- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Samsung Galaxy S22 Ultra - na, kinél van toll?
- iPhone topik
- Elkészült és telepíthető az Android 16
- Google Pixel topik
- Samsung Galaxy S21 FE 5G - utóirat
- Apple iPhone 16 Pro - rutinvizsga
- Befutott a megígért HRV-mérés a Withings órájára
- Egy szenzor, két zoomkamera: újraírta a Huawei a mobilfotózás történetét
- 45 wattos vezeték nélküli töltés jön az új iPhone-ba
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Reggie0
félisten
válasz
f8enter
#12891
üzenetére
A pont kerek 25%-os kiugrasok mindig gyanusak, mert ez 4magos proci, tehat 1 mag 100%-ra van terhelve es nem minden feladatot tud szetosztani tobb magra. Pl. egy adott vlan-t vagy egy adott bridge-t mindig egy magon kezel.
Szerintem szinkronizald ossze a pingeddel, jegyezd meg, hogy hol inditod, vagy inditsd el ejfelkor es nezd meg, hogy a 25%-os tuskek nincsenek szinkronban a kiesessel.
-
f8enter
aktív tag
válasz
f8enter
#12886
üzenetére
Sajnos nem javult meg, továbbra is szakadozik...
Bekapcsoltam debug logot bridgre és interfacere, hátha...Ez az éjszakai termés:
Ping statistics for 192.168.2.1:Packets: Sent = 34488, Received = 34358, Lost = 130 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 3494ms, Average = 40ms -
Reggie0
félisten
válasz
f8enter
#12883
üzenetére
Vlan filtering arra jo, hogy nem kell sok bridget berakni, hanem csak egyet, majd portonkent megmondod, hogy melyik fizikai porton melyik vlan mehet ki/be. A sok bridgevel az a baj, hogy a routernek procibol kell nyomnia, valamint a vlanozast is procibol kell nyomnia a te esetedben.
Ezen felul ott van meg pelda, hogy a hurokdetektalassal is ossze tud akadni, ha vlanokat raksz bridge-be.Ha vlan filtert hasznalsz, azt nem a proci csinalja, hanem a switch IC hardverbol es elkerulheto, hogy sok bridge-t kelljen letrehoznod.
Raadasul neked harom switch IC van a routeredben(1-5,6-10,11-13), igy a "VLAN filtering with multiple switch chips" is erdekes szamodra. A switch IC-k kozott csak a procin keresztul tud kommunikalni.
-
-
f8enter
aktív tag
-
f8enter
aktív tag
válasz
Reggie0
#12882
üzenetére
Queue: csak be vannak készítve, hogy ha kell, lehessen korlátozni (1Gb az upling a cAP ck-khez)
A 'Bridged VLAN' passzol, az én konfigom is ilyen, csak nagyban:
/interface vlanadd interface=ether1 name=ether1_v10 vlan-id=10add interface=ether2 name=ether2_v10 vlan-id=10/interface bridgeadd name=bridge1/interface bridge portadd bridge=bridge1 interface=ether1_v10add bridge=bridge1 interface=ether2_v10Kikapcsoltam az RSTP-t (valamiért nincs jó érzésem ezzel), s nem értettem azt a részt, hogy mire jó a 'VLAN filtering' és az '/interface bridge vlan add bridge=bridge1 tagged=ether1,ether2 vlan-ids=10'
Ez miben más, mint ami nekem van?
-
Reggie0
félisten
válasz
f8enter
#12880
üzenetére
Na elso korben azt tudom neked adni, mint segitseget, hogy ezt a mikrotikes oldalt fusd at, es nezd meg, hogy valamelyik tipikus hibaba nem futottal bele, mert az okozhat ilyen szakadozasokat. Foleg a vlan-bridge osszerendeleseknel lehet szivas, mivel vlan interfeszt hozol letre mindenre.
https://wiki.mikrotik.com/wiki/Manual:Layer2_misconfiguration
Foleg a "Bridged VLAN on physical interfaces", "Bridged VLAN" bekezdeseket nezd meg.
Ezen felul szerintem adj hozza egy proci terheles grafikont es nezd meg, hogy abban az idoszakban, amikor a kieses volt mennyire volt terhelve a proci. Mivel te gyakorlatilag procibol tolod az osszes vlanozast es bridgelest, ezert ha valami loop vagy elakadas van aszerint valoszinuleg latni fogsz vagy kiugrast vagy - ha van alapforgalom - visszaesest a prociterhelesben.
Azt viszont nem ertem mi ertelme van 1Gbites queue-knek, amikor 100mbites az osszes port a wifik fele.
-
f8enter
aktív tag
válasz
Reggie0
#12879
üzenetére
Logban semmi gyanús (konkrétan kb semmi nem történik amikor valami "kihagy")
Mit kapcsoljak ki próbaként? Ezt nem értettem.
Beraktam egy configot az első hsz-be, ott látod, ha saját szemednek hiszel, hogy mi a config.
1100AHx4 a router. kb. 20 bridge, vlan interfacek. CapsMan pakolja a klienseket a VLAN-okba az access-list szerint MAC alapján. Kicsit bonyolult lehet elsőre, de így tudtam megoldani 1 SSID-vel. -
Reggie0
félisten
-
f8enter
aktív tag
válasz
Reggie0
#12876
üzenetére
Fix csatornák (rögzített MHz, Ceee), nincs megengedve semmi automatizmus (talán a configból látszik is, bár simán benézhetek valamit).
DHCP lease 30 nap, és a szakadásoknál a logban nincs semmi (wifi újrared, dhcp, semmi).A központi router csak routerként működik, és CapsMannal van rárakva 5db cAP ac.
RSTP van beállítva a bridgeken. Hogy tudom megnézni, hogy "nem tolja le hurok miatt valamelyik portot"?
-
Reggie0
félisten
válasz
f8enter
#12874
üzenetére
5GHz-en meg azt tudnam mondani, hogy talan a meteorologiai allomassal inteferal, de 2.4-en az nincs. Fix csatorna van beallitva a frekiken? Lehet ilyenkor valt csatornat, mert egy masikat optimalisabbnak tart.
DHCP-t is nezd meg, lehet azzal van a gond es nem tudjak a lease-t hosszabbitani.
Ha ezeket kiszurted akkor a bridgeken nezd meg, hogy RSTP/MSTP nem tolja le hurok miatt valamelyik portot.
A wifi a routerbe van beepitve vagy kulon eszkoz? -
f8enter
aktív tag
Sziasztok! Egy wifi ping-szakadozásban szeretnék segítséget kérni.
Reply from 192.168.2.1: bytes=32 time<1ms TTL=64Reply from 192.168.2.1: bytes=32 time<1ms TTL=64Reply from 192.168.2.1: bytes=32 time<1ms TTL=64Reply from 192.168.2.1: bytes=32 time<1ms TTL=64Reply from 192.168.2.1: bytes=32 time=1ms TTL=64Reply from 192.168.2.1: bytes=32 time<1ms TTL=64Reply from 192.168.2.1: bytes=32 time<1ms TTL=64Request timed out.Request timed out.Request timed out.Request timed out.Reply from 192.168.2.1: bytes=32 time=2531ms TTL=64Reply from 192.168.2.1: bytes=32 time=2ms TTL=64Reply from 192.168.2.1: bytes=32 time=1ms TTL=64Reply from 192.168.2.1: bytes=32 time<1ms TTL=64Reply from 192.168.2.1: bytes=32 time=1ms TTL=64Reply from 192.168.2.1: bytes=32 time=2ms TTL=64Reply from 192.168.2.1: bytes=32 time<1ms TTL=64Reply from 192.168.2.1: bytes=32 time<1ms TTL=64Ping statistics for 192.168.2.1:Packets: Sent = 4575, Received = 4568, Lost = 7 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 2978ms, Average = 2msControl-CProbléma: Óránként néhányszor, teljesen rendszertelenül megszakad a ping az wifi eszközeimen, és a router, internet, stb. elérhetetlen lesz 5-60 másodpercre. Előtte-utána minden tökéletes. Eközben a Wifi kapcsolat nem szakad meg, nincs roaming.
A jelenség általános, nem tudtam egy-egy konkrét eszközhöz kötni.HW: 1db központi router + 5db cAP AP
Topológia nagy vonalakban: (ez egy 8 lakásos társasház, ahol önszorgalomból próbálom szolgáltatni a wifi-t) 1SSID, majd MAC alapján (access list) minden lakó megy a saját VLAN-jába. AP-kon local forwarding. (Természetesen minden VLAN-hoz saját bridge, stb.)
[Config] - nem másolom be, elég hosszú...
Amit már kizártam:
Interferencia - fix frekvenciára vannak állítva az AP-k, illetve ez 5GHz-es sáv teljesen csendes, ennek ellenére a probléma ott is jelentkezik (független, hogy 2,4 vagy 5GHz)
Gyenge jel - az eszközök egy helyiségben vannak az AP-vel, -40dBm a jelTudtok ötletet adni, hogy mit kellene megnézni, mi lehet a baj?
-
betyarr
veterán
van ez a kid control funkció a routerben,ami tök jól beállítható.ennek örülök,mert hasznát fogom venni
![;]](//cdn.rios.hu/dl/s/v1.gif)
ehhez kapcsolódóan lenne egy kérdésem: megoldható az,hogy a lejárati idő közeledtéhez (mielőtt lekapcsolná a router a netet az adott eszköz(ök)ön) egy figyelmeztető üzenetet küldene a router az adott kliensre?mondjuk popup üzenetet vagy egy előre meghatározott imaget,hogy x idő múlva megszakad a kapcsolat.illetve egy UP a #12871 hsz-re
-
#12872
z67
őstag
E.Kaufmann
#12869
z67
őstag
válasz
E.Kaufmann
#12869
üzenetére
Köszönöm szépen!
-
#12870
betyarr
veterán
E.Kaufmann
#12867
betyarr
veterán
válasz
E.Kaufmann
#12867
üzenetére
utána nézek,köszi!
a gyártó oldalán néztem a garit,de nem sokat tudtam meg belőle [link]
alzánál szerettem volna megvenni,mert ott azért nem szoktak cigánykodni és kapásból cserélik a cuccokat,de áttértek az új gariztatásra és 100k alatt 1 évet adnak.ipon 2 év,de azért vannak fenntartásaim velük kapcsolatban... -
#12866
betyarr
veterán
E.Kaufmann
#12865
betyarr
veterán
válasz
E.Kaufmann
#12865
üzenetére
tudnál adni linkeket ezekhez?
-
#12865
E.Kaufmann
veterán
betyarr
#12864
E.Kaufmann
veterán
válasz
betyarr
#12864
üzenetére
Most gyorsan ránéztem pár fórumtopicra a Mikrotik oldalán de elég mimóza egy valami ez a VoWifi, valamint azt is írták, nem tudom, mennyire igaz az állítás, hogy kimenő hívásokhoz van használatban ezért külön szabály nem feltétlen kell hozzá, de nem foglalkoztam ilyennel, csak sima SIP+RTP kombóval még régen.
Olyat is írtak, hogy a SIP NAT helper be tud zavarni, és ebben az esetben érdemes kikapcsolni (IP - Firewall - Service ports - SIP disable) -
#12864
betyarr
veterán
E.Kaufmann
#12863
betyarr
veterán
válasz
E.Kaufmann
#12863
üzenetére
értem és köszönöm a választ!
ide lehet sorolni mondjuk a vowifi-t is?bár ennek valami ipsec passthrough kell.ehhez kell/van külön beállítás a router os-ben,amivel engedélyezni lehet? -
#12863
E.Kaufmann
veterán
betyarr
#12862
E.Kaufmann
veterán
válasz
betyarr
#12862
üzenetére
Kamerák pl, bár én nyugodt szívvel nem engedném ki, VOIP eszköz, NAS. Bármi, amit nem lehet vagy nem akarod gyártói felhőn keresztül használni, hanem te direktbe szeretnéd mondjuk fix IP címmel vagy IP Cloud szolgáltatás által adott domain névvel.
Amúgy biztosabb, ha VPN-t használsz, de pl VoIP és Torrent esetén meg csak kell átirányítás. -
#12862
betyarr
veterán
E.Kaufmann
#12861
betyarr
veterán
válasz
E.Kaufmann
#12861
üzenetére
aha,nagyjából világos.tehát az alap (pl. skori féle) ajánláson kívül nem nagyon van tennivaló.bár,akkor ez valahogy nem tiszta:
Amit lehet tenni, hogy új bejövő forgalom csak azt a szolgáltatást érje el, amit mi akarunk megengedni (port forward).
ha elboldogulnak az alkalmazások,ahogy az elején írtad,akkor itt tulajdonképpen mire gondolsz?torrent,vpn-en kívül persze,mert nyilván azoknak kell a port forward.de ezeket ugye (szerencsés esetben) én kezdeményezem kívülről (vpn),vagy a torrent esetében,hogy kapcsolódhassanak hozzám. -
#12861
E.Kaufmann
veterán
betyarr
#12859
E.Kaufmann
veterán
válasz
betyarr
#12859
üzenetére
A legtöbb mai alkalmazás már jól elboldogul, ha van névfeloldás és távoli állomások/szerverek 80-as és 443-as portját eléri TCP protokollal, hisz vagy főleg böngészik az ember, vagy ha nem is böngészőt használ, valamilyen webszerver szerűség várja az alkalmazást a túloldalon. A torrent pl kivétel, de már lassan a DNS is HTTPS felett megy, és sajnos ezt lekövetik a kártevők is, azok is át tudnak jutni ilyen módon, lényegében az ilyen egyszerűbb tűzfalszabályokkal már sokra nem megy az ember.
Vagy ki kell bontani a titkosított adatforgalmat, amire a Mikrotik nem képes, és úgy elemezni, vagy pedig a kliens oldalon kell megfogni/elemezni a forgalmat, pl vírusvédelmi szoftverekkel.
IP és DNS alapú listákkal vagy pl külön DNS szerverrel (PiHole) lehet valamennyire megfogni a kéretlen forgalmakat még (de ha utóbbit megkerüli a böngésző DNS over HTTP-vel, akkor cs*szhetjük). Elvileg még be lehet kukkantani SNI-n át, hogy a titkosított forgalom milyen domain-re menne, de egyrészt CPU-t nagyon terheli (bár ugye be lehet lőni hogy csak első x Byte legyen csak átkutatva és úgy azért nem olyan vészes), másrészt ez se működik mindig.
Amit lehet tenni, hogy új bejövő forgalom csak azt a szolgáltatást érje el, amit mi akarunk megengedni (port forward). Az UPnP egy kényelmi szolgáltatás, ami azért kockázatos is, bár a fentiek miatt, már egyre kevésbő ez jelent kockázatot, a Torrent kliensek viszont szeretik használni, úgyhogy hasznos kényelmi funkció.
Van pár trükk pl portszkennerek tiltására, és más támadások elleni védelemre, de júzer oldali hülyeségek ellen egyre kevésbé véd bármi, ami nem tudja felügyelni a teljes forgalmat. -
Kroni1
veterán
Lenne egy kérdésem, hátha valaki tud rá kapásból okosat. Ha - nagyjából - a skori féle beállítások szerint konfigolom be a routeremet, akkor mi lehet az, ami meggátolja az alapból upnp-vel csatlakozó eszközeim, pl. a Plex mediaserver, a qBt és a WD Mycloud nas-om elérését külső hálóról? Ha a gyári alapbeállításokon vagyok akkor magától létrejönnek ezeknek a port forwarding kapcsolatok, nem kell semmit beállítanom a routerben, viszont a skori féle setuppal ha be is kapcsolom az upnp-t akkor sem. Van esetleg megoldás erre, vagy ezt már csak kézzel beálított port fw-vel tudom megoldani
A Plex-el kipróbáltam, az megy ha kézzel állítom be, de ha lehet megőrizném az upnp kényelmét, bár tudom az úgy kevésbé biztonságos..
-
betyarr
veterán
no,még egyszer átrágtam magam a skori féle íráson.megnéztem a mindenamimikrotik videókat (ez mondjuk csak egy mézesmadzag a teljes anyaghoz: vannak benne érdekességek,de egy alap felhasználói szintű beállításhoz erősen hiányos).vannak dolgok,amelyek világosak,van ami éppen csak dereng az agyamban,meg vannak olyan félig-meddig megfogalmazódó kérdéseim,amik (láma lévén) teljesen kétségek között tartanak a mikrotik routerekkel kapcsolatban (úgy értem,hogy vágjak-e bele,avagy ne).pl. írja skori,hogy a tűzfalszabályok,amiket ismertet a bemutatóban,azok egy kezdő lépésnek megfelelnek.ez ok.azonban,az nem világos számomra,hogy a különböző,pc-re telepített alkalmazásokat mennyire kell kontrollálni (egyáltalán kell-e?) a tűzfalban?gondolok itt ilyenekre,mint játékok kliensei,netet használó pc game-ek,vagy akár a mezei alkalmazások,mint pl. a java.de lényegében bármilyen felhasználói program (manapság már mindenhez kell netkapcsolat,ha máshoz nem,akkor a frissítések automatikus ellenőrzéséhez).vagy hogy működik ez upnp nélkül?eddig sosem foglalkoztattak a (hardveres) tűzfalak,nem is értek hozzájuk.
-
iceQ!
addikt
Sziasztok,
hAP AC3-hoz rendeltem volna HGO antennát, viszont nem jót. Én azt gondoltam, hogy ebből csak 1 fajta létezik Mikiéknél, de úgy tünik nem.
Dual-Band 2.4/5Ghz-s amit vettem, ezzel nincs is gond, viszont a szára FIX, tehát nem lehet behajlítani hogy felfele álljon.
Esetleg tudja valaki, hogy melyik a hAP AC3-hoz való? Pontos link is jöhet, mert én csak 1 fajtát találtam
Ez pedig a rossz(vagy is fix) antenna:
-
betyarr
veterán
üdv újra!
bár még mindig vacillálok a 4011-en,de lehet,hogy hamarosan a tettek mezejére lépek,miután volt a syno 1900-al egy kis gebasz (szerencsére végül megoldódott).
nem is ez a lényeg,hanem az,hogy jó lenne elmélyülni egy kicsit a hálózatok terén és lehetőleg minél jobban megérteni a routeros tűzfal szabályok létrehozását,konfigurálását.ebben kérném a segítségeteket,hogy hol találok viszonylag laikus embereknek szóló leírásokat/videókat magyarul vagy akár angolul.a cél annyi,hogy minél egyszerűbben,de lehetőleg hatásosan betudjam magamnak konfigurálni. -
#12856
Kenderice
senior tag
E.Kaufmann
#12852
Kenderice
senior tag
válasz
E.Kaufmann
#12852
üzenetére
A net oldalra nem akarnak még egy eszközt.
-
zolage
friss újonc
Sziasztok! Egy routert ki szeretnék cserélni egy másikra (CRS125-24G-1S --> CRS326-24G-2S). Ha megcsinálom a biztonsági mentést a korábbin (6.48-as verzió) és felrakom az újra (6.48.1) akkor Winboxban minden konfigot látok, ami a korábbin rajta volt, viszont semmilyen led sem jelzi, hogy lenne a portokon adatforgalom, nem kap semmi IP-t, lényegében (kívülről ránézve), mintha teljesen vadi új lenne, azzal a különbséggel, hogy nem villog a led. Ti találkoztatok-e már ilyennel, illetve volt-e rá valami megoldásotok vagy vigyek fel mindent manuálisan? Előre is köszönöm a a segítséget.
-
#12849
Kenderice
senior tag
E.Kaufmann
#12848
Kenderice
senior tag
válasz
E.Kaufmann
#12848
üzenetére
A másik oldalon egy tipli C5 ac1200 van, ami egy lhg lte-n veszi a mobilnetet (de ez nem lényeges).
A terület üdülőövezet, sehol nincs más hálózat.
Az egyik ház állandóan lakott, a másik egy nyaraló ami a szomszédé.
A kamerák a nyaralóházon lennének, oda kéne ez, hogy lássa a szomszéd a kamerák képeit.
Simán telefonnal sebességet mérve 15 megabit körül van, de kültéri egység kell. Meg persze üzembiztos.
Ezért gondoltam erre az eszközre. -
#12848
E.Kaufmann
veterán
Kenderice
#12847
E.Kaufmann
veterán
válasz
Kenderice
#12847
üzenetére
Másik oldalon mi van? Az a biztos, ha mindkét oldalon van egy rádió és dedikált PtP kapcsolatot csinálsz. Amúgy én a helyedben, ha lesz állandó rálátást, legalább 5GHz-s rádiókat vennék. Ha 10km-re jók voltak, akkor 40m-re is, valamint más wifije is kevésbé zavarja, max a DFS lehet gond, de azt is lehet kezelni.
-
Pille99
tag
Sziasztok,
kis segítségre lenne szükségem.Megpróbáltam a NAS két LANját egyesíten 802.3ad szerint.
Sikerült is a trönkölés, az egyesített LAN 2 GB-os lett a NAS szerint.Próbáltam Mikit 2 portját beállítani ezzel a parancsal:
/inteface bonding add slaves=ether6,ether9 mode=802.3ad lacp-rate=30secs link-monitoring=mii transmit-hash-policy=layer-2-and-3Bonding miatt ezt a 2 portot ki kellett vennem a Bridge-ből.
A NAS eltűnt, csak pingetni tudom a mikiből.
Mit kell még beállítanom, hogy előkerüljön a NAS?Köszi
-
#12843
Reggie0
félisten
Core2duo6600
#12842
Reggie0
félisten
válasz
Core2duo6600
#12842
üzenetére
Tobbnyire tudjak, de vannak bugos telok/swverziok.
-
Kroni1
veterán
Köszi a gondolatokat! Hát valami szofisztikáltabb megoldást keresnék, de lehet kicsit játszani fogok a 2 AP elhelyezésével vagy talán beszerzek mégegy kültéri wap ac-t a kerthez, és ha mindenhol lesz megfelelő 5G nekik (nem nagy a ház és a kert sem) akkor egyszerűren a telefonokkal elfelejtetem a 2.4-et..
-
#12840
Reggie0
félisten
E.Kaufmann
#12839
Reggie0
félisten
válasz
E.Kaufmann
#12839
üzenetére
Igen, scriptelni lehetne, ami levalogatja a 2.4G-s interfeszen azokat, amelyek adott jelszint felett vannak es periodikusan lerugdossa.
-
#12839
E.Kaufmann
veterán
Reggie0
#12838
-
#12838
Reggie0
félisten
E.Kaufmann
#12837
Reggie0
félisten
válasz
E.Kaufmann
#12837
üzenetére
Persze, viszont ha a kerdben meg nincs 5G csak 2.4G, akkor a lerugdosas miatt szakadozni fog a kliens. Sajnos itt nincs igazan jo megoldas. Ahhoz, hogy tudja a router mely kliensek rughatoak le a 2.4G-rol, ugy, hogy el tudjak erni az 5G-t kene 801.11k protokol.
-
#12837
E.Kaufmann
veterán
Reggie0
#12836
E.Kaufmann
veterán
válasz
Reggie0
#12836
üzenetére
Nem tud, de azért csak le lehet rugdosni a klienseket központilag és ha mázli van, akkor fel tudnak csatlakozni kis idő múlva egy erős jelű AP-ra. Még ha nincs is ilyen RSSI trükk, akkor is át tud egy idő után vánszorogni egyik AP-ról a másikra a kliens, ha már az egyiket nem éri el, a másik meg már a közelben van. Két tiplink 841n-el játszottam ilyet.
-
Reggie0
félisten
válasz
Kroni1
#12834
üzenetére
Mikrotik nem tud semmilyen roamingos protokolt (802.11k / 802.11r), szoval nem nagyon lesz erre megoldas.
Esetleg azt megprobalhatod, hogy leveszed a 2.4GHz jelszintjet, hogy a lakasban mar erosebb legyen az 5GHz, viszont akkor kerdeses, hogy a kertben meddig er el, de egy probat megerhet.
-
#12835
E.Kaufmann
veterán
Kroni1
#12834
E.Kaufmann
veterán
válasz
Kroni1
#12834
üzenetére
Be lehet állítani access listet vagy mi a fenét valahol, hogy milyen jelerősségen dobja el a klienseket, bár eddig inkább olyan példát láttam, ahol a gyenge klienseket dobták le, hogy az át tudjon/akarjon csatlakozni erősebb jelű AP-ra, de elvileg biztos lehet az erőseket is ilyen módon dobálni (bár érdemes valahogy meghatározni mely kliensek tudják az 5GHz-t, vagy kézzel felsorolni őket MAC cím alapján). Majd jön erre Wifis szaki.
-
Kroni1
veterán
Egy olyan wifis problémám van, hogy androidos telefonokon, ha kimegyek velük a kertbe (nyilván a jobb jelerősség miatt) átállnak 2.4Ghz-re, és ezután maradnak is azon, hiába jövök vissza a router közelébe, nem állnak vissza 5GHz-re.
A RouterOS-ben van erre valami band steering szerű megoldás? Kliens oldalon vannak ilyen 3rd party appok androidra, de ha lehet inkább a routerben próbálnám beállítani.
-
m0ski
aktív tag
Sziasztok!
Segítséget szeretnék kérni CAPsMAN / bridge VLAN filtering ügyben.
RB2011
VLAN100 - helyi háló
VLAN200 - vendég háló
eth1 - WAN
eth2 - TP-LINK okos switch VLAN100/200
eth3 - VLAN100
eth4 - VLAN100
eth5 - cAP
eth6-10 - VLAN100A problémám a következő: ha az eth5-öt berakom a bridge/ports alá, akkor a CAPsMAN nem találja a cAP-et. Ha kiveszem a bridge-ből, akkor CAPsMAN működik, felveszi a helyi és a vendég wifit is, de nem érem el az eszközt VLAN100-ból IP alapon.
A cél az lenne, hogy helyi hálózatból el tudjam érni a cAP-et is IP alapon.
-
#12831
bacus
őstag
Core2duo6600
#12829
bacus
őstag
válasz
Core2duo6600
#12829
üzenetére
"Logika szerint ott kéne lenne, ahol az ip beállításokat lehet elvégezni."
Ez miféle logika egy ROUTEREN ???? Mert egy akármilyen eszközön aminek van 1 db ip címe és egy darab átjáró elegendő, ott rendben van, de ez egy router.
-
#12830
Reggie0
félisten
Core2duo6600
#12829
Reggie0
félisten
válasz
Core2duo6600
#12829
üzenetére
ip route add dst-address=0.0.0.0/0 gateway=<ide ird a cimet> -
#12829
Core2duo6600
veterán
E.Kaufmann
#12824
Core2duo6600
veterán
válasz
E.Kaufmann
#12824
üzenetére
Akkor már csak azt szeretném megtudni, hogy hogyan kell megadni a gatewayt az eszköznek.
Eddig bármit kamerát, nyomtatót nast akármit állítottam be kézzel mindegyiknél volt lehetőség az átjáró megadására.
Na most, a miki nél, hogy tudom az átjárót kézzel megadni ?
Logika szerint ott kéne lenne, ahol az ip beállításokat lehet elvégezni.Egy másik kérdés :
Ha vendég wifit szeretnék csinálni, akkor lehetséges -e, hogy nem a fő router, hanem a hap ac2 végzi a dhcp ét, ill. minden szükséges műveletet ?
A vendég wifi nek csak a netet kellene elérnie, értelem szerűen. -
Reggie0
félisten
válasz
Kroni1
#12826
üzenetére
Capsmannel erdemes megfontolni a local forwardingot, akkor nem a routeren lep ki a caps interfeszbol a forgalom, hanem helyben az AP-ban, igy a savszelesseg nem csokken annyira es a router procijat sem eszi. Ha filterelni stb. szeretnel, akkor igy nem tudod kozpontilag, hanem az AP-kbe kell a szabalyokat atvinni. A masik elonye, hogy halozati topologiatol fuggoen akar oda-vissza kuldozegest is el lehet kerulni, pl. ha az AP switcheben is van eszkoz. No meg a proci terheles sem koncentralodik a routeredbe.
-
Kroni1
veterán
Sziasztok!
Sikerült végre időt találnom rá, így a hap ac^2-t + wap ac-t nagyjából ezen videó alapján beállítottam capsman-el. Működik szépen, végre mindenhol van jel a házban és a kertben is, a maximális sebesség kicsit visszaesett ahogy arra számítottam.
Ezzel kapcsolatban kérdeznék:
- 2.4GHz-en az ac2-t az 1-es, a wap-ot pedig a 11-es csatornákra állítottam (a középső csatornák elég telítettek itt nálunk, ezért gondoltam erre) Úgy tudom 5ghz-en nem annyira problémás az overlapping, szomszédból ilyen jelet nem is látok, itt a 36 és 40 csatikra állítottam be a két AP-t. 20MHz-et állítottam mindkét sávon, ahogy látom a központi sávok (Ce, Ceee, stb.) beállítását a capsman megcsinálta. Ezt hagyhatom így, vagy érdemes ezen még változtatni?
- A kertben ha mobil eszközzel lecsökken használhatatlan szintre az 5g jelszintje, akkor a 2.4-re minél zökkenőmentesebb átálláshoz kell még valamit beállítanom, vagy így menni fog a sávok közti roaming magától a capsman-el?
Köszönök előre is minden tanácsot, észrevételt!
-
#12825
Reggie0
félisten
E.Kaufmann
#12824
Reggie0
félisten
válasz
E.Kaufmann
#12824
üzenetére
En megszoktam, hogy alaposan korbe kell jarni a kerdest, mert altalaban nem az elso megoldas a jo megoldas. De igazad van/volt. -
#12823
Reggie0
félisten
Core2duo6600
#12822
Reggie0
félisten
válasz
Core2duo6600
#12822
üzenetére
Akkor 99% default gw.
-
#12821
Reggie0
félisten
Core2duo6600
#12820
Reggie0
félisten
válasz
Core2duo6600
#12820
üzenetére
Na, akkor mar csak az a kerdes, hogy van-e mas eszkoz a halozatodban, ami a routeren log es elered, vagy a "minden eszkozt elersz"-t ugy kell erteni, hogy a router megvan vpn-en keresztul is.
A HAP AC2-hoz nem kell hazaerned, a routerrol tovabb tudsz telnetelni vagy sshzni, jo volna tudni azon megvan-e a default gw. (/system telnet vagy /system ssh ). Ha manualisan allitottad be az IP-jet, akkor valoszinuleg nincs megadva, ha DHCP-rol kapja, akkor valoszinuleg van default gw-je es mashol van a hiba.
-
#12820
Core2duo6600
veterán
Reggie0
#12819
Core2duo6600
veterán
válasz
Reggie0
#12819
üzenetére
[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; LAN
chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=Digi-PPPOE log=no log-prefix=""
1 ;;; Wifi
chain=srcnat action=masquerade src-address=192.168.2.0/24 out-interface=Digi-PPPOE log=no log-prefix=""
2 ;;; SSTP
chain=srcnat action=masquerade src-address=10.10.2.0/24 out-interface=Digi-PPPOE log=no log-prefix=""Route :
[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 Digi-PPPOE 0
1 ADC 10.0.0.1/32 91.83.35.139 Digi-PPPOE 0
2 ADC 10.10.2.10/32 10.10.2.254 <sstp-SSTP_Client> 0
3 ADC 192.168.1.0/24 192.168.1.254 bridge-LAN 0
4 ADC 192.168.2.0/24 192.168.2.254 bridge-Wifi 0 -
#12819
Reggie0
félisten
Core2duo6600
#12818
Reggie0
félisten
válasz
Core2duo6600
#12818
üzenetére
Most a routeren mi van a NAT tablaban es mi milyen routingok vannak?
-
#12818
Core2duo6600
veterán
Reggie0
#12815
Core2duo6600
veterán
válasz
Reggie0
#12815
üzenetére
Ha így állítom be, akkor megszűnik működni a net elérésem vpn esetében.
Aminek előnye, hogy kikerülöm a céges tűzfalat.Tehát a kérdés továbbra is, hogy miként lehet megoldani, hogy menjen a vpn en keresztül a net és elérjem az eszközöket is.
Ami teljesül a HAP AC2 kivételével.Az asztali gép nincs bekapcsolva, így azt nem tudom, hogy elérném -e, de mivel én használom egyedül, így jelentősége sincsen.
#12811 E.Kaufmann
Ha majd otthon leszek, akkor elleözöm ezt a default gw beállítást a HAP ac 2 esen. -
#12815
Reggie0
félisten
Core2duo6600
#12813
Reggie0
félisten
válasz
Core2duo6600
#12813
üzenetére
Hat, SSTP alapvetoen nem ide valo: "SSTP was intended only for remote client access, it generally does not support site-to-site VPN tunnels."
Szoval a legegyszerubb, ha a kliensen beallitod default gw-nek a router vpn-es cimet, a routeren pedig, hogy masquerading-oljon a vpn-es tunel felol is(ilyenkor az out interface a lokal halonak a bridge-je lesz, nem a pppoe vagy egyeb uplink interfesz).
#12814 jerry311: Igen, en ezert szoktam kerdezni ilyenkor a random tanacsok helyett
-
#12812
Reggie0
félisten
E.Kaufmann
#12811
Reggie0
félisten
válasz
E.Kaufmann
#12811
üzenetére
Ehhez miert kene alapertelmezett atjaro?
-
#12811
E.Kaufmann
veterán
Core2duo6600
#12809
E.Kaufmann
veterán
válasz
Core2duo6600
#12809
üzenetére
AP-n nincs belőve az alapértelmezett átjáró, így elsőre.
-
#12810
Reggie0
félisten
Core2duo6600
#12809
Reggie0
félisten
válasz
Core2duo6600
#12809
üzenetére
routing, forwarding beallitasok a routeren es a vpn klienseken? Mi a vpn-en a kiosztott cimtartomany? tun vagy tap tunneled van a vpnen, esetleg ipsec?
-
#12809
Core2duo6600
veterán
Core2duo6600
veterán
VPN el érem el az otthoni hálózatot.
Ez működik is, bejön a nas felülete, A router felülete is ( AH 1100x4 )
Viszont az AP ként használt HAP AC2 felülete nem.
A router ip címe 192.168.1.254 a hap ac2 esnek 192.168.1.253 ez otthon a gékről elérhető.
A HAP ac 2 esben nincs tűzfal szabály beállítva, tehát elvileg lehet mindent.
Ip cím van neki megadva, ill. létrehozva egy brdge és annak adva az ip cím, a bridge ben az ether 1 van ez csatlakozik kábellel a routerhoz.Ezen kivül csak a wifi re vonatkozó beállítások vannak megadva.
Akár wifi ről is elérhető mind a 2 routernek a webes felülete, de winboxból is, ezt szoktam amúgy használni, ha állítani kell valamit.Még annyi, hogy külön wifis hálózatot használok, ez a 192.168.2.0/24 mind a 2 eszköznek van ebben a tartományban is ip címe.
Mi lehet az oka, hogy nem érem el VPN esetében csak a router felületét (192.168.1.254) míg az AP felületét 192.168.1.253 nem érem el ?
1 kábelen VLAN segítségével jut el az AP hez mind a 2 hálózat.
(a média lejátszó miatt kell a tv mellöl elérni a nas-t)Egyszerűen nem értem...
-
#12808
jerry311
nagyúr
minimumgame
#12807
jerry311
nagyúr
válasz
minimumgame
#12807
üzenetére
Mikrotik 1. szabály: nem használunk quick configot, nem használunk default configot (/system reset-configuration no-defaults=yes). Sajnos, mindkettőre építkezve előfordulhatnak meglepetések. A legjobb ha nulláról indul az ember.
-
#12806
Reggie0
félisten
allnickused
#12804
Reggie0
félisten
válasz
allnickused
#12804
üzenetére
Okolszabalykent elmondhato, hogy minel nagyobb a tuzfalkonfig annal jobban fogja a procit. Szoval torekedni kell a szukseges minimumra.
-
#12805
bacus
őstag
allnickused
#12804
bacus
őstag
válasz
allnickused
#12804
üzenetére
röviden: jó
hosszabban: jó bonyolult
még hosszabban: jó bonyolult, de minek?
-
#12804
allnickused
tag
bacus
#12803
allnickused
tag
Ez kábé milyen?
/ip firewall filter add action=drop chain=input comment="PING input drop" icmp-options=8:0-255 in-interface=!bridge protocol=icmp
/ip firewall filter add action=accept chain=input comment="accept ICMP after RAW" protocol=icmp
/ip firewall filter add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related
/ip firewall filter add action=accept chain=input src-address-list=allowed_to_router
/ip firewall filter add action=drop chain=input comment="drop all not coming from LAN" in-interface-list=!LAN
/ip firewall filter add action=accept chain=forward comment="accept all that matches IPSec policy" disabled=yes ipsec-policy=in,ipsec
/ip firewall filter add action=drop chain=forward comment="drop bad forward IPs" src-address-list=no_forward_ipv4
/ip firewall filter add action=drop chain=forward comment="drop bad forward IPs" dst-address-list=no_forward_ipv4
/ip firewall filter add action=fasttrack-connection chain=forward comment="fasttrack" connection-state=established,related disabled=yes
/ip firewall filter add action=accept chain=forward comment="accept established,related, untracked" connection-state=established,related,untracked
/ip firewall filter add action=drop chain=forward comment="drop invalid" connection-state=invalid
/ip firewall filter add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall raw add action=accept chain=prerouting comment="enable for transparent firewall" disabled=yes
/ip firewall raw add action=accept chain=prerouting comment="accept DHCP discover" dst-address=255.255.255.255 dst-port=67 in-interface-list=LAN protocol=udp src-address=0.0.0.0 src-port=68
/ip firewall raw add action=drop chain=prerouting comment="drop bogon IP's" src-address-list=bad_ipv4
/ip firewall raw add action=drop chain=prerouting comment="drop bogon IP's" dst-address-list=bad_ipv4
/ip firewall raw add action=drop chain=prerouting comment="drop bogon IP's" src-address-list=bad_src_ipv4
/ip firewall raw add action=drop chain=prerouting comment="drop bogon IP's" dst-address-list=bad_dst_ipv4
/ip firewall raw add action=drop chain=prerouting comment="drop non global from WAN" in-interface-list=WAN src-address-list=not_global_ipv4
/ip firewall raw add action=drop chain=prerouting comment="drop forward to local lan from WAN" dst-address=192.168.88.0/24 in-interface-list=WAN
/ip firewall raw add action=drop chain=prerouting comment="drop local if not from default IP range" in-interface-list=LAN src-address=!192.168.88.0/24
/ip firewall raw add action=drop chain=prerouting comment="drop bad UDP" port=0 protocol=udp
/ip firewall raw add action=jump chain=prerouting comment="jump to ICMP chain" jump-target=icmp4 protocol=icmp
/ip firewall raw add action=jump chain=prerouting comment="jump to TCP chain" jump-target=bad_tcp protocol=tcp
/ip firewall raw add action=accept chain=prerouting comment="accept everything else from LAN" in-interface-list=LAN
/ip firewall raw add action=accept chain=prerouting comment="accept everything else from WAN" in-interface-list=WAN
/ip firewall raw add action=drop chain=prerouting comment="drop the rest"
/ip firewall raw add action=drop chain=bad_tcp comment="TCP flag filter" protocol=tcp tcp-flags=!fin,!syn,!rst,!ack
/ip firewall raw add action=drop chain=bad_tcp comment=protocol=tcp tcp-flags=fin,syn
/ip firewall raw add action=drop chain=bad_tcp comment=protocol=tcp tcp-flags=fin,rst
/ip firewall raw add action=drop chain=bad_tcp comment=protocol=tcp tcp-flags=fin,!ack
/ip firewall raw add action=drop chain=bad_tcp comment=protocol=tcp tcp-flags=fin,urg
/ip firewall raw add action=drop chain=bad_tcp comment=protocol=tcp tcp-flags=syn,rst
/ip firewall raw add action=drop chain=bad_tcp comment=protocol=tcp tcp-flags=rst,urg
/ip firewall raw add action=drop chain=bad_tcp comment=TCP port 0 drop" port=0 protocol=tcp
/ip firewall raw add action=accept chain=icmp4 comment=echo reply icmp-options=0:0 limit=5,10:packet protocol=icmp
/ip firewall raw add action=accept chain=icmp4 comment=net unreachable icmp-options=3:0 protocol=icmp
/ip firewall raw add action=accept chain=icmp4 comment=host unreachable icmp-options=3:1 protocol=icmp
/ip firewall raw add action=accept chain=icmp4 comment=protocol unreachable icmp-options=3:2 protocol=icmp
/ip firewall raw add action=accept chain=icmp4 comment=port unreachable icmp-options=3:3 protocol=icmp
/ip firewall raw add action=accept chain=icmp4 comment=fragmentation needed icmp-options=3:4 protocol=icmp
/ip firewall raw add action=accept chain=icmp4 comment=echo icmp-options=8:0 limit=5,10:packet protocol=icmp
/ip firewall raw add action=accept chain=icmp4 comment=time exceeded icmp-options=11:0-255 protocol=icmp
/ip firewall raw add action=drop chain=icmp4 comment=drop other icmp protocol=icmp -
#12803
bacus
őstag
allnickused
#12801
bacus
őstag
válasz
allnickused
#12801
üzenetére
A mikrotik default tűzfala is megfelel.
inputban
-engeded a lokális eszközöket
-engeded ami már established állapotban van
-esetleg engeded az icmp csomagokat
-eldobod az invalid csomagokat (még ez sem kell külön, mert a következő megteszi)
-tiltani winbox portot a nagyvilág és a helyi nem kívánt eszközökről
-engeded a vpn hez szükséges portokat, protokollokat
-minden más csomagot blokkolszforward
-engeded a lokális eszközöket (vagy egy részét, ha pl a tévét nem akarod kiengedni a netre)
-engeded ami már established állapotban van
-eldobod azokat a csomagokat, amik connection-nat-state=!dstnat és a connection-state=new (és a wan felől jön)ezt egy jó kis UPNP-vel hazavágni, hogy menjen a torrent
-
#12802
E.Kaufmann
veterán
allnickused
#12801
E.Kaufmann
veterán
válasz
allnickused
#12801
üzenetére
Biztos lesznek, akik mindenféle aktív védelmi szkriptet ajánlanak, de szerintem már van elég védelmi vonal minden eszközön, hogy azokat állandóan frissítve ne legyen nagy gond.
Kívülről közvetlenül belső eszköz "segítsége" nélkül ne lehessen hozzáférni semmihez a helyi hálón, amit meg nagyon fontos távpiszkálni, azt max VPN-en keresztül piszkáljad. -
#12801
allnickused
tag
allnickused
tag
Azt szeretném kérdezni, hogy otthonra mit kell(ene) tartalmazni a tűzfalnak értem ezalatt: input-forward, hogy biztonságos legyen? Gondolom annyi szabály nem kell, mint egy cégnél. Semmi különleges igény nincs, 2 gép, telefonok, kamera, konzolok, tv. Mert a saját fejem után van egy tűzfalam (szabályokkal), csak tudni szeretném, hogy elégséges-e.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
Hirdetés
ekkold- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Kerékpárosok, bringások ide!
- Hobby elektronika
- Premier előzetesen az FBC: Firebreak
- Ingatlanos topic!
- exHWSW - Értünk mindenhez IS
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- OFF TOPIC 44 - Te mondd, hogy offtopic, a te hangod mélyebb!
- Parkside szerszám kibeszélő
- Automata kávégépek
- További aktív témák...
- ÁRGARANCIA! Épített KomPhone Ryzen 7 9700X 32/64GB RTX 5070 12GB GAMER PC termékbeszámítással
- Bomba ár! MacBook AIR 13" 2018 - i5-8210Y I 16GB I 512SSD I OS X Sonoma I Cam I Gari!
- Bomba ár! Lenovo ThinkPad T15 G1 - i5-10GEN I 16GB I 256GB SSD I 15,6" FHD Touch I Cam I W11 I Gari!
- Eredeti DELL 240W töltők (LA240PM160)
- TAVASZI BOMBA AKCIÓK! STEAM, UBISOFT CONNECT, EA APP, XBOX EREDETI KULCSOK 100% GARANCIA
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest