Köszi.
Szóval ha van return a saját chain-ben, akkor is a jump utáni sorra megy? Szóval akkor nekem nem kell használnom alapesetben.

Nekem hAPac^2-n a PPTP VPN volt a leggyorsabb, az tudott talán 100Mbit körül, az L2TP+IPsec már jóval lassúbb volt, IPsec nélkül meg csak kicsit volt lassúbb a PPTP-nél. A wireguard gyorsabb volt mindegyiknél (nem emlékszem pontosan mekkora sebességet tudott, de biztosan többet mint 100Mbit/s). IPIP + Ipsec és az EOIP+IPsec sem volt igazán jobb sebességben a fentieknél - bár ezekkel nem túl sokat kísérleteztem. Szóval azért nem kell csodát várni ettől a kis routertől, szerintem a gyakorlatban az a 100Mbit körüli VPN sebesség reális. Ha nagyobb sebesség kell akkor vagy a PC-n kell futtatni valamilyen VPN-t, vagy jóval erősebb router kell. Gyanítom, hogy pl. a Wireguard PC-n futtatva, simán tudna közel gigabitet, de ezt nincs módom tesztelni.

[ Szerkesztve ]

Van egy rb2011 mikrotik routerem, beállítottam kézzel a wifit, és a két belső switchre egy egy bridget ( kivéve az ether1-et amin a bejövő net van) dhcp-vel ( 192.168.1.0/24, 192.168.2.0/24) Ami a kérdés számomra, igaz kicsit faramuci, ha a gyorsbeállításokba bemegyek és a home app-ot válsztom, ( de nem állítok át semmit) ott látható néhány eszköz amihez csatlakozik. közöttük vagy a 192.168.1.1, vagy a 192.168.2.1 IP cím is ( attól függően melyik bridgehez rendelem a wlant) Ds-Link Network néven -90db jelszinttel. A megadott ip-n a router beállító menüje elérhető, tehát sajátom biztosan. MAC : 94:fb:b2:58:af:b4 .
Ez mi ? Tudtommal egyik eszköz mac számával sem egyezik, a rendes wifi viszont kimaradozik. Olyan mintha ez egy belső híd lenne a két bridge között..

Elso korben feltetlenul udp-vel tesztelj, mert a TCP-nel mas dolgok is beleszolhatnak a sebessegbe.

Szerintem nincs mas, mind alap konfigbol kiindulni es felepiteni egyesevel az ipsec linkeket, hogy kideruljon mi okozza.

Esetleg a profiler-ben megnezhetned, hogy melyik modulnal mekkora terheles jelentkezik, az alapjan lehet saccolni, hogy hol lehet a problema.

[ Szerkesztve ]

MAC : 94:fb:b2:58:af:b4 . Ez mi ?
SHENZHEN GONGJIN ELECTRONICS CO.,LT

Csak a probardver van hozzád bekötve?
a google nem segît?

Köszönöm, megtaláltam a megfelelő titkosítási beállításokat és most már elfogadom a sávszélt Amit kikapcsoltam tűzfal bejegyzés azt el tudnád mondani mit is csinált?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Nálam ehhez hasonló bejegyzés erre kell:
- Van több különféle port kifordítva, pl. egy webszerver, ami a router WAN oldaláról elérhető (skori.spacetechnology.net)
- Hogyha egy LAN címről (mondjuk asztali PC) el akarom érni a webszervert, de úgy hogy nem a belső LAN oldali címére hivatkozok, hanem pl. az előbbi domain névre - ami ugye a WAN oldali címre fordul, akkor a PC a routerhez fog fordulni a kéréssel, hiszen nem lokális címet akar elérni. A router viszont "észreveszi", hogy az a cím (is) a saját címe, és ezért az említett NAT szabály alapján, annak ellenére kiszolgálja a kérést, hogy az eredetileg a WAN oldali címre vonatkozott.
Magyarán, a LAN-on belül is kiszolgálja a NAT kéréseket. Sokak szerint ez így nem működhet, és valóban kicsit fura a dolog logikája, de a gyakorlatban viszont mégis működik a dolog. A Te esetedben, ha mégis meg akarnád tartani ezt a szabályt, akkor úgy kellene módosítani, hogy a VPN címekre ne vonatkozhasson ez a szabály, ha viszont nincs ilyesmire szükséged, akkor nyugodtan törölheted.

Kiderült, egy másik Wifi hálózat keveredett ide. ( bár azt még mindig nem értem, az IP címet honnét, és miért kapta....)

Köszönöm, ott nem lesz erre szükség. Más! Amennyiben külső eszközzel fellépek VPN-re, akkor elérem az összes alhálózatot?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

a dns felől eldobnál azért nulla packets mert nem próbálkoznak,vagy rossz helyen van a sorban?

Neki segített, Ő meg nekem. Köszönöm.

Vagy mert nem probalkoznak, vagy mert a szolgaltatod is szuri.

tedd első helyre és kiderül

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

RB5009 vs. CCR1009
Párszor már szóba került itt a fórumon, hogy aki nagyobb teljesítményű routert használna, az esetleg elgondolkozhat pl. egy CCR1009-en aminek a használt ára összemérhető pl. az RB5009 árával ami viszonylag új típus.
Arra lennék kíváncsi, hogy mi szól az egyik, és mi a másik mellett ha mondjuk otthoni routert szeretne valaki. Persze kell a VPN-el, és a NAS is torrentezik, és mellette a PC-n is használnák az internetet.

RB5009 ARM alapu, igy biztos fog menni rajta a Container, mivel dockeren az ARM architekturak tamogatottak. CCR1xxx szeriara is megjelent a Container, de meg nem lattam feltoltheto imaget, ha egyaltalan mukodik, akkor valakinek azt a nullarol kell osszeollozni, mert a Dockernel nem tamogatott architektura.

CCR1009 elonyok:
- erosebb proci
- soros konzol
- microSD foglalat
- procibol megy a networking
- nincs switch chip
- nagyobb ram
- lcd kijelzo(ha szamit)

RB5009 elonyok:
- sokkal nagyobb nand
- extra 2.5 gigas port
- biztos lesz docker

[ Szerkesztve ]

A hAP ac2 oldalán megnéztem, hogy a legjobb teljesítmény AES-128-CBC + SHA1 ezzel az IPSec típussal jöhet. Nem tudom a "tunnel"-ek számát hol tudom állítani, az MTU-t max 1400-ra tettem és így 160/75 mbit jön össze úgy hogy a fő router 1000/1000 thome, az 1. külső eszköz 300/75 mbit. Ennél többet szerintem nem is várhatok tőle. Ezzel elégedett vagyok.

[ Szerkesztve ]

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

és Lenry: semmi,pedig első helyre is tettem.akkor ezek szerint a szolgáltató is szűrné
egyébként jó a szabálysorrend vagy változtassak valamin?

[ Szerkesztve ]

Eleg valoszinu. Sok szolgaltato szuri, mivel tamadasra hasznalhato, lasd: "DNS amplification DDOS attack"

A tuzfal szerintem rendben van, bar az elso ket szabalyt megcserelheted. (Ha a logikan nem valtoztat azt erdemes elorebb rakni, amelyik tobbszor kovetkezik be, igy kevesebb szabalyt kell kiertekelni atlagosan.)

[ Szerkesztve ]

hát én is ezen pörgök, mikrotik rookie-ként, még mindig nem győződtem meg 100%-osan hogy rb5009 ugyanazért a zséért megérné mint egy használt CCR1xxx. Az új mellett annyi van, hogy elszámolható.

nem mintha bármelyiket is meg fognám izzasztani

[ Szerkesztve ]

"- procibol megy a networking
- nincs switch chip"

itt arra gondolsz, hogy RB5009 1x10G+8x1G az nem fér ki a 10G-n?
és hogy CCR1009-nél meg minden be van húzva a procihoz?

Nem azért rakták RB5009-be a switch chip-et hogy valamit segítsen a dolgokon? vagy csak ezért mert RB5009-es procija valójában egy általános célú proci (SOC) és nem egy célhardware mint CCR1009 estében?

[ Szerkesztve ]

Nem. Arra gondolok, hogy mindent a proci csinal CCR1xxx-nel(van 1-2 kivetel amibe switch chip is kerult, ezt ellenorizni kell). Ezert az L2 ACL nincsen korlatozva, akarhany bridged lehet ugyanolyan jo sebesseggel, mert nincs szukseg hardveres gyorsitasra, minden forgalom bemegy a prociba, igy nem kell trukkozni ha sniffelni szeretnel, mivel a HW gyorsitas szokta eltuntetni a csomagot a proci elol, stb.. Ezen felul a VLAN es port izolacios kepessegek korlatlanok, nincsenek switch chip tipusabol eredo megkotesek.

Minden mas cuccnal a router kepessegei fuggnek a switch IC-tol is. Peldaul RB5009 eseten a layer 2 acl rule-bol csak 256 darabot tud kezelni a switch(osszesen az osszes ethernet porton) es peldaul ha tcp/udp portra is akarsz szureseket tenni, akkor nagyon gyorsan elfogynak, mert egy rule-ban csak egy port szerepelhet. Vagy ha MAC address-re(pl. Apple-s, kinai stb egyeb) gyartonkent valamilyen szabalyokat szeretnel, mert MAC cimre maszkot sem lehet megadni.

[ Szerkesztve ]

köszönöm!

Sziasztok, valaki csinált már 7.1.1 fw alatt bounding 802.3ad -t (Link Aggregation)? Cél egy synology nas, két lan kábelének bekötése két ethernet portra.
Azért kérdezem, mert 7.1.0 akatt nekem volt olyan reboot-loop-om, hogy csak na (akkor a capsman esetén a mangle szabályok okozták, ezt a 7.1.1-ben javították a routeros-ben)... gondoltam kérdezek, mielőtt próba! THX

Sziasztok,
Van egy wifi hálózat, amin be van kapcsolva a PMF, Erre a hálózatra akarok csatlakozni, csak nem tudom Mikrotik esetében mit, hol kell bekapcsolni ahhoz hogy sikeresen tudjon csatlakozni mint kliens?

Most, hogy a routerek és az alhálózatok között tökéletes a kapcsolat kérdeznék valamit ami régóta zavar. Amennyiben a telefonommal / laptopommal belépek VPN-re csak a fő routert érem el. Van valami szabály, amivel kivitelezhető hogy mindent elérjek ugyan úgy?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

ha a vpn kliens ip tartománya a fő router tartományába esik, akkor proxy arp bekapcsolása segíthet, vagy ha a vpn kliens tartománya más tartomány, akkor a másik két routeren ezt a tartományt is be kell állítani a ip routes-nál, hogy tudja hogy merre keresse ezt.

A fő router más tartomány. A vpn eszközöknek külön pool van. Tehát akkor a két külső routeremen kell állítani route- szabályt de mit?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

ha pl. a vpn tartomány 192.168.175.0/24, akkor ezt a tartományt a másik két routeren felveszed az ip routes-nál. (dst-address=192.168.175.0/24, gateway pedig a főrouter)

Köszönöm, működik :-) Már csak egy érdekesség van. A telefonról ha bejelentkezek akkor nem akar semmi működöni. Lehet hogy a szolgáltató szivat? A bejelentkezés oké, de utána minden hálózati cucc timeout hibát dob.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Mobilneten a szolgáltatók valamiért szeretik blokkolni a VPN-ek működését. Természetesen letagadják. Ezért jobb olyan VPN-t használni, amelyik nem fix portokat használ, hanem tetszés szerint állítható, ugyanis ezeket emiatt nehéz blokkolni... itt jön a képbe az openvpn mert az ilyen, csak éppen sokkal lassúbb mint a PPTP / L2TP / ipsec (ezek viszont csak adott porton működnek). Viszont a RouterOs7-be bekerült a wireguard, ami szintén bármelyik porton működhet, és gyors
Gyakran előfordult, hogy olyan helyen interneteztem ahonnan sem PPTP-t sem L2TP-t nem tudtam használni, és így nehezebben értem el pl. az otthoni NAS-t. A wireguard-al viszont működik.

[ Szerkesztve ]

Közben sikerült másik szolgáltatóval kipróbálni és működik hAP ac2-n van teljesítménybeli javulás wireguard-dal?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

van.
hap ac2 - hap ac3 közti L2TP/IPSec kapcsolatot cseréltem le WireGuardra és az addigi huszonpár megabit per másodperces átlagsebesség hetven fölé ugrott.

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Akkor ez megérne egy próbát nekem is. Van valami épkézláb leírás? A csatlakozáshoz kell valami program telefonon / PC-n.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Én Egy CRS328 24P-vel csinálok Bond-ot egy Synology 718+ felé. 7.1.1 alatt probléma mentesen működik.

kell program, mert egyelőre nincs beépített kliens a legtöbb OS-ben
azt a leírást nem találom, ami alapján én csináltam, de nem volt bonyolult, ez pl úgy látom jól összefoglalja

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Sziasztok,

CAPsMAN-nél, hogy állítom be, hogy minden CAP frissüljön mikor a manager frissül?

Upgrade policy melyik lesz? Require vagy suggest, illetve a Package path az a manager lesz?

Pl.: ha caps manager neve CAPS-MAIN akkor az útvonal "\CAPS-MAIN" lesz?

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

Nálam a suggest same version-on van.

“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”

Más nem is kell? A Package Path-nál nálad van valami beírva?

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

Köszönöm, perfect Ez lesz a következő amit meglépek, csak szépen lassan haladok itt a 7-es routerossal, nem akarok megint netinstallni...

Üdv!

Egy elég kezdő kérdésem lenne, de nem sikerül rájönni, mi a gond. Telekomos optikán üzemeltem be átmenetileg egy hap ac2-t, amin 7.1.1-es routeros fut. Az ac2 közvetlenül a pppoe passthrough módba rakott szolgáltatói ONT-ra csatlakozik.

Van egy lan bridge, amihez a dhcp szerver az 192.168.1.0/24 poolból oszt IP-ket, illetve a pppoe-out1 interészen van egy masquerade szabály.

Mivel a szolgáltatói eszköz az 192.168.0.1-es címen rendelkezik egy minimalista webes felülettel, szeretném azt is elérhetővé tenni a bridge hálózaton (lan). Ehhez létrehoztam egy új bejegyzést az addresses alatt, címnek 192.168.0.2/24-et adtam, networknek 192.168.0.0-t és interfacenek ether1-et. Ez létre is hozott egy új routeot a megfelelő ether1 intefacere és ezek után tudom pingelni a szolgáltatói eszközt közvetlenül a routerről, illetve a fetch toollal le tudom kérni a login felületet.

Ami viszont érdekes, hogy az 192.168.1.0/24 tartományból nem érem el a routert, látszólag nem is jutnak el hozzá a csomagok. A tűzfalat próbáltam teljesen letiltani a teszt erejéig, ugyanaz az eredmény.

Illetve SSH-n engedélyeztem a port forwardot, majd megpróbáltam forwardolni:

ssh -L 8080:192.168.0.1:80 admin@192.168.1.1

Belép, nem dob hibát, de a 8080-on nem érem el a router webui-t.

Van valami ötlet, hogy mit ronthattam el? Köszi! :R

Szerk.: Telefonról elérem ssh forwarddal, legalább ez egy jó jel. Már csak a belső hálózaton elérést nem értem.

[ Szerkesztve ]

Hogy hívják az éhes horgászt? Gyere Pista, kész a kaja!

Vagy olyan portra kell rakni, amit nem blokkolhatnak. Pl. 443/tcp.

azért nem éred el a 192.168.1.0/24 hálózatból szerintem, mert a szolgáltatói eszköz 192.168.0.0/24 hálózatban van, és az az eszköz nyilván nem tud mit kezdeni a 192.168.1.0/24 hálózattal, max az ő default gw-je felé tudja küldeni (ha van is), de az nem "te " vagy.
meg kellene próbálni, hogy felveszel egy új nat szabályt. Chain: srcnat, action: masquerade-ba: src-address 192.168.1.0/24 , dst-address 192.168.0.0/24

Sziasztok, a WifiWave2-ben hogy működik az Access List? Egyrészt csak manuálisan tudok felvenni eszközöket, a másik hogyan lehet beállítani hogy csak a Access List-ben szereplő eszközök tudjanak csatlakozni a hálózathoz? A régebbi verzióban nagyon könnyen meg lehetett oldani, de itt most valahogy nem igazodok el. A scan stb... menü pontok is hiányoznak, csak terminálban érhető el. Valahogy a régei sokkal jobb volt, egyszerűbb, áttekinthetőbb. Csak ugye WPA3, mint opció ami látványosan több, minden másban olyan mintha le lenne butítva. Alapvetően nincs gond a terminál használattal, csak qui felületen valahogy jobb volt, és kényelmesebb.

Van javulás, régebbi routereken, és újabb típusokon is próbáltam. Nagyjából mindegyiken van értékelhető javulás.

Igen ezt az openvpn tudja, a PPTP és az L2TP csak adott porton megy. Régebben sokat kísérleteztem azzal, hogy áthelyezzem másik portra ez utóbbi kettőt, és nem sikerült stabilan működő megoldást készíteni. Viszont mióta bekerült a wireguard a mikrotikbe, rendszeresen használom, és eddig jók a tapasztalataim vele. Bár tagadhatatlan, hogy lenne még mit fejleszteni rajta - de végülis stabil, gyors, megbízható, és bármely porton használható.

Synologyra van "gyári" wireguard, vagy parancssorban kell ráhekkelni? Esetleg van valamilyen grafikus felület a konfigurálásához?

Üdv,

ritka madár az én routerem CCR-1009-8G-1S-1S+PC tett már valaki ilyenre ROS7.x-et?
CHR és Audience LT6 rendben megy, de a CCR-t még nem mertem át lökni.

Tehát ha valakinek már van ROS7-es CCR, pls, működik jól?

Proxy5

cégesre RB5009, CRS326-24G-t hol érdemesebb venni ?
Compker? (van cseregari kiterjesztés 2 évre bármit is jelentsen ez)
Senetic?

[ Szerkesztve ]