- Galaxy Z Fold6-hoz viszonyítva mutatják, mennyivel lesz vékonyabb a Z Fold7
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- iPhone topik
- Samsung Galaxy Watch (Tizen és Wear OS) ingyenes számlapok, kupon kódok
- Milyen okostelefont vegyek?
- Mobil flották
- MIUI / HyperOS topik
- Vivo X200 Pro - a kétszázát!
- Xiaomi 15 Ultra akku probléma?
- Samsung Galaxy A54 - türelemjáték
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
bacus
őstag
válasz
gidacska
#15236
üzenetére
Én tuti az AC6-on fixálnám az ip címet, így mindegy milyen hosszú a lease time, az AP-nak és egyébként a hálózatért felelős eszközöknek érdemes fixre állítani a dolgait.
Szerintem sokan vagyunk akik a pool-t amiből oszt ki címeket egy szűkebb tartományra vesszük, ami azért bőven elég, pl otthoni környezetben még ha vendégek jönnek is, akkor se kell több 50 kiosztható IP címnél, pedig akkor már minden vendég 3 eszközzel jött
ha mondjuk a kiosztható cím 101-200 akkor van lehetőség 2-100 ig neked befixálni dolgokat, ezek lehetnek dhcp-n kiosztott, majd átrakott címek, pl tv, nas, xbox (főleg ha még otthon sem akarsz UPNP-t engedélyezni), nyomtató, stb.
Tehát rádugod, kap ip címet, majd a mikrotikben static-ra teszed és átírod a pool-on kívüli címre.A Lease Time hosszának beállítása nem szerencse vagy nem szerencse kérdése. Egy olyan helyen, ahol jönnek mennek az emberek, 50 kiosztható cím van a poolban, és beállítasz 1 hetes lease time-t, ott baj lesz, mert elfogyhatnak a címek, azaz nem fog tudni felkapcsolódni a kliens a hálózatra. Ilyenkor a rövid idő előny, mert az 50 cím elegendő lehet, mert egyszerre nem kell több, a kliens meg ne reserváljon le egy címet feleslegesen.
A rövid idő relatív, a fél perc tényleg rövid, ott azért lehet gond a böngészési élménnyel is. A te esetedben az AP-nak nem is kellene ip címet kapjon a rá csatlakozott eszközök akkor is működnének, ezért nem probléma, ha fél percenként kér ip címet, inkább csak felesleges.** közben nem néztem előre, de már kaptál választ, talán még jobbat is
A ház átkábelezése: azért mert most nem érdemes szétverni a házat, nem jelenti azt, hogy hosszabb távon nem jelent előnyt. A következő felújítás előtt érdemes átgondolni a dolgokat és akár több kábelt is behúzni a helyiségekbe.
-
bacus
őstag
"Előre leszögezem, nem fogok"
Ne fenyegess
Ezek szerint ezt csinálja az AC6 smart beállítása. Mindegy mennyi a dhcp lease time, ha a kliens eldobja, újra kéri, akkor ez lesz.
ha beállítasz a windowsnak egy ütemezett feladatot, ami kiadja az ipconfig /renew parancsot fél percenként, akkor a windowsod is ezt fogja csinálni."..nem hinném, hogy ez túl szerencsés.."
miért? maximum a log teleszemetelése a gond, ha ez zavar, akkor jó a statikus beállítás, csak az ip pool-ból vedd ki a címet, hogy ne ossza ki másnak a mikrotik. Ezt tulajdonképpen a dhcp szervernél megtetted azzal, hogy rányomtál, hogy static, így ezt a címet nem osztja ki senkinek, vár az AC6-ra, de ez sem okoz problémát."..működik minden.."
halleluja, akkor lehet jól van beállítva. -
#15199
bacus
őstag
Marcelldzso
#15189
bacus
őstag
válasz
Marcelldzso
#15189
üzenetére
Köszi, igen hasznos kis videó benne a csipogással.
-
bacus
őstag
válasz
Zwodkassy
#15183
üzenetére
Szerintem nincs benne csipogó, nem a switch adja azt a hangot. Ők onnan hallják egy dolog, de szerintem vagy szünetmentes vagy kamera rendszer vagy ...
Ez az én lustaságom is, mert mikor felprogramoztam az egészet (dual wan, capsman, 2 switch 10 db AP), akkor fel se mentem az emeletre a fenti részt megnézni
3. emelet, nincs lift , a switch ment a szekrénybe, műszaki iskola, gondoltam nem jelenthet problémát.. 4 db AP a termekbe, irodába.Gondolom zeneiskolánál pontosan tudnák mi csipog
, viszont még a csavarhúzót is nekem kellett volna vinnem. -
bacus
őstag
Ma reggel felhívott az egyik ügyfelem, hogy a CRS switch percenként sípol, három hosszú után két rövid sípszó, de nem találtam eddig információt róla, hogy mi ez. Van benne az az sfp+ rezes port, lehet az jelzi a hőmérséklete megemelkedett?
Nem tudok odamenni, pedig elsőre azt gondolnám inkább a szünetmentesük sípol.., de váltig állítják a switch.
-
bacus
őstag
bridge-re arp-t átrakod proxy-arp -re és 12h uptime-nak már örülhetsz is.
De mióta azt levettem, mert ritkán vpn-ezek itthonra, azóta stabil.Capsman-t nem használom rajta, mert nem látom értelmét átrakni a mostani capsman-t. AC2-t -k vannak mellette, mindegyik elég capsman-ra.
-
bacus
őstag
válasz
Zwodkassy
#15084
üzenetére
Ha nem futsz bele az éppen aktuális RC marhaságába, akkor stabil. Pl. a bridge-n lekapcsolva a proxy arp-t, most teljesen stabilnak tűnik. Persze a digi-n itthon nem veszem észre, hogy többet tud, mint a 3011 ami volt. (de ez a digi hibája is)
De várom azért én is az első stable verziót.
-
bacus
őstag
válasz
Victorio
#15078
üzenetére
Én úgy érzem, mindegy, hogy mi az életképes, mert a speedtest szerint jó ha a garantált megvan a diginél mostanában. Nem mintha nem lenne elegendő.., de teljesen mindegy mivel vakítanak az 1 gigával vagy a 10-el
Most épp 440/303 Mbit-t tud az 1 gigás netjük, 23h 50 perckor..
Egyébként nem életképes az elképzelés, a switch az nem router, nem fogja tudni, gyenge a proci. A switch funkciókra maximálisan jó, de natolásra gyenge.
-
bacus
őstag
válasz
Shkiz0
#15066
üzenetére
Accesspoint nál vettem, kizárólag tesztre. Van ami már most tetszik, pl dhcp szervernél látod, hogy melyik portra van rádugva az eszköz, ez ugyan apróságnak tűnik, de otthoni környezetben, mikor ember nincs aki megmondja melyik kábel hova megy, ott jól jön
Viszont 12h uptime, nem sok, most olvastam a mikrotik fórumon, hogy a rc5-rc6 ban az l2tp kliens v. ipsec miatt halnak le..
Ez még nagyon gyerek cipő, a következő lefagyásnál megy vissza a rc4, ha ott is fagy, akkor megy a szekrénybe és kivárom, amíg lesz egy stabil verzió, mert ez még itthon sem állapot ez az ujra indítgatás. Ha ezt akartam volna, inkább tp-linket veszek -
bacus
őstag
Szükségem lenne 3011-hez rack -be építéshez a fülre. (ez elég magyartalan, de nem tudom magyarul a nevét) Szóval erre.
Accesspointnál rendeltem fehéret, de nincs készleten, nem tudom mikor lesz, meg jobb lenne fekete.
Ügyfélnél eddig nem volt rack szekrény, most vett, de már ki tudja hova keveredett a hozzá adott rack beépítő.Nincs valakinek felesleges?
-
bacus
őstag
Itt mind a két switch egy hatalmas rack szekrényben van, aminek ráadásul az oldala is le van véve..
Mindegy, ha stabil, nincs szakadás, mindegy milyen a hőmérséklet.
4 db modult vettem, kettő van használatban a másik a fiókban pl pont szoba hőmérsékletű , ha valamelyik megfőzi magát lehet cserélni. -
bacus
őstag
válasz
jerry311
#14840
üzenetére
Egyik ügyfélnél most először használtam rezes sfp+ modulokat. (mikrotik típus az is)
-Alapból is 85-87 C fokosnak írja a modult, lekapcsolási hőmérséklet 95 fok..
ez normális?-5G -ként kapcsolódnak össze, miközben a kábelt kb 1 m-esnek érzékeli. Persze nem tudom, hogy elég jó e a kábel a 10G-linkhez. Mondjuk ez is több mint amire az elkövetkező időkben szükség lesz.
-
bacus
őstag
tegnap járt nálam egy AC2, ami látszólag teljesen halott volt, netinstallal sikerült életre kelteni, még a programja is megmaradt.
Mit kaphatott, amitől ilyen állapotba került? Azt mondta a tulaj, semmi különös nem volt (talán még áramszünet sem!), pénteken ment, majd hétfőn már se kép se hang.
-
bacus
őstag
Szerintem nem a tplinken van a probléma, elmegy a kérés a mikrotikhez (ha jól értettem annak a logjában látod a bejegyzést), csak onnan nem talál vissza.
A mikrotik routejában nem tudja, hogy hova kell küldje a csomagot.
/ip route add dst-address=192.168.11.0/24 gateway=192.168.11.1
már ha a tplink címe ez 192.168.11.1
Ejelhar megoldása is jó lehet, feltéve, hogy akkor a tplink maskol erre fele is, illetve oda fel tudod venni a statikus route-ot. De szerintem a másik jobb megoldás, a tplinket jobb nem összezavarni.
-
-
-
bacus
őstag
Én is mailben küldöm a backupokat, hibátlan, időnként törlöm a régi leveleket. Persze nem mindegy, hogy hány routertől jön, nekem 100+ routerről, gmailben ez remekül kezelhető, törölhető, stb.
Ha már linuxos ftp-re kell feltölteni (az ügyfeleim sql adatbázis mentései azon jönnek), nem a feltöltő script végzi a törlést, hanem a linuxon van ütemezett script.
-
bacus
őstag
válasz
Statikus
#14389
üzenetére
"és esetleg segítséget is kap"
Google mindenkinek a barátja. Én a Ros 2.x-es változatával kezdtem, nem volt kitől kérdeznem se..
A telefonod wifi menüjében pedig ki tudod kapcsolni ezt a mobilnetre váltást. Ellenőrzi a jó minőségű netet, ha nincs megelégedve a telefon - mobil internetre vált..
-
bacus
őstag
Mennyivel jártál volna jobban, ha az elején közlik, hogy kacsa vagy?
Egyedül neked van hozzá férésed a routeredhez, még a típusát se mondtad meg sokáig. Most meg fikázod akik segítettek, mégsem szakemberek, ezt is Te oldottad meg..
Gyanítom a többi mikrotik problémát is neked kell, mert hamar elfogy a jó akarás, de Te tudod.Az eszközt meg gyenge, fasttrack nélkül is van ami tudja a gigát.., ajánlottak pár típust. Még mindig nem értem miért ragaszkodsz az egy univerzális eszközhöz, mikor egy jó vezetékes router kell, meg 2 wifis AP (minimum
) -
bacus
őstag
Miből gondolod, hogy ezt egy univerzális router megoldja? A wifire jó amit vettél, mellé veszel el 4011-t wifi nélkül és megvagy. Persze vehetsz drágábbat is, az mindig jól jön..
(az a baj ezzel az agyvérzéseddel, hogy én már olvastam ilyet tőled más topikban is, már nem emlékszem akkor kitől és mitől volt agyvérzésed.
) -
bacus
őstag
-
bacus
őstag
nem jók a mangle szabályok, illetve hiányosak.
src-address=!192.168.1.80, ebben nem csak a belső gépek címei vannak benne, te minden a routerről kifele menő csomagot is megjelölsz, hogy digi felé terelődjön.a szabályokat nézve, ha az l2tp vpn szerverre a digi felől csatlakoznál be, akkor mennie kellene az otthoni hálózat elérésének is. Tévedek?
-
bacus
őstag
l2tp ipsec-el két publikus ip cím között nem lehet több kapcsolat. Nem a szerver nem fogad több kapcsolatot, mert minden kliens akinek saját publikus ip címe van lehet egyszerre kapcsolódva. (a pár mp.ig megtartja az nekem nem jelenti azt, hogy megy, csak még valamelyik nem vette észre, hogy már nem él a kapcsolat)
-
#13859
bacus
őstag
lionhearted
#13858
bacus
őstag
válasz
lionhearted
#13858
üzenetére
Nem vagyok ott, nem akarom leálljon a net a családnak (de lehet te is ezt kérted
)
Köszi, hogy ránézel, cell monitor ezt mutatja.Mi lenne a "jó" érték?
-
#13854
bacus
őstag
E.Kaufmann
#13850
bacus
őstag
válasz
E.Kaufmann
#13850
üzenetére
:local toaddress xxx@gmail.com
:if ([/ping 8.8.8.8 count=10 size=64 interval=4s]=0) do={
:interface lte set lte1 disabled=yes
:delay 5s
:interface lte set lte1 disabled=no
:delay 20s
#/tool sms send lte1 message="LTE if restart" phone-number=+3620xxxxxxxx
/tool e-mail send to=$toaddress subject="LTE if restarted"
}lionhearted: tavaly is itt volt, lakókocsi elősátor, nem tudom, hogy ez mennyire épület
Marcelldzso: nem pipálod ki azt a band-t amit nem akarsz használni..., ha a B7 be van, akkor arra áll be.., egyébként lte jelre max körülit ír, de elmegy többször is. Ma kb 10x már..
-
bacus
őstag
Nem tudok 24h felcsatlakozva lenni, mert hajnalban 3x dobott le a hálózat. 3h21 , 4h38 majd 5h50-kor. Illetve ez nem tudom mi, mert egyszer csak nincs net, én tiltom majd engedélyezem újra az lte interfacet.
Ilyenkor csak a telefonom biztonsági mentése menne, ami megszakad. :(
Tavaly 5 hónapig észre se vettem, hogy egyszer is leállt volnaLehet Telekom se lenne jobb?
-
bacus
őstag
Valaki rajtam kívül még küzd a telenor LTE-vel a Balaton körül? Tavaly végig jó volt egy lte wap ac kitben használt sim kártyával, idén már scriptet írtam az lte interface újraindítására.
Azt sem értem, hogy míg notebookon egész tűrhetően megy (pl youtube videó nézegetés), de telefonon már az oldal betöltés is döccen (minden ugyan az mint tavaly, még a sim kártya is, előfizetés, telefon, notebook).
Amit nem értek, hogy kilövöm a wifit és a telefonban szintén telenoros kártyával már érezhetően gyorsabb.Lefrissítettem mindent, ros legfrissebb, firmware, lte modem firmware.
-
bacus
őstag
Én csak azon akadok fenn, hogy nincs google accountod
, hogy lehet ez? Se egy okos telefon -bár lehet az iphone-hoz nem is kell- se egyéb google szolgáltatást nem veszel igénybe? (térkép, fényképtár, fordító, podcast, forms, de még egy chrome böngészőt se szinkronizálsz?) -
bacus
őstag
válasz
yodee_
#13597
üzenetére
tools - netwatch
hozzáadod a figyelni kívánt ip címet, amikor él akkor up statuszban lesz, ebből következik, hogy a a down fülre megy a scriptez addig fog renew-t csinálni, amíg nem elérhető a figyelt ip, a timeout ne legyen kicsi, legyen idő helyreállni a kapcsolatnak, azaz 5-10 mp alá ne menj.
-
bacus
őstag
Jó lesz ez, szép lassan csepegtetsz még egy kis infot, aztán majd csak rájövünk, hol a hiba...
Még ez a két bejegyzés nem tetszik
add address=0.0.0.0/8 list=BlackListadd address=127.0.0.0/8 list=BlackListSzerintem ezeket le kéne tiltanod, főleg ha a másik router (telekom) címe is beleesik az elsőbe..
-
bacus
őstag
válasz
DonJoee
#13512
üzenetére
Most nekem fura, de mi ez a három interface? 3 wan kapcsolatod is van?
Ha igen, mert feltételezem, hogy igen, akkor a dst-nat szabályok mellett kellene pár mangle szabály is, mert nem fog működni mindhárom (csak a default gw felől) internetes átjáró felől.
Gondold el, hogy te WAN2 címen beküldesz egy csomagot, ami WAN1 címen válaszolgat.
Na most a forrás címen a WAN2 címről vár választ, azt tudja az ottani router is összekapcsolni (hogy related packet legyen), a WAN1, WAN3 ról érkező csomagok az invalid packet kategóriába kerülnek... -
bacus
őstag
válasz
ssarosi
#13428
üzenetére
Nem tudom miért van, de nekem a legfrissebb ROS és legfrissebb win10 (minden frissítéssel) megy a pptp, mindig is ment. Illetve nem, valamelyik win 10 frissítés után döglöttek le a pptp kapcsolatok, ott volt, hogy a win10-t állítottam, és volt, hogy l2tp váltás történt !
De egy hely sem volt, ahol ROS downgrade !Én elfogadom, hogy ez most jó megoldásnak tűnik a részedről, azonban az hosszútávon megbosszulja magát, ha nem tudsz frissíteni.
-
-
bacus
őstag
válasz
Reggie0
#13364
üzenetére
ok, biztosan igazad van, ennek ellenére nem szakad meg a beszélgetés, vagy ha pingelek kifele nincs csomagvesztés, miközben átvált a cap-k között. Gyakorlatban nekem ez nagyon vándorlásnak tűnik. Pár helyen beállítottam, mindenhol elégedettek.
Ami problémás, az inkább a "nem akar váltani" valamiért kérdése, de amikor valaki sétál a telefonjával, akkor szépen látszik, ahogy a cap-k között váltogat. -
bacus
őstag
válasz
Statikus
#13070
üzenetére
Számomra nem derült ki, hogy minek az LTE, kiváltani a vezetékest VAGY backup vonalnak.
Szerintem ezt kell eldönteni első sorban. Ha az LTE lesz a fő neted, akkor a wap ac lte6 mellé kell egy buta 24 portos switch és kész vagy.
Ha viszont az csak backup, akkor felesleges megvenned, mert az LTE részt fogod csak modemként használni és a továbbmenő router lesz az útválasztó. Ebben az esetben a lte6 kit wifijét nem is fogod használni.. (ha nem így teszel, akkor dupla NAT lesz)
Látatlanba mondom, hogy több AP-vel jobban jársz bármelyik "több szobás/helységes" irodába, legalábbis wifi szempontból. A 4011 jó, mellé egy switch jó, ha tényleg kell az LTE akkor wAP R fél árban van (azt is csak modemnek fogod használni).
Az USB stickes megoldások is teljesen jók lehetnek, DE
- nem tudod kültérre rakni
- a stickek nem annyira stablilak (gondolok itt arra, hogy melegszenek, meg azért elég fura ahogy kiáll a stick, az irodai szerver helységben nem is a legjobb a helye)
- könnyű elvinni, sokan nézik trombitánakén 4 évig használtam így egész nyáron egy hap-be dugva stciket, talán 1x sem kellett újraindítani, de kényszermegoldás volt.
-
bacus
őstag
De fordítva is igaz, ha már egyszer engedted, nem tudod tiltani, nem?
A lényeg, hogy ez már az optimalizálás része a tűzfalbeállításnak, amit azért a vége felé csinálunk. Első körben a funkcionalitás fontos, ha jól működik akkor jön az egyszerűsítés, majd a végén lehet optimalizálgatni.(vagy jó erős router kell, akkor meg lehet állni, ha már funkcionálisan megy
)Régebben egyébként írtam a két féle megközelítésről, hogy először tiltasz, aztán a többi mehet, vagy a fordítottjáról aminél elöször engedsz aztán tiltasz.
Ez a tervezés része (meg a szokásé), hogy ki mit tart jobbnak, illetve mire van szükség.
Mind a kettő lehet jó.(egyébként hasonlatos ez a valószínűség számítás, kombinatorika részhez, mikor annak a valószínűségét keresed, hogy egymás után 5x dobsz dobókockával, akkor egyszer sem lesz hatos..., itt is egyszerűbb megmondani annak a valószínűségét, hogy legalább 1x hatost dobsz, majd ezt kivonni 1-ből, hogy megtudd a kérdésre a választ)
-
bacus
őstag
Hát ez így ebben a formában NEM igaz.
Amit tudni kell (és számtalanszor elmondtam), hogy az első illeszkedő* szabályig folyik a kiértékelés, azaz NEM MEGY VÉGIG az összes szabályon! (baj is lenne, ha egy tiltás után folytatódna a kiértékelés és később mégis engedélyt kapna, vagy fordítva.) A legkevesebb terhelés érdekében azokat kell előre venni, amibe biztos belefut, és akkor sokkal kevesebb szabály kerül kiértékelésre.
(*illeszkedő - ami megfelel a feltételeknek)
Pl blokkolni akarsz egy IP tartományt. Ha ezt a végére teszed, akkor minden szabályon végig fog menni a tartományba eső IP, fogja a procit, és a legvégén kap egy DROP-t. Ugye beláthatjuk, hogy ez nem túl gazdaságos, no meg a blokkolás sem fog menni, ha előtte valami miatt kap egy ACCEPT-t.
Érdemes előre venni az established és related ill az invalid csomagokat, mert a tűzfalunk sokat gyorsul. (tulajdonképpen a fasttrack is ilyesmi, ami egyszer megkapta a fasttrack jelölést utána nem értékelődik már ki).
Ezek után jöhetnek a mindenkire érvényes tiltó majd az engedő szabályok, pl vpn, stb.
-
bacus
őstag
És mit javasolsz helyette? Mint írtam 2-5 fős cégek, napi 10-20 kimenő levél..
Miben különbözik egy külső szolgáltató smtp szervere (amiért fizetek és persze hitelesítés után küld levelet) és saját szolgáltatója (mail.telekom.hu) között?
Ezek a levelek ráadásnak nem érzékenyek, pl bérszámfejtéshez közlik a szabadságon töltött napokat dolgozónként, ilyesmi. -
-
bacus
őstag
A vodafone megvette a upc-t, ami annyiban érinti az összes volt upc ügyfelemet, hogy május 31-ével végleg kivezetésre kerül a levelező rendszerük, az SMTP szerver is !
Csak érdeklődnék, hogy ki hogy oldja meg ezt a feladatot? Ezek többségében 2-5 fős kis irodák, saját domain névvel, ahol a beérkező levevelezés, domain kezelés rendben van, küldeni pedig az smtp.upcmail.hu szerveren küldtek.
A gmail szigorított, nekem már nem sikerült úgy beállítani a levél küldést, hogy NE cserélje le a gmail smtp használatakor a levél fejlécét.
(elnézést, tudom, hogy nem ez a legauthentikusabb topik.)
-
#12831
bacus
őstag
Core2duo6600
#12829
bacus
őstag
válasz
Core2duo6600
#12829
üzenetére
"Logika szerint ott kéne lenne, ahol az ip beállításokat lehet elvégezni."
Ez miféle logika egy ROUTEREN ???? Mert egy akármilyen eszközön aminek van 1 db ip címe és egy darab átjáró elegendő, ott rendben van, de ez egy router.
-
#12805
bacus
őstag
allnickused
#12804
bacus
őstag
válasz
allnickused
#12804
üzenetére
röviden: jó
hosszabban: jó bonyolult
még hosszabban: jó bonyolult, de minek? -
#12803
bacus
őstag
allnickused
#12801
bacus
őstag
válasz
allnickused
#12801
üzenetére
A mikrotik default tűzfala is megfelel.
inputban
-engeded a lokális eszközöket
-engeded ami már established állapotban van
-esetleg engeded az icmp csomagokat
-eldobod az invalid csomagokat (még ez sem kell külön, mert a következő megteszi)
-tiltani winbox portot a nagyvilág és a helyi nem kívánt eszközökről
-engeded a vpn hez szükséges portokat, protokollokat
-minden más csomagot blokkolszforward
-engeded a lokális eszközöket (vagy egy részét, ha pl a tévét nem akarod kiengedni a netre)
-engeded ami már established állapotban van
-eldobod azokat a csomagokat, amik connection-nat-state=!dstnat és a connection-state=new (és a wan felől jön)ezt egy jó kis UPNP-vel hazavágni, hogy menjen a torrent
-
#12798
bacus
őstag
minimumgame
#12794
bacus
őstag
válasz
minimumgame
#12794
üzenetére
Ha szerinted az az oka, akkor tiltsd le valamelyik wifit, ha utána megjavulnak az apple eszközök akkor neked van igazad, ez az ok.
De én sem tartom ezt valószínűnek.
-
bacus
őstag
válasz
akos86
#12773
üzenetére
Elég zagyván fogalmazol, talán lehet rajzolni kellene, mert ebbe az X,Y,Z hálózatba csak belezavarodni lehet..
Egyszer régebben leírtam, -meg tudni sem ártana- , hogy mire való az átjáró.
A gépek a saját hálózatukba tudnak kommunikálni közvetlenül, minden ami ezen kívül esik a nekik az átjáróra küldik. (amiből van egy kiemelt a windownál, alapértelmezett átjáró)
A VPN létrehozásánál beállíthatod, hogy minden forgalmat a VPN-be terelsz, akkor az addig lokálisan létező hálózatod elérését elveszíted !!, hiszen már nem a helyi mikrotik router felé megy a forgalom, nem az az alapértelmezett átjáró, hanem bele a VPN-be.
Ha meg azt állítod be, hogy nem a VPN az alapértelmezett átjáró, akkor a túloldalon lévő egyéb alhálózatok nem elérhetőek.Ezt lokálisan felvett átjárók definiálásával tudod felülbírálni, ROUTE ADD parancs egy megemelt jogosultságú CMD ablakban...
Ugyanezt a VPN szerverek (de ha jól tudom mikrotik NEM) is tud rádkényszeríteni átjárókat, pl egy linuxon lévő OpenVPN szerver biztosan tud ilyet.Ha kliens oldalon nem akarsz ilyet csinálni, akkor a VPN kapcsolatot nem a számitógépeken hozod létre, hanem a két mikrotik között site2site VPN kapcsolatot.
-
bacus
őstag
válasz
Zwodkassy
#12740
üzenetére
Én ezt nem olvastam, akkor nem csak bátor vagyok, de műveletlen is.
Mivel lehet downgradelni is, ezért én még mindig nem látom a stable verzió használatának mellőzését, főleg egy picit elhalasztva. A mostani frissítés is egy hónappal később volt, mint a megjelenés. (egyébként nincs tele a net a problémámmal, lehet tényleg csak a 3011-es típust érinti, nem is tud róla mikrotik, ahol nincs PPPOE szintén nem tudnak róla)
Nálam két dolog ami problémát jelent:
1. ha olyan hiba kerülne bele, amivel feltörhetik a routert a net felől (elsősorban), mert belülről velem nem fordult elő, 1x találkoztam vele
2. ha elveszítem a kapcsolatot a routerrel, pl kinyírja a wan kapcsolatot egy frissítés, mert az ügyfeleim szanaszét vannak az országban, a legtöbbel még soha nem találkoztam személyesen, nem akarnék leutazni a világ végére egy ilyen hiba miatt. -
-
bacus
őstag
válasz
jerry311
#12732
üzenetére
kifejezetten a PPPOE érdekelne, Eger, optikai bejövő (ma kicserélte a telekom a dobozkáját), router ugyanaz 3011. Múlt héten frissítettem és lehet ennek a folyománya, hogy eldobja a kapcsolatot. Fix IP címük van, előtte nem igen bontott le a kapcsolat több napig.
Nem vagyok biztos benne, hogy csak a frissítés az oka, még kicseréltetem a patch kábelt a router és a telekom doboza között, hátha takarítottak és megmozgatták, érintkezési hiba van.
A PPPOE felépülése után a kapcsolat eldobása lehet 10perc és több óra is.
A másik ügyfélnél is 3011 van, ott digi, ott az eldobálás sokkal ritkább, max napi 1x, de eddig ez is kb heti 1x volt.
-
bacus
őstag
válasz
Beniii06
#12727
üzenetére
A frissítés indoka egyébként a wpa3 volt, ami szerintem még nem elérhető. Tehát az 5.x és a 6.x pont annyira védett / védtelen.
Zavarni tudják, de ez itt pont-pont kapcsolat, mivel 0-24 ben egymásra kapcsolódnak, ezért "helyébe" pl nem tud lépni csak eszköz meghibásodás esetén.
A frissítés kell, nem kell vitát lezárom, alapvetően mindenhol frissítek, kivéve egy pár spec eszköz, mint a fenti.
-
bacus
őstag
válasz
Beniii06
#12718
üzenetére
Valamit kihagytál még, ez egy pont-pont összeköttetés, csak egymás mac-jéhez kapcsolódnak, a titkosítás ugyan wpa2, de nv2-es protokollal, amit ugye csak mikrotik használ, ezt normál laptopról nem hiszem, hogy megtörik.
5 gigás eszköz (2 db 711 ha jól emlékszem), ami 10 éve még nem volt ennyire elterjedt.
Nem fizetik ki, már kifizették 10 éve, persze az eszköz ott van, de nem szokásom "elrontani" csak azért, hogy "megjavíthassam".
-
bacus
őstag
válasz
amargo
#12713
üzenetére
"ha arra nem jönnek a biztonsági frissítések,"
Szerintem meg nincs így ! Voltak olyan technológiák, amik már megjelenéskor rosszak voltak, feltörhetőek, pl web titkosítás a wifin, és még mikin is volt bug, amivel bizonyos verziók feltörhetőek voltak. (már aki engedte a nagyvilág felől is a winboxot).Ezeket valóban frissíteni kell. De ez nem egy olyan eszköz, amin állandóan változó kódot futtatsz, mint egy szgépen a böngésző, illetve az abban futatott java programok, stb.
Ezek cél eszközök.Ha az állításod igaz lenne, akkor milliós számban lehetne feltörni hálózatokat !, átjáró lenne az egész világ. A nem frissített routerek száma sokszorosa lehet a naprakészen tartottaknak.
Egyébként több ügyfélnél van mikros internet, ott a ros ugye látja a szomszédokat, egyáltalán nem a legfrissebb ros van a szolgáltatók eszközein.
"nem értek egyet"
Helyes.Beniii: "Akkor hogy fogja megtanulni a WPA3-at például? Benne van abban a verzióban?"
Sehogy, de miért is kéne? Az egy sok sok éve beállított link, 10+ éve üzemel (amikor az 5.26 volt a legfrissebb, akkor lett üzembe állítva), 30-40 Mbit közötti up/down ami még mindig tökéletes. Miért kéne piszkálnom? Hátha 45 Mbitet is ki tudok préselni az eszközből? -
#12712
bacus
őstag
lionhearted
#12710
bacus
őstag
válasz
lionhearted
#12710
üzenetére
Még sosem tettem nappali közepébe a routert
A kicsi feleségem azt se tudja, hol van a router, meg minek is tudná? (pedig 4 db is van a lakásban) A gyerekeim is csak azt tudják, az ő szobájukban hol van, mert rá kellett dugni már az xboxot.. betyár: "elég idegen számomra a gui-ja" , de megnézted a miki gui-ját? Néha itt is csak cli-ben tudsz valamit átállítani. Erős hálózati ismeret kell bizonyos beállításokhoz.
A reboot lassú? De mégis mennyi időnként akarsz rebootolni? Maximum a frissítéskor rebootolok (meg áramszünet után). Viszont nem teszek fel minden frissítést, van ügyfélnél eszköz amin még 5.26 verzió van, egy wifi linket visz két épület között a belső hálózatban van, minek frissíteném?
Lehet azért nem jön frissítés (pl egy tp-linkre), mert azon a szinten kimaxolták a lehetőségeket. Ami jól működik, azt nem kell megjavítani...
-
bacus
őstag
válasz
betyarr
#12689
üzenetére
"de tényleg jó lenne már egy olyan router,amivel meg vagyok elégedve"
Mennyire nem vagyunk egyformák !? Nekem az a jó router, amit felprogramozok és teszi a dolgát, sosem fagy le, stb., lehetőleg ki tudja használni a sávszélességet, de ez már sokszor másodlagos. Te mivel lennél megelégedve? Mit kell tudjon egy routernek? Főzzön ebédet, mossa ki a ruhákat?
Engem még a router kinézete SEM érdekel, mindig értetlenkedve olvasom, mikor közlik, hogy olyan designos formája van, hogy ez lehet a nappali dísze..., a csodás ívelt formák a 12 mimo antennával lehet családi gyűrű tartó az asszony pipere asztalkáján, vagy mégis hogy kell érteni ?!
-
bacus
őstag
Amit írtál az rendben van, de tipikus, amikor fordítva jobban működik.
Te eldobod azt aki itt próbálkozik, de egyébként végig megy a normál tűzfal szabályaidon, ahelyett, hogy beengednéd azt akinek szabad, aztán mindenki mást eldobnál.A mindenki másnál nincs különbség, de az aki bejöhet, annak végig kell menni a szabályokon, amíg egyszer csak accept vagy drop szabályt nem kap.
Egyébként, én nem így csinálnám, rdp portot kitenni a netre nem szerencsés, egy ip cím mögött ki tudja hány eszköz lehet, főleg ha vpn def gateway is lehet az ottani router, szerver, stb., azaz a távoli "biztonságos" helyet megtörve már egyenes az út hozzád. Nincs rálatásod esetleg a távoli eszköz biztonságára.
-
#12624
bacus
őstag
atlagenber
#12619
bacus
őstag
válasz
atlagenber
#12619
üzenetére
menj be a bridge beállításokhoz, és állítsd át proxy-arp-re
-
#12614
bacus
őstag
atlagenber
#12612
bacus
őstag
válasz
atlagenber
#12612
üzenetére
Ez nem jó, nem szabad ugyan azt a poolt használni amit a dhcp is kioszthat, mert ki is osztja.
Két pool kell egymás mellett, mondjuk 10-30 vpn pool, 50-150 dhcpNincs hátránya azonos tartománynak, ha van elég ip címed, akkor jó lehet ez így.
Kérdésem lenne, hogy mit jelent a "látszanak". Nem tudod pingelni? vagy ezeknek saját webes management felülete van? netán csak "név" szerint nem működik pl a nas?
-
#12608
bacus
őstag
atlagenber
#12607
bacus
őstag
válasz
atlagenber
#12607
üzenetére
látod, hogy kell, különben már most menne
pár hsz-el előbb megírtam, hogy akár egy rossz srcnat szabály is lehet a ludas, ami a normál poolból minden fele natol.
Kicsit többet kéne látni a tűzfal szabályaidból.
-
bacus
őstag
válasz
Pille99
#12571
üzenetére
Én kihasználnám, hogy ezek buta switchek. Arra gondolok, hogy lenne egy alhálózat (pl 192.168.100.0/24), ahol nincs DHCP, kézzel osztott IP címek vannak, illetve lenne a mostani alhálózatod ahol a miki osztogatja a címeket.
Minden eszköznek, ami fix és mindent elérhet, TE megadod az ip címét a fenti tartományból.A mikin a bridgehez két IP címet is hozzárendelsz, mindkét tartományból egyet.
Ez nem szép, nem elegáns, de működő megoldás, tudsz a mikin tiltást adni, hogy milyen addres list mehet a másik hálózat felé.
A szebb megoldás az lenne, ha mikin két bridge interface lenne, mindkettőn mehet dhcp, a mikrotik portjait pedig hozzárendeled a megfelelő bridghez. (NAS lehet rossz helyen van..)
A wifin csatlakozó eszközök, amik kaphatnak hozzáférést azoknak a kiosztott ip címeit fixálni kell. Az új wifi felcsatlakozók alapból csak netet kapnak.
A még szebb, jobb megoldáshoz mikrotik AP-k kellenének, capsmannel.
-
bacus
őstag
válasz
Pille99
#12566
üzenetére
De érzed a logikai bukfencet? Ha a mikrotik helyett egy switchet raksz és mindenkinek beállítod azt az ip címet amit a miki osztott volna, akkor is látják egymást az eszközök (netet nem) de egymást elérik. Nem kell hozzá router, mert egy alhálózatban vannak.
A közös bridge gyakorlatilag egy switch ! Mit szeretnél a mikrotiken szűrni?
-
bacus
őstag
válasz
Pille99
#12564
üzenetére
A routered fizikai portjai egy bridge-ben vannak? Az IP címet a routered osztja?
A rajzod abból hiányos, hogy nem látok rajta ip címeket, amiből kiderülne a fenti két kérdésHa így van, akkor a belső hálózat forgalma nem szűrhető a routeren.
A két alhálózat előnye, hogy a forgalom a routeren keresztül megy, ott lehet tűzfal szabályokkal (address list szerint is) engedni, tiltani, stb.
A NAS elhelyezése pl mindenképpen problémás, mert azonos switchen van (feltételezem ezek nem managelhető switchek) mint az AP.Ha managelhető switcheket használsz, akkor fizikai átkábelezés nélkül is VLAN-okkal megoldható amit szeretnél.
-
bacus
őstag
-
#12543
bacus
őstag
Core2duo6600
#12542
bacus
őstag
válasz
Core2duo6600
#12542
üzenetére
procedure helyesen, most nézem, nekem is mire javította az autocorrect
-
#12541
bacus
őstag
Core2duo6600
#12536
bacus
őstag
válasz
Core2duo6600
#12536
üzenetére
"Mit értesz a
Az átláthatóságot nagyban megkönnyíti, ha már az elején saját chainekbe rakja az ember a szabályokat, -on?"Nehéz ezt megfogalmazni, ha ezt a kérdést feltetted
Irtál valaha is programot bármilyen nyelven? Basic-ben subrutinnak, más nyelveken prodecure -knek hívják, amikor a folyamatból kiugratsz egy kódrészletbe, majd az visszatér.
Ilyesmi a saját chain is, pl azt szeretném, hogy bizonyos portokat használókról log bejegyzés készüljön, sőt bizonyos esetekben dobja el, vagy épp fogadja el a csomagot, stb, pl ki használ ftp-t.Itt lehet felvenni ilyen szabályokat az input chainbe (mondjuk 10 szabályból áll ez a rész), meg ugyan ezeket a szabályokat a forward chainbe is (ez újabb 10 szabály), de elegánsabb, ezt a 10 szabályt kiemelni egy saját pl FTPUSERS chainbe, majd egy egy jump utasitással beleugratni mindkét (input és forward) chainből ide, így azon kívül, hogy 12 szabálysor lett a 20 helyett, könnyebb átlátni, illetve nem marad el javítás mindkét chainbe...
Amennyiben nincs illeszkedő szabály, akkor visszatér a jump utáni részbe a kiértékelés, ha van, akkor pedig ott befejeződik.
Én általában létrehozok egy ICMP chaint, ahol a pingelés miatti szabályok vannak felvéve, ha kell logolni akkor sokszor van egy VIRUS chain, ami mondjuk az ismert portokat blokkolja, logolja, és persze egyéb PORTSCAN, UGYFELTIP1, UGYFELTIP2 (ügyfél tipus profilok), stb.
Ugyan ezt meg lehet csinálni a NAT szabályoknál is, ott ugye az alap srcnat és dstnat chain-eket lehet bővíteni.
Az átláthatóságot pedig azért növel, mert hiba kereséskor egyszerűen le tudod szűrni, hogy csak az adott chain szabályai látszódjanak, így nem kell 50-100 szabályt görgetni, átlátni, elég
azt a releváns 5-10 szabályt átnézni egyszerre, illetve ezt kiegészítve a címlistákkal, pedig könnyen besorolhatóak az ügyfelek (külsősök) típusokba, ki mit ér el, mihez kap hozzáférést.Mielőtt még mazohistának néztek az alap tűzfal konfig messze nem ilyen bonyolult
-
#12535
bacus
őstag
Core2duo6600
#12533
bacus
őstag
válasz
Core2duo6600
#12533
üzenetére
Ha a routeren nincs tiltó tűzfal szabály, akkor nem kell nat két alhálózat között, de a windows csak a saját alhálózatában keres. Nem tudom, hogy mi az ami blokkolja, de a windows tűzfalon is engedni kell az elérést.
Az is lehet, hogy simán a NAT miatt a windows tűzfal már beengedi a másik gépet (látszólag azonos alhálózatból jön a kérés), de lehet a routeren is probléma.A tűzfal szabályok kiértékelése sorrendben történik, az első "illeszkedő" szabály után pedig nem folytatódik.
Amikor két (v. több) alhálózat is van, és mindkettőnek szeretnénk internet elérést biztosítani, azt meg lehet valósítani több megoldással, mind lehet jó.
pl
chain=srcnat action=masquerade src-address=192.168.0.0/24
chain=srcnat action=masquerade src-address=192.168.1.0/24Ez a két szabály pont ugyan annyira jó, mint a
chain=srcnat action=masquerade out-interface=WANde a fő különbség, nem csak az, hogy a második esetben csak egy szabály van, hanem, ebben az esetben egymás felé nincs NAT !, míg az első esetben igen.
Ezért sokszor értelme lehet bizonyos "látszólag" nem értelmes szabályoknak is.
pl
chain=srcnat action=accept src-address=192.168.0.0/24
dst-address=192.168.1.0/24 log=no log-prefix=""
chain=srcnat action=accept src-address=192.168.1.0/24
dst-address=192.168.0.0/24 log=no log-prefix=""Ez a szabály "látszólag" nem csinál semmit, csak megállítja az esetleg utána következő NAT masquarade szabályt.
Tehát ha a fenti szabályokat betesszük a fenti két masq. szabály elé, akkor pont ugyan ott tartunk, mint a lenti 1 szabálynál.
Az én gondolatmenetemben az a jó tűzfal konfiguráció, ami a lehető legkevesebb szabállyal valósítja meg ugyanazt a feladatot. A való életben főleg amikor 200 tűzfalat tartasz karban
, azonban célszerű lehet a túl egyszerűsített szabályokat beszédesebbé, később bővítéskor is egyértelművé tenni, hogy egy új szabály létrehozása ne rombolja szét, stb. (ehhez nem a commentelés a jó megoldás, segít, de nem old meg semmit)Szóval a fenti 1 ill 4 szabály helyett esetleg az arany középút:
pl
chain=srcnat action=masquerade src-address=192.168.0.0/24
out-interface=WAN
chain=srcnat action=masquerade src-address=192.168.1.0/24
out-interface=WANszabályoknál egy esetleges harmadik alhálózat létrehozásakor is tiszta a kép.
Az átláthatóságot nagyban megkönnyíti, ha már az elején saját chainekbe rakja az ember a szabályokat, de a lustaság fél egészségNos, mivel nem tudom milyen szabályaid léteznek, mivel tiltasz, milyen sorrendben, ezért a válaszom, hogy FOGALMAM SINCS miért kellett valójában a nat szabályod
-
#12532
bacus
őstag
Core2duo6600
#12531
bacus
őstag
válasz
Core2duo6600
#12531
üzenetére
mondasz még valami hasznos infot vagy szeretnéd hogy találgassunk?
3. emelet, nincs lift 
Új hozzászólás Aktív témák
Hirdetés
- Samsung Galaxy Felhasználók OFF topicja
- Galaxy Z Fold6-hoz viszonyítva mutatják, mennyivel lesz vékonyabb a Z Fold7
- Autós topik
- Windows 11
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- Medence topik
- Milyen légkondit a lakásba?
- Melyik tápegységet vegyem?
- BestBuy topik
- Kínai és egyéb olcsó órák topikja
- További aktív témák...
- Xbox Series S + 2 kontroller
- Dell laptop eladó i5 11. gen, 8GB RAM, 512GB SSD, újszerű állapotban!
- Bomba ár! HP EliteBook Folio 1040 G1 - i5-G4 I 8GB I 256GB SSD I 14" HD+ I Cam I W10 I Garancia!
- Bomba ár! HP Elitebook Folio 9470M - i5-3GEN I 8GB I 256GB SSD I 14" I DP I Cam I W10 I Garancia!
- Bomba ár! Dell Latitude 5430 - i7-1255U I 16GB I 512SSD I HDMI I 14" FHD I Cam I W11 I NBD Garancia!
- Lenovo Legion 5 Gaming. Az ár irányár, komoly érdeklődés esetén van lehetőség egyeztetésre
- Csere-Beszámítás! Asztali számítógép PC Játékra. I5 12400F / RTX 3070 / 32GB DDR4 / 1TB SSD
- Acer Nitro 5 -AN515 - 15.6"FHD IPS 144Hz - i7-11800H - 16GB - 512GB SSD+1TB HDD -RTX 3050 - Garancia
- Bomba ár! Dell Inspiron 15 3511 - i5-11GEN I 8GB I 256SSD I HDMI I 15,6" FHD I Cam I W11 I Gari
- BESZÁMÍTÁS! MSI Z370 i5 9500 16GB DDR4 512GB SSD RX6600 8GB Cooler Master MB510L Chieftec 500W
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest