- Samsung Galaxy A54 - türelemjáték
- Motorola Edge 50 Neo - az egyensúly gyengesége
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- Redmi Note 9 Pro [joyeuse]
- Érkezik a Samsung Health előfizetés?
- India felől közelít egy 7550 mAh-s Redmi
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Ford SYNC 3 infotainment rendszer teszt
- iPhone topik
- Motorola Moto Tag - nyomom, követ
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#23966
lionhearted
őstag
Edorn
#23965
-
#23944
lionhearted
őstag
Edorn
#23939
Feltételeztem, hogy az FTP port nyitásai ismeretesek mindenkinek, de ha nem, akkor:
* aktív FTP kapcsolat: kliens nyit egy TCP sessiont szerver felé (command channel), majd a szerver visszafelé a kliens felé (data channel)
* passzív FTP kapcsolat: kliens nyit két TCP sessiont a szerver felé, úgy, hogy egy random porton kezd el hallgatni a szerver és oda várja.Legtöbbször nem a fenti, hanem a lenti szokott megvalósulni, mivel kliens oldalon senki nem tud/akar tűzfalat bontani, és még NAT is lehet közben... szóval van egy helper a Mikrotikben (IP->Firewall->Service ports), ahol a tűzfal figyeli az FTP forgalmat és kiolvassa belőle a port nyitási szándékot a random porton.
Segítség lehet, ha:
* egy a szerveren megadsz egy szűk tartományt, amit erre fenntartasz, és fixen beengeded a szerver felé.
* felépítesz egy VPN tunnelt, és azon keresztül FTP-zel.
* dobod az FTP-t, mondjuk SFTP-re cserélve. -
Tamarel
senior tag
A packet sniffert még soha nem használtam, így arról nem tudok nyilatkozni.
A beállításokban vannak zavarok, a tűzfal szabály elnevezések is mutatják a bizonytalanságod.
Kezdésnek: ipv6 kikerüli a proton wireguard vpn-t. A nasról mindenképp le kell szedned az ipv6-ot, ha úgy egyébként vpn-en belül szeretnéd tartani a forgalmát.
Ha a routeren van ipv6, akkor a dns-edben is lesz, aztán az ftp vagy megoldja majd vagy nem.Vlan, guest, routing: kell némi (szabad)idő a kibogozásához.
-
#23934
lionhearted
őstag
Edorn
#23933
-
Reggie0
félisten
Nem az volt a ludas, hanem az, hogy rosszul volt beallitva a metrika. Ha jol csinalod akkor a lokalisan hasznalt ipcimek routingjanak mindig magasabb prioritasunak kell lennie, mint a globalisnak. Ha nem, akkor akar a szolgaltato felol rosszindulatuan el lehet iranyitani a forgalmadatat es kozbe tudnak ekelodni ket eszkozod koze kivulrol.
Az, hogy a 23.23.23.x-et valasztottad csak elohozta ezt a problemat. -
#23564
lionhearted
őstag
Edorn
#23562
-
#23561
lionhearted
őstag
Edorn
#23560
Ennyivel mennie kéne, szóval esélyesen mégiscsak tűzfal. Viszont a képről nem derül ki minden, ahogy minden sor sincs rajta, egy export sokat tud segíteni, akár a portok utólagos elrejtésével.
Amúgy nagyon bántja a szemem a 23.23.23.0/24 ... miért nem jó egy privát címtartomány? De tudom, nem erre keresed a választ.
-
Horvi
őstag
Ez a szabály szerintem csak azt csinálja, hogy a vendégek is tudnak netezni.
Kellene hozzá tűzfalszabály, hogy a vendég tartományból ne lehessen elérni a belső hálót.
Nálam valami ilyesmi van:
;;; Block Guest Network to Access LAN
chain=forward action=drop src-address=192.168.2.0/24 dst-address=192.168.1.0/24Nálam a 2.0/24 a vendég hálózat, az 1.0/24 a belső. Biztos meg lehet oldani másképp is én így csináltam meg. Lehet a többieknek lesz jobb ötletük.
-
user12
őstag
Szia
Az eszköz alapból nem földelt, a két pines DC csati csak + és - szálon csatlakozik az egyébként sem földelt tápegységhez.
Valami hasonlót ha nézel, akkor földeltté tudod tenniVagy ha a routerhez csatlakoztatott switch fémháza földelt és ezt összekötöd egy FTP kábellel a routerral, az is hasonló eredményre vezet.
-
#22420
lionhearted
őstag
Edorn
#22419
-
ekkold
Topikgazda
-
stopperos
senior tag
* L009 - wifi nélkül, van hozzá rack fül.
* hAP ax2 - wifivel, kevesebb port, talán gyorsabb is mint az L009
* RB5009 - wifi nélkül, a három közül a legerősebb, van hozzá rack fül
#22397 Funthomi:
Valószínűleg el fogja bírni, nézd meg a 3 fent linkelt eszköz esetén, hogy mennyi forgalmat enged át a routing alapján válassz. A másik két eszköz erősebb mint az L009, a hAP ax2-nél akkor jobb az L009 hogyha nem akarsz még egy switch-et mellé. -
Tamarel
senior tag
Most dobtam össze, remélem nincs benne hiba.
/routing table
add disabled=no fib name=proton
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=%proton-interface routing-table=proton suppress-hw-offload=noForrás ip alapján:
/routing rule
add action=lookup-only-in-table disabled=no src-address=192.168.0.2/32 table=protonForrás ip + cél port alapján:
/ip firewall mangle
add action=mark-connection chain=prerouting protocol=tcp dst-port=22 src-address=192.168.0.2 new-connection-mark=proton passthrough=yes
add action=mark-routing chain=prerouting connection-mark=proton new-routing-mark=proton passthrough=no protocol=tcp
/routing rule
add action=lookup-only-in-table disabled=no routing-mark=proton table=proton+ ha van fasttrack, akkor első szabálynak:
/ip firewall filter
add action=accept chain=forward connection-mark=proton connection-state=established,related -
-
ekkold
Topikgazda
Adott esetben elég lehet - ha jól van konfigurálva. De van amikor ki kell nyitni bizonyos portokat, és ilyenkor nagyon nem mindegy pl. a szabályok sorrendje sem.
Pl. ha használunk valamilyen VPN-t (Wireguardot, L2TP-t, PPTP-t), ezeknek a működéséhez ki kell nyitni néhány portot, ami vagy fixen lesz nyitva, vagy valamilyen kopogtatásos, fehérlistás megoldással (én mindegyiket használom).
Régi RouterOS verzióban volt egy bug, ami miatt annak idején rengeteg routert széthekeltek (volt ami javítható maradt, jónéhányból "tégla" lett), de csak azokat tudták meghekkelni, amelyiken nyitva volt a winbox portja.
Nekem már akkor is úgy volt beállítva a router, hogy netről, a 8291 portra jövő csomagok forráscíme kapásból ment a feketelistára, és onnantól minden csomagja drop... Hasonlóképpen még jónéhány további port amit gyakran támadnak (telnet, ssh, ftp, dns, stb..). Persze használok pl. sftp-t is, de nem a standard 22-es porton (átraktam máshová), és csak az "sftp-fehérlistán" szereplő IP címekről lehet elérni.A feketelistás megoldásokkal érdemes vigyázni, mert ha nagyon elkezdenek támadni, akkor hatalmasra nőhet a lista, és az már komoly erőforrást vesz el (egy barátom járt így). Azóta csak eldobja a nemkívánatos csomagokat (nem gyűjt feketelistát), viszont a legtöbb dolgot csak VPN-el lehet elérni, és/vagy csak fehérlistán szereplő IP ről.
-
#22329
lionhearted
őstag
Edorn
#22328
-
mrzed
senior tag
Mielőtt konfigolsz döntsd el mit szeretnél. Ha megfelel számodra, hogy a szolgáltató eszköze natol, akkor elég betenni az ether1-et is a bridge-be és a bridge-re tenni egy dhcp klienst. Viszont ekkor felesleges a mikrotik tűzfalával, dhcp-jével bajlódni. Ha a mikrotikkel szeretnél natolni, akkor annak megfelelően kell konfigurálni és nem ether1-re hivatkozni, hanem a pppoe kapcsolatra.
szerk:
m0ski
ebben a felállásban értettem, hogy a dhcp és pppoe vagylagos, így nem fog menni egyszerre a kettő. -
kammler
senior tag
-
-
Edorn
senior tag
Kiegészítés: Ha a fenti állapotra most bekapcsolom a pppoe-t, akkor megmarad a net, viszont random dolgok honlapok böngészésénél nem töltődnek be (time out). Jellemzően google .js-e (vagy az hívna valamit), vagy egyéb háttérbeni hívások. Youtube is iszonyat lassan indul el, bár most már lejátszik videot. Speedtest is jó eredményeket hoz. Illetve továbbra is my-vel ugyanazt az ip-t látom, amit a telekeom eszköze is kap magának. Pedig elvileg külön ip-t kellene kapnom...
Ha pppoe-t kikapcsolom, akkor minden jó.
-
kammler
senior tag
Az 1-es portján (is?) fut a pppoe szerver. A HG8245-ből simán kitörölhetnéd a jelszót. Így használtam nagyon sok éven át. Ma már lehet dupla bejelentkezés is, ezért, ha IPTV van, és lehetséges a HG8245-ből mégse töröld ki a jelszót. Abba dugd a TV-t. Nálam is két bejelentkezés van más okok miatt, mindkettőn publikus IP van. Vannak leírások, kísérletezhetsz IGMP proxy-val, meg mittudomén, hogy mikrotiken át menjen az IPTV. Ha egyszerű megoldást akarsz, a HG8245-be dugod a TV-t. Szintén optika. Telekom. Nem zaklattak még, hogy cseréltesd le? Én belementem hosszas unszolás után, 2G net lett. Fú mekkora kálvária volt...
-
mrzed
senior tag
Nálam F@st 5670 egység van a szolgáltatótól. Bridge módba van téve, saját router hozza létre a pppoe kapcsolatot, publikus ip-t kap. Ha van rá lehetőség és a szolgáltató eszközébe dugod az iptv boxok kábeleit akkor nem kell semmiféle varázslás a működéshez. Mindössze pár napig volt iptv előfizetésem, még a 14 napos elállásban vissza is adtam, viszont addig tökéletesen működött. Van a padláson egy mindigtv antenna, számunkra tökéletesen elegendőek az ingyen fogható csatornák.
-
MikroTik RB5009UG+S+IN Router br 78k
MikroTik cAPGi-5HaxD2HaxD 47k
125k ez az ajánlott. Igen több mint a keret.Olcsóbban 2 wifis közép kategória
MikroTik ax3 C53UiG+5HPaxD2HPaxD Router 50k
MikroTik hAP ax2 35k
Így 85kHa kell SFP
MikroTik L009UiGS-2HaxD-IN Router 45k
MikroTik C53UiG+5HPaxD2HPaxD Router 50k
95k
). Ha nem kell agyon VLANozni, akkor egy random tplink SG108E és készen vagy.
Az kell, az a DHCP szervered a mikrotikre dugott többi eszköz felé. Azt ne kapcsold ki. IP-->DCHP client. Van ott az ETH1-en DHCP kliens? Ott a rout-nál annak az IP-nek 192.168.1.254 az nem kell, ha pppoe kapcsolatot akarsz publikus IP-vel. Így kell kinézzen. 
Új hozzászólás Aktív témák
Hirdetés
ekkold- Motorolaj, hajtóműolaj, hűtőfolyadék, adalékok és szűrők topikja
- Gyúrósok ide!
- Samsung Galaxy A54 - türelemjáték
- BestBuy topik
- Milyen alaplapot vegyek?
- Motorola Edge 50 Neo - az egyensúly gyengesége
- Futás, futópályák
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- Melyik tápegységet vegyem?
- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
- További aktív témák...
- i5-13600KF, RX 9070, DDR5 32GB, 1 TB M.2, Fractal North TG és sok garancia
- Logitech Combo Touch iPad Pro 11" (1., 2. a 3. gen), szürke - UK billentyűzet ipad tok billentyűzet
- újszerű iPad Pro 11" (3. generációs) (2021) M1 chip Wi-Fi 128GB silver ezüst Apple
- szinte új iPhone 16 Pro Max 256GB desert titanium sivatagi titán független Apple 3 év garancia
- újszerű iPhone 16 Pro 256GB white titanium fehér titán iStyle független Apple 3 év garancia
- Azonnali készpénzes Intel i3 i5 i7 i9 8xxx 9xxx processzor felvásárlás személyesen / csomagküldés
- ÁRGARANCIA!Épített KomPhone i5 10600KF 16/32/64GB RAM RTX 3050 6GB GAMER PC termékbeszámítással
- Lenovo ThinkCentre M720q/ Dell OptiPlex 3060- 3070/ Hp EliteDesk 800 mini, micro PC-Számla/garancia
- AKCIÓ! MSI B550 R7 3700X 16GB DDR4 512GB SSD RTX 3060Ti 8GB Rampage SHIVA Seasonic 650W
- Lenovo ThinkCentre M720s SFF / M920T tower -Számla, garancia, WIN11
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged