Hirdetés
- Luck Dragon: Asszociációs játék. :)
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- sziku69: Fűzzük össze a szavakat :)
- sziku69: Szólánc.
- sh4d0w: Kalózkodás. Kalózkodás?
- Magga: PLEX: multimédia az egész lakásban
- Mr Dini: Mindent a StreamSharkról!
- Lalikiraly: Astra kalandok @ Harmadik rész
- bambano: A sor végén
- eBay-es kütyük kis pénzért
-
LOGOUT
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Tamarel
senior tag
-
#25161
Tamarel
senior tag
lionhearted
#25152
Tamarel
senior tag
válasz
lionhearted
#25152
üzenetére
Másodpercenként 10 beacon van, amiben elég sok az infó.
Egyrészt Cisco is a 10-15%-ot mondja (= az egy rádiót érintő fogyasztás), másrész Kismet-tel meg tudod nézni magadnak az aktuálisan mért terhelést (= az adott csatornát és a saját ssid-det kiválasztva a zaj viszonylatában a kapacitást).
Értelemszerűen a közben futtatott speedtest / fast.com segít valós Mbps-re lefordítani.Példa:
Otthon összesen 91 ssid-t látok, ami 2.4 és 5 Ghz vegyesen, plusz Telekom-Hotspot, xy másodlagos vagy harmadlagosa, szóval legalább 30 lakás. 1-11ig mindenhol van sok ssid.2.4Ghz 20Mhz beállítás:
- ha 11-es csatornára állítom, akkor kb 45% utilization-t mutat
- ha 13-ra, akkor 16%-ot
Ha minden kliens támogatja, akkor itt a 13 egy jó menekülőút.5Ghz kicsit egyszerűbb, mert:
- a fényhez hasonlóan terjed, kevesebb szomszéd zavar
- ha nem ütközik a control channel, akkor stabilabb + könnyebben vissza tudnak skálázni a protokoll szabályai szerint (pl két 80Mhz-s 36 és 48 csatornákon szépen megvan egymás mellett)
Van 160 széles is és tipikusan 36on vannak így a 64 a logikus választás, még az 1 perces induláskori dfs várakozással is. -
Tamarel
senior tag
-
Tamarel
senior tag
válasz
aujjobba
#25138
üzenetére
Ez leginkább attól függ, hogy mennyi az olyan eszköz, ami nagyobb forgalmú és mindig wifin lesz. Laptop, táblagép, ilyesmi.
Ha a tv, médialejátszó, iróasztal (laptop), stb kábelezett, akkor elég az 1-3.
Ha mindig lesz minden szobában nagy forgalmú eszköz (folyamatos 200+ Mbps), akkor kellhet az 1-2-4. -
Tamarel
senior tag
válasz
yodee_
#25060
üzenetére
DLNA-t küldtem át rajta, ami folyamatosan aktívan tartotta.
Kiszedtem, csak ip alapú kommunikáció maradt, ami elég ritka ahhoz (pl éjjel többnyire nincs), hogy a T eszköz ne tartsa folyamatosan memóriában a kapcsolatot. Így nem kell újraindítani sem.
(Az mindegy volt, hogy dmz vagy port forward.) -
-
Tamarel
senior tag
válasz
yodee_
#25048
üzenetére
WG engedélyezett címnél nem, a NAS tűzfalán esetleg.
Vagy úgy csinálod, hogy a wireguard subnet-et engedélyezed minden belső eszközön (már amin lehet), vagy csinálsz egy masquerade szabályt és akkor tuti LAN subnet-beli forrásnak látszódik a forgalom.
12 vpn-nél már nem árt rajzolni magadnak, hogy mi merre van. -
Tamarel
senior tag
-
Tamarel
senior tag
Mindegyikre ugyanazt kell állítani.
A connect priority a roaming-hoz lehet hasznos, engedi, hogy a kliens két ap-vel is beszélgessen. Lefedettségi területektől függ.
A steering neighbor a többi ap-t listázza a kliensnek (roaming target).
Az 5Ghz előnyben részesítése kliens oldali beállítás.
-
Tamarel
senior tag
Mikrotik saját videója alapján az azonos beállítás kb 4 másodperces váltási időt eredményez, míg a roaming specifikus opciókkal lecsökken 1.4 másodpercre.
802.11r, k és v, ha jobban érdekel.connect-priority=0/1
ft=yes
ft-over-ds=yes
steering.neighbor-group=dynamic-xyz (mindegyik rádióra ugyanazt választani)
rrm=yes
wnm=yes -
Tamarel
senior tag
-
Tamarel
senior tag
Ebbe sajnos én is beleszaladtam most.
Capsman elő van készítve, de nincs még (másik) AP.Annyit találtam, hogy wifi / config alól gyakran eltűnik a country. Vagy lassan vagy egyáltalán nem tölti be, így egy módosításnál “kiesik”, ha nem figyelek rá.
Wifi alól beállítva még nem tűnt el, így itthon is üresre állítottam a config-ban és a wifi (rádió) szintjén állítottam be helyette.
Channel már eleve így volt, a channel width is átköltözött most.A másik anomália bátyáméknál volt. Fő ssid 2.4+5Ghz (ax), a másodlagos ssid csak 2.4Ghz (n, slave).
7.19.6-on azt látom, hogy a másodlagos ssid-n van egy ax-es kliens… ott nincs capsman, csak sima egyszerű wifi config.
Kliens kidobás sem segített, csak egy restart.
Slave interfészen nincs country, channel vagy channel width beállítás, így ezt itthon a másodlagosra hasznát wifi / config-ból is kivettem.Szóval:
- ros 7 esetén érdemes a minimumot állítani, hadd oldja meg a driver a többit
- a tünetekből úgy néz ki most új driver verzió jött
- a capsman / config rész még mindig bugos
- (iphone-ról) alkalmazásból pláne, azt ilyenkor nem használom
- simán böngészőből szoktam állítgatni -
Tamarel
senior tag
válasz
gabi81
#24876
üzenetére
Szerintem túlbonyolítod.
1. Ha nem kell játszani az antenna elhelyezéssel, akkor az asus-ba dugj egy kompatibilis usb modemet és kezelje az.
4G-s lesz elviselhető áron, kb fele sebességgel, mint amit az iphone-nal mértél.2. Ha kell spéci elhelyezés és/vagy 5G, akkor egyrészt jó drága lesz, másrészt megeszi az asust reggelire és így az felesleges. (Akár mikrotik, akár nem.)
-
Tamarel
senior tag
válasz
hudyfiu
#24770
üzenetére
Ha mikrotik oldalról nézve egy kábelen csak egy eszköz lesz, akkor szerintem feleslegesen bonyolítod az egészet vlan-nal.
Neked kell átlátni és üzemeltetni.Az oké, hogy bármit szeretnél bárhova dugni, de ettől nem lesz automatikus a dolog. Vagy fizikai port-ra vagy mac address-re meg kell mondanod, hogy az hova tartozik (akár csak subnet, akár vlan).
Pl alapból minden vendég lesz, kivéve amit kézzel besoroltál valahova. -
-
-
Tamarel
senior tag
válasz
HUNited
#24729
üzenetére
Beállítottam a capsmant, de még nincs második eszközöm, így tapasztalatom sem.
Igazából statikus helyett configuration és channel használata elég, utóbbi is inkább csak kényelmi okból. A helyi interfésznek manager = capsman or local és kézzel csatolod rá.
Próbálj minél kevesebb paramétert használni, a többit megoldja a driver.A roaming pedig néhány opció bekapcsolása (ezt használom 2.4 és 5 GHz között):
connect-priority=0/1
ft=yes
ft-over-ds=yes
steering.neighbor-group=dynamic-xyz
rrm=yes
wnm=yesLefedett terület maximalizálása:
- fő ssid 2.4-5 Ghz-re, wpa3 és ax
- második ssid csak 2.4 Ghz, wpa2 (management protection frame disabled) és n, az iot / régi eszközöknek -
Tamarel
senior tag
válasz
HUNited
#24697
üzenetére
Szia.
Mikrotik eléggé más, így a logikai felépítésed is más lesz.
A mini pc jó irány, így csak a hálózati részhez szólnék hozzá:
1. Az ax (6) nem elavult szabvány, a be (7) csak idén lett végleges. Mikrotiknél jelenleg az ax az elérhető maximum, amúgy meg az értelmes minimum is.
2. Egy eszköz nem fogja lefedni azt a területet. Egyrészt van egy megengedett törvényi sugárzási teljesítmény, másrészt a csatlakoztatott eszköz jele vissza kell jusson a router-hez.
Feltételezem két eszközzel meg lehet oldani, de ezt vakon nem lehet megmondani és "normális minőségű roaming"-hoz nagyon kellene kábel a kettő közé.
3. Úgy általában érdemes kábelen csatlakoztatni azt, ami helyhez kötött. Tv, kamera, stb.
Számítógépet szintén, már olcsó a 2.5Gbit-es hálózat (pl. usb adapter).
4. Szülői felügyelet: mikrotik mindent is tud, de nem 2 perc next-next-finish lesz beállítnod. -
#24336
Tamarel
senior tag
E.Kaufmann
#24333
Tamarel
senior tag
válasz
E.Kaufmann
#24333
üzenetére
Szóval nem otthoni.
Proton vpn plus, egyhavi előfizetés 10€ és tesztelhetsz 10 gigás szerverekkel.Annyi, hogy vpn-nél a pingelés tud anomáliákat okozni. Pl 1.1.1.1 válaszol x napig, aztán elnémul és nem válaszol semmit semmire.
-
#24332
Tamarel
senior tag
E.Kaufmann
#24331
Tamarel
senior tag
válasz
E.Kaufmann
#24331
üzenetére
Weboldalon belépve láthatod melyik szerver mennyire van terhelve (%). Minél alacsonyabbat válassz.
Hogy ne legyen off: route tábla és ip routes különböző distance értékekkel a legegyszerűbb beállítás.
Ha a cél pl %pppoe1, akkor ha lent van az interface, akkor alapból ki kellene essen a lehetséges route-ok közül, így a forgalom menne a következőre.
Persze lehet ping teszt (ha a gateway válaszol), rekurzív feloldás (= két szabály és bármilyen ip-t pingelsz a next hop helyett) vagy script, ami az ip route bejegyzést kapcsolhatja (enabled/disabled). -
#24330
Tamarel
senior tag
E.Kaufmann
#24328
Tamarel
senior tag
válasz
E.Kaufmann
#24328
üzenetére
Sebesség feltételt nem írtál.
Be tudod állítani és tudod tesztelni is. -
#24326
Tamarel
senior tag
E.Kaufmann
#24323
Tamarel
senior tag
válasz
E.Kaufmann
#24323
üzenetére
Protonvpn, minden szerverre csinálhatsz külön wireguard-ot.
-
Tamarel
senior tag
válasz
ekkold
#24205
üzenetére
Fast Path miatt 800+. Van 17 filter, 8 nat és 6 mangle szabály.
A wireguard szimmetrikus, nincs szerver.
Az alacsonyabb feltöltés oka a Telekom, mert a budapesti proton szervereket Ausztrián keresztül érem el (bix helyett). Ez az oka a késletetésnek is.
Régen Németországon fordult, 50ms késleltéssel. Még régebben a diginél voltak a szerverek meg én is, akkor 0ms volt.Nagyjából hiába nyitogatok hibajegyeket. Digi nem is válaszol, Telekomnál egyszer sem sikerült hozzáértővel beszélni, Protonnál sok adatot küldve 2-3. nekifutásra talán változik valami. Hónapok alatt.
A családban lévő másik ax3 eddig digin lógott (napi 5+ megszakadással és akár 1.5 óra kieséssel), most került át telekomra.
Magyarul végre van 1Gb/1Gb mind a két oldalon, tudok majd tesztelni. -
Tamarel
senior tag
válasz
Bubukain
#24092
üzenetére
Mi a szoftververzió?
Ax-hez wpa3 kell, a beállításaiddal kellene menjen, n-en…
Ha nem akarsz wpa3-at, akkor tedd n-re.
Valamint ha régi eszközökről van szó, akkor management protection-t kapcsold ki (ami amúgy kötelező a wpa3-hoz).Jobb, ha a csatornát kézzel választod ki. Pl ne menjen 13-asra, ha van olyan kliensed, ami nem csatlakozik arra.
Úgy általában 7.x verzión próbálj minél kevesebb dolgot beállítani, hogy hadd oldja meg a driver.
-
Tamarel
senior tag
válasz
user12
#24008
üzenetére
Szintén telekom - digi (mindkettő ftth).
Vagy a telekom eszköz (bug) vagy az ip címhez köthetően valami szűrő (a restart-nál új ip-t kap).Alteran-IT
Ez nem mikrotik, digi - digi között nem volt, telekom - digi között mindig volt. Azóta volt legalább 3 új főverzió és teljesen mindegy mit próbáltam. -
-
Tamarel
senior tag
A packet sniffert még soha nem használtam, így arról nem tudok nyilatkozni.
A beállításokban vannak zavarok, a tűzfal szabály elnevezések is mutatják a bizonytalanságod.
Kezdésnek: ipv6 kikerüli a proton wireguard vpn-t. A nasról mindenképp le kell szedned az ipv6-ot, ha úgy egyébként vpn-en belül szeretnéd tartani a forgalmát.
Ha a routeren van ipv6, akkor a dns-edben is lesz, aztán az ftp vagy megoldja majd vagy nem.Vlan, guest, routing: kell némi (szabad)idő a kibogozásához.
-
Tamarel
senior tag
válasz
ekkold
#23929
üzenetére
Ezekkel a szabályokkal csinálok ilyesmit, vpn-en kívül tartani meghatározott forgalmat.
Az első mangle a kimenő forgalom megjelölése, a második a bejövő irányból felépülő eset.
Minden szabály elől legyen./ip firewall filter
add action=accept chain=forward comment="no-vpn no fasttrack" connection-mark=no-vpn connection-state=established,related/ip firewall mangle
add action=mark-connection chain=prerouting dst-address-list=no-vpn in-interface-list=LAN new-connection-mark=no-vpn
add action=mark-connection chain=prerouting dst-port=5510 in-interface-list=WAN new-connection-mark=no-vpn protocol=tcp
add action=mark-routing chain=prerouting connection-mark=no-vpn new-routing-mark=no-vpn passthrough=no protocol=tcp/routing rule
add action=lookup-only-in-table comment=no-vpn disabled=no routing-mark=no-vpn table=main -
#23636
Tamarel
senior tag
lionhearted
#23624
Tamarel
senior tag
válasz
lionhearted
#23624
üzenetére
Feltettem 17én, igazából nincs vele semmi.
Minden funkció működik, naplóban egy új dolog volt csak (egy syn flood warning egyszer, indítás után - új riasztás).
A dns adlist jobb, flash helyett memóriába tölti le a fájl és 35%-kal kevesebb helyet foglal a dns cache-ben. -
-
Tamarel
senior tag
válasz
poli27
#23529
üzenetére
Csak az elméleti részben, mert ipv4-only vpn miatt teljesen kikapcsoltam (vpn bypass lenne).
Szóval az ipv6 tervezése szerint end-to-end, így nem kell szervert beállítanod. A telekom adja a tartományt és a dhcpv6 szervert is, ha egyáltalán szükséges (automatikus címzés is lehetséges).
Ezzel jár, hogy kívülről látszik az összes eszközöd, közvetlenül címezhetőek is, illetve nagyon kell az ipv6 tűzfal.
Valamint ha éppen a lan-on belüli kommunikációdnál is azt a címet használja (mármint ipv6 és nem a link local) és megbillen a net / más tartományt kapsz = eltűnik az ip, akkor a belső forgalom is megszakad.Paranoid hozzáállás esetén fórumokon körbenézve találhatsz egy reserved tartományt, amit használhatsz belül, dhcpv6 szerverrel és nat-olhatod.
-
#23378
Tamarel
senior tag
Alteran-IT
#23377
Tamarel
senior tag
válasz
Alteran-IT
#23377
üzenetére
Cisco WLC cserénél ugyanúgy ki kell tenni a régi AP-kat, mert egyszerűen nem kompatibilis.
Az AP gyártásakor beleégett tanúsítvány (MIC) pedig 7 évig jó, utána nem lesz biztonságos a kommunikáció. Nálunk ilyenkor rövid úton kikerül a hálózatból. -
#23301
Tamarel
senior tag
Alteran-IT
#23300
Tamarel
senior tag
válasz
Alteran-IT
#23300
üzenetére
Van switch a két eszköz között?
-
#23280
Tamarel
senior tag
skylinelaca
#23275
Tamarel
senior tag
válasz
skylinelaca
#23275
üzenetére
TTL-t átírod? [link]
-
#23177
Tamarel
senior tag
lionhearted
#23173
Tamarel
senior tag
válasz
lionhearted
#23173
üzenetére
Amikor próbálkoztam, akkor elég nehéznek tűnt megoldani, hogy a saját LAN semmit ne lásson belőle.
Aztán inkább húztam külön kábelt neki.
Végül a bekötésnél mondták, hogy az új iptv kliens már működne wifin is, de nekik szigorúan tilos úgy telepíteni. -
#23172
Tamarel
senior tag
lionhearted
#23171
Tamarel
senior tag
válasz
lionhearted
#23171
üzenetére
Teljesen sikerült elkülöníteni?
-
Tamarel
senior tag
válasz
Tamarel
#23042
üzenetére
v3, reboot utáni üres értéket is kezeli
:if ((:put [/interface/wireguard/peers/get ([find name=xyz]) last-handshake] > 3m) or (:put [/interface/wireguard/peers/get ([find name=xyz]) last-handshake] = [])) do={ip route disable ([find comment=xyz disabled=no])} else={ip route enable ([find comment=xyz disabled=yes])} -
-
#23003
Tamarel
senior tag
silver-pda
#23001
Tamarel
senior tag
válasz
silver-pda
#23001
üzenetére
Van masquerade szabály a guest és az internet között?
-
#22998
Tamarel
senior tag
E.Kaufmann
#22997
Tamarel
senior tag
válasz
E.Kaufmann
#22997
üzenetére
Szóval naponta kapcsolgatni.
A tarpit engedi felépülni a kapcsolatot, csak forgalmat nem enged.
Mondjuk a reject-et érthetné. -
Tamarel
senior tag
Érdekesség:
wireguard check gateway helyett helyi scriptNéhány eszközt csak wireguard szerveren keresztül engedek ki az internetre, de az ip / routes check gateway nem volt elég megbízható.
Háttér: Volt 2 wireguard, az elsődleges (distance = 1) csak aktív forgalmazási lehetőség eseten kellene aktív route-al rendelkezzen, a második mindig aktív.
Probléma:
- a wireguard interfész mindig aktív, így a route is
- a peer ip-je nem válaszol ping-re
- rekurzív next hop és 1.1.1.1 check gateway nem stabil, többször indokolatlanul kiesik vagy aktív állapotban ragad
(nem kell azonnal átalljon, de ne ragadjon be kézi javításig)Megoldás:
Észrevettem, hogy a mikrotik maximum 2 perces handshake időt próbál tartani (persistent keepalive = 25 mp…), így ha eléri a 2 percet, akkor pár másodpercen belül kommunikál. Ha tud.Ez a script percenként fut, ha a handshake 3 percnél régebbi, akkor kikapcsolja a route-ot. Ha nem, akkor vissza. Mindkét esetben állapotot ellenőriz előtte, így tiszta és hasznos a napló.
:if (:put [/interface/wireguard/peers/get 4 last-handshake] < 3m) do={:if (:put [/ip/route/get 4 disabled] = true) do={:put [/ip/route/enable 4]}} else={:if (:put [/ip/route/get 4 disabled] = false) do={:put [/ip/route/disable 4]}}
Nyilván jobb lenne, ha a wireguard peer magától tudna inaktívba menni (opcionális beállításként).
-
#22994
Tamarel
senior tag
E.Kaufmann
#22993
Tamarel
senior tag
válasz
E.Kaufmann
#22993
üzenetére
Tarpit.
Amúgy nem világos, hogy mi a nat-od funkciója és miért veszed ki. -
Tamarel
senior tag
Attól is függ mennyi ilyen eszköz van.
A tuti a layer 2 elkülönítés, vagyis külön subnet és bridge. Az elérést meg tűzfalon tudod finom hangolni (pl csak estabilished és related jöhet be).
Gyakorlatilag vendég hálózat.Amúgy én nem különítem el, csak az internetről tiltok le mindent…
-
Tamarel
senior tag
válasz
[sultan]
#22986
üzenetére
Valószínűleg engedélyezned kell a wpa-t és tiltani a management protection-t. Ha igen, akkor legalább a tkip-t ne kapcsold be.
Amúgy tudsz minkét sávon modern eszközöket használni (ax, wpa3), ha a 2.4Ghz-re felveszel egy másodlagos ssid-t, ami a régi eszközöknek dedikált (n, wpa/wpa2).
Így nyerhetsz egy kis hatótávot a telefonoknak (a 2.4Ghz messzebb terjed), de megmarad a fejlett energiagazdálkodás is (alvó mód). -
Tamarel
senior tag
BtH-t soha nem használtam.
Sima wireguard esetén akkor vannak Handshake for peer did not complete after 5 seconds, retrying (try 2) üzenetek a naplóban, ha a responder kapcsoló nincs bekapcsolva a mobil eszköz felé lévő peer beállításai között.
Vagyis fel szeretné építeni a kapcsolatot, de a mobil lehet épp alszik, hálózatot váltott és így más az ip-je, épp túlzsúfolt cellában van és nem kap forgalmat vagy bármi hasonló. -
Tamarel
senior tag
válasz
hun005a
#22804
üzenetére
A legjobban akkor jársz, ha az iptv külön kábelt kap a telekom modemből (teljesen kikerüli a sajátodat).
Az iptv először unicast, majd 5 másodperc múlva multicastra vált. Egy második kábel a mikrotik és a modem között is jó megoldás lehet, ha vlan van a saját hálózatodon és így csak az iptv-nek dobod át azt a plusz portot.
-
#22652
Tamarel
senior tag
lionhearted
#22650
Tamarel
senior tag
válasz
lionhearted
#22650
üzenetére
Igaz, a bss coloring inkább szoftver, mint hardver limit.
Megtaláltam: [link]
Új hozzászólás Aktív témák
- Vezetékes FÜLhallgatók
- exHWSW - Értünk mindenhez IS
- Milyen monitort vegyek?
- NVIDIA GeForce RTX 5070 / 5070 Ti (GB205 / 203)
- Amlogic S905, S912 processzoros készülékek
- iPon Computer
- Fortnite - Battle Royale & Save the World (PC, XO, PS4, Switch, Mobil)
- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
- Motoros topic
- PH!otósok beszélgetős, offolós topikja
- További aktív témák...
- Honor X6a 128GB, Kártyafüggetlen, 1 Év Garanciával
- ÁRGARANCIA!Épített KomPhone i5 14400F 32/64GB RAM RX 9060 XT 16GB GAMER PC termékbeszámítással
- RÉSZLETRE . OPCIONÁLIS. HP EliteBook 840 G11 üzleti prémium laptop számlával és garanciával
- Lenovo X13 Yoga 2in1 Thinkpad WUXGA Touch i5-1145G7 vPro 16GB 256GB 4G LTE GPS Win11 Pro Garancia
- ÁRGARANCIA! Épített KomPhone Ultra 9 285K 32/64GB RAM RTX 5080 16GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: NetGo.hu Kft.
Város: Gödöllő
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest