- Új Trónok Harca telefon érkezik
- Magisk
- Samsung Galaxy Watch7 - kötelező kör
- Milyen okostelefont vegyek?
- Android alkalmazások - szoftver kibeszélő topik
- Samsung Galaxy Z Fold7 - ezt vártuk, de…
- Fotók, videók mobillal
- Okosóra és okoskiegészítő topik
- Motorola Edge 50 Neo - az egyensúly gyengesége
- iPhone 16e - ellenvetésem lenne
Hirdetés
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
jerry311
nagyúr
-
jerry311
nagyúr
válasz
hun005a
#11560
üzenetére
Oké, ha kinyitod akkor azt bárki elérheti. Ha nem a default porton van, akkor legfeljebb egy kicsit később.
Csinálsz egy dst-nat-ot, amin a General fülön a dst port 49345, az Action fülön a To Ports meg 8001.
Kell még egy tűzfal szabály, ami beengedi a külső IP-re és 49345-ös portra érkező kapcsolatokat.
Röviden és tömören ennyi. -
jerry311
nagyúr
A routing makacs dolog, nem olyan egyszerű a dual WAN, hogy csak bedugunk 2 kábelt.
Bejön az egyiken a kapcsolat, de a route tábla miatt nem azon válaszol.
Ez segíthet: https://mum.mikrotik.com/presentations/PH18/presentation_5105_1516322800.pdf -
jerry311
nagyúr
válasz
Zwodkassy
#11432
üzenetére
Flags: X - disabled, I - invalid, D - dynamic0 D ;;; special dummy rule to show fasttrack counterschain=forward action=passthrough1 chain=input action=accept src-address=10.0.10.0/24 log=no log-prefix=""2 ;;; defconf: drop invalidchain=input action=drop connection-state=invalid log=no log-prefix=""3 ;;; defconf: drop invalidchain=forward action=drop connection-state=invalid log=no log-prefix=""4 ;;; defconf: accept in ipsec policychain=forward action=accept ipsec-policy=in,ipsec5 ;;; defconf: accept out ipsec policychain=forward action=accept ipsec-policy=out,ipsec6 ;;; defconf: fasttrackchain=forward action=fasttrack-connection connection-state=established,related7 ;;; defconf: accept established,related, untrackedchain=forward action=accept connection-state=established,related,untracked8 chain=forward action=accept protocol=tcp dst-address-list=dyndnslist in-interface-list=WAN dst-port=5000 log=no log-prefix=""9 chain=forward action=accept protocol=tcp dst-address-list=dyndnslist in-interface-list=WAN dst-port=80 log=no log-prefix=""10 chain=forward action=accept protocol=tcp dst-address-list=dyndnslist in-interface-list=WAN dst-port=5001 log=no log-prefix=""11 chain=forward action=accept protocol=tcp dst-address-list=dyndnslist in-interface-list=WAN dst-port=443 log=no log-prefix=""12 ;;; defconf: accept established,related,untrackedchain=input action=accept connection-state=established,related log=no log-prefix=""13 chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""14 chain=input action=accept protocol=udp dst-port=4500 log=no log-prefix=""15 chain=input action=accept protocol=ipsec-esp log=no log-prefix=""16 ;;; defconf: drop all from WAN not DSTNATedchain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN17 chain=output action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,524718 chain=input action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,524719 ;;; defconf: accept ICMPchain=input action=accept protocol=icmp20 ;;; defconf: drop all coming from WANchain=input action=drop in-interface-list=WAN log=no log-prefix="" -
jerry311
nagyúr
Kérdés...
Ha nincs semmi a connection (fasttrack?) táblában és új RDP-t nyitok IPSec-en keresztül, akkor becsatlakozik, aztán rögtön meg is szakad, újracsatlakozik, működik. Ilyenkor lehet kilépni, belépni, akárhányszor újracsatlakozni, nem szakad meg. Csak akkor, amikor hosszabb ideje nem volt használva, tehát új a kapcsolat.Innen jön a kérdés, hogy mi lenne a helyes tűzfal szabály sorrend, a fenti hibajelenség elkerülésére?
-
-
jerry311
nagyúr
Az a helyzet, hogy annyira nem hálózat ez mint amennyire annak nevezem.
Az volt a terv, hogy 10G a gépben, 10G az ESXi-ben, és 10G a Synologyban. RB4011 + CRS305.
Aztán mivel k. drága így nem lett igazi 10G Synology, és nem lett CRS305 sem.Ami megvalósult: Mellanox Connectx3 a gépemben, valami 2x10G-s HP az ESXi-ben és a 4011. A gépem csatlakozik az ESXi-hez, ami meg a 4011-hez. Mindez összesen 2 x2 szál optikán. Semmi extra.
Egy Xpenology VM lett a Syno HW helyett. Ez a 10G NAS és egyben a bridge is (kis mókolással) a PC és 4011 közt. Egyelőre csak egy JBOD kötet van rajta, szóval a maximális átvitel az egyes HDD-ktől függ, de a hálózat már nem korlátoz. -
#11166
jerry311
nagyúr
Alteran-IT
#11161
jerry311
nagyúr
válasz
Alteran-IT
#11161
üzenetére
Az LA nem fog segíteni 1 szálas eléréseken. 1 kapcsolat 1 porton fog menni (=1G). Sőt, hardver és szoftver képességektől függően még az is lehet, hogy csak az egyik IP-t nézi, az meg aztán még tovább ront a helyzeten.
Win 10 és az LA felejtős, több vele a macera mint a haszon. Meg aztán bármikor jöhet egy frissítés, amivel MS még jobban kinyírja.Nem véletlen csináltam én is inkább 10G hálózatot, LA meg 2.5-5G helyett. (Mondjuk akkor a 2.5-5G kb. megvásárolhatatlan volt vagy k. drága, vagy csak bugos és csak 1G-n ment.)
-
jerry311
nagyúr
válasz
Adamo_sx
#11111
üzenetére
Első körben két egyszerű és szívből szóló kérdés: miért szopatod magad? Tényleg élvezed?
Amit akarsz,a z az hogy a Pi-hole a routertől kapja a kéréseket, annak is küldje vissza, miközben a kérés forrás IP-je más és még egy alhálózaton is vannak. Ezt nem a routeren kell beállítani. Pi-hole-on felveszel 254 host route-ot a router felé és mindent oda fog küldeni ahelyett, hogy közvetlen válaszolna.
-
#11098
jerry311
nagyúr
spiderjoe111
#11093
jerry311
nagyúr
válasz
spiderjoe111
#11093
üzenetére
Tehát egy elbaszott konfigból indulunk és azt várjuk, hogy rendesen működjön. Kellene már egy Hálózati gányolás topic is.
Ne akard bal kézzel jobb hónalj alatt átnyúlva megvakarni a füled. -
jerry311
nagyúr
Minél alacsonyabb annál nagyobb az esély, hogy mindenki látja.
És persze annál nagyobb az esély, hogy más is azt használja.
Ami nálam gondot okozott néhány eszköznél, az a közép (C) és kiegészítő (e) csatornák viszonya. Volt ami működött bármivel, és volt ami csak Ce vagy Ceee konfigurációnál működött jól. -
jerry311
nagyúr
Ezeket egy pfSense (van PH topoik) is megcsinálja, és akár maradhat a Linux "szerver". Persze rendes vason, vagy a céges VMWare clusteren.
Igazából a forgalom miatt kérdeztem, hogy mit kell csinálnia. Ha 300 ember Excel táblákat tologat, meg levelezik, az teljesen más terhelés, mintha 300 ember 4k videót szerkeszt. Az egyik lesz fejenként 80-100 kapcsolat, a másik meg mondjuk csak 50, de már a gigabitet is lassúnak érzik.
Ezeket átgondolva érdemes kitalálni az alhálózatokat, a switcheket, routolást, stb... Nem feltétlen kell mindent átvinni a tűzfalon, lehet sokkal jobb teljesítményt nyújt, ha egy alhálózatban vannak, vagy csak router van köztük, nem tűzfal. -
jerry311
nagyúr
-
-
#10971
jerry311
nagyúr
Intelligencs
#10963
jerry311
nagyúr
válasz
Intelligencs
#10963
üzenetére
A port-channel (link aggregation, stb) csak akkor segít a sebességen, ha több kliens van, és egy-egy kliens sebessége így sem fog 1G fölé menni.
A második részre: igen, kb. ugyanaz mint a WLC - AP kapscolat.
-
#10934
jerry311
nagyúr
Cirbolya_sen
#10933
jerry311
nagyúr
válasz
Cirbolya_sen
#10933
üzenetére
Nekem egy Meraki (Cisco) és egy RB4011 közt van stabil VPN több mint egy éve.
Mindent lehet csak érteni kell hozzá.
Az ASA 5505 meg lassan 2 éve nem kapott frissítéseket, ma már inkább sorolnám biztonsági rés kategóriába, mint tűzfalak közé. -
-
jerry311
nagyúr
-
#10785
jerry311
nagyúr
Alteran-IT
#10784
jerry311
nagyúr
válasz
Alteran-IT
#10784
üzenetére
no suitable proposal found
Első tippem, hogy nem tetszik neki a Windows által ajánlott/kért SHA1 - AES 128/256 IPSec proposal. -
#10751
jerry311
nagyúr
lordjancso
#10743
jerry311
nagyúr
válasz
lordjancso
#10743
üzenetére
Windows-ra ott az inSSIDer v3.x-ig, asszem az újabbak már fizetősek.
Linuxban nem vagyok otthon, de ez ígéretesnek látszik.
Illetve Androidra van kismillió app. -
#10741
jerry311
nagyúr
lordjancso
#10739
jerry311
nagyúr
válasz
lordjancso
#10739
üzenetére
Emlékeim szerint iOS-re nincs WiFi analyzer szoftver.
-
#10552
jerry311
nagyúr
Alteran-IT
#10525
jerry311
nagyúr
válasz
Alteran-IT
#10525
üzenetére
Neked nincs szükséged műszeres mérésre. Van akinek ez hozzátartozik a hálózat építéshez és az átadás-átvételhez. Sok olyan hely van, ahol még azt is mérik és dokumentálják, hogy egy port vagy switch lerohadásakor megvan-e a 1 másodperc alatti átállás a működő switchre. Nem bíznak abban, amit az eladó és a gyártó mond.
Ez egy ilyen világ. -
jerry311
nagyúr
Ha van egy HP meg egy F5, amik egy Mikrotik switchen keresztül kapcsolódnak, akkor a HP, az F5, vagy a Mikrotik kompatibilitási listának hiszel? Mind mást fog mondani, esélyes, hogy csak a saját SFP moduljaik szerepelnek benne, és ritka lesz az átfedés más gyártók listáival.
Én pl. Cisco, HP, F5, és Finisar SFP és SFP+ modulokat használok. Mikrotik még nem panaszkodott egyikre sem. -
jerry311
nagyúr
IPsec rossz IP-re csatlakozott, mert a DNS cache-ben még a régi volt.
Csináltam egy "/ip dns cache flush"-t, ezek után már a új IP-t pingeli, de az IPSec még mindig a régi IP-re akar csatlakozni.
Mit kellene még csinálni, hogy az összes service felfogja új IP van? -
#10347
jerry311
nagyúr
lordjancso
#10343
jerry311
nagyúr
válasz
lordjancso
#10343
üzenetére
UPnP-vel mást is átengedhetsz, nemcsak amit akartál, és az is lehet, hogy amit át akarsz engedni nem működik, mert nem támogat UPnP-t.
Egyszerű és könnyű megoldás lehet, de egyrészt router és szerver oldali támogatás kell hozzá, másrészt bármi mást is átenged, ami UPnP-t használ.
Nagy általánosságban nem ajánlott. -
jerry311
nagyúr
válasz
leviske
#10318
üzenetére
Igen, neked kell.
Valami ilyesmi:
/ip firewall filter
add action=accept chain=output dst-address=127.0.0.1 port=5246,5247 protocol=\
udp src-address=127.0.0.1
add action=accept chain=input dst-address=127.0.0.1 port=5246,5247 protocol=\
udp src-address=127.0.0.1
/interface wireless cap
set caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1 -
jerry311
nagyúr
A kliens ugyan nem tudja, hogy capsman vagy sem, de a szakadásmentes roamingnak jót tesz ha az összes rádió capsmanban van.
(#10308) Nikla
Pedig az Asus routerek általában az ajánlott típusok közt vannak, persze nem mind.
hAP ac2 valószínűleg tökéletesen kiszolgál ha Mikrotiket szeretnél.
"Milyen routert?" kérdésekre van külön topic is. -
#10295
jerry311
nagyúr
unknownerror
#10294
jerry311
nagyúr
válasz
unknownerror
#10294
üzenetére
Ha mindig pont a fele, akkor valahol kétszer fordul.
Hmm? -
-
jerry311
nagyúr
válasz
bambano
#10235
üzenetére
Passz, nem foglalkoztam eventekkel Mikrotiken, csak egy tipp volt Cisco EEM-ből kiindulva.
Viszont a Mikrotik Netwatch szerintem is jó lehet. Ha nem tudja pingelni a nyomtatót, akkor végrehajtja a down scriptet, amivel törli a lease-t.
Ha DHCP-vel kiosztott fix IP-ről beszélünk, akkor mindegy, hogy a router tud-e a lease-ről vagy sem, úgyis csak annak adja, aki azon az interface-en csatlakozik.
A nyomtató megtartja az IP-t a lease lejáratáig, de ha valami oknál fogva mégsem, akkor majd kér újat, aztán megkapja a régit.
Hmm? -
#10122
jerry311
nagyúr
allnickused
#10117
jerry311
nagyúr
válasz
allnickused
#10117
üzenetére
Nekem support azt mondta, hogy egyeznie kell a két verziónak. Úgyhogy csak azután álltak szóba velem érdemben, amikor azt is upgradeltem.
Említette valamelyik verziót, ahonnan már csak így támogatott, de nem emlékszem melyiket. -
-
-
jerry311
nagyúr
Apple TV problémára talált már megoldást valaki?
Mar 25 05:25:33 192.168.1.1 interface,info ether9 link up (speed 1G, full duplex)
Mar 25 05:25:34 192.168.1.1 interface,info ether9 link down
Mar 25 05:25:38 192.168.1.1 interface,info ether9 link up (speed 1G, full duplex)
Mar 25 05:25:55 192.168.1.1 interface,info ether9 link down
Mar 25 05:25:59 192.168.1.1 interface,info ether9 link up (speed 1G, full duplex)
Mar 25 05:26:01 192.168.1.1 interface,info ether9 link down
Mar 25 05:26:05 192.168.1.1 interface,info ether9 link up (speed 1G, full duplex) -
#9944
jerry311
nagyúr
aragorn1000
#9938
jerry311
nagyúr
válasz
aragorn1000
#9938
üzenetére
De ha a cégnél Windws server oprendszeren megy a VPN, akkor azon nem kellene problémát okozz beállítani egy SSTP-s VPN-t, ami kb. ugyanaz, mint a HTTPS, ami biztosan megy a mobilneteden.
)
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
Hirdetés
ekkold
- Bomba ár! Fujitsu LifeBook U727 - i3-7GEN I 16GB I 256SSD I 12,5" FHD I Cam I W11 I Garancia!
- Új és újszerű 17.3" Gamer, irodai, üzleti készülékek nagyon kedvező alkalmi áron Garanciával!
- Új és régi konzolok Okosítása/Softmodoloása, és Szoftveres szintű javítása - RÉSZLETEK A LEÍRÁSBAN
- HP EliteBook x360 830 G7 i5-10210U 16GB 256GB 13" FHD Áthajtós érintős 1 év garancia
- ÚJ Xiaomi Mi Robot Vacuum Mop Essential robotporszívó feltörlő 2db 1999 Ft
Állásajánlatok
Cég: FOTC
Város: Budapest