Hirdetés

2023. január 27., péntek

Gyorskeresés

Téma összefoglaló

Téma összefoglaló

  • Utoljára frissítve: 2021-08-17 20:43:18

LOGOUT.hu

Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Összefoglaló kinyitása ▼

Hozzászólások

(#201) gra3o válasza DBob (#196) üzenetére


gra3o
csendes tag

Végül OpenVPN-el sikerült 6.19 alatt legalább ez nem bugos:)

"Egy rossz óra is naponta kétszer jó időt mutat"

(#202) poli27


poli27
veterán

Adott a képen lévő hálózat, az openwrt a dhcp szerver, a mikrotik most kerülne be pppoe szerverként a hálózatba, a kérdésem az lenne, hogy (a mikrotik már beállítva pppoe szervernek) miként tudom elérni az én gépemről az antennákat, amik jelenleg dhcp-n kapnak ip-t(de ezt tudom statikussá is tenni,most is statikus de a dhcp-nél van beállítva),milyen tűzfalszabályt kéne létrehoznom, hogy a wan felől elérjem a mikrotik mögött lévő antennákat?

[ Szerkesztve ]

(#203) bacus válasza poli27 (#202) üzenetére


bacus
őstag

jobbára semmilyet, jelenleg minden egy alhálózaton van. a mt portjait közös bridge teszed akkor eléred normál módon.

Nyilván ez a későbbiekben nem maradhat igy. A PPPOE szerver portja csak egy olyan bridge interfész lesz, ahol a két mögötte lévő ubiquiti lesz rádugva. Akkor már normál route kell, azaz, ha csak pár port kell, akkor nyilván dst-nat szabályok kellenek, ha meg minden mehet oda vissza, akkor két routing szabály..

persze nem tudom, kell e egyáltalán a tp link magaged switch, mert azt akár ki is szedheted, gondolom a te géped, meg torrent szervered is mehet pppoe-n, persze igy hagyhatod, a 3 szomszéd meg kap 3 alhálózatot magának a mt-től, akkor nem is látják egymást. Itt majd a src-nat masquarede -nél figyelj oda, hogy csak a 192.168.1.x hálózatba mehet a masquerade. (igy a te géped is tudják pingelni, amit vagy külön tiltasz, vagy magadnak is egy külön alhálózat lesz).

az ubiquiti loco m5 -nek tudnia kell pppoe kliensnek is lennie, mivel nem ismerem, ezt nem tudom..

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

(#204) poli27 válasza bacus (#203) üzenetére


poli27
veterán

Az a switch még ellát egy wifi acess pointot meg egy médialejátszót, meg egy pár darab utp csatit a lakásban ezért kell.írtam pmet :)

(#205) Soma01


Soma01
veterán

RB850Gx2 tesztek vannak már valahol? Én még nem találtam. Linkeljen már valaki nekem ha talál.

(#206) poli27 válasza Soma01 (#205) üzenetére


poli27
veterán

Én azt a választ kaptam, többet fog natolni mint az rb800.

(#207) Soma01 válasza poli27 (#206) üzenetére


Soma01
veterán

Én már raktam be egy táblázatot amit találtam, de azt nem értem! :B

Mik ezek a 64/512/1518 byte oszlopok?

[ Szerkesztve ]

(#208) krealon válasza Soma01 (#207) üzenetére


krealon
veterán

"Mik ezek a 64/512/1518 byte oszlopok?"

Csomagmeretek.
64 Byte --> Tipikus ICMP echo request (aka ping)

1518 Byte --> max ethernet csomagmeret (persze leszamitva a Jumbo frame-eket, de az egy kulon kategoria)

(#209) Soma01 válasza krealon (#208) üzenetére


Soma01
veterán

Jó. És akkor ez a való életben mit jelent? Ez az MTU lenne kb? Mondjuk egy sima letöltésnél, speedtest, torrent mit jelent? Az utolsó oszlopot kell nézni? Mert az úgy elég jó akkor.
De miért vannak ilyen kis csomagméretek is megadva?

(#210) krealon válasza Soma01 (#209) üzenetére


krealon
veterán

Az MTU (maximum transmission unit) az adatcsomag payload resze a fejlec nelkul.

A fenti tablazatban a csomagok merete a fejleccel egyutt ertendo.

A speedtest egy egyszeru TCP csatornat (80, HTTP) hasznal az atvitelre, a leheto legnagyobb MTU-val.

A Torrent ugyanez, csak rengeteg parhuzamos kapcsolattal.

A kis csomagmeretek azert vannak megadva, hogy lathato legyen, hogy egy elarasztasos tamadasbol (DDoS, syn-flood) mennyi csomagot tud megszurni veszteseg nelkul.

(#211) Soma01 válasza krealon (#210) üzenetére


Soma01
veterán

Köszi!
Ezek szerint egy speedtest vagy torrent ill. egyéb letöltés esetén közel 2 Gbps sebességet tud NAT-olni?

(#212) poli27 válasza poli27 (#202) üzenetére


poli27
veterán

Megoldottam egy port forward al, és a mikrotik ipcímén a megadott portokon elérem az antennákat,és így nem kell a létrehozott vpn sem :D

[ Szerkesztve ]

(#213) poli27


poli27
veterán

Aki tesztelte már a rb450g boardot, mennyit tudott vele natolni?

[ Szerkesztve ]

(#214) DBob válasza poli27 (#213) üzenetére


DBob
őstag

Mikor megvolt, még nem volt hozzá olyan netem hogy kimaxoljam.

Mások elmondása szerint, kb. 100mbit/s a limit, a hozzáadott szabályoktól / egyéb engedélyezett funkcióktól függően.

(#215) poli27 válasza DBob (#214) üzenetére


poli27
veterán

Nekem most is átjön rajta 130mbit körül, és csak 40-50% cpu van, majd a héten kiderítem kiváncsi leszek de sztem olyan 250 körül lehet a vége talán!

(#216) balaaa88


balaaa88
aktív tag

Sziasztok!

A következő problémával állnék szembe: egy cégnél használunk egy darab RB751G-2HnD típusú MikroTik routert. Ezen jön be egy darab WAN vonal és innét megy ki a dolog a LAN-ra. Amivel problémám lenne, az a VCC szoftverrel (Virtual Call Center) kapcsolatos portbeállítások a routeren. A szolgáltatás weboldalán [link] szépen le van írva, hogy mely portokat milyen protokollnak kéne elérni bentről kifelé, illetve nyilvánvalóan fordítva is. Ezeket beállítottam WinBox-ban az IP -> FireWall -> NAT menüben, hogy forwardolják át egy darab belső IP-címre [kép], ahol tesztelném a működést. Mindennek ellenére, ha az adott gépen indítom a programot, akkor sem akar csatlakozni a távoli szerverhez, pedig a szolgáltatás működik, mivel másik WAN-ról, ill. tűzfal nélkül be tudok rá jelentkezni.
Ötletetek van, hogy hol lehet a probléma?
Illetve bónuszkérdésként megoldható-e az, hogy a felsorolt portokat az egész LAN-ra "ki lehessen nyitni" mivel nem csak egy gépről szeretnék használni a VCC klienst.
Köszi előre is.

(#217) lockdown90


lockdown90
senior tag

Sziasztok!

Érdeklődni szeretnék, hogy melyik routerboardot (wifi képes) javasolnátok 500/100-as netre? (lehetőleg át is vigye rendesen)
Először a RB951G-2HnD nézegettem, de sok negatív kommentet olvastam róla. Ez lenne a legelső Mikrotik routerem...

“To succeed in life, you need two things: ignorance and confidence.”

(#218) DBob válasza balaaa88 (#216) üzenetére


DBob
őstag

A screenshot nem segítség, minimum export pastebin-re.
Például nem látszik milyen IP címhez szeretnéd a megadott portokon érkező csomagokat továbbítani tovább. És hogy valóban azt a címet használja-e a kívánt gép.

A dupla masquerade / srcnet egyetlen WAN kapcsolatrabiztos jó kombináció?

[ Szerkesztve ]

(#219) DBob válasza lockdown90 (#217) üzenetére


DBob
őstag

Akik negatív kommenteket írtak a RB951G-2HnD és a 500/100 net kapcsán, valószínűleg nem tudták, hogy az eszköz ezt nem fogja tudni kiszolgálni. Ebben pedig semmi negatív nincs, csak alkalmatlan rá.

Egyedül a RB2011UiAS-2HnD-IN jöhet számításba, de én nem tudom igazolni, átmegy rajta az 500/100. HW NAT elméletileg már implementálva van, van akinek a fórumban működött is.

(#220) balaaa88 válasza DBob (#218) üzenetére


balaaa88
aktív tag

Privát ment; PasteBin is.
Egyéb:
A lényeg annyi, hogy a <ügyfélnév>.asp.virtual-call-center.eu irányába (itt a DNS feloldás működik, tehát a domain helyére IP kerül alapból) a következő port-ok elérését kell engedélyezni:

80 / TCP HTTP
443 / TCP HTTPS
5060 / TCP és UDP SIP
8080 / TCP SSL
10000-20000 / UDP RTP / SRTP
5061 / TCP és UDP SIP-TLS*

meg az update.virtual-call-center.eu (194.38.106.80) irányába a következőt:

444 / TCP HTTPS

Ezeket a portokat beállítottam a belső 1.61-es címre (amit én használok), de a VCC kliense hálózati hibát ír és igaza is van, mert más hálózatról (tűzfal nélkül) tudok csatlakozni a VCC szerverhez. Ami gáz lehet, hogy a 80-as és a 443-as portra már van sorrendben korábbi NAT szabály felvéve, mivel Web-szerver működik egy másik IP-n is. A két masquerade-ből az egyiket kivettem. MikroTikhez annyira nem értek; kb. 3 hónapja láttam először. Hálózatokkal rendben vagyok. :)

[ Szerkesztve ]

(#221) poli27 válasza poli27 (#215) üzenetére


poli27
veterán

Olyan 200-220nál van vége ha több kapcsolatnál tesztelem (pppoe userek) Ha 1 dhcps kapcsolattal akkor lazán kimérem a 240 et vele.Asszem 850gx2 csere lesz majd :) ha 70-80fok között van a proci az jó még?75 volt eddig a legtöbb amit láttam rajta.

(#222) balaaa88 válasza balaaa88 (#220) üzenetére


balaaa88
aktív tag

Deaktiváltam az összes Firewall Filter rules-t, ott egy darab aktív sincs, plusz deaktiváltam egy kivételével az összes Firewall NAT rule-s, ott egy darab sourcenat masquerade maradt meg, de így sem akar kapcsolódni (RB751G-2HnD).
A vicc, hogy egy másik MikroTik routeren keresztül szintén nulla Firewall Filter rules-al, viszont egyéb NAT szabályokkal, amiknek nincsen köze a VCC-hez, simán kapcsolódik a szolgáltatáshoz mindenféle buzerálás nélkül (RB2011UiAS-2HnD).
Most akkor mi van? :Y

[ Szerkesztve ]

(#223) gerokrisz válasza balaaa88 (#222) üzenetére


gerokrisz
tag

Sziasztok!
CRS125-24G-1S-RM ről van valami vélemény?
RB2011 és e között kéne döntenem.
De a 24 gigás port van inkább előnyben.
Jelenleg UPC250-es netet kellene kiszolgálnia, jó pár nat és tűzfal szabállyal. De ha jól látom ugyan az van benne csak ennek a switch része jobb.

Előre is köszönöm.

Türelem... A hosszú élet ritka!

(#224) bacus válasza balaaa88 (#222) üzenetére


bacus
őstag

Nem tudom, hogy miért nem olvasol rendesen.

Az <ügyfélnév>.asp.virtual-call-center.eu irányába --> itt semmiféle dst nat szabályról nem szó !!!

Ez mind kifele menő forward szabály a mikrotiken, ha nincs tiltva, akkor alapból engedve van, azaz menni fog/kell !

"A DNS kéréseket a VCC klienseket futtató számítógépről célszerű kiengedni a tűzfalon."
A kliens beállitása hogy van beállitva, mi a dns kiszolgálója? Mert ez a mondat azt jelenti, hogy ne a router oldja fel a dns nevet, vagy ha igen, akkor a dns táblájába fel kell venni.

Ha a kliensen a dns feloldás az alábbi cimekre jó ip cimeket ad vissza, akkor nincs teendő.

Ha továbbra sem megy, akkor a kliens gépeket kell megvicsgálni, első körben rögtön tiltani minden a gépen futó virusirtót és tűzfalat, igy látatlanba azt mondanám, hogy ott van a probléma.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

(#225) poli27 válasza gerokrisz (#223) üzenetére


poli27
veterán

Sztem ezek alig tudják kiszolgálni a 250 es netet valahol 200 körül lehet a végük de nagyon max 250.Én az rb850gx2 ajánlom neked erre a sebességre.Nekem az rb450G sem tudja kiszolgálni egyszerre több szálon a 240 es netet, és az 80mhz el gyorsabban jár.Vagy ő ha több eth csati kell : RB1100AHx2.

[ Szerkesztve ]

(#226) balaaa88 válasza bacus (#224) üzenetére


balaaa88
aktív tag

Próbálok olvasni; néha nem megy. :) Igen. Közben én is rájöttem egy-két hülyeségre, amire korábban nem.
Amit látok egy pingnél az az, hogy az <ügyfélnév>.asp.virtual-call-center.eu FQDN-t feloldja bármelyik munkaállomás IP-címmé, de egy darab válasz nem érkezik az adott IP-címről.

Másik: MikroTik-en ha Ping-et választok, beírom az FQDN-t, a ping ott sem jön vissza. 100% packet loss.
Őőő azt hiszem, közeledünk. Köszik.

Úgy van megcsinálva, hogy a DHCP esetében az IP-címet egy Windows SBS 2011 osztja, az alapértelmezett átjáró a MikroTik router; DNS szervernek pedig elsődlegesen az SBS van beállítva. Valahol itt lehet a probléma...

[ Szerkesztve ]

(#227) bacus válasza balaaa88 (#226) üzenetére


bacus
őstag

a ping nem teljesen jó módszer, mert nem biztos, hogy a másik oldali tűzfal arra küld választ.
A másik hálózatból (ahol minden működik), ott kapsz választ a pingedre?

nem ismerem a kliens szoftvert, de lehet, hogy nem dokumentálják (bár tény, hogy ilyet soha senki nem csinál, mert a szoftverek mindig nagyon jól dokumentáltak :) ), hogy kell neki bejövő port is, viszont azt (mivel több kliens is lehet egy tűzfal mögött), UPNP konfigolja, viszont az nincs engedélyezve.

eddig két sörrel jössz a sok jótanácsért :))

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

(#228) bacus válasza balaaa88 (#226) üzenetére


bacus
őstag

"DNS szervernek pedig elsődlegesen az SBS van beállítva. Valahol itt lehet a probléma."

ha jó ip cimet akar pingetni, akkor biztosan nem ez a probléma !

(feltételezem, hogy a kliens gépek közvetlenül vannak a mikrotikre rádugva, a winfos nem proxy, nem az IIS en keresztül mennek fel a gépek a netre)

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

(#229) balaaa88 válasza bacus (#227) üzenetére


balaaa88
aktív tag

"eddig két sörrel jössz a sok jótanácsért :))" :R

Na egyből el is tűnt a lelkesedésem: a működő hálózaton sem jön vissza ping, viszont ott minden gond nélkül be tudok jelentkezni a szolgáltatásba (a működő hálózat jelenleg egy otthoni UPC kábelnet, gyári UPC-s eszközzel, semmi tűzfallal). Továbbá ha VPN-el csatlakozok egy másik hálózatra, ahol szintén MikroTik router van (RB2011UiAS-2HnD), ott is be tudok jelentkezni és azon sem szarakodtam semmi szabályon, nincs is rajta filter, a NAT meg nem releváns oda. UPNP mindkét (a működő és nem működő) esetben sincs engedélyezve.

Víruskeregetőre nem gyanakszom, mivel saját gépről próbálkozok; ezen avast van és a működő hálózaton megy rajta a VCC.

[ Szerkesztve ]

(#230) bacus válasza balaaa88 (#229) üzenetére


bacus
őstag

és ahol nem működik ott is publikus a wan ip cimed?

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

(#231) balaaa88 válasza bacus (#230) üzenetére


balaaa88
aktív tag

Igen, van fix, publikus. Fut rajta a MikroTik PPTP VPN szerver, meg weboldalak, Exchange OWA, stb.

(#232) gerokrisz válasza poli27 (#225) üzenetére


gerokrisz
tag

Sajnos árban az utóbbi már nem fér bele a keretbe.
Csak a kettő amit írtam azok jöhetnek most szóba.
De akkor jól értem hogy egy sima egyszerű soho tplink többet tudna mint ezek? Mert azokon már láttam átmenni 250et simán.
Azért is néztem ezt az újabb CRS-t mert a switch is elég jó benne, és egyben megtudnék most oldani mindent, a jelenlegi több eszköz helyett.

Akkor max 200Mbps? :(

Türelem... A hosszú élet ritka!

(#233) poli27 válasza gerokrisz (#232) üzenetére


poli27
veterán

akkor miért nem veszed meg az rb850gx2? teszel egy switchet mögé azt kéx... igen 200 körül lenne a vége, de akkor már pörög maxon mint állat....Én is le akarom cserélni gx2 re az rb450g-t pont emiatt. A tipliben (3600,4300) van hw nat a gyári firmware el, és 900mbit körül tud natolni, alternatív firmware el ez sem tud sokkal többet csak 200-300 körül.

[ Szerkesztve ]

(#234) gerokrisz válasza poli27 (#233) üzenetére


gerokrisz
tag

Ja értem. Mert igen, a 4300as TP-Linket néztem még.
Azért nem veszem, mert annyit nem tudok érte sajnos adni. Jelenleg egy CRS-t tudok jó áron szerezni amit írtam, azért gondolkodtam azon a mostani 1043ND OpenWRT helyett, mert ez nagyon megvan halva. Szinte van hogy már csak 90-100 a max amit tud. :S
Esetleg még azon gondolkodtam hogy a dell gépben van 6 port, és arra feldobok valamit és az lesz a fő átjáró, és csak utána a switch, de az sem a legjobb megoldás.

Türelem... A hosszú élet ritka!

(#235) poli27 válasza gerokrisz (#234) üzenetére


poli27
veterán

Akkor gyűjtögessél még kicsit hozzá :D A dell gépre feltudsz tenni mikrotiket, csak nem annyit fogyaszt mint egy router :D

[ Szerkesztve ]

(#236) bacus válasza poli27 (#233) üzenetére


bacus
őstag

A 300 (de a 200) is már álom kategória hw nat nélkül. (és csak a gyári softok tudják a hw natot).

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

(#237) poli27 válasza bacus (#236) üzenetére


poli27
veterán

A routerboardon gyári a mikrotik router Os, mégsem tudja :D Amúgy csak izom kell alá, nem értem miért nem csinálnak 4 magos routereket pl, azt lenne izom alatta,és megse kottyana a gigás net nekik :D A mikrotik vajon bevezeti a hw natot erről van infó?

(#238) gerokrisz válasza poli27 (#235) üzenetére


gerokrisz
tag

Sajnos most kell valami, mert így is van hogy teljesen lefagy az openwrt-s tplink.
Még a mikroszerverre tudnék tenni valamit átjárónak, de az se hinném h a legjobb megoldás, mivel az sem a legerősebb cucc.
De esetleg az járható út lehet, hogy ha ez a crs nem bírná el a 220-240et akkor a HP-t tenném meg egy RouterOS-el és az után jönne a crs? Mert a synology mellett csak elfutna valahogy. Mivel az 24/7ben 100%hogy üzemel, még akkor is amikor a dell nem.
Később meg ha lesz annyi akkor lecserélem egy olyan 1100-re vagy a 850re amit mondtál.
--
De szeretném megtanulni a Mikrotiket is, ha már a ciscot úgy ahogy tudom, azért és örültem hogy ebben valami jófajta 'switching' van :D

[ Szerkesztve ]

Türelem... A hosszú élet ritka!

(#239) bacus válasza poli27 (#237) üzenetére


bacus
őstag

Ez nem teljesen igaz, van amelyik már tudja, a sw is fel van már készitve.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

(#240) poli27 válasza bacus (#239) üzenetére


poli27
veterán

melyik?

(#241) lockdown90


lockdown90
senior tag

melyik az a mikrotik router amelyik tenylegesen atvisz 500mbitet?

“To succeed in life, you need two things: ignorance and confidence.”

(#242) poli27 válasza lockdown90 (#241) üzenetére


poli27
veterán

dupla

[ Szerkesztve ]

(#243) poli27 válasza lockdown90 (#241) üzenetére


poli27
veterán

sztem innen kezdődik RB1100AHx2, de itt az rb850gx2 tesztelzték és ez is tudta az 500/500 at [link]

(#244) Proci85


Proci85
senior tag

Sziasztok

Melyik Mikrotik router javasolnátok?
Amire lesz:
-60/10Mbites kábelnet
-15 fős iroda, max 15 PC, 15 IP telefon, néhány laptop, 15 telefon WIFI-n. Wifit külön wifi AP viszi majd. Tehát ~50 kliens max, ebből átlag 25 lesz fent.
-dual wan megoldás kell, fő a kábelnet, tartalék net ADSL. Fail-over megoldás kell, tehát ha az egyik leszakad, a másikra menjen át.
-VPN-nel összeköttetés távoli szerverrel, VPN 0-24 megy, onnan érünk el fontos hálókat. VPN forgalom átlag 10Mbit.

Köszönöm!

(#245) poli27 válasza Proci85 (#244) üzenetére


poli27
veterán

Külön lan csatik kellenek amik konfigolhatóak, vagy elég 5db és switch lesz mögötte?Mondjuk ez megint nem zárja ki hogy a switch legyen menedzselhető :D A dual want és a vpn-t bármelyik miki tudja beállítás kérése.A másik kérdés mennyit szántok rá :D Én a feljebb lévő 850gx2 ajánlanám, ha elég 5 lan port, ha nem akkor 1100AHx2 igaz ez nagyon combos router,csak 3x annyiba kerül,cserébe nem tudjátok kifektetni, és ha nagyobb netet kell kiszolgálni a közeljövőben akkor sem szarik be tőle :D.

(#246) Proci85 válasza poli27 (#245) üzenetére


Proci85
senior tag

Igen, elég az 5 port.
Igazából 2 elmegy a WAN-okra. 1 megy a switchbe.
~60k a keret.

[ Szerkesztve ]

(#247) poli27 válasza Proci85 (#246) üzenetére


poli27
veterán

akkor rb850gx2 jó választás sztem!

(#248) DBob válasza poli27 (#247) üzenetére


DBob
őstag

RB850gx2 gyakorlatilag használhatatlan, tele a Mikrotik fórum a panaszos hibaleírásokkal. Persze, lehet kötekedni hogy ez nem bug, hanem feature, de a maximum 1506 L2MTU sok esetben használhatatlanná teszi.

Egy 60/10-es net kiszolgálására kellően sok szabály és VPN mellett amúgy is óriási overkill.
Az RB2011UiAS-RM olcsóbb összességében, és a feladatot el fogja tudni látni.

(#249) lockdown90 válasza DBob (#248) üzenetére


lockdown90
senior tag

a RB2011UiAS-RM mennyit bir? gigabitet birja?

“To succeed in life, you need two things: ignorance and confidence.”

(#250) poli27 válasza DBob (#248) üzenetére


poli27
veterán

[link] itt 1580-at írnak nem 1506ot!

Copyright © 2000-2023 PROHARDVER Informatikai Kft.