- Motorola Edge 40 - jó bőr
- Megjelent a Moondrop audio-fókuszú telefonja Kínában, lesz globális verzió is
- Sony Xperia 10 IV - műanyag újracsomagolás
- Indiában startolt a Poco X6 és X6 Pro
- Apple AirPods Pro (2. generáció) - csiszolt almaságok
- Vodafone mobilszolgáltatások
- Honor Magic6 Pro - kör közepén számok
- Samsung Galaxy A53 5G - kevesebbet többért
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Xiaomi 14 Ultra - Leica hercegnő
Hirdetés
-
Hosszabb bemutatót kapott a Steel Seed
gp A PC-re és konzolokra szánt teljes kiadás valamikor idén debütál, pontos dátumot még nem kaptunk.
-
Világító alma helyett világító tok és szíj az almákra
ma Megjelent a Glow 2.0, a Nomad fluoreszkáló iPhone védőtokjának és Apple Watch szíjának második generációja.
-
Grafikus jellegű munkára szánt AOC monitorok a megfizethetőbb szegmensben
ph A cég három kijelzővel jelentkezett, amelyek portfelhozatalukból kifolyólag dokkolóként is működnek.
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
n_atsi
tag
Sziasztok!
Egy egyszerű kérdés!
/ip firewall address-list-el tiltanám a youtubet-!
Miért nem sikerül! Ugyanezzel a szisztémával a facebookot, stb. Le tudom tiltani, a youtubet- miért nem?
A neten fellelhető youtube ip cimeket tiltom, mégis bejön az oldal!
Valaki tudja melyik ip-t kellene még tiltanom?
mások megoldás lenne a Layer 7 protocol szűrő!
^.*(youtube.com).*$
nekem ez sem működik!
Leírná valaki szájbarágósan, hogy tudnám letiltani a k...a youtubet?
RouterOS v6.43.5 (stable)
Köszönöm!
[ Szerkesztve ]
-
Core2duo6600
veterán
Ezt tedd be a layer 7 alá, és utána tudod tiltani.
Annak idején találtam valahol és mxik, se gépen, se telon (android )nem megy.^.+(youtube.com|www.youtube.com|m.youtube.com|ytimg.com|s.ytimg.com|ytimg.l.google.com|youtube.l.google.com|i.google.com|googlevideo.com|youtu.be).*$
[ Szerkesztve ]
Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430
-
válasz #42556672 #8702 üzenetére
az, hogy a routeros-ben a proci látja a hozzá bejuttatott hálózati kártyát + a rájuk húzott bridge interfészt is, teljesen normális. az is, hogy a cdpr szerver mindegyiken pofázik.
linux alatt egy csatolónak több mac címe is lehet, akár csomagonként változhat a mac cím és minden címhez több ip cím is tartozhat.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
válasz #42556672 #8705 üzenetére
az állításod azt a téves feltételezést tartalmazza, hogy ip alapú protokollról beszélünk, ahol az ip a protokoll része. a valóság ezzel szemben az, hogy l2 protokollról beszélünk, ahol a protokollon belüli adat része az ip cím.
a ros linux.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
#42556672
törölt tag
-
válasz #42556672 #8707 üzenetére
és a válasz is.
a cdpr minden számára elérhető interfészen broadcastol pár információt az eszközről, ezért a bridge interfészen is, meg a bridge port interfészen is broadcastolt, és belerakta az adatcsomagba, hogy az adott eszköz egyébként x címen érhető el. az a táblázat nem arról szól, hogy y mac címhez x ip cím érhető el.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
#42556672
törölt tag
válasz bambano #8708 üzenetére
A broadcast a bridge minden portján kimegy, másként nem is lehet hiszen a brige - a régi master interface- egy virtuális reprezentáció. A bridge slave interface MAC addresse nem jelenik meg a bridge-en kiküldött csomagokban. Így a látott kép bug.
A kérdés ez volt" Valamit nem jól állítottam be, vagy ez normális így?"
-
Marcelldzso
tag
válasz Core2duo6600 #8700 üzenetére
Az nekem nagyon sok lenne. Jelenleg a 4011-el szemezek.
Srácok ránéznétek a port forwardomra?
Hairpint szeretnék beállítani, működik is, viszont kívülről is nyitva vannak a szerver portjai. Pl a 22-es vagy a 9091-es.Mit rontok el? Szeretném megérteni a problémát.
Azt szeretném elérni, hogy bentről is a wan oldali porton tudjak csatlakozni belső szolgáltatáshoz.
Így a laptop amin van transmission is működne a dns.hu:8085-ös porttal is./ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=HTTP dst-port=80 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.200 to-ports=80
add action=dst-nat chain=dstnat comment="rPI HTTP" dst-port=8090 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.31 to-ports=80
add action=dst-nat chain=dstnat comment=HTTPS dst-port=443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.200 to-ports=443
add action=dst-nat chain=dstnat comment=Torrent dst-port=8085 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.200 to-ports=9091
add action=dst-nat chain=dstnat comment=OpenVPN dst-port=1194 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.200 to-ports=1194
add action=dst-nat chain=dstnat comment=SSH dst-port=8022 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.200 to-ports=22
add action=masquerade chain=srcnat comment=HairPin dst-address=192.168.1.200 dst-address-type="" dst-port=80,443,8085,1194 out-interface=bridge protocol=tcp src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment="HairPin .2" dst-address=!192.168.1.0/24 dst-address-type=local protocol=tcp to-addresses=192.168.1.200[ Szerkesztve ]
-
#42556672
törölt tag
válasz Marcelldzso #8713 üzenetére
3 chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.xxx out-interface=bridge dst-port=xx log=no log-prefix=
8 chain=dstnat action=dst-nat to-addresses=192.168.1.xxx to-ports=xx protocol=tcp dst-address=!Router LAN IP dst-address-type=local dst-address-list=WANIP dst-port=xx log=no log-prefix=
Ha megnézed, szerintem látni fogod, hogy hol rontottad el. A DST NAT-nál megadod a portot amire a hairpin-t beállítod.
Az address list-ek közé vegyél fel egy pl. WANIP=FQDN (FQDN=a dinamikus DNS -ben megadott név) és In interface-t ne adj meg mert ez nem a PPPoE interface-en jön be hanem LAN oldalról.
A szabályokat tedd a fasttrack elé.Szerintem ennyi.
-
#42556672
törölt tag
Az IP neighbour-nél lévő lista nem egyezik a WinBOX neighbour listájával. Ott kiszűri a slave interface-eket alapesetben. Ezért gondolom BUG-nak amit a kollega mutatott.
Az IP Neighbour listában a duplikátumokat pedig a "discovery settings" helyes beállításával lehet rendbe tenni.
[ Szerkesztve ]
-
senior tag
válasz #42556672 #8715 üzenetére
Port Security témakör
Eddig erre "csak" az ARP témakört találtam, ismerem. Az adott interfészen "Reply-Only" majd töltsem ki az ARP táblát. Egy Miki esetén még elviselhető munkának látom (bár ez is embere és türelme válogatja) De egy nagyobbacska hálózaton - 10-20 Miki - már elég melós témának érzem. Nyilván lehet játszani exportálással egy "globális" konfigot, és azt átmásolgatni a többi Mikire, de...
Valaki csinált már ilyet?
Ráadásul 10-20 Miki központi kezelése sem megoldott teljesen. Erre eddig a MupsBox-ot találtam, amit már elfogadhatónak kezdek érezni. -
senior tag
válasz #42556672 #8717 üzenetére
Első körben mondjuk csak adott MAC című eszközök csatlakozhassanak a hálózathoz (nyilván ehhez lesz majd egy lista).
Jelenleg csak vezetékes eszközökről beszélgetünk.
Még nem tudom pontosan mit is szeretnének, mi lenne a konkrét elvárás. Egyelőre keresgetek, olvasgatok a témakörben.[ Szerkesztve ]
-
adika4444
addikt
Hali! Na, hát teszterkedtem kicsit a hAP ac^2-n IPv6 témában. Beállított DHCP szerverrel természetesen nem megy, bár látszólag minden oké. Ha az address-nél az advertise-t yes-re rakom azonnal kapnak címet a kliensek, csak nem látszanak a DHCP szervernél, és természetesen nem is az általa megadott lejárati idővel dolgoznak.
Szóval cikis picit a MikroTik DHCP szerver része. Én most ki is kapcsoltam, csak a szívás megy ezzel így.üdv, adika4444
-
senior tag
-
HARDVERAPRÓD
válasz Marcelldzso #8713 üzenetére
Szia. Bátran ajánlom a 4011-et, hozáátéve, hogy kizárólag a vezetékes modelljét. Vissza kellett küldenem a wifi-s változatot. Ezzel viszont nincs problémám. Net: Digi optika 1000/300. A wifi-t meg EZZEL oldottam meg. Ez a páros nekem otthoni környezerben hibátlanul megy
-
byson55
tag
Hello, segítségre volna szükségem, ha jól gondolom script ügyben. Mikrotik router, usb stick. A beérkező sms-eket szeretném akár sms-ben, akár e-mail-ben továbbküldeni, automatikusan. Csinált valaki ilyet? Hasonlót? Tudnátok segíteni? Script még nem az én világom... köszönöm előre is!
-
Core2duo6600
veterán
válasz Marcelldzso #8713 üzenetére
Tudtommal ugyanaz a cpu van benne mint a ahx4 1100 asban
Wifi nélkülit válassz úgy a biztos.Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430
-
Szirtimorc
aktív tag
Csak hogy visszataláljak.
-
snorbi82
senior tag
válasz Core2duo6600 #8727 üzenetére
Uhh. Köszönöm! Majd neki is látok.
Jelen pillanatban azon küzdök, hogy a facebook-ot tiltsam (PC-n nem is elérhető) Android, ill IOS-en is. De valamiért a roh@dék még mindig betöltik a facebookot.IPhone 15 Pro Max, Iphone 13
-
n_atsi
tag
válasz Core2duo6600 #8703 üzenetére
Köszönöm, de nekem így sem sikerül!
Semmilyen neten található leírás alapján nem tudom letiltani a youtebe-tA face-t és mást igen, csak a k...va youtubet nem !
Próbáltam Layer 7 és Address list alapján is! Gondolom én vagyok a hülye hozzá!
-
traders
tag
Sziasztok!
Olyan problémám lenne hogy ExpressVPN-t szeretnék beállítani egy RB3011-re L2TP/IPSec (a router csatlakozik a szolgáltatóhoz).
Minden sikerült, a kapcsolódás is, viszont nagyon lassú (70-80Mbit az 500-ból).
Megnéztem egy gépen a natív alkalmazással és ott minden jó (450/500Mbit), tehát nem a nettel van a gond.
A teljes CPU 40-50% (speedtestnél), a profilban található értékek is stimmelnek (a CPU0 20-30% a CPU1 10-20% a többi érték 1-2%).
Direkt csináltam egy teljesen alap beállítást, tehát semmilyen filter/nat szabály nincs (natnál egy masquerade csak), illetve próbáltam fasttrack-et, de azzal sem gyorsult.
Ahogy olvasgattam a megoldás után láttam hogy CCR1009-eseket ajánlják inkább, viszont hivatkoznak erre az oldalra ahol megtalálhatóak azok a modellek amik támogatják a hardveres titkosítást (a 3011 rajta van) megnéztem a mért adatlapokat is, pl a 3011 700-800MBit-re van tesztelve IPSec-el, na most ennek pont a 1/10 része elérhető.
Mit nézek el?Előre is köszönöm!
Az élet olyan nemi úton terjedő betegség, amelynél a halálozási arány 100%
-
Beniii06
őstag
válasz snorbi82 #8729 üzenetére
+(#8730) n_atsi
Volt már korábban hasonló téma megvitatva, van millió 1 féle proxy, vpn, amit ésszerű keretek/erőforrások közt nem tudsz tiltani teljes egészében, csak ha az egész netet lelövöd, de akkor meg ott a mobilnet stb. Olvass vissza, érdemes."Got any other secret weapons?"
-
Core2duo6600
veterán
Ezt a yt tiltó szabályt tedd be legfelülre, nekem ott van, és ha bekapcsolom, akkor sehonnan sem éri el, a telonál, a korábban megnézett anyag látható, de ha törlőd a telon a youtube elözményeket, akkor már süket lesz.
Nálam ez az egy szabály titlja, amire hivatkozik az a
^.+(youtube.com|www.youtube.com|m.youtube.com|ytimg.com|s.ytimg.com|ytimg.l.google.com|youtube.l.google.com|i.google.com|googlevideo.com|youtu.be).*$
ip firewall filter alatt
6 X ;;; Block Youtube Wifi
chain=forward action=drop layer7-protocol=Block Youtube
in-interface=bridge-Wifi log=no log-prefix=""Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430
-
ekkold
Topikgazda
válasz byson55 #8725 üzenetére
Nem írtam még ilyen szkriptet, mert nincs olyan mikrotik eszközöm ami SMS-t kap. De amin elindulhatsz: a script lényegében egy szövegfájl amiben szöveges parancsok vannak felsorolva, ugyanolyanok mint amit terminálban is ki lehet adni. Az SMS-re vonatkozó parancsok a
/tool sms
alatt érhetők el, pl az SMS-ek kiírása:
/tool sms inbox print
Kell egy for ciklus ami végigmegy az inboxban levő SMS-eken, a ciklusba pedig bele kell tenni, hogy mit kezdjen vele, pl.
/tool e-mail send to=cimzett@domain.hu body=sms_szoveg subject=sms
Remélem segítettem valamennyit. Kísérletezz bátran. -
kovyhun
tag
válasz byson55 #8725 üzenetére
Szia,
én ezt használom:
# Script to forward SMS from GSM Modem Inbox to Email #
# Note: The SMS is removed from the inbox after being sent to Email, #
# even if the Email fails to be sent #
# Remember to set up /Tools/SMS with the USB port of your #
# Modem and the info channel. Put anything in secret and #
# make sure Receive Enabled is ticked #
# Tested on Rb751U RouterOS v5.12 with Huawei E367 #
# Peter James 2012-04-04 #
:local EmailAddress "your_email_address";
:local smsPhone;
:local smsTimeStamp;
:local smsMessage;
:local smsContent;
# Get System Identity #
:local SystemID [/system identity get name];
:log info "SMS to Email script started";
# Set Receive Enabled, in case it was cleared by a router reboot #
/tool sms set receive-enabled=yes;
delay 2;
# loop through all the messages in the inbox #
:foreach i in=[/tool sms inbox find] do={
:set smsPhone [/tool sms inbox get $i phone];
:set smsTimeStamp [/tool sms inbox get $i timestamp];
:set smsMessage [/tool sms inbox get $i message];
:set smsContent "Router ID: $SystemID\nSMS Received from: $smsPhone\nDate&Time: $smsTimeStamp\nMessage: $smsMessage";
:log info $smsContent;
/tool e-mail send tls=yes subject="$SystemID GSM Modem SMS Received" to=$EmailAddress body="$smsContent";
# Now remove the SMS from the inbox #
/tool sms inbox remove $i;
delay 10;
}
# clear Receive Enabled, so info channel can be used by other scripts #
/tool sms set receive-enabled=no;
:log info "SMS to Email script complete";(Nem engedi ez az új fórum programkódba formázni)
"Hajszolom a tudást, de ő mindig gyorsabb nálam!"
-
adika4444
addikt
Köszi! Így működik is rendben. Igaz, DIGI-nél a v6 finoman szólva is érdekes, a v4 hátán működik, szóval PPPoE újracsatlakozásnál veszik a tartomány, ki tudja épp mekkora lease-vel. A lease kicsire állítása megkerüli a problémát, de nem hiszem, hogy a legtökéletesebb megoldás lenne ez így...
üdv, adika4444
-
adika4444
addikt
válasz Core2duo6600 #8739 üzenetére
Bejövő kapcsolatokhoz is használom, szóval ez ilyen formán felejtős. Egyébként gondolom csak a related,established csomagokat kéne beengedni, és akkor csak kifelé működne...
üdv, adika4444
-
Sytex
tag
válasz adika4444 #8738 üzenetére
A Digi v6ja tényleg egy vicc (mondjuk nem a v4 “hátán” működik, csak running pppoe-client interfész kell neki). Nem tudnak fix prefixet adni, pénzért sem! Én Hurricane Electric tunnelezek inkább a fix v6 miatt.
- Kártyával lehet fizetni? - Persze. - Egy ászból és királyból tud visszaadni?
-
Sytex
tag
válasz Core2duo6600 #8739 üzenetére
És annak mi az értelme? Csak a routert szeretnéd elérni v6 címen távolról? Másra nem használnád?
Ez sima csiga csak a “WAN” interfeszedre vegyél fel v6 címet, az ND-t sőt az egész icmpv6-ot meg tiltsd “LAN” oldalon.
[ Szerkesztve ]
- Kártyával lehet fizetni? - Persze. - Egy ászból és királyból tud visszaadni?
-
Marcelldzso
tag
válasz #42556672 #8714 üzenetére
Átalakítottam így ahogy mondtad, de nem működik.
Most jelenleg minden kérés a router irányába megy belülről. Kezdek belekavarodni, pedig eddig azt hittem értem a lényegét.
Köszönöm, ha ránézel.add action=masquerade chain=srcnat comment=HairPin dst-address=192.168.1.200 dst-address-type="" dst-port=80,443,9091,8085 out-interface=bridge protocol=tcp src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment="HairPin .2" dst-address=!192.168.1.1 dst-address-list=WANIP dst-address-type=local protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.200
[admin@MikroTik] /ip firewall nat> -
#42556672
törölt tag
válasz Marcelldzso #8746 üzenetére
a dst-nat sorban add meg a portot!
-
Marcelldzso
tag
válasz #42556672 #8747 üzenetére
Köszönöm, így most megy ha kiveszem belőle a
dst-address-list=WANIP
részt.
Viszont így a telefonomon csak 4g-n keresztül látom a transmissiont a 8085-ös porton.
Ezt így kell megadnom?add address=cloud.*****.hu list=WANIP
add action=masquerade chain=srcnat comment=HairPin dst-address=192.168.1.200 dst-address-type="" out-interface=bridge protocol=tcp src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment="HairPin .2" dst-address=!192.168.1.1 dst-address-type=local dst-port=80,443,8022,8085,1194 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.200[ Szerkesztve ]
-
adika4444
addikt
Köszi, regeltem, csináltam új tunnelt, a MikroTik-es parancsok alapján be is lőttem, címeket megkapták a kliensek, de nem megy sajnos, a ping-re valami unreachable-t ír és a HE 216-tal kezdődő címét (pontosan most nem tudom megnézni). Tudom, hogy ez így nem a legtöbb infó, de van esetleg valami ötleted, hogy miért nem megy?
üdv, adika4444
-
Marcelldzso
tag
lehet megtartom ezt az RB750Gr3-at
Új hozzászólás Aktív témák
- Asztrofotózás
- Xbox Series X|S
- Azonnali processzoros kérdések órája
- Luck Dragon: Asszociációs játék. :)
- Politika
- Kínai, és egyéb olcsó órák topikja
- Anglia - élmények, tapasztalatok
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Intel Core i5 / i7 / i9 "Alder Lake-Raptor Lake/Refresh" (LGA1700)
- Óra topik
- További aktív témák...