Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Gyorskeresés
Legfrissebb anyagok
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
- Tudástár RTX3070 16 GB VRAM-mal?
Általános témák
LOGOUT.hu témák
- [Re:] [parandroid:] KerékPH!áros 2024 tavaszi balatoni megmozdulás
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [Melack:] Allview WI7 16GB tablet, Black (Windows 8.1)
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] [ubyegon2:] Airfryer XL XXL forrólevegős sütő gyakorlati tanácsok, ötletek, receptek
- [Re:] [sziku69:] Szólánc.
- [Re:] [Luck Dragon:] MárkaLánc
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] Alfa Giulia Q-val a Balaton Park Circiut-en
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Téma összefoglaló
Hozzászólások
HAP AX2 hol lehet kis hazánkban kapni?
ssarosi
tag
Netinstallal feltettem az ROS-t.
Így a felhasználókat már megjegyezte.
Ha utólag a kiegészítő csomagokat is hozzáadnám, akkor a logban megjelenik, hogy kevés a memória.
Most akkor a teljes csomag nem fér el ebben az eszközben (haP AC2), vagy hibás?
Nem az a problémám, hogy a kiegészítő csomagokra szükségem van, hanem hogy miért nem fér el az eszközön?
iceQ!
addikt
Nekem a 256Mb-os hAP AC2 van, simán megy rá minden. Neked mennyi a memória?
Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS
ssarosi
tag
128 Mb. 78,4 Mb szabad.
[ Szerkesztve ]
Mivel tudok Móricka ábrát ide csinálni a kérdésemhez?
vkp
aktív tag
Paint. Ha valami rendes kell, akkor Visio.
Lenry
félisten
Mit szeretnél felrakni? Ros7-ben egy csomó minden az alapcsomag része, ami a 6-ban még külön volt
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
Reggie0
félisten
Nem a rammal van a baj, hanem a 16MB flash keves a routeros 7-hez. Csak az alap fog menni, extra csomagok nem.
ssarosi
tag
Köszönöm az infót, figyelmetlen voltam.
Az ROS6-ból is csak az alap fér rá. Én meg válogatás nélkül akartam feltenni az összes csomagot. Tanulság: soha többet nem veszek olyan Mikrotiket, aminek csak 16 Mb flash memóriája van. Netinstall után alap csomaggal jól működik. Arra azért kíváncsi lennék, hogy gyárilag hogy tették rá az összes, vagy talán majdnem az összes csomagot. Nem néztem meg mennyi volt rajta, de hogy nem csak az alap, az biztos.
Reggie0
félisten
Azert latod ugy, mert ROS6 eleve tobb csomagbol all alap szinten is, mig a ROS7 csak egy csomagbol.
Ezeknek azert ilyen kicsi a FLASH-uk, mert alapvetoen nem routerek, hanem access pointok.
[ Szerkesztve ]
Adott kér router az alábbiak szerint
Cél : R2 az x.y.1.0/24 hálózat felé csak Route-t használjon, az Internet felé (R1 WAN port) pedig NAT-oljon.
Természetesen az R1-ben van szabály a R2 LAN felé, és működik is : az x.y.1.0/24-ből elérhetőek az x.y.2.0/24-ben lévő eszközök.
Viszont ha egy eszközzel az x.y.2.0/24 irányából (mondjuk x.y.2.11) forgalmat indítok az x.y.1.0/24 felé, az NAT-olt lesz. Azaz a cél eszköz azt látja, hogy a forrás IPv4 cím x.y.1.2, és nem x.y.2.11 (azaz R2 WAN port címe).
Tamarel
senior tag
Nem teljesen világos, hogy R2-n szeretnél-e NAT-ot, vagyis duplát bizonyos esetekben.
Gyakorlatilag amit az ábrával leírsz, az:
- R1 mindig NAT-ol
- az R2 soha
Vagyis az R2 NAT kikapcsolása az egyetlen szükséges lépés.
[ Szerkesztve ]
Azaz, R2 sosem NAT-ol, azt megteszi helyette R1 , erre gondolsz?
Ha mindkettőben ez van:
/ip firewall nat add action=masquerade chain=srcnat out-interface=Wan
Akkor mindkettő NAT-ol ... tapasztalatom szerint.
Ha csak R1-ben, akkor csak R1 NAT-ol, és mindkettő végez Route-t is.
Reggie0
félisten
R1 route tablajaba fel kell venni R2 LAN-jat az R2 route tablajaba pedig R1 LAN-jat es kesz vagy. De ha ezt megcsinalod akkor R1 ugyan ugy eler mindent R2-ben, tehat nincs ertleme a dupla NAT-nak, magyarul egyszerubb ha bridge modba rakod R2-ot es R1 oszt minden cimet.
[ Szerkesztve ]
"R1 route tablajaba fel kell venni R2 LAN-jat"
Ezt írtam is, hogy megvan.
"R2 route tablajaba pedig R1 LAN-jat"
Ez pedig automatikusan (Dinamic) létrejön :-)
"De ha ezt megcsinalod akkor R1 ugyan ugy eler mindent R2-ben"
Pedig most az R', és minden más eszköz is eléri asz R2-LAN-t, mivel tudják az odavezető utat :-)
"egyszerubb ha bridge modba rakod R2-ot es R1 oszt minden cimet"
Szándékosan van két külön hálózat, és nem unalomból.
Reggie0
félisten
Akkor mi volt a kerdes?
iceQ!
addikt
Meg is néztem tegnap előtt. Odáig fajult a helyzet, hogy az egyik CAPs-on 5-10 Mbit/s lett a hálózati sebesség. Ekkor már tudtam, hogy a kábel lesz a ludas. Szerencsére, csak a router felőli oldalon kellett egy újra csatizás, már is tökéletesen megy minden.
[ Szerkesztve ]
Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS
Tamarel
senior tag
Mi van a két router között? LAN, MAN, WAN?
Egy ethernet kábel.
De jobban végig gondolva amiket írtatok, at R2 teljesen feleslegesen NAT-ol.
Neki tulajdonképpen elég Route feladatokat inéznie.
Nem is tudom, miért kellett ebből ügyet csinálnom :-) :-)
Azért tűzfal legyen.
Tegnap még működött...
Reggie0
félisten
Tuzfalazni akar bridge filterrel is lehet.
Ok, de az egy másik kérdés.
Természetesen! Csak akkor Hardware-Offload kikapcsolva az adott portokon.
IamGabor
tag
Sziasztok!
Tudtok mondani HAP AC2 -vel tuti kompatibilis (kipróbált) USB 4G modemet? Néztem a kompatibilitás listát, de soknál buherálni kell. Ti milyet használtok? (ha használtok)
Üdv.,
Gábor
"Józanul vadászni pont olyan szar, mint horgászni....... józanul."
Lenry
félisten
Huawei E3372h
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
ratkaics
senior tag
iceQ!
addikt
l2tp-ipsec be van kapcsolva? Valaki próbálkozik bejutni ezen a porton keresztül. Ilyen nekem is volt, van erre egy frankó script ami 5 percenként lefut és ha "faild" volt akkor az az IP tiltólistára kerül.
Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS
ratkaics
senior tag
Igen, be van kapcsolva.
Tudsz esetleg ahhoz a script-hez linket?
Olyan nincs, hogy valami nem sörnyitó ....
iceQ!
addikt
# Created Jotne 2019 v1.2
#
# This script add ip of user who with "IPSEC negotiation failed" and "SPI* not registered" to a block list for 24hour
# Schedule the script to run every 5 min
# It should run on all routerOS version
# Find all "negotiation failed" error last 5 min
:local loglistN [:toarray [/log find time>([/system clock get time] - 5m) message~"negotiation failed"]]
# for all error do
:foreach i in=$loglistN do={
# find message
:local logMessageN [/log get $i message]
# find ip
:local ipN [:pick $logMessageN 0 [:find $logMessageN " "]]
# Add ip to accesslist
/ip firewall address-list add address=$ipN list=IPSEC
# Send a message to the log
:log info message="script=IPSEC_failed src_ip=$ipN why=negotiation_failed"
}
# Find all "SPI* not registered"" error last 5 min
:local loglistS [:toarray [/log find time>([/system clock get time] - 5m) message~"SPI.*not regist"]]
# for all error do
:foreach j in=$loglistS do={
# find message
:local logMessageS [/log get $j message]
# find ip
:local ipS [:pick $logMessageS ([:find $logMessageS "for "]+4) [:find $logMessageS "["]]
# Add ip to accesslist
/ip firewall address-list add address=$ipS list=IPSEC
# Send a message to the log
:log info message="script=IPSEC_failed src_ip=$ipS why=SPI_not_registered"
}
Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS
ratkaics
senior tag
Olyan nincs, hogy valami nem sörnyitó ....
IamGabor
tag
Szuper, köszi!
"Józanul vadászni pont olyan szar, mint horgászni....... józanul."
Ad@m
tag
Sziasztok,
az alabbi problemara keresek megoldast:
van egy domain nevem amit letsencryptel dns challengel megkaptam hozza a certeket,
Ezek a certek egy local gepen vannak hasznalva és a domain a mikrotik dnsszervereben erre a local gepre mutat.
MInden jol is megy ameddig lanon vagyok, ha wireguradon csatlakozok ott a 8.8.8.8 van dnsnek megadva, igy ertelemszeruen a fenti modszer nem mukodik.
Hogyan tudnam ezt a problemat athidalni?
I am more than a fish, I am more than a man, Death will rise, from the tide! I am murloc!
Reggie0
félisten
Miert ertelemszeru? Mire adja a certet a letsencrypt, ha nem erheto el a domain publikus netrol?
Ad@m
tag
a domain letezo, sajatom (de csak mailre hasznalom), és lehet kerni dns challange-el is, ezzel kapom a certificatet. nekem ez kenyelmesebb belso halon, most a dns szerver ismerteti ezt a lanon levokkel.
De ha wireguardon jovok be akkor nem a sajat dnsesem szolgal ki uh erre kellene valami otlet hogyha beutom a domainnevet megis lanba iranyitson, vagy ha kiepult a wireguard kapcsolat akkor onnantol hasznalja a router dns szerveret vagy barmi otlet
I am more than a fish, I am more than a man, Death will rise, from the tide! I am murloc!
adika4444
addikt
A WireGuard konfigba rakd be az [Interface] részbe, hogy DNS = 192.168.1.1 (vagy ami a router címe). A WG subnet felől engedd be a DNS-kéréseket (firewall filter chain=input dst-port=53 src-address=<wg subnet>), így úgy fog menni mint amikor LAN-ból mész ki és a DHCP adja a DNS-t. Mivel feltételezem, hogy nem a WG subnetben van az IP amire felold a domén, ezért kliens oldalon kellhet az AllowedIPs-be a LAN subnet amiben van a céleszköz.
üdv, adika4444
Ad@m
tag
Hálás köszönet, mukodik is, minden szabaly rendben volt,
csak a wireguard configban kellett megadnom a kliensnel a router ipjet dns szervernek.
Kicsit tulgondoltam a problemat
I am more than a fish, I am more than a man, Death will rise, from the tide! I am murloc!
Reggie0
félisten
Hat ezaz. Ha a letsencrypt a sajat szolgaltatojan(vagy a rootokon) keresztul le tudja kerni a domained rekordjait, akkor neked miert nem megy a 8.8.8.8-on keresztul?
[ Szerkesztve ]
Ad@m
tag
azert mert a dns challengnel nem kell nyitott port a certbotnak ott a certet az alapjan kapsz ha a domain szolgaltatodnal beallitasz egy megfelelo hasht a domain dnsehez.
I am more than a fish, I am more than a man, Death will rise, from the tide! I am murloc!
Azért, mert a DNS challenge TXT record alapú, amikor meg használná akkor A/AAA mező kellene oda. Szóval nem azt ellenőrzi, hogy elérhető-e úgy, ahogy mondod, hanem azt, hogy te kezeled a DNSt úgy, ahogy mondod.
Ergo, ahelyett, hogy a valódi DNS NS-ben beállította volna a belső hálózatában elérhető IP címet A rekordnak, ráhákolt egy statikus bejegyzést a routerben. Esetleg hairpinelhette volna a külső címre. Lásd még: Security through obscurity...
[ Szerkesztve ]
Tegnap még működött...
Ad@m
tag
oh... eszembe nem jutott volna lan cimet rendelni a ns ben, koszi a tippet, igy kenyelmesebb
I am more than a fish, I am more than a man, Death will rise, from the tide! I am murloc!
LógaGéza
addikt
Üdv,
Szeretném szeparálni a hálózati eszközeimet, kérdés, hogy ezt hogyan tehetem meg?
VLANokra gondoltam, de nem minden eszközöm VLAN képes, és nem tudom megoldani azt, hogy bizonyos portokra csak ugyanabban a VLANban lévő eszközök csatlakozzanak - valamint ugye vannak Wireless eszközök is.
Esetleg ha külön alhálókat csinálok, és MAC alapján, statikus IP címekkel osztom ki a "jogokat"?
Egy hAP ac2 a fő routerem, ez után van egy Netgear GS110TP switch, egy Unifi AC Lite standalone módban (nem akarok Unifi Controllert felrakni egy AP miatt, hogy azon keresztül osszam ki VLANokat a WiFis eszközöknek), ezek után pár buta switch az eszközök között.
Kliensekből a szokásos telefonok/PC-k, pár biztonsági kamera, IoT/Smart Home eszközök és egy Home Server van. A kamerák/IoT eszközöknek csak a szervert kellene elérniük, mást nem, viszont a médiaplayerek jó lenne ha elérnék az internetet is pl.
Esetleg tud valaki ehhez egy guideot, amin elindulhatok? Egy ideje túrom a netet, de nem találtam olyat, ami jó lenne nekem...
"Go to work, get married, have some kids, pay your taxes, pay your bills, watch your tv, follow fashion, act normal, obey the law, and repeat after me: I AM FREE"
vkp
aktív tag
Azt meg tudod tenni, hogy a mikrotiken több ip címet és alhálózatot rendelsz hozzá adott interface-hez/bridge-hez és static osztod az ip címeket a különböző eszközöknek, de ettől még a hálózatbiztonság nulla lesz.
LógaGéza
addikt
Tűzfalszabályokkal nem oldható meg az átjárhatóság tiltása/engedése?
Teljesen zöld vagyok ehhez a témához, egyelőre csak vakon tapogatózok...
[ Szerkesztve ]
"Go to work, get married, have some kids, pay your taxes, pay your bills, watch your tv, follow fashion, act normal, obey the law, and repeat after me: I AM FREE"
vkp
aktív tag
Mit tűzfalazol? Ha valamelyik kliens eszközöd felvesz egy ip címet a másik tartományból, akkor el sem jut a csomag a routerig, hogy tűzfalazni tudd.
Reggie0
félisten
A TXT rekord ugyan ugy ferheto hozza, mint az A rekord, csak a lekerdezesnel a rekord tipusanak mast adnak meg. Tehat, ha a TXT megy, akkor az A-nak is mennie kell.
Tehat, ha megy kivulrol a TXT rekord elerese, akkor miert nem megy az A?
[ Szerkesztve ]
Mert valahogy nem szokás beállítani belső címre. Ezért konkrétan neki semmi sincs ott, ezért nem megy.
[ Szerkesztve ]
Tegnap még működött...
Reggie0
félisten
Okes, azt nem irta, hogy kulon DNS szerver van a publik fele es kulon ugyanarra a domainre a belso halon.
[ Szerkesztve ]
Mai Hardverapró hirdetések
prémium kategóriában
- Samsung Galaxy S23 gyári független 8/128GB 2026. 07.01. Gyártói garancia
- Akció! Prémium cucc! Corsair Dominator 64GB (4X16GB) 7200Mhz CL34 DDR5 memória!
- Apple Macbook Pro 2022 M2 Touchbar 13 , 2024.09.07.-ig garis!
- JDS Labs Atom Amp + Khadas Tone Board fejhallható erősítő
- LG UltraWide UltraGear 38GN950-B Monitor 2 Év Gyári Garancia számlával