- Honor Magic6 Pro - kör közepén számok
- Milyen GPS-t vegyek?
- Egy szenzor, két zoomkamera: újraírta a Huawei a mobilfotózás történetét
- Samsung Galaxy Watch7 - kötelező kör
- Megérkezett a Google Pixel 7 és 7 Pro
- iPhone topik
- Xiaomi 13 - felnőni nehéz
- Szívós, szép és kitartó az új OnePlus óra
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Samsung Galaxy S23 Ultra - non plus ultra
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
yodee_
őstag
válasz
ekkold #24382 üzenetére
Tápegység friss, azzal kezdtem. A Router pppoe kapcsolatot épít fel és szórja ki kB 15-20 eszköz számára. Van rá kötve egy SXT ami az út másik felén lévő épületbe küldi a netet. Ott SXT fogadja és osztja tovább. Nincs extra IP cím lista, a pppoe viszont fix IP, és van vpn elérés (sajnos PPTP). Távoli elérés VPN-ről van csak. Így első nekifutásra ennyit tudok írni.
-
4D4M
senior tag
válasz
ekkold #24289 üzenetére
Összeállt a VPN kapcsolat?
~
Igen.Nem (nem csak) a helyi IP címén kell tudni elérni a Mikrotik eszközt, hanem azon az IP címén is ami a VPN kapcsolathoz tartozik mikrotik oldalon.
~
A DHCP tartomanybol elkülönítettem egy ip poolt, amit beallittam a VPN klienseknek kioszthatoan.A kriksz-kraksz címet használom az L2TP kapcsolodashoz. Tehát az elvileg működik, de ha már bent vagyok, akkor gyanítom, hogy mennie kellene a belső local IP-n való elérésnek is.
-
4D4M
senior tag
válasz
ekkold #24285 üzenetére
Köszönöm, hogy megtiszteltél.
Valószínűleg valamennyi feltételezésed megállja a helyét. Nem akarok egyelőre mélyebben mikrotikkel foglalkozni, csak van egy külterületi helyszín, ahol praktikus lett volna, ha be tudom állítani az SXT-t routerként is és utána nem akarok vele semmit bűvészkedni. A távoli biztonságos belépést leszamitva sikerült is minden, amit egyelőre celul tűztem ki.
Tudom, hogy tele a tökötök a hülyekkel, akik azt se tudják mit kérdeznek, csak általában annyira vágjátok, hogy ezeket az alap dolgokat fel szavakból is meg tudjátok ugorni.
Most pl annyi a történet, hogy L2TP / IPSec kapcsolattal belepni sikerült a Windows 10-zel és Androiddal is, de az SXT-t nem érem el az IP-jén. Valami alapvető apróság lehet, csak igen.. érteni kéne a lelkivilagat.
-
user12
őstag
válasz
ekkold #24276 üzenetére
Köszi a részletes leírást. Ezzel a részével eddig nem foglalkoztam. A PPPoE csatlakozás annyi, hogy megadtam a felhasználónevet, jelszót és kész. Volt, amikor az mtu-n állitgattam kísérleti jelleggel, de visszatertem a default beállításokra, mert úgy láttam, hogy ezekkel megy a legjobban.
A vpn kapcsolatok viszont nem haszálják a PPPoE profilt, mivel én úgy csinálom, hogy minden vpn felhasználókhoz külön profilt készítettem és rendeltem hozzá -
kammler
senior tag
válasz
ekkold #24249 üzenetére
Akárhogy is gondolkodom, nem tudom, hogy csináltam meg. Pontosan így szopórollerztem, ezeknek el van tolva a netinstalljuk, az tuti. Fórumjukon van friss krvanyázás miatta, mire ez a normis nevű atyaúristen a mikrotiktől csak kaffogott. Nem tudom, hogy oldottam meg, viszont nekem, miután futott pc-n, az I219-LM intel hálókártyával az csinálta, hogy eltűnt a hálózat, megjelent, eltűnt, megjelent. A realtek gaming 2.5G, na az hasított. Elment aztán kedvem tőle.
-
-
Alteran-IT
őstag
válasz
ekkold #24225 üzenetére
Hát ha átlag, egyszerű emberi szemmel nézed a dolgot, akkor valóban úgy van, hogy általában jobb nem tudni pár dologról, szokták mondani, boldogok a tudatlanok, sajnos nem tartozom ebbe a kategóriába, pedig sokszor jobb lenne
Még egyébként ha egy elektromos hálózatról mondod ugyan ezt, akkor megértem, az egy egyszerű közvetítő közeg, melynek egyetlen feladata az elektromos áram (irányított ciklusú mágneses erőtér által "zárt" hálózatban keringetett elektronok) továbbítása és a számos háztartási elektronikai cikk kiszolgálása, azt ha egyszer jól kiépíted és jövőre nézve jól méretezed, akkor ha pl. ugyan az a házad van, előfordulhat hogy életed végéig nem kell hozzányúlni, még akár egy biztosítékot sem kell visszakapcsolni, ha nincs túlterhelve egy áramkör, vagy nem megy tönkre zárlattal, illetve magasabb áramfelvétellel egy meghibásodó elektronikai cikk/háztartási eszköz.
Ugye általában jellemző az újabb technológiával készített eszközök esetén a kevesebb fogyasztásra való törekvés, így előfordulhat hogy később egy jól felül méretezett hálózat még kevésbé lesz leterhelve és még kevesebb probléma lesz vele, ha csak nem később raksz rá még klímát meg ilyesmi, kivéve ha ugye esetleg külön áramkör lenne neki.
Na de ettől a rövid kitérőtől eltekintve, egy router az nem ilyen faék egyszerűség, bármennyire és mondjuk faék egyszerűségű emberek üzemeltetik őket a legtöbb esetben, de akár mondjuk egy kábelmodemre, vagy egy ONT-ra sem jellemző ez, ahogy az sem, hogy a fejlettebb technológiával készített modem/ONT kevesebbet fogyasztana, mert magasabb technológiával ugyan arra a színvonalra nem nagyon gyártanak, értsd pl. hogy ma már nem fognak 8/4-es csatornakötegelésű kábelmodemet gyártani, mert baromság lenne, ahogy a hagyományos GPON ONT gyártása is és így tovább, gyorsabb elérést biztosítani hivatott modemeket fognak gyártani, amik több csatornát fognak össze, vagy éppen erősebb lézer modullal és processzorral rendelkeznek a nagyobb sebesség kiszolgálása érdekében és így a fogyasztás is magasabb lesz, illetve az egész több szempontból is bonyolultabb, de mindegy.
Egyébként még úgy egyet is értenék veled, csak ugye az igényesség illetve a hozzá szokás, értsd most ezalatt azt, hogy ugye én már hozzászoktam az USB 3.0 porthoz, az LCD kijelzőhöz, illetve ahogy Zwodkassy mondja, még a csipogóhoz is, csak ugye elég ritkán indítom újra a routert, így meg is feledkezek róla. Az igényesebb ember, meg úgy általában az emberek többsége is a technológiai színvonal fejlődésével és a kor előrehaladtával nem kevesebbet, illetve hiányosabb eszközöket várnak el, hanem többet, komplexebb, többet nyújtó eszközöket, tudom most szóismétlés van, de az adott mondatrészben én más-más jelentést tulajdonítok nekik.
Én ugye hozzászoktam ezekhez, az LCD-t és az USB-t folyamatosan használom és ezáltal a hiányukat megérezném, nehezen szoknék újra hozzá a "fapad" színvonalhoz. Olyan mint ha kocsi esetén is egy Ferrari-ból egy Trabantba ülnél vissza, amiben még szervó sincs, ne mond hogy még örülnél is neki, persze egy kis retro néha nem árt, de nem folyamatosbaRengeteg ipari eszközön van saját, illetve hasonló kijelző azonos célokkal, routerek esetén már ez nagyon rég nem mai téma, még anno a TP-Linknek is volt hasonló próbálkozása, Huawei, vagy nem tudom én milyen LTE modemek is kaptak LCD kijelzőt, de egyéb ipari routerek is:
Az ilyen pFSense és hasonló linux alapú tűzfalak alá szánt ipari hardverekbe rendszeresen építettek LCD kijelzőket, melyen olyan adatok szerepeltek, amit éppen kiírattak a linux-al, akár grafikont is ki lehetett rakni, de interface adatokat, egyéb statisztikákat is, illetve az ilyen célra szánt alaplapok érzékelőinek az adatait is, mint hőmérséklet, feszültség és így tovább, szóval nem újkeletű dolog, nem a Mikrotik lépte meg először és reméljük nem is utoljára, szervertermek is kaptak Amerikában és hasonló helyeken ilyen eszközöket, mert volt rá igény szakmai szemmel is nézve, az hogy pl. itt Magyarországon ilyen téren igénytelenség van, igazából nem lep meg, most nem politizálok, de politikai téren is eléggé igénytelen a nép, szóval na, de azért mert az emberek nagy része igénytelen, nem kell általánosítani, nem mindig a többségnek van igaza attól hogy többségben vannak, na de mindegy.Ami az RB5009-t illeti, látod, pont a saját nem látod példáddal jöttél, illetve oldottad meg otthon, na de ha egy üvegajtós rack szekrénybe berakom egy 1U helyre azokkal a nyújtott rack fülekkel, akkor hogy néz ki? Ez az átmeneti, illetve fél rack kialakítás nekem nem jön be.
Ellenben viszont ami a technokrata hozzáállást illeti, nekem sincs gondom a tégla dizájnnal, csak azt próbáltam szemléltetni a dologgal, hogy az IT szakmában abszolút nem jó a röghöz kötöttség, sőt én erősen szelektálnám is emiatt a szakmát, mert nem véletlen van már az IT esetén minden téren elég sok probléma, sok a röghöz kötött, változást nehezen viselő, nem a szakmába illő kb. önkéntes "szakember" meg egyéb bohóc. Legtöbb szolgáltatónál pont emiatt nincs még IPv6, mert már sok "szakember" képességét meghaladja, az állami szektorban ezért nincs egy normálisan működő rendszer, mint a KAÜ, JSZP, EESZT amik akár egy napig is tudnának normálisan működni, de akár a választási rendszert is mondhatnám ami pár órát sem bír ki és így tovább. Én nem vagyok röghöz kötött, ellenben pl. az RB3011 a maga felszereltségével és mégis egyszerű tégla 1U kialakításával úgy tetszik, ahogy van, az abban az időben éppen egy remek technikai színvonalat adott, ezt még akár el tudnám képzelni egy modernebb áramköri kialakítás mellett pl. egy átlátszó plexi, vagy üveg házban/keretben is, de szerintem az a legtöbb "mérnök" szellemi kapacitását meghaladná, lehet igényes vagyok, de tudom hogy sajnos sokaknak sok minden lehetetlen, így megpróbálom mindig lejjebb szorítani az igényességemet, így kevesebb csalódás ér, sajnos ez van, ha a minimalista környezetben maximalista vagy, de ettől még nem fogom teljesen leredukálni az igényeimet, csak mert a környezetem nem érti meg, maradok különc, illetve egyéniség. Persze most ezzel véletlenül sem akartam megsérteni senkit, csak na, igazából nehezen tudom úgy megmagyarázni, hogy nem vagyok eléggé őszinte.#24226 mrots: Most ebben a hozzászólásban részben megválaszoltam ezt is, így nagyon nem térnék ki rá újra, viszont engem sosem zavart sehol sem, ha mondjuk egy hálózati eszköz látható helyen van akár egy szobában, akár egy irodában, csak az igényesen legyen elhelyezve és a kábelezés is igényesen legyen hozzá kialakítva.
Egyébként most már el tudod képzelni, kinek kell LCD kijelző
Amúgy az kicsit szomorú, ha fizikailag nem vagy tisztában az adott eszközzel, illetve a környezetével sem, most nem akarok véletlenül sem sértő lenni, de számtalanszor találkoztam már hasonló szituációval és ebből hosszú távon kialakuló, már-már nagyobb volumenű problémákkal, de ebbe most nem akarok belemenni.
Kb. az a szituáció ha a tárgynál maradunk, hogy mindegy milyen router, csak legyen internet, a hálózat a szokásos 192.168.0.0/24 legyen, mert az eddig mindig működött, mindegy hogy mondjuk gigabites netre 100-as router van rakva, vagy hogy olyan környezetbe van egy eleve jobban melegedő típus rakva, ahol eleve a szokásnál magasabb a hőmérséklet és a túlhevülés miatt sok a szakadozás, packet loss, meg a router felülete is alig jön be, szóval na ... és ez még csak nagyon kevés és egyszerű példa a sok közül szemléltetésképpen, igazából már ezek alapján nagyon sok továbbit el lehet képzelni, amiért én mondjuk nem preferálom ezeket a vakon cselekvő megoldásokat, értem én hogy távolról CLI-n keresztül be lehet állítani dolgokat, csak ez általában a nagyon alap, fapados üzemeltetésen kívül nem nyújt szakszerű üzemeltetést bizonyos esetekben, persze más ha úgymond az "előválasztó" aki kihelyezi az eszközt tisztában van vele és legalább olyan eszközt választ ami megfelelő és akkor mindegy hogy a távparaméterező abszolút nincs tisztában a környezettel, csak egy működő konfigot kell biztosítani, de az a tapasztalatom, hogy ez általában nem így van, persze én sem vagyok tisztában az egész ország összes vállalkozásával, szerver termével és így tovább, bár nem is probléma, szerintem sok fejfájást elkerülök így -
Alteran-IT
őstag
válasz
ekkold #24211 üzenetére
Nézőpont kérdése, ha kicsit igényesebb vagy kinézeti szempontból, illetve amolyan komolyabb megjelenést akarsz biztosítani a nem látható funkciók mellé mondjuk egy cégnél, akkor ez tökéletes és szerintem nagy tételben rendelésnél minimális felárral kell számolni a gyártónál, de cserébe milyen jól mutat már ha kirakod rá a sávszélesség diagrammot, nekem sem kell érte belépnem a routerbe, hogy megnézzem ha baj van a nettel, hogy most vagy szar, vagy fullon ki van terhelve valamelyik gép által és azért szar másoknak, csak ránézek a kijelzőre és látom, praktikus és modern megjelenést is ad mellette a routernek.
Arról nem is beszélve, hogy pont a kijelző miatt rendesen megmaradna az 1U magasság is és szellősebb lenne, esetleg a hűtést is komolyabban meg lehetne oldani, vagy még egy tartalék áramköri védelem is beleférne, így viszont ... tehát olyan semmis a kinézete már ... Nekem pont az RB3011 hozta meg a kedvemet a Mikrotik-hez, 10 gigabites port, SFP port, igényes 1U rack kivitel, LCD érintőkijelző és ahhoz képest viszonylag kis mélység, utána már eltűntek az USB 3.0 portok, sok esetben az SFP is CCR terén, az LCD általában megmaradt, még ha a tetejére is került (ezt pl. sosem értettem), a nagyon drága típusoknál persze volt SFP+, meg LCD, de USB nem volt, mert akkor éppen azon a téren szaladtak bele a pofonba driverezés szintjén és inkább nem erőltették, most meg ugye WiFi téren szaladnak bele állandóan a pofonokba, valamilyen pofon mindig kell nekik.
Most nagy nehezen visszahozták az USB 3.0-t, de LCD abszolút nincs, a portokat értelmetlenül variálják és tervezik, mert szerintem is lehetett volna legalább 2-3 porttal több 2,5-es port, ráadásul ha az esztétikát nézem, még mérnöki szemmel is elég igénytelenül néz ki pl. az RB5009, de már igazából a 4011 sem tetszett, de már akkor tudtam, hogy ezt az idióta irányt fogják követni.Egyébként a példa nem a legjobb, még a 4K pont átférne 100 megán, ott már késleltetési probléma is van, de értem mit akartál mondani, az még egyébként a jobbik eset, ha van valamilyen hálózati csatlakozó a TV-n, mert van amikor kurva drága TV és nincs rajta, na azt akkor old meg, hogy legyen rajta net, de úgy hogy pl. az ügyfél nem szeretné, ha a szobában nagyon WiFi jel lenne egészségügyi aggodalmak miatt, de a TV menjen akadásmentesen, ami nem is pár tízezer forint volt, szóval ilyenkor a falra tudok mászni, de ugyan úgy találni újabb alsóbb kategóriás laptopok között is olyat, amin ha van egyáltalán hálózati csatlakozó, akkor is 100 megás van, de régebben volt felsőbb kategóriás i5 és i7 laptopon is 100 megás LAN, olyankor kaptam agyfaszt, már azt a processzor teljesítményt hálózaton nem tudták kihasználni, általában még jó VGA sem társult hozzá, szóval akkor mi értelme is volt az i5 meg i7 processzornak?
Azt akkor itt van a Mikrotik és a WiFi probléma is, abszolút nem akar menni náluk ez sem, ahogy más sem
Az a baj, hogy az IT szektorra is mint ahogy a politikai szektorra is ráférne már egy nagyon nagy takarítás és a bohócokat ki kellene már pucolni mindenhonnan, talán végre elindulna minden a haladás útján. -
Alteran-IT
őstag
válasz
ekkold #24209 üzenetére
Én direkt SFP+-os verziókat néztem eddig, egy problémám van csak vele, hogy igazából egy SFP+-os verzióval sem megyek már semmire, kb. a hAP ax3 kategória, van egy 2,5 Gbit/s-os bemenet, na és ha mondjuk egy Windows 10-es géppel szeretném vele kihasználni a 2000 Mbit/s Telekomos netet, akkor mit csinálok, malmozok, vagy esetleg visszatákolom valahogy az LA-t?
Bár örülnék egy olyannak az LCD miatt is, de egy giga feletti port pont a hasonló dolgok miatt kevés ha már ilyen beruházásba gondolkodik az ember, ugye a hAP ax3 is ~60 ezer forint, az RB5009UPr+S+IN pedig már ~80 körül kapható és akkor van rajta egy SFP+ port és egy 2,5 Gigás Ethernet port, ugyan jobban örülnék még legalább egy ilyen portnak, de kezdetnek ez is jó lenne, plusz az a problémám, hogy nemrég megint olyan 90-110 ezer forintos áron láttam használt CCR1009-es SFP+-os routert, csak éppen a régebbi 1 tápos verziót, annyiért nem éri meg, hisz már erősebb, kevesebb fogyasztású és kisebb RB5009UPr+S+IN-t veszek helyette, ráadásul olcsóbban két gigabit feletti porttal és akkor arra még garancia is van, azt nincs az, hogy megveszem 90-110-ért, azt lehet egy hónap múlva annyi azt akkor buktam egy 100-ast, néha nem értem egyesek árazását, meg azt sem, hogy a Mikrotik miért hagyta el az újabb RB és CCR routerek esetén az LCD-t, mert ugye ha azt is belevenném a kritériumok közé, akkor a CCR1036-8G-2S+ lenne a minimum ami megfelelne, illetve a CCR1072-1G-8S+, csak ugye otthonra már csak a fogyasztásuk miatt is értelmetlen lenne, szóval na. Megint azért vagyok letargiában, mert a Mikrotiknél megint hülye irányt vettek -
Alteran-IT
őstag
válasz
ekkold #24205 üzenetére
Láttam, de nekem így is releváns, ugyanis ilyen megoldásra lenne szükségem ha az One bekebelezi a jelenlegi szolgáltatóm, meg egy olyan routerre, ami mondjuk ha úgyvan, akkor egy 500-as, vagy akár egy 1000-es netnél is ki tudja tolni WG-n a sávszélt egy hasonló VPN szolgáltató esetén.
Mondjuk arra is kíváncsi lennék, a mostani RB3011-em mennyit tud kitolni, ha elég lenne egy 500-as nethez, nem gondolkoznék hardver cserén, csak VPN szolgáltatón maximum, mert nyilván cél lenne a minél kisebb válaszidő.#24203 Gyula888: Nem rossz az a router, én is akartam egy olyat, csak elfogadható áron nem találtam eddig használtan, vagy mikor éppen találtam, akkor már el is kelt, viszont azt már megfigyeltem Mikrotik esetén, hogy nagyon nem mindegy az adott szoftver komponens amiről szó van és az erőforrás eloszlás sem, mert valami esetén tudja mindegyik magot egyszerre használni, vagy akár ha az egyik túlterhelődik, akkor bevonni még további magokat, de valaminél abszolút nem akar egy magnál többet használni, itt felfele nincsenek olyan nagy sebességű internetek, így nem nagyon volt alkalmam mostanában tesztelni, de régen a PPP, L2TP VPN-ek esetén egy tunnel csak egy magot tudott használni, tehát hiába volt neked 7, 9, 16 stb... magos routered, nem tudtad az összes magot befogni mondjuk egy tunnel alá, ha az csak 100 Mbit/s-hoz volt elég, akkor így jártál, hiába volt még további 6 vagy 8 magod, amivel el lehetett volna érni 600 vagy 900 Mbit/s-t is. Itt ha jól informálódtam, akkor egy magot nézve az ax3 erősebb, ha a CCR esetén a WG tudja használni mind a 9 magot, akkor nyilván odaver az ax3-nak, csak kérdés tudja-e, szoktad nézni ilyenkor a magonkénti használatot?
-
Tamarel
senior tag
válasz
ekkold #24205 üzenetére
Fast Path miatt 800+. Van 17 filter, 8 nat és 6 mangle szabály.
A wireguard szimmetrikus, nincs szerver.
Az alacsonyabb feltöltés oka a Telekom, mert a budapesti proton szervereket Ausztrián keresztül érem el (bix helyett). Ez az oka a késletetésnek is.
Régen Németországon fordult, 50ms késleltéssel. Még régebben a diginél voltak a szerverek meg én is, akkor 0ms volt.Nagyjából hiába nyitogatok hibajegyeket. Digi nem is válaszol, Telekomnál egyszer sem sikerült hozzáértővel beszélni, Protonnál sok adatot küldve 2-3. nekifutásra talán változik valami. Hónapok alatt.
A családban lévő másik ax3 eddig digin lógott (napi 5+ megszakadással és akár 1.5 óra kieséssel), most került át telekomra.
Magyarul végre van 1Gb/1Gb mind a két oldalon, tudok majd tesztelni. -
stopperos
senior tag
-
ekkold
Topikgazda
válasz
ekkold #24194 üzenetére
Kicsit próbáltam utánaolvasni.
Az alapvető különbség a licencelésben van.
Ezen kívül a RouterOS6 X86-on 32 bites, a CHR viszont 64 bites.
A RouterOS7 viszont x86 esetében szintén 64 bites. Tehát itt ez a különbség sincs.
A driverekről találtam még, hogy a chr biztosan passzol a legtöbb virtuális környezethez, de x86 telepítő esetén se nagyon van gond ezzel.
Ezen kívül a chr verzió nem fut közvetlenül egy valódi hardveren.
Ezek után arra jutottam, hogy azt kell használni amelyik szimpatikusabb, kényelmesebb...
Hacsak nem tud valaki olyasmi érvet felhozni amit kihagytam, ill. amire nem gondoltam. -
gabro0
őstag
válasz
ekkold #24186 üzenetére
Dedikált DNS szolgáltatás többet tud, pl. Adguard Home. Kliensenként látszik ki, mikor, mit csinált és kliensenként lehet blokkolási/engedélyezési listákat; TLD vagy host alapú DNS forwardingot beállítani. Egyetlen Go bináris, kell ennél több?
Egyedül a statikus DNS elég elmaradott, erre több lehetőséget kínál a Mikrotik.
-
válasz
ekkold #24188 üzenetére
Valamikor, valahol ezt találtam.
Akkor hatásos volt, de szerintem még most is:/ip firewall address-list
add address=52.0.252.0/22 list=Aws-Viber-Media-List
add address=18.195.4.0/23 list=Aws-Viber-Media-List
add address=ads.viber.com list=Viber-Ads-List
add address=ads.aws.viber.com list=Viber-Ads-List
add address=ads-d.viber.com list=Viber-Ads-List
add address=api.mixpanel.com list=Viber-Ads-List
add address=s-imp.rmp.rakuten.com list=Viber-Ads-List
add address=s-bid.rmp.rakuten.com list=Viber-Ads-List
add address=api.taboola.com list=Viber-Ads-List
add address=ads.cdn.viber.com list=Viber-Ads-List
add address=locp-ir.viber.com list=Viber-Ads-List/ip dns static
add address=127.0.0.1 comment="Ads Viber" regexp="ads(\\-d|\\.aws)\?\\.viber\\.com" -
zelikocc
senior tag
válasz
ekkold #24179 üzenetére
Azok a megadott Mbit/s értékek legfeljebb labor körülmények között érhetők el
Ezt tudom, ezért néztem azt a sebességet, amit a gyakorlatban tud az én hEX-em (117.6-os sort) egyébként 125-130 körül van a plafon (Speedtest.net-el, tehát VPN+NAT).
Ez csak az általam megadott feladatokra kell, szóval ez is bőven elég, de mint mondtam, ez a fő router lenne a csillag középpontja, tehát innen lenne kihúzva az összes tunnel, ezért egy kicsit erősebbnek kéne lennie, hogy minden hEX tudja a saját maximumát ami kapcsolódik rá és közben ne menjen az itthoni net minőségi rovására.Gondoltam én is arra, hogy egy mikro szervert veszek helyette, amin csak a WG futna, de az is annyiba lenne mint egy 5009 és másra úgysem nagyon használnám a szervert és a routert is jobban szeretem nyomogatni mint a linuxot, szóval ezt elvetettem.
Ha találnék egy 4011 vagy 5009-et használtan jó áron, akkor valószínűleg lecsapnék rá. Sajnos most nem igazán találok semmit a kínálatban, csak WiFi-s 4011-et, de az meg nekem feleslegesen feláras.
-
-
Bubukain
senior tag
válasz
ekkold #23981 üzenetére
Egy eszközök csere után továbbra is az a problémám, hogy nem csatlakoznak a 2.4 Ghz-es klienseim. Néha valamelyik próbál csatlakozni de nem sikerül neki.
Egy SSID-t használok 2.4 és 5 Ghz-en is, de ez nem kéne hogy gondot okozzon. Ideiglenesen beraktam egy Cudy routert és azzal ment minden. A Mikrotik esetében az 5Ghz-es eszközeim működnek míg a 2.4Ghz nem működik. Szerintem már mindent végigpróbáltam de semmi. Először egy HaP AX2 val volt ugyanez, most pedig a Chateau Pro AX csinálja ezt, így a hardvergondot kizárom.
-
Alteran-IT
őstag
válasz
ekkold #24018 üzenetére
Gondolkodom rajta, hogy a nyilvános fórumukon egy elég erős kritikát megfogalmazok feléjük, mert hihetetlen amit csináltak. Cisco-ról tértem át a hatalmas barom megoldások ellenére (pl. vlanozás) Mikrotikre, mert ugye kisvállalkozásoknál megfizethető árú okos alternatíva, de egyre több probléma van, főleg az új ROS-al, meg ne haragudj, de ugyan azzal a beállítással egyszer működik, egyszer nem, ha lekérem a konfigot és összehasonlítom, teljesen ugyan az a kettő, akkor hol a hiba? Ilyen szerintem sehol máshol nincs.
Emlékszem is rá, hogy elkezdtünk erről beszélni, egyet is értettünk, ez a hardveren való garaskodás pont rossz időszakban alakult ki és pont az ac-s időszak alatt kaptak ezért egy akkora pofont saját maguktól és a vevőktől is, hogy azt máig emlegetik, most azért fontolták meg újra a dolgokat és azért kapott egy wAP ax is 128 MB flash-t, meg 256 MB memóriát, holott gyakorlatilag csak AP-nak lett tervezve, más hogy a dupla port miatt lehetne belőle akár router is, de ahhoz meg a processzort gyengének találom, viszont AX3000-as.
A cAP ax meg ugyan így két porttal AX1800-as WiFi teljesítményhez képest erősebb, 2 magos helyett 4 magos processzort kapott és 1 GB memóriát, aminek itt pl. nem sok értelme van, csak az árát emelte meg az erősebb processzor és az 1 GB memória is, helyette lehetett volna ezen spórolni, a wAP ax meg kaphatott volna egy 2,5 gigás PoE in portot, meg esetleg még egy egy gigás plusz portot.
Ugye arról is elkezdtünk beszélgetni, hogy milyen gyenge hardvereket építenek egyéb téren is, lassan olcsóbban össze raksz egy custom routert PC alkatrészekből és mégis nagyobb teljesítménye lesz, plusz ha a hardver elég erős, akkor a router mehet virtual-ba (csináltam már ilyet) és még lehet rajta nvr vagy bár más is, itt meg hiába a dokker meg dude és hasonlók, elég gyenge a hardver ehhez, plusz nem is erre lett tervezve, dude pl. vagy valami hálózati tárolóra, vagy külső adathordozóra menjen, mert olyan gyorsan megöli a flash-t, hogy csak nézhet az ember, szóval egy komédia amit már csinálnak.
Amúgy nekem anno a pfsense volt még nagyon szimpatikus, gondolkodtam is rajta, hogy cégekhez is aliról kellene rendelni ilyen 4-8 portos mini PC-ket egy alap Celeron/Pentium vagy i3 processzorral és 4, esetleg 8 GB memóriával és ha kap egy jó tápot, gyakorlatilag kb. örök életű lenne és sokáig ki tudná szolgálni az igényeket is, csak ha egy ilyet felépítek, azt menedzselni is kell, mert sokan még a TP-Link routerekhez is kevesek, hát még egy ilyen rendszerhez, viszont stabilabb lenne rajta egy VPN is, mint egy Mikrotik-en, csak ott van a legtöbb hátrány, hogy na, legtöbb cég szereti leírni az ilyen dolgokat, aliról nehéz, meg nem szórakoznak ilyennel, plusz ugye a WiFi-t akkor is meg kell oldani valahogy, az ac az egy tragédia volt a Mikrotiknél, szóval akkor én is úgy voltam, hogy inkább Unifi, az ax kezd alakulni, de még nem az igazi, főleg ez a két vezérlő dolog meg a többi, hát egy vicc, meg hogy ugyan azzal a beállítással hol megy, hol nemMondjuk anno a WiFi-ket elkezdtem használni OpenWRT-vel, nagyon jó volt a hardver kihasználás és a jelszint beállítási lehetőség is, főleg custom antennával, csak ugye mikor 10+ routert kellene mendzselni és mondjuk jelszót vagy valamit kell változtatni, ott már gond van, kicsit időigényes
-
Alteran-IT
őstag
válasz
ekkold #24014 üzenetére
Hát nem tudom, egy Cisco, illetve egy Juniper is tud ennyit, az a szerencse, hogy vagy tized ennyi hibával, mert különben már rég bezárhatták volna a boltot. Plusz PoE-nek még mindig nem látom értelmét WAN-on 2,5 Gbit/s-es porton, ahova ilyen eszközt vesznek, oda nem tanyasi 10 megás wifis AP-n jön a net, meg nem is mobilnetről, hogy táplálni kelljen a vételi eszközt.
-
laracroft
senior tag
válasz
ekkold #23990 üzenetére
Ezek az eszközök riasztó berendezések átjelzői, amik egy IP/portra küldözgetnek életjelet/riasztást stb. A user oldali változtatás nem igazán lehetséges - akár hardver cserével sem - mert túl sok van belőle elszórtan. Az eszközökhöz nem lehet csatlakozni, mert mobilnetes elérésük van és az IP mindig változik.
Marad tehát a mostani irány, hogy az eszközök csatlakoznak hozzánk.
A 2 szervernek nem kell együtt működnie.
Minél inkább belemélyedek, annál bonyolultabnak tűnik nekem. Erről a port mirroring-ról már lemondtam, szerintem itt a közös adatbázis lesz a megoldás. Persze azt is szinkronizálni, ha baj van átállni stb elég bonyinak tűnik, ha automatán szertném.
Meg persze átváltani a forward-ot gep2-re ha gep1 nem megy (ezt gondolom mikrotik tudja).
Szóval tényleg csak ha ötletet szinten is érdekel véleményetek. -
Tamarel
senior tag
válasz
ekkold #23929 üzenetére
Ezekkel a szabályokkal csinálok ilyesmit, vpn-en kívül tartani meghatározott forgalmat.
Az első mangle a kimenő forgalom megjelölése, a második a bejövő irányból felépülő eset.
Minden szabály elől legyen./ip firewall filter
add action=accept chain=forward comment="no-vpn no fasttrack" connection-mark=no-vpn connection-state=established,related/ip firewall mangle
add action=mark-connection chain=prerouting dst-address-list=no-vpn in-interface-list=LAN new-connection-mark=no-vpn
add action=mark-connection chain=prerouting dst-port=5510 in-interface-list=WAN new-connection-mark=no-vpn protocol=tcp
add action=mark-routing chain=prerouting connection-mark=no-vpn new-routing-mark=no-vpn passthrough=no protocol=tcp/routing rule
add action=lookup-only-in-table comment=no-vpn disabled=no routing-mark=no-vpn table=main -
válasz
ekkold #23929 üzenetére
Kb 1 hete futottam bele ugyanebbe.
Ha jól értelmeztem az a mögöttes probléma, hogy a routing mark nem jól működik együtt fasttrackkel (gondolom neked is aktív).
A feloldásra pedig azt találtam, hogy kell mindkettő szabály a mangle-be, de még nem volt időm tesztelni:/ip firewall mangle
add connection-state=new dst-address=10.10.0.0/16 chain=prerouting action=mark-connection new-connection-mark=vpn1 passthrough=yes
add chain=prerouting connection-mark=vpn1 in-interface-list=LAN action=mark-routing new-routing-mark=to_vpn1 passthrough=no
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related connection-mark=no-mark
-
mrots
junior tag
válasz
ekkold #23925 üzenetére
Minden halozatomban van ilyen, mert mindenhol igenye volt a csaladnak erre.
Szerintem a kerdesnek nem lenyeges resze, hogy a wireguard-e a kapcsolat, ez csak egy technikai reszlet. Altalanossagban a lepesek a kovetkezoek:
1 a helyi halozatban mindekninek ugyanaz a default gw, ami a helyi mikrotik
2 a helyi mikrotikban kell egy PBR a kivalasztott forras IP-re, a next hop a tavoli mikrotik
3 a tavoli mikrotiknak ismernie kell a helyi IP cimeket (tudja, hogy merre kell route-olnia)
4 a tavoli mikrotiknak PATolnia is kell, hiszen alapesetben valoszinuleg csak a sajat helyi halozatara PATolA legkonnyebb a 4. Normalis esetben a MASQ szabaly ugy nez ki, hogy forras IP cim legyen a helyi halozat tartomanya, outbound interfesz legyen az amin a kapcsolat az internet fele kilep, action masquerade. Duplikald meg a szabalyt, a forras IP cim az a /32 lesz, akit kivalasztottal a tuloldalon, minden mas ugyanaz.
A masodik legkonnyebb a 3. Egyszeruen egy /32 route-ot fel kell vegyel a tavoli mikrotikon (aki kilepteti a kapcsolatot) ami a helyi mikrotik fele mutat (ahol a kliens valojaban talalhato). Nyilvan a route a wireguard-ba fog mutatni.
Ha szoros tuzfal szabalyaid vannak, akkor elkepzelheto, hogy modositanod kell ezeken is, hogy a forgalom a ket mikrotik kozott kozlekedni tudjon.
A tobbit pedig kronologiailag. Tehat 1. valoszinuleg adott, DHCP oszt egy gw-t ami a helyi mikrotik LAN interfesze.
Marad a 2. En elsokent felvennek egy uj routing tablat. Routing / Tables, +, adj neki nevet, es legyen FIB is. Ezt a routing tablat fogja hasznalni az az egy vegpontod.
Koveetkezo lepesben ebbe az uj routing tablaba vegyel fel egy darab route bejegyzest: IP / Route, +. a cel a 0.0.0.0/0, a gateway a tavoli mikrotik wireguard cime, a routing table mezonel pedig valaszd ki az uj routing tablat amit letrehoztal.
Ez utan a route tabladban ket default gateway bejegyzes lesz. Az egyik amit eddig is hasznaltal, a main tablaban, a masik amit most vittel fel az uj tablaba, ezt meg nem hasznalja senki.
Az utolso lepes, egy routing szabaly felvetele: Routing / Rules, +. A forras cim legyen az az egy host akinek masfele kell mennie, az action legyen 'lookup only in table', a table pedig legyen az uj tabla amit most hoztal letre.
Ennyi. Ugyelned kell, hogy ha a tuzfal szabalyok tul szigoruak, akkor mindket oldalon at kell engedned a legitim forgalmat ami eddig nem volt, valamint a forras oldalon, ahol a kivetelezett egy darab vegpont van, ha tul laza a PAT szabaly, akkor ellenorizd, hogy erre az egy hostra ne vonatkozzon cimforditas. Mivel a PAT szabaly resze a kimeno interfesz is, ennek a hostnak pedig mar nem ez lesz a kimeno interfesze (hanem a wireguard) elvileg az eddigi PAT szabaly nem fog ra mar vonatkozni, de ellenorizd.
-
janos666
nagyúr
válasz
ekkold #23867 üzenetére
Semmi más nem kell hozzá, csak egy monitor módba rakható WiFi interfész.
A HP notim beépített Realtek WiFi-je is tud monitor módot, játszottam már vele.
De van egy régi USB-s WiFi adapterem is, ami szintén tudja. Ha ezt megspékelném egy padlásról az SXT-s karóra kivezetett antennával, akkor "kinyírhatnám" a fél kis falu WiFi-jét.De a forced deauth az alapvetően elég standard, csak "csúnya" dolog. Konkrétan radarjelet (pontosabban azt, amit a radar szór ki szándékosan a DFS detektáláshoz, mielőtt nekilát radarként működni) nem tudom, hogy ki lehet-e kényszeríteni egy standard WiFi chip-ből. Ahhoz tippre valami spécibb cucc kell, vagy legalább komolyabb hozzáértés, mint egy laptopon elindítani egy Kali Linux-ot és kettőt kattintani.
-
yodee_
őstag
-
Kenderice
senior tag
válasz
ekkold #23838 üzenetére
Van mentés.
Más nem tud belépni.
Nincs kiengedve a winbox a netre.
Igen a jelszó kis és nagybetűket, számokat és speciális karaktereket is tartalmaz és elég hosszú.
Rendszeresen nem frissítettem, pár hónapja cseréltem le 6.x -ről 7.14-re az OS-t.Up:
Kábellel rádugtam a laptopot direktben és már megjelenik a Neigbors-ban a MAC és az IP a winboxban. De timeout-ot ad vissza a kapcsolódási kísérlet. -
válasz
ekkold #23830 üzenetére
csak úgy próbáltam hogy nyomvatartom a resetet és úgy kapcsolom be, de próbáltam a soft resetel is. Mert amúgy hogyan máshogy lehetne még netinstall módba váltani?
Google-val találtam olyat hogy soros port terminálon lehet etherboot módba kapcsolni, valszínű az lesz a megoldás.
Az RB133c megy 3.30-al, a sima RB133-as meg nem bootol be, az 5-ösről ment volna 6.4-re de ott megállt. -
válasz
ekkold #23805 üzenetére
Netinstallal próbálnám helyre hozni de nem akar netinstall módba válltani. Vagy ez valami későbbi feature volt?
Felraktam az 5.26 netinstallját, beállítottam a leírás szerint 192.168.88.2 a gép és 192.168.88.3 a bootserver IP-nek. Direkt kábellel kötöttem össze, régi core2 noti windows7 32bit. Nem jelenik meg sem a 133 sem a 133c.
Nyomom a resetet akár 60 másodpercig de nincs hatása. -
janos666
nagyúr
válasz
ekkold #23820 üzenetére
Persze, eltudom venni, illetve el is vettem.
A gond itt az volt, hogy épp nemrégiben tiltották le alapértelmezésben a RouterBOARD menüt a ROS-ban, de sikerült visszakapcsolni a linkelt oldal segítségével.
Most OpenWRT fut, majd meglátjuk hogy változik e bárni az érthetetlen "radard detected" dologgal. -
-
-
-
-
Ranagol_5
senior tag
válasz
ekkold #23790 üzenetére
Nálam sajnos a natív ipsec a legjobb opció, mert routing alapú a policy-k alapján, így a saját routeremen BGP-vel eltudom route-olni a forgalmat 4 különböző ipsec kapcsolat között és nem kell mindenkinek mindenhova egyenként összekötve lennie s2s.
Az érdekes az, hogy natív linux-os libreswan és a mikrotik között meg van a 800m tcp-vel is, viszont mikrotik és mikrotik között 2-300mbit a max. Pedig azért vettem 2004-eket, hogy kitudjam használni a gigás sávot ipsec-en is, mert backup-ot mozgatnék a két site között.
A HW gyorsítás elvileg aktív. Megnéztem a támogatott cipher-eket is és úgy állítottam be a kapcsolat titkosítását, de semmi. A 2-300mbit még szódával elmegy, de a 1100ahx2-nek a 80mbit-je az valami katasztrófa.
L2TP-n sima vpn nekem is száguld windows-ról meg osx-ről is. Csak az s2s nem akar.
Az ip frissítéses mikrotiknál is probléma. Az itthoni router-em ddns-sel van beállítva, és ha 3 nap után szakad a kapcsolat (diginél ennyi időnként szakad), akkor az új miatt csak akkor kapcsoldik újra és építi fel a vpn-t, ha 6 óra után lefrissült a cache a router-en.
-
Reggie0
félisten
válasz
ekkold #23788 üzenetére
Igen, hasznaltan ertelemszeruen.
A CCR1009 elonye, hogy nincsen switch chip(leszamitva a 8 portos verziot) es nehany L2-es muveletet sokkal gyorsabban tud az integralt hardveres gyorsitas miatt, a filternel nem kerdes, hogy bemegy a prociba az adat igy nincs extra overheadje a bridge filternek se, mig igen, egyes egyemagos feladatokban rosszabb, mint pl. ssh a routerre. A wireguard viszont tobbmagosan fut, kozel gigabit atmegy rajta.
-
DeniL
tag
válasz
ekkold #23677 üzenetére
Köszi szépen a válaszokat nektek
Utóbbi időben voltak sajnos eladásaim (kellett az ára), de idővel visszatérnék majd az erősebb szegmensbe, aztán gondolkodóba estem.
Az RB5009-et elsők között vettem meg, mikor megjelent, szerettem, a dockerezés sem volt hátrány benne, majd mikor mobilnetre kényszerültem kapásból nagy segítségemre volt, hogy van rajta USB port (android - teathering).De, ahogy írjátok.
Portok, teljesítmény, nand flash elhasználódik (kicserélem az olcsó ssd-t egy másikra), sok pluszt ad.
Most vagy dobbant valamivel a Mikrotik az RB5009 vonalon rövidesen (nagyobb teljesítmény, több 2,5G port vagy hasonlók) de nyilván olyan ára lesz, hogy 2 normális Tiny PC-t veszek belőle.Akkor már lehet érdemes volna elgondolkodnom nekem is az x86-on.
(Nekem 2,5G portok elegek, de jó lenne ha lenne és nem csak 1 db + dockereznék és nem lenne hátrány ha nem kellene másik eszközt emiatt futtatni - piHole, TRansmission, Plex). -
-
Protezis
őstag
válasz
ekkold #23574 üzenetére
No de álljunk már meg. A Digi spórol a publikus IP-kkel, ezért NAT-ol (CGNAT). Akkor NAT-oljon rendesen! Nekem publikus IP-m van, miért kéne belső IP-ről (100.x.x.x)-ről fogadnom csomagokat? Persze, tudom, hogy el is dobhatom őket, így is teszek, de ez szerintem nem korrekt a részükről.
Most olvasom a https://datatracker.ietf.org/doc/html/rfc6598 -ot, amit látok benne, hogypackets with Shared Address Space source or destination addresses MUST NOT be forwarded across Service Provider boundaries.
- ez jelenleg teljesül. Olyan előírást, amire én számítanék, miszerint 100.x.x.x IP-ről jövő, public IP-re menő csomagnál is SRCNAT kell minden esetben, sajnos nem találok. -
ekkold
Topikgazda
válasz
ekkold #23431 üzenetére
Csak érdekességképpen: abban a hsz.-ban, amire most válaszolok, a csatolt képen volt egy afféle "kakukktojás", vagy lehet, hogy nem is ez a jó kifejezés erre, legyen inkább érdekesség. Kíváncsi voltam, hogy feltűnik-e valakinek, de sem itt, sem magánban, nem jött rá reakció. Szóval úgy tűnik, hogy talán csak egyedül számomra érdekes, de másnak érdektelen volt, vagy csak mindenki átsiklott felette.
-
mckay
aktív tag
válasz
ekkold #23410 üzenetére
nagyon szépen köszönöm a jótanácsokat!
logikusan hangzik minden, de sajnos nem bírtam vele
valahogy mindig két szék között a pad alá esem, és eztán nem érem el az eszközt, és marad a resetugye ez egy olyan eszköz, hogy egyetlen fizikai ethernet port van rajta
és ha megpróbálom, hogy a bridge kapjon DHCP-vel ip-t, akkor elveszi a képernyőt (tehát valamit végrehajt), de aztán a helyi hálómon nem jelenik meg sehogy
és tudom, le van írva a skory-s összefoglalóban, hogy felejtsük el a Quick Set opciókat - de bevallom, próbáltam azzal is
elvégre kinek készülne ez a menü, ha nem pont nekem!
de itt is pad alá esek: kiválasztom az elérhető wifik között az enyémet, és abban a pillanatban elveszi a képernyőt (érthető, hiszen én addig az ő "Mikrotik" hálózatán voltam)
így nem tudom összehozni, hogy DHCP-vel ip-t kapjon..ehh, valamiért ez a >>kliens AP<< módi sokkal egyszerűbb egy soho eszközön...
Új hozzászólás Aktív témák
Hirdetés
- Új csak kipróbált Smartech 55 139cm Qled 4K UHD Quantum tv google assistant,Netflix, stb
- DJI Mini 4 pro - Fly More Combo - RC2 drón szett +128GB SanDisk SD
- ÚJ Lenovo Legion Pro 5 16IRX9 - 16" WQXGA 165Hz - i5 14500HX - 32GB - 1TB - RTX 4060 - 3 év garancia
- T14s Gen4 14" FHD+ IPS i7-1365U 16GB 512GB NVMe magyar bill IR kam gar
- Gopro hero 7 black
- 1-12 részletre.Új noblechairs EPIC műbőr FEKETE - FEKETE. 2 év garancia!
- ALIENWARE Area-51 R6 Threadripper Edition 1920X
- Újra Akcióban!!! Ducky One 2 Mini és SF billentyűzetek a bolti ár töredékéért! Számla+Gari
- LG 77G3 - 77" OLED evo - 4K 120Hz 0.1ms - MLA - 2000 Nits - NVIDIA G-Sync - AMD FreeSync - HDMI 2.1
- BESZÁMÍTÁS! Gigabyte H610M i5 13400F 16GB DDR4 512GB SSD RX 6700XT 12GB DeepCool MATREXX 40 650W
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest