- Hitelesítették az S26 Ultra csalódást keltő telepét
- Párizsi ősz, új Huawei órák
- Fotók, videók mobillal
- Samsung Galaxy S25 - végre van kicsi!
- Poco F7 Pro - jó, de az amatőr sem rossz
- Samsung Galaxy Z Fold5 - toldozás-foldozás
- Xiaomi 15 - kicsi telefon nagy energiával
- Xiaomi Smart Band 10 - a hetedik napon megpihen
- Samsung Galaxy S22 és S22+ - a kis vagány meg a bátyja
- Megjött a jubileumi Pixel széria
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
mm00
aktív tag
válasz
jerry311
#9898
üzenetére
Iphone-on nem lehet állítani lifetimeot. Mikrotik defaulton van. Amíg csak egy policy volt, akkor úgy tűnt, hogy azután dobta ezt az errort miután a policy foglalt volt már. Tehát ez a készülék jól felcsatlakozott, de másikra már ez a hiba jött. De ha a másik csatlakozott előbb, akkor erre jött a hiba.
Ha a tunnel be van a policy-n nyomva, akkor mindig ez a hiba van.
-
mm00
aktív tag
Sziasztok!
Mikrotik routeren L2TP+IPSec be van állítva, hogy menjen a VPN. Tűzfal szabályok is jók, mert sokszor működik. Viszont néha a logba a következő errorok kerültek és akkor nem is működött a VPN csatlakozás.
A következő error volt a logba csatlakozásonként:
Egyszer: failed to pre-process ph2 packet
Többször: peer sent packet for dead phase2Próbáltam megoldást találni a problémára és talán sikerült is, de nem értem miért. Szerintetek ez helyes?
IP -> IPsec -> Policies és ide felvittem rekodokat, ami számomra úgy tűnik mintha ennyi párhuzamos kapcsolatot engedne egyszerre. Mintha a DST. address-eket automatikusan cserélgetné, ahogy új csatlakozás törtnénik, de nincs rá magyarázatom így miért megy.
Így néz ki: [link]
-
bacus
őstag
válasz
Beniii06
#9890
üzenetére
Miért ne lennék őszinte? A cégem profiljába vág, van jó pár 100 mikrotik amit felkonfiguráltam, számlát is kap a megrendelő, stb. Ezt Kb. 20e Ft / h-val kalkuláltam.
Mondjuk ez egy otthoni felhasználónak nem olcsó, de egy önkormányzatnak, vállalkozásnak? Egy 6-8 cap-os capsmanes wifi, stb konfigurálása is lehet ennyi, pedig az rutin már ehhez képest, vagy egy jó 2 Wan, esetleg 3 wan-os konfigurálás is, pedig arra szinte bejáratott scriptem van
-
bambano
titán
válasz
#65178112
#9888
üzenetére
Először is két részre kell bontani a problémát:
- belső routing: a kliensek meg tudják találni a számukra előírt routert
- külső routingbelső routingot éppen lehetne ospf-fel csinálni, de erre a vrrp való, nem ospf.
vlan egyáltalán nem kell.
azt, hogy a két oldal egymás backupja legyen, meg lehet csinálni
load balancingot további eszközök nélkül lehetetlen megoldani. tehát azt, hogy egy kapcsolat a két bejáraton jöjjön be egyszerre, nem lehet megoldani ezzel a rendszerrel. ennek nagyon egyszerű oka van: az, hogy melyik csomag melyik bejövő kapcsolaton jön be, a túloldalon dől el. amire nincs ráhatásod.a külső routinghoz szerintem nem tudsz se ospf-et, se bgpt használni, mert annak az lenne a feltétele, hogy a szolgáltatói eszköz is beszéljen olyat. nem szoktak. illetve az is probléma, ha két különböző szolgáltatód van, azok egymás rendszereibe nem fognak beleszólni.
-
#65178112
törölt tag
Köszönöm az iránymutatást!
Nem bánom a feladat méretét, mivel úgy érzem ebből sokat fogok tanulni, még ha nem is minden jön össze. Kezdésnek a backup-al indítok, hasonló lesz a felállás ahhoz, mint amit te is leírtál. Hasonlót már próbálgattam korábban, szóval bízakodó vagyok, hogy sikerül legalább ezt megoldani
-
Beniii06
addikt
válasz
#65178112
#9888
üzenetére
A rajzot te készítetted?
Wiki-ből ezt felprogramozni nem nagyon fogod tudni, csak rengeteg idő és energia befektetéssel + különböző fórumokon ha segíŧenek és a siker akkor sem garantált.Az elképzelés jó, de lehet számodra más, sokkal egyszerűbben konfigurálható eszköz után kellene nézned(ha UBNT tud ilyet, nem ismerem részletesen az edgerouter-eket, csak az AP-kat), ha később ezt nem akarod bővíteni, további tűzfal szabályokkal, komolyabb csomagszűrésekkel(akár layer7), vpn, akkor jó lehet az is.
Ezt én vpn-el oldanám meg, fail-over loadbalance-al + pár mangle rule és routing szabállyal, de sajnos a Mikrotik féle vpn nem túl gyors(legalább is nálam), a TCP-s openvpn ~10Mbps-t tud csak, így ha a sebesség is fontos, akkor a vpn helyett EOIP lehet még a megoldás, de azzal többen is problémát tapasztaltak itt a fórumon és nekem sem működött rendesen, stabilan.
-
bacus
őstag
válasz
#65178112
#9888
üzenetére
Megoldható. Kicsit tényleg nem vagy tisztában a rövidítésekkel az az érzésem.
Kicsit zavaros, hogy mit szeretnél, azt írtad otthoni környezet, áthúzol egy kábelt a szomszédhoz? Vagy hogy lesz két isp? Ráadásnak független kellene legyen, mert ha neked is digi van, meg a szomszédnak is, akkor egyszerre nem lesz vagy lesz netetek..
Egyébként megoldható minden. A vlan nem szükséges, de van aki azt mondja a vlan mindig jó ötlet
.
OSPF nem kell, két hálózat esetén azt a plusz két route szabályt fel tudod venni. Ráadásnak nem tudom, hogy cél e, hogy átláss a másik hálózatba oda vissza teljes körűen?A load balancing kicsit bonyolítja a dolgokat
, de az ospf és a bgp biztos nem fog kelleni. a bonding sem erre való, ezt a részt durván el lehet bonyolítani, sok sok mangle szabályt kellhet felvenni, első körben ezt engedd el
A backup vonal egyszerűen megvalósítható, kell pár mangle szabály, pár route szabály és sok sok tesztelés !!!A másik amire gondolj, az a kívülről elérhető szolgáltatások, pl a két isp-n minden elérhető iroda1 és iroda2 web szerverei is, vpn, illetve fordítva is, amire külön kell figyelni, hogy pl egy mail szervernek elég káros, ha mindkét net fele kimehet (és nem fix az ip, és nem jó a reverse dns, stb) így a backup vonal pl ebben a tekintetben nem lehet teljes körű...
A jó hír, hogy én megcsináltam, működik a gyakorlatban is. Az irodai dual wan-os routert mikrohullámon össze kötöttem a testvérem otthoni lakásával, így ha elmegy a net (mind a kettő), akkor kiláthatunk a tesóm netjén keresztül. (a mail szerver nem) Mivel neki dinamikus ip címe van, kívülről nem elérhető semmi. Fordítva viszont, amikor a tesómnál megy el a net, észre sem veszi, simán van netje az irodai átjárókon.
Sok sikert kívánok a beállításokhoz, tényleg nagy fába vágtad, ezt felprogramozni, ha pl engem bíznál meg az alap feladattal az nem állna meg 100e nettó alatt, de lehet ennek a többszöröse is, ha még jönnek menet közben különleges kérések.
-
#65178112
törölt tag
Sziasztok!
Kis útmutatást szeretnék kérni tőletek, fogalmazódik bennem egy kis otthoni hálózat fejlesztés mikrotikkel megfűszerezve, de nagy fába vágnám a fejszém, főleg a jelenlegi tudásommal - amely felszínes a komplexebb routing protokollok terén.
Egy backup kapcsolatot gondoltam létrehozni két hálózat között, és ez még load-balance-al is kiegészítve, jó esetben. Ezek mellé még pár routing szabály, ha szükséges vlan. Wiki-t böngészve pár kérdés is felmerült.
Még csak a kiinduláshoz kérnék megerősítést/eltántorítást, mielőtt túlságosan sok időt töltenék gns3-ban szimulációval:
- OSPF szükséges hozzá, esetleg más?
- Load-balance-hoz mi ajánlott (OSPF,PCC,BGP)?
- Bármely oldalról működhet a bonding egyszerre / backup mindkét irányban isp kiesés esetén?
- Egyik oldal teljes lekapcsolása esetén, a fennmaradó oldal képes-e normál cpe-ként működni, illetve visszaállítani a fenti állapotot, amikor visszajön a túloldal.Mit gondoltok, működhet a fenti elképzelés, illetve a pontokba szedett dolgok messze állnak a valóságtól?
-
#9885
Viktor0610
MODERÁTOR
Pár hozzászólást töröltem.
Az ÁSZF szerint tiltott a warez! -
Kroni1
veterán
Értem, köszi!
Viszont most csak akkor érem el a NAS-t távolról ha a tűzfal szabályokból kiszedem a 80-as portot. Az alapbeállításokban ez nyitva van ezek szerint, vagy valami olyan autentikációt akarna használni a WD app amit én letiltottam? Próbálkoztam a korábban itt is említett és a leírásodban is szereplő port forward-al, de úgy néz ki valamit rosszul csináltam, mert egyenlőre azzal sem megy..
jerry311: oké, itt nemcsak a mikrotikre gondoltam, hanem úgy általában a routerekre. Nyilván mindegyiket biztonságosabbá lehet tenni, mint az alapbeállítás csak kérdés, hogy ez mennyire szükséges, vagy sem. Tipikus minél többet tudunk róla, annál inkább leszünk paranoiásak?
-
ekkold
Topikgazda
-
#9873
adika4444
addikt
stickermajom
#9858
adika4444
addikt
válasz
stickermajom
#9858
üzenetére
Az jutott most így hirtelen eszembe, hogy a névfeloldásnál cachelnek az eszközök nagyon sok esetben, lehet amíg gyorsítótárból dolgozott, addig volt jó.
-
#9872
stickermajom
addikt
Kroni1
#9871
-
#9871
Kroni1
veterán
stickermajom
#9870
Kroni1
veterán
válasz
stickermajom
#9870
üzenetére
Igazából már megszoktam az app egyszerű és gyors elérését, a vpn-es bejelentkezés kissé kenyelmetlenebb ehhez képest.
Másrészt meg a vpn-el a webes felületen elérem a routert, a NAS-on a transmission felületet, de olyan droiodos file manager programot nem találtam amiböl tudom a videó és zene fajlokat tallózni, és a szükséges alkalmazással megnyitni őket. a Cx file Explorerben van ilyen, azt próbáltam, lanon belül ment is, de most valamiért vpn mögül távolról nem lát semmit.
-
Kroni1
veterán
Sziasztok! Ekkold leirása alapján megcsináltam az ac^2 konfigolását, megy a ddns és a vpn is telóról szuperül. Viszont a mycloud tavoli elérését a tüzfallal letiltottam, mert beállítottam én is a portok tiltását ahogy a leírásban szerepel.
A mycloud beállítasainál a remote access a 80 vagy a 443 portra van állitva alapból. Ide adjak meg ehelyett egy nem lezárt portot, vagy hogy tudom engedélyezni az elérést.? Gondolom van ennél elegánsabb megoldás is..
-
atiska007
senior tag
-
Horvi
őstag
Sziasztok,
Egy olyan kérdésem lenne, hogy van egy hap ac2-m(6.46.3-s releasen) illetve felraktam rá az ntp packaget extraként.
Jól értelmezem ha kijön egy új release(van is a 6.46.4) akkor újra le kell töltenem az ntp packaget és telepíteni?
Vagy a normál frissítés ezek után az extra packaget is frissen tartja?
Köszi! -
válasz
atiska007
#9864
üzenetére
HA erről van szó:
[link] , akkor ez 300Mbit/s tud max és csak 5GHz,
ha [link] , akkor ez 2,4GHz 300Mbit/s és 867Mbit/s 5GHz-n, (ami nálam gyakorlatban 4-500 szokott lenni).
Igen ki lehet elvileg a winbox látja, akkor ugyanúgy mind a routernén system/routerboard
Menj rá a winbox kezdőfelületén a Neighbors fülre -
-
bacus
őstag
Nem. A 2,4 GHz-es sáv igen túlterhelt, azért, hogy kevesebb zavarás legyen, ezért érdemes lehet 1 csatorna szélességet használni (ez a 20MHz).
Azt, hogy hogy jobb, azt a gyakorlat dönti el, próbálgatni kell, én pl általában 40Mhz-en hagyom, tulajdonképpen mindegy, mert az egész 2,4-es tartomány (itt ahol én lakom) szinte használhatatlan !
amit mindenkinek tenni kéne, hogy
- több AP-t használ, és jelentősen visszavesz a teljesítményből,
- 1 csatornát használ, lehetőleg a legkevesebb ütközésselehelyett általában az ellenkezőt teszik
- feltolják a jelszintet
- ott hagyják auto csatorna választáson, (ezért állandóan ugrálnak a wifik, ledobálják az eszközöket)
- 40 MHz es sávszélt használnak (én is
)Ha minden eszközöd tudja az N-es wifit (ez ma már azért alap), akkor mindegy a beállítás minden eszköz a neki legjobb féle képpen csatlakozik. Úgy tudom (de már lehet nem igaz), ha van még G-s eszközöd, akkor minden eszköz csak 1 csatornát fog használni, azaz felesleges a 40MHz sávszél. (persze nem, mert ha kikapcsol a G-s eszköz, akkor már jó)
stickermajom: elég fura helyen szocializálódtál, biztos valami nagy multinál, ahol reggel 9 ig még nincs informatikai osztály, dél és fél kettő között ebédelnek, 3 kor meg már nincs ott senki...
-
-
#9858
stickermajom
addikt
Chal
#9854
-
#9855
bacus
őstag
stickermajom
#9849
bacus
őstag
válasz
stickermajom
#9849
üzenetére
Mondjuk nem tudom kit hívsz rendszergizdának, remélem nem engem akartál ennyire ledegradálni ezzel
. Egy minimális azért elvárható a felhasználótól, pláne azoktól, akik már maguk akarják konfigurálni, telepíteni a gépüket. Ha meg már routerhez nyúl valaki pláne nem egy webes next next konfigos routerhez, akkor kellene legyen némi alapismerete, elvégre nem az a cél, hogy szopasd a rendszergizdákat...Persze van aki elmegy orvoshoz, akkor állatorvoshoz megy, mert azok úgy tudnak diagnosztizálni, hogy nem kérdezgetik a pácienseket, hol mit érez.
-
#9854
Chal
addikt
stickermajom
#9851
válasz
stickermajom
#9851
üzenetére
Okok, én mindent értek, néhány dologban együtt is érzek. Viszont a mellett nem tudok elmenni szó nélkül (próbáltam bizony isten, de így a többedik offtopic bosszankodós comment után nem ment már
), hogy egy erősen szakmai topicban feldobtad a "nem megy az internet" labdát, anélkül hogy ellenőrizted volna a névfeloldást, amit kb. első körben illene megnéznie még egy félig-meddig laikusnak is... Szóval bocsi, de a bosszankodásod a kapott reakcióra szerintem nem teljesen állja meg a helyét. -
atiska007
senior tag
válasz
Pyttawrx
#9841
üzenetére
RB3011UiAS-RM a router
És most ott elbukok, hogy a leírás alapján kellene wifi interface-t hozzáadni, ami nekem üres, de mégis van wifim.
A bridge portokhoz az eth-eken kívül viszont van cap1-4-ig gondolom ez a 2 emelet wifi jeladója, 2.4 és 5 GHz-re állítva.
Viszont ezt nem tudom hol lehetne konfigolni...
-
#9851
stickermajom
addikt
Gyurka6
#9850
stickermajom
addikt
-
#9850
Gyurka6
őstag
stickermajom
#9849
Gyurka6
őstag
válasz
stickermajom
#9849
üzenetére
Nyilvan egyik legnehezebb ertelmetlen kerdesre ertelmes valszt adni, kulon koszonet akik megprobaljak. (Olyan 10 eve kellett volna ez, meg a "baratunk", legalabb is nekem.)
-
#9849
stickermajom
addikt
Gyurka6
#9848
stickermajom
addikt
válasz
Gyurka6
#9848
üzenetére
Valahogy így.
Merem remélni, hogy az itteni pár rendszergizda felhasználóinak nem maguknak kell megoldaniuk a problémájukat a ticketben, hogy utána egy "ez a hiba" felkiáltást (no shit!) és egy "kevés az infó" lecseszést kapjanak.
Ha tudtam volna mi és miért nem működik, nyilván nem itt pörgök az arcomon..
-
#9847
bacus
őstag
stickermajom
#9846
bacus
őstag
válasz
stickermajom
#9846
üzenetére
Nem kell, hogy menjen, a client isolation az a mikrotiknál ez a "
datapath.client-to-client-forwarding=yes" , ergo nyilvánvaló, hogy ez volt a bajod !Nem olvastam vissza, de szerintem nem írtad meg, hogy a dns szerver wifin van, illetve arra emlékszem, hogy azt írtad nincs internet, pedig ez téves információ volt.
Névfeloldásod nem volt, interneted volt.A lényeg, hogy továbbra is a probléma megfogalmazásával van a baj sok kérdezőnél, szeretnénk segíteni, csak épp lehetetlen a kevés illetve a téves információk miatt.
-
#9846
stickermajom
addikt
bacus
#9845
stickermajom
addikt
Wifin csatlakozik, de statikus IP címmel rendelkezik. Valószínűleg változni fog a setup, lesz egy új DNS szerver, immár kábelen. Ez csak ilyen ha már ott van használjuk dolog volt eddig.
Client isolation nem fog menni sajnos, mert a Chromecast és a Google Home is ledobta a szíjat tőle. -
#9845
bacus
őstag
stickermajom
#9842
bacus
őstag
válasz
stickermajom
#9842
üzenetére
Ez a DNS szerver is wifin csatlakozott? Más routereknél ezt forwarding=no módot hívják client isolation -nak, azaz a wifin felcsatlakozott kliensek nem érik el egymást.
DNS szervert (és általában véve semmilyen szervert) sem célszerü dhcp-re rakni, vagy wifin csatlakoztatni.atiska007:
Egy picit rosszul állunk/álltok a wifihez szerintem. Ezt úgy kell felfogni, hogy ez egy kényelmi szolgáltatás, hogy ne legyen annyi vezeték, kábel, mobil legyél, stb, nem helyettesíti a kiépített kábeles kapcsolatot. Nem igen kell rugózni pl a speedtesten mért wifi sebességen sem. Van ismerősöm aki ugyan szaggat neki a yt wifin, de rámér és rendben van, mert megvan a speedtest sebesség. Én fordítva vagyok vele, megy rendesen, nem mindegy mit mérek? (nem is mértem hónapok óta, utoljára mikor csomagot váltottam, akkor...)
A 60/60 nem olyan rossz, mire nem elég? Ráadásnak lehet ezen nem is osztoznak, mert egyszerre 4 eszközön elindítva minden eszközön ennyit mérsz egyidőben ! Főleg ha nem is egy AP-re, vagy nem is mind ugyanazon a csatornán, az egyik 2,4, a másik 5 Gigán van.
Pár éve a 0,5 / 0,12 volt az általános ADSL, most meg kevés az eszközönként a 60Mbit szimmetrikus? -
válasz
atiska007
#9843
üzenetére
Értem, a cat 6 az jó lesz, sőt tökéletes! A system/routerboard, itt tudod kiolvasni, a szabvány is érdekes lehet, mert lehet erős a sugárzás, de attól a sebesség nem biztos, hogy magas lesz. Nyilván most látatlanba beszélek
. akkor amúgy ha beállította az ip/cloud menüben a DDNS-t akkor rá tud nézni ő is otthonról is, persze ez nincs tiltva... stb -
atiska007
senior tag
válasz
Pyttawrx
#9841
üzenetére
Milyen a mikrotik router? Nagy
Viccet félretéve teljesen analfabéLa vagyok, de otthon majd megnézem. Nem tudom winbox-on keresztül ki tudom-e olvasni esetleg...Illetve mi a 2 wifi modul? Viccesen: a szaki szerint nagyon jó, a legf@szább, ukrán szabványra állította, hogy a holdon is legyen jel.. Elmondása szerint is ennél többet kellene tudnia, mint a 60 mbit.
Milyen kábel megy a helyi hálózaton belül. Szintén olyan kérdés, aminek a technikai paraméterét pontosan nem tudom, de elméletileg CAT6-os, de lehet 7-es. Amúgy kábelen mért sebességek jók, csak a wifi szűk keresztmetszet jelenleg.
Szerk.:még annyi, hogy ő beta sw-re állította az update csatornát, én beállítottam a stable-re...
-
#9842
stickermajom
addikt
stickermajom
#9837
stickermajom
addikt
válasz
stickermajom
#9837
üzenetére
Másoknak okulásul:
datapath.client-to-client-forwarding=yeshiányzott. Belső hálón fut egy DNS szerver, amit a DHCP kiajánl a klienseknek. Nem tudtak vele kommuniálni -> nem volt internet. Hogy miért random jött elő a hiba, random klienseken, azt nem tudom, de most már látszólag egy ideje nincs gond. (Kopp-kopp-kopp) -
atiska007
senior tag
Sziasztok!
Mikrotik routerhez van valami általános step by step leírás noob-oknak, amivel otthon én is be tudnám konfigurálni a routert/wifit?
Új családi házba költöztünk, ahol a villanyszerelő kiépítette a helyi hálózatot is, egy mikrotik routerrel. Erre van kötve 2 wifi modul, emeletenként 1-1, ami 2.4/5 GHz-en is működik.
A probléma: ha a saját Telekom routerre csatlakozom, akkor távolságtól függően 400-500 Mbitet is mérek, de ha a lakás saját wifijére csatlakozom, akkor max 60/60 mbit (2Gbit-es net).
Szóval biztosan valami el vanbaszvakonfigurálva, de mivel soha nem volt még mikrotik routerem, ezért nekem elég bonyolult a menüje és nem igazán találom fel magam.
Sajnos emberünk rohadtul elfoglalt, hogy emiatt kijöjjön, a hálózat működik (csak nem megfelelően), szóval szeretném saját kézbe venni a dolgot, mivel ezzel már fél éve élek így és a wifin csücsülő eszközök közben megszaporodtak.Minden segítséget előre is köszönök!
-
#9836
jerry311
nagyúr
stickermajom
#9835
jerry311
nagyúr
válasz
stickermajom
#9835
üzenetére
Valamit szívtam a múltkor cap vs bridge témában, csak nem emlékszem rá, nem az én hálózatom. Sorry.
-
#9835
stickermajom
addikt
stickermajom
addikt
Sziasztok!
Tegnap végre jutott időm felrakni egy cAP AC-t a meglévő hAP AC2 mellé, de a kezdeti rémálom után (kicsomagolva, rádugva a hálózatra, default configgal nyomtam egy RouterOS update-et rajta és soha többé nem indult el), továbbra sem kerek valami. Látszólag random a wifis eszközök "Connected, No internet" státuszba kerülnek. Most is a laptop amin írom a posztot kap netet, közvetlenül mellette a telefonom nem. Ugyanúgy 5GHz-n csücsül mindkettő. De olyat is tapasztaltam, hogy a telefon 5GHz-n működik, felsétálok az emeletre, visszavált 2,4-re és nincs többé internet.
hAP AC2-n a wifit disable-re tettem, csak a cAP szórja.cAP AC config:
/interface bridgeadd admin-mac=mac auto-mac=no comment=defconf name=bridgeLocal/interface wireless# managed by CAPsMAN# channel: 2437/20-eC/gn(28dBm), SSID: ssid, CAPsMAN forwardingset [ find default-name=wlan1 ] ssid=MikroTik# managed by CAPsMAN# channel: 5180/20-Ceee/ac(14dBm), SSID: ssid, CAPsMAN forwardingset [ find default-name=wlan2 ] ssid=MikroTik/interface wireless security-profilesset [ find default=yes ] supplicant-identity=MikroTik/interface bridge portadd bridge=bridgeLocal comment=defconf interface=ether1add bridge=bridgeLocal comment=defconf interface=ether2/interface wireless cap#set bridge=bridgeLocal discovery-interfaces=bridgeLocal enabled=yes interfaces=\wlan1,wlan2/ip dhcp-clientadd comment=defconf disabled=no interface=bridgeLocal/system clockset time-zone-name=Europe/BudapesthAP AC2 konfig:
/interface bridgeadd admin-mac=mac auto-mac=no comment=defconf name=bridge/interface pppoe-clientadd add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \password=password use-peer-dns=yes user=user/interface wirelessset [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=\20/40mhz-XX country=no_country_set distance=indoors frequency=auto \frequency-mode=manual-txpower installation=indoor mode=ap-bridge ssid=\ssid wireless-protocol=802.11set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-a/n/ac channel-width=\20/40/80mhz-XXXX country=no_country_set distance=indoors frequency=auto \frequency-mode=manual-txpower installation=indoor mode=ap-bridge ssid=\ssid wireless-protocol=802.11/caps-man configurationadd country=no_country_set datapath.bridge=bridge hide-ssid=no name=wificonfig \security.authentication-types=wpa-psk,wpa2-psk security.passphrase=\password ssid=ssid/caps-man datapathadd bridge=bridge local-forwarding=no name=datapath1/caps-man securityadd authentication-types=wpa2-psk name=security1 passphrase=password/interface listadd comment=defconf name=WANadd comment=defconf name=LAN/interface wireless security-profilesset [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \supplicant-identity=MikroTik wpa-pre-shared-key=password \wpa2-pre-shared-key=password/ip hotspot profileset [ find default=yes ] html-directory=flash/hotspot/ip pooladd name=dhcp ranges=192.168.1.10-192.168.1.254/ip dhcp-serveradd address-pool=dhcp disabled=no interface=bridge lease-time=2d name=defconf/caps-man managerset enabled=yes/caps-man manager interfaceset [ find default=yes ] forbid=yesadd disabled=no interface=bridge/caps-man provisioningadd action=create-dynamic-enabled master-configuration=wificonfig/interface bridge portadd bridge=bridge comment=defconf interface=ether2add bridge=bridge comment=defconf interface=ether3add bridge=bridge comment=defconf interface=ether4add bridge=bridge comment=defconf interface=ether5add bridge=bridge comment=defconf interface=wlan1add bridge=bridge comment=defconf interface=wlan2/ip neighbor discovery-settingsset discover-interface-list=LAN/interface list memberadd comment=defconf interface=bridge list=LANadd comment=defconf interface=ether1 list=WANadd interface=pppoe-out1 list=WAN/ip addressadd address=192.168.1.1/24 comment=defconf interface=ether2 network=192.168.1.0/ip dhcp-clientadd comment=defconf interface=ether1/ip dhcp-server networkadd address=192.168.1.0/24 comment=defconf dns-server=192.168.1.250 gateway=\192.168.1.1 netmask=24/ip dnsset allow-remote-requests=yes/ip dns staticadd address=192.168.1.1 comment=defconf name=router.lan/ip firewall address-listadd address=192.168.1.230 list="Block IoT"add address=192.168.1.231 list="Block IoT"add address=192.168.1.232 list="Block IoT"add address=192.168.1.233 list="Block IoT"add address=192.168.1.234 list="Block IoT"add address=0.0.0.0/8 list=blacklistadd address=127.0.0.0/8 list=blacklistadd address=224.0.0.0/3 list=blacklistadd address=192.168.1.9 list="Block IoT"/ip firewall filteradd action=fasttrack-connection chain=forward connection-state=\established,related dst-address=192.168.1.0/24add action=accept chain=forward connection-state=established,relatedadd action=drop chain=forward comment="Block IoT" src-address-list="Block IoT"add action=drop chain=input dst-port=53 protocol=udp src-address=\!192.168.1.0/24add action=drop chain=input comment="Invalid csomagok eldob" connection-state=\invalidadd action=drop chain=forward comment="Invalid csomagok eldob" \connection-state=invalidadd action=accept chain=input comment="Established connections" \connection-state=establishedadd action=accept chain=input in-interface=!pppoe-out1 src-address=\192.168.1.0/24add action=add-src-to-address-list address-list=blacklist address-list-timeout=\1d10m chain=input comment="port scanners" protocol=tcp psd=21,3s,3,1add action=add-src-to-address-list address-list=blacklist address-list-timeout=\6h chain=input dst-port=20-1023,8000,8080,8291 protocol=tcp src-address=\!192.168.1.0/24add action=add-src-to-address-list address-list=blacklist address-list-timeout=\6h chain=input dst-port=20-122,124-499,501-1023,8000,8080,8291 protocol=udp \src-address=!192.168.1.0/24add action=drop chain=input comment="drop blacklist" src-address-list=blacklistadd action=drop chain=forward comment="drop blacklist" src-address-list=\blacklist/ip firewall natadd action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\out,none out-interface-list=WAN/ip serviceset telnet disabled=yesset ftp disabled=yesset www address=192.168.1.0/24 port=8000set api disabled=yesset winbox address=192.168.1.0/24set api-ssl disabled=yes/system clockset time-zone-name=Europe/Budapest/system identityset name=MikRobi/system ntp clientset enabled=yes primary-ntp=162.159.200.123 secondary-ntp=78.46.253.198/system ntp serverset enabled=yes/tool mac-serverset allowed-interface-list=LAN/tool mac-server mac-winboxset allowed-interface-list=LAN
Egészen biztosan valami amatőr dolgon csúszik el az egész, még mindig bőven tanulófázisban vagyok. Van ötletetek mi lehet? -
Kroni1
veterán
válasz
Beniii06
#9825
üzenetére
Igazából az OMW-t is néztem, de odáig még nem jutottam h ki is próbáljam, nem tudom azzal a rádugott usb-s nyomtató hálózati megosztása is menne-e, de kipróbálom majd.
ON: Elolvasom ekkold leírását, és ha eljutok a vpn beállításáig akkor még biztos lesz kérdésem majd, köszönöm az eddigi segítséget mindenkinek!
-
Beniii06
addikt
Ha direkt nas-t akarsz a gépből csinálni, akkor a legjobb választás az OpenMediaVault vagy FreeNas(én az előbbit javasolnám, azt próbáltam is, évekig tette a dolgát). Ezek direkt ilyen vélra vannak kitalálva, kapsz hozzájuk webes konfig panelt, lehet plugin-elni őket stb. Az egyedüli hátrány, hogy DE-t azaz asztali grafikus környezetet nem lehet rájuk telepíteni, de parancsorból normálisan el lehet érni a debian alapú rendszert, ha nem lenne elég a webes panel(kétlem, még virtualbox és virtualis gép is telepíthető kattintásra webes felületről pl. OMV-n) és futtathatsz rajtuk bármit a nas funkciókon kívül is + nagyon erőforrás takarékosak.
Ja és ez már off.
-
Kroni1
veterán
válasz
adika4444
#9823
üzenetére
Köszi!
Én Ubuntuval próbálkoztam első körben a kísérletezős c2d gépen itthon és az smb, torrent minden működött, még a nyomtatót is láttam, de valami gebasz a nyomtatással volt asszem, ezt a cups-ot mondjuk nem ismerem. De amiért win10-re áttértem, az az hogy néha bedobott az ubuntu egy rendszerhiba üzenetet, nem tudtam rájönni mi baja volt. Amúgy tetszene a linux alapú szerver, megnézek akkor egy ilyen debiant is, köszi a tanácsot!
Érdekesség amúgy, hogy a gép (monitor nélkül) idle-ben az ubuntu rendszeren 8-9W-ot fogyasztott, win10-el meg inkább 14-15W körül...
-
adika4444
addikt
Szerintem otthoni szerver célra a Windows 10 nem olyan jó választás. Nekem Win 7-tel volt anno megoldva, de az állandó frissítgetés, újraindítgatás macerás, sokkal inkább javaslok egy Debian-t. Torrent az nekem is megy rajta, fájlszerver szintén. Utóbbi úgy, hogy SMB-n csak belülről érem el a cuccokat vagy VPN-ről, viszont az SSH ki van engedve, ezáltal SFTP-n simán tudom tallózni a fájljaimat. Természetesen nem alap porton, és kulcspáros SSH-hitelesítéssel.
A nyomtatószerver szintén megoldható a Cups nevezetű csomaggal, nálunk amíg nem dobta fel a lábát a printer addig így ment, bármelyik Win-es gépről lehetett tolni a nyomtatást.
Illetve van itt home Server topik, oda érdemes lehet még bekérdezned, vannak célrendszerek is ilyen felhasználásra, nem kell feltétlen a pure Debian-ra építkezni, de kétségtelen, hogy ezutóbbi ha a legmelósabb is, de ez is a legjobb.
A Mikrotik-en amúgy a porttovábbítás DSTNAT névre hallgat, nem a klasszik port forwardra.
-
Kroni1
veterán
Valóban nem vágom, irtam is h a vpn-ről nem sokat tudok, de így már kezd tisztulni a dolog, köszi a magyarázatot!
Kb. arra lenne szükségem amit írtál, tényleg nem a sebesség a legfontosabb távolról, hanem h müködjön.
A WD Mycloud NAS-omat szeretném nyugdijazni, és elkezdtem azzal kisérletezni, hogy egy kisebb fogyasztású gépet csinálok a kamrába torrent, fájlszerver, filmek streamelese és ha már win10 akkor nyomtatószerver célra is, mert a többit tudta a NAS is. Igazából a hálózaton belüli elérés a lényeg, az már megy is. Ugye a NAS elérése WD androidos appjával távolról vpn nélkül is ment, valami ehhez hasonlót szeretnék megvalósitani, amihez ezek szerint vpn kell majd nekem.. -
Valamit szerintem még mindig félreértesz, ezért egy kis magyarázat: amire te gondolsz, meg amire az a topic van, azok olyan vpn szolgáltatók, akiket jellemzően arra érdemes használni, hogy pl. elrejtsd az IP-d (pl. mert valamilyen szolgáltatást vennél igénybe ami itthonról nem elérhető, stb..). Hozzájuk (mondjuk) az otthoni gépedre telepített kliensen hívsz be, majd rajtuk keresztül netezel, így a cél oldalon nem a te magyar IP-d látszik, hanem a VPN szolgáltatóé.
Ennek semmi köze ahhoz amit te szeretnél, hiszen te a saját hálózatodba akarsz bejutni távolról. Erre kézenfekvő, hogy az ottani végponti eszközt használd, jelen esetben a Mikrotiket. Szerencsére a RouterOS tud többféle vpn szerver szolgáltatást is nyújtani erre a feladatra. Ilyen pl. a fent említett l2tp over ipsec, vagy az openvpn. Lassítani mindegyik fog, az OpenVPN talán a leginkább, de ezek jellemzően nem is arra valók, hogy ezen keresztül töltögess le/fel otthonra böhöm nagy adatmennyiségeket. Belépsz a telefonoddal, megcsinálod amit kell, majd bontod a vpn-t. Nem tudom hogy mit szeretnél pontosan a vpn-en, de gondolom édesmindegy hogy közben 900 vagy mondjuk csak 200Mbit áll rendelkezésre, ha már eleve telefont emlegettél.
-
Kroni1
veterán
Köszi! Már nekiveselkedtem ekkold cikkének, gondoltam ha lesz időm akkor az alapján be is állítom a routert, de még nem volt lelki erőm elkezdeni.
Beniii06: "Fizetős? Minek?" - pont ilyesmiket akartam ott megkérdezni, hogy van-e értelme fizetősnek, vagy nincs, meg hogy egy vpn mennyit lassít a kapcsolaton, stb. De ha a sajátja is jól használható akkor természetesen az is megfelelne nekem!
-
Én amúgy inkább az l2tp over ipsec-et ajánlom, a Mikrotikek ezt is tudják, és helyből megy minden os-ben a gyári beépített vpn kliensekkel (Windows, OSX, Android, IOS). Konfigurálni talán nehezebb saját kútfőből nulláról, de tutorial esetén kb. mindegy szerintem hogy openvpn vagy l2tp over ipsec alapút néz.
-
Kroni1
veterán
Köszönöm a tanácsokat mindenkinek, átmegyek akkor a VPN topikba érdeklődni, mert erről a témáról igazából lövésem sincs, már nekifutottam a cikknek, majd szerintem lesz még kérdésem.
Ti fizetős VPN-t használtok egyébként, vagy van ingyenesen beállíthatóból is van olyan ami megfelelő lehet?!
-
Kroni1
veterán
Sziasztok!
Eléggé kezdő vagyok, csak ismerkedem, kísérletezek a mikrotik hap ac^2 routeremmel.
Az IP Cloud-al sikeresen engedélyezni tudtam a mikrotik saját DDNS szolgáltatását, miután a Digi kivette az előfizetésemet a nat-ból. A serialnumber-os dns címmel tudom pingelni, és elérni a routerOS admin felületét.Viszont adódott a gondolat, hogy szeretném elérni külső hálózatból az androidos telefonomról a win10-es otthoni szerver-gépemet, ami qBT-t futtat webes felületen, és egy smb-vel megosztott mappát is.
Ehhez mit kéne beállítanom?! Portot kellene nyitnom a telefonnak, és beállítani, hogy az adott porton ne a routert hanem a server pc-met keresse. Vagy ezt nem jól gondolom..? Megoldható az, hogy az adott port ne a teló ip címének (hisz ez változhat) legyen nyitva, hanem a telefon mac address-ének?!
Van a telefonomon egy Cx file explorer, ami belső hálón ha megadom az server ip-jét szépen eléri a megosztott mappám tartalmát, de kintről nem.. Ha ez menne kintről is, nekem az már szuper lenne!Ha valaki tud ezekre számomra érthetően válaszolni azt megköszönöm előre is!
-
bacus
őstag
A logolásban profiktól kérdeznék, mert lehet én értek valamit félre.
Szeretném, hogy egy adott tűzfal chainben kiadott log szabály, külön fájlba kerüljön. A forward chainbe adott feltételek szerint jump szabály a megfelelő chainbe, majd azon belül szabályok között van egy log action. Itt tudok neki adni egy Log Prefix-et.
a logging szabályoknál felveszek még egy topic-t, hogy firewall, aminek az action-je, hogy egy fájlba ment, akkor normál memory log mellett minden tűzfal esemény bekerül ebbe.
Ha itt is kitöltöm a Prefix-et, akkor ez nem azt jelenti, hogy csak az adott prefix-ű események, hanem minden sor elé ami ebbe a fájlba mgy, még beszúrja ugyanazt a prefixet. (ennek nem látom értelmét
)
Tehát topic szerinte minden tűzaf szabályok között lévő log action egyforma, prefix szerint van eltérés, de eszerint meg nem tudok szűrni..Hogy kéne ezt jobban megcsinálni?
-
ekkold
Topikgazda
válasz
adika4444
#9806
üzenetére
Néhány óra alatt többszáz IP-t tesz feketelistára a router, próbálkoznak mindenfélével. Bár a legtöbb elég gyenge próbálkozás, de biztos van amikor bejön. A legtöbb ilyen, pl. user:admin esetleg root, vagy test, és próbálgat pár jelszót. Túl sokra persze nincs ideje, mert megy feketelistára.
-
ekkold
Topikgazda
válasz
adika4444
#9806
üzenetére
A "detect internet" jól működik, csak be is kell állítani, hogy merre keresse az internetet. Azaz létre kell hozni egy interfész listát, ami azokat (és csak azokat) az interfészeket tartalmazza amin keresztül elérhető az internet, és ezt meg kell adni a menüben. Ha ez nincs megadva (vagy ha nem jól van megadva) akkor az összes interfészen keres, és ez vezethet anomáliákhoz bizonyos konfigurációval párosítva. Innentől valószínűleg user error ha mégsem megy. De általában erre a feature-re tényleg nincs szükség, és felesleges beállítani. Emiatt (is) érdemes úgy kezdeni a beállítását egy routernek, hogy reset-config + no default....
És persze az sem 100%, hogy a kérdező problémája emiatt van. Nyitott winbox, ftp, telnet, stb.. portokon keresztül is jöhet pár érdekesség
-
adika4444
addikt
"Van egy "detect" internet a kezdőknek, ami próbálja kitalálni, hogy mi van, ez tud vicces dolgokat működni, mondhatnám, hogy ez még sosem találta ki helyesen a dolgokat, de mivel ez az első amit kikapcsolunk (pl, hogy magától ne állítgasson semmit a router), így nem tudom, hogy valaha valakinél működött e helyesen!"
Még szerencse, hogy fullos reset ezt a "hasznos" feature-t is kikapcsolja... Az alap konfigban amivel jön a boltból azokon engedve van ez? -
rekop
senior tag
A wiki alapján ötletelek csak én is, kipróbálni ezt nincs most lehetőségem:
/interface bridgeadd name=bridge1/interface bridge portadd bridge=bridge1 interface=sfp1 hw=yesadd bridge=bridge1 interface=ether10 hw=yes/interface ethernet switch vlanadd ports=sfp1,ether10 switch=switch1 vlan-id=20add ports=sfp1,ether10 switch=switch1 vlan-id=30/interface ethernet switch portset sfp1 vlan-mode=secure vlan-header=leave-as-isset ether10 vlan-mode=secure vlan-header=leave-as-is default-vlan-id=30 -
#9803
bacus
őstag
stickermajom
#9802
bacus
őstag
válasz
stickermajom
#9802
üzenetére
Egyrészt nem bug, mert azt, legalábbis kezdő szinten NEM találsz a mikrotikben, másrészt meg még kellhet a cli output
Ebben a topikban csak a tudás számít, ha a kérdéseidre választ szeretnél - és hidd el ekkold az egyik legsegítőkészebb fórumozó itt, pl. sokkal kevesebb tüskéje van, mint nekem
,- akkor ne támadj. -
#9802
stickermajom
addikt
bacus
#9801
-
#9801
bacus
őstag
stickermajom
#9800
bacus
őstag
válasz
stickermajom
#9800
üzenetére
Ne támadj vissza, mert nincs igazad.
Van egy "detect" internet a kezdőknek, ami próbálja kitalálni, hogy mi van, ez tud vicces dolgokat működni, mondhatnám, hogy ez még sosem találta ki helyesen a dolgokat, de mivel ez az első amit kikapcsolunk (pl, hogy magától ne állítgasson semmit a router), így nem tudom, hogy valaha valakinél működött e helyesen!
ekkold: próbáltál kiszállni majd visszaülni az autóba?
Esetleg újra kéne festeni...
)
Új hozzászólás Aktív témák
- BESZÁMÍTÁS! Asus PRIME B450M R5 2600X 16GB DDR4 512GB SSD GTX 1060 3GB AeroCool Quantum Mesh V3 400W
- Bomba ár! HP EliteBook 755 G5 - Ryzen PRO 5 I 8GB I 256GB SSD I 15,6" FHD I Cam I W10 I Gari!
- Lenovo Tab P12 / Wi-fi / 8/128GB / 12Hó Garancia
- LG 65G4 - 65" OLED evo - 4K 144Hz & 0.1ms - MLA Plus - 3000 Nits - NVIDIA G-Sync - FreeSync Premium
- Eladó iPhone 12 mini 64GB bevizsgált, hibátlan készülék
Állásajánlatok
Cég: FOTC
Város: Budapest