- Luck Dragon: Asszociációs játék. :)
- sziku69: Szólánc.
- sziku69: Fűzzük össze a szavakat :)
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Sub-ZeRo: Euro Truck Simulator 2 & American Truck Simulator 1 (esetleg 2 majd, ha lesz) :)
- gban: Ingyen kellene, de tegnapra
- LordAthis: Ismét egy "Idióta" A.I. Projekt, hogy meglovagolja az aktuális trendeket...
- Ndruu: Segíts kereshetővé tenni a PH-s arcképeket!
- btz: Internet fejlesztés országosan!
- bambano: Bambanő háza tája
-
LOGOUT
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
zolion01
tag
Köszi, nagy segítség volt!
RB2011UiAS-2HnD, v6.39.2
ethernet1 egy a bejövő Internet, UPNP.external, bridge pedig UPNP:internal
Más működik kamerák, port forwarding, csak a Skype nem.
A tűzfalnál látszik, hogy UDP portok nyílnak a Skype híváskor, de semmi nem történik. Bizonyos esetekben a hívás bontása után a hívott kap egy értesítést, hogy fol egy nem fogadott hívása, de ez sem mindig.
Valaki más esetleg?
-
Ablakos
őstag
Capsman -> datapath->local forward nélkül nem kapnak a kliensek ip-t. Manager forwarding módot akarok. Próbáltam relay-el az ap-kon, a routeren CAP interfészen létrehozni dhcp servert, de így sem jó. Egy subneten vannak az AP-k a routerrel (és a dhcp serverrel). Valami ötlet?
-
#3593
Zwodkassy
senior tag
TomiTheHero
#3591
válasz
TomiTheHero
#3591
üzenetére
Szerintem itt elég sok infót és segítséget találsz:
https://wiki.mikrotik.com/wiki/Manual
ireless_Debug_Logs -
#3592
E.Kaufmann
veterán
feel2006
#3590
-
#3591
TomiTheHero
csendes tag
TomiTheHero
csendes tag
Sziasztok!
Itthon egy HAP Lite-t használok már lassan 2-3 hónapja. A probléma kb két napja jött elő. A Wifi bolondul meg, nem enged rá csatlakozni. Ha beírom a jelszót iOS-nél hibás jelszót dob vissza, androidnál pedig tiltott lesz a wifi hálózat. Miután a Wifi interface-t tiltom engedélyezem az eszközön azonnal visszacsattognak a kliensek a hálózatra.
Csatoltam képet a log-ról.
Itt 19:53:33-kor indítottam újra az interface-t.
Találkozott már valaki ilyennel, vagy van valami ötlet, hogy mi lehet a baj?
6.39.2-n kezdődött a hiba, feltettem a 6.40rc21-t, bízva abba, hogy ez segít, de nem. -
#3590
feel2006
tag
E.Kaufmann
#3589
feel2006
tag
válasz
E.Kaufmann
#3589
üzenetére
Szia,
Nekem az upload 20M ahol a 2011 van üzemben, de ahol 951 és 952 ott 1,5M és 0,75M upload van, és ott is működik.
Részben netről összerakott, részben saját kútfőből, de már úgy működik ahogy szeretném.
P1 Link-critical traffic (DHCP+L2TP) ->nekem a VPN-be akkor van forgalom, ha lokálisan nem vagyok a helyi hálózatban, ezért így van megoldva, de bárhová tehető
P2 Time-critical traffic (DNS, NTP, TCP control packets, certain ACK packets, new connections)
P3 Critical traffic (just some ACK packets)
P4 High-priority interactive traffic (SSH, WinBox, certain ACK packets, VOIP 5060)
P5 Low-priority interactive traffic (HTTP, HTTPS, TransmissionUI)
P6 High-priority non-interactive traffic (FTP)
P7 Low-priority non-interactive traffic (POP, SMTP, SMTP-SSL)
P8 Non-critical traffic (P2P)üdv
-
#3589
E.Kaufmann
veterán
E.Kaufmann
#3588
E.Kaufmann
veterán
válasz
E.Kaufmann
#3588
üzenetére
Próbálnám úgy belőni a VPN-t, hogy még ha marha lassú is, de betonstabil legyen, és több konkurens forgalom ne ölje meg se egymást, se a vonalat. Legalább RDP-n át tudjanak tevékenykedni, átmenjenek a levelek és át tudjanak telefonálni, hogy marha lassú a net
-
#3588
E.Kaufmann
veterán
E.Kaufmann
veterán
Azt valaki meg tudná írni, hogy érdemes a queue-t belőni.
Ugye van külön tipusa a feltöltésnek a letöltésnek és az egész sornak. Egy lassú backup vonalon mit érdemes belőni?
Én most a az upload/download type-nak synchronust állítottam be, a totálisnak meg a default small-t. Hogy működik ez? Van két sor is? Egy totális és a két irányba egy-egy, vagy állítsam a totálisat is szinkronra? -
#3587
E.Kaufmann
veterán
bambano
#3586
-
#3586
bambano
titán
E.Kaufmann
#3584
bambano
titán
válasz
E.Kaufmann
#3584
üzenetére
hány area-t használsz?
-
#3585
E.Kaufmann
veterán
E.Kaufmann
#3584
E.Kaufmann
veterán
válasz
E.Kaufmann
#3584
üzenetére
Most azt próbálom, hogy megjelölöm a forward láncban a ppp csatoló felé induló kapcsolatokat mindkét oldalon. Ez alapján a csomagokat is megjelöltem, a jelölt csomagokat meg egy-egy simple queue-ba sebességkorlátoztam a két oldalon, hogy a helyi hálókról induló csomagok ne dugíthassák be teljesen az útvonalat és a közvetlenül a router által indított csomagoknak jusson szabad sávszél. Még tesztelem, de ha van jobb módszer, írjatok
-
#3584
E.Kaufmann
veterán
E.Kaufmann
veterán
Nincs valakinek tapasztalata PPP kapcsolat és OSPF összehozásával mikrotik routeren? Állandóan szakadozik egy kapcsolat és az a gyanum, hogy az OSPF hibája. SSTP kapcsolat, két végponton DSL és WWAN, szóval nem egy valami megbízható kapcsolat. Point to point módban használom, nbma-ban nem sikerült életre kellteni, hiába állítom be mindkét oldalon az nbma szomszédokat. Itt régebben írták, hogy az OSPF-nek nem kell QoS, de ebben nem vagyok olyan biztos az eddigi tapasztalatok alapján.
Növeljem a dead intervall-t? Meddig? Valaki nem próbálkozott mostanában ilyesmivel? -
Exom
tag
Sziasztok
Két épületet szeretnék összekötni vezeték nélkül. Az ellátandó távoli épületben 7 db videó kamera üzemelne H.264 kódolással, aminek a jelét a központi épületben rögzítenék. Ez alapján kellene stabil 7*12Mbps, azaz min. 84 Mbps összeköttetést létesíteni.
Az épületek közötti távolság 5 - 600 m. A probléma, hogy a két épület között nincs optikai rálátás, ezért mindenképpen egy kültéri átjátszóadót kellene beüzemelni.
A végpontokra SXT 5 ac -t tervezek.A kérdésem, hogy az átjátszót miből lenne célszerű megépíteni?
(Abban a kivételes helyzetben vagyunk, hogy az anyagiak ésszerű határokon belül nem számítanak.) -
#3581
bacus
őstag
MasterDeeJay
#3578
bacus
őstag
válasz
MasterDeeJay
#3578
üzenetére
Nem, rosszul gondolod. Ha egyszer egy kliens megkapta, hogy az a gateway, azt te már nem tudod felülbírálni a mikrotikből. A gateway megváltoztatásához renew kellene a dhcp-nek, ezt nem tudom, hogy tudnád kikényszeriteni, de szerintem ez nem is lehet a jó megoldás, mert több 10 mp-re is lehet net kiesés.
Ergo a megoldás, hogy a mikire kötöd a 5g -t, nyilván át kell konfigolni, hogy ne ugyanaz az alhálózat legyen, és mindenki ugyanazt a gatewayt kapja, azaz a miki ip címét. Mangle szabályokkal eldöntöd, hogy ki az aki csak a fix ip cím fele mehet ki, a többieknek pedig alacsonyabb distance-el, az 5g fele, majd azután minden a másik fele menjen.
Már csak egy check gateway kell, hogy él e a net az 5g felé. Ez nem az egyszerű pipa a routingnál, mert ha az 5g lan oldala él, csak épp net nincs, akkor nem fog átkapcsolni. Erre is van több megoldás, már csináltam ilyet, de most nem érek rá megnézni, hogy volt.
-
feel2006
tag
Sziasztok,
Tanácsot, ötletet szeretnék kérni.
Adott egy RB2011.
Szükségem lenne AC-s wifi-re, és 2 dolog merült fel. A HAP AC, vagy WAP AC és ez a 2011 egyik portjára kötve.
Mivel már AC, szükséges a Gigabites port, ezért néztem a HAP AC-t is és nem a lite-ot.
Beltérre lenne használva, (lakásban, mint a 2011 wifije) illetve a jövőben tervben van a 2011 -> 3011 -ra való cseréje, ezért is csak az AP funkció lenne használva.
Kinek mi a tapasztalata a két AC-s cuccal? Melyiket ajánlaná? Mennyire terhelődnek ezek le?
Milyen hatótáv változást vennék észre a 2011 WiFi-jéhez képest?Köszönöm a bárminemű tanácsot, véleményt, ötletet.
-
#3578
MasterDeeJay
veterán
Aktuális feladat:
Adott egy hálózat kb 30 géppel. Egy ADSL fix ip-vel ami lassúcska, egy 5G telenor modem ami viszonylag gyors.
Jelenleg úgy működik hogy a hálóra be van kötve az 5G modem mint egy sima eszköz de dhcp letiltva rajta és a gépek dhcp-vel gatewayként kapják meg az 5g modem ip-jét. DHCP-t szerver osztja.
adsl gateway 192.168.0.1
5g-nek pedig 192.168.0.254
kliensekből 192.168.0-100-150 ig szeretném hogy az 5G-n mennjenek ki.
Szervereken vpn, exchange is fut amit nem rakhatok a másik netre.Azt szeretném hogy adott gépek a telenoros eszközön menjenek ki de minden más pedig az ADSL-el. Ha gáz van akkor meg kapcsoljanak vissza mind az ADSL-re.
Ha jól gondolom ez valami routolási szabály lesz.
Nehezítés: a router egy RB532-es 2.9.44-es OS-el amihez még nem nyúltam de lehet kéne csak szerintem nagyobb dolog az upgrade-je mint egyszerű package másolgatás.
-
lcdtv
tag
Tud valaki megoldást? OpenVPN mikrotiknél beüzemelve, win alatt jól megy, viszont szeretném mobilon is használni de amit használok ovpn fájlt a win alatt az nem működik a mobilon. Gondolom mert az csak a nyers konfig fájlt. Synology-nál ha beüzemelem akkor ott az ovpn fájlba van egy titkosított rész. Itt megy is mobilon az OpenVPN. Köszi!
-
bambano
titán
Ha vlan kezeléshez menedzselhető switchet vennél, akkor mikrotiket vagy Edgeswitch lite-ot vennél?
tia
-
Ablakos
őstag
A mikrotik WIKI-n a belső hálózaton lévő passzív ftp servert elintézik két szabállyal:
/ip firewall nat
add chain=dstnat dst-address=<WAN IP Address> dst-port=21 protocol=tcp action=dst-nat to-addresses=<Local server address>
/ip firewall filter
add chain=forward connection-state=established,related action=acceptNekem kizárólag akkor működik a kapcsolódás, ha a serverben beállított data portokat is natolom a mikiben. Valamit félre értek vagy az ftp serverben kell mást is állítani? (Azért rugózom ezen, mert élénk az érdeklődés a nyitott 64000-65535 portokon.)
-
#3565
bacus
őstag
bakonyip95
#3564
bacus
őstag
válasz
bakonyip95
#3564
üzenetére
Én is csináltam most egy speedtestet itthon, nincs zavarás 3m-re az 5 gigás AP-hoz.
30 le, 93 fel, de ez azért nem zavar, mert elindítok egy torrent letöltést, és 9Mb feletti a download, ami a 30mbiten nem lehetséges. Szerintem lehet ez akár a speedtest.net hibája is.
-
bakonyip95
tag
válasz
bakonyip95
#3558
üzenetére
Megpróbáltam capsman kihagyása nélkül, gyorsan felkonfiguráltam az ap-t, de ugyan az a helyzet, 10-20 le, 60-70 fel.
Nem értem komolyan!
-
bambano
titán
válasz
SimLockS
#3562
üzenetére
egy kicsit pontosítok: egy olyan táppal mértem ki, ami nagyjából 30 voltig tud, 28-29 volt között leakadt a panel. hogy 50-nél mit csinál, azt nem teszteltem.
ha valakit érdekel: ennek a 24 voltos verzióját teszteltem, ups építési céllal. a 30 voltig specifikált mikrotikekkel volt kis hümmögés, de ha az újabb ap-k tényleg 57 voltot bírnak, akkor ez teljesen jó cucc lesz.
-
SimLockS
tag
válasz
bambano
#3561
üzenetére
Igaz, igaz. A 48V miatt egyből af-esre tippeltem, de a kérdés alapján nem úgy tűnt, hogy a kérdező tudja, hogy két "szabvány" van, sőt ez a "levesz annyit, amennyit kell" nekem elektronikai tájékozatlanságnak tűnik...
De hasznos, hogy kimérted: a passzív PoE-n ha felküldesz 50V-os tápot nem hal meg az eszköz... -
bambano
titán
válasz
SimLockS
#3560
üzenetére
nem kell a kérdést találgatni, vissza lehet lapozni. sem az ap, sem a poe típusa nem volt leírva.
nekem volt hasonló kérdésem, mivel nem kaptam választ, fogtam egy 433-at meg egy műszert, oszt megmértem.nekem nem ment 30 voltról se, nemhogy 48-ról. de érdekes, hogy egy-két ap-nál már 57 voltig mehet a tápfesz, ilyen még nem volt a kezemben. soknál meg csak 30-ig.
-
redda
újonc
Sziasztok!
SwOS alatt egy RB250GS tipusu eszkozzel szeretnem a kovetkezot megoldani.
Az eszkoz 2-es portjan egy RPi van, azon egy lan es vlan (eth0 es eth0.100 pl.), az 1-es portja egy buta switch fele nez, a 3-5-os portjain szinten "buta" eszkozok lognak.
A cel az lenne, hogy az 1-es porton a Pi nativ forgalma (ergo eth0), a 3-5-os porton pedig az eth0.100-as vlan forgalma mint taggeletlen forgalom menjen ki (az ezeken levo eszkozok sem udjak ertelmezni a vlan tag-eket).
A vlan csoportot beallitottam a switch-en, az 1-es portbol meno forgalom ok, azonban a 3-5-os portrol sehogy se erem el az eth0.100-at.
Koszonom a segitseget elore is.
-
#3552
bacus
őstag
bakonyip95
#3548
bacus
őstag
válasz
bakonyip95
#3548
üzenetére
Mivel méred?
(a frisstéssel kezd, mert ez nem a legfrissebb ros)
-
#3550
Zwodkassy
senior tag
Cirbolya_sen
#3549
válasz
Cirbolya_sen
#3549
üzenetére
A MAC address "probléma" csak annyit tesz, hogy annak az eszköznek a MAC címet viseli majd az új eszköz is. Ha ez zavar, belépsz a felületre, Reset Mac Address
-
#3549
Cirbolya_sen
aktív tag
Cirbolya_sen
aktív tag
Sziasztok
Ismerkedem a Mikrotikkel, de most van egy akut probléma:
Tönkrement RB433GL router, amiről van backup mentes és rsc config fájl is, a fő feladata az internet a wifi és PPTP-s VPN volt.. Valamilyen módon feltölthető egy másik RB433GL routerre ez a beállítás, és működni is fog? A MAC címek problematikáját olvastam a fórumokon. Szerkeszteni kell az rsc fájlt, vagy van más módja is a gyors és egyszerű cserének?
-
bakonyip95
tag
válasz
Zwodkassy
#3538
üzenetére
1, Csatorna belövés még nem történt meg, csak beüzemeltem, de a 7-es csatornára állt rá automatán, ami úgy nézem, hogy a legtisztább, szóval ezzel elvieleg nincs gond.
2, RoutesOs: 6.35.4, Capsmann: wireless-cm2.
3, Local forwarding és Clint to Client Formwarding van most bekapcsolva, eddig ki volt kapcsolva a Client to Client, de semmi változás.
Valamikor 1-2 magára is leesik, ami már tényleg használhatatlan és nem értem miért lehet ez.. :S
-
-
mikado
tag
Sziasztok,
Van egy RB962UiGS router amit wireless AP-nek használunk, access lis-ben korlátozva a hozzáférést.
Most bővíteni kellene a wifi hálózatot még egy AP-vel, és az lenne a kérdésem, hogyan lehetne (vagy meg lehet-e) csinálni, hogy az új ap vezetéken kapcsolódjon a mostanihoz, viszont a wifi hozzáférés ott is az első ap access listjét használja?Ha lenne valkinek ötlete megköszönném...
-
#3539
bambano
titán
animatrix11
#3534
bambano
titán
válasz
animatrix11
#3534
üzenetére
ha hotspot megy rajta, akkor gyakran telnettel be lehet lépni rá a hotspot ip címén.
-
#3538
Zwodkassy
senior tag
bakonyip95
#3536
válasz
bakonyip95
#3536
üzenetére
1. Tiszta-e az éter, vagyis adott csatona(k)? Bár az egyik irányba nem rossz.
2. RouterOs és ezen belül Fw verzióm, valamint CAPsMAN verzió is számíthat (de, hogy mi a nyerő páros, azt nem tudom). CAPsMAN-ből érdemes a 3-ast használni ("wireless-fp", "wireless-cm2", "wireless-rep", és most már csak újra "wireless". Gyakorlatilag a legutolsó, legfrissebb kiadás).
3. CAPsMAN Forwarding vagy Local Forwarding üzemben megy a dolog?
3/a: CAPsMAN Forwarding: a CAP úgy működik, mintha a Managger-be épített WiFi kártya lenne. MINDN forgalom áthalad rajta. Azaz jel eszközt feltételezve, aminek 10/100M-es portja van, ezen a 100M-es Ethernet kapcsolaton fog minden WIFi forgalom oda vissza pattogni.
3/b: Local Forwarding: itt a CAP, kvázi mint önálló AP működik, a CAPsMAN-től csakis a konfigurációt kapja, plussz az Authentikációt intézni. Lényegesen kisebb a forgalom a CAP és a CAPsMAN között.Ismereteim szerint :-)
-
#3537
bacus
őstag
animatrix11
#3535
bacus
őstag
válasz
animatrix11
#3535
üzenetére
winbox verzió? Mikor közvetlenül rádugod a géped, akkor mac-en se tudsz kapcsolódni? Kiirja a ros verziót, az mekkora?
-
#3536
bakonyip95
tag
bakonyip95
tag
Sziasztok!
Sikerült megcsinálnom a capsman-es dolgot, megy is a net az RBwAP2nD cap-en, viszont egy dolog nem éppen a legjobb mégpedig a sebesség.
Lefele 10-20-at tud, felfele 50-60-at. Több eszközön is tesztelem és ugyan ezek az eredmények, a netünk 100/100-as.
Mi lehet a gond, hogy nem tudok nagyobb sebességet kicsikarni belőle? -
#3535
animatrix11
őstag
animatrix11
őstag
"kaptam egy leírást, minden ip címmel, jelszavakkal"
Esetleg más valaki?
-
#3533
Adamo_sx
aktív tag
animatrix11
#3532
Adamo_sx
aktív tag
válasz
animatrix11
#3532
üzenetére
"és winboxszal próbálok így belépni akkor nem jó a felhasználónév jelszó..."
Szerintem első körben azt kellene kiderítened, hogy mi a jó felhasználónév/jelszó páros.
-
#3532
animatrix11
őstag
animatrix11
őstag
üdv
Tud valaki segíteni? Teljesen kezdő vagyok a mikrotik világában, de odáig nem jutok el egyenlőre, hogy belépjek, kaptam egy leírást, minden ip címmel, jelszavakkal, de a külső ip-t nem látja a gép egyáltalán pingelni sem tudom ha a :8000-es portszámot lehagyom a végéről simán az ip-t tudom pingelni, és winboxal próbálok így belépni akkor nem jó a felhasználónév jelszó...
Ha közvetlenül laptoppal rácsatlakozom a routerre akkor sem enged be -
bambano
titán
nem akar semmit az orrod alá dörgölni, próbálja finoman érzékeltetni, hogy túlmentél azon a határon, amit haveri segítségként illik kérni.
azt kellene megértened, hogy ha a te tudásod nem üt meg bizonyos szintet, akkor segítséget adni csak olyan pluszmunkával lehet, amit már túlzás elvárni. ilyenkor is lehet segítséget kérni, a kolléga szívesen meg is oldja, csak majd kapsz számlát. Nem tudom, ő mennyiért dolgozik, de akiket pestről ismerek, azok szerintem nettó két kiló + fa díjért megcsinálják pöpecül.
az általad elvárt, kikövetelt segítségnek nagyjából ennyi a piaci értéke. ezért nem kéne beszólni a szakmai alázatról a kollégának.
-
ggg1
aktív tag
"Nekem nem okoz örömet, hogy nem tudsz valamit, de olybá tűnik a feladat túlmutat a tudásodon. Szerintem segítőkész voltam eddig is, de ha sértegetni próbálsz, akkor nem szólok hozzá többet."
Még egyszer leírom, hogy mindenki megértse: a feladat túlmutat a tudásomon, ezért jöttem ide segítséget kérni. Ha nem mutatna túl, nyilván nem kérdezném. Majd megértem, ha sikerült megcsinálni, és akkor már nem fog túlmutatni a tudásomon, így tanul az ember.
"Nekem nem okoz örömet, hogy nem tudsz valamit [...]"
Nyilván nem az okoz örömöt Nektek, hogy én nem tudok valamit, hanem az, hogy ezt minden válaszban az orrom alá lehet dörgölni. Gondolom, ha erre szükség van, akkor biztosan örömöt okoz.
A megjegyzésem nem csak Neked szólt, ezért volt többes számban, hanem a kollégának is, aki hasonlóan lelkesen kritizált."Szerintem segítőkész voltam eddig is, de ha sértegetni próbálsz, akkor nem szólok hozzá többet."
Távol álljon tőlem bármiféle sértegetés, nem az én stílusom,
és nagyon hálás vagyok a segítségedért!Az első megoldás lesz a nyerő! A doksi, amivel a vpn szervert csináltam, ugyanabba az alhálózatba tette a VPN poolt, mint a helyi háló, és bridge-et hozott létre, pontosabban azt írta, hogy az alap konfigban már lennie kell egy bridge-local interface-nek, és azon kell engedélyezni a proxy-arp-ot.
http://wiki.mav-it.hu/mikrotik/mikrotikHát nekem nem volt ilyen interface, és gyanítom, hogy még nem működik jól, továbbá ezek szerint elcsesztem azzal is, hogy azonos alhálózatban hoztam létre, de 3-4 éve, amikor ugyanezt az OpenWRT alatt csináltam, ott sikerült így is, hát gondoltam, majd csak sikerül itt is. De ha nem, nem. Megcsinálom a másik alhálózatot.
Sajnos a Mikrotikhez nagyon nem értek, ehhez az egész konfigurációs környezethez.
Kérnék szépen segítséget, hogy pontosan hogy kell véghezvinnem azt, amit az 1. pontban leírtál.
A 188-as alhálózat jó lesz. Csinálnom kell egy új interfészt ehhez?
Az a doksi vajon mért azonos címtartományban osztja ki a VPN poolt? -
ggg1
aktív tag
válasz
krealon
#3523
üzenetére
Szia!
Közben megtaláltam a válaszod a másik topicban, de jöjjünk csak át ide.
Igen, a bridge-ig már jó ideje eljutottam, és alapból próbáltam ilyet létrehozni, mert a leírás, amivel a VPN szervert csináltam, alapból létrehozott ilyet is. De ezek szerint ezt nem sikerült, ill. nem értettem meg pontosan ennek a konfigurációs lépéseit."De mielott nekvagsz, jo lenne, ha a halozati alapismereteket felfrissitened, nehogy siras legyen a vege."
Jó lenne, ha a magukat sokra tartó szakemberekben volna annyi szakmai alázat, hogy fölényeskedés nélkül is tudjanak másoknak segíteni.
-
bacus
őstag
Én így csinálnám: (de ezt szerintem te nem akarod valamiért)
1. Azt a hálót ahol a szerverek is vannak (központ) be kell állítani egy egyedi ip cím tartományra, amit a sok piacon kapható home router nem használ. pl 192.168.188.x/24. A helyi kliensek maradhatnak a most bevált tartományban, de a szervereket át kell tenni. Ez csak pár gép átkonfigurálása..
A vpn kliensek is a szerver poolból kapjanak ip címet. A megvalósítás a tied, csinálhatod, mikrotikkel két fizikai interfaceel/bridgeel, két switchhel, vagy vlannal smart/managelhető switchel, ami neked tetszik és jó megoldás. A lényeg, hogy itt két alhálózat lesz, közte a mikrotik fog routeolni.2. A kliens telephelyekre is kell tenni egy mikrotiket, majd az legyen a vpn kliens, ami nem is feltétlen pptp-t vpn, lehet sstp, vagy l2tp, ovpn, de csak egy kapcsolat telephelyenként, az ott lévő windows gépeknek nem kell vpn kapcsolatot nyitni, ez leegyszerűsíti a dolgozók életét, stb., és csak a mikrotikeken kell routing szabályokat írni. (ha nem okoz semmi gondot, lehet a mostani megoldás is jó, de azért szerintem sem mindegy, hogy hány vpn kapcsolat van)
3. Az ezeken kívül eső helyeken a win kliensek vpn kapcsolat félépítése után érik el a szervereket, nyilván itt is egy helyről akár többen is megnyithatják a saját vpn-t
Nekem nem okoz örömet, hogy nem tudsz valamit, de olybá tűnik a feladat túlmutat a tudásodon. Szerintem segítőkész voltam eddig is, de ha sértegetni próbálsz, akkor nem szólok hozzá többet.
-
ggg1
aktív tag
Hogy csinálnád?
Most már, hogy mindkettőtöknek meg volt az örömötök azzal, hogy elmondtátok, hogy mennyire nem értek hozzá, és mennyire keverem a fogalmakat, remélem, ezzel kielégültetek, és elmondjátok, hogy konkrétan hogy tudom ezt a legegyszerűbben megoldani tűzfalszabályok meg active directory nélkül.
Ha esetleg még valaki kedvet érezne hozzá, hogy elmondja, hogy nem értek hozzá, csak bátran, de ezt már én is tudom, ezért jöttem ide segítséget kérni.
További jó szórakozást,
és tisztelettel várom az építő javaslatokat. -
bacus
őstag
"
Kérdés: A VPN klienseknek abban az alhálózatban kell lenniük, amilyen maszkot fognak használni?
Tehát ha mondjuk a VPN poolt beállítom 192.168.1.230-192.168.1.245-re, a maszkot pedig 255.255.255.248-ra, akkor ugye 3 bit marad a végén, ezeket az állomásokat fogja látni a VPN távoli hálózatából, az az alatti IP-ket pedig a kliensek helyi hálójában? Ez elvileg egy /29-es alháló. Ez így jó?
A szervereket meg 248-tól fölfelé rakom.
"Lehet én emlékszem rosszul, de a megoldásodhoz neked a VPN maskját kellene tudd állítani, amit szerintem nem tudsz. Ami megoldás lehet, hogy a vpn pool teljesen más alhálózat, pl 192.168.11.x -ből osztogatod a címeket, a mikrotiknek a tűzfalán ezt is engeded oda vissza forwardolni, majd a kliensekhez veszel fel routing szabályt, hogy amennyiben a 192.168.1.246-254 címeket akarja elérni akkor az a vpn felé menjen..
persze ha az nincs megnyitva lesz gond, így aki lokálisan a szerver mellett van, annak ez a routing szabály nem kell.Én biztos nem így csinálnám (nem is így csinálom..)
-
krealon
veterán
"Vagy a kliensek IP-inek is bele kell esni az alhálózatba, tehát ha a kliensek IP-i 248 alatt vannak, akkor nem lesz jó a /29, hanem mondjuk vegyem kicsit nagyobbra: mondjuk /28 vagy /27?"
Kicsit kevered a fogalmakat.
Nyilvanvaloan a helyi halozat es a VPN az ket kulon csatolo a Mikrotiken.Hiaba allitasz azonos IP tartomanyt (alhalozat) rajtuk, amig nem lesznek Layer 2 kapcsolatban (Bridge), nem fogjak latni egymast.
Routing-gal (Layer 3) pedig azaert nem hozhatok ossze, mert megegyezik az alhalozat.Rendesen meg kene tervezni a rendszert (atgondolni, hogy milyen szolgaltatasokat milyen kliensek hogyan tudank elerni) es ennek megfeleloen kialakitani a IP konfigot. Az, hogy IP cimekkel vagdalkozuk, nem visz sehova.
Tekintve a Windows-os klienseket, erdemes lehetne Active Directory alapon dolgozni, igy lehetne a konbozo szolgaltatasokat kulon subnetben kezelni, es tufallal szeparalni.
-
ggg1
aktív tag
Vagy a kliensek IP-inek is bele kell esni az alhálózatba, tehát ha a kliensek IP-i 248 alatt vannak, akkor nem lesz jó a /29, hanem mondjuk vegyem kicsit nagyobbra: mondjuk /28 vagy /27? A klienseket ugye nem kell elérni, azok csak kapják az IP-t. Csak a szervereket kell elérni, ami 248 fölött lesz!
-
ggg1
aktív tag
válasz
bambano
#3519
üzenetére
Szia!
Köszönöm szépen válaszod!
Semmiféle káosz nincs belőle, hogy több kliens egyszerre eléri a VPN-t, most ebben a pillanatban is 6 kollégám van a VPN-en 3 különböző telephelyről, és remekül dolgoznak a központban lévő fájlszerverről, csak épp amíg nyitva van a VPN, addig nem tudnak nyomtatni a helyi hálózati nyomtatóikra. Ennyi a gond. A VPN szuper.
Ha megtalálom azt a doksit, amivel egyszer beállítottam már ezt jól OpenWRT-n úgy, hogy a két azonos címtartomány egyszerre működött, majd bemásolom ide.
-
ggg1
aktív tag
Szia!
Egyszerűsíthető annyiban a dolog, hogy elég, ha a központban lévő szervereket érik el, ahol a Mikrotik van a VPN szerverrel.
Nem, a többi telephelyen nincs Mikrotik, és ráadásul nemcsak a telephelyekről kell tudni elérni a VPN-t, hanem bárhonnan, pl. ha a felhasználók otthon vannak, úgyhogy az nem járható, hogy a routerek közt valami tunnelt vagy bridge-et építenénk ki - ha erre gondoltál.
Most akkor ideiglenesen megpróbálom megoldani az alhálózatokra való bontással, amíg utánanézek, hogy mit csináltam anno a proxy-arp-vel, és hogy oldottam ezt meg az OpenWrt alatt, mert hogy ment, az biztos az említett címtartományok átmappelésével. Egyébként annyira nem lehetetlen a dolog, hogy a DD-WRT pl. alapból így működik. Ott két kattintás a menüben a PPTP VPN, és alapból működik a helyi és a távoli háló is, akkor is, ha ugyanabban az alhálóban vannak, de ugye a DD-WRT-t alapból hülyéknek csinálják, így ott nem kell ennyire érteni a Linux firewallhoz, csak úgy működik. :-)
Igen, tökéletesen értem, amit mondasz, hogy a Windows egyszerre csak az egyik interfészt kezeli, és eddig is értettem, hogy emiatt nem megy egyszerre a két LAN, csak éppen megoldható, hogy a két címtartományt úgy mappeljük egymásra, hogy a helyi címek is működjenek, meg a távoli hálózaton is. És ez még akkor is megy, ha IP cím ütközés volna. Olyankor a routing szabálynak megfelelően a helyi IP-n lévő eszköz fog látszani, és a távoli hálóban lévő eszköz meg nem.
No, ha ehhez a részhez nem ért senki, nem gond, majd megint utánaolvasok. Most meg jó lesz alhálózatokkal.
A központi szervereknek elég 8 IP cím, úgyhogy úgy döntöttem, az utolsó 8 IP címre átteszem a szervereket, és akkor csak annyi a feladat, hogy ezeket kell elérni mindenhonnan.
Kérdés: A VPN klienseknek abban az alhálózatban kell lenniük, amilyen maszkot fognak használni?
Tehát ha mondjuk a VPN poolt beállítom 192.168.1.230-192.168.1.245-re, a maszkot pedig 255.255.255.248-ra, akkor ugye 3 bit marad a végén, ezeket az állomásokat fogja látni a VPN távoli hálózatából, az az alatti IP-ket pedig a kliensek helyi hálójában? Ez elvileg egy /29-es alháló. Ez így jó?
A szervereket meg 248-tól fölfelé rakom.Azt hogy állítom be, hogy a klienseken lévő interfészek ezt a maszkot kapják meg a VPN szervertől? Vagy ehhez valamit a DHCP szerverben kell csinálni?
-
bambano
titán
kezdjük már elölről:
tehát van egy központod meg egy telephelyed. a telephelyen van több windows kliens, azokon van a pptp kliens, amik be akarnak lépni a központi telephelyen a pptp szerverbe?
mer az ugye megvan, hogyha több kliens akarja egyidőben a telephelyi hálózatot összekötni a központival, abból orbitális káosz lesz?
ha a telephelynek van saját lanja, akkor a telephelyre ki kell tenni pontosan egy darab routert, ami pptp kliensként bemennek a központ szerverére.
a proxy arpra szerintem nem hat az openwrt routing tűzfala, merthogy a proxy arp nem ip protokoll.
-
bacus
őstag
Nem biztos, hogy érted ezeket az alhálózatokat...
" 255.255.0.0, és akkor az egyik háló 255.255.1.x, a másik meg 255.255.2.x, jól gondolom?"
A 255.255.0.0 egy mask, de ez egy /16 -os mask, neked nem bőviteni kell, hanem szűkiteni.Amiért nem működik: Amikor nincs vpn a kliensen, akkor 1 db ip cím, egy alhálózat, egyértelmű. hogy amikor meg akarja szólítani a 192.168.1.50-es ip cimet, akkor azon az interfacen keresztül kell kiküldeni a csomagot, de amint beindítod a vpn-t, két cím van, ugyanarra az alhálózatra. Ezt nem lehet jól kezelni, ezért a vpn -es interfacen keresztül szólitja meg ezt az alhálózatot, ami innét már nem lokál, sőt nem is éri el a lokális dolgokat.
(a windows ezen felül csak egy darab átjárót kezel, így még megannyi dolgot nem lehet egy windowsal és több interface-el csinálni)jó lenne ha utána olvasnál és megértenéd, hogy mi is az az ip cim, alhálózati mask, ilyenkor milyen cimeket lehet elérni átjáró nélkül, stb. Ha megérted a problémát, akkor rá fogsz jönni a megoldásra, hogy mit kell tegyél.
Amit irtam, hogy nem kell átkonfigurálni, az nem jelenti azt, hogy két mp alatt megoldható, és semmit nem kell konfigolni.
Alapvető kérdés, hogy mindenhol mikrotik routerek vannak? Mert ha igen, akkor a vpn-t nem kliensenként kell megoldani, hanem a routereket kell összekötni és oda kell pár routing szabály, természetesen az ilyen szervereknek mindenhová nézve egyedi ip cim kell, pl nem lehet a 4 telephelyen is csak egy darab 192.168.1.50 ip cím, ha azt bármelyik telephelyen el kell tudd érni.
De hosszú távra ez a fajta beállítás azért mindenképpen tud meglepetést és szívást tartogatni, és persze nyilván való az előny is, ha mindenhol van egy hp 4000 nyomtató, minden telephelyen azonos ip címmel és erre nyomtat, akkor mindegy hol van, mindig a helyire megy ki a papír.., de azért nem kell a felhasználókat ennyire bénának nézni, válassza már ki, hogy hol van, és tudja, hova akar nyomtatni... -
ggg1
aktív tag
Arra egyébként nincs szükség, hogy az a címtartomány, amit a VPN-be lépett gépek kapnak, az egy alhálózatba essen akármelyik fizikai hálózattal is, tehát a VPN IP címek lehetnek egy teljesen új tartomány.
És akkor ebbe a tartományba valahogy bele kéne irányítani azt a szervert, amit a távoli kliensek látni akarnak. De ez is valami routing szabály, nem?*
Most, ahogy így gondolkozok rajta, egyik címtartományt MAP-eltem a másikra.
De vajon hogy lehet ezt a Mikrotik-ben? -
ggg1
aktív tag
elírás javítva:
Igen, teljesen jól érted, a VPN-be belépő távoli kliens gépek helyi alhálózata és a VPN helyi alhálózata ugyanaz, ahogy írod, és miután a távoli kliens gépEK belépnek a VPN-be, utána a saját helyi hálózatukban nem látnak semmit. Viszont a teljes távoli hálózatot meg igen, ahol a VPN van. És arra volna szükség, hogy ne a VPN távoli hálózatát lássák, hanem a sajátjukat.
-
ggg1
aktív tag
Szia!
Nagyon köszönöm a válaszod!
Igen, teljesen jól érted, a VPN-be belépő távoli kliens gépek helyi alhálózata és a VPN helyi alhálózata ugyanaz, ahogy írod, és miután a távoli kliens gépbe belépnek, utána a saját helyi hálózatukban nem látnak semmit.
Igen, erre én is gondoltam, hogy a két hálózatot 2 külön alhálózatba kéne osztani, lehet, még úgy is működne, amellett, amit írtál, hogy mindkét helyen 255.255.0.0, és akkor az egyik háló 255.255.1.x, a másik meg 255.255.2.x, jól gondolom?
De sajnos mindkét telephelyen sok kliens gép van, és a gond leginkább a hálózati nyomtatók, amiket helyben nem érnek el a kliensek, amikor a VPN-be csatlakoznak. Ahhoz, hogy minden ilyen alhálózati beállítást minden eszközön megváltoztassak, eég nagy meló volna, ráadásul nem is csak 2 telephelyről van szó, csak leegyszerűsítettem a problémát. A legnagyobb gond, hogy a felhasználók mozognak a laptopjaikkal, és a laptopok tartalmazzák a hálózati nyomtatók IP eléréseit ugye. Minden telephelyen használják ugyanazokat a típusú nyomtatókat ugyanazon IP címen. Így volt a legegyszerűbb megoldani.
Tehát van mondjuk 30 ember, akik mozognak 4 telephely között a laptopokkal, és ahol vannak, ott nyomtatni akarnak az éppen helyben lévő hálózati nyomtatóra. Ez eddig ment, csak most VPN-en az éppen nem helyben lévő szervert is el akarják érni.Egyébként, amit írtam, a proxy-arp-t az OpenWrt online dok-ban olvastam, és volt még hozzá fél oldalnyi linuxos tűzfal-szabály is, ilyen IN meg OUT dolgok, amiket nem értettem teljesen, de beírtam az OpenWrt custom routing/firewall fájlba, és utána megoldotta ezt, tehát összekapcsolta valahogy a helyi és a távoli hálózatot, mikor élt a VPN kapcs, úgy, hogy mindkettő ugyanaz az alhálózat volt, és a kliensek elérték a helyi és a távoli IP címeket is. Sajnos ezt most nem tudom megcsinálni.
De amit írtál a végén, hogy ha csak egy távoli szervert akarnak elérni a kliensek, ami a VPN helyi hálózatában van, és ehhez nem kéne maszkokat módosítani, ez alatt mire gondoltál? A vpn poolt tudom módosítani. Akkor ezt hogy kéne megoldani?
Tehát nekem az ideális az volna, hogyha a kliens gépek mindent a saját helyi hálójukban látnának, a VPN távoli hálózatából pedig csak 1 vagy 2 IP címet érnének el, mikor belépnek a VPN-be.
-
bacus
őstag
ezt 2x kellett elolvassam, hogy (talán) megértsem (így vasárnap reggel...)
Szóval a baj a távoli gépekkel van, mert ott is ugyanaz az alhálózat mint a szervernél? Azaz mindkét alhálózat 192.168.1.0/24
A távoli gépnek ezek szerint ott van egy ip címe, mondjuk 192.168.1.100, majd a vpn megnyitásakor 192.168.1.250-t is megkapja? Jól értem? Ezek után a távoli gép lokális hálózatában lévő szervert ami 192.168.1.50 már nem éri el a távoli gép, ugye?
Ha ezt jól értem, akkor ezt a /24-es hálózati maszk használatával nem igen fogod tudni jól megoldani, vagy egyáltalán nem fogod tudni megoldani, ha az ip címek "össze vissza" vannak, azaz 192.168.1.49 az a vpn szervernél van, míg a 192.168.1.50 meg a kliens mellett. Ha tartományokra lehet bontani, akkor használni kell a /25 v. /26 -os maszkokat és menni fog. Azaz "A" telephely /26 háló 1-62 ip cimek, "B" telephely /26 háló 65-126 ip címek
A jó hír, hogy ha csak egy szervert kell elérni a vpn kliensnek, akkor talán megúszható az alhálózat megváltoztatása valamelyik (vagy mindkét) helyen, azaz a /24 hálót használva is megoldható a dolog, de a vpn pool-t akkor is át kell írni.
schawo Nem ismerem az iskolák költségvetését, viszont nem is akarom megismerni.
-
ggg1
aktív tag
Sziasztok!
Segítséget szeretnék kérni vpn beállítással kapcsolatban.
Van egy pptp vpn szerver egy mikrotik routeren, ahová Windows kliensek jelentkeznek be, és a két hálózatnak, a vpn hálózatának, és a kliens gépek hálózatának azonos az IP cím tartománya, de IP ütközés nincs. A vpn-be lépett vendég gépek 192.168.1.240-254-ig kapnak címet, a helyi gépek ennél alacsonyabb tartományban vannak, és az a baj, hogyha a távoli gépek blépnek a vpn-be, akkor csak a távoli hálózat IP címeit látják, és a saját helyi hálózatukat nem. Tehát, ha van a helyi hálózatukban is egy szerver, vagy egy nyomtató, mondjuk 192.168.1.50, akkor azt már nem látják.Ilyet egyszer már sikerült megoldanom openwrt alatt, és azt hiszem, proxy-arp kellett hozzá, de már nem emlékszem rá, hogy pontosan mit csináltam, és most a Mikrotik alatt nem sikerül. Vagy kell valamit csinálni a kienseken is? A kliensek vpn kapcsolatában ki van kapcsolva, hogy ne használja a távoli átjárót, az rendben van, tehát a net a helyi hálózatról megy (wifi). A távoli vpn hálózatban csak egy szervert kell elérnie a klienseknek.
Kérem szépen ebben a segítséget. Előre is köszönöm!
-
#3511
bacus
őstag
bakonyip95
#3510
bacus
őstag
válasz
bakonyip95
#3510
üzenetére
zwod már 5 nappal a kérdésed feltevése előtt megválaszolta
Minden tiszteletem a tied, én a vakbélműtétért nem akarok fizetni egy fillért se, ezért most egy kicsit anyósomon gyakorolok, hogy majd el tudjam végezni a gyerekeimen is szükség esetén.
-
#3510
bakonyip95
tag
bacus
#3509
bakonyip95
tag
A hap elméletileg kap, mert bármely portjára kötök egy gépet, akkor azon van net, ap-nak is kapnia kell, ha jól gondolom, mivel akkor nem látna a hap az ap-t.
Vagy rosszul gondolom?
Az ap is ment, "sima" ap módban, csak miután a capsmannel kezdtem vezérelni onnantól fogva szünt meg létezni a net rajta.
Valami ötlet, amit meg tudnék nézni?
Nem vagyok túl jártas a Mikrotik eszközökben, viszont szeretném megoldani az iskola wifi ellátását, súlyos tíz ezrek nélkül, amiből felfogadnánk valakit, aki megcsinálja 2 perc alatt.
-
bacus
őstag
válasz
Boborján
#3505
üzenetére
Ha nem értettél semmi, akkor jobb ha annyiban is hagyod. Nem kell vele foglalkozni.
A net sok mindentől akadozhat, ha te (vagy akárki) bármit is ki tudnál deriteni egy tp-link webes felületéről a valódi okról, akkor dobnám el a fenébe az összes mikrotik routerem és állnék át a jól bevált megbízható tp-linkekre
ablakos: szerintem nem, sőt.. , de kipróbálod és ha megy nélküle akkor nem kell
(a bridgnek viszont proxy-arp beállítás kellhet) -
#3506
user12
őstag
bakonyip95
#3504
user12
őstag
válasz
bakonyip95
#3504
üzenetére
A hap nem kap IP-t vagy az ap?
-
#3504
bakonyip95
tag
bakonyip95
tag
Migérkeztek az RBwAP2nD ap-k és a Hap ac lite. Neki is estem a következő leírás szerint egyenlőre egy ap-val kipróbálni és ismerkedni a rendszerrel:
http://loloke.hu/seamless-roaming-megvalositasa-mikrotik-kornyezetben/Viszont sajnos nincs net a konfigurálás után wifin. Látszólag jól állítottam be, látja a capsman az ap-t, de ip-t nem kap, dhcp osztást kikapcsoltam a hap-on, mivel azt a cicsco routerunk végzi!
A hap ac csatlakozik egy swich-re és ugyan erre a switch csatlakozik az ap- is!
Mi lehet a probléma? Mit mutassak, hogy többet tudjatok segíteni?
Előre is köszi!
Én az eth interfészt tettem a bridge-be, amin a router-AP kapcsolat van és erre toltam a dhcp servert. Holnap letesztelem.
ireless_Debug_Logs
CRS125 és groove-n is normálisan ott maradnak a mentések(hiszen azért vannak)
Új hozzászólás Aktív témák
Hirdetés
ekkold- Megjött Magyarországra a legnagyobb akkuval szerelt Redmi
- Google Pixel topik
- Gamescom 2025 - Az összes bejelentés egy helyen
- Battlefield 6
- Motoros topic
- Luck Dragon: Asszociációs játék. :)
- Kerékpárosok, bringások ide!
- Okosóra és okoskiegészítő topik
- Apple iPad 11” (A16, 2025) - a táblagépek vanília fagylaltja
- exHWSW - Értünk mindenhez IS
- További aktív témák...
- PS 5 kontroller // Számla // Garancia //
- Apple iPhone Xs Max 64GB, Kártyafüggetlen, 1 Év Garanciával
- Bomba ár! Dell Latitude E5450 - i7-5GEN I 8GB I 256SSD I 14" FHD Touch I HDMI I Cam I W10 I Gari!
- HIBÁTLAN iPhone SE 2022 128GB Midnight -1 ÉV GARANCIA - Kártyafüggetlen, MS2984
- Önerő nélkül is. Részletfizetés .Bankmentes. Lenovo Legion 5 Gamer Laptop
Állásajánlatok
Cég: FOTC
Város: Budapest