Hirdetés

2024. március 28., csütörtök

Gyorskeresés

Téma összefoglaló

Téma összefoglaló

  • Utoljára frissítve: 2021-08-17 20:43:18

LOGOUT.hu

Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Összefoglaló kinyitása ▼

Hozzászólások

(#18501) Zwodkassy


Zwodkassy
senior tag

HAP AX2 hol lehet kis hazánkban kapni?

(#18502) ssarosi válasza Reggie0 (#18497) üzenetére


ssarosi
tag

Netinstallal feltettem az ROS-t.
Így a felhasználókat már megjegyezte.
Ha utólag a kiegészítő csomagokat is hozzáadnám, akkor a logban megjelenik, hogy kevés a memória.
Most akkor a teljes csomag nem fér el ebben az eszközben (haP AC2), vagy hibás?
Nem az a problémám, hogy a kiegészítő csomagokra szükségem van, hanem hogy miért nem fér el az eszközön?

(#18503) iceQ! válasza ssarosi (#18502) üzenetére


iceQ!
addikt

Nekem a 256Mb-os hAP AC2 van, simán megy rá minden. Neked mennyi a memória?

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

(#18504) ssarosi válasza iceQ! (#18503) üzenetére


ssarosi
tag

128 Mb. 78,4 Mb szabad.

[ Szerkesztve ]

(#18505) Zwodkassy


Zwodkassy
senior tag

Mivel tudok Móricka ábrát ide csinálni a kérdésemhez?

(#18506) vkp válasza Zwodkassy (#18505) üzenetére


vkp
aktív tag

Paint. Ha valami rendes kell, akkor Visio.

(#18507) Lenry válasza ssarosi (#18502) üzenetére


Lenry
félisten

Mit szeretnél felrakni? Ros7-ben egy csomó minden az alapcsomag része, ami a 6-ban még külön volt

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

(#18508) Reggie0 válasza ssarosi (#18504) üzenetére


Reggie0
félisten

Nem a rammal van a baj, hanem a 16MB flash keves a routeros 7-hez. Csak az alap fog menni, extra csomagok nem.

(#18509) ssarosi válasza Reggie0 (#18508) üzenetére


ssarosi
tag

Köszönöm az infót, figyelmetlen voltam.
Az ROS6-ból is csak az alap fér rá. Én meg válogatás nélkül akartam feltenni az összes csomagot. Tanulság: soha többet nem veszek olyan Mikrotiket, aminek csak 16 Mb flash memóriája van. Netinstall után alap csomaggal jól működik. Arra azért kíváncsi lennék, hogy gyárilag hogy tették rá az összes, vagy talán majdnem az összes csomagot. Nem néztem meg mennyi volt rajta, de hogy nem csak az alap, az biztos.

(#18510) Reggie0 válasza ssarosi (#18509) üzenetére


Reggie0
félisten

Azert latod ugy, mert ROS6 eleve tobb csomagbol all alap szinten is, mig a ROS7 csak egy csomagbol.

Ezeknek azert ilyen kicsi a FLASH-uk, mert alapvetoen nem routerek, hanem access pointok.

[ Szerkesztve ]

(#18511) Zwodkassy


Zwodkassy
senior tag

Adott kér router az alábbiak szerint

Cél : R2 az x.y.1.0/24 hálózat felé csak Route-t használjon, az Internet felé (R1 WAN port) pedig NAT-oljon.
Természetesen az R1-ben van szabály a R2 LAN felé, és működik is : az x.y.1.0/24-ből elérhetőek az x.y.2.0/24-ben lévő eszközök.
Viszont ha egy eszközzel az x.y.2.0/24 irányából (mondjuk x.y.2.11) forgalmat indítok az x.y.1.0/24 felé, az NAT-olt lesz. Azaz a cél eszköz azt látja, hogy a forrás IPv4 cím x.y.1.2, és nem x.y.2.11 (azaz R2 WAN port címe).

(#18512) Tamarel válasza Zwodkassy (#18511) üzenetére


Tamarel
senior tag

Nem teljesen világos, hogy R2-n szeretnél-e NAT-ot, vagyis duplát bizonyos esetekben.

Gyakorlatilag amit az ábrával leírsz, az:
- R1 mindig NAT-ol
- az R2 soha
Vagyis az R2 NAT kikapcsolása az egyetlen szükséges lépés.

[ Szerkesztve ]

(#18513) Zwodkassy válasza Tamarel (#18512) üzenetére


Zwodkassy
senior tag

Azaz, R2 sosem NAT-ol, azt megteszi helyette R1 , erre gondolsz?

(#18514) Zwodkassy válasza Tamarel (#18512) üzenetére


Zwodkassy
senior tag

Ha mindkettőben ez van:

/ip firewall nat add action=masquerade chain=srcnat out-interface=Wan

Akkor mindkettő NAT-ol ... tapasztalatom szerint.

Ha csak R1-ben, akkor csak R1 NAT-ol, és mindkettő végez Route-t is.

(#18515) Reggie0 válasza Zwodkassy (#18511) üzenetére


Reggie0
félisten

R1 route tablajaba fel kell venni R2 LAN-jat az R2 route tablajaba pedig R1 LAN-jat es kesz vagy. De ha ezt megcsinalod akkor R1 ugyan ugy eler mindent R2-ben, tehat nincs ertleme a dupla NAT-nak, magyarul egyszerubb ha bridge modba rakod R2-ot es R1 oszt minden cimet.

[ Szerkesztve ]

(#18516) Zwodkassy válasza Reggie0 (#18515) üzenetére


Zwodkassy
senior tag

"R1 route tablajaba fel kell venni R2 LAN-jat"
Ezt írtam is, hogy megvan.

"R2 route tablajaba pedig R1 LAN-jat"
Ez pedig automatikusan (Dinamic) létrejön :-)

"De ha ezt megcsinalod akkor R1 ugyan ugy eler mindent R2-ben"
Pedig most az R', és minden más eszköz is eléri asz R2-LAN-t, mivel tudják az odavezető utat :-)

"egyszerubb ha bridge modba rakod R2-ot es R1 oszt minden cimet"
Szándékosan van két külön hálózat, és nem unalomból.

(#18517) Reggie0 válasza Zwodkassy (#18516) üzenetére


Reggie0
félisten

Akkor mi volt a kerdes?

(#18518) iceQ! válasza Lenry (#18473) üzenetére


iceQ!
addikt

Meg is néztem tegnap előtt. Odáig fajult a helyzet, hogy az egyik CAPs-on 5-10 Mbit/s lett a hálózati sebesség. Ekkor már tudtam, hogy a kábel lesz a ludas. Szerencsére, csak a router felőli oldalon kellett egy újra csatizás, már is tökéletesen megy minden. :)) :R

[ Szerkesztve ]

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

(#18519) Tamarel válasza Zwodkassy (#18516) üzenetére


Tamarel
senior tag

Mi van a két router között? LAN, MAN, WAN?

(#18520) Zwodkassy válasza Tamarel (#18519) üzenetére


Zwodkassy
senior tag

Egy ethernet kábel.

(#18521) Zwodkassy válasza Zwodkassy (#18511) üzenetére


Zwodkassy
senior tag

De jobban végig gondolva amiket írtatok, at R2 teljesen feleslegesen NAT-ol.
Neki tulajdonképpen elég Route feladatokat inéznie.
Nem is tudom, miért kellett ebből ügyet csinálnom :-) :-)

(#18522) lionhearted válasza Zwodkassy (#18521) üzenetére


lionhearted
őstag

Azért tűzfal legyen. :))

Tegnap még működött...

(#18523) Reggie0 válasza lionhearted (#18522) üzenetére


Reggie0
félisten

Tuzfalazni akar bridge filterrel is lehet.

(#18524) Zwodkassy válasza lionhearted (#18522) üzenetére


Zwodkassy
senior tag

Ok, de az egy másik kérdés.

(#18525) Zwodkassy válasza Reggie0 (#18523) üzenetére


Zwodkassy
senior tag

Természetesen! Csak akkor Hardware-Offload kikapcsolva az adott portokon.

(#18526) IamGabor


IamGabor
tag

Sziasztok!

Tudtok mondani HAP AC2 -vel tuti kompatibilis (kipróbált) USB 4G modemet? Néztem a kompatibilitás listát, de soknál buherálni kell. Ti milyet használtok? (ha használtok)

Üdv.,
Gábor

"Józanul vadászni pont olyan szar, mint horgászni....... józanul."

(#18527) Lenry válasza IamGabor (#18526) üzenetére


Lenry
félisten

Huawei E3372h

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

(#18528) ratkaics


ratkaics
senior tag

Sziasztok!

Ez mi lehet? :F
Tele van vele a log. :O

Olyan nincs, hogy valami nem sörnyitó ....

(#18529) iceQ! válasza ratkaics (#18528) üzenetére


iceQ!
addikt

l2tp-ipsec be van kapcsolva? Valaki próbálkozik bejutni ezen a porton keresztül. Ilyen nekem is volt, van erre egy frankó script ami 5 percenként lefut és ha "faild" volt akkor az az IP tiltólistára kerül.

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

(#18530) ratkaics válasza iceQ! (#18529) üzenetére


ratkaics
senior tag

Igen, be van kapcsolva.
Tudsz esetleg ahhoz a script-hez linket?

Olyan nincs, hogy valami nem sörnyitó ....

(#18531) iceQ! válasza ratkaics (#18530) üzenetére


iceQ!
addikt

# Created Jotne 2019 v1.2
#
# This script add ip of user who with "IPSEC negotiation failed" and "SPI* not registered" to a block list for 24hour
# Schedule the script to run every 5 min
# It should run on all routerOS version



# Find all "negotiation failed" error last 5 min
:local loglistN [:toarray [/log find time>([/system clock get time] - 5m) message~"negotiation failed"]]

# for all error do
:foreach i in=$loglistN do={

# find message
:local logMessageN [/log get $i message]
# find ip
:local ipN [:pick $logMessageN 0 [:find $logMessageN " "]]

# Add ip to accesslist
/ip firewall address-list add address=$ipN list=IPSEC
# Send a message to the log
:log info message="script=IPSEC_failed src_ip=$ipN why=negotiation_failed"
}



# Find all "SPI* not registered"" error last 5 min
:local loglistS [:toarray [/log find time>([/system clock get time] - 5m) message~"SPI.*not regist"]]

# for all error do
:foreach j in=$loglistS do={

# find message
:local logMessageS [/log get $j message]
# find ip
:local ipS [:pick $logMessageS ([:find $logMessageS "for "]+4) [:find $logMessageS "["]]

# Add ip to accesslist
/ip firewall address-list add address=$ipS list=IPSEC
# Send a message to the log
:log info message="script=IPSEC_failed src_ip=$ipS why=SPI_not_registered"
}

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

(#18532) ratkaics válasza iceQ! (#18531) üzenetére


ratkaics
senior tag

:R :R :R

Olyan nincs, hogy valami nem sörnyitó ....

(#18533) IamGabor válasza Lenry (#18527) üzenetére


IamGabor
tag

Szuper, köszi!

"Józanul vadászni pont olyan szar, mint horgászni....... józanul."

(#18534) Ad@m


Ad@m
tag

Sziasztok,

az alabbi problemara keresek megoldast:

van egy domain nevem amit letsencryptel dns challengel megkaptam hozza a certeket,
Ezek a certek egy local gepen vannak hasznalva és a domain a mikrotik dnsszervereben erre a local gepre mutat.
MInden jol is megy ameddig lanon vagyok, ha wireguradon csatlakozok ott a 8.8.8.8 van dnsnek megadva, igy ertelemszeruen a fenti modszer nem mukodik.

Hogyan tudnam ezt a problemat athidalni?

I am more than a fish, I am more than a man, Death will rise, from the tide! I am murloc!

(#18535) Reggie0 válasza Ad@m (#18534) üzenetére


Reggie0
félisten

Miert ertelemszeru? Mire adja a certet a letsencrypt, ha nem erheto el a domain publikus netrol?

(#18536) Ad@m válasza Reggie0 (#18535) üzenetére


Ad@m
tag

a domain letezo, sajatom (de csak mailre hasznalom), és lehet kerni dns challange-el is, ezzel kapom a certificatet. nekem ez kenyelmesebb belso halon, most a dns szerver ismerteti ezt a lanon levokkel.
De ha wireguardon jovok be akkor nem a sajat dnsesem szolgal ki uh erre kellene valami otlet hogyha beutom a domainnevet megis lanba iranyitson, vagy ha kiepult a wireguard kapcsolat akkor onnantol hasznalja a router dns szerveret vagy barmi otlet :)

I am more than a fish, I am more than a man, Death will rise, from the tide! I am murloc!

(#18537) adika4444 válasza Ad@m (#18536) üzenetére


adika4444
addikt

A WireGuard konfigba rakd be az [Interface] részbe, hogy DNS = 192.168.1.1 (vagy ami a router címe). A WG subnet felől engedd be a DNS-kéréseket (firewall filter chain=input dst-port=53 src-address=<wg subnet>), így úgy fog menni mint amikor LAN-ból mész ki és a DHCP adja a DNS-t. Mivel feltételezem, hogy nem a WG subnetben van az IP amire felold a domén, ezért kliens oldalon kellhet az AllowedIPs-be a LAN subnet amiben van a céleszköz.

üdv, adika4444

(#18538) Ad@m válasza adika4444 (#18537) üzenetére


Ad@m
tag

Hálás köszönet, mukodik is, minden szabaly rendben volt,
csak a wireguard configban kellett megadnom a kliensnel a router ipjet dns szervernek.
Kicsit tulgondoltam a problemat :)

I am more than a fish, I am more than a man, Death will rise, from the tide! I am murloc!

(#18539) Reggie0 válasza Ad@m (#18536) üzenetére


Reggie0
félisten

Hat ezaz. Ha a letsencrypt a sajat szolgaltatojan(vagy a rootokon) keresztul le tudja kerni a domained rekordjait, akkor neked miert nem megy a 8.8.8.8-on keresztul?

[ Szerkesztve ]

(#18540) Ad@m válasza Reggie0 (#18539) üzenetére


Ad@m
tag

azert mert a dns challengnel nem kell nyitott port a certbotnak ott a certet az alapjan kapsz ha a domain szolgaltatodnal beallitasz egy megfelelo hasht a domain dnsehez.

I am more than a fish, I am more than a man, Death will rise, from the tide! I am murloc!

(#18541) lionhearted válasza Reggie0 (#18539) üzenetére


lionhearted
őstag

Azért, mert a DNS challenge TXT record alapú, amikor meg használná akkor A/AAA mező kellene oda. Szóval nem azt ellenőrzi, hogy elérhető-e úgy, ahogy mondod, hanem azt, hogy te kezeled a DNSt úgy, ahogy mondod. :)

Ergo, ahelyett, hogy a valódi DNS NS-ben beállította volna a belső hálózatában elérhető IP címet A rekordnak, ráhákolt egy statikus bejegyzést a routerben. Esetleg hairpinelhette volna a külső címre. Lásd még: Security through obscurity...

[ Szerkesztve ]

Tegnap még működött...

(#18542) Ad@m


Ad@m
tag

oh... eszembe nem jutott volna lan cimet rendelni a ns ben, koszi a tippet, igy kenyelmesebb :)

I am more than a fish, I am more than a man, Death will rise, from the tide! I am murloc!

(#18543) LógaGéza


LógaGéza
addikt

Üdv,
Szeretném szeparálni a hálózati eszközeimet, kérdés, hogy ezt hogyan tehetem meg?
VLANokra gondoltam, de nem minden eszközöm VLAN képes, és nem tudom megoldani azt, hogy bizonyos portokra csak ugyanabban a VLANban lévő eszközök csatlakozzanak - valamint ugye vannak Wireless eszközök is.
Esetleg ha külön alhálókat csinálok, és MAC alapján, statikus IP címekkel osztom ki a "jogokat"?
Egy hAP ac2 a fő routerem, ez után van egy Netgear GS110TP switch, egy Unifi AC Lite standalone módban (nem akarok Unifi Controllert felrakni egy AP miatt, hogy azon keresztül osszam ki VLANokat a WiFis eszközöknek), ezek után pár buta switch az eszközök között.
Kliensekből a szokásos telefonok/PC-k, pár biztonsági kamera, IoT/Smart Home eszközök és egy Home Server van. A kamerák/IoT eszközöknek csak a szervert kellene elérniük, mást nem, viszont a médiaplayerek jó lenne ha elérnék az internetet is pl.
Esetleg tud valaki ehhez egy guideot, amin elindulhatok? Egy ideje túrom a netet, de nem találtam olyat, ami jó lenne nekem...

"Go to work, get married, have some kids, pay your taxes, pay your bills, watch your tv, follow fashion, act normal, obey the law, and repeat after me: I AM FREE"

(#18544) vkp válasza LógaGéza (#18543) üzenetére


vkp
aktív tag

Azt meg tudod tenni, hogy a mikrotiken több ip címet és alhálózatot rendelsz hozzá adott interface-hez/bridge-hez és static osztod az ip címeket a különböző eszközöknek, de ettől még a hálózatbiztonság nulla lesz.

(#18545) LógaGéza válasza vkp (#18544) üzenetére


LógaGéza
addikt

Tűzfalszabályokkal nem oldható meg az átjárhatóság tiltása/engedése?
Teljesen zöld vagyok ehhez a témához, egyelőre csak vakon tapogatózok...

[ Szerkesztve ]

"Go to work, get married, have some kids, pay your taxes, pay your bills, watch your tv, follow fashion, act normal, obey the law, and repeat after me: I AM FREE"

(#18546) vkp válasza LógaGéza (#18545) üzenetére


vkp
aktív tag

Mit tűzfalazol? Ha valamelyik kliens eszközöd felvesz egy ip címet a másik tartományból, akkor el sem jut a csomag a routerig, hogy tűzfalazni tudd.

(#18547) Reggie0 válasza lionhearted (#18541) üzenetére


Reggie0
félisten

A TXT rekord ugyan ugy ferheto hozza, mint az A rekord, csak a lekerdezesnel a rekord tipusanak mast adnak meg. Tehat, ha a TXT megy, akkor az A-nak is mennie kell.

Tehat, ha megy kivulrol a TXT rekord elerese, akkor miert nem megy az A?

[ Szerkesztve ]

(#18548) lionhearted válasza Reggie0 (#18547) üzenetére


lionhearted
őstag

Mert valahogy nem szokás beállítani belső címre. Ezért konkrétan neki semmi sincs ott, ezért nem megy.

[ Szerkesztve ]

Tegnap még működött...

(#18549) Reggie0 válasza lionhearted (#18548) üzenetére


Reggie0
félisten

Okes, azt nem irta, hogy kulon DNS szerver van a publik fele es kulon ugyanarra a domainre a belso halon.

[ Szerkesztve ]

(#18550) iceQ!


iceQ!
addikt

Mit hozott ma a futár? :DDD

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

Copyright © 2000-2024 PROHARDVER Informatikai Kft.