Helló, van egy hAP ac eszközöm, amit le szeretnék telepíteni a szüleimnél. A hAP mint PPTP kliens bejelentkezik az én TP-Link eszközömbe (ő a PPTP szerver). A csatlakozás sikeres, mindkét oldalon az látszik, hogy minden rendben. A probléma akkor kezdődik, mikor a TP-Link mögötti PC-ről csatlakozni szeretnék a hAP-hez. Ez sajnos nem működik. A PPTP szerver biztosan nem korlátoz semmit, mert ha egy bármilyen más eszköz csatlakozik mint PPTP kliens, akkor az azon futó szolgáltatásokat rendben elérem. Szóval biztos, hogy a Mikrotik szívat.

Amiket beállítottam:
ip firewall:
chain=input in-interface=pptp action=accept
minden drop szabály kikapcsolva (teszt idejére)

ip services:
www, winbox engedélyezve, nincs korlátozás

Amit észrevettem, hogy a logban az alábbi bejegyzések jelennek meg, mikor csatlakozni próbálok távolról az eszközhöz:
input: in: pptp-clnt out: (unknown 0), proto TCP (SYN), 192.168.11.155:50614->10.10.10.12:8291, len 52
Az IP címek jelentése:
192.168.11.155 - az én PPTP szerver mögötti PC-m
10.0.0.12 - hAP ac PPTP kliense

Van ötletetek, hogy mit kellene beállítanom ahhoz, hogy elérjem távolról a Mikrotiket?

Köszönöm!

cofeeh

Routingot csekkold le.

Ez micsoda perverz dolog, egy tplinket használni pptp szervernek

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Én sem vagyok rá büszke, de ez van

cofeeh

A routing teljesen default beállításokkal üzemel. Mire gondolsz, mit állítsak be?

cofeeh

Nem tudom fejbol megmondani, latni kene mi van benne.

Szvsz ne a PPtP IP címén próbáld elérni a hAP-ot, hanem a LAN/WLAN/bridge IP-n.

Bár ehhez egy statikus route-ot is fel kell majd venni a TP-Linken (mondjuk a hAP LAN IP a cél, az a hAP PPtP IP-jén keresztül érhető el).

Szerintem nem a tplinken van a probléma, elmegy a kérés a mikrotikhez (ha jól értettem annak a logjában látod a bejegyzést), csak onnan nem talál vissza.

A mikrotik routejában nem tudja, hogy hova kell küldje a csomagot.

/ip route add dst-address=192.168.11.0/24 gateway=192.168.11.1

már ha a tplink címe ez 192.168.11.1

Ejelhar megoldása is jó lehet, feltéve, hogy akkor a tplink maskol erre fele is, illetve oda fel tudod venni a statikus route-ot. De szerintem a másik jobb megoldás, a tplinket jobb nem összezavarni.

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

10.10.10.1 lesz a gateway, bár eléggé nem tiszta, lehet elírtad a címeket


mert a logban a router 10.10.10.12, utána meg 10.0.0.12-t írsz.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Valami elegánsabbat mint egy szöveges lista.
Mondjuk 1 extra package adatbázissal, ixelhető országlistával. Például.

Ha írsz nekik ilyet, tuti adnak állást
Amúgy külső eszközök/szolgáltatók nélkül nem lehet hasonlót, amit szeretnél. Itt egy konkrét dél-afrikai szolgáltatót ajánlottak egy ottani rendezvényen, de van pár más megoldásról is szó a videó és a PDF elején:
[link]
[link]
Az a baj, hogy a régebbi RouterBoardoknak tuti nem lesz kapacitásuk ehhez, és látszik, hogy még próbálja a Mikrotik-nél egyben tartani a támogatást, ami nagy nyűg pl a RouterOS 7-nél is (azt hittem, hogy pl hAP minihez nem is lesz ROS7, erre kint vannak az SMIPS-es béták).
Én már annak is örülök , hogy pl a LetsEncrypt támogatással elkezdtek foglalkozni, de ahogy nézem Wifiben és Layer3 felett kezd elveszni a RouterOS a többiekhez képest.

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Hát ilyesmit eddig a DrayTek router-ekben láttam eddig.
Bocsi! Hazudok. Synology NAS-okban is van ilyen. Így gondolom a router családjukban is.

Azt tudom, hogy ehhez folyamatos kapcsolat kell az eszköznek egy központi adatbázishoz. Legalábbis DrayTek így oldotta meg anno

Az a baj, hogy az adatbazis az interneten van, nem a routeren, es ez folyamatosan valtozik(valtozhat) is. Olyan mint ha azt varnad, hogy a domainnevek listajat orszagosan levalogassa neked egy csomagban. Aztan felmerul a kerdes, hogy ezt vajon mennyire akarja automatizalni egy hozzaerto juzer, hiszen az adatbazis elereset elteritik egy tamadassal, akkor mar durvan atveszik a tuzfalszabalyok felett az iranyitast.

[ Szerkesztve ]

Az eltérítésre az első válaszom, hirtelen felindulásból: certificate pinning.
De erről nekem nem kell gondolkodnom, számos gyártó megoldotta már ezt a problémát nélkülem.

NAT nélkül sem? Mi lenne, ha a Miki NAT-olna a "profi" eszközök meg már "csak" routolnának meg szűrnének? Valami minimális előszűrést, amit a Mikrotik is ír, pl DDOS meg hasonlók ellen, meg lehetne valósítani, minden mást meg a profi router szűrne

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Még egy kérdés a backuppal kapcsolatban. Egy eszköznél belefutottam abba, hogy 14,3Mb a .backup fájl. A export az átlagos méretű és ránézésre semmi extrát nem látok benne. Nincs semmi extra funkciója az eszköznek, kb switchként működik.

Hogyan tudok utánanézni, hogy miért olyan nagy a mentés?

A TP-Link teljesen rendben van, jó volt a tipped, csak kicsit pontosítani kellett rajta. Íme a működő jó megoldás:

/ip route add dst-address=192.168.11.0/24 gateway=10.10.10.1

Köszönöm!

cofeeh

Semmi érdemi megoldást nem találtam, tehát maradt az export, system reset, majd import.
Így a 14.3Mb-ból 25.6Kb lett a bacup, szóval megoldva.

Sziasztok,

Két dolog miatt írok nektek:

Milyen mikrotik switchet ajánlotok arra, hogy 2 internet szolgáltatást automatikusan megosszon sávszélesség alapján egy harmadik eszköznek(switch/router).

Van e itt vki aki ezt be is tudná állítani nekem bp vonzáskörzetében?

Köszi!

Nem egészen értem pontosan mit szeretnél. Kicsit pontosabban le tudnád írni?

Load Balance képes routert. Tuti.
Mondjuk, ha nem ért hozzá, lehet, jobban járna egy Unifi USG-vel:
[link]

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Ha meg nem akar profi lenni a témában, akár DrayTek-et is választhat:
https://www.draytek.com/products/load-balancing-routers/

Vhol olvastam hogy mikrotik switchet lehet úgy beállítani hogy két wan portja legyen és aztán bandwidth alapján tudja osztani a beérkező internetet. Tehát éppen azt a szolgáltatót használja amin nagyobb a sávszélesség. Ez 3-4 párhuzamos teams konfcall-ra kellene hogy elegendő internetet szolgáltasson.

Itthoni hálózatomat szeretném össze ácsolni ami a következő elemekből állna :
Xiaomi ax3600 router
Tp-link tl-sg1024d switch ami a hálószobákba vezetett lan kábeleket fogná össze
Vmi poe switch ami 4 poe kamerát látna el internettel
Plusz egy switch ami le tudná osztani a router és a Tp-link között a két beérkező internetet.

Azt is akartam volna ajánlani, ha nem lennének piszok drágák, de nekem is jók voltak a tapasztalataim egy 2920-al. Tényleg egyszerű. Egyvalamit nem tudtam kiváltani RouterOS-en, amit említettem is régen, a TrueIP DMZ, bár csak az egyik WAN porttal ment.

Le az elipszilonos jével, éljen a "j" !!!

Had tegyek bele még egy faktort, ha nem jön ki 20e alatt egy ilyen eszköz akkor szimplán csak lecserélem a ax3600at egy ax6000-re és abban van 2wan port
. Jól gondolom?

Ne haragudj, de ezek szerint annyira sem értesz a hálózatokhoz, amennyire gondoltuk. Alap switchek nem tudnak ilyet. Mikrotik-ből is csak a RouterOS-t futtatók, mert szoftveresen tudja a router funkciókat, de ahhoz kicsit gyengus. Igazából az "örüljünk, hogy tudja" kategória egy olcsóbb Mikrotik sw.
Az AX6000esnél hol írnak két WAN portot?

Le az elipszilonos jével, éljen a "j" !!!

Szerintem rengeteg eszközben van Dual-Wan funkció. Csakhogy, ez egy nagyon, nagyon tág fogalom. Ezen belül rengeteg megoldás van.
Az első, és legegyszerűbb a Backup/Failover megoldás.
Aztán jöhet a Routing-Policy, amiből kismilliót lehet kialakítani.
Majd pedig s sokak által áhított Load-Balancing, amiből szintén van néhány :-)
DrayTek mind a három alapot tudja, de azon belül már nincs tapasztalatom.
Egy cimbim pár hónapja helyezett üzembe egy Vigor 2962 modellt.
Előtte jó sokat szoptak más cuccal, cuccokkal. Pontos részleteket nem tudok. Ezzel elégedett, elégedettek.
Persze céges célra belefért az összeg

Hali!

Mi lehet arra a megoldás, ha a MikroTik féle DDNS-nél a routeren IPv6 címnek egy teljesen valótlan címet mutat (ipv6 address-nél teljesen más van), a net felől pedig nem is old fel IPv6-on a mynetname.net végű doménre?

hAP ac^2, 6.47.10 LongTerm firm van rajta.

Force-update-t nyomtam neki, de semmit nem ért. Rebootolni nem akarom, távoli eszköz, és nem tudom, épp mikor használják.

üdv, adika4444

Tényleg nem értek hozzá, ezért olvasok és kérdezek. Igazából az lenne a legjobb ha vki ezt össze tudná ácsolni nekem.
Valóban nincs az ax6000-ren sem dual wan port.

Egy viszonylag megbízható és jó ár/érték arányú megoldás kellene, ez a vigor nekem drága.

[ Szerkesztve ]

Ha van olyan router ami tud dual wan-t, 4xpoe portot és 16db lant és load balancingot arra nagyon vevő lennék. Egy helyen jönne be az internet, csak sok különböző dolog igényelne netet.
Ami már megvan a hw-ek közül: Tp-link 24 portos gigabites switch(fali lan csatikhoz vinné a netet), xiaomi ax3600(főleg Wi-Fi miatt). Ezen kívül kellene még egy poe switch a kameráknak és egy router ami dual wan-t tudna és az egész hálózatnak osztaná a netet.

Ez van, vagy olcsót veszel és beletanulsz, vagy drágább van, viszont ahogy írtam a Unifi cuccok házatályán vannak jó kompromisszumok, ha a Unifis linket átfutod.

Le az elipszilonos jével, éljen a "j" !!!

Én nem fogok tudni megoldást neked, csak arra vagyok kíváncsi, miért akarsz 3 switchet?

Azt már én is megtanultam - megtanította a tapasztalat és a fórum mesterei... - hogy egy gyenge router tönkrevágja az egész rendszer sebességét. Tehát ne próbálkozz olyan switchcsel, ami kicsit router is. Vegyél bika és mindenben megfelelő routert és dugj rá egy butaswichet 24-48, akárhány porttal.

Sziasztok!

Ha még marad az LTE router akkor a failover-t is elkezdtem bekonfigurálni. Jelenleg egy vlan-on bejön a router-be (hAP ac3) a wAP-ból az LTE-s net, DHCP client alatt szépen meg is jelenik a route list-be ezeket raktam, hogy ne dinamikus legyen (és a distance-nélkül mindig eltérült a net az LTE felé..):
/ip route
add check-gateway=ping distance=1 gateway=xx.xx.xx.xx
add distance=2 gateway=vlan_lte

Itt kérdés, hogy az LTE esetén jó, hogy GW-nek a vlan_lte-t adtam meg?

Továbbá ebből jelenleg még csak annyit fogok megtudni, hogy a ether1-en van-e net vagy sincs. Ahhoz, hogy a forgalom mondjuk az LTE felé menjen kell egy netwatch, aminek az up/down ágán ki be kapcsolom az ether1-es portot, ha jól gondolom? Mert ebben az esetben fog az LTE felé megindulni a forgalom csak.
A distance pedig csak annyit ad meg, hogy prioritásilag melyik vonalon menjen a fogalom.

És akkor a további kérdés a tűzfal, mivel több helyen is a NAT esetében van out és in interface, ahol az ether1 van megadva, amin jön a primary internet ezért LTE esetén ezek a szabályok nemfognak érvényesülni.. ilyenkor ezeket össze kell fogni valami alá?

“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”

A kicsit router switch nem problema, ha a switch szerepet tolti be. Neha azert hasznos az a par extra funkcio.

Én meg azt nem értem, miért kell, hogy Pest környéki legyen. Simogatni akarod a hátát miközben beállítja? Vagy sörözni akarsz vele?

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Igen, így értettem én is, csak rosszul fogalmaztam. Routernek ne használjon switchet ROS-el.

Meg annak is jo, ha csak 100 mbites a net, vagy alatta.