2. Fórumok
  3. Hálózat, szolgáltatók
  4. Mikrotik routerek
Keresés
  • Téma összefoglaló
    Utoljára frissítve: 2021-08-17 20:43

    Mobilarena

    Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Új hozzászólás Aktív témák

  • #381 Proci85 senior tag J97 #380
    Új Válasz #381
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Proci85

    senior tag

    válasz J97 #380 üzenetére

    RouterOS-ben safe mód bekapcs, így bármit csinálsz, ha leszakadsz (elrontod a szabályt), mindent visszaállít. Mintha semmit sem csináltál volna. -> Ha este működött, reggel is fog.

  • #379 bacus őstag J97 #378
    Új Válasz #379
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    bacus

    őstag

    válasz J97 #378 üzenetére

    "a mikrotik magyarországi forgalmazót technikai suppor"
    Nem is tudom kik azok? Honnan vetted a routert? Mert vagy 5 cég aki állandóan árul mikrotiket, de kérdezni -én személy szerint- egyiktől sem mernék.. :D

    A két dst-address=80.80.80.80 és a dst-address=70.70.70.70 a két wan ip cim a példában, ezek nyilván jók ha fix ip cimed van, de pl egy dinamikus ip esetén nem, vagy nem igy kell megadni.
    Pl egy pppoe kapcsolatnál teljesen egyértelmű az in interface, de egy dhcp portosnál is.

    "5 -kor zár az iroda, kulcsom nincs, 16:55 -"
    Ez itt remélem csak valami vicc akar lenni, miért kellene ezt munkaidőben, fizikai jelenléttel csinálni?
    A lényeg, hogy ne zárd ki magad a routerből. Ha rám hallgatsz (és hidd el, jól járnál vele :D), akkor ha van egy fix ip cimed (és azt mondtad van, meg a levelezéshez is van), akkor szépen felhúzol egy egyszerű VPN szervert, akár a pptp vpn is jó, de ha ragaszkodsz a securekodáshoz, akkor legyen sstp. Ehhez persze nem árt egy mangle szabály, hogy biztosan vissza is azon az ispn akarja küldeni a választ. (de ha már lúd, akkor megcsinálhatod, hogy mindkét fix ip-n elérhető legyen, vagy akár hagyhatod a dinamikus szabályt is, és akkor a default ip-n mész a routerbe).
    Ha az iroda 8-kor nyit, akkor neked 15h-d van, hogy sikeresen beállitsd a routert...

  • #368 bacus őstag J97 #367
    Új Válasz #368
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    bacus

    őstag

    válasz J97 #367 üzenetére

    Ez nem igéretes, hanem konkrétan szájba rágva leirja azokat a szabályokat amiket neked is kell alkalmazni.

    hogy hogy nem, ez pont egy (jó időigényes) lépésnyire van a loadballancingtól.. Mivel neked az nem kell (pedig az a bonyolult rész, főleg ha mondjuk még egy queue tree is fel van húzva), a két megjelölt route szabály után (magasabb distance értékkel) kell egy default route szabály a gyorsabb net kapcsolat felé. A többi ugyanaz.

    -bejövö kapcsolat megjelölése (mangle)
    -kimenő kapcsolat megjelölése (routing mark)
    -3 route szabály (wan1 felé az onnan jövők, wan2 felé az onnan, majd egy default route, az automatikus route szabályokat nem kell kérni, pl. a pppoe vagy dhcp klienstől kapottat, vagy jó magas distance értékkel)
    -megfelelő nat szabályok (két src-nat, és a dst-nat szabályok a két wan felől)

    Nincs 20 szabály összesen, ha pop3 és imap-ot is akarsz.

  • #364 bacus őstag J97 #362
    Új Válasz #364
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    bacus

    őstag

    válasz J97 #362 üzenetére

    Nézd nem tudom mit vársz, ennyi infoval amit irtál, ennyit lehet segiteni.

    " load balancing megoldásokra azokkal, amiket írtál de nekem nem pont azokra van szükségem "
    hát pont de. :)

    "a forgalomirányító táblában három útvonal van bejegyezve"
    pont erről beszélek, hogy ez igy nem jó!

    az egyik nyilván a lokál háló fele van
    192.168.1.0/24 gateway lo_bridge reachable distance 0

    a másik kettő meg valami ilyesmi
    0.0.0.0/0 gateway ISP2 distance 1
    0.0.0.0/0 gateway ISP1 distance 1

    Na most, szerinted ha igy van megadva, mégis merre megy az ISP1-en bejövő csomag? Ugyanarra amerre jött?
    Ha e mellé még felveszel egy nem jó nat szabályt, akkor pont egyik kapcsolaton sem fog működni.

  • #363 Proci85 senior tag J97 #362
    Új Válasz #363
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Proci85

    senior tag

    válasz J97 #362 üzenetére

    Belső gépek belső IP-n érjék el.
    Külső gépek pedig port forwarddal, mindkét ISP interface-re/fix IP-re beállítva a port forwardot.
    Így próbáltad már?

  • #361 bacus őstag J97 #360
    Új Válasz #361
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    bacus

    őstag

    válasz J97 #360 üzenetére

    huha, itt keversz valamit.

    amiket leirtál, ezek nem mangle szabályok. Az imap-on meg nem potyog semmilyen levél. Az smtp, ahol kommunikálnak a levelező szerverek. Alapból a sima 25-ös port.

    Az imap az ugye a pop3 alternativája..

    A baj az a route szabályoknál kezdődik nálad, ezért amikor kihuzod az isp2 dugót, megszünik a route arra, és minden szépen megy az isp1 fele. Ebből arra következtetek, hogy hagytad , hogy dinamikus route szabályok jöjjenek létre, ami most számodra biztosan nem jó, mert a két gatewayt neked kell lekezelned.

    nézz utána: distance, routing mark, firewall/mangle, mark connection, mark routing

  • #359 bacus őstag J97 #357
    Új Válasz #359
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    bacus

    őstag

    válasz J97 #357 üzenetére

    Hamar spam szervernek minősitenek, ha a levelező szerver két ip cimről is megy, igy ezt nem igen javaslom. (hacsak nem mind a kettő fix, és a szervert is át kell konfigurálni, reverse dns-nek is mennie kell)

    Tehát mit is szeretnél? Válaszd ketté, van egy 25-ös port, ahol a többi levelező szerver megtalál, illetve ahol a te szervered is felkeresi a többit mikor küld, ez mindenképpen legyen a régi bevált dedikált cim.

    a pop3 szerver részét, imapot, kinyithatod mindkét irányba.

    Ehhez egy pár (mangle és route) szabályt kell felvenned.
    1. minden bejövő kérés ugyanarra kell kimenjen amin jött (forditva nem kell szabály, azaz ha belülről megy kifele egy kérés, akkor nyilván visszafele is azon jön, igy ezzel nem kell törödni)
    Ez általános szabály, nem csak a levelezés miatt kell, nem is mikrotik specifikus. Ha egy csomag bejön valahol, akkor azon is kell visszafele válaszolni. A rossz route szabály miatt nem éred el a szervered, mert ez a feltétel nem valósul meg.

    2. én minden 25-ös portot tiltok minden gépen kifele, csak a szerver mehet, csak arra ami ugye dedikált.

    3. route szabály felvétele, a megjelölt csomagok a megfelelő irányba kell menjenek.

    Feltételezem, hogy eddig működött minden, illetve ha a második most bekötött netet kihúzod, akkor megy most is.

    Ha csak le akarod választani a levelező szervert, az maradjon a régi, minden más az újon, akkor csinálhatod két ip cim tartománnyal is, pl a levelező szerver a 192.168.0.100/24-n van, a gépeket pedig egy másik 192.168.1.0/24 tartományba konfigolod, stb. Igy nem kell mangle szabály, mert csak a route szabályoknál meg tudod mondani ki merre megy.

Új hozzászólás Aktív témák

Hirdetés