- Fotók, videók mobillal
- iPhone topik
- Motorola Edge 50 Neo - az egyensúly gyengesége
- Elkészült és telepíthető az Android 16
- Nem várt platformon a OnePlus Nord 5
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Honor 400 Pro - gép a képben
- Samsung Galaxy Watch7 - kötelező kör
- Milyen okostelefont vegyek?
- Nothing Phone (3a) és (3a) Pro - az ügyes meg sasszemű
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Audience
aktív tag
válasz
kis20i
#19295
üzenetére
Én csináltam egy script-et netwatch ha nem látja a WireGuard HUB-ot aminek nincs fix IP-je akkor letiltja a WireGuard interface-t, üríti a DNS cache-t és újra engedélyezi. Kell neki késleltetés mert meg kell várni amíg frissül a DNS bejegyzés.
A megadott FQDN-t egyszer oldja fel és késöbb már a megkapott IP-ből dolgozik, hiába frissül a DNS bejegyzésed.
-
zsolt008
tag
válasz
kis20i
#19295
üzenetére
igen, az lehet, hogy csak az elején oldja fel a nevet.
a 2 default route-os megoldást is értem és köszönöm, elegáns.
de végül ehhez is kell a netwatch az interface billegtetéséhez, ami nem gond, csak kíváncsi voltam van-e esetleg valami gyári megoldás, ne találjam fel újra a kereket. -
kis20i
tag
-
zsolt008
tag
válasz
Reggie0
#19293
üzenetére
aha, értem, köszi. itt most nekem nem is kell 2 default gw, minden megy át a tunnelen, az endpoint meg kap egy külön route-ot. aztán majd netwatch vagy schedulerrel updatelek, még meg kell néznem pontosan hogy is működnek.
@Tamarel - esetleg átdobnád, hogy néz ki nálad a scheduler script?
köszi -
Reggie0
félisten
válasz
zsolt008
#19289
üzenetére
Hat, nekem vps-en keresztul van fix ip-je az itthoni routeremnek, azt egy titkositas nelkuli openvpn viszi at. A wireguard szerver igy az itthoni routerem. Amikor a laptoppal hazajovok, akkor egy ido utan rajon, hogy mas az IP-je a szervernek es atugrik a belsohalos cimere teljesen magatol. Szoval, ha a szerver eleri a klienst akkor le tud frissulni az IP, mert megkapja a szervertol jovo csomagban, hogy mi az uj, a "session" meg ugyanaz. Legalabbis linux alatt, mikrotiken lehet nem tudja.
Ha feloldja mar az jo, amikor megjelent routeros-ben valamiert nalam nem ment.
Mar ertem mire gondolsz, a remote public ip eleresehez valoban kell kulon route, de ezt VRF-el, route rule-val vagy packet mark-al is meg lehet oldani es akkor nem kell script.
-
zsolt008
tag
válasz
Reggie0
#19288
üzenetére
nem a def gw változik, a nyíl csak azt jelenti hogy az a cím azon az interfacen megy.
hogy érted, hogy követi az ip változást?
(a peer-ben feloldja az fqdn-t az endpoint_addresnél)
az van a fejemben, hogy a kliensen kell egy külön route az endpont_addresshez (ez lenne a remote_endpoint_ip az előző hozzászólásomban), ha egyébként a 0.0.0.0/0 a wg_interfacen keresztül megy.
nem így van? most sajnos nem tudom kipróbálni, de csak így sikerült összehozni, igaz zöldfülű voltam mindkettőhoz (mikrotik/wireguard) -
zsolt008
tag
sziasztok,
van egy wireguard kliensnek konfigurált mikrotik, ami a rajta lógó kliensek forgalmát átküldi a tunnelen ( 0.0.0.0/0 -> wg-interface),
meg persze van statikus szabály a tunnel működéséhez is (remote_végpont_ip -> default_gw).
a remote server ip-je nem kőbevésett, az esetleges változást is szeretném lekövetni, azaz remote_végpont_ip -> default_gw szabályt módosítgatni ha változik az ip.
ahogy ismerkedek a routerrel, látom, hogy van a netwatch és a scheduler amivel lehet ilyet csinálni (scripteket futtatni eseménykor), de hátha van más mód, is ami esetleg pont ilyesmire van csak nem vettem észre? (szóval valami fqdn routingot keresek-csinálnék) -
Reggie0
félisten
válasz
XENISETE
#19282
üzenetére
Mar valamennyire aramkor is lehet vele terveztetni, csak nem schematic-ot kell kerni tole, hanem netlist-et, mert az szoveges, nem kep.
Mondjuk egy astabil multivibratoros villogot egesz jol megtervez, de komplex cuccoknal sok feketedoboz lesz benne.Amugy tud linux es mikrotik konzolt emulalni is, csak meg kell kerned, hogy jatsza el, hogy-egy linuxos gep vagy router ami terminalt biztosit neked. Parancsokat is tudsz hozzaadni ha leirod neki szovegesen hogy mukodik.
-
jerry311
nagyúr
válasz
Tamarel
#19275
üzenetére
Persze, mert ma egy RFC1918 belső hálózat olcsóbb. Nem olyan rég még több nagy cég is rendelkezett saját publikus /8 tartománnyal. (IBM-nek még mindig megvan a 9.0.0.0/8) Náluk nem volt szükség NAT-ra, mert minek. Alapvetően nem a NAT-tól biztonságosabb egy hálózat. Attól már igen, hogy az otthoni router dobja a kívülről érkező kéréseket.
Mondjuk, engem sajnos nem érint az IPv6, mert a szolgáltató semmi jelét nem mutatja ilyen irányú fejlesztéseknek.
-
XENISETE
csendes tag
válasz
Gyurka6
#19278
üzenetére
A biztonságos IPv6 tűzfalbeállítások kialakítása hasonló az IPv4 tűzfalbeállításokhoz, azonban az IPv6 tűzfalaknak figyelembe kell venniük az IPv6 egyedi jellemzőit és az IPv6 hálózatok működési módját.
Az alábbi példa az IPv6 tűzfal filterének beállítására összpontosít, és a következő szabályokat tartalmazza:
Engedélyezzük a loopback kapcsolatokat.Engedélyezzük a kimenő ICMPv6 forgalmat.Engedélyezzük a bejövő ICMPv6 forgalmat, de csak bizonyos típusokat (pl. ICMPv6 Echo Request).Blokkoljuk a bejövő és kimenő SSH kapcsolatokat azon kívül, hogy az adminisztrátori IP-címekről jönnek.Blokkoljuk az összes bejövő IPv6 forgalmat, amely nem engedélyezett kivételekkel érkezik./ipv6 firewall filteradd chain=input connection-state=established,related action=accept comment="Allow established connections"add chain=input connection-state=invalid action=drop comment="Drop invalid connections"add chain=input in-interface=lo action=accept comment="Allow loopback traffic"add chain=input protocol=icmpv6 icmp-options=echo-request action=accept comment="Allow inbound ICMPv6 Echo Request"add chain=input protocol=icmpv6 action=drop comment="Block all other inbound ICMPv6"add chain=input protocol=tcp dst-port=22 src-address-list=admin action=accept comment="Allow SSH from admin IP"add chain=input protocol=tcp dst-port=22 action=drop comment="Drop all other SSH traffic"add chain=input action=drop comment="Drop all other incoming IPv6 traffic"add chain=forward connection-state=established,related action=accept comment="Allow established connections"add chain=forward connection-state=invalid action=drop comment="Drop invalid connections"add chain=forward action=drop comment="Drop all other forwarded IPv6 traffic"add chain=output action=accept comment="Allow all outgoing IPv6 traffic"Ez a konfiguráció az alábbi módon működik:
Az első szabály engedélyezi az összes már meglévő, kapcsolatban álló (established) és kapcsolódó (related) IPv6 forgalmat.A második szabály eldob minden érvénytelen (invalid) IPv6 kapcsolatot.A harmadik szabály engedélyezi a loopback IPv6 kapcsolatokat.A negyedik szabály engedélyezi a kimenő ICMPv6 forgalmat.Az ötödik szabály engedélyezi a bizonyos típusú bejövő ICMPv6 forgalmat (pl. ICMPv6 Echo Request).Az hatodik szabály elutasítja az összes többiAz alábbiakban bemutatom, hogyan lehet beállítani az IPv6-t a Mikrotik RouterOS operációs rendszeren a Magyar Telekom internet szolgáltató által biztosított IPv6 címmel.
Lépjen be a Mikrotik eszközbe a webes felületén keresztül vagy a Winbox program segítségével.
A bal oldali menüben válassza ki az "IP" menüpontot, majd válassza a "DHCP Client" lehetőséget.
Kattintson az "Add new" gombra a jobb felső sarokban.
A megjelenő ablakban az "Interface" mezőben válassza ki a WAN interfészét, ahol az internet szolgáltatóval kapcsolódik. Ezt általában a PPPoE kapcsolat jelöli, amelyet a Telekom kínál.
Az "Use Peer DNS" opció legyen bekapcsolva, amely azt jelenti, hogy a router automatikusan használja a Telekom által biztosított DNS szervert.
Az "Add Default Route" opció is legyen bekapcsolva, amely biztosítja, hogy a router IPv6 forgalmát a megfelelő irányba továbbítsa.
A "Request Address" opció bekapcsolásával a Telekom automatikusan kiosztja az IPv6 címet az eszköznek.
Kattintson az "OK" gombra a beállítások mentéséhez.
A beállítások elmentése után az IPv6 címét a "IP > Addresses" menüpont alatt találja meg.
Ellenőrizze, hogy az IPv6 címe elérhető-e az interneten keresztül. Ehhez használja a "ping" parancsot egy IPv6 címre vagy egy domain névre, például a Google IPv6 címére: "ping ipv6.google.com".
Ezzel beállította az IPv6 internetkapcsolatot a Mikrotik RouterOS eszközön a Magyar Telekom szolgáltatóval. -
#19279
adika4444
addikt
E.Kaufmann
#19276
adika4444
addikt
válasz
E.Kaufmann
#19276
üzenetére
Az IPV6 NAT-olás témával nekem egy nagy gondom van, mégpedig az, hogy ha UlA címet kapnak az eszközök, azt nem tudom rábírni, hogy DGW-ként használják, tehát force-olni kell az IPv6 kapcsolatot.
#19277XENISETE
Erőforráshasználat miatt jobb, ha a forward szabályok elől vannak, révén legtöbbet routol a router, tehát kisebb az input-output jellegű forgalom. -
XENISETE
csendes tag
Mesterséges intelligencia írt egy Mikrtotik alap tűzfal szabályt.
"Természetesen fontos megjegyezni, hogy a biztonságos tűzfalbeállítások kialakítása a hálózat és az alkalmazások specifikus igényeitől függ. Azonban általános ajánlásokat és egy példa konfigurációt adhatok a Mikrotik RouterOS tűzfal filterének beállításához.
Az alábbi példa a következő szabályokat tartalmazza:
Engedélyezzük a loopback kapcsolatokat.Engedélyezzük a kimenő ICMP forgalmat.Blokkoljuk a bejövő és kimenő SSH kapcsolatokat azon kívül, hogy az adminisztrátori IP-címekről jönnek.Blokkoljuk a bejövő SMB kapcsolatokat.Blokkoljuk az összes bejövő forgalmat, amely nem engedélyezett kivételekkel érkezik."/ip firewall filteradd chain=input connection-state=established,related action=accept comment="Allow established connections"add chain=input connection-state=invalid action=drop comment="Drop invalid connections"add chain=input in-interface=lo action=accept comment="Allow loopback traffic"add chain=input protocol=icmp action=accept comment="Allow outbound ICMP"add chain=input protocol=tcp dst-port=22 src-address-list=admin action=accept comment="Allow SSH from admin IP"add chain=input protocol=tcp dst-port=22 action=drop comment="Drop all other SSH traffic"add chain=input protocol=tcp dst-port=445 action=drop comment="Block incoming SMB connections"add chain=input action=drop comment="Drop all other incoming traffic"add chain=forward connection-state=established,related action=accept comment="Allow established connections"add chain=forward connection-state=invalid action=drop comment="Drop invalid connections"add chain=forward action=drop comment="Drop all other forwarded traffic"add chain=output action=accept comment="Allow all outgoing traffic"Ez a konfiguráció az alábbi módon működik:
Az első szabály engedélyezi az összes már meglévő, kapcsolatban álló (established) és kapcsolódó (related) forgalmat.A második szabály eldob minden érvénytelen (invalid) kapcsolatot.A harmadik szabály engedélyezi a loopback kapcsolatokat.A negyedik szabály engedélyezi a kimenő ICMP forgalmat.Az ötödik szabály engedélyezi az SSH kapcsolatokat az adminisztrátori IP-címekről.A hatodik szabály elutasítja az összes többi SSH kapcsolatot.A hetedik szabály elutasítja az összes bejövő SMB kapcsolatot.A nyolcadik szabály elutasít minden más bejövő forgalmat. -
#19276
E.Kaufmann
veterán
Tamarel
#19275
E.Kaufmann
veterán
válasz
Tamarel
#19275
üzenetére
Most volt egy kis gixer, de a prefix translation több napja működni látszik RouterOS-en. Pont az általad felvázolt gond miatt is LAN-on ULA-ban gondolkozom és úgy néz ki működik vegyesen is a NAT, fő LAN tartományból a prefixet módosítva, más LAN tarrtományokból meg masquerade.
Amúgy cégnél én is proxy-val csináltam még rég, de a fő szolgáltatások csak v4-en mentek.
-
Tamarel
senior tag
válasz
jerry311
#19274
üzenetére
Szerintem nagy cégnél belül privát ipv4 van, szóval ott a nat alap. Mintahogy szervercserénél is kellhet a nat és a több szolgáltató esetén is.
Ipv6-nál szerintem szintén privát tartomány lehet a jó irány, de a kijárat megoldása nem annyira egyértelmű. Gondolom vagy prefix csere-bere vagy proxy.
Az ebből egy eszközre egyszerűsített logikai megoldás a kérdés.Ha a szolgáltatói ipv6 címet leengeded az eszközeidre és egy belső másolás épp azzal megy, akkor az internet / ipv6 cím eltűnése megszakítja a kapcsolatot. Láttam, kösz nem kérem.
-
jerry311
nagyúr
válasz
Tamarel
#19266
üzenetére
Pont úgy, mint nagyobb cégek a publikus IPv4 tartományukat:
Ott egy jól beállított tűzfal és kész.Amúgy meg, a modern támadások úgyis arra mennek rá, hogy valamire kattintasz, nem a tűzfalat hekkelik kívülről.
Nyilván ha valaki tárva nyitva hagyja az ajtót, akkor lehet megtalálja egy script kiddie. -
#19273
Tamarel
senior tag
lionhearted
#19262
Tamarel
senior tag
válasz
lionhearted
#19262
üzenetére
- csupasz sebesség 941 Mbps
- wireguard 830 Mbps
- speed.cloudflare.com 882 MbpsConnected via IPv6
Server location: Budapest
Your network: Digi TV (AS20845)
Your IP address: -
#19271
adika4444
addikt
E.Kaufmann
#19270
adika4444
addikt
válasz
E.Kaufmann
#19270
üzenetére
Nem NAT-ol v6-on a Telekom. Értelme sem lenne
az persze lehet, hogy szűrik a bejövő kapcsolatokat, de ezt is kétlem, révén perpill is működik rendben a távoli elérés.A prefixcserés dolog örömteli, már csak suffix-re alkalmazható tűzfalszabály és IPv6 offload kellene. Nem állnak, csak lassan vacakolnak, 2030-ra talán a RouterOS is birtokában lesz ezeknek a képességeknek
Szerk: Az is kérdés, a ROS7.9-be érkező újítás vajon letudja-e kezelni a PPPoE újraépülést ami új IPv6 prefix-et ad DIGI és Telekom esetében, viszont ehhez a DHCPv6 klienst újra kell indítani.
-
#19270
E.Kaufmann
veterán
Gyurka6
#19268
E.Kaufmann
veterán
válasz
Gyurka6
#19268
üzenetére
Mármint a telekom NAT-olt V6-ot ad
(mert hogy én otthon magamnak NAT-olok és van-e értelme vagy nincs, más kérdés)
Még jó, hogy Digis lettem/maradtam
Amúgy működik Mikrotik 7.8-al a prefix translation is, csak src/dst-NAT helyett netmap-ot kell beállítani és tartományt adni. DHCP kliensben betettem egy scriptet, ami befrissíti a szolgáltatói tartományt a szabályban.
Ja a 7.9-ben meg megjelent egy ilyen, ami segíthet prefix cserénél (idézet a fórumából):
*) ipv6 - send out RA packet with "preferred-lifetime" set to "0" when IPv6 address is deactivated;
- I hope this not only happens when the address is deactivated but also every time the address is changed, like when a new address from a pool is assigned.
-Yes it does.I have tested it successfully in my lab, changed the globally assigned prefix, router sends out RA with 0 to clients for old prefix.
Long story, but finally, no workaround scripts necessary anymore, Thanks Mikrotik! -
#19269
lionhearted
őstag
Tamarel
#19264
válasz
Tamarel
#19264
üzenetére
Sima IPv6 internet route sebesség, ami érdekel, nem kell extra VPN rá. A hap ac2 ilyen 300mbps körül karcolt, hátha hasonló mértékben gyorsul az ax abban is.
Mivel van rajta tűzfal, nem feltétlenül látszódik kifele az eszközök, max IP szinten követhető értelemben és mértékben.
-
kammler
senior tag
válasz
Tamarel
#19266
üzenetére
Mondjuk most jut eszembe, azt nem tudom, hogy mikrotikkel használható-e, csak rávágtam hirtelen, hogy ad IPV6-ot. Nekem is csak úgy lett IPV6, hogy érdeklődtem telekomnál, vajon megy-e már élesben az IPV6 náluk. Erre a mikrotik első rúgásra kapott, osztott IPV6-ot mire hazaértem. Nem kértem, csak érdeklődtem, hát erre bekapcsolták. mondjuk ki lehet kapcsolni.
-
#19264
Tamarel
senior tag
lionhearted
#19262
Tamarel
senior tag
válasz
lionhearted
#19262
üzenetére
Nem tudok ipv6os vpn szolgáltatóról.
-
#19262
lionhearted
őstag
Tamarel
#19260
-
Staradder
tag
Halli
Két router közt vacillálok hap ac3 és a hap ax2
Teljesítményben az utóbbi jobb, viszont nekem fontos a wifi is. Az elsőnek van 2 db külső antennája ehhez. Mennyit számít ez wifi lefedettség terén?
Van valami tapasztalat erről hogy a belső antennás mikrotikek ezzek az újabbak között mennyire és mire jók?
Köszi -
#19259
Reggie0
félisten
E.Kaufmann
#19257
Reggie0
félisten
válasz
E.Kaufmann
#19257
üzenetére
Az a vicc, hogy 1 fodem es lepcsohazon keresztul 60MB/s megy nekem 4 chain-es ac1566-al.
-
#19257
E.Kaufmann
veterán
lionhearted
#19256
E.Kaufmann
veterán
válasz
lionhearted
#19256
üzenetére
Háát igen. Asus AP (AX53U) - asztali PC között is szobán belül ha 80 MByte/s-al másolok NAS-ról AX-es wifin, az már naggggyon jó. De még nagyobb wifi sebességnél sincs sok haszna, az pont arra jó, hogy stabilan ki lehessen venni gigabitből a maxot.
-
#19256
lionhearted
őstag
pitiless
#19254
-
yumme
csendes tag
Sziasztok,
500M DIGI net optika, Huawei HG8121H bridge-be átrakva
400M van nagyon max kihasználva
routing szabályok alapvetően tiltóak
kbmax 50 gépes iroda,
1G-s intranet
kb 10 VLAN -al
kb 10 állandó kapcsolatú OpenVPN kliens (irodai jellegű forgalom)+ újdonság hogy legyen mobilinternet backup ha a DIGI megpusztul
OPNsense alól ki akar pusztulni a hardware, milyen Mikrotik-et javasoltok helyette?
mennyire lenne nagy bűn CRS326-ot használni? (kiütne egy öreg VLAN-ozós smart switch-et meg az OPNSense 1U-s ősöreg Dell szerverét)
-
#19252
Audience
aktív tag
E.Kaufmann
#19250
Audience
aktív tag
válasz
E.Kaufmann
#19250
üzenetére
Én már egy ideje egy CHR-en ami Synology-n fut feltettem egy pihole-t, kíváncsiságból. El is felejtettem, hogy ott van, gond nélkül megy már egy ideje.
-
#19251
MasterDeeJay
veterán
Reggie0
#19249
-
#19250
E.Kaufmann
veterán
MasterDeeJay
#19248
E.Kaufmann
veterán
válasz
MasterDeeJay
#19248
üzenetére
TanyaCsenölön mutatták, hogy pl a PiHole már feugrik combosabb Mikrotik routerre is Docker-ben, bár én inkább a NAS-ról futtatom.
Tudom, nem feltétlen káros oldal szűrő (lista függő) és a Docker-t is hol kiveszik, hol visszarakják a ROS-ba, csak mint egy esetleges jövőbeli irány. -
#19248
MasterDeeJay
veterán
Multibit
#19247
-
#19247
Multibit
nagyúr
MasterDeeJay
#19246
Multibit
nagyúr
válasz
MasterDeeJay
#19246
üzenetére
-
#19246
MasterDeeJay
veterán
Ismertek valami frissen tartott szűrőt kártékony oldalak ellen? (vírusok, adathalász oldalak, esetleg kamu hírportálok stb)
RB3011-es van alig kihasználva, jó lenne valamit beállítanom rá. -
Apollyon
Korrektor
válasz
zsolt008
#19241
üzenetére
Régen sokat openwrt-ztem, mert amúgy az egyik legjobb OS routerre, pláne a gyárik helyett. Viszont a routerOS-sel stabilitásban nem veszi fel a versenyt tapasztalatom szerint. Előfordulhat olyan otthoni hálózati igény, amikor az openwrt jobb választás lehet a routerOS-nél, de arra amit írtál, nem. Pláne nem úgy, hogy a hexen nincs is rádió.
-
zsolt008
tag
válasz
E.Kaufmann
#19242
üzenetére
köszi, persze, azért a különbségért én sem ugranék bele, de azért kérdeztem valaki használ(t)-e ilyet, mert hátha megéri másért...
-
#19242
E.Kaufmann
veterán
zsolt008
#19241
E.Kaufmann
veterán
-
zsolt008
tag
sziasztok, openwrt-t használ valaki routeros helyett?
láttam valami video-t (verziókra most nem emlékszem), ott az openwrtvel kicsivel jobban teljesített a mikrotik hex - nagyobb átvitel, kisebb cpu/mem használat mellett.
persze nem tudom, mennyire volt elfogulatlan a teszt, szóval van valami vélemény tapasztalat? -
adika4444
addikt
válasz
MaCS_70
#19239
üzenetére
Ha a passtrough az első porton megy, szerintem a 2. port IP-címezhető, azon tehát eléred. HA pedig ezt rákötöd a mögöttes ASUS egyik LAN portjára, olyan címet adsz a MikroTik-nek ami beleesik az ASUS LAN-ba (de a DHCP pool-ba nem), akkor akár a VPN-en át is kezelheted a MikroTik-et , ha hozzáférsz az ASUS LAN-hoz.
-
#19239
MaCS_70
félisten
lionhearted
#19236
válasz
lionhearted
#19236
üzenetére
Sajnos nincs VLAN-képes hálózati eszköz a Mikrotik körül, de amint nézem a leírást (rettenetesen elfelejtettem az eszköz alapvető kezelését is...) két Ethernet-port van rajta. A nem használt kettes számún nem tudok bejutni a konfiguráláshoz/frissítéshez?
Keresgéltem az mgmt-re, de tavaly szeptemberi és 2021 decemberi utalást találtam csak rá, de nem igazán ilyen kérdésre irányult.
Köszönettel: MaCS
-
-
Beniii06
addikt
válasz
MaCS_70
#19230
üzenetére
"Érdekes egyébként, hogy az azonos (Yettel) toronyra Huawei routerrel csatlakozó egyik szomszédnál is legalább egy alkalommal pont akkor volt leállás, mint amikor az én Mikrotikem elbodta a kapcsolatot"
Ez esetben nem biztos, hogy nálad van a hiba. Tudomásom szerint a Yettel országosan modernizálja a hálózatát az elmúlt időszakban, több frekvenciát kapcsolnak be és tornyonként haladnak.Ilyen fejlesztések és karbantartások miatt is lehet kimaradás, több információt a Yettel szolgáltatós topikban olvashatsz. Ilyen kimaradás esetén jó a watchdog, amit írtak korábban. Beállítod, hogy pingeljen mondjuk 10 percenként egyszer egy adott IP-t és ha nem kap választ, akkor induljon újra a Mikrotik például.
-
#19236
lionhearted
őstag
Lenry
#19235
-
Oké, de ezt hogyan?
A távoli elérés adott, hiszen ezt a célt szolgálja: a mögötte dolgozó Asus routert elérem Wireguardon és OpenVPN-en. De magához a Mikrotikhez nem ismerek hozzáférési módot úgy sem, ha ott vagyok helyben -- mindaddig, amíg benne van a SIM-kártya.
Köszönettel: MaCS
-
Megkéred a routert, hogy csatlakozzon be hozzád valami VPN-en és úgy el tudod érni a lelkét.
-
Logikus, köszi!
Ha ott leszek, megnézem.
Csak tényleg az a szívás, hogy (tudtommal) csak úgy férek hozzá magának a routernek a rendszeréhez, ha az Etherneten beenged. Ehhez pedig az kell, hogy teljes életnagyságban ott legyek, odamásszak, leszedjem a hátulját, kierőszakoljam belőle a SIM-kártyát (hogy átálljon routerüzemre) és így csatlakozzak hozzá egy PC-vel. Mindezt persze mindenképpen meg kell tennem, ami nem nagy öröm -- csak jobb lenne, ha valahogy enélkül az akrobatika nélkül, noch dazu esetleg távolról is bele tudnék nézni a lelkébe.
Kérdés: ezt jól tudom, ez tényleg így van? Jelenleg ugye LTE -> Eth passthrough van üzemben.
Köszönettel: MaCS
-
válasz
Beniii06
#19229
üzenetére
Igen, köszönöm, ezek nagyon jó meglátások. A UPS-ből és a tápegységből is van pótdarab, tudom csereberélni őket -- mindenesetre nem lesz egy gyors menet, miután minimum hetek telnek el a leállások között.
Érdekes egyébként, hogy az azonos (Yettel) toronyra Huawei routerrel csatlakozó egyik szomszédnál is legalább egy alkalommal pont akkor volt leállás, mint amikor az én Mikrotikem elbodta a kapcsolatot -- csak ő ott volt és számára amúgy sem annyira fontos a kapcsolat.
Köszönettel: MaCS
-
-
#19228
MaCS_70
félisten
lionhearted
#19209
válasz
lionhearted
#19209
üzenetére
lionhearted, e.Kaufmann, jerry311, nagyon köszönöm a válaszokat!
A GSM-vezéret konnektorokkal már próbálkoztam. Két négyes elosztós GSM-egységem is van, nem is voltak olcsók, de konkrátan egyik sem működik. Vagy én csinálok valamit rosszul, de ez azért valószínűtlen, mert nem hülye emberkékkel közösen sem tudtuk őket működésre bírni -- bár azért él bennem a gyanú, hogy a használati utasításuk egy kicsit másik típushoz készült...
A FW sajnos nem friss, aminek az a prózai oka, hogy régen jártam személyesen az eszköznél. De régebben nagyon stabilan működött, csak az utóbbi hónapokban jelentkeztek a leszakadások. (Amúgy agyrémnek tartom, hogy csak úgy tudok csatlakozni hozzá, ha fizikailag eltávolítom belőle a SIM-kártyát, ami nem egy egyszerű művelet...)
A Watchdog tanulmányozását, jelentem, megkezdtem! Remélem, hogy pár héten belül akár mindhárom módszert alkalmazni tudom!
Köszönettel: MaCS
-
#19226
E.Kaufmann
veterán
zsolt008
#19225
E.Kaufmann
veterán
válasz
zsolt008
#19225
üzenetére
DMZ kifejezést sok konfigra láttam, de ami biztos, NAT-on keresztül (hiába van portátirányítás, mert pl PPTP nem is TCP/UDP alapú) a WireGuard, SSTP vagy OpenVPN lesz a te barátod.
Ezeknek elég a szerver oldalon egy portot átirányítani, a kliens oldalon meg semmit nem kell tenni NAT mögött.Én egy bizonyos irodai eszköz táveléréséhez készítettem fel annak idején egy ilyen kisebb routert. Egyik portjára ment az eszköz, a másikat a helyi bármilyen internetbe bedugtuk, ha onnan kapott címet/átjárót DHCP-n, már a rajta futó SSTP kliens fel is csatlakozott és a mögöttes eszköz a központból elérhető volt. Nem kellett a kisirodai infrán semmit állítgatni, plugenpléj volt a dolog
, (kellett is, mert messze voltak...) -
zsolt008
tag
válasz
E.Kaufmann
#19224
üzenetére
köszi. igen tudom a konfigja bonyolultabb mint egy pl. asus-é, de talán megbirkózom vele, meg majd kérdezek, ha nem megy. az adatfolyam biztonsága miatt nem aggódom, egyébként meg dmz-ben van a 2 végpont.
-
#19224
E.Kaufmann
veterán
zsolt008
#19223
E.Kaufmann
veterán
válasz
zsolt008
#19223
üzenetére
Tud (legalább is most rájelentkezve ott van ennek is a felületén a PPtP a PPP részleg alatt, de nem meglepő, maga a RouterOS viszonylag egységes, kérdés, mit bír el belőle adott HW).
De én kapásból kettőt vennék (spórolva a szállítási díjjal, ami ezek árához képest már érezhető tétel ), összelőném őket valami frissebb protokollal, mert ugye a tartósságnak az is feltétele, hogy ne nyomják fel .
Nem nagyon fogdostam, melegszik, mint egy átlag okostelefon normál töltés mellett, de a friss levegő sokat számít az élettartamnak
Én amiatt jobban aggódnék a helyedben, hogy fel tudom-e konfigolni, mert egy kicsit pilótavizsgás a RouterOS, bár a Quick Set beállítások sokat segítenek, de a VPN beállításában pl magad maradsz. -
zsolt008
tag
válasz
E.Kaufmann
#19221
üzenetére
szia, köszi. szóval pptp-t tud még?
azt szeretnék, mert a kliensben nincs wireguard, az openvpnhez meg gyenge, és nem is kell, hogy küzdjön a proci.
aztán ha beválik, lehet lecserélem a klienst is egy ilyenre...
ja, mennyire melegszik? (minimált terhelés mellett is már meleg?) -
zsolt008
tag
5 év alatt egy 20 millió forintos cucc tápja, alaplapja is elhullhat, és erre a feladatra nem értelmezhető az elavuló hw és a gondozás sem.
most 2db 10+ éves eszköz látja el probléma nélkül a fenti feladatot, mindkettő soho kategóriás, és nincs szem előtt, gondozásmentes. nyilván nem örökéletűek, ezért szeretnék egy biztonsági cserét. -
#19221
E.Kaufmann
veterán
zsolt008
#19219
E.Kaufmann
veterán
válasz
zsolt008
#19219
üzenetére
Nekem van ilyenem, most a garázsban szórja a netet. Ha jól szellőző helyen van, akkor a hw talán bírni fogja az 5 évet (enyém 4 éves) PPtP helyett talán menne vele a Wireguard is, azzal lehet jobban járnál. Ha nem számít a titkosítás akkor még nyugodtan ki is lógathatod a portokat
![;]](//cdn.rios.hu/dl/s/v1.gif)
(csak viccelek!!!)
Ami felesleges (Wifi, IPv6, Powerline támogatás!!! speciális adapteren át) azokat meg lelőném, mert kevéske a memóriája. -
-
zsolt008
tag
sziasztok,
erről a cuccról kérnék infót: Mikrotik RB931-2nD.
tudom, kb. a legbeszálóbb szint, de viszonylag egyszerű dologra szeretném, 2 lakás összekötésére vpn-en. Pptp-vel(!) mert nem számít a titkosítás, és a kliens gyenge. Max 50Mbps lenne az átvitel (upload max).
szóval a kérdéseim: tudnak még pptp-t a mikrotik cuccok?
a fenti kis router tudja a felsorolt pár dolgot?
azt szeretném, hogy az ember beteszi a szekrény aljára, aztán nem néz rá a következő 5 évben, működik, nem melegszik, áramszünet után automatikusan újraindul és megy, stb..., teljesen gondozásmentes.
vagy ettől ez túl nagy elvárás?
köszi -
#19218
lionhearted
őstag
E.Kaufmann
#19217
válasz
E.Kaufmann
#19217
üzenetére
Általában befelé engedélyezni szokták alapból. Lehetséges olyan szkenárió, hogy az egyik porton 100 megás linket tudsz csak felépíteni, de körülötte 1G lesz. Nekem pl van egy ilyenem, pont cap AC-val, 100M az uplink egy szakadt kábel miatt... de az AC wifi nyilván tudna többet. Flow control nélkül nincs 100M se az átvitel.
Illetve a mikrotik switcheken kifelé is gyakran engedélyezve van a flow control. -
#19217
E.Kaufmann
veterán
E.Kaufmann
veterán
Van egy CAP AC, amit routernek használok. Nem mintha bajom lenne vele, de próbálom reszelgetni. Azt néztem, hogy a switch chip beállításainál be van kapcsolva a CPU flow control. Van arra szükségem? Két gigabites port van meg egy 2Gbps kapcsolat a CPU fele (blokkdiagram szerint), tehát elvileg annyira le se tudnám dugítai, hogy csomagok/keretek vesszenek el.
A Mikrotik "megszokásból" kapcsolta be ennél a modelnél is (mármint egy alapértelmezett biztonságos beállítás a legtöbb típusra), vagy van még valami jelentősége? -
#19216
snorbi82
senior tag
E.Kaufmann
#19211
snorbi82
senior tag
válasz
E.Kaufmann
#19211
üzenetére
+1. Nekem is ez oldotta meg (több eszköznél is).
-
#19213
E.Kaufmann
veterán
Pille99
#19212
E.Kaufmann
veterán
válasz
Pille99
#19212
üzenetére
Első guglizás alapján kábelhiba, de akár az optikai modulok hibája is lehet, ha az optikai szálat és csatlakozókat nem bántotta senki, az SFP modulokra gyanakodnék. Láttam már döglöttet, egyik épülettel megszakadt a hálózati kapcsolat, modulcsere lett a megoldás, a rosszat meg nekemadták
. De hátha jön egy tapasztaltabb emberke. -
#19209
lionhearted
őstag
MaCS_70
#19208
-
Üdvözletem!
Adott egy Mikrotik SXT LTE 4G modem+router. Egy távoli, általában nem elérhető helyen biztosítja az internetelérést.
A gond az, hogy havonta egy-két alkalommal eldobja a netkapcsolatot. Ilyankor egy nagyon körülményes + esetleges + hosszadalmas eljárással úgy tudom helyreállíttatni a kapcsolatot, hogy lényegében áramtalanítom és visszaadom a tápfeszültséget. (Azért körülményes, mert oda kell küldeni valakit a környékről, mégpedig kétszer, mivel UPS van, és meg kell várni, hogy lemerüljön.)
A kérdés, hogy van-e arra lehetőség, hogy az eszköz magát indítsa újra, amikor észleli, hogy megszakadt a netkapcsolat.
Köszönettel: MaCS
-
#19206
winbox
senior tag
E.Kaufmann
#19205
winbox
senior tag
válasz
E.Kaufmann
#19205
üzenetére
Megnéztem az asus-t, szerencsére tudja a vlan-t. Délután megpróbálom akkor majd én is 2 vlannal, ahogy írtad. Köszi!
-
#19205
E.Kaufmann
veterán
winbox
#19204
E.Kaufmann
veterán
válasz
winbox
#19204
üzenetére
Én pl VLAN-oztam (NEM WLAN!!!) Volt egy VLAN a menedzsment felületnek egy másik meg magának a passtrough-nak. Amúgy működött mikrotikek közt az is, hogy csak a menedzsment hálót jelöltem meg VLAN tag-gel, de más gyártó routere nem szerette, csak úgy működött, ha mindkét hálónak volt saját VLAN-ja. Viszont vagy a routernek vagy egy köztes switchnek szét kell választania a forgalmat, ha nem támogatják, akkor IJ.
-
winbox
senior tag
Sziasztok! Szüleimhez vettem egy Mikrotik LHG LTE18 routert. Van mögötte egy Asus wifi router, így beállítottam az LTE Passthrough-t az asus wan mac címére, meg is kapja a szolgáltatói IP-t, ahogy kell. Viszont ugye ilyenkor nem érem el az LHG kezelőfelületét, így az lhg mögé tettem ideiglenesen egy switchet, és rádugtam egy másik gépet, arról ugye MAC cím alapján elérem az LHG-t, viszont a lényeg az lenne, hogy simán IP címről is elérhessem az asus lan tartományából a kezelőfelületét. Gondolom az lte passthrough miatt van az, hogy hiába adtam meg az address-nél egy ip-t az lhg-nek, winbox azt nem is látja még így sem, hogy egyből mögötte vagyok és továbbra is csak MAC alapján tudok csatlakozni. Tudtok ebben segíteni?
-
#19203
Reggie0
félisten
E.Kaufmann
#19198
Reggie0
félisten
válasz
E.Kaufmann
#19198
üzenetére
hw offloadingos layer 3 routingot teszteltunk vele.
Ehhez viszont kell a 2 default route.
Mondjuk egy astabil multivibratoros villogot egesz jol megtervez, de komplex cuccoknal sok feketedoboz lesz benne.
(mert hogy én otthon magamnak NAT-olok és van-e értelme vagy nincs, más kérdés)
![;]](http://cdn.rios.hu/dl/s/v1.gif)
(csak viccelek!!!)
Új hozzászólás Aktív témák
Hirdetés
ekkold
- ÁRGARANCIA!Épített KomPhone Ryzen 7 7700X 32/64GB RAM RTX 5070 12GB GAMER PC termékbeszámítással
- Bomba ár! Dell Latitude E6500 - Intel P8600 I 3GB I 160GB I DVDROM I 15,4" WXGA+ I Garancia!
- ÁRGARANCIA!Épített KomPhone i5 14600KF 32/64GB RAM RTX 5070 12GB GAMER PC termékbeszámítással
- Gyors, Precíz, Megbízható TELEFONSZERVIZ, amire számíthatsz! Akár 1 órán belül
- ÚJ Lenovo ThinkPad X13 Gen 5 - 13.3" WUXGA IPS - Ultra 5 135U - 16GB - 512GB - Win11 - 2,5 év gari
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: CAMERA-PRO Hungary Kft
Város: Budapest