publikus, szolgáltatás van forwardolva, 1/1-es neten.

Az ovpn kliensnel fel kell venni a routing tablaba az 192.168.88.x cimeket 192.168.88.1 GW-vel.

Hat, azon szinte kar barmit vacakolni, ha valaki le akar dosolni, akkor rohogve bedaralja a savszeledet es az ellen nem tudsz tenni semmit se.

[ Szerkesztve ]

gigabitet? Mivel darálja be a sávszélemet? Ezt kifejted bővebben?

Ezt pontosan hogyan is?
Ez az, amit az ovpn fájlba kell beleírni?
Mert ilyesmit is olvastam, megcsináltam, de ugyanúgy csak csatlakozik, de a LAN gépeket nem látom.
Androdon pórbáltam meg win10 PC-n.

Mamar a gigabit nem nagy savszel, 10 klienssel es 100mbit feltoltesi sebesseggel eltelitik a savodat es nem tudsz vele mit kezdeni. Olyan olcso leteriteni 1 gbites csatlakozasu gepet, hogy synflood-al ugysem fog szorakozni senki. Ezek olyan szervereknel erdekesek, amit nehez savszellel ledobni a netrol, ott mar muszaj a szolgaltatast tamadni.

[ Szerkesztve ]

A kliens oldalon manualisan, vagy a szerver oldali konfigfajlban. De ha a szerver oldalon mikrotik van, akkor ha jol emlekszem nem tudod, mert ez hianyzik az implementaciobol.
A forumon azt mondjak, hogy ezesetben BGP/RIP hasznalhato vagy kliens oldalon a konfig fajlba bele kell irni a routingot igy:
route 192.168.88.1 255.255.255.0

[ Szerkesztve ]

Igen, így van beírva de nem megy.
Csak a 192.168.88.1-et tudom pingelni. Azaz a mikrotiket..

[ Szerkesztve ]

Route tablaba bekerult?

Annyira nem értek hozzá...

Nem inkább ezt kéne?
route 192.168.88.0 255.255.255.0

Így sem jó.

Igazad van, de hulyeseget irtam, mert megkavarodtam a tartomanyokban. Ez a jo:
route 192.168.0.0 255.255.255.0 192.168.88.1

Visszaolvasva az volt a gond, hogy az 192.168.0.x-es gepeket nem eri el.

[ Szerkesztve ]

Átírtam erre, de így is csak a mikrotiket tudom pingelni.

parancssorban a "route print" parancsra mit ir ki?

Ahhoz a tűzfal is át kell engedje a kapcsolatot nem? Illetve, ha még át is engedi, maximum a donwlink-em terhelné le, az uplinkem nem befolyásolná.

Nem kell, mert a lenyege, hogy a downlink savszelesseged fogyjon el. Az, hogy eldobod a csomagokat nem szamit semmit, mert a csatornat elfoglalja, a lenyege, hogy mas csomag mar nem fer el a DOS mellett vagy csak nagyon ritkan, igy elerhetetlenne valik a gep. Kuldeni persze tudsz, mondjuk UDP-t vagy mas kapcsolatnelkulit, de ha kapcsolatot kell kiepitenie a szerverednek, akkor mar a handshake se fog menni, mert ahhoz downlink is kell.

[ Szerkesztve ]

[link]

Az ikszeket én tettem be mert az a public IP.

[ Szerkesztve ]

es
"route 192.168.0.0 255.255.255.0 192.168.88.1"-et irtal a kliens config fajlba?

A syn, dos, ddos rule jelenleg nemcsak tiltja, hanem végleges ban listára is teszi a másodpercenként x alkalommal próbálkozót. Ha a connection nem jön létre és a tűzfal végleges ban listára teszi, akkor nem értem, hogy tudja megbénítani a downlinkem.

Feltételezem, hogy te érted, szóval a kérdés az, hogy ez ellen miként lehet védekezni?

Igen, a .ovpn fájlba írtam bele.
Itt a tartalma:

client
proto tcp-client
port 1194
remote xxx.ddns.net
route 192.168.0.0 255.255.255.0 192.168.88.1
dev tun
nobind
persist-key
tls-client
ca ca.crt
cert client.crt
key client.key
ping 10
verb 3
cipher AES-256-CBC
auth SHA1
pull
auth-user-pass passwd

Ha te tiltod, és nem a szolgáltatód, akkor eljut hozzád a csomag, amit eldobsz majd... tehát a csomag a vonalon van, és jön végelátatlanul. Nem lehet ellene védekezni, ez a lényege. Csak úgy ha elfeded az egész kapcsolatodat olyan szolgáltatóval, aki védekezik helyetted (pl cloudflare proxy) és neki van sávszél hozzá.

[ Szerkesztve ]

Tegnap még működött...

Ugy, hogy veges a savszelessege. Attol meg, hogy nem fogadod es dolgozod fel a csomagot meg atkuldi a linken.

hat, akkor sajnos nincs mas, mint kezzel felvenni, mert a windows route tablajaba nem kerult be. Eseleg meg lehet nezni a logokat, hatha van oka amiert nem vette fel.

[ Szerkesztve ]

Androidos telefonról sem megy.

Szép-jó az OpenVPN, de olyan szépen megy már az SSTP is Letsencrypttel Mikrotik alatt, hogy hacsak a kliens nem támogatja, inkább SSTP. Egyedül a routing a gond, mert split tuneling opció nélkül mindent beterel a VPN-be, de hazanézni tökéletes így is.

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

7.8 changelog:
!) storage - added new "rose-storage" package support for extended disk management and monitoring functionality (ARM, ARM64, Tile and x86) (CLI only);
*) bgp - fixed setting of "default-prepend" parameter;
*) bridge - fixed adding disabled MSTI;
*) bridge - fixed DHCP packet flow when using DHCP snooping, HW offloading and "use-ip-firewall";
*) bridge - fixed possible DHCP packet corruption when using DHCP snooping;
*) bridge - fixed PVID warning typo;
*) bridge - improved HW offloading logic;
*) certificate - fixed export of a certificate when the last line of the certificate is exactly 64 bytes long;
*) certificate - fixed PBES2 certificate import;
*) certificate - improved certificate management, signing and storing processes;
*) certificate - improved multiple certificate import process;
*) conntrack - improved system stability when changing connection tracking state;
*) conntrack - improved system stability when PPTP helper is used;
*) console - added "as-string" parameter to the ":execute" command;
*) container - added authentication option for registry (CLI only);
*) container - fixed ".type" file ownership;
*) container - fixed file ownership after system upgrade for containers running on internal disk;
*) container - fixed multiple container automatic startup on boot;
*) dhcpv4-client - send DHCPv4 unicast requests to DHCPv4 relay, instead of server when it is being used;
*) disk - limit maximum TMPFS size;
*) dns - added configurable DoH concurrent query limitation parameters;
*) dns - do not cache results from ":resolve" command with specific server;
*) dns - fixed CNAME reading from the cache;
*) dns - limited "DoH max concurrent queries reached" logging messages to once per minute;
*) dns - respond with "NOERROR" to DNS requests for static domain names when appropriate type record is not configured or found on upstream server;
*) firewall - fixed bridge priority target;
*) firewall - fixed DSCP priority target for IPv6 Mangle;
*) firewall - fixed netmap range maximum address calculation for IPv6 NAT;
*) graphing - fixed hiding of target queues when "allow-target" is disabled;
*) graphing - fixed sorting of interface and queue graphs;
*) graphing - properly handle disabled and static-binding interface graphs;
*) graphing - removed "move" command for graphing rules;
*) health - fixed "temperature" and "power-consumption" readings for RB1100AHx4;
*) hotspot - fixed setting of "address" parameter for IP binding;
*) hotspot - restore cookie timeout on reboot;
*) ike2 - added support for "address", "key-id" and "dn" for Remote ID matching (CLI only);
*) ike2 - fixed active SA flush on responder after an unsuccessful peer connection attempt;
*) ipsec - added support for "Framed-Route" RADIUS attribute support;
*) ipsec - do not match incoming IKE requests by unresolved DNS name peers;
*) ipsec - fixed peer matcher for incoming connection with unresolved DNS;
*) ipv6 - added "pref64" option configuration for RA;
*) ipv6 - improved handling of "advertise" IPv6 address status changes;
*) ipv6 - limited "hop-limit" parameter value range to 255;
*) ipv6 - made distributed DNS lifetime RFC8106 compliant;
*) l3hw - added destination MAC address check for offloaded FastTrack connections;
*) led - fixed signal reading for KNOT device;
*) leds - always require to set interface name when setting "modem-signal" indication;
*) lte - added AT support for Telit LE910C4 in MBIM mode;
*) lte - fixed APN setting usage on initial connection attempt for AT based Quectel and Neoway modems;
*) lte - fixed automatic antenna selection on Chateau LTE12/LTE18;
*) lte - fixed dialing for Fibocom L850-GL module;
*) lte - fixed displaying of "subscriber-number";
*) lte - fixed possible memory leak when using passthrough mode on Chateau 5G;
*) lte - improved AT port matching for SIMCom, Huawei, WeLink, Cinterion, BandLuxe and Sierra modems;
*) lte - improved modem detection speed in lower mini-PCIe slot on LtAP;
*) lte - improved stability for R11e-LTE6, skip connection reset on first EEMGINFO command timeout;
*) lte - LtAP improved modem detection in lower mini-PCie slot ("/system routerboard upgrade" required);
*) lte - parse USSD even if encoding is unsupported;
*) mpls - fixed handling of more than 9 VRF's;
*) mpls - fixed LDP listen socket creation before IPv6 address is ready for use;
*) mpls - improved stability when neighboring router reboots;
*) ospf - fixed "ospf-type" parameter for OSPFv3 routes;
*) ospf - fixed simple auth for OSPFv3;
*) ovpn - added AES-GCM and multicore encryption support;
*) ovpn - improved server stability;
*) ovpn - improved TLS-related error logging;
*) pimsm - improved system stability;
*) poe - added LLDP power management support for 802.3at PSE;
*) poe - properly turn off power when link not detected on hAP ax2 and hAP ax3;
*) port - fixed modem channel number on KNOT;
*) pppoe - fixed PPPoE client scan showing only one server;
*) resource - show filesystem related statistics on CCR2004;
*) route - fixed IPv6 default route presence when received from RA;
*) route - fixed printing of routing table's "count-only" parameter;
*) route - show hoplimit and MTU properties under the "/routing route" menu for SLAAC routes;
*) routerboot - fixed format storage for RBM33G device ("/system routerboard upgrade" required);
*) routerboot - fixed protected routerboot for RBM33G device ("/system routerboard upgrade" required);
*) sfp - fixed false link detection with S+RJ10 on RB5009;
*) sfp - fixed reading of SFP EEPROM on single SFP port devices;
*) sfp - improved optical modules SFP compatibility on CCR2004-16G-2S+, CCR2004-1G-12S+2XS, CCR2116-12G-4S+ devices;
*) sms - improved reporting of SMS sending errors;
*) sms - log USSD response when USSD is sent over MBIM;
*) sniffer - added additional filtering parameters;
*) snmp - do not show identity in LLDP when branding is used with hide SNMP data;
*) snmp - fixed handling of disabled routes;
*) snmp - fixed reporting of total number of routes counter;
*) ssh - hard-coded "localhost" address for forwarding requests;
*) ssh - improved system stability when processing none-crypto SSH connection;
*) sstp - fixed TLS session establishment when "connect-to" is DNS name;
*) switch - fixed SFP rate select for CRS354 devices;
*) switch - improved 10G, 25G, 40G and 100G interface stability for 98DX8208, 98DX8212, 98DX8332, 98DX3257, 98DX4310, 98DX8525, 98DX3255, 98PX1012 switches;
*) switch - improved system stability for 98DXxxxx switch chips;
*) swos - removed "/system swos" menu for CRS5xx series switches;
*) torch - allow "without-paging" parameter for Torch;
*) traffic-generator - increased maximum allowed stream count;
*) upgrade - show error message when license prohibits upgrade;
*) usb - changed USB auto detect behavior to default to the external USB, when no internal USB devices detected;
*) vxlan - added "dont-fragment" setting that allows managing fragmentation;
*) vxlan - added "max-fdb-size" parameter;
*) vxlan - added FastPath support;
*) webfig - allow setting numeric values in time interval fields;
*) webfig - fixed accessing of WebFig when "Interface" menu is disabled by skin;
*) webfig - fixed editing of multi-field parameters with "not" checkbox;
*) webfig - fixed handling of empty skin files;
*) webfig - improved navigation responsiveness;
*) webfig - improved skin file parsing;
*) webfig - improved terminal operation;
*) webfig - properly escape all reserved URI characters;
*) webfig - updated WebFig and graph web pages to HTML5;
*) wifiwave2 - added wireless sniffer tool to capture wireless transmissions (CLI only);
*) wifiwave2 - adjust monitoring of station interfaces to report when an interface is authorized, not just connected;
*) wifiwave2 - enabled additional channels in UNII-3 and UNII-4 bands for Europe and USA on hAP ax^2, hAP ax^3 and Chateau ax;
*) wifiwave2 - fixed compatibility with third-party devices when using SAE hash-to-element authentication with DH groups 20 and 21;
*) wifiwave2 - fixed SAE authentication for interfaces in station mode when trying to connect to APs which require an anti-clogging token (introduced in RouterOS 7.4);
*) wifiwave2 - implement 802.11w management protection SA Query procedures;
*) wifiwave2 - improve protections from denial-of-service attacks on WPA3;
*) winbox - added "Connect" button under "WifiWave2/Scan" menu;
*) winbox - added "Disable/Enable" buttons under "WifiWave2" menu;
*) winbox - added "Match Subdomain" parameter under "IP/DNS/Static" menu;
*) winbox - added "Provision" button under "WifiWave2" menu;
*) winbox - added "Start On Boot" checkbox under "Container" menu;
*) winbox - added "Tx Rate" and "Rx Rate" columns under "WifiWave2/Registration" menu;
*) winbox - added missing properties when setting "Use DoH Server";
*) winbox - added missing WifiWave2 related parameters under "WifiWave2" menu;
*) winbox - added support for manual RAM file system (TMPFS) creation under "System/Disk" menu;
*) winbox - added Type "https-get" parameter under "Tools/Netwatch" menu;
*) winbox - allow selecting bridge for static entries under "Bridge/MDB" menu;
*) winbox - fixed displaying of "Default Prepend" value under "Routing/BGP/Sessions" menu;
*) winbox - fixed displaying of "Tx/Rx CCQ" values under "Wireless/Registration" menu;
*) winbox - fixed displaying of flags under "System/Console" menu;
*) winbox - fixed displaying of multiple character flags;
*) winbox - fixed usage of IPv6 family addresses under "IP/Web Proxy/Access" menu;
*) winbox - hide "TTL" value for static DNS entries with FWD type;
*) winbox - hide unnecessary properties for virtual interfaces under "WifiWave2" menu;
*) winbox - improved mouseover hint for "local" policy under "System/Users/Groups" menu;
*) winbox - rename "Multicast Router" monitoring property to "Is Multicast Router" under "Bridge" menu;
*) winbox - show "Gateway" column by default under "IPv6/Routes" menu;
*) x86 - added support for TP-Link TG-3468;
*) x86 - fixed SR-IOV support for Intel X710 series NIC;
*) x86 - improved Intel 500 series 10G SFP module support;
*) x86 - improved stability for Intel X550 series NIC with SR-IOV;
*) zeroter - fixed routes after VRF change;

Download the new 'RouterOS 7.8' version here: https://mikrotik.com/download

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Ha gépre rádugom akkor COM4-ként ismeri fel a gép. - Ha otthon leszek megint akkor elkezdek játszani vele, köszönöm a linkeket, van a hálózaton egy debian szerver is, lehet hogy inkább azon keresztül közelítem meg a kérdéskört az általad linkelt programokkal!

Sziasztok mikrotikbe be lehet állítani az iptv?

Mit szeretnél pontosan? Megúszni a kábelezést? Közös hálózatra tenni a boxokat a saját eszközeiddel? Valahova magaddal vinni az IPTV boxokat? Megoldás tuti van, de biztos hogy kell hozzá tudni, mi a célod.

Köszi Urak, valahogy kimaradt ez a típusú ddos nekem, illetve a cloudflare-el nyilván találkoztam, de mélyebben ezt sem elemeztem.

Tehát, gyakorlatilag egyedül a cloudflare és tsai tudnak valós védelmet nyújtani. Azért ez is érdekes, hogy még állítólag a free pack is elég jól használható. Honnan vesznek ennyi sávszélt, hogy kvázi ingyen osztogatják

[ Szerkesztve ]

Van egy smart tv androidos és van egy másik amelyiknek van setopbox és azon tudom nézni a tv-t mert arra kapom a kódot csak nem tudom hogy oldjam meg azt hogy tudjam nézni a másik tv is az adasokat

Szerintem rossz helyen keresel. Egy mikrotik router miatt nem leszel képes a set top boxos tv adást átküldeni egy másik tv-re is.
Gondolom IP tv,oda is valszeg set top box kell.

Köszönöm szépen az információt! Mikrotik allat mi az ddos lehet ilyen védelem?

Az a trukkje, hogy a felhojuk szerverei sok adatkozpontban elszortan van jelen, igy mar a bejovo oldalon meg tudjak fogni a tamadast, meg mielot egy pontba koncentralnak a routinggal a celponthoz, igy a koztes es a vegso halozathoz nem jut semmilyen terheles. Ez egy olyan ipar, mint a biztositas: csak foldrajzilag es ugyfelszamilag is nagyban uzve lehet hatekonyan csinalni, mert ugy jobban eloszlik statisztikailag a problema es mar biztosra lehet menni.

[ Szerkesztve ]

Igen, ezt látom, hogy szép a lefedettség. Azt gondoltam, hogy esetleg valami peer-to-peer működik, vagy van valami pool, amibe be lehet szállni sávszélességgel. 192Tbit az elég durva számnak tűnik.

Smafia mint kiderült hiába van, ha igazán támadás alá kerül egy router mögötti szolgáltatás, akkor hiába fogja meg a router, maga net kapcsolat lesz megbénítva. Esetleg még ilyen brute force próbálkozások ellen jó kb (ha jól sejtem)

De mikrotikrol nem az lett írva jó tuzfall van benne? Vagy rosszul tudom?tedtem bele szabajt így a CPU nincs le terhelve mint az előtt 100 futott
https://help.mikrotik.com/docs/pages/viewpage.action?pageId=28606504
Ezt raktam bele

[ Szerkesztve ]

Hiaba van jo fogad, ha radontenek 10 tonna almat.

Akkor van jobb a mikrotiktol? Azért kérdezem mert akkor ujitok mihest lehet igaz így van a szolgáltatás airgird wireless a mikrotiket azt már én tettem oda de számítógépes mikrotik jobb volt mert ezeken nincsen hűtés

[ Szerkesztve ]

Mindentol van jobb, de ez nem errol szol. Nem a mikrotikkel van a gond, hanem a fizikaval. Ha eltelitik az adatkapcsolatot azon semmilyen processzor vagy feldolgozas nem tud segiteni.

Na jó most a fizika az meg fogott nem értem mi köze hozzá

Sziasztok! Szerintetek az router hiba, ha még durván korlátozott qBittorrent feltöltésnél is borzasztóak a DNS idők és ki is marad csomag..
hAP-ac2 a router.
A routert reseteltem de a hiba utána is előjön. Szolgáltató UPC vagyis már Voda.
Köszi!

Port forwarding van csinálva?
snorbi82 Ez engem érdekelne másik kérdésem erre van valami ötlet hogy a cloud ba miért irja ki ezt

[ Szerkesztve ]

NAT mögött van a router azt írja, szal valszeg van elötte egy másik router a net felőli oldalon, és ha az nem továbbít valamit feléd akkor ebbe a routerbe az el sem jut. Pl. ha valami web servert, vpnt vagy valamit akarsz elérni a net felöl akkor gondod lesz mert az első router lehet lenyeli és a mikrotik nem is tud róla hogy volt ilyen kérés.

[ Szerkesztve ]

Egy airgird ruter van fent a tetőn aztán a mikrotik

A public address megegyezik azzal, amit a wan interface-en kap a mt?

Ilyen (vagy hasonló) az airgrid?

[ Szerkesztve ]

Rendszergazda vagyok....ha röhögni lát, mentsen