Sziasztok

Pár napja megkértek, hogy állítsam be a routeren, hogy 80-as 443-as portokhoz a 192.168.88.254 gépet forwardoljam. Beállítottam, de nem sikerült. Mit rontottam el? Előre is köszi a segítséget!

[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade out-interface=pppoe-out1 log=no
log-prefix=""

1 chain=dstnat action=dst-nat to-addresses=192.168.88.254 to-ports=80
protocol=tcp in-interface=ether1-gateway dst-port=80 log=no
log-prefix=""

2 chain=dstnat action=dst-nat to-addresses=192.168.88.254 to-ports=80
protocol=udp in-interface=ether1-gateway dst-port=80 log=no
log-prefix=""

3 chain=dstnat action=dst-nat to-addresses=192.168.88.254 to-ports=443
protocol=tcp in-interface=ether1-gateway dst-port=443 log=no
log-prefix=""

4 chain=dstnat action=dst-nat to-addresses=192.168.88.254 to-ports=443
protocol=udp in-interface=ether1-gateway dst-port=443 log=no
log-prefix=""

[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp log=no log-prefix=""

1 ;;; default configuration
chain=input action=accept connection-state=established,related log=no
log-prefix=""

2 X ;;; default configuration
chain=input action=drop in-interface=ether1-gateway log=no
log-prefix=""

3 X ;;; default configuration
chain=forward action=accept connection-state=established,related log=no
log-prefix=""

4 X ;;; default configuration
chain=forward action=drop connection-state=invalid log=no log-prefix=""

5 X ;;; default configuration
chain=forward action=drop connection-state=new
connection-nat-state=!dstnat in-interface=ether1-gateway log=no
log-prefix=""

6 chain=forward action=accept protocol=tcp dst-port=80 log=no
log-prefix="filter"

7 chain=forward action=accept protocol=udp dst-port=80 log=no log-prefix=""

8 chain=forward action=accept protocol=tcp dst-port=443 log=no
log-prefix=""

9 chain=forward action=accept protocol=udp dst-port=443 log=no
log-prefix=""

[ Szerkesztve ]

1 chain=dstnat action=dst-nat to-addresses=192.168.88.254 to-ports=80
protocol=tcp in-interface=ether1-gateway dst-port=80 log=no
log-prefix=""

2 chain=dstnat action=dst-nat to-addresses=192.168.88.254 to-ports=80
protocol=udp in-interface=ether1-gateway dst-port=80 log=no
log-prefix=""

3 chain=dstnat action=dst-nat to-addresses=192.168.88.254 to-ports=443
protocol=tcp in-interface=ether1-gateway dst-port=443 log=no
log-prefix=""

4 chain=dstnat action=dst-nat to-addresses=192.168.88.254 to-ports=443
protocol=udp in-interface=ether1-gateway dst-port=443 log=no
log-prefix=""

Hát ebből a 4db szabályból szerintem 2db UDP-nek nincs értleme (legalább is ezek tipikus TCP-k).
És a másik kettőt is egy szabályba "sűríteném":

1 chain=dstnat action=dst-nat to-addresses=192.168.88.254 to-ports=80,443
protocol=tcp in-interface=ether1-gateway dst-port=80,443 log=no
log-prefix=""

6 chain=forward action=accept protocol=tcp dst-port=80 log=no
log-prefix="filter"

7 chain=forward action=accept protocol=udp dst-port=80 log=no log-prefix=""

8 chain=forward action=accept protocol=tcp dst-port=443 log=no
log-prefix=""

9 chain=forward action=accept protocol=udp dst-port=443 log=no
log-prefix=""

Ezekre miért is van szükség? Én használok "port-forward"-ot, de ilyen szabályok nélkül, és műxik.
Üdv,
z

stackoverflow-n írták, hogy tegyem be a udp szabályt. Töröltem a 2 udp szabály és 6-9 filter-t is, de még mindig nem jó

Nekem ennyi van megadva hibátlanul müxik, firewall nem kell hozzá....

1 chain=dstnat action=dst-nat to-addresses=x.x.x.x to-ports=xxxxx
protocol=tcp dst-port=xxxx log=no log-prefix=""

sztem ennyi elég hozzá, így a wan felöl érkező 443 as és 80 as portokat továbbítja ide : 192.168.88.254

/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 \
action=dst-nat to-addresses=192.168.88.254 to-ports=80

/ip firewall nat add chain=dstnat protocol=tcp dst-port=443 \
action=dst-nat to-addresses=192.168.88.254 to-ports=443

a firewallból töröld ki nyugodtan sztem...

Pppoe van kifele, mig befele meg a fizikai ethet1 (átnevezett) port van. Miért müködne?
A DSTNAT hoz is a pppoe kell.

(Jössz egy sörrel )

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Köszönöm, ez volt a dolog nyitja, mostmár működik rendesen a szkript is

"Go to work, get married, have some kids, pay your taxes, pay your bills, watch your tv, follow fashion, act normal, obey the law, and repeat after me: I AM FREE"

Tegnap nézegettem a log fájlt, és tele volt ezzel a bejegyzéssel "ether2-master-local excessive broadcasts/multicast, probably a loop". Találkozott már valaki ezzel?
Az ether2 a 3-4-5 master portja, és ide megy egy switch amire még négy eszköz.
Amiket próbáltam:
-ether2-re közvetlen egy laptop: ugyanez az interface warning üzenet
-ether5-re a switch: nincs hibaüzenet
-router újraindítása(táp kihúz): megszűnt a hibaüzenet ether2-n is
-router szoftveres újraindítása: megint előjön a hiba
6.32.2 van fent, nem tudom ez számíthat-e. Valakinek ötlet esetleg? Egyébként a használat során nem venni észre semmit, látszólag minden oké, csak ez a félpercenkénti bejegyzés zavar a logban.

Az egyik eszköz, egy notebook, mind wifin mind vezetéken is rajta van a hálón.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

azt meg tudja mondani nekem valaki, hogy mit akar hazajelenteni a mikrotik routerem???

15:17:00.837481 IP 192.168.253.128.60147 > 81.198.87.240.15252: UDP, length 520
15:18:00.845369 IP 192.168.253.128.41396 > 81.198.87.240.15252: UDP, length 520

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ip Cloud Service (Dynamic DNS)

kösz, ez a 6.30-as sw elég érdekes lett...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Átírtam, de még mindig nem működik.
[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade out-interface=pppoe-out1 log=no
log-prefix=""

1 X chain=dstnat action=dst-nat to-addresses=192.168.88.254 to-ports=80
protocol=tcp in-interface=ether1-gateway dst-port=80 log=no
log-prefix=""

2 X chain=dstnat action=dst-nat to-addresses=192.168.88.254 to-ports=443
protocol=tcp in-interface=ether1-gateway dst-port=443 log=no
log-prefix=""

3 chain=dstnat action=dst-nat to-addresses=192.168.88.254 to-ports=80
protocol=tcp in-interface=pppoe-out1 dst-port=80 log=no log-prefix=""

4 chain=dstnat action=dst-nat to-addresses=192.168.88.254 to-ports=443
protocol=tcp in-interface=pppoe-out1 dst-port=443 log=no log-prefix=""

Működik, de ha nincs hairpin, akkor belülről nem megy. Próbáld ki mobil netről.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Úgy néz ki, (majdnem)megvan mi volt a hiba. Nem a wifi+kábel egyszerre, mert az AP-t még fizikailag is leválasztottam a routerről, és ugyanúgy dobálta a hibákat. Ránéztem a switchen a portokra, és amin a poe-t kapta, 10Mbps/half duplex volt a kapcsolat. Kiiktattam a tápfeladót és egyből 1Gbps/full duplex-re váltott, és a hibajelzések is megszűntek. Egy vatta új ubiquiti poe injectort használtam a 750GL-hez, lehet ezt nem szerette, de nem tartom kizártnak a kábel hibát sem(nem volt otthon teszterem, hogy megnézzem) bár az /interface ethernet cable-test okénak mutatja.

Nem lehetséges, hogy nem gigás PoE-t használtál? Külön van 100-as és 1000-es.

Most melyik az internet interface? Az "pppoe-out1" vagy az "ether1-gateway"?
Szerintem nagyon nem mindegy :-)

[ Szerkesztve ]

maszkolás csak a pppoe-n van, igy csak az lehet.. A fizikai eth1 portot átnevezte ether1-gatewaynek, e miatt van aztán a keveredése, gondolom nem "vette észre", hogy a pppoe kapcsolattal egy új interfészt hozott létre.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

bacus és Zwodkassy köszönöm a segítséget. Igazából még csak most kezdtem ismerkedni a témával.

Egy dolgot még nem értek. Ugyanazt állítottam be 80-ra, mint 443-ra, de 80-as portra a nmap azt írja ki, hogy filtered.

Nézd meg,hogy a router maga nem használja-e a TCP:80 portot: Ip\Services\www. Ez alapból erre van konfigurálva.

Létrehoztam virtual AP-kat. Készítettem egy dhcp pool-t az ide csatlakozó klienseknek, a belső hálózattól eltérő hálózati címtartományban. Mit kell még beállítani, hogy internet kapcsolatuk azért legyen?

MikroTik CRS125-24G-1S, Groove A-52-HPn

egy mikrotikes kollégát a munkába..

(mi kell a nethez? ip cím, címfordítás, átjáró)

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Valami más lesz, mert www tiltva van, csak ssh-t használok.

Mikrotik wiki akapján próbálom beállítani a hairpin-t, de valamit félreérthettem, mert nem sikerült.
Így próbáltam:
5 ;;; hairpin
chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24 dst-address=192.168.88.254
out-interface=bridge-local dst-port=80, 443 log=no log-prefix=""

Ezzel a hajtű témával nekem is voltak először gondjaim :-) De most műxik:
add action=masquerade chain=srcnat comment=\
"Hairpin-Nat - Nastp,Ftps,Https" dst-address=192.168.81.100 \
dst-port=2121,5001,55536-55663 out-interface=Br-Lan81 protocol=tcp \
src-address=192.168.81.0/24
A "Br-Lan81" egy Bridge Interface. Ezen van az (egyik) belső Ip cím és az (egyik) Dhcp Server (is).

Ugyanúgy van nálam, csak nálam nem működik.

"Ugyanúgy van nálam, csak nálam nem működik"
Mennyire ugyan így? Csak azért kérdezem, mert a "bridge-local" elnevezésből úgy tűnik, mintha ez egy "Default Config" lenne. Márpedig ebben az esetben valamelyik ethrnet interface (pl ether2-local-master) kapja a belső (Lan) IP-t és nem a Bridge.

[ Szerkesztve ]

A "bridge-local" nálam is egy bridge interface. Ezen van az (192.168.88.254) belső Ip cím és az (192.168.88.0/24) Dhcp Server (is).

Na, megnéztem, felelevenítettem, mi is volt a trökkje a dolognak. "HairPin-Nat" alkalmazásakor ugye használunk "Port Forward"-ot is. Ez ugye arra kell, hogy kívülről elérjünk egy belső szolgáltatást:

add action=dst-nat chain=dstnat comment="NAS - Ftp+Ftps" \
dst-address dst-port=2121,55536-55663 in-interface=\
pppoe-adsl-out1 protocol=tcp src-address-list=!Balcklist to-addresses=\
192.168.0.100

A "Haipin-Nat" segítségével pedig ugyanúhy érhetjük el belülről a szolgáltatást, mint kívülről:

add action=masquerade chain=srcnat comment="HairPin-Nat - NAS" dst-address=\
192.168.0.100 dst-port=2121,55536-55663 out-interface=bridge-local \
protocol=tcp src-address=192.168.0.0/24

Csakhogy valamiért ez így nem működik ... neked sem :-) Megoldás:

add action=dst-nat chain=dstnat comment="NAS - Ftp+Ftps" \
dst-address dst-port=2121,55536-55663 protocol=tcp src-address-list=!Balcklist to-addresses=\
192.168.0.100
A "Port Forward" részből kitöröljük az "in-interface" bejegyzést :-) De,hogy mi ebben a logika?!?

Köszi a segítséget így már be tudtam állítani.

Na, igen, és a megoldás végül az lett, hogy.....

Skacok, ha van egymásra kötve egy Mikrotik eszköz és egy Debian szerver mindkét oldalon és bekapcsolom az ethernet csatolókraa a Flow control-t, akkor Linux oldalon mit kell állítani, hogy a szerver is küldje-fogadja-értelmezze a flow control csomagokat?

Le az elipszilonos jével, éljen a "j" !!!

Mókusok!

Próbálgattam ezt a capman témát, és olyan érzésem van, mintha a capmanos hAPlite lassabb elnne, mintha nem capmanos modban hanem nativ AP-kent uzemel. Semmi trukk nincs a konfigban lokalis lanra tolja ki a forgalmat, csak a wifi kozpontositva van managgelve, de ha igy van az AP akkor kb 20Mbitet tudok belole kihozni, ha meg nativan megy akkor 28-at. Lattatok mar ilyen csodat?

"Próbálgattam ezt a capman témát, és olyan érzésem van, mintha a capmanos hAPlite lassabb elnne, mintha nem capmanos modban hanem nativ AP-kent uzemel. Semmi trukk nincs a konfigban lokalis lanra tolja ki a forgalmat, csak a wifi kozpontositva van managgelve, de ha igy van az AP akkor kb 20Mbitet tudok belole kihozni, ha meg nativan megy akkor 28-at. Lattatok mar ilyen csodat?"

"Local Forwarding" vagy "CAPsMAN Forwarding" üzemben megy a CAP? Mert ugye k***a nem mindegy :-)

Erre valaki? [link]

Le az elipszilonos jével, éljen a "j" !!!

Most nyúlok először Mikrotik kütyühöz, két SXT Lite 5 személyében, amik még 3.2-es RouterOS-el érkeztek.

Első pillantásra lenyűgözött a WebFig, de a lehetőségek tárháza egyben nehezebbé is teszi a kezdők életét. Főleg, hogy szerintem még olyasmiket is látok a menükben, amikhez nincs meg a RouterOS licens-em (L3), így csak még kevésbé "látom a fáktól az erdőt".

Bár már a dobozban talált papírka megkér rá, hogy kezdjem egy RouterOS frissítéssel, ezt egyelőre inkább kihagytam, mert ez egyszerűbbnek tűnik online módban automatikusan, mint offline manuálisan.
Online-á válni viszont már nehezebb, mert ha a DHCP-s router-em egyik LAN portjára csatlakoztatom egy ilyen SXT egyetlen ethernet portját, akkor sem a WebFig nem válaszol az alapértelmezett IP-jén (és ahogy a router-em nézem, DHCP-ről sem kér/kap más IP-t, de az ő alapértelmezett IP-je is szabad, szóval valamelyiknek működnie kéne), sem a WinBox nem éri el MAC-cím alapján sem (az ugyan erre a router-re kötött, egy LAN-on lévő PC-ről futtatva). Továbbá a router-em WiFi AP-jéhez sem tudok vele kliensként csatlakozni, mikor közvetlenül a PC-vel kötöm össze és úgy elérem a WebFig-et (ez utóbbi valószínűleg user error, amiért még nem ismerem a RouterOS-t).

Szóval kicsit megtorpantam vele és elgondolkodtam, hogy esetleg megpróbáljak-e inkább OpenWRT-t ütyködni rá az ismert konfigurációs felület miatt. De viszonylag komplikált ezekre a telepítése és nem tudom, hogy vesztek-e vele valami hasznos proprietary cuccot (példának túl-limitálja-e a rádió adóerősségét és a választható csatornákat). És igazából tetszene a RouterOS, ha sikerülne konfigurálnom.

Semmi másra nem használnám ezeket az SXT-ket, csak a LAN térbeli kiterjesztésére: egy WiFi AP egy router-be és egy WiFi Client egy switch-be.

[ Szerkesztve ]

TV/monitor kalibrálást vállalok. ||| "All right , Thom. But understand this: I do care for you. I care for all the lost souls than end up up here."

ha jól tévedek, a 3.2-es routeros olyan ősrégi, hogy frissíteni sem lehet már.
küldd vissza a cuccot. 6.31-esnél régebbi routeros-sel ne fogadj el semmit, ami új. a doksik zöme nem igaz a régire, stb.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Mivel ezek 3 as licensek, nincs benne AP mód majd ezt vedd figyelembe, csak wds bridge tudod tenni őket !

[ Szerkesztve ]

A hármasban a webfig is egy hányadék

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Bocs, csak átverődtem, mikor a System/Routerboar fülön láttam ezt:
Model SXT 5nD r2
Current Firmware 3.22
De v5.26 a RouterOS verzió és V7-ig bezáróan upgrade-elhető ezzel a license-el.

Mondjuk ez is egy főverziónyival alacsonyabb, mint az aktuálisan letölthető, de ezért szerintem nem éri meg visszaküldeni és drágább helyről másikat venni (két darabról van szó).
Vagy már a V5 is több éves? A letöltési oldal alapján ez már az aktuálisan használt MIPS architektúra lehet, ha V5-el indul.

(#938) poli27

Aha... Akkor ezért volt ez ennyire "olcsó"...?
Tehát L3-al nem fog menni, amit terveztem: (A) ponton lévő router LAN portjából egy kábel egy SXT-be, (B) ponton egy SXT-ből egy kábel egy switch-be, és így (egy IP tartományban, NAT/forward/firewall nélkül) elérni oda-vissza az (A) és (B) pont közt a hálózatra kötött eszközöket?

[ Szerkesztve ]

TV/monitor kalibrálást vállalok. ||| "All right , Thom. But understand this: I do care for you. I care for all the lost souls than end up up here."

Az 5.x-es routeros is elég régi, de annyival jobb, hogy azt lehet mostanira upgradelni, mert mint láthatod, két főverziónyi ugrást enged a licensz. tehát upgradelj, nem nagy varázslat.

Pont-pont kapcsolathoz elég az l3 licensz, tehát amit csinálni akarsz, azt éppen pont tudni fogja. csak ne wds-ezzél, mert a hajad kihullik tőle. van a mikrotikben rendes nem szabványos bridge kód, azzal meg lehet csinálni rendesen.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Point-to-point módnál nem hiszem, hogy sokat számít, ha elavul az OS. A biztonsági és kompatibilitási gondok szerintem olyasmiknél jöhetnének ki, amiket ilyenkor ki lehet, vagy akár kell is kapcsolni (tűzfal, DHCP szerver, stb, igazából még a konfigurácós felületekről is kizárhatom saját magam is, mikor már üzemelnek).

OpenWRT-vel csináltam már működő WDS-t (úgy, hogy még magát a WDS Client eszközt is el lehetett érni mindkét oldalon IP alapján), de itt egyébként sem volt tervben.

A PoE adaptereikkel viszont nem vagyok megelégedve. Nem elég, hogy nem standard feszültségű és passzív, de szarul is passzol a foglalatokba a normál oldali dugó.
Nem hálózati gond, hogy nem látom a router-emen át, a laptop-omba is nagyon nehéz úgy beigazgatni a csatlakozófejet, hogy működjön. Fogni kell kézzel, vagy ölbe venni úgy, hogy a lábam feszítse kicsit a csatit és ez is csak az egyikkel sikerül, a másiké gyakorlatilag halott, így kicsit nehéz kipróbálni őket együtt.

TV/monitor kalibrálást vállalok. ||| "All right , Thom. But understand this: I do care for you. I care for all the lost souls than end up up here."

az újabbakban a segédprogramok újabbak, pl. antenna beállítás, frekvencia tartomány szkennelés, ilyenek.
de te tudod, mindenki a maga szerencséjének a pogácsa.

ugyanet a wds-re: lehet ilyet csinálni, csak minek, ha van egyszerűbb.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nem akar a szívemhez nőni a kütyü.
WinBox-al feltöltöttem az .npk file-t, nyomtam egy reboot-ot, aztán vártam türelemmel, de ~15 perc után még mindig csak ugyan úgy villogott a User LED, ahogy rögtön a reboot parancs után kezdte.
Elvettem az áramot, visszaadtam, de ugyan ezt csinálta, az IP-je nem válaszolt.
Csináltam egy gombnyomvatartós reset-et és elindult V6-al.
Szerencsére nem egy fémrúd tetejéről kellett levenni, hogy Reset-eljem, akkor mérges lennék, hogy minek kellett nekem V6.

Érdemes ráforrasztani egy kábelt a Reset PIN-ekre, azért néznek ki így?

TV/monitor kalibrálást vállalok. ||| "All right , Thom. But understand this: I do care for you. I care for all the lost souls than end up up here."

Ha már a Flow Controllra nem írtatok, hátha erre
Mi a tapasztalatotok a Mikrotik 24V-s Poe-jával? Milyen távolságig müxik gigabites vonalon CAT6-os kábelen? Van egy kábelrendező 50 méter kábel után, melynek a táplálását a szerverszobából akarnám megoldani.

Le az elipszilonos jével, éljen a "j" !!!

Szia!
Ebben sincs konkrét tapasztalat mikrotik esetében, de elvileg simán mennie kell.
50m nem nagy táv és ha felére esne is a feszültség még mindig illene mennie (bár ez típusfüggő, hogy milyen határok között megy el).
Próbáld ki, és érdekességképpen írd meg hogy mekkora feszen megy (system/health).

Szerintem a szabvány szerint ethernet 100Mbit-en a max kábbelhossz 100m (cat5/cat5e). Ha a PoE ethernet 100Mbit-es hálón akarod használni akkor a 100 m-t tudnia kell. Nekem Cisco switchen lóg Aruba AP 90m-en nem is egy, simán mennek. Van olyan telefon ami 130 m-en van, PoE szempontból az is megy, csak az adatok nem jutnak el odáig . (viszont itt ha leveszm 10Mbit-re akkor már azok is)

A legügyesebb állat az ürge, hiszen búzával teli pofazacskóval is képes repülni, miközben egy bagolyt egyensúlyoz a hátán.

csak a cisco af-es poe-t használ, a mikrotik meg nem, ami azt jelenti, hogy a cisco 48 voltot ereszt a drótba, amiből több érkezik meg, mint a 24-ből.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nem hogy nem érdemes, de nem is kell. Nem is értem ezt. Ha egy oszlop tetején kellene resetelni, akkor is elég elvenni a tápot a reboothoz. Persze ha nem tudod a jelszót és teljesen alaphelyzetbe akarod állitani, akkor kellhet a reset gomb megnyomása, de az elmúlt 5 évben én egyik eszközön sem kellett megnyomjam egyszer sem !

A winbox nem csak ip cimen éri el az eszközt, ha az ip nem válaszol, az lehet konfigurációs hiba is, tessék layer2-n a mac addresshez kapcsolódni.

Igy elolvasva amiket eddig irtál, nem tudom, hogy javasolnám e neked a mikrotiket. Van egy tudásod, amit te rá akarsz húzni a mikrotikre, nem pedig forditva, azaz a mikrotik tud egy csomó mindent, amit neked kellene megtanulni.
(ilyen pl az, hogy isten mentsen meg a frissitéstől, lehet a régi szoftver jobb, ezt meg azt letilják, stb. Én ilyet még nem tapasztaltam, illetve ha volt, hogy valamit időszakosan elrontottak, azt nagyon hamar javitják)

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

"Főleg, hogy szerintem még olyasmiket is látok a menükben, amikhez nincs meg a RouterOS licens-em (L3)"

Nem tudom mire gondolsz, semmi ilyen különbség nincs. Olvasd el a wikit, a 3 és 4-es level között van egy különbség, a 4 lehet AP a hármas licensz nem.
(plussz a BGP között is van különbség, de ezt itt nem veszed észre..)

A 4,5,6 -os licenszek között semmilyen egyéb menüpont különbség nincs, minden menüpont él minden szinten.
(gondolom nem az lesz a szűk keresztmetszet, hogy csak 200 PPTP tunneled lehet 500 helyett.)

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30