- Erős hardverrel érkezik a Honor 10 000 mAh-s mobilja
- Megérkezett a Google Pixel 7 és 7 Pro
- Európa exkluzív Edge 60 Fusion színe a Mocha Mousse
- iPhone topik
- Honor Magic V5 - méret a kamera mögött
- Samsung Galaxy Z Fold7 - ezt vártuk, de…
- Samsung Galaxy A54 - türelemjáték
- Samsung Galaxy Watch (Tizen és Wear OS) ingyenes számlapok, kupon kódok
- Milyen okostelefont vegyek?
- Samsung Galaxy Watch6 Classic - tekerd!
Hirdetés
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Reggie0
félisten
válasz
Zwodkassy
#15030
üzenetére
Hat, akkor nem kell az a ket szabaly. En ugy ertettem, hogy ether1-ether22-es portokon lognak a helyi eszkozok, amelyek ellatnak a 20-as es 30-as vlanban, de a 20-as es a 30-as vlan nem lehet osszekotve egymassal, mert az ket tavoli hely.
Ha a 20-as es 30-as vlan osszekotheto, akkor az egyik site-on at kene szamozni, hogy egyezzen, vagy megszuntetni az egesz vlanozast.Sajnos a mac learning tabla a switch ic-ben kozos, igy a port isolationnal nem lehet trukkozni, pedig ugy meg lehetne oldani switch ic-n belul, ha 2x 1-1 portot visszahurkolsz.
-
#15029
Alteran-IT
őstag
Zwodkassy
#15026
Alteran-IT
őstag
válasz
Zwodkassy
#15026
üzenetére
Nem azért mondtam, hogy esetleg megsértselek vagy ilyesmi, csak sajnos ez így akkor is hülyeség, ugye fentebb taglaltam, hogy miért.
Ugye meg lehet oldani azzal a konfigurációval amit Reggie0 is írt, mondjuk én lehet módosítanék rajta, de nem az a lényeg, hanem hogy konkrétan nem erre találták ki a VLAN-t, másrészt további problémák fognak felmerülni.
Ugye nem mondtad a hozzászólásomra, hogy nem úgy van ahogy nekem lejött az egész és leírtam, ezért ugye az lesz a probléma, hogy ha te összefűzöl két "ugyan olyan" hálózatot (két ugyan olyan IP hálózatot), akkor még ha 1-1 hálózatban dinamikus fix IP címek is vannak, a harmadik hálózatban, ahol te össze akarod fűzni őket, ott kérdés hogy melyik kliens honnan kapja majd az IP címet, meg ugye melyik átjáró fele megy a forgalom és ha csak simán fűzöd össze, akkor már csak az átjárók IP címe kapcsán is ütközés lesz és a többi problémáról nem is beszélek.
Vagy eleve a két hálózatot össze kellene vonni egy hálózattá, ha már úgy is össze lesznek kötve a 3. épületben lévő switch-en keresztül, vagy meg kellene változtatni legalább az egyiken lévő IP tartományt, főleg ha mindkét telephely külön internethozzáféréssel rendelkezik és akkor a 3. telephelyen routing-al meg lehetne oldani a dolgot, ott lenne egy 3. hálózat, a 3 hálózatot meg összeroute-olod, azt mindegyik elér mindent, viszont ha a 3. telephelyen nem lesz internet hozzáférés, akkor ugye el kell dönteni, hogy onnan hova megy a netforgalom, vagyis a 2 telephely közül melyiken megy majd ki.
Tehát nem az a konkrét baj, legalább is szerintem, hogy megoldható-e ez MikroTik alatt, mert megoldható, a gond inkább az, hogy további problémák lennének, amiket megint meg kell oldani, ezért érdemes lenne valahogy az egészet átszervezni, legalább is szerintem, bár ez a tényleges helyzettől van, mert ugye most sem erősítetted meg, de éppen le sem tagadtad, hogy úgy van-e ahogy én gondolom a hálózatot az általad leírtak alapján, viszont ha úgy van, akkor ez így eléggé problémás, legalább is szerintem.
Persze ugye felvázoltam, hogy össze kellene vonni a 3 telephelyet 1 hálózattá a 3. helyen keresztül ha már van kapcsolat, na de ugye csak annyit tudok, hogy van egy kapcsolat mire van VLAN létrehozva, na de hogy az most stabil kábeles kapcsolat-e vagy mondjuk mikrós stb... azokat megint nem tudom, így ez is csak egy ötlet, ami nem biztos hogy hálózat stabilitás, illetve redundancia szempontjából megfelelő, ezért esetleg maradna a routing és a 3. helyen is külön netkapcsolat, vagy valami hasonló, hogy el is érje egymást az összes eszköz, de mondjuk szakadás esetén mindenhol maradjon internet és így tovább.
Na de lényeg, hogy csak leírtam mi a probléma, meg alapjában véve mire van a VLAN, meg ugye meg lehet azt csinálni amit kérdeztél, csak a fent leírt tények alapján ha úgy van ahogy én elgondoltam a leírásod alapján, kérdés hogy érdemes-e ezt így megcsinálni. -
Reggie0
félisten
válasz
Zwodkassy
#15027
üzenetére
A vlan interfesz az azt csinalja, hogy a hozza parositott interfeszen fogadja es kuldi a tagged csomagokat, de maga a vlan interfeszen folyo forgalom mar untagged. Ha ezt berakod a bridge-be portkent, akkor az lesz, hogy minden a bridgen folyo forgalom ki tud menni a vlan interfeszhez rendelt interfeszen taggelve. Ennek hatranya, hogy ha ket kulonbozo vlan interfeszt osszehuzol egy bridgeben, akkor lenyegeben a vlan id-t forditja a ket vlan kozott, azaz a ket forgalom atmegy.
Peldanak:
Ha bejon a bridgere egy untagged, pl ether2 portrol egy csomag, akkor az kimehet a v20-ra es akkor a v20 interfesz felrakja ra a 20-as vlan id-t es kikuldi ether23-on. De kimehet a v30 fele is, es akkor a v30 interfesz felrakja ra a 30-as vlan id-t es kikuldi az ether24-en.
A ket vlan-t igy koti ez ossze:
Bejon egy packet az ether23 interfeszen 20-as vlan idvel, akkor a v20 interfesz fogadja azt, leszedi rola a vlan tagot, es bemegy a bridge 1-be sima natur untagged csomagkent. Onnan a bridge tovabbiranyitja a v30 interfesz fele, ami megtaggeli a csomagot a 30-as vlan id-vel es kikuldi az ether24 interfeszen. Tehat lenyegeben ami bejott az ether23-ason 20-as vlanban, az kimegy a 24-esen 30-as vlanba. Es visszafele is. Ezert kell a bridgen keresztuli forwardot megtiltani a ket vlan interfesz kozott.Mivel az ott levo eszkozok az ether1-ether22 portokon vannak igy a ket szabaly kozul egyik sem fog lefutni rajuk, tehat ezek az eszkozok egyaran kilatnak a 20-as es a 30-as vlanba. A szabaly csak azt akadalyozza meg, hogy a 20-as vlanbol a 30-as vlanba atlasson es forditva a 30-as vlanbol a 20-as vlanba atlasson.
-
Reggie0
félisten
válasz
Zwodkassy
#15020
üzenetére
Hat, csunya megoldast csipobol tudok:
/interface
vlan add interface=ether23 name="v20" vlan-id=20
vlan add interface=ether24 name="v30" vlan-id=30
bridge add name="bridge1"
bridge port add bridge="bridge1" interface=ether1
bridge port add bridge="bridge1" interface=ether2
bridge port add bridge="bridge1" interface=ether3
bridge port add bridge="bridge1" interface=ether4
bridge port add bridge="bridge1" interface=ether5
bridge port add bridge="bridge1" interface=ether6
bridge port add bridge="bridge1" interface=ether7
bridge port add bridge="bridge1" interface=ether8
bridge port add bridge="bridge1" interface=ether9
bridge port add bridge="bridge1" interface=ether10
bridge port add bridge="bridge1" interface=ether11
bridge port add bridge="bridge1" interface=ether12
bridge port add bridge="bridge1" interface=ether13
bridge port add bridge="bridge1" interface=ether14
bridge port add bridge="bridge1" interface=ether15
bridge port add bridge="bridge1" interface=ether16
bridge port add bridge="bridge1" interface=ether17
bridge port add bridge="bridge1" interface=ether18
bridge port add bridge="bridge1" interface=ether19
bridge port add bridge="bridge1" interface=ether20
bridge port add bridge="bridge1" interface=ether21
bridge port add bridge="bridge1" interface=ether22
bridge port add bridge="bridge1" interface=v20
bridge port add bridge="bridge1" interface=v30
bridge filter add chain=forward in-interface=v20 out-interface=v30 action=drop
bridge filter add chain=forward in-interface=v30 out-interface=v20 action=dropViszont ez procibol fog menni, az meg nem valami combos a switchen. A vlanozas nem erre van kitalalva alapvetoen. Ha kell savszel is, akkor inkabb a switchet meghagynam sima switchnek es a vlanok valamint a switcheiden levo cuccok osszehuzasat egy routerre biznam.
-
#15024
Alteran-IT
őstag
Zwodkassy
#15022
Alteran-IT
őstag
válasz
Zwodkassy
#15022
üzenetére
A Mikrotik tud VLAN-t kezelni, csak szerintem akik ezt kitalálták, azok nem tudják hogy mit akarnak, vagy csak én nem értem még mindig, de akkor lebontom magyarul, hogy mi van:
Szóval van A épület, ahonnan jön egy kábel 10-es VLAN-on és ott mondjuk 192.168.0.0/24 hálózat van, aztán van B épület, ahonnan szintén jön egy kábel, de már 20-as VLAN-on és a hálózat ugyan úgy 192.168.0.0/24, mert ugye azt írtad, egy "subnet"-en van mindenki, csak külön külön épületekben, na már most akkor ennek így mi értelme van? Az a két épület kommunikál egymással, mert ha igen, akkor hozzátok a 3. épületbe miért megy ugyan az a hálózat két különböző VLAN-on?
Tehát vagy ilyen hülyén van megoldva (mert ez tényleg az, de ezek szerint akkor valószínűleg két internet előfizetés is van, már ha a két épület ugyan azon a hálózaton nem kommunikál egymással, bár egyébként miért érkezne hozzátok két külön VLAN-on ugyan az a hálózat), vagy még én nem értem mindig.
Először ezt kellene pontosan tisztázni, aztán tudnék megoldásokat javasolni, mert egyébként ha ugyan azt a két hálózatot összehozod egybe a ti 3. hálózatotokon, akkor ott lesznek majd IP ütközések meg egyebek, már ha jól értelmeztem a jelenlegi állapotot, meg hogy hogy akarod megvalósítani, bár megmondom őszintén, számomra ez így nem túl érthető, mert vagy rosszul mondod el, vagy tényleg ilyen hülyén van megoldva, viszont akkor talán mást kellene kitalálni. -
#15019
Alteran-IT
őstag
Zwodkassy
#15015
Alteran-IT
őstag
válasz
Zwodkassy
#15015
üzenetére
Esetleg egy konfigot nem tudnál bedobni, mert akkor érthetőbb lenne mondjuk a mostani állapot, mert nem tudom, hogy most a 2 tagged port az végül is trunk port, vagy mi, mert egyébként nem feltétlen látom értelmét a tagged-nek sem, mert másképp felesleges a címzés, untagged esetén is csak azért raksz hozzá pvid-t, hogy tudja a port, hogy melyik vlan-ból érkező forgalmat irányítsa a portra és ugye utána eltávolítja a címkézést, ha csak nem tovább megy tagged-ként egy másik trunk portra a forgalom.
De ha meg minden porton lévő eszköznek tudnia kell kommunikálnia egymással, rakd be mindegyiket egy vlan-ba, akár a vlan1-be amibe alapértelmezetten van, vagy resetelheted is a a switch-et akár, mondjuk attól függ milyen switch-ről van szól.
Ha meg az a feladat, hogy legyenek külön hálózatban egyes eszközök, de tudjanak beszélgetni egymással, akkor a routeren létrehozol annyi hálózatot, ahányra szét kell bontani a switch-en lévő eszközöket, trunk porton átlököd őket a switch-re, ott szétosztod a megfelelő vlan-okra a portokat, azt kész, még csak tűzfalszabály sem kell, mert alapértelmezetten a mikrotik átjárást biztosít a rajta létrehozott hálózatok között és akkor a 192.168.0.0/24-ből tudnak kommunikálni az eszközök a 192.168.1.0/24-es hálóval és fordítva, na de egyébként a pontos koncepciót még mindig nem értem, mert azt akarod hogy mindegyik eszköz kommunikálni tudjon mindegyikkel, de hogy most hogyan is akarod megvalósítani, azt nem értem, mert ugye belementél a VLAN témába, de ehhez alapértelmezetten nem kell VLAN, az pont a szegmentáció miatt van, bár mondjuk mint fentebb írtam, a szegmentált hálózatokat is lehet összekötni a fent említett példával, mert ugye a VLAN-okat nem csak azért hozták létre, hogy adott eszközök ne tudjanak kommunikálni egymással, hanem hogy sok eszköz egy hálózatot úgymond ne "szemeteljen tele", ha már szakmaiatlanul fogalmazunk, csak ugye egyébként a forgalomirányítási/kommunikációs terhet így átrakod a routerre. -
Reggie0
félisten
válasz
Zwodkassy
#15011
üzenetére
Csak egy pvid lehet egy interfeszen. A PVID lenyege, hogy a bejovo untagged csomagot taggolja. Ha belegondolsz, honnan tudna, hogy melyik tag-ot rakja ra? Ha duplazod a csomagokat es az untaggedbol csinalsz egy-egy taggedet, akkor duplajara no a kihasznalt savszel a bridgen.
Ha azt akarod, hogy mindket vlan-nal legyen mindket portrol, akkor mert nem egy vlan-ba rakod oket? Ha azt szeretned, hogy a ket accessporton ne legyen forgalom egymas kozott, akkor rakd egy vlanba oket es bridge filtert dobjal a ket port koze.
#15009 Zwodkassy: Nem, a ket konfig nem ugyanaz. Az utobbi az 123,321-et mind a ket interfeszhez hozzarendeli, az elobbi pedig egyiket az egyik interfeszhez, masikat a masik interfeszhez.
-
#15012
Alteran-IT
őstag
Zwodkassy
#15011
Alteran-IT
őstag
válasz
Zwodkassy
#15011
üzenetére
Most mit akarsz konkrétan egyébként? Mert én eléggé benne vagyok a VLAN témába, még otthon is az van (mondjuk az túl van bonyolítva a buzi TP-Link switch miatt és eleve 3 bridge van, egy külön a trunk-nek), de nem tudok kijönni abból, hogy mit is akarsz pontosan.
Az Access port általában egy VLAN-hoz van hozzárendelve, melyre általában egy végponti eszköz megy, vagy egy olyan eszköz, amely azt a vlan-t osztja tovább (pl. switch, ap stb..., gyakorlatilag ez az "untagged"), de ugyan így baszhatsz mondjuk Trunk portra is switch-et vagy AP-t, csak annak tudnia kell kezelni a "gerincen" (ugye tagged-ről beszélünk) és később szétbontani Access portokra, azaz a konkrét VLAN-okra, persze címkézetlen formában, de ezért is nem értem, hogy mit is akarsz most. -
Reggie0
félisten
válasz
Zwodkassy
#15000
üzenetére
/interface bridge port
add bridge=bridge1 interface=ether24
add bridge=bridge1 interface=ether1 pvid=123
add bridge=bridge1 interface=ether2 pvid=321
/interface bridge vlan
add bridge=bridge1 tagged=ether24 untagged=ether1 vlan-ids=123
add bridge=bridge1 tagged=ether24 untagged=ether2 vlan-ids=321
/interface bridge vlan
add bridge=bridge1 tagged=ether24 untagged=ether123,ether321 vlan-ids=123,321 -
Reggie0
félisten
válasz
Zwodkassy
#14977
üzenetére
Audience LTE6-on tesztelve egy darab klienssel AX200-as intel wifivel.
Mert ertekek (Mb/s=Mbit/s):
|FEL(Mb/s)|LE(Mb/s)|FEL(Mb/s)|LE(Mb/s)|
Helyszin | hagyomanyos | wifiwave2 |
---------+------------------+------------------|
asztal | 130 | 400 | 330 | 490 |
---------+------------------+------------------|
nappali | 118 | 285 | 225 | 470 |
---------+------------------+------------------|
agy | 53 | 100 | 120 | 250 |
---------+------------------+------------------|
WC | 68 | 170 | 212 | 340 |
---------+------------------+------------------|
konyha | 27 | 76 | 100 | 155 |
-----------------------------------------------| -
#14917
Alteran-IT
őstag
Zwodkassy
#14916
Alteran-IT
őstag
válasz
Zwodkassy
#14916
üzenetére
Hát nem tudom, én kevesebb lépésben leírom, hogy Winbox-ban melyik menüponton és almenüponton belül és ott melyik fülön belül kell mit beállítani, mint amíg beírod a kódot, főleg hogy ugye míg Winbox-ban látod is rögtön a DHCP szerepköröket, azok hálózatait stb... addig ugye konzolba ezt pluszba be kell pötyögni, példát kell erre is írni stb....
A profizmus nem a konzolnál kezdődik, tudom sok helyen sokan leragadtak annál, ahogy az ország is kb. a múltszázadban, de azért na ....Tudom, van amit én is konzolból csinálok, mert tudom úgy is, meg néha muszáj (néhány linux szerver kezelése nem is megy máshogy normálisan, na de ne menjünk bele annyira, mert ebbe is meglenne a véleményem és a Linux atyját is elküldeném oda ahova való, de az nem Mikrotik téma), de amit nem muszáj és leírni is egyszerűbb máshogy, azt nem kell túlbonyolítani, de ha még az illető konzolba is akarta volna, code meg egyéb nem kell hozzá, olyan egyszerűen megadható, ahogy te le is írtad, na de kinek a pap, kinek a papné, én nem szeretem túlbonyolítani a dolgokat, mert akkor több a hibalehetőség, egyedül csak akkor bonyolítok valamit túl, ha úgy jobban, precízebben kevesebb hibával megoldható, de ebben az esetben ez nem éppen így van. -
#14915
Alteran-IT
őstag
Zwodkassy
#14910
Alteran-IT
őstag
válasz
Zwodkassy
#14910
üzenetére
Igazából ha nem SSH-n vagy egyéb terminális üzemmódban nyomod nem, de amúgy sem, Winbox alól pl. 3-4 kattintás hogy eljuss a networks részre a DHCP-n belül, ott meg hozzáadsz annyi DNS szervert, amennyit szeretnél olyan sorrendben, ahogy szeretnéd és nem kell annyit gépelni, de látom volt itt már egy kis vita a mazochisták és a kicsit egyszerűbb megoldásokat kedvelők között, szóval hagyjuk inkább
-
bogyo74
tag
válasz
Zwodkassy
#14906
üzenetére
Köszi. A mikrotiken már néztem, ott nem mond semmi érdekeset.
Amit terveztem, ha legközelebb arra járok:
- átállítom a mikrotik loglevel-t valami bőbeszédűbbre
- megnézem a szolgáltatói router log-ját, ha kapok hozzá jelszót.
- próbálkozok még egyéb titkosítás beállításokkal is. -
válasz
Zwodkassy
#14882
üzenetére
Félbe kellett hagynom a szerkesztést.
Szóval! Két féle utat látok.
Első:
/interface vlan add interface=ether5 name=Vlan-11 vlan-id=11
/interface bridge port add bridge=Br-Lan interface=ether1
/interface bridge port add bridge=Br-Lan interface=ether2
/interface bridge port add bridge=Br-Lan interface=ether3
/interface bridge port add bridge=Br-Lan interface=ether4
/interface bridge port add bridge=Br-Lan interface=Vlan-11Második:
/interface bridge add auto-mac=yes igmp-snooping=yes name=Br-Lan protocol-mode=none vlan-filtering=yes
/interface vlan add interface=Br-Lan name=Vlan-11 vlan-id=11
/interface bridge port add bridge=Br-Lan interface=ether1
/interface bridge port add bridge=Br-Lan interface=ether2
/interface bridge port add bridge=Br-Lan interface=ether3
/interface bridge port add bridge=Br-Lan interface=ether4
/interface bridge port add bridge=Br-Lan frame-types=admit-only-vlan-tagged interface=ether5
/interface bridge port add bridge=Br-Lan interface=Vlan-11
/interface bridge vlan add bridge=Br-Lan tagged=Br-Lan,ether5 vlan-ids=11A legvégén mindenképen a RouterOS intézi a VLAN kezelést, nem?
-
Reggie0
félisten
válasz
Zwodkassy
#14812
üzenetére
Csak az ether5-on jovo packeteket fogja atiranyitani, ha mas portrol jon, akkor mehet barmerre.
#14813 Zwodkassy: new-dst-ports=""
#14808 jerry311: Nem kell a mirror, mert nem atiranyitani akar, hanem leszurni a masfele menoket. Nyilvan azt akarja, hogy a broadcastot mas ne kapja meg.
A masik, hogy a mirror nelkul a new-dst port atiranyitja a csomagot. Ha rateszed a mirrort, akkor megkapja az ethet5-is es megkapja az eredeti celpont is. Mirror csak akkor kell, ha "le akarod hallgatni" a forgalmat egy masik porton, azaz masolatot kersz az atiranyitas helyett. -
jerry311
nagyúr
válasz
Zwodkassy
#14806
üzenetére
Én tennék bele egy mirror-t, mert számomra a new-dst-ports action csak annyit jelent, hogy a további feldolgozás során úgy kezeli a csomagot, mintha az az eth6-ra menne, de ettől még nem küldi ki oda.
/interface ethernet switch rule add disabled=yes dst-address=12.34.56.255 dst-port=1234 mac-protocol=ip new-dst-ports=ether6 ports=ether5 protocol=udp src-address=12.34.56.25 switch=switch1 mirror=yes
-
#14535
E.Kaufmann
veterán
Zwodkassy
#14533
E.Kaufmann
veterán
-
Ejelhar
senior tag
válasz
Zwodkassy
#14262
üzenetére
Szvsz SwOS esetében a "Forwarding" lapon. Egy X port egyáltalán ne legyen benne a csapatban, hiába ugyanabban a VLAN-ban tanyázik.
Bár -szerintem- ha ennél több kell, mert szofisztikáltabb módon szeretnél szűrni, az már layer 3 oldalon kéne, vagyis majd a router intézi. -
Statikus
senior tag
válasz
Zwodkassy
#14215
üzenetére
Tudok róla, hogy a quick confignak lehetnek bajai, de nem arról szólt a kérdésem, hogy ajánljátok-e a gyári gyors beállítások használatát, hanem arról, hogy a SN-es VPN-nel hogyan tudok bemenni a hálózatba és milyen protokollt használ.
(és érdekes, sikerült elérnem azóta ezt-azt vele, tehát "vélhetőleg" mégiscsak VPN, amit a szar automata konfigban is VPN-nek neveznek...)
-
Beniii06
addikt
válasz
Zwodkassy
#14135
üzenetére
Ránézésre a 4011 utódja lesz. Nekem tetszik a beépített 2.5 Gbps port és ha nem lenne elég, ott az sfp+ is. Ezzel már bonding nélkül is lehetne használni 2000/1000 Mbps előfizetést. Kérdés mennyi lesz az ára, ha egyáltalán kapható lesz itthon/mikor. A ROS 7 only jó dolog lehet vpn szempontból is, de stable-nek jobban örülnék. Csak beta rendszerrel nem venném meg.
-
-
Ejelhar
senior tag
válasz
Zwodkassy
#13995
üzenetére
Szép magyar szóval: vizualizálom a problémát.
Néha tényleg többet ér egy kép, mint ezer szó.Alant egy próbakonfigról készült kép (egy -nem Mikrotik- router kiváltását szimulálom).
Van egy bridge, a hozzárendelt portok: ether2,3,4,5
az ether2 az trunk,
az ether3 szintén,
az ether4 is, de ezen egy harmadik irányba szintén tagelve továbbzavarjuk az összes VLAN-t.
az ether5 az acces port.A tagged, untagged oszlopok a VLAN-okhoz rendelt portokat listázzák, ahogy a konfigban megszabtuk.
A "Current tagged" és "Current untagged" oszlopok az 'éppen most' állapotot mutatják. Mint látszik itt már nem listázza az ether5 portot, mivel azon jelenleg nincs link.Az utolsó sor a default VLAN-t, az 1-est listázza, amit dinamikusan rendel hozzá a bridge (a portok és saját maga PVID-je alapján)
Az ether5 access port melyik VLAN-ba is kerül pontosan? A port PVID-je alapján dönti azt el:
-
-
Ejelhar
senior tag
válasz
Zwodkassy
#13983
üzenetére
Készítünk egy VLAN-t mondjuk a 10-est, a neve legyen vlan10, és ezt hozzárendeljük a már létező bridge-hez.
Ez utóbbi neve mondjuk bridge-LAN./interface vlanadd interface=bridge-LAN name=vlan10 vlan-id=10Adunk neki IP címet.
/ip addressadd address=192.168.2.254/24 interface=vlan10 network=192.168.2.0A firewallnak megmondjuk, hogy ezt a hálót is szabad NAT-olni internet irányban.
/ip firewall natadd action=masquerade chain=srcnat out-interface=ether1-WAN src-address=\192.168.2.0/24A bridge interface-n beállítjuk, hogy -mondjuk- az ether5 portján tagelve küldje tovább a 10-es VLAN-t.
/interface bridge vlanadd bridge=bridge-LAN tagged=ether2,bridge-LAN vlan-ids=10Rávesszük a bridge-t a VLAN-ok kezelésére:
/interface bridgeadd arp=local-proxy-arp name=bridge-LAN vlan-filtering=yes
Opcionális, egy DHCP szervert felhúzunk a vlan10 interface-re. -
Ejelhar
senior tag
válasz
Zwodkassy
#13974
üzenetére
Igen, több fajta módon is meg lehet csinálni, de mindegyik egy kicsit körülményes.
Vagy hát a fene tudja, lehet mi vagyunk túl merevek, csak az elegáns ami Ciscotól jön
ps. bridge VLAN-oknál egy ici-picit becsapós a WinBox.
A bridge VLANs tabon csak akkor mutatja a tagged, untaged interface-ket, ha azok linkelnek is.
(a "current" mezők nem a konfigra utalnak, hanem az az 'éppen most' állapotot tükrözik) -
-
Ejelhar
senior tag
válasz
Zwodkassy
#13961
üzenetére
A #13953 hsz-em ilyen konfigot mutat. Ott a 10-es VLAN untagged az ether2 porton, tagged az ether3,ether4,ether5 porton.
Amúgy bridge-be is vannak, és az 1-es VLAN felhúzva az egész bridge-re.
Amúgy én nem szoktam tökölődni ha tutira csak 1 trunk port kell, interface-hez tárítom a VLAN-okat és kész is.
Ha már viszont access port is kell, több trunk, vagy/és a bővítési lehetőség, akkor muszáj bridge-be szervezni.Hardware gyorsításod viszont nem lesz, ahogy nézegetem a routered speckóját. De nem is kell, elég combos az a CPU, bőven bírni fogja, sőt.
-
Reggie0
félisten
válasz
Zwodkassy
#13966
üzenetére
Ott siman bridge-vel, mert nincsen switch chip. De az procibol csinal mindent, csak birja a procija.
Bridge vlan tablat lehet kitolteni, hogy feleslegesen ne kuldje ki azokra a bridge portokra, ahol nem szukseges. Letre kell hozni egy virtualis vlan interfeszt -ugy, hogy a brigere a master interfesz - az adott vlan szammala, es arra a vlan interfeszre pedig a router vlanon beluli ip cimet felhuzni.
Nagyjabol ezt kell csinalni neked is a 4011-en, csak a swithcportok kozotti vlan forgalmat nem fogod tudni korlatozni, mert azt azon a routeren a switch-ben kene allitani, csak eppen nem tamogatja. Ha meg bridge-bol csinalod a switchelest es filterezest, akkor a procit terheli.
-
-
Reggie0
félisten
válasz
Zwodkassy
#13961
üzenetére
Milyen router? Bridge vlan-nal sem leszel nagyon kisegitve, mert a bridge is prociban fut, szoval ha a procinak foglalkoznia kell a vlanban levo forgalommal(pl. van ipcime a vlanban, vagy routingol), akkor ugyis be kell mennie a prociba.
switch rule-val tudnal filterelni vlan-ra es ip/mac cimre a vlanon belul, de ahhoz a megfelelo switch IC kell.
(Bridge vlan lenyege, hogy javit a teljesitmenyen es le lehet filterelni, hogy milyen portokra milyen vlan tagged packeket engedhet ki, igy a vlan tagged packetek nem mennek el a halozaton minden iranyban)
-
-
válasz
Zwodkassy
#13905
üzenetére
Ezzel nem vagyok előrébb pont az 1db SFP miatt. Mert bár magába az eszközbe SFP-n eljut a 2G de kifelé már nem tudok csak max 1G-t kitolni, szóval ott vagyok ahol a part szakad
2db SFP port esetén már ahogy írtam korábban tök okés lenne, mert akkor a maradék SFP portból elvinném egy 5 portos 2.5G-s switch-be, és a 3db eszközt csak átdugnám a CSS326-ból. -
daninet
veterán
válasz
Zwodkassy
#13829
üzenetére
ez egy jó hír. Van okos switch-em, egy Unifi USW 24, (bár nem tudom mennyire eretnek dolog ebben a topikban ezt a márkát emlegetni
) megnézem van-e hasnoló funkciója.
Aláírattak velem egy nyilatkozatot, hogy az általam telepített eszközök nem az ő felelősségük A többi az ő bajuk ha így oldják meg a korlátozást 
-
Reggie0
félisten
-
Reggie0
félisten
válasz
Zwodkassy
#13789
üzenetére
Milyen switchek konkretan? A queue miatt kerdezem csak, mert a procit terheli, szoval nem biztos, hogy procival birni fogja, illetve a max savszel annyi lesz, mint amennyivel a proci be van kotve a switchbe, viszont a switch portokra is lehet rule-okat rakni chiptol fuggoen. Nekem CRS3xx van, ott van allithato egress/ingress amit a switch IC intez.
-
ekkold
Topikgazda
válasz
Zwodkassy
#13687
üzenetére
De van egyszerűbb megoldás is, PPTP esetében, adott idő alatt a 1723-as portra érkező új kapcsolatok száma alapján is feketelistára tehető a próbálkozó, mivel minden új jelszó kipróbálásához új TCP kapcsolatot kell indítani. Ehhez csak tűzfal szabályok kellenek, script-re nincs szükség.
-
ekkold
Topikgazda
válasz
Zwodkassy
#13687
üzenetére
A VPN-re kapcsolódni próbálkozók felkerülnek két IP listára, ha ezután 90 másodpercen belül nem lép be a megfelelő usernév/jelszó párossal, akkor feketelistára kerül az IP néhány órányi (vagy tetszés szerinti) időtartamra. Ez a 90 másodperc a gyakorlatban 3...4 jelszó kipróbálására ad lehetőséget. A logban annyi látszik ilyenkor, hogy próbálkozik admin, root, user, teszt felhasználónevekkel és kb. ennyire futotta, ment a feketelistára.
Ehhez kell néhány tűzfal szabály, és egy egyszerű script. A script minden VPN kapcsolat felépülésekor lefut + óránként egyszer. Annyit csinál, hogy ha él az adott IP-hez tartozó VPN kapcsolat, akkor az IP listában másfél órára meghosszabbítja azt az időt amíg a tűzfal nem teszi feketelistára. Mivel óránként is lefut így a lejárat előtt mindíg meghosszabítja az időt. Elég régóta használom ezt a megoldást, és szerintem sokat javít a VPN biztonságosságán. -
Necc
addikt
válasz
Zwodkassy
#13663
üzenetére
Ugy erted hogy pl ETH1-en jon be a net, de ETH1-rol megy egy PPPoE kapcsolat, es ekkor alkalmazunk-e tuzfal szabalyt ETH1-re?
Alapbol nem.
PPPoE kapcsolat is interface-nek szamit, igy arra kell csak tuzfal szabaly. ETH1-re alkalmazott tuzfalszabalyok nem vonatkoznak PPPoE forgalomra.
Termeszetesen mehet ETH1-en egyeb forggalom, ami miatt lehet tuzfal szabalyokat alkalmazni ra, de azok ugyszinten nem kell(ene) hogy erintsek a PPPoE forgalmat.
(Nem allitom 100%-ra mert mikrotik specifikus tapasztalatom ezzel kapcsolatban nincs.) -
-
válasz
Zwodkassy
#13526
üzenetére
És Lenry-nek is
Szóval én qtam el, nem kicsit :-)
Az addig szép, és jó volt, hogy két féle cert-et is legyártottam a Miki-ben: egyet IPv4, és egyet xyz.sn.mynetname.net alapján, és ezeket természetesen a Windows-ba is importáltam, telepítettem. Csakhogy ilyenkor a Miki-ben is, a SSTP Server beállítási alatt is cserélni kell a cert-et, a kapcsolódásnak megfelelően :-) :-) :-)
Köszönet a segítségért! -
Reggie0
félisten
válasz
Zwodkassy
#13513
üzenetére
Az a lenyeg, hogy a kliensnel es a certnel is ugyan azt kell hasznalni. Ha IP, akkor IP, ha host, akkor host.
Ha az IP valtozik idonkent, akkor mindenkeppen host-ot erdemes hasznlani, mert kulonben allandoan cserelheted a certet amikor valtozas van. Esetleg probalhatsz wildcard-os certet csinalni. Kiprobaldhatod, hogy ha egy darab * -ot teszel a CN-be arra hogy reagal, valoszinuleg akkor menni fog barhogyan. (Nem ismerem SSTP-t, hogy mit hajlando elfogadni, SSL eseten a * a wildcard karakter)
-
-
-
ekkold
Topikgazda
válasz
Zwodkassy
#13405
üzenetére
Ha az IP Services részben korlátozod a winbox elérést, az önmagában nem a portot zárja le, csak visszautasítja a kapcsolatot, ha az nem megfelelő IP tartományból jön. Ilyenkor van log bejegyzés. Ha a tűzfalban is letiltod a portot akkor a port nem elérhető, és nem lesz log bejegyzés.
-
Lenry
félisten
válasz
Zwodkassy
#13374
üzenetére
mivel kívülről elérhető volt a WinBox port
nem tudom hogyan írhatnám le, ahogy az előző alkalommal nem sikerült megértetni, de NEM. ELÉRHETŐ. KINTRŐL.
ettől függetlenül a router naplója szól, hogy valaki megpróbálta, mert ez a napló dolga.valaki rendszeresen bekopog. engem ez zavar. nem jött be, nem is tud, mert zárva van az ajtó. de én azt szeretném hogy az első kopogás után ki legyen baszva az utcából is. ennyi.
nem hiszem el, hogy ezt külön magyaráznom kell...
Új hozzászólás Aktív témák
Hirdetés
ekkold- SSD kibeszélő
- Azonnali fáradt gőzös kérdések órája
- Erős hardverrel érkezik a Honor 10 000 mAh-s mobilja
- Audi, Cupra, Seat, Skoda, Volkswagen topik
- sziku69: Fűzzük össze a szavakat :)
- Mikrotik routerek
- Filmvilág
- AMD Ryzen 9 / 7 / 5 9***(X) "Zen 5" (AM5)
- Fejhallgató erősítő és DAC topik
- Megérkezett a Google Pixel 7 és 7 Pro
- További aktív témák...
- Thermaltake Toughpower SFX Platinum 1000W
- Gigabyte B650M Aorus Elite AX ICE + 3 év garancia
- Sony DSC-HX300 digitális fényképező + 3 extra akksi + 8GB memóriakártya + Hama Star 700 állvány
- BESZÁMÍTÁS! LENOVO LOQ 15APH8 15 notebook - R7 7840HS 16GB DDR5 1TB SSD RTX 4060 6GB WIN11
- BESZÁMÍTÁS! ASUS TUF A15 FA507NV 15 notebook - R7 7735HS 32GB DDR5 512GB SSD 1TB SSD RTX 4060 6GB W
- Tablet felvásárlás!! Apple iPad, iPad Mini, iPad Air, iPad Pro
- ÁRCSÖKKENTÉS Menő retró konfig: Q9550, Gigabyte P43, 4GB RAM, ASUS GT730
- Azonnali készpénzes Apple Macbook Air felvásárlás személyesen / csomagküldéssel korrekt áron
- GYÖNYÖRŰ iPhone 13 128GB Midnight -1 ÉV GARANCIA - Kártyafüggetlen, MS3034, 100% Akkumulátor
- Általános igazgatóhelyettes tábla üvegből eladó
Állásajánlatok
Cég: FOTC
Város: Budapest