Sziasztok,
Az lenne a kérdésem hogy a RB750gr3 mennyire tudja kezelni a telekom gigabitet? Kinek mi a tapasztalata ezzel az eszközzel?

Az is megoldás lehet, hogy ha a mikrotik a proxy porton tud http kérést küldeni: le kell kérni egy olyan ismert oldalt (/tool fetch ez mikrotiknél elvileg már megy lokális változóba is) mint pl. google aminek a fejlécében is szerepel a lekérdezés ideje. Ebből egy script ki tudja hámozni az időt és be tudja állítani az órát is ez alapján. A mikrotik NTP szervere meg már ki tudja szolgálni a többieket a hálózatban.

Hmm. Egy kicsit perverz, de nem elképzelhetetlen :-)

Attól függ, hogy konkrétan mire használnád. Kevés tűzfal szabállyal biztosan, QoS-ssel már lehet kicsit izzad, de erős cucc amúgy az áráért.

Le az elipszilonos jével, éljen a "j" !!!

Néha néha megnézegetem a miki logját és most megint megnőtt a winboxos portot csesztetők száma. (szokásos mikrotik fertőzött routerek pásztázzák a netet hogy terjedjenek, talán botnetként.)
Még tavaly bejelentettem párat a govcert-re és egyikkel kezdtek is valamit és most újra visszajött. Hogy a bánatba lehetnek ennyire hozzá nem értőek ha már egyszer írtam nekik levelet hogy fertőzött a router és a govcert is írt nekik most totál ugyan az történt. Valami GTH Holding Zrt, szerintem nincs informatikusuk vagy olyan aki ért a mikrotikhez és legalább havonta egyszer ránézzem hogy mi van.
Szerintem feladom az önként nyomozást. Azaz nem tudom hogy ez GDPR biztonsági incidensnek számít-e mert akkor mindenképpen kellene jelentenem a govcert felé.
Az a durva hogy mennyi ilyen cég lehet még hogy megveszi az x eszközt és felelőtlenül használja.

[ Szerkesztve ]

Vintage Story PH szervere újra fut!

Alapvetően első körben l2tp vpn re. De az is megfordult a fejembe hogy mint internet kapcsolat létrehozása. Csak nem vagyok benne biztos hogy bírná az 1000/1000 -et. De ha már l2tp vpn, hogyan tudom megoldani hogy vpn keresztül elérjem a manage felültetett. Ha kikapcsolok egy tűzfal szabályt ( defconf: Drop all not coming from LAN ) akkor megy, de ezt nem tartom valami elegáns megoldásnak. Valahogy fel kellene venni, hogy engedélyezze l2tp keresztül, csak nem tudom hogy. A tűzfal szabályok jelen pillanatban az alapok, leszámítva a pptp szabály törlését, mivel azt úgyse használom.

[ Szerkesztve ]

Na, helyben vagyunk, ha már L2TP akkor IPSec, ha IPSec, akkor valahol 400MBit/s felett van a hardveres IPSec motorjának a maximuma. Szoftveresen ennyi se.

Le az elipszilonos jével, éljen a "j" !!!

Vpn - nek bőven elég.
Ha csak vpn-nek használom akkor csak biztonság miatt, ha más wifi hálózatot használok. Max rakok rá egy pi-hol-t. A biztonság érzet növelésére.

"leszámítva a pptp szabály törlését, mivel azt úgyse használom"
Törlés helyett ajánlom a "Disabled" alkalmazását. Ki tudja, hátha.

"Valahogy fel kellene venni, hogy engedélyezze l2tp keresztül, csak nem tudom hogy"
Input chain, interface-list = all-ppp, action = accept

Nincs kizárva hogy valamit rosszul csinálok, de ez nekem nem hozta a várt eredményt.
Azaz, L2TP nem érem el a manage felületetett. Lehet hogy számít de a telefonos app-ra gondoltam, mint manage felület.

vettünk egy új CRS routert, és egyszerűen nem jövök rá mit nem állítottam be, hogy kilásson a netre.

vázolom a helyzetet:
a netre egy CCR csatlakozik, alatta van mostmár kettő CRS, azok alatt további switchek, majd végül a kliensek.
az új CRS alatt is van net (én is most abba vagyok bedugva), de maga az eszköz nem lát ki a netre, a CCR-t még meg tudom pingelni, de semmit ami azon túl van, nem.

[lengyelr@SomogyiCRS2] > ping 8.8.8.8
SEQ HOST SIZE TTL TIME STATUS
0 8.8.8.8 timeout
1 8.8.8.8 timeout
2 10.19.1.2 84 64 962ms host unreachable
3 8.8.8.8 timeout
sent=4 received=0 packet-loss=100%

így nem tudom rOS-t frissíteni pl, meg egy csomó mindent.
tűzfalszabály nincs felvéve, DNS be van állítva, Route-ok szintén

[lengyelr@SomogyiCRS2] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 bridge1 1
1 ADC 10.19.1.0/30 10.19.1.2 bridge1 0
2 A S 192.168.0.0/16 bridge1 1

biztos valami triviális fasság hiányzik, de nem tudom merre induljak el.
a másik CRS-el nincs semmi baj, végignéztem a beállításait, de szinte ugyanezek...

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

megvan

[lengyelr@SomogyiCRS2] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.19.1.1 1
1 ADC 10.19.1.0/30 10.19.1.2 bridge1 0
2 A S 192.168.0.0/16 bridge1 1

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

sziasztok, vlmit nem jól csinálok. az a helyzet vlhogy van egy hapac2 ,arra rádugtam egy managgelhető cisco switchet. olyan mintha a switchen nem menne át internetkapcsolat. közvelenül a mikrotikbe dugva van internet, és a wifi is működik. Mi az amit átkellene néznem?

Nézni egy torch-ot a switch felé menő porton.

Milyen switchet használtál(típus)? Ha managelhető, állítottál valamit rajta(engedélyezted a portot)? Melyik portba csatlakoztattad?

"Got any other secret weapons?"

Meg kellene nézned a cisco-n a port statust, hajlamos arra, hogy bpdu guard lekapcsolja a portot amibe dugtad a mikrobit.

tudja valaki mi a különbség a RBD52G-5HacD2HnD és a RBD52G-5HacD2HnD-TC között?

Szerintem csak ez:TC - Tower (vertical) Case enclosure (for hEX, hAP and other home routers.)
[link]

köszi!

Szerettem volna az 5Ghz-et CAPsMAN alá betenni de mindig a not supported channel hibát kapom. Azt látom hogy sok embernek van ilyen hibája de megoldást nem találtam rá.

Most nincs időm visszakeresni, de a megoldás néhány hónapja leírtam itt.

SG 200-08 8-Port Gigabit Smart Switch a portok a switchen engedélyezve vannak mikrotik oldalról lesz a gond. sajna nem vagyok mikrotik zseni
Lehet meghagyom haveromnak hogy kezdjen vele valamit mert emlékeim szerint csak kitépném a hajamat (hiába kezdtem el tanulni)

[ Szerkesztve ]

szerintem a portnál lesz vlmi gond, hogy kéne kinéznie?

Ha ugyan arra a portra közvetlenül csatlakozva van net, akkor kicsi az esély rá, hogy Mikrotik oldalon lesz a gond...

Alex

az 5GHz-esnek csináltál külön Configurationt?

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Köszi . Működik

Igen az is hiba volt. köszi!

Tudna valaki segíteni hogy vendég wifit (virtuális interfész) miért nem tudok a CAP eszközön használni. A wireless táblában nincsen jelen.A CAPsMAN eszközön mindenhol látom és természetesen tudok is csatlakozni rá. Előre is köszönöm!

Sziasztok ! Egy azt hittem egyszerű dolgot szeretnék de mégis elakadtam Mivel csak 5 gigabit portom van és van 5 100-as is át szeretném rakni az eth1-ről az eth6-ra a wan-t , így nyernék egy gigás portot. Az interface list-ben a wanportot átraktam 1-ről 6-ra . A bridge > portnál kivettem az eht6-ot és beraktam az eth1-et. A dhcp cliensben az eth1-et átraktam az eth6-ra. Elvileg ennyi lenne de nem megy , hogy gyakorlatilag is menjen valaki tudna segíteni ?

Szia!

Milyen neted van? UPC esetén a DHCP klienst se árt átrakni eth6-ra

Ahogy írta a kolléga, azt átrakta.
Viszont, ha modem van előtte (pl. UPC), akkor a mögötte lévő eszköz MAC cím változás esetén (márpedig a port csere ezzel járt) csak akkor fog IP-t kapni, ha a modemet is újraindítod.

Alex

Saját eszközön DIGI van, cégnél a UPC-t sima DHCP klienssel állítottam, interface list-et nem használtam, ezért nem tudom, hogy elég-e, ha ott átállítja.

A MAC-et átírni az kb. 2 kattintás Mikrotik-en.

Ez nagyjából minden routeren igaz, de mivel az UPC-nél nincs MAC szűrés (csak a modem viselkedik ilyen bénán), így én jobban szeretem, ha egy eszköz a saját MAC címével kapcsolódik... Ehhez pedig sajnos újra kell indítani a modemet/HGW-t.

[ Szerkesztve ]

Alex

Az Invitelnél is ugyanez lehet, vagy ott van MAC szűrés a routeren?
Inviteles kábelmodem mögött klónoznom kellett a MAC-et, különben nem kapott címet a router, de nem jutott volna eszembe újraindítani a Cickó modemet

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Ha a szokásos Docsis 3.0 Cisco modemekről/HGW-kről beszélünk (EPC3208, EPC3212, EPC3925), akkor biztosan.

Alex

Kinézetre az EPC3208 volt az.

Le az elipszilonos jével, éljen a "j" !!!

Sziasztok!

Segítséget szeretnék kérni. Elköltöztem egy panelból egy kertes házba. A szolgáltatóm maradt a digi, de a mikrotik routerem elé kaptam két eszközt (optikai átalakítót és egy routert), ami eddig nem volt (bár nem hiszem, hogy emiatt lenne). A digis router bridge módban. A saját mikrotik routeren pedig átállítottam a pppoe-t az új userre. Ezzel gondoltam vissza is állítottam a régi hálózatot. A net gond nélkül megy, ahogy a mikrotikes ddns is. De pptp hálózat már nem elérhető, ahogy a routert sem érem el azon a porton, ahol eddig simán rá tudtam csatlakozni winbox-szal. Ugyanakkor a NAS-t, ftp-t, akár távoli asztallal elérem az otthoni eszközöket. Viszont a kamerát nem szeretném kiengedni a hálóra, ezért szeretném visszaállítani a vpn-t.
Előre köszönöm a segítséget.

Sziasztok

A jó múltkori távoli elérés problémát sikerült megoldani a segítségetekkel, amiért hálás köszi.
Viszont sokatok tanácsára úgy döntöttem, hogy akkor a biztonság kedvéért inkább legyen VPN.

e90lci tanácsára Open VPN mellett tettem le a voksom. A következő problémával szembesülök:

https://prohardver.hu/tema/synology_nas_a_nem_hivatalos_forum/hsz_50485-50485.html

Mint kiderült helyi hálózatból, a routert kihagyva a buliból, működik a VPN. Szóval valami router config baj van, de ez már magas nékem.

Ezek az élő port forwardingok jelenleg:

1 ;;; 80-as port
chain=dstnat action=dst-nat to-addresses=192.168.5.10 to-ports=80
protocol=tcp in-interface=pppoe-out1 log=no log-prefix=""

2 chain=srcnat action=masquerade out-interface=pppoe-out1 log=no
log-prefix=""

4 ;;; VPN
chain=dstnat action=dst-nat to-addresses=192.168.5.10 to-ports=1194
protocol=udp in-interface=pppoe-out1 log=no log-prefix=""

Valami hiányzik... Azt egyébként látom, hogy az 1194-es porton van mozgás, ha próbálok csatlakozni.

Nem NAT mögött vagy? Az IP/Cloud ablakban írja is, ha NAT mögött vagy. Telefon ügyfélszolgálatra és kapsz rendes publikus IP címet.

Nem, mert akkor egyáltalán nem érnék el semmit, nem? De egyébként kértem is tőlük. Amikor néztem a Cloud-ot updated volt a státusz.

a mikrotik openvpn verziója tudtommal nem megy udp-n csak tcp-n.
tehát a 4-es szabályod rossz.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Igen, de Ő a NAS OVPN használja, ami a képen látva UDP.
Lehet hülyeséget írok, de a Firewallhoz hozzáadod?

/ip firewall nat add action=dst-nat chain=dstnat comment=OpenVPNServer disabled=no dst-port=1194 protocol=udp to-addresses="NAD IP CÍME" to-ports=1194

[ Szerkesztve ]

IPhone 15 Pro Max, Iphone 13

Tűzfalban is engedélyezted a 1194 portot?
A dstnat esetén nincs beállítva hogy melyik porton érkező csomagot irányítod át.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nason engedélyezve van a 1194-es port.

A VPN portom eredetileg így néz ki:

4 ;;; VPN
chain=dstnat action=dst-nat to-addresses=192.168.5.10 to-ports=1194
protocol=udp in-interface=pppoe-out1 dst-port=11194 log=no log-prefix=""

És az open vpn configban is 11194 van megadva. Csak pont próbálkoztam össze-vissza, és valszeg nem az eredetit másoltam be.

@bambano ha tcp-re váltok (routeren és nason is), akkor sincs változás

És az open vpn configban is 11194 van megadva. Csak pont próbálkoztam össze-vissza, és valszeg nem az eredetit másoltam be.

Ok, de kliens vagy szerver oldalon? Ha szerver oldalon, akkor a routerben nem jó a port.
Ha van dstnat szabály, akkor viszont tűzfal szabály nem kell már. A dstnat chain előbb fut le, és utána megy arra amerre küldted.
link