnél gyakori hiba hogy az optikai kábel ügyfél oldali végén a gyorscsatlakozót helytelenül kötik be, aminek következtében túl gyenge lesz a jel az ONT-n, a végeredményt pedig látod. Másik - sokkal ritkább eset - amikor a kábel másik végén a hegesztés van elrontva (pl. buborék keletkezik amit nem látnak vagy nem törődnek vele), ekkor jelszint rendben szokott lenni, de a torzítás miatt ugyanúgy eldobálja a netet (+telefon, TV ha van).

Legegyszerűbb ha közvetlenül rádugod a géped, azon hozol létre PPPoE-t és így használod egy ideig.

Ha így is eldobja, be kell jelenteni.

Yo momma's so FAT she can save files bigger than 4GB!

Üdv.
Mostanában azt vettem észre, hogy a hap ac2 routeremhez nem tudok 5ghz-n csatlakozni.
Mindig ledobálja a telefont.
Kíváncsiságból kikapcsoltam a 2,4ghz-s interface-t és ezután azonnal tudok csatlakozni és stabil is a kapcsolat.
Ha visszakapcsolom, újra nem enged csatlakozni 5ghz-n.

Találkozott valaki ilyesmivel?
Mi lehet a gond?

Köszönöm.

Amikor PPPoE csatlakozáson keresztül van internet (pl Digi), olyanokor az ethernet interfészre is alkalmaztok tűzfal szabály(oka)t?

Ugy erted hogy pl ETH1-en jon be a net, de ETH1-rol megy egy PPPoE kapcsolat, es ekkor alkalmazunk-e tuzfal szabalyt ETH1-re?

Alapbol nem.

PPPoE kapcsolat is interface-nek szamit, igy arra kell csak tuzfal szabaly. ETH1-re alkalmazott tuzfalszabalyok nem vonatkoznak PPPoE forgalomra.
Termeszetesen mehet ETH1-en egyeb forggalom, ami miatt lehet tuzfal szabalyokat alkalmazni ra, de azok ugyszinten nem kell(ene) hogy erintsek a PPPoE forgalmat.
(Nem allitom 100%-ra mert mikrotik specifikus tapasztalatom ezzel kapcsolatban nincs.)

Yo momma's so FAT she can save files bigger than 4GB!

Direkt nem írtam konkrét ethernet port-ot.
Főleg, hogy nem is feltétlenül csak egy ilyen lehet a RouterOS-ben.
De természetesen lehet ez az "ether1" is.
Igen, az internet forgalma a "pppoe" interfészen megy. De ettől, még a "külvilág" felé ott van az adott "ether-x" is. Ez mondjuk egy Digi esetében az ONT-ig tart. Vagy még sem? Erre irányult volna a kérdésem

[ Szerkesztve ]

Sziasztok!

Az mitől lehet (hAPac2), hogy ha wifire kapcsolódik a telefonom, akkor a DHCP kérésnél, csak az "offering" állapotig jut a dolog. utána a telefon kiírja, hogy nincs internet kapcsolat. Onnantól a DHCP Lease-nél nem is látszik a teló.
Más wifi eszközzel még nem próbáltam, de a telefon egy másik wifi hálózaton működik rendesen.
Nem vagyok túl nagy szaki, szóval biztosan én rontottam el valamit.
Kérlek segítsetek, hogy mi okozhat ilyet!

Olyan nincs, hogy valami nem sörnyitó ....

Ezzel beállítom, hogy csak belső hálóból érjem el a winbox szolgáltatást:
/ip service set winbox address=192.168.88.0/24
Ezzel meg engedélyezem, hogy kívülről elérjem:
/ip firewall filter add chain=input in-interface=ether1 protocol=tcp port=8291 action=accept comment="allow Winbox"
Ha ez a 2 parancs van, akkor ez ellentmondás nem?
Viszont kívülről nem engedném winboxot, akkor ez a firewall filter nem kell, ugye?

Kintről szükséges az ssh elérés? Van egy ilyenem:
/ip firewall filter add chain=input in-interface=ether1 protocol=tcp port=22 action=accept comment="allow SSH"

Ez a 2 ip firewall skori leírásában nem volt, de a help.mikrotik.com-on szerepelt.

[ Szerkesztve ]

Még mindig ezzel a problémával küzdök. Semmilyen Wifi-s eszköz nem tud csatlakozni rendesen. Átnéztem a Wifi beállításokat Skori leírása alapján, de nem jövök rá, hogy hol a gond.
Megpróbálom részletesen leírni, hogy mi történik, hátha Ti tudtok segíteni.
1. Kapcsolódni szeretnék, mondjuk egy telefonnal a wifi-re, akkor a DHCP Leases-nél megjelenik az telefon, de a Status-nál azt írja, hogy "offering" (Pedig az IP cím, amit kap elvileg jó)
2. Ekkor a telefon kiírja, hogy "csatlakoztatva, internet kapcsolat ellenőrzése".
3. Egy kis idő elteltével a telő kiírja, hogy "csatlakoztatva, nincs internetkapcsolat". A telefonon ellenőrzöm az a kapott IP címet és ilyenkor a DHCP pool-on kívüli IP-t látok és a Default gateway is más mint, aminek lennie kellene.
4. Eltűnik a DHCP Leases-ből a telefon.

Valakinek van ötlete, hogy mi lehet a probléma?
Köszi előre is minden segítséget!

Olyan nincs, hogy valami nem sörnyitó ....

Jó bridge-ben van az a Wifi interface? Jó üzemmódban van (AP-Bridge)?

Le az elipszilonos jével, éljen a "j" !!!

Egy Bridge van és igen AP-Bridge módban van maga az interface.

Olyan nincs, hogy valami nem sörnyitó ....

Az offering pongyolán fogalmazva azt jelenti,hogy a router (ami a dhcp szerver) felajánl egy IP-t a telónak. Teló visszaszól, hogy jó lesz és a dhcp szerver nyugtázza és befoglalja neki.
nincs másik pool-od esetleg?

Van másik pool-om a VPN kapcsolatoknak, de az más subnet-ben van. Amit a telefon kap IP az ugyan abban a subnetben van, mint a DHCP pool, de nem a pool tartományában, hanem felette. a Pool 200-ig tart. A teló meg kap egy 213-at és default gatewaynek meg kap 201-et.
Nagyon nem értem.

Olyan nincs, hogy valami nem sörnyitó ....

más dhcp szerver a hálózatban?

Ott lesz a baj. Az egyik virtuális gép, ami nemrég került fel erre a hálózatra szintén futtat DHCP szervert. Ezt mondjuk nem tudom, hogyan tudom megoldani, mert annak is mennie kellene...
De nagyon köszönöm a segítséget!

Olyan nincs, hogy valami nem sörnyitó ....

esetleg a virtuális gépen a telo mac address-ét exclude-olod.

Az érintett bridge-ben kapcsold be a DHCP Snooping -ot.

Yo momma's so FAT she can save files bigger than 4GB!

Igen, ez lett a megoldás.
Köszönöm még egyszer mindenki segítségét!

Olyan nincs, hogy valami nem sörnyitó ....

Az első a WinBox-ot állítja be, hogy honnan fogadjon el csatlakozásokat. Tehát ami eljut hozzá, azzal mit kezdjen.

A második a tűzfal, azaz, hogy egyáltalán bejuthat-e a routerbe a csomag. Ha a tűzfalon beszabályozod a WinBox-ot (vagy akár tiltod a teljes külső elérést), akkor a WB-t már nem kell piszkálni, hisz nem is jut el addig a kérés. Így a logba sem kerül be alap esetben.

Az SSH-t csak te tudhatod, hogy el akarod-e érni kívülről. De semmiképp nem jelszóval és nem a 22-es porton javaslom, minimum egy portcsere + kulcsos hitelesítés, de ha biztosra akarsz menni, egy VPN, aztán ha arra fellépsz, onnan elérhetsz mindent.

üdv, adika4444

Van egy szabályom: /ip firewall nat add action=dst-nat chain=dstnat ...
Csinálnék egy másikat:
/ip firewall filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat <- ez a dstnat az előzőből a chain vagy action (dst-nat) lenne?

@adika4444: köszi

Sem a Winbox, sem az SSH elérését nem célszerű kintről engedélyezni. Ha valamiért mégis elkerülhetetlen, akkor sem a standard porton, hanem egy másik, véletlenszerűen választott porton (pl. 10000 felett). Ezen kívül ilyenkor érdemes további tűzfal szabályokkal is megtámogatni, pl. hogy adott idő alatt csak 3 próbálkozást engedjen, vagy mondjuk "fehérlistát" létrehozni, és csak a listán szereplők számára engedélyezni a hozzáférést. A fehérlistára dinamikus címeket is fel lehet tenni, illetve az ún. kopogtatásos módszerek is hatékonyak.

De talán még jobb megoldás a VPN használata. Ilyenkor egyáltalán nem kell portokat nyitni kifelé. Ilyenkor elsősorban a VPN-t kell védeni, a fentiekhez hasonlóan, tehát pl.:
- hosszú és bonyolult jelszó használata
- korlátozni a jelszó próbálgatások számát,
- fehérlista használata
- port kopogtatás, vagy csomagméret kopogtatás fehérlistával
- jelszócsere adott időnként
- feketelista a támadó IP címeknek
- stb....

Azt szeretnéd ezzel a tűzfal szabállyal elérni, hogy azokat a kapcsolatokat dobja és ne forwardolja amelyekre nincs DST-nat szabály létrehozva?
Lehet, hogy tévedek, de ennek így nem sok értelme van. Amit nem tud hová tovább forwardolni a router, mert nincs rá NAT szabály, az amúgy is el lesz dobva...
Igazából azt kellene eldönteni, hogy a kapcsolat jogos, vagy esetleg káros , és ez alapján dönteni hogy drop legyen-e. Erre vannak módszerek.

Köszi.
Winbox, ssh tiltva lett kívülről.

A miki felkonfigurálását 2 leírás alapján végzem: Te leírásod és help.mikrotik.com javaslatai.
Utóbbinál volt egy port forward:
/ip firewall nat add chain=dstnat protocol=tcp port=3389 in-interface=ether1 \
action=dst-nat to-address=192.168.88.254

És a későbbiekben egy ilyen szabályt írtak még (kliens védelemre):
/ip firewall filter add chain=forward action=drop \
connection-state=new connection-nat-state=!dstnat in-interface=ether1 \
comment="drop access to clients behind NAT form WAN"

Bár ez alapján dstnat kell és nem dst-nat.
Tehát az első szabályból a chain kell a második szabályba a connection-nat-state -hez, ha jól gondolom.

Van olyan eszközöd aminek a címe 192.168.88.254 és a TCP 3389-es porton kommunikál?

Windows PC, RDP, naggyon egészséges az ilyen... ja, nem , mondjuk, ha azon a címen nincs PC, akkor nincs gond.

Le az elipszilonos jével, éljen a "j" !!!

Igen, egy win10. Csak nem a 254-n hanem 231 címen. Ez a 254 az eredeti leírásban van, még nem írtam át a sajátomra.

Távoli asztalt kirakni a netre, ahogyan előttem is írták, eléggé veszélyes játék (magyarul: számíthatsz rá, hogy állandóan próbálkoznak majd a hekkeléssel, és esetleg szét is fogják hekkelni).

Még a legkevésbé biztonságosnak tartott PPTP-VPN is sokkal jobb megoldás lenne. Vagy miniumum egy fehérlistás megoldás kellene, hogy ne kapcsolódhasson bárki bárhonnan.

[ Szerkesztve ]

"korlátozni a jelszó próbálgatások számát"

VPN esetén ezt hogyan csinálod?

A VPN-re kapcsolódni próbálkozók felkerülnek két IP listára, ha ezután 90 másodpercen belül nem lép be a megfelelő usernév/jelszó párossal, akkor feketelistára kerül az IP néhány órányi (vagy tetszés szerinti) időtartamra. Ez a 90 másodperc a gyakorlatban 3...4 jelszó kipróbálására ad lehetőséget. A logban annyi látszik ilyenkor, hogy próbálkozik admin, root, user, teszt felhasználónevekkel és kb. ennyire futotta, ment a feketelistára.
Ehhez kell néhány tűzfal szabály, és egy egyszerű script. A script minden VPN kapcsolat felépülésekor lefut + óránként egyszer. Annyit csinál, hogy ha él az adott IP-hez tartozó VPN kapcsolat, akkor az IP listában másfél órára meghosszabbítja azt az időt amíg a tűzfal nem teszi feketelistára. Mivel óránként is lefut így a lejárat előtt mindíg meghosszabítja az időt. Elég régóta használom ezt a megoldást, és szerintem sokat javít a VPN biztonságosságán.

De van egyszerűbb megoldás is, PPTP esetében, adott idő alatt a 1723-as portra érkező új kapcsolatok száma alapján is feketelistára tehető a próbálkozó, mivel minden új jelszó kipróbálásához új TCP kapcsolatot kell indítani. Ehhez csak tűzfal szabályok kellenek, script-re nincs szükség.

A játék kedvéért az előbb mindkét megoldást beállítottam, megnézzük melyik tesz több IP-t a feketelistára!
Ja, és két hétig lesz feketelistán egy IP, és hogy saját magamat semmiképpen se zárjam ki, van kopogtatós fehérlista is

[ Szerkesztve ]

A kopogtatást én is szoktam használni 😂

Köszönöm. Figyelni fogok az rdpre.

Adott egy 3011 és egy 4011. Egyiknél sem tudom megnézni a "Sector Writes" értékeket :-(
Ezekből kimaradt ez a funkció?

Nem a routerbol maradt ki, hanem a Router OS-bol. Valamelyik verzioban kivezettek es nem is szamolja, tehat hiaba rakod vissza a regebbi verziot, nem lesz ott aktualizalt ertek.

A LAN-on belüli összes forgalom átmegy a Firewall-on?

Dhcp szerver:
- vpn kapcsolatnak, hogy tudok külön pool-ból ip címet adni? Pool-t létrehozom, az rendben, dhcp szerverhez nem kell hozzárendelni külön? Vagy ezt a vpn "szerver" kezeli?
- hogy adható másik pool-ból ip az egyik wlan-nak?

[ Szerkesztve ]

Attol fugg melyiken. Ha a sima IP/Firewall-ra gondolsz, akkor odaig az jut el, amivel a procinak dolga van(pl. routing, virtual interfeszre megy, stb. stb..), kulonben a switch IC-n belul marad.
Ha a bridge firewall-ra gondolsz, ott minden forgalom atmegy.

- Attol fugg milyen VPN.
- Kulon DHCP szervert raksz arra az interfeszre.

[ Szerkesztve ]

Köszi.
IP Firewall-ra gondoltam virtual interfesz esetén, tehát akkor ez átmegy.

L2TP, illetve PPTP esetén kérdéses a pool. Úgy látom csak pool-t kell megadni, a többit intézi a vpn szerver.
Egyik wlan-nak pool: tehát kell egy másik dhcp szerver és pool. Viszont a bridge1-be van az összes ethernet port meg a 2 darab wlan.Akkor onnan ki kellene venni vagy vhogy exclude-olni, hogy ne kapjon az eredeti dhcp-től ip-t.

szóval azt a wlan-t egy új bridge-be kell rakni és arra mehet az új pool és dhcp szerver.
(éppen mást gugliztam és beleszaladtam. )

[ Szerkesztve ]

Vagy nem kell új bridge, ha ez a wlan virtuális, mert úgyis le lenne tűzfalazva, akkor simán mehet dhcp szerver erre a virt wlan-ra, tűzfal miatt pedig a dhcp kérések nem mennek át másik hálózatba.

Ha a egy külön hálózatot akarsz kialakítani wifivel, saját DHCP címtartománnyal, akkor a DHCP működhet a wifi interfészen is, de ha több interfészen is használni akarod ezt a hálózatot, akkor azoknek kell egy külön bridge, és a DHCP szervernek is ezt a bridge-t kell kell beállítani.