- Azonnali mobilos kérdések órája
- Fotók, videók mobillal
- Nothing Phone (3a) és (3a) Pro - az ügyes meg sasszemű
- Mobil flották
- Ilyen lesz a Fairphone 6
- Hivatalos a OnePlus 13 startdátuma
- Érkezik a Samsung Health előfizetés?
- Motorola Edge 50 Neo - az egyensúly gyengesége
- iPhone topik
- Xiaomi Watch 2 Pro - oké, Google, itt vagyunk mi is
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
csusza`
senior tag
válasz
vjozsef
#2306
üzenetére
Sziasztok!
Bocs a kései válaszért. Sok felhasználó van... 6 szint a szálloda, szintenként kb. 20 szoba. Ha csak szobánként két emberrel számolunk és fejenként egy eszközzel... Szóval borzasztó terhelt a rendszer, remélem jövőre akarnak rá költeni... Ahogy mondtam, most 5 perc a lease time és reggel este indítom távolról újra az AP-kat...
Most felmerült bennem egy kérdés, illetve újra előkerült... Van egy standard tűzfal beállításom, ezt egészítem ki adott esetben igény szerint. Most nem akarom kicopyzni az egészet a terminálból, csak röviden leírom, hogy néz ki:
input invalid drop
input established accept
input related accept
input dstport: 8291 accept
input drop
forward invalid drop
forward src.address: 192.168.1.0/24 out.interface: bridge-uplink
forward dst.address: 192.168.1.0/24 in.interface: bridge-uplink established
forward dst.address: 192.168.1.0/24 in.interface: bridge-uplink related
forward dropRemélem érthető. A gondom az ilyenkor, hogy HA csinálok portforwardot dst.nat-tal, akkor egyszerűen nem megy be adott portra a forgalom.
Amennyiben a forwardot így oldom meg:forward src.address: 192.168.1.0/24 out.interface: bridge-uplink
forward dst.address: 192.168.1.0/24 in.interface: bridge-uplinkegyből megy a dst.nat. A másik opció, hogy az első beállítás hagyom, és még elé beteszek egy:
forward dst.address: 192.168.2.210 accept
sort. Ilyenkor is megy szépen. Ez nekem azért furcsa, mert elméletileg ha NAT-ot csinálok, nem kéne fennakadnia a tűzfalon. Melyik megoldás elegánsabb, illetve hatékonyabb, biztonságosabb?
Aztán. Ugyanezt a beállítás használom olyan helyeken is, ahol meg kell oldani egy belső hálózatot, illetve egy leválasztott guest hotspotot is. Hotspotnál a tűzfalban és a NAT szabályoknál legenerálódnak bizonyos automatikus szabályok. Ezeket a default tűzfalam elé be szoktam húzni, aztán jónapot. Jóvanazúgy'?
Kérném véleményeteket, valamint azt, hogy ne azt mondjátok, hogy "majd rájössz, ha sokáig nézegeted", meg "leülepszik a tudás". Azért kérdezek, mert szeretnék biztos lenni a dolgomban, ebből tanulok.
Köszönöm szépen előre is!
-
csusza`
senior tag
válasz
vjozsef
#2302
üzenetére
Majd talán jövőre.
Egy sok-emeletes szálloda két oldalától megadott távolságra kell elhelyezni egy-egy eszközt, hogy az erkélyek felől legyen megfelelő jel...
Alapvetően beton a szálló, így temérdek mennyiségű AP kellene bentre, így meg folyosónként egy-két AP, meg a két kültéri beszórja a hotelt... Jó, hogy első nekifutásra egy-egy TP-LINK 5210g ment ki egy-egy omni antennával... Ez a rendszer elment tavaly egész nyáron, idén már van baja... Mostmár ott tartunk, hogy 5 perces lease time-mal megy a guest-network, és egy-két naponta újra kell indítani az AP-ket, mert egyszerűen szanaszét vannak terhelve... Olcsó rendszer hátrányai... -
-
csusza`
senior tag
-
bambano
titán
válasz
vjozsef
#2110
üzenetére
a kérdés az, hogyha van egy ilyen, logikailag körbe szervezett rendszer, akkor mit kellene a csomópontokba rakni ahhoz, hogy automatikus failover legyen.
a kérdés nem az, hogy mi legyen a kör helyett."Ha levegoben nincs ra mod hogy lassa a betapot minden pont akkor megis hogy kepzeled el?": a 4 órás pont látja a 2 órás pontot, a 2 órás pont meg látja a 12 órás pontot, ahol a betáp van. stb.
-
bambano
titán
válasz
vjozsef
#2108
üzenetére
rosszul.
van egy kör, rajta öt pont. minden pontban van két wifi cucc, két antennával. az egyik antenna az egyik szomszéd felé néz, a másik a másik szomszéd felé. ha körüljárási irányt is képzelünk a körhöz, vagy óralapot, akkor:
- legyen 12, 2, 4, 8, 10 óránál egy-egy végpont.
- pl. a 4 óránál levőben van egy wifi meg egy antenna, ami a 2 órás felé néz, meg van egy másik wifi+antenna, ami a 8 órás felé néz.
- ugyanígy a többi végpontban is, ap-kliensként párokba válogatva.
- meg lehet egyéb cucc, ami most egy cisco switch, aminek az ökörsége miatt tegnap kihullott a hajam és berágtam rá.
- a 12 órás pontban van egy plusz link, optikán, ahol bejön a net.távolság okokból nem lehet megoldani, hogy minden végpont lássa a betápot.
szerk: mi az, hogy eldurran: a gyakori áramszünetek és viharok tönkreteszik. és arra az időre, amíg megfelelő ember előkerül, aki oda tud menni és ki tudja cserélni, addig kellene a redundanciának dolgoznia.
-
Proci85
senior tag
válasz
vjozsef
#2087
üzenetére
Anélkül, hogy nagyon belemásznék a témába, gyorsan rákerestem ismét.
E szerint:
No protection for IP, GRE, and PPP header information (basically, protection issues for NCP PPP packets). Data is secure but initial connection negotiations can be vulnerable if captured (during authentication).Nem tudom, hogy a Mikrotik hol titkosít. Kis wikizés után nekem úgy tűnik, hogy max a data-t.
-
bacus
őstag
válasz
vjozsef
#2042
üzenetére
annyit megsúgok, hogy nem a dhcp kliens a lúdas..
ahogy én most próbálgatom, szerintem kell legyen valami bug a rosban, mert se a win, se a linux kliensek nem a dhcpv6-tol kapnak ip-t, ami még nem gáz, viszont a dhcpv6 server szerintem nem is megy. (lehet, hogy azért mert egyébként megy az "advertisements". Még nem tudtam vele többet foglalkozni.
Itt a válasz jobban kifejtve, hogy miért:
Now when it comes to DHCP for IPv6 (RFC 3315), there are two ways DHCPv6 can be implemented, either Stateful or Stateless. Stateful DHCP is centrally managed on a DHCP server(s); and the DHCP clients use Stateful DHCP to obtain an IP address(es) and other useful configuration informaiton from the DHCP server(s).But, Stateless DHCP on the other hand; means the DHCP server(s) is not required to store any dynamic state information on the DHCP server(s) about any indivisual DHCP clients. Instead, the DHCP clients autoconfigure their own IP address(es) based on router advertisments. So, with Stateless DHCP, the DHCP clients don't use the DHCP server(s) to obtain IP address(es) information, they use the DHCP server(s) to obtain the other useful configuration informaiton (like the address(es) of DNS servers).
-
juhiati
aktív tag
válasz
vjozsef
#2019
üzenetére
Ez azért van mert egy ilyen oktatás feltételezi azt hogy van egy kis hálózati tudásod. Pl hogy mi a franc az a tcp/ip protokoll mi a francot jelent egy /24 egy ipcim végén, vagy hogy mi az a routing, esetleg az hogy mennyi ip cm van egy tcp/ip packet-ben, vagy legalább az osi modell első 3 rétegével tisztában vagy. Amig az nincs meg, szóval nincs minimális hálózati elméleti tudásod, felesleges elmenned egy mikrotik/cisco vagy akármilyen oktatásra, mert csak bambuli fogsz magad elé hogyha megkérdezik hogy melyik a legnagyobb privát ipcimtartomány, vagy hogy vegyél fel a két routered közé egy /28-at. Szóval vezeni se mégy el addig amig nem vagy tisztában a kressz-el. És ez igy is van jól.
-
rekop
senior tag
válasz
vjozsef
#2008
üzenetére
Ennyi igazából amit látok a logban:
pppoe-out1: terminating...
pppoe-out1: ...disconnected, initializing, connecting..
Illetve tegnapról van egy ilyen bejegyzés is:
pppoe-out1: terminating...peer is not respondingA héten váltottam vdsl-re, mert korábban az ADSL-el is ugyanilyen problémáim voltak.
Nem tudok már másra gondolni mint hogy valahol nálam lesz a hiba.Szerk:
Próbáljak a keep alive timeout értéken változtatni? -
-
-
quby
őstag
válasz
vjozsef
#1898
üzenetére
Igen pont ez a gondom. De ezek a tények felsorovla. Esetleg pontokba tuddom szedni.
A szerver amihez kapcsolodni akarok egy 2011, ez digis hálón lóg. Ami a lényeg:
- A saját mobilnetemről és egy NIIF-es hálózatbol (sulinet) nem tudok csatlakozni hozzá.
- Ha a mobilnetet megosztom (android hotspot mód) akkor PC1 tud hozzá csatlakozni (azon a mobilneten keresztül amin maga a telefon nem)
- ugyanez a telefon ugyanezekkel a beálitásokkal, ha wifin lóg (bármilyen más hálózatban, kivéve sulinet) simán csatlakozikSikertelen kapcsolódáskor a log
-
bambano
titán
válasz
vjozsef
#1811
üzenetére
nem, van benne egy nem túl izmos proci is, amit elvileg arra szántak, hogy menedzselhesd a switchet, de routerként is tudod használni, ha nem túl nagy a sávszélesség-igény.
a procija nagyjából az a szint, mint a 900-as sorozatú routerboardok vagy a 2011-es router/switch kombó.
[admin@emelet01] /system> resource print
uptime: 9w2d23h39m27s
version: 6.28
build-time: Apr/15/2015 15:18:31
free-memory: 106.9MiB
total-memory: 128.0MiB
cpu: MIPS 74Kc V4.12
cpu-count: 1
cpu-frequency: 600MHz
cpu-load: 4%
free-hdd-space: 112.0MiB
total-hdd-space: 128.0MiB
write-sect-since-reboot: 386100
write-sect-total: 386645
bad-blocks: 0%
architecture-name: mipsbe
board-name: CRS125-24G-1S
platform: MikroTik
[admin@emelet01] /system> license print
software-id: xxxxxx
nlevel: 5 -
dgyula
csendes tag
-
Kiskutyák
aktív tag
-
haxy27
aktív tag
válasz
vjozsef
#1716
üzenetére
Ebből az irányból 7 éve megy a nettem, egyébként meg olyan 15 éve én oldom meg magamnak mert egyik szolgáltató sem teszi olyan helyre az antennáját hogy nekem is jó legyen.
Ami a cserét illeti azért kellene, mert kb fél évente vehetek egy új routert ugyan is folyton lehal a wifi rajta.
plusz sok már a 2,4GHz és nem tudok egy szabad csatornát sem már, így elég nagy a zavarás. Ami jól bírja az az edimaxom ő már több mint 15 éves.Persze 5GHz -vel nem tudom milyen lesz, azt tudom 2,4 -en 100mw -tal megy nyáron is és esőben is.
Viszont most teszteltem, és tökéletesen müködik a dolog 2 routerbordal. bridge mód és a másik station bridgemód. Így nem kell nat sem hozzá. A wlant és a lant simán egy hiddal összekötöd aztán mehet a dolog..
-
haxy27
aktív tag
válasz
vjozsef
#1706
üzenetére
nem igazán a rálátással van gond mert távcsővel látom az antennát, bár sok fa van ami be lóg a zónába. Ettől függetlenül a sok 2,4 GHz routerek okozzák a problémát ezért kell a nagyobb teljesítmény. És az azért tesztelve volt hogy a 100mW már elegendő, de 5 GHz -re akarok át állni, ott van még szabad sáv.
-
bacus
őstag
válasz
vjozsef
#1708
üzenetére
Ne már gyerekek..
input chain, dst port 22, in interface a WAN (pppoe vagy dhcp client interface, kinek mi)
action add src to address list.Ez mindenkit hozzáad, aki a 22-es porton próbálkozik. Ha nincs ssh szervered engedélyezve akkor ez mind próbálkozás is marad, ha van, akkor ebben benne lesznek azok is akik be is léptek.
vjozsef: mire kell script?
address listbe felveszed : 200.0.0.0/8 (ez itt pl latin amerika és karibi), mondjuk egy blokkolt listába
első szabály, (az established és related accept után) input és forward chainbe, hogy drop.ha te akarsz ott honlapot nézni, azt tudod, de onnan nem tud kezdeményezni
-
#96292352
törölt tag
válasz
vjozsef
#1668
üzenetére
add action=drop chain=forward comment=\
"Tilitja a youtube.com-ot a Public-r\F3l 30.volt" layer7-protocol=\
"youtube.com_Tilt\E1s" protocol=tcp src-address=192.168.248.0/24
add action=drop chain=forward comment=\
"Tilitja a youtube.com-ot a Public-r\F3l 30.volt" dst-address=\
192.168.248.0/24 layer7-protocol="youtube.com_Tilt\E1s" protocol=tcp
add chain=forward src-address-list="Local subnet 248"
add action=add-src-to-address-list address-list=Knock-IN \
address-list-timeout=1h chain=input dst-port=***** protocol=tcp
add chain=input disabled=yes log=yes log-prefix=ping_accept_Whitelist \
protocol=icmp src-address-list=Knock-IN
add chain=input src-address=*.*.*.*
add chain=input src-address-list=Knock-IN
add action=drop chain=input comment="Mindent inputot blokkol a pppoe fel\F5l" \
disabled=yes in-interface=Free_Wifi log=yes log-prefix="block input"
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \
protocol=tcp src-address-list=ftp_blacklist
add chain=output content="530 Login incorrect" dst-limit=\
1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
address-list-timeout=3h chain=output content="530 Login incorrect" \
protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=fasttrack-connection chain=forward connection-state=\
established,related
add chain=forward p2p=all-p2p src-address-list=Torrent_Enable
add chain=input comment="Enged\E9lyezi a Pingel\E9st a 247-es subnetr\F5l" \
src-address=192.168.247.0/24
add chain=input connection-state=related disabled=yes
add chain=input connection-state=established disabled=yes
add chain=forward comment=P2P_enable_Whitelist p2p=all-p2p src-address-list=\
Torrent_Enable
add action=drop chain=forward comment=P2P_disable_on_public p2p=all-p2p \
src-address=192.168.248.0/24
add action=drop chain=input comment=\
"Tiltja a Pingel\E9st a 248-as subnetr\F5l" protocol=icmp src-address=\
192.168.248.0/24
add action=drop chain=input comment=\
"Minden ami a routert \E9ri a publicb\F3l az dropped." log=yes \
log-prefix="public to router" src-address=192.168.248.0/24
add action=drop chain=input comment="Tilitja a Public-r\F3l a routert" \
dst-address=192.168.248.1 src-address=192.168.248.0/24
add action=drop chain=input comment="Tilitja a Public-r\F3l a routert" \
dst-address=192.168.247.1 src-address=192.168.248.0/24
add action=drop chain=input comment="Tilitja a Public-r\F3l a routert" \
dst-address=192.168.248.1 src-address=192.168.248.0/24
add action=drop chain=forward comment="Letiltja az \F6sszes TCP portot a Publi\
c-Bridge-r\F5l, kiv\E9ve a 80 \E9s 443 portokat" dst-address=\
192.168.248.0/24 protocol=tcp src-port=1-52,54-66,69-79,81-442,444-65535
add action=drop chain=forward comment="Letiltja az \F6sszes UDP portot a Publi\
c-Bridge-r\F5l, kiv\E9ve a 80 \E9s 443 portokat" dst-address=\
192.168.248.0/24 protocol=udp src-port=1-52,54-66,69-79,81-442,444-65535
add action=drop chain=forward comment="Tilitja a videokat a Public-r\F3l" \
in-interface=Public_Bridge layer7-protocol=http-video
add action=drop chain=forward comment=\
"A Public-Bridge-b\F5l nem lesz el\E9rhet\F5 a Home-Bridge" dst-address=\
192.168.247.0/24 src-address=192.168.248.0/24
add action=drop chain=forward comment="Blockolja a Torrentet a Publicon" \
dst-address=192.168.248.0/24 p2p=all-p2p
add action=return chain=forward comment=. disabled=yes
add action=drop chain=forward comment="http-video blocking" disabled=yes \
packet-mark=http-videoJó sok szemét is van benne
-
-
brickm
őstag
válasz
vjozsef
#1571
üzenetére
Bocs, most látom, a teló kiszedett mondatot és összecsúsztatott mondatot helyettem. fúdedurvalett
Szóval kicsit egyszerűsítve:
Adott egy mikrotik router amibe beérkezik az ISP, innen van alhálózat képezve egy TPlink wifi routerrel.
A másodlagos gép a tp linkre csatlakozik wifin keresztül, amin upnp van érvényben, viszont a mikrotiken a portpár nincs forwardolva a tplink felé. Tehát elvileg ott meg kellene álljon a történet, ahogy egy szolgáltatói netes végpontnál is.
Mégis nyitott a port...vagy legalábbis a kliens annak látja.
Ennek mi lehet az oka? -
bacus
őstag
válasz
vjozsef
#1581
üzenetére
Nem véletlen 900 ft.
Én is vettem valamikor, alig tudtam elpasszolni. 4.17 felmegy rá, de már akkor lassú. Ez sajnos inkább 3.3 ROS-t kiván ! Nagy energiát nem szabad bele fektetni. Elég a level 3 licensz !
Az eredeti kérdezőnek meg a transparent bridge mint kulcsszó sokat segithet. De mindenképpen lassú lesz. Hasznos adatátvitel inkább 5-10 Mbit, amire biztosan számithat. Én igy biztos nem kötnék össze két pontot, csak ha fegyverrel kényszerítenének.
Egyébként a tiszántúlon egy időben rengeteget használtak, szerintem azokat a leselejtezett eszközöket lehet most megvennni AP-nál.
-
bambano
titán
válasz
vjozsef
#1577
üzenetére
ha eredetileg is cpe-nek szánták, és l3-as licensz van benne, akkor is képes ap-ként működni egy kliens számára, ami pont-pont kapcsolathoz elég.
viszont a neten nincs róla biztosnak vehető infó, mert régi, mint a múzeum. ami infót találtam róla, aszerint l4-es licensz van benne, azzal elvben lehetne ap is.a nagyobb probléma, hogy kb. 10 éves termék, így kérdés, hogy tud-e bele tölteni friss(ebb) firmware-t. szerintem nem. még az is lehet, hogy a régifajta licensz van benne. könnyen lehet, hogy egyszerűbb lenne kukázni az egészet.
-
MtHq
tag
válasz
vjozsef
#1560
üzenetére
Persze, gondolom a hAP lite is olcsó. Vagy használtan 750, ilyesmi. Én csak arra gondoltam, ha épp nem akar/nem tud pénzt fektetni bele, akkor ez is működik. Régen én is próbálkoztam PC-n, sőt az egyik központi helyemen mai napig PC viszi a mikrotik 6.3.xet, IDE 128MB-os flash memóriával
-
djmorphy
tag
válasz
vjozsef
#1531
üzenetére
Köszönöm szépen erre nem is gondoltam!
Minden áron router oldalról akartam megoldani.
A néha azt jelenti hogy igen rendszertelenül. Ilyenkor a kolléganő végig megy az irodákon, hogy most ne nyomtassatok. De természetesen ilyenkor megy ki valaki kávéért vagy friss levegőre stb...
Az alapötlet az volt, hogy mivel az irodám mellette van ezért szól Nekem és én két szabályt aktíválok a routerben. Az egyik hogy a nyomtató ipcímét csak egy forrásról lehessen elérni. A másik hogy a nyomtató címét ne lehessen elérni. Amikor végzett akkor szól és újra inaktívvá teszem a két szabályt. -
#1543
nyilasmisi
tag
vjozsef
#1527
nyilasmisi
tag
válasz
vjozsef
#1527
üzenetére
Így néz ki a wireless security beállítás.
Már szana szét állítittam mindent, de semmi nem változott.
- Android csatlakozik
- Iphone azonnal visszadobja, hogy nem lehet a hálózathoz csatlakozni
- A PC- meg olyan ablakot dob fel, amelyhez nem csak a pre-shared key megadása kötelező, hanem egy user name is!
Majd talán jövőre.
de gondoltam ha lehet ilyet amit szeretnék akkor az csak europaibb lenne 
5-ös porton adja ki)
ha jól emlékszem
bocs ezért...
Új hozzászólás Aktív témák
Hirdetés
ekkold
- MacBook Pro 14" M1 MAX - 32GB / 1TB (2021) - Cseh billentyűzet - 224 ciklus / 88% - 1 év garancia
- Új - Macbook Pro 13" M1 - 2020, 16GB RAM, 1 TERA, touchbar - Apple garancia (106)
- Macbook Pro 13" M1 - 2021 gyártás, 16/512GB, touchbar - garancia (56)
- Macbook Pro 13" M1 - 2021 gyártás, 512GB, touchbar - garancia (63)
- BenQ LW650 3D Lézer WIFI DLP Projektor -4000 ANSI Lumen - 20E óra élettartam - USB-C - WXGA 1280x800
- AKCIÓ! Dell Alienware M17 R3 Gamer notebook - i7 10750H 16GB DDR4 1TB SSD RTX 2070 8GB WIN10
- MSI CreatorPro Z16P - i7-12700H, RTX A5500, értintőkijelző
- Szinte új, minőségi, állítható ritkítóolló
- Eladó ÚJ BONTATLAN Honor Magic6 Lite 8/256GB fekete / 12 hónap jótállással!
- AKCIÓ! AMD Ryzen 9 3900X 12 mag 24 szál processzor garanciával hibátlan működéssel
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: PC Trade Systems Kft.
Város: Szeged