Hirdetés

2024. március 28., csütörtök

Gyorskeresés

Téma összefoglaló

Téma összefoglaló

  • Utoljára frissítve: 2021-08-17 20:43:18

LOGOUT.hu

Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Összefoglaló kinyitása ▼

Hozzászólások

(#13751) Adamo_sx válasza ratkaics (#13750) üzenetére


Adamo_sx
aktív tag

Igaz, én Digivel használom, de egy ilyesmi Huawei E3276s-150-et vettem. Létezik mindenféle néven, az enyém épp a hangzatos Megafon-ra hallgat. Szintén hAP AC2-vel használom.

(#13752) pitiless válasza ratkaics (#13750) üzenetére


pitiless
senior tag

Huawei E3372h-153 pl. megy. Ebből a -320-ast egyelőre kerülném.

De Mikrotik fórumon írták, hogy ez is megy: https://www.telekom.hu/shop/termek/Alcatel+LinkKEY+IK40V--ALCATEL+LINKKEY+IK40V++BLK?sku=jsku1754630110&contractType=newPrepaid&paymentType=FULL&preselectedTariffplanBundleSkuId=sku2070117

(elvileg kártyafüggetlen, listaáron is meg lehet venni)

https://wiki.mikrotik.com/wiki/Manual:Peripherals

(#13753) kriszrap válasza ekkold (#13748) üzenetére


kriszrap
tag

Megfogadtam tanácsod be állítgattam a routingokat.
Sikerült de olyan helyzet alakult hogy
pl
Automatice csinál egy dinamikus routingot :
Address : 172.16.6.7 Network 172.16.6.14

Én megadtam azt hogy :
address 172.16.6.7 / 16 Network 172.16.0.0
Ez működik de csak addig míg 172.16.6.7 címet nem adja a távoli dhcp.

De nem igy szeretném ha nem
address 172.16.0.1/16 network :172.16.0.0

Ha erre változtatom akkor nem működik sajnos valamiért.
Miért nem működik ez a változat "address 172.16.0.1/16 network :172.16.0.0"??
Annyi még profil ba próbáltam statikusan megadni de úgy se jó.

(#13754) ekkold válasza kriszrap (#13753) üzenetére


ekkold
Topikgazda

Nem ismerem a teljes konfigot, így nehéz kitalálni mit is szeretnél.
A két VPN-el összekötött helyen nem lehetnek azonos IP címek, különböző IP tartomány kell.
A routing szabályokat nem tudom hogyan vetted fel, de az /IP Routes menüben elsősorban, az elérni kívánt IP (vagy IP tartomány) és a hozzá tartozó gateway IP címét rendeljük össze.
Csak egy példa:
/ip route
add dst-address=10.11.11.0/24 gateway=192.168.91.2 distance=1

[ Szerkesztve ]

(#13755) kriszrap válasza ekkold (#13754) üzenetére


kriszrap
tag

Sikerült köszönöm.
Ott hibáztam hogy winboxba ip ->>Addresses fülön bohóckodtam.
Másik distance=1 meg nem állítottam be így működik.

(#13756) Zwodkassy válasza Zwodkassy (#13734) üzenetére


Zwodkassy
senior tag

Ilyennel még nem találkozott senki?
Senki nem használt még ilyet?

(#13757) Lenry válasza pitiless (#13749) üzenetére


Lenry
félisten

Én egy Huawei E8372 kedvéért frissítettem rOS7-re. A 6-ossal másodpercenként eldobta az LTE kapcsolatot, 7-el viszont betonstabil

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

(#13758) ekkold válasza Zwodkassy (#13756) üzenetére


ekkold
Topikgazda

Fogalmam sincs, de kisebb limitet megadva, viszonylag gyorsan ki lehetne próbálni. A torrentezést szeretnéd visszafogni?

(#13759) Bobolit


Bobolit
aktív tag

Sziasztok!

Hirtelen nem jut eszembe a megoldás, pedig biztos pofon egyszerű. Van két VLAN az ether10-en, amin egy AP lóg. A DHCP szerver a VLAN interfészeken figyel. Ha egy szabad fizikai portot, pl. az ether6-ot, szeretném ugyanebbe a VLAN-ba "tenni", azt hogy oldom meg?
Az Mgmt bridge-ben benne van az ether10, és ezen a bridge-en van egy DHCP, de az más tartományból oszt.

/interface ethernet
set [ find default-name=ether1 ] name=ether1_WAN
set [ find default-name=ether2 ] name=ether2_Xbox1
set [ find default-name=ether3 ] name=ether3_Xbox2
set [ find default-name=ether4 ] name=ether4_AppleTV
set [ find default-name=ether5 ] name=ether5_Shield
set [ find default-name=ether9 ] name=ether9_NAS
set [ find default-name=ether10 ] name=ether10_AP

/interface vlan
add interface=ether10_AP name=vlan_guest vlan-id=200
add interface=ether10_AP name=vlan_iot vlan-id=100

/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge3_Mgmt name=dhcp1_manage
add address-pool=dhcp_pool1 disabled=no interface=bridge1_Xbox name=dhcp2_xbox
add address-pool=dhcp_pool2 disabled=no interface=bridge2_AV name=dhcp3_av
add address-pool=dhcp_pool7 disabled=no interface=vlan_iot name=dhcp1_guest
add address-pool=dhcp_pool8 disabled=nointerface=vlan_guestname=dhcp2_mgmt

/interface bridge port
add bridge=bridge1_Xbox interface=ether2_Xbox1
add bridge=bridge1_Xbox interface=ether3_Xbox2
add bridge=bridge2_AV interface=ether4_AppleTV
add bridge=bridge2_AV interface=ether5_Shield
add bridge=bridge3_Mgmt interface=ether9_NAS
add bridge=bridge3_Mgmt interface=ether8
add bridge=bridge3_Mgmt interface=ether10_AP

Előre is köszönöm a segítő útmutatást!

(#13760) ekkold válasza Bobolit (#13759) üzenetére


ekkold
Topikgazda

Hozz létre egy bridge-t a vlan számára. Ebbe rakd bele a vlan interfészt, és az ether6-ot.

(#13761) Bobolit válasza ekkold (#13760) üzenetére


Bobolit
aktív tag

De mindkét vlan interfésznek a fizikai ether10-en kell lennie, mert ott van az AP. Attól függetlenül így be tudom dobni ezt a két vlan-t egy bridge-be?

(#13762) iceQ!


iceQ!
addikt

Sziasztok,

Digi router után kötnék egy hex-et. Hogy tudom megoldani így a VPN kapcsolatot? Erre van valami leírás valahol?

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

(#13763) lionhearted


lionhearted
őstag

Megjött a FragAttacks javítás stable ágba.

Tegnap még működött...

(#13764) tacsk0 válasza iceQ! (#13762) üzenetére


tacsk0
aktív tag

Diginél kérni kell a bridge üzemmódot. Ha ez megvan, utána mehet a VPN tervezés.

[ Szerkesztve ]

(#13765) iceQ! válasza tacsk0 (#13764) üzenetére


iceQ!
addikt

Köszi. :R

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

(#13766) tacsk0 válasza iceQ! (#13765) üzenetére


tacsk0
aktív tag

Ha bridge üzemmódót választod akkor HEX fogja intézni a PPOE-t. (neked kell beállítani és felvenni egy halom tűzfal szabályt)

(#13767) iceQ! válasza tacsk0 (#13766) üzenetére


iceQ!
addikt

Pont ezt akarom elérni, hogy a HEX intézzen mindent. :C

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

(#13768) amargo


amargo
addikt

Sziasztok!

Van 2 VLAN-om, A és B, a B a csökkentett hálózat (guest) nem látja A-t vagy is csak egy bizonyos gép, bizonyos portját. A pedig látja B-t teljesen (elvileg)

Na most párnapja azt vettem észre, hogy a 192.168.88.10-es gép a 192.168.100.100-es gépét tudja pingelni és úgy eléri az egészet, nincs tiltás.
Viszont a 192.168.88.11-es gép nem látja már ezt a 192.168.100.10-es gépet, semmilyen szinten.

A 10-es és 11-es gépnek is a Mikrotik a DNS resorver-e. dig jól jó cím felé fordul, de nem kap vissza értelmes választ. ping esetén semmi.
De az az érdekes, hogy a 11-es gép a saját vlan-jában se tud senkit elérni, de őt elérik.

Miként tudnám kideríteni hatékonyan, hogy milyen szabály foghatja meg? Van mentésem, így azt gondoltam, hogy visszarakom és lépegetve kiderítem, hogy mivel csesztem el..
Az tudni kell, hogy a 11-es gépen van külön Adguar is pl és reverse proxy server is (az adguar-on kívül).

Szerintem valamelyik éjjel kitörölhettem valami szabályt (biztos top-on voltam már) a firewall környékén és csak párnappal később vettem észre a problémát.

Köszönöm a segítséget, ha valaki ebből érti, hogy mit szeretnék és van valami ötlete :)

“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”

(#13769) amargo válasza amargo (#13768) üzenetére


amargo
addikt

nem nyúltam semmihez és látja a gépeket.

“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”

(#13770) Ablakos


Ablakos
őstag

A tűzfal mögötti ftps szervernek (az általam választott) 2121-es porton kívül kell még valamilyen port forward a routerben?

(#13771) Necc válasza Ablakos (#13770) üzenetére


Necc
addikt

Attól függ aktív vagy passzív FTP kapcsolatról van szó.
Aktív 2 portot használ, szabvány szerint TCP 20: data, TCP 21: command.
Passzív mindent egy porton forgalmaz, szabvány szerint TCP 21.

[ Szerkesztve ]

Yo momma's so FAT she can save files bigger than 4GB!

(#13772) krealon válasza Necc (#13771) üzenetére


krealon
veterán

A linkelt dokumentáció és a hozzáfűzött szöveg nem áll összhangban.

Helyesen:
Aktív FTP: A szerver, a parancs (command) és az adat (data) csatornát megnyitását is képes bejövő kapcsolatként fogadni.

Passzív FTP: A szerver csak a parancs csatorna felépítését képes bejövő kapcsolatként fogadni, az adat csatornáét nem.

Gyakorlatilag aktÍv FTP szerverhez bárhonnan (IPv4) lehet csatlakozni, passzív FTP-hez pedig csak publikus IP címmel rendelkező gépről (vagy ftp conntrack helper-rel rendelkező címfordítást támogató magánhálózatból).

(#13773) Reggie0 válasza krealon (#13772) üzenetére


Reggie0
félisten

Az aktiv ftphez is ugyan ugy kell a conntrack.

(#13774) Ablakos


Ablakos
őstag

Köszönöm mindenkinek a hozászólásokat.
A passiv (plain) ftp szerverem működik. (Nekem a lényeg, hogy elérhető a DIGI mobilhálózatból is.) Akkor van hibaüzenet, amikor bekapcsolom az SSL titkosítást. (PORT command error, 501 server cannot accept argument)
Emiatt gondoltam, hogy ez plusz port nyitást igényel. Lehetséges, hogy másfelé kell keresgélnem.

(#13775) Lenry válasza Ablakos (#13774) üzenetére


Lenry
félisten

nem vagyok nagy FTP üzemeltető, de simán a hibaüzeneted alapján nekem úgy tűnik hogy szerveroldalról nincs meg az SSL támogatás

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

(#13776) Ablakos válasza Lenry (#13775) üzenetére


Ablakos
őstag

Belső hálózatban tökéletesen működik a ftps. Picit hisztizik a domain név miatt, mert ip-vel kapcsolódom, de felépül és működik.

(#13777) Lenry válasza Ablakos (#13776) üzenetére


Lenry
félisten

The greatest chance of seeing this issue is that your FTP client trying to send PORT command to the server, which means using Active mode. And apparently, your client side firewall does not allow this.

source

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

(#13778) Ejelhar válasza Ablakos (#13774) üzenetére


Ejelhar
senior tag

Szvsz azért nem okay, mert nincs nyitva a 990-es port.
https://www.speedguide.net/port.php?port=990

(#13779) Ablakos


Ablakos
őstag

A megoldás (természetesen) egy fatális hiba. Jó helyen kapargattam a portforward-nál. A port range natolás szükséges a passzív kapcsolathoz, csak udp protokolt állítottam be. :o tcp-re azonnal működik.

Elnézést.

(#13780) Lenry válasza Ablakos (#13779) üzenetére


Lenry
félisten

de legalább meglett, ez a lényeg

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

(#13781) Ablakos válasza Ejelhar (#13778) üzenetére


Ablakos
őstag

Nem voltam tisztában, hogy miért nem 990-port kell. Itt elég jó a magyarázat.

[ Szerkesztve ]

(#13782) Marcelldzso


Marcelldzso
tag

Sziasztok,

LHGG-LTE antenna pár nap után a következő hibával elszáll:
lte1: reply timeout for: ATE0
Frissítettem már: RouterOS-t, RouterBoard-ot, LTE firmware-t, mindig ugyanaz az eredmény.
Ha nyomok rá egy antenna reboot-ot (mert nem elég az interface -le/fel) akkor újracsatlakozik és jó.
SIM kártyacsere is volt, az is rendben, jelerősség: Excellent
Hogyan tudnék egy olyan scriptet összevarázsolni, ha ez az üzenet jön logban akkor nyomjon antenna rebootot?
Nagyon messze van és nem túl jó odamenni hetente 1x.
Esetleg egy ping check erre elegendő lehet?

:if ([/ping 1.1..1 count=10] = 0) do={      /system reboot }

Köszönöm segítségeteket!

(#13783) Reggie0 válasza Marcelldzso (#13782) üzenetére


Reggie0
félisten

Szerintem inkabb a kartyat szedd ki, rakd vissza vagy probald cserelni, mert itt valami nagyon alapszintu hiba lesz, mint pl. erintkezesi hiba. Az ATE0 parancs csak a sorosporti terminal ECHO-jat kapcsolja ki, azaz a fogadott parancsot nem kuldi vissza a modem. Ehhez se SIM, se semmi nem kell, csak az, hogy be legyen kapcsolva a modem.

Esetleg azt tudom meg elkepzelni, hogy elszall a kapcsolat es valamiert adat modban marad, ekkor nem fogad parancsot, de elvileg abbol ki kene ugrania magatol.

[ Szerkesztve ]

(#13784) Marcelldzso válasza Reggie0 (#13783) üzenetére


Marcelldzso
tag

Nem tudom mitől lett ez az állapot, sokáig rendben működött. Szélsőséges időjárási viszonyoknak sincs kitéve, ESD védett kábelezést csináltam hozzá.
Tehát meglátásod szerint a modem lehet a rossz?
Magyarul bontsam szét az elejét, modem ki megfújkod majd vissza? :D
Nincs lehetőségem cseredarabbal tesztelni.

(#13785) Reggie0 válasza Marcelldzso (#13784) üzenetére


Reggie0
félisten

A modem, vagy a modem foglalata esetleg a BGA forrasztas.

Szerintem igen, szedd ki a modemet, tedd vissza, hatha csak valami korrozio erte a csatlakozokat.

(#13786) lionhearted


lionhearted
őstag

Sziasztok!

Egyre csak bonyolítom a hálózatom, beszereztem újabb MT eszközöket. Van egy külső wifi pont, amit egy újonnan vett SXTsq eszközzel szipkázok be. Itt csináltam egy vlan interfészt, és összebridgeltem a wlannal. A wlanról érkező csomagokat bridge filterrel szűkítettem az általam használtakra. A VLAN természetesen a fő routeremben végződik. Az SXTsq eszközt csak etherneten lehet elérni, letiltottam a wlan MAC hozzáférést, illetve ezen a wlan-vlan bridgen nincs is IPje. Felvettem connection listre a külső wifi pontot, minden mást tiltottam.
Milyen védelmi pontokra nem gondolhattam még?

Félreértés ne essék, a külső wifipont is az enyém, egy eszköz irányítását tesz lehetővé, viszont ezért szeret ő a "főnök" lenni, van bene DHCP stb., amibe viszont nincs beleszólásom. Viszont nagy nyereségű az antenna, azt is szeretném elkerülni, hogy idegeneknek elég legyen egy trükkös AP... :)

Tegnap még működött...

(#13787) Zwodkassy


Zwodkassy
senior tag

Adott egy hálózat, mondjuk 5 db MikroTik switch-ből kiépítve.
Ezekre csatlakoznak majd KÉK és ZÖLD gyártmányú eszközök.
Ezek egy subnet-ben lennének, mivel a legvégén, egy helyre, egy számírógépre mennének mindkét helyről az adatok. Persze lehetnek külön IPV4 alhálózatba is, bár első körben feleslegesnek érzem.
Eddig egyszerű a dolog. A cél az lenne, hogy a KÉK eszközök forgalma priorítást élvezzen a ZÖLD eszközök forgalma felett. Hogyan lehet ezt megoldani.
Egy nagyon-nagyon egyszerű megoldás lehet(ne), hogy a ZÖLD eszközök mindenhol 10 Mbps csatlakozást kapnak a switch-eken :-)
Persze ez egy rendkívül faék megoldás :-)

(#13788) Reggie0 válasza Zwodkassy (#13787) üzenetére


Reggie0
félisten

A kek es zold eszkozoket hogy tudod a router/switch szempontjabol megkulonboztetni, mas IP-cimet kapnak?

[ Szerkesztve ]

(#13789) Zwodkassy válasza Reggie0 (#13788) üzenetére


Zwodkassy
senior tag

Nyilván más lesz az
- IPv4 címük
- MAC címük
- és adott ethernet port-ba lesznek bedugva.
Mivel csak egy egyszerű lokális hálózatról beszélünk, Layer2, gondoltam a második két paraméter alapján el lehet indulni. Persze használhatunk IPv4 címet is a korlátozásra.

(#13790) Reggie0 válasza Zwodkassy (#13789) üzenetére


Reggie0
félisten

Milyen switchek konkretan? A queue miatt kerdezem csak, mert a procit terheli, szoval nem biztos, hogy procival birni fogja, illetve a max savszel annyi lesz, mint amennyivel a proci be van kotve a switchbe, viszont a switch portokra is lehet rule-okat rakni chiptol fuggoen. Nekem CRS3xx van, ott van allithato egress/ingress amit a switch IC intez.

[ Szerkesztve ]

(#13791) Zwodkassy válasza Reggie0 (#13790) üzenetére


Zwodkassy
senior tag

Az lesz ott, amit beépítünk 😁
Pontosabban a "központi" switch az már egy CRS326-24G-2S, és még van néhány valamilyen. Most még azt találunk ki, amit akarunk 😁
Ha ehhez CRS3xx kell, akkor az lesz.
Annyi megkötés van a dologban, hogy minimum 2db SFP port legyen rajtuk.
Kicsit "furcsa" lenne két switch-ből megoldani minden egyes helyen

(#13792) Zwodkassy válasza Reggie0 (#13790) üzenetére


Zwodkassy
senior tag

"Nekem CRS3xx van, ott van allithato egress/ingress amit a switch IC intez"
Erről nem tudtam. Pont ma nézegettem egy CRS326-24G-2S WinBox alól, de nem láttam ilyet benne. Persze nem sok energiát és időt toltam bele 😁

(#13793) Reggie0 válasza Zwodkassy (#13792) üzenetére


Reggie0
félisten

Webes adminon a switch-nel a port ful alatt portonkent tudsz ingress/egress ratet allitani, illetve Rule ful alatt pedig az elso 32 rule pozicioban egress szabalyokat is lehet megadni pl. MAC cim alapjan(de akar IP src/dst/srcport/dstport alapjan is): [link]

[ Szerkesztve ]

(#13794) Zwodkassy válasza Reggie0 (#13793) üzenetére


Zwodkassy
senior tag

Bitte-danke uram! Meg fogom élőben s nézni :-)

(#13795) adika4444


adika4444
addikt

Hali!

Megéri egy hAP ac^2-t ac^3-ra cserélni?

Rokonságba kelleni fog egy eszköz, és agyalok rajta, hogy megéri-e kivárni az ac^3 hosszabb szállítását + kifizetni a felárat, vagy nem ad semmi extrát az ac^2-höz képest?

Köszi!

üdv, adika4444

(#13796) Zwodkassy válasza Reggie0 (#13793) üzenetére


Zwodkassy
senior tag

Belenéztem a link-be, amit küldtél.
Úgy látom, a régebbi CRS1xx és CRS2xx sorozatokban is lehet in/out rate-t állítani (még ha nem is így nevezik), csak kissé más terminológia, szintaktikai út mentén 😁

(#13797) Lenry válasza adika4444 (#13795) üzenetére


Lenry
félisten

én cseréltem az ac2-t ac3-ra (mint fő router, az ac2 is megmaradt, mint access point)

az antennák miatt jobb lefedettséget biztosít, de számomra kb ennyi.
a több RAM meg belső tárhely adta esetleges előnyöket nem használom ki, szóval pusztán a tényeket nézve fölösleges volt.
azért vettem meg, mert épp lehetett kapni, meg egyébként is kellett volna még egy eszköz, hogy rendesen lefedjem a házat (bár kellene még egy kültéri is :D )

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

(#13798) Reggie0 válasza adika4444 (#13795) üzenetére


Reggie0
félisten

Igen. A Hap AC3-ra fel lehet rakni a wifiwave2 modult es ugy mar tud MU-MIMO-t a wifije(viszont akkor CAP-ot nem tud)

#13796 Zwodkassy:En azt nem probaltam, azert nem mertem irni :)

[ Szerkesztve ]

(#13799) adika4444 válasza Lenry (#13797) üzenetére


adika4444
addikt

+ #13798Reggie0
Köszi! Akkor megfontolom a kétantennás újabb modell beszerzését.

üdv, adika4444

(#13800) Zwodkassy válasza Reggie0 (#13798) üzenetére


Zwodkassy
senior tag

"En azt nem probaltam, azert nem mertem irni :)"

Még én sem, de ami késik, az múlik 😁

[ Szerkesztve ]

Copyright © 2000-2024 PROHARDVER Informatikai Kft.