- iPhone topik
- Honor 200 - kétszázért pont jó lenne
- Fotók, videók mobillal
- Megérkeztek a Xiaomi 15T sorozatának telefonjai Magyarországra
- Google Pixel topik
- Azonnali mobilos kérdések órája
- „Új mérce az Android világában” – Kezünkben a Vivo X300 és X300 Pro
- Okosóra és okoskiegészítő topik
- One mobilszolgáltatások
- Innovatív hűtési megoldással állt elő a Red Magic
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Edorn
senior tag
válasz
ekkold
#25210
üzenetére
Publikus az ip-m.
Jelenleg még bridge-s modem mögül próbálkozom, tehát a portforward még nem okozhat gondot.
Wireguard-ot még sosem próbáltam. Most routerben rányomtam a
cloud->bth vpn-re, ami szépen legenerált egy gombnyomásra mindent a wireguard-hoz.
Wireguard.com/install-ról töltöttem le klienst a win2008-ra. Elvileg sikeresen csatlakoztam is a mikrotik-hez. Legalábbis ezt mutatta a wireguard kliens. Viszont innentől nem láttam hogyan tudnám elérni a mikrotik hálózatának gépeit... Ráadásul mintha a win2008 le is szakadt volna a netről, csak belső hálón keresztül tudtam elérni egy másik helyi gépről (amire távolról cstalakoztam).
-
Edorn
senior tag
válasz
ekkold
#25198
üzenetére
Próbálkoztam most több leírás alapján (pl.: https://www.youtube.com/watch?v=UKUelYvBUgQ) L2TP -vel is, de így sem működik... A bridge-s routerre próbálok csatlakozni első körben egy win2008 serverrel (tudom, régi, de most csak ez van, amivel tudom tesztelni másik hálózatból), illetve telefonról is (mobilnettel), hátha a win2008 elavultsága miatt nem akar működni. De nem hozza létre a kapcsolatot, felhasználó hitelesítésig el sem jut.
-
Edorn
senior tag
válasz
ekkold
#25198
üzenetére
A pptp helyett mi javasolt? Esetleg egyszerű beállítás lépéseivel együtt?
Olyasmi kellene, amit router módba állított modemen keresztül is lehet üzemeltetni (portforward-al mondjuk). Mert egy darabig nem fogom tudni átállítani bridgebe, viszont mihamarabb be kellene üzemelnem egy vpn-t.(közben olyan hálózatból is próbáltam a két próbálkozásomra kapcsolódni, ahol más az ip tartomány [192.168.0.x], de onnan sem sikerült kapcsolódnom, tehát akkor gondolom ahogy írtad a szolgáltató tiltja a pptp-t, feltéve, hogy a fenti leírásommal minden rendben van, úgy működnie kellene szerintetek is...)
-
#25116
lionhearted
őstag
ekkold
#25085
válasz
ekkold
#25085
üzenetére
Ez egyébként nagyon jól hangzik, a probléma ott kezdődik, hogy nincs ilyen lerúgott olcsó gép, amin van két 10G link (rezes vagy SFP+, mindegy). Ha nagyon leadjuk az igényt, akkor egy is elég most még ugye... Vagy érted, USB adapterrel?!
Az erre szakosodott industrial firewall pc-k meg egy nagyságrenddel arrébb árazódnak.De ha valaki itt már csinált rackbe mini géppel routert, ami viszi ezt a 4/2 netet szívesen olvasok róla.
-
ekkold
Topikgazda
válasz
ekkold
#25081
üzenetére
Régebben teszteltem egy tenyérnyi méretű, HP mini G1-en (4. gen. intel), RouterOS-el wireguard VPN sebességet, íme:
Közel gigabit átjött VPN-en, 17% átlagos prociterhelés mellett. Ennek a közelében sincs egy RB5009 teljesítménye. Valószínűleg itt nem az x86 router volt a korlát, hanem a kettőnk közötti internet hálózat korlátozta a sebességet ekkorára... -
válasz
ekkold
#25081
üzenetére
Van itthon licencem, anno szórakoztam vele kb 1.5-2 éve Odroid alapokon, de a realtek hálókártyát nem csipázta a rOS.
Illetve ha nem muszáj nem járatnék ezért egy PC-t, de lehet az lesz a vége.
Most a 4/2-t router on stick-be kipróbálom kíváncsiságból az 5009-en meg akarom nézni majd mit tud. -
yodee_
őstag
válasz
ekkold
#25051
üzenetére
A WG MTU hogy befolyásolja a weboldalak beöltését. Lehet én vagyok a tudatlan, de mint korábban említettem csak a helyi hálózati forgalmat küldöm WG-n.
Szerver oldal:
Interface:1 R Kertname="wireguard2" mtu=1420 listen-port=13232private-key="#########################################"public-key="#########################################"Peer:
1 Kertinterface=wireguard2 name="peer2"public-key="#########################################" private-key=""endpoint-address="" endpoint-port=13232current-endpoint-address=XXX.XXX.XXX.XXX current-endpoint-port=13232allowed-address=10.13.248.0/20,10.13.0.0/20,192.168.0.0/20 preshared-key=""client-endpoint="" rx=104.6MiB tx=1574.7MiB last-handshake=1m34sKliens oldal:
Interface:0 R name="wireguard1" mtu=1420 listen-port=13232private-key="#########################################"public-key="#########################################"Peer:
0 interface=wireguard1 name="peer1"public-key="#########################################" private-key="" endpoint-address=XXX.XXX.XXX.XXXendpoint-port=13232 current-endpoint-address=XXX.XXX.XXX.XXXcurrent-endpoint-port=13232allowed-address=10.13.248.0/20,10.13.0.0/20,192.168.0.0/20preshared-key=""persistent-keepalive=25sclient-endpoint="" rx=1438.2MiB tx=104.0MiB last-handshake=1m43s -
válasz
ekkold
#25001
üzenetére
"A saját tapasztalatom az, hogy stabilabb az egész ha nem hagyom hogy a saját szoftvere variálja a csatornákat, hanem én fixen kijelölöm."
Én jelemzően U-NII sávok mentén szoktam felszabdalni és aszerint osztom ki. Technikailag erre szükség is lenne, mivel nem minden frekvencia használható kültéren / beltéren.
U-NII 2 meg szigorúan csak ha tudom hogy nem okoz potenciális problémát (pl. ~80 cm vastag falak mindenhol)."előfordul, hogy valamelyik eszköz csatornát vált, ekkor megváltozik a csatornák foglaltsága"
Emiatt szoktam ütemezve hajnalban egy újra igazítást kezdeményeztettni, random offset-tel eltolva a különböző AP-ken.
-
mrots
tag
válasz
ekkold
#24968
üzenetére
"Egyébként van értelme két betárcsázásnak? Pl. gondolom az össz sávszél nem lesz nagyobb... vagy? ill. akkor ad két publikus IP-t is?"
Persze, hogy van. Szuloknel ket router lerakva, mindketto onalloan kapcsolodik ugyanabba a bridge modban levo modembe, a LAN oldalukon pedig HSRP/|VRRP. Router hiba eseten a masik viszi tovabb a musort, nem kell odarohanni megnezni, miert nincs internet, tavolrol is megy. Szolgaltatoi hiba esetere pedig ott a 4G tavoli eleres.
-
-
-
#24953
D-LAN|FuRioN
aktív tag
ekkold
#24952
D-LAN|FuRioN
aktív tag
válasz
ekkold
#24952
üzenetére
digi-n nem működik, mert nincs local dhcp és ip-t sem vesz fel az ont. lényegében egy switchkén funkcionál kapsz egy szolgáltatói pppoe access portot az ont 1.-es portján és kész. mgmt-et ip-t pedig külön vlanból vesz fel. általában ezeket így szokták csinálni, fura h a telekom bridge mód esetén is enged local hozzáférést, nem szoktak
-
-
m0ski
aktív tag
válasz
ekkold
#24890
üzenetére
Jelen pillanatban az itthoni forgalom 80%-a wifin megy. A maradék 20% a NAS, és őszintén szólva nem halok bele, hogy a linux ISO nem full sebességgel jön lefelé, van időm kivárni.
Ha nem szaladtak volna el az árak az elmúlt években, akkor szívesen raknék össze 4011+AP hálózatot, de csak routerre 75-80 ezret nem akarok kiadni. Tisztában vagyok vele hogy minden drágult, de ha visszanézem, hogy 5 éve ismerősnek nettó 45 körül volt az RB4011, sírni tudnék. -
m0ski
aktív tag
válasz
ekkold
#24883
üzenetére
Először az RB2011 utódjának kikiáltott L009UiGS-2HaxD-IN-t néztem, de aztán összehasoníltottam a spec-t az ax3-al és azért esne arra a választás.
RB4011 jó cucc, irodai környezetbe üzemeltem be ahol egy halom kliens lóg rajta kábelen és wifin is CAPsMAN-en keresztül és köszöni szépen jól van.
Otthonra viszont overkill lenne, az áráról nem is beszélve. -
jerry311
nagyúr
-
HUNited
őstag
válasz
ekkold
#24816
üzenetére
Deklarálnám hogy én NEM a Mikrotik minőségét és megbízhatóságát kifogásolom, a termékkel semmi bajom, és ahogy kezdem beleásni magam, tényleg nagyon jó. Csak az a problémám, hogy ha ennyire pilótavizsgás, hogyhogy nincs hozzá elérhető (ingyenes vagy olcsó) anyag ami naprakész is. Mondok egy direkt nem kapcsolódó témát: Python oktatóanyaggal Dunát lehet rekeszteni, pedig kicsit jobban keres egy programozó mint egy hálózatüzemeltető (ráadásul igen, esélyes hogy komolyabb helyeken, ahova erre dedikált embert tartanak, leginkább nem a Mikrotik eszközeit használják).
Kicsit olyan érzésem van hogy a Mikrotik két szék között van. És szerencsére fennmarad, de az igazán profiknak "ciki", a halandóknak meg túl komplex. Pedig ilyen tudású routert más márkából sem kaptam volna olcsóbban, sőt. Szerintem Asusban (én azt ismerem viszonylag mélyebben) jóval drágább lett volna.
És hogy kicsit egyértelműbb legyen miről beszélek: a leghasználhatóbb anyag a témában magyar nyelven, amit te is linkelsz a topik leírásban, 7 éves. Feltételezem ha lenne újabb, akkor azt is linkelnéd. A többi ami van csapongó (pl. 2HB videói a témában), nem teljes (esettanulmányok), vagy megfizethetetlen otthoni használat mellett.
Ha van ilyen anyag magyar nyelven, ne tartsd magadban
-
Ejelhar
senior tag
válasz
ekkold
#24824
üzenetére
Én úgy látom mostanában igen pozitív irányba változtak Mikrotikék, a hardver és a szoftver is.
Már pl. nem ötezer fajta platform jellemző, úgy tűnik lehorgonyoztak az ARM mellett.
A soft pedig már nem tűnik gányolásnak bizonyos részeken, én pl. a VLAN-t utáltam régebben, de mióta nem kell switch chipet még külön masszírozni, sokkal barátibb és komolyabb az egész. -
HUNited
őstag
válasz
ekkold
#24740
üzenetére
Köszi. Ez a Skori.hu azért nem vettem figyelembe mert 2018-as, úgy tudom hogy azóta nagyon sok minden változott Mikrotiknél (azt hagyjuk hogy kifolyik a szemem tőle, mivel ez leginkább ízlés kérdése, átteszem olvasó módba és emlészthetőbb). De most majd átfutom, hátha van benne valami ami használható ma is. Pl. nálam ez a bizonyos WinBox totál másként néz ki, és sok menüpont is máshol van.
Azért deklarálnám hogy az Asust sem gyári FW-vel használtam, és leginkább SSH-n kezeltem Entware. Persze nem vagyok sem Linuxban, sem hálózati topológiában hardcore.
Nem vonom kétségbe hogy nagyon jó a router, csak még tanulnom kell. Sokat. És erre most nincs időm (költözés, meló, gyerekek iskolakezdése stb.). Ezért lenne jó valami naprakész videós anyag magyar nyelven (igen, utálom az angol nyelvet, nem is tudtam olyan szinten megtanulni sosem, hiába vagyok informatikus). Van ez a 2H Informatika nevű Youtube csatorna, de 2 bő fél órás videó alatt is csak oda jutott hogy van net.
Esetleg ha tudsz olyan videóst akit én még nem találtam meg, és viszonylag naprakész videók, azt megköszönném.
Én amiket találtam vagy régiek, vagy nem magyar nyelvűek, vagy a már említett nagyon vontatott (mindenről beszél csak a témáról nem) anyag.
A Quick setuppal pedig óvatosan
Mert nálam igen érdekes dolgokat produkált. -
-
mrots
tag
válasz
ekkold
#24707
üzenetére
A hatar elmosodott mar, kulonosen a multilayer switchek letezesevel, amik lenyegeben routerek. Nincs univerzalis szabaly, de vannak jellemzok.
Jellemzoen a routereknek kevesebb fizikai portja van, a switcheknek tobb, mivel a switchek feladata az, hogy fizikai hozzaferest adjon a halozathoz az eszkozoknek (= bele tudjal dugni sok dolgot) a routernek viszont nem ez a feladata. A router osszekot halozatokat, esetleg kulonbozo mediumokon - peldaul egy ethernet halozatot egy LTE halozattal, hogy kijuss az internetre, vagy egy ethernet halozatot egy DSL halozattal, megint csak, hogy kijuss az internetre, vagy, akar ket vagy tobb ethernet halozatot kot ossze, amelyek kulon-kulon onallo broadcast domainek. Egy eszkozt aminek ket ethernet portja van valoszinuleg nem arra terveztek, hogy 16 ip telefont belekoss, hanem inkabb arra, hogy ket ethernet halozatot osszekosson egymassal, tehat valoszinu inkabb routerkent marketingelik. Vannak 16 portos routerek? Nyilvan, bar kicsit csalas, hiszen egy 16 portos switch modult barmikor tehetsz egy cisco routerbe - ettol az switch lesz? Nem igazan, csak felruhaztad switch kepessegekkel a routert, aminek gyarilag van mondjuk harom portja es kesz.
Jellemzoen a megvalositott feladatok atfedesben vannak, hiszen ugyanazt a feladatot meg lehet valositani hardverbol es szoftverbol is. A kerdes az, hogy mi a fo feladata az eszkoznek? Egy routernek inkabb a forgalomiranyitas, a routing protokollok ismerete, a csomagok szurese (acl), korlatozasa (qos), vpn felepites, ezeket csinalja leggyakrabban, tehat layer 3 es layer 4 feladatokat. Tehat egy routernek azt lehet inkabb nevezni, ami ezeket hardverbol tamogatva csinalja, mert azt jelenti, hogy erre terveztek. Tud emellett switch is lenni? Hogyne tudna, barmikor osszebridge-elek ket ethernet portot egy cisco routeren es maris switchkent viselkedik. Erre terveztek? Nem, csak ezt is tudja, de ettol nem lesz switch.
A switcheket inkabb keretek tovabbitasara terveztek, inkabb layer 2-ben mukodik, tehat olyasmikkel foglalkozik allandoan, hogy mac cimek alapjan donteshozas (snooping, arp inspection), ACL, feszitofa protokollok, vlanok. Ezeket mind hardverbol csinalja, mert erre terveztek tehat ezt tudja a leggyorsabban csinalni. Tud ezen kivul routingot? A multilayer switch hogyne tudna. Sot, mar 20 eve is a 6500-as catalyst switch ezeket is hardverbol csinalta. Annyira, hogy a 6500-as switch es a 7600-as router gyakorlatilag ugyanaz a platform volt. Tud dhcp szerver is lenni, ha kell, tud egy csomo olyan funkciot amit egy router tud. Leginkabb azonban szoftverbol, mert nem erre terveztek, de tudja ezt is.
En igy dontenem el, hogy router-e vagy switch-e. Egy routeren ritkan van PoE port, mert olyan vegpontokat amik ezt igenylik, nem routerbe kotsz kozvetlen, hanem switchbe es a switcheket fogja ossze a router. Ennek ellenere persze nekem is van otthon tartalekban egy 1941-es cisco router amiben van egy 8 portos gigabites switch modul ami PoE-t tud adni. De megint csak arrol van szo, hogy egy routerbe teszek switch modult, tehat ket hardveres eszkozt rakok egybe, hogy ne ketto legyen kulon.
A jozan esz szerint ez az eszkoz egy multilayer switch, tehat szerintem helyesen hivjak switchnek.
-
#24711
E.Kaufmann
veterán
ekkold
#24709
-
#24710
lionhearted
őstag
ekkold
#24707
-
#24708
E.Kaufmann
veterán
ekkold
#24707
válasz
ekkold
#24707
üzenetére
A blokk diagrammot összevetve az első CCR-rel, amit találtam, talán a standard PoE funkció az, ami a switch irányába húzza, de ez inkább egy KKV mindenes.
Meg pl a CCR2004-nél olyan van a portok és a CPU között, hogy port extender, míg ennél meg egy komplett önálló switch chip, gondolom mindenféle hardveres gyorsító funkcióval, amit a RouterOS vagy tud használni vagy még nem -
mrots
tag
válasz
ekkold
#24678
üzenetére
"Igazából biztonsági kockázatot is jelent a bekapcsolása"
Amugy szerinted miert? Mert szerintem kulonosebb kockazatot nem jelent. Az egesz beallitas arrol szol, hogy TCP RST szegmenseket nem dobunk el, amik a csuszoablakon kivul vannak. Milyen tamadas az, ami megvalosithato azaltal, hogy nem dobod el ezeket?
-
mrots
tag
válasz
ekkold
#24669
üzenetére
Ez valoszinuleg nem a jo megkozelites. Az enyem sem biztos, hogy jo. De en inkabb akkor kapcsolnam be, amikor a wireshark szerint olyan szegmensek erkeznek a negyedik retegben (TCP - ISO/OSI transzport reteg) amely szegmensek kivul esnek a csuszoablakon. Ezeket normalis esetben eldobna az eszkoz. Normal esetben ilyen forglamat az ember nem varna, hiszen a TCP handshake soran a csuszoablak merete is egyeztetesre kerul, tehat a kuldo pontosan tudja, hogy a fogadonak mekkora buffer all rendelkezesre es csak annyi adatot kuld, nem tobbet. Tehat normal mukodes soran erre nincs szukseg. Viszont a linux kernelben regota benne van, tehat gondolom annyi tortenik, hogy a mikrotik kivezet a felhasznaloi feluletre egy beallitast ami eddig nem volt lehetseges azon, de maga az OS eddig is tamogatta volna.
Az egyetlen eset ami eszembe jut amikor erre talan szukseg lehet, a TCP challenge ACK. Ekkor a haromutas kezfogas nem az iskolaban tanult modon zajlik le, hanem a TCP SYN-re a cimzett egy SYN nelkuli ACK-t valaszol vissza, raadasul egy olyan sorszammal ami nem passzol a szekvenciaba. Ez normalis, igy mukodik a challenge ACK. Erre harmadik csomagkent egy RST kell, hogy menjen az eredeti kapcsolatot kezdemenyezotol. Ez az RST elkepzelheto, hogy eldobasra kerul, ha a beallitas ki van kapcsolva. Nem ellenoriztem, nem olvastam el az RFC-t, szoval lehet tevedek, de most nekem semmilyen mas legitim ok nem jut eszembe, amiert egy RST-t el kellene fogadjak, nem pedig eldobnom.
Ha tehat a mikrotikom tuzfalkent funkcional egy forras es egy cel kozott, akkor amennyiben a cel challenge ACK-t hasznal, e nelkul a funkcio nelkul sosem fog tudni egy TCP kapcsolat felepulni, szerintem.
-
#24672
Pizzafutar
aktív tag
ekkold
#24670
Pizzafutar
aktív tag
válasz
ekkold
#24670
üzenetére
A mangle-ban ez szerintem be van állítva:
ip/firewall/mangle> printFlags: X - disabled, I - invalid; D - dynamic0 chain=prerouting action=accept dst-address=192.168.0.0/24 in-interface=bridge log=no log-prefix=""1 chain=prerouting action=accept dst-address=10.0.0.0/24 in-interface=bridge log=no log-prefix=""2 chain=input action=mark-connection new-connection-mark=Telekom_conn passthrough=yes connection-state=new in-interface=ether1 log=no log-prefix=""3 chain=input action=mark-connection new-connection-mark=Digi_conn passthrough=yes connection-state=new in-interface=Digi PPPoE log=no log-prefix=""4 chain=output action=mark-connection new-connection-mark=Telekom_conn passthrough=yes connection-state=new connection-mark=no-mark per-connection-classifier=dst-address-and-port:2/0log=no log-prefix=""5 chain=output action=mark-connection new-connection-mark=Digi_conn passthrough=yes connection-state=new connection-mark=no-mark per-connection-classifier=dst-address-and-port:2/1 log=nolog-prefix=""6 chain=prerouting action=mark-connection new-connection-mark=Telekom_conn passthrough=yes connection-state=new dst-address-type=!local connection-mark=no-mark in-interface=bridgeper-connection-classifier=dst-address-and-port:2/0 log=no log-prefix=""7 chain=prerouting action=mark-connection new-connection-mark=Digi_conn passthrough=yes connection-state=new dst-address-type=!local connection-mark=no-mark in-interface=bridgeper-connection-classifier=dst-address-and-port:2/1 log=no log-prefix=""8 chain=output action=mark-routing new-routing-mark=Telekom passthrough=yes connection-mark=Telekom_conn log=no log-prefix=""9 chain=prerouting action=mark-routing new-routing-mark=Telekom passthrough=yes connection-mark=Telekom_conn in-interface=bridge log=no log-prefix=""10 chain=output action=mark-routing new-routing-mark=DIGI passthrough=yes connection-mark=Digi_conn log=no log-prefix=""11 chain=prerouting action=mark-routing new-routing-mark=DIGI passthrough=yes connection-mark=Digi_conn in-interface=bridge log=no log-prefix="" -
#24666
E.Kaufmann
veterán
ekkold
#24665
-
4D4M
senior tag
válasz
ekkold
#24289
üzenetére
Összeállt a VPN kapcsolat?
~
Igen.Nem (nem csak) a helyi IP címén kell tudni elérni a Mikrotik eszközt, hanem azon az IP címén is ami a VPN kapcsolathoz tartozik mikrotik oldalon.
~
A DHCP tartomanybol elkülönítettem egy ip poolt, amit beallittam a VPN klienseknek kioszthatoan.A kriksz-kraksz címet használom az L2TP kapcsolodashoz. Tehát az elvileg működik, de ha már bent vagyok, akkor gyanítom, hogy mennie kellene a belső local IP-n való elérésnek is.
-
4D4M
senior tag
válasz
ekkold
#24285
üzenetére
Köszönöm, hogy megtiszteltél.
Valószínűleg valamennyi feltételezésed megállja a helyét. Nem akarok egyelőre mélyebben mikrotikkel foglalkozni, csak van egy külterületi helyszín, ahol praktikus lett volna, ha be tudom állítani az SXT-t routerként is és utána nem akarok vele semmit bűvészkedni. A távoli biztonságos belépést leszamitva sikerült is minden, amit egyelőre celul tűztem ki.
Tudom, hogy tele a tökötök a hülyekkel, akik azt se tudják mit kérdeznek, csak általában annyira vágjátok, hogy ezeket az alap dolgokat fel szavakból is meg tudjátok ugorni.
Most pl annyi a történet, hogy L2TP / IPSec kapcsolattal belepni sikerült a Windows 10-zel és Androiddal is, de az SXT-t nem érem el az IP-jén. Valami alapvető apróság lehet, csak igen.. érteni kéne a lelkivilagat.
-
user12
őstag
válasz
ekkold
#24276
üzenetére
Köszi a részletes leírást. Ezzel a részével eddig nem foglalkoztam. A PPPoE csatlakozás annyi, hogy megadtam a felhasználónevet, jelszót és kész. Volt, amikor az mtu-n állitgattam kísérleti jelleggel, de visszatertem a default beállításokra, mert úgy láttam, hogy ezekkel megy a legjobban.
A vpn kapcsolatok viszont nem haszálják a PPPoE profilt, mivel én úgy csinálom, hogy minden vpn felhasználókhoz külön profilt készítettem és rendeltem hozzá -
-
kammler
senior tag
válasz
ekkold
#24249
üzenetére
Akárhogy is gondolkodom, nem tudom, hogy csináltam meg. Pontosan így szopórollerztem, ezeknek el van tolva a netinstalljuk, az tuti. Fórumjukon van friss krvanyázás miatta, mire ez a normis nevű atyaúristen a mikrotiktől csak kaffogott. Nem tudom, hogy oldottam meg, viszont nekem, miután futott pc-n, az I219-LM intel hálókártyával az csinálta, hogy eltűnt a hálózat, megjelent, eltűnt, megjelent. A realtek gaming 2.5G, na az hasított. Elment aztán kedvem tőle.
-
#24246
lionhearted
őstag
ekkold
#24245
-
-
#24233
Alteran-IT
őstag
ekkold
#24225
Alteran-IT
őstag
válasz
ekkold
#24225
üzenetére
Hát ha átlag, egyszerű emberi szemmel nézed a dolgot, akkor valóban úgy van, hogy általában jobb nem tudni pár dologról, szokták mondani, boldogok a tudatlanok, sajnos nem tartozom ebbe a kategóriába, pedig sokszor jobb lenne
Még egyébként ha egy elektromos hálózatról mondod ugyan ezt, akkor megértem, az egy egyszerű közvetítő közeg, melynek egyetlen feladata az elektromos áram (irányított ciklusú mágneses erőtér által "zárt" hálózatban keringetett elektronok) továbbítása és a számos háztartási elektronikai cikk kiszolgálása, azt ha egyszer jól kiépíted és jövőre nézve jól méretezed, akkor ha pl. ugyan az a házad van, előfordulhat hogy életed végéig nem kell hozzányúlni, még akár egy biztosítékot sem kell visszakapcsolni, ha nincs túlterhelve egy áramkör, vagy nem megy tönkre zárlattal, illetve magasabb áramfelvétellel egy meghibásodó elektronikai cikk/háztartási eszköz.
Ugye általában jellemző az újabb technológiával készített eszközök esetén a kevesebb fogyasztásra való törekvés, így előfordulhat hogy később egy jól felül méretezett hálózat még kevésbé lesz leterhelve és még kevesebb probléma lesz vele, ha csak nem később raksz rá még klímát meg ilyesmi, kivéve ha ugye esetleg külön áramkör lenne neki.
Na de ettől a rövid kitérőtől eltekintve, egy router az nem ilyen faék egyszerűség, bármennyire és mondjuk faék egyszerűségű emberek üzemeltetik őket a legtöbb esetben, de akár mondjuk egy kábelmodemre, vagy egy ONT-ra sem jellemző ez, ahogy az sem, hogy a fejlettebb technológiával készített modem/ONT kevesebbet fogyasztana, mert magasabb technológiával ugyan arra a színvonalra nem nagyon gyártanak, értsd pl. hogy ma már nem fognak 8/4-es csatornakötegelésű kábelmodemet gyártani, mert baromság lenne, ahogy a hagyományos GPON ONT gyártása is és így tovább, gyorsabb elérést biztosítani hivatott modemeket fognak gyártani, amik több csatornát fognak össze, vagy éppen erősebb lézer modullal és processzorral rendelkeznek a nagyobb sebesség kiszolgálása érdekében és így a fogyasztás is magasabb lesz, illetve az egész több szempontból is bonyolultabb, de mindegy.
Egyébként még úgy egyet is értenék veled, csak ugye az igényesség illetve a hozzá szokás, értsd most ezalatt azt, hogy ugye én már hozzászoktam az USB 3.0 porthoz, az LCD kijelzőhöz, illetve ahogy Zwodkassy mondja, még a csipogóhoz is, csak ugye elég ritkán indítom újra a routert, így meg is feledkezek róla. Az igényesebb ember, meg úgy általában az emberek többsége is a technológiai színvonal fejlődésével és a kor előrehaladtával nem kevesebbet, illetve hiányosabb eszközöket várnak el, hanem többet, komplexebb, többet nyújtó eszközöket, tudom most szóismétlés van, de az adott mondatrészben én más-más jelentést tulajdonítok nekik.
Én ugye hozzászoktam ezekhez, az LCD-t és az USB-t folyamatosan használom és ezáltal a hiányukat megérezném, nehezen szoknék újra hozzá a "fapad" színvonalhoz. Olyan mint ha kocsi esetén is egy Ferrari-ból egy Trabantba ülnél vissza, amiben még szervó sincs, ne mond hogy még örülnél is neki, persze egy kis retro néha nem árt, de nem folyamatosbaRengeteg ipari eszközön van saját, illetve hasonló kijelző azonos célokkal, routerek esetén már ez nagyon rég nem mai téma, még anno a TP-Linknek is volt hasonló próbálkozása, Huawei, vagy nem tudom én milyen LTE modemek is kaptak LCD kijelzőt, de egyéb ipari routerek is:
Az ilyen pFSense és hasonló linux alapú tűzfalak alá szánt ipari hardverekbe rendszeresen építettek LCD kijelzőket, melyen olyan adatok szerepeltek, amit éppen kiírattak a linux-al, akár grafikont is ki lehetett rakni, de interface adatokat, egyéb statisztikákat is, illetve az ilyen célra szánt alaplapok érzékelőinek az adatait is, mint hőmérséklet, feszültség és így tovább, szóval nem újkeletű dolog, nem a Mikrotik lépte meg először és reméljük nem is utoljára, szervertermek is kaptak Amerikában és hasonló helyeken ilyen eszközöket, mert volt rá igény szakmai szemmel is nézve, az hogy pl. itt Magyarországon ilyen téren igénytelenség van, igazából nem lep meg, most nem politizálok, de politikai téren is eléggé igénytelen a nép, szóval na, de azért mert az emberek nagy része igénytelen, nem kell általánosítani, nem mindig a többségnek van igaza attól hogy többségben vannak, na de mindegy.Ami az RB5009-t illeti, látod, pont a saját nem látod példáddal jöttél, illetve oldottad meg otthon, na de ha egy üvegajtós rack szekrénybe berakom egy 1U helyre azokkal a nyújtott rack fülekkel, akkor hogy néz ki? Ez az átmeneti, illetve fél rack kialakítás nekem nem jön be.
Ellenben viszont ami a technokrata hozzáállást illeti, nekem sincs gondom a tégla dizájnnal, csak azt próbáltam szemléltetni a dologgal, hogy az IT szakmában abszolút nem jó a röghöz kötöttség, sőt én erősen szelektálnám is emiatt a szakmát, mert nem véletlen van már az IT esetén minden téren elég sok probléma, sok a röghöz kötött, változást nehezen viselő, nem a szakmába illő kb. önkéntes "szakember" meg egyéb bohóc. Legtöbb szolgáltatónál pont emiatt nincs még IPv6, mert már sok "szakember" képességét meghaladja, az állami szektorban ezért nincs egy normálisan működő rendszer, mint a KAÜ, JSZP, EESZT amik akár egy napig is tudnának normálisan működni, de akár a választási rendszert is mondhatnám ami pár órát sem bír ki és így tovább. Én nem vagyok röghöz kötött, ellenben pl. az RB3011 a maga felszereltségével és mégis egyszerű tégla 1U kialakításával úgy tetszik, ahogy van, az abban az időben éppen egy remek technikai színvonalat adott, ezt még akár el tudnám képzelni egy modernebb áramköri kialakítás mellett pl. egy átlátszó plexi, vagy üveg házban/keretben is, de szerintem az a legtöbb "mérnök" szellemi kapacitását meghaladná, lehet igényes vagyok, de tudom hogy sajnos sokaknak sok minden lehetetlen, így megpróbálom mindig lejjebb szorítani az igényességemet, így kevesebb csalódás ér, sajnos ez van, ha a minimalista környezetben maximalista vagy, de ettől még nem fogom teljesen leredukálni az igényeimet, csak mert a környezetem nem érti meg, maradok különc, illetve egyéniség. Persze most ezzel véletlenül sem akartam megsérteni senkit, csak na, igazából nehezen tudom úgy megmagyarázni, hogy nem vagyok eléggé őszinte.#24226 mrots: Most ebben a hozzászólásban részben megválaszoltam ezt is, így nagyon nem térnék ki rá újra, viszont engem sosem zavart sehol sem, ha mondjuk egy hálózati eszköz látható helyen van akár egy szobában, akár egy irodában, csak az igényesen legyen elhelyezve és a kábelezés is igényesen legyen hozzá kialakítva.
Egyébként most már el tudod képzelni, kinek kell LCD kijelző
Amúgy az kicsit szomorú, ha fizikailag nem vagy tisztában az adott eszközzel, illetve a környezetével sem, most nem akarok véletlenül sem sértő lenni, de számtalanszor találkoztam már hasonló szituációval és ebből hosszú távon kialakuló, már-már nagyobb volumenű problémákkal, de ebbe most nem akarok belemenni.
Kb. az a szituáció ha a tárgynál maradunk, hogy mindegy milyen router, csak legyen internet, a hálózat a szokásos 192.168.0.0/24 legyen, mert az eddig mindig működött, mindegy hogy mondjuk gigabites netre 100-as router van rakva, vagy hogy olyan környezetbe van egy eleve jobban melegedő típus rakva, ahol eleve a szokásnál magasabb a hőmérséklet és a túlhevülés miatt sok a szakadozás, packet loss, meg a router felülete is alig jön be, szóval na ... és ez még csak nagyon kevés és egyszerű példa a sok közül szemléltetésképpen, igazából már ezek alapján nagyon sok továbbit el lehet képzelni, amiért én mondjuk nem preferálom ezeket a vakon cselekvő megoldásokat, értem én hogy távolról CLI-n keresztül be lehet állítani dolgokat, csak ez általában a nagyon alap, fapados üzemeltetésen kívül nem nyújt szakszerű üzemeltetést bizonyos esetekben, persze más ha úgymond az "előválasztó" aki kihelyezi az eszközt tisztában van vele és legalább olyan eszközt választ ami megfelelő és akkor mindegy hogy a távparaméterező abszolút nincs tisztában a környezettel, csak egy működő konfigot kell biztosítani, de az a tapasztalatom, hogy ez általában nem így van, persze én sem vagyok tisztában az egész ország összes vállalkozásával, szerver termével és így tovább, bár nem is probléma, szerintem sok fejfájást elkerülök így -
-
#24212
Alteran-IT
őstag
ekkold
#24211
Alteran-IT
őstag
válasz
ekkold
#24211
üzenetére
Nézőpont kérdése, ha kicsit igényesebb vagy kinézeti szempontból, illetve amolyan komolyabb megjelenést akarsz biztosítani a nem látható funkciók mellé mondjuk egy cégnél, akkor ez tökéletes és szerintem nagy tételben rendelésnél minimális felárral kell számolni a gyártónál, de cserébe milyen jól mutat már ha kirakod rá a sávszélesség diagrammot, nekem sem kell érte belépnem a routerbe, hogy megnézzem ha baj van a nettel, hogy most vagy szar, vagy fullon ki van terhelve valamelyik gép által és azért szar másoknak, csak ránézek a kijelzőre és látom, praktikus és modern megjelenést is ad mellette a routernek.
Arról nem is beszélve, hogy pont a kijelző miatt rendesen megmaradna az 1U magasság is és szellősebb lenne, esetleg a hűtést is komolyabban meg lehetne oldani, vagy még egy tartalék áramköri védelem is beleférne, így viszont ... tehát olyan semmis a kinézete már ... Nekem pont az RB3011 hozta meg a kedvemet a Mikrotik-hez, 10 gigabites port, SFP port, igényes 1U rack kivitel, LCD érintőkijelző és ahhoz képest viszonylag kis mélység, utána már eltűntek az USB 3.0 portok, sok esetben az SFP is CCR terén, az LCD általában megmaradt, még ha a tetejére is került (ezt pl. sosem értettem), a nagyon drága típusoknál persze volt SFP+, meg LCD, de USB nem volt, mert akkor éppen azon a téren szaladtak bele a pofonba driverezés szintjén és inkább nem erőltették, most meg ugye WiFi téren szaladnak bele állandóan a pofonokba, valamilyen pofon mindig kell nekik.
Most nagy nehezen visszahozták az USB 3.0-t, de LCD abszolút nincs, a portokat értelmetlenül variálják és tervezik, mert szerintem is lehetett volna legalább 2-3 porttal több 2,5-es port, ráadásul ha az esztétikát nézem, még mérnöki szemmel is elég igénytelenül néz ki pl. az RB5009, de már igazából a 4011 sem tetszett, de már akkor tudtam, hogy ezt az idióta irányt fogják követni.Egyébként a példa nem a legjobb, még a 4K pont átférne 100 megán, ott már késleltetési probléma is van, de értem mit akartál mondani, az még egyébként a jobbik eset, ha van valamilyen hálózati csatlakozó a TV-n, mert van amikor kurva drága TV és nincs rajta, na azt akkor old meg, hogy legyen rajta net, de úgy hogy pl. az ügyfél nem szeretné, ha a szobában nagyon WiFi jel lenne egészségügyi aggodalmak miatt, de a TV menjen akadásmentesen, ami nem is pár tízezer forint volt, szóval ilyenkor a falra tudok mászni, de ugyan úgy találni újabb alsóbb kategóriás laptopok között is olyat, amin ha van egyáltalán hálózati csatlakozó, akkor is 100 megás van, de régebben volt felsőbb kategóriás i5 és i7 laptopon is 100 megás LAN, olyankor kaptam agyfaszt, már azt a processzor teljesítményt hálózaton nem tudták kihasználni, általában még jó VGA sem társult hozzá, szóval akkor mi értelme is volt az i5 meg i7 processzornak?
Azt akkor itt van a Mikrotik és a WiFi probléma is, abszolút nem akar menni náluk ez sem, ahogy más sem
Az a baj, hogy az IT szektorra is mint ahogy a politikai szektorra is ráférne már egy nagyon nagy takarítás és a bohócokat ki kellene már pucolni mindenhonnan, talán végre elindulna minden a haladás útján. -
#24210
Alteran-IT
őstag
ekkold
#24209
Alteran-IT
őstag
válasz
ekkold
#24209
üzenetére
Én direkt SFP+-os verziókat néztem eddig, egy problémám van csak vele, hogy igazából egy SFP+-os verzióval sem megyek már semmire, kb. a hAP ax3 kategória, van egy 2,5 Gbit/s-os bemenet, na és ha mondjuk egy Windows 10-es géppel szeretném vele kihasználni a 2000 Mbit/s Telekomos netet, akkor mit csinálok, malmozok, vagy esetleg visszatákolom valahogy az LA-t?
Bár örülnék egy olyannak az LCD miatt is, de egy giga feletti port pont a hasonló dolgok miatt kevés ha már ilyen beruházásba gondolkodik az ember, ugye a hAP ax3 is ~60 ezer forint, az RB5009UPr+S+IN pedig már ~80 körül kapható és akkor van rajta egy SFP+ port és egy 2,5 Gigás Ethernet port, ugyan jobban örülnék még legalább egy ilyen portnak, de kezdetnek ez is jó lenne, plusz az a problémám, hogy nemrég megint olyan 90-110 ezer forintos áron láttam használt CCR1009-es SFP+-os routert, csak éppen a régebbi 1 tápos verziót, annyiért nem éri meg, hisz már erősebb, kevesebb fogyasztású és kisebb RB5009UPr+S+IN-t veszek helyette, ráadásul olcsóbban két gigabit feletti porttal és akkor arra még garancia is van, azt nincs az, hogy megveszem 90-110-ért, azt lehet egy hónap múlva annyi azt akkor buktam egy 100-ast, néha nem értem egyesek árazását, meg azt sem, hogy a Mikrotik miért hagyta el az újabb RB és CCR routerek esetén az LCD-t, mert ugye ha azt is belevenném a kritériumok közé, akkor a CCR1036-8G-2S+ lenne a minimum ami megfelelne, illetve a CCR1072-1G-8S+, csak ugye otthonra már csak a fogyasztásuk miatt is értelmetlen lenne, szóval na. Megint azért vagyok letargiában, mert a Mikrotiknél megint hülye irányt vettek -
#24208
Alteran-IT
őstag
ekkold
#24205
Alteran-IT
őstag
válasz
ekkold
#24205
üzenetére
Láttam, de nekem így is releváns, ugyanis ilyen megoldásra lenne szükségem ha az One bekebelezi a jelenlegi szolgáltatóm, meg egy olyan routerre, ami mondjuk ha úgyvan, akkor egy 500-as, vagy akár egy 1000-es netnél is ki tudja tolni WG-n a sávszélt egy hasonló VPN szolgáltató esetén.
Mondjuk arra is kíváncsi lennék, a mostani RB3011-em mennyit tud kitolni, ha elég lenne egy 500-as nethez, nem gondolkoznék hardver cserén, csak VPN szolgáltatón maximum, mert nyilván cél lenne a minél kisebb válaszidő.#24203 Gyula888: Nem rossz az a router, én is akartam egy olyat, csak elfogadható áron nem találtam eddig használtan, vagy mikor éppen találtam, akkor már el is kelt, viszont azt már megfigyeltem Mikrotik esetén, hogy nagyon nem mindegy az adott szoftver komponens amiről szó van és az erőforrás eloszlás sem, mert valami esetén tudja mindegyik magot egyszerre használni, vagy akár ha az egyik túlterhelődik, akkor bevonni még további magokat, de valaminél abszolút nem akar egy magnál többet használni, itt felfele nincsenek olyan nagy sebességű internetek, így nem nagyon volt alkalmam mostanában tesztelni, de régen a PPP, L2TP VPN-ek esetén egy tunnel csak egy magot tudott használni, tehát hiába volt neked 7, 9, 16 stb... magos routered, nem tudtad az összes magot befogni mondjuk egy tunnel alá, ha az csak 100 Mbit/s-hoz volt elég, akkor így jártál, hiába volt még további 6 vagy 8 magod, amivel el lehetett volna érni 600 vagy 900 Mbit/s-t is. Itt ha jól informálódtam, akkor egy magot nézve az ax3 erősebb, ha a CCR esetén a WG tudja használni mind a 9 magot, akkor nyilván odaver az ax3-nak, csak kérdés tudja-e, szoktad nézni ilyenkor a magonkénti használatot?
-
Tamarel
senior tag
válasz
ekkold
#24205
üzenetére
Fast Path miatt 800+. Van 17 filter, 8 nat és 6 mangle szabály.
A wireguard szimmetrikus, nincs szerver.
Az alacsonyabb feltöltés oka a Telekom, mert a budapesti proton szervereket Ausztrián keresztül érem el (bix helyett). Ez az oka a késletetésnek is.
Régen Németországon fordult, 50ms késleltéssel. Még régebben a diginél voltak a szerverek meg én is, akkor 0ms volt.Nagyjából hiába nyitogatok hibajegyeket. Digi nem is válaszol, Telekomnál egyszer sem sikerült hozzáértővel beszélni, Protonnál sok adatot küldve 2-3. nekifutásra talán változik valami. Hónapok alatt.
A családban lévő másik ax3 eddig digin lógott (napi 5+ megszakadással és akár 1.5 óra kieséssel), most került át telekomra.
Magyarul végre van 1Gb/1Gb mind a két oldalon, tudok majd tesztelni. -
stopperos
senior tag
-
ekkold
Topikgazda
válasz
ekkold
#24194
üzenetére
Kicsit próbáltam utánaolvasni.
Az alapvető különbség a licencelésben van.
Ezen kívül a RouterOS6 X86-on 32 bites, a CHR viszont 64 bites.
A RouterOS7 viszont x86 esetében szintén 64 bites. Tehát itt ez a különbség sincs.
A driverekről találtam még, hogy a chr biztosan passzol a legtöbb virtuális környezethez, de x86 telepítő esetén se nagyon van gond ezzel.
Ezen kívül a chr verzió nem fut közvetlenül egy valódi hardveren.
Ezek után arra jutottam, hogy azt kell használni amelyik szimpatikusabb, kényelmesebb...
Hacsak nem tud valaki olyasmi érvet felhozni amit kihagytam, ill. amire nem gondoltam. -
gabro0
őstag
válasz
ekkold
#24186
üzenetére
Dedikált DNS szolgáltatás többet tud, pl. Adguard Home. Kliensenként látszik ki, mikor, mit csinált és kliensenként lehet blokkolási/engedélyezési listákat; TLD vagy host alapú DNS forwardingot beállítani. Egyetlen Go bináris, kell ennél több?
Egyedül a statikus DNS elég elmaradott, erre több lehetőséget kínál a Mikrotik.
-
válasz
ekkold
#24188
üzenetére
Valamikor, valahol ezt találtam.
Akkor hatásos volt, de szerintem még most is:/ip firewall address-list
add address=52.0.252.0/22 list=Aws-Viber-Media-List
add address=18.195.4.0/23 list=Aws-Viber-Media-List
add address=ads.viber.com list=Viber-Ads-List
add address=ads.aws.viber.com list=Viber-Ads-List
add address=ads-d.viber.com list=Viber-Ads-List
add address=api.mixpanel.com list=Viber-Ads-List
add address=s-imp.rmp.rakuten.com list=Viber-Ads-List
add address=s-bid.rmp.rakuten.com list=Viber-Ads-List
add address=api.taboola.com list=Viber-Ads-List
add address=ads.cdn.viber.com list=Viber-Ads-List
add address=locp-ir.viber.com list=Viber-Ads-List/ip dns static
add address=127.0.0.1 comment="Ads Viber" regexp="ads(\\-d|\\.aws)\?\\.viber\\.com" -
válasz
ekkold
#24179
üzenetére
Azok a megadott Mbit/s értékek legfeljebb labor körülmények között érhetők el
Ezt tudom, ezért néztem azt a sebességet, amit a gyakorlatban tud az én hEX-em (117.6-os sort) egyébként 125-130 körül van a plafon (Speedtest.net-el, tehát VPN+NAT).
Ez csak az általam megadott feladatokra kell, szóval ez is bőven elég, de mint mondtam, ez a fő router lenne a csillag középpontja, tehát innen lenne kihúzva az összes tunnel, ezért egy kicsit erősebbnek kéne lennie, hogy minden hEX tudja a saját maximumát ami kapcsolódik rá és közben ne menjen az itthoni net minőségi rovására.Gondoltam én is arra, hogy egy mikro szervert veszek helyette, amin csak a WG futna, de az is annyiba lenne mint egy 5009 és másra úgysem nagyon használnám a szervert és a routert is jobban szeretem nyomogatni mint a linuxot, szóval ezt elvetettem.
Ha találnék egy 4011 vagy 5009-et használtan jó áron, akkor valószínűleg lecsapnék rá. Sajnos most nem igazán találok semmit a kínálatban, csak WiFi-s 4011-et, de az meg nekem feleslegesen feláras.
-
#24148
lionhearted
őstag
ekkold
#24143
-
Bubukain
senior tag
válasz
ekkold
#23981
üzenetére
Egy eszközök csere után továbbra is az a problémám, hogy nem csatlakoznak a 2.4 Ghz-es klienseim. Néha valamelyik próbál csatlakozni de nem sikerül neki.
Egy SSID-t használok 2.4 és 5 Ghz-en is, de ez nem kéne hogy gondot okozzon. Ideiglenesen beraktam egy Cudy routert és azzal ment minden. A Mikrotik esetében az 5Ghz-es eszközeim működnek míg a 2.4Ghz nem működik. Szerintem már mindent végigpróbáltam de semmi. Először egy HaP AX2 val volt ugyanez, most pedig a Chateau Pro AX csinálja ezt, így a hardvergondot kizárom.
-
#24023
Alteran-IT
őstag
ekkold
#24018
Alteran-IT
őstag
válasz
ekkold
#24018
üzenetére
Gondolkodom rajta, hogy a nyilvános fórumukon egy elég erős kritikát megfogalmazok feléjük, mert hihetetlen amit csináltak. Cisco-ról tértem át a hatalmas barom megoldások ellenére (pl. vlanozás) Mikrotikre, mert ugye kisvállalkozásoknál megfizethető árú okos alternatíva, de egyre több probléma van, főleg az új ROS-al, meg ne haragudj, de ugyan azzal a beállítással egyszer működik, egyszer nem, ha lekérem a konfigot és összehasonlítom, teljesen ugyan az a kettő, akkor hol a hiba? Ilyen szerintem sehol máshol nincs.
Emlékszem is rá, hogy elkezdtünk erről beszélni, egyet is értettünk, ez a hardveren való garaskodás pont rossz időszakban alakult ki és pont az ac-s időszak alatt kaptak ezért egy akkora pofont saját maguktól és a vevőktől is, hogy azt máig emlegetik, most azért fontolták meg újra a dolgokat és azért kapott egy wAP ax is 128 MB flash-t, meg 256 MB memóriát, holott gyakorlatilag csak AP-nak lett tervezve, más hogy a dupla port miatt lehetne belőle akár router is, de ahhoz meg a processzort gyengének találom, viszont AX3000-as.
A cAP ax meg ugyan így két porttal AX1800-as WiFi teljesítményhez képest erősebb, 2 magos helyett 4 magos processzort kapott és 1 GB memóriát, aminek itt pl. nem sok értelme van, csak az árát emelte meg az erősebb processzor és az 1 GB memória is, helyette lehetett volna ezen spórolni, a wAP ax meg kaphatott volna egy 2,5 gigás PoE in portot, meg esetleg még egy egy gigás plusz portot.
Ugye arról is elkezdtünk beszélgetni, hogy milyen gyenge hardvereket építenek egyéb téren is, lassan olcsóbban össze raksz egy custom routert PC alkatrészekből és mégis nagyobb teljesítménye lesz, plusz ha a hardver elég erős, akkor a router mehet virtual-ba (csináltam már ilyet) és még lehet rajta nvr vagy bár más is, itt meg hiába a dokker meg dude és hasonlók, elég gyenge a hardver ehhez, plusz nem is erre lett tervezve, dude pl. vagy valami hálózati tárolóra, vagy külső adathordozóra menjen, mert olyan gyorsan megöli a flash-t, hogy csak nézhet az ember, szóval egy komédia amit már csinálnak.
Amúgy nekem anno a pfsense volt még nagyon szimpatikus, gondolkodtam is rajta, hogy cégekhez is aliról kellene rendelni ilyen 4-8 portos mini PC-ket egy alap Celeron/Pentium vagy i3 processzorral és 4, esetleg 8 GB memóriával és ha kap egy jó tápot, gyakorlatilag kb. örök életű lenne és sokáig ki tudná szolgálni az igényeket is, csak ha egy ilyet felépítek, azt menedzselni is kell, mert sokan még a TP-Link routerekhez is kevesek, hát még egy ilyen rendszerhez, viszont stabilabb lenne rajta egy VPN is, mint egy Mikrotik-en, csak ott van a legtöbb hátrány, hogy na, legtöbb cég szereti leírni az ilyen dolgokat, aliról nehéz, meg nem szórakoznak ilyennel, plusz ugye a WiFi-t akkor is meg kell oldani valahogy, az ac az egy tragédia volt a Mikrotiknél, szóval akkor én is úgy voltam, hogy inkább Unifi, az ax kezd alakulni, de még nem az igazi, főleg ez a két vezérlő dolog meg a többi, hát egy vicc, meg hogy ugyan azzal a beállítással hol megy, hol nem
Mondjuk anno a WiFi-ket elkezdtem használni OpenWRT-vel, nagyon jó volt a hardver kihasználás és a jelszint beállítási lehetőség is, főleg custom antennával, csak ugye mikor 10+ routert kellene mendzselni és mondjuk jelszót vagy valamit kell változtatni, ott már gond van, kicsit időigényes
-
#24016
Alteran-IT
őstag
ekkold
#24014
Alteran-IT
őstag
válasz
ekkold
#24014
üzenetére
Hát nem tudom, egy Cisco, illetve egy Juniper is tud ennyit, az a szerencse, hogy vagy tized ennyi hibával, mert különben már rég bezárhatták volna a boltot. Plusz PoE-nek még mindig nem látom értelmét WAN-on 2,5 Gbit/s-es porton, ahova ilyen eszközt vesznek, oda nem tanyasi 10 megás wifis AP-n jön a net, meg nem is mobilnetről, hogy táplálni kelljen a vételi eszközt.
-
laracroft
senior tag
válasz
ekkold
#23990
üzenetére
Ezek az eszközök riasztó berendezések átjelzői, amik egy IP/portra küldözgetnek életjelet/riasztást stb. A user oldali változtatás nem igazán lehetséges - akár hardver cserével sem - mert túl sok van belőle elszórtan. Az eszközökhöz nem lehet csatlakozni, mert mobilnetes elérésük van és az IP mindig változik.
Marad tehát a mostani irány, hogy az eszközök csatlakoznak hozzánk.
A 2 szervernek nem kell együtt működnie.
Minél inkább belemélyedek, annál bonyolultabnak tűnik nekem. Erről a port mirroring-ról már lemondtam, szerintem itt a közös adatbázis lesz a megoldás. Persze azt is szinkronizálni, ha baj van átállni stb elég bonyinak tűnik, ha automatán szertném.
Meg persze átváltani a forward-ot gep2-re ha gep1 nem megy (ezt gondolom mikrotik tudja).
Szóval tényleg csak ha ötletet szinten is érdekel véleményetek.
-
Tamarel
senior tag
válasz
ekkold
#23929
üzenetére
Ezekkel a szabályokkal csinálok ilyesmit, vpn-en kívül tartani meghatározott forgalmat.
Az első mangle a kimenő forgalom megjelölése, a második a bejövő irányból felépülő eset.
Minden szabály elől legyen./ip firewall filter
add action=accept chain=forward comment="no-vpn no fasttrack" connection-mark=no-vpn connection-state=established,related/ip firewall mangle
add action=mark-connection chain=prerouting dst-address-list=no-vpn in-interface-list=LAN new-connection-mark=no-vpn
add action=mark-connection chain=prerouting dst-port=5510 in-interface-list=WAN new-connection-mark=no-vpn protocol=tcp
add action=mark-routing chain=prerouting connection-mark=no-vpn new-routing-mark=no-vpn passthrough=no protocol=tcp/routing rule
add action=lookup-only-in-table comment=no-vpn disabled=no routing-mark=no-vpn table=main -
#23930
lionhearted
őstag
ekkold
#23929
válasz
ekkold
#23929
üzenetére
Kb 1 hete futottam bele ugyanebbe.
Ha jól értelmeztem az a mögöttes probléma, hogy a routing mark nem jól működik együtt fasttrackkel (gondolom neked is aktív ).
A feloldásra pedig azt találtam, hogy kell mindkettő szabály a mangle-be, de még nem volt időm tesztelni:/ip firewall mangleadd connection-state=new dst-address=10.10.0.0/16 chain=prerouting action=mark-connection new-connection-mark=vpn1 passthrough=yesadd chain=prerouting connection-mark=vpn1 in-interface-list=LAN action=mark-routing new-routing-mark=to_vpn1 passthrough=no/ip firewall filteradd action=fasttrack-connection chain=forward connection-state=established,related connection-mark=no-mark -
mrots
tag
válasz
ekkold
#23925
üzenetére
Minden halozatomban van ilyen, mert mindenhol igenye volt a csaladnak erre.
Szerintem a kerdesnek nem lenyeges resze, hogy a wireguard-e a kapcsolat, ez csak egy technikai reszlet. Altalanossagban a lepesek a kovetkezoek:
1 a helyi halozatban mindekninek ugyanaz a default gw, ami a helyi mikrotik
2 a helyi mikrotikban kell egy PBR a kivalasztott forras IP-re, a next hop a tavoli mikrotik
3 a tavoli mikrotiknak ismernie kell a helyi IP cimeket (tudja, hogy merre kell route-olnia)
4 a tavoli mikrotiknak PATolnia is kell, hiszen alapesetben valoszinuleg csak a sajat helyi halozatara PATolA legkonnyebb a 4. Normalis esetben a MASQ szabaly ugy nez ki, hogy forras IP cim legyen a helyi halozat tartomanya, outbound interfesz legyen az amin a kapcsolat az internet fele kilep, action masquerade. Duplikald meg a szabalyt, a forras IP cim az a /32 lesz, akit kivalasztottal a tuloldalon, minden mas ugyanaz.
A masodik legkonnyebb a 3. Egyszeruen egy /32 route-ot fel kell vegyel a tavoli mikrotikon (aki kilepteti a kapcsolatot) ami a helyi mikrotik fele mutat (ahol a kliens valojaban talalhato). Nyilvan a route a wireguard-ba fog mutatni.
Ha szoros tuzfal szabalyaid vannak, akkor elkepzelheto, hogy modositanod kell ezeken is, hogy a forgalom a ket mikrotik kozott kozlekedni tudjon.
A tobbit pedig kronologiailag. Tehat 1. valoszinuleg adott, DHCP oszt egy gw-t ami a helyi mikrotik LAN interfesze.
Marad a 2. En elsokent felvennek egy uj routing tablat. Routing / Tables, +, adj neki nevet, es legyen FIB is. Ezt a routing tablat fogja hasznalni az az egy vegpontod.
Koveetkezo lepesben ebbe az uj routing tablaba vegyel fel egy darab route bejegyzest: IP / Route, +. a cel a 0.0.0.0/0, a gateway a tavoli mikrotik wireguard cime, a routing table mezonel pedig valaszd ki az uj routing tablat amit letrehoztal.
Ez utan a route tabladban ket default gateway bejegyzes lesz. Az egyik amit eddig is hasznaltal, a main tablaban, a masik amit most vittel fel az uj tablaba, ezt meg nem hasznalja senki.
Az utolso lepes, egy routing szabaly felvetele: Routing / Rules, +. A forras cim legyen az az egy host akinek masfele kell mennie, az action legyen 'lookup only in table', a table pedig legyen az uj tabla amit most hoztal letre.
Ennyi. Ugyelned kell, hogy ha a tuzfal szabalyok tul szigoruak, akkor mindket oldalon at kell engedned a legitim forgalmat ami eddig nem volt, valamint a forras oldalon, ahol a kivetelezett egy darab vegpont van, ha tul laza a PAT szabaly, akkor ellenorizd, hogy erre az egy hostra ne vonatkozzon cimforditas. Mivel a PAT szabaly resze a kimeno interfesz is, ennek a hostnak pedig mar nem ez lesz a kimeno interfesze (hanem a wireguard) elvileg az eddigi PAT szabaly nem fog ra mar vonatkozni, de ellenorizd.
-
-
janos666
nagyúr
válasz
ekkold
#23867
üzenetére
Semmi más nem kell hozzá, csak egy monitor módba rakható WiFi interfész.
A HP notim beépített Realtek WiFi-je is tud monitor módot, játszottam már vele.
De van egy régi USB-s WiFi adapterem is, ami szintén tudja. Ha ezt megspékelném egy padlásról az SXT-s karóra kivezetett antennával, akkor "kinyírhatnám" a fél kis falu WiFi-jét.De a forced deauth az alapvetően elég standard, csak "csúnya" dolog. Konkrétan radarjelet (pontosabban azt, amit a radar szór ki szándékosan a DFS detektáláshoz, mielőtt nekilát radarként működni) nem tudom, hogy ki lehet-e kényszeríteni egy standard WiFi chip-ből. Ahhoz tippre valami spécibb cucc kell, vagy legalább komolyabb hozzáértés, mint egy laptopon elindítani egy Kali Linux-ot és kettőt kattintani.
-
yodee_
őstag
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- X1 Yoga 9th 2-in-1 14" FHD+ IPS érintő Ultra 7 165U 32GB 512GB NVMe ujjlolv IR kam gar
- Thinkpad T14s Gen4 14" FHD+ IPS i5-1345U 16GB 512GB NVMe ujjlolv gar
- Üzletből, garanciával, HP ZBook Fury 16 G11 Munkaállomás i7-14700HX/32RAM/1TB SSD/RTX200 Ada 3év gar
- Iphone 13 128gb 88% akksi
- Bomba Ár! Lenovo IdeaPad Flex 5 Ryzen 3 5300U I 4GB I 128SSD I 14" FHD Touch I W11 I Cam I Garancia!
- Seagate Exos X18 16TB SAS merevlemez
- 18 éve! Billentyűzet magyarítás magyarosítás. Festés vagy lézerezés és egyebek! 3 lehetőség is van.
- LG 32GS94UX - 32" OLED / UHD 4K / 240Hz - 480Hz & 0.03ms / 1300 Nits / NVIDIA G-Sync / AMD FreeSync
- HIBÁTLAN iPhone 14 128GB Purple -1 ÉV GARANCIA - Kártyafüggetlen, MS3236
- ÁRGARANCIA!Épített KomPhone Ryzen 7 7800X3D 32/64GB RAM RTX 5070 12GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest