Ezt a mérési ereményt kiváncsian várom én is

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Azt nem szeretnék. Van ugyan egy AM1 full passzív sempronos gépem 20w max fogyival...
Nem mondtam vissza a 750gr3-at, valamit okoskodok vele, ha nem jön be akkor eladom. Lehet nem is kell nekem kifele tűzfal szabály, csak a NAS az ami kimegy de szerintem az alapból kitalál a quickconnect-es oldalon.

[ Szerkesztve ]

Vintage Story PH szervere újra fut!

- nekem 3011-es van idehaza, T-s gigas optikan, nincs pppoe, ONT(hgw) nat-ol, pluszban a 3011-es is natol, nem tudtam megizzasztani, kiterhelni gigan csak halozati tesztelokkel tudtam erdemben linux isokat letolve max. 400Mbps-ig tudtam elmenni, CPU sosem ment 10% fölé.
- kijelentheto, hogy a 3011-es-ben elegge nagy tartalekok vannak, szvsz. egy jovotallo beruhazasnak tartom.

hg1dfb

A Mikrotik switchek közül mellyek azok amik ventilátormentesek ?

[ Szerkesztve ]

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Konkrét típusnál meg kell nézni az adatlapot. CRS125 például teljesen néma.

Jól értem, tehát 400Mbit volt a max letöltés (címfordítással) ?

- rosszul, de lehet en irtam felreerthetoen.
- a cucc siman, rohove kihajtja a gigat, es közben a cpu terheles nem megy 10% fole.
- viszont otthoni normalis felhasznalas mellett nem tudtam 400 fole tornaszni a letoltesi savszelesseget.

hg1dfb

PPPOE esetében lehet nem lenne ilyen rózsás a helyzet, ha módot van rá próbáld ki úgy is.

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Holnap haza utazok, utána valamikor lecsekkelem egy RB2011-gyel. (Nyilván nem várok túl sokat tőle, csak az összehasonlítás miatt.) Egy hanyagul megírt tűzfal és mangle szabályokkal (van egy csomó - lehetne rajtuk javítani) tud ~ 90 - 100 Mb/s-t. Ha a mangle-t hamarjában kikapcsoltam (távolról a tűzfalat nem akartam, esetleg nem tudok visszalépni...), akkor felment 180 Mb/s-ra. Ha a tűzfalat teljesen kigyomlálom, csak a NAT-ot hagyom, akkor talán lesz 200 - 220 Mb/s, meglátjuk.
PPPoE-s DIGI-m van, most emelték akciósan 1Gb/s-ra.

T-Com-nál nekem PPPoE passthrough-al kb. 3-400 Mbps között mér... Minimál tűzfallal. Mondjuk azért külön kell szólni a T-s szerelőnek, hogy távolról molyoljon bele az eszközbe, hogy a PPPoE Passthrough megoldható legyen, mert alapesetben kiírtották a felhasználói felületről...

A helyzet viszont az, hogy én a HGW-n sem igen mértem 600 Mbps fölött. Nyilván eszközfüggő is, de Gbps hálókártya volt egy i3-i5 procis notival.

[ Szerkesztve ]

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

- tudtommal T.-s ONT eseteben nincs ra lehetoseg..

hg1dfb

Be kell szolni központilag kapcsolják át, ahogy a Diginél is

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

- nekem nem hianyzik, jo ez igy ahogy van. Minek eroltetni a pppoe passthrough-t? foleg, hogy iptv-m is van tehat a HGW-nek is fel kell csatlakoznia..

hg1dfb

Hello,

A RB1100AHx4 és a
CCR1009-7G-1C-PC
Melyik lenne a jobb választás ?
Pro - kontra ?
Nem tudok köztük dönteni ?

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Sziasztok!

PPPoE jelszót a routeremből visszalehet valahogy nyerni?

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

Ha a hide password opciót kikapcsolod láthatóak a jelszavak. (ha erre gondoltál)

[ Szerkesztve ]

Az ki van kapcsolva, de nem mutatja :\ Nincs meg a szerződés és lökni akarok egy resetet a routernak. Viszont a pw nélkül nehezen fogok netre csatlakozni :\

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

Esetleg egy terminál-ban kiadott export-ba nem írja ki? Vagy ott megnézve?

Mikrotik-Hu | -unofficial- | https://www.facebook.com/groups/mikrotikhu/

/interface pppoe-client print

Koszi, ez azonnal kidobta

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

Gyorsba összedobtam a 750gr3-at gigabit digis pppoe-n. 500-600-at mérek de szerzek hosszabb patchkábelt és kipróbálom a nagygépen direktbe kötve mert nem biztos hogy a router kevés. Speedtesten 300-400 között van, a digi mérőjén megy 500 fölé, szóval lehet csak net gond van. Feltöltés tegnap este elég gyenge volt, nem ment 100 fölé. CPU terhelésen nem is látszik a forgalom, valszínű hardveresen megy.
Ha a tűzfalon nincs semmilyen szabály csak full fasttrack az nekem biztonsági okokból jelethet-e valamit?
(servicesnél mindent tiltottam a winboxon kívül, service ports is tiltva mind, DNS-t is csak google-sat használom hálózatonbelül is, nincs bepipáva az allow remote requrest, upnp tiltva, ROMON van engedve)
Nas-om (Synology DS214se) kimegy simán port beállítás nélkül is, szóval nekem elvileg nem kell portnyitás semmihez.

Vintage Story PH szervere újra fut!

"Ha a tűzfalon nincs semmilyen szabály csak full fasttrack az nekem biztonsági okokból jelethet-e valamit?": szerintem nem.

szerintem helytelen szokás, hogy letűzfalaznak olyan szolgáltatásokat, portokat is, amik nincsenek egy adott eszközön. ha az ssh portot letiltottad a külső interfészről (meg esetleg a mikrotik saját konfigurációs portjait is), akkor nem kell tűzfal szabály.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Sziasztok!
A következő problémával találkoztam. Van egy RPI 2 amire Libreelec ment fel és gyakorlatilag média lejátszásra használom. Van mellette egy NAS amin a filmeket tárolom.
A NAS és RPI között baromi lassú a kapcsolat. Konkrétan akadoznak a filmek lejátszás közben. Kutakodni kezdtem és végül kiderült a router-rel van valami. Ugyanis elővettem egy ősrégi D-link routert amivel tökéletesen működik, igaz az csak 100Mbit-es portokkal rendelkezik.

Szóval merre induljak el? Lehet a 100/1000 sebesség zavar be? A NAS gigabit-jét nem szívesen venném le 100-ra, RPI-nek 100-as LAN-ja van. Hiába vettem le 100-ra az nem segített.

Ötlet?

Előre is köszi a választ!

WL.

Érdekes, ha Mikrotiken leveszem a NAS portját 1000mbit-ről 100mbit-re, akkor jó lesz.
Viszont így a többi eszköz is csak 100mbit-tel tud csatlakozni a NAS-hoz...

a pi-n elég gagyi az ethernet csatoló.
nem tudom, hogy tolod bele a filmeket, de jobban járnál, ha nem a nas-ról tolnád a filmet, hanem a pi-ről húznád. tehát a pi szabályozza saját magától a saját forgalom igényét.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Na hát a win10-en nem megy a pppoe beállítás. Megcsinálom a pppoe kapcsolatot a hálózatoknál és csatlakozáskor a gépház VPN részt dobja fel és nem a pppoe csatlakozási ablakot. Így nem tudom nagygépen kitesztelni hogy router nélkül mennyi.
A 750gr3-ason így az első mérés 620/100 lett eredménynek. [link] Másodjára és harmadjára olyan 500 körül megy. Talán gyorsíthat valamit ha master portozom a bridge-t én nem külön interfaceket veszek fel, de mintha írtak volna valamit erről a 6.40.5-ösben.
Kezdetnek ennyi elég. Aztán lehet majd egyszer jön valami új firmware ami gyorsít rajta.

[ Szerkesztve ]

Vintage Story PH szervere újra fut!

A filmhez elég. Közben megtaláltam a megoldást. A NAS portján beállítottam a FLOW controllt.
Így már tökéletes...

Bár korábban azt írtam hogy minden ok a Mikrotik-al, hamar kiderült hogy ez mégsem így van, pontosabban akkor működött, viszont kis idővel rá egy csomó külső weboldalt (mint pl Index, aztán egyre több) a router átirányított a saját szerveremre. Ami nem is csoda mert a port fwd szabálynál nem lett megadva semmi az In-interface opciónál. Akkor módosítottam ezt a külső interfészre, és onnantól sehogy sem ment egyik port forward sem, akármit is csináltam. Érdekes mód a port forward csak és kizárólag akkor ment ha domain helyett az IP-t írtuk be a böngészőbe (kívülről nézve persze). Domainnel sehogy. Több napos kínlódás, próbálkozás után sem ment, így levettem a routert. Bárkivel beszéltem, mindenki értetlenül állt a probléma előtt, mivel ilyet még nem láttak. Valahol a névfeloldás környékén volt a probléma.
Tegnap aztán újra felraktam a Mikrotik-et a rendszerre, és ekkor hirtelen elindult a port forward domainnel. Mint kiderült most először az évek során a UPC IP-t váltott nekem (eddig soha nem váltott a sok-sok év alatt). Mikor nem ment még, akkor még a régi IP-m volt (több helyen is ellenőrizve volt, akkor nem volt még váltás). A lényeg hogy az új IP-vel ugyanazok a beállítások már tökéletesen működnek. Rejtély...

Úgyhogy a külső elérés domainnel most ezzel a NAT rule-al megy:
3 ;;; SERVER: HTTP
chain=dstnat action=dst-nat to-addresses=192.168.1.245 protocol=tcp dst-address=xxx.xxx.xxx.xxx dst-port=80 log=no log-prefix=""
Be lett rakva egy dyndns updater script is, így ha megint váltás van, akkor szépen utánamegy:
0 name="dynDNS" owner="admin" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon last-started=dec/16/2017 17:46:07 run-count=1
source=
:global ddnsuser "xxx"
:global ddnspass "xxx"
:global theinterface "WAN"
:global ddnshost xxx.com
:global ipddns [:resolve $ddnshost];
:global ipfresh [ /ip address get [/ip address find interface=$theinterface ] address ]
:if ([ :typeof $ipfresh ] = nil ) do={
:log info ("DynDNS: No ip address on $theinterface .")
} else={
:for i from=( [:len $ipfresh] - 1) to=0 do={
:if ( [:pick $ipfresh $i] = "/") do={
:set ipfresh [:pick $ipfresh 0 $i];
}
}

:if ($ipddns != $ipfresh) do={
:log info ("DynDNS: IP-DynDNS = $ipddns")
:log info ("DynDNS: IP-Fresh = $ipfresh")
:log info "DynDNS: Update IP needed, Sending UPDATE...!"
:global str "/nic/update\?hostname=$ddnshost&myip=$ipfresh&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG"
/tool fetch address=members.dyndns.org src-path=$str mode=http user=$ddnsuser \
password=$ddnspass dst-path=("/DynDNS.".$ddnshost)
:delay 1
:global str [/file find name="DynDNS.$ddnshost"];
/file remove $str
:global ipddns $ipfresh
:log info "DynDNS: IP updated to $ipfresh!"
} else={
:log info "DynDNS: dont need changes";
}
}

Sikerült azt is megoldani hogy a domainek a belső hálózatról is elérhetőek legyenek:
1 name="DomainONLAN" owner="admin" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon last-started=dec/17/2017 10:36:23 run-count=73
source=
{
:global ipaddr [:resolve mcllserver.gotdns.com];
/ip firewall nat set 3 dst-address=$ipaddr
:log info "dst-address set to $ipaddr for NAT rules 3"
}

Mindkét script cron-ból 10 percenként lefut, így ha UPC megint IP-t váltana, akkor nem lesz gond.
Tehát most ez a része megy, port fwd, dyndns updater, belső domain elérés.

Viszont lenne nemsokára egy kérdésem, mert gondjaim adódtak a statikus DHCP-vel (tehát minden belső eszköz csak akkor tud felcsatlakozni, ha annak MAC címe ismert az ARP listában). Nemsokára megírom hogy próbáltam (fél sikerem volt csak).

[ Szerkesztve ]

"Microsoft gives you Windows... Linux gives you the whole house."

Mondtam, hogy az ip nem volt ugyanaz, csodák nincsenek

Más:

Most lehet, hogy marhaságot kérdezek,
Ha azt mondom a mikoritknek, hogy tegye bridgbe a 2 és a 4 es portot, akkor a 4 esbe dugot laptop megkapja a telekom modem által kiosztott ip címet, megy a net minden, hisz bridge annyit csinál mintha összedugtuk volna a 2 kábelt.

Ez esetben be lehet-e állítani, hogya 4 es portra dugott eszköz elérje a nyomtatot, ami a 3 as portban lévő switchbe van dugva, vagy ez esetben ez nem lehetséges ?

[ Szerkesztve ]

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Akkor amikor próbálkoztunk még a régi IP volt, nem volt váltás, ezt többször is néztem mert azt láttam hogy valami gáz van a domain feloldással. A régi router valahogy ezt a hibát képes volt lekezelni. Amúgy a tegnapi csere előtt a régi routerben meg is néztem az IP-t és ott még a régi szerepelt (xx.xx.xx.114 vagy valami ilyesmi). A Whatsmyip.com is azt mutatta, meg a ping, host is azt pingelte mutatta. Aztán ahogy felraktam tegnap a Mikrotik-et akkor láttam hogy új IP-m van, és ezzel már ment minden.

"Microsoft gives you Windows... Linux gives you the whole house."

Nos, ahogy említettem. Szeretném az alábbiakat megoldani:
1. A hálózatra csak és kizárólag azon gépek kapcsolódhatnak, melyek MAC címe ismert a router által.
2. Az IP címek MIND statikusak, azaz én (ill. a router pontosabban) határozza meg mely gép milyen IP címet kaphat. Ha valamelyik gépen statikusan beállítanak egy IP címet mely nem egyezik a routerben a MAC címhez hozzárendelt IP-vel akkor értelemszerűen az a gép nem kap engedélyt (tehát ne lehessen megkerülni).
3. Egyes gépeknél szeretnék korlátozásokat, ami nem sávszélre, csak időre vonatkozik, azaz pl a megadott host adott napo(ko)n pl este 10 és reggel 10 körül tiltva van a hálózaton.

Én ezt a következőképp próbáltam megoldani (nem tudom mennyire jó ez).
Az interfészek az alábbiak szerint vannak beállítva:
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE ACTUAL-MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 R LAN ether 1500 1596 2026 64:D1:54:93:E0:3C
1 R WAN ether 1500 1596 2026 64:D1:54:93:E0:3B
2 RS ether3 ether 1500 1596 2026 64:D1:54:93:E0:3D
3 S ether4 ether 1500 1596 2026 64:D1:54:93:E0:3E
4 RS ether5 ether 1500 1596 2026 64:D1:54:93:E0:3F
5 X ppp-out1 ppp-out
Tehát az ether2 a LAN, az ether3,4 és 5 pedig úgy hogy a Master port a LAN.

A LAN, ether3,4 és 5 interfészeknél az ARP opciót "reply-only"-ra állítottam. (A WAN portnál nem, ott továbbra is ARP: enabled)

A DHCP->DHCP-SERVER-nél az Address pool opció static-only-ra van állítva:
Flags: X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 DHCP-SERVER LAN static-only 3d yes

Az ARP listába szépen feltöltögettem a gépeket, pontosabban amik HDCP-ben mentek, azokat statikusra állítottam (Make Static), meg módosítottam az IP-ket ahol akartam (kivéve azokat a gépeket ahol tudom hogy a gépen statikus IP van megadva).

Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published, C - complete
# ADDRESS MAC-ADDRESS INTERFACE
0 C ;;; Laptop - Laci DELL (LAN)
192.168.1.208 5C:26:0A:47:38:2B LAN
1 C ;;; WiFi AP: TPLink EAP-110 - mcll-ap01
192.168.1.2 50:C7:BF:AE:43:28 LAN
2 C ;;; WiFi AP: TPLink EAP-110 - mcll-ap02
192.168.1.3 50:C7:BF:AE:3E:44 LAN
...etc...

Tegnap este csináltam ezt, ment is, de nem minden gépen (a módosítás után volt router reboot is) ment ahogy azt gondoltam volna. Ugyanis ott ahol a host DHCP-ben volt, és mondjuk a módosításig pl a 192.168.1.200-as IP-t használta, de én az ARP listában azt a hostot átraktam 192.168.1.150-re, az istenért sem volt hajlandó azt átvenni. Mindenáron a .200-as IP-n akart csatlakozni (annak ellenére hogy DHCP volt rajta beállítva...). Természetesen a host-on volt flush is, meg reboot is. Egyedül akkor lett online végre, ha vagy fix IP-re tettem a host-ot (a 150-es IP-re), vagy az ARP-ben átállítottam neki hogy ok, akkor legyél .200.

DE. A laptopom este gond nélkül ment, igaz az az IP volt beállítva az ARP-ben amit előtte is használt. De ma reggel például az istenért sem tudott már csatlakozni, annak ellenére hogy az IP amit kért és kapott az volt, mint ami az ARP-ben is be volt írva. MAC is stimmelt, mégsem volt kapcsolat az internet felé. Nem vágom miért. És ezt több host-nál is láttam.

Úgyhogy most levettem ezt a szigorítást, most megy minden. Mit csináltam rosszul?

"Microsoft gives you Windows... Linux gives you the whole house."

Szia!

Ha make staticolsz a DHCP Lease-n, akkor nem szükséges az ARP táblába külön még feltöltögetni a MAC-IP összerendeléseket, legalábbis én az életben nem csináltam még. Szinte mindenhol így csináltam, röcc nélkül működik.

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

Úgy értem csak simán a DHCP Lease táblában make staticoltam...

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

Sziasztok!

Mikrotik routeremen feltűnt az adatforgalomban, hogy a két droidos telefon rendszeresen magától kommunikál egy bizonyos baidu dot com nevű kínai kereső oldal felé.
Szeretném ezt az adatforgalmat teljesen tiltani tűzfallal.
Erre a célra készítettem ezt a két rule-t:

6 ;;; Drop Blocked IP Input-Src
chain=input action=drop src-address-list=Blocked_ip log=no log-prefix=""

7 ;;;;Drop Blocked IP Input-Dst
chain=input action=drop dst-address-list=Blocked_ip log=no log-prefix=""

Jó ez így, vagy máshogy oldanátok meg?

[ Szerkesztve ]

Azt hogy állítod be neki, hogy csak azok a gépek érjék el a netet, amik dhcp től kértek ip ét?

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Sziasztok!

Amit én szoktam beállítani ez ügyben:

DHCP szerverben:
/ip dhcp-server set [find name="DHCP szerver neve"] add-arp=yes

ARP beállítás az interfészben:

Ethernet interfész esetén[példa ether6 interfész]:
/interface ethernet set [find name="ether6"] arp=reply-only

Wifi esetén[példa wlan1 interfész]:
/interface wireless set [find name="wlan1"] arp=reply-only

Üdv. Slys!

A masquarade.-et csak a dhcp poolra adod ki.

de miééééé az input chain? a mikrotiknak jelentenek?

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Ha már az input, az miért van, ha nekem nincs engedve a in interface : PPPOE interface re, akkor nem műkődik az internet, a forward szabályok alatt van ez ...
Hisz csak átmegy a routeren a válasz nem ?

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Az input és az output lánc a routerre vonatkozik(ezzel tudod a routered "védeni").

Ezekkel a láncokkal tudod befolyásolni, hogy milyen szolgáltatásokat érnek el a routerredből, illetve milyen kommunikációt bonyolíthat kifelé a routered.

A forward lánc vonatkozik a routereden áthaladó forgalomra...

Ha a forward láncon tiltasz kivétel nélkül, akkor nem lesz áthaladó forgalom, addig míg a tiltó szabály előtt nem lesz egy olyan szabály ami engedélyezi az internet forgalmának áthaladását oda-vissza...

Elméletkén ajánlom az iptables magyarázatokat, mert azok alapján egészen jól meglehet érteni a működést(elméletileg azt hiszem a MikroTik -is azt használja).

Remélem nem értettelek félre és nem másról hadováltam...

Üdv. Slys!

Üdv. Slys!

Figyeljetek már oda, hogy amiket leirtok legalább valamennyire érthető legyen. Na jó, legyen a második olvasásra érthető legalább.

Persze csak akkor, ha érdemi választ is akartok!

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

A tűzfalrészre vissza térve, ajánlom minden fő láncba(input,forward,output) betenni a következő szabályokat elsőként:

INPUT lánc:
/ip firewall filter

add chain=input connection-state=established,related action=accept \
comment="Enged\E9lyezz\FCk a m\E1r fel\E9p\FClt \E9s a hozz\E1(juk) kapcsol\F3d\F3 kapcsolato(ka)t. [ Forr\E1s: https://wiki.mikrotik.com/wiki/Tips_and_Tricks_for_Beginners_and_Experienced_Users_of_RouterOS#Firewall ]"

FORWARD lánc:
/ip firewall filter

add chain=forward connection-state=established,related action=accept \
comment="Enged\E9lyezz\FCk a m\E1r fel\E9p\FClt \E9s a hozz\E1(juk) kapcsol\F3d\F3 kapcsolato(ka)t. [ Forr\E1s: https://wiki.mikrotik.com/wiki/Tips_and_Tricks_for_Beginners_and_Experienced_Users_of_RouterOS#Firewall ]"

OUTPUT lánc:
/ip firewall filter

add chain=output connection-state=established,related action=accept \
comment="Enged\E9lyezz\FCk a m\E1r fel\E9p\FClt \E9s a hozz\E1(juk) kapcsol\F3d\F3 kapcsolato(ka)t. [ Forr\E1s: https://wiki.mikrotik.com/wiki/Tips_and_Tricks_for_Beginners_and_Experienced_Users_of_RouterOS#Firewall ]"

Mert ha ezek a szabályok benne vannak a lánc legelején akkor kisebb az esélye, hogy tűzfal állítgatás közben kicsukod magad azonnal...
Emellett is, ha nem figyelsz és bátran kilépsz pl. a WinBox-ból akkor előfordulhat, hogy onnantól nem tudsz újra csatlakozni...

Tehát ilyen esetben célszerű először egy újabb csatlakozást indítani(pl. egy másik WinBox-al még egyszer felcsatlakozni) mert ha, az nem működik akkor több mint valószínű, hogy valami nem sikerült...

Illetve nagyon nem mindegy, hogy a szabályok sorrendben hogyan következnek...

Még egy dolog ami eszembe jutott a sávszélesség méréseket látva:
Ne azzal foglalkozzon senki sem, hogy mit írnak a webes sebességmérők(mivel több okból is hazudhatnak),
inkább azzal amit a MikroTik mér és megjelenít az internetre csatlakozó interfészén keresztül grafikonban!

Bocsánat ha valakit untattam ezekkel a gondolatokkal, de a látottak alapján eszembe jutottak a MikroTik-es kezdeteim és hátha segít ez valakinek...

Üdv. Slys!

Üdv. Slys!

Na akkor így, már egyértelmű lesz:

Így néz ki a filters rész :

1 chain=forward action=drop protocol=tcp dst-port=25 log=no log-prefix=""
2 chain=forward action=drop protocol=tcp dst-port=993 log=no log-prefix=""
3 ;;; Drop new TOR version
chain=forward action=drop src-address-list=New Tor-Users log=yes log-prefix="Drop New Tor version"
4 ;;; Block TOR browser
chain=forward action=drop src-address-list=Tor-Users log=yes log-prefix="Block Tor"
5 X ;;; FastTrack
chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="fast"
6 chain=forward action=drop src-address=10.10.10.0/24 dst-address=192.168.1.0/24 log=no log-prefix=""
7 chain=forward action=drop src-address=192.168.1.0/24 dst-address=10.10.10.0/24 log=no log-prefix=""
8 ;;; Established, Related
chain=forward action=accept connection-state=established,related log=no log-prefix=""
9 ;;; Allowed to router
chain=input action=accept src-address-list=allowed_to_router in-interface=Lan log=no log-prefix=""
10 ;;; default configuration
chain=input action=accept connection-state=established,related log=no log-prefix=""
11 ;;; Allowed to router
chain=input action=accept src-address-list=allowed_to_router in-interface=ether4 log=no log-prefix=""
12 ;;; From DNS from Wan
chain=input action=drop protocol=udp in-interface=Digi-PPPOE dst-port=53 log=no log- prefix="Drop_DNS"

13 chain=input action=drop protocol=tcp in-interface=Digi-PPPOE dst-port=53 log=no log-prefix="Drop_DNS"

14 chain=input action=drop protocol=tcp in-interface=Telekom dst-port=53 log=no log-prefix=""
15 chain=input action=drop protocol=udp in-interface=Telekom dst-port=53 log=no log-prefix=""
16 ;;; Drop invalid
chain=forward action=drop connection-state=invalid log=no log-prefix="invalid"
17 ;;; Drop Invalid
chain=input action=drop connection-state=invalid log=no log-prefix="Invalid"
18 ;;; Drop tries to reach not public addresses from LAN
chain=forward action=drop dst-address-list=not_in_internet in-interface=Lan out-interface=!Lan log=no log-prefix="!public_from_LAN"

19 ;;; Drop incoming from internet which is not public IP
chain=forward action=drop src-address-list=not_in_internet in-interface=Digi-PPPOE log=no log-prefix="!Public from Net"

20 ;;; Drop incoming packets that are not NATted
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=Digi-PPPOE log=yes log-prefix="!NAT"

21 ;;; Drop packets from LAN that do not have LAN IP
chain=forward action=drop src-address=!192.168.1.0/24 in-interface=Lan log=yes log-prefix="LAN_!LAN"
22 chain=input action=drop log=yes log-prefix="Drop"

A kérdésem, pedig, ha kikapcsolom a 10 es szabályt, akkor miért áll meg az internet ?
Ha jól gondolom, akkor a 8 asnak kellene biztosítania, hogy megérkezzen kivülről a válasz ami a 9 esen megy ki.

[ Szerkesztve ]

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Ha megnézed az előző hozzászólásom abban erőteljesen szeparálva lettek az input, a forward, és az output láncok.

Fontos, hogy próbálj egy jó rendszert kialakítani az általad felépített tűzfalban, mert különben össze fogsz zavarodni.

Ha elolvastad(és sikerült megértened) a hozzászólásom, akkor abból kiderült, hogy amit én ajánlottam első bejegyzésnek minden láncban az nálad pontosan a 10-es sor.

Az a szabály semmi másra nem jó csak arra, hogy a routered a már felépített és az azokhoz tartozó kapcsolatokat átengedi az input láncon.

Mivel ezek a kapcsolatok csomagjai lesznek elsősorban a legtöbben ezért az input, a forward, és az output láncon is az első sorban helyezzük el, mivel így lesz a legkisebb a routered terhelése.

Minél több aktív tűzfalszabály van a routerben annál több időt vesz igénybe a szabályok és a csomagok vagy kapcsolatok összehasonlítása.

Meg próbálom elemezni az INPUT láncodat:

9 ;;; Allowed to router
chain=input action=accept src-address-list=allowed_to_router in-interface=Lan log=no log-prefix=""

Itt ha jól értelmeztem a dolgokat, a LAN interfészről bejövő ALLOWED listába lévő IP címek hozzá férhetnek a routeredhez.

10 ;;; default configuration
chain=input action=accept connection-state=established,related log=no log-prefix=""

Ez a szabály lenne az amit előbb már kiveséztem aminek az első helyen ajánlott állnia...

11 ;;; Allowed to router
chain=input action=accept src-address-list=allowed_to_router in-interface=ether4 log=no log-prefix=""

Itt ismételten leírod ugyan azt amit az első sorban, csak itt a lan4-re.

12 ;;; From DNS from Wan
chain=input action=drop protocol=udp in-interface=Digi-PPPOE dst-port=53 log=no log- prefix="Drop_DNS"

Ennél a sornál tiltod az UDP DNS lekéréseket a Digi-PPPOE interfészen.

13 chain=input action=drop protocol=tcp in-interface=Digi-PPPOE dst-port=53 log=no log-prefix="Drop_DNS"

Ennél a sornál tiltod a TCP DNS lekéréseket a Digi-PPPOE interfészen.

14 chain=input action=drop protocol=tcp in-interface=Telekom dst-port=53 log=no log-prefix=""

Ennél a sornál tiltod a TCP DNS lekéréseket a Telekom interfészen.

15 chain=input action=drop protocol=udp in-interface=Telekom dst-port=53 log=no log-prefix=""

Ennél a sornál tiltod a UDP DNS lekéréseket a Telekom interfészen.

17 ;;; Drop Invalid
chain=input action=drop connection-state=invalid log=no log-prefix="Invalid"

Ennél a sornál tiltod(eldobod) a hibás kapcsolatokat

22 chain=input action=drop log=yes log-prefix="Drop"

Ennél a sornál minden egyébb csomagot, kapcsolatot eldobsz(tiltod), amit előtte nem engedélyeztél.

Ha most így ebben a formában végignézed az input lánc sorait és értelmezed őket akkor miért kellene működnie az "internetnek" ha tiltod azt a szabályt?

Logikázzunk(ha jól sejtem az egyéb beállításaidat):
- Te szeretnél egy weboldalt megnyitni, ez valahogy sacc. így néz ki:
1. a géped megpróbálja feloldani a DNS címet,
2. mivel ő nem tudja, a routeredhez fordul,
3. a routerd kiküldi a DNS szervernek a kérést,
4. a DNS szerver elméletileg lesz olyan jó fej, hogy válaszol a kérésedre,
5. DE mivel te befogod a "fülét" a routernek(mivel kikapcsolod a "10"-es szabályt) így ő nem hallja meg a választ, ezért a te géped nem tudja feloldani a DNS-t, így nem tudod megnézni a weboldalt...

Megpróbáltam "egyszerűsíteni" a tűzfalad picit saját logika alapján(ez lehet nem teljesen megfelelő neked)...
Remélem érzékeled a különbséget(lehet ezt még jobban is egyszerűsíteni de most nem kavarlak bele)...

/ip firewall filter
add action=accept chain=input connection-state=established,related \
comment="Enged\E9lyezz\FCk a m\E1r fel\E9p\FClt \E9s a hozz\E1(juk) kapcsol\F3d\F3 kapcsolato(ka)t. [ Forr\E1s: https://wiki.mikrotik.com/wiki/Tips_and_Tricks_for_Beginners_and_Experienced_Users_of_RouterOS#Firewall ]"
add action=drop chain=input comment="Hib\E1s csomagok eldob\E1sa" connection-state=invalid
add action=accept chain=Internet comment="ICMP csomagok enged\E9lyez\E9se" protocol=icmp
add action=accept chain=Internet comment="MikroTik FTP" disabled=yes dst-port=21 protocol=tcp
add action=accept chain=Internet comment="MikroTik SSH" disabled=yes dst-port=22 protocol=tcp
add action=accept chain=Internet comment="MikroTik DNS" disabled=yes dst-port=53 protocol=tcp
add action=accept chain=Internet comment="MikroTik DNS" disabled=yes dst-port=53 protocol=udp
add action=accept chain=Internet comment="MikroTik HTTP" disabled=yes dst-port=80 protocol=tcp
add action=accept chain=Internet comment="MikroTik HTTPS" disabled=yes dst-port=443 protocol=tcp
add action=accept chain=Internet comment="MikroTik Bandwidth Test" dst-port=2000 protocol=tcp
add action=accept chain=Internet comment="MikroTik Bandwidth Test" dst-port=2000 protocol=udp
add action=accept chain=Internet comment="MikroTik WinBox" dst-port=8291 protocol=tcp
add action=drop chain=Internet comment="Internet fel\F5l minden m\E1s csomag logol\E1s \E9s eldob\E1s" log=yes log-prefix=\
"DROP[Internet]: "
add action=jump chain=input comment=Digi in-interface=pppoe-out1 jump-target=Internet
add action=jump chain=input comment=Telekom in-interface=pppoe-out2 jump-target=Internet

Ebben a megoldásban létrehozok egy láncot "Internet" néven, és a két internet kapcsolat interfészét átirányítom és csak egyszer hozom létre a szabályaimat.
Ami kell azt bekapcsolom ami nem kell az marad kikapcsolva.
Az utolsó szabály így is úgyis eldobja az összes előtte nem engedélyezett csomagot, kapcsolatot, így nem dobálgatok szolgáltatásonként el(nálad DNS)...
Itt az internet felől bekapcsolva hagytam a WinBox-ot ill. Bandwidth Test portjait...
Mivel nem tudom a belsőhálózatod, hogy épül fel így azzal nem foglalkoztam most.

Remélem segít valamit ez a kesze-kusza hozzászólás...

Nem épp jó a fogalmazócskám így kérek mindenkit, hogy ezt nézze el nekem.
Illetve, ha valaki valami rosszat sejt a hozzászólásomban, akár bántást, esetleg negatív hullámokat, attól elnézést kérek, mert nem állt szándékomban!!!

Üdv. Slys!

Üdv. Slys!

inkább azzal amit a MikroTik mér és megjelenít az internetre csatlakozó interfészén keresztül grafikonban!

Ezt hol tudom megnézni ?

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430