Jelenleg így van beállítva, de továbbra is a digin megy, ez a szabály van a legfelül a listában a nat fülön oszlopban
chain=srcnat action=masquerade src-address=192.168.1.36
dst-address=0.0.0.0 out-interface=Telekom log=no log-prefix=""

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

ez szükséges, de nem elégséges a működéshez.

Ahhoz, hogy működjön, minden befele jövő csomagot meg kell jelölni, hogy honnan jön, hogy alapból azon az úton menjen ki, ahonnan befele jött. (ez igazából a későbbi szívás elkerülése miatt kell, mert be akarsz majd dnatolni egy rdp-t és nem érted majd miért nem megy)

Ha ez megvan, akkor a kifele tartó csomagokat is meg kell jelölni (ami még jelöletlen), hogy merre szeretnéd, hogy kimenjen.

Utána kellenek azok a firewall szabályok, hogy merre nem mehet ki valami, pl a levél szerver semmiképp nem mehet csak egyfelé, mert rögtön felkerülsz a spammelő listára. (már ha van ilyen szolgáltatás)

Legvégül pedig kellenek a routing táblába is szabályok, alacsonyabb distance-re a megjelölt csomagokat, hogy melyik átjárón menjen kifele, majd utána kellenek a failover szabályok miatt, magasabb distancel a másik átjárók, legvégül pedig a legmagasabb distancel a preferált majd a még magasabbal a failover gateway.

Ha nem érthető, akkor komplett scripteket tudsz kiguglizni, de ha így sem megy, és meguntad, akkor némi támogatásért cserébe átnézem ill. kijavítom a beállításaid.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

"Ahhoz, hogy működjön, minden befele jövő csomagot meg kell jelölni, hogy honnan jön, hogy alapból azon az úton menjen ki, ahonnan befele jött.": ezen az állításon dolgoznod kellene még, mert az a csomag, ami egyszer bejött, soha többet nem megy ki. a rá adott válasz mehet ki, de az egy másik csomag, ergo ezt hiába jelölgeted.

"Ha nem érthető, akkor komplett scripteket tudsz kiguglizni": az összes kérdésére megvolt a válasz a mikrotik wikiben...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ez alapján meg tudtam csinálni.

Ha jól értem erre gondoltál.

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Hello,

Na most kellöképpen felbosszantott a Mikrotik...

Tegnap este kihagyhatott a Digi, erre bementem a quick set be, és nyomtam a PPPOE kapcsolatra egy reconectet.

Azóta nem oszt ip címet, nem megy a lan, nem megy semmi,
A Winboxal elérem, látszólag minden rendben a router kap ip címet, mind a 2 szolgáltatótól.
a kábelt érzékeli a ether 3 ason is (átnevezve LAN ra)
tűzfal szabályok beállítva, de hát ip címet sem kap... és amig az nincs tökmindegy, hogy a tűzfalszabályban mi van.

Nem értem .....

Mint ahogy azt sem, hogy csináltam a router configról egy backupot, amit lementett a saját tárolójára, és ma reggel nem volt ott, reggel ránéztem megint.

Mi lehet a gond ?

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

A backup engem is szivatott. A CRS125 -ön simán készítek backupot és ott van. A wAP-on (újabb eszköz vagy más routerboard) van egy folder struktúra. Ha flash alá mentek, vagy oda húzom, akkor megmarad, ha gyökérben hagyom, akkor reboot után elveszik a tartalom.

Ezzel már én is találkoztam. Hívtak, hogy nem megy a hotspot.... Újraindítás után a /hotspot mappát simán kitörölte. A /flash/hotspot-ot nem. Maradt így...

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

Sziasztok!

Irodai hálózat kialakítása előtt állok és MikroTik eszközöket gondoltam hadba fogni.

Milyen Routert + switch-et, esetleg Layer 3-as Switch-et javasoltok az alábbi felálláshoz:

Adott egy kis cég, 15 alkalmazottal 3 emeleten elosztva. A földszinten van egy rack szekrény, minden oda futna be. Aljzatok kiépítve, patch panelben végeztetve.
Egy 24 portos switch-et tervezek venni, amit ugye használna a max. 15 alkalmazott, egy szerver gép (Sima álló tornyos, egy, max. 2 hálókártyával.), 2 nyomtató és 3 Ubiquiti Unify AP, egy TV + egy port ugye a routerből. Így meg is telne gyorsan, bár fix helye max. 10 embernek lenne, a többi wifi-n keresztül kapcsolódna.
Az AP-k ugye PoE-sak, de úgy gondolom, hogy azt 1-1 PoE adapterrel meg tudom oldani, nem muszáj tudnia az eszközöknek.

Ami még fontos, hogy a routernak egy folyamatos VPN kapcsolatot kellene létesítenie egy szerverrel (ami egy hoszting cégnél fut), amin virtuális szerverek vannak (file server, stb).

Az internet pedig egy UPC Business 500-as csomag lesz.

Köszönöm!
Üdv.

[ Szerkesztve ]

Sziasztok!

Egy RB951G-2HnD egyszerűen csak eltűnt a hálózatról. Sem wifi része nem működik sem az eszköz nem elérhető.
Rendesen bekapcsolható, elindul, csippan, ledek világítanak, de nem elérhető a router.
Próbáltam resetleni a hátán, az alján, illetve ezt is megpróbáltam:
[link]
de a router nem elérhető gépről.

Van valami módja, trükkje az újra flash-elésnek? Esetleg USB-ről tudja magát reflash-elni?

Köszi előre is.

az ubiquity unify ap nem mikrotik eszköz.
a kötözködés csak látszat, ha a cucc fele mikrotik, fele ubnt, akkor nem fogod tudni használni egyik menedzsment platformot se.

a magam részéről felhőbe mentős kémkedős unifi-t soha.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Erről a kémkedésről még nem is hallottam még.A management dolognak pedig utána olvasok. A management platformnak az a lényege, hogy egyszerűen lehessen configolni egy lépésben az összes AP-t, vagy van egyéb más előnye is?
2-3 db még nem olyan vészes szám, egyesével sem, sztem.

Akkor most az AP-któl eltekintve.. Mondjuk egy MikroTik hEX megfelelhet nekem a feladatra?
Illetve milyen switch a javasolt?

Ahhoz, hogy működjön, minden befele jövő csomagot meg kell jelölni, hogy honnan jön, hogy alapból azon az úton menjen ki a válasz, ahonnan a kérés befele jött.

Ez csak javítás egy bamba nő miatt, akitől természetesen nem tudom a helyesbítés igényét zokon venni, mert egyébként nagyra tartom.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

A megjelöléssel pontosan mit is érsz el? szigorúan a befelé jövő csomagokról van szó.

Ha egy olyan folyamatról van szó, amit a natolt belső hálón levő gép kezdeményez, akkor az összes csomag, ami befelé jön, az az első kimenő csomag hatására bejegyzett pat tábla bejegyzés alapján jön vissza.

Ha pedig egy olyan kapcsolatról, ami kívülről indult, akkor az meg statikus nat bejegyzés alapján talál oda a belső géphez, így ott is meglesz a pat bejegyzés.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Mi a különbség a
chain=forward action=accept in-interface=Lan log=no log-prefix=""

chain=input action=accept in-interface=Lan log=no log-prefix=""

Között ?

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Szia!

Netinstall-al próbálkozz. Mikrotik oldalról letölthető.

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

Hát mondjuk az sztem logikus is, mert a “gyökérkönyvtár” az maga a rendszer. A /flash/ a mountolt drive...

[ Szerkesztve ]

Sziasztok
Kb 1 hónapja vettem egy RB3011-es routert minden be van állítva jól működik,csak az IGMP csomagokkal van egy kis gondom,hogy teleszemeteli a hálózatomat.Jelzem kezdő vagyok a konfigurálásban.bambano a múltkor próbált segíteni de nem jöttem rá,hogyan és milyen firewall szabályokat kellene létrehoznom,hogy jól működjön.A bridge filtert is próbáltam beállítani (látszólag működik de mégsem szűri a csomagokat).Teszek még itt egy próbát,felrakom a konfigot ide hátha valaki tud segíteni.
ether1 (WAN)
bridge (Lan)
ether2 master=eth3,eth4,eth5 (slave)
ether6 master=eth7,eth10 (slave)
eth8-eth9 (bonding) a nas miatt
Szeretném megoldani,hogy az IPTV (igmp csomagok) csak a 192.168.1.20,192.168.1.21 es IP címre menjenek ki (fixen be van állítva IPTV STB)?
Itt egy kép a belső hálózatról:

Azt szeretném ha csak a zöld vonal mentén menne az igmp (IPTV címtartomány:224.0.0.0-239.255.255.254).
Köszönöm előre is ha valaki beszúr ide,vagy egy bridge filtert,vagy firewall szabályt,amitől jól működik és a többi ip-címet nem szemeteli össze.

Nem az első esetben látom ezt a bonding interfészt. Röviden, tömören, ez miről is szól?

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

Szia
Nálam erről.A dinamikus Link Aggregation-ról.

a switch tudja az igmpt kezelni ami a képen látható helyeken van? annak se elég a sima ha igmp forgalom megy rajta.[link] sztem jobban járnál, ha a tévékhez húznál még egy madzagot a telekomos hgwből.... Vagy ha alég 100mbit akkor a kábel is ketté tudod osztani... azt megy az egyik fele az stb be, a másik fele a switchbe!

[ Szerkesztve ]

Szia
Köszi minden kábel a falban van úgyhogy kábelt nem tudok húzni másikat és nem is szeretném kettéosztani az utp kábelt bár a 100Mbit elég lenne.Tp link switch nem menedzselhető de az igmp csomagok át mennek rajta.Megvárjam a 6.41 firmwar-et abban lesz állítólag igmp snooping?Mikor fel lett újítva a lakás akkor még nem gondoltam,hogy nekem lesz valaha IPTV-m.Mondjuk ha itt lenne egy normális kábeltv szolgáltató az IPTV boxok repülnének vissza a telekomhoz.

Erre speciel van egy ötletem: a bridge interfészedre felhúzol még egy IP tartományt, mondjuk 192.168.2.0/24, pool sem kell rá meg semmi, a TV-ket le static IP-zed, és a tűzfalon így kötöd ki, hogy csak a 2.0/24 vagy a 2.20 és 2.21 felé mehessen el az adat.

Update: Rájöttem, hogy ez semmivel sem jobb, mint ha a jelenlegin, két címre korlátozod a dolgot.

[ Szerkesztve ]

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

az igmp az a multicast címtartományokba való belépés menedzseléséről szól
tehát hiába tesz másik címtartományt a tv-re, a forgalom menni fog.

az eredeti problémához: érdemes lenne igmp képes switchet rakni mindenhova, ahol kell igmp.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Szia
Megy az igmp (IPTV működik),csak nem medzselhetőek a switch-ek.Úgy gondolod ha vennék menedzselhető switch-eket a két szobába akkor úgy megoldható lenne (persze ami igmp képes)?csusza javaslatát már próbáltam tényleg igazad van ugyanúgy szemetel.

[ Szerkesztve ]

linkeltem a switchet, nem managelhető kell, hanem igmp képes.... hogy csak oda továbbítsa a csomagokat ahol szükség van rá....

Felturtam a szekrényt és találtam itthon egy ilyet kipróbálom.

ugyan úgy szemetel.IPTV tökéletesen működik,az igmp snooping beállítva.És mégis tolja a csomagokat másfele is.Valami tűzfal,vagy bridge filter szabály kell,hogy ne szórja össze vissza a csomagokat,csak a megadott IP címekre.Ha nem lesz megoldás lejár a hűségem és visszamondom az IPTV-t,bridge-be tetetem a kábelmodemet.Hacsak nem jön erre a Digi mert akkor egy életre elfelejtem a telekomot.

a mikrotikes kotta szerint a 3011 nem tud hw igmp snoopingot, ez lehet a problémád kiinduló oka.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Á értem.Akkor kár kínlódnom vele.Ha a 6.41 es sw-be benne van az igmp snooping az megoldás lehet,vagy ez így felejtős?A szoftver kevés hozzá?

[link] a hardver nem tudja, ezért szoftveresen kell csinálnia, de attól meg lassú lesz.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Köszi.Akkor majd megnézem,meg azt is mennyire lesz lassú,hogy az bele fér e nekem vagy inkább hagyjam.Még 10 hónapot kell kibírnom IPTV-ve az asszonyt már sikerült rábeszélni hogy nem kell az nekünk,inkább vissza a Kalásznet (kábeltv csak).
Köszi.Ezer hála.

Három alaprételmezett chain létezik:
•input (a routerhez bemenő forgalom)
•output (a routertől kimenő forgalom)
•forward (a routeren átmenő forgalom)

Mikrotik-Hu | -unofficial- | https://www.facebook.com/groups/mikrotikhu/

hogy egyértelműsítsük, ha valakinek véletlenül nem lenne az:
•input (a routerhez bemenő forgalom): olyan forgalom, aminek a végpontja a router
•output (a routertől kimenő forgalom): olyan forgalom, aminek a kiinduló pontja a router.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#3933) bambano, (#3932) feel2006

Ezek fontos információk

Nálam most így van beállítva a IP firewall filters rész :

Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept in-interface=Lan log=no log-prefix=""

1 chain=input action=accept connection-state=established log=no log-prefix=""

2 chain=input action=accept connection-state=related log=no log-prefix=""

3 chain=input action=drop log=no log-prefix=""

Ez rendben van ?
Mit lehetne még a biztonság miatt beállítani ?

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Sziasztok
Úgy néz ki a 198.168.1.10-es (nas) IP-ről sikerült letiltanom az igmp csomagokat.De ez még csak teszt,ha működik akkor a többi Ip-re is csinálok firewallt aztán meglátjuk mennyit lassul a rendszer.

Lehet, hogy már kérdeztem régebben, de azóta mindig felmerül a kérdés.

NAT-olásnál be van kapcsolva a logging. Namármost, elég kellemetlen, hogy pl. DVR belépésnél emailt küldetek a Tik-kel, és jön vagy 30 email, amíg a kamerákat nézegetik. Nem lehetne, hogy csak pár mailt küldjön, ne ömlessze tele a fiókomat?

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

Hát ha valóban csak ennyi van még lehetne pár dolgot belőni.

Én pl. droppolom és figyelem a
- DDoS támadásokat és dobom el
- Bogon-ként megjelölt IP címek kapcsolódását is droppolom (lényegében Ásia és Afrika és Dél Amerika IP címei, mert meguntam a próbálkozásaikat, igaz az address list 9500 bejegyzés /8-as tartománytól kisebbekig).
- az internet felől érkező TCP/UDP DNS kéréseket is eldobom (meguntam a túlterheléseket az ADSL kapcsolataimnál)
- az FTP brute force-okat
- az invalid státuszú csomagokat

és még pár apróságot amit "zavart".

De biztos vannak itt többen akik otthoni megoldásnál tovább finomították a tűzfalukat. Ami engem is érdekelne mit lehet még beállítani.

Mikrotik-Hu | -unofficial- | https://www.facebook.com/groups/mikrotikhu/

Igen, valóban ennyi van benne jelenleg, ill, még kiegészítettem azt hiszem azzal, hogy smtp ne lehessen küldeni, hisz senki nem használja .

És hogyan kell ezeket beállítani ?
DDOS , Bogon , FTP Brute force ezek mit takarnak ?

Tudsz egy oldalt , ahol ez le van írva ?

[ Szerkesztve ]

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Hobbi felhasználóként én ezeket is beteszem:
Port szkennelőket listába gyűjtöm és kitiltom egy időre (mondjuk örökre).
Esetleg 22-es port hasonlóan kezelhető. Elég sűrün nézegetik.
Ping flood ellen két echo requestre adok választ 2 percenként.

[ Szerkesztve ]

Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept in-interface=Lan log=no log-prefix=""

1 chain=input action=accept connection-state=established,related log=no log-prefix=""

2 chain=input action=drop log=no log-prefix="FW"

3 chain=input action=drop protocol=tcp src-port="" dst-port=53 log=no log-prefix=""

4 chain=forward action=drop connection-state=invalid log=yes log-prefix="for in"

5 chain=forward action=drop protocol=tcp in-interface=Lan dst-port=25 log=no log-prefix=""

Jól értelmezem -e ? :
Ha a 2 esban eldobok mindent ami nem illett rá a 0 és 1 esre, akkor nem szükséges külön a DNS re irányuló iltás ugye ? ami most a 3 asban van

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Hasonlóan működik, mint a linux iptables. Mivel a 2-es szabályban feltétel nélkül drop volt minden (input) csomagra, nincs mit tovább szűrögetni. Azt nem tudom, hogy "csak" felesleges, vagy feleslegesen erőforrás pazarló is a 3-as feltétel.
Arra kell vigyázni, hogy megengedő a tüzfal, tehát ha valamellik csomag nem esik bele egyik szabály feltételbe sem, akkor az bent van a hálózatban.

[ Szerkesztve ]

Szia,
Kb 1 évvel ezelőtt volt hasonló problémám. Az IGMP protokoll alapú kezelése nem bizonyult életképes megoldásnak, inkább külön VLAN-ra tereltem az IPTV box forgalmát.
https://prohardver.hu/tema/mikrotik_routert_hasznal_valaki/hsz_2591-2591.html

Szia
Érdekelne a megoldásod.Kezdő vagyok még,Vlant nem állítottam be soha ha leírnád privátba,részletesen,hogy te hogy csináltad azt nagyon megköszönném.Csináltam egy pár ip firewall filtert úgy néz ki tegnap óta működik és csak oda dobja az igmp csomagokat ahol az IPTV STB-k vannak.Viszont az IGMP proxy MFC ben még mindíg látom az ip címeket ahol nem kellene.
Dobok egy képet.

Ha a switchek tudnak VLAN-t, csak akkor lesz szerintem életképes megoldás.

[ Szerkesztve ]

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

Jó pofa dolog mindenre tűzfal szabályt írni külön, külön, de minek? Mindent tilos, amit nem szabad, és kész. Szerintem

Röviden, a HGW a 192.168.0.1, DMZ-nek beállítva 192.168.0.2, dupla nat. A HGW egyik portja bekötve a 2011UiAS-2HnD ether1 if-re, ami normál módon natolva van a default vlan-on. Ez eddig teljesen átlagos konfig.

Az extra, hogy a HGW másik portja rá van kötve az ether2 if-re, ami switch-elve van a 100-as vlan-ra.
A switch1 konfig igy néz ki:
port print
# NAME SWITCH VLAN-MODE VLAN-HEADER DEFAULT-VLAN-ID
1 ether1 switch1 disabled leave-as-is auto
2 ether2 switch1 secure always-strip 100
3 ether3-master switch1 secure always-strip 1
4 ether4 switch1 secure always-strip 1
5 ether5 switch1 secure add-if-missing 1
11 switch1-cpu switch1 secure always-strip 1

vlan print
# SWITCH VLAN-ID PORTS
0 switch1 100 ether5 ether2
1 switch1 1 ether3-master ether4 ether5 switch1-cpu

Látszik, hogy az ether5 trunk módban van, az 1-es def. vlan-on megy rajt a normál nat-olt ip forgalom, a 100-on pedig a switch-elt forgalom. Az ether5 másik végén egy cisco switch van, ahol az IPTV box portjára a 100-as vlan van kiengedve, a többire pedig a default vlan.
Ezen a módon az IPTV forgalma teljesen el van különítve a hálózat többi forgalmától. Persze ehhez egy managelhető switch is kell, esetemben egy Cisco SLM2008.

[ Szerkesztve ]

Szia
Köszi szépen átnézem,értelmezem meg beszerzek még egy menedzselhető switchet mert egy már van és 2db IPTV boxom van.Ezer köszönet és hála!

Szia
"az igmp által kiadott ip címeket kell tűzfalazni"
Úgy néz ki ez a megoldás az igmp csomagokra.2 napja megy és úgy néz ki nem szemetel össze vissza.Igaz el telt egy hónap mire rájöttem,hogyan kell csinálni. Ezer köszönet és hála neked is.

dikk má'...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Like

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!