- Google Pixel topik
- iPhone topik
- Fenntartható, tartós kiegészítőket mutatott be a Fairphone
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Telekom mobilszolgáltatások
- Zeiss triplakamera az új Vivo V60-ban
- Samsung Galaxy S24+ - a személyi asszisztens
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- One mobilszolgáltatások
- Megérkezett a Google Pixel 7 és 7 Pro
Hirdetés
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Lenry
félisten
azt a részt is el kell magyarázni a rendszernek, hogy a sajátdomain.hu otthon keresendő
/ip firewall address-listadd address=sajátdomain.hu list=WAN-IP/ip firewall natadd action=dst-nat chain=dstnat dst-address-list=WAN-IP dst-port=80 protocol=tcp to-addresses=NASBelsőIPje to-ports=80ha a domained fix IP-vel rendelkezik, akkor az addresslistes bohóckodás elhagyható, és a NAT-ban értelemszerűen nem a dst-address-listre hivatkozol, hanem
dst-address=fixIPcímed-re -
Lenry
félisten
válasz
Beniii06
#10142
üzenetére
Akkor mi volt a célja az egésznek?
a "nem bonyolítottuk túl" azt jelenti, hogy nem tettem bele külső tárhelyet, nem küldtem ki külső szervernek, semmi ilyesmi.
(mert tudom, hogy úgyis jönne valaki, aki utólag nagyon okos, és úgy kezdené, hogy "de miért nem...?")
nyilván az általa összegyűjtött adatokat fel terveztem használni. -
Lenry
félisten
a múlt héten bekapcsoltuk a Dude-ot, hátha tudjuk valami értelmesre használni.
nem bonyolítottuk túl, enable 'szt jónapot.
kiderült, hogy 1 hétnyi adatbázis generálgatás annyira hazavágta a NAND-tárhelyet, hogy az tegnap már nem volt írható. szerencsére még működött, ezért be tudtam egy másik routert konfigolni, mielőtt az előző végleg elköszön.mivel nem kifejezetten örülök a gondolatnak, hogy egy 100.000-es routert kivágjak a kukába, ezért szerintetek mit lehet ezzel kezdeni?
tudtok-e esetleg ajánlani egy szakit akárhol az országban, aki kicserélné a beteg flash-t? plusz utána arra rá lehet-e varázsolni a rOS-t? gondolom utóbbira volna való a netinstall.
egy RB1100AHx4 a páciens -
Lenry
félisten
van itthon egy hAP ac2 meg egy RB2011.
történelmi okokból az ac2 a fő router (mert az volt meg előbb), tehát az kapcsolódik a WAN-ra, esetemben a Telekomos HGW-re, az végez nagyjából minden feladatot, az RB2011 szinte csak egy switch.
van-e bármi, ami miatt esetleg érdemes lenne őket felcserélni? -
#9302
Lenry
félisten
Lalikiraly
#9300
Lenry
félisten
válasz
Lalikiraly
#9300
üzenetére
igen, belül van az antenna
ugye azt tudod, hogy ez csak 2,4GHz-et tud és csak 100MBites rajta az ethernet?
(csak azért írom, hogy ne érjen meglepetés, ha amúgy szükséged volna az 5GHz-es WiFire vagy a gigabit ethernetre) -
#9229
Lenry
félisten
Alteran-IT
#9228
Lenry
félisten
válasz
Alteran-IT
#9228
üzenetére
az előző lakásomban gigás Digi volt, hAP ac2-vel, ki tudtam használni (de beállításokra vagy terhelésre nem emlékszem már)
-
Lenry
félisten
újraindítottam a szolgáltatói HGW-met a webfelületén keresztül (Telekomos ZTE Speedport Entry 2i), mire az utána kötött Mikrotik is elérhetetlenné vált. miután magához tért, ez látszódott a logban
és úgy rémlik, hogy mintha már fordult volna ez elő korábban is.
mi a fene okozhatja ezt? -
Lenry
félisten
válasz
Biktor007
#8775
üzenetére
innen jónak néz ki.
még annyi, hogy a tűzfalban - NAT - újchain: srcnatOut.interface list: dynamic*action: masquerade
ezt mindkét routerben* vagy megadhatod simán interfaceként a VPN kapcsolatot is két opcióval fentebb, de ha épp nincs felépülve a kapcsolat és nem létezik az interface, akkor arra ugye hisztizni fog, így ezt én barátibbnak tartom, igaz nálam nincs is több dinamikus interface
-
-
Lenry
félisten
válasz
#42556672
#8511
üzenetére
Még nem volt időm tesztelni, de akár nyaralásra is magammal vihetném az STB-t és egy HAP mini-vel tudnék TV-t csinálni.
én egyszer kipróbáltam, L2TP (+IpSec) kapcsolatra volt rátéve egy EoIP tunnel, amit a küldő oldalon egy Bridgebe tettem a Telekomos HGW felé menő WAN porttal, a fogadón meg egy kijelölt ethernet porttal, így az én HGW-m osztott IP-t a távoli Mikrotik említett portjába dugott STB-nak, és ment a TV adás.
az más kérdés, hogy a paleolit fostalicska netkapcsolatom miatt érdemi TV-zésre teljesen alkalmatlan volt, de legalább láttam, hogy a gondolatmenet és a megoldás jó volt
-
-
Lenry
félisten
válasz
adika4444
#8055
üzenetére
ez mind szuper, de ha nem vagy otthon, akkor honnan tudod hogy mi az új IP címed, és még fontosabb, hogy pl a böngésződ honnan tudja?
mert nyilván azért kell a hairpin NAT, hogy bentről is elérj valamilyen, alapvetően kintről elérhető szolgáltatást...
a DDNS erre megoldás, míg a szkripted - ha jól értem a működését - nem -
Lenry
félisten
válasz
adika4444
#7995
üzenetére
Utána ha a DHCP szervert is belövöm, akkor ugyan működik, de Linux szerint 2 millió másodperc feletti bérleti időt ad, ami DIGI-nél ugye problémás a rendszeres váltás miatt...
nem vágom, hogy mi az összefüggés a Digi-s külső IP cím váltása és a belső DHCP bérleti ideje közt, de nem értek az IPv6-hoz. mindenesetre a DHCP server beállításainál a Lease Time szabályozza a bérleti időt
Xd hh:mm:ssformátumban -
Lenry
félisten
a DNS szervereket a felvétel sorrendjében használja a router? vagy ha több is van, akkor amelyikhez épp kedve van?
beüzemeltem egy pi-hole-t, most az itthon a DNS szerver. a biztonság kedvéért felvettem második DNS szervernek a Google-ét (hogy akkor is működjön minden, ha a rPi bármi miatt kiesik), de onnantól mintha nem minden kérés a Pi-n ment volna keresztül, legalábbis a logjában szinte nullára esett a feldolgozott kérések száma, miután kivettem a 8.8.8.8-at, újra felugrott a query.
-
Lenry
félisten
én a következő pontokat nézném meg:
- Mikrotikben a tűzfalszabálynál látszik, hogy pörög a számlálója, amikor kapcsolódnál? ha igen, akkor eddig eljut a kérés és máshol lesz a gond, ha nem, akkor kapcsold be a logot hogy lásd mi baja van.
- tuti ez az SSH port? SSH daemon tuti fut a gépen? nem tudom milyen op.rendszer, de a legtöbb Linux a
/var/log/auth.logfájlba naplózza a kapcsolódásokat, nézd meg, hogy ide kerül-e valami releváns, ha igen, akkor valószínűleg itt kerül elutasításra a kapcsolat, ez már a routertől független -
#7905
Lenry
félisten
lordjancso
#7903
Lenry
félisten
válasz
lordjancso
#7903
üzenetére
Lehetséges az, hogy egyetlen SSID-t mutasson csak a router és amikor csatlakozik rá egy eszköz, a router el tudja dönteni, hogy ha képes az eszköz 5Ghz-es wifi-re akkor azt használja, egyéb esetben a másikat?
minden olyan eszköz amivel valaha találkoztam, alapból így működött, ezt nem a router szelektálja
-
Lenry
félisten
dolgok, amiket ellenőrizz
- Bridge - a port, amit WAN-nak szeretnél, ne legyen a belső portok bridge-ében
- IP cím - vagy kérsz egyet a szolgáltatói eszköztől (IP - DHCP Clientben ráteszel egy klienst a WAN portra) vagy az IP - Addressben adsz egyet a következő formában
nyilván a saját beállításaidnak és a szolgáltatói eszköznek megfelelően, interface ugye a WAN (nálam ez egy bridge része, azért az van megadva)- IP - Routes
itt a fenti beállításoknak megfelelően már létre kellett hogy jöjjön a route a szolgáltató eszköz felé, itt még felveszed a 0.0.0.0/0-t mint dst-addresst, gateway pedig a szolgáltatói eszköz IP címe legyen- IP - Firewall - NAT
ide felveszel egy masquerade-t a WAN-rachain=srcnat action=masquerade out-interface=<a WAN portod> log=no log-prefix=""opcionálisan felvehetsz még DNS-t, de ha ezek megvannak, akkor a Mikrotik már ki kell, hogy lásson az internetre
-
Lenry
félisten
megvan
[lengyelr@SomogyiCRS2] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.19.1.1 1
1 ADC 10.19.1.0/30 10.19.1.2 bridge1 0
2 A S 192.168.0.0/16 bridge1 1 -
Lenry
félisten
vettünk egy új CRS routert, és egyszerűen nem jövök rá mit nem állítottam be, hogy kilásson a netre.
vázolom a helyzetet:
a netre egy CCR csatlakozik, alatta van mostmár kettő CRS, azok alatt további switchek, majd végül a kliensek.
az új CRS alatt is van net (én is most abba vagyok bedugva), de maga az eszköz nem lát ki a netre, a CCR-t még meg tudom pingelni, de semmit ami azon túl van, nem.[lengyelr@SomogyiCRS2] > ping 8.8.8.8
SEQ HOST SIZE TTL TIME STATUS
0 8.8.8.8 timeout
1 8.8.8.8 timeout
2 10.19.1.2 84 64 962ms host unreachable
3 8.8.8.8 timeout
sent=4 received=0 packet-loss=100%így nem tudom rOS-t frissíteni pl, meg egy csomó mindent.
tűzfalszabály nincs felvéve, DNS be van állítva, Route-ok szintén[lengyelr@SomogyiCRS2] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 bridge1 1
1 ADC 10.19.1.0/30 10.19.1.2 bridge1 0
2 A S 192.168.0.0/16 bridge1 1biztos valami triviális fasság hiányzik, de nem tudom merre induljak el.
a másik CRS-el nincs semmi baj, végignéztem a beállításait, de szinte ugyanezek... -
Lenry
félisten
válasz
Beniii06
#7477
üzenetére
de ez mind megvan egy WiFi-s eszköz esetén is.
az égvilágon semmi nem gátol meg, hogy ráköss egy második eszközt AP gyanánt, ha nagyobb lefedettséget akarsz, vagy terhelést megosztani vagy akármi.amíg viszont ezek az igények nem merülnek fel, addig pénzkidobás külön megvenni egy vezetékes "fő" eszközt meg egy AP-t, csak azért, hogy külön műanyag dobozban legyenek
-
-
-
Lenry
félisten
válasz
George30
#7379
üzenetére
amennyi látszik a képből, az alapján jó, meghát elrontani is nehéz, de azért nézd át, hogy tuti így néz-e ki
;;; Plex
chain=dstnat action=dst-nat to-addresses=<PMScíme> to-ports=32400 protocol=tcp in-interface=DIGI dst-port=32400 log=no
log-prefix=""illetve, hogy biztos hogy az-e az IP címe a szervernek, amit te gondolsz
-
Lenry
félisten
válasz
Adamo_sx
#7332
üzenetére
kipróbáltam
packeteket megjelölve 1-2% közt van a CPU Load
connectiont jelölve 0-1%
feleannyi, de elhanyagolhatónak látom így is a terhelést.cserébe nem jövök rá, hogy a megjelölt kapcsolatot hogyan tudom a Queue-ban szabályozni? csak packet-markra tudok szabályt létrehozni
plusz nem vagyok benne biztos, hogy a postroutingban van ez a legjobb helyen.
mármint igazából így is működik, érezhetően jobb lett az otthoni elérésem, de ha lehet még fejlődni, az sosem zavar. -
Lenry
félisten
válasz
bambano
#7330
üzenetére
és (#7329) E.Kaufmann
köszi, akkor most felvettem két új szabályt
4 ;;; torrent mark
chain=postrouting action=mark-packet new-packet-mark=torrent-mark passthrough=yes tcp-flags="" protocol=udp src-port=51414
log=no log-prefix=""
5 ;;; torrent mark
chain=postrouting action=mark-packet new-packet-mark=torrent-mark passthrough=yes tcp-flags="" protocol=tcp src-port=51414
log=no log-prefix=""src portot figyel, udp-n és tcp-n
-
#7328
Lenry
félisten
E.Kaufmann
#7327
Lenry
félisten
válasz
E.Kaufmann
#7327
üzenetére
a src portot kissé macerás figyelni, mert az szinte minden kapcsolatnál más.
vagy valamit nagyon félreértelmezek...
-
-
Lenry
félisten
nem túl fényes az uploadom (és akkor még nagyon finoman fogalmaztam), azt is eléggé elviszi a torrent.
egyelőre annyit csináltam, hogy megjelölöm a torrent csomagjait
chain=postrouting action=mark-packet new-packet-mark=torrent-mark passthrough=yes tcp-flags="" protocol=tcp dst-port=51414 log=no log-prefix=""és a Queue Tree-ben ez a mark a legalacsonyabb prioritást kapja
name="torrent" parent=global packet-mark=torrent-mark limit-at=0 queue=default-small priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s bucket-size=0.1tudok-e még bármit tenni ezen kívül?
-
Lenry
félisten
válasz
Adamo_sx
#6925
üzenetére
Fasttrack nélkül
lenry@Echo-Five:/$ speedtest
Retrieving speedtest.net configuration...
Testing from Magyar Telekom (xxx.xxx.xxx.xxx)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Opticon Kft. (Kecskemet) [46.39 km]: 491.587 ms
Testing download speed..................................................................
Download: 17.50 Mbit/s
Testing upload speed.......................................................................
Upload: 1.25 Mbit/sFasttrack-al
lenry@Echo-Five:/$ speedtest
Retrieving speedtest.net configuration...
Testing from Magyar Telekom (xxx.xxx.xxx.xxx)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Opticon Kft. (Kecskemet) [46.39 km]: 494.288 ms
Testing download speed..................................................................
Download: 18.90 Mbit/s
Testing upload speed.......................................................................
Upload: 1.39 Mbit/sén nem érzem az egetrengetést...
-
-
Lenry
félisten
válasz
grabber
#6765
üzenetére
Van saját blacklistám,elég csak ahhoz hozzáadnom
persze
egyébként az iptables sorrendben értékel ki, ha valamelyik szabályra találat van, akkor már nem megy tovább, ergo egy hátul lévő plusz szabály nem foglal plusz erőforrást.
én azt szoktam csinálni, hogy mivel a számlálón látom, hogy melyik szabály hány packetet fog meg, így igyekszem a jobban pörgő szabályokat előrébb venni.
-
Lenry
félisten
jut eszembe mert fontos
az import scripthez tapasztalataim szerint egy egymagos router kevés, legalábbis hAP ac, meg hEX r2 lehalt tőle, minden más, amin próbáltam, többmagos eszköz volt (hAP ac2, CCR1009, hEX r3, stb), azokon egy perc alatt megvolt az import.
nem biztos, hogy konkrétan a magok száma számít, de ezt tapasztaltam, ha valaki esetleg használná a scriptet, ezt vegye figyelembe -
Lenry
félisten
válasz
grabber
#6757
üzenetére
port forward:
/ip firewall natchain=dstnat action=dst-nat to-addresses=<IP cím, ahová forwardolni akarsz> to-ports=<belső port>
protocol=tcp in-interface=<WAN interfész> dst-port=<külső port> log=noblocklistre összeszedtem a netről két scriptet, azokat használom.
az első letölti a netről a listát/tool fetch address=www.squidblacklist.org host=www.squidblacklist.org mode=http src-path=/downloads/drop.malicious.rsca második lecseréli a tegnapi listát a maira
/ip firewall address-list remove [find where list="sbl*"]
/import file-name=drop.malicious.rsc
:log info "Removed old aggregated records and imported new list";ezeket minden éjjel lefuttatja a scheduler, a tűzfalban lévő szabályok pedig azonnal kivágják, aki ezekről a címekről érkezik
/ip firewall filter
chain=input action=drop connection-state=new src-address-list=sbl blocklist.de in-interface=<WAN interfész> log=no log-prefix="blacklist"
chain=input action=drop connection-state=new src-address-list=sbl dshield in-interface=<WAN interfész> log=no log-prefix="blacklist"
chain=input action=drop connection-state=new src-address-list=sbl spamhaus in-interface=<WAN interfész> log=no log-prefix="blacklist"
Új hozzászólás Aktív témák
Hirdetés
- Windows: mi történik valójában Leállításkor, Alvó módban és Újraindításkor?
- Milyen billentyűzetet vegyek?
- Milyen légkondit a lakásba?
- CURVE - "All your cards in one." Minden bankkártyád egyben.
- Bluetooth hangszórók
- Melyik tápegységet vegyem?
- Google Pixel topik
- ubyegon2: Airfryer XL XXL forrólevegős sütő gyakorlati tanácsok, ötletek, receptek
- exHWSW - Értünk mindenhez IS
- Battlefield 6
- További aktív témák...
- TELJES KÖRŰ IT BESZERZÉS
- Telefon Felvásárlás!! iPhone 14/iPhone 14 Plus/iPhone 14 Pro/iPhone 14 Pro Max
- BESZÁMÍTÁS! LENOVO LOQ 15APH8 15 notebook - R7 7840HS 16GB DDR5 1TB SSD RTX 4060 6GB WIN11
- Dell és HP szerver HDD caddy keretek, adapterek. Több száz darab készleten, szállítás akár másnapra
- Samsung Galaxy A34 5G 128GB Kártyafüggetlen 1 év Garanciával
Állásajánlatok
Cég: FOTC
Város: Budapest