- Keretmentesít a Galaxy S25 FE
- iPhone topik
- Redmi Watch 5 - formás, de egyszerű
- 45 wattos vezeték nélküli töltés jön az új iPhone-ba
- Xiaomi 15 - kicsi telefon nagy energiával
- Google Pixel topik
- Apple iPhone 13 Pro Max - őnagysága
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Ilyen lesz a Fairphone 6
- LG V50 ThinQ Dual Screen - az 5G ára
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Proci85
senior tag
válasz
Adamo_sx
#3712
üzenetére
"Így kb. 8-10 Mbps a kimenő irányba a sebesség"
2011-gyel ennyi a teteje L2TP-vel. L2TP nélkül ~12Mbps.
Ezzel szemben 3011:
default ipsec beállításokkal: 84.6 mbps
esp: blowfish-blowfish: 90.9 mbps
esp: blowfish-null: 200 mbpsah: blowfish-blowfish: 222 mbps
itt AH miatt nincs szerepe a második encryptnek.ipsec nélkül: 902 mbps cpu0 40-60%
A mérések iperf programmal történtek.
-
Proci85
senior tag
válasz
bambano
#2121
üzenetére
Értem, köszi.
Amit én tennék:
Ha nem tudok plusz wifi linkeket kiépítemi, én is hurokba fűzném, anélkül nincs tartalék link, az egész projekt itt megállna.
Ezután tesztelném L2-ben stp/rstp-vel.
Ha nem az igazi, akkor route-olt hálózattá alakítanám és a szomszédos route-ok felvétele után default route-nak megadni a 12 óránál lévő mikrotik IP-jét. Mivel 10 és 2 órára is van egy lába, 2 IP-je van. A végponton ezt a 2 IP-t felvenni eltérő distance értékkel. / esetleg ECMP-vel egy bejegyzésben több gw-t megadni, abba az irányba súlyozva, amerre közelebb van a gw.Végpont alapból nem látja a 12 órás mikrotiket, ezért rekurzív hopot + scope-ot kell alkalmazni.
Egyszerűbb verzió: default gw-nek a szomszédos telephelyek mikrotikjeit veszed fel, szintén eltérő distance-szal.Routolt hálózat esetén már lehet játszani a scripteléssel. Ha keletkezik egy gyenge wifi link, azt pingelni. Ha x idő alatt nem produkál 0% packet lost, akkor az arra irányuló route-ot letíltani és addig vissza nem engedni, amíg stabilan nem jön helyre. Szóval hiszterézist állítani az oda-visszaálláshoz. Tipikusan gyenge, bedadogós wifi linkeknél hasznos. Ahol az RSTP keepalive üzenet még átcsúszik, de hasznos adat továbbítására alkalmatlan. Na ezt L2-ben szerintem megfogni nehéz. L3-ban már több minden van a kezedben.
Mivel "egyutas" hálózat, szerintem túl sokat nem lehet bonyolítani rajta.
-
Proci85
senior tag
válasz
bambano
#2119
üzenetére
Jól értem: 12 óránál van egy mikrotik, benne 3 link: 10 órára mutató, 2 órára mutató és uplink?
Hol, mit szeretnél tartalékolni? Mivel egy uplinked van, ezt a felét nem értem. Esetleg magát a mikrotik eszközt 2 példányban letenni és VRRP-ben futtatni, ha az egyiket agyonvágná a villám automatikusan átvegye a másik?A sávszélesség dilemmát jól érzed. Sajnos az egyirányúsítás ára, hogy a gyűrű "végén" lévő eszköz is a gyűrű "elején" lévő eszközön keresztül kap forgalmat.
-
Proci85
senior tag
válasz
bambano
#2113
üzenetére
"a routing mark szerintem nem megy át a dróton, tehát a következő router már nem fogja tudni, hogy azt szembe kell küldeni."
Nem megy át, de nem is kell.
Van egy előremenő és egy visszamenő interface-d telephelyenként.
A routing mark során megadod, hogy ha az előremenő interface-n jön be a csomag, akkor jelölje meg a csomagot -> erre illeszkedik egy ellentétes irányú routing.
Így tovább megy a csomag a visszirányon az előtte lévő routernek, ami szintén észreveszi az előremenő interface-n és így tovább."de egyébként sem látom, hogy ebben a megoldásban hol van az automatikus failover."
Ott, hogy van egy gyűrűd, melyet bárhol felszakítod, a routing automatikusan irányt vált.
stp? Vagy inkább rstp. Igen, ha layer 2-ben gondolkozol, akkor teljesen jó megoldás. Faék egyszerű, ellenben nem tudsz nagyon belenyúlni ha beleng és nehezen konvergál. 5 telephelynél azért ez kevésbé fenyegethet.
-
Proci85
senior tag
válasz
bambano
#2105
üzenetére
Eldurran 1 végpont = 1db wifi nem megy, tehát a kör másik irányába tud(na) kommunikálni a telephely?
A reduncancia jó, ha úgy dolgozik, hogy ha minden oké, az óramutató járásával megegyezően mennek a csomagok, ha felszakad a kör, akkor az óramutató járásával ellentétesen mennek a csomagok?
Ha így jó, akkor ezt pl. routing markkal lehetne megoldani, static route-ok használatával.
Megjelölni minden ellentétes irányba menő csomagot. Létre kell hozni egy routeot magasabb distance-szal a megjelölt csomagokra és az ellentétes irányba küldeni.
Így nem esünk bele abba a hibába, hogy a szakadt telephely visszafelé küldi a csomagot, a következő telephely meg neki vissza, és elping-pongoznának. -
Proci85
senior tag
válasz
vjozsef
#2087
üzenetére
Anélkül, hogy nagyon belemásznék a témába, gyorsan rákerestem ismét.
E szerint:
No protection for IP, GRE, and PPP header information (basically, protection issues for NCP PPP packets). Data is secure but initial connection negotiations can be vulnerable if captured (during authentication).Nem tudom, hogy a Mikrotik hol titkosít. Kis wikizés után nekem úgy tűnik, hogy max a data-t.
-
Proci85
senior tag
válasz
csusza`
#2083
üzenetére
PPTP-t erősen hanyagolnám.
1. alapból nem titkosít, csak tunnel. Mikrotikben van már elvileg titkosítás opció, de akkor is ott a 2. pont
2. GRE protokollt használt, fix portot használ. Belefuthatsz olyan hálózatba, ahol ezek nincsenek engedélyezve, főleg az általad említett országokban.Ebből a szempontból a legtutibb megoldás: OpenVPN 443 porton vagy SSTP 443 porton.
Ez viszonylag védett hálózatból is kitalál. -
#1976
Proci85
senior tag
nyilasmisi
#1975
Proci85
senior tag
válasz
nyilasmisi
#1975
üzenetére
Hm, igen, ahogy mondod. Elnézést.
brickm: igen.
hosszú volt a nap
-
Proci85
senior tag
válasz
soldi3r
#1971
üzenetére
Szia
Minden gond nélkül. Ha a net stabil alatta, VPN is az lesz.
A legizmosabb megoldás az ipsec, amiből RB3011 aes256: 85 MByte/s; aes128: 95 Mbyte/s; blowfish: 105 Mbyte/s átvitelt tud produkálni.
hAP: aes128: ~45 Mbyte/s szintén tiszta ipsec alatt.De mehet SSTP vagy OpenVPN is. Utóbbit szintén mértem, hap lite 25 Mbyte/s 2048bites kulccsal. A hAP ~30 Mbyte/s -t tudhat.
Csak a poén kedvéért: RB100AHx2 aes 256 -tal ~950 Mbyte/s, amit 2 külön felépített ipsec-kel is tudott produkálni 2x470 Mbyte/s.
-
-
Proci85
senior tag
válasz
bambano
#1826
üzenetére
6-7 portok között ment a teszt.
2db 1100AHx2 és 2db 3011 voltak a teszt alanyok.
Az 1100-asoknál szép látszott a multitask. Főleg a firewall tesztnél, ahol cpu0 és cpu1-re is jutott belőle. Addig a 3011-nél kizárólag a cpu0-t terhelték.Kételkedve fogadom én is, de egyelőre nem találtunk rá megoldást.
-
Proci85
senior tag
-
Proci85
senior tag
Ha csak az IP címedet szeretnéd megtudni, akkor az nem járható út, hogy bekapcsolod a belső dynDNS szolgáltatást (cloud), kapsz egy $azonosítót.domain.com címet, ami mindig az IP címedre mutat? Ezt a domaint időnként linuxból lekérdezed és SQL-be rakod.
B verzió, kicsit overkill: A mikrotik FTP-n mindig feltölt egy fájlt egy külső FTP szerverre. A mikrotiken nem jár írással. Szerver oldalon ismét megvan a végponti IP címed.
-
#1750
Proci85
senior tag
nyilasmisi
#1747
Proci85
senior tag
válasz
nyilasmisi
#1747
üzenetére
DROP-ra tegyél logot és szépen látszik majd, hogy milyen csomag illeszkedik rá. Ez alapján pedig javítsd a felette lévő szabályaidat, hogy a DROP-ig ne jusson el.
-
#1740
Proci85
senior tag
nyilasmisi
#1731
Proci85
senior tag
válasz
nyilasmisi
#1731
üzenetére
Nincs jelentősége, hogy cloud fut vagy nem. Neten van a cucc, random IP-ket próbálgatnak.
Told el a tipikus portokat és már is a kutya sem fog bepróbálkozni.
Még jobb, ha VPN mögé teszed az egész cuccot.Nem kell annyira rápörögni a próbálkozásokra. Aki pl. linux szervert üzemeltet (és van annyi esze, hogy nem tolja el a tipikus 22-es porton futó SSH-t). az naponta több száz ilyen bejegyzést talál a logban.
Amit még tehet az ember: admin usert csak LAN-ról engedélyezi és további usereket vesz fel, akik adott tartományból vagy ha szükséges, bármilyen címről becsatlakozhatnak. Ettől kezdve az usernév is egyfajta védelem, mivel úgy is default nevekkel próbálkoznak. admin, operator,stb.
-
-
Proci85
senior tag
Köszönöm a választ és bambano-nek is, mert az ő válasza után ugyanebbe az irányba mentem én is
3.30 felment, viszont a licensz alatt nem jelezte a köv. verzióra való frissíthetőséget, mint manapság, hogy 7.x-ig mehetünk.
Kiexportáltam a licenszet, majd kértem egy level 1 demo-t. Így már egészen 5.x -ig felfrissítettem. 6.x-re már nem mertem. ~20MB szabad ram, 90MB szabad HDD. Ugyan bukom a rádió használatát, de alap dolgokra megteszi.A licensz frissítést kipróbálom, köszi a tippet.
-
Proci85
senior tag
Sziasztok
Adott egy rb532. 2.9-es RouterOS van rajta, amit szeretnék fentebb frissíteni, de elakadtam.
JP1-re jumpert felhelyezem, tápot adok rá, de sosem kezd el villogni az user led. Csak config reset történik.
5.26-os netinstall fut vele egy switchen lévő gépen, de nem jön fel az eszköz.
Mi a trükk? Sosem csináltam még netinstallt.
A cél, hogy valahogy verziót frissítsek 4.x vagy 5.x-re.
Alapból a felmásolt npk+reboot megoldással nem frissül. -
#1310
Proci85
senior tag
nyilasmisi
#1288
Proci85
senior tag
válasz
nyilasmisi
#1288
üzenetére
Igen. Pár hónapja használom. Jól teszi a dolgát. Mi a kérdés?
-
Proci85
senior tag
Szia
A switch chip HW-s switch, bridge pedig egy SW megoldás, erősebb CPU terheléssel.
Amelyikben van switch chip, ott tehermentesíteni tudod a CPU-t, ha adott portotokat 1 switchez kapcsolod (master port -os szisztéma).
Ez a portok közötti komminikációnál, VLAN kezelésnél kihagyja a CPU-t (konkrétan a csomag nem jut fel CPU szintre), és nagyságrendekkel nagyobb átvilteli sebességet tudsz elérni a portok között.
Persze, amint tűzfal szabályokat használsz ezekre a portokra, fel kell küldenie a CPU-nak.
A VLAN kezelést is máshol, másként kell intézni, ha switch chipen vagy bridgelt módban akarod használni.
[link] -
Proci85
senior tag
Persze, ha a telephelyeken van erre hely, kapacitás, jó megoldás a PC alapú VPN is. Ha esetleg futnak virtuális gépek, melléjük fel lehet dobni +1 virt.gépet VPN-nek.
Ha még is kis méretű gépet keresel, akkor érdemes megnézni a single boardokat pl. odroid, amikből már egész komoly számítási kapacitással rendelkezők vannak (4 mag), VPN-nél neked ez kell. Ettől a ponttól kezdve viszont csináld magad a történet, nem next-next finish. -
Proci85
senior tag
Milyen VPN megoldással szeretnéd összekötni a telephelyeket?
IPsec-et használok pár helyen, RB2011: 12.5MBit/s, hAP lite(!): ~10MBit/s
PPTP-vel és OpenVPN-nel már jobb eredményeid lehetnek, csak ezért-azért nem mindenki szereti. Ha kell, megnézem neked.
Ha biztonságra gyúrsz, RB1100AHx2 amiben hardveres encrypt van, így elvileg 500Mbit/s -ig kihajtható IPsec-el. Csak ez nettó 70-80.
VPN-nel történő telephely összekötettésre a Vigor routereket szokták még szeretni illetve újabban az Ubiquiti Edge routereket felől is nagyon jókat mondanak. Ha gondolod, nézz rájuk. -
Proci85
senior tag
válasz
bambano
#1181
üzenetére
Virtuális szerverben fut. Nincs vele szenvedés. Magam sem gondoltam, de jól teszi a dolgát.
Legutóbb épp Mikrotik tanfolyam mesélte egy srác, náluk Supermicro szerveren fut és ezres nagyságrendű VPN-t kezel le (meg ki tudja mi egyebet még).Legelőször egy 500 fős cég cloud rendszerében találkoztam vele, amikor én még iptables-szel raktam össze a natolást, külön dhcp-t, stb, Itt RouterOS látta el a NAT, fw, DHCP, lightosabb VPN funkciókat.
Megtetszett, hogy pikk-pakk összerakja az ember. Attól kezdve, ha virtális szerver környezetben alszegmenst kell létrehozni, én is hamarabb feldobok egy RouterOS-t, mint mást. Ha elég a feladatra.Az igazsághoz hozzátartozik, egy kritikus szint után leromlik a RouterOS teljesítménye, ahol már Linuxra érdemes cserélni. Ez kb ~2-3000 VPN kapcsolatnál és datacenter szintű route-ingnál jelentkezik...a fórumos nyelvek szerint.
-
Proci85
senior tag
Ha elég a features limit (pl. 1 egyidejű VPN kapcsolat), akkor kérj ingyenes demo licenszet ami örök élet, nem áll le 24 óra után.
Én több x86-os rendszert igy használok és elég amire kell. Frissíthető, semmi hátrányt nem szenvedsz a számbeli limiteket leszámítva. -
Proci85
senior tag
Srácok, múlt héten & héten voltam MTCNA és MTCRE tanfolyamon.
Le a kallappal. Foglalkozom már egy ideje Mikrotikkel (hAP lite, 2011, 1100AHx2), hálózatokkal is, de nagyon alapos, nagyon széles repertoárból merítettünk anyagot. Nagyon sok mindent helyretett nekem és sok újat is adott. Tudtam, hogy svájci bicska a TIK, de hogy ennyire....kb egy hűha-val távoztam a tanfolyam végén
Szóval akinek van lehetősége és affinitása az ilyesmire, abszolút ajánlom. -
-
Proci85
senior tag
Remélem azért van jobb megoldás
Egy ilyet találtam az imént. Nem próbáltam még és nem is most fogom, mert távol van az eszköz. wlan tx power - wlan tx power 2
Ezt birizgálta már valaki? -
Proci85
senior tag
Gyári router, gyári licensszel (pl. level 4). 1x megveszed a HW-t, jellemzően nem kell fizetni x frissítésig. Kérdés, hogy a 3.x-es RouterOS meddig engedne felmászni
Vagy van-e benne korlát vagy mindig a következőt jelzi előre, mint jelen esetben fórum társunknak a 7.x-et. Majd 7.x eljöttével a 8.x-et jelzi?
Egy tapasztalt RouterOS frissítő válasza megnyugtató lenne
A kérdés azért merült fel, mert lehet venni használtan RB750-et, de ha régi a HW, régi az SW is rajta. Leírás szerint 3.x-es RouterOS van rajta, ami annyira azért nem kellene... -
Proci85
senior tag
válasz
TonTomika
#344
üzenetére
CRS-ről nincs infóm, de CCR-t (Cloud Core Router) szidják páran kiforratlansága miatt. Félek a CRS is ilyen, de aki jobban benne van, majd kijavít.
1100AHx2 illetve a 2011 nagyon kiforrott típusok. Legutóbb épp egy szerverteremben telepített Mikrotik nézett szét milyen szomszédos eszközök vannak és meglepően tapasztaltam, hogy szinte csak e két típus közül volt mind. (10 eszközt láttam a hálózati szegmensemben). -
Proci85
senior tag
Ha nins extra igényed, amit egy home router ne tudna, akkor neked is javaslom az Asus routereket ahol hardveres NAT van, így kiviszi a gigabit route-ot.
Újabban Tomato firmware is ki tudja használni a hardveres NAT-ot, így a open-source firmwarek előnyét is élvezheted (VPN, storage mount, iptables tűzfal, scriptelés,stb). -
Proci85
senior tag
Nézz át a milyen router vegyek topikba. Ott több felsőkategóriás 20.000 Ft körüli asus asztali router is van ami hardveres NAT-ot tud, így a 8-900Mbitet tud routeolni. Arra is számolj, hogy több kisebb wifi jobb, mint 1 nagy, mert noha a mikrotik 1W-tal sugároz, az csak egyik irány. A matyi telefonod még nem fog tudni 1W-tal viszaválaszolni a messzi mikrotiknek -> több, kisebb wifi.
-
Proci85
senior tag
1x van egy key amit a netről letöltött RouterOS-ek random(?) generálnak, tehát mindegyiknek más. Aztán, hogy abból hogyan kapsz privat keyt, azt passz.
Ha nem értettem félre, minden RouterOS installer egyedi azonosítóval van ellátva. Ebből azt tippelem, ha tehát a letöltött installert többször felteszed, ugyanaz a key lesz? Ezt letesztelem magam is. A napokban kezdtem el foglalkozni a licenszelés kérdésével én is. -
Proci85
senior tag
Irhatsz a gyártónak, de szerintem elhajt. Ilyen okok miatt a licenszet ki kell menteni vész esetére.
Amit tehetsz legrosszabb esetben: a mikrotik oldalán beregelsz és kérsz 1-es szintű ingyenes demo licenszet. Az alap dolgokat korlátlan ideig használhatod. Ehhez bekéri az installált RouterOS key számát (ki tudod olvasni a licensek alatt) és arra rögtön kapsz mailben egy privat key-t. Ezt beadod a RouterOS-nek és level 1-ed lesz. -
Proci85
senior tag
válasz
menyus11
#307
üzenetére
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=9457 in-interface=WAN protocol=udp to-addresses=192.168.200.2 to-ports=9457A WAN az az interface, ahonnan a netet kapod. Nekem az ether1 WAN-ra van átnevezve. Ird át a tiédre.
A 192.168.200.2 az a belső hálós IP, ahol a szerver van, írd át a tiédre.Ha a forwardot alapból dropolod, akkor ott is engedd be ezeket a portokat. Ott már nem szükséges megadni cél IP-t, csak portot.
-
Proci85
senior tag
Próbáltad már?
Egyébként amennyire bugosan jönnek ki a Mikrotik sw-k 1-1 új hw-hez, simán elhiszem."Pár napra (még tavaly év vége fele) volt nálunk két CCR1016-12G, viszont nekünk nem vált be, processzor igényes munkát végzett volna (gre tunnel, natolás, tűzfal szabályok, és gbit közeli forgalom), de mint kiderült akkoriban a szoftvere még nem ismerte a multithreadet, így 1 mag 100%-on pörgött amíg a másik 15 pihent."
[link]
Egy ilyen vasnál ez CINK! -
Proci85
senior tag
Sziasztok
CCR1009-8G-1S -ről van valakinek tapasztalata?
Mennyire bugzik?
Nem túl régről azt olvastam, hogy a RouterOS nem képes kezelni a több magot, szálat, így tök fölösleges a 9 mag ide...nem tudom azóta alkottak-e valamit a fiúk?Köszi
-
Proci85
senior tag
Sziasztok
Melyik Mikrotik router javasolnátok?
Amire lesz:
-60/10Mbites kábelnet
-15 fős iroda, max 15 PC, 15 IP telefon, néhány laptop, 15 telefon WIFI-n. Wifit külön wifi AP viszi majd. Tehát ~50 kliens max, ebből átlag 25 lesz fent.
-dual wan megoldás kell, fő a kábelnet, tartalék net ADSL. Fail-over megoldás kell, tehát ha az egyik leszakad, a másikra menjen át.
-VPN-nel összeköttetés távoli szerverrel, VPN 0-24 megy, onnan érünk el fontos hálókat. VPN forgalom átlag 10Mbit.Köszönöm!
Új hozzászólás Aktív témák
Hirdetés
ekkold
- Xbox Series X, dobozában, kitisztítva+újrapasztázva, 6 hó teljeskörű gar., Bp-i üzletből eladó!
- Xbox Series X, kitisztítva+újrapasztázva, 6 hó teljeskörű garanciával., Bp-i üzletből eladó!
- Eladó Gopro Hero 10 Black edition sok tartozékkal!!
- Brutál GAMER (I7-9700K/RX 6800 Aorus/Z370-F CHIP)
- Simrig eladó PS5/PC kompatibilis. (olvass leírást.)
- Kingmax 1x2GB DDR2 800 RAM eladó
- ÁRGARANCIA!Épített KomPhone Ryzen 7 7800X3D 32/64GB RAM RTX 5070Ti 16GB GAMER PC termékbeszámítással
- Apple iPhone X, 256GB, Kártyafüggetlen
- LG 27GR95QE - 27" OLED / QHD 2K / 240Hz & 0.03ms / NVIDIA G-Sync / FreeSync Premium / HDMI 2.1
- AKCÓÓÓ!!! Panasonic CF-XZ6 AIO all-in-one laptop tablet 2k touch i5-7300u speciális ütésálló
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest