A technológiaila létezik, csak nem NAT-olt lakossági előfizetések árában adják.

Valaki használt már CRS3xx sorozatban a Switch funkcióban szűrést?
Pl. ACL Filtering

https://help.mikrotik.com/docs/display/ROS/CRS3xx+series+switches

[ Szerkesztve ]

Sziasztok!

Jelenleg nem tudom hol kellene megnéznem, de az a jelenség, hogy 2GHz-n csatlakozva a belső gépeket nem érem el, ha 5GHz-re megyek, akkor látom a hálózaton a gépeket azaz eltudom érni őket.

Amióta átraktam mindent az AC3-ra van ez a jelenség csak eddig nem foglalkoztam vele, Mit nézzek, merre keresgéljek? Biztonsági szempontból, amúgy elég jó feature, de azért jó lenne tudni mi van mögötte.

“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”

Igen.

Ugyanabba a bridgebe van a ket wlan? Azonos alhalozaton vannak?

I am more than a fish, I am more than a man, Death will rise, from the tide! I am murloc!

Feladat : ether5 felől érkező 12.34.56.255 IPv4 címre, és UDP-1234 portra küldött (subnet broadcast) csomagokat csak az ether6 felé engedje.

/interface ethernet switch rule add disabled=yes dst-address=12.34.56.255 dst-port=1234 mac-protocol=ip new-dst-ports=ether6 ports=ether5 protocol=udp src-address=12.34.56.25 switch=switch1

Próbáltam "src-address" megadásával, és nélküle is, de ha bekapcsolom a szabályt, akkor (látszólag) pont ezt blokkolja ... vagy benéztem valamit :-)
Sajnos nem voltam a helyszínen, és aki ott volt, csak egy grafikus megjelenítőt nézett, és abból következtettünk, következtetek az eredményre.

[ Szerkesztve ]

Ez eleg erdekes, mert ennek a szabalynak hatasara majdhogynem semminek sem kene tortennie. A dst-port-nak biztos ether6-nak kell lennie, nem nezte el a portot?

[ Szerkesztve ]

Én tennék bele egy mirror-t, mert számomra a new-dst-ports action csak annyit jelent, hogy a további feldolgozás során úgy kezeli a csomagot, mintha az az eth6-ra menne, de ettől még nem küldi ki oda.

/interface ethernet switch rule add disabled=yes dst-address=12.34.56.255 dst-port=1234 mac-protocol=ip new-dst-ports=ether6 ports=ether5 protocol=udp src-address=12.34.56.25 switch=switch1 mirror=yes

Teljesen ugyanabba, lényegibe mind a két helyről megfelelő eszközök egy trusted hálózatot érnek el, azonos címkiosztással is.
Csak Infó, CAPsMAN-al használom, a régebbi konfig alatt nem volt ezzel "gondom".

“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”

"A dst-port-nak biztos ether6-nak kell lennie, nem nezte el a portot?"

Sajnos nem. Én is csekkoltam a MAC címek alapján

[ Szerkesztve ]

Hmm. Ki fogjuk próbálni

"Ez eleg erdekes, mert ennek a szabalynak hatasara majdhogynem semminek sem kene tortennie."

Pusztán annyinak, hogy semelyik másik port-ra ne menjen ilyen csomag :-)

Következő kérdés : hogyan tudok blokkolni (drop) egy adott port-ra beérkező, bizonyos forgalmat?

[ Szerkesztve ]

new-dst-ports - if set forces the destination port to be as specified, multiple ports allowed, including cpu port. Non obvious feature of this parameter is to pass empty list of ports to drop matching packets;

Csak az ether5-on jovo packeteket fogja atiranyitani, ha mas portrol jon, akkor mehet barmerre.

#14813 Zwodkassy: new-dst-ports=""

#14808 jerry311: Nem kell a mirror, mert nem atiranyitani akar, hanem leszurni a masfele menoket. Nyilvan azt akarja, hogy a broadcastot mas ne kapja meg.
A masik, hogy a mirror nelkul a new-dst port atiranyitja a csomagot. Ha rateszed a mirrort, akkor megkapja az ethet5-is es megkapja az eredeti celpont is. Mirror csak akkor kell, ha "le akarod hallgatni" a forgalmat egy masik porton, azaz masolatot kersz az atiranyitas helyett.

[ Szerkesztve ]

" new-dst-ports="" "
Szóval lehet üres is a mező?
Ez kimaradt nekem 😊

Igen, akkor dropolja.

Én a new-dst-ports="none" -t próbáltam volna, de természetesen nem működött 😂😂

"multiple ports allowed"

CRS326-24G-2S+ esetében ez nem igaz

Próbálgatom a WireGuard-ot, tud valaki segíteni itt: [link]
Igazából nem tudom eldönteni, hogy mikrotik, windows, wireguard, vagy user errror...

Az egyik AP-re feltettem a RouterOS 7.1rc4-et.
Mindjárt meg is van az első hiba: nem megy az email küldés, timeout hibát ír a log-ba. A frissítés előtt lefuttattam a backup-ot emailben elküldő scriptet - akkor még működött.

Ha lelövöd az IPv6-ot, akkor is időtúllépés?

Le az elipszilonos jével, éljen a "j" !!!

Igen, még a frissítés előtt le volt lőve az IPv6, és meg is maradt ez a beállítás (is) a frissítés után. Egy barátom is frissítette a cAPac-t otthon, neki meghalt a cucc... majd holnap megpróbálja netinstallal életre kelteni...

Sziasztok,
Adott egy hálózat (sajátom, otthon). CAPsMAN-t hbasználok a lakásban, hogy minden le legyen fedve. Van a manager (hAP AC3), és 2 db AP (egy hAP AC2 és egy mAP Lite).
A garázsban van egy nyomtatónk, s mivel nincs kikábelezve a lakás, így beraktam egy Asus routert, amin fut egy OpenWRT és pseudo bridge-el csatalakoztattam a hálózathoz.
Korábban már tapasztalható volt egy hiba, nem lehetett mindig nyomtatni. Mivel csajom otthonról dolgozik így elég sűrűn felhív a hibával. Elkezdtem fogalalkozni a témával és arra jutottam, hogy a Wifi körül lehet a gond, mint ha valamilyen beállítás nem menne át az OpenWRT-re. Mikor ő nem tud wifin nyomtatni én tudom pingelni a nyomtató el is érem + VPN-n keresztül mindig elérhető az összes eszköz a lakásban (ez mondjuk nagyon furcsa). Nem jövök rá, hogy mi lehet a probléma forrása. Annyi plusz infó, ha fix ip-t állítok be csajom laptopján, akkor mindig elérhető a nyomtató és tud is nyomtatni. A másik ami még "gyanús" nekem, hogy vaslószínüleg ez a hiba akkor jön elő, mikor az egyik caps-ról a másikra csatlakozik egy-egy eszköz. Ezt ma reggel vettem észre pl.: hogy Ac2-n voltam, s míg lejöttem átlépett az Ac3-ra majd vissza a kettőre és nem tudtam pingelni a nyomtatót. Valaki hasonló anomáliával találkozott már? Internet pl.: az egész lakásban van, az tökéletes működik csak az openwrt-re kötött eszköz sz@rakodi.

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

NEm tudsz az Asus helyére egy Mikrotiket rakni teszt idejére? Valahol szűkíteni kell a hibát,ha meg akarod találni.

Mert a VPN egy fix kapcsolat jó beállításokkal és valószínűleg nem a nyomtatóval, meg az OpenWRT beállításaival van gond, hanem az egyik WiFi beállításaival, vagy a kliens beállításaival.
Igazából az egy nagyon nagy probléma, hogy ha egyik WiFi-ről a másikra csatlakozásnál már előjön ez a hiba, ugyanis akkor az azt jelenti, hogy valamilyen beállítás nem azonos mondjuk a két AP belső hálózati beállításain, legalább is gondolok itt arra az esetre, ha mondjuk van rajtuk vendég hálózat is, mint nálam ami egy teljesen elszeparált hálózat és rajta van szintén minden AP-n, de nálam ha átállok egyik AP-ról a másikra ugyan arra a hálózatra, sosincs ilyen, annyi hogy én belső hálón DHCP által kiosztott fix IP címeket használok, az a biztos, CAPsMAN-ban meg a belső hálóra be van kapcsolva a CTCF és LF, hogy feleslegesen ne a routert terhelje a belső forgalom.
Érdemes lenne újrakonfigurálni a CAPsMAN-t, illetve előtte megnézni, melyik az az AP, amelyikről nem érhető el, mert lehet azon van legtöbbször a barátnőd, egyébként meg adjál neki fix IP címet, illetve ha nem tudod megoldani, hülyeség, de VPN-re belső hálóról is fel tud csatlakozni és akkor valószínűleg ugyan úgy el fogja tudni érni a nyomtatót, bár én inkább azt mondom, nézd meg azoknak az AP-knek a beállításait, múltkor nekem is meghülyült a CAPsMAN mikor a szar telefonos alkalmazásról akartam egy beállítást módosítani, közben sikerült vagy másik 10-et is úgy hogy nem akartam azt néztem csak, hogy egyik kliens tud csatlakozni, másik nem stb.... de múltkor az alkalmazással ugyan így jártam mikor csak beléptem a routerbe, egyszerűen törlődött a WAN oldali DHCP kliens, szóval vannak bőven furcsaságok a Mikrotik-nél, meg a telefonos alkalmazásnál is, de szerencsére eddig nem okoztak olyan problémát, amit ne tudtam volna megoldani, annyi hogy a CAPsMAN-t múltkor beletelt vagy 10 percbe amíg helyre hoztam, mert mikor már stimmeltek a beállítások, akkor sem úgy működött minden ahogy kellett volna, volt hogy egy szegmenst töröltem és újra létrehoztam ugyan úgy és a probléma megoldódott, lehet neked is csak újra kellene az egészet konfigurálni, kb. 5-10 perc alatt meg van az egész, bár ha van időd tesztelgetésre, én kideríteném, hogy váltáskor melyik AP-n nem fér hozzá, akkor egyáltalán ugyan abban a hálózatban van-e, IP címet mit kap stb.... meg nem tudom hogy van felkonfigurálva, de gondolom ugyan azt a beállítást használja mindkét AP, tehát ha egyiken bekapcsolod a LF-t és a CTCF-t, akkor mindkettőre az vonatkozik, csak azért kérdem, mert láttam már sokaknál elég érdekes CAPsMAN beállításokat, gyakorlatilag AP-ként eltérő beállítást ugyan arra a hálózatra, meg hiányos beállításokat, aztán csodálkozás volt, hogy mikor már 2-3 AP volt a hálózaton, nem egészen úgy működött a dolog, mint mikor 1, szóval Mikrotiknél elég sok mindentől függhet a dolog, persze gondolom nálad ugyan az a konfig van kb. mindegyik AP-n, bár azért érdemes megnézni az AP-kat is.

Sziasztok!

Mikrotik RouterBoard hAP ac3 LTE6 vagy RouterBoard wAP ac LTE6 beszerzésén gondolkozom 4G internet megosztásra, illetve kiváltani a meglévő ASUS RT N14U-t.
Kérlek, segítsetek abban, hogy USB-n rákötött nyomtatót meg tud-e osztani a belső hálózaton valamely eszköz, mert erre vonatkozólag nem találok információt?!

Előre is köszönöm a segítséget!

Szia!

Nem tud nyomtatot kezelni.

Óóóóóóóóóó milliónyi SFP fix.

What's new in 6.49 (2021-Oct-06 11:55):
*) crs3xx - fixed LEDs for QSFP+ interface on CRS326-24S+2Q+ device;
*) crs3xx - fixed SFP and SFP+ link rate reporting (introduced in v6.48beta11);
*) crs3xx - improved QSFP+ linking and mode changing for CRS326-24S+2Q+ and CRS354 devices;
...
*) crs3xx - improved packet transmit on SFP+ interfaces;
...
*) qsfp - improved system stability when setting unsupported link rates;
...
*) sfp - added "sfp-rate-select" setting;
*) sfp - fixed GPON module linking (introduced in v6.47);
*) sfp - improved 25Gbps optical module stability and linking;
*) sfp - improved SFP, SFP+, SFP28 and QSFP+ interface stability for CRS3xx and CCR2004 devices;
*) sfp - improved link stability for 10G, 25G and 40G modules on CRS309, CRS312, CRS326-24S+2Q+ CRS354 and CCR2004 devices;
*) sfp28 - changed FEC auto mode to disabled;

Akkor remélhetőleg javítva lesz a szakadási és kompatibilitási hibák nagy része.

"sfp - added "sfp-rate-select" setting;"

Ez vajon mit takarhat? Átviteli sebesség állítása kézzel is volt eddig, nem?

"Got any other secret weapons?"

Passz, talán az SFP és az alaplap közti sebesség?
Kb. nulla info van róla.

Ez ilyen alacsony szintű SFP beállításnak tűnik, ami javíthatja a kompatibilitást és/vagy stabilitást. SFP oldalon opcionális, mert megengedett, hogy csak 1 sebességet támogasson.

Rate Select : "This is an optional input used to control the receiver bandwidth for compatibility with multiple data rates". Setting this for low bandwidth allows the receiver to reduce its input bandwidth and improve it's sensitivity when a lower data rate input is expected. If your module only has one mode of operation you can ignore this input.

Egyik ügyfélnél most először használtam rezes sfp+ modulokat. (mikrotik típus az is)

-Alapból is 85-87 C fokosnak írja a modult, lekapcsolási hőmérséklet 95 fok..
ez normális?

-5G -ként kapcsolódnak össze, miközben a kábelt kb 1 m-esnek érzékeli. Persze nem tudom, hogy elég jó e a kábel a 10G-linkhez. Mondjuk ez is több mint amire az elkövetkező időkben szükség lesz.

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Akár normális is lehet, de azért felmerül a kérdés, hogy szellőzik-e rendesen.
Meg kell nézni manault is, és beállítani a lekapcsolási hőmérsékletet.

Sajnos ennyire melegedősök, régebben bambano is írta, amikor én is szemezgettem ilyesmivel. Hűtés nélküli rackszekrénybe/ helyiségbe nem is való.

Le az elipszilonos jével, éljen a "j" !!!

Nekem a konyhaszekrény tetején van 3db s+rj10 r2.16 modul CCR2004-ben. Aktív állapotban max 66-68 fokosak.

A rezes nálam is sokkal melegebb, mint az optikai SFP+ csatoló:

Itt mind a két switch egy hatalmas rack szekrényben van, aminek ráadásul az oldala is le van véve..

Mindegy, ha stabil, nincs szakadás, mindegy milyen a hőmérséklet. 4 db modult vettem, kettő van használatban a másik a fiókban pl pont szoba hőmérsékletű , ha valamelyik megfőzi magát lehet cserélni.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Sajnos a rezes SFP+-ok melegszenek mint a fene.

Tulajdonképpen magamnak válaszolok, de esetleg más is érdekelhet: Kipróbáltam a WireGuardot mikrotik szerver - PC kliens (Mac és Win) felállásban. A mikortik szerver egy cAPac volt amire feltettem a RouterOS 7.1rc4-et, ez AP-ként funkcionál itthon, a fő router hAPac2, ami forwardolja a WireGuard UDP portját a net felé. Az így elérhető sebesség lényegesen nagyobb volt, mint bármilyen más, általam eddig kipróbált VPN esetében - tehát úgy tűnik érdemes lesz használni.

Remény keltő 😁

"Az így elérhető sebesség lényegesen nagyobb volt"

Számszerileg mennyi, ha szabad kérdezni? Stabil ROS-on, OpenVPN ~20 Mbps-nél is több? Mikrotik szerver és kliens között lenne érdekes még a sebesség, mert akkor váltaná nálam az OpenVPN-t biztosan.

"Got any other secret weapons?"