- Szívós, szép és kitartó az új OnePlus óra
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Samsung Galaxy S23 Ultra - non plus ultra
- Samsung Galaxy Watch4 és Watch4 Classic - próbawearzió
- Amazfit Active 2 NFC - jó kör
- Samsung Galaxy A56 - megbízható középszerűség
- Magyarított Android alkalmazások
- Telekom mobilszolgáltatások
- Samsung Galaxy Watch (Tizen és Wear OS) ingyenes számlapok, kupon kódok
- Samsung Galaxy S25 - végre van kicsi!
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Tanácsot szeretnék kérni SFP választás kapcsán: több helyen is olvastam (pl. itt a topicban is volt ezzel kapcsolatos pozítv hsz.), hogy mennek a Ubiquit SFP-k a Mikrotikekben (már ami, és már amelyikben). Mivel kb. fele annyiba kerülnek, ezért elég csábító a dolog. És akkor ott van az FS is, ahol már 9 USD/modul áron is megkapnám amit szeretnék. A gondot az okozza, hogy a nemrég megjelent CCR2004-ben mennének ezek a modulok, amivel kapcsolatban nyilván még senkinek nincs tapasztalata.
Ami kellene:
- 8 pár 1G single mode bidi optika, LC (Ubi: UF-SM-1G-S, FS: SFP-GE-BX sorozatból valamelyik)
- 2db 1G réz, RJ45 (Ubi: UF-RJ45-1G, FS: GLC-TA)Ha FS: itt egyébként custom rendelésnél Mikrotik compatibilityt is lehet választani, de azért érdekelne ennél is, hogy tényleg megbízhatóan működik e.
Természetesen van mindkét modulnak Mikrotikes megfelelője, amivel biztosan oké lenne. Szerintetek érdemes próbálkozni, vagy legyen inkább ez utóbbi tuti megoldás? Illetve a kérdés főképp arra irányul, hogy a kompatibilitás főképp a RouterOS miatt lehetséges, vagy inkább magán a porton múlik? Mert ugye az előbbi esetben jók az esélyek, az utóbbinál meg vakrepülés, mert CCR2004-el ilyen tapasztalata még nincs senkinek.
Előre is köszi!
-
ekkold
Topikgazda
válasz
ekkold
#10396
üzenetére
Bepipáltam a log-ot ebben a NAT szabályban, és elég érdekes:
- A WAN IP alapján lekérem a webszerverem kezdőlapját. (http://94.21.52.90/)
- A logban pedig az látszik, hogy scrnat-ol a PC-m LAN IP címe, és a szerver LAN IP címe között. (192.168.9.44 -> 192.168.9.120) A NAT szabályhoz tartozó számláló is növekszik.
- A webszerver azt látja, hogy a router (LAN IP-je) kérte le az oldalt, tehát valóban NAT-olás történt! (192.168.9.1)Lehet, hogy amit korábban a működés magyarázataként írtam az nem áll meg, de akkor magyarázza el valaki, hogy hogyan és miért működik így!?
-
ekkold
Topikgazda
válasz
bambano
#10395
üzenetére
Pontosan követem, és a 10378-ra vonatkozott amit írtam, sőt a saját routeremen is használom ezt a megoldást, majdnem ugyanúgy:
/ip firewall nat add action=masquerade chain=srcnat dst-address=192.168.0.0/16 src-address=192.168.9.0/24 comment="külsö nyitott portok elérése bentről"
Ha nem csak véleményt fogalmaznál meg, hanem ki is próbálnád, akkor rájönnél, hogy Te tévedsz.Amikor a WAN IP-re hivatkozva csatlakozok a werbszerveremhez, akkor ennek a NAT szabálynak a számlálója növekszik. Tehát a router annak ellenére, hogy LAN IP címek vannak a szabályban, alkalmazza a saját WAN címére is!
-
bambano
titán
válasz
ekkold
#10394
üzenetére
ha pontosan követnéd, hogy mikor melyik nat szabályról van szó, te is tudnád, hogy tévedsz.
Az "említett nat szabály" megfogalmazásod pontatlan.
Ha arra gondolsz, amit a 10376-os hsz-ben írt, akkor működhet.
Ha megnézed, hogy én melyik nat szabályra céloztam (10378, kettővel későbbi hsz), akkor rájöhetsz magadtól is, hogy a véleményed módosításra szorul. -
ekkold
Topikgazda
válasz
bambano
#10389
üzenetére
bambano, bacus:
Mégis működik, ugyanis amikor a saját WAN címre érkezik kérés a 192.168.1.0/24-ről, akkor a router "észreveszi", hogy az ugyanúgy a saját címe, és belső hálóról lehet kiszolgálni, az említett NAT szabály alapján. Tehát elvileg a cél címe lehetne 192.168.1.1 (vagy jelen esetben 192.168.1.254), de ugye a /24-es tartományban ez is benne van, tehát ki is fogja szolgálni.
Magyarul az eszköz nem egy belső hálós célcímmel fordul a routerhez, hanem a cél WAN oldali cím, csak a routernek ez ugyanúgy a saját címe mint ahogy LAN oldali címe is, és ezt észre is veszi a router, és kiszolgálja a kérést.
-
zex
aktív tag
válasz
bambano
#10389
üzenetére
ŐŐŐ.. Ettől tartottam én is, de ez a Harpin NAT valahogy nekem nem egyértelmű. Ha ezt a szabályt kilövöm, akkor belső hálózatból a DNS névre hivatkozva nem lehet elérni a szerver szolgáltatásait.
Esetleg tudsz abban segíteni, hogy hogyan kellene helyes beállítanom a Harpin NAT-ot?Amúgy az miért van, hogy a gagyi SOHO routereknél ezzel nem kell bajlódni, ott alapból megy a DNS címmel a szerver elérése, független, hogy külső, vagy belső hálózatban vagyok!
-
zex
aktív tag
válasz
#42556672
#10385
üzenetére
Megoldottam most azzal, hogy átállítottam a szervert, hogy DHCP-n kapja az IP-t és ezt tettem statikussá a Mikrotik Leases fülén. Most jó. Egyébként a szerver IP címe a 192.168.1.50 volt statikusan is, a DHCP meg a 192.168.1.200-192.168.1.250-ig osztott.
Talán ami még gondd lehetett, hogy a szerveben a default gateway maradt a régi TP-Link router IP címe (192.168.1.1), de most a MikroTik meg a 192.168.1.254-et kapta.Másra már nem tudok gondolni.
Mindenesetre most megy, köszönöm a segítségeteket. -
zex
aktív tag
Valami más lehet itt a bibi. A szerver amire irányítani akarom a portot, statikus IP címmel rendelkezik. Természetesen a DHCP erre a tartományra nem oszt ki IP, de cserébe nem is látja a szerveremet. Lehet ez a gond? Csak mert a laptopomon (aki DHCP-ről kapja az IP-t) nyitottam ki egy portot és az a port meg tökéletesen át is irányítódik rá!
b -
zex
aktív tag
Köszi a választ! Sajnos ezt is próbáltam de így sem megy.
alapból ez volt az eslő beállításom, de utána azért változtattam meg az addresslist-re mert a saját routeremen meg így működik.Egyébként a harpin nat nálam így néz ki:
add action=masquerade chain=srcnat comment="Harpin NAT"dst-address=192.168.1.0/24 src-address=192.168.1.0/24Ez így jó lehet vajon? Mert nem vagyok 100%-ban biztos benne.
-
nálam így néz ki egy-egy NAT szabály és működik
add action=dst-nat chain=dstnat comment=comment dst-port=külsőNyitottPortin-interface=eth1-WAN protocol=tcp to-addresses=belsőEszközIPjeto-ports=belsőEszközNyitottPortja
az addresslist nem szükséges, annak inkább csak hairpin NAT esetén van jelentősége -
zex
aktív tag
Adott egy hAP mini és a port forwardig probléma. Akár hogyan is állítgatom a routert, nem akarja kinyitni a portokat, pedig a régi tp-link routerrel gondd nélkül ment, illetve ami még érdekes, hogy ahányszor megpróbálom megnézni, hogy nyitva van-e a port, a NAT szabály mellett a számláló 1-2 csaomaggal ugrik feljebb.
A NAT szabályom valahogy így fest:
/ip firewall address-list
add address=XXXX.ddns.net list="WAN IP"/ip firewall nat
add action=dst-nat chain=dstnat comment="NVR" dst-address-list="WAN IP" dst-port=1250 protocol=tcp to-addresses=192.168.1.50 to-ports=34567Egyébként a netet az ether1-en kapja DHCP-n keresztül. A no-ip script tökéletesen frissít, a WAN IP-vel nincs semmi baj.
Az /ip firewall filetr-ben nincs sok minden, csak input chain-ek, de ha mindet letiltom, akkor sem nyitja ki a portot.
Kérlek segítsetek, ha tudtok! Köszi!
-
#10372
Lenry
félisten
Marcelldzso
#10371
válasz
Marcelldzso
#10371
üzenetére
wAP 60G és wAP 60G AP állnak szemben egymással (fogalmam sincs mi az érdemi különbség köztük), kb 50 méterre egymástól, urbán viszonyok, tiszta rálátás.
ping mérhetetlen, legalábbis mindig 0ms-et ad vissza, ami fura (persze mondhatjuk hogy ennyire gyors, de nem hiszem el
)sebesség 600MBit körül
-
bacus
őstag
válasz
aclandiae
#10368
üzenetére
Egy internetszolgáltatónál, ahol pláne mikrotik alapokon szolgáltatnak egészen biztosan számítanak a papírok, egyéb esetben nem hiszem.
Azonban a tanfolyamok sok sok általános információt is adnak, nem csak mikrotik specifikust, pl MTCNA -t sokan ha elvégeznék, egy csomó kérdés fel sem merülne a fórumon, nem véletlen ez az alapja az összes mikrotik tanfolyamnak. Az MTCINE, MTCRE tanfolyamok elvégzése után pedig szerintem bármelyik internetszolgáltatónál fogsz tudni dolgozni, ott sztem olyan dolgokat ismersz meg, amit egyébként a hétköznapi életben kis, közepes cégeknél már nem fogsz tudni kihasználni (vagy csak egy szűk részét), éppen ezért azt az ismeretet már nehéz is összeszedni a netet olvasgatva.
A papírok egyébként csak 3 évig (vagy 5?) érvényesek, engem rettenetesen zavar, hogy pl nekem is ki kellene csengetni a teljes árat, (nincs lehetőség, csak levizsgázni), pedig egy MTCNA-t ami alap, arra készülni se kellene, hogy levizsgázz....
Az a furcsa helyzet is előállhat, hogy valaki az MTCINE -t 2 évvel később teszi le mint az MTCNA-t, azaz az alap vizsgája 2 éve érvénytelen lesz, míg a másik még 2 évig érvényes..Én pl egyik vizsgámat sem hosszabbítottam meg (a fenti okok miatt), de nem bántam meg a tanfolyamok elvégzését. Az MTCWE pl rengeteget változott az elmúlt 10 évben, de mivel naponta foglalkozom mikrotikkel, nem hiszem, hogy tanfolyam, rákészülés nélkül nem tudnék levizsgázni. Ebből a szempontból a mikrotik papírok fenntartása kifejezetten fájdalmas pénzlehúzás.
-
válasz
bambano
#10364
üzenetére
a 60 gigás mikrókat bridge-be szokták tenni, és akkor a két router antennák felé eső interfésze plusz a két mikró egy ütközési tartomány.
vááááááááá
tudtam én hogy valami egyszerű dolog kell hogy legyen
én a végén ott szabtam el, hogy az antennákon belül nem volt bridge, és külön alháló volt a két telephely, aztán ezt próbáltam keresztül routeolni a mindenen, persze sikertelenül.így meg most azonnal működött.
köszi még egyszer -
bambano
titán
a 60 gigás mikrókat bridge-be szokták tenni, és akkor a két router antennák felé eső interfésze plusz a két mikró egy ütközési tartomány.
pingelni a routerek mikró felé eső interfészét lehet. a többi interfészéhez routing szabályok kellenek.
szerk: az
/ip neighbor print
megmondja, hogy alapszinten miket látnak egymásból. -
triviális feladattal küzdök, és biztos hogy valami hülyeségen csúszik el a dolog, de egyszerűen képtelen vagyok rájönni, hogy mi...
szóval
van két - egymástól párszáz méterre lévő - helyszín.
mindkét helyen 1-1 router. mindkét routerhez vezetékkel kapcsolódik egy-egy 60G-s antenna. az antennák egymáshoz - nyilván - vezeték nélkül kapcsolódnak.
eddig szuper.
a terv az volna, hogy a két router egymással kapcsolatban álljon, de ezt valahogy nem tudom elérni. egyszerűen nincs meg az az IP-cím / route / tunnel / tűzfalszabály / akármi, aminek az segítségével a két router meg tudná egymást pingelni.
a láncban minden eszköz eléri a szomszédos eszközöket, tehát pl az antenna a mögötte lévő routert és az előtte lévő másik antennát, azonban az egy lépéssel távolabbi eszközt már nem.mivel rengeteg kombinációt kipróbáltam már, így ha nem muszáj azt nem írom le, hogy éppen milyen IP-k és tartományok vannak, illetve mi mivel van összebridgelve, mert az úgysem működik, viszont bármilyen javaslatot szívesen kipróbálok
mind a négy eszköz Mikrotik
-
#10362
Alteran-IT
őstag
bacus
#10361
Alteran-IT
őstag
Köszi, gondoltam rá, de nem kapcsoltam ki, mert eddig nem volt ilyen bajom, meg ha kikapcsolom, akkor a telefonos appon nem látom a sávszél grafikont, amit nem értek, mert attól még van internet, de mindegy, megpróbálom majd felkonfigolni (beállítani az interfészeket), hátha nem csinál akkor ilyet, ha meg igen, akkor kikapcsolom, annyit nem ér, bár nem tudom miért nem tudják rendesen megcsinálni.
-
#10361
bacus
őstag
Alteran-IT
#10360
bacus
őstag
válasz
Alteran-IT
#10360
üzenetére
detect internet csinál ilyeneket...
-
#10360
Alteran-IT
őstag
snorbi82
#10359
Alteran-IT
őstag
válasz
snorbi82
#10359
üzenetére
Köszi, mondjuk update nem most volt, de valószínűleg valami bug lehet akkor, amit még nem javítottak ki, kicsit nyugodtabb vagyok, meg nem is, mert ha nem vagyok otthon és ezt megint elsüti esetleg egy áramszünetnél, vagy hasonlónál, akkor még el sem tudom érni távolról, hogy rendbe rakjam, most is mobilról csináltam meg, mondjuk arról is indítottam újra, lehet az kavart be, mert eddig én sem tapasztaltam ilyet.
-
#10359
snorbi82
senior tag
Alteran-IT
#10358
snorbi82
senior tag
válasz
Alteran-IT
#10358
üzenetére
Igen volt kétszer is. Mind a kétszer update után. Mostanaban nem tapasztaltam ilyent.
-
#10358
Alteran-IT
őstag
Alteran-IT
őstag
Sziasztok!
Valaki tapasztalt már olyat, hogy újraindítás után elszállt a DHCP Client?
Egy RB3011-en volt betéve FSP-re, mert azon van a bejövő kábelmodemes net, viszont újraindítás után eltűnt róla és vissza kellett rakni, utána már jó volt, bár kellett neki azért még egy újraindítás, mert hiába kapott IP-t, nem láttam ki (nem volt net), holott minden NAT/tűzfalszabály megvolt, újraindítás után már jó volt minden, a DHCP kliens sem szállt el. -
#10357
lionhearted
őstag
Zwodkassy
#10356
-
Hát számomra igen bosszantó ez a dolog.
Egyébként sem nagyon tetszett a MikroTik részéről ez 16 MB flash méret erőltetése, mivel néha még konfig mentésre is alig elég.
De az, hogy már egy izmosabb/nagyobb konfigot sem lehet így használni, teljesen fel háborit(ott).
Egy általam is használni próbált WapAcLteKit nem túl olcsó : 50-55e Ft körül kapható kishazánkban. Suggested price : $169.
Cserébe ennyit már nem bír el. De egy "ős régi" RB951Ui-H2nD vagy RB951G-2HnD még "bőven" van flash tárhely : 128 MB!
Hová fejlesztenek ezek?
Néhány eszközükben van SD vagy USB bővítési lehetőség. Hát ebben nincs.
Kérdeztem a Support-jukat, mit ajánlanak helyette : Audience Lte6 Kit. Suggested price : $279 😂 -
válasz
Zwodkassy
#10349
üzenetére
én most úgy jártam, hogy beimportáltam a céges szervereim által gyűjtött és egyesített címlistát (~14.000 tétel), és azt mondta a hap ac2, hogy "out-of-space".
1MB szabad hely marad a 16-ból.
bedugtam egy 4GB-s pendrive-ot, de arra még nem jöttem rá, hogy hogyan tudnám igazán jól használatba venni, vagy máshogy helyet felszabadítani.
már azon túl persze, hogy a sciptem mostmár oda tölti le a feketelistát, de az alig fél mega.ha töröltem a listát a tűzfalból, akkor felszabadult még egy mega hely, de azért ez se túl izmos.
-
jerry311
nagyúr
IPsec rossz IP-re csatlakozott, mert a DNS cache-ben még a régi volt.
Csináltam egy "/ip dns cache flush"-t, ezek után már a új IP-t pingeli, de az IPSec még mindig a régi IP-re akar csatlakozni.
Mit kellene még csinálni, hogy az összes service felfogja új IP van? -
Pár hete próbálok beüzemelni egy "Wap Ac Lte Kit" cuccot, de el-el felejti a konfig egy részét újraindítás vagy táp elvétel után.
Ez a konfig elfelejtés konkrétan annyit tesz, hogy az "Ip / Firewall / Address-List"-ben szereplő összes tétel eltűnik :-(
Jelenleg (egyelőre) Magyar (HU), Holland (NL) és Kínai (CN) IPv4 címlistát használnék, de ha mindhármat betöltöm, akkor újraindítás után mindent kiürít (más listákat is , pár darab van még ezeken kívül).
Ami furcsa még nekem, hogy a "Flash"-re nem nagyon tudok mentést csinálni, csak a memóriába. Elvileg ez is elegendő, de ez az első 16 MB Flash-el rendelkező Miki aminél ez nem fasza (és már legalább 30 db-nál ez nem volt gond).
További érdekesség, hogy a "System / Resources" alatt a "Total HDD Size : 15.3 MiB". Ez normális?
-
#10348
Adamo_sx
aktív tag
joekajoeka
#10341
Adamo_sx
aktív tag
válasz
joekajoeka
#10341
üzenetére
Akár a Winboxban, akár a terminálban csinálhatod, mindkettőben megoldható, amelyik szimpatikusabb. Ha rákeresel itt a fórumban, az egyik tagtárs készített egy leírást a kezdő beállításokról, azt mindenképp érdemes átfutni.
@bacus: Csak én használom a VPN-t, úgyhogy észben tartom a "korlátozásokat", illetve amikor sikerül belépni, akkor egy script törli az aktuális IP-t a feketelistáról, így a belépés után "tiszta lappal" kezdek.
-
#10347
jerry311
nagyúr
lordjancso
#10343
jerry311
nagyúr
válasz
lordjancso
#10343
üzenetére
UPnP-vel mást is átengedhetsz, nemcsak amit akartál, és az is lehet, hogy amit át akarsz engedni nem működik, mert nem támogat UPnP-t.
Egyszerű és könnyű megoldás lehet, de egyrészt router és szerver oldali támogatás kell hozzá, másrészt bármi mást is átenged, ami UPnP-t használ.
Nagy általánosságban nem ajánlott. -
#10346
ekkold
Topikgazda
lordjancso
#10345
ekkold
Topikgazda
válasz
lordjancso
#10345
üzenetére
Szerintem inkább nézegesd azt a port forward beállítást még egy kicsit, annyira azért nem vészes megcsinálni.
-
#10344
Beniii06
addikt
lordjancso
#10343
Beniii06
addikt
válasz
lordjancso
#10343
üzenetére
"Na most én nem szeretném a teljesen jó bekonfigurált routerem beállításait széttúrni"
A quick set-tel pont azt fogod csinálni, ha már egyszer is le okézol ott bármit. A kulcsszó: Backup
Files --> Backup, a létrejött file-t lemented a gépedre, majd amikor már nincs szerver, akkor Files --> Restore (ha törlődött közben a backup file, akkor felmásolod a gépedről értelemszerűen)
Ha nagyon biztosra akarsz menni, akkor egy "export file=[bárminév]" terminálban lefuttatod és a végeredmény .rsc file-t szintén lemented a saját gépedre.
Én így csinálnám.
-
#10343
lordjancso
senior tag
lordjancso
senior tag
Sziasztok!
Szeretnék egy alkalmazáshoz egy dedikált szervert futtatni a gépemen. Csak egy rövid időre, teszt jelleggel, szóval nem szeretnék semmit 0-24-ben üzemeltetni.
A szerver futtatásához nyitnom kellene portokat a routeren, hogy a kliensek tudjanak csatlakozni. Na most én nem szeretném a teljesen jó bekonfigurált routerem beállításait széttúrni, plusz annyira bonyolultnak találom a portforwarding részt, hogy jó sokat kell meditálnom rajta, hogy most mi a destination ip és társai.
Viszont eszembe jutott, hogy van ez az UPnP beállítás a routeren. Ha simán csak bekapcsolom (mondjuk a quick set oldalon), akkor ez jól tudom, hogy azt eredményezi, hogy az összes szolgáltatás, aminek portra van szüksége, addig kinyithatja magának, ameddig fut?
Ez a beállítás akkor megoldaná a problémámat? Arra a rövid időre, amíg kipróbálnánk ezt a szóban forgó szerver alkalmazást, bekapcsolnám az UPnP-t és akkor minden működne, majd ha végzünk a teszteléssel, akkor kikapcsolom?
Vagy milyen egyéb megoldást választanátok?
Előre is köszönöm a segítséget!
-
#10342
bacus
őstag
joekajoeka
#10341
bacus
őstag
válasz
joekajoeka
#10341
üzenetére
én a saját routereimnél úgy kezdem, hogy egy jó nagy listát ami évek alatt összegyűlt, eleve tiltok. Ezek nem érhetnek el, talán a https web kiszolgáló működik, de van ahol az sem.
Amikor jön új spam pár darab, akkor (persze nem egy kósza spam után) sokszor az egész 16-os netmaskját tiltom. Ez a related accept után van, ezért ha én tévednék az ő web oldalára, akkor megjön a válasz..., tehát én elérem őt.
Van script (volt itt a fórumon, de biztos beteszi neked valaki) ami összegyüjti a magyar ip cimeket és ráteszi egy listára. Ha elég, hogy csak innen van vpn, akkor csak onnan engedsz be bárkit, másnak zárod a portot.
szépen ki fog tisztulni a log.
Egyébként a vpn-felől jövő kapcsolatokat is mindig másik alhálóba rakom, minden onnan nem érhető el, csak az amit adott user el kell érjen. Igy pl ügyfeleket is le tudom szeparálni. Ha valaki végig scannel, bekerül egy logba, majd nagyobb figyelmet.
A vpn userek soha nem kapnak netet. Nekem ez bevált eddig.Ja és adamo_sx megoldása is tökéletes. Itt csak arra kell figyelj, hogy egy szakadozó net is kibannolhatja a klienst, tehát kellhet mellé port knocking, amivel törlöd az ilyet a blakclistről.
-
joekajoeka
tag
válasz
Adamo_sx
#10339
üzenetére
Köszönöm az útbaigazítást!
Ertem, hogy amit felsoroltal peldanak az mit fog eredmenyezni, hogy 3 vagy 2 probalkozas utan automatikousan fekete listara kerul az IP cim amirol probalkoznak.
Csak azt nem tudom ezeket en, hogyan hozzam letre a Terminalba vagy a Firewall ablaknal egyenkent.
Probalkozom, jo dolog a "safe mode" log-out minden nullazodik igy lehet nyugodtan tesztelgetni. -
#10339
Adamo_sx
aktív tag
joekajoeka
#10337
Adamo_sx
aktív tag
válasz
joekajoeka
#10337
üzenetére
Nem a router típusa miatt kezdtek el most támadni, valószínűleg eddig is mentek a próbálkozások, csak a boldog tudatlanságban éltél.
A legtöbb próbálkozás a routerre irányul, ezért én az input chain-ben próbálom ezeket szűrni. És kézzel elég macera lesz, mert elég sok IP cím lesz, amit be kellene írnod.
Én ezzel próbálom megoldani:6 ;;; Drop IP from Blacklistchain=input action=drop src-address-list=blacklist log=no log-prefix=""8 ;;; Block IP address that attempted to create 3. VPN/SSH/Telnet connectionschain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bl_attempt_2 address-list=blacklist address-list-timeout=1w3d dst-port=1723,22,23,50022 log=yes log-prefix="Added to blacklist"9 ;;; Block IP address that attempted to create 3. VPN/SSH/Telnet connectionschain=input action=add-src-to-address-list connection-state=new protocol=udp src-address-list=bl_attempt_2 address-list=blacklist address-list-timeout=1w3d dst-port=1723,22,23,50022 log=yes log-prefix="Added to blacklist"10 ;;; IP address that attempted to create 2 VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bl_attempt_1 address-list=bl_attempt_2 address-list-timeout=10h dst-port=1723,22,23,50022 log=no log-prefix=""11 ;;; IP address that attempted to create 2 VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=udp src-address-list=bl_attempt_1 address-list=bl_attempt_2 address-list-timeout=10h dst-port=1723,22,23,50022 log=no log-prefix=""12 ;;; IP address that attempted to create a VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=bl_attempt_1 address-list-timeout=1h dst-port=1723,22,23,50022 log=no log-prefix=""13 ;;; IP address that attempted to create a VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=udp address-list=bl_attempt_1 address-list-timeout=1h dst-port=1723,22,23,50022 log=no log-prefix="" -
#10338
Zwodkassy
senior tag
joekajoeka
#10337
válasz
joekajoeka
#10337
üzenetére
Kezdetnek ez is elég. Ha rutinosabb leszel, teszel mást is 😁
-
#10337
joekajoeka
tag
bacus
#10336
-
#10336
bacus
őstag
joekajoeka
#10335
bacus
őstag
válasz
joekajoeka
#10335
üzenetére
Huh, fura fogalmaid lehetnek a "nagy baj" ról.
Mi ezzel a probléma? Be akarnak jönni... és? betudtak? Miért nem teszel ellene ha zavar a próbálkozásuk? Ez egy mikrotik router, számtalan megoldás van ellene, port knocking-tól az egyéb egyedi script, tiltó lista, stb. Itt többször volt róla szó.
"Mit tudok csinálni?"
- igy hagyod
- teszel ellene (visszaolvasol, választasz egy szimpatikus megoldást és megvalósítod) -
#10335
joekajoeka
tag
joekajoeka
tag
Nagy baj van,
Amint mar fentebb irtam ez az elso mikrotik routerem es jelen pillanatban a quick set-et hasznaltam az elso konfiguralashoz, vpn-t is akarok hasznalni.
De ma latom, hogy valakik be akartak torni a routerbe
Ez jol kezdodik....
Mit tudok csinalni? -
haxy27
aktív tag
Hát köszönöm a segítséget. A dolog meg oldódott. Tényleg a windows 10 tűzfala volt a ludas. Az SMB fájl megosztást engedélyezni kellett benne. És mindjárt ment is. Sőt az internet is meg oldódott, csak a kliens gépen azaz munkahelyin, SplitTunneling -et kellet enabledre kapcsolni, bár ezt még nem tudom hogy androidon lehet e valahogy megoldani. Gondolom nem. a 7 android alapon tudja hogy saját netet használ de a 9 android már szórakozik. de végül is el bírja az otthoni optikai kábel.
Így most telefonról is médialejátszóval nézhetem filmeket anélkül hogy át kéne töltenem őket. De akár számítógépről is. Igazándiból az zavart meg a dologban hogy a droidon az X-Plore fájl kezelő elérte a gépeket, ami azért érdekes mert az is smb2 használ, bár gyanús volt hogy a vlc player meg nem érte el ami szintén smb2 használ. Ezért nem is gondoltam a tűzfalra. De mindegy ez egy megoldatlan rejtély marad hogy a file kezelő miért érte el a fájlokat.
-
#10333
Beniii06
addikt
csemberlen
#10332
Beniii06
addikt
válasz
csemberlen
#10332
üzenetére
A wifis 4011-el voltak korábban problémák. Ha már erre lenne kereted és a wlan lefedettség a lényeg, akkor inkább hap ac2-t vennék(capsman) + 1-2 db cap ac-t és még árban mindig egy cap ac-val bentebb lennél. Attól, hogy 4 antennája van a wlanos 4011-nek, nem azt jelenti hogy gyorsabb/jobb is lesz. Ezt több eszközzel oldanám meg, 1 db erőből helyett, mert nem tudjuk mennyire zajos a környéked stb. és hiába írja más, hogy neki jó ugyanakkora alapterületre, másak a falak, környezet stb.
-
#10331
Ablakos
őstag
csemberlen
#10329
Ablakos
őstag
válasz
csemberlen
#10329
üzenetére
Ha csak AP kell a wAP ac a személyes kedvencem.
-
#10330
Lenry
félisten
csemberlen
#10329
válasz
csemberlen
#10329
üzenetére
1 szintes 120 m^2-es családi házamat lefedi a hap ac^2
-
#10329
csemberlen
őstag
csemberlen
őstag
Sziasztok, melyik mikrotik a lebjobb a wifi szórásban? Családi ház 100nm 1 szintre.
-
leviske
veterán
válasz
bambano
#10325
üzenetére
Köszönöm! A jelek szerint bevált.
Csak nem volt elég az IP fül alatti firewall menüben hozzáadni, hanem az IPv6 esetében külön hozzá kellett adni.Egyébként az IPv6-os tűzfal teljesen üres. Hozzá kellene adnom ugyanazokat a szabályokat, mint az IPv4 esetén, vagy ez így normális így?
Továbbá, ha már itt tartok, érdemes külsős DNS szolgáltatót megadni, vagy a DIGI is támogatja a DNS Sec-et?
-
bambano
titán
válasz
leviske
#10322
üzenetére
a válasz nagyon egyszerű: a poe mtu-ját NEM TUDOD megváltoztatni.
az összes gépen kisebbre kell venni az mtu-t, ami ezen a vonalon megy ki.
annak, hogy a bridge-n leveszed az mtu-t, nem sok értelme van.
egyébként clamp-mss-t szoktak használni, viszont az egyes titkosításokat tönkrevág. -
jerry311
nagyúr
válasz
leviske
#10318
üzenetére
Igen, neked kell.
Valami ilyesmi:
/ip firewall filter
add action=accept chain=output dst-address=127.0.0.1 port=5246,5247 protocol=\
udp src-address=127.0.0.1
add action=accept chain=input dst-address=127.0.0.1 port=5246,5247 protocol=\
udp src-address=127.0.0.1
/interface wireless cap
set caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1 -
#10317
joekajoeka
tag
joekajoeka
tag
Sziasztok,
Vasaroltam egy RB750Gr3-at, volna par kerdesem ez az elso mikrotikem, de kezdek egy egyszeruvel.
Hogyan jobb konfiguralni az RB750Gr3 portokat, a quick sett-bol automatan bridge modba kerulnek a portok vagy inkabb ne hasznaljam a quick settet es konfiguraljam switch modba a routert?Koszonom!
-
leviske
veterán
Wirelessnél megjelenik, viszont capsmanben nem tudom hol kellene egyáltalán akkor megtalálnom. A cap2-höz csak a másik cAP tartozik és ha abban scannelek, akkor csak a környékbeli wifi eszközöket mutatja (ami nem meglepő, mert a hAP 2G-s antennája ilyenkor nem megy), a remote cap és a radio esetében ugyanúgy csak a cAP jelenik meg.
(#10309) jerry311: Én is ASUS-ról menekültem át (AC57U). Kilehet belőlük is fogni problémásat, pláne, ha az embernek nem hobbija a routerrel vacakolni napi szinten.
-
Nikla
tag
válasz
jerry311
#10309
üzenetére
Köszi!
Nálam egy kis RT-AC52U_B1 teljesít - alapvetően ha naponta újraindítom, az 5ghz kivételével nincs vele sok gond, de az 5ghz vérzik nagyon: gyakran megszakad és mivel sajnos az LG okostévé erre háklis, egy pillanatnyi kihagyás esetén is 20-30mp mire a plex összeszedi magát - nem egy élmény így filmet nézni.
Illetve az is idegesítő hogy már pl egy HD spotify úgy indit minden számot, hogy beleszaggat - 300as digi, mobilon 2.4n, desktopon nincs baj, csak az 5g vérzik...ps.: ott a topicban ha valami komolyabbat szeretnél akkor Mikrotik, Ubiqiti.
Edgrerouterben még otthon vannak a srácok, de pl. topicgazda konkrét - nincs két hete:
TopikgazdaEzeket az eszközökben nem vagyok túlságosan járatos így inkább a saját topikjaikban kérdezzél rá erre, Ubiquiti, Mikrotik. -
-
-
válasz
leviske
#10307
üzenetére
nem muszáj a tanúsítvány (annak akkor van jelentősége, ha több capsman is van a hálózatodon vagy ki akarod zárni az esélyét, hogy egy támadó egy második capsmant futtatva átvegye az ellenőrzést az AP-id felett)
Discovery Interfaceben kiválasztod a belső hálózatos bridged (vagy amilyen interfacere ki van adva a capsman) és kész, lock to capsman sem kell. -
jerry311
nagyúr
A kliens ugyan nem tudja, hogy capsman vagy sem, de a szakadásmentes roamingnak jót tesz ha az összes rádió capsmanban van.
(#10308) Nikla
Pedig az Asus routerek általában az ajánlott típusok közt vannak, persze nem mind.
hAP ac2 valószínűleg tökéletesen kiszolgál ha Mikrotiket szeretnél.
"Milyen routert?" kérdésekre van külön topic is. -
Nikla
tag
Sziasztok,
ubiquiti amplifi hd szerűséget keresek, olcsóbban Ide küldtek, tudtok segíteni?
Nem baj ha nem ennyire csincsa és nem ennyire mobilapp meg minden, csak legyen atom stabil, mert a mostani Asustól már a falat kaparjuk.
5-7 wifi eszköz, 2 UTP és 1 TV lógna rajta (4k - wifin).
nem kell nagy területet lefedni.
Köszi!
-
leviske
veterán
válasz
#42556672
#10305
üzenetére
És hogy? Mert nekem nem megy. Ugyanúgy requestet kell kérni a tanusítványhoz, vagy ki kell választani a capsmant manuálisan? (bár próbáltam mindkettőt) Figyelnie a bridge-en kell gondolom. (bár azt is próbáltam még wlan1-re is lőni) Nem?
(#10306) Lenry: Köszi, ezt pótoltam.
Meglátom holnap hogy teljesít.MÁS: A topikban nem találtam hasonló problémát, de hátha valaki belefutott már abba, hogy a Netflix TLS hibákat dobál. A Vivaldi még csak-csak kiküzdi magából időnként, de a Firefox alatt kategorikusan megállunk a TLS handshakenél Windows és Linux alatt is. Okozhatja ezt az IPv6?
-
válasz
leviske
#10304
üzenetére
a kliensek nem tudják hogy capsman vagy sem, nekik név / jelszó számít, ha az ugyanaz, akkor jelerősség szerint váltanak köztük. az persze előfordulhat, hogy adott eszköz nem akar leszakadni a gyengülő jelről, ezt egyébként tudod szabályozni, az Access List részben tudsz szabályt felvenni, a Signal Range opció fog kelleni.
a Chromecast esetében inkább az lehet probléma, ha nem kapcsoltad be a Client-to-client forwardingot, ezt a Capsman Datapathban tudod bekapcsolni
-
leviske
veterán
A routerként funkcionáló eszköz vezetéknélküli hálózatát is rá lehet bízni a capsmanra, vagy csak a külsőleg csatlakoztatott eszközöket lehet vele vezérelni?
Van annak esélye, hogy telefonok/chromecast azért ugrál le a konyhában elhelyezett cap-ról, mert még valamennyire fogni a nem capsman által vezérelt, de azonos névvel/jelszóval ellátott vezetéknélküli router hálózatot?
-
bacus
őstag
válasz
haxy27
#10302
üzenetére
15 éve sem mentek másképp a dolgok, illetve akkor még minden szarabb volt.
A tcp/ip régebbi találmány 15 évnél, samba is volt már akkoriban, sőt az xp-n is volt tűzfal, még ha nem is volt olyan erőszakos mint win10-en.A fájlmegosztás több portot is használ, illetve az ottani tűzfal letilt mindent ami nem a saját subnetjéből van. Egy win10 tűzfal alapból még a pingelést is tiltja még saját subnetből is, de idegenből meg pláne.
A tesztelés idejére tiltsd le az elérni kívánt gépen a tűzfalat, mindet, az utólag felrakott nod32, meg avast meg hasonló szarokat még inkább !
Ha jó a route, akkor ip alapon el fogod tudni érni a géped.A \\gepnev wins szerver nélkül nem fog menni automatikusan, de megkerülheted, mert amennyiben IP alapon megy pl \\192.168.0.3 nál megjön a megosztás, akkor a külső gép hosts fájljába beirva már menni fog név szerint is. (de ezt is kézzel kell minden külső gépen, mig a belső hálózaton a gépeket fixre kell tenni...
Ha nem megy valami, de szeretnéd és nem ragaszkodsz az ingyenességhez, akkor írj rám privátban, megbeszéljük, vagy távolról megoldom akár.
-
haxy27
aktív tag
Értem mit mondasz, és már azóta látom hogy a gépen a net miért megy át az otthonira.
Gyakorlatilag mikor létrejön a vpn kapcsolat le kapcsolja a lanon a nettemet. De ez végülis nem gond. A gond hogy nem látszik a tuloldalt lévő gépem. igazándiból a fájl megosztás kéne, a megosztott mappákat kéne elérni. Esetleg kamera rendszert. Bár kamerát el tudom érni más módon is mert fix ip címem van és így nyitottam neki portokat. De ami érdekes kamerát is elérem és a megosztott könyvtárakat is az androidos telefonomról, vpnen keresztül. Persze a média lejátszó már nem éri el a gépeken lévő mappákat. A munkahelyi gépem meg semmit sem ér el az otthoni hallóból. De a kapcsolat létrejön.
Megnéztem egy csomó videót, de ott sem állítottak be többet mint én. Na persze ök helyi hálón tesztelték ami otthon jó is tényleg csak mikor kintről akarom elérni akkor nem látok egy gépet sem. olyan 15 éve mentek még ezek a dolgok de azóta már sok mindent el felejtettem, és meg változott. -
bacus
őstag
"Route-olás nélkül" - mármint a kliensen route hozzáadás nélkül. A fenti példában pl a mikrotik routeren egy dst-nat szabály, ha l2tp interfaceről jön és 3389, akkor az a 192.168.0.3-ra menjen, e mellé egy src-nat, hogy a l2tp interface felé masquarade kell, és máris a becsatlakozott kliens a 192.168.1.1 (ha ez a router ip cime), rdp-zve valójában a 0.3-as gépet éri el.
Esetleg tudsz abban segíteni, hogy hogyan kellene helyes beállítanom a Harpin NAT-ot?
)
Új hozzászólás Aktív témák
Hirdetés
- T14s Gen4 14" FHD+ IPS i7-1365U 16GB 512GB NVMe magyar bill IR kam gar
- Gopro hero 7 black
- ThinkBook 16p Gen3 16" QHD+ IPS Ryzen 5 6600H RTX 3060 16GB 512GB NVMe ujjlolv gar
- ThinkBook 16p Gen3 16" QHD+ IPS Ryzen 5 6600H RTX 3060 16GB 512GB NVMe ujjlolv gar
- HP Probook 640 G2 (14FHD/i3-G6/8GB/256SSD/Magyar/Win11) - Szép!
- Samsung Galaxy A5 32GB Kártyafüggetlen 1Év Garanciával
- Bomba ár! Lenovo ThinkPad P50 - i7-HQ I 16GB I 256SSD I Nvidia I 15,6" FHD I Cam I W10 I Gari!
- ÁRGARANCIA! Épített KomPhone Ryzen 5 5500 16/32/64GB RAM RTX 4060 8GB GAMER PC termékbeszámítással
- Azonnali készpénzes INTEL CPU AMD VGA számítógép felvásárlás személyesen / postával korrekt áron
- Bomba ár! HP ZBook Studio G5 - i9-9980H I 32GB I 1TSSD I Nvidia I 15,6" FHD I Cam I W11 I Gar
Állásajánlatok
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest