-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Lacir
csendes tag
Bocsáss meg, de nem igazán értelek.
Ez egy t-online-os PPPoE - kapcsolat változó IP címekkel a WAN oldalon. A 465-ös port nem arra a 4 IP címre kell, amit írtam, hanem arra kell, hogy emailt tudjak küldeni a routeren keresztül akár bárhova. ( Igazából a számlázó programunknak van rá szüksége, hogy visszajelezzen egy másik email címre a számlázás sikerességéről. A másik email cím már egy UPC-s internetről elérhető tehát nincs köze a 465-ös porthoz)
-
Lacir
csendes tag
Kedves bacus, köszönöm válaszodat.
Az 5127-es hozzászólásomban leírtam pontosan mit szeretnék. Ezért itt most nem írnám le mégegyszer, lehet megfenyítenének
. Elméletileg a 4 IP címen kívül nem lehet mást elérni ezt már beállítottam. A problémám a 465-ös port megnyitásával van ami csak kifelé lehetne megnyitva a routerből, mert a t-online ssl/tls -en keresztül enged emailt küldeni. Chain input, output, forward esetleg firewal szabályt kell állítani? Nem értek hozzá, most kezdtem Mikrotikül.Üdv
lacir -
janos666
nagyúr
Nemrég írták itt lentebb, hogy lassította nekik a WiFi sebességet a CAPsMAN. Ezért is írtam le, hogy miként sikerült véletlenül reprodukálnom a lassulást. Reméltem talán segít másnak a tipp, aki véletlenül belefutott, mert szerintem nem nehéz.
Első tippre azt hittem, hogy ha nem jelölök ki discovery interfészt, az azt jelenti, hogy minden interfészen keres, nem azt hogy egyiken se. Továbbá alap megközelítésem, hogy első körben minden mezőt üresen hagyok, amit nem muszáj kézzel kitölteni, aztán majd később finomítom ha, és amit kell, vagy épp akarok.
Másképp elmondva ez a rossz példa (így lelassul a wireless a távoli CAP-en):
set caps-man-addresses=192.168.1.12 enabled=yes interfaces=wlan_2g,wlan_5gIlyenkor IP címmel kerül be a CAPsMAN listájába a távoli CAP.
De megtévesztő lehet, hogy mikor azonos eszközön van a CAP és a CAPsMAN, akkor ez is jól működik (ezért ha valaki így próbálja ki először, akkor azt hiheti működni fog a többi CAP-el is ugyan ez, főleg hogy menni megy is, csak lassul, de csak a távoli... szóval nem triviális észrevenni sem, hogy mégsem jó).
Illetve a helyi CAP mindig IP címmel fog szerepelni a CAPsMAN listán, bárhogy van ez beállítva neki (ezért is gondoltam, jobb ha mindet IP-vel veszem fel, akkor csak IP címek lesznek a listán, nem vegyesen IP és MAC címek, ami kozmetikailag szebb, emberileg átláthatóbb lett volna --- persze nem fontos).De így a jó (ilyenkor nincs lassulás wireless sebességben):
set discovery-interfaces=bridge1 enabled=yes interfaces=wlan_2g,wlan_5gIlyenkor MAC címmel kerül be a CAPsMAN listába a távoli CAP
(Persze ez lehet ether1, nem csak bridge1, nálam bridge-elve van minden eth*)----------------------------------------------------------------------------------------
A másik javaslat: persze, hogyne, mindjárt legyalulok mindent netinstall-al, aztán kézzel egyesével visszaállítok mindent, akár többször is egymás után, míg tesztelgetek.
![;]](//cdn.rios.hu/dl/s/v1.gif)
Ha lehet, akkor mindig a lehető legrugalmasabb beállítást keresem, hogy minél több változtatást éljen túl, minél többféleképp ki lehessen próbálni X dolog paraméterezését úgy, hogy nem kell Z,K,L,M beállításokat kézzel hozzáigazítani egy X kapcsolgatáshoz.Szóval ez az, ami működik önálló AP-ken, és akkor is, ha ugyan azon a gépen fut a CAPsMAN és a CAP (megint kanyar vissza a gondolathoz, hogy ha legelőször egy gépen teszteled a CAPsMAN-t, akkor azt hiszed jó lesz a többire is, mert egy gépen belül működött, de a többi, távoli CAP-en már nem fog):
add bridge=bridge1 interface=allEz azért (lenne) kényelmes, mert ha letiltod a CAP módot, azonnal sima AP-ként kezd üzemelni az eszköz, minden további konfigurálgatás nélkül (mielőtt kötekedés..: az meg azért jó, ha minimális erőbefektetéssel és emberi hibalehetőséggel szeretnéd tesztelgetni, jobb-e neked a CAP mód, mint több szóló AP, vagy sem).
Azért is zavaró, mert a távoli CAP-eken is így néz ki bridge a fenti beállítással:
Tehát mindkét wlan interfész, amit most a CAPsMAN kezel, disabled port-ként szerepel. Ennek ellenére mégis loop-ot okoz ez a beállítás.
Persze ha törlöm az all-t és berakom az ether*-eket a bridge-be a wlan*-ok nélkül, akkor minden OK, csak akkor kézzel hozzá kell adnom a wlan*-okat, ha kiveszem őket CAP módból (de ami miatt még kényelmetlenebb ez, hogy ilyenkor másik MAC-et választ magának a bridge1 interfész, ami miatt leszakad a Winbox és másik IP-t kap az eszköz DHCP-ről, szóval egy rakat beállítást kell kézzel módosítani).
----------------------------------------------------------------------------------------
Szerk.: Úgy tűnik mégis ugyan úgy ki kell venni a wlan* interfészeket a bridge-ből a CAPsMAN eszközön is. Kipróbáltam, és megszűnt a lassú kapcsolódási és DHCP címlekérési probléma a WiFi klienseken. Akkor ott is ugyan úgy gondot okoz, csak kevésbé látványosat és nem kapok a log-ban hibaüzit.
-
bambano
titán
beülsz egy autóba, kimész a bótba, megveszed, hazajössz, örülsz.
Albertirsán vannak, Pestről nincs messze.
persze csak ha fontos, hogy legyen egy routered.egyébként ha éjjel beregisztrálod magad, és reggelig feladod a megrendelést, azt délig el szokta vinni a futárjuk, és pénteken kézhez kapod. legalábbis ide, világvége tábla utánra ki szokott érni rákövetkező munkanap.
szerk: nem foglalkoznak azzal, hogy ki milyen státuszban regisztrál.
-
janos666
nagyúr
Szerintem a szövegkontextusban és az említett eszközök lehetőségeit tekintve viszonylag egyértelmű volt minden, ha nem is teljesen tudományosan/szakmailag korrekt szemantikával. De én pl. mutattam screenshot-okat is, az már elég egyértelmű.
De ezzel a hAP AC 2-vel biztos nincs valami rendben.
Mármint vagy hibás példány, vagy sokkal inkább szar még/már a szoftver (a legutolsó bugfix-re még nem próbáltam downgrade-et, csak stable és RC lett kipróbálva).Kikapcsoltam a házban minden 5G-s kütyüt és ellenőriztem, hogy az emelet közepére rakott AP ~0% frekvenciahasználatot mér a kiszemelt csatornákon (legalább 2 téglafal minden irányból, aztán a szomszéd házak falai... vidéki kis falu, ilyenkor nappal sok ház üres, vagy öregek lakják...), aztán mértem egyedül csak a telefonommal közvetlen rálátásban pár méterről, és így is ingadozik a kapcsolat minősége, illetve hiányos a Windox-ban a statisztika (nem jelenik meg a jelszint mérés minden használt MCS-re, stb). 1 stream-el sem tudja tartani a .11N-ből örökölt MCS7 modulációt sem (nem még a 9-est), állandóan lefelé kapcsolgat, és nagyon alacsony CCQ-t jelez vissza, ami talán hibás is lehet, de közben fut a szintetikusan generált TCP adatforgalom, és arra is jelentősen alacsonyabb sávszél mérés jön ki, mint az elvi maximum, szóval tényleg leváltogat alacsonyabb MCS-re és/vagy ismételget adatcsomagokat.
-
#5051
Kiratheonly
tag
bacus
#5050
Kiratheonly
tag
Gondoltam egyértelmű az 5Ghz ac, ha már 2 hozzászólással ezelőtt is abból indultunk ki. De akkor javítom.
5Ghz ac, szomszéd szoba, WPA2 titkosítás, HAP AC és RB3011 párossal. 70Mbit/s legjobb esetben. CAPsMAN V2-vel.
5Ghz ac, szomszéd szoba, WPA2 titkosítás, HAP AC és RB3011 párossal. 280Mbit/s legjobb esetben.
Azonban, lehet a titkosítást kicsit szigorúra vettem a CAPsMAN esetén, majd még ránézek, hátha kitudok csavarni még jobb sebességet is belőle.
-
#68216320
törölt tag
Asus RT-N66U router mellett, ami ugye N-es wifi, simán elérhető a 11-12MB/s jó vételi környezetben, mondjuk egy légtérben a routerrel. Tehát nem 50Mbit a valós átvitel.
Másrészt szükség van a parkban is a nagyobb sebességre, mert a szervert megfelelő sebességgel el kell érni a klienseknek a napi munka gördülékeny végzéséhez. Nem csak internetezés folyik, hanem belső hálón munka. Ezért a 4MB/s igen harmatos lenne.
-
#68216320
törölt tag
Nézd, amit leírtál, hogy mindkét oldalon (AP - kliens) változtatni kellene, ez abban az esetben lenne így, ha az antenna fix faktor lenne a képletben. Egy nagyobb nyereségű antenna (2dBi -> 15dBi) nem csak a leadott teljesítményt növeli meg, hanem az érzékenységet is számottevően.
Elég kell hogy legyen 150méterre, tehát ilyen jellegű aggodalmam nincs. Alapozom mindezt arra, hogy jelenleg egy soho router (2dBi antennával) az ablakban (vasbeton fal) a kívánt távolságra a telefonon még mindig képes netet szolgáltatni, bár inkább bosszantó, mint használható minőségben. Tehát, ha ezen javít az eszköz (miért ne tenné) akkor az elég lesz.
Természetesen majd a teszt rakja fel az "i"-re a pontot, de bizakodom.
A túl sok kliens viszont valóban okozhat gondot, de ha ilyen jellegű probléma lesz majd ráérek megoldást keresni rá akkor. Várhatóan max. 15 kliens lesz egyidejüleg az AP-n.
"egyik kliens közel másik távol" - ezt nem érzem igazán problémának, mert jelenleg is működik egy soho router esetében
Mindezekkel együtt, köszönöm szépen, hogy néhány lehetséges problémát felvázoltál, mert ha mégis gond adódna (de nem, nem szabad, nem engedem...
) több szempont alapján tudom majd vizsgálni.Amúgy a több AP elhelyezése problémás lenne, mert gyakorlatilag egymás mellé tudnám csak tenni őket, aminek csekély haszna volna szerintem.
-
bambano
titán
úgy érted, hogy egy olyan mikrotik eszköz, amivel 5 gigán átlövök 8-10 kilométert, 150 méteren akadozni fog egy fa miatt? szerintem nem fog.
"Ha visszaolvasol, számtalanszor elmagyaráztam, hogy hiába az "erősebb" AP, az érzékenységet is növelni kellene, illetve a kliensek adóteljesítményét is, ami egyrészt nem megoldható": ezt a téveszmét miért nem lehet kiirtani végre? ha az ap-n rendes antennát használsz, akkor az ap szemszögéből nézve a vétel is javulni fog attól függetlenül, hogy a kliensen az adóteljesítmény nem változott. A rendes antenna nemcsak az adási paramétereket javítja, hanem a vételiket is.
-
-
-
Hát ebben igazat adok, egy "mezei" júzer megelégszik annyival, hogy összedugja a frissen vásárolt TP-Link/Asus/etc routert a megfelelő módon és a lehető legkevesebb dolog beállításával menjen neki a max sávszál ami kifér.
Közben amúgy keresővel végignyálaztam a topicot.
Ezekre szűkítettem le a kört:Router:
UBNT EdgeRouter 4 ~41.000
Mikrotik HEX RB750Gr3 ~12,000
Mikrotik RB 3011UiAS-RM ~34.500
Mikrotik RB 1100AHx4 ~54.000Switch:
Mikrotik CRS326-24G-2S+RM ~38.000
Mikrotik CSS326-24G-2S+RM ~27.500
TP-Link TP-Link TL-SG1024D ~17.000Most épp azon gondolkodom milyen kiépítésben legyen végül
Ha ésszerűen nézzük a dolgot, akkor elvileg egy 750Gr3 + SG1024D kombó lenne a költséghatékony megoldás, wifi meg már bármelyik variáció esetén lényegtelen, mert van itthon egy hAP AC. -
PetX
aktív tag
Kicsit fejtsd ki, mert nem értem.
Készítettem egy képet hátha az segít:
[kép]MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK
MikroTik RouterOS 6.39.2 (c) 1999-2017 http://www.mikrotik.com/
[?] Gives the list of available commands
command [?] Gives help on the command and list of arguments
[Tab] Completes the command/word. If the input is ambiguous,
a second [Tab] gives possible options
/ Move up to base level
.. Move up one level
/command Use command at the base level
[admin@MikroTik] >
caps-man file log queue special-login beep password setup
certificate interface mpls radius system blink ping undo
console ip port routing tool export quit
driver ipv6 ppp snmp user import redo
[admin@MikroTik] > export
# apr/22/2018 10:15:20 by RouterOS 6.39.2
# software id = GUVT-VM6L
#
/interface bridge
add admin-mac=CC:2D:E0:54:76:C3 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=\
tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=petx \
supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=\
gyalogkakukk wpa2-pre-shared-key=gyalogkakukk
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no distance=indoors \
frequency=2437 security-profile=petx ssid=Lehallgatokocsi \
wireless-protocol=802.11
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=wlan1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=\
ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept est
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid
invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-na
connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquer
wlan1
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether3 type=internal
add interface=bridge type=external
/system clock
set time-zone-name=Europe/Budapest
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge
[admin@MikroTik] >
[admin@MikroTik] > -
-
Fooler89
őstag
Igaz és ráadásul van is.
Most volt egy tervezett áramszünet és ugye ez előfordult. Szóval nem gondolkoztam. Bocsi.
#4817 Sajnos nem a samsungnál. Sokkal rosszabb.
#4814 Ha jól tudom capsmannál van seamless roaming viszont az, hogy mikor kapcsolódjon át a másik ap-ra azt mindig a kliens dönti el.Ha jól tudom azt meg lehet tenni, hogy egy bizonyos határnál dobja el a klienst és ilyenkor azonnal keresni fog és rámegy az erősebbre ezáltal kényszeríted a klienst a újrakeresésre.
Gyakorlatban sajnos nincs erről tapasztalatom. -
#4817
MasterDeeJay
veterán
bacus
#4816
-
Gyurka6
őstag
Hali!
A rengeteg jó leírással általában egyetértek, azzal hogy egy (kettő-három) jót nem igazán találok, értve úgy, hogy egymáshoz nem könnyen illeszthetők ( a PH-n azért vannak jó, célratörő cikkek, blogok, (a Tiédet még nem találtam meg) openwrt és hozzá kapcsolódók főleg és dbob, valamint magánban is lehet kérdezni).
Olyan tizen éve vettem mt lapot, akkoriban csak pénzes segítségetkaptam volna hozzá. Jöttek senao, majd ovislink-ubi cpe-k így hanyagoltam. A közelmúltban akadtam rá jó áron egy 2011-re, így újra próbálkozom, a gugli fordító már nagy segítség lett. Itt említeném, hogy saját célból próbálom használni, így nem igazán akarnék 100eFt körüli tanfolyamra befizetni, mivel időm az van. Számomra egy hoby, amit tudok megoldok, kérdezek (néha első felindulásból), ha átgondolom mit, akkor legtöbbször már felesleges. Lehetne egy altopik, csak amatőrök részére... Az mt helyett most dir-860-at használok a számomra jobb (an látható) statisztika miatt.
Köszönet a hozzáértők türelméért ! -
Gyurka6
őstag
Hali!
Köszönöm, hogy foglalkozol a bejegyzésemmel és nem is a vitriolos tolladdal. A tudásomat illetően valóban úgy van, hozzátéve, nem egyszerű megszerezni ezen a nyelven. Valamelyik topikban hozzáértők vitáztak a router fogalmáról, mennyi minimális port esetén router a router, már/még kb. (Egy két másik leírás alapján én úgy értem már egy fizikai port is elég.) Mivel nem volt beírás a megoldásra azért bátorkodtam kérdés formájában számomra lehetséges megoldást vázolni. Hozzátéve, hogy én a zte-nél kikapcsoltam volna a cím kiosztást és az ottani gépeknek két címet adva szerintem, nem tökéletes megoldással működne. (Ezt a két-három ip címes megoldást, kicsit más célra itthon használom.) -
#4696
Kiratheonly
tag
bacus
#4695
Kiratheonly
tag
Nos jó, vettem már egy routerboardot: RB3011UiAS-RM. Ezt szánom tűzfalnak, ez fogja osztani a DHCP-t is, ezért kellene egy AP-vá butítható router. Elsőre ezt néztem ki: HAP AC2. Szerintem ez jó lenne, mert passzív POE-s, a routerboard pedig támogatja, még az adapter is ad elég naftát neki. Csak sajnos nem találok semmi tesztet arról, hogy milyen sebességet képes elérni ez az eszköz 5Ghz-en.
-
-
-
Egy kicsit felemás eredmény kaptam. Első körben a WinBox-ot próbáltam ki. Alapból ez a Tcp-8291-et használja. Dst-Nat Redirect To 18291. Igen ám, de végeredményben ilyenkor is a Tcp-8291-re csatlakozom, azaz engedélyeznem kell a tűzfalban a Input-Chain-ben a Tcp-8291.
Így már enged csatlakozni :-) Csakhát így meg futottam egy jó nagy kört :-)) -
bambano
titán
nekem szánta, ne aggódj
az utóbbi 2-3 évben többet foglalkoztam mikrotikkel, de nekem pl. nincs a sufniban galléros 1w-os adóteljesítményű mikrotik... amikor azt írta, hogy nem akar 500k-t költeni rá, abból lehetett tudni, hogy ócsóér kell. Olyat nem tudok, ezt kapta a válaszban. Azt viszont nem írta meg, hogy nála a használt cucc raktár vetekszik a wireless bolttal...
-
szucsa
újonc
Köszi a nagyon okos válaszodat, ha nem írsz semmit az jobb lett volna. Amúgy találtam és gyakorlatban ki is próbáltam egy nagyon jó kis MikroTik-es eszköszt. Nagyon szűk sugárzási szög + gallér, majd 1W kimenő teljesítmény (31dbm) full duplex, ami bemegy a végén kijön. 250/250 Mbps 4 msec ping 2 jitter.
Mindez annak ellenére, hogy a sávban 1 csatorna sem teljesen szabad, a szomszédokról nem beszélve.
Problémám kipipálva, ha valakinek kell szívesen segítek gyakorlati kérdésekben is. -
-
"Minden router 1 frekvencián van, de a környező wifik miatt nem igazán tudom megoldani, hogy az ap-k más más frekin menjenek. (meg szerintem akkor a váltás sem ilyen sima..)“
Én speciel nem szeretem a minden AP egy csatornán, mivel k***a s**r tud lenni a hálózat.
Teszteltem laptoppal és mobillal is a "sétálgatást". Simán váltottak, ping kiesés nélkül:-) -
bambano
titán
"RB951Ui-2HnD": próbáltad letekerni az adási jelszintet? esetleg az l2mtu-t lejjebb venni? a hálózat méretét lejjebb venni?
nem tudom, telefonok hogy kezelik, ha a mikrotik összerak 2-3 ethernet csomagot egy wifi keretbe, ennek a ki-be kapcsolásával is lehetne próbálkozni.
illetve meg kellene nézni pontosan, hogy a tplink milyen paraméterekkel ad.a másik problémádnál meg első körben azt kellene megnézni, hogy milyen forgalom, terhelés van az egyes interfészeken. az ac-s wifivel simán ki lehet tömni a drótot is, meg ha kevés a kijáratuk, akkor a kijáratot is. mert előfordulhat, hogy minden szuper, csak nagyon megörültek a wifinek és megborították forgalommal.
első körben lehet, hogy sebességkorlátozást tennék abba az eszközbe, amelyiken a kijárat van. meg kihajítanám a 3011-et, ahogy a régi nóta mondja: hej dude!
-
#4578
E.Kaufmann
veterán
bacus
#4576
E.Kaufmann
veterán
Első esetén lehetne próbálni csökkenteni a TX teljesítményt, valamint annak ellenére hogy tiszta a csatorna, mégis megpróbálni egy másikat. HT-t is ki lehetne iktatni.
Második problémakör esetnén az AP-k egy vagy különböző frekin vannak? A Min RSSI értékével is lehetne játszani.
-
-
-
#4432
Core2duo6600
veterán
bacus
#4429
Core2duo6600
veterán
Köszi, csak 2 gépről van szó egyellőre.
Az megoldható, hogy a neten (digi) ipv6 is legyen, de a lan ban csak ip4 ?
Jelenleg nincs bekapcsolva az ipv6 a mikrotikben.A mikrotiknek a scriptelő nyelve az mely programozási nyelvhez hasonlít ?
Ill. merre találni róla információt, bár mindig hülye voltam programozásból, de azért érdekel -
#4424
Core2duo6600
veterán
bacus
#4423
Core2duo6600
veterán
Mind a 2 ön windows 10 van.
Azt már beállítottam, hogy csak meghatározott gépek, ill. meghatározott helyeket érhetnek el.
Ip cím szerint megfelelően műkődik a 2 lan közt az átjárás, ahhoz mi szükséges, hogy név szerint is működjön ?
Jól sejtem, hogy a dns be kell felvenni a szükséges adatokat ? -
#4347
Core2duo6600
veterán
bacus
#4345
Core2duo6600
veterán
Na akkor így, már egyértelmű lesz:
Így néz ki a filters rész :
1 chain=forward action=drop protocol=tcp dst-port=25 log=no log-prefix=""
2 chain=forward action=drop protocol=tcp dst-port=993 log=no log-prefix=""
3 ;;; Drop new TOR version
chain=forward action=drop src-address-list=New Tor-Users log=yes log-prefix="Drop New Tor version"
4 ;;; Block TOR browser
chain=forward action=drop src-address-list=Tor-Users log=yes log-prefix="Block Tor"
5 X ;;; FastTrack
chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="fast"
6 chain=forward action=drop src-address=10.10.10.0/24 dst-address=192.168.1.0/24 log=no log-prefix=""
7 chain=forward action=drop src-address=192.168.1.0/24 dst-address=10.10.10.0/24 log=no log-prefix=""
8 ;;; Established, Related
chain=forward action=accept connection-state=established,related log=no log-prefix=""
9 ;;; Allowed to router
chain=input action=accept src-address-list=allowed_to_router in-interface=Lan log=no log-prefix=""
10 ;;; default configuration
chain=input action=accept connection-state=established,related log=no log-prefix=""
11 ;;; Allowed to router
chain=input action=accept src-address-list=allowed_to_router in-interface=ether4 log=no log-prefix=""
12 ;;; From DNS from Wan
chain=input action=drop protocol=udp in-interface=Digi-PPPOE dst-port=53 log=no log- prefix="Drop_DNS"13 chain=input action=drop protocol=tcp in-interface=Digi-PPPOE dst-port=53 log=no log-prefix="Drop_DNS"
14 chain=input action=drop protocol=tcp in-interface=Telekom dst-port=53 log=no log-prefix=""
15 chain=input action=drop protocol=udp in-interface=Telekom dst-port=53 log=no log-prefix=""
16 ;;; Drop invalid
chain=forward action=drop connection-state=invalid log=no log-prefix="invalid"
17 ;;; Drop Invalid
chain=input action=drop connection-state=invalid log=no log-prefix="Invalid"
18 ;;; Drop tries to reach not public addresses from LAN
chain=forward action=drop dst-address-list=not_in_internet in-interface=Lan out-interface=!Lan log=no log-prefix="!public_from_LAN"19 ;;; Drop incoming from internet which is not public IP
chain=forward action=drop src-address-list=not_in_internet in-interface=Digi-PPPOE log=no log-prefix="!Public from Net"20 ;;; Drop incoming packets that are not NATted
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=Digi-PPPOE log=yes log-prefix="!NAT"21 ;;; Drop packets from LAN that do not have LAN IP
chain=forward action=drop src-address=!192.168.1.0/24 in-interface=Lan log=yes log-prefix="LAN_!LAN"
22 chain=input action=drop log=yes log-prefix="Drop"A kérdésem, pedig, ha kikapcsolom a 10 es szabályt, akkor miért áll meg az internet ?
Ha jól gondolom, akkor a 8 asnak kellene biztosítania, hogy megérkezzen kivülről a válasz ami a 9 esen megy ki. -
mcll
senior tag
Nem írtam át semminek a nevét, ahogy mondtam csak a login passt írtam át és próbálkoztam hozzáadni a fwd rule-okat.
[admin@MikroTikMCLL] > interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE ACTUAL-MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 R ether1 ether 1500 1596 2026 64
1:54:93:E0:3B
1 R ether2-master ether 1500 1596 2026 641:54:93:E0:3C
2 S ether3 ether 1500 1596 2026 641:54:93:E0:3D
3 S ether4 ether 1500 1596 2026 641:54:93:E0:3E
4 RS ether5 ether 1500 1596 2026 641:54:93:E0:3F[admin@MikroTikMCLL] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 178.48.xx.xx 1
1 ADC 178.48.xx.0/24 178.48.xx.xx ether1 0
2 ADC 192.168.1.0/24 192.168.1.254 ether2-master 0 -
mcll
senior tag
Megcsináltam amit mondtál. a router 80-as portját elfelejtettem átírni a full reset után (előtte 8080 volt). De most leítiltottam.
Így néz ki:
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Server Oscam webaccess" dst-port=8881 in-interface=ether1 protocol=tcp \
to-addresses=192.168.1.245 to-ports=8881
add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=192.168.1.245 to-ports=80De most sem megy kívülről.
-
mcll
senior tag
Szerintem minden fontos dolgot leírtam, screenshotokkal együtt.
Nézem belső hálón (router mögött domain-t és portot beírva) és nézem kívülről is (ugyanígy).
Most visszatettem a régi routert, azzal hiba nélkül megy a port forward. Szóval valami a Mikrotik routerben nem kerek.
Ezt kérdeztem hogy mi lehet az? Szinte az összes netes forrást átnéztem, mindenhol majdnem ugyanazt írják hogy kell a port forwardot csinálni, igaz van 1-2 verzió. Mindent kipróbáltam, nem megy. -
-
mm00
aktív tag
-
brickm
őstag
Na sikerült elérni az AP-t is kintről.
Kellett bele a második szabály:1 ;;; masq OpenVPN pool full
chain=srcnat action=masquerade src-address=192.168.90.0/31
out-interface=pppoe-out1_DIGI log=no log-prefix=""
2 chain=srcnat action=masquerade src-address=192.168.90.0/30
dst-address=!192.168.90.0/30 log=noNem igazán értem miért kell, ha az ip kamera meg a pc elérhető 0.10 és 0.101-es címen, ez miért nem.
-
#4101
E.Kaufmann
veterán
bacus
#4099
E.Kaufmann
veterán
Jajj de nagyra vannak sokan ezzel a honvédelmi oktatással, de gyakran csak azt érzem, "ha mi coptunk, copjatok ti is". Láttuk a Rambót meg az Angyalbőrbent (ami állítólag propagandaanyagnak készült, de valahogy úgy se lett vonzó az egész katonásdi, amúgy RIP Karádi) oszt annyi elég is volt. Inkább kellene rendesebb középsulis oktatás, értelmesen elosztott tesiórákkal.
-
brickm
őstag
Köszi a segítséget mégegyszer. feltettem én is a 2.2.2-est azzal nekem is csak egy sor hibaüzenet van. Ebbe már belenyugszok.
Még egy dolgot tapasztaltam amit nem nagyon értek.
VAn egy tp link Accesspointom 192.168.0.2-es címen, a konfig menübe belehet lépni minden címről, 80as porton. Helyi hálón ez tökéletesen működik is, de ha openvpn-ről lépnék be egyszerűen csak teker a lap de nem történik semmi. A hálózaton lévő többi eszközt viszont elérem szépen.
Az AP-ot átnéztem, semmi firewall, vagy tiltás nincs benne bekapcsolva, remote connetion 255.255.255.255 tehát kintről is minden cím engedélyezett. -
. Elméletileg a 4 IP címen kívül nem lehet mást elérni ezt már beállítottam. A problémám a 465-ös port megnyitásával van ami csak kifelé lehetne megnyitva a routerből, mert a t-online ssl/tls -en keresztül enged emailt küldeni. Chain input, output, forward esetleg firewal szabályt kell állítani? Nem értek hozzá, most kezdtem Mikrotikül.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
na ezt se hallottam még. Nekem 6.40.4 van most fent. Mivel eddig hibátlanul működik, vpn stb minden megy, nem bántom szerintem.
Új hozzászólás Aktív témák
Hirdetés
ekkold
- LG 48C4 - 48" OLED evo - 4K 144Hz - 0.1ms - NVIDIA G-Sync - FreeSync - HDMI 2.1 - A9 Gen7 CPU
- Samsung Galaxy S23, 8/128 GB, Kártyafüggetlen
- HP Rack szerverek és tartozékok egyben vagy külön-külön
- AKCIÓ! Gigabyte H510M i5 10400F 16GB DDR4 512GB SSD GTX 1070 8GB Rampage SHIVA Zalman 600W
- Csere-Beszámítás! Asztali számítógép PC Játékra. I5 12400F / RTX 3070 / 32GB DDR4 / 1TB SSD
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged