- Honor 200 - kétszázért pont jó lenne
- Honor 200 Pro - mobilportré
- Keretmentesít a Galaxy S25 FE
- Karaktere biztos lesz az első Nothing fejhallgatónak
- Csíkszélességben verné az Exynos 2600 a Snapdragon 8 Elite 2-t
- One mobilszolgáltatások
- iPhone topik
- Redmi Note 13 Pro 5G - nem százas, kétszázas!
- Samsung Galaxy A54 - türelemjáték
- Samsung Galaxy S21 és S21+ - húszra akartak lapot húzni
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
-
Adamo_sx
aktív tag
Elég valószínűtlen, hogy a ROS upgrade-ben van olyan hiba, ami miatt egyszer csak nem működik a hairpin NAT.
Nálam pl. ez működik már elég régóta:0 chain=srcnat action=masquerade out-interface=WAN log=no log-prefix=""4 ;;; Embychain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=8096 protocol=tcp dst-address=!192.168.1.1 dst-address-type=local dst-port=8096 log=no log-prefix=""5 chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.101 out-interface=bridge-local dst-port=8096 log=no log-prefix=""Ez az Emby webes felületét port forwardolja. Az Emby a 192.168.1.101-es gépen fut, a 8096-os porton. (A 0. szabály az "általános" NAT-olás, az nem az Emby forward része.)
-
bacus
őstag
az a szabály jó amit írtál, mondhatnám szükséges, de nem elégséges feltétel.
Szerintem kell még legyen egy dst-nat szabályod is, amit letiltottál, töröltél.
valami ilyesminek kellene benne lenni
chain=dstnat action=dst-nat to-addresses=192.168.0.10 to-ports=80 protocol=tcp dst-address-type=local dst-port=80 log=no log-prefix="" -
Beniii06
addikt
Szerintem ha első perctől kezdve kézi konfig van és azután állítasz quick settel, akkor nagyon valószínű, hogy felemás eredmény lesz és azzal kb. mindenre rá fog menteni/fölülírni dolgokat(ez a legfőbb probléma), amiket a quick set-ben látsz winbox alatt, ott meglehet adni DHCP szervert, kiosztható címeket is és NAT szabályt is(masquarade) + a default Route-hoz is hozzá piszkál, kell neki gatewayt megadni addig nem enged "leokézni" stb.
A kérdés az, hogy ha vannak pluszban szabályok, mangle rule-ok, azok mennyire fognak működni/összeakadni a jelenlegi konfigoddal. Amennyiben egy otthoni routerről van szó, ezek után internet elérhetőség valószínűleg lesz(nem biztos), de hogy az extra szabályok is működni fognak, nincs rá garancia. Mindenképpen érdemes lenne manuálisan változtatni a konfigon helyileg.
Nincs esetleg mód arra, hogy másik internet hozzáféréssel(mobilnet) bejelentkezz egy helyi gépre teamvieweren keresztül, amin van winbox és bekapcsolod a safe mod-ot is(nem sok értelme van és nem is mindig működik)? Mert úgy távolról is ki tudnád próbálni biztosan, ha helyi embert nem tudsz rá megkérni, illetve ha valamit elrontanál, mehetne a backup vissza rá, ha nem működne. -
e90lci
senior tag
Hát az 5000 -es portot semmiképp!De én évek óta használom https el (és nem az alap portokkal) is.Van VPN is.Ha le van tűzfalazva normálisan,meg nem admin felhasználó,stb akkor nagy gond nem lehet.Egyszer próbából kiengedtem az 5000 portot én is.Jöttek a Kínaiak mint légy a friss sz@rra,igaz nem jutottak be,mert 3 próba után tiltotta.
-
-
ekkold
Topikgazda
Összefoglalnád a kedvemért, 1-2 mondatban, hogy én is értsem ez a "Raspberry, youtube app, tubecast." mit is csinál pontosan ill. mire is jó?
A tv-met egyszer kiengedtem a netre, gondoltam kipróbálom, hogy megy rajta a youtube... de egyből elkezdett ömleni a sz@r, a jó kis reklámszűrős PC után majd elhánytam magam a rohadt reklámoktól. Ugyhogy a tv mindössze néhány percig fért hozzá a nethez. Komolyan mondom, ha nem lehetne reklámok nélkül használni a youtube-ot, akkor inkább ugyanúgy nem használnám, mint ahogy tv-t sem nézek.
-
ekkold
Topikgazda
Nekem úgy tünt, hogy a mangle szabályt nem kerüli ki. Egyébként van egyszerűbb megoldás is, amihez nem kell mangle szabály, ez néhány régebbi RouterOs verzió esetében valamiért nem ment, de már használható. Egyszerűen létre kell hozni egy külön profilt a pppoe kapcsolat számára, a default profil helyett, és ebben bekapcsolni ill. engedélyezni a "Change tcp mss" opciót. Ez esetben nem kell a mangle szabály...
A default konfig változik az adott szoftver verziókkal, ezért nem lehet egyértelműen kijelenteni, hogy milyen beállításokat hoz létre. Ha az alap beállításoknál több kell, akkor a default konfigból indulva okozhat furcsa és nemkívánatos meglepetéseket. Míg a "kézzel" történő beállítás esetén pontosan tudjuk, hogy mit állítottunk be.
-
-
-
#6991
Kiratheonly
tag
brickm
#6986
Kiratheonly
tag
-
Adamo_sx
aktív tag
Nálam ezzel van bekapcsolva:
chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""
És magától értetődően észrevehető a különbség.
A filter rule-ok között van, minden olyan után ami "csinál/figyel valamit", mert onnantól, hogy egy kapcsolatot fasttrack-ként megjelölt, nem nagyon tudsz rajta módosítani, azaz pl. mangle-lel queue-ba tenni, vagy hasonló. -
-
bacus
őstag
nem, így biztosan nem, mert csak a digi felé maszkolod, bár mivel nem az a def átjáró az openvpn klienseknek, sose megy arra semmi...
ha a win10 most teljesen jól csatlakozik, akkor sztem mégis csak a win7 openvpn uninstall és ne a legfrissebbet tedd fel, hanem a 2.3.18-t
-
brickm
őstag
iphone hotspotra feltettem a dell-t és connectáltam. Ez a felállás a hálózati topológián a középső ág:
[link]Minden így cisnáltam. Illetve az IOs eszközök hónapok óta hibátlanul működnek. Régebben a win10-es gép is hazsnálva volt, az is működött, bár hibaüzenettel kapcsolódott fel(már nem emlékszem mi volt, de a temrinál is duplikált csomagokra panaszkodott akkor is) viszont elértem a PI-t a gépről is.
Aztán most egy távoli win7es gépen kiakadt a dolog így kipróbáltam és a win10es se lépett már be.
Az elmúlt napokban annyit csináltam, hogy visszatöltöttem egy régebbi autobackupot, azzal se ment, kitöröltem minden VPN beállítást újra megcisnáltam, aztán a githubos tutoriallal is... de semmi.
Majd tegnap ujra legeneráltam a CERT fájlokat, azóta a win10 is belép, de a win7 most se.
Akkor se ha mindenkit ledobok és csak ő akar belépni.32volt beírva régebben, mert kevés cím is elég volt, de ezeket persze dinamikusan átírtam mindenhol (legalábbis ezeken a helyeken át...) mikor /24re váltottam.
-
bacus
őstag
még a router ovpn szerver ablakáról kellene egy kép, a profil beállításról, a pool-ról, és a secrets-rol, nem kellenek a jelszavak..
az ovpn oldaláról melyik klienst használod? a 2.3.18-as tuti jól megy, de a 2.4.6-al azt hiszem volt problémám már..
A logot elnézve az a baj, hogy te ott nem a poolból kapsz ip-t. /30-as hálót akar, akkor 192.168.90.1 - 192.168.90.2 előtte utána network és broadcast address, majd utána megint 4 ip ahol a szerver 192.168.90.5 - 192.168.90.6 , majd a következő a 192.168.90.9 - 192.168.90.10
gyanítom az ovpn szerver beállításnál mode ip van beállítva..
-
bacus
őstag
ok, hibával kapcsolódik, de mi a hiba? Az ovpn kliens log-ot ha elolvasod, ott mit ír hibának?
A routing szabályokról: pár hónapja volt itt egy beírásom "kevésbé szakmabelieknek", hogy is működik a tcp/ip hálózat, mi az az átjáró, mi a fenének kell, stb... nem kéne azt visszakeresni időről időre és elolvasni?
Mikor azt írja itt valaki, hogy "nem látja a gépeket, belső háló cuccait", soha nem tudom eldönteni, hogy ez mit jelent? nem lehet pingelni vagy a microsoft networknél az explorerben nem látszik?
Ez a sor pl kifejezetten lehet hibás is, ha a kliens ami ide betárcsáz egy olyan hálón lóg, ahol a helyi router ip címe 192.168.0.1 és ott kap ip-t mondjuk a 192.168.0.100-t pl.
Mit is csinál ez a sor?
route 192.168.0.0 255.255.255.0 192.168.90.1
Azt mondja, hogy ha csomagot akarsz küldeni az adott alhálózatba, akkor azt a xx.90.1 felé kell küldeni.
Nos ha a kliens ip címe a fenti, már meg is hülyült az egész hálózat az adott gépen..Az openvpn nagyon jó, de a kliens konfig fáljában is van egy pár beállítás amit el lehet rontani, szemben mondjuk az l2tp vagy sstp, pptp -nél, ahol nincs a kliensen beállítás, illetve alapértelmezetten a becsatlakozás után az lesz az alapértelmezett átjáró, ergo minden forgalom arra terelődik...
Tisztázd le, hogy mit szeretnél, a kliensek honnan csatlakoznak be, rajzolj kicsit és ha még mindig nem tudod hol a hiba, akkor minden szükséges info-t megadva kezdjük elölről.
-
-
Soma01
veterán
-
bambano
titán
a listán nagyjából azok a címek szerepelnek, amelyeket valamilyen speciális feladatra rezervált az illetékes hatóság, aminek következtében publikus gerinchálózatra nem kerülhetnek fel.
az ilyet illik szűrni kifelé menő forgalomban mindenképpen, de ha jót akarsz, és a szolgáltatód megoldása nem tesz keresztbe, akkor a befelé jövőn is.azért "nagyjából", mert most a válasz kedvéért nem vettem elő a szabványt, és nem vetettem össze, hogy minden passzol-e, de ránézésre igen.
-
#5075
E.Kaufmann
veterán
brickm
#5072
-
brickm
őstag
LEnne is egy gyors kérdésem az uj OS-ről.
LEtöltöttem X86-iso formában. Feltettem virtualboxba. A winbox látja, mindkét virtuális hálókártyát, de ha megpróbálok csatlakozni, elutasít helytelen felhazsnálónév\jelszóval.
admin , üres.
A Vbox belép terminálban ezekkel. Adtam hozzá új felhasználót, de az sem enged be.
Se IP vel se MAC-el.... Ötletek? -
bambano
titán
szerintem értelmetlen google dns-t használni, semmit nem javít.
de nem kell ezt túlgondolni, meg lehet nézni forgalomelemzővel, hogy a dns-nél akadt fel a szeme vagy máshol.inkább azt írd meg, hogy milyen szolgáltatótól van a neted, mert ha pppoe-s, akkor clamp-mss-to-pmtu kell.
-
brickm
őstag
Ugyan ez a gép, ugyan ezekkel a fájlokkal linux alól felcsatlakozik, majd 5mp múlva automatikusan le. A telefon mindvégig fentmarad mig én le nem választom, vagy szerver(=tehát én)
Wed Nov 1 15:46:12 2017 VERIFY OK: depth=1, C=HU, ST=HB, L=Debrecen, O=Home, OU=MyOrganizationalUnit, CN=Home CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Nov 1 15:46:12 2017 VERIFY OK: depth=0, C=HU, ST=HB, L=Debrecen, O=Home, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Nov 1 15:46:12 2017 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 1 15:46:12 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 1 15:46:12 2017 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 1 15:46:12 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 1 15:46:12 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 AES256-GCM-SHA384, 2048 bit RSA
Wed Nov 1 15:46:12 2017 [server] Peer Connection Initiated with [AF_INET]IP
Wed Nov 1 15:46:15 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:20 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:25 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:25 2017 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.0.1,ping 20,ping-restart 60,topology subnet,route-gateway 192.168.90.1,ifconfig 192.168.90.7 255.255.255.0'
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: timers and/or timeouts modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: --ifconfig/up options modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: route-related options modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Nov 1 15:46:25 2017 ROUTE: default_gateway=UNDEF
Wed Nov 1 15:46:25 2017 ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Wed Nov 1 15:46:25 2017 Exiting due to fatal error -
brickm
őstag
Bocs a sok uj posztért, de szerkesztési időn kívül jönnek az ötletek.
Ez konkrétan mit akar egyébként?
The authenticity of host '[d------.org]:40022 ([188.----]:40022)' can't be established. key fingerprint is SHA256
HB**********HDmZbjjL5/I2T2Tf****Wo0aY. re you sure you want to continue connecting (yes/no)? yes -
brickm
őstag
Ezzel a kérdésemmel kapcsolatban annyit, hogy nem lehetséges, hogy maga az eszköz tud valamiféle hálózati kényszerítést csinálni?
Csak mert ugye a lent említett tűzal sor után is pingelhető, igen ám, de ha alapból az egész hálózatra teszek egy ICMP csomag drop szabályt minden más pingelhetetelen, kivéve a kamera....Őt lehet pingelni akkor is a PC-ről, míg se a routert, se az AP-t se a telefont.... -
#4009
Core2duo6600
veterán
brickm
#3995
Core2duo6600
veterán
-
csusza`
senior tag
Sajnos nem találtam, és már-már letettem erről az e-mail mentegetős témáról.
Ami ellenben kérdésem lenne a HotSpot-tal kapcsolatosan még: lenne egy Mikrotik ezzel a HotSpot rendszerrel. Megoldottam úgy a dolgot, hogy kapnak majd trial-time-ot 30 percet, 1 nap után újra próbálkozhat az ember.
Viszont, ez a HotSpot csak a wireless interfészre van ráültetve, az ethernet portok belső használatra lennének... Kérdés, hogy mivel a HotSpot legenerált egy tűzfalat magától, a belső hálózatra vonatkozó szabályokat hova kell elhelyezni?!
Hogy tudom tesztelni.
Új hozzászólás Aktív témák
Hirdetés
ekkold- Mibe tegyem a megtakarításaimat?
- gban: Ingyen kellene, de tegnapra
- Gyúrósok ide!
- Audi, Cupra, Seat, Skoda, Volkswagen topik
- Játékra optimalizált chipkínálatot tervez a Microsoftnak az AMD
- Elektromos autók - motorok
- Egyre csak fejlődik az AI, emberek tízezreit rúgja majd ki a BT
- Nem indul és mi a baja a gépemnek topik
- Hálózati / IP kamera
- Építő/felújító topik
- További aktív témák...
- ÁRGARANCIA!Épített KomPhone i3 10105F 8/16/32GB RAM RX 6500 XT 4GB GAMER PC termékbeszámítással
- Azonnali készpénzes AMD Radeon RX 6000 sorozat videokártya felvásárlás személyesen/csomagküldéssel
- BESZÁMÍTÁS! Gamer számítógép Asus B150M i3 6100 16GB DDR4 240GB SSD GTX 1050 Ti 4GB Sharkoon 500W
- ÁRGARANCIA!Épített KomPhone Ryzen 7 5800X 32/64GB RAM RTX 4060 Ti 8GB GAMER PC termékbeszámítással
- ÁRGARANCIA!Épített KomPhone i5 14600KF 32/64GB RAM RX 7800 XT 16GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest