- Friss koncepciót hoz a Nothing Phone (3)
- Yettel topik
- Xiaomi 15 - kicsi telefon nagy energiával
- A Nothing Headphone (1) is a dizájnról szól
- Magisk
- Vivo X200 Pro - a kétszázát!
- Megjelent a Poco F7, eurós ára is van már
- iPhone topik
- Itthon is kapható lesz a kerámia Xiaomi Band 10
- Apple iPhone 15 Pro Max - Attack on Titan
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
stopperos
senior tag
válasz
bgombos79 #24613 üzenetére
Szia.
A tűzfal szabályaidelsőrefurcsának tűnnek. A bridge filter-t miért használod?
Nekem az a javaslatom, hogy állj vissza default config-ra. Nézd meg hogy úgy működik-e, és utána építsd fel újra a szabályaid.Ezzel a két szabállyal kezdődjön a forward szabályos rész:
/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
/ip firewall filter add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untrackedMondjuk ez a két szabály nem hiszem, hogy megoldaná. De közelebb vagy az alap tűzfalhoz. A végére kell egy WAN forward drop is. Tűzfalat sejtem a probléma hátterében, de most nem tudnám kibogozni. Ezért mondom hogy a defaulf config-ból indulj.
-
bgombos79
csendes tag
válasz
lionhearted #24605 üzenetére
Szia,
Megvan a kért export.
[link]
Bármilyen javaslatot meghallgatok.Köszi, ha szántok rá időt!
Üdv
Bálint -
-
Adamo_sx
aktív tag
válasz
Protezis #24608 üzenetére
@mrzed: Köszi, igen az megvan, hogy a betonba mennek a védőcsövek és a kábelek, a gondom ott van, hogy hogyan rejtsem el esztétikusan a mennyezet és az AP között a kábeleket, mert a gyári rögzítéssel az AP rásimul a mennyezetre és nincs hely a kábeleknek felette.
Erre ahogy látom, Protezis kolléga javaslata lesz a nyerő, a betonba ágyazott nagyobb szerelődoboz használatával.
Köszi mindenkinek! -
Protezis
őstag
válasz
Adamo_sx #24607 üzenetére
Szerelődoboz, odavezetve fali kábel a födémbe rakott csőben. Kábel végére keystone jack, abból egy rövid patch kábel az eszközbe.
Unifi AP-m van, mikrotik megoldásait nem ismerem. Én is jelenleg építkezem, monolit vasbeton födémbe ilyeneket rakattam az AP-knak:
https://www.kaiserdobozok.hu/webaruhaz/119-vasbeton-dobozok-es-kivezetok/180/b1-univerzalis-mellyitett-vasbeton-mennyezeti-keszulekrogzito-doboz- -
Adamo_sx
aktív tag
Kicsit más jellegű, de Mikrotik kérdés
Most építkezünk és a födém monolitbeton lesz, erre szerelnék cAP ax AP-t. A kérdés, hogy a rögzítést, bekötést hogyan érdemes kialakítani? Oké, van ugye ez a műanyag tartó amit fel kell fúrni a mennyezetre és erre rá lehet pattintani az AP-t. Eddig tiszta. De hogy álljak ki a mennyezetből a vezetékekkel? A táplálás POE-n keresztül lesz megoldva, azaz csak a 2 ethernet kábel megy az AP-be. Node, azt szeretném, hogy ne látszódjon a kábelezés, viszont a behúzott kábel fali kábel lesz, azaz tömör rézdrótos, normálisan ez egy RJ45 aljzatban végződik, amibe ugye jönne egy rövid flexibilis kábel. De ha ezt megcsinálom a mennyezeten, normálisan aljzattal, stb. akkor nem lehet elrejteni a kábeleket. Ha meg valahogy a falikábel végére teszek spéci RJ45 dugót (ami tömör vezetékre is kripmelhető), akkor is a kábelhosszt igencsak ki kell centizni, hogy az AP alatt elférjen, ez pedig megnehezíti a le- és felszerelést, és gondolom a falikábelnek sem ideális a hajlítgatás. (Persze jó esetben nem nagyon kell hozzányúlni, szóval sokat nem lesz fel- és leszerelve...)Van erre valami bejáratott és szép megoldás?
-
bgombos79
csendes tag
válasz
lionhearted #24605 üzenetére
Köszönöm. Megcsinálom és linkelem!
-
válasz
bgombos79 #24604 üzenetére
Szia!
Egy konfigurációs exportra mindenképp szükség lenne a segítséghez. Terminalba annyit kell írni, hogy:
export file=export.txt
és akkor routeren megjelenik fájlban, lemented, átnézed (ha van amit nem mutatnál meg, de jelszó alapból nincs benne), aztán belinkeled ide. -
bgombos79
csendes tag
Sziasztok,
Segítséget szeretnék kérni. Van egy Mikrotik routerem RB2011UiAS.
Sem a robotporszívót, sem a klímát nem tudom hozzáadni a Wi-Fi AP -hoz.
Biztos, hogy a router okozza a hibát, mert ha kikötöm és egy TP-Link vackot rakok a helyére akkor a két említett eszközt tudom használni.
A legfrissebb update van rajta. (Ahogy korábban írtátok stable) A kamera rendszer és minden más működik gond nélkül. Ezt a két rendszert nem tudom a telefonnal hozzáadni a hálózathoz. (Nem sikerül üzenetet küldeni hibaüzenetet kapok)Nem a titkosítás vagy a MHz a gond. Mikrotik routeren nem használom a wi-fi -t.
Az csak a NET -t, DHCP -t biztosítja. Az AP egy ASUS (router AP módban). Az standard. Azon minden jól van beállítva.A hiba a m.t -n keresendő. Amennyiben a m.t kikötöm és egy TP link router megy a helyére, akkor az AP (ASUS) -n keresztül sikerül konfigurálni mind a két 'hibás' eszközt. Akkor tökéletesen működik a rendszer. Amikor a m.t routert visszakötöm az említett két beállított rendszer megáll.
Van valaki akinek az oviban is Mikrotik volt a jele? Esetleg lenne szerdán 15-20 perce távolról ránézni a rendszerre, logokra? A többit megbeszéljük privátban.
Üdv
Bálint -
Tamarel
senior tag
válasz
Tamarel #24602 üzenetére
Valami ilyesmi.
Befelé:
- új kapcsolat: 1es sima, 2es marking
- meglévő kapcsolat: 1es semmi (fasttrack), 2es accept
Kifelé:
- új kapcsolat: semmi (load balance)
- meglévő kapcsolat:
2es routing rule: connection mark alapján
1es logikai része az érdekes kihívás, mert pont az új kapcsolatokat kellene mangle-vel jelölni (abból van kevesebb)Gyanítom, hogy feleslegesen bonyolult lenne (pl 3 routing tábla, mindegyikbe minden iránnyal). Szóval mindegy is.
-
Tamarel
senior tag
válasz
Pizzafutar #24601 üzenetére
Bármi, ami sok kapcsolatot nyit és sok adatot mozgat...
Úgy tudnál még javítani a dolgon, hogy az egyik vonalat kijelölöd marking szempontjából alapértelmezett iránynak és csak a másik csomagjait jelölöd meg, fasttrack-ot visszakapcsolod és a kikerülő szabályt beteszed elé.
Így az egyik kapcsolat hardverből megy, a másik meg erőből. -
Tamarel
senior tag
válasz
Pizzafutar #24599 üzenetére
Tehát van.
Fasttrack esetén nincs mangle. Ha szeretnél terheléselosztást, akkor kell a fenti szabály. -
Pizzafutar
aktív tag
válasz
Tamarel #24598 üzenetére
A firewal-on nem módosítottam, maradt az eredeti, működő:
Flags: X - disabled, I - invalid; D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked
2 ;;; drop invalid
chain=input action=drop connection-state=invalid
3 ;;; accept ICMP
chain=input action=accept protocol=icmp
4 ;;; accept to local loopback (for CAPsMAN)
chain=input action=accept dst-address=127.0.0.1
5 ;;; drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN
6 ;;; accept in ipsec policy
chain=forward action=accept ipsec-policy=in,ipsec
7 ;;; accept out ipsec policy
chain=forward action=accept ipsec-policy=out,ipsec
8 ;;; fasttrack
chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related
9 ;;; accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked
10 ;;; drop invalid
chain=forward action=drop connection-state=invalid
11 ;;; drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN -
Tamarel
senior tag
válasz
Pizzafutar #24597 üzenetére
Pl a fasttrack.
Van? Van ilyen szabályod előtte?
/ip firewall filter
add action=accept chain=forward connection-mark=xyz connection-state=established,related -
Pizzafutar
aktív tag
válasz
Pizzafutar #24560 üzenetére
Két hete írtam a PCC témában, akkor nem volt időm vele többet foglakozni, most hétvégén viszont átköltöztem egy rb5009-re és beállítottam a PCC-t is. A tapasztalat az, hogy PCC-vel a weboldalak bizonytalanul jönnek be, összességébe a betöltési idő megnő.
Ez így nem túl megfogható, viszont a speedtest (Ookla, linux parancsor) konzekvensen rosszul működik PCC-vel, 'Cannot read' hibaüzenetek jelennek meg, de általában lefut:
$ speedtest
Speedtest by Ookla
[error] Error: [0] Cannot read:
Server: ZNET Telekom Zrt. - Budapest (id: 28951)
ISP: Magyar Telekom
Idle Latency: 1.98 ms (jitter: 0.18ms, low: 1.83ms, high: 2.13ms)
Download: 931.40 Mbps (data used: 453.8 MB)
7.10 ms (jitter: 0.64ms, low: 1.66ms, high: 12.86ms)
Upload: 325.92 Mbps (data used: 147.0 MB)
5.29 ms (jitter: 0.46ms, low: 4.05ms, high: 6.76ms)
Packet Loss: 0.0%PCC nélkül nincsenek ilyen hibaüzenetek.
Mangle szabályok:
# 1 With policy routing it is possible to force all traffic to the specific gateway, even if traffic is destined to the host (other that gateway) from the connected networks. This way routing loop will be generated and communications with those hosts will be impossible. To avoid this situation we need to allow usage of default routing table for traffic to connected networks.
/ip firewall mangle
add chain=prerouting action=accept dst-address=192.168.0.0/24 in-interface=bridge
add chain=prerouting action=accept dst-address=10.0.0.0/24 in-interface=bridge
# 2 First it is necessary to manage connection initiated from outside - replies must leave via same interface (from same Public IP) request came. We will mark all new incoming connections, to remember what was the interface.
add chain=input action=mark-connection connection-state=new in-interface=ether1 new-connection-mark=Telekom_conn
add chain=input action=mark-connection connection-state=new in-interface="Digi PPPoE" new-connection-mark=Digi_conn
# 3
add chain=output action=mark-connection connection-mark=no-mark connection-state=new new-connection-mark=Telekom_conn passthrough=yes per-connection-classifier=both-addresses:2/0
add chain=output action=mark-connection connection-mark=no-mark connection-state=new new-connection-mark=Digi_conn per-connection-classifier=both-addresses:2/1
# 4 Action mark-routing can be used only in mangle chain output and prerouting, but mangle chain prerouting is capturing all traffic that is going to the router itself. To avoid this we will use dst-address-type=!local. And with the help of the new PCC we will divide traffic into two groups based on source and destination addressees.
add chain=prerouting action=mark-connection connection-mark=no-mark connection-state=new dst-address-type=!local in-interface=bridge new-connection-mark=Telekom_conn per-connection-classifier=both-addresses:2/0
add chain=prerouting action=mark-connection connection-mark=no-mark connection-state=new dst-address-type=!local in-interface=bridge new-connection-mark=Digi_conn per-connection-classifier=both-addresses:2/1
# 5
add action=mark-routing chain=output connection-mark=Telekom_conn new-routing-mark=Telekom
add action=mark-routing chain=prerouting connection-mark=Telekom_conn in-interface=bridge new-routing-mark=Telekom
# 6 Then we need to mark all packets from those connections with a proper mark. As policy routing is required only for traffic going to the Internet, do not forget to specify in-interface option.
add action=mark-routing chain=output connection-mark=Digi_conn new-routing-mark=DIGI
add action=mark-routing chain=prerouting connection-mark=Digi_conn in-interface=bridge new-routing-mark=DIGI
Végül route table:
/ip/route> print
Flags: D - DYNAMIC; A - ACTIVE; c - CONNECT, s - STATIC; + - ECMP
Columns: DST-ADDRESS, GATEWAY, ROUTING-TABLE, DISTANCE
# DST-ADDRESS GATEWAY ROUTING-TABLE DISTANCE
0 s 0.0.0.0/0 10.0.0.1 main 2
1 As+ 0.0.0.0/0 192.168.0.1 main 1
2 As+ 0.0.0.0/0 192.168.0.1 main 1
3 As+ 0.0.0.0/0 10.0.0.1 main 1
DAc 10.0.0.1/32 Digi PPPoE main 0
DAc 192.168.0.0/24 ether1 main 0
DAc 192.168.1.0/24 bridge main 0
4 As 0.0.0.0/0 192.168.0.1 Telekom 1
5 As 0.0.0.0/0 10.0.0.1 DIGI 1
Mi lehet a gond? -
Ablakos
őstag
(Ipsec/Ikev2)
Nagyon régen túzfalaztam. A bejövő vpn klienseknek szeretnék internet hozzáférést, de nem találom a megoldást. Lekapcsoltam a komplett firewall->forward láncot, de így sem megy ki a kliens. A belső hálózatban mindent lát. Talán az Ipsec beállításban kell matatni? -
kammler
senior tag
válasz
lionhearted #24573 üzenetére
Komoly cucc ez a shelly. Webszerver meg minden tényleg, agyon vissza lehet konfigurálni LED-et, meg egyéni akciókat csinálni, meg script is látom van.
-
válasz
E.Kaufmann #24591 üzenetére
jah nem azt mondom, hogy ne lehetne ezen is fejleszteni, mindösszesen nem érzem akkora dealbrakernek a dolgot
-
E.Kaufmann
veterán
Fél másodperc * sok tábla az sok másodperc. Ha már valaki GUI-t fejleszt, akkor olvasson már az ergonómiáról...
Én is, mikor valami táblázatos dolgott fejlesztettem, ha nem is elsőre, de utólag, ahol tudtam beállítottam valami automatikus oszlopigazítást és próbálkoztam többféle mérettel és fonttal, mire azt mondtam, hogy naittegyemegafene...
-
válasz
E.Kaufmann #24588 üzenetére
hát... én rászántam azt a fél másodpercet, hogy széjjelébb húzzam az oszlopokat és kész.
-
-
E.Kaufmann
veterán
Én viszont azt tudom mondani, hogy az alapértelmezett beállítások mellett az új Winbox az általam használt gépeken átláthatatlan. Legalább a táblázatok beállításait másolhatták volna (betű méret, margók), ha már mindenképp fontos volt az ikonokat cserélni. Ott tartunk, hogy a szöveges export átláthatóbb, de akkor meg minek a GUI
-
válasz
kammler #24584 üzenetére
jah, hogy erre alapozod?
ez szerintem azért hülyeség, mert pár napja jött frissítése a Winbox3-nak és a changelogjában két olyan dolgot is írnak, ami jövőbeni rOS verziók támogatása miatt került beleWhat's new in v3.42:
*) added support for the Files menu in future RouterOS versions;
*) added some widget features for future RouterOS versions;
*) fixed crash when dragging the "#" column by disabling its movement;
*) fixed date fields to support year up to 2106;
*) terminal: ignore legacy shift-out (SO) character;meg hát:
fixed date fields to support year up to 2106;
- ez alapján úgy látom számolnak vele még egy darabig -
válasz
E.Kaufmann #24585 üzenetére
nem tudok erre mit mondani, nekem tök egyformák
-
-
kammler
senior tag
Na, asszem kampó lesz a winbox 3-nak.
-
válasz
lionhearted #24577 üzenetére
Áhh... na teszteltem mindenfélét, két Tik között (arm - arm64) beépített teszt 220Mbps. Ez már alakul, de az eszközre csak nem lett semmi előrelépés... majd sok alkalmazás tuning után... rájöttem, az eszköz 100 megás kábelen van a switchen (PoE feladó végén), Flow Control segíthet... és kitolja a 100 megát így. Legközelebb vinnem kell egy gigásat.
Köszönöm azért a tanácsokat! -
ekkold
Topikgazda
válasz
ekkold #24578 üzenetére
Újabb érdekesség:
Régebben telepítettem Virtualbox-ra RouterOs x86 verziót.
Egy kísétlet kedvéért jó lett volna ezt átvinni egy valós PC-re. A virtualbox által készített, .vdi lemezkép fájl-ból, egy parancssorral lehetett .img lemezképet készíteni.
A kapott .img fájlt pedig Rufus-al felírtam egy pendrájvra - és szépen bootol. -
ekkold
Topikgazda
válasz
lionhearted #24577 üzenetére
Wireguard tapasztalat:
Tőlem 150km-re egy virtuális PC-n fut Mikrotik RouterOs x86 verzió, ami gigabites (telekomos) neten lóg. Itthon 1000/300 DiGi optika, windows7 wireguard klienssel csatlakoztam a virtuális routerre, ami NAT-olt is, kb. 450/150Mbps sebességet mértem. -
válasz
E.Kaufmann #24576 üzenetére
De akkor ez inkább a windows kliens probléma, nem?
Nekem két Tik között kell. Két arm64 között is van egy, az 300 mbps biztosan tud, többet nem tudok tesztelni, mert nem szimmetrikus a vonal.
-8 MTUval próbáltam, az nem segített, de többet sajnos nem volt időm. -
E.Kaufmann
veterán
válasz
lionhearted #24575 üzenetére
Valóban az, de ha eret vágtam, se jött ki más.
Két ARM64-es routerrel és két Windows klienssel is próbálva a legújabb ROS-ok mellett gyári B2H beállításokkal, különféle MTU értékekkel, különféle portokkal is próbálva. Ha a fene fenét evett is, csak a fele jött annak, amennyi a két oldal között elvárható lett volna.
Amúgy, ha két router között is gyengus nálad, próbáld az MTU értéket csökkenteni. -
válasz
E.Kaufmann #24574 üzenetére
Érdekes, az internet népe nem volt ilyen lesújtó eredménnyel.
-
E.Kaufmann
veterán
válasz
lionhearted #24573 üzenetére
Nekem a Wireguard még CCR-en is megáll 50mbps-nél, Windows kliensekkel.
-
válasz
kammler #24572 üzenetére
Shelly plug, localban megy, felhő nélkül.
Több csaladi háztartás netjét felügyelem, most már mindenhol Tik van. Majdnem cserélve lett az ac2 is L009-re, így elért volna értelmes AX a kertbe.. de a CPU nem nagyon győzött meg.Úgy tudtam, hogy az ac2 wireguardon 200-300mbps, tegnap akartam összeállítani egy sftp backupot wireguardon keresztül (mint kiderült azóta cgnatolt a túloldalán), 25-30mbps lett. CPU se a tikeken, se a két forgalmazón nem maxolta ki. Nem értettem elsőre hol a bottleneck.
-
kammler
senior tag
válasz
lionhearted #24571 üzenetére
Már akkor sejtettem, hogy kampó van, amikor mindenféle egyéb szöszölés nélkül felpattant az AX-re, de mindig csak arra. Feltűnt, úgy bukott ki. Hát nálam 1000/1000 net van, otpika. Nem baj, az AX-ek elérnek mindenhova. Azért nem rakom vissza a régi wifi csomagot. A többi dugalj TP-Link. Hát a kamerák el vannak tiltva netről, meg minden. Néha firmware miatt kiengedem őket. Azokat csak LAN-ról, illetve VPN-ről lehet bámulni amúgy is, azok tudnak RTSP-t is, nem kell gyári app. Na a dugaljhoz kell, azok azért csinálnak, amit akarnak. De WPA3-on vannak már azok is.
-
válasz
kammler #24570 üzenetére
Ahol AC eszközeim vannak ilyesfajta kliensekkel, ott a régi csomag van. Pedig a nyári telekom gigabit akció miatt gondolkodtam, hogy váltok, de akkor lehet mégse sürgős.
A wifi sajnos ilyen, az is lehet, hogy csak kliensoldalon lenne debug.
Annyi ismeretes számomra, hogy a vlan izoláció nem egyezik ac és ax eszközök között, de gondolom nem DHCP vagy hasonló datapath elérés probléma, nem egy eszköznek tartod fent az ssid-t, más pedig működik. -
kammler
senior tag
válasz
lionhearted #24568 üzenetére
Most jutott eszembe, kikurkásztam egy régi hozzászólásom nem innen, egy másik helyről. Úgy látom technicolor telekomos ONT-vel is ment (FGA2235?), viszont D-Link AC-s routerrel megint nem ment. Na, mikrotik AC3 régi wifi driverrel megint ok volt. Ezt egy éve írtam tán. Most azért jutott eszembe, mert itt olvastam ezt a klímás dolgot. Ezen nem is erőlködők sztem. Csak ha most ezt valami mafla drága dolog csinálja meg? Akkor lesek.
-
kammler
senior tag
válasz
lionhearted #24568 üzenetére
wifi-qcom van rajt.
-
-
kammler
senior tag
válasz
lionhearted #24566 üzenetére
Hát én ezzel azóta se boldogulok: [smartplug] Az AX3-ra felmegy ha van titkosítás, ha van management protection, ha nincs. Tökmindegy neki, két mp, fent van rajt. Az AC3-ra nem hajlandó, connect van, aztán utána rögtön disconnect. De most már mocskosul irritál, hogy ez a kínai szr hülye, vagy a mikrotik fejlesztett megint. Ugyanebben TPlink oké. ARP listába mindig failed van az MAC addressénél.
-
válasz
takyka77 #24565 üzenetére
Ilyen ez az IT, van egy speckó nem kötelező elemekkel, akkor lesz aki kispórolja még évekkel később is...
Nekem van olyan eszközöm is, ami a base rate állítást nem viselte el. A defaultból talán kivettem a legalsót, vagy ilyesmi, és egyből szakadt le, fél méterre a routertől... -
takyka77
tag
válasz
lionhearted #24564 üzenetére
Úgy néz ki a Management protection volt a megoldás, kikapcsoltam és így már WPA2/CCMP mellett is tudott csatlakozni.
A másik 15 IoT eszköz nem balhézott ezen. -
-
takyka77
tag
válasz
lionhearted #24559 üzenetére
Tudom, hogy a hide ssid kozmetika, azt el is engedtem.
hAp AX3 wifi-qcom csomag rOS 7.19.1 a rendszer.
Nekem is a klímákon kívül minden rendben megy WPA2-n. -
válasz
Pizzafutar #24560 üzenetére
nem lehet kihagyni a check-gatewayt? legalább a teszt erejéig feltételezed, hogy működik
-
Pizzafutar
aktív tag
Sziasztok,
Két ISP-vel szeretnék megoldani egy PCC load balancing-ot a https://help.mikrotik.com/docs/spaces/ROS/pages/4390920/Load+Balancing oldalon leírtak szerint. (Tudom, ez csak connectionokat osztja el, de ezt most hagyjuk...)
Adott hozzá egy rb2011 router, egy Telekom koax internet és egy optikai Digi, a modem bridge módban.
Ha csak simán felkonfigurálom a két interfészt, beállítom mindkettőre a default route-ot egyenlő distance-al, illetve létrehozom a NAT szabályokat, a létrejött konfiguráció működik, valamelyik interfészen rendben megy a forgalom.
Ha azonban elkezdem megvalósítani a Per Connection Classifier leírásban leírtakat, már ott elakadok, hogy a digi esetében a 'check-gateway=ping
' nem működik. A remote address 10.0.0.1, ami a pingre nem válaszol.
Csinált már valaki ilyesmit? -
válasz
takyka77 #24554 üzenetére
Csak plusz infónak: A hide SSID egy kozmetikai megoldás, hogy ne legyen a listában. Védelemnek semmit sem ér.
Nekem amúgy minden okoseszközöm simán megy WPA2 only mellett. Az nem derült ki ebből, hogy az új wifi csomaggal kérdezed-e, vagy a régebbi wireless csomag mellett, de az újak tudják a WPA3at, így van bennük "management-protection", amit jóeséllyel nem tudnak ezek az eszközök. Ezt ki kell kapcsolni explicit, mivel a WPA2 szabvány nem kötelező jelleggel támogatja csak.
-
ekkold
Topikgazda
válasz
takyka77 #24554 üzenetére
A mikrotik tud egyszerre több SSID-t is sugározni, amelyekhez tartozhat különböző titkosítás, és akár (de nem kötelezően) különböző hálózatok is. Nyugodtan beállíthatnál a klímáknak egy külön SSID-t. Ezen korlátozható pl. a felkapcsolódó eszközök max. száma, és pl. akár MAC szűrést is be lehet állítani.
-
takyka77
tag
Úgy néz ki az nálam rendebn van, nem szórnak a világba semmit.
Viszont megnéztem, hogy ha a Telekom saját routerére kapcsolom, arra simán felmegy úgy is, ha engedélyzve van a WPA PSK/WPA2 PSK AES-el.
Mintha a Mikrotik az erősebbet követelné meg. Nem tudom. Ránézek a dokumentációjára. -
takyka77
tag
Sziasztok!
Olyan gondom van, hogy a klímák csak akkor kapcsolódnak a wifire, ha csak és kizárólag a WPA PSK/TKIP van engedélyezve, ha ez mellett engedélyezem a WPA2 PSK és/vagy a CCMP-t, máris ledobja magát a klíma.
Nem az a standard, hogy amelyiket tudja azon kapcsolódik?A másik gondom pedig, hogy ha be van kapcsolva a HIDE SSD, akkor minden eszköz lekapcsolódik.
-
-
Laca0
addikt
válasz
lionhearted #24551 üzenetére
Nincs beállítva.
RBD52G-5HacD2HnD 7.10.2 van rajta.
Más néven hAP AC2 -
-
Laca0
addikt
válasz
Tamarel #24549 üzenetére
A szolgáltatói routeren direktben mindig hozza a 600 körüli sebességet.
Ezeket mind a Mikrotik-en keresztül mértem.
Most megváltozott a speedtest.net-es mérés a Mikrotiken keresztül: most nem felugrik 600-ra és onnan esik vissza, hanem kb 250-en indul és emelkedik a sebesség 500 körülire. Tovább is menne, de a speedtest hamarabb leáll.
Szerintem most állítgatják ezt a korlátozó szoftvert a szolgáltatónál... vagy fogalmam sincs -
Laca0
addikt
Sziasztok!
Nem egészen ide tartozik a kérdés, de sok okos ember van itt a topikban. Annyiban ide tartozik, hogy Mikrotik router-en keresztül kapcsolódok a szolgáltatói router-re.
Hivatalosan 300-as netet fizetek, mert ennyinek mondták a maximumot pár éve, amikor beköttettem.
Direktben a szolgáltatói router-re kapcsolódva a speedtest.net is hozza a 600-as sebességet. Tehát csak a Mikin keresztül számol kevesebbet.
Ami még érdekes, hogy felugrik 600-ra indításkor, majd szépen lassan lemegy a 300-as sebességig.
Mi lehet ennek az oka? Nem értem a folyamatot.
Köszi! -
bgombos79
csendes tag
Nem a titkosítás vagy a MHz a gond. Van egy Mikrotik router. Azon nem használom a wi-fi -t.
Az csak a NET -t, DHCP -t biztosítja. Az AP egy ASUS (router AP moódban). Az standard. Azon minden jól van beállítva.A hiba a m.t -n keresendő. Amennyiben a m.t kikötöm és egy TP link router megy a helyére, akkor az AP (ASUS) -n keresztül sikerül konfigurálni mind a két 'hibás' eszközt. Akkor tökéletesen működik a rendszer. Amikor a m.t routert visszakötöm az említett két beállított rendszer megáll.
-
bgombos79
csendes tag
Sziasztok,
Segítséget szeretnék kérni. Van egy Mikrotik routerem RB2011UiAS.
Sem a robotporszívót, sem a klímát nem tudom hozzáadni a Wi-Fi AP -hoz.
Biztos, hogy a router okozza a hibát, mert ha kikötöm és egy TP-Link vackot rakok a helyére akkor a két említett eszközt tudom használni.
A legfrissebb update van rajta. A kamera rendszer és minden más működik gond nélkül. Ezt a két rendszert nem tudom a telefonnal hozzáadni a hálózathoz. (Nem sikerül üzenetet küldeni hibaüzenetet kapok)Mi lehet a gond?
[kép]Előre is köszönöm a segítséget.
Üdv
B. -
-
poolbig
aktív tag
Áh, megtaláltam köszi, ott van egy sor valóban Winbox Blacklist néven, meg persze egy IP.
No, időközben csak az lett, hogy a tárhelyszolgáltató blokkolta az ip címünket, feloldás után minden kafa.
Mindenkinek nagyon köszönöm a segítségét, ma is sokat tanultam tőletek.Hol lehet a fórumon kérni, hogy valamelyik posztomat töröljék, vagy módosítsák?
Köszi -
poolbig
aktív tag
Beszéltem a korábbi csapattal, ők sem tudnak semmilyen dinamikus tűzfalblokkolási szabályról, de nekik is rögtön az jutott az eszükbe, hogy a domain szolgáltató tilthat. Azért a fenti kérdéskör érdekel. Köszi.
-
-
poolbig
aktív tag
válasz
E.Kaufmann #24529 üzenetére
Áh, igen, csak kapkodok kicsit, mert mással is kell foglalkozzam.
A Slave portokra nem csatlakozik valószínűleg semmi, de megyek és megnézem.
Erre esetleg választ tudsz adni?Azt a A 'forward' chain szabályokat hol tudom megnézni, nincs-e dinamikus szűrés?
A Blacklist (Winbox)-os sorok mit jelentenek a Rules-ban?
-
E.Kaufmann
veterán
válasz
poolbig #24528 üzenetére
Én csak annyit látok, hogy a kijelölt ethernet port slave és nem "fut", valamint érdemes lenne kitakarni bizonyos részeket...
Meg kéne csörgetni az elődödet, felajánlva két sört, ha még szóba áll veletek.Előző melóhelyemmel én szóba álltam, pedig kicsesztek velem. Úgy volt, hogy maszekba lehetne egy ROS 6 -> 7 és router upgrade, aztán lefújták, mikor már majdnem kész voltam
, na most tartok ott, csak akkor állok már szóba velük, ha személyesen jön a régi nagyfőnök és személyesen csókolja meg a...
-
poolbig
aktív tag
válasz
E.Kaufmann #24527 üzenetére
Szerintem igen, megy a forgalom.
Azt a A 'forward' chain szabályokat hol tudom megnézni, nincs-e dinamikus szűrés?
A Blacklist (Winbox)-os sorok mit jelentenek a Rules-ban?
Amúgy minden más megy, csak egyedül ezt az egy domaint nem lehet elérni a belső hálózatról. Ezért vagy tényleg tiltja a tűzfal ezt a domaint, vagy a tárhelyszolgáltató tiltja a mi ip-nkről a hozzáférést.[ Módosította: Intruder2k5 ]
-
poolbig
aktív tag
válasz
E.Kaufmann #24525 üzenetére
A ping Time out-ra fut.
Az nslookup hozza az adatokat, Name, Address. -
poolbig
aktív tag
válasz
E.Kaufmann #24521 üzenetére
A DSN Static üres:
-
E.Kaufmann
veterán
válasz
poolbig #24517 üzenetére
Én RAW ágon bannolok.
Minek menjen át a teljes tűzfalon és conntrack-en. Ha Domain névvel van gond, próbáld meg, hogy nslookup feloldja-e. Ha nem, de pl mobilnetről működik akkor az IP DNS server környékét nézegetném. Nincs véletlenül valami PiHole vagy AdGuard még beiktatva?
-
poolbig
aktív tag
válasz
jerry311 #24516 üzenetére
Én csak megörököltem a rendszert, nem vagyok annyira járatos a mikrotik beállításokban, de ha megmondod mit kell keresnem a Firewall fül alatt, hogy kiderítsem van-e dinamikus IP block, megtalálom.
Egyébként a rules lista eleje ilyen:
A kijelölt rész gyanús nekem, de nem találtam Blacklist-et. -
jerry311
nagyúr
válasz
poolbig #24515 üzenetére
Mi a DNS szervered? Masik DNS szerverrel is tiltott?
Hasznalsz barmilyen konfiguraciot a Mikrotiken, ami dinamikusan tiltana domain-t vagy IP-t?
Ha csak statikus konfiggal dolgozol, akkor nem fog letiltani egyik pillanatrol a masikra.
Ha van valami dinamikus tiltas, akkor abba nezz bele.De ha ezen megy a levelezes is, akkor lehet a masik oldal tiltott le titeket, mert kaptak valamit, amit nem szerettek.
-
poolbig
aktív tag
Hali!
Egy RB2011UiAS r2-t használunk, egyik pillanatról a másikra tiltva lett a hálózaton egy domain, amin nemcsak a weboldal, hanem a levelezés is folyik. A routerhez nem volt hozzányúlva (elvileg). Más hálózatról elérhető a domain. Merre keresem a hibát?
Köszi. -
vmk
tag
Az interface VLAN az csak az "A" oldalon kell.
Ezt az exportot mindkét eszközön felvetted?
Mert a többi sor az mindkettőre kell.Bridge->VLAN-nál mindkét oldalon fel kell venni a VLAN-t és a Ports-nál a PVID-t.
"A" routeren SFP1 tagged, SFP8 untagged.
"B" routeren SPF1 tagged, SFP8 untagged.(Én lehet, hogy admit all frame type-al próbálnám.)
-
stopperos
senior tag
válasz
jerry311 #24506 üzenetére
Ez abban az esetben működik ha CRS3xx a switch, vagy újabb eszközzel dolgozunk. Hap ac^2 és hap ac lite esetén külön kell switch chip-et konfigurálni, mert nem tudja bridge-ből leküldeni a konfigurációt. Csak elveszítjük a hw offload-ot. CRS1xx és CRS2xx nél is hasonló a helyzet.
A régi eszközöknél úgy kell gondolkodni, hogy van egy switched és egy routered egy eszközben. Külön kell a switch részt konfigurálni a switch menüben, majd a cpu porton átadni a forgalmat.... Nem kellemes. -
stopperos
senior tag
Hmm.... Nekem ennyi lett. (Egy CHR-en kattintottam össze, de ha szeretnéd, akkor délután megcsinálom kettővel.)
Egy bridge van, nincs külön bridge-WAN. (Nem akarom a hw offload-ot elveszíteni.)/interface bridge
add name=bridge vlan-filtering=yes
/interface bridge port
add bridge=bridge interface=sfp1
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged interface=sfp8 pvid=100
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp1 untagged=sfp8 vlan-ids=10
A konfiguráció alapján: azsfp-sfpplus1-TLK
port nincs benne abridge-WAN
-ban nálad, és a második sorban nem kell apvid=99
.
Közben rájöttem, hogy a "A bridge-en felveszel egy-egy vlan-t (Interfaces -> VLAN). Mondjuk legyen a vlan id 100." rész nem kell itt. Ez nekem csak megszokás, hogy tudjam tesztelni. De problémát nem okoz a konfigurációban.
Amit én csinálok tesztelésre, hogy a felvett bridge vlan interface-re rakok dhcp klienst, hogy csak címet kérjen routing nélkül. Ebből látom, hogy átmegy-e a vlan forgalom az adott vezetéken. Előző héten így derítettem ki, hogy az egyik switch egyik sfp portja "admit-only-untagged..." -re volt állítva, és emiatt nem jött át a taggelt forgalom rajta. Esetedben fel lehetne a vlan-WAN-ra venni a WAN IP címet, és azt nézegetni. De még nem tartunk itt.
Próbáld ki amit írtam 2 módosítást, és mennie kell. az sfp1 hozzáadása a bridge-wan hoz már sokat fog segíteni. -
E.Kaufmann
veterán
Bocs, nem ide
-
válasz
stopperos #24505 üzenetére
tehát ennyi?
/interface bridge
add name=bridge-WAN pvid=99 vlan-filtering=yes
/interface vlan
add interface=bridge-WAN name=vlan-WAN vlan-id=99
/interface bridge port
add bridge=bridge-WAN frame-types=admit-only-untagged-and-priority-tagged interface=sfp-sfpplus8-WAN-GW pvid=99
/interface bridge vlan
add bridge=bridge-WAN tagged=bridge-WAN,sfp-sfpplus1-TLK untagged=sfp-sfpplus8-WAN-GW vlan-ids=99végigkattintgatva, amit írtál és exportálva legalábbis ez jött ki (ha jól értelmeztem mindent)
sajnos nem működik.
B router SFP8-ára rákötöttem egy laptopot, amin felvettem a szolgáltató által adott IP címet, gw-t, de sajnos nem tudok még egy IP címet se megpingelni.gondolom valami triviális dolgon csúszok el, de őszintén hülye vagyok a VLAN-hoz
-
stopperos
senior tag
Lehet úgy is ahogy te mondod, hogy untagged az sfp1 is, viszont akkor bonyolultabb az A eszköz elérése. (MAC alapú elérés vagy ROMON.) Ha másra is szeretné használni azt a "vezetéket", akkor jobb ha már eleve taggelve megy át rajta a forgalom A-B között. Natívan pedig mehet rajta más.
Szolgáltató felől érkező kereteket ellátjuk a 100-as VLAN tag-gel az A-sfp8 porton, a két router között már ez a megjelölt forgalom mozog A-sfp1 - B-sfp1. Majd a lekerül róla a tag és utána ami a B-sfp8 portba van dugva, az felveheti a WAN IP címet. -
mrots
tag
válasz
stopperos #24505 üzenetére
"A Bridge > VLANS oldalon pedig felveszed a 100-as VLAN-t, tagged a bridge, sfp1; untagged az sfp8."
Szeretnem megkerdezni, hogy miert lenne tagged az sfp1? A szolgaltato valoszinuleg nem ad vlan taget a beerkezo ethernet keretek fejleceben. Szerintem az sfp1 untagged kellene hogy legyen, hiszen sima access port, nincs ott tobb vlan, ugyanugy, ahogy az sfp8. -
stopperos
senior tag
Mindkét router esetén ugyanaz a beállítás. VLAN-t javasolnám.
A bridge-en felveszel egy-egy vlan-t (Interfaces -> VLAN). Mondjuk legyen a vlan id 100.
A Bridge > Ports oldalon az sfp8 portokra beállítod a VLAN fülön a PVID-t, és Frame Type-ra hogy admit only untagged and priority tagged.
A Bridge > VLANS oldalon pedig felveszed a 100-as VLAN-t, tagged a bridge, sfp1; untagged az sfp8.
Végül a Bridge > Bridge oldalon bekapcsolod a VLAN filteringet a bridge-re. A switch chip újra fog indulni, ezért egy másodpercre megszakad a kapcsolat. -
jerry311
nagyúr
Csinalsz neki egy kulon VLAN-t, SFP8 portokat berakot a VLAN-ba untagged, az SFP1 portokon tagged (vagy untagged, de akkor a jelenlegi forgalmat kell taggelni), es kb. ennyi.
Ez kb. mindenen gyartonal egyszeru kiveve a Mikrotiket.
(vagy csak az en felfogasommal van gond, hogy nem vagyok kepes felfogni a mikrotik VLAN kezeleset)
-
van két CRS309, A és B, amiket összeköt egy kábel, mindkét routernek az sfp1 portjába dugva.
A router sfp8 portjába jön egy statik IP-s WAN kapcsolat, amin keresztül bejön az internet.
azt szeretném, hogy ez az internet B router sfp8 portjából jöjjön ki, lehetőleg úgy, hogy az internetkapcsolat beállításait a B routerbe kötött céleszközön kelljen beállítani, tehát a netkapcsolat felépülésébe ne szóljon bele egyik router se, csak folyjon keresztül rajtuk.mivel tudnám ezt a leghatékonyabban megoldani? EoIP tunnel? VLAN?
-
ekkold
Topikgazda
válasz
E.Kaufmann #24500 üzenetére
Megnéztem, mintha javult volna valamit, mert csak néhány elhagyott bejegyzést találtam. A chatgpt szerint még nem javították a klienst. Viszont nekem mindíg új hálózatot vesz fel, úgy hogy a nevet kiegészíti egy sorszámmal. A registry-ben keresve több helyen is találtam ilyesmi bejegyzéseket.
Új hozzászólás Aktív témák
Hirdetés
- AMD Ryzen 9 / 7 / 5 / 3 5***(X) "Zen 3" (AM4)
- Friss koncepciót hoz a Nothing Phone (3)
- Milyen billentyűzetet vegyek?
- Yettel topik
- Xiaomi 15 - kicsi telefon nagy energiával
- Luck Dragon: Asszociációs játék. :)
- Veszprém és környéke adok-veszek-beszélgetek
- Kerékpárosok, bringások ide!
- BestBuy topik
- Diablo IV
- További aktív témák...
- GAMER PC RTX 3060 Ti 32GB RAM FULL HD / 1440p
- MSI Claw A1M 036 Konzol
- AKCIÓ!!! GAMER PC: Új i5-14400F +Új RTX 3080 +Új 16-64GB DDR4! GAR/SZÁMLA! 50 FÉLE HÁZ!
- HP Prodesk 600 G3 mini PC i5 7500T / WIFI / 8GB DDR4 / 256GB SSD / Type-C / 3x DP
- Dell Precision 7520, 15,6" FHD, I7-7820HQ, 16GB DDR4, 256GB SSD, M1200 4GB VGA, WIN 11
- Okosóra felvásárlás!! Samsung Galaxy Watch 5 Pro, Samsung Galaxy Watch 6 Classic
- ÁRGARANCIA!Épített KomPhone i7 14700KF 32/64GB RAM RTX 5070Ti 16GB GAMER PC termékbeszámítással
- Dymo LabelWriter 400 - Hőpapíros címkenyomtató
- Törött, Hibás iPhone felvásárlás!!
- Új! Targus - USB-C Dual HDMI 4K HUB - 2 HDMI-vel. Saját töltő nélkül 2 monitorral (120Hz)
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged