Sziasztok,

Hol tudom beállítani egy MikroTik RB951Ui-2HnD routeren, amin WebFig 6.28 fut, hogy csak egy bizonyos weboldalt lehessen elérni róla, lehetőleg csak az egyik hálózaton?
Köszönöm a segítséget!

Kb. így:
A tűzfalban blokkolod a tcp 80-as, és 443-as port forwardolását, ezzel blokkolod a http és a https oldalakat.
A tűzfalban felveszel egy engedélyt az adott oldal eléréséhez - ezt berakod a blokkoló szabály elé. Innentől csak ez a weboldal érhető el.

Avagy lehet hotspot-ot is használni, azzal megoldható, hogy bármit írnak be a böngészőbe, akkor is a megadott egyetlen oldal jön be...

Ha 6.28-as a RouterOS akkor célszerű lenne frissíteni (jelenleg 6.43.2-nél tartunk).

[ Szerkesztve ]

Sziasztok, kellene egy kis segítség.
Caps-Man probléma.
hibaüzenetet kapok, ha a caps-mant aktiválni akarom az egyik wAP-on.

couldn't change interface wlan1 - interface managed by capsman (6)

Nem bírok rájönni, hogy mi fogja.

Nyakamba kaptam egy "nagyjából" működő Mikrotik RB2011UiAS-RM routert, több wAP-al.
Mindnek külön SSID-ja van, így nem is működik a roaming, pedig a cél ez lenne.
Próbakép két AP-t öszeraktam Caps-Man-al, működött is. Gondoltam akkor a Mikrotik legyen a vezérlő,
ezért töröltem az AP-k általam módosított dolgait, de innentől kezdve jön a fenti hibaüzenet, mintha valami fogná.

BackUpom van az AP-król az fullbackup ? Mindent visszaállít ?

"interface managed by capsman (6)"
Ezek szerint egy CAPsMAN már kezeli az adott eszközt, interfészt.
És ha jól emléxem azt is meg kell adni ha CAP-ként akarod használni az adott eszközt, interfészt.

Sziasztok!

jart e mar vakaki az alabbi cipoben?

van egy halozat

router1 link router 2 link router 3 link router4

mindenegyes linken kulon kulon megvannak a savszelek. router1 tol router3 ig megvan a maximalis savszel. router1 tol router4 ig lecsokken kb 30 szazalekot. ezzel meg nem is lenne gond . de a problem hogy a tcp savszeleket ugyfelenkent is csokkenti 10 20 szazalekkal. ugyftol visszafele merve router4 ig savszel ok. router3ig ok router2 ig meg veszik a savszelbol kb 20 szazalek. ugyfel kapcsolatok pppoe alapuak. van egy trukk miszerint a queue alatt default small erteket 10 rol 50re vagy 100 atallitva jo illetve jobb lesz. valamenyivel jobb is lett. de egy 60 megas savszelbol max 45 erkezik meg tcpn savszel merokkel. egy torrentet elinditva meg hasit a max 60 savszel az ugyfelnel. ugyfeleknel.
de durva hogy az utolso routerbol bandwith tesztel is elveszik. a routerek
1: 1072 2:1016 3:1100ahx2 4:1100ahx2

Ha valakinek van tippje kerem ne habozzon!

elore is koszonom!

Hát, tegnapi ipon átvétel és ez ez csak 112MB memória HAP AC2 -vel.

Gyári állapot |=> Up2Date állapot

[ Szerkesztve ]

Mikrotik-Hu | -unofficial- | https://www.facebook.com/groups/mikrotikhu/

kiegeszites! ha az egyes routerre bekotorr masik eszkozre merek akkor megvan a savszel. csak aza baj hogy az egyes routeren van a betap. azon mennek ki a netre

128 az

Új hardverek számlával, garanciával érd PM.

Sziasztok!

Milyen VPN megoldást ajánlanátok nekem amihez adott egy mikrotik rb750, és multi platformon kellene stabilan üzemelnie(windows 7,10, MAC OS, IOS, esetleg android is, de az nem létkérdés most épp)

Jelenleg OpenVPN-t használok, de csak az IOS-ről megy stabilan, a windows kliensek hibára állnak ki... bekapcsolódnak, viszont valami gebasz van a dhcp settinggel, mert se pingelni nem tudok belőle semmit, se őt..miközben az uptime pörög, tehát él a kapcsolat)

Vagy ha esetleg valaki nagyobb tudora a olognak és lenne kedve ötletelni maradhat az openvpn, csak kéne némi segítség, mert már feladófélben vagyok.

Ahogy cisnáltam a servert jelenleg:
[link]

Amit még próbáltam:
[link]

[ Szerkesztve ]

Esetleg L2TP+ipsec. Windowsokon megy és szerintem almás cuccokon is.

De akkor miért nem annyit ír ki? Nekem az RB951 és a hAPac is 128.0 Mib-et ír ki. A hAPac2 meg 240.0 MiB-et.

szerintem a routing infót keverted össze. az openvpn-en nem kellene átmenjen a dhcp, ha rendesen van beállítva. ezt:

route 192.168.88.0 255.255.255.0 192.168.90.1

nem értem a konfigodban.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Lehetséges, hogy a routing infóval van a gond.
Az én értelmezésemben ez a sor azt csinálja, hogy a 192.168.88.0/24 es címtartományba beroutolja a 192.168.90.1-et (?) Igazából ez a sor azután került be, hogy az alma teló sem látta a 88as tartomány eszközeit(de ebben már nem vagyok teljesen biztos.)
Ha kiveszem azt a sort, akkor se jó a kapcsolat windows alól.

Egyébként gondolom az alma kliens kihagyja a neki nem megfelelő sorokat, azért működik, ugyanis a logjában nincs error.
Míg a windows kliensében van:
[link]

én nem mostanában konfiguráltam openvpn-t (szóval tévedhetek...), de szerintem az a sor pont a fordítottját csinálja.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Én igy tudom:
Route Destination-Ip Subnet-Mask Gateway

[ Szerkesztve ]

lehet csak én nem értem? Légyszives olvastasd már el a beírásod valakivel, hogy ő vajon érti e, mert akkor velem van a baj.

Esetleg egy rajz lehet segítene..

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Szóval ha adott a 192.168.0.0/24 lan pool és a 192.168.90.0/24 vpn pool akkor a kettő közti route a :
192.168.90.0 255.255.255.0 192.168.0.1. ??

Szia.

Nem véletlenül el lett számolva a kiosztása a queue-ban? Csak mert ha a parent és az alatta levőknek az összege nem egyenlő akkor arányos osztást végez a ROS, ami okozhat ilyen becsapásokat. Illetve ha a trigger szint túl alacsony.

Ez oké.
De ha ez egy routeren belül van, akkor ezekhez úgyis van/lesz dinamikus szabály

Sziasztok!

Egy kis segítséget kérnék:

Egy hAP SOHO RB951Ui-2nD -n szeretném a következőt, hogy menjen:

Wifi beállítva station módba, csatlakozott a telefonomhoz, kapott is IP, a telefonom látja is mint csatlakoztatott eszközt. Létrehoztam egy Bridge1-et amibe benne van ether 2-től 5-ig. Ether2-nek fix IP 192.168.2.254/24. DHCP server bekapcsolva, Bridge1-re oszt is IP-t a 192.168.2.0/24-es tartományból. Egy kliens gép kapott is IP tőle.

Ether1 és Wlan1 DHCP Clientre van állítva, Wlan1 kap is IP-t ugye a teleótól.

NAT szabály létrehozva Ether1-re és Wlan1-re is.

Ha Ether1-en keresztül rádugom a céges hálóra akkor kap is ip, és van is net a kliens gépen. Ha csak Wlan1 van csatlakozva a telóra (hotspot) akkor nincs net. Egy kültéri teszteléshez lenne fontos, hogy legyen net a Bridge1-re kötött eszközökön.

Esetleg routing szabály van elírva?

Tűzfal szabályok vannak, ha kikapcsolom az összeset, ha újra engedélyezem, a helyzet változatlan.

Köszönöm előre is.

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat!A kis emberek mindig ezt teszik de a nagyok éreztetik veled, hogy te is naggyá válhatsz."

Tegnap este kinyírtam az egész VPN ocnfigot a mikrotiken. Felvertem újra, mindkét tutoriallal, a win7es PC még most sem kapcsolódik hiba nélkül, az még mindig nem látja a belső háló cuccait, VISZONT a win10-es gép hiba nélkül felmegy már.
Ami érdekes, hogy a route sorral játszottam elég sokat, meg átgugliztam pár fórumot, de csak ez a jól működő:

route 192.168.0.0 255.255.255.0 192.168.90.1

Ami mostmár így, hogy bezséltünk róla nekem is úgy logikus, hogy IP NM > GW

a kombinatorikus programfejlesztés (=találgatás) nem logikus.
a logikus az, ha lerajzolod szépen a hálózati struktúrát és az alapján megtervezed a routingot.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Teljesen igazad van, holnap megrajzolom, megnézem a távoli win7es PC tartományát.

Egyébként az jutott eszembe, hogy régen /32-es tartományt használtam a VPN-nek, mert elég volt annyi cím.
Lehet valahol egy config részben benne maradt a /32 a /24 helyett, csak a telefon nem foglalkozott vele a windows PC-k meg igen ... Bár vannak kétégeim ezzel kapcsolatban, mert a második tutorial ctrl C ctrl V és az sem ment.

Átnéztem minden beállítást, de nem találom, hogy hol hibáztam volna.

Ha az ether1-en csatlakozom céges hálózatba, vagy bármilyen másik hálózatra ahol van net elérés akkor megy a Bridge1-en is.

Amint letiltom az ether1-et vagy kihúzom a kábelt, és wlan1-en csatlakozom station módban a telefon hotspotjához, akkor nincs bridge1-en elérés.

Routing jó, tűzfal jó, legealábbis abból kiindulva, hogy kábelen megy.

Lehet, hogy a telo hotspotja szívat?

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat!A kis emberek mindig ezt teszik de a nagyok éreztetik veled, hogy te is naggyá válhatsz."

A telefon milyen IP-t oszt?
NAT szabályt sokféleképpen fel lehet venni... de elég lehet akár egyetlen szabály is mindkét interfészre (tehát pl. az out interfészt nem kötelező megadni).
Mivel a beállításokat jelenleg nem tudjuk, ezért lehetetlen megmondani melyik beállításon bukik el a dolog.
Tegyél be egy export-ot, mert így csak találgatni lehet a pontos beállításokat.

[ Szerkesztve ]

A router eléri a netet amikor a telefonra csatlakozik? Tudsz pingelni kifelé, pl. 8.8.8.8-at?

a /32 az nem tartomány, hanem hoszt.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nem, timeout-al elszáll.

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat!A kis emberek mindig ezt teszik de a nagyok éreztetik veled, hogy te is naggyá válhatsz."

192.168.43.0/24 -ből oszt.

[ Szerkesztve ]

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat!A kis emberek mindig ezt teszik de a nagyok éreztetik veled, hogy te is naggyá válhatsz."

A /ip route szabály nem kell, mert a DHCP kliens dinamikusan létrehozza a bejegyzést hacsak az add default route négyzetet nem törölted (és az export alapján nem).

Az exportban nem látszik a wifi résznél mode=station, miért?

A LAN oldali IP címet nem az ETH porthoz, hanem a bridge-hez rendeld hozzá.

Ez volt a baj, nagyon nagyon köszönöm.

A wifi mode pedig station-ben van.

Add def route bekapcsolva.

Az IP cím, hozzá rendelés volt rossz.

"Tartsd magad távol azoktól, akik le akarják törni az ambíciódat!A kis emberek mindig ezt teszik de a nagyok éreztetik veled, hogy te is naggyá válhatsz."

ok, hibával kapcsolódik, de mi a hiba? Az ovpn kliens log-ot ha elolvasod, ott mit ír hibának?

A routing szabályokról: pár hónapja volt itt egy beírásom "kevésbé szakmabelieknek", hogy is működik a tcp/ip hálózat, mi az az átjáró, mi a fenének kell, stb... nem kéne azt visszakeresni időről időre és elolvasni?

Mikor azt írja itt valaki, hogy "nem látja a gépeket, belső háló cuccait", soha nem tudom eldönteni, hogy ez mit jelent? nem lehet pingelni vagy a microsoft networknél az explorerben nem látszik?

Ez a sor pl kifejezetten lehet hibás is, ha a kliens ami ide betárcsáz egy olyan hálón lóg, ahol a helyi router ip címe 192.168.0.1 és ott kap ip-t mondjuk a 192.168.0.100-t pl.

Mit is csinál ez a sor?
route 192.168.0.0 255.255.255.0 192.168.90.1
Azt mondja, hogy ha csomagot akarsz küldeni az adott alhálózatba, akkor azt a xx.90.1 felé kell küldeni.
Nos ha a kliens ip címe a fenti, már meg is hülyült az egész hálózat az adott gépen..

Az openvpn nagyon jó, de a kliens konfig fáljában is van egy pár beállítás amit el lehet rontani, szemben mondjuk az l2tp vagy sstp, pptp -nél, ahol nincs a kliensen beállítás, illetve alapértelmezetten a becsatlakozás után az lesz az alapértelmezett átjáró, ergo minden forgalom arra terelődik...

Tisztázd le, hogy mit szeretnél, a kliensek honnan csatlakoznak be, rajzolj kicsit és ha még mindig nem tudod hol a hiba, akkor minden szükséges info-t megadva kezdjük elölről.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Azért akkora blődséget csak nem csinál, hogy egy 192.168.0.x hálózatból egy 192.168.0.x hálózatba akar belépni VPN-n keresztül :-)

"openvpn nagyon jó, de a kliens konfig fáljában is van egy pár beállítás amit el lehet rontani, szemben mondjuk az l2tp vagy sstp, pptp -nél, ahol nincs a kliensen beállítás"
Hát én PpTp és L2Tp esetén is tudok állítgatni: pl ez legyen-e az alapértelmezett átjáró, vagy ha nem, akkor milyen hálózat/hálózatok találhatóak a kapcsolat mögött.
Persze egy OpenVpn konfig fájl telis tele van minden földi jóval :-)

[ Szerkesztve ]

Sziasztok!

CAPsMAN-nal kapcsolatos kérdés. Beállítottam az otthoni hAP ac2-őn, hogy a CAPsMAN kezelje mind a két rádiós intarface-ét, illetve a hozzá csatlakoztatott wsAP ac lite mindkét rádióját is.
Működik minden mind a 4 rádión megy a fő és vendég wifi is.
Viszont nem találtam leírást arról, hogy milyen módon lehet összekábelezni az így működő eszközöket. Most direktben vannak összekötve, de idővel lehet, hogy lenne még egy AP, ami 1, de lehet, hogy 2 switch mögé kerülne a hálózatban. Kipróbáltam a mostani konfigot egy sima, nem managelhető switch közbeiktatásával. Elvileg működik. Kérdés hogy ez így fog is, vagy a jelen helyzetben csak szerencsém volt?

Sziasztok,

Domain autentikációs megoldást szeretnék vpn-hez csatolni és ezt a megoldást néztem, használja esetleg valaki megbízhatóan működik, mik a tapasztalatok?
https://wiki.mikrotik.com/wiki/AAA_with_Active_Directory
Köszönöm.

Veszek eredeti tonereket,patronokat

Ha ez a helyzet, akkor nem lehet kivitelezni ?

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Ha "sima" switch kapcsolat lesz köztük, azaz Layer2 (ethernet szint), akkor minden ok.

Vagy a kliens, vagy a fogadó oldalon alhálózatot KELL változtatni.
Miért is? A kliensnek mondjuk 192.168.0.11/24 az IP címe. Ha ezzel bejelentkezel VPN keresztül egy 192.168.0.0/24 hálózatba soha nem fog csomagot küldeni a VPN felé, mert ő már eleve ebben a hálózatban van. Legalábbis IP szinten(Layer3). Nem is akar gateway-hez fordulni. Routing decisions.
Ezért van az, hogy több hálózat összekötése előtt, le kell ülni, átgondolni, és megtervezni előre a (logikai) felépítést.

[ Szerkesztve ]

Erről egyébként "bacus" már írt egy rövidke szösszenetet.
Pl: küldeni akarsz levelet Kala Pálnak. Akkor meg kell adnod a pontos címet. Ha nem adod meg, a postás nem tudja melyik Kala Pálra gondoltál. Annyi eltéréssel, hogy az IP világában, ha a helyi Kala Pálnak (a saját hálózatodon belül) akarsz üzenetet küldeni, akkor "nem kell minden adatot" megadni, vagy legalábbis nem annyit .

[ Szerkesztve ]

Ha mindenképpen azonos IP tartományú hálózatokat akarsz összekötni, akkor meg kell oldani, hogy ne legyenek azonos IP címek a két hálózatban, és layer2-n is összeköthetők, pl. EOIP protokollal ,vagy BCP bridge-el. Viszont ezeknek is számtalan hibalehetősége van - pl. meg kell oldani, hogy a két hálózat DHCP szervere ne ütközzön, és ne is osszon ki azonos IP-ket.
De két azonos IP tartományú hálózatot úgy is összeköthetsz, hogy a /24-es IP tartományokból csinálsz /25-ös IP tartományokat, és máris két külön hálózat lett belőlük.. Persze ezt is illik megtervezni előtte.

Szia, a hiba a következő:
[link]

A hálózati topológia főbb elemei a következők:
[link]

A két narancs kliensből akarom elérni a pirosat.
Illetve az iphone 7 is kliens amikor épp nem adja a netet a win10-es PC-nek.
A jobb szélső topológiát természetesen nem ismerem 100%osan, a tracertből bogarásztam ki az átjárókat.

"Vagy a kliens, vagy a fogadó oldalon alhálózatot KELL változtatni."

Ez is megoldás, de van, hogy nem lehetséges, de az ovpn szereti a /30-as hálózatokat és lehet src nat és dst natokkal is operálni. Persze ez melós tud lenni, de sok esetben a feladat az, hogy a kliens becsatlakozva elérje a benti szervert (nem kell az összes gépet) vagy fordítva, én akarom elérni a becsatlakozott kliens összes portját !
Tipikusan így érem el az ügyfelekhez kitelepített szervereimet, azok ott bekerülnek a hálózatba (dhcp), majd betárcsáz az irodámba, így elérem a szervert, amit utána fix címre tudok akár állítani (egy szerver ne legyen dhcp függő). Nálam src nat van, így akár smb is megy.. Előny, hogy soha nem kell kimenjek az ügyfélhez (egyszer sem), megy minden telefonon, majd leküldöm a szervert és beüzemelem anélkül, hogy egyszer is jártam volna arra. Ez azért némi előny az ország másik végében lévő gépeknél.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Egy kis érdekesség, a cserélt RB450Gx4-ről
/korábban volt cpu hőmérséklet is/

[kép]

[ Szerkesztve ]

Cirbolya_sentinel

még a router ovpn szerver ablakáról kellene egy kép, a profil beállításról, a pool-ról, és a secrets-rol, nem kellenek a jelszavak..

az ovpn oldaláról melyik klienst használod? a 2.3.18-as tuti jól megy, de a 2.4.6-al azt hiszem volt problémám már..

A logot elnézve az a baj, hogy te ott nem a poolból kapsz ip-t. /30-as hálót akar, akkor 192.168.90.1 - 192.168.90.2 előtte utána network és broadcast address, majd utána megint 4 ip ahol a szerver 192.168.90.5 - 192.168.90.6 , majd a következő a 192.168.90.9 - 192.168.90.10

gyanítom az ovpn szerver beállításnál mode ip van beállítva..

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Frissitsd le es lesz.

Új hardverek számlával, garanciával érd PM.

Igen mode ip van,
ethernetnek kellene lenni?
A githubos script nem határozza meg, így gondolom az IP mode az alapbeállítás.

[link]
[link]
(a route- listbe nem kell semmi? erről nem találtam érdemben semmit és a két tutorial se csinál vele semmit)>>SZERK: már látom, automatán hozzá adja mikor belép egy kliens
.ovpn:

client
proto tcp-client
port 41194
#remote 192.168.0.1
remote XXX.sn.mynetname.net
dev tun
nobind
persist-key
route 192.168.0.0 255.255.255.0 192.168.90.1
tls-client
ca ca.crt
cert client.crt
key client.key
redirect-gateway def1
ping 10
verb 3
cipher AES-256-CBC
auth SHA1
pull
auth-user-pass
auth-user-pass user.auth

user.auth példa.
1.sor:dell
2.sor:generált password(ugyan az, mint a secretben)

A cert file-okon jelenleg nincs passphrase, mert ha ráteszem az iphone nem tud vele belépni.
[link]

Kliensből már bezséltük, hogy a régiek jobbak. Kezdtem 2.2.2.-vel, és kb mindet kipróbáltam már. Jelenleg a 2.4.6 van fent mindkét gépen. A win10-es már belép hiba nélkül. De a win7es kakókifli.

[ Szerkesztve ]

Aztafűzfánfütyülőrézangyalát! Mostanáig tartott mire kicserélték? Sürgősen frissítsd, komoly biztonsági rés van a 6.40.9 utáni, de 6.43 előtti veziókban! Legalább 40 routerről hallottam amit meghekkeltek!

[ Szerkesztve ]