New terminal és ott kéne egy export parancsot kiadni. Az eredményt bemásolni ide,de úgy hogy előtte kitörlöld a kényes információkat(WAN ip,PPPOE jelszó ilyesmik amik vannak benne) Abból lehet látni mi a konfig,ebből nem derül ki semmi.

Vagy inkább feltenni a pastebin-re és ide csak linkelni, hogy ne váljon olvashatatlanná a fórum.

/interface bridge
add name=bridge
/interface wireless
set [ find default-name=wlan2 ] ssid=home
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=profile1 \

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no frequency=auto hide-ssid=yes mode=ap-bridge security-profile=\
profile1 ssid=hnet wps-mode=disabled
/ip pool
add name=dhcp_pool0 ranges=192.168.0.50-192.168.0.90
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge name=dhcp1
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=wlan1
/interface bridge settings
set use-ip-firewall=yes
/ip address
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.0.50 client-id=
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=drop chain=input connection-state=invalid in-interface=ether1
add action=accept chain=input in-interface=ether1 protocol=udp src-port=53
add action=accept chain=input connection-state=established,related \
in-interface=ether1
add action=accept chain=forward connection-state=established,related
add action=fasttrack-connection chain=forward connection-state=\
established,related out-interface=ether1
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat comment="qBittorrent port" in-interface=ether1 \
protocol=tcp to-addresses=192.168.0x
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Budapest
/system identity
set name=Mikrotik

Ha nem kell wifi az eszközbe, akkor egy hEX is elegendő lehet. A "Test Results" fülön lévő eredmények alapján válaszd ki, hogy mire van szükséged.

"What is Linux? I only joined because of the the penguin..." - meanwhile in the linux community. http://9gag.com/gag/arpZGOy

Vannak itt nehezen érthető részek, de ajánlásként, ha egy jó SOHO routert szeretnél belőle csinálni, akkor itt minden megvan hozzá: [link]

Tegnap még működött...

Csak az invalid csomagokat dobod el az ETHER1-en?
Nagyon-nagyon nem jó. Mindent is el kéne dobni az utolsó szabállyal. Így konkrétan mindent beengedsz.
DNS nem UDP de TCP porton is megy. Azt is blokkolni kellene.

Felesleges ezeket külön blokkolni. AZ utolsó szabály Drop input ether1. Aztán ami kell azt előtte meg engedélyezni egyesével. Tök felesleges külön blokkolni az invalid csomagokat,meg DNS-t is,ha utána úgy is blokkolni kell mindent.

lionhearted ajánlott egy leírást,próbáld meg elölről az alapján. Jobb lenne úgy újat csinálni.

[ Szerkesztve ]

Az IP firewall része egy nagy katyvasz, amiről nem lehet kivenni, hogy mit miért...
- miért van a bridgen ip firewall engedélyezve?
- mit akar engedi ether1 felől az udp 53 FORRÁS porton?
- miért van a fasttrack az accept után?

És akkor jönnek a hiányok, amiket te is felvetettél.

[ Szerkesztve ]

Tegnap még működött...

Kalapos Laci, mindenamimikrotik.hu video alapján csináltam anno.
Volt is régen előfizetésem, de mivel nem ezzel foglalkozom, már elfelejtettem készség szinten, hogy mit kell állítani.
Véleményem szerint is a tűzfal konfig rossz.
Köszönöm a skori leírást, áttanulmányozom.!

De miért nem jó a menet közbeni snapshot? Le kell állítani, hogy biztosan menthető legyen? Egy Veeam azért elég sokféle rendszerre fel van készítve, hogy menet közben nagy biztonsággal tudjon menteni.
A másik, hogy eleve VM-be kellett volna tenni, ha nem valami spéci hw vezérléséről van szó, amit még PCIe passtrough-val se lehet. A VM-et meg akár a host rendszer alatt szépen le lehet állítani, menteni (vagy simán egy gyors snapshot), újraindítani ütemezetten (már ha tényleg kell ezzel bohóckodni.)

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Ezek sima átlag PC-k, semmi extra. Windows 10 van rajtuk. Szoktam havonta teljes rendszer hdd képet készíteni mióta volt adatvesztés. Egyszer Azóta nem volt Menet közben tud csinálni teljes képet? Tudtommal nem.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

1. Rosszul tudod,
2. Még csak Veeam se kell hozzá:
https://learn.microsoft.com/en-us/sysinternals/downloads/disk2vhd

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Ez nagyon jól hangzik! Utána járok. Köszönöm!

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Sziasztok!

Mérnökinfót tanulok és Cisco után bele akarok vágni a MikroTik világába is.

Van kb. 1 hónapom elkészíteni egy "kisebb" projektet, Ehhez kérnék tippeket és majd segítséget.

Valami olyasmit szeretnék csinálni ami nem csak az eszközök lehetőségeit mutatja be, de van valami haszna is a gyakorlatban. Nincs ötletem mivel tudnám kihasználni a külön wifi kártyák adta előnyöket.

Eszközeim: RB800, RB433,RB411, kb. 10db wifi kártya.

Ha tudtok valami jó projektötletet megköszönöm

CAPsMAN
Rendes háló és vendég háló Captive portal-lal, egy kis MESH kapcsolat (vagy simaP2P), ahol már nem lehet kábelezni és megvizsgálni VOIP alkalmazással és mérésekkel, hogy mennyire működik a paraszt roaming

Le az elipszilonos jével, éljen a "j" !!!

Mikrotikről mindenről van video a youtube-on.
Azt kellene tudni mit akarsz letrehozni? Mert lehet mindent is tanulni,de ha nem most kell akkor ne pazarold az időd. Ami kell azt megnézed youtube-on és úgy tanulsz. Ha már van halózati tudásod,akkor elég ha csak megmutatják hogyan kell ezt Mikrotiken alkalmazni.
Én az alábbiakat venném bele.
Capsman,vendég háló. Wifi kiismerése fontos
Access list
Vlan Mikrotikkel
EOIP,Openvpn,Ipsec, wireguard(Ros7)tunnelek
Mangle szabályok
2WAN

Ja, azt nem írtam hogy 3db RB433 van és 2db RB411

Ez a CAPsMAN bulisnak tűnik, jól értem hogy ezzel elég lenne a fő routert bekonfigolni, a többi meg megtanulja a dolgokat tőle? Ilyen AP vezérlőt sajna csak Cisco szimulációba használtam még.

Ilyen hotspot captive portalt tud az RB800 futtatni, vagy ehhez kéne egy szerver is?
Tudok egy Linux szervert betenni, legalább komplexebb lesz a feladat, csak akkor nem marad kimeneti port az RB800on (ETH1: ISP , ETH2: LTE , ETH3:Szerver).

Mondjuk több nem is kell ha vezeték nélkül összehangolhatóak a routerek egymással.

Valami scriptet is be kéne csempészni, de ha jól emlékszem az internet failovert csak scriptel lehet megoldani. (vagy csak nem találtam)

Nem csak scripttel: [link]

Le az elipszilonos jével, éljen a "j" !!!

Ú köszi, a hétvégén ki is próbálom

Mi okozza, hogy egy (hibásan) létrehozott, aláírt tanusítványt nem tudom letörölni a routerről? Visszavontam, de remove után:

Terminál ablakból próbáld:

certificate remove <cert number>

Úgy sem akarja. "failure: issued certificate can only be revoked"
Még rebootot is olvastam javaslatnak. Majd firmware frissítéskor esetleg.

Én is acronist használok, teljesen okés.
Minden hónap 2x csinál nálam komplett mentést a C: meghajtóról (minden hónap 1. és 15. napja) amit utána a gépemben lévő egyik HDD-re ment. Azt hiszem azt is be lehet állítani benne, hogy egyszerre több helyre is mentse az adott képfájlt.
Rajtad áll milyen időintervallumot állítasz be, akkár naponta is csinálhatsz mentést ha úgy tartja kedved.

[ Szerkesztve ]

Új hardverek számlával, garanciával érd PM.

Igen vágom 2, de Windows alatt rendesen menti? Teszem fel behal az ssd. Akkor a szűz ssdre ráküldöm és onnan folytatom az életet ahol abba hagytam?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Igen persze windows alol.
Igen de akar egy belakottat is kompletten visszarak.

Új hardverek számlával, garanciával érd PM.

nem azt mondja hogy csak revokeolni tudod?,. azt próbáltad? nem használod valahol azt a kulcsot?

gyorsan rá is kerestem a hibaüzenetre:
Why I can't remove issued certificates?
If certificate is issued by RouterOS it cannot be removed for security reasons. Whenever certificate is revoked it must stay in the list. Issued certificates are removed only when issuer CA is removed.

[ Szerkesztve ]

A hibaüzenetet megértettem és vissza is vontam a certet. Bár nem értem milyen biztonsági kockázat van a semmiben. (a megsemmisített tanusítványban)

tppre azt mondanam, hogy nem ugyan az egy 'nem talalom a hitelesitojet' cert mint egy visszavont

Van különösebb feltétele, hogy a dhcp relay működjön két mikrotik között? Az RB3011-em mögé raktam egy HAP AC3-at. Amúgy minden működik az AC3 DHCP szerverével, még az IPV6-is, csak mondom kíváncsiságképp megpróbálom a DHCP relay-t ipv4-el, de response 0. Afféle kísérletként kipróbálnám. Ugye, ha jól hámoztam ki, akkor nagyobb hálózatoknál van egy központi DHCP szerver, aztán az oszt címeket a többi routeren át. A két router teljesen látja egymást a egymás bridge-jeit stb. Pingek mennek oda-vissza. Eszközök között is.

[ Szerkesztve ]

Hali!

Van egy elég komplex hálózat, ahol a netet egy hAP ac^2 építi fel, PPPoE-vel és ez össze van kötve egy CRS-sel CAT5E-vel.

Az ac2-n van egy bridge a 2--5 portokkal, 1-esen jön be a net, sima NAT-olás van a bridge felől a net felé.

A problémám: IP-kapcsolat híján, mivel nem vagyok a helyszínen, mac-telnet-tel közlekedek az eszközök közt. Ez teljesen jól működik. Az ac2-n elérek bármit ami a CRS-re van kötve, kivéve magát a CRS-t. A CRS mögötti eszközökről ugyancsak elérem a CRS-t és az ac2-t és ha a CRS-be belépek, abból is az ac2-t. Az egyetlen nem működő út tehát az ac2-CRS kapcsolat.

A CRS-en az összes port egy bridge-ben van. Az ac2 az ő 16-os portjára van téve, ahol a bridge port konfignál a pvid be van állítva 12-re, hogy a CRS-en már a 12-es VLAN-ban legyen a NAT-olt, működő internetkapcsolat.

A kérdés: Ez alapján van ötletetek, miért nem megy az ac2--CRS mac-telnet? Egyáltalán fogadó oldalon lehet ezt a mac-telnet témát korlátozni? Eddig nem találtam. A neighbors-nál rendben látszik az eszköz.

üdv, adika4444

Lehet korlátozni a MAC addressel belépést, sőt el is lehet rejteni, hogy winbox ne mutassa. De azt is lehet, hogy csak elrejted, de ha tudod a MAC addresst be tudsz lépni. Tools MAC serverben tudod intézni. De a MAC addressel való menedzselés nagyon nem ajánlott, megszakadozhat. Az csak arra való, hogy ameddig nem állítod be az IP-ket. Csinálj valami egyszerű VPN-nt úgy tudsz IP alapján belépni.

Köszi! Igen, erre kéne, hogy amíg nincs IP, illetve ha valamit elkonfigurálok, vissza tudjak bele lépni.

üdv, adika4444

Tudna valaki segíteni?
A Let's Encrypt certificate készítés valamiért folyton zátonyra fut.
Cloud bekapcsolva. Publikus ip megvan. lefuttatom a /certificate enable-ssl-certificate

A válasza hogy nem fut a www szerviz.
De ez nem igaz, be van kapcsolva, még ip-t se rendeltem hozzá.
Valamit rosszul csinálok ezek szerint. De hogyan is kell ezt pontosan, és mik a feltételek? Mármint lehet valami beállítás elkerülte a figyelmem.

[ Szerkesztve ]

Legyen elérhető az internet felől a 80-as port (tűzfal vagy szolgáltatói NAT zavarhat be), valamint nekem volt, hogy olyan hibát dobott, miszerint túl sok mynetname.net végződésű címhez rendeltek egy időben tanúsítványt, de egy idő eltetltével már engedett.
Mi a teljes hibaüzenet?
Valamint én megadtam a domain nevet is a parancsban (a cloud-osat ez alapján, de ha te valami maszekkel mókolsz, biztosan jó helyre mutat az a domain név?)

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Pár órája nagy nehezen összejött a filterbe fel vettem hogy a 80 porton be enged mindent.
Más kérdés. A www service mezőbe felveszem a privat ip címet. Az mennyire tud bezavarni? Nem nagyon értem, egyébként mert tegnap este is így próbáltam és nem jött össze. Hogy azóta mi változott, mi nem, nem tudom. Na mindegy a lényeg összejött. Nagy nehezen. Illetve még egy kérdés, a 80 port be engedése, annak folyamatosan nyitva kell hogy legyen? Vagy elég akkor, amikor meg kell újítani?

[ Szerkesztve ]

Jó kérdés, azt se tudom még, próbálja-e magától frissíteni a tanúsítványt, vagy majd szkriptet kell erre írni, mert nem nagyon van bő lére eresztve a leírás. De szerintem nem kell folyamatosan nyitva tartani a 80-as portot.
Jó lenne ha az IP cloud-on keresztül lehetne valami DNS alapú azonosítás, de örüljünk most ennek is, mert én még régen erre egy külön Linux rendszert tartottam és onnan importáltam be szkripttel a tanúsítványt. Ahogy hallom, mai napig még működik.

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Ez a tanusítvány tulajdonképpen mire is kell?

Pl. HTTPS eléréshez és VPN-hez (OpenWRT, bár az jól megvan maszekkal is és SSTP, aminél viszont a Windows beépített kliense háklis, hogy minden klappoljon, vagy telepíthetjük a maszek főtanúsítványt)
Én utóbbihoz használom. Kicsit püfölni kell a klienset, ha nem akarunk minden forgalmat átdobni (volt rá egy PS scriptem), de egyébként egy megbízható és kéznél lévő (nem kell maszek kliens) VPN megoldás, még ha nem is gyors, de tényleg bárhonnan elérhető (ahonnan nem, ott valami nagyon alacsony MTU és szigorú tűzfal volt a ludas).

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Hát akkor nem lettem okosabb.

Szívesen

Le az elipszilonos jével, éljen a "j" !!!

Szerintem privát IP nem mehet SAN-ba (nem fogja tudni validálni a CA):

ISRG CP v3.4 - Let's Encrypt (letsencrypt.org)

7.1.4.2.1 Subject Alternative Name Extension
Certificate Field: extensions:subjectAltName
Required/Optional: Required
Contents: This extension MUST contain at least one entry. Each entry MUST be one of the following types:
dNSName: The entry MUST contain either a Fully-Qualified Domain Name or Wildcard Domain Name that the CA has validated in accordance with Section 3.2.2.4. Wildcard Domain Names MUST be validated for consistency with Section 3.2.2.6. The entry MUST NOT contain an Internal Name.
The Fully-Qualified Domain Name or the FQDN portion of the Wildcard Domain Name contained in the entry MUST be composed entirely of LDH Labels joined together by a U+002E FULL STOP (".") character. The zero-length Domain Label representing the root zone of the Internet Domain Name System MUST NOT be included (e.g. "example.com" MUST be encoded as "example.com" and MUST NOT be encoded as "example.com.").
The Fully-Qualified Domain Name or the FQDN portion of the Wildcard Domain Name MUST consist solely of Domain Labels that are P-Labels or Non-Reserved LDH Labels.
iPAddress: The entry MUST contain an IPv4 or IPv6 address that the CA has validated in accordance with Section 3.2.2.5. The entry MUST NOT contain a Reserved IP Address.

Sziasztok!
A közelmúltban váltottam TP-Link AX20-ról hAP ac^2-re (OS v7.8). Haladok a belakással, de most megakadtam. Van egy (Polar) klímám, amit az Ewpe Smart app-al lehet távvezérelni, és nem tudom beüzemelni. Fellép a Wifire, de nem konnektál a felhőbe, nem jelenik meg az app-ban. Megpróbáltam ideiglenesen az összes drop tűzfal szabályt kikapcsolni, hátha a felhőből nem találnak vissza, de semmi. Találtam egy leírást, ami említi a 6000, 6002, 16384 portokat, azokat forwardoltam a klímának, de semmi. A TP-Linken minden különösebb beállítás nélkül működött. Használ esetleg valaki ilyen appot Mikrotik-kel?

Én használok. Gree gyárija nem mindig látta a klímát,emiatt én is azt a programot használom.
Semmi nat tűzfal szabály nem kell neki. Lásson ki a netre és ennyi.
Annyi hogy csak 2.4ghz wifi van benne.

Van felhős szolgáltatása a polarnak? Emailhez regisztráltad?

Nekem az Aux-ok működnek a felhő felé, pedig külön LAN-ra pakoltam őket, hogy max egymást kukkolják . Itt is elég volt hogy kilássanak a nagy büdös Internetre.

Le az elipszilonos jével, éljen a "j" !!!

És #19595 E.Kaufmann!

Van felhős szolgáltatásuk, be is vagyok regisztrálva. Az előző routerrel működött.
Ez a külön LAN jó ötlet. Az átlátást meg megtiltom.

Ennyi van a konfigban, ami érinti a klímát:

/ip dhcp-server lease
add address=192.168.69.198 address-lists=internet_access client-id=\
1:f4:91:1e:e0:4:1f comment="Polar klima - konyha" mac-address=\
xx:xx:xx:xx:xx:xx server=server1

/ip firewall filter
add action=drop chain=forward comment="FORWARD LANC VEGE - Minden internet fel\
e meno forgalom tiltasa a belso halozatokbol, kiveve az engedelyezett hosz\
tokat." in-interface=bridge1 out-interface=ether1 src-address-list=\
!internet_access

Na ezt az uccsót nem teljesen értem. Érdemes tényleg a végén mindent dobni de előtte plusz szabályban megadni, ami mehet, valamint LAN felöl WAN irányába érdemes mindent engedni valamint az erre a forgalomra hivatkozó WAN felöl bejövő established, related kapcsolatokat engedni.

Le az elipszilonos jével, éljen a "j" !!!

Van egy internet_access nevű address-list, ezzel szabályozom, hogy melyik eszköz lát ki a netre, és melyik nem. A kamerákat például nem engedem ki.
Akkor van drop, ha src-address-list=!internet_access. (Esetemben nincs kitöltve.)
A többi Általad említett szabály is megvan, csak előrébb. Ez az utolsó.

Én mindenesetre különvenném az utolsó drop-ot az internet tiltásoktól, valamint így nem is biztos, hogy jó helyen van.

Le az elipszilonos jével, éljen a "j" !!!

Átgondolom.
Viszont a kettőtök tapasztalata alapján mindez nem segít a Ewpe Smart problémámon. (Ahogy írtam is, próbáltam kikapcsolt szabályokkal.)