Hirdetés
- Luck Dragon: Asszociációs játék. :)
- sziku69: Szólánc.
- sziku69: Fűzzük össze a szavakat :)
- Brogyi: CTEK akkumulátor töltő és másolatai
- ldave: New Game Blitz - 2025
- Sub-ZeRo: Euro Truck Simulator 2 & American Truck Simulator 1 (esetleg 2 majd, ha lesz) :)
- Gurulunk, WAZE?!
- Real Racing 3 - Freemium csoda
- bambano: Bambanő háza tája
- eBay-es kütyük kis pénzért
-
LOGOUT
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
kovyhun
tag
Köszönöm.
(az előzőleg bemásolt táblában volt egy elírás, azt javítottam: 1.0.0.2 -> 1.1.1.2)
Nem nagyon volt időm ma rá, nem is vagyok otthon, így nem tudom teljesen lepróbálni.
A két router tudja pingelni egymást, a mobilnetesről el is érem a másikat, viszont fordítva nem ment.
De ennek már örülök, hogy alakul valami
Köszönöm mindenkinek az eddigieket, innen talán már boldogulok."Ja és a konfigurációt így szokták megadni: /IP route export"
Ez nekem nem működik, csak ezt adja vissza (nagy IP-vel meg hiba):admin@MikroTik-Home] > /ip route export
# sep/03/2018 17:13:33 by RouterOS 6.42.7
# software id = 6ZNW-J7ZR
#
# model = RouterBOARD 941-2nD
# serial number = 6DE0674F83514
[admin@MikroTik-Home] > -
-
bacus
őstag
A pool a remote addresshez kell, a local address lehet minden kliens esetén azonos, ez a router ip címe.
Ettől még több kliens csatlakozhat azonos jelszóval, mind más ip címet fog kapni, hiszen az a poolból jön.Még sosem láttam, hogy a local address is poolbol legyen kiosztva, nem is igazán értem, miért jó,ha minden kliens mást lát..
"Némelyik mobilnetes szolgáltató korlátozza a VPN használatát (persze ha reklamálsz, simán hazudnak és letagadják)."
Nem némelyik, hanem mindegyik és csomagtól függ. Nyilván egy korlátlan beszédforgalom mellett nincs értelme korlátozni a vpn -t, senki nem akar skype,viber,whatsappon trécselni bizonytalan minőségben.
A korlátozást a szolgáltató azzal éri el, hogy melyik APN-t tudod használni az előfizetéseddel. Mind a 3 szolgáltatónak publikus minden APN címe, ha tiltják a vpn-t, akkor meg kell nézni megy e a másik APN-el.Ráadásnak ez a tiltás is általában csak a PPTP vpn-re vonatkozik.
-
kovyhun
tag
Többfélét próbáltam, legutoljára eszerint állítottam be (a bridge-es rész nem teljesen egyértelmű, a leírás készítése óta változott a felület)
https://mum.mikrotik.com/presentations/MM15/presentation_2962_1445240964.pdf
Ez a kliens mobilnetes router (10.0.0.1):
Csatlakozik, látszólag van valami adatforgalom, de a szerver 20.0.0.1 ping-re nem válaszol.
(sőt a winbox is leszakad többször a kliens router-ról pedig közvetlen annak a wifijére csatlakoztam) -
kovyhun
tag
Igen, ezen a mobilneten nincs publikus ip-m és mivel ott futó kiszolgálókat is el kell érnem ezért gondoltam hogy vpn-el megoldható. Az adsl-es routert próbálgattam szervernek beállítani, a "quick set" panelen könnyen be is kapcsolható, de nem tudom hogy kell-e még állítani valamit.
Ping-et nem próbáltam csak tracert-et, az nem ment végig.
Egy biztosan jó kliens beállítást találok valahol? -
#5599
E.Kaufmann
veterán
ekkold
#5597
E.Kaufmann
veterán
Pont hogy router kell neki, ami nem NAT-ol hanem routol valamint nem ártana tűzfalazni sem azt a forgalmat, ezen felül nem ártana egy Load Balance és Failover IPv6-on is. Én a failover-ig jutottam csak elektromos hurrikán csatornával.
Az a baj, hogy nem nagyon akar működni a mikrotik-es webproxy IPv6-os oldalakkal, jeleztem ezt a nemzetközi fórumon is, de más bajuk is van. Viszont egy PFsense-vel vagy friss Squid-del megoldható, az IPv4-es kliens simán elérte az IPv6-os weboldalakat és a webes tesztek is azt jelezték, minden ok.
Fordítva viszont szépen müxik a mikrotik-es webproxy, ULA-s címen elérve a Mikit, Edge és Chrome simán kilátott az IPv4-es oldalakra, viszont a Firefox zokonvette az IPv6-os proxykapcsolatot, akár direkt IPv6-os címmel, akár statikus dns névvel hivatkozva rá, ami mögé csak az ipv6-os címét írtam a mikinek.
-
#5595
MasterDeeJay
veterán
ekkold
#5559
Jó cikk!
Emlékszem rá mit szívtam 4 éve a legelső mikrotikkel (Rb2011) amit rámbíztak. Nehezítésnek terepen kint 30+ fokban wifin keresztül egy kicsi netbookal teljes délelőtt. Maga az eszköz egy padláson volt fent 50 fokban gyakorlatilag semmi rögzítéssel a kábeleken lógva, de lakáson kívül kellett programozni.
PPPoe-t kellett beállítani úgy hogy semmit nem értettem belőle. Netes leírások alapján (mert hát mobilnetem volt telefonon sikerült is)
Persze ment kb 10 percet és használhatatlan lett. Az 53-as portot nem tiltottam, na hát kérnem is kellet új címet a szolgáltatótól mert nem volt már használható semmire az eredetileg megkért.
Persze a servicesnél sem tiltottam semmit.
Aztán összetákolva ugyan de ment, viszont így nem lehetett ügyfélnek átadni. Szerencsére egy mikrotikes okos emberke tudott segíteni és távolról megcsinálta sok baromságot amit beállítottam.
De kezdőként már az sikerélmény volt hogy megy rajta net.
Éppen két hete állt le szegény, de nem dolgozom már ott nem tudom mi lehetett vele. 4 évet ment hibátlanul télen nyáron tetőtérben. Talán a kondik főttek meg benne vagy feltörték de lehet csak a táp szállt el.A legrégebbi ami megy az rb433-as gyári ezeréves firmwarrel, szétfolyt kondikkal mai napig már 8-9 éve, azt nem én programoztam de senki nem mer belenyúlni. Eléggé más felülete van winboxon, fejből nem emlékszem hogy 4-es vagy 5-ös volt a szoftja.
-
-
Ablakos
addikt
Olyasmit olvastam, hogy az address lists ip-ket erőforrás szempontjából jobb már a raw prerouting láncban elhajigálni. Jó ez az információm?
[admin@RB1100AHx4] /ip firewall raw> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Drop all packets from public internet which should not exist in public network (Bogons)
chain=prerouting action=drop in-interface=pppoe-WAN log=no log-prefix="" src-address-list=bogons -
e90lci
senior tag
Szia
100%-ban egyetértek veled.Nekem is csak itthonra kell.Szerintem aki meg otthon használja (hobbi szinten) ahogy én is az nem fog kifizetni több 10000 Ft csak azért,hogy valaki felprogramozza.Vagy épp nincs ideje elmenni tanfolyamra akár hogy szeretne,vagy nem akar pl megint több router árát kifizetni online tanfolyamra.
Én is a netről ollóztam össze ami kell.
Ezer hála és köszönet!!!
-
Soma01
veterán
Szerintem nekem jó lesz, mert még mindig 0-n állok és kellene a segítség. Angolul annyira nem vagyok profi, hogy mindent megértsek 100%-ban. Tanfolyamra elmenni nemigen fogok. Bár lehet megérné, de csak magam miatt csinálnám. Nem is tudom, mennyibe kerül egy tanfolyam. Más meg ne állítsa be, mert én szeretném tudni, hogy mi micsoda. Ha meg megtanulom, lehet tudom már alkalmazni is ezt a tudást több "munkámnál" is. (segíteni szoktam egy biztonsági cégnek, netes, hálózatos ügyekben)
-
bacus
őstag
Az a baj, hogy akinek ez segítség, annak nincs, vagy nullához közeli a hálózati alapismerete.
Aki meg akarja tanulni, annak ott van az angol nyelvű wiki, számos tanfolyamra beiratkozhat, aki meg nem, annak ott a quick setting és kér egy kis fizetős segítséget. (vagy nyilván egy szintig kaphat itt ingyen is segítséget, ha megakadt és nem nullán van, nem követelőzik és nem azt várja, hogy kompletten felprogramozza neki valaki a routerét)Ha elmegy ez a fórum a teljesen kezdők felé, akkor nem lesz értelme komolyabb kérdést feltenni.
Ez a router mindig is feltételezett számos alap ismeretet, ha valaki vizsgázott, akkor tudja, hogy az első vizsga alig foglalkozik magával a mikrotikkel.. -
#5558
Cirbolya_sen
aktív tag
ekkold
#5556
Cirbolya_sen
aktív tag
Most kaptam hírlevélben:
http://www.intercrown.eu/mikrotik-4011-es-szeria-van-uj-a-nap-alatt
-
#5545
Cirbolya_sen
aktív tag
ekkold
#5461
Cirbolya_sen
aktív tag
Fejlemény van:
Wireless-Bolt
"nálunk is produkálta az alaplap a jelzett hibát. Egyeztettem a Mikrotikkel, akik szerint a BIOS-ban van egy bug ami okozza a galibát és dolgoznak a kijavításán. Feltettem a 6.42.7-es verzót, ami 5 napos működés után stabilnak mutatkozik összeszerelve. Mellékeltem képeket. Az 5 napban van egy hétvége, ami a log-ban látszik is, mert nem léptem be. Napi 8 órában tudtam 30% -on terhelni az alaplapot. Nem indult újra, nem szakadt meg a link.
Most leállítottam, kivettem a házból, visszatettem a házba és rátettem a fedelet. Ha a mai nap végéig nem jelentkezik a hiba, akkor holnap visszaküldöm GLS futárral."----
Ezek szerint sikerült belehúznom, vagy több probléma is van, mert itt a fórumon is használja a lapot /Shkiz0/ és neki hiba mentesen megy.
-
#5530
E.Kaufmann
veterán
ekkold
#5525
E.Kaufmann
veterán
Lesz benne Multi WAN LB &FO?
Próbáltam az indirekt routing-ot, de ha 2 IP címmel is akartam tesztelni egy WAN uplinkeket, akkor maradnom kellett a scheduled script-nél.Tényleg, erről jut eszembe. Mikin nincs routing mark IPv6 alatt? Mit lehet helyette? Próbáltam volna mindkét WAN vonal felé felhúzni egy-egy IPv6 tunnelt (HE), de a router mögött összezavarodtak a dolgok a két külön címtartománytól.
Maradt az 1 tunnel, aminek a WAN oldali cimét egy másik scripttel állítgatom attól függően, mi az éppen elsődleges WAN vonal publikus IP címe. -
-
-
yodee_
őstag
Az exportált beállításokat sikeresen visszaállítottam. Ezekben tudnál segíteni:
"Ami kell neked WAN oldal: PPPOE beállítása, LAN oldal: LAN portokat bridge-be tenni, bridge IP beállítása, DHCP szerver beállítása, NAT-olás beállítása. Ezután már lesz internet. Persze még némi tűzfal konfig sem árt.
Utána jöhet a többi pl. wifi beállítás, port-forward, VPN, stb.... "Csak hogy ne baltázzam el megint.
-
yodee_
őstag
Közben megint ki kellett vennem és csak másodlagos routernek állítani, mert valamiért a webes felület megszűnt létezni
illetve egy csomó oldal nem jött be. Nem értem hogy miért nem állítottam semmit. A nagy kérdés, hogy mit tegyek? Reset vagy van mit átnézni? Ha reset akkor a DHCP bejegyzéseket és a port forward bejegyzéseket tudom valahogy exportálni majd később importálni? -
#5468
MasterDeeJay
veterán
ekkold
#5467
-
DanielK
addikt
Köszönöm a gyors választ.
Hosszú távon emg szeretném tanulni, azért vettem meg a routert. De egyelőre kell hogy működjön, ezért hagytam a quick setupot. Ha megy, elmentem a beállításokat és akkor majd kísérletezgetek.
Sajna a másik nem mikrotik, így marad a laptop-router vpn, akkor majd utána nézek még a beoadcastingnak.
A beállításokat csekkolom majd a tűzfalban.
Köszönöm! -
-
-
#5405
Cirbolya_sen
aktív tag
ekkold
#5404
Cirbolya_sen
aktív tag
a táp is /elvileg/ vadi új, semmin nem látok sérülést, beállítottam varázsló nélkül
és most várom, hogy mi lesz.
A nagyobbik gyerkőc neten játszik, úgy hogy terhelést is kap, és ha újraindul a router, gyorsan meg fogom tudniLetiltottam a telnet és a 80-as szervizeket is, a logolást is fájlba küldtem, ha most is megadja magát, és a poe sem segít, tényleg csak a hibás lap marad
kiegészítés:
5 órán keresztül nem indult újra, amikor a wan kábel ki volt húzva /digi ont/ míg korábban 40-60 perc körül megadta magát -
#5384
Cirbolya_sen
aktív tag
ekkold
#5383
-
#5381
Cirbolya_sen
aktív tag
ekkold
#5380
Cirbolya_sen
aktív tag
Igen, az idő szervert már beállítottam a kfki-ra, ez nagyon szúrta a szemem
Nincs mit tenni, megyek lépésenként.
Most szünetmentesbe dugtam bele, nehogy a villany szórakozzon velem /igaz pontosan ezen a helyen már több router remekül működött/
A következő lépés a reset és a varázsló kihagyása, kénytelen voltam a "quick set"-et is kipróbálni, képbe akartam jönni a Digi1000-hez mennyire kezesbárány a kicsit hozzáértőbb felhasználóknak.
Ha ez sem segít jön a downgrade, ha még így sem, akkor már a többire kevés a jelenlegi mikrotik tudásom.
-
#5369
Core2duo6600
veterán
ekkold
#5367
Core2duo6600
veterán
Csont nélkül viszi a gigabitet, speedtestnél 28 % nál nem láttam még nagyobb cpu terhelést.
Én 2 vonalat kezelek vele, 2 alhálót, egyik a digit a másik a telekomosat használja.Egy miki 750 GR3 -ast váltott amit az 500 as nethez vettem, mert eredetileg olyat rendeltem.
Az az 500ast épphogy elvitte,de amikor emelt a Digi 1000 re elvérzett.Az vitt rá végülis arre az 1100 AHx4 esre, hogy Synology Routert ajánlottak, az is került volna ennyibe, de a miki egyszerűen többet tud, pl.: a Syno nem tudta volna a 2 net et kihasználni, nem ismeri a policy routingot, és még sorolhatnám, biztosan az is nagyon jó, de korlátosabb mint ez.
Mondom ezt úgy, hogy közel nem használom ki a RouterOS teljes tudását.
Aztán néztem még az Edgeroutert is, de ami biztosan elvitte volna ezt a vonalat nem volt csak ventilátoros megoldásban, ami egy hálószobában nem jó, de még egy nappaliban sem.
Így jutottam el az 1100 AHx4 es miki hez, ami akkor lényegében az egyetlen egy olyan eszköz volt, amelyik csendesen tudja a gigabitet HW nat nélkül.
Utobbi azért volt fontos, mert azt olvastam, hogy HW nat esetében nem igazán van tűzfal funkció, ezért gyorsabb, hogy ez igaz-e vagy sem, nem tudom, de ezt olvastam.És hát az általad említett posztokhoz én is eljutottam, és nem akartam kockáztatni, ez is benne volt a dologban.
-
KTTech
veterán
Ennél sokkal jobb megoldás is van. A portok átrakása kb. annyit ér, mint halottnak a szenteltvíz, aki rendesen keres, meg fogja találni a szolgáltatás portját. Viszont van olyan tűzfal szabály a Mikrotikre, ami tényleg figyeli a portscan-t, és azt már lehet tiltani is.
Nálam így néz ki egy elhárított portscan, és látható, hogy a legtöbb port, amit próbál az 1023 feletti, de persze benne vannak a népszerű portok is, 1023 alatt (igaz, mire oda jutott volna, már ki volt tiltva):
Jelenleg 2 IP tölti a 14 napos kitiltását. Mondjuk az egyik szolgáltatóm (Virgin Media) arra is harap, ha nyitva van valamelyik szervizport - szükségem volt a Cacti miatt az SNMP-re (read-only módban), és már jött a figyelmeztető levél, hogy nyitva van a portom.
Az 53-as portot (TCP és UDP) meg alapból célszerű tiltani WAN felől, arra nem is kell több energiát fordítani.
A 80-as portot egyébként sok program használja akkor is, ha nincs mögötte webszerver, így aki ott akar bemenni nem feltétlenül akar támadni (de ez sok más portra is igaz).
-
bacus
őstag
"Ahol meg pénzért http szolgáltatás van az már messze nem egy sima iroda, egy soho kategóriás routerrel, ilyesmit nem kellene belekeverni abba amiről eredetileg szó volt..."
Nem is tudom a saját irodám ilyen, ahol ráadásnak alig tartózkodunk. Egy időben a lakásomon is volt ilyen szerver, fizettek is érte. Mégis milyen router kellene otthonra, ha nem egy ilyen soho miki? Sőt amikor a lakásomon ment pár webszerver, még csak nem is volt ekkora sávszélességem mint manapság, csak fix ip kellett. (igaz másnak még akkora sávszélessége sem volt)
Az ilyen adatgyűjtő eszközök a telefon megosztott netjével teljesen jól elvannak, de van saját sim kártyás mobilnetes is. De igaz, lehet 20x költséggel a terepre kivinni akár miki routereket is, úgysincs sok cucca egy földmérőnek. A költség mondjuk egy 23milliós műszerhez elhanyagolható.
-
bacus
őstag
Ne már, nekem az nem jól működés, hogy vagy állandóan be vagyok csatlakozva az irodámba, mert 15 percenként megnézi a telefon, hogy jött e levél. Az sem opció, hogy 15 percenként én csatlakozzak fel és bontsam le utána, az meg pláne nem, hogy offline legyek és amikor eszembe jut, akkor majd jól megnézem jött e levelem. Akkor már inkább forwardolnék minden levelet egy gmail-be és úgy leveleznék, de ennek is vannak hátrányai.
Ha üzemeltetsz http szervert, és nem csak belső használatra, hanem mondjuk bárkinek, mondjuk netán még másnak is pénzért (azaz ez egy fizető szolgáltatást adsz), akkor tudod, hogy a port átrakás nem jó. Szimpla Béla nem érti, hogy miért jön be neki az index.hu és miért nem a tehonlapod.hu, vagy mi a jó fenéért kell neki még kettőspontot és számot írni a végére. Főleg nem, hogy miért kellene neki a
www.tehonlapod.hu:8085/hu/nabaratom_ezt%20%gepeld_be_elsore%20%hatudod.html
címet így egy az egyben megosztania Szimpláné Tudatlan Etelkával, mert ha csak megmondja, hogy a tehonlapodon olvastam, akkor az asszony nem ad vacsorát., az ügyfeled meg jól nem fizet egy szar szolgáltatásért."Fokozott biztonsággal tenném", na itt el is értük a lényeget, pl a www szerverek virtualizálva futnak egy másik alhálózatban, nos ez szerintem biztonságosabb tud lenni, mint egy átrakott port egy IIS szerveren, de még talán akkor is, ha egy sima pptp vpn tűzfal is van előtte .
Az ftp szerver is szintén mehet így és van sok hely, ahol szinte csak a szabványos porton mehet. Gondolom el se tudod képzelni, hogy van egy csomó adat gyűjtő (pl sok milliós geodéziai) műszer amibe egyszerűen nem tudod beírni az eltérő port számot, nem tud vpn-t se, sőt, még dns nevet se lehet beírni, csak ip címet, ahova sima egyszerű plain text-es hitelesítéssel okádja bele az általa készített fájlokat.
Én részemről nem mondom tovább, mindenki csinálja ahogy akarja, amit mondasz működik, használható, de meg vagyok győződve róla, hogy rossz megoldás, sőt hamis biztonság érzetet is ad.
-
bacus
őstag
Köszi az oktatást.
A levelező szerver portjait ugyan át lehet rakni, csak nem érdemes. (nem smart host esetén).
A vpn mobiltelefonokról pedig kényelmetlen, ha használod, akkor te is tudod. Ez a port átrakás kb olyan, mint ha az autó balesetet úgy szeretnéd elkerülni, hogy nem mész közúton, (ahol más is jár). Megoldásnak megoldás, de nem jó megoldás általában.
-
-
Soma01
veterán
Persze a servicesnél sem tiltottam semmit.
Új hozzászólás Aktív témák
- Lenovo ThinkCentre - i5-6400, 8GB, 250SSD, 200HDD
- GAMER PC! Ryzen 5600X / RX 6600 XT / B550 / 32GB 3600MHz / 1TB NVMe M.2 / 650W
- ÚJ! BONTATLAN! ADATA SE 760 512GB ULTRA FAST USB-c,ÚJ! Verbatim VX500SSD 480GBusbcÚJADATA SD700512GB
- GAMER INTEL I5 10400/16GB DDR4/RTX 3070/256GB NVME SSD/500GB HDD
- ÚJ! BONTATLAN! ADATA Ultimate SU800 1TB
- Telefon szerviz helyben - Gyors javítás, akár 30 perc alatt!
- Tablet felvásárlás!! Apple iPad, iPad Mini, iPad Air, iPad Pro
- PlayStation 5 Pro /// Boltból, Számlával és 1 Év Garanciával
- GYÖNYÖRŰ iPhone 13 128GB Pink -1 ÉV GARANCIA - Kártyafüggetlen, MS3431, 100% Akkumulátor
- Bomba ár! Lenovo ThinkPad T460s - i5-6GEN I 8GB I 128GB SSD I 14" FHD I Cam I W10 I Garancia!
Állásajánlatok
Cég: BroadBit Hungary Kft.
Város: Budakeszi
Cég: ATW Internet Kft.
Város: Budapest