Üdv!
meg lehet csinálni azt hogy egy bizonyos belső ip cím más DNS címet használjon
tehát ne azt amit a szolgáltató ad hanem pl ezeket

Preferred DNS: 199.85.126.20
Alternate DNS: 199.85.127.20

ezek a Norton ConnectSafe címek

Azért a dologhoz az is hozzá tartozik, hogy kérdeztél itt a fórumon részinformációkat megadva. Csupa olyan választ kaptál, hogy ki-hogy állította be magának és nála működik. Nálad egyik sem, az sem, ami más wiki oldalakon, fórumokon szintén sokaknak működött. Alapvető hálózati ismeretek nélkül, csak a példákat nézegetve nem lehet mindent beállítani egy ilyen routeren.
Bár előfordul, hogy egy már működő dolgot elrontanak a Mikrotiknál egy frissítésnél, de azt azért te sem gondolod komolyan, hogy ilyen hiba lett volna a ROS adott, viszonylag új verziójában és ez csak neked tűnik fel...

Igen. Csinálj rá egy firewall szabályt, hogy az adott belső IP címről az 53-as portra menő TCP és UDP forgalmat irányítsa az általad preferált DNS szerverre.

így csináltam de nem jó valamiért

ip dns set allow-remote-requests=yes
ip firewall filter
add chain=input comment="TCP DNS" connection-state=new dst-port=53 protocol=tcp src-address=192.168.88.10
add chain=input comment="UDP DNS" connection-state=new dst-port=53 protocol=udp src-address=192.168.88.10

ip firewall nat add action=dst-nat chain=dstnat comment="Norton DNS" dst-port=53 in-interface=bridge1 protocol=tcp to-addresses=199.85.127.20 to-ports=53
ip firewall nat add action=dst-nat chain=dstnat comment="Norton DNS" dst-port=53 in-interface=bridge1 protocol=udp to-addresses=199.85.127.20 to-ports=53

[ Szerkesztve ]

csak egy eszköznek akarsz más dns-t, vagy mindnek?

Csak azért mert a dhcp szerver beállitásainál pontosan meg tudod adni, hogy milyen dns szervert használjon.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Igen csak egy eszköznek. Ha mindnek kellene az még nekem is menne de ez igy hat nem nagyon akar összejönni

Sziasztok

olyan problémám lenne, hogy hálózatot kell építenem, itt még nem akadtam meg, de ennek a hálózatnak wifin 2,4ghz-n ki kellene szolgálnia egy 40 fős irodát, van e erre valamiféle megoldás? ajánlották az UniFi hotspotot, életképes ez az ötlet?

https://www.youtube.com/@kisstontour

Ha ezt beállítod "ip dns set allow-remote-requests=yes", azzal engedélyezed, hogy a routered maga válaszoljon a DNS kérésre. Azt nem tudom, hogy ilyenkor a NAT szabály hogy érvényesül.
Tippre, ha beállítod, hogy a routered szépen "ossza ki" a szolgáltatótól kapott DNS-t a klienseknek és ehhez adod a NAT szabályt, annak működnie kellene:
add action=dst-nat chain=dstnat dst-port=53 in-interface=bridge-local protocol=tcp src-address=192.168.88.10 to-addresses=199.85.127.20 to-ports=53
Persze az in-interface-t és a címeket a megfelelőkkel helyettesítsd, és persze kell ugyanez UDP-vel.
Azt nem egészen értem, hogy az IP/FILTER részben mi akar lenni az a két sor...

http://forum.mikrotik.com/viewtopic.php?t=89363

Ezek szerint, először static ip-re kell tenni a dhcp listában, majd networks fül, ott a megfelelő hálózat copy, majd felül a /24-t átirod /32-re, előtte pedig a pontos ip cim, itt a többit értelemszerüen kitöltöd, más dns, wins, akár gateway, majd ok. Eszközt lecsatlakoztatod, majd vissza, elvileg mennie kell.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

biztos jó ez is, de itt is kell a dhcp-n fixálni az eszközt.. , viszont ami a fő különbség, az az, hogy itt utána a kliens mindegy mit akar majd dns-nek, a dst-nat szabály ráerőszakolja, amit megadsz. (persze lehet ez a cél),
mig a másik megoldásnál, egyszerüen dhcp-n kap beállitásokat, amik eltérnek az alapértelmezettől.

pl amig normál esetben mindenki megkapja dhcp-n a belső windows szervert mint dns szervert, addig a windows szerver megkapja a google dns szerverét alapértelmezésben (tehát nem saját magát).
Az már más kérdés, hogy nem hiszem, hogy értelmes ember dhcp-n hagy egy windows szervert.

A ráerőszakolással lehet viszont olyan szüréseket csinálni, amik belülről nem érhetőek el.
pl mikrotik lesz a dns szerver, minden dns kérést átirányitasz a mikrotikra, majd a static dns táblában kinyirod az index.hu -t. A user onnét nem tudja behivni egyik index.hu oldalt sem, lévén, hogy nincs névfeloldása, ill. az mondjuk egy belső szerver lapjára mutat, hogy a kért oldal nem elérhető.
(a hosts fájlhoz sem lehet irási joga a saját gépén, illetve az ip cimet sem változtathatja meg - arp táblában staticra állitani, no meg nyilván a mac addresst sem irhatja át)

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

"a hálózatnak wifin 2,4ghz-n ki kellene szolgálnia egy 40 fős irodát, van e erre valamiféle megoldás? ajánlották az UniFi hotspotot, életképes ez az ötlet?"

Jo otlet az UniFi, de 40 fore minimum 4 darab Access Point-ot tervezz (amihez dukal egy controler is (tetszoleges kisfogyasztasu PC, vagy az irodaban eleve adott szerver)), ha nem szeretned, hogy a szuleidet emlegessek a felduhodott felhasznalok.

Ez itt kifejezetten mikrotik fórum. A kérdésed inkább egy UBNT fórumba való.

Mindazonáltal, ha már feltetted:
- Nem ismert az iroda elhelyezkedése, mert egy nagy légtérben egy db középre elhelyezett mikrotik AP-nak, illene még 40 usert kiszolgálni. (ezek szerint)
Itt egy RB751U-2HnD volt a kérdés, ami már egy kifutott modell, a 951Ui-2HnD ugyanazzal a wifivel van.

Ha valaki, hát janisk kompetens a témában.
"max-station-count is one thing, another is - how many clients can connect, and AP would still be usable.

Usual answer is around 40 clients, and then you can test and see if adding more clients does not degrade experience for users. If usage is decent you could go up to 50 or even 60 authenticated users."

-Ha mindez egymástól távol, több szobában kell megoldanod, akkor célszerü eleve több AP, de nem a kliensek száma miatt, hanem mert nem lesz jó térerő

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Jogos, az általad javasolt is ügyes, talán még szebb is, mint az enyém. Az a szép, hogy akár válogathat is az ember a lehetőségekből . Valóban, azzal, amit javasoltam "ráerőszakolódik" a kliensre a DNS, sőt, ha nincs beállítva a kliensen semmi, akkor is működik.
Nyilván a pontos szándék alapján lehet választani.

Hát legyen, akkor biztos a tesztelésem volt a sz.r és végig nyitva voltak a portok, amik kellettek.Minden esetre működik a dolog és ennek örülök. Köszönöm a segítséget mindenkinek!

Köszönöm

https://www.youtube.com/@kisstontour

Sziasztok!

Otthonra keresek egy jó WLAN-os integrált eszközt 200/200-as DIGI internet mellé. Dual WAN támogatás opcionális, de nem lenne rossz, ha menne. Ezeket a típusokat nézegettem, melyiket ajánlanátok? Árban nagy a szórás, nem akarok feleslegesen beválasztani sem. Fontos, hogy masszív biztonságot adjon, VPN előny.

- RouterBOARD hAP SOHO wireless router
- RouterBOARD 2011UiAS-2HnD-IN
- RS109-8G-1S-2HnD-IN

Konkrét kérdés: miért van ,hogy némely "router" a Mikrotiknél switchként van besorolva, például az utolsó a fentiek közül?

Más. A Level szintek között mi a különbség gyakorlati felhasználás szempontjából?

Szia!

Switchnek azokat szokták mikrotiknél jelölni amikben kisebb cpu van, inkább switchnek szánják. Dual WAN, VPN mindegyiken megy, főleg a portok és a számítási kapacitásban különböznek az egyes modellek. Majdnem az összes funkciót tudod az összesen használni. 200-as nethez inkább a háromból a 2011-est venném, de vannak új modellek is, pl a 951, amit érdemes megnézni. Én egy 850Gx2-t vettem Digire, 5-600 mbit körül van ennek a vége. Ez elég jó viszonyítási alap lehet.

Levelekről:

Level 4 felett otthoni használatra nagyjából mindegy.. A Level 3-al csak kliens tud lenni a WiFi pl.

ITT egy lista hogy melyik miben különbözik.

Köszönöm a válaszaidat! Konkrétan melyik 951-re gondoltál?

Sziasztok!
Arra lennék kíváncsi, hogy biztonsági szempontból hogyan lehet olyasmit megvalósítani, hogy egy adott eszköz sehogy se legyen elérhető a netről közvetlen?
Azon túl, hogy nem forwardolom a portját.

Pl egy IP kamera csoportra gondolok, ami mondjuk fekszik a 192.168.0.111-126 tartományon, csatlakozik egy NVR-re, az NVR bizonyos portjai forwardolva vannak kifelé. A cél az lenne, hogy magát a kamerát ne lehessen sehogy közvetlenül elérni.
Vagy tiltsam a kamera IP tartományán a kifelé kapcsolódást?

Elfelejtettem:
Most egy ilyen tűzfal rule-t tettem be, hogy ne tudjon kifelé kapcsolódni, így ha portot nis nyitok neki, nem érem el kintről.

0 chain=forward action=drop src-address=192.168.0.111-192.168.0.126 log=no log-prefix=""

Kérdés, hogy ez így mennyire szakszerűtlen és hogy ennek körülbelül hol kell elhelyezkednie a szabályok között?

Ne adj átjárót a kameráknak...

Ezt a feladatot tökéletesen megoldja a maszkolás, a nat.

Ezen túl már csak a csipő fogós módszer ami biztosabb, azaz simán levágod a csába a hálózatról, egy zárt láncra és csak helyben nézegethető az nvr.

Ugyanis az összes többi módszer, nincs átjáró, firewall tiltó szabályok szart se érnek, ha mondjuk már vpn-el bejutott, ugyanis akkor már nincs tűzfal, nincs semmi, ott van helyi hálón. (egy fertőzőtt gép elegendő, vagy egy teamviewer, vagy logme in, vagy hamachi, vagy...)
Fél megoldás, ha leragasztod a kamerák objektivjét fekete szigszalaggal, vagy mint a filmekben egy konzolon egy statikus képet raksz a kamera elé..

"Kérdés, hogy ez így mennyire szakszerűtlen és hogy ennek körülbelül hol kell elhelyezkednie a szabályok között?"
Tedd a legvégére, abból baj nem lehet.
Komolyan: minden linux alapú tűzfal úgy megy, hogy a szabályok kiértékelése az első illeszkedő szabályig tart.
Azaz ha van előtte egy accept, utána nem értékeli már ki, hogy helló, a végén még ide irtam, hogy de ha ez akkor drop, vagy fordítva, ha egyszer azt mondtad, hogy drop, akkor aztán hiába akarod később acceptálni.

ha nincs illeszkedő szabály, akkor accept fog érvényesülni.

Két féle képpen gondolkozhatsz:
-tiltod amit nem akarsz, majd a végén minden accept (ezt ugye oda se kell irni)
-engeded amit akarsz és a végén minden drop

a második módszer biztonságosabb és kevesebb szabályt is kell alkalmazz. Innen visszatérhetünk a legelejére, hogy is kell biztonságosan letiltani, hogy kivülről ne legyen elérhető? Nem forwardolsz oda semmit. Ennyi.

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Hello!
Valakinek ötlete van? Régóta nem megy kívülről a film nézés böngészőben. Régi ócska szoho routeren ment. Valami alap port lehetett, amit használt.
Kérdés? milyen portnak kell átirányítást készíteni, hogy működjön. Mondani sem kell, hogy Internet felöl nem megy a mozi. Minden más megy. Elérem a szervert, admin webes felületen is. Látom a routert is kívülről a beállított porton. Van VPN, is. Néhány kép.

[ Szerkesztve ]

Nem szoktam ilyen fórumokat használni. Eddig nem kellett. Valami nem is kerek, mert egy kép ment csak fel.

Így egyesével kell, felszórnom őket.

Már nincs sok

"Régóta nem megy kívülről a film nézés böngészőben. Régi ócska szoho routeren ment. Valami alap port lehetett, amit használt.
Kérdés? milyen portnak kell átirányítást készíteni, hogy működjön."

A soho routereken altalban aktiv az UPnP, igy a belso halozati eszkozok ki tudjak nyitni maguknak a szukseges portokat (NAT-PMP).
Hogy a film lejatszashoz mely portokra van szukseg, lovesem sincs.

Szia! ez a megoldás a nyerő így megy szépen blokkol minden nem illő oldalt
de sajnos csak wifin keresztül, vezetékesen nem illetve ether2 próbáltam de gondolom a többi is ugyan az.
miért tesz különbséget wifi és kábel között?

le kell csatlakoztatni, hogy elfelejtse a dhcpn kapott beállitásokat.

esetleg egy adminos cmd ablakban az ipconfig /release, majd /renew
illetve ipconfig /flushdns

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

igen ezeket megcsináltam, újra is lett indítva minden de sajnos ugyan az a probléma, és az érdekes az hogy ha nézem a gép konfigját akkor a dns-nél az adott ip címek vannak, ergo a mikrotik beállítás jó de mégis valamiért nem használja

Nem az a gond, hogy a noti-d wifi-n , vagy kábelen csatlakoztatva más MAC addressel kapcsolódik, így más IP-t kap és arra nem érvényes a beállításod?

Minden eszkozom static ip van. Jelenleg ket eszkoz van hozzaadva amibol az egyik egy telo wifin a masik egy asztali gep vezeteken eth2 porton.

nezd ha a dns jó, akkor a mikrotik már hatókörön kivül kerül. Proxy? hosts fájl?

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

oké, akkor leszedem azt a rule-t, feleslegesen ne legyen ott.
ÉS még lenne egy kérdésem, csak hogy teljes legyen a napotok:
Láttam youtube videon az URL blokkolást, proxy szerver nélkül.
Layer7-tel.
Namár most megcsináltam pl ezt:
layer7:
0 facebook ^.+(facebook.com).*$
filter:
3 chain=forward action=drop layer7-protocol=facebook log=no log-prefix=""

Így oké, nem érhető el a facebook, viszont nem frissít a gmail kliens, nem indul el pár alkalmazás sem a tableten..igazából nem értem hogy függ össze.

lehet koze a windowshoz (10) mert ios-en es androidon megy szepen tehat nem wifi es kabel fuggo a dolog.

Hát nem lettem okosabb. Lehet, hogy egy routot kéne csinálni. A fő eszközök a hálón ki fixált ip-vel mennek.
Valakinek ötlete?
[/L]
(L:/dl/upc/2016-02/17/487988_oixr7jb5zmbgnwtr_2.jpg)[/L]
(L:/dl/upc/2016-02/17/487988_il2z4geq6um86uov_3_4.jpg)[/L]
(L:/dl/upc/2016-02/17/487988_nifp90wvu0rzseag_4_4.jpg)[/L]

Sziasztok!

http://kepfeltoltes.hu/160217/mikrotik_www.kepfeltoltes.hu_.jpg

A mikrotik hAP lite ban van egy ilyen vpn-funkció.

Gépemen létrehoztam egy új VPN kapcsolatot, kiszolgálónak beírtam az adott VPN Address -t majd bejelentkezésnél a felhasználónevet és usert.

De sajnos mikor másik hálózatról néztem és rácsatlakoztam a VPN-re akkor nem kapta meg a kívánt IP-t hanem a másik háló IP tartományában volt továbbra is.

Tudtok esetleg segíteni, hogy hogyan tudnám megoldani a vpn kapcsolatot?

Köszönöm.

[ Szerkesztve ]

Kezd azzal, hogy a webes felület quick settings helyett a winbox-al megnézed a beállitásokat.

csutaska: te megnézed a feltöltött képeket? Ezek alapján milyen segítséget vársz?
kaptál egy választ, hogy az uPnP-t aktiváld. Ez nem segített?

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

A twonky server portja a 9001. Azt probaltad mar?

Sajnos nem. Nagyobb képeket meg az oldal nem enged feltölteni limitre panaszkodik.

PPTP VPN beállítás: Winbox-ban megnyomod oldalt a PPP-t. Utána kattintasz a PPTP gomra, az interface fülön. A felugró PPTP server ablakon engedélyezed és kiválasztasz egy profilt ( a példában a "profil1"), majd átmész a secrets fülre: nevet/jelszót kitöltöd, megadod ugyanazt a profilt, mint a szervernél és kiválasztod a pptp service-t. Átmész a "profiles" fülre és az előbb megadott profilra beállítod local és remote addresst. A remote-ba én egy poolt adtam meg (IP->Pool), lásd a képen.

Ha internetet is akarsz a VPN-en keresztül, akkor a belső interface-re az ARP proxy-t be kell állítani.
Elvileg ennyi, persze ez csak az alap, legegyszerűbb, az OPNVPN, vagy a titkosítás az a következő fokozat.

2,86 MB. és nem lehet feltölteni.

A nagyobb képeket töltsd fel dropboxra és onnan linkeld.

Azért lenne egy szerény kérdésem.
local network: 212.92.15.100

Ez honnan jött? Csak úgy beirtad?

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Régi panteles IP.

Ezek a képek már jól láthatóak. A kérdésed is erről árulkodik.