Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Gyorskeresés
Legfrissebb anyagok
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
Általános témák
LOGOUT.hu témák
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] [sh4d0w:] Rebel Moon - Ne nézd meg!
- [Re:] [antikomcsi:] Való Világ: A piszkos 12 - VV12 - Való Világ 12
- [Re:] [ubyegon2:] Airfryer XL XXL forrólevegős sütő gyakorlati tanácsok, ötletek, receptek
- [Re:] PLEX: multimédia az egész lakásban
- [Re:] [attilasd:] A laposföld elmebaj: Vissza a jövőbe!
- [Re:] [Luck Dragon:] MárkaLánc
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
GAMEPOD.hu témák
Téma összefoglaló
Hozzászólások
lcdtv
aktív tag
Üdv!
meg lehet csinálni azt hogy egy bizonyos belső ip cím más DNS címet használjon
tehát ne azt amit a szolgáltató ad hanem pl ezeket
Preferred DNS: 199.85.126.20
Alternate DNS: 199.85.127.20
ezek a Norton ConnectSafe címek
Adamo_sx
aktív tag
Azért a dologhoz az is hozzá tartozik, hogy kérdeztél itt a fórumon részinformációkat megadva. Csupa olyan választ kaptál, hogy ki-hogy állította be magának és nála működik. Nálad egyik sem, az sem, ami más wiki oldalakon, fórumokon szintén sokaknak működött. Alapvető hálózati ismeretek nélkül, csak a példákat nézegetve nem lehet mindent beállítani egy ilyen routeren.
Bár előfordul, hogy egy már működő dolgot elrontanak a Mikrotiknál egy frissítésnél, de azt azért te sem gondolod komolyan, hogy ilyen hiba lett volna a ROS adott, viszonylag új verziójában és ez csak neked tűnik fel...
Adamo_sx
aktív tag
Igen. Csinálj rá egy firewall szabályt, hogy az adott belső IP címről az 53-as portra menő TCP és UDP forgalmat irányítsa az általad preferált DNS szerverre.
bacus
őstag
Kivülröl megy, (ment mindig is, erre sok pénzzel mernék fogadni), de szarul teszteled, ugyanis a te tesztedhez hairpin kell.
Napi 15 órában hálozatokkal foglalkozom, már akkor értem a problémát, mielött sikerül rendesen megfogalmaznia az emberek 99%-nak.
Olvasd el mit kérdeztem, majd mit válaszoltál rá.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
lcdtv
aktív tag
így csináltam de nem jó valamiért
ip dns set allow-remote-requests=yes
ip firewall filter
add chain=input comment="TCP DNS" connection-state=new dst-port=53 protocol=tcp src-address=192.168.88.10
add chain=input comment="UDP DNS" connection-state=new dst-port=53 protocol=udp src-address=192.168.88.10
ip firewall nat add action=dst-nat chain=dstnat comment="Norton DNS" dst-port=53 in-interface=bridge1 protocol=tcp to-addresses=199.85.127.20 to-ports=53
ip firewall nat add action=dst-nat chain=dstnat comment="Norton DNS" dst-port=53 in-interface=bridge1 protocol=udp to-addresses=199.85.127.20 to-ports=53
[ Szerkesztve ]
bacus
őstag
csak egy eszköznek akarsz más dns-t, vagy mindnek?
Csak azért mert a dhcp szerver beállitásainál pontosan meg tudod adni, hogy milyen dns szervert használjon.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
lcdtv
aktív tag
Igen csak egy eszköznek. Ha mindnek kellene az még nekem is menne de ez igy hat nem nagyon akar összejönni
Tamás9x
őstag
Sziasztok
olyan problémám lenne, hogy hálózatot kell építenem, itt még nem akadtam meg, de ennek a hálózatnak wifin 2,4ghz-n ki kellene szolgálnia egy 40 fős irodát, van e erre valamiféle megoldás? ajánlották az UniFi hotspotot, életképes ez az ötlet?
https://www.youtube.com/@kisstontour
Adamo_sx
aktív tag
Ha ezt beállítod "ip dns set allow-remote-requests=yes", azzal engedélyezed, hogy a routered maga válaszoljon a DNS kérésre. Azt nem tudom, hogy ilyenkor a NAT szabály hogy érvényesül.
Tippre, ha beállítod, hogy a routered szépen "ossza ki" a szolgáltatótól kapott DNS-t a klienseknek és ehhez adod a NAT szabályt, annak működnie kellene:
add action=dst-nat chain=dstnat dst-port=53 in-interface=bridge-local protocol=tcp src-address=192.168.88.10 to-addresses=199.85.127.20 to-ports=53
Persze az in-interface-t és a címeket a megfelelőkkel helyettesítsd, és persze kell ugyanez UDP-vel.
Azt nem egészen értem, hogy az IP/FILTER részben mi akar lenni az a két sor...
bacus
őstag
http://forum.mikrotik.com/viewtopic.php?t=89363
Ezek szerint, először static ip-re kell tenni a dhcp listában, majd networks fül, ott a megfelelő hálózat copy, majd felül a /24-t átirod /32-re, előtte pedig a pontos ip cim, itt a többit értelemszerüen kitöltöd, más dns, wins, akár gateway, majd ok. Eszközt lecsatlakoztatod, majd vissza, elvileg mennie kell.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
bacus
őstag
biztos jó ez is, de itt is kell a dhcp-n fixálni az eszközt.. , viszont ami a fő különbség, az az, hogy itt utána a kliens mindegy mit akar majd dns-nek, a dst-nat szabály ráerőszakolja, amit megadsz. (persze lehet ez a cél),
mig a másik megoldásnál, egyszerüen dhcp-n kap beállitásokat, amik eltérnek az alapértelmezettől.
pl amig normál esetben mindenki megkapja dhcp-n a belső windows szervert mint dns szervert, addig a windows szerver megkapja a google dns szerverét alapértelmezésben (tehát nem saját magát).
Az már más kérdés, hogy nem hiszem, hogy értelmes ember dhcp-n hagy egy windows szervert.
A ráerőszakolással lehet viszont olyan szüréseket csinálni, amik belülről nem érhetőek el.
pl mikrotik lesz a dns szerver, minden dns kérést átirányitasz a mikrotikra, majd a static dns táblában kinyirod az index.hu -t. A user onnét nem tudja behivni egyik index.hu oldalt sem, lévén, hogy nincs névfeloldása, ill. az mondjuk egy belső szerver lapjára mutat, hogy a kért oldal nem elérhető.
(a hosts fájlhoz sem lehet irási joga a saját gépén, illetve az ip cimet sem változtathatja meg - arp táblában staticra állitani, no meg nyilván a mac addresst sem irhatja át)
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
krealon
veterán
"a hálózatnak wifin 2,4ghz-n ki kellene szolgálnia egy 40 fős irodát, van e erre valamiféle megoldás? ajánlották az UniFi hotspotot, életképes ez az ötlet?"
Jo otlet az UniFi, de 40 fore minimum 4 darab Access Point-ot tervezz (amihez dukal egy controler is (tetszoleges kisfogyasztasu PC, vagy az irodaban eleve adott szerver)), ha nem szeretned, hogy a szuleidet emlegessek a felduhodott felhasznalok.
bacus
őstag
Ez itt kifejezetten mikrotik fórum. A kérdésed inkább egy UBNT fórumba való.
Mindazonáltal, ha már feltetted:
- Nem ismert az iroda elhelyezkedése, mert egy nagy légtérben egy db középre elhelyezett mikrotik AP-nak, illene még 40 usert kiszolgálni. (ezek szerint)
Itt egy RB751U-2HnD volt a kérdés, ami már egy kifutott modell, a 951Ui-2HnD ugyanazzal a wifivel van.
Ha valaki, hát janisk kompetens a témában.
"max-station-count is one thing, another is - how many clients can connect, and AP would still be usable.
Usual answer is around 40 clients, and then you can test and see if adding more clients does not degrade experience for users. If usage is decent you could go up to 50 or even 60 authenticated users."
-Ha mindez egymástól távol, több szobában kell megoldanod, akkor célszerü eleve több AP, de nem a kliensek száma miatt, hanem mert nem lesz jó térerő
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
Adamo_sx
aktív tag
Jogos, az általad javasolt is ügyes, talán még szebb is, mint az enyém. Az a szép, hogy akár válogathat is az ember a lehetőségekből . Valóban, azzal, amit javasoltam "ráerőszakolódik" a kliensre a DNS, sőt, ha nincs beállítva a kliensen semmi, akkor is működik.
Nyilván a pontos szándék alapján lehet választani.
brickm
őstag
Hát legyen, akkor biztos a tesztelésem volt a sz.r és végig nyitva voltak a portok, amik kellettek.Minden esetre működik a dolog és ennek örülök. Köszönöm a segítséget mindenkinek!
Tamás9x
őstag
Köszönöm
https://www.youtube.com/@kisstontour
Sziasztok!
Otthonra keresek egy jó WLAN-os integrált eszközt 200/200-as DIGI internet mellé. Dual WAN támogatás opcionális, de nem lenne rossz, ha menne. Ezeket a típusokat nézegettem, melyiket ajánlanátok? Árban nagy a szórás, nem akarok feleslegesen beválasztani sem. Fontos, hogy masszív biztonságot adjon, VPN előny.
- RouterBOARD hAP SOHO wireless router
- RouterBOARD 2011UiAS-2HnD-IN
- RS109-8G-1S-2HnD-IN
Konkrét kérdés: miért van ,hogy némely "router" a Mikrotiknél switchként van besorolva, például az utolsó a fentiek közül?
Más. A Level szintek között mi a különbség gyakorlati felhasználás szempontjából?
MtHq
tag
Szia!
Switchnek azokat szokták mikrotiknél jelölni amikben kisebb cpu van, inkább switchnek szánják. Dual WAN, VPN mindegyiken megy, főleg a portok és a számítási kapacitásban különböznek az egyes modellek. Majdnem az összes funkciót tudod az összesen használni. 200-as nethez inkább a háromból a 2011-est venném, de vannak új modellek is, pl a 951, amit érdemes megnézni. Én egy 850Gx2-t vettem Digire, 5-600 mbit körül van ennek a vége. Ez elég jó viszonyítási alap lehet.
Levelekről:
Level 4 felett otthoni használatra nagyjából mindegy.. A Level 3-al csak kliens tud lenni a WiFi pl.
ITT egy lista hogy melyik miben különbözik.
Köszönöm a válaszaidat! Konkrétan melyik 951-re gondoltál?
brickm
őstag
Sziasztok!
Arra lennék kíváncsi, hogy biztonsági szempontból hogyan lehet olyasmit megvalósítani, hogy egy adott eszköz sehogy se legyen elérhető a netről közvetlen?
Azon túl, hogy nem forwardolom a portját.
Pl egy IP kamera csoportra gondolok, ami mondjuk fekszik a 192.168.0.111-126 tartományon, csatlakozik egy NVR-re, az NVR bizonyos portjai forwardolva vannak kifelé. A cél az lenne, hogy magát a kamerát ne lehessen sehogy közvetlenül elérni.
Vagy tiltsam a kamera IP tartományán a kifelé kapcsolódást?
brickm
őstag
Elfelejtettem:
Most egy ilyen tűzfal rule-t tettem be, hogy ne tudjon kifelé kapcsolódni, így ha portot nis nyitok neki, nem érem el kintről.
0 chain=forward action=drop src-address=192.168.0.111-192.168.0.126 log=no log-prefix=""
Kérdés, hogy ez így mennyire szakszerűtlen és hogy ennek körülbelül hol kell elhelyezkednie a szabályok között?
gabyka
aktív tag
Ne adj átjárót a kameráknak...
bacus
őstag
Ezt a feladatot tökéletesen megoldja a maszkolás, a nat.
Ezen túl már csak a csipő fogós módszer ami biztosabb, azaz simán levágod a csába a hálózatról, egy zárt láncra és csak helyben nézegethető az nvr.
Ugyanis az összes többi módszer, nincs átjáró, firewall tiltó szabályok szart se érnek, ha mondjuk már vpn-el bejutott, ugyanis akkor már nincs tűzfal, nincs semmi, ott van helyi hálón. (egy fertőzőtt gép elegendő, vagy egy teamviewer, vagy logme in, vagy hamachi, vagy...)
Fél megoldás, ha leragasztod a kamerák objektivjét fekete szigszalaggal, vagy mint a filmekben egy konzolon egy statikus képet raksz a kamera elé..
"Kérdés, hogy ez így mennyire szakszerűtlen és hogy ennek körülbelül hol kell elhelyezkednie a szabályok között?"
Tedd a legvégére, abból baj nem lehet.
Komolyan: minden linux alapú tűzfal úgy megy, hogy a szabályok kiértékelése az első illeszkedő szabályig tart.
Azaz ha van előtte egy accept, utána nem értékeli már ki, hogy helló, a végén még ide irtam, hogy de ha ez akkor drop, vagy fordítva, ha egyszer azt mondtad, hogy drop, akkor aztán hiába akarod később acceptálni.
ha nincs illeszkedő szabály, akkor accept fog érvényesülni.
Két féle képpen gondolkozhatsz:
-tiltod amit nem akarsz, majd a végén minden accept (ezt ugye oda se kell irni)
-engeded amit akarsz és a végén minden drop
a második módszer biztonságosabb és kevesebb szabályt is kell alkalmazz. Innen visszatérhetünk a legelejére, hogy is kell biztonságosan letiltani, hogy kivülről ne legyen elérhető? Nem forwardolsz oda semmit. Ennyi.
[ Szerkesztve ]
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
csutaska
csendes tag
Hello!
Valakinek ötlete van? Régóta nem megy kívülről a film nézés böngészőben. Régi ócska szoho routeren ment. Valami alap port lehetett, amit használt.
Kérdés? milyen portnak kell átirányítást készíteni, hogy működjön. Mondani sem kell, hogy Internet felöl nem megy a mozi. Minden más megy. Elérem a szervert, admin webes felületen is. Látom a routert is kívülről a beállított porton. Van VPN, is. Néhány kép.
[ Szerkesztve ]
csutaska
csendes tag
csutaska
csendes tag
krealon
veterán
"Régóta nem megy kívülről a film nézés böngészőben. Régi ócska szoho routeren ment. Valami alap port lehetett, amit használt.
Kérdés? milyen portnak kell átirányítást készíteni, hogy működjön."
A soho routereken altalban aktiv az UPnP, igy a belso halozati eszkozok ki tudjak nyitni maguknak a szukseges portokat (NAT-PMP).
Hogy a film lejatszashoz mely portokra van szukseg, lovesem sincs.
lcdtv
aktív tag
Szia! ez a megoldás a nyerő így megy szépen blokkol minden nem illő oldalt
de sajnos csak wifin keresztül, vezetékesen nem illetve ether2 próbáltam de gondolom a többi is ugyan az.
miért tesz különbséget wifi és kábel között?
bacus
őstag
le kell csatlakoztatni, hogy elfelejtse a dhcpn kapott beállitásokat.
esetleg egy adminos cmd ablakban az ipconfig /release, majd /renew
illetve ipconfig /flushdns
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
lcdtv
aktív tag
igen ezeket megcsináltam, újra is lett indítva minden de sajnos ugyan az a probléma, és az érdekes az hogy ha nézem a gép konfigját akkor a dns-nél az adott ip címek vannak, ergo a mikrotik beállítás jó de mégis valamiért nem használja
Adamo_sx
aktív tag
Nem az a gond, hogy a noti-d wifi-n , vagy kábelen csatlakoztatva más MAC addressel kapcsolódik, így más IP-t kap és arra nem érvényes a beállításod?
lcdtv
aktív tag
Minden eszkozom static ip van. Jelenleg ket eszkoz van hozzaadva amibol az egyik egy telo wifin a masik egy asztali gep vezeteken eth2 porton.
bacus
őstag
nezd ha a dns jó, akkor a mikrotik már hatókörön kivül kerül. Proxy? hosts fájl?
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
brickm
őstag
oké, akkor leszedem azt a rule-t, feleslegesen ne legyen ott.
ÉS még lenne egy kérdésem, csak hogy teljes legyen a napotok:
Láttam youtube videon az URL blokkolást, proxy szerver nélkül.
Layer7-tel.
Namár most megcsináltam pl ezt:
layer7:
0 facebook ^.+(facebook.com).*$
filter:
3 chain=forward action=drop layer7-protocol=facebook log=no log-prefix=""
Így oké, nem érhető el a facebook, viszont nem frissít a gmail kliens, nem indul el pár alkalmazás sem a tableten..igazából nem értem hogy függ össze.
lcdtv
aktív tag
lehet koze a windowshoz (10) mert ios-en es androidon megy szepen tehat nem wifi es kabel fuggo a dolog.
csutaska
csendes tag
Hát nem lettem okosabb. Lehet, hogy egy routot kéne csinálni. A fő eszközök a hálón ki fixált ip-vel mennek.
Valakinek ötlete?
[/L]
(L:/dl/upc/2016-02/17/487988_oixr7jb5zmbgnwtr_2.jpg)[/L]
(L:/dl/upc/2016-02/17/487988_il2z4geq6um86uov_3_4.jpg)[/L]
(L:/dl/upc/2016-02/17/487988_nifp90wvu0rzseag_4_4.jpg)[/L]
gazrobur
csendes tag
Sziasztok!
http://kepfeltoltes.hu/160217/mikrotik_www.kepfeltoltes.hu_.jpg
A mikrotik hAP lite ban van egy ilyen vpn-funkció.
Gépemen létrehoztam egy új VPN kapcsolatot, kiszolgálónak beírtam az adott VPN Address -t majd bejelentkezésnél a felhasználónevet és usert.
De sajnos mikor másik hálózatról néztem és rácsatlakoztam a VPN-re akkor nem kapta meg a kívánt IP-t hanem a másik háló IP tartományában volt továbbra is.
Tudtok esetleg segíteni, hogy hogyan tudnám megoldani a vpn kapcsolatot?
Köszönöm.
[ Szerkesztve ]
bacus
őstag
Kezd azzal, hogy a webes felület quick settings helyett a winbox-al megnézed a beállitásokat.
csutaska: te megnézed a feltöltött képeket? Ezek alapján milyen segítséget vársz?
kaptál egy választ, hogy az uPnP-t aktiváld. Ez nem segített?
[ Szerkesztve ]
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
lcdtv
aktív tag
A twonky server portja a 9001. Azt probaltad mar?
csutaska
csendes tag
Sajnos nem. Nagyobb képeket meg az oldal nem enged feltölteni limitre panaszkodik.
Adamo_sx
aktív tag
PPTP VPN beállítás: Winbox-ban megnyomod oldalt a PPP-t. Utána kattintasz a PPTP gomra, az interface fülön. A felugró PPTP server ablakon engedélyezed és kiválasztasz egy profilt ( a példában a "profil1"), majd átmész a secrets fülre: nevet/jelszót kitöltöd, megadod ugyanazt a profilt, mint a szervernél és kiválasztod a pptp service-t. Átmész a "profiles" fülre és az előbb megadott profilra beállítod local és remote addresst. A remote-ba én egy poolt adtam meg (IP->Pool), lásd a képen.
Ha internetet is akarsz a VPN-en keresztül, akkor a belső interface-re az ARP proxy-t be kell állítani.
Elvileg ennyi, persze ez csak az alap, legegyszerűbb, az OPNVPN, vagy a titkosítás az a következő fokozat.
csutaska
csendes tag
2,86 MB. és nem lehet feltölteni.
csutaska
csendes tag
csutaska
csendes tag
csutaska
csendes tag
csutaska
csendes tag
bacus
őstag
A nagyobb képeket töltsd fel dropboxra és onnan linkeld.
Azért lenne egy szerény kérdésem.
local network: 212.92.15.100
Ez honnan jött? Csak úgy beirtad?
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
csutaska
csendes tag
Régi panteles IP.