- D1Rect: Nagy "hülyétkapokazapróktól" topik
- sziku69: Szólánc.
- Luck Dragon: Asszociációs játék. :)
- sziku69: Fűzzük össze a szavakat :)
- bitpork: Augusztus 2- szombat jelen állás szerint.
- zebra_hun: Hűthető e kulturáltan a Raptor Lake léghűtővel a kánikulában?
- eBay-es kütyük kis pénzért
- Geri Bátyó: B550 szűk keresztmetszet, de mi és miért?
- Yutani: Yutani Retró Hangkártyái: AdMOS AdWave 32
- user2: Kia Ceed Gold 160 1.5 T-GDI MY2024
-
LOGOUT
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
djmorphy
tag
Sziasztok!
Tudnátok abban segíteni, hogy mi a különbség a MIKROTIK RB951G-2HnD és az MIKROTIK RB951Ui-2HnD
között?Tervezek venni egy ilyen routert vendég-routernek a céghez de nem tudok rájönni mi a különbség a kettő között? Vagy csak Licence Level különbség van hardveresen ugyan az?
Melyiket ajánlanátok egy kis céges tárgyalóba? Annyit akarok csak vele ha vendéget fogadunk akkor ne a belső hálón lógjanak.
-
mcll
senior tag
-
#3994
nyilasmisi
tag
nyilasmisi
tag
Sziasztok!
Egy olyan kérdésem lenne, hogy Digi+ipv6 esetén az miért van hogy 7naponta amikor lejár a prefix-nek a timere, és újat kapok akkor a prefix szépen megújjul az ipv6 dhcp kliensnél, de LAN oldalon a bridge-localon (és az eszközökön) sem megy ez végbe (marad a régi)?
Már mindent kipróbáltam de nem jöttem rá.
Minden alkalommal amikor új prefix-et kapok, akkor manuálisan ki kell törölni a pppout1-digi interface-en a címet, és a dhcpv6 kliensen pedig egy release-et nyomni am új prefix-et kér! És minden tökéletesen megy 1 hétig.Nektek ez rendesen megy?
-
csusza`
senior tag
Szerintem egyszerűbb, ha írsz egy firewall filter rule-t, ami a net fele menő interfészen eldroppolja a csomagokat, az Extra fülön pedig be lehet állítani az ütemezést.
Mondjuk ilyenkor az a baj, hogy ha mondjuk VNC-zni vagy TeamViewer-ezni vagy bármit akarsz, nem fogod elérni a gépet.A queue is jó ötlet, hogy belassítod a kapcsolatot, viszont az elérésekkel ekkor is gond lesz.
Masquerade-del is megoldhatod, le kell tiltani a masqurade-t amiken akarod.
Amúgy szerintem azt rontod el, hogy a kezdeti és a vég időpontot állítod be, de a Mikrotik-ben általában nem a vége időt kell megadni, hanem az időtartamot...
-
mcll
senior tag
Sziasztok!
Lenne egy kérdésem, mert egy dologgal nem boldogulok sehogy.
Van egy hEX routerboardom. Szeretném azt beállítani hogy bizonyos IP-jű gépek mondjuk este 10-től reggel 8-ig ne mehessenek ki a netre. A Simple Queues-ben próbálom megoldani a dolgot.
Hozzáadok egy új szabályt: Target: az adott gép IP-je, Max limit Upload-ra és Download-ra beállítva 1k-ra (0k-t hiába állítok be, akkor unlimited marad). és apply-olom, akkor azonnal szuperül leveszi a sebességet 1/1kbps-re. Azonban ha a Time mezőbe beírom a kezdeti és vége időt, akkor már nem működik, azaz az adott időszakban nem korlátoz. Továbbá azt is látom, hogy az egész szabály sor piros, tehát valami baja van.
Le tudná valaki írni lépésről lépésre hogy az ilyen szabályt hogy kell megcsinálni? -
-
#19482368
törölt tag
válasz
bambano
#3989
üzenetére
a statikus ip-s eszközökön mindig kézzel kell dns-t állítan
Persze az megvolt, akkor se ment.
Szóval ez így úgy tűnik működik.
Amit meg akarok akadályozni, hogy valaki le clonozza a csatlakozott gépek Mac/ip címét. Azért gondoltam ez megoldja. Mert a DHCP nem osztja ki ugyan azt az IP címet, ha meg fixre állítja, akkor meg nem csatlakozik. De lehet rosszul közelítem meg a problémát. Mint fentebb írtam, nem értek hozzá. -
bambano
titán
válasz
csusza`
#3987
üzenetére
a statikus ip-s eszközökön mindig kézzel kell dns-t állítani
"Add ARP for Leases engem is érdekelne, hogy pontosan mi is": nem bonyolult ez. az ip-mac összerendelést normális esetben arp protokollal végzi a rendszer, a mikrotikből kimenő ip csomagok ethernet címét arp-vel tudja meg a router. ez lehet rossz, ha attól félsz, hogy idegen eszközt dugnak fel a hálózatra.
helyette lehet azt csinálni, hogy a router nem használ arp-t, hanem az általa dhcp-n kiadott ip címekhez rögtön az arp táblába is megcsinálja a bejegyzést, így nem kell arp protokoll és amelyik gép nem kap dhcp-n tőle ip címet, az nem fog forgalmazni.
-
#19482368
törölt tag
válasz
csusza`
#3987
üzenetére
Ha jól értelmezem,akkor azt csinálja hogy csak DHCP ügyfelek tudnak csatlakozni a hálózathoz. Azaz minden fix IP címmel beállított kliens nem éri el a hálózatot.
Lepróbáltam, működik. topológia így nézet ki.
Mikotik ---> USG --> USW ---> gépek
Amit csináltam, az USG-ben fixre állítottam az IP címet, és ugyan látszólag csatlakozott, a hálózathoz, de forgalmat nem generált. és nem érte el a Mikortik belső hálózatot. Ahogy vissza tettem az USG- dhcp-re megindult a forgalom.Ja bocs, félre értelmeztem a Add ARP for Leases engem is érdekelne, hogy pontosan mi is, mert a Mikrotik wiki alapján nem megyek el rajta...
Passzolom, nem értek hozzá, csak próbálok valamit virítani,valójában magam is segítségre szorulok, 1 hete van csak mikortik eszközöm. Közben meg próbálok valami szakembert keresni, aki sokkal jártasabb mint én, és tudja, érti, stb... Persze nem ingyen. De úgy tűnik, itt is valamit rosszul csinálok, mert nem találom emberem. Így a magam kárán próbálok összefaragni valamit.
-
csusza`
senior tag
válasz
#19482368
#3986
üzenetére
"Az add ARP for leases-ről azt találtam, hogy ha engedélyezve van, és a hozzá tartozó interface-en az ARP beállítás reply-only akkor csak a DHCP klienseket engedi a hálózation forgalmazni, a statikusan beállított IP című eszközök nem fogják elérni a hálózatot."
Na ez speciel magyarázná azt, amivel én elég régóta szopok, hogy a static IP-s eszközökön egy idő után elmegy a net... kézzel kell DNS-t állítani... Add ARP for Leases engem is érdekelne, hogy pontosan mi is, mert a Mikrotik wiki alapján nem megyek el rajta...
-
#19482368
törölt tag
válasz
bambano
#3985
üzenetére
Hát csak 1 gép van rajta, az amiről írok. Az DHCP-re van beállítva, és megegyezik a leírt IP/Mac address-el.
Olyan mintha valami be akarná hamisítani. A Gép Win 10, a mcaffe, malwarebyte nem talált semmit. Rendszeresen frissítve. Annyira, hogy ép ma lett újra telepítve pont ezért. Mert arra gondoltam valami vírus csinálja.Ezt állítottam be.
Az add ARP for leases-ről azt találtam, hogy ha engedélyezve van, és a hozzá tartozó interface-en az ARP beállítás reply-only akkor csak a DHCP klienseket engedi a hálózation forgalmazni, a statikusan beállított IP című eszközök nem fogják elérni a hálózatot.De ezek szerint valami más generálja, már csak az a kérdés mi.
-
#3981
Blackdeath12
csendes tag
Blackdeath12
csendes tag
Sziasztok! Mitől lehet az, hogy elvileg minden fasza a VPN emmel, de a letöltés az kegyetlen szar?
Internet kapcsolat jó/stabil, és nagyon gyatra a Speedtest . Valaki tudja hogy melyik beállítással lehet baj, vagy valaki tapasztalt már ilyet? Frissítve van minden, és amint látni csak a letöltés katasztrofális a feltöltés nagyon jól megy.... kb mind 2 oldalról hasonló értéket kéne látni.... MikroTik RB951G-2HnD Routerem van. -
SimLockS
tag
válasz
Core2duo6600
#3979
üzenetére
Gondolom úgy, hogy az érintett szerver “visszaír” a routerbe. Vagy futtatja a routerben a scriptet. De ha pl. x időn belül több bejövő kísérlet van egy adott külső IP-ről, akkor a router is egyszerűen felveheti fekete listára az adott IP-t...
-
#3974
bacus
őstag
Core2duo6600
#3972
bacus
őstag
válasz
Core2duo6600
#3972
üzenetére
Ftp-re használhatod nyugodtan a szabvány portot, mert az ftp blacklist könnyen építhető, erre kész script is van fent a neten. Ez is a sima ftp nagy hátránya, a plain text authentikáció. Nem attól kell tartani, hogy feltörik, hanem attól, hogy ellopják a név/jelszó párokat.
-
#3973
csusza`
senior tag
Core2duo6600
#3972
csusza`
senior tag
válasz
Core2duo6600
#3972
üzenetére
Igen, tudom.
-
balaaa88
aktív tag
Sziasztok!
Szeretnék egy kis segítséget / tanácsot kérni, hogy az alábbi igényt / feladatot ti hogyan oldanátok meg, mennyire macerás ezt megoldani:
Adott egy Mikrotik RB850Gx2 eszköz.
Van rajta két darab WAN elérés.
1 db mikrohullámú (alapértelmezetten ezen forgalmaznak a hálózati eszközök) és 1 db ADSL vonal.
Mindkettő kapcsolat fix IP-címes.
Mindkét kapcsolat egyidőben aktív, load balancing nincs rajta, csak fail-over.Ha az alapértelmezett (mikrohullámú) kapcsolat nem elérhető (ezt egy egyszerű, az adott route-on lévő ping-el ellenőrzi), akkor a hálózati forgalom az ADSL vonalat fogja használni.
Ha a mikrohullámú kapcsolat rendbejött, akkor visszavált rá.
Feladat:
Adott egy távoli szerver, amire a mikrotik irodájából távasztallal csatlakoznak.
Azt kellene megoldani, hogy ezen távoli szerver irányába menő forgalom ne az alapértelmezett kapcsolatot használja, hanem erre (és csak erre) az ADSL vonalat használja.Ha kell még info, ne tartsátok magatokba!
Tudok mutatni tűzfal / mangle szabályokat is.Köszi előre is.
-
#3970
csusza`
senior tag
Core2duo6600
#3969
csusza`
senior tag
válasz
Core2duo6600
#3969
üzenetére
Én Mikrotikkel mindig másik portot használok.
-
csusza`
senior tag
válasz
daninet
#3963
üzenetére
Szerintem, ha már portot nyitsz konstans a net felé, akkor lehetőleg ne a szabvány portokra tedd, ergo 21-et felejtsd el. Rakd be, ahogy mások is mondták, pl 50021-re vagy valami ilyesmire.
Net kapcsolatod nem PPPoE? Mert akkor a NAT-ot arról az interfészről lődd be, ne az ether1-ről.
Próbaként tiltsd le az összes filtert és nézd meg, hogy ha CSAK a NAT van megcsinálva, megy-e.
Ha NAT-olt a hálózat, nem fog menni. Ki a szolgáltató? T-Com-ra csak rá kell telefonálni és kérésre kivesznek a NAT-olt rendszerből.
-
#3966
Core2duo6600
veterán
Core2duo6600
veterán
Hello,
Kiegészítettem a az alap szűréseket, ime :
Mit kellene még eszközölni ?
Ill. jó-e a sorrend ?E szerint csináltam a szabályokat [link]
Ime :
[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; default configuration
chain=input action=accept connection-state=established,related
2 ;;; Allowed to router
chain=input action=accept src-address-list=allowed_to_router log=no log-prefix=""
3 chain=input action=drop protocol=tcp dst-port=53 log=yes log-prefix="Drop_DNS"
4 chain=input action=drop protocol=udp dst-port=53 log=yes log-prefix="Drop_DNS"
5 ;;; FastTrack
chain=forward action=fasttrack-connection connection-state=established,related
6 ;;; Established, Related
chain=forward action=accept connection-state=established,related
7 ;;; Drop invalid
chain=forward action=drop connection-state=invalid log=yes log-prefix="invalid"
8 ;;; Drop tries to reach not public addresses from LAN
chain=forward action=drop dst-address-list=not_in_internet in-interface=Lan out-interface=!Lan log=yes log-prefix="!public_from_LAN"
9 ;;; Drop incoming packets that are not NATted
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=Digi-PPPOE log=yes log-prefix="!NAT"
10 ;;; Drop incoming from internet which is not public IP
chain=forward action=drop src-address-list=not_in_internet in-interface=Digi-PPPOE log=yes log-prefix="!public"
11 ;;; Drop packets from LAN that do not have LAN IP
chain=forward action=drop src-address=!192.168.1.0/24 in-interface=Lan log=yes log-prefix="LAN_!LAN"
12 chain=input action=drop log=no log-prefix="Drop"
[admin@MikroTik] /ip firewall filter> -
user12
őstag
válasz
daninet
#3958
üzenetére
A beállítások jók, viszont az üfsz-on érdemes lenne utánakérdezni, hogy engedik-e a "gyakran használt" portokat (szolgáltatói oldalról) vagy nincs-e natolva az IP címed.
Akár ettől függetlenül is kipróbálhatod, hogy a dst-port helyett megadsz egy másikat (pl. 52484) és azzal megpróbálod. Nekem a T-nél ilyen módon (nem ezzel a portszámmal) működik. -
feel2006
tag
válasz
daninet
#3963
üzenetére
Nem bentről próbálod kinti címeden elérni az FTP-t ugye? Ha mégis, Harpin NAT van? Anélkül nem hiszem, hogy menne, még jó beállítás esetén sem.
Én innen próbálkoznék, mert ha nyitott a port, fut az ftp szolgáltatás akkor "open"-nt kell kiírnia.
Firewall filter rules-ba is, én betenném a kívánt portot (21)
chain=forward action=accept protocol=tcp in-interface=ether1 dst-port=21Illetve ha csak a 192.168.1.199:21 -re próbálsz belső hálózatból kapcsolódni, úgy megy gondolom az ftp, az ftp szerver hibáját kizárhatjuk.
-
-
#3959
Core2duo6600
veterán
daninet
#3958
Core2duo6600
veterán
válasz
daninet
#3958
üzenetére
A nat ra ez lenne a megfelelő, be kell állítani a bejövő net kapcsolatot, ez nálam Digi-PPPOE, nálad nyilván más
;;; Ftp
chain=dstnat action=dst-nat to-addresses=192.168.1.199 to-ports=21 protocol=tcp in-interface=Digi-PPPOE dst-port=21 log=no log-prefix=""A filters alatt mit csinál az a szabály ?
-
#3956
vkp
aktív tag
Core2duo6600
#3955
vkp
aktív tag
válasz
Core2duo6600
#3955
üzenetére
0 name="test_IP" target=10.42.0.8/32 parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=100M/100M
burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s bucket-size=0.1/0.11 name="vlan42" target=10.42.0.0/18 parent=none packet-marks="" priority=8/8 queue=perip_10M/perip_10M limit-at=0/0 max-limit=50M/50M burst-limit=0/0
burst-threshold=0/0 burst-time=0s/0s bucket-size=0.1/0.1 -
vkp
aktív tag
Sávszél korlát bajom van, van egy vlan, be van rá állítva egy 50/50, valamint egy 10/10 pcq.
Ez így működik is szépen.
Ami nem megy és régen ment, ha ez elé a szabály elé berakok egy másikat, ami 1db ip címnek ad(na) nagyobb sávszélt...
Ez régen teljesen jól működött, most viszont bármennyit állítok, az előtte lévő szabályban szereplő címnek, ugyanaz vonatkozik rá, mint a lejjebb lévő szabályban.
Tud valaki megoldást? -
#19482368
törölt tag
Keresek Budapesten Mikrotik router-ben jártas, számlaképes szakembert. Természetesen nem ingyen. ár megbeszélés tárgya. Feltételezem igény függő.
Amit szeretnék.
Mikrotik router kiválasztása, Wifi nem kell. Biztonságos internet kiépítés, megfelelő tűzfal szabályokkal.
És plusz egy hozzám nagyon ragaszkodó egyed, inaktivitása. Szóval, kihívás is van benne.
További megbeszélés, privátban, itt a prohardveren. Kérem ónjelölteket kíméljenek.Köszönöm.
-
-
#3947
e90lci
senior tag
Pizzafutar
#3946
e90lci
senior tag
válasz
Pizzafutar
#3946
üzenetére
Szia
Köszi szépen átnézem,értelmezem meg beszerzek még egy menedzselhető switchet mert egy már van és 2db IPTV boxom van.Ezer köszönet és hála! -
#3946
Pizzafutar
aktív tag
e90lci
#3943
Pizzafutar
aktív tag
Röviden, a HGW a 192.168.0.1, DMZ-nek beállítva 192.168.0.2, dupla nat. A HGW egyik portja bekötve a 2011UiAS-2HnD ether1 if-re, ami normál módon natolva van a default vlan-on. Ez eddig teljesen átlagos konfig.
Az extra, hogy a HGW másik portja rá van kötve az ether2 if-re, ami switch-elve van a 100-as vlan-ra.
A switch1 konfig igy néz ki:
port print
# NAME SWITCH VLAN-MODE VLAN-HEADER DEFAULT-VLAN-ID
1 ether1 switch1 disabled leave-as-is auto
2 ether2 switch1 secure always-strip 100
3 ether3-master switch1 secure always-strip 1
4 ether4 switch1 secure always-strip 1
5 ether5 switch1 secure add-if-missing 1
11 switch1-cpu switch1 secure always-strip 1vlan print
# SWITCH VLAN-ID PORTS
0 switch1 100 ether5 ether2
1 switch1 1 ether3-master ether4 ether5 switch1-cpuLátszik, hogy az ether5 trunk módban van, az 1-es def. vlan-on megy rajt a normál nat-olt ip forgalom, a 100-on pedig a switch-elt forgalom. Az ether5 másik végén egy cisco switch van, ahol az IPTV box portjára a 100-as vlan van kiengedve, a többire pedig a default vlan.
Ezen a módon az IPTV forgalma teljesen el van különítve a hálózat többi forgalmától. Persze ehhez egy managelhető switch is kell, esetemben egy Cisco SLM2008. -
#3945
Zwodkassy
senior tag
Core2duo6600
#3940
válasz
Core2duo6600
#3940
üzenetére
Jó pofa dolog mindenre tűzfal szabályt írni külön, külön, de minek? Mindent tilos, amit nem szabad, és kész. Szerintem
-
#3943
e90lci
senior tag
Pizzafutar
#3942
e90lci
senior tag
válasz
Pizzafutar
#3942
üzenetére
Szia
Érdekelne a megoldásod.Kezdő vagyok még,Vlant nem állítottam be soha ha leírnád privátba,részletesen,hogy te hogy csináltad azt nagyon megköszönném.Csináltam egy pár ip firewall filtert úgy néz ki tegnap óta működik és csak oda dobja az igmp csomagokat ahol az IPTV STB-k vannak.Viszont az IGMP proxy MFC ben még mindíg látom az ip címeket ahol nem kellene.
Dobok egy képet.
-
#3942
Pizzafutar
aktív tag
e90lci
#3935
-
#3941
Ablakos
őstag
Core2duo6600
#3940
Ablakos
őstag
válasz
Core2duo6600
#3940
üzenetére
Hasonlóan működik, mint a linux iptables. Mivel a 2-es szabályban feltétel nélkül drop volt minden (input) csomagra, nincs mit tovább szűrögetni. Azt nem tudom, hogy "csak" felesleges, vagy feleslegesen erőforrás pazarló is a 3-as feltétel.
Arra kell vigyázni, hogy megengedő a tüzfal, tehát ha valamellik csomag nem esik bele egyik szabály feltételbe sem, akkor az bent van a hálózatban. -
#3940
Core2duo6600
veterán
Ablakos
#3939
Core2duo6600
veterán
válasz
Ablakos
#3939
üzenetére
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept in-interface=Lan log=no log-prefix=""1 chain=input action=accept connection-state=established,related log=no log-prefix=""
2 chain=input action=drop log=no log-prefix="FW"
3 chain=input action=drop protocol=tcp src-port="" dst-port=53 log=no log-prefix=""
4 chain=forward action=drop connection-state=invalid log=yes log-prefix="for in"
5 chain=forward action=drop protocol=tcp in-interface=Lan dst-port=25 log=no log-prefix=""
Jól értelmezem -e ? :
Ha a 2 esban eldobok mindent ami nem illett rá a 0 és 1 esre, akkor nem szükséges külön a DNS re irányuló iltás ugye ? ami most a 3 asban van -
-
#3938
Core2duo6600
veterán
feel2006
#3937
Core2duo6600
veterán
-
feel2006
tag
válasz
Core2duo6600
#3934
üzenetére
Hát ha valóban csak ennyi van még lehetne pár dolgot belőni.
Én pl. droppolom és figyelem a
- DDoS támadásokat és dobom el
- Bogon-ként megjelölt IP címek kapcsolódását is droppolom (lényegében Ásia és Afrika és Dél Amerika IP címei, mert meguntam a próbálkozásaikat, igaz az address list 9500 bejegyzés /8-as tartománytól kisebbekig).
- az internet felől érkező TCP/UDP DNS kéréseket is eldobom (meguntam a túlterheléseket az ADSL kapcsolataimnál)
- az FTP brute force-okat
- az invalid státuszú csomagokatés még pár apróságot amit "zavart".
De biztos vannak itt többen akik otthoni megoldásnál tovább finomították a tűzfalukat.
Ami engem is érdekelne mit lehet még beállítani. -
csusza`
senior tag
Lehet, hogy már kérdeztem régebben, de azóta mindig felmerül a kérdés.
NAT-olásnál be van kapcsolva a logging. Namármost, elég kellemetlen, hogy pl. DVR belépésnél emailt küldetek a Tik-kel, és jön vagy 30 email, amíg a kamerákat nézegetik. Nem lehetne, hogy csak pár mailt küldjön, ne ömlessze tele a fiókomat?
-
#3934
Core2duo6600
veterán
feel2006
#3932
Core2duo6600
veterán
válasz
feel2006
#3932
üzenetére
(#3933) bambano, (#3932) feel2006
Ezek fontos információk
Nálam most így van beállítva a IP firewall filters rész :
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept in-interface=Lan log=no log-prefix=""1 chain=input action=accept connection-state=established log=no log-prefix=""
2 chain=input action=accept connection-state=related log=no log-prefix=""
3 chain=input action=drop log=no log-prefix=""
Ez rendben van ?
Mit lehetne még a biztonság miatt beállítani ? -
-
feel2006
tag
válasz
Core2duo6600
#3914
üzenetére
Három alaprételmezett chain létezik:
•input (a routerhez bemenő forgalom)
•output (a routertől kimenő forgalom)
•forward (a routeren átmenő forgalom) -
e90lci
senior tag
-
e90lci
senior tag
ugyan úgy szemetel.IPTV tökéletesen működik,az igmp snooping beállítva.És mégis tolja a csomagokat másfele is.Valami tűzfal,vagy bridge filter szabály kell,hogy ne szórja össze vissza a csomagokat,csak a megadott IP címekre.Ha nem lesz megoldás lejár a hűségem és visszamondom az IPTV-t,bridge-be tetetem a kábelmodemet.Hacsak nem jön erre a Digi mert akkor egy életre elfelejtem a telekomot.
-
-
-
csusza`
senior tag
Erre speciel van egy ötletem: a bridge interfészedre felhúzol még egy IP tartományt, mondjuk 192.168.2.0/24, pool sem kell rá meg semmi, a TV-ket le static IP-zed, és a tűzfalon így kötöd ki, hogy csak a 2.0/24 vagy a 2.20 és 2.21 felé mehessen el az adat.
Update: Rájöttem, hogy ez semmivel sem jobb, mint ha a jelenlegin, két címre korlátozod a dolgot.
-
e90lci
senior tag
Szia
Köszi minden kábel a falban van úgyhogy kábelt nem tudok húzni másikat és nem is szeretném kettéosztani az utp kábelt bár a 100Mbit elég lenne.Tp link switch nem menedzselhető de az igmp csomagok át mennek rajta.Megvárjam a 6.41 firmwar-et abban lesz állítólag igmp snooping?Mikor fel lett újítva a lakás akkor még nem gondoltam,hogy nekem lesz valaha IPTV-m.Mondjuk ha itt lenne egy normális kábeltv szolgáltató az IPTV boxok repülnének vissza a telekomhoz. -
poli27
veterán
a switch tudja az igmpt kezelni ami a képen látható helyeken van? annak se elég a sima ha igmp forgalom megy rajta.[link] sztem jobban járnál, ha a tévékhez húznál még egy madzagot a telekomos hgwből.... Vagy ha alég 100mbit akkor a kábel is ketté tudod osztani... azt megy az egyik fele az stb be, a másik fele a switchbe!
-
e90lci
senior tag
Sziasztok
Kb 1 hónapja vettem egy RB3011-es routert minden be van állítva jól működik,csak az IGMP csomagokkal van egy kis gondom,hogy teleszemeteli a hálózatomat.Jelzem kezdő vagyok a konfigurálásban.bambano a múltkor próbált segíteni de nem jöttem rá,hogyan és milyen firewall szabályokat kellene létrehoznom,hogy jól működjön.A bridge filtert is próbáltam beállítani (látszólag működik de mégsem szűri a csomagokat).Teszek még itt egy próbát,felrakom a konfigot ide hátha valaki tud segíteni.
ether1 (WAN)
bridge (Lan)
ether2 master=eth3,eth4,eth5 (slave)
ether6 master=eth7,eth10 (slave)
eth8-eth9 (bonding) a nas miatt
Szeretném megoldani,hogy az IPTV (igmp csomagok) csak a 192.168.1.20,192.168.1.21 es IP címre menjenek ki (fixen be van állítva IPTV STB)?
Itt egy kép a belső hálózatról:
Azt szeretném ha csak a zöld vonal mentén menne az igmp (IPTV címtartomány:224.0.0.0-239.255.255.254).
Köszönöm előre is ha valaki beszúr ide,vagy egy bridge filtert,vagy firewall szabályt,amitől jól működik és a többi ip-címet nem szemeteli össze. -
#3914
Core2duo6600
veterán
Core2duo6600
veterán
Mi a különbség a
chain=forward action=accept in-interface=Lan log=no log-prefix=""chain=input action=accept in-interface=Lan log=no log-prefix=""
Között ?
-
bambano
titán
A megjelöléssel pontosan mit is érsz el? szigorúan a befelé jövő csomagokról van szó.
Ha egy olyan folyamatról van szó, amit a natolt belső hálón levő gép kezdeményez, akkor az összes csomag, ami befelé jön, az az első kimenő csomag hatására bejegyzett pat tábla bejegyzés alapján jön vissza.
Ha pedig egy olyan kapcsolatról, ami kívülről indult, akkor az meg statikus nat bejegyzés alapján talál oda a belső géphez, így ott is meglesz a pat bejegyzés.
-
bacus
őstag
válasz
bambano
#3903
üzenetére
Ahhoz, hogy működjön, minden befele jövő csomagot meg kell jelölni, hogy honnan jön, hogy alapból azon az úton menjen ki a válasz, ahonnan a kérés befele jött.
Ez csak javítás egy bamba nő miatt, akitől természetesen nem tudom a helyesbítés igényét zokon venni, mert egyébként nagyra tartom.
-
almi
senior tag
válasz
bambano
#3910
üzenetére
Erről a kémkedésről még nem is hallottam még.A management dolognak pedig utána olvasok. A management platformnak az a lényege, hogy egyszerűen lehessen configolni egy lépésben az összes AP-t, vagy van egyéb más előnye is?
2-3 db még nem olyan vészes szám, egyesével sem, sztem.Akkor most az AP-któl eltekintve.. Mondjuk egy MikroTik hEX megfelelhet nekem a feladatra?
Illetve milyen switch a javasolt? -
zolion01
tag
Sziasztok!
Egy RB951G-2HnD egyszerűen csak eltűnt a hálózatról. Sem wifi része nem működik sem az eszköz nem elérhető.
Rendesen bekapcsolható, elindul, csippan, ledek világítanak, de nem elérhető a router.
Próbáltam resetleni a hátán, az alján, illetve ezt is megpróbáltam:
[link]
de a router nem elérhető gépről.Van valami módja, trükkje az újra flash-elésnek? Esetleg USB-ről tudja magát reflash-elni?
Köszi előre is.
-
almi
senior tag
Sziasztok!
Irodai hálózat kialakítása előtt állok és MikroTik eszközöket gondoltam hadba fogni.
Milyen Routert + switch-et, esetleg Layer 3-as Switch-et javasoltok az alábbi felálláshoz:
Adott egy kis cég, 15 alkalmazottal 3 emeleten elosztva. A földszinten van egy rack szekrény, minden oda futna be. Aljzatok kiépítve, patch panelben végeztetve.
Egy 24 portos switch-et tervezek venni, amit ugye használna a max. 15 alkalmazott, egy szerver gép (Sima álló tornyos, egy, max. 2 hálókártyával.), 2 nyomtató és 3 Ubiquiti Unify AP, egy TV + egy port ugye a routerből. Így meg is telne gyorsan, bár fix helye max. 10 embernek lenne, a többi wifi-n keresztül kapcsolódna.
Az AP-k ugye PoE-sak, de úgy gondolom, hogy azt 1-1 PoE adapterrel meg tudom oldani, nem muszáj tudnia az eszközöknek.Ami még fontos, hogy a routernak egy folyamatos VPN kapcsolatot kellene létesítenie egy szerverrel (ami egy hoszting cégnél fut), amin virtuális szerverek vannak (file server, stb).
Az internet pedig egy UPC Business 500-as csomag lesz.
Köszönöm!
Üdv. -
#3906
Ablakos
őstag
Core2duo6600
#3905
Ablakos
őstag
válasz
Core2duo6600
#3905
üzenetére
A backup engem is szivatott. A CRS125 -ön simán készítek backupot és ott van. A wAP-on (újabb eszköz vagy más routerboard) van egy folder struktúra. Ha flash alá mentek, vagy oda húzom, akkor megmarad, ha gyökérben hagyom, akkor reboot után elveszik a tartalom.
-
#3905
Core2duo6600
veterán
Core2duo6600
veterán
Hello,
Na most kellöképpen felbosszantott a Mikrotik...
Tegnap este kihagyhatott a Digi, erre bementem a quick set be, és nyomtam a PPPOE kapcsolatra egy reconectet.
Azóta nem oszt ip címet, nem megy a lan, nem megy semmi,
A Winboxal elérem, látszólag minden rendben a router kap ip címet, mind a 2 szolgáltatótól.
a kábelt érzékeli a ether 3 ason is (átnevezve LAN ra)
tűzfal szabályok beállítva, de hát ip címet sem kap... és amig az nincs tökmindegy, hogy a tűzfalszabályban mi van.Nem értem .....
Mint ahogy azt sem, hogy csináltam a router configról egy backupot, amit lementett a saját tárolójára, és ma reggel nem volt ott, reggel ránéztem megint.
Mi lehet a gond ?
-
bambano
titán
"Ahhoz, hogy működjön, minden befele jövő csomagot meg kell jelölni, hogy honnan jön, hogy alapból azon az úton menjen ki, ahonnan befele jött.": ezen az állításon dolgoznod kellene még, mert az a csomag, ami egyszer bejött, soha többet nem megy ki. a rá adott válasz mehet ki, de az egy másik csomag, ergo ezt hiába jelölgeted.
"Ha nem érthető, akkor komplett scripteket tudsz kiguglizni": az összes kérdésére megvolt a válasz a mikrotik wikiben...
-
#3902
bacus
őstag
Core2duo6600
#3901
bacus
őstag
válasz
Core2duo6600
#3901
üzenetére
ez szükséges, de nem elégséges a működéshez.
Ahhoz, hogy működjön, minden befele jövő csomagot meg kell jelölni, hogy honnan jön, hogy alapból azon az úton menjen ki, ahonnan befele jött. (ez igazából a későbbi szívás elkerülése miatt kell, mert be akarsz majd dnatolni egy rdp-t és nem érted majd miért nem megy)
Ha ez megvan, akkor a kifele tartó csomagokat is meg kell jelölni (ami még jelöletlen), hogy merre szeretnéd, hogy kimenjen.
Utána kellenek azok a firewall szabályok, hogy merre nem mehet ki valami, pl a levél szerver semmiképp nem mehet csak egyfelé, mert rögtön felkerülsz a spammelő listára. (már ha van ilyen szolgáltatás)
Legvégül pedig kellenek a routing táblába is szabályok, alacsonyabb distance-re a megjelölt csomagokat, hogy melyik átjárón menjen kifele, majd utána kellenek a failover szabályok miatt, magasabb distancel a másik átjárók, legvégül pedig a legmagasabb distancel a preferált majd a még magasabbal a failover gateway.
Ha nem érthető, akkor komplett scripteket tudsz kiguglizni, de ha így sem megy, és meguntad, akkor némi támogatásért cserébe átnézem ill. kijavítom a beállításaid.
-
#3901
Core2duo6600
veterán
Zwodkassy
#3887
Szóval ez így úgy tűnik működik.
Ezer köszönet és hála neked is. 
Új hozzászólás Aktív témák
Hirdetés
ekkold- Elektromos cigaretta 🔞
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- Xbox Series X|S
- Sony MILC fényképezőgépcsalád
- EA Sports WRC '23
- exHWSW - Értünk mindenhez IS
- Kerékpárosok, bringások ide!
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Azonnali fotós kérdések órája
- PlayStation 5
- További aktív témák...
- Samsung Galaxy A23 5G 128GB, Kártyafüggetlen, 1 Év Garanciával
- DELL PowerEdge R740 rack szerver - 2xGold 6130 (16c/32t, 2.1/3.7GHz), 64GB RAM, 10Gbit HBA330, áfás
- Azonnal elérhető, raktáron lévő HPE Aruba switch-ek
- Csere-Beszámítás! Asztali számítógép játékra! I5 14400F / RX 6900 XT 16GB / 32GB DDR5 / 1TB SSD
- Telefon felváráslás!! Xiaomi 13T, Xiaomi 13T Pro, Xiaomi 14T, Xiaomi 14T Pro
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged