Melyik része? Mint korábban írtam a gmailnem fog menni később, tehát kellett egy másik megoldás. Ez lett a sendgriden keresztüli küldés, így az email küldés oké. Aztán keresgélés közben találtam ezt a leírást. Nem bonyolult, a lényege hogy az emailben küldött backupokat kimenti a megadott drive mappába Ha valami nem menne szólj és segítek szívesen.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Én is auto-backup funkción gondolkodom (még új vagyok a témában). De nekem van a lan-on olyan, csak belülről elérhető NAS, amin tudok egy ftp-t üzemeltetni, erre a mikrotik fel tudja automatizáltan tölteni a mentéseket. Semmiképp nem mennék email, vagy gdrive megoldás felé, mert szenzitív adatokat is mentek az rsc -be és azt meghagynám magamnak házon belül
itt egy megoldás (még nem próbáltam, csak szemezek vele, esetleg kicsit át-formálom magamnak): [link]

Wireguard road warrior felállással kapcsolatban eléggé bizonytalannak érzem.
Konkrétan egy kliens tud csatlakozni, és akkor az addig működő másik (mobil, notebook pl.) kliens már nem. Aztán rugdosom kicsit (letiltom engedélyezem a mikrotik oldalon valamelyik peer-t) és akkor felcserélődnek a szerepek.
Lehet kliensenként új interfészt kell definiálni, és ez a baja?

a lehetőség megvan rá, de nem kell, erről legutóbb alig pár hsz-el fölötted volt szó

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Köszönöm, talált süllyedt. Mikrotik oldalon nem /32-es volt. Igazából már gyanús volt nekem, de a video ami alapján készítettem, az nagyon határozottan így magyarázta.

És persze jól magyarázható így az egymás kilökdösése is.

[ Szerkesztve ]

Üdv.
Van egy gondom.
Itthon csináltam egy VPN szervert (L2TP) ami máködik is rendesen.
Eljöttem a haverhoz ahol szintén mikrotik router van és itt is be szerettem volna állítani VPN szervert, hogy távolról tudjak kapcsolódni az itteni helyi hálózathoz.
Ugyanolyan beállításokat alkalmaztam de az istenért sem tud kapcsolódni.
Gondoltam nem L2TP hanem PPTP szervert állítok be.
Ez sikerült is de a logban azt látom, hogy elfogadja a bejövő kapcsolatot de azonnal ki is dob "authentication failed" megjegyzéssel.

Mit cseszhettem el?
Köszönöm.

A hitelesítési protokollok stimmelnek (mschap1,2)?
L2tp-nél jó lett beírva a psk?

Rendszergazda vagyok....ha röhögni lát, mentsen

Nem tudom, androidos mobilról próbáltam csatlakozni, ott nem lehet kiválasztani ilyen protokollokat.
A szerver beállításainál csak az mschap1 és mschap2 van kiválasztva.
L2TP-nél hol van olyan, hogy psk?
Otthon sikerült beállítani, ugyanúgy próbáltam itt is és nem megy.

Na, csak sikerült csatlakozni viszont még kérnék segítséget.
A router mögötti hálózatot még nem látom.
A router egy 1 ethernet portos LHG LTE.
A helyi IP címe 192.168.88.1
Mögötte egy router NAT-ol, annak a WAN címe 192.168.88.200 amit a miki oszt ki, a LAN címe 192.168.0.1 és ebből a tartományból kap IP-t minden eszköz.
Két IP pool van.
Az egyik 192.168.88.100-192.168.88.200
A VPN pool 192.168.88.201-192.168.88.210

Hogyan csináljam meg a NAT szabályt, hogy lássam a 192.198.0.x gépeket?
Most van egy src/masquerade/out interface: WAN és egy src/accept szabály, amit a router hozott létre quick set-tel.

[ Szerkesztve ]

szerintem nem akkora ötlet, hogy a VPN pool ugyanaz a címtartomány, mint a helyi hálózaté

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Mi a netmask a ket tartomanyon?

A szokásos /24

Es akkor honnan fogja tudni a LAN-on egy gep, hogy routingolni kell a csomagot es nem csak a switchen keresztul a szomszed gepnek forgalmaz?

Ezt csak olyan tunellekkel/VPN-ekkel lehet megoldani, aminek az interfeszet fel tudod venni bridge portnak.

[ Szerkesztve ]

Nem tudom, ennyire nem értek hozzá.
Annyit tudok, hogy otthon is így van és ott működik.

Erdekes.

A meglevo masquerade szaballyal latnod kene az 192.168.0.x cimeket is. Ha nem megy, akkor kene latni, hogy mi a szabaly, mert valamilyen parametere korlatozza.

[ Szerkesztve ]

Sziasztok!

A munkahelyen szeretném tiltani bizonyos felhasználók részére a közösségi médiát, jófogást hahu-t és társait. Van valakinek egy jó kis listája az ilyen alap oldalakkal kapcsolatosan?

3dfx, gone but never forgotten...

Sziasztok,

Bugyuta kérdésem (de inkább kérdezek) lenne. Vannak vlan-ok a hálózatomban (mikrotikben definiálva), most vettem a tl-sg108PE mellé véletlenül egy tl-sg1005P switch-et, ami unmanaged azaz vlan-t sem tud a felületen kezelni, mert nincs felület.
Ettől még ez a switch a csomagokat tudomásom szerint megfelelően fogja kezelni azaz a vlan-okat is, ami a mikrotikben vannak, nem fognak itt összevissza kóborolni, hanem csak a felületen nem tudok külön vlan-t létrehozni, jól gondolom?

“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”

De hova akarod tenni a buta switchet? Mert ha két okos közé, akkor minden portja ugyan az a vlan taggelt trunk port lesz, ha meg a legvégére, az access port után, ott meg már nincs vlan..

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Jogos, a végén lenne csak IP kamerák kerülnének rá.

szerk:
viszont, akkor kérdezek még, mert ezek szerint nem érdemes még a végpontján sem ilyenben gondolkozni, hiszen most tény és való, hogy csak ip kamera lenne rajta, de ha mondjuk még egy sg108PE-t veszek, akkor tudom tovább bővíteni a hálózatot.. ami alig valamivel drágább.

[ Szerkesztve ]

“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”

Egyik lehetőség:
/ip firewall address-list add address=startlap.hu list=Startlap-List

Másik lehetőség:
/ip firewall filter add action=drop chain=forward content=startlap.hu

Harmadik : Layer7 Filtering

Tökéletes megoldást viszont nem tudnék ajánlani :-(

Ha meg nem akarod bővíteni, akkor jó lehet. Ha kicsi az árkülönbség, akkor nem a jelenlegi struktúra határozza meg, hanem, hogy mi lesz/lehet a jövőben. Éppenséggel el tudom képzelni, hogy egy okos switch felesleges, sőt még el is lehet konfigurálni, akkor káros is , áthívják okos Jocit a szomszéd kis fiát, mert az ilyen suliba jár, aztán átdug pár kábelt..

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

De akár ezt is kipróbálhatod:

ip dns static add name=startlap.hu address=127.0.0.1

Köszönöm szépen a választ. Elsősorban népszerűbb oldalak listájára gondoltam ,azaz melyek azok a weboldalak melyeket tiltanátok (startlap.jofogas.hahu, videa, youtube, fb, intstagram stb)

3dfx, gone but never forgotten...

ha a mikrotiked a dns szerver (pl dhcp-n ezt ajánlod ki), akkor meg tudod nézni, hogy mik a cache-elt lekérések !, ezek közül csemegézhetsz, hogy miket nézegetnek.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

hAP AC3 esetén mi a max amit mérni tudtok?
Nálam egy S8+ és S22U is megáll 400/320 környékén.
Illetve valamiért az S22U nem hajlandó pl WPA3-al se menni aminek még nem jöttem rá az okára.

Új hardverek számlával, garanciával érd PM.

Sikerült beüzemelnem a wireguard-ot 3 db hAP ac^2-vel. A fő routeren van 2 interface, mindkét külső eszköznek saját. Eddig L2TP+IPSec volt 150-160 mbit/s volt a max. Most wireguard-al 250-260 mbit/s a tempo. Tesztelem és ha nem lesz hiba akkor maradok ezen.

[ Szerkesztve ]

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Üdv! Milyen megoldás létezhet arra, hogy egy wireguard peer-en felcsatolt kliens csak egy gépet érjen el a szerveroldali lan-ból és azon is csak egy portot tudjon megszólítani?
Infók: Egy RB5009-es -en van a wg server egy darab interfész van és jelenleg két peer. A haramadik peer egy olyan távoli eszköz lenne, ami csak egy gépen egy portot érhet el. A kliens egy Win10-es desktop lenne, a port pedig a 443, amivel egy self-signed cert-el rendelkező NAS egyik webes szolgáltatását érné el.
Remélem érthető volt a kérdés és tudtok rá jó megoldást
UI: tök jófejség lenne a mikrotik fejlesztőitől, ha egy peer hadshake létrejöttét lehetne info szinten logolni, ha lehet ilyet akkor én nem találtam meg, lsz írjátok meg hogyan.

UI: tök jófejség lenne a mikrotik fejlesztőitől, ha egy peer hadshake létrejöttét lehetne info szinten logolni

ennek én is örülnék. meg a disconnectet.

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Lehet, hogy magam válaszolom meg a kérdésemet
Ha csinálnék egy külön interfészt a 3. peer-nek (csak annak), akkor annak az interfésznek a tűzfalazását külön tudom szabályozni, ott akár rakhatok rá blokkolásokat és a csak egy port átengedését is. Persze ilyenkor figyelni kell arra, hogy internet azért menjen a kliens felé...
Ez akár még működhet is... vélemény?

Valaki foglalkozott, dolgozott már KNX multicast témával MikroTik switch-eken.
Internet nélküli, 10-15 db MikroTik switch, és kb ennyi KNX-IP router van a hálózatban.
Azon kívül, hogy minden "bridge"-n bekapcsolom, engedélyezem az "IGMP-Snooping"-ot, kell még valamit konfigurálni?

Source IP-re tudsz tűzfal szabályt létrehozni. Ezért felesleges több interface-t csinálni.

Valamelyik Mikrotik eszközön az IGMP Snooping-hoz kapcsold be a multicast-querier-t és elvileg kész is vagy. A bridge -en a porthoz fast leave-et és temporary query-t kiválasztod.

Sziasztok,
Az alábbi egyszerű feladatra keresnék valami Mikit. Adott egy labor a cégnél(kb 20-25nm) ahol el lenne helyezve a router. Kapna egy bejövő kábelt fix IP-vel(internet elérés nélkül) és DHCPvel wifin keresztül kellene kiszolgálnia 10-20 telefont. Később akár többet is. A sávszél igény viszonylag alacsony. Gondolom ezt bármelyik soho router tudná de a megbízhatóság miatt gondoltam valami Mikrotikes megoldásra. Akár ubi is szóba jöhet bár azokat nem ismerem.
Első tippem a hapac2 vagy hapac3 lenne de ha tudnátok ajánlani mást is akkor szívesen veszem az ötleteket. A keretet egyelőre nem tudom még nincs meghatározva de nem költeném el rá az éves GDP-t
Köszi!

[ Szerkesztve ]

Hello darkness, my old friend...

Ó, tényleg, ez jobb... köszönöm.

Először is köszi a választ!
Ebben a videóban azt mondja a srác, hogy a "fast-leave"-t csak akkor használd, ha csak egy IGMP eszköz van a port-on
[link]
Bár az általam említett példában elvileg így van.
Te használod is ezt a funkciót valahol?

[ Szerkesztve ]

Igen, van egy synology néhány kamerával plusz van egy Telekom IPTV meg egy media center. Nekem gond nélkül megy így.

A fast leave->

Enables IGMP/MLD fast leave feature on the bridge port. The bridge will stop forwarding multicast traffic to a bridge port when an IGMP/MLD leave message is received. This property only has an effect when igmp-snooping is set to yes.

"Akár ubi is szóba jöhet bár azokat nem ismerem."

hát van ugye a csemege, ebből a lidlis a legjobb szerintem, piacon árulnak ecetes uborkát, amit sokan tévesen kovászosnak hívnak, de nem az, meg van a rendes kovászos uborka. Ezt azért sokan csinálják, tévesen azt hiszik, hogy csak nyáron lehet, mert kell neki a nap, pedig a meleg kell neki.
Ezt nem csak ismerem, de készítem is rendszeresen, nagyon tuti receptem van.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Bázz Kár volt szerkesztenem utólag a dolgot ezzel az ubival már látom

Viccet félretéve melyik eszköz felé lenne érdemes nézelődni?

Hello darkness, my old friend...

Ha már ubi, és OFF, akkor a recept is jöhet!

Nagyjából bármelyik AP jó lehet ami belefér a költségvetésbe. Ha kültérre kerül akkor nyilván kültéri cuccot keress. Az ilyen projekteknél utólag mindig növekednek az igények ill. a követelmények, ezzel érdemes számolnod.

Köszi, beltérre kellene akkor úgy nézek majd. Lehet hülye kérdés de ha lövök egy cap ac-t akkor azt kb ugyanúgy fel tudom konfigolni mint egy hapac2-t csak nincs benne annyi ethernet port(de kvázi ugyanúgy router)?
Ha jól láttam a license mindkettőnél 4-es.

[ Szerkesztve ]

Hello darkness, my old friend...

7.1.4 friss ropogós

What's new in 7.1.4 (2022-Mar-21 13:23):

*) bgp - fixed VPNv4 route sending to remote peer;
*) bridge - fixed destination NAT when using "use-ip-firewall" setting;
*) bridge - fixed filter rules when using interface lists;
*) bridge - fixed priority tagged frame forwarding when using "frame-types=admit-only-untagged-and-priority-tagged" setting;
*) capsman - improved stability when running background scan on CAP;
*) crs3xx - improved maximum allowed ACL rule calculation;
*) crs3xx - improved system stability when creating many ACL rules on CRS317, CRS309, CRS312, CRS326-24S+2Q+ and CRS354 devices;
*) l2tp - improved system stability when processing L2TP control messages;
*) lte - made "no" the default value for "use-network-apn" parameter;
*) lte - made "RG502QEAAAR11A06M4G" the last OTA firmware version update for Chateau 5G in RouterOS 7.1.x release tree;
*) ntp - improved source address usage for reply packets;
*) ospf - fixed default route origination when "default-originate=if-installed" "redistribute" is enabled;
*) ospf - fixed incorrect LSA types when changing area types;
*) ppp - added "comment" option for PPPoE servers;
*) queue - improved system stability when using more than 255 unique packet marks;
*) route - fixed ECMP load balancing in FastPath;
*) route - fixed route addition to VRF from BGP;
*) route - fixed routing configuration export on SMIPS devices;
*) route-filters - renamed "*-set" to "*-list";
*) sfp - improved SFP module detection on CRS106 and CRS112;
*) switch - fixed port-isolation misconfiguration detection when using multiple switches;
*) traffic-flow - do not handle NAT events when "nat-events" is disabled;
*) ups - fixed UPS support;
*) winbox - added "VPN" tab to "Routing/BGP" menu;
*) winbox - added "VRF" parameter for "SSH" and "Telnet" menus;
*) winbox - do not show "Antenna Scan" button on devices that do not support it;
*) wireguard - allow same peer's public key for different interfaces;
*) wireless - added "3gpp-info" parameter to interworking configuration;
*) wireless - added EAP-AKA to interworking's realm configuration;
*) wireless - fixed interface initialization on Metal 2SHPn;

Feltettem. 14d uptime volt az 5009-en. Ilyenkor frissítés után szokott lenni egy napon belül egy kernel failure, utána stabil

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Nálam 28 nap az uptime az 5009-en. Memória szivárgás nincs, kernel failure sem volt.

CCR1009-en 28 nap és 506MB szabad RAM, szóval szép lassan fogyogat (pl a legutóbbi helyzetjelentéshez képest), de még a tűréshatáromon belül van a dolog

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Nekem ugy tunik, hogy stagnal: