-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Reggie0
félisten
válasz
Audience
#17704
üzenetére
Annyi hatranya van, hogy a ket interfeszen logo eszkozok mar latni fogjak egymast, a client isolation csak wifi interfeszen belul mukodik, szoval mehet arra is egy tuzfal szabaly, es hat a bridge is a procit fogyasztja, mikozben semmi valos funkcioja sincs.
Nem hinnem, hogy a bridge konfiguralashoz sokkal kevesebbet kell kattintani, mint a +1 dhcp szerverhez. -
Reggie0
félisten
Ugy altalaban a legtobb mikrotiknel problema, mert csak egy bridget tud hardveresen gyorsitani. A tobbi bridget mar processzorbol fogja kezelni, ami magas prociterhelest tud okozni, ha a vezetekes halozat is erintett. Emiatt a teljes forgalmat be kell kuldeni a prociba, ami a switch chip es a proci kozotti linket is hamar telitheti.
(A wifi, virtualis, tunnel es hasonlo interfeszek bridgelese viszont vegig prociban tortenik minden esetben.)De a te esetedben a vendeg wifi-nek nem kell bridge, ne is add hozza a meglevo bridge-hez se.
-
Reggie0
félisten
válasz
Audience
#17696
üzenetére
Ez is igaz, bar lehet switch chip-bol vlant filterelni, de attol meg a masik wifi interfeszre atmegy a vlan tagged csomag.
Mondjuk visszaolvasva a leirasat a vendeg wifi-nek nem is kell a bridgen legyen, mert csak netet kapnak rajta, igy masodik bridge se kell, mivel routing/forwarding lesz kizarolag, switchelni nem fog semerre. -
Reggie0
félisten
válasz
Audience
#17692
üzenetére
Kulon bridget nem szabad csinalni, csak ccr1xxx-en, mert megeszi a procit!
#17691 Horvi:
kulon vlan-ba rakd be a vendeg wifi virtualis interfeszt, adj hozza egy vlan interfeszt, amire a router ebbe a halozatba tartozo ipjet pakolod(igy nem kell kulon bridge).A tuzfal szabalyokat pedig ne chain=input-al add hozza, hanem chain=forward -al.
-
Reggie0
félisten
válasz
akos86
#17524
üzenetére
Rakd vissza ugyanazt az os verziot, allitsd vissza a backupot, majd a configuraciot generaltasd le(show sensitive-t ne felejtsd el) es a config scriptet mentsd be. Ezt mindig vissza lehet allitani es kulonbozo tipusok kozott is enged atjarni. Raadasul feltolteni se kell, siman terminalba be tudod masolni vagolaprol.
-
Reggie0
félisten
-
#17476
Reggie0
félisten
E.Kaufmann
#17474
Reggie0
félisten
válasz
E.Kaufmann
#17474
üzenetére
Nem marad mas, mint hogy scriptelni kell. Viszont elo fog jonni a kerdes, hogy melyik hozzaferesnek legyen prioritasa, merje-e hogy melyik net a jobb minosegu/sebessegu, stb.. Eleg konnyu elbonyolitani a kerdest.
-
Reggie0
félisten
válasz
Istv@n
#17470
üzenetére
Valoszinuleg az a baj, hogy az LTE-s eszkoz nem tudja merre kell visszakuldeni a valaszcsomagot ezert kikuldi az internet iranyaba, mert a konfigjaban levo default gateway-t talalja a megfelelo routingnak. Erre az a legegyszerubb megoldas, hogy ha a LTE alatt levo router-t allitod be default gateway-nek es ott masqueradingelsz, vagy az LTE-s eszkozon felveszed a routing tablaba a tavolabbi routered cimtartomanyat.
-
#17471
Reggie0
félisten
E.Kaufmann
#17469
Reggie0
félisten
válasz
E.Kaufmann
#17469
üzenetére
Sejtem, hogy nem erre gondolsz, de a legegyszerubb es legjobb megoldas a vps berlese, harom tunnel felhuzasa es oda bonding.
-
#17468
Reggie0
félisten
bicajoskema
#17466
Reggie0
félisten
válasz
bicajoskema
#17466
üzenetére
Ha a mobilnet szakad, az kb. barmitol is lehet. Idonkent a szolgaltato is megszakithatja. Meg kene nezni az LTE logot a mikrotiken, hogy mi tortenik.
-
#17442
Reggie0
félisten
E.Kaufmann
#17441
Reggie0
félisten
válasz
E.Kaufmann
#17441
üzenetére
Alap, virtual wifi interfeszre kell feldobni minden ilyet.
Itthon pl. a mobiltelefonok nalam is a felig guest wifi halozaton lognak: kb. semmit sem csinalhatnak az interneten kivul, egymast sem latjak, de a NAS-ra egy porton, csak olvasasi joggal csatlakozhatnak. -
#17439
Reggie0
félisten
E.Kaufmann
#17438
Reggie0
félisten
válasz
E.Kaufmann
#17438
üzenetére
-
Reggie0
félisten
válasz
Istv@n
#17434
üzenetére
Miert buknanak? LG is megcsinalta, megsem bukott bele.
Minimum a wifi halozatok listajat es jelszintjet elkuldi a szerverre, a te erdekedben, hogy tudjal wifit valtani.
Ezzel meg is van a geoloc az IP cimedre. A hasznalati szokasaidat, tartozkodasi helyedet ugyis szerver oldalon gyujtik, ahhoz nem kell a halozatod. -
Reggie0
félisten
válasz
taki01
#17430
üzenetére
Volt rola doksi is, de ezek szerint leszedtek:
https://help.mikrotik.com/docs/display/ROS/Container
7.1rc3-ban van benne, az volt az egyetlen verzio, azota nincs.Itt a forumban talalsz maradekot a mikrotikes manualbol: [link]
MIPS architekturan is mukodott emlekeim szerint. TILE-re is megcsinaltak, csak azt a docker nem tamogatja, igy nem volt kesz dockeres cointainer.
-
Reggie0
félisten
válasz
user12
#17423
üzenetére
Az atjaro alapbol azt jelenti, hogy ha nem tudod az IP cimhez tartozo gep MAC cimet, akkor az atjaronak megadott gep MAC cimere kell kuldeni a csomagot. Egyes esetekben, ha pl. egy switchen van szomszedos IP cimu, akkor siman megkerdezi egy ARP keressel, hogy mi az IP-hez tartozo MAC cim es oda fogja kuldeni. Ha ezt nem lehet megtenni, mert mondjuk nem szomszedos a gep, azaz nem egy kozos L2 retegen vannak(pl. swithen keresztul), akkor az ARP keresre nem fog valasz jonni. Ilyenkor kell megadni az atjarokent(routerkent) funkcionalo gep cimet, mint atjarot, ekkor annak a gepnek kerdi le ARP-al a MAC cimet, es oda kuldi a csomagot. Az atjaro tudja a csomagban levo celcim IP cime alapjan, hogy az nem neki jott igazabol es forwardolja(tovabbkuldi) a csomagot vagy egy masik atjaronak, vagy ha a routeren L2 retegen, akkor kozvetlen oda ahova kell. Ez az alap koncepcio. Tehat minden networkhoz(ipcim+mask) kell egy atjarot megadni, ha az a 2-es retegen(MAC) nem szomszedos gep, mert nem lehet hozza MAC cimet lekerni.
A specialis esetek peldaul a tunnelek, mert azokon az L2(MAC) reteg nem feltetlenul van implementalva, igy nem is lehet beszelni MAC cimrol, nem is lehet lekerni. Az ilyen interfeszek jellemzoen egy csokent viselkednek, azaz amit bedobsz egyik oldalon azt a masik oldalon egyetlen gep fogadja. Ilyen esetekben az atjaronak csak magat a fizikai interfeszt lehet megadni, hiszen csak egy gep van a tuloldalt, szinte tok mindegy milyen IP cimmel. Ezeknel emiatt van, hogy nem is lehet IPcimet megadni atjarokent.
-
-
#17397
Reggie0
félisten
silver-pda
#17394
Reggie0
félisten
válasz
silver-pda
#17394
üzenetére
Igy fejbol nem, de a helyedben errol a listarol szemezgetnek https://help.mikrotik.com/docs/display/ROS/Peripherals
-
Reggie0
félisten
válasz
VeryByte
#17382
üzenetére
Is-is, ezek egybe vannak agyazva. Tehat a szerver publikus kulcsaval titkosit es a sajat titkos kulcsaval alair. Igy csak a szerver tudja dekodolni es a szerver a kliens publikus kulcsaval tudja ellenorizni, hogy valoban az adott kliens kuldte-e a valaszt. Az asszimetrikus titkositassal valoban csak szimmetrikus kulcsot cserelnek es seed-et, IV-t valasztanak.
-
Reggie0
félisten
Hatha erdekel valakit: a protonvpn mar tamogat wireguardot is, igy routeros 7-tel mar lehet hasznalni. Sajnos openvpn-nel nem megy, mert bar bekerult az sha512 a hash algok koze, de az elore megadott tls kulcsot meg mindig nem tudja a mikrotikes openvpn implementacio.
Viszont amivel szivok, hogy az nvidia shield protonvpn-en keresztul nem akar menni, azt mondja nincs internet, mikozben van. Valami API vacakol, gondolom IP-re szurnek egy guglis szerveren, amihez igy nem tud csatlakozni es onnantol eldobja, hogy nincs net.
-
Reggie0
félisten
válasz
ekkold
#17350
üzenetére
+1 a wireguard. En most osszehuztam a laptopot es a mobiltelot kozos lokalis haloba wireguarddal, majd felpattintottam a KDEConnect-et es most a laptopon megjon minden ertesites, latom a hivast, meg tudom osztani a vagolapot, stb. az eszkozok kozott fuggetlenul attol, hogy hol milyen neten vannak, kb. ugy mint iphone-macbook-nal is meg van oldva.
-
Reggie0
félisten
-
Reggie0
félisten
válasz
Audience
#17340
üzenetére
Tul van ertekelve a problema. Alig van par radar az orszagban, ha nem a kornyeken vagy hegyteton elsz, akkor eselyed sincs zavarni. Viszont pont a surun lakott teruleteken lesz problema a DFS-el, mert megy a harc a frekikert a juzerek kozott. Audiencen pl. egy darab 160MHz-es csatorna erheto el es mind DFS/CAC-en van, tehat maskeppen hasznalhatatlan a termek arra, amire valo.
-
-
Reggie0
félisten
válasz
taki01
#17306
üzenetére
Azert mas a teljesitmeny, mert mas a frekvencia. Ez a magyar szabalyozas:
5ghz: 5180 MHz 20/40/80mhz 23 dBm indoor
5200 MHz 20/40/80mhz 23 dBm indoor
5220 MHz 20/40/80mhz 23 dBm indoor
5240 MHz 20/40/80mhz 23 dBm indoor
5260 MHz 20/40/80mhz 23 dBm DFS (CAC 1 min) indoor
5280 MHz 20/40/80mhz 23 dBm DFS (CAC 1 min) indoor
5300 MHz 20/40/80mhz 23 dBm DFS (CAC 1 min) indoor
5320 MHz 20/40/80mhz 23 dBm DFS (CAC 1 min) indoor
5500 MHz 20/40/80/160mhz 30 dBm DFS (CAC 1 min)
5520 MHz 20/40/80/160mhz 30 dBm DFS (CAC 1 min)
5540 MHz 20/40/80/160mhz 30 dBm DFS (CAC 1 min)
5560 MHz 20/40/80/160mhz 30 dBm DFS (CAC 1 min)
5580 MHz 20/40/80/160mhz 30 dBm DFS (CAC 1 min)
5600 MHz 20/40/80/160mhz 30 dBm DFS (CAC 10 min)
5620 MHz 20/40/80/160mhz 30 dBm DFS (CAC 10 min)
5640 MHz 20/40/80/160mhz 30 dBm DFS (CAC 10 min)
5660 MHz 20/40mhz 30 dBm DFS (CAC 1 min)
5680 MHz 20/40mhz 30 dBm DFS (CAC 1 min)
5700 MHz 20mhz 30 dBm DFS (CAC 1 min)Szerk:
TEVEDTEM! Most latom, hogy mind a ketto 100 alatti csatorna. Akkor egyformanak kene lennie, bar lehet hogy a masik routerben meg mas tablazat van. -
-
Reggie0
félisten
válasz
FeriPapa2
#17249
üzenetére
Ki kene deriteni, hogy ez vezetett zavar vagy sugarzott. Peldaul akkor is eldobja-e router, ha szunetmentesrol vagy akkumulatorrol van taplalva es kikapcsolod mellett a TV-t. Ha igy nem, akkor nagyon nagy valoszinuseggel az elektromos halozaton jelentkezo zaj jut at a mikrotik tapjan es az okozza.
-
Reggie0
félisten
válasz
Shkiz0
#17214
üzenetére
A 7.x.x verzioknal az a tapasztalatom, hogy ha barmilyen extra csomag van fent, abbol baj lehet frissitesnel. Ezert en mindig ugy frissitettem, hogy lementettem a configot, utana leszedtem minden extra csomagot, utana config reset es ekkor indult a frissitest, majd ugyan ez visszafele.
Szerintem valamit nagyon elszurtak, amikor attertek az egycsomagos alaprendszerre es mindig elfelejtik, hogy azert leteznek hasznalatban levo extra csomagok is. Nem tudom naluk milyen a CI/CD, de fogadnek, hogy az autotesztekbol kiszedtek.
-
#17198
Reggie0
félisten
Marcelldzso
#17197
Reggie0
félisten
válasz
Marcelldzso
#17197
üzenetére
Erdemes inkabb a forras oldalt elrakni, mert sok egyeb abra es magyarazat van ott: https://help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS
-
Reggie0
félisten
válasz
Zwodkassy
#17194
üzenetére
Ahogy Audience is mutaja, vagy ahogy irtam ettol a szabalytol: /routing rule add src-address=<wan2ipcime> action=lookup-only-in-table table=<wan2routingtabla>
Ez forrascim alapjan hatarozza meg, hogy melyik tablaban kell keresnie a dest ip-hez tartozo routingokat.
Linux alatt ezt source-routing-nak hivjak. [link]
-
#17193
Reggie0
félisten
Marcelldzso
#17185
Reggie0
félisten
válasz
Marcelldzso
#17185
üzenetére
Nincs mit igazan. Amugy a mangle-t is lehet hasznalni, csak ilyenkor nem a forward chainbe kell rakni a connection markot, hanem az input chainbe, mivel a mikrotik belso(proci) interfesze fele megy a forgalom es forwardot sosem lat(nem interfeszek kozott iranyitja).
Azaz az alabbi abran nem az I pontbol L-be megyunk, hanem a J-be, onnan a LOCAL-IN-be. Es I es J kozott az INPUT van, amit kaptal eddig configot, pedig a FORWARD-ba rakta a szabalyt. Ezert nem mukodott.
-
#17182
Reggie0
félisten
Marcelldzso
#17181
Reggie0
félisten
válasz
Marcelldzso
#17181
üzenetére
Hat. Lehet, hogy akkor nem artana, ha a teljes felepiteset es celjat elmondanad a halozatod ezen reszenek, mert meg azt is talalgatnunk kell, hogy mit is szeretnel valojaban.
Ha kintrol szeretnel csatlakozni es onnan szeretnel kintre valaszolni, akkor mangle sem szukseges, mivel mas IP cimed van a wan2 interfeszen, igy egy egyszeru policy based routing kell arra az ipcimre, amire bejott a csomag. Tehat a fib tablan kivul torolsz mindent amit eddig csinaltal, beleertve a tuzfalszabalyokat es csak ennyi kell:
/routing rule add src-address=<wan2ipcime> action=lookup-only-in-table table=<wan2routingtabla>
/ip route add dst-address=0.0.0.0/0 routing-table=<wan2routingtabla> gateway=<wan2interfesz> suppress-hw-offload=no -
#17180
Reggie0
félisten
Marcelldzso
#17179
Reggie0
félisten
válasz
Marcelldzso
#17179
üzenetére
Mivel a kapcsolatot bentrol kezdemenyezzuk kifele ezert a benti interfeszen kell markolni a csomagokat, hogy tudjuk merre kell tovabbkuldeni. Amit te csinaltal az pedig a wan interfeszen markolja a csomagot, aminek max akkor van ertelme, ha kintrol be lehet csatlakozni es mondjuk portforwardolsz. De alapbol nem ez kell neked.
Szoval inkabb igy:
/ip firewall mangleadd action=mark-connection chain=forward in-interface=wg new-connection-mark=connWAN2 passthrough=yesadd action=mark-routing chain=prerouting connection-mark=connWAN2 in-interface=wg new-routing-mark=wgtable passthrough=yesA tobbi sor az rendben van.
-
Reggie0
félisten
válasz
Ablakos
#17171
üzenetére
Attol fugg milyen router, lehet meg lehet oldani a hw offloading elvesztese nelkul is layer 2 acl segitsegevel.
Az a baj, hogy ha a bridgeben tuzfalazol, akkor elkuld mindent a procinak es elveszted a switch chip adta sebessegelonyt.
Ha meg kulon bridget hozol letre, akkor arra a ket kulon portra veszted el a sebesseget, mert azokat atkuldi a procinak. Illetve az a forgalom is a procin megy at, ami a bridge1 es a masik ket port kozott zajlik. -
Reggie0
félisten
válasz
Audience
#17160
üzenetére
A leiras nem azt irja, amit te mondasz. Ha megnezed, akkor pl. egy lokalis halozatnal csak az interfesz neve van ott a routingban. Ez azt jelenti, hogy az adott halozathoz azon az interfeszen kell kimenni a csomagnak, ehhez a MAC cimet lookupolnia kell. Ha IP cim (is) van megadva az azt jelenti, hogy nem kell MAC cimet lookupolni, hanem a default gw-nek megadott ipcimu gep MAC addressere kell kuldeni. Ezert van az, hogy a csak interfesz neves route-nak 0 lesz a distance, mig az IP cimesnek mar 1, mert ott egy masik host-on keresztul tortenik a kommunikacio.
Persze lehet, hogy peldaul PPPoE-nel van olyan okos a rendszer, hogy rajon az egy pont-pont tunnel igy logikusan csak a tuloldal MAC cime van es emiatt nem fogja izgatni, hogy az if neve vagy cime van megadva, de erre mondtam, hogy ki kell probalni.
Viszont ha ez mukodik akkor Marcelldzsonak csak a scriptes reszet oldja meg, a tobbire meg szukseg lesz. A packet flow/routing decision ugy megy, hogy eloszor a celcimhez keres routing szabalyokat lehetoleg minel rovidebb eredo distancevel. Ha versenges van, akkor mukodestol fuggoen sorrendben vagy esetlegesen round robin rendszerben kivalasztja egyiket. Majd miutan megvan, hogy a default gw milyen cim lesz annak megfeleloen valaszt interfeszt. Tehat a logika forditott, mint ebben az esetben varnak, nekunk elobb kene interfeszt valasztani es az interfesz szerint routingot.
-
#17155
Reggie0
félisten
Marcelldzso
#17153
Reggie0
félisten
válasz
Marcelldzso
#17153
üzenetére
Sajnos ez nem lesz egyszeru menet, ha nem statikus routingot hasznalsz, hanem DHCP vagy PPPOE kapcsolatot a WAN2 porton, azaz a default gateway cimet valamilyen kapcsolat felepitese kozben kapod meg. Ekkor muszaj lesz scriptet hasznalnod es scriptbol felhuznod/frissitened egy masodik routing tablat - mivel ezekkel a protokolokkal csak a main routing tablaban allitja be a default gw-t - , aminek a default gw-jet beallitod a wan2 gw cimere, majd policy based routingot adsz meg a wan2 connectionokra, amiket a mangle tabla prerouting chainjeben kell connection markingolni mikor beesnek a wan2 interfeszen.
-
-
Reggie0
félisten
válasz
seqwel
#17080
üzenetére
Nem lehet tudni, sehol sem lattam megemlitve. A forumon csak talalgatnak a felhasznalok, hivatalosat nem lattam rola. A tamogatas eddig csak ARM, MIPSBE es TILE architekturakon volt, de a docker csak az elobbi kettot tamogatja hivatalosan, igy TILE architekturara letoltheto vagy minta cointainer sem letezik. Tehat attol is fugg, hogy lesz-e valaha az eszkozodon, hogy milyet veszel.
-
#17036
Reggie0
félisten
E.Kaufmann
#17033
Reggie0
félisten
válasz
E.Kaufmann
#17033
üzenetére
Nem tudok rola, hogy terveznek.
Új hozzászólás Aktív témák
Hirdetés
- Egyre csak fejlődik az AI, emberek tízezreit rúgja majd ki a BT
- Google Pixel topik
- Samsung Galaxy Watch7 - kötelező kör
- Gaming notebook topik
- Milyen videókártyát?
- Gyúrósok ide!
- Synology NAS
- Poco F6 5G - Turbó Rudi
- Milyen RAM-ot vegyek?
- Nyíregyháza és környéke adok-veszek-beszélgetek
- További aktív témák...
- SAMSUNG DDR4 REG ECC 32GB 2666MHz RDIMM szerver RAM modulok, nettó 15740Ft+ÁFA, 1 év gar., több db
- Laptop felvásárlás , egy darab, több darab, új , használt ! Korrekt áron !
- DELL Universal Dock D6000 dokkolók, RTX Legion Pro laptopok 4 év Lenovo garanciával, licencek
- Bomba ár! Dell Latitude E7250 - i7-5GEN I 8GB I 256SSD I 12,5" HD I HDMI I Cam I W10 I Garancia!
- ÁRGARANCIA!Épített KomPhone Ryzen 7 7800X3D 32/64GB RAM RTX 5070Ti 16GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: CAMERA-PRO Hungary Kft
Város: Budapest