- Honor 400 Pro - gép a képben
- Apple iPhone 16 Pro - rutinvizsga
- India felől közelít egy 7550 mAh-s Redmi
- Xiaomi 13T és 13T Pro - nincs tétlenkedés
- Milyen okostelefont vegyek?
- Telekom mobilszolgáltatások
- Xiaomi 15 - kicsi telefon nagy energiával
- Sony Xperia 1 V - kizárólag igényeseknek
- Samsung Galaxy S21 és S21+ - húszra akartak lapot húzni
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
betyarr
veterán
sziasztok!
még az a ros verzió van fenn a routeremen, amivel megvettem (2021), de most mindenképp szeretném frissíteni a legutóbbi stable v6-ra. ami a legfontosabb kérdésem, hogy a 6-oson belül változik a menü felépítése? illetve, jó, ha a menün belül kattintok a frissítések keresése opcióra és úgy frissítem?
-
#16069
betyarr
veterán
lionhearted
#16068
betyarr
veterán
válasz
lionhearted
#16068
üzenetére
Én olyat nem látok, hogy távoli portot nézeget sorban
öö,valóban.én tévedtem ezzel kapcsolatban.ezek az én portjaim.akkor ezek szerint hiába van egy fix port beállítva a kliensnek,attól még az csilliárd másik porton kommunikál a tőlem letöltőkkel?
mod.: és ezt Reggie0 is írta.úgy látszik rémületemben rebootolt az agyam
-
#16066
betyarr
veterán
lionhearted
#16065
betyarr
veterán
válasz
lionhearted
#16065
üzenetére
és ez okozná,hogy sorban egyesével "nézegeti" a távoli portokat megszámlálhatatlanul (na jó,biztos meg lehet számolni,de azért jó sok van a listában)?
-
betyarr
veterán
válasz
Mr Dini
#16063
üzenetére
de miért akar csatlakozni egy rakat távoli porton keresztül ip-khez?mint valami port scanner,azt csinálja.mert az oké,hogy van kimenő meg bejövő az engedélyezett és nyitott porton,azokat is látom.de a kép,amit beillesztettem azokkal a kapcsolatokkal,azt nem tudom hová tenni.
-
betyarr
veterán
azt kérdezném meg,hogy összehasonlítva egy out of the box routerrel a skori féle leírásban szereplő alap tűzfalbeállítások mennyire elégségesek a mikrotik esetében a hálózat/router védelmére?bőven jó,vagy kellene még rajta csiszolni?nekem csak annyi van beállítva,amit ott találtam,de nagyon nem merem piszkálni,mert nem lenne jó olyat is tiltani vagy engedélyezni,amit nem kéne.vannak olyan általános ajánlások,amit még érdemes beállítani rajta?
-
betyarr
veterán
-
betyarr
veterán
szerintetek a szolgáltató felől hibádzik valami,vagy a mikrotik router kínlódik?
mod.: annyit még hozzátennék,hogy mindig is volt ilyen (úgy értem a régi lakhelyemen ahol másik szolgáltató volt),csak talán nem ennyire durván.
illetve,néha rájön és dobálja a portokra ezt a link down/link up dolgot,csak nem ilyen gyakran. -
#15885
betyarr
veterán
lionhearted
#15884
betyarr
veterán
válasz
lionhearted
#15884
üzenetére
ott is csak annyi látszik,hogy disconnected majd connected.semmi egyéb
-
#15877
betyarr
veterán
lionhearted
#15870
betyarr
veterán
válasz
lionhearted
#15870
üzenetére
sajna nem ez a megoldás
a 7 nap sem segített,de a 23 óra sem.ha valakinek lenne még ötlete,azt szívesen fogadom!
-
#15874
betyarr
veterán
lionhearted
#15870
betyarr
veterán
válasz
lionhearted
#15870
üzenetére
lease time-ot tudok állítani,de az valszeg nem az.duplaklikk az eszköz mezőjére,ott az expires after nem módosítható.hogyan kell ezt megadni?
-
betyarr
veterán
remélem minden olyan infót sikerült kiszednem belőle,ami nem kell hogy nyilvános legyen.
[admin@MikroTik] >> export hide-sensitive
# jan/04/2022 09:26:39 by RouterOS 6.48.1
# software id = 85EM-JDDR
#
# model = RB4011iGS+
# serial number =
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether2 ] comment=Gigaset
set [ find default-name=ether3 ] comment=TADO
set [ find default-name=ether4 ] comment=POWERCUBE
set [ find default-name=ether5 ] comment=KRAFTWERK
set [ find default-name=ether8 ] comment=Raspberry
set [ find default-name=ether10 ] comment=Nandi-PC
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip kid-control
add disabled=yes fri=15h-17h30m mon=8h30m-17h10m name="L\F5rinc" sat=\
8h-9h30m,14h-16h sun=8h-9h30m,14h-16h thu=16h30m-17h10m tue=16h30m-17h10m \
wed=16h30m-17h10m
add disabled=yes fri=15h-17h30m mon=8h30m-17h10m name=Regi sat=8h-9h30m,14h-16h \
sun=8h-9h30m,14h-16h thu=16h30m-17h10m tue=16h30m-17h10m wed=16h30m-17h10m
/ip pool
add name=dhcp-pool1 ranges=192.168.1.0-192.168.1.250
add name=vpn_pool ranges=192.168.12.2-192.168.12.10
/ip dhcp-server
add address-pool=dhcp-pool1 authoritative=after-2sec-delay disabled=no \
interface=bridge1 lease-time=21w3d10m name=server1
/ppp profile
add local-address=192.168.12.1 name=vpn_profile on-up="#az \E9l\? VPN kapcsolato\
k enged\E9ly\E9t hosszabb\EDtja meg a tuzfal vpnlogin list\E1ban\r\
\n:delay 2\r\
\nforeach i in=[ppp active find ] do={\r\
\n local ipaddr [ppp active get value-name=caller \$i];\r\
\n /ip firewall address-list set [find address=\$ipaddr list=\"vpnlogin\"] \
timeout=01:30:01\r\
\n /ip firewall address-list set [find address=\$ipaddr list=\"vpn1\"] time\
out=01:30:00\r\
\n}\r\
\n" remote-address=vpn_pool
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
ord,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
/interface ovpn-server server
set auth=sha1 certificate=server cipher=aes256 enabled=yes port= \
require-client-certificate=yes
/interface pptp-server server
set default-profile=default max-mru=1460 max-mtu=1460
/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.1.249 always-broadcast=yes comment="Sonoff POWECUBE" \
mac-address= server=server1
add address=192.168.1.248 always-broadcast=yes mac-address= \
server=server1
add address=192.168.1.247 comment="Main light" mac-address= \
server=server1
add address=192.168.1.241 comment="RM mini" mac-address= \
server=server1
add address=192.168.1.240 client-id= mac-address=\
server=server1
add address=192.168.1.105 client-id= comment=POWERCUBE \
mac-address= server=server1
add address=192.168.1.111 client-id=1: comment=KRAFTWERK \
mac-address= server=server1
add address=192.168.1.127 client-id=1: mac-address=\
server=server1
add address=192.168.1.11 client-id=1: comment=Regi_TV \
mac-address= server=server1
add address=192.168.1.107 client-id= comment=LG_TV \
mac-address= server=server1
add address=192.168.1.103 comment=Gigaset mac-address= server=\
server1
add address=192.168.1.100 client-id= comment=Anett_telefon \
mac-address= server=server1
add address=192.168.1.37 client-id= comment=\
"L\F5rinc_tablet" mac-address= server=server1
add address=192.168.1.118 client-id= comment=Regi_tablet \
mac-address= server=server1
add address=192.168.1.243 always-broadcast=yes comment="Desktop lamp" \
mac-address= server=server1
add address=192.168.1.250 comment="Sonoff TV" mac-address= \
server=server1
add address=192.168.1.102 client-id=1: mac-address=\
server=server1
add address=192.168.1.14 client-id=1 mac-address=\
server=server1
add address=192.168.1.77 client-id= comment="L\F5rinc PC" \
mac-address= server=server1
add address=192.168.1.15 client-id=1 comment="Regi telefon" \
mac-address= server=server1
add address=192.168.1.10 comment=Yeelight2 mac-address= \
server=server1
add address=192.168.1.9 comment=yeelight1 mac-address= server=\
server1
add address=192.168.1.126 client-id= mac-address=\
server=server1
add address=192.168.1.242 always-broadcast=yes comment="Sonoff KRAFTWERK" \
mac-address= server=server1
add address=192.168.1.128 client-id=1 mac-address=\
server=server1
add address=192.168.1.7 client-id= comment="Regi PC" \
mac-address= server=server1
add address=192.168.1.62 client-id= mac-address=\
server=server1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.4.4
/ip firewall address-list
add address=0.0.0.0/8 list=blacklist
add address=127.0.0.0/8 list=blacklist
add address=224.0.0.0/3 list=blacklist
/ip firewall filter
add action=accept chain=input in-interface=!ether1 src-address=192.168.0.0/24
add action=accept chain=input comment="Established connections" \
connection-state=established
add action=drop chain=input comment="Invalid csomagok eldob" connection-state=\
invalid
add action=drop chain=forward comment="Invalid csomagok eldob" \
connection-state=invalid
add action=drop chain=input comment="DNS net fel\F5l eldob" dst-port=53 \
protocol=udp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist address-list-timeout=\
1d10m chain=input comment="port scanners" protocol=tcp psd=21,3s,3,1
add action=drop chain=forward comment="drop blacklist" src-address-list=\
blacklist
add action=drop chain=input comment="drop blacklist" src-address-list=blacklist
add action=add-src-to-address-list address-list=blacklist address-list-timeout=\
6h chain=input dst-port= protocol=tcp \
src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist address-list-timeout=\
6h chain=input dst-port= protocol=udp \
src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist address-list-timeout=\
5h59m chain=input comment="OVPN - 5:59 - blakcklist" connection-state=new \
dst-port=11194 protocol=tcp src-address-list=!vpnlogin
add action=add-src-to-address-list address-list=vpnlogin address-list-timeout=\
1m30s chain=input comment="OVPN - 1,5 min - vpnlogin list" \
connection-state=new dst-port= protocol=tcp src-address-list=!vpn1
add action=add-src-to-address-list address-list=vpn1 address-list-timeout=59m \
chain=input comment="OVPN - 59min - vpn1 list" connection-state=new \
dst-port= protocol=tcp src-address-list=!vpn1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
192.168.1.0/24
add action=dst-nat chain=dstnat dst-port= in-interface=ether1 protocol=tcp \
to-addresses=192.168.1.111 to-ports=
add action=dst-nat chain=dstnat dst-port= in-interface=ether1 protocol=udp \
to-addresses=192.168.1.111 to-ports=
add action=accept chain=srcnat dst-port= protocol=tcp
add action=accept chain=srcnat dst-port= protocol=udp
add action=masquerade chain=srcnat comment=VPN src-address=192.168.12.0/24
/ip firewall service-port
set sip sip-direct-media=no
/ip hotspot user
set [ find default=yes ] limit-uptime=5m
/ip kid-control device
add mac-address= name="L\F5rincPc" user="L\F5rinc"
add mac-address= name="Regi TV" user=Regi
add mac-address= name="L\F5rinc tablet" user="L\F5rinc"
add mac-address= name="Regi tablet" user=Regi
add mac-address= name="Regi telefon" user=Regi
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.0.0/16 port=
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.0.0/16
set api-ssl disabled=yes
/ppp secret
add name=nandi profile=vpn_profile service=ovpn
/system clock
set time-zone-name=Europe/Budapest
/system ntp client
set enabled=yes primary-ntp=148.6.0.1 secondary-ntp=52.178.161.41
/system scheduler
add interval=1w name=" backup-mail" on-event=backup-mail policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=feb/18/2021 start-time=10:00:00
add interval=1h name="open vpn" on-event="#az \E9l\? VPN kapcsolatok enged\E9ly\
\E9t hosszabb\EDtja meg a tuzfal vpnlogin list\E1ban\r\
\n:delay 2\r\
\nforeach i in=[ppp active find ] do={\r\
\n local ipaddr [ppp active get value-name=caller \$i];\r\
\n /ip firewall address-list set [find address=\$ipaddr list=\"vpnlogin\"] \
timeout=01:30:01\r\
\n /ip firewall address-list set [find address=\$ipaddr list=\"vpn1\"] time\
out=01:30:00\r\
\n}" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-time=startup
/system script
add dont-require-permissions=no name=backup-mail owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="# K\
onfig ment\E9se, \E9s k\FCld\E9se email-ben\r\
\n:log info \"Starting Backup Script\"\r\
\n\r\
\n# lok\E1lis v\E1ltoz\F3kba ideiglenesen elt\E1roljuk az elk\FCdeni k\EDv\
\E1n inform\E1ci\F3kat\r\
\nlocal modellname [/system routerboard get model]\r\
\nlocal boardname [/system resource get board-name]\r\
\nlocal cpuload [/system resource get cpu-load]\r\
\n\r\
\nlocal uptime [/system resource get uptime]\r\
\nlocal dnsname [/ip cloud get dns-name]\r\
\nlocal osver [/system resource get version]\r\
\nlocal IPaddr [/ip cloud get public-address ]\r\
\n\r\
\nlocal filename [/system identity get name]\r\
\nlocal datum [/system clock get date]\r\
\n\r\
\n# a d\E1tumot szinmpatikusabb form\E1tumra alak\EDtjuk\r\
\nlocal day [ :pick \$datum 4 6 ]\r\
\nlocal month [ :pick \$datum 0 3 ]\r\
\nlocal year [ :pick \$datum 7 11 ]\r\
\nset \$datum \"\$year\$month\$day\"\r\
\n\r\
\n# a f\E1jlneveket a a router nev\E9b\?l \E9s a d\E1tumb\F3l gener\E1ljuk\r\
\nset \$filename \"\$filename-\$datum\"\r\
\n\r\
\n# elk\E9sz\EDtj\FCk a backup f\E1jlokat\r\
\nexport file=\"\$filename.rsc\"\r\
\n/system backup save name= \"\$filename.backup\"\r\
\n\r\
\n# megv\E1rjuk am\EDg a f\E1jlok l\E9trej\F6nnek\r\
\n:delay 30\r\
\n\r\
\n# email k\FCld\E9se a csatolt f\E1jlokkal \E9s adatokkal\r\
\n# a cimzettet \EDrjuk \E1t arra a c\EDmre amire az emailt szeretn\E9nk meg\
kapni\r\
\n/tool e-mail send to= subject=\"Backup \$filename\" \\\
\r\
\nbody=\"Mikrotik backup: \$filename\\r\\nModell: \$modellname\\r\\nBoard: \
\$boardname\\r\\nCPU load: \$cpuload%\\r\\nIP: \$IPaddr\\r\\nDNS name: \$dns\
name\\r\\nOs ver: \$osver\\r\\nUptime: \$uptime\\r\\n\" \\\r\
\nfile=\"\$filename.rsc,\$filename.backup\"\r\
\n\r\
\n# v\E1rakoz\E1s, majd a backup f\E1jlok t\F6rl\E9se a router t\E1rol\F3j\
\E1b\F3l\r\
\n:delay 50\r\
\n/file remove \"\$filename.rsc\"\r\
\n/file remove \"\$filename.backup\"\r\
\n"
/tool e-mail
set address=smtp.gmail.com from=MikiTiki<> port=587 \
start-tls=yes user=
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool netwatch
add down-script="/tool e-mail send to= subject=\"Host is Dow\
n\" from= port=587 start-tls=yes user=\
om password=` body=\"Host Down\"" host=178.164.243.134 \
up-script="/tool e-mail send to= subject=\"\C9rtes\EDt\
\E9s a routert\F5l\" from= port=587 start-tls=yes user=k\
password= body=\"Az internetkapcsolat \
helyre\E1llt\""
[admin@MikroTik] >> -
#15857
betyarr
veterán
lionhearted
#15855
betyarr
veterán
válasz
lionhearted
#15855
üzenetére
10 perc,plusz 150 nap.legalábbis itt ezt írja.vagy rossz helyen keresgélek?
-
betyarr
veterán
nekem egy rb4011 van.azért érdekes ez az egész,mert 2 hónapig a voda eszközére volt kötve a unifi ap és egyetlen egy alkalommal sem volt ilyen gebasz.amint átkértem a szolgáltatói eszközt bridge-be,azóta (megint) ez a gond.és csakis kizárólag a sonoffok csinálják ezt.egyéb wifis okoscuccok soha nem kapcsolódnak le-fel.ugyanez volt a helyzet az előző lakhelyemen,csak ott a digi volt a szolgáltató.akkor azt hittem,hogy a sonoffok vagy a unifi ap szívat.de most így kiderült,hogy nem.
-
-
-
betyarr
veterán
van egy pár sonoff eszközöm,többnyire okoskonnektorok.valamiért nem szeretik egymást a mikrotik routeremmel,mert folyamatosan lekapcsolódnak a hálózatról random időközönként (10 perc-1 max két óra után).a szolgáltatói csodarouterrel nem volt ilyen gebasz közel 2 hónapon keresztül (új helyre költöztünk).mihelyst átkértem a csodamasinát bridge módba és beüzemeltem a mikrotiket,azóta csinálják a sonoffok ezt a le-felcsatlakozást.a régi lakhelyemen is ez volt,akkor meg voltam róla győződve,hogy a sonoffnál van a bug,mert minden egyéb wifis eszköz betonsatbilan csatlakozik.a wifit egy unifi ap adja,de ennél is kizárva a hiba,mert a költözést követően rögtön beüzemeltem.
tudnátok ebben segíteni? -
betyarr
veterán
sziasztok!
régen jártam itt.hamarosan elköltözünk digis helyről voda-upc-s szolgáltatási területre.lesz gigabit,de ha jól tudom,akkor az koaxon fog jönni a szolgáltató eszközébe és onnan tovább utp-n a routerbe.ha jól tudom így már nem pppoe lesz a kapcsolat.a jelenlegi (skori féle) beállításokon mit kell majd belőni a routerben?tudna ebben valaki segíteni?gondolom nem kell a nulláról konfigolni a routert?
-
betyarr
veterán
válasz
Zwodkassy
#13079
üzenetére
nem akarok belevau,csak próbálok/próbáltam gondolkodni.amíg a megfelelő portokhoz nem tettem be a tűzfal szabályt,addig nekem is tépték a winbox portját.ergo hiába csak belülről érhető el,attól még automatikusan próbálkozhatnak rajta,max nem sikerül.ha már van hozzá FW rule és küldi a feketelistára,onnan már a logban sem jelenik meg.nekem legalábbis így történt.
de javíts(atok) ki,ha ez nem így van.lehet én gondolkodom rosszul
-
betyarr
veterán
válasz
Ablakos
#13074
üzenetére
ennyire azért nem vagyok jó még ebben,hogy ilyen preroutingba tegyek bármit is
egyelőre örülök,hogy kezdem felfogni (haha!inkább kapiskálni) a skori féle tűzfalszabályokat.Reggie0: próbáltam utána nézni,de sok helyen van "interface" jelölés.nem tudom pontosan mire gondolsz
nagyon az elején vagyok még a témának,de minden nap olvasok valamit róla,hogy egyszer legalább minimálisan átlássam. -
betyarr
veterán
nagyjából átgondoltam a skori féle port-tűzfalszabályokat és be is állítottam.kb egy órája csináltam meg és máris duzzad rendesen a lista.eddig 27 ip cím van a feketelistán.akinek van beállítva ilyen tűzfalszabály,az mit tapasztal?mekkorára tud ez duzzadni még?nagyon terheli a processzort?vagy nem számottevő?
-
betyarr
veterán
no,végre sikerült a vpn kérdést megoldani: [link] ez alapján állítottam be az openvpn-t és működik távoli pc-ről és telefonról (mobilnetről) egyaránt.köszönöm szépen mindenkinek a segítő hozzászólást
más.
szeretném a hozzáértő ph!órumozók segítségét kérni: a miki kid control-ja elég "kezdetleges" és csak tól-ig időpontot tudok beállítani.nekem azonban egy olyan beállítás kellene,amivel időkvótát tudok beállítani.a legjobb az lenne (már ha egyáltalán megoldható),hogy a router mondjuk egy script segítségével figyelné az adott wifin (ssid 1) lévő klienseket és a netre/lanra való felcsatlakozást követően X idő elteltével blokkolná az internetelérést, illetve a hálózaton lévő médiaszerverként üzemelő pc-hez való csatlakozást (a képen ez a 192.168.1.111-es ip-jű pc).itt egy séma,hogy hogyan épül fel az otthoni háló:
szerintetek ez megoldható?ha igen,akkor kérhetek ehhez segítséget?sajnos én hiába túrom a netet,eddig még nem sikerült megfelelő megoldást találnom.
köszi előre is a segítséget! -
betyarr
veterán
most,hogy szerte szét szívattam magam az androidos openvpn connect appal,feltettem az openvpn for android appot,amivel már sikerült is csatlakozni a lanomhoz.
de akkor a hivatalos openvpn connect app vajh miért nem működik?azon létrejön a kapcsolat,de a lanomat nem érem el.direkt a hivatalos appot szerettem volna használni erre a célra. -
betyarr
veterán
most próbáltam rendezni a hsz-ed alapján:
/ip firewall filter
add action=accept chain=input in-interface=!pppoe-digi src-address=\
192.168.0.0/24
add action=accept chain=input comment="Established connections" \
connection-state=established
add action=drop chain=input comment="Invalid csomagok eldob" \
connection-state=invalid
add action=drop chain=forward comment="Invalid csomagok eldob" \
connection-state=invalid
add action=accept chain=input dst-port=11194 protocol=tcp
add action=drop chain=input comment="DNS net fel\F5l eldob" dst-port=53 \
protocol=udp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=1d10m chain=input comment="port scanners" protocol=\
tcp psd=21,3s,3,1
add action=drop chain=forward comment="drop blacklist" src-address-list=\
blacklist
add action=drop chain=input comment="drop blacklist" src-address-list=\
blacklistaz elsőben nagyon nem vagyok biztos,de a többi jó helyen van így?
-
betyarr
veterán
köszi!
ekkold: jaja,nem is figyeltem
nagy lázban voltam azzal,hogy nem működik a torrentes port,meg egyebek miatt is.most pl a kid control szivatott.beállítottam egy pause durationt és hiába akartam hogy már ne legyen aktív,nem akart hallgatni a szép szóra és nem is kapott az eszköz netet.végül csak sikerült megoldani,de legalább fél óra volt.nem sokat írnak erről a pause durationról és pause till funkcióról a wikiben.vagy mert szinte felesleges (én legalábbis nem értem a lényegét) vagy mert bugos.lásd a fenti történetet.kid controlra nem lehet vmi király sriptet írni?mondjuk egy olyat,hogy engedélyezve van a net a gyerekeknek reggel 8-tól este 8-ig,de ebből a 12 órából csak 3 órát lóghatnak rajta,de úgy,hogy a számláló csak akkor indul,amikor létrejön a netkapcsolat az eszközükkel.
-
betyarr
veterán
miért lehet a torrentes portom zárva?
# feb/20/2021 17:48:18 by RouterOS 6.45.9
# software id = 85EM-JDDR
#
# model = RB4011iGS+
# serial number
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-digi src-address=\
192.168.1.0/24
add action=masquerade chain=srcnat out-interface=pppoe-digi
add action=dst-nat chain=dstnat dst-port=44772 in-interface=pppoe-digi \
protocol=tcp to-addresses=192.168.0.111 to-ports=44772
add action=dst-nat chain=dstnat dst-port=44772 in-interface=pppoe-digi \
protocol=udp to-addresses=192.168.1.111 to-ports=44772
add action=accept chain=srcnat dst-port=5060 protocol=tcp
add action=accept chain=srcnat dst-port=6050 protocol=udp
add action=masquerade chain=srcnat -
betyarr
veterán
válasz
betyarr
#13019
üzenetére
asszem sikerült megoldani: az volt a probléma,hogy a ovpn-hez beállított poolból kiosztott címeknek szerepelniük kell a szerviz/available from-ban,mert ott korlátozva van az említett 192.168.0.0-ra az elérés.
viszont mobilról (mobilneten/másik wifi hálón keresztül) hiába csatlakozik fel sikeresen vpn-en a szerverre (látom is a router logjában),a lan-t nem lehet látni.pedig sem a miki logjában,sem az ovpn logjában nem látok semmi hibát.
-
-
betyarr
veterán
válasz
betyarr
#13014
üzenetére
az ovpn konfig fájlban sztem pont ezért van egy route betéve 192.168.1.0-ra.
illetve nem pont ezért van a route,hanem,hogy ne az ovpn szerver címén akarjon a winbox csatlakozni.de ha átroutol a 192.168.1.0-ra,akkor miért nem érzékeli a miki router,hogy ez benne van az engedélyezett 192.168.0.0 ip-tartományban?
-
betyarr
veterán
válasz
Reggie0
#13005
üzenetére
és Horvi: ööö,lehet nem jól értem,de ez lenne a gebasz az esetemben?
Korlátozzuk a router elérését a LAN IP tartományára, kapcsoljuk ki azokat a szolgáltatásokat, amiket egyelõre nem használunk (api, ftp, telnet, ssh, stb...) csak a www és a winbox maradjon. A saját routeremen a www elérés portját lecserétem az eredei 80-as portról a 8000-es portra.
-
betyarr
veterán
válasz
betyarr
#13002
üzenetére
kezdek egy kicsit begőzölni.igaz távoli pc-ről már sikerült be openvpn-ezni az otthoni hálómra (elérem az összes lanon lévő klienst),de a routert meg mégsem érem el.se winboxon,se webfigen.mit rontok el vajon?pedig az openvpn fájlban megcsináltam a 10.8.0.1-ről a routot 192.168.1.0-ra,mégsem sikerül
lehet valami tűzfal szabály miatt van? -
-
betyarr
veterán
megcsináltam az openvpn-t a mikrotikre,de hiába sikerül csatlakozni (mobilnetről) a helyi hálón lévő dolgokat mégsem érem el,pedig a videó végén lévő natot és route-ot is megcsináltam.ezt a videót követtem: [link]
most ránéztem és a routerben a public ip-m más,mint amit élő openvpnen (mobilneten) csatlakozó mobilomon lekérdezek a neten.
lehet hogy natol a digi és ezért nem megy a vpn?vagy ne kérdezzek hülyeséget
-
-
betyarr
veterán
válasz
ekkold
#12972
üzenetére
távolról (nem helyi hálóból) menne az ébresztés.
közben rájöttem,hogy van rá egyszerűbb megoldásom.pont ezt a két pc-t csináltam meg egy-egy sonoff kapcsolóval,hogy alexa hangvezérléssel betudja kapcsolni.ennek csak annyi a hátránya,hogy nincs róla feedback (épp nem kapcsolta-e már be valaki.mert ha igen,és én távolról kapcsolnám be,akkor kikapcsol.ez ugye egy pillanatkapcsoló,ami zárja fél másodpercre az alaplapi áramkört).a #12973-as hsz-ben nem jó a link
-
betyarr
veterán
válasz
Reggie0
#12970
üzenetére
valszeg ez lesz,keresek rá valami scriptet.
vicces amúgy,hogy szénné lehet konfigolni a routert,de egy ilyenre nem gondolnak.igaz a power usereknek ilyen "felesleges" opcióra nincs szükségük
meg legalább egy power led kikapcsolási lehetőség is lehetne,mert fényárban úszik a szoba éjszaka
bár ezt egy kis szigszalaggal meg lehet oldani. -
betyarr
veterán
válasz
Reggie0
#12968
üzenetére
kettő mac cím van (a két gépé),de egyet sem biztos,hogy meg tudok jegyezni,mivel nem rendszeresen használom.meg kényelmesebb lenne nem bepötyörészni mindig.legalább az jó lenne,ha egy lenyíló menüből ki lehetne választani,neadjisten lehetne még kommentelni is a mac címet,ami meg is jelenne.
-
betyarr
veterán
tegnap este óta túrom a netet,de eddig még sikertelenül.van otthon két gép,amit időnként wol-al ébresztek távolról szükség esetén.a syno routeremben ez nagyon egyszerű volt,mert egyszer összepárosítottam a mac címeket az ip-kkel és azok szépen meg is jelentek egyenként egy kapcsolóval,amire elég volt rábökni és indult a megfelelő pc.na most ez a mikrotik esetében egy kicsit problémásabb,mert minden egyes esetben először ki kell keresni az adott gép mac címét és összepárosítani az adott interfésszel a routeren és csak ezután lehet küldeni a packetet az ébresztéshez.
ti nem találtatok erre egy sokkal egyszerűbb megoldást?scriptre gondoltam,de ugye az sem könnyítené meg a helyzetet csak akkor,ha rendszeresen ugyan abban az időben kellene ébreszteni a gépe(ke)t és nem csak alkalomszerűen. -
betyarr
veterán
válasz
ekkold
#12965
üzenetére
hát ja.a leírásban ugye még közte van a tcp és udp portok szabályai,viszont egyelőre még nem vagyok benne biztos,hogy nekem milyen portokat kellene felvennem azokba,így azt egyelőre kihagytam.
és mivel az közbe esik a szövegben, én kis naív azt gondoltam,hogy ez az első pár sor már blokkolja a port scannereket. -
betyarr
veterán
válasz
ekkold
#12963
üzenetére
tehát a blacklist mellé még ezeket a szabályokat kell felvenni?jól értem?
ip firewall filter add action=drop chain=input comment="drop blacklist" src-address-list=blacklist
ip firewall filter add action=drop chain=forward comment="drop blacklist" src-address-list=blacklist -
betyarr
veterán
válasz
user12
#12960
üzenetére
a port scanners szabály így hangzik:
/ip firewall filter add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m \
chain=input comment="port scanners" protocol=tcp psd=21,3s,3,1akkor ez így elvileg rendben is van?
bocsi a sok kérdésért,értetlenkedésért,de kezdő vagyok
-
betyarr
veterán
szerintetek milyen vpn-t használjak?nem kell semmi extra,csak hogy elérjem munkahelyi pc-ről/mobilról a helyi hálózaton a routert és még pár dolgot (egy rpi-n futó adguard homeot,unifi controllert és egy pc-n futó torrent kliens ui-ját).tehát fájlokat nem akarok sem mozgatni,sem elérni.inkább openvpn-t állítsak be,vagy maradjak a skori féle vpn-es megoldásnál (pptp/L2TP+ipsec)?melyik a biztonságosabb?
-
betyarr
veterán
azon gondolkodtam,hogy ha ezzel a skori féle tűzfal szabállyal blokkolható a net felől a dns:
/ip firewall filter add action=drop chain=input dst-port=53 protocol=udp src-address=!192.168.0.0/16
akkor mondjuk a torrentem webes felületét is le tudom tiltani,ha ugyanezt a szabályt használom,csak a megfelelő port számmal és nem csak udp,hanem tcp-vel állítom be
ha működne az elképzelésem,akkor mennyire lenne biztonságos?
mod: bár a webes felületet ddns címmel érem el,úgyhogy lehet nem jó a gondolatmenetem...
-
betyarr
veterán
Akik nemkívánatos portokon próbálnak bejönni (felsoroljuk a TCP majd a kövektekõ szabályban az udp portokat) Ezek a szabályok elég széleskörûek, ezért nem biztos, hogy mindenkinek egy-az-egyben jók, érdemes a portok listáját a saját igényeinkre szabni:
/ip firewall filter add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h \
chain=input dst-port=20-1023,8000,8080,8291 protocol=tcp src-address=!192.168.0.0/16
/ip firewall filter add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h \
chain=input dst-port=20-122,124-499,501-1023,8000,8080,8291 protocol=udp src-address=!192.168.0.0/16
Skori tollából,gondolom már sokan ismeritek.egy kis segítséget kérnék,hogy milyen portokat érdemes ide (még) felvenni?vagy ezek a leggyakrabban használtak és max még hozzá adom amit én nyitok?
holnap jön a router,úgyhogy este majd állok is neki a beállításnak,hogy tudjam tesztelni. -
betyarr
veterán
van ez a kid control funkció a routerben,ami tök jól beállítható.ennek örülök,mert hasznát fogom venni
![;]](//cdn.rios.hu/dl/s/v1.gif)
ehhez kapcsolódóan lenne egy kérdésem: megoldható az,hogy a lejárati idő közeledtéhez (mielőtt lekapcsolná a router a netet az adott eszköz(ök)ön) egy figyelmeztető üzenetet küldene a router az adott kliensre?mondjuk popup üzenetet vagy egy előre meghatározott imaget,hogy x idő múlva megszakad a kapcsolat.illetve egy UP a #12871 hsz-re
-
#12870
betyarr
veterán
E.Kaufmann
#12867
betyarr
veterán
válasz
E.Kaufmann
#12867
üzenetére
utána nézek,köszi!
a gyártó oldalán néztem a garit,de nem sokat tudtam meg belőle [link]
alzánál szerettem volna megvenni,mert ott azért nem szoktak cigánykodni és kapásból cserélik a cuccokat,de áttértek az új gariztatásra és 100k alatt 1 évet adnak.ipon 2 év,de azért vannak fenntartásaim velük kapcsolatban... -
#12866
betyarr
veterán
E.Kaufmann
#12865
betyarr
veterán
válasz
E.Kaufmann
#12865
üzenetére
tudnál adni linkeket ezekhez?
-
#12864
betyarr
veterán
E.Kaufmann
#12863
betyarr
veterán
válasz
E.Kaufmann
#12863
üzenetére
értem és köszönöm a választ!
ide lehet sorolni mondjuk a vowifi-t is?bár ennek valami ipsec passthrough kell.ehhez kell/van külön beállítás a router os-ben,amivel engedélyezni lehet? -
#12862
betyarr
veterán
E.Kaufmann
#12861
betyarr
veterán
válasz
E.Kaufmann
#12861
üzenetére
aha,nagyjából világos.tehát az alap (pl. skori féle) ajánláson kívül nem nagyon van tennivaló.bár,akkor ez valahogy nem tiszta:
Amit lehet tenni, hogy új bejövő forgalom csak azt a szolgáltatást érje el, amit mi akarunk megengedni (port forward).
ha elboldogulnak az alkalmazások,ahogy az elején írtad,akkor itt tulajdonképpen mire gondolsz?torrent,vpn-en kívül persze,mert nyilván azoknak kell a port forward.de ezeket ugye (szerencsés esetben) én kezdeményezem kívülről (vpn),vagy a torrent esetében,hogy kapcsolódhassanak hozzám. -
betyarr
veterán
no,még egyszer átrágtam magam a skori féle íráson.megnéztem a mindenamimikrotik videókat (ez mondjuk csak egy mézesmadzag a teljes anyaghoz: vannak benne érdekességek,de egy alap felhasználói szintű beállításhoz erősen hiányos).vannak dolgok,amelyek világosak,van ami éppen csak dereng az agyamban,meg vannak olyan félig-meddig megfogalmazódó kérdéseim,amik (láma lévén) teljesen kétségek között tartanak a mikrotik routerekkel kapcsolatban (úgy értem,hogy vágjak-e bele,avagy ne).pl. írja skori,hogy a tűzfalszabályok,amiket ismertet a bemutatóban,azok egy kezdő lépésnek megfelelnek.ez ok.azonban,az nem világos számomra,hogy a különböző,pc-re telepített alkalmazásokat mennyire kell kontrollálni (egyáltalán kell-e?) a tűzfalban?gondolok itt ilyenekre,mint játékok kliensei,netet használó pc game-ek,vagy akár a mezei alkalmazások,mint pl. a java.de lényegében bármilyen felhasználói program (manapság már mindenhez kell netkapcsolat,ha máshoz nem,akkor a frissítések automatikus ellenőrzéséhez).vagy hogy működik ez upnp nélkül?eddig sosem foglalkoztattak a (hardveres) tűzfalak,nem is értek hozzájuk.
-
betyarr
veterán
üdv újra!
bár még mindig vacillálok a 4011-en,de lehet,hogy hamarosan a tettek mezejére lépek,miután volt a syno 1900-al egy kis gebasz (szerencsére végül megoldódott).
nem is ez a lényeg,hanem az,hogy jó lenne elmélyülni egy kicsit a hálózatok terén és lehetőleg minél jobban megérteni a routeros tűzfal szabályok létrehozását,konfigurálását.ebben kérném a segítségeteket,hogy hol találok viszonylag laikus embereknek szóló leírásokat/videókat magyarul vagy akár angolul.a cél annyi,hogy minél egyszerűbben,de lehetőleg hatásosan betudjam magamnak konfigurálni. -
-
betyarr
veterán
napok óta a miki guijával foglalkozom.nézem meg olvasom a beállítási lehetőségeket.valóban el lehet veszni benne,annyi a lehetőség,de asszem valahogy élhetőbb számomra.
nem feltétlenül az a lényeg,hogy mennyi időnként kell reboot,hanem az,hogy ilyenkor ne kelljen 5 percig malmozni.
a frissítéseket pedig (amikor van rá lehetőség) csak akkor szoktam feltenni,amikor már láttam több tapasztalat is van róla.
a tplinkről és a frissítésekről meg inkább nem kommentelek,mert sztem ezt te is viccnek szántad.
-
betyarr
veterán
az ebédet én szeretem csinálni,a ruhákat meg az asszony (valamint a mosógép) intézi.ezeket semmiképp nem bíznám egy routerre
de komolyan: természetesen amiket írsz.meg lássa el maximálisan amire tervezték,ne olvadjon széjjel,legyen megfelelő támogatás hozzá,jó hardver legyen benne és legyen tartós.a syno 1900 szinte mindet tudja (de elég idegen számomra a gui-ja,valamint viszonylag lassúcska is egy-egy újraindításnál,vagy a felületén történő navigálás közben is),de kezdik elhanyagolni a frissítéseket és attól tartok,hogy beállnak a kommerszebb gyártók sorába és csak ordenáré biztonsági résekre fognak javítást csinálni.már ha egyáltalán.
kezdetben volt egyszerű tplinkem vagy 6-7 évig.na arra jó ha érkezett vagy 2x frissítés.illetve,a későbbi,a népszerű 1043-as is megfelelt egy ideig,mígnem a no-ip bekeményített és 3 hetente be kellett lépni,hogy megtarthassa a user a ddns-ét.
a kinézete nem érdekel,mert nincs szem előtt,meg különben sem.az pedig,hogy egyszer beállítom és működik (ahogy kell,ahogy elvárom tőle) az nálam is így van.tehát ez van,maximalista vagyok
ekkold: már nekem sem jelenik meg,mert "felébresztettem" az accot.
-
betyarr
veterán
köszi a válaszokat!
még annyi,hogy melegedés terén mi a helyzet a 4011 esetében?jól működik a fém ház és a hűtőrácsok,vagy lehet rajta tojást sütögetni?
illetve,mennyire hajlamosak ezek a routerek a meghibásodásra?nyilván nem a user errorra és a külső behatásokra gondolok. -
betyarr
veterán
a wireless-bolt honlapján olvastam a következőt a mikrotik 4011-el kapcsolatban:
Figyelem! Gyártói közlemény: az alaplap működése során fellépő LAN port hiba nem garanciális hiba. A jelenséget villámcsapás vagy túlfeszültség okozza. A probléma elkerüléséhez az összeállított berendezések szakszerű földelése és ethernet túlfesz védelem alkalmazása ajánlott.
ez most valami speciális meghibásodási dolog lehet ennél a routernél,vagy lényegében igaz ez bármelyikre -
betyarr
veterán
válasz
ekkold
#12686
üzenetére
amikor belépek,akkor ezt írja:
As per the email which was sent to you on 2018-07-28 12:02:36 PST regarding accounts that have not been accessed in 6 months or more, this account is currently thought to be a dormant (unless you specify otherwise, below). If you login at least once each 6 months, your account will remain active.
jerry311: benne van az is amit írsz ,de tényleg jó lenne már egy olyan router,amivel meg vagyok elégedve.
pl. a unifi ap-vel maxi elégedett vagyok.a mai napig nem bántam meg,hogy megvettem.nagyon jól teszi a dolgát,jönnek a frissítések is rendszeresen. -
betyarr
veterán
üdv!
egyelőre még csak elméleti fázisban ugyan,de gondolkodom egy mikrotik routerben,pontosan ebben: [link]
jelenleg egy synology rt1900ac-m van,de valahogy már kezd a gyártó egyre kevesebb figyelmet fordítani rá,megritkultak a frissítések,hibajavítások,pedig kb. 1-1,5 évvel ezelőttig rendszeresek voltak.ugyan különösebb bajom nincs a routerrel,de mégis szeretném magam bebiztosítani és ha lehet,akkor még időben túladni rajta,míg még kapok érte viszonylag jó árat.
az edgerouter topikban már felvetettem a kérdést és világossá vált számomra,hogy nem az ER az én műfajom,mivel egy csomó mindent ssh-val lehet csak beállítani rajta.ehhez én kevésbé értek és inkább a grafikus felületen érzem magam jobban.tehát ezért esne a választásom a mikrotikre.ez a példány meglehetősen komoly hardverrel rendelkezik,így azt gondolom,hogy egy jó darabig nem kellene routert cserélnem.illetve,elég gyakoriak a fw és sw frissítések is hozzá,ahogy olvasom még a régebbi hardverekhez is jönnek updatek.
nem vagyok egyáltalán pro a hálózatok terén,illetve a router is csak otthoni,általános felhasználásra kell.néztem egy videósorozatot az yt-n,elég jól elmagyarázza a dolgokat: [link]
talán ezek és a Skori féle leírás alapján [link] képes lennék az alapokat belőni rajta és a későbbiekben max. próbálgatnám a továbbiakat.
ami a legfontosabb lenne,hogy legyen biztos ddns szolgáltatás.tudom,hogy van rajta gyári,de az nem szabható testre,csak az van,amit dob a gép és slussz.kíváncsi lennék rá,hogy ezen kívül lehet-e stabil,folytonos ddns-t belőni rajta scripttel?gondolok itt arra,hogy lehetőleg egyszer beállítva ne legyen ezzel egyéb gond/teendő.most néztem,hogy pl a freedns-nél is talán félévente be kell jelentkezni a fiókba,hogy ne szűnjön meg a kért cím.
tehát,van-e arra lehetőség,hogy 3rd party ddns-t használva nem érnek meglepetések,amikor épp szükség van rá?
a másik,ami tetszik a syno-ban,az a safe access.egész jól beállíthatók a szűrési feltételek az adott eszközökön,hogy a gyermekeim ne szörföljenek nekik nem való netes tartalmak hullámain (yt,keresések: szex and drogs and rockendroll,más nem nekik való netes tartalmak).lehet elkerülte a figyelmemet,de ilyen beállítható viszonylag egyszerűen a mikrotikon?vagy ez már nem "halandó" embernek való?
láttam elérhető a vpn is.a synon is van,stabil,mindig teszi a dolgát.feltételezem,hogy a mikiben sincs ez másképp.(?)
wake on lan lenne még nagyon fontos,hogy távolról éleszthessem a kívánt eszközt.könnyen és biztonságosan megoldható ez?ami van: 1000-es digi net és egy unifi ap ac lr,tehát ezért nem a wifis változatát venném ennek a mikinek.
tehát ezek lennének a kérdéseim.esetleg pro-kontra is jöhetnének tanácsok syno 1900 vs. miki 4011.maradjak a kommerszebb routereknél,vagy érdemes ezt a mikit választanom?
bocsi a hosszú eszmefuttatásért
és előre is köszi a segítséget!
sorry...
bár ezt egy kis szigszalaggal meg lehet oldani.
van ötletetek?
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
Hirdetés
- Sony MILC fényképezőgépcsalád
- Honor 400 Pro - gép a képben
- Milyen légkondit a lakásba?
- Xbox tulajok OFF topicja
- Suzuki topik
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- Windows 11
- Kerékpárosok, bringások ide!
- Kevesebb dolgozó kell az Amazonnak, AI veszi át a rutinfeladatokat
- Animal Crossing: New Horizons
- További aktív témák...
- ELADÓ TELJES GAMER SETUP!
- Lenovo ThinkPad T14 Gen 3:i5 1250P(12mag),16GB,512GB,14"matt TOUCH,vil.HU bill,Lenovo gari 2026.6.25
- Amazfit Gtr 3 Pro okosóra dobozával újszerű állapotban
- i3-8100 + ASUS H310M alaplap + 8GB RAM egyben (félkonfig)
- Asztali PC , R5 5500 , RX 6700 XT , 32GB RAM , 512GB NVME , 1TB HDD
- Bomba Ár! Dell Latitude 3190 - Intel N4120 I 4GB I 64GB SSD I 11,6" HD I Cam I W11 I Garancia!
- QNAP TS-870U-RP 8 lemezes Rack NAS
- Apple iPhone 14 128Gb Kártyafüggetlen, 1Év Garanciával
- ÁRGARANCIA!Épített KomPhone i5 13400F 32/64GB RAM RX 7800 XT 16GB GAMER PC termékbeszámítással
- AKCIÓ! Apple Macbook Pro 16" 2019 i9 9980HK 64GB DDR4 1TB SSD Radeon Pro 5500M garanciával
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: CAMERA-PRO Hungary Kft
Város: Budapest