Hirdetés
- Bemutatkozott a Poco X7 és X7 Pro
- Google Pixel topik
- Beköltözik a platformköltözés az iOS-be és az Androidba
- Megbüntették, ezért feloszlatná az EU-t Elon Musk
- Azonnali mobilos kérdések órája
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Yettel topik
- Okosóra és okoskiegészítő topik
- Samsung Galaxy S24+ - a személyi asszisztens
- One mobilszolgáltatások
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
yodee_
őstag
válasz
ekkold
#25635
üzenetére
No kérem. X86 mikrotik routerben:
WG interface:
[yodee@MikroTik_x86_Yodee] /interface/wireguard> print where comment="Android interface"Flags: X - disabled; R - running3 R ;;; Android interfacename="wireguard4" mtu=1280 listen-port=9501 private-key="********************************************"public-key="********************************************"WG peer:
[yodee@MikroTik_x86_Yodee] /interface/wireguard/peers> print where comment="Android interface"Columns: INTERFACE, PUBLIC-KEY, ENDPOINT-PORT, ALLOWED-ADDRESS# INTERFACE PUBLIC-KEY ENDPOINT-PORT ALLOWED-ADDRESS;;; Android interface3 wireguard4 ******************************************** 9501 10.13.248.0/2010.13.0.0/20192.168.0.0/20A telefonos konfig:
Tűzfal mangle:
[yodee@MikroTik_x86_Yodee] /ip/firewall/mangle> print where comment="WG MSS clamp"Flags: X - disabled, I - invalid; D - dynamic4 ;;; WG MSS clampchain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp out-interface=wireguard4 log=no log-prefix=""Fasttrack:
[yodee@MikroTik_x86_Yodee] > /ip firewall filter print where action~"fasttrack"Flags: X - disabled, I - invalid; D - dynamic0 chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related dst-address=10.13.1.0/24 log=no log-prefix=""Kapcsolat szakadást nem tapasztaltam sosem, így a 4. lépést hanyagolhatom? Preresistant keepalive mindegyik NAT mögötti kliensben aktív.
-
kammler
senior tag
válasz
ekkold
#25635
üzenetére
chain=forward action=fasttrack-connection
nekem van ilyen, de disabledre van állítva tűzfalban
yettel 5g amúgy 1 gigabit sebesség le, rb5009-en 32% proci terhelés, meg 110 mbit sebesség androidon. 1412 MTU volt, most átírtam. Mondjuk úgy rémlik előtte is volt ennyi. Igazából nekem ok, csak mondom ránézek
-
yodee_
őstag
válasz
ekkold
#25623
üzenetére
Tamarel: Nem csináltam semmit, telefonon kedvencekben el van mentve a média szerver és amikor aktív a wg kapcsolat akkor elérem. Csak a mobil kliens felől lassú a samba, optika mögül rendben van.
ekkold: Amikor próbálkoztam MTU csökkentéssel akkor igen, minkét oldalon csökkentettem. Egy ilyen ollóztam össze:
chain=forward action=change-mss new-mss=1380 passthrough=no tcp-flags=synprotocol=tcp out-interface=wireguard14 tcp-mss=1381-65535 log=nolog-prefix="" -
yodee_
őstag
-
#25598
lionhearted
őstag
ekkold
#25596
válasz
ekkold
#25596
üzenetére
Csak?! Vegyük a legdurvább Netgate 8300-at, Intel Xeon D-1733NT : Single thread 2198... akár egy i3-7100 tudja azt... és ahogy látod, fele a Ryzennek... de tegyük fel nincs jól lehűtve, és csak a 80%-ot tudja, akkor is elég durva... az Netgate 8300 28Gbps firewallra van beígérve, 14Gbps IPsec mellett. Számok alapján az azért nem kevés.
A probléma az, hogy nincs megírva egy rendes HW offload. Lásd a Telekom által biztosított Qualcomm alapú eszköz képes megoldani a feladatot.
Mivel én is csak átadom az infót, semmire sem esküszöm... a tapasztalat azt mutatja, hogy a többszálas speedtest mikrotiken is szétosztja a forgalmat a CPU magok között. De egyetlen TCP streamnek nem elég a kraft.
-
#25594
lionhearted
őstag
ekkold
#25587
válasz
ekkold
#25587
üzenetére
Kraft egyszálon pedig akadt a srácnál: Ryzen9 9955HX (turbo 5.4Ghz!!!), passmark singlethread szerint az általam nézett kategória dupláját tudja.
Kézreállás most már közel mindegy, lehessen IaC eszközzel kezelni, és akkor ronda mindegyik.
Uhh, azt hogy milyen hardvert szándékozom használni... az egy olyan hosszú történet, hogy nem fér bele a fórumba.
![;]](//cdn.rios.hu/dl/s/v1.gif)
És még most sincs leütve. Röviden: Intelt. 
Meg virtualizálás, de a NIC megy direktbe. 
-
válasz
ekkold
#25581
üzenetére
"ha már kiadják x86-ra is az oprendszert, akkor x86 alapú hardvert miért nem árulnak hozzá?"
Ezen is csak megy a spórolás, vagy nem is tudom.
A 16 MB Flash méretnek mi értelme volt? De anno kötötték az ebet a karóhoz (Normis-val az élen), hogy 16 MB mindenre is elég. Ja, látjuk.
De igen. Egy dedikált, mini MikroTik féle PC-re lehet és is szívesen váltanék.
Lenne bőven memória és háttértár is, processzor teljesítményről nem is beszélve! -
mrots
tag
válasz
ekkold
#25572
üzenetére
sosem hasznaltam wireguardot, csak ipsec meg openvpn, ugyhogy nem tudom, nem lehet-e a titkositast valasztani wireguardnal? vannak olyan titkositasok, amik cpu intenzivebbek es vannak olyanok, amik kevesbe. Ha fontosabb a sebesseg, mint a titkossag (azaz mondjuk kisebb kulcs, vagy egyszerubb algoritmus is eleg) akkor altalaban egy vpn eseten ezzel lehet jatszani. hogy konkretan a wireguard ezt engedi-e azt nem tudom, ha nem, akkor megoldas lehet elmozdulni egy olyan vpn technologia fele, ahol az algoritmus konfiguralhato.
-
#25583
lionhearted
őstag
ekkold
#25581
válasz
ekkold
#25581
üzenetére
Épp egy ilyenen dolgozom, pont a felsorolt okok miatt. Bár én nem rendelek ilyen kínai vackokat, ki tudja mi van benne. Viszont van két elgondolkodtató pont:
1. fizetős és zárt routerOS szemben a népszerű FOSS firewall OSekkel (ha már van előtte egy CRS igazából a tűzfal a kérdéses főleg)
2. Telekom topikban írták, nem tudja PPPoE-n kihajtani a 8/8Gbps netet, főleg felfelé van gond (egyszálas az encryption gondolom) 2.5Gbps körül. Nem mintha lenne ilyen netem, csak a tudat, ha már megépítem, fizetem a P10 licencet, és nem fogja kiadni. Legalábbis egyelőre.
-
Reggie0
félisten
-
Reggie0
félisten
-
user12
őstag
válasz
ekkold
#25470
üzenetére
“....van sok esztozom aminek eddig 192.168.1.xx fix ip cimet allitottam be es....
Ez eleve hibás koncepció szerintem.”Nem feltétlenül. Bizonyos esetekben kifejezetten jó tud lenni amikor a dhcp szerver vmi miatt nem oszt címet, de a gateway és/vagy dns vagy más szerver elérhető vagy kommunikációképes marad a hálózaton.
Én pl a kulcs/ core eszközoket (nasok, switch, ap) mindig staticra állítom, a többi mehet dhcp-vel.
Az igazságboz hozzátartozik, hogy mikrotik eszköznél még nem talalkoztam olyan esettel, amikor behalt volna a dhcp, ubi, forti eszközök, ms szerverek esetén annál többször -
Edorn
senior tag
válasz
ekkold
#25210
üzenetére
Publikus az ip-m.
Jelenleg még bridge-s modem mögül próbálkozom, tehát a portforward még nem okozhat gondot.
Wireguard-ot még sosem próbáltam. Most routerben rányomtam a
cloud->bth vpn-re, ami szépen legenerált egy gombnyomásra mindent a wireguard-hoz.
Wireguard.com/install-ról töltöttem le klienst a win2008-ra. Elvileg sikeresen csatlakoztam is a mikrotik-hez. Legalábbis ezt mutatta a wireguard kliens. Viszont innentől nem láttam hogyan tudnám elérni a mikrotik hálózatának gépeit... Ráadásul mintha a win2008 le is szakadt volna a netről, csak belső hálón keresztül tudtam elérni egy másik helyi gépről (amire távolról cstalakoztam).
-
Edorn
senior tag
válasz
ekkold
#25198
üzenetére
Próbálkoztam most több leírás alapján (pl.: https://www.youtube.com/watch?v=UKUelYvBUgQ) L2TP -vel is, de így sem működik... A bridge-s routerre próbálok csatlakozni első körben egy win2008 serverrel (tudom, régi, de most csak ez van, amivel tudom tesztelni másik hálózatból), illetve telefonról is (mobilnettel), hátha a win2008 elavultsága miatt nem akar működni. De nem hozza létre a kapcsolatot, felhasználó hitelesítésig el sem jut.
-
Edorn
senior tag
válasz
ekkold
#25198
üzenetére
A pptp helyett mi javasolt? Esetleg egyszerű beállítás lépéseivel együtt?
Olyasmi kellene, amit router módba állított modemen keresztül is lehet üzemeltetni (portforward-al mondjuk). Mert egy darabig nem fogom tudni átállítani bridgebe, viszont mihamarabb be kellene üzemelnem egy vpn-t.(közben olyan hálózatból is próbáltam a két próbálkozásomra kapcsolódni, ahol más az ip tartomány [192.168.0.x], de onnan sem sikerült kapcsolódnom, tehát akkor gondolom ahogy írtad a szolgáltató tiltja a pptp-t, feltéve, hogy a fenti leírásommal minden rendben van, úgy működnie kellene szerintetek is...)
-
#25116
lionhearted
őstag
ekkold
#25085
válasz
ekkold
#25085
üzenetére
Ez egyébként nagyon jól hangzik, a probléma ott kezdődik, hogy nincs ilyen lerúgott olcsó gép, amin van két 10G link (rezes vagy SFP+, mindegy). Ha nagyon leadjuk az igényt, akkor egy is elég most még ugye... Vagy érted, USB adapterrel?!
Az erre szakosodott industrial firewall pc-k meg egy nagyságrenddel arrébb árazódnak.De ha valaki itt már csinált rackbe mini géppel routert, ami viszi ezt a 4/2 netet szívesen olvasok róla.
-
ekkold
Topikgazda
válasz
ekkold
#25081
üzenetére
Régebben teszteltem egy tenyérnyi méretű, HP mini G1-en (4. gen. intel), RouterOS-el wireguard VPN sebességet, íme:
Közel gigabit átjött VPN-en, 17% átlagos prociterhelés mellett. Ennek a közelében sincs egy RB5009 teljesítménye. Valószínűleg itt nem az x86 router volt a korlát, hanem a kettőnk közötti internet hálózat korlátozta a sebességet ekkorára... -
válasz
ekkold
#25081
üzenetére
Van itthon licencem, anno szórakoztam vele kb 1.5-2 éve Odroid alapokon, de a realtek hálókártyát nem csipázta a rOS.
Illetve ha nem muszáj nem járatnék ezért egy PC-t, de lehet az lesz a vége.
Most a 4/2-t router on stick-be kipróbálom kíváncsiságból az 5009-en meg akarom nézni majd mit tud. -
yodee_
őstag
válasz
ekkold
#25051
üzenetére
A WG MTU hogy befolyásolja a weboldalak beöltését. Lehet én vagyok a tudatlan, de mint korábban említettem csak a helyi hálózati forgalmat küldöm WG-n.
Szerver oldal:
Interface:1 R Kertname="wireguard2" mtu=1420 listen-port=13232private-key="#########################################"public-key="#########################################"Peer:
1 Kertinterface=wireguard2 name="peer2"public-key="#########################################" private-key=""endpoint-address="" endpoint-port=13232current-endpoint-address=XXX.XXX.XXX.XXX current-endpoint-port=13232allowed-address=10.13.248.0/20,10.13.0.0/20,192.168.0.0/20 preshared-key=""client-endpoint="" rx=104.6MiB tx=1574.7MiB last-handshake=1m34sKliens oldal:
Interface:0 R name="wireguard1" mtu=1420 listen-port=13232private-key="#########################################"public-key="#########################################"Peer:
0 interface=wireguard1 name="peer1"public-key="#########################################" private-key="" endpoint-address=XXX.XXX.XXX.XXXendpoint-port=13232 current-endpoint-address=XXX.XXX.XXX.XXXcurrent-endpoint-port=13232allowed-address=10.13.248.0/20,10.13.0.0/20,192.168.0.0/20preshared-key=""persistent-keepalive=25sclient-endpoint="" rx=1438.2MiB tx=104.0MiB last-handshake=1m43s -
DBob
őstag
válasz
ekkold
#25001
üzenetére
"A saját tapasztalatom az, hogy stabilabb az egész ha nem hagyom hogy a saját szoftvere variálja a csatornákat, hanem én fixen kijelölöm."
Én jelemzően U-NII sávok mentén szoktam felszabdalni és aszerint osztom ki. Technikailag erre szükség is lenne, mivel nem minden frekvencia használható kültéren / beltéren.
U-NII 2 meg szigorúan csak ha tudom hogy nem okoz potenciális problémát (pl. ~80 cm vastag falak mindenhol)."előfordul, hogy valamelyik eszköz csatornát vált, ekkor megváltozik a csatornák foglaltsága"
Emiatt szoktam ütemezve hajnalban egy újra igazítást kezdeményeztettni, random offset-tel eltolva a különböző AP-ken.
-
mrots
tag
válasz
ekkold
#24968
üzenetére
"Egyébként van értelme két betárcsázásnak? Pl. gondolom az össz sávszél nem lesz nagyobb... vagy? ill. akkor ad két publikus IP-t is?"
Persze, hogy van. Szuloknel ket router lerakva, mindketto onalloan kapcsolodik ugyanabba a bridge modban levo modembe, a LAN oldalukon pedig HSRP/|VRRP. Router hiba eseten a masik viszi tovabb a musort, nem kell odarohanni megnezni, miert nincs internet, tavolrol is megy. Szolgaltatoi hiba esetere pedig ott a 4G tavoli eleres.
-
-
-
#24953
D-LAN|FuRioN
aktív tag
ekkold
#24952
D-LAN|FuRioN
aktív tag
válasz
ekkold
#24952
üzenetére
digi-n nem működik, mert nincs local dhcp és ip-t sem vesz fel az ont. lényegében egy switchkén funkcionál kapsz egy szolgáltatói pppoe access portot az ont 1.-es portján és kész. mgmt-et ip-t pedig külön vlanból vesz fel. általában ezeket így szokták csinálni, fura h a telekom bridge mód esetén is enged local hozzáférést, nem szoktak
-
-
m0ski
aktív tag
válasz
ekkold
#24890
üzenetére
Jelen pillanatban az itthoni forgalom 80%-a wifin megy. A maradék 20% a NAS, és őszintén szólva nem halok bele, hogy a linux ISO nem full sebességgel jön lefelé, van időm kivárni.
Ha nem szaladtak volna el az árak az elmúlt években, akkor szívesen raknék össze 4011+AP hálózatot, de csak routerre 75-80 ezret nem akarok kiadni. Tisztában vagyok vele hogy minden drágult, de ha visszanézem, hogy 5 éve ismerősnek nettó 45 körül volt az RB4011, sírni tudnék. -
m0ski
aktív tag
válasz
ekkold
#24883
üzenetére
Először az RB2011 utódjának kikiáltott L009UiGS-2HaxD-IN-t néztem, de aztán összehasoníltottam a spec-t az ax3-al és azért esne arra a választás.
RB4011 jó cucc, irodai környezetbe üzemeltem be ahol egy halom kliens lóg rajta kábelen és wifin is CAPsMAN-en keresztül és köszöni szépen jól van.
Otthonra viszont overkill lenne, az áráról nem is beszélve. -
jerry311
nagyúr
-
HUNited
őstag
válasz
ekkold
#24816
üzenetére
Deklarálnám hogy én NEM a Mikrotik minőségét és megbízhatóságát kifogásolom, a termékkel semmi bajom, és ahogy kezdem beleásni magam, tényleg nagyon jó. Csak az a problémám, hogy ha ennyire pilótavizsgás, hogyhogy nincs hozzá elérhető (ingyenes vagy olcsó) anyag ami naprakész is. Mondok egy direkt nem kapcsolódó témát: Python oktatóanyaggal Dunát lehet rekeszteni, pedig kicsit jobban keres egy programozó mint egy hálózatüzemeltető (ráadásul igen, esélyes hogy komolyabb helyeken, ahova erre dedikált embert tartanak, leginkább nem a Mikrotik eszközeit használják).
Kicsit olyan érzésem van hogy a Mikrotik két szék között van. És szerencsére fennmarad, de az igazán profiknak "ciki", a halandóknak meg túl komplex. Pedig ilyen tudású routert más márkából sem kaptam volna olcsóbban, sőt. Szerintem Asusban (én azt ismerem viszonylag mélyebben) jóval drágább lett volna.
És hogy kicsit egyértelműbb legyen miről beszélek: a leghasználhatóbb anyag a témában magyar nyelven, amit te is linkelsz a topik leírásban, 7 éves. Feltételezem ha lenne újabb, akkor azt is linkelnéd. A többi ami van csapongó (pl. 2HB videói a témában), nem teljes (esettanulmányok), vagy megfizethetetlen otthoni használat mellett.
Ha van ilyen anyag magyar nyelven, ne tartsd magadban
-
Ejelhar
senior tag
válasz
ekkold
#24824
üzenetére
Én úgy látom mostanában igen pozitív irányba változtak Mikrotikék, a hardver és a szoftver is.
Már pl. nem ötezer fajta platform jellemző, úgy tűnik lehorgonyoztak az ARM mellett.
A soft pedig már nem tűnik gányolásnak bizonyos részeken, én pl. a VLAN-t utáltam régebben, de mióta nem kell switch chipet még külön masszírozni, sokkal barátibb és komolyabb az egész. -
HUNited
őstag
válasz
ekkold
#24740
üzenetére
Köszi. Ez a Skori.hu azért nem vettem figyelembe mert 2018-as, úgy tudom hogy azóta nagyon sok minden változott Mikrotiknél (azt hagyjuk hogy kifolyik a szemem tőle, mivel ez leginkább ízlés kérdése, átteszem olvasó módba és emlészthetőbb). De most majd átfutom, hátha van benne valami ami használható ma is. Pl. nálam ez a bizonyos WinBox totál másként néz ki, és sok menüpont is máshol van.
Azért deklarálnám hogy az Asust sem gyári FW-vel használtam, és leginkább SSH-n kezeltem Entware. Persze nem vagyok sem Linuxban, sem hálózati topológiában hardcore.
Nem vonom kétségbe hogy nagyon jó a router, csak még tanulnom kell. Sokat. És erre most nincs időm (költözés, meló, gyerekek iskolakezdése stb.). Ezért lenne jó valami naprakész videós anyag magyar nyelven (igen, utálom az angol nyelvet, nem is tudtam olyan szinten megtanulni sosem, hiába vagyok informatikus). Van ez a 2H Informatika nevű Youtube csatorna, de 2 bő fél órás videó alatt is csak oda jutott hogy van net.
Esetleg ha tudsz olyan videóst akit én még nem találtam meg, és viszonylag naprakész videók, azt megköszönném.
Én amiket találtam vagy régiek, vagy nem magyar nyelvűek, vagy a már említett nagyon vontatott (mindenről beszél csak a témáról nem) anyag.
A Quick setuppal pedig óvatosan
Mert nálam igen érdekes dolgokat produkált. -
-
mrots
tag
válasz
ekkold
#24707
üzenetére
A hatar elmosodott mar, kulonosen a multilayer switchek letezesevel, amik lenyegeben routerek. Nincs univerzalis szabaly, de vannak jellemzok.
Jellemzoen a routereknek kevesebb fizikai portja van, a switcheknek tobb, mivel a switchek feladata az, hogy fizikai hozzaferest adjon a halozathoz az eszkozoknek (= bele tudjal dugni sok dolgot) a routernek viszont nem ez a feladata. A router osszekot halozatokat, esetleg kulonbozo mediumokon - peldaul egy ethernet halozatot egy LTE halozattal, hogy kijuss az internetre, vagy egy ethernet halozatot egy DSL halozattal, megint csak, hogy kijuss az internetre, vagy, akar ket vagy tobb ethernet halozatot kot ossze, amelyek kulon-kulon onallo broadcast domainek. Egy eszkozt aminek ket ethernet portja van valoszinuleg nem arra terveztek, hogy 16 ip telefont belekoss, hanem inkabb arra, hogy ket ethernet halozatot osszekosson egymassal, tehat valoszinu inkabb routerkent marketingelik. Vannak 16 portos routerek? Nyilvan, bar kicsit csalas, hiszen egy 16 portos switch modult barmikor tehetsz egy cisco routerbe - ettol az switch lesz? Nem igazan, csak felruhaztad switch kepessegekkel a routert, aminek gyarilag van mondjuk harom portja es kesz.
Jellemzoen a megvalositott feladatok atfedesben vannak, hiszen ugyanazt a feladatot meg lehet valositani hardverbol es szoftverbol is. A kerdes az, hogy mi a fo feladata az eszkoznek? Egy routernek inkabb a forgalomiranyitas, a routing protokollok ismerete, a csomagok szurese (acl), korlatozasa (qos), vpn felepites, ezeket csinalja leggyakrabban, tehat layer 3 es layer 4 feladatokat. Tehat egy routernek azt lehet inkabb nevezni, ami ezeket hardverbol tamogatva csinalja, mert azt jelenti, hogy erre terveztek. Tud emellett switch is lenni? Hogyne tudna, barmikor osszebridge-elek ket ethernet portot egy cisco routeren es maris switchkent viselkedik. Erre terveztek? Nem, csak ezt is tudja, de ettol nem lesz switch.
A switcheket inkabb keretek tovabbitasara terveztek, inkabb layer 2-ben mukodik, tehat olyasmikkel foglalkozik allandoan, hogy mac cimek alapjan donteshozas (snooping, arp inspection), ACL, feszitofa protokollok, vlanok. Ezeket mind hardverbol csinalja, mert erre terveztek tehat ezt tudja a leggyorsabban csinalni. Tud ezen kivul routingot? A multilayer switch hogyne tudna. Sot, mar 20 eve is a 6500-as catalyst switch ezeket is hardverbol csinalta. Annyira, hogy a 6500-as switch es a 7600-as router gyakorlatilag ugyanaz a platform volt. Tud dhcp szerver is lenni, ha kell, tud egy csomo olyan funkciot amit egy router tud. Leginkabb azonban szoftverbol, mert nem erre terveztek, de tudja ezt is.
En igy dontenem el, hogy router-e vagy switch-e. Egy routeren ritkan van PoE port, mert olyan vegpontokat amik ezt igenylik, nem routerbe kotsz kozvetlen, hanem switchbe es a switcheket fogja ossze a router. Ennek ellenere persze nekem is van otthon tartalekban egy 1941-es cisco router amiben van egy 8 portos gigabites switch modul ami PoE-t tud adni. De megint csak arrol van szo, hogy egy routerbe teszek switch modult, tehat ket hardveres eszkozt rakok egybe, hogy ne ketto legyen kulon.
A jozan esz szerint ez az eszkoz egy multilayer switch, tehat szerintem helyesen hivjak switchnek.
-
#24710
lionhearted
őstag
ekkold
#24707
-
#24708
E.Kaufmann
veterán
ekkold
#24707
E.Kaufmann
veterán
válasz
ekkold
#24707
üzenetére
A blokk diagrammot összevetve az első CCR-rel, amit találtam, talán a standard PoE funkció az, ami a switch irányába húzza, de ez inkább egy KKV mindenes.
Meg pl a CCR2004-nél olyan van a portok és a CPU között, hogy port extender, míg ennél meg egy komplett önálló switch chip, gondolom mindenféle hardveres gyorsító funkcióval, amit a RouterOS vagy tud használni vagy még nem -
mrots
tag
válasz
ekkold
#24678
üzenetére
"Igazából biztonsági kockázatot is jelent a bekapcsolása"
Amugy szerinted miert? Mert szerintem kulonosebb kockazatot nem jelent. Az egesz beallitas arrol szol, hogy TCP RST szegmenseket nem dobunk el, amik a csuszoablakon kivul vannak. Milyen tamadas az, ami megvalosithato azaltal, hogy nem dobod el ezeket?
-
mrots
tag
válasz
ekkold
#24669
üzenetére
Ez valoszinuleg nem a jo megkozelites. Az enyem sem biztos, hogy jo. De en inkabb akkor kapcsolnam be, amikor a wireshark szerint olyan szegmensek erkeznek a negyedik retegben (TCP - ISO/OSI transzport reteg) amely szegmensek kivul esnek a csuszoablakon. Ezeket normalis esetben eldobna az eszkoz. Normal esetben ilyen forglamat az ember nem varna, hiszen a TCP handshake soran a csuszoablak merete is egyeztetesre kerul, tehat a kuldo pontosan tudja, hogy a fogadonak mekkora buffer all rendelkezesre es csak annyi adatot kuld, nem tobbet. Tehat normal mukodes soran erre nincs szukseg. Viszont a linux kernelben regota benne van, tehat gondolom annyi tortenik, hogy a mikrotik kivezet a felhasznaloi feluletre egy beallitast ami eddig nem volt lehetseges azon, de maga az OS eddig is tamogatta volna.
Az egyetlen eset ami eszembe jut amikor erre talan szukseg lehet, a TCP challenge ACK. Ekkor a haromutas kezfogas nem az iskolaban tanult modon zajlik le, hanem a TCP SYN-re a cimzett egy SYN nelkuli ACK-t valaszol vissza, raadasul egy olyan sorszammal ami nem passzol a szekvenciaba. Ez normalis, igy mukodik a challenge ACK. Erre harmadik csomagkent egy RST kell, hogy menjen az eredeti kapcsolatot kezdemenyezotol. Ez az RST elkepzelheto, hogy eldobasra kerul, ha a beallitas ki van kapcsolva. Nem ellenoriztem, nem olvastam el az RFC-t, szoval lehet tevedek, de most nekem semmilyen mas legitim ok nem jut eszembe, amiert egy RST-t el kellene fogadjak, nem pedig eldobnom.
Ha tehat a mikrotikom tuzfalkent funkcional egy forras es egy cel kozott, akkor amennyiben a cel challenge ACK-t hasznal, e nelkul a funkcio nelkul sosem fog tudni egy TCP kapcsolat felepulni, szerintem.
-
#24672
Pizzafutar
aktív tag
ekkold
#24670
Pizzafutar
aktív tag
válasz
ekkold
#24670
üzenetére
A mangle-ban ez szerintem be van állítva:
ip/firewall/mangle> printFlags: X - disabled, I - invalid; D - dynamic0 chain=prerouting action=accept dst-address=192.168.0.0/24 in-interface=bridge log=no log-prefix=""1 chain=prerouting action=accept dst-address=10.0.0.0/24 in-interface=bridge log=no log-prefix=""2 chain=input action=mark-connection new-connection-mark=Telekom_conn passthrough=yes connection-state=new in-interface=ether1 log=no log-prefix=""3 chain=input action=mark-connection new-connection-mark=Digi_conn passthrough=yes connection-state=new in-interface=Digi PPPoE log=no log-prefix=""4 chain=output action=mark-connection new-connection-mark=Telekom_conn passthrough=yes connection-state=new connection-mark=no-mark per-connection-classifier=dst-address-and-port:2/0log=no log-prefix=""5 chain=output action=mark-connection new-connection-mark=Digi_conn passthrough=yes connection-state=new connection-mark=no-mark per-connection-classifier=dst-address-and-port:2/1 log=nolog-prefix=""6 chain=prerouting action=mark-connection new-connection-mark=Telekom_conn passthrough=yes connection-state=new dst-address-type=!local connection-mark=no-mark in-interface=bridgeper-connection-classifier=dst-address-and-port:2/0 log=no log-prefix=""7 chain=prerouting action=mark-connection new-connection-mark=Digi_conn passthrough=yes connection-state=new dst-address-type=!local connection-mark=no-mark in-interface=bridgeper-connection-classifier=dst-address-and-port:2/1 log=no log-prefix=""8 chain=output action=mark-routing new-routing-mark=Telekom passthrough=yes connection-mark=Telekom_conn log=no log-prefix=""9 chain=prerouting action=mark-routing new-routing-mark=Telekom passthrough=yes connection-mark=Telekom_conn in-interface=bridge log=no log-prefix=""10 chain=output action=mark-routing new-routing-mark=DIGI passthrough=yes connection-mark=Digi_conn log=no log-prefix=""11 chain=prerouting action=mark-routing new-routing-mark=DIGI passthrough=yes connection-mark=Digi_conn in-interface=bridge log=no log-prefix="" -
4D4M
senior tag
válasz
ekkold
#24289
üzenetére
Összeállt a VPN kapcsolat?
~
Igen.Nem (nem csak) a helyi IP címén kell tudni elérni a Mikrotik eszközt, hanem azon az IP címén is ami a VPN kapcsolathoz tartozik mikrotik oldalon.
~
A DHCP tartomanybol elkülönítettem egy ip poolt, amit beallittam a VPN klienseknek kioszthatoan.A kriksz-kraksz címet használom az L2TP kapcsolodashoz. Tehát az elvileg működik, de ha már bent vagyok, akkor gyanítom, hogy mennie kellene a belső local IP-n való elérésnek is.
-
4D4M
senior tag
válasz
ekkold
#24285
üzenetére
Köszönöm, hogy megtiszteltél.
Valószínűleg valamennyi feltételezésed megállja a helyét. Nem akarok egyelőre mélyebben mikrotikkel foglalkozni, csak van egy külterületi helyszín, ahol praktikus lett volna, ha be tudom állítani az SXT-t routerként is és utána nem akarok vele semmit bűvészkedni. A távoli biztonságos belépést leszamitva sikerült is minden, amit egyelőre celul tűztem ki.
Tudom, hogy tele a tökötök a hülyekkel, akik azt se tudják mit kérdeznek, csak általában annyira vágjátok, hogy ezeket az alap dolgokat fel szavakból is meg tudjátok ugorni.
Most pl annyi a történet, hogy L2TP / IPSec kapcsolattal belepni sikerült a Windows 10-zel és Androiddal is, de az SXT-t nem érem el az IP-jén. Valami alapvető apróság lehet, csak igen.. érteni kéne a lelkivilagat.
-
user12
őstag
válasz
ekkold
#24276
üzenetére
Köszi a részletes leírást. Ezzel a részével eddig nem foglalkoztam. A PPPoE csatlakozás annyi, hogy megadtam a felhasználónevet, jelszót és kész. Volt, amikor az mtu-n állitgattam kísérleti jelleggel, de visszatertem a default beállításokra, mert úgy láttam, hogy ezekkel megy a legjobban.
A vpn kapcsolatok viszont nem haszálják a PPPoE profilt, mivel én úgy csinálom, hogy minden vpn felhasználókhoz külön profilt készítettem és rendeltem hozzá -
-
kammler
senior tag
válasz
ekkold
#24249
üzenetére
Akárhogy is gondolkodom, nem tudom, hogy csináltam meg. Pontosan így szopórollerztem, ezeknek el van tolva a netinstalljuk, az tuti. Fórumjukon van friss krvanyázás miatta, mire ez a normis nevű atyaúristen a mikrotiktől csak kaffogott. Nem tudom, hogy oldottam meg, viszont nekem, miután futott pc-n, az I219-LM intel hálókártyával az csinálta, hogy eltűnt a hálózat, megjelent, eltűnt, megjelent. A realtek gaming 2.5G, na az hasított. Elment aztán kedvem tőle.
-
#24246
lionhearted
őstag
ekkold
#24245
-
-
#24233
Alteran-IT
őstag
ekkold
#24225
Alteran-IT
őstag
válasz
ekkold
#24225
üzenetére
Hát ha átlag, egyszerű emberi szemmel nézed a dolgot, akkor valóban úgy van, hogy általában jobb nem tudni pár dologról, szokták mondani, boldogok a tudatlanok, sajnos nem tartozom ebbe a kategóriába, pedig sokszor jobb lenne
Még egyébként ha egy elektromos hálózatról mondod ugyan ezt, akkor megértem, az egy egyszerű közvetítő közeg, melynek egyetlen feladata az elektromos áram (irányított ciklusú mágneses erőtér által "zárt" hálózatban keringetett elektronok) továbbítása és a számos háztartási elektronikai cikk kiszolgálása, azt ha egyszer jól kiépíted és jövőre nézve jól méretezed, akkor ha pl. ugyan az a házad van, előfordulhat hogy életed végéig nem kell hozzányúlni, még akár egy biztosítékot sem kell visszakapcsolni, ha nincs túlterhelve egy áramkör, vagy nem megy tönkre zárlattal, illetve magasabb áramfelvétellel egy meghibásodó elektronikai cikk/háztartási eszköz.
Ugye általában jellemző az újabb technológiával készített eszközök esetén a kevesebb fogyasztásra való törekvés, így előfordulhat hogy később egy jól felül méretezett hálózat még kevésbé lesz leterhelve és még kevesebb probléma lesz vele, ha csak nem később raksz rá még klímát meg ilyesmi, kivéve ha ugye esetleg külön áramkör lenne neki.
Na de ettől a rövid kitérőtől eltekintve, egy router az nem ilyen faék egyszerűség, bármennyire és mondjuk faék egyszerűségű emberek üzemeltetik őket a legtöbb esetben, de akár mondjuk egy kábelmodemre, vagy egy ONT-ra sem jellemző ez, ahogy az sem, hogy a fejlettebb technológiával készített modem/ONT kevesebbet fogyasztana, mert magasabb technológiával ugyan arra a színvonalra nem nagyon gyártanak, értsd pl. hogy ma már nem fognak 8/4-es csatornakötegelésű kábelmodemet gyártani, mert baromság lenne, ahogy a hagyományos GPON ONT gyártása is és így tovább, gyorsabb elérést biztosítani hivatott modemeket fognak gyártani, amik több csatornát fognak össze, vagy éppen erősebb lézer modullal és processzorral rendelkeznek a nagyobb sebesség kiszolgálása érdekében és így a fogyasztás is magasabb lesz, illetve az egész több szempontból is bonyolultabb, de mindegy.
Egyébként még úgy egyet is értenék veled, csak ugye az igényesség illetve a hozzá szokás, értsd most ezalatt azt, hogy ugye én már hozzászoktam az USB 3.0 porthoz, az LCD kijelzőhöz, illetve ahogy Zwodkassy mondja, még a csipogóhoz is, csak ugye elég ritkán indítom újra a routert, így meg is feledkezek róla. Az igényesebb ember, meg úgy általában az emberek többsége is a technológiai színvonal fejlődésével és a kor előrehaladtával nem kevesebbet, illetve hiányosabb eszközöket várnak el, hanem többet, komplexebb, többet nyújtó eszközöket, tudom most szóismétlés van, de az adott mondatrészben én más-más jelentést tulajdonítok nekik.
Én ugye hozzászoktam ezekhez, az LCD-t és az USB-t folyamatosan használom és ezáltal a hiányukat megérezném, nehezen szoknék újra hozzá a "fapad" színvonalhoz. Olyan mint ha kocsi esetén is egy Ferrari-ból egy Trabantba ülnél vissza, amiben még szervó sincs, ne mond hogy még örülnél is neki, persze egy kis retro néha nem árt, de nem folyamatosbaRengeteg ipari eszközön van saját, illetve hasonló kijelző azonos célokkal, routerek esetén már ez nagyon rég nem mai téma, még anno a TP-Linknek is volt hasonló próbálkozása, Huawei, vagy nem tudom én milyen LTE modemek is kaptak LCD kijelzőt, de egyéb ipari routerek is:
Az ilyen pFSense és hasonló linux alapú tűzfalak alá szánt ipari hardverekbe rendszeresen építettek LCD kijelzőket, melyen olyan adatok szerepeltek, amit éppen kiírattak a linux-al, akár grafikont is ki lehetett rakni, de interface adatokat, egyéb statisztikákat is, illetve az ilyen célra szánt alaplapok érzékelőinek az adatait is, mint hőmérséklet, feszültség és így tovább, szóval nem újkeletű dolog, nem a Mikrotik lépte meg először és reméljük nem is utoljára, szervertermek is kaptak Amerikában és hasonló helyeken ilyen eszközöket, mert volt rá igény szakmai szemmel is nézve, az hogy pl. itt Magyarországon ilyen téren igénytelenség van, igazából nem lep meg, most nem politizálok, de politikai téren is eléggé igénytelen a nép, szóval na, de azért mert az emberek nagy része igénytelen, nem kell általánosítani, nem mindig a többségnek van igaza attól hogy többségben vannak, na de mindegy.Ami az RB5009-t illeti, látod, pont a saját nem látod példáddal jöttél, illetve oldottad meg otthon, na de ha egy üvegajtós rack szekrénybe berakom egy 1U helyre azokkal a nyújtott rack fülekkel, akkor hogy néz ki? Ez az átmeneti, illetve fél rack kialakítás nekem nem jön be.
Ellenben viszont ami a technokrata hozzáállást illeti, nekem sincs gondom a tégla dizájnnal, csak azt próbáltam szemléltetni a dologgal, hogy az IT szakmában abszolút nem jó a röghöz kötöttség, sőt én erősen szelektálnám is emiatt a szakmát, mert nem véletlen van már az IT esetén minden téren elég sok probléma, sok a röghöz kötött, változást nehezen viselő, nem a szakmába illő kb. önkéntes "szakember" meg egyéb bohóc. Legtöbb szolgáltatónál pont emiatt nincs még IPv6, mert már sok "szakember" képességét meghaladja, az állami szektorban ezért nincs egy normálisan működő rendszer, mint a KAÜ, JSZP, EESZT amik akár egy napig is tudnának normálisan működni, de akár a választási rendszert is mondhatnám ami pár órát sem bír ki és így tovább. Én nem vagyok röghöz kötött, ellenben pl. az RB3011 a maga felszereltségével és mégis egyszerű tégla 1U kialakításával úgy tetszik, ahogy van, az abban az időben éppen egy remek technikai színvonalat adott, ezt még akár el tudnám képzelni egy modernebb áramköri kialakítás mellett pl. egy átlátszó plexi, vagy üveg házban/keretben is, de szerintem az a legtöbb "mérnök" szellemi kapacitását meghaladná, lehet igényes vagyok, de tudom hogy sajnos sokaknak sok minden lehetetlen, így megpróbálom mindig lejjebb szorítani az igényességemet, így kevesebb csalódás ér, sajnos ez van, ha a minimalista környezetben maximalista vagy, de ettől még nem fogom teljesen leredukálni az igényeimet, csak mert a környezetem nem érti meg, maradok különc, illetve egyéniség. Persze most ezzel véletlenül sem akartam megsérteni senkit, csak na, igazából nehezen tudom úgy megmagyarázni, hogy nem vagyok eléggé őszinte.#24226 mrots: Most ebben a hozzászólásban részben megválaszoltam ezt is, így nagyon nem térnék ki rá újra, viszont engem sosem zavart sehol sem, ha mondjuk egy hálózati eszköz látható helyen van akár egy szobában, akár egy irodában, csak az igényesen legyen elhelyezve és a kábelezés is igényesen legyen hozzá kialakítva.
Egyébként most már el tudod képzelni, kinek kell LCD kijelző
Amúgy az kicsit szomorú, ha fizikailag nem vagy tisztában az adott eszközzel, illetve a környezetével sem, most nem akarok véletlenül sem sértő lenni, de számtalanszor találkoztam már hasonló szituációval és ebből hosszú távon kialakuló, már-már nagyobb volumenű problémákkal, de ebbe most nem akarok belemenni.
Kb. az a szituáció ha a tárgynál maradunk, hogy mindegy milyen router, csak legyen internet, a hálózat a szokásos 192.168.0.0/24 legyen, mert az eddig mindig működött, mindegy hogy mondjuk gigabites netre 100-as router van rakva, vagy hogy olyan környezetbe van egy eleve jobban melegedő típus rakva, ahol eleve a szokásnál magasabb a hőmérséklet és a túlhevülés miatt sok a szakadozás, packet loss, meg a router felülete is alig jön be, szóval na ... és ez még csak nagyon kevés és egyszerű példa a sok közül szemléltetésképpen, igazából már ezek alapján nagyon sok továbbit el lehet képzelni, amiért én mondjuk nem preferálom ezeket a vakon cselekvő megoldásokat, értem én hogy távolról CLI-n keresztül be lehet állítani dolgokat, csak ez általában a nagyon alap, fapados üzemeltetésen kívül nem nyújt szakszerű üzemeltetést bizonyos esetekben, persze más ha úgymond az "előválasztó" aki kihelyezi az eszközt tisztában van vele és legalább olyan eszközt választ ami megfelelő és akkor mindegy hogy a távparaméterező abszolút nincs tisztában a környezettel, csak egy működő konfigot kell biztosítani, de az a tapasztalatom, hogy ez általában nem így van, persze én sem vagyok tisztában az egész ország összes vállalkozásával, szerver termével és így tovább, bár nem is probléma, szerintem sok fejfájást elkerülök így -
-
#24212
Alteran-IT
őstag
ekkold
#24211
Alteran-IT
őstag
válasz
ekkold
#24211
üzenetére
Nézőpont kérdése, ha kicsit igényesebb vagy kinézeti szempontból, illetve amolyan komolyabb megjelenést akarsz biztosítani a nem látható funkciók mellé mondjuk egy cégnél, akkor ez tökéletes és szerintem nagy tételben rendelésnél minimális felárral kell számolni a gyártónál, de cserébe milyen jól mutat már ha kirakod rá a sávszélesség diagrammot, nekem sem kell érte belépnem a routerbe, hogy megnézzem ha baj van a nettel, hogy most vagy szar, vagy fullon ki van terhelve valamelyik gép által és azért szar másoknak, csak ránézek a kijelzőre és látom, praktikus és modern megjelenést is ad mellette a routernek.
Arról nem is beszélve, hogy pont a kijelző miatt rendesen megmaradna az 1U magasság is és szellősebb lenne, esetleg a hűtést is komolyabban meg lehetne oldani, vagy még egy tartalék áramköri védelem is beleférne, így viszont ... tehát olyan semmis a kinézete már ... Nekem pont az RB3011 hozta meg a kedvemet a Mikrotik-hez, 10 gigabites port, SFP port, igényes 1U rack kivitel, LCD érintőkijelző és ahhoz képest viszonylag kis mélység, utána már eltűntek az USB 3.0 portok, sok esetben az SFP is CCR terén, az LCD általában megmaradt, még ha a tetejére is került (ezt pl. sosem értettem), a nagyon drága típusoknál persze volt SFP+, meg LCD, de USB nem volt, mert akkor éppen azon a téren szaladtak bele a pofonba driverezés szintjén és inkább nem erőltették, most meg ugye WiFi téren szaladnak bele állandóan a pofonokba, valamilyen pofon mindig kell nekik.
Most nagy nehezen visszahozták az USB 3.0-t, de LCD abszolút nincs, a portokat értelmetlenül variálják és tervezik, mert szerintem is lehetett volna legalább 2-3 porttal több 2,5-es port, ráadásul ha az esztétikát nézem, még mérnöki szemmel is elég igénytelenül néz ki pl. az RB5009, de már igazából a 4011 sem tetszett, de már akkor tudtam, hogy ezt az idióta irányt fogják követni.Egyébként a példa nem a legjobb, még a 4K pont átférne 100 megán, ott már késleltetési probléma is van, de értem mit akartál mondani, az még egyébként a jobbik eset, ha van valamilyen hálózati csatlakozó a TV-n, mert van amikor kurva drága TV és nincs rajta, na azt akkor old meg, hogy legyen rajta net, de úgy hogy pl. az ügyfél nem szeretné, ha a szobában nagyon WiFi jel lenne egészségügyi aggodalmak miatt, de a TV menjen akadásmentesen, ami nem is pár tízezer forint volt, szóval ilyenkor a falra tudok mászni, de ugyan úgy találni újabb alsóbb kategóriás laptopok között is olyat, amin ha van egyáltalán hálózati csatlakozó, akkor is 100 megás van, de régebben volt felsőbb kategóriás i5 és i7 laptopon is 100 megás LAN, olyankor kaptam agyfaszt, már azt a processzor teljesítményt hálózaton nem tudták kihasználni, általában még jó VGA sem társult hozzá, szóval akkor mi értelme is volt az i5 meg i7 processzornak?
Azt akkor itt van a Mikrotik és a WiFi probléma is, abszolút nem akar menni náluk ez sem, ahogy más sem
Az a baj, hogy az IT szektorra is mint ahogy a politikai szektorra is ráférne már egy nagyon nagy takarítás és a bohócokat ki kellene már pucolni mindenhonnan, talán végre elindulna minden a haladás útján. -
#24210
Alteran-IT
őstag
ekkold
#24209
Alteran-IT
őstag
válasz
ekkold
#24209
üzenetére
Én direkt SFP+-os verziókat néztem eddig, egy problémám van csak vele, hogy igazából egy SFP+-os verzióval sem megyek már semmire, kb. a hAP ax3 kategória, van egy 2,5 Gbit/s-os bemenet, na és ha mondjuk egy Windows 10-es géppel szeretném vele kihasználni a 2000 Mbit/s Telekomos netet, akkor mit csinálok, malmozok, vagy esetleg visszatákolom valahogy az LA-t?
Bár örülnék egy olyannak az LCD miatt is, de egy giga feletti port pont a hasonló dolgok miatt kevés ha már ilyen beruházásba gondolkodik az ember, ugye a hAP ax3 is ~60 ezer forint, az RB5009UPr+S+IN pedig már ~80 körül kapható és akkor van rajta egy SFP+ port és egy 2,5 Gigás Ethernet port, ugyan jobban örülnék még legalább egy ilyen portnak, de kezdetnek ez is jó lenne, plusz az a problémám, hogy nemrég megint olyan 90-110 ezer forintos áron láttam használt CCR1009-es SFP+-os routert, csak éppen a régebbi 1 tápos verziót, annyiért nem éri meg, hisz már erősebb, kevesebb fogyasztású és kisebb RB5009UPr+S+IN-t veszek helyette, ráadásul olcsóbban két gigabit feletti porttal és akkor arra még garancia is van, azt nincs az, hogy megveszem 90-110-ért, azt lehet egy hónap múlva annyi azt akkor buktam egy 100-ast, néha nem értem egyesek árazását, meg azt sem, hogy a Mikrotik miért hagyta el az újabb RB és CCR routerek esetén az LCD-t, mert ugye ha azt is belevenném a kritériumok közé, akkor a CCR1036-8G-2S+ lenne a minimum ami megfelelne, illetve a CCR1072-1G-8S+, csak ugye otthonra már csak a fogyasztásuk miatt is értelmetlen lenne, szóval na. Megint azért vagyok letargiában, mert a Mikrotiknél megint hülye irányt vettek -
#24208
Alteran-IT
őstag
ekkold
#24205
Alteran-IT
őstag
válasz
ekkold
#24205
üzenetére
Láttam, de nekem így is releváns, ugyanis ilyen megoldásra lenne szükségem ha az One bekebelezi a jelenlegi szolgáltatóm, meg egy olyan routerre, ami mondjuk ha úgyvan, akkor egy 500-as, vagy akár egy 1000-es netnél is ki tudja tolni WG-n a sávszélt egy hasonló VPN szolgáltató esetén.
Mondjuk arra is kíváncsi lennék, a mostani RB3011-em mennyit tud kitolni, ha elég lenne egy 500-as nethez, nem gondolkoznék hardver cserén, csak VPN szolgáltatón maximum, mert nyilván cél lenne a minél kisebb válaszidő.#24203 Gyula888: Nem rossz az a router, én is akartam egy olyat, csak elfogadható áron nem találtam eddig használtan, vagy mikor éppen találtam, akkor már el is kelt, viszont azt már megfigyeltem Mikrotik esetén, hogy nagyon nem mindegy az adott szoftver komponens amiről szó van és az erőforrás eloszlás sem, mert valami esetén tudja mindegyik magot egyszerre használni, vagy akár ha az egyik túlterhelődik, akkor bevonni még további magokat, de valaminél abszolút nem akar egy magnál többet használni, itt felfele nincsenek olyan nagy sebességű internetek, így nem nagyon volt alkalmam mostanában tesztelni, de régen a PPP, L2TP VPN-ek esetén egy tunnel csak egy magot tudott használni, tehát hiába volt neked 7, 9, 16 stb... magos routered, nem tudtad az összes magot befogni mondjuk egy tunnel alá, ha az csak 100 Mbit/s-hoz volt elég, akkor így jártál, hiába volt még további 6 vagy 8 magod, amivel el lehetett volna érni 600 vagy 900 Mbit/s-t is. Itt ha jól informálódtam, akkor egy magot nézve az ax3 erősebb, ha a CCR esetén a WG tudja használni mind a 9 magot, akkor nyilván odaver az ax3-nak, csak kérdés tudja-e, szoktad nézni ilyenkor a magonkénti használatot?
-
Tamarel
senior tag
válasz
ekkold
#24205
üzenetére
Fast Path miatt 800+. Van 17 filter, 8 nat és 6 mangle szabály.
A wireguard szimmetrikus, nincs szerver.
Az alacsonyabb feltöltés oka a Telekom, mert a budapesti proton szervereket Ausztrián keresztül érem el (bix helyett). Ez az oka a késletetésnek is.
Régen Németországon fordult, 50ms késleltéssel. Még régebben a diginél voltak a szerverek meg én is, akkor 0ms volt.Nagyjából hiába nyitogatok hibajegyeket. Digi nem is válaszol, Telekomnál egyszer sem sikerült hozzáértővel beszélni, Protonnál sok adatot küldve 2-3. nekifutásra talán változik valami. Hónapok alatt.
A családban lévő másik ax3 eddig digin lógott (napi 5+ megszakadással és akár 1.5 óra kieséssel), most került át telekomra.
Magyarul végre van 1Gb/1Gb mind a két oldalon, tudok majd tesztelni. -
stopperos
senior tag
-
ekkold
Topikgazda
válasz
ekkold
#24194
üzenetére
Kicsit próbáltam utánaolvasni.
Az alapvető különbség a licencelésben van.
Ezen kívül a RouterOS6 X86-on 32 bites, a CHR viszont 64 bites.
A RouterOS7 viszont x86 esetében szintén 64 bites. Tehát itt ez a különbség sincs.
A driverekről találtam még, hogy a chr biztosan passzol a legtöbb virtuális környezethez, de x86 telepítő esetén se nagyon van gond ezzel.
Ezen kívül a chr verzió nem fut közvetlenül egy valódi hardveren.
Ezek után arra jutottam, hogy azt kell használni amelyik szimpatikusabb, kényelmesebb...
Hacsak nem tud valaki olyasmi érvet felhozni amit kihagytam, ill. amire nem gondoltam. -
gabro0
őstag
válasz
ekkold
#24186
üzenetére
Dedikált DNS szolgáltatás többet tud, pl. Adguard Home. Kliensenként látszik ki, mikor, mit csinált és kliensenként lehet blokkolási/engedélyezési listákat; TLD vagy host alapú DNS forwardingot beállítani. Egyetlen Go bináris, kell ennél több?
Egyedül a statikus DNS elég elmaradott, erre több lehetőséget kínál a Mikrotik.
-
válasz
ekkold
#24188
üzenetére
Valamikor, valahol ezt találtam.
Akkor hatásos volt, de szerintem még most is:/ip firewall address-list
add address=52.0.252.0/22 list=Aws-Viber-Media-List
add address=18.195.4.0/23 list=Aws-Viber-Media-List
add address=ads.viber.com list=Viber-Ads-List
add address=ads.aws.viber.com list=Viber-Ads-List
add address=ads-d.viber.com list=Viber-Ads-List
add address=api.mixpanel.com list=Viber-Ads-List
add address=s-imp.rmp.rakuten.com list=Viber-Ads-List
add address=s-bid.rmp.rakuten.com list=Viber-Ads-List
add address=api.taboola.com list=Viber-Ads-List
add address=ads.cdn.viber.com list=Viber-Ads-List
add address=locp-ir.viber.com list=Viber-Ads-List/ip dns static
add address=127.0.0.1 comment="Ads Viber" regexp="ads(\\-d|\\.aws)\?\\.viber\\.com" -
válasz
ekkold
#24179
üzenetére
Azok a megadott Mbit/s értékek legfeljebb labor körülmények között érhetők el
Ezt tudom, ezért néztem azt a sebességet, amit a gyakorlatban tud az én hEX-em (117.6-os sort) egyébként 125-130 körül van a plafon (Speedtest.net-el, tehát VPN+NAT).
Ez csak az általam megadott feladatokra kell, szóval ez is bőven elég, de mint mondtam, ez a fő router lenne a csillag középpontja, tehát innen lenne kihúzva az összes tunnel, ezért egy kicsit erősebbnek kéne lennie, hogy minden hEX tudja a saját maximumát ami kapcsolódik rá és közben ne menjen az itthoni net minőségi rovására.Gondoltam én is arra, hogy egy mikro szervert veszek helyette, amin csak a WG futna, de az is annyiba lenne mint egy 5009 és másra úgysem nagyon használnám a szervert és a routert is jobban szeretem nyomogatni mint a linuxot, szóval ezt elvetettem.
Ha találnék egy 4011 vagy 5009-et használtan jó áron, akkor valószínűleg lecsapnék rá. Sajnos most nem igazán találok semmit a kínálatban, csak WiFi-s 4011-et, de az meg nekem feleslegesen feláras.
-
#24148
lionhearted
őstag
ekkold
#24143
![;]](http://cdn.rios.hu/dl/s/v1.gif)
És még most sincs leütve. Röviden: Intelt. 
Meg virtualizálás, de a NIC megy direktbe. 
Új hozzászólás Aktív témák
- Bontatlan - ASUS TUF Gaming K3 Gen II billentyűzet
- Legion 5 15ACH6H 15.6" FHD IPS Ryzen 5 5600H RTX 3060 16GB 500GB NVMe gar
- Bomba ár! Dell Vostro 15 3568 - i3-6GEN I 4GB I 320GB I 15,6" HD I HDMI I Cam I W11 I Garancia!
- Thrustmaster T300 RS Alcantara + Wheel Stand Pro Állvány
- Vegyes Retro Nintendo / Sega Játékok
- Xiaomi 15 256GB,Újszerű,Dobozával,12 hónap garanciával
- BESZÁMÍTÁS! GIGABYTE X570 AORUS ELITE X570 alaplap garanciával hibátlan működéssel
- BESZÁMÍTÁS! MSI B450M R5 5600X 32GB DDR4 512GB SSD RTX 3070 8GB Zalman Z1 PLUS GIGABYTE 750W
- Bomba ár! Dell Latitude 3340 - i3-4GEN I 4GB I 500GB I 13,3" HD I HDMI I Cam I W10 I Garancia!
- Azonnali készpénzes AMD Radeon RX 5000 sorozat videokártya felvásárlás személyesen / csomagküldéssel
Állásajánlatok
Cég: ATW Internet Kft.
Város: Budapest
Cég: BroadBit Hungary Kft.
Város: Budakeszi