Hirdetés

  2. Fórumok
  3. Hálózat, szolgáltatók
  4. Mikrotik routerek
Keresés
  • Téma összefoglaló
    Utoljára frissítve: 2025-08-03 17:27

    LOGOUT

    Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Új hozzászólás Aktív témák

  • #24672 Pizzafutar aktív tag ekkold #24670
    Új Válasz #24672
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Pizzafutar

    aktív tag

    válasz ekkold #24670 üzenetére

    A mangle-ban ez szerintem be van állítva:
    ip/firewall/mangle> print
    Flags: X - disabled, I - invalid; D - dynamic 
     0    chain=prerouting action=accept dst-address=192.168.0.0/24 in-interface=bridge log=no log-prefix="" 
     1    chain=prerouting action=accept dst-address=10.0.0.0/24 in-interface=bridge log=no log-prefix="" 
     2    chain=input action=mark-connection new-connection-mark=Telekom_conn passthrough=yes connection-state=new in-interface=ether1 log=no log-prefix="" 
     3    chain=input action=mark-connection new-connection-mark=Digi_conn passthrough=yes connection-state=new in-interface=Digi PPPoE log=no log-prefix="" 
     4    chain=output action=mark-connection new-connection-mark=Telekom_conn passthrough=yes connection-state=new connection-mark=no-mark per-connection-classifier=dst-address-and-port:2/0 
          log=no log-prefix="" 
     5    chain=output action=mark-connection new-connection-mark=Digi_conn passthrough=yes connection-state=new connection-mark=no-mark per-connection-classifier=dst-address-and-port:2/1 log=no 
          log-prefix="" 
     6    chain=prerouting action=mark-connection new-connection-mark=Telekom_conn passthrough=yes connection-state=new dst-address-type=!local connection-mark=no-mark in-interface=bridge 
          per-connection-classifier=dst-address-and-port:2/0 log=no log-prefix="" 
     7    chain=prerouting action=mark-connection new-connection-mark=Digi_conn passthrough=yes connection-state=new dst-address-type=!local connection-mark=no-mark in-interface=bridge 
          per-connection-classifier=dst-address-and-port:2/1 log=no log-prefix="" 
     8    chain=output action=mark-routing new-routing-mark=Telekom passthrough=yes connection-mark=Telekom_conn log=no log-prefix="" 
     9    chain=prerouting action=mark-routing new-routing-mark=Telekom passthrough=yes connection-mark=Telekom_conn in-interface=bridge log=no log-prefix="" 
    10    chain=output action=mark-routing new-routing-mark=DIGI passthrough=yes connection-mark=Digi_conn log=no log-prefix="" 
    11    chain=prerouting action=mark-routing new-routing-mark=DIGI passthrough=yes connection-mark=Digi_conn in-interface=bridge log=no log-prefix="" 

  • #24668 Pizzafutar aktív tag
    Új Válasz #24668
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Pizzafutar

    aktív tag

    Szeretném beállítani a port forwardingot egy RB5009-es routeren. Tesztelés céljából elindítottam egy SSH szervert a belső hálózat egyik gépén a 100-as porton. A belső hálóról gond nélkül tudok csatlakozni hozzá.
    A NAT szabályaim jelenleg így néznek ki:
    /ip/firewall/nat> print
    Flags: X - disabled, I - invalid; D - dynamic 
     0    ;;; masquerade
          chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix="masq" ipsec-policy=out,none 
    1    ;;; SSh
          chain=dstnat action=dst-nat to-addresses=192.168.1.5 to-ports=100 protocol=tcp in-interface-list=WAN dst-port=100 log=yes log-prefix="ssh" 
    Ha kívülről próbálom elérni a 100-as portot (például a portchecker.co segítségével), akkor azt a visszajelzést kapom, hogy a port zárva van. Ugyanakkor a kapcsolódási kísérlet megjelenik a router logjában:
    firewall, info | ssh dstnat: in:Digi PPPoE out:(unknown 0), connection-state:new proto TCP (SYN), 45.33.50.110:38220->193.226.246.242:100, len 60
    Fontos megemlíteni, hogy néhány hete – a fórum segítségével – beállítottam a PCC Load Balancing-et, és ez azóta is működik.
    Mi lehet az oka annak, hogy a port kívülről zártnak tűnik, annak ellenére, hogy a NAT szabály és a log alapján a csomag eléri a routert?
    Előre is köszönöm a segítséget!

  • #15446 Pizzafutar aktív tag Adamo_sx #15445
    Új Válasz #15446
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Pizzafutar

    aktív tag

    válasz Adamo_sx #15445 üzenetére

    Épp ezen töröm a fejem, mire cseréljem az rb2011-et, rb4011 vagy rb5009?

  • #15312 Pizzafutar aktív tag
    Új Válasz #15312
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Pizzafutar

    aktív tag

    Mi az aktuális helyzet, a Mikrotik támogatja a Cisco-féle DMVPN-t?

  • #3946 Pizzafutar aktív tag e90lci #3943
    Új Válasz #3946
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Pizzafutar

    aktív tag

    válasz e90lci #3943 üzenetére

    Röviden, a HGW a 192.168.0.1, DMZ-nek beállítva 192.168.0.2, dupla nat. A HGW egyik portja bekötve a 2011UiAS-2HnD ether1 if-re, ami normál módon natolva van a default vlan-on. Ez eddig teljesen átlagos konfig.

    Az extra, hogy a HGW másik portja rá van kötve az ether2 if-re, ami switch-elve van a 100-as vlan-ra.
    A switch1 konfig igy néz ki:
    port print
    # NAME SWITCH VLAN-MODE VLAN-HEADER DEFAULT-VLAN-ID
    1 ether1 switch1 disabled leave-as-is auto
    2 ether2 switch1 secure always-strip 100
    3 ether3-master switch1 secure always-strip 1
    4 ether4 switch1 secure always-strip 1
    5 ether5 switch1 secure add-if-missing 1
    11 switch1-cpu switch1 secure always-strip 1

    vlan print
    # SWITCH VLAN-ID PORTS
    0 switch1 100 ether5 ether2
    1 switch1 1 ether3-master ether4 ether5 switch1-cpu

    Látszik, hogy az ether5 trunk módban van, az 1-es def. vlan-on megy rajt a normál nat-olt ip forgalom, a 100-on pedig a switch-elt forgalom. Az ether5 másik végén egy cisco switch van, ahol az IPTV box portjára a 100-as vlan van kiengedve, a többire pedig a default vlan.
    Ezen a módon az IPTV forgalma teljesen el van különítve a hálózat többi forgalmától. Persze ehhez egy managelhető switch is kell, esetemben egy Cisco SLM2008.

  • #3942 Pizzafutar aktív tag e90lci #3935
    Új Válasz #3942
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Pizzafutar

    aktív tag

    válasz e90lci #3935 üzenetére

    Szia,
    Kb 1 évvel ezelőtt volt hasonló problémám. Az IGMP protokoll alapú kezelése nem bizonyult életképes megoldásnak, inkább külön VLAN-ra tereltem az IPTV box forgalmát.
    https://prohardver.hu/tema/mikrotik_routert_hasznal_valaki/hsz_2591-2591.html

  • #2594 Pizzafutar aktív tag MtHq #2592
    Új Válasz #2594
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Pizzafutar

    aktív tag

    válasz MtHq #2592 üzenetére

    Végülis az első megoldást választottam, switching-el elválasztva a két adatforgalmat. Bár a T-s HGW nagyon nehezen vette a lapot, percek teltek el amire elindult az új porton az IGMP adatforgalom, most úgy néz ki stabilan működik.

  • #2591 Pizzafutar aktív tag
    Új Válasz #2591
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Pizzafutar

    aktív tag

    Annyit változtattam a leírt konfiguráción, hogy a switch1 cpu portját is felvettem a 100-as vlan-ba (ports=ether5, switch1-cpu), valamint a vlan interfészt a bridge-re raktam (/interface vlan add name=vlan100 vlan-id=100 interface=bridge) az ether5 helyett. Így az első tesztek szerint működik.

    Amit szeretnék megvalósítani: az IPTV forgalmat amennyire lehet elkülöníteni a többitől. Jelenleg adottak a következő eszközök:
    T-Home HGW - MikroTik 2011 - Cisco 3008 switch - IPTV Box
    A MikroTik és a Cisco switch közt trunk kapcsolat lenne, amelyben az IPTV Box forgalma külön VLAN-on menne a switch egyik portjához hozzárendelve.

    Az egyik megoldás az lehetne, hogy a MikroTik két porton csatlakozik a HGW-hez: az egyiket NAT-olja a szokott módon, a másikat pedig switch-eli a VLAN-ra. Előnye hogy a switch-en belül megoldható, viszont két összeköttetés kell a HGW és MikroTik közt. A kettő ugyan egymás mellett van, de ez nem tudom mennyire elegáns megoldás.

    A második megoldás az lehetne, hogy létrehozni egy VLAN interfészt, a defaulthoz hasonlóan külön IP tartománnyal, NAT-al, DHCP-vel, és csak erre beállítani egy IGMP proxy-t. Majd ezt a forgalmat átvinni a trunk kapcsolaton Cisco switch-re. Ez az, ami eddig sehogy sem akart összejönni...

  • #2588 Pizzafutar aktív tag SimLockS #2587
    Új Válasz #2588
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Pizzafutar

    aktív tag

    válasz SimLockS #2587 üzenetére

    Az itt most egy elírás, ui. a default vlan-t próbáltam én is 1-es vlan-ként átnyomni a trunk interfészen, sikertelenül. Az a sor helyesen így nézne ki:

    /ip address add address=192.168.2.1/24 interface=vlan100

  • #2586 Pizzafutar aktív tag
    Új Válasz #2586
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Pizzafutar

    aktív tag

    Egyszer már feldobtam a kérdést, de nem sikerült megoldanom a feladatot: szeretnék 802.1q vlan-t beállítani 2011UiAS-2HnD routeren. Az a célom, hogy az 5. porton menjen keresztül a normál forgalom és a 100-as vlan is - azt hiszem ezt hívják hibrid konfigurációnak.

    Egy működő konfigot az alábbiakkal bővítettem ki:

    /interface ethernet switch vlan
    add ports=ether5 switch=switch1 vlan-id=100

    /interface ethernet switch port
    set ether5 vlan-mode=check vlan-header=add-if-missing default-vlan-id=0

    /interface vlan
    add name=vlan100 vlan-id=100 interface=ether5

    /ip address add address=192.168.2.1/24 interface=vlan001

    Tesztelésként, az 5. portra rádugtam egy linuxot, amire felvettem a 100-as vlant fix IP címmel:

    sudo modprobe 8021q
    sudo vconfig add enp9s0 100
    sudo ip addr add 192.168.2.2/24 broadcast 192.168.2.255 dev enp9s0.100
    sudo ifconfig enp9s0.100 up

    A cél az lenne, hogy pingelhető legyen a routerről a linux nem tagolt interfésze a 192.168.1.xxx címen és a vlan interfész 192.168.2.2 fix IP címe is. Ez így nem sikerült.

    Hogy lehet ezt megoldani, mi a hiba?

  • #2400 Pizzafutar aktív tag
    Új Válasz #2400
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Pizzafutar

    aktív tag

    Szeretnék egy Mikrotik router és egy régi DD-WRT-s Linksys router közt 802.1Q taged VLAN-t létrehozni. Ez jelenleg két DD-WRT-vel működik (VLAN id=1 és 3), de az RB2011-es Mikrotiket valamiért nem sikerült beállítanom.
    Ez lenne a konfig:
    /interface ethernet switch vlan
    add ports=ether5 switch=switch1 vlan-id=1
    add ports=ether5 switch=switch1 vlan-id=3
    /interface ethernet switch port
    set ether5 vlan-mode=secure vlan-header=add-if-missing default-vlan-id=1
    /interface vlan
    add name=vlan1 vlan-id=1 interface=ether5
    add name=vlan3 vlan-id=3 interface=ether5

    Mi lehet a probléma?

Új hozzászólás Aktív témák