Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Gyorskeresés
Legfrissebb anyagok
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
Általános témák
LOGOUT.hu témák
- [Re:] [Adrian Mole:] Friss konfig, Win 11, gyere rám
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [attilasd:] A laposföld elmebaj: Vissza a jövőbe!
- [Re:] [Luck Dragon:] MárkaLánc
- [Re:] Elektromos rásegítésű kerékpárok
- [Re:] PLEX: multimédia az egész lakásban
- [Re:] [bitpork:] Fogyasztásra ítélve
- [Re:] Kempingezés és sátrazás
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Téma összefoglaló
Hozzászólások
Country szűrésem van, azaz vannak olyan dolgok amelyet csak magyar címeken lehet elérni, bár botok így is csesztetik de nem annyit mintha az egész világ felé nyitva lennének.
Vintage Story PH szervere újra fut!
Audience
aktív tag
Én már egy ideje egy CHR-en ami Synology-n fut feltettem egy pihole-t, kíváncsiságból. El is felejtettem, hogy ott van, gond nélkül megy már egy ideje.
yumme
csendes tag
Sziasztok,
500M DIGI net optika, Huawei HG8121H bridge-be átrakva
400M van nagyon max kihasználva
routing szabályok alapvetően tiltóak
kbmax 50 gépes iroda,
1G-s intranet
kb 10 VLAN -al
kb 10 állandó kapcsolatú OpenVPN kliens (irodai jellegű forgalom)
+ újdonság hogy legyen mobilinternet backup ha a DIGI megpusztul
OPNsense alól ki akar pusztulni a hardware, milyen Mikrotik-et javasoltok helyette?
mennyire lenne nagy bűn CRS326-ot használni? (kiütne egy öreg VLAN-ozós smart switch-et meg az OPNSense 1U-s ősöreg Dell szerverét)
[ Szerkesztve ]
pitiless
senior tag
cap ax
https://www.youtube.com/watch?v=o-wYVPYhOU0
Victorio
aktív tag
6 GHz rádió és 2.5 G ethernet uplink nélkül
Wifi terén van kb 2 év lemaradásuk minden eszközüknél.
Hiába nem szereted, - mondta a Macska - itt mindenki bolond. Én is bolond vagyok. Te is bolond vagy. Honnan gondolja, hogy én bolond vagyok? - kérdezte Alice. Ha nem volnál bolond, - válaszolt a Macska - nem jöttél volna ide.
Dual chain ax1800nál kb semmi haszna a 2.5Gnek...
Tegnap még működött...
(#19257) E.Kaufmann válasza lionhearted (#19256) üzenetére
E.Kaufmann
addikt
Háát igen. Asus AP (AX53U) - asztali PC között is szobán belül ha 80 MByte/s-al másolok NAS-ról AX-es wifin, az már naggggyon jó. De még nagyobb wifi sebességnél sincs sok haszna, az pont arra jó, hogy stabilan ki lehessen venni gigabitből a maxot.
[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
Reggie0
félisten
Hat irtak is, hogy wifi 6, szoval nyilvanvalo, hogy nem wifi 6e.
Reggie0
félisten
Az a vicc, hogy 1 fodem es lepcsohazon keresztul 60MB/s megy nekem 4 chain-es ac1566-al.
Tamarel
senior tag
Staradder
tag
Halli
Két router közt vacillálok hap ac3 és a hap ax2
Teljesítményben az utóbbi jobb, viszont nekem fontos a wifi is. Az elsőnek van 2 db külső antennája ehhez. Mennyit számít ez wifi lefedettség terén?
Van valami tapasztalat erről hogy a belső antennás mikrotikek ezzek az újabbak között mennyire és mire jók?
Köszi
Esetleg van IPv6ra is lehetőséged, default tűzfallal?
Köszi előre is.
[ Szerkesztve ]
Tegnap még működött...
E.Kaufmann
addikt
Nekem csak kettő, ahogy az AX-es mikikben.
Le az elipszilonos jével, éljen a "j" !!!
Tamarel
senior tag
Nem tudok ipv6os vpn szolgáltatóról.
kammler
senior tag
Adblock VPN (van nekik, olcsó) sok országnál ad nekem ipv6-ot is.
Tamarel
senior tag
Ok.
Amúgy is ideje kitalálnom, hogy hogyan használjam az ipv6-ot anélkül, hogy közvetlenül kilátszódnának az eszközeim az internetre (darabszám és direkt címezhetőség).
kammler
senior tag
Mondjuk most jut eszembe, azt nem tudom, hogy mikrotikkel használható-e, csak rávágtam hirtelen, hogy ad IPV6-ot. Nekem is csak úgy lett IPV6, hogy érdeklődtem telekomnál, vajon megy-e már élesben az IPV6 náluk. Erre a mikrotik első rúgásra kapott, osztott IPV6-ot mire hazaértem. Nem kértem, csak érdeklődtem, hát erre bekapcsolták. mondjuk ki lehet kapcsolni.
[ Szerkesztve ]
Gyurka6
őstag
Ipv6 nat, működik... (az értelme így el is veszhet)
[ Szerkesztve ]
Gyurka
Sima IPv6 internet route sebesség, ami érdekel, nem kell extra VPN rá. A hap ac2 ilyen 300mbps körül karcolt, hátha hasonló mértékben gyorsul az ax abban is.
Mivel van rajta tűzfal, nem feltétlenül látszódik kifele az eszközök, max IP szinten követhető értelemben és mértékben.
[ Szerkesztve ]
Tegnap még működött...
E.Kaufmann
addikt
Mármint a telekom NAT-olt V6-ot ad (mert hogy én otthon magamnak NAT-olok és van-e értelme vagy nincs, más kérdés)
Még jó, hogy Digis lettem/maradtam
Amúgy működik Mikrotik 7.8-al a prefix translation is, csak src/dst-NAT helyett netmap-ot kell beállítani és tartományt adni. DHCP kliensben betettem egy scriptet, ami befrissíti a szolgáltatói tartományt a szabályban.
Ja a 7.9-ben meg megjelent egy ilyen, ami segíthet prefix cserénél (idézet a fórumából):
*) ipv6 - send out RA packet with "preferred-lifetime" set to "0" when IPv6 address is deactivated;
- I hope this not only happens when the address is deactivated but also every time the address is changed, like when a new address from a pool is assigned.
-Yes it does.I have tested it successfully in my lab, changed the globally assigned prefix, router sends out RA with 0 to clients for old prefix.
Long story, but finally, no workaround scripts necessary anymore, Thanks Mikrotik!
[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
adika4444
addikt
Nem NAT-ol v6-on a Telekom. Értelme sem lenne az persze lehet, hogy szűrik a bejövő kapcsolatokat, de ezt is kétlem, révén perpill is működik rendben a távoli elérés.
A prefixcserés dolog örömteli, már csak suffix-re alkalmazható tűzfalszabály és IPv6 offload kellene. Nem állnak, csak lassan vacakolnak, 2030-ra talán a RouterOS is birtokában lesz ezeknek a képességeknek
Szerk: Az is kérdés, a ROS7.9-be érkező újítás vajon letudja-e kezelni a PPPoE újraépülést ami új IPv6 prefix-et ad DIGI és Telekom esetében, viszont ehhez a DHCPv6 klienst újra kell indítani.
[ Szerkesztve ]
üdv, adika4444
kammler
senior tag
Csak lassan, csak szépen, ahogy a csillag megy az égen. A 7-es verzió is valami tragédia hosszú volt még kitökölték magukból.
Tamarel
senior tag
- csupasz sebesség 941 Mbps
- wireguard 830 Mbps
- speed.cloudflare.com 882 Mbps
Connected via IPv6
Server location: Budapest
Your network: Digi TV (AS20845)
Your IP address:
jerry311
nagyúr
Pont úgy, mint nagyobb cégek a publikus IPv4 tartományukat:
Ott egy jól beállított tűzfal és kész.
Amúgy meg, a modern támadások úgyis arra mennek rá, hogy valamire kattintasz, nem a tűzfalat hekkelik kívülről.
Nyilván ha valaki tárva nyitva hagyja az ajtót, akkor lehet megtalálja egy script kiddie.
Tamarel
senior tag
Szerintem nagy cégnél belül privát ipv4 van, szóval ott a nat alap. Mintahogy szervercserénél is kellhet a nat és a több szolgáltató esetén is.
Ipv6-nál szerintem szintén privát tartomány lehet a jó irány, de a kijárat megoldása nem annyira egyértelmű. Gondolom vagy prefix csere-bere vagy proxy.
Az ebből egy eszközre egyszerűsített logikai megoldás a kérdés.
Ha a szolgáltatói ipv6 címet leengeded az eszközeidre és egy belső másolás épp azzal megy, akkor az internet / ipv6 cím eltűnése megszakítja a kapcsolatot. Láttam, kösz nem kérem.
[ Szerkesztve ]
E.Kaufmann
addikt
Most volt egy kis gixer, de a prefix translation több napja működni látszik RouterOS-en. Pont az általad felvázolt gond miatt is LAN-on ULA-ban gondolkozom és úgy néz ki működik vegyesen is a NAT, fő LAN tartományból a prefixet módosítva, más LAN tarrtományokból meg masquerade.
Amúgy cégnél én is proxy-val csináltam még rég, de a fő szolgáltatások csak v4-en mentek.
Le az elipszilonos jével, éljen a "j" !!!
XENISETE
kezdő
Mesterséges intelligencia írt egy Mikrtotik alap tűzfal szabályt.
"Természetesen fontos megjegyezni, hogy a biztonságos tűzfalbeállítások kialakítása a hálózat és az alkalmazások specifikus igényeitől függ. Azonban általános ajánlásokat és egy példa konfigurációt adhatok a Mikrotik RouterOS tűzfal filterének beállításához.
Az alábbi példa a következő szabályokat tartalmazza:
Engedélyezzük a loopback kapcsolatokat.Engedélyezzük a kimenő ICMP forgalmat.Blokkoljuk a bejövő és kimenő SSH kapcsolatokat azon kívül, hogy az adminisztrátori IP-címekről jönnek.Blokkoljuk a bejövő SMB kapcsolatokat.Blokkoljuk az összes bejövő forgalmat, amely nem engedélyezett kivételekkel érkezik."
/ip firewall filter
add chain=input connection-state=established,related action=accept comment="Allow established connections"
add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
add chain=input in-interface=lo action=accept comment="Allow loopback traffic"
add chain=input protocol=icmp action=accept comment="Allow outbound ICMP"
add chain=input protocol=tcp dst-port=22 src-address-list=admin action=accept comment="Allow SSH from admin IP"
add chain=input protocol=tcp dst-port=22 action=drop comment="Drop all other SSH traffic"
add chain=input protocol=tcp dst-port=445 action=drop comment="Block incoming SMB connections"
add chain=input action=drop comment="Drop all other incoming traffic"
add chain=forward connection-state=established,related action=accept comment="Allow established connections"
add chain=forward connection-state=invalid action=drop comment="Drop invalid connections"
add chain=forward action=drop comment="Drop all other forwarded traffic"
add chain=output action=accept comment="Allow all outgoing traffic"
Ez a konfiguráció az alábbi módon működik:
Az első szabály engedélyezi az összes már meglévő, kapcsolatban álló (established) és kapcsolódó (related) forgalmat.A második szabály eldob minden érvénytelen (invalid) kapcsolatot.A harmadik szabály engedélyezi a loopback kapcsolatokat.A negyedik szabály engedélyezi a kimenő ICMP forgalmat.Az ötödik szabály engedélyezi az SSH kapcsolatokat az adminisztrátori IP-címekről.A hatodik szabály elutasítja az összes többi SSH kapcsolatot.A hetedik szabály elutasítja az összes bejövő SMB kapcsolatot.A nyolcadik szabály elutasít minden más bejövő forgalmat.
[ Szerkesztve ]
Gyurka6
őstag
Ipv6-ra is tud?
Gyurka
adika4444
addikt
Az IPV6 NAT-olás témával nekem egy nagy gondom van, mégpedig az, hogy ha UlA címet kapnak az eszközök, azt nem tudom rábírni, hogy DGW-ként használják, tehát force-olni kell az IPv6 kapcsolatot.
#19277XENISETE
Erőforráshasználat miatt jobb, ha a forward szabályok elől vannak, révén legtöbbet routol a router, tehát kisebb az input-output jellegű forgalom.
üdv, adika4444
XENISETE
kezdő
A biztonságos IPv6 tűzfalbeállítások kialakítása hasonló az IPv4 tűzfalbeállításokhoz, azonban az IPv6 tűzfalaknak figyelembe kell venniük az IPv6 egyedi jellemzőit és az IPv6 hálózatok működési módját.
Az alábbi példa az IPv6 tűzfal filterének beállítására összpontosít, és a következő szabályokat tartalmazza:
Engedélyezzük a loopback kapcsolatokat.Engedélyezzük a kimenő ICMPv6 forgalmat.Engedélyezzük a bejövő ICMPv6 forgalmat, de csak bizonyos típusokat (pl. ICMPv6 Echo Request).Blokkoljuk a bejövő és kimenő SSH kapcsolatokat azon kívül, hogy az adminisztrátori IP-címekről jönnek.Blokkoljuk az összes bejövő IPv6 forgalmat, amely nem engedélyezett kivételekkel érkezik.
/ipv6 firewall filter
add chain=input connection-state=established,related action=accept comment="Allow established connections"
add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
add chain=input in-interface=lo action=accept comment="Allow loopback traffic"
add chain=input protocol=icmpv6 icmp-options=echo-request action=accept comment="Allow inbound ICMPv6 Echo Request"
add chain=input protocol=icmpv6 action=drop comment="Block all other inbound ICMPv6"
add chain=input protocol=tcp dst-port=22 src-address-list=admin action=accept comment="Allow SSH from admin IP"
add chain=input protocol=tcp dst-port=22 action=drop comment="Drop all other SSH traffic"
add chain=input action=drop comment="Drop all other incoming IPv6 traffic"
add chain=forward connection-state=established,related action=accept comment="Allow established connections"
add chain=forward connection-state=invalid action=drop comment="Drop invalid connections"
add chain=forward action=drop comment="Drop all other forwarded IPv6 traffic"
add chain=output action=accept comment="Allow all outgoing IPv6 traffic"
Ez a konfiguráció az alábbi módon működik:
Az első szabály engedélyezi az összes már meglévő, kapcsolatban álló (established) és kapcsolódó (related) IPv6 forgalmat.A második szabály eldob minden érvénytelen (invalid) IPv6 kapcsolatot.A harmadik szabály engedélyezi a loopback IPv6 kapcsolatokat.A negyedik szabály engedélyezi a kimenő ICMPv6 forgalmat.Az ötödik szabály engedélyezi a bizonyos típusú bejövő ICMPv6 forgalmat (pl. ICMPv6 Echo Request).Az hatodik szabály elutasítja az összes többi
Az alábbiakban bemutatom, hogyan lehet beállítani az IPv6-t a Mikrotik RouterOS operációs rendszeren a Magyar Telekom internet szolgáltató által biztosított IPv6 címmel.
Lépjen be a Mikrotik eszközbe a webes felületén keresztül vagy a Winbox program segítségével.
A bal oldali menüben válassza ki az "IP" menüpontot, majd válassza a "DHCP Client" lehetőséget.
Kattintson az "Add new" gombra a jobb felső sarokban.
A megjelenő ablakban az "Interface" mezőben válassza ki a WAN interfészét, ahol az internet szolgáltatóval kapcsolódik. Ezt általában a PPPoE kapcsolat jelöli, amelyet a Telekom kínál.
Az "Use Peer DNS" opció legyen bekapcsolva, amely azt jelenti, hogy a router automatikusan használja a Telekom által biztosított DNS szervert.
Az "Add Default Route" opció is legyen bekapcsolva, amely biztosítja, hogy a router IPv6 forgalmát a megfelelő irányba továbbítsa.
A "Request Address" opció bekapcsolásával a Telekom automatikusan kiosztja az IPv6 címet az eszköznek.
Kattintson az "OK" gombra a beállítások mentéséhez.
A beállítások elmentése után az IPv6 címét a "IP > Addresses" menüpont alatt találja meg.
Ellenőrizze, hogy az IPv6 címe elérhető-e az interneten keresztül. Ehhez használja a "ping" parancsot egy IPv6 címre vagy egy domain névre, például a Google IPv6 címére: "ping ipv6.google.com".
Ezzel beállította az IPv6 internetkapcsolatot a Mikrotik RouterOS eszközön a Magyar Telekom szolgáltatóval.
[ Szerkesztve ]
Gyurka6
őstag
Köszi, kipróbálom, az etedeti szabály 30 körül van.
Gyurka
XENISETE
kezdő
őőő hát ezeket az AI írta. szóval ... Én csak be másoltam, mint érdekesség. Meg hogy hova fejlődik a világ. stb...
[ Szerkesztve ]
Gyurka6
őstag
Rendben, kiváncsiság...
Gyurka
jerry311
nagyúr
Persze, mert ma egy RFC1918 belső hálózat olcsóbb. Nem olyan rég még több nagy cég is rendelkezett saját publikus /8 tartománnyal. (IBM-nek még mindig megvan a 9.0.0.0/8) Náluk nem volt szükség NAT-ra, mert minek. Alapvetően nem a NAT-tól biztonságosabb egy hálózat. Attól már igen, hogy az otthoni router dobja a kívülről érkező kéréseket.
Mondjuk, engem sajnos nem érint az IPv6, mert a szolgáltató semmi jelét nem mutatja ilyen irányú fejlesztéseknek.
jerry311
nagyúr
Még weblap is van rá
[link]
Reggie0
félisten
Mar valamennyire aramkor is lehet vele terveztetni, csak nem schematic-ot kell kerni tole, hanem netlist-et, mert az szoveges, nem kep. Mondjuk egy astabil multivibratoros villogot egesz jol megtervez, de komplex cuccoknal sok feketedoboz lesz benne.
Amugy tud linux es mikrotik konzolt emulalni is, csak meg kell kerned, hogy jatsza el, hogy-egy linuxos gep vagy router ami terminalt biztosit neked. Parancsokat is tudsz hozzaadni ha leirod neki szovegesen hogy mukodik.
[ Szerkesztve ]
zsolt008
tag
sziasztok,
van egy wireguard kliensnek konfigurált mikrotik, ami a rajta lógó kliensek forgalmát átküldi a tunnelen ( 0.0.0.0/0 -> wg-interface),
meg persze van statikus szabály a tunnel működéséhez is (remote_végpont_ip -> default_gw).
a remote server ip-je nem kőbevésett, az esetleges változást is szeretném lekövetni, azaz remote_végpont_ip -> default_gw szabályt módosítgatni ha változik az ip.
ahogy ismerkedek a routerrel, látom, hogy van a netwatch és a scheduler amivel lehet ilyet csinálni (scripteket futtatni eseménykor), de hátha van más mód, is ami esetleg pont ilyesmire van csak nem vettem észre? (szóval valami fqdn routingot keresek-csinálnék)
[ Szerkesztve ]
Reggie0
félisten
Maganak a wireguardnak csak ip-t lehet adni, fqdn-t nem, viszont a felepult kapcsolatban tudja kovetni az ip valtozast.
A default gw cime miert valtozik?
[ Szerkesztve ]
zsolt008
tag
nem a def gw változik, a nyíl csak azt jelenti hogy az a cím azon az interfacen megy.
hogy érted, hogy követi az ip változást?
(a peer-ben feloldja az fqdn-t az endpoint_addresnél)
az van a fejemben, hogy a kliensen kell egy külön route az endpont_addresshez (ez lenne a remote_endpoint_ip az előző hozzászólásomban), ha egyébként a 0.0.0.0/0 a wg_interfacen keresztül megy.
nem így van? most sajnos nem tudom kipróbálni, de csak így sikerült összehozni, igaz zöldfülű voltam mindkettőhoz (mikrotik/wireguard)
Reggie0
félisten
Hat, nekem vps-en keresztul van fix ip-je az itthoni routeremnek, azt egy titkositas nelkuli openvpn viszi at. A wireguard szerver igy az itthoni routerem. Amikor a laptoppal hazajovok, akkor egy ido utan rajon, hogy mas az IP-je a szervernek es atugrik a belsohalos cimere teljesen magatol. Szoval, ha a szerver eleri a klienst akkor le tud frissulni az IP, mert megkapja a szervertol jovo csomagban, hogy mi az uj, a "session" meg ugyanaz. Legalabbis linux alatt, mikrotiken lehet nem tudja.
Ha feloldja mar az jo, amikor megjelent routeros-ben valamiert nalam nem ment.
Mar ertem mire gondolsz, a remote public ip eleresehez valoban kell kulon route, de ezt VRF-el, route rule-val vagy packet mark-al is meg lehet oldani es akkor nem kell script.
[ Szerkesztve ]
Tamarel
senior tag
Ha mind a két oldal dinamikus ip, akkor csak idő kérdése, hogy szétessen a tunnel. Mind a két oldalon scheduler-t használok a frissítéshez.
zsolt008
tag
köszi mindkettőtök válaszát.
@Reggie0 - ezek a vrf, route rule, packet mark tudják az ip változását valahogy észlelni és kezelni?
[ Szerkesztve ]
Reggie0
félisten
Az IP valtozast nem tudja erzekelni, csak azt tudja, hogy kulon routing tablat tart fent, igy a LAN default route nem utkozik a WG default route-vel.
zsolt008
tag
aha, értem, köszi. itt most nekem nem is kell 2 default gw, minden megy át a tunnelen, az endpoint meg kap egy külön route-ot. aztán majd netwatch vagy schedulerrel updatelek, még meg kell néznem pontosan hogy is működnek.
@Tamarel - esetleg átdobnád, hogy néz ki nálad a scheduler script?
köszi
kis20i
csendes tag
Én úgy emlékszem csak egyszer oldja fel a nevet. Ha van sima net felé is default route-od, a scriptnek annyi dolga van, hogy megpróbál átnézni a wireguardon. Ha nem sikerül, letilt, újra engedélyez, örül. Úgy emlékszem... Ehhez viszont kell a 2 default route.
zsolt008
tag
igen, az lehet, hogy csak az elején oldja fel a nevet.
a 2 default route-os megoldást is értem és köszönöm, elegáns.
de végül ehhez is kell a netwatch az interface billegtetéséhez, ami nem gond, csak kíváncsi voltam van-e esetleg valami gyári megoldás, ne találjam fel újra a kereket.
[ Szerkesztve ]
Audience
aktív tag
Én csináltam egy script-et netwatch ha nem látja a WireGuard HUB-ot aminek nincs fix IP-je akkor letiltja a WireGuard interface-t, üríti a DNS cache-t és újra engedélyezi. Kell neki késleltetés mert meg kell várni amíg frissül a DNS bejegyzés.
A megadott FQDN-t egyszer oldja fel és késöbb már a megkapott IP-ből dolgozik, hiába frissül a DNS bejegyzésed.
[ Szerkesztve ]
Tamarel
senior tag
Elegánsabb, ha a ddns feloldását hasonlítja össze a wireguard interface ip-vel és frissíti, ha kell.
Reggie0
félisten
Meg elegansabb: havi egy ezres egy VPS, es azon lehet mast is garazdalkodni
Mai Hardverapró hirdetések
prémium kategóriában
- 1.250.000 FT helyett 940.000 FT !! MacBook Pro 16" M3 Pro 12CPU / 18GPU / 18GB / 512 SSD
- RTX 2080TI ROG STRIX GAMER PC
- AKCIÓ !! M3 Chip - MacBook Pro 14" 8C CPU / 10C GPU / 8 GB/ 1 TB / Bontatlan / Magyar
- Tidradio td-h3 akkumulátor
- HP ZBook Studio x360:i7 9850H,32GB,512GB,P2000,15.6" UHD 3840x2160 TOUCH 600nit 100%AdobeRGB,HP gari