Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Gyorskeresés
Legfrissebb anyagok
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
Általános témák
LOGOUT.hu témák
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] [sziku69:] Szólánc.
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [petipetya:] Nagy chili topic. :)
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [Lenry:] Windows 11 telepítése inkompatibilis gépre
- [Re:] [GoodSpeed:] SAMSUNG Galaxy Buds FE (SM-R400NZAAEUE) a 9 éves SONY SBH20 utódja (nálam)
- [Re:] Toyota Corolla Touring Sport 2.0 teszt és az autóipar
- [Re:] Elektromos rásegítésű kerékpárok
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Téma összefoglaló
Hozzászólások
pzoli888
kezdő
1. külső routernél (13.0.3.1) miért nem aktív a 13.0.4.0/24 route? rakd enabled-re, mert ez így szerintem csak az egyik irány, és szükség van a vissza irányra is.
yodee_
őstag
Bekapcsoltam, de semmi változás.
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
pzoli888
kezdő
és mit mutat pl. egy tool traceroute 13.0.3.1 src-address=13.0.4.1 a 2. külső routerről futtatva?
yodee_
őstag
pzoli888
kezdő
vagy én nem látok vmit jól, de ez jónak tűnik, nem? mi nem működik jól, milyen eszközökről?
yodee_
őstag
Ez már működik igen most látom Én is csak, viszont az 1. külső router felől nem működik. Gondolom ott így adom ki a parancsot:
tool traceroute 13.0.4.1 src-address=13.0.3.1
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
pzoli888
kezdő
igen, és ennek mi az eredménye?
yodee_
őstag
Reggie0
félisten
Amugy celszeru lenne valami orosz IP-tartomanyt valasztani, arra garantaltan nem lesz szukseged. Es meg az eselyet is csokkented, hogy hekkeljenek
[ Szerkesztve ]
pzoli888
kezdő
ez tényleg fura, esetleg vmilyen tűzfal szabály? de csak ez csak tipp
Marcelldzso
tag
Srácok...
Azthittem nem fogok de még is szívok a Wireguarddal...
Szóval frissítettem 7.1.1re mindkét oldalt ---> belassult az IPsec.
Gondoltam akkor wg és problem solved.
De, addig sem jutok el, hogy a két interface összekapcsolódjon.
A saját oldalamon látom, hogy próbálkozik, handshake failure.. ellenoldalon hiába kapcsoltam be a logolás még a próbálkozást sem látom, 0. minden számláló.
megnéznétek mit ronthatok el?
sejtem megint nem látom a fától az erdőt.
[admin@RakhegyTik] /interface/wireguard> print
Flags: X - disabled; R - running
0 R name="wg-rakhegy" mtu=1420 listen-port=13231
private-key="EZITTAPRIVÁTKULCSWk="
public-key="EZITTAPUBLICKULCSSDtbXVgfzU="
Ezt raktam mindkét oldalon a firewall filter táblába:
add action=accept chain=input dst-port=13231 protocol=udp
Mi kellene még hozzá, hogy létrejöjjön a kulcscsere?
Lenry
félisten
mindkét oldalon beállítottad a peereket is?
/interface wireguard peers
add allowed-address=wgInterfészIPtartománya \
endpoint-address=másikOldalPublikusIPcíme \
endpoint-port=13231 interface=wg-rakhegy persistent-keepalive=\
30s public-key="másikOldalPublikusKulcsa"
[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
Marcelldzso
tag
Igen, megvan mindkét oldalon.
bammmeeg.
az interface neveknek ugyanazoknak kell lenni?
feltűnt, hogy az interface-nek ugyanazt raktad nekem példába.
[ Szerkesztve ]
Marcelldzso
tag
lassan elmegyek szerintem beiratkozok egy alap+routing+wireless tanfolyamra. kicsit idegesít, hogy nem értem - pedig érthetném.
yodee_
őstag
DeniL
tag
Sziasztok,
Ritkán szoktam a logokat nézegetni, mert ha valami működik, akkor van jobb dolgom is
Most viszont belenéztem, és nem értem a látottakat.
Üzemel néhány wifis hőmérő modul és okos izzó a házamban.
Fix IP-n lógnak, 3 nap lease time van a dhcp szerveren és capsman.
De ezek fix helyre rakott eszközök és a cap-ek között sem ugrál.
Mitől lehet ez a néhány percenként küldött temérdek mennyiségű logáradat?
Vagy buta a kliens oldali eszköz és folyamatosan pingeli a routert IP címért ?
Pastebin log [link]
Köszönöm a tanácsokat előre is
BUÉK
pzoli888
kezdő
lehet mind a három router tűzfal szabályaiban, ahol az action =drop és a chain= forward vagy input szerepel ott be kellene kapcsolni a log-ot (akár log prefix is legyen: külön prefix input-ra és külön prefix forward szabályra), és megint traceroute-olni a rossz irányt, majd ezek után megnézni, hogy vmilyik router logjában látsz-e vmit, és ha látsz vmilyen logot ezekkel kapcsolatban, akkor tűzfal gond lesz a hiba.
[ Szerkesztve ]
yodee_
őstag
Az mennyire játszhat szerepet, hogy a Fő és 1. külső router PPPOE T-home kapcsolat, míg a 2. külső router egy Telenor mobil internet kapcsolat DHCP kliens módban ?
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
Marcelldzso
tag
Átnézné valaki nekem ezeket a filter rule-okat?
Próbálnám beállítani a wireguardot de ezen az oldalon mindig 0-át mutat a counter a porton...
persze ha felépítek egy ipsec tunnelt akkor már is működik..../ip firewall filter
add action=accept chain=forward connection-state=established,related disabled=yes
add action=accept chain=input dst-port=20636 log=yes log-prefix=wireguard protocol=udp
add action=accept chain=input port=1701,500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input src-address=192.168.12.0/24
add action=accept chain=forward dst-address=192.168.19.0/24 src-address=192.168.12.0/24
add action=accept chain=forward dst-address=192.168.12.0/24 src-address=192.168.19.0/24
add action=drop chain=input dst-port=53 protocol=udp src-address=!192.168.19.0/24
add action=accept chain=forward connection-state=established,related dst-port=443 protocol=tcp
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment="Invalid csomagok eldob" connection-state=invalid
add action=drop chain=forward comment="Invalid csomagok eldob" connection-state=invalid
add action=accept chain=input comment="Established connections" connection-state=established
add action=fasttrack-connection chain=forward connection-bytes=10240-0 connection-state=established,related hw-offload=yes
add action=fasttrack-connection chain=forward connection-mark=!ipsec connection-state=established,related hw-offload=yes
add action=accept chain=input in-interface=!pppoe-out1 src-address=192.168.19.0/24
add action=drop chain=input dst-port=53 protocol=udp src-address=!192.168.19.0/24
add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m chain=input comment="port scanners" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m chain=input comment="port scanners" protocol=udp psd=21,3s,3,1
add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h chain=input dst-port=20-1023,8291 protocol=tcp src-address=!192.168.19.0/24
add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h chain=input dst-port=500,4500 protocol=udp src-address=!192.168.19.0/24
add action=drop chain=input comment="drop blacklist" src-address-list=blacklist
add action=drop chain=forward comment="drop blacklist" src-address-list=blacklist
add action=drop chain=forward comment="Block wrong IPSEC" disabled=yes in-interface=pppoe-out1 src-address-list=IPSEC
/ip firewall mangle
add action=add-src-to-address-list address-list=sstp-conn address-list-timeout=30s chain=prerouting dst-address-type=local dst-port=443 protocol=tcp tls-host=vpn.mrmarcell.hu
add action=change-mss chain=forward new-mss=1440 out-interface=pppoe-out1 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=!0-1440
add action=mark-connection chain=forward comment="mark ipsec connections to exclude them from fasttrack" ipsec-policy=out,ipsec new-connection-mark=ipsec
add action=mark-connection chain=forward comment="mark ipsec connections to exclude them from fasttrack" ipsec-policy=in,ipsec new-connection-mark=ipsec
(#15820) silver-pda válasza Marcelldzso (#15819) üzenetére
silver-pda
aktív tag
Én nem értek hozzá, de az első rule miért disabled?
ekkold
Topikgazda
Esetleg próbálj 7.1-ről, 7.1.1-re frissíteni.
pzoli888
kezdő
nem gondolnám, nálam egy hap ac2-n van egy usb-s Huawei E3372H mobil stick igaz modem módban, de l2tp-val is ment, de már átraktam wireguard-ra.
gidacska
csendes tag
Sziasztok, nyomtam egy frissítést úgy néz ki kinyírta a routert. Se Mac se Ip címmel ne tudok csatlakozni, reset sem segít. Tudok esetleg valamit kezdeni ilyenkor a routerrel? LAN- on sem sikerül kapcsolódni sajnos. hAp Ac2 routerről lenne szó. Köszönöm
Cirbolya_sen
aktív tag
gidacska
csendes tag
Köszönöm megnézem ,már csak netet kell szeretném
Cirbolya_sen
aktív tag
Igen, ha az nincs, elég nehéz letölteni, szerencsére nem nagy fájlok,
[ Szerkesztve ]
Cirbolya_sentinel
gidacska
csendes tag
Sajnos nekem nem jelenik meg a Netsinstallnál az router pedig beállítok mindet.Nincs hálózati hozzáférést ír ahol a kapcsolat adatait nézem.
[ Szerkesztve ]
Cirbolya_sen
aktív tag
Kellhet még a 30mp-es játék: táppal 30mp reset, táp ki 30mp reset, táp vissza és még mindig 30mp reset folyamatosan nyomva.
-
ha sokáig próbálkozik az ember, és jól van beállítva minden, előbb utóbb sikerülni fog, ha nem teljesen kuka a cucc
[ Szerkesztve ]
Cirbolya_sentinel
gidacska
csendes tag
Azért vicc hogy egy frissítés kinyírja. Egyenlőre semmi.Frissítés után még a szolgáltató modemja is megbolodnult, villogott minden rajta mint a karácsonyfán.
Cirbolya_sen
aktív tag
A 7.1.1-es verziót raktad fel, az nálam is szétesett egy régebbi RB433-as lapon, igaz elég régi OS-ről frissítettem volna. A netinstallal sikerült újra rakni az OS-t
Cirbolya_sentinel
gidacska
csendes tag
Köszönöm a segítséget. Sikerült a netinstall után helyre tenni a dolgokat ismét működőképes lett.
yumme
csendes tag
Sziasztok,
Kellene egy router (kis számú végpont, 4-5 db VLAN, VPN(szerver) 2 kapcsolat, VPN(kliens) 3 kapcsolat, route szabályok a VLAN-ok között + a szokásos)
RB5009-et néztem ki.
kérdéseim:
mivel most dobták piacra és megértésem szerint új architektúrára épül félő hogy tele van gyermekbetegségekkel. Érdemes-e jelenleg már venni belőle? Ha igen, hol érdemes beszerezni?
vagy inkább várjak "rev. 2" -re és addig nézzek valami használt CCR10xx ?
Köszi
Pille99
tag
Én is így jártam, két nap ráment, mire összejött a netinstall
yodee_
őstag
Más ötlet? A háromból kettő jó, nem hinném hogy ez lenne a gond.
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
pzoli888
kezdő
azt nézted már, hogy a traceroute idejére az összes eszközön a drop-os firewall szabályokat log-olni, majd megnézni, hogy a traceroute után írt-e vmit oda vmelyik router?
jerry311
nagyúr
Szvsz, az 50069 ágyúval verébre, de képes lesz elbánni a feladattal.
1-4% CPU terhelés mellet.
ekkold
Topikgazda
Nekem bevált az RB5009, a 4011-nél erősebbnek tűnik. A gigabites net NAt-olása + szokásos feladatok + VPN sem okoz különösebb terhelést...
ekkold
Topikgazda
Azért javasoltam, mert nekem csinált olyat a 7.1, hogy hiába vettem fel a routing szabályt, az nem működött. Újraindítás után viszont magától megjavult. A 7.1.1-nél nem tapasztaltam ilyet.
Amúgy meg naplózni kellene, hogy meddig jutnak el a csomagok, akár naplózó tűzfalszabályokat felvenni erre a célra. Csak kiderül, hogy hol akad el.
[ Szerkesztve ]
yumme
csendes tag
köszi!
a legjobb eszköz az, amit felkonfig után nem kell észrevennem hogy létezik
yumme
csendes tag
köszi!
volt vele bármi probléma? külföldi fórumokon viszonylagosan sok HW problémát olvasok ...
ekkold
Topikgazda
0,1% bad szektor van a belső háttértáron - figyelni kell, hogy növekszik-e. Van egy RB951-es routerem amin évek óta ennyi, nem növekszik. Remélem ezen se fog. Más megoldhatatlan problémával eddig nem találkoztam.
yumme
csendes tag
köszönöm!
[ Szerkesztve ]
E.Kaufmann
addikt
Az enyémen se szerencsére , inkább a sebessége miatt kellene már cserélni, mert ugye 100MBit-et röhögve bír, de már pl a ROS7-ben elérhető CAKE QoS "kicsit" megizzasztja a CPU-t ilyen "alap" internet mellett is.
Le az elipszilonos jével, éljen a "j" !!!
pitiless
senior tag
Nálam is teszi a dolgát eddig gond nélkül.
Van valakinek megoldása arra,hogy linuxban írt scriptben be SSH-n bejelentkezik a Mikrotikbe és a scriptben lévő SSH parancsot is elküldi?
Ha kézzel csinálom megy,de ha scriptben szeretném ezt megcsinálni ott már nem tudok SSH parancsokat küldeni.
E.Kaufmann
addikt
Ajánlom magam, ezt régebben csináltam, az sshpass a kulcs:
[link]
[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
betyarr
veterán
esetleg ebben tudna valaki segíteni?borzalmasan idegesítő,hogy folyamatosan le-felcsatlakoznak a sonoff eszközök.tuti valami a mikrotik-ban lévő beállítás nem nyerő,mert 2 hónapig sosem csatlakoztak le a wifiről,csak mióta újra beüzemeltem a mikit.
g0dl
addikt
Csinálj egy usert aminek vannak a szükséges jogai (de nem több) vedd fel a publikus kulcsod ( linuxon ~/.ssh/id_rsa.pub ) a mikrotikba ( /user/ssh-keys) .
aztán
ssh <a felvett user>@<mikrotik_ip> parancs
Ad@m
tag
Logban mit latsz? Nem tul gyenge a wifi a dugaszoknal? Esetleg nincs valami szabalyod ra?
I am more than a fish, I am more than a man, Death will rise, from the tide! I am murloc!
silver-pda
aktív tag
Mi a véleményetek az
/ip settings rp-filter illetve
/ip settings tcp-syncookies beállításokról?
Mai Hardverapró hirdetések
prémium kategóriában
- Samsung Galaxy TAB S9 Ultra 12/512GB 5G VADONATÚJ BONTATLAN eladó!
- GAMER PC - RTX 3060 12GB - i5 10400F/11400F - 16GB 3000MHZ DDR4 - 240GB SSD - 500GB HDD
- Dell Latitude 7370 13col FHD IPS, M5-6Y57, 8GB DDR3, 128GB SSD,Újlenyomatolvasó/Win11
- Latitude 5420 27% 14" FHD IPS, i7-1185G7 Iris Xe G7 16GB 512GB NVMe IR kam gar
- Fehér Lenovo GAMING3 NVIDIA RTX 3060 6gb i7-12650H 16gb ram 500gb ssd FHD 165HZ windows1