Hirdetés
- Itt a Galaxy S26 széria: az Ultra fejlődött, a másik kettő alig
- Megérkezett Európába a Soundcore Space 2 fejhallgató
- Yettel topik
- Szívós, szép és kitartó az új OnePlus óra
- Dogee V20pro
- Májusban már megérkezhet a Xiaomi 17T
- Mától kapható az EarFun Clip 2
- Okosóra és okoskiegészítő topik
- Realme GT 2 - aláírjuk
- Vivo V70 – a stílus érték?
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
ekkold
Topikgazda
válasz
yodee_
#26605
üzenetére
Korábban volt erről szó, hogy MTU probléma is lehet, mert mobiltneten általában alacsonyabb az MTU. Ilyenkor a kliens oldalon (routerben) MTU módosítás kell, vagy az is jó lehet, ha a szerver oldalon le lehet korlátozni akkorára az MTU-t ami mobilneten is átfér.
Persze ez nyilván csak akkor megoldás, ha ez okozza a lassulást. -
yodee_
őstag
válasz
ekkold
#26603
üzenetére
Gyorsan teszteltem egyet. http-n keresztül nincs váltózás, wireguard-on keresztül sincs. Mivel az ubuntu szerver ezen kívül rengeteg más dolgot lát el így nincs módomban átállni más rendszerre, illetve nagyon szeretem a környezetet nem is szívesen váltanék. Ha van rá mód akkor szívesen kipróbálok más megoldást nagyobb fájlátvitelre (1,2GB - 80GB) de én nem találtam normális, működő, itthon kivitelezhető megoldást.
Tamarel: csak passzív módban akar működni sajnos.
-
ekkold
Topikgazda
válasz
yodee_
#26602
üzenetére
Most két dolog jut eszembe ami esetleg lehet.
Talán valamilyen csomag-élettartam dolog, azaz ha sok csomóponton megy át, vagy sokáig tart (mobilnet esetén akár mindkettő), akkor elévül a csomag és eldobja a rendszer. Emiatt sok újraküldés lesz és összeségében lassul az átvitel.
Simán el tudom képzelni azt is, hogy a net szolgáltató priorizál azaz több sávszált ad egy fix IP +domén név felé, mint egy diamikus IP (tartomány) felé (vagy felől). Mobilneten ugye NAT-onak általában, és azt is el tudom képzelni, hogy a nem titkosított oldalakra proxy is van , hogy sávszélt spóroljanak. A mobilhálózat valószínűleg nem bírná el, ha mindenki elkezdene nagy sebességgel letöltögetni.
De persze csak tippelek, és lehet, hogy egész más oka van.
Próbáltál-e más letöltési módszert FTP helyett? Pl. sftp, http, https, ezek is lassúak?
Esetleg Wireguad-on keresztül - mert az mindent UDP-vel visz át a hálózaton, míg a többi protokoll TCP alapú.
Ill próbáltad-e, hogy a szerver más oprendszeren fusson, vagy más szoftver valósítsa meg a szerver funkciót? -
yodee_
őstag
Sziasztok!
Nem kimondottan mikrotik/routeros dolog de ezeken vagyok így itt tenném fel a kérdést. Van valami ötletetek, hogy miért lehet lassú az FTP letöltés "rólam", mobilinternet irányba? Az FTP szerver egy ubuntu masinán fut, a routeros pedig egy x86os rendszeren. Amennyiben a végpont optika a letöltés max sebességgel megy tehát gigabittel, azonban ha a végpont mobilinternet akkor nagyon maximum 10-20 megabit érhető el. Ugyanazon a végponton, nyilvános FTP-ről a letöltés 50-100 megabit, tehát nálam van valami gond. De mi? Várom az ötleteitek, ha van
Köszönöm -
#26597
hcl
titán
lionhearted
#26594
válasz
lionhearted
#26594
üzenetére
Köszi!
Ugyanitt vennék AX3-at, ha nem lenne a [lásd fent]
Egyszerre nincs nagy. 3-4 VLAN-t gondoltam, bond nem lesz, de hosszabb távon lehet lesznek gyorsabb netelérések is otthonra.
-
#26596
lionhearted
őstag
Ablakos
#26595
-
#26594
lionhearted
őstag
hcl
#26593
Ax3 volt koax 1G-n (DHCP), meg Telekom optika 1/1 (PPPoE). PPPoE hw offload egyiknek sincs, fasttrack hw offload van, függetlenül a vlantól. A switch chipen belül nem tudsz vlanozott forgalmat kezelni. Olyat is csináltam, hogy a vlanozott forgalom 2 db gigabites bondingon keresztül érkezett, a net persze ettől nem lett 2G, de ez szintén CPU terhelés volt.
Mivel van egy crs326 is, így az a megoldás nem került elő, hogy 2-2, vagy 3-2 "párt" egyszerre hajtsak. Érzésre 2Gbps még nem gond így neki (speckó szerint is, 512b csomagmérettel). De nem mondtad, hogy milyen igény van egyszerre.Ugyanitt eladó egy ax3
![;]](//cdn.rios.hu/dl/s/v1.gif)
-
#26593
hcl
titán
lionhearted
#26592
válasz
lionhearted
#26592
üzenetére
Milyen neted van? Digós gigabitessel pl. érezni a HW offload hiányát WAN irányban is.
-
#26592
lionhearted
őstag
hcl
#26591
Nincsen VLAN gond, HW offload hiánya nem gond, hiányosság. Kizárólag úgy használtam, hogy minden belső forgalom taggelve jött be hozzá. 900+ Mbps akárhogyan nézem, FT nélkül net felé IPv4 és IPv6 is. Tényleg hardcore felhasználás kell, hogy feltűnő legyen a HW offload hiánya. Ping se tűnt gondnak, switch felől a gépről átlag 0.5ms. Kicsit alábecsülve érzem, pedig 1kg!
L009 ezzel szemben nekem nem tudott NATolni se érdemben 800Mbps felett. Teljesen más liga a SoC. Érdemben erősebb az RB4011 vagy az 5009. De az már teljesen más árkategória.
-
#26591
hcl
titán
lionhearted
#26590
válasz
lionhearted
#26590
üzenetére
Általában mondtam
+ fentebb említették a VLAN gondot. -
#26590
lionhearted
őstag
hcl
#26574
Mi számít gyakrannak? Nekem még mindig fut a hap ac2-m, már pár éve alulról szigetelt padlástérben, szóval 40 fokban, meg fagyban. Hetedik évét tapossa, összességében. És hol van az egy ax3hoz képest (keress rá, neten vannak szétszedett képek). Nekem nincs sem külső, sem belső minőségi panasz.
A wifi miatt azért előbb cserés szokott lenni. -
-
válasz
ekkold
#26585
üzenetére
Igen, ez megfelelne nekem is, nyilván ha valami SOHO-nak van eladva, de jobb építési minőségű, az nem gond.
Az AP-s megközelítés nem lenne hülyeség, csak ár. Meg azt megoldhatom olcsóbb Openwrt-s eszközökkel is, ha kell -> viszont a beépített wifi meg kényelmes.
Ami fontos lesz még, az az, hogy hosszabb távon működjenek rajta a RouterOS-ek, de ahogy tudom, az azért szokott. -
ekkold
Topikgazda
Nekem RB5009 van, az egész alja egy vastag fémlap, de az egész háza fémből van, papíron ez is soho kategória, de azért sokkal iparibb kivitel mint ezek a minden irányban ívelt műanyag szappantartók. Gyakorlatilag a megjelenése után kicsivel már megvettem, azóta is jól megy. Viszont ebben nincs wifi, külön AP-k kellenek. Véleményem szerint a wifi eszköz gyorsabban avul, + a mikrotik nem egy wifi sebesség bajnok.
Ha mindenképpen kell bele wifi, akkor én is a 4011-et ajánlanám inkább.
Amúgy nekem is van öreg RB951-es a hálózatomban (sacc 10..11 éves lehet), jelenleg wifi AP, nem túl gyors a mai viszonyok között, de atom stabil. De gigabites switch-ként is funkcionálhat. Erről azt érdemes tudni, hogy eredetileg 1W-os wifivel készült, és csak az újabb szoftver verziók korlátozzák a teljesítményét. 2,4GHz-es AP-nek most is megállja a helyét, ha nem vagyunk sebesség tekintetében maximalisták. -
válasz
Apollyon
#26583
üzenetére
Érteni, hogy nem alsókategóriás, de fentebb is írták, hogy azért nem mindenben olyan, mint egy üzleti. (Még ha low-end business is lenne.)
Tudom, hogy tanulni kéne, azért is nem az lesz most, mert pénz mellett idő se lenne. De hosszabb távon az a cél.
3év itt nálam az alap
-
Apollyon
Korrektor
Erre tökéletes lenne egy mikrotik-féle SOHO router. Azért ez nem a TP-link meg "snsv" kategória.
4011 király, csak már régi... AX3 is erős, meg újabb, és ugye AX-et is tud, szóval egy darabig elleszel vele. Nálam már lassan 3 éve üzemben van, és a wifije atomstabil, VR-ozok is vele.
Egyébként próbáltál már mikrotiket? Nem épp next-next-finish, és az openwrt-től is eléggé elüt. Itt ugye nem is a hardver hanem a szoftver amiben kiemelkedik. -
válasz
Gyurka6
#26580
üzenetére
Hát, 90m2 lakás lesz, abban szódával el fog menni egy AP is. Mértem egy TP 841-el pár éve, azzal is volt térerő mindenhol. Kb. a lakás közepére terveztük az ilyesmiknek való szekrényt, mindenhova el kéne érnie.
Az nem gond, ha wifi terén le vannak maradva, nem szokott a leggyorsabb kelleni, csak azért gondolkodtam AX-ben, mert ha hosszú távra marad, akkor jobb egy aktuálisabb.
-
HUNited
őstag
Sziasztok, egy Chateau AX Pro-t érdemes lehet lecserélni egy BE3-ra?
Illetve mikor jön a többi BE készülék, nem tudjátok? Most van nálam felújítás, és pár hónapot még kihúzok egy routerrel de hamarosan kell egy második is (a ház 200m2, most fent ahol lakunk van a Chateau, lent a wAP van egyenlőre, de a felújítás végén az kültérre kerül ha már kültéri, nomeg persze azon nincs is kellő számú LAN) -
válasz
Gyurka6
#26578
üzenetére
Asus?
Ha sikerül megjavítani azt, ami itt fetreng, CPU cserés, akkor lesz egy.
50-100k-ért soha nem vennék Asust (Kevesebbért se...) Meg hát itt nem kell high-end router, inkább kicsit komolyabb funkciók kellenének (pl. a VLAN, ami Openwrt-n megy, de elég fapad).A RB2011szimpatikus lenne, de csak n-es fifi. :S (Még azt lehetne, hogy a meglevő AC-s SOHO cuccokat használom AP-nak.)
Amúgy igen, az említett Mikrotik cuccok nem drágák, csak itt most nincs annyi pénz. (Ha nagyon kéne, lenne, csak másik 5 dologra is pont ugyanannyira nagyon kéne.)Tehát most vagy semmit nem veszek, vagy egy tartalék C7-est 10 ezerért, aztán majd valamikor egy MIkrotyúk, mert mindenképpen jó lenne áttérni és megtanulni, csak nem lóhalálában.
-
-
#26577
hcl
titán
Kicsirics77
#26575
válasz
Kicsirics77
#26575
üzenetére
Ez jobban hangzik, meg az ára is
@stopperos : Köszi!
Jelenleg úgy tűnik, megjavult a TP C7, de erre vissza fogok térni, ha lesz rá keret, mert amúgy is Mikrotik felé kéne mozdulni. Csak túl sok mindent kéne egyszerre, amikből mindnen drága magában is
-
#26576
stopperos
senior tag
Kicsirics77
#26575
stopperos
senior tag
válasz
Kicsirics77
#26575
üzenetére
-
Ja, megvan.
De ez valami SOHO cumónak tűnik... Pont ezt akarnám elkerülni, hogy ne otthoni kategóriás routerem legyen, mert azok viszonylag gyakran halnak. -
Thx
Ezt itthon kapni...? Hirtelen nem találok erre semmit...
Illetve, használtból mit? AC wifi mondjuk elég, persze AX nem baj.
Jövőbeli OS verziók mennyire fognak rajta működni?
-
Hello,
Keresnék valami értelmes Mikrotik javaslatot itthoni routernek.
- nem kell sok port (4 vagy 8 azért jó lenne)
- vlan támogatás viszont kéne
- 3 wifit kéne szolgáltatnia+kábeles hálót
- a WAN gigabites kellene, hogy legyen
- hosszú távraJelenleg két OpenWRT-s SOHO routerből van összerakva a háló, egyik a WAN+normál hálózat+normál wifi, másikra VLAN-nal van kiadva erről egy leválasztott hálózat, és ezen is megy egy külön wifi régi eszközöknek. Nem egy nagy feladat egy Mikrotik cuccnak, csak kérdés, mit érdemes
Köszi!
-
-
user12
őstag
válasz
grabber
#26560
üzenetére
Termékmegjelenés szempontjából új
Igen a technológia valóban nem újkeletű, de ha megnézitek pl wifi terén később debütálnak az adott szabványok, amik más gyártónál már implementálva vannak (pl lásd a legutóbbi "be" wifi támogatás), lehetséges, hogy tudatos tervezés vagy teljesen más ok van a háttérben. -
user12
őstag
V7.22.2 [stable] verzió is befutott
-app - fixed uptime-kuma and jupyter-notebook;
-bgp - fixed stability issue when non-existent output select-chain was specified;
-bridge - fixed missing dynamic "switch-cpu" VLAN entry in WiFi setup;
-bridge - synchronize only local bridge MAC addresses for MLAG (introduced in v7.22);
-console - rename "cpu-used-per-cpu" to "cpe-used-per-core" in "/system/resource/monitor";
-container - fixed losing container after reboot;
-ethernet - fixed false excessive broadcast warning (introduced in v7.20);
-firewall - improved system stability;
-ipsec - fixed expired SA handling to prevent “no such item” errors during listing;
-ipv6,ra - use received prefix when RA on-link flag is 0 (introduced in v7.22);
-isis - improved stability with fragmented CSNP;
-leds - fixed default LED configuration for CCR2004-1G-12S+2XS;
-leds - fixed LED dark mode for RB5009;
-lte - fixed missing automatic redial when cellular connectivity is lost for R11e-LTE;
-ospf - improved stability on configuration change;
-ovpn - fixed OVPN push routes;
-poe-out - firmware update for 802.3at capable boards (the update will cause a brief power interruption to poe-out interfaces);
-poe-out - fixed occasional detection issue when using auto-on mode;
-ptp - allow manual domain configuration for 802.1AS profile;
-ptp - set DSCP (EF) for the default profile when using IPv4;
-route - improved service stability when removing routes;
-routerboard - fixed applying settings via WinBox on devices with fixed CPU frequency;
-system - added FCC Part 15 Compliance label to "System/Regulatory" menu;
-system - improved stability for internal RouterOS service communication;
-system - improved system stability;
-system - included full certificate chain to Windows executables;
-usb - fixed crash when using Ethernet adapter (introduced in v7.22);
-vrrp - fixed packet drop in CHR (introduced in v7.22);
-wifi - improved authentication stability for WiFi 7 access points;
-wifi-mediatek - fixed communication issues on 802.11ax access points with Intel clients;
-wifi-mediatek - fixed HE capabilities IE on 2GHz band;
-wifi-qcom-be - fixed forwarding of 4-address data from station to station;
-winbox - added option to configure built-in trust store for all services;
-www - improved service stability when cancelling REST API sessions; -
#26565
grabber
addikt
lionhearted
#26564
válasz
lionhearted
#26564
üzenetére
Mindenképpen kötelező cucc,csak megjelenhetett volna a Chateau termékkel egy időben. Korábban sem lett volna rossz. De legalább lett volna termékválaszték,ha drága is.
Így én az elmúlt időkben más gyártót ajánlottam ki,mert Mikrotikben nem tudtam. Teltonika 1,5-2 évet minimum rávert a Mikrotikre. -
#26564
lionhearted
őstag
grabber
#26563
-
#26562
Tamarel
senior tag
donjohnson
#26556
Tamarel
senior tag
válasz
donjohnson
#26556
üzenetére
1 perces olvasás:
- 28as és 32es csatorna támogatása az újdonság
- a linkelt Huawei nem tudja eztAttól, hogy neked és grabber-nek nincs ilyenre szüksége, a világ maradék részében valakinek még lehet…
Avagy: nem kötelező használni. -
#26559
yodee_
őstag
donjohnson
#26558
yodee_
őstag
válasz
donjohnson
#26558
üzenetére
Végülis CAT7-ből latest
-
#26557
yodee_
őstag
donjohnson
#26556
yodee_
őstag
válasz
donjohnson
#26556
üzenetére
2026-ban LTE-vel kihozni cuccokat már szinte bűn... Nem is értem mi lett volna a terv.
-
#26556
donjohnson
addikt
user12
#26551
donjohnson
addikt
válasz
user12
#26551
üzenetére
ez simán vásárlók megtévesztése.
remélem nem veszitek meg ezt a "gőzgépet" a múltból.
2015-ben számított ez "latest"-nek.mikrotik wAP ax LTE7 kit LTE cat.7 (2026) 169 USD=kb. 52 ezer Ft
huawei Outdoor CPE B2368 LTE cat.12 (2018) kb. 63 ezer Ft, ebay -
user12
őstag
válasz
Protezis
#26554
üzenetére
Köszi, hogy megosztottad, hogy mit tapasztaltál.
Sajnos nem hibátlan
Ha esetleg más is beleesne, itt (https://forum.mikrotik.com/t/error-could-net-load-config-json-after-restoring-containers-x86/265705/13) azt javasolják, hogy a repull megoldja (elvileg) -
-
user12
őstag
Legújabb, áprilisi newletter, új LTE7 eszközökkel
-
user12
őstag
RouterOS 7.21.4 LONG TERM release
What's new in 7.21.4 (2026-Apr-21 09:49):
bgp - fixed stability issue when non-existent output select-chain was specified;
bgp-vpn - allow modifying scopes with routing filters;
bgp-vpn - fixed non-working import filter after reboot;
bgp-vpn - use target scope for imported route;
bridge - fixed missing dynamic "switch-cpu" VLAN entry in WiFi setup;
bridge - fixed performance regression in complex setups with vlan-filtering (introduced in v7.20);
console - removed the "reset" command from shared settings menus (IP/IPv6/Bridge/L3HW/Neighbor-Discovery/Connection-Tracking);
container - fixed issue where the container might not start after upgrading if root-dir was not set;
container - improved error message if a container fails to start;
defconf - fixed L009 configuration (introduced in v7.21);
ethernet - fixed false excessive broadcast warning (introduced in v7.20);
firewall - improved system stability;
ipsec - improved aes256-ctr stability on L009;
ipsec - removed modp8192 proposal on MIPS architectures;
ipv6,ra - use received prefix when RA on-link flag is 0;
isis - improved stability with fragmented CSNP;
l2tp - improved system stability on TILE architecture;
l3hw - fixed missing VLAN counters after reboot (introduced in v7.21);
l3hw - fixed stability issue (introduced in v7.21);
leds - fixed default LED configuration for CCR2004-1G-12S+2XS;
log - do not provide non-existent logging topics for configuration;
lte - fixed framed route support for the first APN;
lte - fixed missing automatic redial when cellular connectivity is lost for R11e-LTE;
lte - fixed user set MTU not applied to LTE interface;
lte - override the "auto" or 0 MTU in "interface" menu to 1500;
ospf - fixed typos in log messages;
ospf - improved stability on configuration change;
ovpn - fixed OVPN push routes;
poe-out - firmware update for CRS354-48P-4S+2Q+ (the update will cause a brief power interruption to poe-out interfaces);
poe-out - fixed rare PoE-Out firmware upgrade failure on CRS354-48P-4S+2Q+;
ptp - allow manual domain configuration for 802.1AS profile;
ptp - set DSCP (EF) for the default profile when using IPv4;
qos-hw - display queue0 limits for CPU port;
qos-hw - fixed "offline" tx-manager ability to queue at least one packet (introduced in v7.21);
qos-hw - prohibit setting CPU port with "offline" tx-manager;
route - added SLAAC route redistribution for IPv6 capable routing protocols;
route - do not set blackhole flag for synthetic routes;
route - improved service stability when removing routes;
routerboard - fixed applying settings via WinBox on devices with fixed CPU frequency;
routing-filter - added possibility to match SLAAC and bgp-mpls-vpn route types;
ssh - make login process asynchronous;
switch - fixed stability issue when changing bridge multicast-router property on CRS1xx/2xx (introduced in v7.19);
system - added FCC Part 15 Compliance label to "System/Regulatory" menu;
system - improved stability for internal RouterOS service communication;
system - improved system stability;
system - improved upgrade service stability when the server is unreachable;
system - included full certificate chain to Windows executables;
user - properly apply login delay (introduced in v7.20);
wifi-mediatek - fixed communication issues on 802.11ax access points with Intel clients;
wifi-mediatek - fixed HE capabilities IE on 2GHz band;
winbox - fixed "Remote AS" setting under the "Routing/BGP/Connections" menu;
winbox - fixed "Src/Dst Address Type" under the "IP/Firewall/NAT" menu;
winbox - fixed L3HW default value for VLAN interface (introduced in v7.21);
winbox - properly display multiple bands for multi-link interface clients under registration table;
winbox - rearrange filter wizard parameters in tabs;
www - improved service stability when cancelling REST API sessions; -
#26543
iceQ!
addikt
Kicsirics77
#26542
válasz
Kicsirics77
#26542
üzenetére
Megnéztem a sajátommal, de ugyan az a jelenség.
-
Sziasztok,
Történt a napokban, hogy egy hAP Ac3-nál elment a wifi. Elmentem megnézni (5-6 éve én konfiguráltam), hogy mi a gond. Beléptem Winbox-al nem találtam semmi furcsát, gondoltam csinálok rajta egy frissítést. Azóta nem bootol be, úgy tünik mintha boot loopba került volna. Netinstall segít ezen a problémán, úgy hogy a konfig megmaradjon? CAPsMAN ezen fut és van még 2 eszköz ami erre csatlakozott, nem sok kedvem van / lenne újra konfigolni az egész lakást -
#26536
MasterDeeJay
veterán
mrots
#26532
Ezt én is csináltam egy darabig. Ip-ket visszakeresgéltem logokban és megnéztem portok mik nyitottak. Voltak kamerarandszerek, routerek, nasok defaulton hagyva szétferőzve. Eléggé rossz volt látni konkrétan családi ház kameráit... Megválltoztattam a jelszavakat random generáltra majd lekapcsoltam a fenébe amit lehetett. Aztán jelentgettem is az incidenskezelőnél vagy mi a neve most, volt amit megcsináltak párat de utána meg leszarták az egészet. Feladtam én is. Dolgozzanak inkább az etikus hekkerek.
-
user12
őstag
A napokban felröppent APT28-as műveletekkel kapcsolatosan került ki egy közlemény a Mikrotik fórumra:
(változatas nélkül idezem az eredeti oldalról, link alább)“Based on currently available information, MikroTik devices are not being compromised through newly discovered vulnerabilities. Instead, these campaigns appear to target devices with outdated firmware or weak security configurations, similar to many other networking products in the industry when the user becomes the attack vector.
At this time, we have no evidence of any active, unpatched vulnerabilities affecting MikroTik RouterOS.
We strongly recommend all users follow standard security best practices:
Keep RouterOS updated to the latest version (v7)Use strong, unique passwordsDo not expose management interfaces to untrusted networksRegularly review device configuration and access settings
MikroTik continues to monitor the situation closely and will provide updates if any new information becomes available.” -
Reggie0
titán
Volt egy tuzfalgyarto ceg akik pont ezt csinaltak automatizaltan. A sok spammer pedig halalra dosolta a ceget, mert nagyon bevalt a szoftver es az ISP-k igy tiltogattak rendesen az IP-ket.
Most ha arm-os mikrotiked van akkor lehet ra felhuzni egy docker-t amit beallitasz remote loggingra es az automatizaltan tudja szurni ezeket es feldobalni a tiltasokat. Regebben erre csak kulso gep/rpi igenybevetelevel volt lehetoseg.
-
mrots
tag
válasz
ncc1701
#26519
üzenetére
Az ilyenek eszembe juttatjak amikor fiatal koromban raporogtem az ilyenekre, megkerestem whois-ben az abuse emailt, reportoltam, logokkal, volt, hogy telefonaltam is. Missziomnak ereztem, hogy megjavitsam az internetet.
Pont ma neztem az egyik routerem logjat, tele volt az is ilyenekkel, elvette a hasznos logbuffert a valodi uzenetek elol. Ma mar csak kikapcsoltam a loggolast es elmentem teazni. At ugyse jutnak, akkor meg felolem probalkozzanak.
-
user12
őstag
Igen ez a három próbálkozás utáni tiltás jó dolog. Nálunk itthon sima mezei pppoe végpont van dinamikus címmel, mégis mindig van próbálkozás, hol celzottan a nyitott l2tp/ipsec portokra, hol csak úgy random 1xxxx portra.
Pár naponta átnézem a logot és a gazamberek mennek a ban listára (syno log központba átküldi a mikrotik, itt tudom szűrni is + küld értesítést adott kulcsszavak esetén). -
#26527
ekkold
Topikgazda
MasterMark
#26526
ekkold
Topikgazda
válasz
MasterMark
#26526
üzenetére
Konkrétan mire gondolsz? Az oldal https-el megy és egy jelszót kell megadni. Ez mindössze csak annyit tesz, hogy ha megfelelő a jelszó, akkor az adott port, a megadott IP-ről elérhető lesz. Tehát ez csak bekopogás az ajtón, a VPN csatlakozás és authentikáció csak ezután jön.
A Mikrotik és a NAS (webszerver) ilyenkor csak LAN-on belül kommunikál egymással. -
ekkold
Topikgazda
válasz
ncc1701
#26523
üzenetére
Ha van webszerver (NAS) a hálózatban, akkor olyan megoldást is lehet csinálni, hogy egy webfelületen először kérünk port nyitást, és utána mehet a VPN. Nálam ez így néz ki:
A webszerver php-vel küld egy megfelelő csomagot a mikrotiknek, az pedig felteszi "fehérlistára" az illető IP címét.
Az IP mezőt automatikusan kitölti, de átírható, ha pl. valaki másnak a címélt akarom felvenni, és nem akarom elmagyarázni neki, hogyan/hol lépjen be, vagy ha nem akarok neki jelszót adni.
Ha az IP nincs felvéve, akkora port számára zárva van, és nem tud csatlakozni.
Kicsit több munkával átírható lenne úgy is, hogy név-jelszó párost kelljen megadni itt is.Amúgy a wireguard szerintem sokkal jobb mint az SSTP, és kb minden opendszerre van kliens. Ami hiányossága van, hogy nincs dinamikus IP kiosztás, azaz neked kell konfigot generálni a felhasználók számára, egyedi belső IP címmel, de ez viszonylag egyszerűen megoldható.
-
Lenry
félisten
válasz
ncc1701
#26519
üzenetére
Vannak erre scriptek, hogy pl 3 sikertelen próbálkozás után blacklistre kerüljön a tűzfalban.
Egyébként nem is kell hogy meg legyen nyitva egy-egy port, próbálkozni akkor is fognak. Nálam nincs nyitva se az SSH, se a telnet, se a Winbox portja kifelé, mégis többezer cím került fel néhány nap alatt a blacklistre, amikor létrehoztam egy tűzfalszabályt, hogy ezekre a portokra érkező minden próbálkozás azonnal bannolva legyen
-
ncc1701
veterán
Van a céges routerünkön configolva sstp vpn szerver, de mocskosul próbálkoznak rajta. Bejutni nem tudnak, mert tanusítványos a vpn, de bántsa a szemem. Van pár honeypot az eszközön (80, 22, 3389-es portokra), de ez nem segített számottevően csökkenteni a próbálkozások számát.
Mik a lehetőségeim? Geoip talán, de a főni elég világjárós. Ha meg a kapcsolatok számát korlátozom, akkor meg nem fogg minket sem beengedni. -
dybu
tag
válasz
Tamarel
#26512
üzenetére
route volt, mangle volt, dns is renben volt; ping megy routerről is, pc-ről is. mégsem töltődtek be a weboldalak. bosszantó az hogy van minta is ami működik, lemásoltam ugyanazt (természetesen a saját beállításaimat szem előtt tartva), mégsem indult meg rendesen. Egy különbség van, én telekom simet használok, amit másoltam az yettel, dehát ez nem lehet döntő tényező. Nekiállok újra úgyis mert nem hagy nyugodni, csak gondoltam adok/adtok nekem egy kis handicapet
-
#26514
Lenry
félisten
lionhearted
#26513
Lenry
félisten
válasz
lionhearted
#26513
üzenetére
az OPNSense, ami tűzfal, tűzfalkodik és intézi a 3 WAN kapcsolat közti váltást.
minden más routeolási feladatot a Mikrotik lát el, de hogy éppen milyen útvonalon lát ki az internetre, azt az OPNSense oldja meg -
#26513
lionhearted
őstag
Lenry
#26511
-
dybu
tag
Halihó, ha valaki szenvedett már failover WAN-al, és esetleg egy videó/szöveges guide alapján csinálta, kérem ossza meg tudását, linket, videót, tegnap 2x elbuktam a configgal. Átváltott rá, pingelni mindent tudtam de egy weboldal sem akart betölteni... RB4011 és RB912R 7.20.8-on mindkettő.
-
ncc1701
veterán
válasz
Reggie0
#26507
üzenetére
Amúgy elég volt felvenni address-list-be az ovpn poolom címtartományát, és erre szűrni src-dst addressre, intf nem is kellett (nincs is ovpn interfacem, csak bridge van).
Most már le merem írni, csütörtökön bekapott egyik ügyfelünk egy zsaroló vírust, tegnapra lett belőle 10, tegnap egész nap mentésből álltunk vissza. Mikrotik elött egy debian a routerünk 4 hálókártyával, ott a kliensek kapásból nem látták egymást. Most már arra nem emlékszem, h ott is kellett-e iptables tűzfal szabályt faragni rá, vagy ovpn szerver config beállítás volt, mindegy is. Hülye voltam, nem néztem meg, egyértelműnek tűnt, h a kliensek itt sem látják egymást. Meg még egyéb tanulságokat is levontunk, kollegák sokat lazíttattak a biztonságon, mert nekik úgy egyszerűbb volt a support. Na, ennek most itt látványosan vége.
-
Reggie0
titán
-
leonel
aktív tag
Sziasztok. Remélem jó helyre írok.
Egy mikrotik WAPG-5HAXD2HAXD
Ap pointra szeretnék rákötni egy mikrotik sxtsq5ax antennát. A lényeg hogy a teraszon lévő ap-ről levenné a jelet wifin az sxtsq5ax majd az internetet ethernet kàbelen továbbítaná egy routerre a fém garázsba. Tudna valaki segíteni részletes leírással mert ma 3 óra alatt sem tudtam működésre bírni és ott tartok hogy kidobom a pi….ba az összes mikrotiket és tp link rendszert veszek.
bp. 17. Ker-ben vagyok. Ha valaki kijönne megcsinálni - kifizetem. Már kihullott a hajam.
Köszönöm
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
Hirdetés
- MS SQL Server 2016, 2017, 2019
- ÓRIÁSI BOMBA AKCIÓK! PSN, STEAM, UBISOFT CONNECT, EA APP, XBOX EREDETI KULCSOK 100% GARANCIA
- -50% Dobozos Új Lenovo ThinkPad X1 gen 10 2-in-1 Ultra 7 268V 32gb ram Inter Arc 140V Gari 2030
- Telefon felvásárlás!! Honor 200 Lite, Honor 200, Honor 200 Pro, Honor 200 Smart
- Keresünk iPhone 15/15 Plus/15 Pro/15 Pro Max
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest