- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Motorola Edge 50 Neo - az egyensúly gyengesége
- Fenntartható, tartós kiegészítőket mutatott be a Fairphone
- Xiaomi 14T Pro - teljes a család?
- Zeiss triplakamera az új Vivo V60-ban
- Erős hardverrel érkezik a Honor 10 000 mAh-s mobilja
- Samsung Galaxy Z Fold7 - ezt vártuk, de…
- Samsung Galaxy Watch7 - kötelező kör
- Honor Magic V5 - méret a kamera mögött
- Jimmy Choo felel a Magic V Flip 2 dizájnjáért
Hirdetés
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#7081
E.Kaufmann
veterán
E.Kaufmann
veterán
A mikrotiknek a 60GHz-s wireless wire-je át tud lőni 30 métert úgy hogy van egy két fa is a képben?
-
#6815
E.Kaufmann
veterán
Kiratheonly
#6814
E.Kaufmann
veterán
válasz
Kiratheonly
#6814
üzenetére
Inkább rosszabb lenne.
-
#6808
E.Kaufmann
veterán
Core2duo6600
#6805
E.Kaufmann
veterán
válasz
Core2duo6600
#6805
üzenetére
AD=Active Directory
GP=Group Policy/Csoportházirend
PS= powershell (tudom, lehet PostScript vagy bármi
a rövidítés alapján)
Script= szkript
Szerintem nem írtam túl spéci dolgokat, persze otthoni használatra ezek nem kellenek, kivéve a PS-t mert az jól jön az otthon ügyködőknek is.Poo:
Én úgy oldottam meg, hogy "use windows creditendals", vagy mi volt a neve. Azzal a felhasználóval jelentkezek fel, akivel beléptem a Windowsba, van ilyen opció a windows-os VPN kliensben, nem kell megadni semmit felhasználónév/jelszónak. -
#6803
E.Kaufmann
veterán
Core2duo6600
#6798
E.Kaufmann
veterán
válasz
Core2duo6600
#6798
üzenetére
+1 az SSTP-re, RADIUS-sal és AD GP-vel (még ha nem is támogatja a VPN szekció az SSTP-t, úgyhogy PS Script kell hozzá) olyan szépen egybe tudtam forrasztani, hogy öröm nézni. Ha az eszköz és a felhasználó is tagja egy bizonyos biztonsági csoportnak, automatikusan beállítódik és használható az SSTP és még csak külön kliens telepítésével se kell bajlódni (Windows 10 esetén, ugyan a 7 is támogatja az SSTP-t de valamiért nem volt az igazi)
-
#6771
E.Kaufmann
veterán
Szpilu__25
#6770
E.Kaufmann
veterán
válasz
Szpilu__25
#6770
üzenetére
22-es csapdája
Ha akkor küldenél csak e-mailt, amikor visszajött a kapcsolat? Ha késleltetni kell, úgy sincs sok értelme a kapcsolat megszakadásakor.
Esetleg egy tartalék mobilnet, amit be lehet ilyenkor izzítani és azon küldjön ki levelet?
Akkor gyorsan képben lennél, hogy gond van és püfölni kell valamit/valakit.+1 a delay-re
-
#6768
E.Kaufmann
veterán
E.Kaufmann
veterán
Van egy Sony Xperia XA céges telóm (nem önszántamból vettem, mert ...
)
Van mellé egy picike hAP mini.
Állandóan leszakad róla, log alapján a Sanyi MAC address deauth és diszkónetted, de biztos nem én kezdeményeztem.
Sajna a Sunyi-hoz még új szoftver se jött mostanában, csak a semmirenemjó gyári appokhoz jön néha frissítés.
Más kliensekkel nincs gond.
Próbáltam a DHCP lease time-ot 24 órára venni, mert állítólag erre háklisak egyes mobilok. -
#6671
E.Kaufmann
veterán
MaCS_70
#6658
E.Kaufmann
veterán
válasz
MaCS_70
#6658
üzenetére
Vettél volna Draytek-et. Azok kézreállnak.
Sajnos a Mikrotik nagyon a fapad kategória, de már 6ezerért kapsz naggggyon alap Mikit, de mindent be tudsz állítani rajta is, mint a nagyokon, max belefő az erölködésbe, viszont egy izmosabb router is már kapható 20k-ért.
Használtam Draytek routert, na ott a leggyakoribb usecase-k pillanatok alatt belőhetők a webes felületen, de ahogy a régi MM reklám mondta, magasabban vannak a zárak. -
#6410
E.Kaufmann
veterán
daninet
#6395
E.Kaufmann
veterán
válasz
daninet
#6395
üzenetére
Újraindítás után sem? Én jártam már így miki switch-csel, konfigoltam a bridget és elveszett a kapcsolat, de újraindítás után a konfig is maradt és el is értem az eszközt. Ha nem segít, akkor a WinBox rá tud keresni az eszközre és fel tud csatlakozni MAC cím alapján is.
-
#6394
E.Kaufmann
veterán
daninet
#6393
E.Kaufmann
veterán
válasz
daninet
#6393
üzenetére
Az eth1-hez tartozó IP-t érdemes törölni, de ha nem a miki lesz az átjáró,a többi eszköznek mindegy. Ez eth1-et utána érdemes berakni a bridzsbe.
H annyit tesz mint Hurrikán üzemmód![;]](//cdn.rios.hu/dl/s/v1.gif)
Szerintem ha hasadra ütsz rájössz, hogy nem a Hedvig vagy a Henrietta rövidítése, hanem a Hardware(-Offload)
Frissíteni kell, nem kapcsolni, de ha a frissítés utána sincs H a portoknál, a bridge1 beállításai alatt az (r)stp-t none-ra kell állítani.Frissíteni akkor is érdemes, ha reseteled.
-
#6392
E.Kaufmann
veterán
daninet
#6390
E.Kaufmann
veterán
válasz
daninet
#6390
üzenetére
Nincs ott a portoknál a H bötű, de valszeg azért, mert régi a RouterOS-ed, azon még a Bridge üzemmód szoftveres, ezen a verzión még ki kell jelölni egy master portot és a slave portokon be kell állítani az egy szem master portot. Frissítsd a mikit és figyeld, hogy megjelenik-e a H betű a Ports fül alatt az interfészeknél.
-
#6381
E.Kaufmann
veterán
daninet
#6380
E.Kaufmann
veterán
válasz
daninet
#6380
üzenetére
A CRS jelentése Cloud Router Switch
Szóval, switchként használva nem lesz vele gondod.
Már nincs olyan, hogy master és slave portok, úgyhogy a RouterOS-en az összes portot a LAN oldali bridge-be rakod (DHCP szervert kilövöd) és annyi.
Viszont ilyenkor a szolgáltatói routered fogja a NAT-olát/szűrést(ha van)/DHCP-t (ezt az SW át tudja venni sebességcsökkentés nélkül).
A routing és bridging megkülönböztetése meg kb olyan alap dolog itt a topicban, mint a hardver és szoftver közötti különbségtétel képessége . Érdemes utánanézni még a kérdésfeltevés előtt, mert egyesek megint kiakadnak 
Kovindinka: jaja, az is fontos, mert különben megette a fene. Lehet érdemes lenne az illetőnek legyalulnia a konfigot és a webes varázslóban/Quickset-ben belőni, hogy bridging.
-
#6355
E.Kaufmann
veterán
adam900331
#6354
E.Kaufmann
veterán
válasz
adam900331
#6354
üzenetére
1280 asszem a minimum, amire érdemes lehet levinni, azalatt pl elvileg nem működik az IPv6.
Btest-hez hátha itt valaki hozzá tud szólni, mi kell neki. Mondjuk ha a túloldal forrás címét engeded minden protokollra, elvileg elég lehet. -
#6353
E.Kaufmann
veterán
adam900331
#6352
E.Kaufmann
veterán
válasz
adam900331
#6352
üzenetére
Szerintem kissebb MTU kellene, mert az SSTP is csökkenti a keresztmetszetet. A btest-hez meg szvsz valamelyik portot be kell engedni, de rá kellene guglizni, melyeket az input ágon.
-
#6351
E.Kaufmann
veterán
adam900331
#6350
E.Kaufmann
veterán
válasz
adam900331
#6350
üzenetére
Lehet egy mikrotikes speed test sem ártana közvetlenül az interneten nem a VPN-en, van windowsos kliens erre, a btest vagy mi a neve. MTU probléma is lehet. ICMP nincs blokkolva? Mondjuk az SSTP sosem volt gyors.
-
#6310
E.Kaufmann
veterán
bambano
#6307
E.Kaufmann
veterán
válasz
bambano
#6307
üzenetére
Csak pár gondolat:
- Ennyire frusztrálnak az alapszintű felhasználók? Akkor válts munkahelyet és ne itt bosszankodj.
- Írták itt, hogy a szakértelmet meg kell fizetni. Ez így van, de ez sajnos hungeráj, inkább megbízzák a vérpistit, oldja meg. Azért én remélem, hogy idővel néhány vérpisti kikupálódik és okul a hibáiból és még akár jó szakember is lehet. Szerintem a fórumon pont őket kellene felkarolni, ha hagyják.
Azt meg hogy hogyan lehet ezt a jóleszazolcsón folyamatot itthon megállítani/megfordítani, az nagyon jó kérdés.
- Ajánlották itt a Mikrotik saját fórumát. Hááát, az se jobb, egyszerű kérdésekre se válaszolnak mostanában.
A másik, hogy sajnos az angoltudás is a béka ülepe alatt. Én se vagyok jó angolos, de levelezés szakmai dolgokról megy nekem. Csak mikor azt kérdezi a HR-es, hogy mi az életcélom, arra még magyarul is nehéz válaszolni, azt meg, hogy p.n@ és pénz, nem mondhatom:[link] -
#6285
E.Kaufmann
veterán
bambano
#6284
E.Kaufmann
veterán
válasz
bambano
#6284
üzenetére
Sejtem már, mire akarsz kilyukadni, a routeros tudja mely interface-hez mely DNS server tartozik, és a DNS cache adott interface-n csak az azon kapott DNS server címére küldi a kérést külön szabály nélkül? Én inkább biztosra mentem, és csak a direct adott uplinkhez kötött szolgáltatás kiesésébôl meg a naplóból látszik, ha baj van.
-
#6282
E.Kaufmann
veterán
#19482368
#6281
E.Kaufmann
veterán
válasz
#19482368
#6281
üzenetére
Olvass vissza, eredetileg a Core fórumtárs hsz-eire válaszoltam, valamint otthon én se dualWAN-ozok, de egy kis cégnél már pl nem árt, sőt.
Én hátrányát még nem éreztem nemzetközi DNS szolgáltatóknak, többször vacakolt a kábelszolgáltató, mint a nemzetközi DNS szolgáltató.
Tudom, hogy nem elég magában a szűrt DNS szolgáltató, de mint plusz réteg eddig még nem ártott, kivéve egyszer, amikor a Norton DNS szervere kormányzati oldalakat ítélt károsnak, többiekkel nem futottam ilyenbe. -
#6280
E.Kaufmann
veterán
#19482368
#6279
E.Kaufmann
veterán
válasz
#19482368
#6279
üzenetére
Én azért nem használok szolgáltatói DNS-t, főleg két átjárós helyen, mert az egyik szolgáltató DNS szerverét másik szolgáltató hálózatából nem tudnám elérni (szóljatok, ha már szabadon használható telekomos DNS inviteles hálóról ésatöbbi), ami meg tudja bonyolítani az így sem egyszerű dual/multiWAN konfigot.
Említettem a 9.9.9.9-et ami elvileg szűri a káros oldalak névfeloldását, de vannak ennél hatékonyabb és biztosan működő szűrt DNS szerverek.
-
#6275
E.Kaufmann
veterán
Core2duo6600
#6272
E.Kaufmann
veterán
válasz
Core2duo6600
#6272
üzenetére
Miért akarod bonyolítani két külön DNS szerverrel a konfigot? Miért nem jó a közös 8.8.8.8 (és párja a 8.8.4.4) én pl a 9.9.9.9-el elég jó tapasztalatokat szereztem, egy picike plusz védelmet ad domain szűréssel, de úgy rémlik van már szűrés nélküli változata is, ha meg a sebesség a fontos, ott az 1.1.1.1. Egyszerűbb a konfig, valamint én a fő és tartalék DNS címeket felhasználtam failover-hez is, hogy tudjam, melyik WAN vonal vált elérhetetlenné. Próbálkoztam az RS1.BIX.HU-val is, de volt olyan szitu, mikor egy AH-hoz kapcsolódó WAN vonalon elértem az RS1.BIX.HU-t, de már kijjebb nem jutott egy csomag sem szolgáltató oldali konfig hiba miatt.
-
#6198
E.Kaufmann
veterán
Tido
#6197
E.Kaufmann
veterán
Én egy tápcserével kezdeném, egy tökös 12-24V-s táppal meghajtva, ha a konfig nem változott vagy frissítés nem történt. Ha utána is csinálja, meg kellene nézni nagyobb terhelés (nagyobb Linux distro torrentezése
) mellett mekkora a CPU használat és egyes szabályokon finomítani vagy kikapcsolni, hogy ne terhelődjön le annyira. Bár lehet, hogy megérett a kondicserére, ha vannak a belső táp részen púpos elektrolit kondik. -
#6196
E.Kaufmann
veterán
szunyog199
#6195
E.Kaufmann
veterán
válasz
szunyog199
#6195
üzenetére
Én a B-t el is hagynám, a basic rates-ek közül is kiszedtem a B-hez tartozó módokat, hacsak nincs valami ôsi de tényleg régi PDA-d vagy laptopod.
-
#6193
E.Kaufmann
veterán
szunyog199
#6192
E.Kaufmann
veterán
válasz
szunyog199
#6192
üzenetére
Alapkonfig a kezdőoldalon vagy van még valami más nyalánkság?
-
#5727
E.Kaufmann
veterán
ekkold
#5726
-
#5723
E.Kaufmann
veterán
E.Kaufmann
veterán
Kijött a 6.43.1 (Stable) (a.k.a Current
)
Most már ebben is benne van a RB3011-es IPSec gyorsítás, csak még nem merem feltenni in produksün envájorment .
Ha valaki bátrabb és 3011-est használ valamilyen IPSec alapú összeköttetéssel, jelezze már, hogy tapasztal-e valami javulást. -
#5708
E.Kaufmann
veterán
E.Kaufmann
#5702
E.Kaufmann
veterán
válasz
E.Kaufmann
#5702
üzenetére
Látom, nem túlzottan népszerű itt a 3011-es
de azért újabb közérdekű infók, megkérdeztem az okát a gyengus IPSec teljesítménynek, erre jött a válasz Emils-től (miki support):
Currently the RB3011 IPsec performance is comparable with any of the IPQ4018 routers (like 450Gx4, hAP ac2), it actually shares the same driver, however there are 4 total crypto modules on RB3011 and as of now only 1 is enabled, meaning it has the potential to achieve even higher throughput. Anyway, we will continue to develop this driver, but in the mean time, 400Mbps over the 100Mbps which you were able to achieve with software crypto is a valuable gain in my opinion.
Magyarul a 4 kripto modulból csak egyet kezel a jelenlegi driver, de fejlesztik. Mire kifut a 3011, talán még kész is lesznek
Sebaj, mi úgy is mindent tovább használunk, mint kéne
-
#5702
E.Kaufmann
veterán
E.Kaufmann
veterán
Az RB3011-es adatlapján megjelentek az IPSec sebességadatok (gondolom ez már a HW gyorsított mérés, amit ígértek két hete). Hááát, egy 750Gr3 gyorsabb nála, bár nem vészesen.
-
#5599
E.Kaufmann
veterán
ekkold
#5597
E.Kaufmann
veterán
Pont hogy router kell neki, ami nem NAT-ol hanem routol valamint nem ártana tűzfalazni sem azt a forgalmat, ezen felül nem ártana egy Load Balance és Failover IPv6-on is. Én a failover-ig jutottam csak elektromos hurrikán csatornával.
Az a baj, hogy nem nagyon akar működni a mikrotik-es webproxy IPv6-os oldalakkal, jeleztem ezt a nemzetközi fórumon is, de más bajuk is van. Viszont egy PFsense-vel vagy friss Squid-del megoldható, az IPv4-es kliens simán elérte az IPv6-os weboldalakat és a webes tesztek is azt jelezték, minden ok.
Fordítva viszont szépen müxik a mikrotik-es webproxy, ULA-s címen elérve a Mikit, Edge és Chrome simán kilátott az IPv4-es oldalakra, viszont a Firefox zokonvette az IPv6-os proxykapcsolatot, akár direkt IPv6-os címmel, akár statikus dns névvel hivatkozva rá, ami mögé csak az ipv6-os címét írtam a mikinek.
-
#5579
E.Kaufmann
veterán
f8enter
#5578
E.Kaufmann
veterán
válasz
f8enter
#5578
üzenetére
A bridged csak arra jó, hogy a Digi eszközöd és a router között felépítsen és fenntartson egy PPPoE kapcsolatot, azon az ethernet eszközön és bridge-n még IP cím se kell ehhez, lehet akkor járnál a legjobban, ha nem is adsz a bridge-nek címet. Neked a pppoe kliensen folyó forgalommal kell foglalkoznod.
-
#5576
E.Kaufmann
veterán
f8enter
#5575
E.Kaufmann
veterán
válasz
f8enter
#5575
üzenetére
megvan a hiba!
A maszkarádos szabálynál ne a BR-wan-t natold!!!! Az hogy a PPPoE azon keresztül épül fel, az nem jelent semmit. a PPPoE interfészen keresztül folyó forgalom a lényeg!!!!!!Ezekben a szabályokban a pppoe kliens interfész neve kell
add action=masquerade chain=srcnat out-interface=BR-WAN
add action=dst-nat chain=dstnat comment="Synology-WebDav(s)" dst-port=5006 \
in-interface=BR-WANprotocol=tcp to-addresses=192.168.2.2 to-ports=5006 -
#5553
E.Kaufmann
veterán
Cirbolya_sen
#5550
E.Kaufmann
veterán
válasz
Cirbolya_sen
#5550
üzenetére
Lehet ezért kezdték a 3011-esnek is bekapcsolni az IPSec gyorsítását a legutolsó RC-ben, hogy mire megjelenik a 4011, abban is jól működjön. Vagy nem lesz rokon a két eszköz SoC áramköre?
Egy fasza kisirodai cucc lehetne kis fiókirodákban.
-
#5530
E.Kaufmann
veterán
ekkold
#5525
E.Kaufmann
veterán
Lesz benne Multi WAN LB &FO?
Próbáltam az indirekt routing-ot, de ha 2 IP címmel is akartam tesztelni egy WAN uplinkeket, akkor maradnom kellett a scheduled script-nél.Tényleg, erről jut eszembe. Mikin nincs routing mark IPv6 alatt? Mit lehet helyette? Próbáltam volna mindkét WAN vonal felé felhúzni egy-egy IPv6 tunnelt (HE), de a router mögött összezavarodtak a dolgok a két külön címtartománytól.
Maradt az 1 tunnel, aminek a WAN oldali cimét egy másik scripttel állítgatom attól függően, mi az éppen elsődleges WAN vonal publikus IP címe. -
#5488
E.Kaufmann
veterán
E.Kaufmann
veterán
3011 tulajok figyelem!
Legutolsó RC:
rb3011 - added IPsec hardware acceleration support; -
#5093
E.Kaufmann
veterán
E.Kaufmann
veterán
Bővítem a tűzfal szabályokat, két kérdés jutott eszembe:
-QoS esetén (Queue Tree) láttam példát arra, hogy ahelyett, hogy direktben jelölnék meg a csomagokat, előbb a kapcsolatot jelölik, majd külön szabályban amiben már csak a kapcsolatot figyelik, a csomagokat.Nekem csak a feltöltés irányába kellene jelölgetnem bizonyos interfészen. Szabad direktbe bejelölni a csomagokat? Mert látszólag működik és még csak olyan nagy CPU használatot se látok. Ha mégis két lépésben csinálom, a második lépést postrouting vagy forward láncban érdemes (a legtöbb szabály forwardolt csomagra lenne, kevés csomag megy direktbe kifele a routerről)?
-Magonként mi egy normális CPU terhelés, ha jól leterheljük a hálózatot, amit csak fizikailag bírnak a a kapcsolatok. Nyugodtan mehet 80-90% felé is, vagy mennyi tartalék legyen, hogy ne legyen érezhető a hálózaton (pl megnövő és bizonytalan késleltetés). Van-e erre valami aranyszabály?
-
#5089
E.Kaufmann
veterán
vkp
#5064
E.Kaufmann
veterán
Péntek óta itt is 6.42.3. (három féle architektúrával)
Bár az egyik eszköz utána távolról elérhetetlenné vált, de ott az alapkonfig volt a hibás és sima újraindítás után is elérhetetlen lett volna, csak menet közben nem volt hatása még a rossz beállításnak.Odamentem, homlokomra csaptam, beírtam egy IP címet a megfelelő helyre, azóta müxik.
-
#5075
E.Kaufmann
veterán
brickm
#5072
-
#5026
E.Kaufmann
veterán
janos666
#5025
E.Kaufmann
veterán
válasz
janos666
#5025
üzenetére
Mivel több portja van és a ROS tudja, ezért nem gondolom, hogy akkora nagy gixer. Utólag gondolom ezen is úgy konfigolhatod a portokat, ahogy akarod és ebben az árkategóriában más eszközön is először a LAN portok valamelyikén szokták konfigolni.
Az ajánlott tájolás meg szerintem ahogy a képeken mutatják, azon felül más hasonló beépített antennás eszközzel sem nagyon számít, úgy is kicsi a hatótávuk.Amúgy szétszedett állapot alapján talán a felső Mikrotik feliratú résznek kellene a célállomások felé néznie, de egy két szobán belüli területen majd mindegy.
-
#5024
E.Kaufmann
veterán
E.Kaufmann
veterán
Remélem, nem duzzogásból nem írtak egyesek
Meg lett a megoldás:
Importáltam reklámszűrő listát a webproxy-access szekciója alá, azt vette zokon a PH. (vagy a miki lassult be a több ezres tiltólista miatt, bár 10% fölé nem nagyon ugrált a CPU használat) -
#5023
E.Kaufmann
veterán
E.Kaufmann
#5022
E.Kaufmann
veterán
válasz
E.Kaufmann
#5022
üzenetére
Amúgy régebben is tapasztaltam már ilyet, hogy egyes oldalakkal hosszú ideig szöszölt az épp aktuális ROS Proxy szekciója, csak gondoltam, már kinőtte.
Valamint az is érdekes, ha egy másik proxy szerveren át böngészek, aminek a ROS Proxy a szülője, tehát rajta keresztül kommunikál a másik proxy a webszerverekkel, akkor nincs ilyen probléma -
#5022
E.Kaufmann
veterán
E.Kaufmann
veterán
Az mitől van, és hogy lehet orvosolni, ha Mikrotik proxy-n keresztül nézem meg a Prohardver.hu oldalt, akkor bejön a szürke háttér, majd legalább 10 másodpercig semmi, utánna bejön a teljes oldal.
Más oldalakkal, sőt még a PH lapcsalád más oldalaival sem csinálja, valamint a fórum is gyors.
Firefox, Edge ugyanúgyRB3011-es eszköz 6.42.1-es ROS-sal.
-
#4836
E.Kaufmann
veterán
E.Kaufmann
#4835
E.Kaufmann
veterán
válasz
E.Kaufmann
#4835
üzenetére
Letelt a szerkesztés. Szerintem amúgy is, aki Mikrotiket vesz nem azért teszi, mert olyan de csodásak a termékei, hanem mert olyan rohadt olcsók egy Cisco-hoz képest. Próbáljuk a maximumot kihozni a legkevesebből. Nem tudom, minek kell nagyképűsködni itt.
-
#4835
E.Kaufmann
veterán
bambano
#4834
E.Kaufmann
veterán
válasz
bambano
#4834
üzenetére
Milyen Cat7?
Elvileg az 5GBps-hez elég a CAT6 is (az meg van a két kábelrendező között), rövidebb távra meg az 5e is talán, vagy rosszul tudom? Nem kellene újrakábelezni, kiszámoltam, hogy valami 120 nettóból (wirelessboltos árak) kijönne 3 sw + 2 rezes modul + 1 DA kábel és nem kellene külsős szakit hívni optikához, aki tuti elkér még annyit, amennyibe a cuccok kerültek és lenne egy erősebb gerinchálózat. Ha a felhasználók nem panaszkodnának, még ennyit se tolnának bele, nem idióták, költségérzékenyek én meg próbálom a legolcsóbban kihozni, amit lehet. -
#4833
E.Kaufmann
veterán
bambano
#4832
E.Kaufmann
veterán
válasz
bambano
#4832
üzenetére
Na ez az amibe nem fog belemenni a vezetés, ha rajtuk múlna, egy TP-linkről menne az összes kliens Wifi-n át , én meg még sosem végszereltem optikát, nem is tudom, hogy van-e valami könnyen szerelhető technika erre manapság.Nincs valami "olcsóbb" külső rezes modul SFP+ Direct Attach kábellel, amivel már nem lenne gond a melegedés?
-
#4831
E.Kaufmann
veterán
E.Kaufmann
veterán
Van aki aktívan használ több darab CSS326-ot SFP+-os miki rezes modullal (10GBit max)? Azt néztem, hogy már egész tűrhető az áruk és elvileg 5GBit-es kapcsolat is működne rezen 50 méteren (max 30-at írtak 10G-re). Van már olyan szinten, hogy kis túlzással összedugom és müxik, vagy nem eszik olyan forrón?
-
#4587
E.Kaufmann
veterán
Zwodkassy
#4586
-
#4583
E.Kaufmann
veterán
Zwodkassy
#4582
E.Kaufmann
veterán
válasz
Zwodkassy
#4582
üzenetére
Én is így tudom, hogy manapság már a külön freki dívik és nekem is így működik egy hálózat. Az rssi-vel kellett csak cseszekedni, meg egy helyre be kellett rakni még egy AP-t, azóta nyugi van.
Igaz én Ubi AC Lite-vel dolgozok, de mivel pont az egyetlen cuccuk, ami nem támogatja a zero handoff-ot, és igazából már nem is ajálnják annak a használatát, úgyhogy a Mikrotik vonalon is szerintem hasonló lesz a jó forgatókönyv.
Sőt, azt olvastam, érdemes lenne rajz alapján az 1, 6 és 11-es csatornákat úgy szétosztani, hogy egymástól minél távolabb legyen két azonos csatorna beállítva, valamint 20 MHz-s sávszélességen maradni. -
#4578
E.Kaufmann
veterán
bacus
#4576
E.Kaufmann
veterán
Első esetén lehetne próbálni csökkenteni a TX teljesítményt, valamint annak ellenére hogy tiszta a csatorna, mégis megpróbálni egy másikat. HT-t is ki lehetne iktatni.
Második problémakör esetnén az AP-k egy vagy különböző frekin vannak? A Min RSSI értékével is lehetne játszani.
-
#4573
E.Kaufmann
veterán
llacee
#4571
E.Kaufmann
veterán
-
#4569
E.Kaufmann
veterán
Cirbolya_sen
#4568
E.Kaufmann
veterán
válasz
Cirbolya_sen
#4568
üzenetére
Rossz tűzfal szabályok, esetleg a NAT, MTU gond, vagy még az hogy bekapcsolta az illető a Proxyt, valahogy a tűzfalon meg transzparensbe tette. Nekem pont egy 3011-en nem muzsikált fényesen a Proxy direktbe sem (böngészőben beállítva), miközben a mögötte lévő külön Proxy meg szépen muzsikált.
Esetleg még azt érdemes megnézni, a névfeloldás rendben van-e, amúgy passz. -
#4545
E.Kaufmann
veterán
bambano
#4544
E.Kaufmann
veterán
válasz
bambano
#4544
üzenetére
Az eszköz betonstabil, webes felületét mindig elérem, magától nem indul újra.
Csak épp annó Nstreme protokollal hasított a kapcsolat és kicsi volt a ping, közben a környékre pakoltak fel még mindenféle rádiót 5GHz-n, próbáltunk más frekiket keresni, de nstreme-vel használhatatlan lett a link, állandóan szakadt. NV2-vel sokkal stabilabb, de nagyobb is a késleltetés és érzetre bizonyos programokkal melyek másik oldalon levő szerverrel kapcsolódnak nem az igazi már a link. Lassan reagál a kliens, néha adatbázis hibát dob, miközben (nem pont közben, hanem pl előtte vagy utána próbálva) nagy állományok szépen, gyorsan átjönnek (Olyan 40-50 MBps megvan 10 km-re). -
#4543
E.Kaufmann
veterán
E.Kaufmann
#4540
E.Kaufmann
veterán
válasz
E.Kaufmann
#4540
üzenetére
Látom, nem sokakat izgat itt még az IPv6
Közben azt látom, hogy az egyik legújabb RC changelog-jában megjelent a következő:
dhcpv6-server - added DHCPv4 style user options
Na hátha ez lesz a nyerő.Más:
912UAG-5HPnD rádiókat cserélnénk lassan, amit PtP-ben használtunk, de kérdés, hogy mire érdemes, akár Mikrotiken belül, akár azon kívül. Nem kellene sokkal nagyobb sebesség, inkább kisebb késleltetés, meg nagyobb stabilitás.
-
#4540
E.Kaufmann
veterán
E.Kaufmann
veterán
Szeretnék egy hálózaton hirdetni IPv6-os DNS szervereket (egy másik alhálózatból, AD DNS szervereket). IPv6-os DHCP alatt nincsenek ilyen DHCP opció kódok, mint IPv4-es alatt vagy akár a Windows server IPv6-os DHCP szervere alatt. NDP-nél találok olyat, hogy hirdessen DNS-t csak épp nem tudom, hol kell beállítani a hirdetendő DNS szervereket. Vagy a router ilyenkor csak magát hirdeti? Amúgy működik a névfeloldás, mert a kliensek a v4-es DNS címeket megkapják v4-es DHCP-n, de szeretném, ha v6-os DNS szerver címeket is kapnának. A másik alhálón, ahol a DNS szerverek vannak, meg is kapják a kliensek a Windows szerver DHCP-jétől.
Ja, egy 750Gr3 routeren játszanám el ezt, 6.41-es RouterOS-sel.
-
#4203
E.Kaufmann
veterán
MasterDeeJay
#4202
E.Kaufmann
veterán
válasz
MasterDeeJay
#4202
üzenetére
Az első két sor megjelöli a kapcsolatokat, hogy honnan jöttek.
A második két sor már a LAN felöl érkező csomagokat jelöli, attól függően, mely kapcsolathoz tartoznak (első két sor által megjelölten, mely kapcsolathoz tartozó válaszok).
A harmadik dupla sor pedig a csomagok jelölése alapján küldi vissza a megfelelő WAN csatolóra a csomagot.Már ha jól értelmezem.
PS: bocs, nem packet mark, hanem routing mark, az is valamiféle csomagjelölés, de mélyebben nem ismerem, csak a példákban láttam. Csomagjelölés a QoS-nél van inkább.
-
#4191
E.Kaufmann
veterán
almi
#4190
E.Kaufmann
veterán
Érdemes, hacsak nincs valami sebességgond, de ahogy említették itt pár hsz-el korábban a Bridge kódon mostanában sokat püfölnek teljesítményre és tudásra gyúrva.
Valamint lehet, könnyebb a meglevő konfigot egy másik esetleg későbbi komolyabb mikrotik HW-ra ültetni. Bár nincs sok tapasztalatom ilyesmiben, de ahogy olvasgattam, hiába támogat ilyesmit a RouterOS gyárilag, nem mindig működik. Így meg csak létrehozod a Bridge-ket az új eszközön régi névvel, a szabályok meg ilyen formában egy az egyben átültethetőek, elvben -
#4188
E.Kaufmann
veterán
almi
#4186
E.Kaufmann
veterán
Ahogy a nagyrabecsült kolléga is említette, vagy legalább célzott rá, nincsenek ilyen szabályaid.
Azért jobb a Bridge-nek adni címet, mert pl akkor is elérhető, ha nincs fizikailag rákötve semmi. Jártam már úgy hogy tesztelni akartam egy hálózat elérhetőségét, de mivel adott interfacén nem volt semmi, még a Miki-t se tudtam pingelni annak az csatinaknak a címén, bezzeg, ha Bridge-re tettem a címet/távoli alhálót és ahhoz rendeltem a csatit, mindjárt működött a távoli hálózat "elérése". Amúgy meg könnyebb később bővíteni portokkal vagy akár cserélni alatta a portokat, míg ha direkt az egyik if-re állítod be a szabályokat, lehet át kell túrni a konfigot és átírni a csatoló nevét. -
#4158
E.Kaufmann
veterán
Stalki
#4155
E.Kaufmann
veterán
Nekem PtP kapcsolatra a leggyorsabb az nstreme, a legstabilabb az nv2. Próba szemcsere, ptmt-re ami lesz neked később az nv2 kell. Az AP legyen NV2, a kliensek meg any ( vagy nv2-nstreme-802.11). Én 5GHz-n próbáltam 10 km-es távon. Az Nv2- höz külön kell beállítani a kulcsot a titkosításhoz, nem a profiloknál, mint az nstreme meg a 802.11 esetén.
-
#4154
E.Kaufmann
veterán
bambano
#4152
E.Kaufmann
veterán
válasz
bambano
#4152
üzenetére
Ja, akkor egyet beszélünk, a bridge kódot felszteroidozták, hogy ne kelljen hw specifikus konfiggal bajlódni (master portok száma is hw függő, meg akkor gondolom az STP is), csak nem sikerült jól.
almi:
Létre kéne hozni egy VLAN interfacét, aminek a portja az az interface, ami a management hálóra is kapcsolódik (lehet ugyanaz, mint amin a publikus cím is van), a VLAN azonosító, meg az a VLAN ID amin van a management háló. VLAN-ra raksz egy management IP-t vagy DHCP klienst és viola. Legalább is egy laikusabb emberke elképzelése szerint, hogy valójában mit kell, azt lehet az ottani szakik jobban tudnák. -
#4151
E.Kaufmann
veterán
bambano
#4149
E.Kaufmann
veterán
válasz
bambano
#4149
üzenetére
Nem pont hogy a bridge lett az egyetlen használható L2-es összekapcsolás? Én úgy értettem a leírásokat, hogy a Master port használatát szüntetik meg és majd a háttérben eldönti a RouterOS, hogy tud-e így bűvészkedni vagy szoftveresen hidazik.
Amúgy ennek is nagyon "örültem", mert már elkezdtem a Bridge-eket ahol lehetett Master portosítani, erre most jól beintettek. -
#4142
E.Kaufmann
veterán
MasterDeeJay
#4141
E.Kaufmann
veterán
válasz
MasterDeeJay
#4141
üzenetére
Nem tudtam, felénk csak tányéros Digi tv van, meg kábelnetes invitel.
Lefokozod a meglévő Miki-t AP switch-é. -
#4140
E.Kaufmann
veterán
MasterDeeJay
#4131
E.Kaufmann
veterán
válasz
MasterDeeJay
#4131
üzenetére
Nem tud a DIGI-s cucc Routerként üzemelni? Vagy nem konfigolható rajta a NAT? Ha engedné akkor pl a Miki WAN-nak kijelölt portját/címét DMZ-be raknád a DIGI-s modemen és a LAN-t tudod a Miki-n konfigolni, hogy mit engedjen át, mit ne, a NAT magában talán kevésbé leterhelő mint PPPoE-val.
-
#4118
E.Kaufmann
veterán
E.Kaufmann
#4117
E.Kaufmann
veterán
válasz
E.Kaufmann
#4117
üzenetére
Akkor is szóljatok, ha van az elképzelésben más biztonsági bukfenc is, azon túl, hogy nem szerencsés a Mikire átmásolni a tanúsítványt, nem vagyok otthon a cert-es dolgokban.
Elsőre lehet kézzel érdemes lefuttatni, hogy elfogadtassuk a miki kulcsait az SSH kapcsolathoz. Lehet érdemes kiegészíteni amúgy az ssh és scp parancsokat a következő opcióval, guglis keresés alapján:
ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/nullJa és az sshpass külön telepítendő, a legtöbb gyári tároló elvileg tartalmazza a csomagot.
-
#4117
E.Kaufmann
veterán
E.Kaufmann
#4087
E.Kaufmann
veterán
válasz
E.Kaufmann
#4087
üzenetére
Kész a nagy mű pre-pre-prealfa változata.
Lényeg, ha már van egy szerverünk ugyanazon domainneven Letsencrypt tanúsítvánnyal (vagy bármi mással és acme-n vagy mi a nyavalyán át frissül automatikusan), hogyan lőjjük fel azt a Mikrotik routerünkre is, pl jelen esetben SSTP szolgáltatáshoz.
Cseh és más nemzetközi oldalakról összeollóztam. Valahogy csak szkriptként a mikin meghívva nem működött, valamint beraktam várakozási időket, mert különben nem tud időben felmásolódni és települni a tanúsítvány.
Ha bárkinek van fejlesztési ötlete pl a sleep-ek kihagyására, az ssh parancsok kiadására, másolásra, tanúsítvány lejártának ellenőrzésére, azt szívesen fogadom és megköszönöm.
A lényeg, hogy figyeli az élő cert MD5 ellenőrzőösszegét a script (pontosabban valamelyik cron mappába helyezve periódikusan indítva. Ha nincs még ellenőrzőösszeg, akkor úgy veszi, hogy elavult a Mikin a cert)Amiken változtatni kell a használatához a Miki jelszava, a Miki címe (x.x.x.x), esetleg a felhasználónév (admin), az MD5 ellenörzőösszegek helye (/root/lec_hash, /root/lec_hash_tmp maradhat is, igény/biztonsági megfontolások szerint)
Csak saját felelősségre!!!!
#!/bin/bash
# Update Mikrotik certs
touch /root/lec_hash
s=$(cat /root/lec_hash)
#Unsafe method, password for Mikrotik
pass="jelszo"
md5sum /etc/letsencrypt/live/valami.domain.hu/cert.pem > /root/lec_hash_tmp
if [ "$s" == "$(cat /root/lec_hash_tmp)" ] ;then
echo "Cert O.K."
else
echo "Cert has renewed..."
echo " Upload key..."
sshpass -p "$pass" scp /etc/letsencrypt/live/valami.domain.hu/privkey.pem admin@x.x.x.x:vpn.key
sleep 3
echo " Upload cert..."
sshpass -p "$pass" scp /etc/letsencrypt/live/valami.domain.hu/cert.pem admin@x.x.x.x:vpn.pem
sleep 3
echo " Preinstall cleanup..."
sshpass -p "$pass" ssh admin@x.x.x.x '/certificate remove [find name=vpn.pem_0]'
sleep 3
echo " Import cert..."
sshpass -p "$pass" ssh admin@x.x.x.x '/certificate import file-name=vpn.pem passphrase=""'
sleep 3
echo " Import key..."
sshpass -p "$pass" ssh admin@x.x.x.x '/certificate import file-name=vpn.key passphrase=""'
sleep 5
echo " Install cert for SSTP..."
sshpass -p "$pass" ssh admin@x.x.x.x '/interface sstp-server server set certificate=vpn.pem_0'
sleep 3
echo " Postinstall cleanup..."
sshpass -p "$pass" ssh admin@x.x.x.x '/file remove vpn.pem'
sshpass -p "$pass" ssh admin@x.x.x.x '/file remove vpn.key'
echo " Save new certs md5..."
md5sum /etc/letsencrypt/live/valami.domain.hu/cert.pem > /root/lec_hash
echo " Ready now!"
fi -
#4116
E.Kaufmann
veterán
almi
#4112
E.Kaufmann
veterán
Nem domainnevet használsz? Domainnevet használj és arra a címre generáld a certet is. IP címmel nem célszerű használni amúgy sem, de lehet nem is engedné a windows. A cert fájlneve nem oszt nem szoroz, a tartalma számít. A tartalma fontos, valamint ne feledd nem csak a titkosításhoz kell hanem a domain azonosításához is, ha a szolgáltatás és a tanúsítvány címe nem stimmel, akkor beint a windows
-
#4108
E.Kaufmann
veterán
almi
#4105
E.Kaufmann
veterán
Nekem nem szerette, ha önaláírt volt. Kellett egy fő tanúsítvány amivel egy másik tanúsítványt hozol létre/íratsz alá. A főtanúsítványt importálod be a Windows-ba az mmc-n keresztül, az altanúsítványt meg beállítod SSTP szolgáltatáshoz a Miki-n. Ebbe az a jó még, hogy létrehozhatsz külön tanúsítványokat különböző domain-hez és szolgáltatásokhoz, de elég csak egyszer a főtanúsítványt beimportálni a Windows-ba.
-
#4101
E.Kaufmann
veterán
bacus
#4099
E.Kaufmann
veterán
Jajj de nagyra vannak sokan ezzel a honvédelmi oktatással, de gyakran csak azt érzem, "ha mi coptunk, copjatok ti is". Láttuk a Rambót meg az Angyalbőrbent (ami állítólag propagandaanyagnak készült, de valahogy úgy se lett vonzó az egész katonásdi, amúgy RIP Karádi) oszt annyi elég is volt. Inkább kellene rendesebb középsulis oktatás, értelmesen elosztott tesiórákkal.
-
#4092
E.Kaufmann
veterán
bakonyip95
#4091
E.Kaufmann
veterán
válasz
bakonyip95
#4091
üzenetére
Nem beszéltem rébuszokban, az, hogy te nem érted, mit írtam, téged minősít.
Én fognék egy laptopot, körbejárnék, kipróbálnám, jó-e úgy. Amúgy is ezekből érdemesebb többet lerakni egy nagyobb épületben és csökkenteni a rádió teljesítményét. Valami minimális különbség tuti lesz, hogy fent vagy oldalt, de ezek nem szektorsugárzók vagy parabolaantennák (nincs erősen belőve reflektor elemmel (fémlap, fémháló vagy parabolatükör) egy adott irányba a sugárzásuk/vételi irányuk ). -
#4089
E.Kaufmann
veterán
bakonyip95
#4086
E.Kaufmann
veterán
válasz
bakonyip95
#4086
üzenetére
Nem ez lenne a normális állása? Állítólag a legtöbb Ubi is úgy van optimalizálva, hogy a plafonra szereljük, gondolom ez is. Általában az álmennyezet egy paneljére szerelik, vagy max a falra, ha nincs más mód.
-
#4087
E.Kaufmann
veterán
E.Kaufmann
#4083
E.Kaufmann
veterán
válasz
E.Kaufmann
#4083
üzenetére
Nincs senki aki automatikusan tölt át linux szerverről tanúsítványt? Vagy titok?
Van egy script-em, ami már feltölti nekem a cuccost és az SSTP müxik is vele, csak nem tudom, ha jön egy új tanúsítvány, hogy kel a régit felülcsapatni automatikusan.
Összefoglalva, van egy webszerver, ami a Letsencrypt-ről frissíti a tanúsítványt és az egyedi porton működő SSTP szolgáltatáshoz is szeretném felhasználni, kézzel működik a dolog, de jó lenne valami automatikus megoldás. -
#4083
E.Kaufmann
veterán
E.Kaufmann
veterán
Nincs valakinek egy működő scriptje automatikus tanúsítványmegújításhoz valamilyen VPN szolgáltatáshoz?
Szeretnék egy linux szerver által is használt Letsencrypt tanúsítványt mikrotik-re tölteni és belőni SSTP-hez is.
Tudom, hogy püfölnöm kell rajta, mert ami másnál működik az nálam biztos nem úgy, de jó lenne látni egy bevált vázat, amit időzített tanúsítványmegújítással együtt le lehet futtatni. Azt látom, hogy scp-vel fel kell tölteni, ssh-val meg kiadni az importáláshoz a parancsokat, de pl újabb frissítéseknél mi lesz a régi tanúsítvánnyal és ha beállítjuk az új tanúsítványt, újra kell-e valamit indítani. -
#3606
E.Kaufmann
veterán
Fooler89
#3605
E.Kaufmann
veterán
válasz
Fooler89
#3605
üzenetére
Lehet, hogy a router gyenge lenne hozzá, de azt a netet szépen szét lehetne osztani, helyi DNS gyorsítótárral, annak a DNS kéréseinek a priorizálásával valamint a TCP ACK-k priorizálásával, valamint, a HTTP (HTTPS) kapcsolatoknál egy alacsony biztos sávszéllel és egy magas rövid Burst értékkel,hogy gyorsan elkezdődjön a betöltés. Ami meg nem szabványos HTTP/NTP/DNS/megamikellmég portszám felé menne az internetre új forgalom, azokat meg blokkolod. Esetleg virtuális gépen egy transzparens proxy, pl IPFire, aminek még van QoS része is.
-
#3592
E.Kaufmann
veterán
feel2006
#3590
-
#3589
E.Kaufmann
veterán
E.Kaufmann
#3588
E.Kaufmann
veterán
válasz
E.Kaufmann
#3588
üzenetére
Próbálnám úgy belőni a VPN-t, hogy még ha marha lassú is, de betonstabil legyen, és több konkurens forgalom ne ölje meg se egymást, se a vonalat. Legalább RDP-n át tudjanak tevékenykedni, átmenjenek a levelek és át tudjanak telefonálni, hogy marha lassú a net
-
#3588
E.Kaufmann
veterán
E.Kaufmann
veterán
Azt valaki meg tudná írni, hogy érdemes a queue-t belőni.
Ugye van külön tipusa a feltöltésnek a letöltésnek és az egész sornak. Egy lassú backup vonalon mit érdemes belőni?
Én most a az upload/download type-nak synchronust állítottam be, a totálisnak meg a default small-t. Hogy működik ez? Van két sor is? Egy totális és a két irányba egy-egy, vagy állítsam a totálisat is szinkronra? -
#3587
E.Kaufmann
veterán
bambano
#3586
a rövidítés alapján)
)
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Szerintem ha hasadra ütsz rájössz, hogy nem a Hedvig vagy a Henrietta rövidítése, hanem a Hardware(-Offload)
Új hozzászólás Aktív témák
Hirdetés
- Naim Mu-so 2 Vezetéknélküli all-in-one hi-fi rendszer
- Új/Bontatlan/Garis Google Pixel 9 Peony
- R7 9800X3D/XFX 7900GRE/2x16GB DDR5 6000Mhz/2TB NVMe SSD
- Szép állapot!! Hátlapon kisebb kopások!!! Samsung Galaxy S20 FE SM-G780G/DS - világoskék
- MacBook Air M1 / 2020 / Ezüst / 13" / 256 GB / 8 GB / DOBOZ / GYÁRI TARTOZÉKOK /
- AKCIÓ! Asus ROG Flow Z13 +ROG XG RTX 3070- i9 12900H 16GB DDR5 1TB SSD RTX 3050Ti 4GB + RTX 3070 W11
- 129 - Lenovo Legion Pro 7 (16ARX8H) - AMD Ryzen 9 7945HX, RTX 4080
- Lenovo, Dell, HP, Panasonic Getac üzleti és ütésálló katonai laptopok + Ipad 6-13. gneráció
- Huawei Nova Y90 128GB, Kártyafüggetlen, 1 Év Garanciával
- Samsung Galaxy A50 128GB, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: FOTC
Város: Budapest