-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Reggie0
félisten
-
-
Multibit
nagyúr
válasz
ekkold
#18559
üzenetére
Nem tudom hogy jön ide az XPenlogy. Az NAS rendszer. Egy routernek a NAT-oláson túl lehetnek egyéb feladatai. Persze attól is függ, milyen routerről van szó. Te milyen kategóriás routerre gondoltál? Házi router esetén lehetséges - megterhelő - feladatok: VPN szerver, DPI alapú funkciók, nagy méretű IP blocklisták kezelése, tűzfal kiegészítők, stb.
Fontos, hogy melyik Celeront, melyik ARM procihoz hasonlítod. -
#18555
lionhearted
őstag
ekkold
#18554
-
válasz
ekkold
#18467
üzenetére
Mitől volt a kernel falióra?
ennyit látok
egyébként szerintem szoftveres a probléma. két WAN van, Digi (PPPoE) és Telekom (fix IP). a Telekom egy ideje nem akar jól működni, van kapcsolat, de nincs névfeloldás, csak ha az adott eszközön kézzel felveszek egy DNS-t. ha csak a router címét kapja meg DNS gyanánt, akkor nem működik.
most kipróbáltam, hogy a DHCP konfigban a 8.8.8.8-at is kiosztom DNS-ként, úgy jó volt, de akkor kezdődött a probléma. újraindulgatott, a Digi PPPoE nem tudott kapcsolódni, haldoklott az egész. végül letiltottam a Telekomos vonalat és azóta nincs baja.
csak fogalmam nincs, hogy mi az a félrekonfig, ami így meg tud fojtani egy routert.volt, hogy volt előtte egy másik eszköz (egy hEX), ami intézte a Telekomos kapcsolódást, és bár dupla NAT-tal de működött a kapcsolat. amikor visszaszerveztem ezt a feladatot a CCR-nek, akkor meg elkezdett faliórázni.
-
#18337
E.Kaufmann
veterán
ekkold
#18332
E.Kaufmann
veterán
válasz
ekkold
#18332
üzenetére
Próbáltam. AD authentikációval és LetsEncrypt tanúsítvánnyal. RDP átmegy, oszt csókolom. A kliens telepítés meg annyiból állt, hogy megfelelő csoportba tartozott a felhasználó és a számítógép, nem kellett ökörködni OpenVPN telepítéssel, kliens tanúsítvány generálással, külön profilokkal, mert a RouterOS szépen együttműködött RADIUS-on keresztül az AD-val. A LetsEncrypt cert telepítést meg akkoriban megoldottam egy olyan szkripttel, ami itt a témában is visszakereshető.
-
Audience
aktív tag
válasz
ekkold
#18332
üzenetére
Cserébe átmegy (majdnem) mindenen TCP/443! A sebesség érdekes kérdés, Word/Excel cuccok, amiket említett a Kollega nemigen igényelnek ebből túl sokat. Én régebben L2TP/IPSEC-et használtam de sok cégnél nem engedték ki, aztán OVPN, azzal is ez volt a gond, WireGuard detto. Emiatt mindig van egy backup SSTP VPN, az (szinte) mindig működik.
-
-
Eleinor
csendes tag
válasz
ekkold
#18160
üzenetére
Ezeken túl vagyok. A NAS másik portban jó ugyanazzal a kábellel jó, vagyis nem kábel vagy NAS porthiba. Más, addig jól működő eszköz az 5-ös portban rossz. Vagyis magával az 5-ös porttal van valami.
Akkor ez csak azt jelentheti, hogy fizikailag meghalt az 5-ös port és annyi?
-
Eleinor
csendes tag
válasz
ekkold
#18157
üzenetére
[admin@MikroTik] > /interface ethernet print
Flags: X - disabled, R - running, S - slave
# NAME MTU MAC-ADDRESS ARP SWITCH
0 R ether1 1500 6C:3B:6B:20:10:D6 enabled switch1
1 RS ether2 1500 6C:3B:6B:20:10:D7 enabled switch1
2 S ether3 1500 6C:3B:6B:20:10:D8 enabled switch1
3 RS ether4 1500 6C:3B:6B:20:10:D9 enabled switch1
4 S ether5 1500 6C:3B:6B:20:10:DA enabled switch1
5 RS ether6 1500 6C:3B:6B:20:10:DC enabled switch2
6 RS ether7 1500 6C:3B:6B:20:10:DD enabled switch2
7 RS ether8 1500 6C:3B:6B:20:10:DE enabled switch2
8 ether9 1500 6C:3B:6B:20:10:DF enabled switch2
9 RS ether10 1500 6C:3B:6B:20:10:E0 enabled switch2
10 sfp1 1500 6C:3B:6B:20:10:DB enabled
Ugyanez van az enable ether5 után is. -
-
amargo
addikt
válasz
ekkold
#18020
üzenetére
Közben utána néztem és tényleg tudja itt még írtam is: [link]
És azt hiszem 40 évesen itt az ideje valami komolyabb rekrációnak, mert megcsináltam korábban, amit szerettem volna Mikrotiken (simán megy get-el [link] ) és megy is már egy ideje
csak teljesen kiment a fejemből és vártam itt a dockert mint a megváltást.Vissza emlékezve, kinyitottam qbit-et a belső védett zónára és onnan mindenki jelszó nélkül is eléri.. (de ugye ez egy kerülő megoldás) ezért megy és a http header-t nem tudtam a fetch-be varázsolni.
-
#17978
E.Kaufmann
veterán
ekkold
#17977
E.Kaufmann
veterán
válasz
ekkold
#17977
üzenetére
Legalább van miből visszább venni
, amúgy meg inkább az AC-t akartam, csak nem tudtam, hogy még van csak A-s (meg N) raktáron , azért kisirodát ilyen technikával, de komolyabb antennával el tudtunk látni 10km-re nettelHa nincs rálátás, akkor kell két telepata, vagy egy torony amire mindkét helyről rálátni
, mi utóbbit választottuk -
sanzi89
addikt
válasz
ekkold
#17939
üzenetére
Sajnos nem jött be, rosszabb lett, mint volt. A 2 laptop átlagolt sebesség mérése 50 Mbps le 90 Mbps fel.
@lionhearted
Kérlek akkor segíts, hogy mi a rossz eszköz a jelenlegi felállásban egy 5 Ghz-es WiFi hálózat létrehozásához, amitől a névleges sebesség töredékét várnám el. -
válasz
ekkold
#17818
üzenetére
Az sem fog menni, mert nem két router közt menne a forgalom. Csupán arról van szó, hogy van egy szolgáltatás, amihez jár egy IPTV set-top-box. Ez van rákötve egy hap ac2-re jelenleg. Azonban főleg esténként sokszor nézhetetlenül akad az adás, mert a netszolgáltató peeringje nem a legjobb.
Ezért gondoltam, hogy VPN-en keresztül routolom. A cloudflare ingyen adja a warpot, ami wireguard képes és akkor gyakorlatilag csak hozzájuk kell jó peering (ami adott) és a box forgalma a cloudflare hálózatán jobban menne.
Teszteltem is route táblával, hogy beraktam az összes box által aktuálisan használt IP-t és elroutoltam ezeket a VPN irányába. Sokkal jobb lett az adás. Azonban ezek az IP-k változhatnak és nem szeretnék IP listákat fenntartani. Egyszerűbb lenne a box összes forgalmát elvinni a wg interfész felé.
Semmilyen tunnellinget nem tudok használni, mert ahhoz mindkét végpontra kéne egy router, a cloudflarenél meg csak vpn hozzáférésem van.
-
-
bbmt
senior tag
válasz
ekkold
#17796
üzenetére
Köszi, közben beszéltem a szolgáltatómmal és ez lesz, hogy marad a 2011, átrakom switch módba és egy gigabit portba megy egy router és az jelentkezik be a netre.
Ez egy vidéki szolgáltató, mivel volt eszközöm még úgy kértem anno, hogy az optikát végpontig telepítsék és saját eszközt használok. -
Reggie0
félisten
válasz
ekkold
#17350
üzenetére
+1 a wireguard. En most osszehuztam a laptopot es a mobiltelot kozos lokalis haloba wireguarddal, majd felpattintottam a KDEConnect-et es most a laptopon megjon minden ertesites, latom a hivast, meg tudom osztani a vagolapot, stb. az eszkozok kozott fuggetlenul attol, hogy hol milyen neten vannak, kb. ugy mint iphone-macbook-nal is meg van oldva.
-
-
ekkold
Topikgazda
válasz
ekkold
#17018
üzenetére
Felraktam a 7.2-t az RB5009-re is. Azóta ha fix 1400MHz-re állítom akkor warningol, és ez kerül a logba:
system,info,critical cpu not running at default frequency
Csak akkor nincs warning ha auto-n áll a frekvencia, ami azért furcsa, mert ezt a routert úgy árulják, hogy 1400MHz-es a proci, (ha "auto"-n áll a frekvencia akkor lassúbb a router).
A cAPac esetében is ugyanez a helyzet, csak auto frekvencia beállítás esetén nincs warning, minden más esetben reklamál.Még annyit fűznék a dologhoz, hogy annak ellenére, hogy 1400MHz-ről 350MHz vagy 700MHz-re csökkenti az órajelet, a router nem lesz lényegesen hűvösebb. Fix 1400MHz-en 44°C-os a router, auto beállítás esetén 43°C és 44°C között ingadozik... Pedig ennek igazából pont az lenne az értelme, hogy energiát spóroljon és kevésbé melegedjen.
-
#16944
E.Kaufmann
veterán
ekkold
#16942
E.Kaufmann
veterán
válasz
ekkold
#16942
üzenetére
Az MMIPS-es procicsaládnak vannak AC-s változatai, míg a MIPSBE-t meg kell toldani külön IC-vel. Szerintem a piac mellett a sokáig tökölés a 3.x kernelen volt még oka a MIPSBE ág tolásának. Pl a 3011-en ment sokáig a csikicsuki az IPSec gyorsítással, mert nem jött össze rendesen a backport sosem, valamint a wifi teljesítmény elmaradása AC-n és az AX halasztása.
-
Reggie0
félisten
válasz
ekkold
#16894
üzenetére
Nezd ugy, hogy 2x25gbites halokartya helybol, aminek elegge olcso. Egy egyszeru 10gbites NIC is 100 dolcsirol indul boltban, ez meg 2x25 mindossze 200 dolcsiert.
Amugy arra jo, hogy ocska oprendszerrel is lehet jol tuzfalazni. Peldaul nyugodtan rakhatsz a gepre windowst, vagy az oprendszer tudta nelkul tudsz tunnelezni/vpnezni, ha megtorik a gepet a network meg vedett maradhat, stb., stb.. Vagy szinten oprendszer nelkul lehet failoverezni, load balancingolni a kartyaval. Eleg sok szituacio van amikor elonyos lehet egy ilyen felallas.
De ha azt nezzuk felaron kapsz egy CCR2xxx-es routert. Legtobb embernek csak az kell, hogy NAT-olja a WAN-t, majd filterezzen. Egy sokportos switch SFP+-os uplinkkel mehet bele ebbe es akkor nem kell azon fajjon a feje, hogy csak 16 portot kap maximum a CCR2004-ek melle.
-
Reggie0
félisten
válasz
ekkold
#16102
üzenetére
Szerintem te egy lassu CCR-en mertel, nem az 1.2GHz-esenl, mert ezen 800Mbit felett megy a wireguard meg natolva is nat nelkul pedig megvan a 900mbit is.(LAN-on tesztelve, smb fajl masolassal).
Az a nagy kulonbseg, hogy a ccr-ben networkinges a proci, azaz az osszes port prociba van bekotve es sok feladatot hardverbol helybol megold, emiatt gyorsabb tud lenni. Peldaul akarhany bridged lehet, mindegyik ugyan olyan gyors lesz, igy tetszoleges groupokba tudod a switch portokat osszehozni, mig a tobbi switch chipesen csak egyhez lesz hw offload. Igy ezt RB5009-en csak egy bridge-vel es layer2-es filteringgel tudod megoldani, de az elegge szukos, mert csak 256 elemet lehet a filter tablajaba rakni, ez a switch chip limitacioja.
Vagy peldaul a queue-kat is kb. ketszer gyorsabban kezeli. -
yodee_
őstag
válasz
ekkold
#16890
üzenetére
Többször szóba került, hogy miért használok ilyen IP címet. Akkor is és most is csak azt tudom írni, hogy minden működik szóval miért ne. Amint gondom lesz belőle átállok. Az egész beállítást ez alapján csináltam. Mivel a leírásban csak 1 szerver-klinens kapcsolat van így a másodikat magamtól csináltam. Szóval akkor az 1-es interface tételezzük fel jó. Mi legyen a másodiknak a címe/tartománya? Mert teljesen belekeveredtem.
-
bacus
őstag
válasz
ekkold
#16841
üzenetére
Pár trükk van, az egyik, hogy 1 liter forralt vízhez 1 evőkanál só kell, ezt nem szabad elszúrni, ha bekeversz 1 litert és a felöntésnél kevés, akkor újból forralj és keverj be 1 litert 1 evőkanál sóval, a felesleget kiöntöd, de nem lehet eltérni az aránytól, mert vagy sós lesz, vagy sótlan.
A másik trükk a bevagdaláson van, én egyik végén félbe vágom majdnem teljesen, majd a másik végén negyed fordulat és megint bevágom majdnem teljesen. Ezzel szinte 4 részbe vágtam az ubit, mindenhol jól átjárja a lé. Természetesen az uborkát előtte megmosni, végeit levágni, stb.
Én teszek bele egy fej (vagy volt már, hogy több) fokhagymát. Nem egy gerezded, egy fejet. Ennek egy részét mi megesszük, de van aki nem, meg ennek a mennyiségét is mindenki magának belövi, én szeretem, többet teszek bele. A legtöbbször 3-5 literes vödörben szoktam csinálni, nem teszem tele legfeljebb.
És a lényeg, a kenyeret nem szabad tömködni, szétszedni, mert az csak a folyamat beindításához kell (ki kell tapasztalni melyik a legjobb kenyér a környéken ehhez, az a legjobb ami kovásszal készült), de amikor kész az uborka, akkor le is kell tudni állítani a folyamatot..
Tehát egy szelet kenyér a tetejére, alá kapor.. felönteni a bekevert sós vízzel amíg el nem lepi.A beindításhoz kell a meleg, ha nyár van, 35 fok, netán még a napra is ki lehet tenni, hát ott 1 max 2 nap alatt kész. A leállításhoz kenyér ki, majd hidegre az egészet. A folyamat teljesen lehet nem áll le, ezért az ubi 2 hétnél tovább szerintem nem áll el, illetve megpuhul, de kinél marad meg addig?
Én azt szeretem amikor az uborka még roppan, és nem savanyú nagyon, de minden nappal érik tovább még a hűtőben is, azaz puhul és savanyodik is. A melegben nagyon gyorsan, ott 1 nap plusz, már számomra ehetetlen állagúvá puhul !
-
-
-
-
#16703
lionhearted
őstag
ekkold
#16702
-
bacus
őstag
válasz
ekkold
#16658
üzenetére
Nem volt, ez az érdekes, hogy falióra után jön egy több napos hibátlan működés.
Nem jeleztem a problémát, remélem nem mindenki gondolkozik így, hogy majd a többiek
Reggie0: nekem a script hibával leáll, nem igen volt időm megnézni linux alatt, win10 python3 -al a 62-sorral van baja
SyntaxError: Missing parentheses in call to 'print'. Did you mean print(...)? -
#63718632
törölt tag
válasz
ekkold
#16633
üzenetére
Anno én nagy elánnal fogtam neki a wAP ac LTE kit-em használatának. A gyenge térerőmnek és a cella kis kapacitásának okán, lett volna még a magán projektben lehetőség külső antenna vagy SXT-LHG eszköz kipróbálásának is. Aztán ahogy nőtt a feladat komplexitása úgy jöttek elő a hiányosságaim is. Amit tudtam felszedtem magamtól, csak egy idő után már tényleg gáz, ha minden flinc-flanccal kérdezősködik az ember. Igazából, beleuntam az egészbe és köttettem normális netet.
Jó lett volna tényleg, hasonló kezdő tudású "Mikrotik kezdőkkel" diskurálni, mint pl. a "Linux kezdő" vagy más egyéb "kezdő" szintű topikok alapján. Tettem is javaslatot anno a "Mikrotik kezdő" topik esetleges elindítására.
Saját szakmámból átérzem a nagy öregek hozzáállását vagy inkább ingerküszöb alatti problémákhoz való hozzáállást. Egy kezdő, szakmám belülivel én sem tudok pátyolgatóan mindent. Bitről-bitre tankönyv szerűen elmondani. -
válasz
ekkold
#16623
üzenetére
Alap és haladó szint. Igen, erről (is) már volt szó többször is. Én is jó ötletnek tartom, bár lehet nem az.
Lehet ignorálni a számunkra "buta" kérdéseket, kérdezőket, de az meg a fórum lényegét öli meg.
Őszintén szólva szeretném, hogy jobb legyen (mindenkinek is), de még nem tudom hogyan.
Ott az össze foglaló, ami elég részletes is. Azt nagyon jónak tartom. -
-
-
-
válasz
ekkold
#16425
üzenetére
Én egy helyen úgy láttam PpTp-t vagy L2Tp-t, hogy csak egyetlen egy (nyílván ez lehet több is) külső címet fogadott el. Minden más kuka. Azt mondták, ez így bőven elég. Site-to-Site megoldás volt.
Végülis működő képes lehet :-)
Én még nem próbáltam (mertem) így, csak is magyar IPv4 címekre (GeoIP) korlátoztam az ilyen kapcsolataimat. -
bacus
őstag
válasz
ekkold
#16422
üzenetére
"- Egyszerűen konfigurálható"
Szerintem ez nem igaz. Az az egyszerűen konfigurálható, amit egy átlag alatti felhasználó is meg tud csinálni. Az l2tp ilyen, le tudom írni neki, hova kattintson, 10ből 9 simán megcsinálja, 1 meg olvasni se tud, kihagy pontokat, annak minden gond
A másik, hogy ez inkább site2site vpn, bár még nem teszteltem, hogy lehet win kliens és mikrotik között beállítani, biztos sikerülne, de annál jobbat, hogy megadok 4 adatot és az ügyfél fel tud csatlakozni, minden mást én állítok be a mikrotik szerveren, ennél jobbat én még nem tudok, persze én speciális eset vagyok, mert 500 kliens van.., teljesen random ügyfelek, hálózati tudásuk abszolút nulla.
-
-
yodee_
őstag
válasz
ekkold
#16425
üzenetére
Az IPSe sebességére nem kehet panaszom, fel-le egyaránt meg van a 180 mbit. Ennél többet lehetne kisajtolni ebből a vasból? Most pont azon gondolkodom, hogy az összes próbálkozást az ipsec portokon drop-olom kivéve a fehérlistásokat. Erre még nem jöttem rá hogyan kell.
-
válasz
ekkold
#16422
üzenetére
A listát még kiegészíteném a számomra két legnagyobb előnnyel:
- UDP és ha jön egy olyan csomag, amit nem tud decryptelni, akkor arra egész egyszerűen nem válaszol. Egy port scannernek esélye sincs kiszúrnia, hogy neked Wireguard fut azon a bizonyos porton. Így tök nyugodtan ki tudom engedni a wg-t a nagyvilágba, mert jó eséllyel (egy nem standard porton) alig fog kapni brute forcet.
- "Stateless" modell. Nem egy adott kiépített kapcsolaton áll az egész, ami ha megszakad, mert pl dinamikus IP van otthon és az pont változik, akkor mehet az újracsatlakozás és jó eséllyel minden VPN-en létrehozott kapcsolat megszakad, hanem a wg-nek csak az számít, hogy amilyen csomagokat ő tud decryptelni, arra válaszol. Ha épp változott az IP, de közben folyamatosan küldte az változott IP-jű peer a tartalmat, akkor ő szépen folyamatosan válaszol rá. Emiatt kell minden peernek külön kulcs, mert az alapján dönt, hova routoljon, de ez egy marha nagy előny.
- Borzasztó modern a crypto háttere. Emiatt tud olyan gyors lenni egy openvpn-hez képest például.Persze a stateless modellnek van átka is, például, hogy outbound address-t nem nagyon lehet megadni, ha több IP/interface van a gépben, kénytelen az ember a routinggal szórakozni, de ez sem olyan nagy trauma szerintem.
-
ekkold
Topikgazda
-
bacus
őstag
válasz
ekkold
#16362
üzenetére
Egyszerűen nem lehet, de azért van megoldás. Én hozzáadom egy address list -hez, majd scheduler indítgat egy scriptet, ami megnézi, adott address list létezik-e, ha igen, akkor indítja a scriptet és törli az address listet. (ha fontos lenne hogy honnan indították, akkor ki lehet olvasni az address list tartalmát is)
Lehet van szebb megoldás is, ez évek óta működik.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
csak teljesen kiment a fejemből és vártam itt a dockert mint a megváltást.
, amúgy meg inkább az AC-t akartam, csak nem tudtam, hogy még van csak A-s (meg N) raktáron 
Új hozzászólás Aktív témák
Hirdetés
- Csere-Beszámítás! RTX Számítógép játékra! I5 13400F / 32GB DDR5 / RTX 4070 Super / 1TB SSD
- Samsung Odyssey G6 S27BG650EU - 27" QHD 2K 240Hz Ivelt - Gaming monitor - 1,5 év Gyári garancia
- Samsung Galaxy S23, 8/128 GB, Kártyafüggetlen
- Kingmax 1x2GB DDR2 800 RAM eladó
- VÉGKIÁRUSÍTÁS - REFURBISHED - Lenovo ThinkPad 40A9 docking station
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest