- sziku69: Fűzzük össze a szavakat :)
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Magga: PLEX: multimédia az egész lakásban
- Eztis_Aztis: Hogyan tovább....
- gban: Ingyen kellene, de tegnapra
- Lalikiraly: Sencor SMC BS30 aktív hangfalszett bemutató
- pr1mzejEE: Viszlát CoD2, CoD4, CS:GO!
- Luck Dragon: Asszociációs játék. :)
- GoodSpeed: Windows 11 PRO FPP (Full Packaged Product) - Retail, Box, dobozos
- Geri Bátyó: Agglegénykonyha 1 – rizseshús másképp
-
LOGOUT
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
nyilasmisi
tag
Pontosan ugyan ilyen eszközökkel nekem 6,6km-es szakszon tökéletes LOS esetén, 99,1%-os TX CCQ-val úgy vitte a DL/UL a 145Mbit/s-et mit a veszedelem 2 éven keresztül reccenésmentesen.
(most szereltem le)Ha duplex mértem le akkor ennek pont a fele volt.
Az AC-s változatot még nem volt alkalmam kipróbálni, de azt értelmesen csak ott lehet használni, ahol van 80MHz-nyi szabad spektrumkapacitás. Na ezt nem egyszerű dolog találni/csinálni!
Minden f@sz max Txoutal nyomja miközben még 10km-en is simán elketyeg 24dBm helyett 14dBm-el, -58--62dBm vételi szint mellett, természetesen jól beállított tükrökkel, és nem melléknyalábon használva.Ezért egyre nehezebb jól használni az 5GHz-et is.
-
runner 125
nagyúr
Közben megleltem kösz.
Router-ből 20mb-s nethez jó választás MIKROTIK hAP ac lite tower?
Ehhez lesz két Mikrotik AP csatlakoztatva, egy AC-s és egy sima.
Két hálózatépítéssel kapcsolatos ismerős céget is kérdeztem, egymástól függetlenül mindenki a Miktorik márkát javasolta, h ha a megbízhatóság, stabilitása legfőbb szempontom. Illetve ők is kihangsúlyozták, h hiába belső antennások, kb. ugyanezt a lefedettséget nyújtja, mint egy kommersz Asus, TP-link 4-5 antennával.
-
kvarc
tag
válasz
#27070592 #2895 üzenetére
Mikrotik esetén MIKROTIK Mimosa lehet jó szerintem. Ubnt esetén powerbeam-ac lehet jó választás. 10Km esetén már jelentős a wifi sebességének csökkenésé. N wifi 300MBit max elméleti sebesége a valóságba max 100Mbit pont to pont még szobán belül is. 10Km-nél ha elérsz 100-150 MBit között ac eszközzel akkor nagyon őrülhetsz.
Én Mikrotik SXT 5 ac csináltam két összeköttetést.
Elsőnél átviteli távolság 30m. sebesség 350Mbit egyirányú, 120-150Mbit kétirányban egyszerre.
Elsőnél átviteli távolság 1km. sebesség 190Mbit egyirányú, 60-110Mbit kétirányban egyszerre.Mindkét esetben a beállításokon sok múlott. Nem igazán end user katt-katt kész.
Én UBNT powerbeam ac 500 nézegetném ha 10km kellene wifivel megoldanom és sávszélesség is kell. -
#27070592
törölt tag
-
#27070592
törölt tag
válasz
bambano #2891 üzenetére
Kültéri körsugárzó kütyü lenne ideális a helyi hálónak, minimális áramfelvétellel, szél eső villámálló kivitel.
IP kamera lenne rajta állandó jelleggel + alkalmanként előforduló emberek telefonnal/tablettel, legalább wep2 szint kellene, de egyéb mókolásra nem gondoltam (sávszélesség-korlát, időkorlát, domain-korlát), esetleg később, ha stabil a rendszer. -
bacus
őstag
válasz
bambano #2889 üzenetére
Pont ezen gondolkoztam én is, hogy szerintem is kevés a 24,5 dbi, inkább 30 dbi feletti antenna kell emlékeim szerint.
Ha ennek hinni lehet persze.
-
bambano
titán
válasz
#27070592 #2886 üzenetére
én egy kicsit tamáskodnék, hogy 24 dbi-s antenna elég-e 10 kilométerre, de te tudod..
szerintem vannak nagyobbak is, mondjuk nem olcsók.a 10 kilométer másik problémája, hogy ekkora távolságon már számít a föld görbülete is, ezért magasra kell felrakni a cuccokat. 35-40 méteres oszlop elég lehet. de kell tiszta rálátás is.
a 2.4 G-s helyi wifi mekkora távolságra kell?
-
#27070592
törölt tag
Sziasztok,
Wifi topikban kérdeztem távolsági linkről, ott a Mikrotik LHG5 AP-t ajánlották.
Mivel abszolut magán célra akarok wifi linket létrehozni és a szó minden értelmében enduser vagyok, nem értek a hálózatos cuccokhoz, szerintetek meg tudok birkózni egy LHG5 eszközpár beállításával? Angol azért tűrhetően megy, ha létezik stepbystep tutorial a konfiguráláshoz, azt tudnám használni.Nagyjából erről van szó (bocs a mórickás rajz miatt), a kliens oldalon egy 2.4 Ghz-es körsugárzó router adná a helyi hálózatot, legjobb lenne ha ez is kültéri lenne, erre is ajánlhattok valami konkrét példányt, költséghatékony árkategóriában.
Előre is köszi!
-
poli27
veterán
válasz
runner 125 #2884 üzenetére
-
runner 125
nagyúr
Sziasztok,
Sok Miktortik routeren vajon miért nincs külső antenna? Illetve google szerint bizonyos típusokra utólag lehet tenni, konkrétan úgy h az alaplapon van egy csatlakozási pont a kábelnek..
Illetve AC-s routerből melyiket javasolt megvenni tőlük? Kellene 2 AP is hozzá, lehetőség szerint abból is AC-s, de nem nagyon találok Mikrotik-től ilyet..
Köszi!
-
bacus
őstag
Igen, megoldható. Minden rendes routeren, mivel a mikrotik is az, ezért ezeken az eszközökön is.
Ha akarod, akkor a régi szervereken semmit nem kell átírni, még a gatewayt sem.
Hogyan? Mi a konkrét kérdés? Mert, ha ez felmerült benned, akkor nem ez lesz a problémád, hanem, hogy egyáltalán legyen neted.
Egyébként ha lehet én a régi szervereknek dedikálnék egy külön portot, külön switcet, ha nem lehet, akkor ugyannarra az interfacere simán felhúzhatsz 2 ip cimet és lehet két alhálózat része is. Ezt még az XP-k is, de talán még a 98 is kezelte.
És van még jó és kevésbé jó megoldása ennek a feladatnak (és lehet biztos rossz is), az eszközeidtől és a struktúrától függően.
-
logfly
újonc
Üdvözlök mindenkit!
Abban kérnék segítséget, hogy jelenlegi SOHO routert tervezem lecserélni egy Mikrotik-re. A hálózaton jelenleg 192.168.1.0/24 címtartomány él, de a jövőben a 172.16.0.0/24 tartományt szeretném használni.
A kérdésem az, hogy megoldható-e, és ha igen akkor hogyan, hogy a régi szervereken megmarad a 192... fix ip cím (max a gateway címét kelljen átírni), de a DHCP a 172... tartományból ossza a címeket. A végeredmény az kellene hogy legyen, hogy 172... címről elérhetőek legyenek a 192... címen lévő szerverek. -
Ablakos
őstag
Köszönöm, akkor megvárom, amíg bekötik az ünnepek után. Hátha adnak routert.
-
gerokrisz
tag
válasz
Ablakos #2878 üzenetére
Nekem pontosan ez a megoldás volt egy ideig, csak most mát a switch átment prod környezetbe, és kiváltottam egy "gagyi" tp-link-el.
A digi nekem se routert, se semmit nem hozott (pedig én is gondoltam hogy akkor nem kell routert vennem), hanem csak 1 dugó a falból amin jön a net. De az ubi lite szépen viszi azóta a teljes sávszélt 1%CPU-val. Jelenleg egy IPSec Site-to-Site VPN-t akartam kiépíteni a prod környezet és ezen ubi lite közt, eddig nem sok sikerrel.A Switch vége pedig túlhajtott CPU-val olyan 250-400Mbps közt volt mikor az első héten azt használtam, mielőtt megjött az ubi.
-
Ablakos
őstag
Van egy megfelelően konfigolt kisirodai hálózat (CRS125-24G-1S-IN). Eddigi 30/10Mbs inetet natolta, de jövőre 1000/100 Mbs netet szeretnénk. Erre abszolút alkalmatlan a fenti switch.
Megfelelő megoldás az, ha a CRS125 elé rakok egy EdgeRouter Lite -ot forgatni az ip címeket és a belső forgalmat továbbra is a nagyon jó switch teljesítményű CRS szolgáltatja? Vagy cseréljünk Mikrotik routerre (melyikre ?), ami képes egyben megoldani mindent?
-
bacus
őstag
válasz
MasterDeeJay #2876 üzenetére
Semmit. Te irtad, hogy átmegy egy switchen.
Tplink kuka, helyebe egy mikrotik, és azon is lehet tűzfal szabály vagy pppoe server a mikin, pppoe kliens a tplinken. Igy kaphat a tplink teljesen más ip cimet.., de ez nem tudom mennyit lassitana. Egy régi router már lehet korlát is a net felé.
Az rb750 se mai darab.
-
válasz
SimLockS #2875 üzenetére
Sajnos fizikailag nem tudom toldani sem. Ahol van az eszköz ott csak egy végpont van és abból van továbbosztva egy kis switchel.
Ha a másik eszköz ip-jét átírom akkor lesz-e rajta net?
Nem a gateway mondja meg neki hogy milyen hálóba találjon vissza?
Netre ki kell találnia valahogy, csak a köztes hálót nem szabad elérnie.ip firewall filter add chain=forward src-address=10.0.0.9 dst-address=10.0.0.2-10.0.0.254 action=drop
ip firewall filter add chain=forward src-address=10.0.0.2-10.0.0.254 dst-address=10.0.0.9 action=dropEz érhet valamit?
-
SimLockS
tag
válasz
MasterDeeJay #2874 üzenetére
Hát akkor, ha a két szakasz nincs 100m toldjad össze toldóval, ha hosszabb, akkor buta switchcsel szakaszold le. Ha ez sem jó, akkor esetleg vlan, ha tudja a switch. Ha ez sem, akkor marad a gagyi megoldás: a két oldal fix IP-je legyen más tartomány, mint az adott LAN többi IP-je. Így nem biztonságos, de alapból nem lát bele a másik hálóba. Pontosabban nem akar arra kommunikálni...
-
-
SimLockS
tag
válasz
MasterDeeJay #2872 üzenetére
Dedikáld neki a Mikrotik egy portját tök más IP tartománnyal és így külön tudod kezelni és figyelni a forgalmát.
-
RB750 router 10.0.0.1 ami gateway is egyben
rajta csüng egy tp lik router ami 10.0.5.1-es hálót csinál natol tovább (routeren ő 10.0.0.9-es ip-vel van)
hogyan tudom megoldani azt hogy a tp linken lévő gép ne lásson bele a 10.0.0.1-es halóba csak simán menjen ki a gateway-en? -
quby
őstag
válasz
bambano #2866 üzenetére
Nálam ezt egy kb 120K értékű kis fujitsu server végzi. 200 végpont felváltva kb 1200 user. Differenciáltan web szűrés(squid), teljes értékű DNS (bind9), 6 vlan 2 wan. A proxy-s részeket nyilván linuxok, a routing meg routeros-en, Az egész esxi alatt. 600 napos uptime-nél járok, csak akkor ssh-zok be ha valami szűrési szabály módosul a proxyban...
-
Edgerouter Pro-t használok, stabil cucc, nem kell tőle félni. Viszont proxy-ra nem tudom, menyire felel meg. Ha webproxy, tartalomszűrés kell, akkor nézd meg a Stormshield-et, vagy a Sophos-t, bár én inkább előbbit ajánlanám, mert fele annyiba kerül nagyjából azonos tudásszint mellett.
-
bambano
titán
rendes web proxyt, transzparens proxyt egyáltalán nem lehet mikrotiken csinálni, semmilyenen.
a dns szerverrel kapcsolatban meg az a kérdés, hogy autoritatív dns szervert akarsz vagy rezolvert. én egyiket se tenném mikrotikre, az autoritatívat nem is lehet.az általad leírt teljesítményigényre van mikrotik, szerintem is érdemesebb megvenni a milliós tilerát, mint 200 rugóból egy pc-t. ja nem. pedig routeros-t lehet pc-n is futtatni, vagy van kész firewall cucc pc-re, mint ahogy nasra van a freenas.
-
kvarc
tag
Segítségetek szeretném kérni. Jelenleg egy Mikrotik CRS125-24G-1S-RM használók routernek. 500/200MBit-es nethez kissé lassú, igy cserélni szeretném de nem tudom mire.
Igények a következők lennének:
OpenVPN kellene 1-4 felhasználónak egy időben (AES-256 titkosítással).
DNS szerver.
VLAN kezelés. Szeparálni lenne jó a server, kliens és wifi hálózatott. (AP külön van).
Web proxy vagy transparent proxy átirányítás.Nekem kissé bonyolultnak tűnik a VLAN és Port forward a Mikrotik-ben, bár ez az én hibám valószínűleg.
Milyen routert javasoltok? Nem csak Mikrotik érdekelne. -
chipi89
tag
válasz
jegesib #2860 üzenetére
Nem tudom, kitöröltem mindent, majd újra lépésről lépésre végigmentem, kilistáztam konzolban közben néztem a videót, a paramétereket, plussz a netet vadásztam.
De ha nem adom meg a kulcsot előre, akkor valami alap titkosítást használ. De úgy értelmeztem amit a neten találtam, hogy ez alap viselkedés. -
chipi89
tag
válasz
jegesib #2857 üzenetére
Vááá, működik!
Olyanra képes a Mikrotik L2TP VPN autentikáció része, hogy összekötöm az Active Directory ban megadott felhasználókkal? Lenne jó pár ember 40-50db akit csak így engednék be.
Radiust beállítottam, de valamiért nem jön létre a kapcsolat, vagy az autentikáció sikertelen. -
chipi89
tag
válasz
jegesib #2857 üzenetére
A videó első részében a LAN oldalra az Interfészeknél beállítja az ARP nek, hogy reply-only. Nekem enable van csak, mert ha átrakom reply-onlyra akkor elszáll az egész belső hálózatom.
Azon kívül minden más pontja stimmel a beállításaimnak, külön lépésenként végigmentem. 3x meg is néztem. -
chipi89
tag
-
chipi89
tag
válasz
jegesib #2853 üzenetére
A fura az, hogy Windows ban a kapcsolat típusát automatikus módban hagyom megadom a felhasználónevet és jelszót. Kicsit gondolkodik, és csatlakozik. De a kulcsot sem kérdezi meg. (Már mint az előre megadott kulcsot) Ez miért van?
Csatlakozás után 5 perc után bontódik a kapcsolat. -
chipi89
tag
Válaszolva a kérdésedre, hogy mit állítottam be, összegyűjtöttem:
/ip pool add name=VPN_Kapcsolat ranges=10.0.11.100-10.0.11.150
/ppp profile add change-tcp-mss=yes dns-server=79.48.105.22 local-address=10.0.11.254 name=L2TP-PROFILE only-one=default remote-address=VPN_Kapcsolat use-compression=default use-encryption=default use-mpls=default use-vj-compression=default wins-server=10.0.11.254
/ppp secret add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=proba password=pass123 profile=L2TP-PROFILE routes="" service=l2tp
/ip ipsec peer add address=0.0.0.0/0 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main-l2tp generate-policy=port-override hash-algorithm=sha1 lifetime=1d my-id-user-fqdn="" nat-traversal=yes port=500 secret=kulcs1234 send-initial-contact=yes
/ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des,aes-256 lifetime=30m name=default pfs-group=none
/interface l2tp-server server set enabled=yes
/ip firewall filter add action=accept chain=input disabled=no dst-port=1701 in-interface=ether1-gateway protocol=udp place-before=0
/ip firewall filter add action=accept chain=input disabled=no dst-port=500 in-interface=ether1-gateway protocol=udp place-before=0
/ip firewall filter add action=accept chain=input disabled=no dst-port=4500 in-interface=ether1-gateway protocol=udp place-before=0
/interface l2tp-server server set authentication=mschap2 default-profile=L2TP-PROFILE enabled=yes max-mru=1460 max-mtu=1460 mrru=disabledBejelentkezik a Win 10 (64) operációs rendszerem úgy, hogy nem adom meg az előre megosztott kulcsot, csak a jelszót és felhasználónevet.
-
MineFox54
őstag
válasz
bambano #2847 üzenetére
Erre a felhasználásra is lenne használva. Persze ha nem megoldható értelmes összegből akkor mindegy. Viszont a többi része érdekel! Tehát 19", POE router, illetve 5Ghz, POE AP.
Egyébiránt HP-nál találtam olyat aminek a fenti oldal szerint elégnek kéne lennie, kb 60-ért. Mondjuk az csak switch, de mellérakok egy egyszerű routert, és kész. Úgy sem az lenne a fő célja a hálózatnak.
Konkrétan leírva:
A Dante-val hangfelvételt szeretnék megoldani, de ha ez ilyen drága, nem érdekes. Amúgy pedig különböző hangtechnikai eszközök távvezérlésére kell a dolog, tehát a legegyszerűbb stabil, 19"/9,5" rackelhető cucc megfelel.
-
chipi89
tag
Sziasztok,
Valaki használ Radius szervert VPN bejelentkezéshez?
Több leírás alapján is beállítottam MikroTikben és Windows Server 2012 R2 -ben a szükséges lépéseket, de továbbra sem sikerül VPN -nre bejelentkeznem.User .. authentication failed radius timeout van a logban.
-
MineFox54
őstag
Sziasztok!
Szükségem lenne egy routerre, és egy wifi AP-re.
A routernek 19" rackbe szerelhetőnek kéne lenni, lehetőleg POE képesnek, és elég nagy switch teljesítménnyel kéne rendelkeznie, hangátvitelre is kéne. Dante-ről lenne szó, ami 1Gbps-t kér csatornánként hivatalosan, nekem 32 ch átvitelére kéne kb, de egy kis tartalék legyen lehetőleg. EEE-nek kikapcsolhatónak kell lenni.WiFi AP-ként pedig kültéri, lehetőleg POE, és 5GHz képesnek kell lennie.
Amire gondoltam az a RouterBOARD 3011UiAS-RM routerként és Mikrotik GrooveA 52 AP-ként. Szerintetek?
Ja, és lehetőleg 8-10 portot tudjon.
Vagy erre inkább egy egyszerű router + egy korrekt switch kéne? -
jegesib
aktív tag
Sziasztok. Eddig egy virtual szerveren volt egy vpn szerverem, helyette szeretném ezt megoldani a routeren.
Bekonfiguráltam a VPN-t, el is érem kivülről, be is csatlakozik, minden jó, viszont nem látom az X.X.X.X belső hálót, csak az Y.Y.Y.Y VPN subnetet. OpenVPN ap szerveren ez csak egy pipa volt. Itt probáltam firewall-ban NAT-olni az Y.Y.Y.Y -» X.X.X.X-re, kevés sikerrel. -
chipi89
tag
Sziasztok,
VPN kapcsolatot állítok be ez a videó alapján:
VIDEÓDe ez eredmény sajnos nem ugyan ez.
Nem állítok be windows alatt előre megosztott kulcsot, és a gépem akkor is feltud kapcsolódni a távolról.Sőt még a titkosítás is más.
Hol vérződik el a történet?
-
SimLockS
tag
válasz
jegesib #2835 üzenetére
Pontosítanod kellene, hány port hiányzik...
Én úgy oldottam meg, hogy minden "médiagócpontnál"(Tv+BRay+stb) egy SE2500-as Cisco van. Ez nem menedzselhető, de 1 uplink+4 port. Ott minek néznék bármit is, azonos vlan, mi az ami gigabittel forgalmazna?
Ilyen van kettő, 1-1 gigás portot foglal. A netemet az sfp-be tett copper modulról hozom, de ott figyelj mert csak gigabitre állítható!!! Így nekem elég. Az AP-m gigabites, af-es poe-s injektorral, ott több vlan is fut. Soha nem akasztottam még ki belső forgalommal ezt a rendszert. A torrentet, ha a teljes sávszél 80%-a fölött akarom megfogni, ott szokott nyekkenni, de lejjebb vettem és megoldódott... -
jegesib
aktív tag
Passzív switch kiesik, mert ott csak egy port sávszélességét darabolom fel, és elég sokszor párhuzamosan másol több eszköz. Igen én is a CRS125-24G-1S-RM néztem, ez esetben szinte feleslegessé válik a mostani routerem
-
feel2006
tag
-
bacus
őstag
válasz
jegesib #2835 üzenetére
Jó lenne tudni, hogy akarod használni a hálózatod. Ha csak egy alhálózat van, akkor tökéletes egy olyan router is aminek csak 2 eth portja van, mellé egy switchel, ha azonban 8 alhálózatod van, de a routeren csak 5 eht port van, akkor bajban vagy, ha csak egy layer2 switchet veszel.
A kérdésre innentől CSAK Te tudod a választ, elég egy nem menedzselhető sima gigabites switch, mondjuk veszel egy 24 portosat, és ide csatkalkoztatsz mindent, egy madzag a router felé, egy a mAP felé és 22 eszközt dugsz rá, vagy kell egy menedzselt switch, amivel vlanozni kezdesz, esetleg egy mikrotik menedzselhető switch amivel aztán már tényleg azt csinálsz ami szem szájnak ingere.
Nálam pl egy zyxel 24 portos gigás switch van, az alap alhálózatnak, tulajdonképpen hiába menedzselt, csak layer2 switchként használom, és a routeren van még 3-5 másik alhálózat mind külön eth (és wlan) porton. Ha netán ennél több kellene majd, akkor CRS125-24G-1S-RM switchet fogok venni a zyxel helyett (esetleg mellé)
-
jegesib
aktív tag
Sziasztok. Tanácsot kérnék. Van egy RB2011UiAS-RM routerem, hozzá egy mAP ami POE-n keresztül kapja a tápot. 100/10-es netem illetve egy jópár olyan eszközöm ami gigabit-es hálót használ. Sajnos elfogytak a gigabites portjaim (és a 100-as portok is). Mit javasoltok? Kukázzam a routerem (ha igen, milyet?) és vegyek több portosat (nem szeretném, mert szuper elégedett vagyok vele), vagy vmi switchet inkább? Milyet? Hogyan konfiguráljam (csak elméletben, technikai részét majd kitúrom), hogy a gépeim és az eszközeim között -ahol kell-, meglegyen gigabites sebesség? Köszi a válaszokat
-
gazrobur
csendes tag
Sziasztok! Az lenne a kérdésem, hogy van egy https://routerboard.com/RB952Ui-5ac2nD MikroTik routerem.
A Telekom bekötötte a netet, és berakta a saját Huawei routert (olyan AP amibe optikán megy a net)
A helyzet, az hogy egy rj45-ös kábellel rákötöttem a MikroTik routeremet, és így most az is egy AP ként funkcionál. Na már most, mikor beraktam, hogy menjen a VPN a MikorTik-en akkor valami oknál fogva nem akar működni. Nem nagyon konyítok hozzá (nem találkoztam ilyennel) ezért kérdezem hogy mi lehet a probléma? Mit kellene beállítani? Valami portot engedélyezni kellene?
Köszönöm a segítséget előre is.
-
bacus
őstag
válasz
SimLockS #2830 üzenetére
No igen, vannak még esetek
Én azzal kezdem, hogy minden szolgáltatást tiltok, ami nem kell, ergo marad a winbox, meg az api-ssl (ez is csak ahol kérik).
Ez látod eszembe sem jutott, hogy a miki ftp is bekapcsolva maradhat. (na ja, amikor én kezdtem akkor még a 2.x - 3.x -es ros-ban nem volt ftp.)Mást a 21-es portra rakni, az meg az én szememben egyenesen bűn
-
bacus
őstag
válasz
chipi89 #2822 üzenetére
Én megírtam, hogy merre indulj (proxy), ha ez alapján nem megy, két dolgot tehetsz
- tanfolyam
- külső (fizetős) segítségAmit akarsz, megoldható, de nem hiszem, hogy ezen a módon, hogy itt leírja neked valaki a pontos beállítást, például azért sem, mert számtalan dolgot nem ismerünk a rendszereddel kapcsolatban. Tudni kellene a belső hálózat ip címeit, a külső domain neveit, és kellene winbox hozzáférés is (és még az is lehet, hogy idő is kell).
-
pumukli93
csendes tag
válasz
nyilasmisi #2825 üzenetére
-
pumukli93
csendes tag
Sziasztok!
Van egy problémám, amiben valahogy nem jutok előbbre.
Adott egy Mikrotik router, mely mögött egy FTP szervert szeretnék felállítani, de sajnos nem érem el külső hálózatból az FTP szervert.
Viszont ha fordítva csinálom, hogy egy külső hálózaton futó FTP szervert akarok elérni a Mikrotik router mögül, akkor minden oké.A routerben, már próbáltam mindent állítani, a NAT résznél a port továbbítást is megcsináltam, de semmi.
A pingelés oda-vissza megy.
Az FTP szervert XAMPP-on belüli Filezilla programmal oldanám meg.
Esetleg valakinek valami ötlete lenne?
Előre is köszönöm a segítséget!
Üdv!
-
feel2006
tag
Sziasztok,
Segítség kellene, mert megakadtam és nem jó.
Van 2 végpontom:
A.) 100/10 PPTP server
B.) 8/0,5 (dsl) PPTP client
A kettő között (van több végpont is de most nem releváns) OSPF van beállítva.A két helyszín BCP-vel össze van layer2 bridgelve.
A gond itt jön, a B végpont minden forgalma belemegy a BCP miatt a VPN- -be, ami nem jó, hogy tudom megcsinálni, hogy a PPTP-s BCP tényleges forgalmát szétválasztani a netes (böngészés) forgalmától?
Köszi a segítséget, ötleteket.
-
bacus
őstag
válasz
chipi89 #2816 üzenetére
te most a 80-as web portról beszélsz?
Ha azt szeretnéd, hogy adott web oldalt az egyik, a másikat a másik szerver szolgálja ki, az működhet,
DE nem ip cimekkel !Nekem 3 szerver van egy ip mögött, a mikrotik egy transzparens proxy (arra találsz példát, hogy belülről, hogy kell kifele, na ez is hasonló, csak teljesen más
)
Szóval ha az egyik a www.xxx.hu a másik a www.zzz.hu -ra kell válaszoljon, az megoldható.
Ip cim szerint nem, mert a miki nem tudja, hova kell irányitani, ilyen esetre persze lehet egy default, ami mindig a www.xxx.hu oldalt adja vissza.A miki 80as web szolgáltatása az első amit tiltok. (én legalábbis)
-
chipi89
tag
válasz
chipi89 #2817 üzenetére
Ezen kívül kipróbáltam a Mangle -t is, hogy hátha.
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=Levelezo passthrough=no src-address=10.0.9.204Ez a routom
/ip route
add distance=1 gateway=1.1.1.3 pref-src=1.1.1.2 routing-mark=Levelezo
add distance=1 gateway=Eth1_bemenet pref-src=1.1.1.1 routing-mark=Wan_Proxy
add comment="Atjaro" distance=1 gateway=1.1.1.3Az ip címeim
add address=10.0.10.254/24 comment="DHCP" interface=Eth3_kimenet network=10.0.10.0
add address=10.0.9.254/24 comment="DOLGOZOK" interface=Eth3_kimenet network=10.0.9.0
add address=1.1.1.1/29 comment=PROXY interface=Eth1_bemenet network=1.1.1.3
add address=1.1.1.2/29 comment=Levelezo interface=Eth1_bemenet network=1.1.1.3
add address=10.0.8.254/24 comment="USEREK" interface=Eth3_kimenet network=10.0.8.0
add address=10.0.11.254/24 comment="VPN - KULSOKENT" interface=Eth1_bemenet network=10.0.11.0 -
chipi89
tag
válasz
bambano #2815 üzenetére
Ez jelenleg a tűzfal beállításom.
A filter rulez nem igazán úgy üzemet ahogy kell./ip firewall address-list
add address=10.0.8.50-10.0.8.79 list=100_Terem
add address=10.0.8.80-10.0.8.109 list=200_Terem
add address=10.0.8.110-10.0.8.139 list=300_Terem
add address=10.0.8.140-10.0.8.169 list=400_Terem
add address=10.0.8.170-10.0.8.199 list=500_Terem
add address=10.0.8.201-10.0.8.220 list=600_Terem
add address=10.0.8.221-10.0.8.235 list=700_Terem
add address=10.0.9.100-10.0.9.109 list=800_Terem
add address=10.0.9.110-10.0.9.119 list=900_Terem
add address=10.0.9.120-10.0.9.143 list=1emelet_1
add address=10.0.10.0/24 list=DHCP
add address=10.0.11.0/24 list=VPN_DHCP
add address=10.0.9.200 list=Win2012_Lan_200
add address=10.0.9.205 list=Win2012_Lan_205
add address=10.0.9.204 list=Mail_szerver_Lan_204
add address=1.1.1.1 list=Proxy
add address=1.1.1.2 list=Levelezo_kulsocim
/ip firewall filter
add action=accept chain=forward disabled=yes dst-address=10.0.9.201 dst-port=21 protocol=tcp src-address=10.0.10.0/24
add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" dst-port=25 protocol=tcp src-address-list=spammer
add action=accept chain=input connection-state=established
add action=accept chain=input comment="Related elfogad" connection-state=related
add action=accept chain=input comment=SMTP dst-address=1.1.1.2 dst-port=25 in-interface=Eth1_bemenet protocol=tcp
add action=accept chain=input comment=POP3 dst-address=1.1.1.2 dst-port=110 in-interface=Eth1_bemenet protocol=tcp
add action=accept chain=input comment="WINBOX 8192" dst-address=1.1.1.1 dst-port=8192 in-interface=Eth1_bemenet protocol=tcp
add action=accept chain=input comment=Webmail dst-address=1.1.1.2 dst-port=80 in-interface=Eth1_bemenet protocol=tcp
add action=accept chain=forward disabled=yes dst-address=10.0.9.204 dst-port=80 protocol=tcp
add action=accept chain=input comment="SSH 22" dst-address=1.1.1.1 dst-port=22 in-interface=Eth1_bemenet protocol=tcp
add action=accept chain=input dst-address=1.1.1.1 dst-port=500 in-interface=Eth1_bemenet protocol=udp
add action=accept chain=input dst-address=1.1.1.1 dst-port=4500 in-interface=Eth1_bemenet protocol=udp
add action=accept chain=input comment="WINBOX 9800" dst-address=1.1.1.1 dst-port=9800 in-interface=Eth1_bemenet protocol=tcp
add action=accept chain=input comment=L2TP dst-address=1.1.1.1 dst-port=1701 in-interface=Eth1_bemenet protocol=udp
add action=accept chain=input dst-address=1.1.1.1 in-interface=Eth1_bemenet protocol=ipsec-esp
add action=accept chain=input dst-address=1.1.1.1 in-interface=Eth1_bemenet protocol=ipsec-ah
add action=accept chain=input comment="Allow PING ICMP " protocol=icmp
add action=drop chain=input comment="ELDOB MINDEN MAST, AZ ETH1-N INTERFACERE ERKEZVE" in-interface=Eth1_bemenet
add action=drop chain=forward comment="MASZKALAS NINCS" disabled=yes dst-address=10.0.8.0/24 out-interface=Eth3_kimenet
add action=drop chain=forward disabled=yes dst-address=10.0.10.0/24
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=Levelezo passthrough=no src-address=10.0.9.204
/ip firewall nat
add action=dst-nat chain=dstnat comment="SMTP 25 Forward to MAIL-Server" dst-address=1.1.1.2 dst-port=25 in-interface=Eth1_bemenet protocol=tcp to-addresses=10.0.9.204 to-ports=25
add action=dst-nat chain=dstnat comment="Web 80 Forward to MAIL-Server Webmail" dst-address=1.1.1.2 dst-port=80 in-interface=Eth1_bemenet protocol=tcp to-addresses=10.0.9.204 \
to-ports=80
add action=dst-nat chain=dstnat comment="POP3 110 Forward to MAIL-Server" dst-address=1.1.1.2 dst-port=110 in-interface=Eth1_bemenet protocol=tcp to-addresses=10.0.9.204 to-ports=110
add action=return chain=dstnat comment="1.1.1.2 - Minden Mas elutasitas" dst-address-list=Merkur in-interface=Eth1_bemenet to-addresses=10.0.9.204
add action=src-nat chain=srcnat comment="Routolas 1.1.1.2 fele" out-interface=Eth1_bemenet routing-mark=Levelezo src-address-list=Mail_Merkur_Lan_204 to-addresses=1.1.1.2
add action=src-nat chain=srcnat comment="100 -s Terem Internet" out-interface=Eth1_bemenet src-address-list=100_Terem to-addresses=1.1.1.1
add action=src-nat chain=srcnat comment="200 -s Terem Internet" out-interface=Eth1_bemenet src-address-list=200_Terem to-addresses=1.1.1.1
add action=src-nat chain=srcnat comment="300 -s Terem Internet" out-interface=Eth1_bemenet src-address-list=300_Terem to-addresses=1.1.1.1
add action=src-nat chain=srcnat comment="400 -s Terem Internet" out-interface=Eth1_bemenet src-address-list=400_Terem to-addresses=1.1.1.1
add action=src-nat chain=srcnat comment="500 -s Terem Internet" out-interface=Eth1_bemenet src-address-list=500_Terem to-addresses=1.1.1.1
add action=src-nat chain=srcnat comment="600 -s Terem Internet" out-interface=Eth1_bemenet src-address-list=600_Terem to-addresses=1.1.1.1
add action=src-nat chain=srcnat comment="700 -s Terem Internet" out-interface=Eth1_bemenet src-address-list=700_Terem to-addresses=1.1.1.1
add action=src-nat chain=srcnat comment="800 -s Terem Internet" out-interface=Eth1_bemenet src-address-list=800_Terem to-addresses=1.1.1.1
add action=src-nat chain=srcnat comment="900 -s Terem Internet" out-interface=Eth1_bemenet src-address-list=900_Terem to-addresses=1.1.1.1
add action=src-nat chain=srcnat comment="1emelet_1" out-interface=Eth1_bemenet src-address-list=1emelet_1 to-addresses=1.1.1.1
add action=src-nat chain=srcnat comment="DHCP Internet" disabled=yes out-interface=Eth1_bemenet src-address-list=DHCP to-addresses=1.1.1.1
add action=masquerade chain=srcnat comment="VPN L2TP Internet" src-address-list=VPN_DHCP to-addresses=1.1.1.1
add action=src-nat chain=srcnat comment="Win Server 2012 Internet" src-address-list=Win2012_Lan_205 to-addresses=1.1.1.1
add action=dst-nat chain=dstnat comment="RDP Windows Szerver 2012 R2 1.1.1.1" dst-address=1.1.1.1 dst-address-list=Proxy dst-address-type=local dst-port=9200 protocol=tcp \
to-addresses=10.0.9.205 to-ports=3389
add action=return chain=dstnat comment="Minden kapcsolat elutasit 1.1.1.1 IP -n!" dst-address-list=Proxy in-interface=Eth1_bemenet -
chipi89
tag
válasz
bambano #2815 üzenetére
Hogyan látok át egy másik tartományba, ha natolom a forgalmat arra az adott címre?
Ezzel a technikával pl nem ugyan azt látom belülről mint kívülről. Ha beirom a külső ip cimet akkor a router oldala jön be.
Ha más szolgáltatón keresztül irom be, akkor a kívánt eredményt kapom.Vagy 2 interfészt programozzak fel?
Nem lehet virtual ethernettel elosztani?
Kicsit zöld fülü vagyok a témában még. Ezért kérdezek. :-) -
chipi89
tag
Sziasztok!
Szeretnék statikusan forgalmat irányítani, úgy hogy a hálózaton lévő szervert lehessen belülről is látni a külső címe alapján.
A hálózaton úgy néz ki, hogy Mikrotik Eth1 a bementen és Eth3 a kimenet.
Eth 1 -n szeretnék az érkező átjátszó router felől 3 IP címet felvenni.
1.1.1.1
1.1.1.2
1.1.1.3Ez oké, fel is vettem őket, de a forgalmat nem tudom irányítani ezekre a címekre.
Ha natolással oldam meg akkor nem látom a belső hálón a külső cím alapján a szerveremet, ami hálózaton belül van, a router oldalát adja be helyette. Más szolgáltató felől érkezve oké minden.
A masquerade vel csatolom fel a gépeket, akkor oké minden, de random szerű IP cím lesz a külső címem.A forgalmamat úgy szeretném irányítani, hogy van három hálózatom belül. 10.0.1.1, 10.0.2.1 10.0.3.1
Az 10.0.1.1 10.0.2.1 10.0.3.1 Mutasson a 1.1.1.2 IP cím felé, és ezen kommunikáljon.
A 10.0.2.0/24 -s hálózaton van pár szerver, ebből a 10.0.2.200 mutasson és menjen a forgalom a 1.1.1.1 cím felé. Míg a 10.0.2.201 meg a 1.1.1.3 felé.
A belső hálózaton belül mind a 3 címtartományból el szeretném érni a szervereket a belső címükkel is.Ennek a routolást nem sikerült megcsinálnom.
Sokminden kipróbáltam, van aki manglet ír, van ahol nat.
Most jelenleg úgy néz ki a forgalom irányításom:
add action=src-nat chain=srcnat comment="DHCP Internet" disabled=yes out-interface=Eth1 src-address-list=DHCP to-addresses=1.1.1.2
a chain értéke: 10.0.3.0/24
Így a megfelelő IP címen megy a forgalom (ezek nem publikus gépek)
De ezzel a megoldással nem látok át a másik kettő hálózatba
+ Nem látom a szervereket a publikus címük alapján.Mit rontottam el?
Vagy milyen jó megoldással orvosolható?
Ez mangles dolog is érdekel.
Egy felvázolt gondolatmenetet is elfogadok
Ha hoznék létre egy Virtuál Ethernetet a másik kettő címnek is?Köszönöm a segítséget előre is!
-
Vagyis dehogy na, hülyeségeket beszélek így késő éjjel
Szóval maga az eszköz 2 módón táplálható, jack és ether1.
Az 5. ethernet port passzív POE kimenettel rendelkezik (más passzív POE képes eszköz megtáplálására). Az a feszültség jelenik meg rajta, amellyel magát a router megtápláljuk. -
Oldmobil
aktív tag
Sziasztok!
Nem rég léptem be a Mikrotik-világba egy hAP ac-vel, tanulgatom a dolgot, nagyon tetszik. Abban kérnék segítséget, hogy ezen a boardon hogy megy a POE out? 802.3af kompatibilis, vagy azt a feszt adja ki passzívan, amit a board tápján beadok? Be kell külön kapcsolnom Winboxban? (Lenne egy 802.3af-es IP-kamerám és ha nem kell feltétlenül, akkor nem vennék hozzá külön tápot meg injektort.)
Köszönöm! -
bacus
őstag
Ha tudja mi az az iptables, esetleg már állított is be linux tűzfalat, tudja, hogy mi az, hogy chain, melyik chain mire való, akkor a winbox felületén bármit beállítani egy gyerekjáték lesz.
Nekem egy olyan kérdésem lenne, hogy akinél megy a dhcp v6 (nem feltétlenül csak digin), az látja a routerét a network discoveryn a winbox-al?
Az irodai routeren, beállitottam, majd letiltottam az ipv6 dhcp client-t, a winbox innentől nem látja. Hozzá tudok kapcsolódni ip-n és mac-n is, de a winbox nem írja ki. Most nem tudom kipróbálni, de úgy emlékszem, ha az ipv6 csomagot tiltom és újra indítom a routert, akkor megy.
-
TheAquir
csendes tag
Sziasztok,
gondoltam beallitok egy routert VPNhez es valahogy mindig ehhez lyukadok ki :
routerboard hAP ac lite
Hogy miert ehhez? A legtobb router ami VPN-t tamogat mind szaz antennas csucsmodellek - nem nem kell semmilyen multi csatornak ac wifi meg ping killer etc.mit gondoltok errol? RouterOS-t nem ismerem, de amugy eleg tapasztalt vagyok szamitastechnikaban...
mennyire szenvednek meg a beallitassal?Elore is kosz
Új hozzászólás Aktív témák
- Apple iPhone 13 128GB, Kártyafüggetlen, 1 Év Garanciával
- Eladó karcmentes Apple iPhone 11 128GB / 12 hó jótállással
- Xiaomi Mi Note 10 Lite 128GB, Kártyafüggetlen, 1 Év Garanciával
- 145 - Lenovo Legion Pro 7 (16IRX9H) - Intel Core i9-14900HX, RTX 4090
- Új Lenovo 14 Ideapad 5 FHD IPS i5-1235U 4.4Ghz 10mag 16GB 512GB SSD Intel Iris XE Win11 Garancia
Állásajánlatok
Cég: FOTC
Város: Budapest