- Yettel topik
- Samsung Galaxy A54 - türelemjáték
- Vodafone mobilszolgáltatások
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Xiaomi Mi 11 Ultra - Circus Maximus
- Milyen okostelefont vegyek?
- Samsung Galaxy S24 - nos, Exynos
- Redmi Note 13 Pro 5G - nem százas, kétszázas!
- Apple AirPods Pro (2. generáció) - csiszolt almaságok
- Motorola Edge 40 - jó bőr
Hirdetés
-
Az Apple iPadOS-t is megrendszabályozza az EU
it Az EB közölte: az Apple iPad táblagépekre írt iPadOS rendszere is kapuőrnek számít, az üzleti felhasználókra gyakorolt fontossága miatt.
-
AMD Radeon undervolt/overclock
lo Minden egy hideg, téli estén kezdődött, mikor rájöttem, hogy már kicsit kevés az RTX2060...
-
Dragon Ball: Sparking! Zero - Mester és tanítvány
gp Egyelőre még mindig nem kaptunk megjelenési dátumot a játékhoz.
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
almi
senior tag
Sziasztok!
Irodai hálózat kialakítása előtt állok és MikroTik eszközöket gondoltam hadba fogni.
Milyen Routert + switch-et, esetleg Layer 3-as Switch-et javasoltok az alábbi felálláshoz:
Adott egy kis cég, 15 alkalmazottal 3 emeleten elosztva. A földszinten van egy rack szekrény, minden oda futna be. Aljzatok kiépítve, patch panelben végeztetve.
Egy 24 portos switch-et tervezek venni, amit ugye használna a max. 15 alkalmazott, egy szerver gép (Sima álló tornyos, egy, max. 2 hálókártyával.), 2 nyomtató és 3 Ubiquiti Unify AP, egy TV + egy port ugye a routerből. Így meg is telne gyorsan, bár fix helye max. 10 embernek lenne, a többi wifi-n keresztül kapcsolódna.
Az AP-k ugye PoE-sak, de úgy gondolom, hogy azt 1-1 PoE adapterrel meg tudom oldani, nem muszáj tudnia az eszközöknek.Ami még fontos, hogy a routernak egy folyamatos VPN kapcsolatot kellene létesítenie egy szerverrel (ami egy hoszting cégnél fut), amin virtuális szerverek vannak (file server, stb).
Az internet pedig egy UPC Business 500-as csomag lesz.
Köszönöm!
Üdv.[ Szerkesztve ]
-
almi
senior tag
válasz bambano #3910 üzenetére
Erről a kémkedésről még nem is hallottam még.A management dolognak pedig utána olvasok. A management platformnak az a lényege, hogy egyszerűen lehessen configolni egy lépésben az összes AP-t, vagy van egyéb más előnye is?
2-3 db még nem olyan vészes szám, egyesével sem, sztem.Akkor most az AP-któl eltekintve.. Mondjuk egy MikroTik hEX megfelelhet nekem a feladatra?
Illetve milyen switch a javasolt? -
almi
senior tag
Sziasztok!
A VLAN-okhoz kapcsolódóan lenne 1-2 kérdésem, ami hülyeségnek tűnhet, de nem vagyok benne teljesen biztos, hogy hogyan is kell ezt elképzelni.
Szóval, ha létrehozok egy VLAN-t a routeren, tegyük fel, hogy VLAN10 néven és ebbe szeretném betenni a guest wifit (unifi AP-k), akkor a routerből a switch-be (managelhető MikroTik) menő portot kell trunk portnak beállítanom és az AP-k switch portjait ugyan így? Mivel ugyan azokon az AP-kon megy a LAN Wifi és Guest Wifi is.
Mit kell pontosan itt beállítanom? Ez a 4 port optional (=trunk?) lesz gondolom, utána beállíthatom, a VLAN Receive-nél, hogy any, only tagged, only untagged és a Default VLAN, ugye.
Na most itt mit kell választanom? Ha itt beállítom mi lesz a többivel? A többi subnetemre is kell csinálnom egy VLAN-t, vagy azok maradhatnak simán subnetek?
Köszi!
Üdv. -
almi
senior tag
válasz bambano #4073 üzenetére
Szia!
Köszi, próbálom elképzelni, de még nem teljesen tiszta.
Van egy MikroTik routerem, amin a 2. portjából megy egy kábel a switch-em első portjába.
A switchen pedig a következő 2.-3.-4.- megy az AP-khoz. Az AP-n ugye van irodai wifi és guest wifi is.Akkor tehát az első 4 portot enabled-re kell állítanom és beírni a példa szerinti 10-est a 4. oszlopba a Default VLAN ID-hoz? A VLAN Receive pedig legyen any?
Így többi csomag is, ami nem VLANban megy, hanem egy sima subnet, ugyan úgy fog menni továbbra is, mint eddig? -
almi
senior tag
Sziasztok!
Adott 2 telephely, mind a kettőn van 1-1 MikroTik RB850gx2 router.
A 2 telephely folyamatos openvpn kapcsolatban van egymással. Az 1. telephelyen lévő MikroTik-en van a vpn szerver, amire kliensként csatlakozik a 2. telephely MikroTik-je.A kliensek az 1. telephely routerére csatlakoznak VPN-el, így elérnek minden szervert, stb. (Azokat is, ami a 2. telephelyen van.)
Statikus DNS címek vannak definiálva az 1. telephely routerén (A 2. telephelyen lévő szerverekre is), ami kliens VPN-ről tökéletesen működik, viszont a 2. telephelyen néha működik, néha nem.
OpenVPN server profile-ban meg van adva DNS-nek az 1. telephely routere.
Mi lehet a probléma? Mi zavarhatja, hogy egyszer megy a névfeloldás, egyszer pedig nem a 2. telephelyen?
Köszi!
Üdv., -
almi
senior tag
Sziasztok!
Lehetséges egy MikroTik routeren úgy létrehozni OpenVPN servert, hogy lehessen rá tcp-vel és udp-vel is kapcsolódni?
Köszi!
Üdv.,
almi[ Szerkesztve ]
-
almi
senior tag
Sziasztok!
Valaki állított már be SSTP VPN-t MikroTik-en?
Próbálkozok vele, beállítom a MikroTik-en a profile-t, létrehozom a ca.crt-t és a ca.key-t, beállítom ezt is a routeren, majd Windowsban is létrehozom a kapcsolatot és felveszem ugyan azt a ca.crt-t a Megbízható legfelső szintű hiteleítésszolgáltatókhoz.
Amint csatlakozni szeretnék az alábbi hibaüzenetet kapom: "A tanúsítvány lánc feldolgozása befejeződött, de a főtanúsítványban nem bízik meg a megbízhatóság-ellenőrző."
Tűzfalon is látszik, hogy próbál csatlakozni, mert mennek a csomagok, de mégsem tud csatlakozni.
Ez mitől lehet? Egy db ca-m van, amit így biztosan nem keverek össze másikkal. Mi nem egyezhet, vagy mi lehet a baj?
-
almi
senior tag
-
almi
senior tag
válasz E.Kaufmann #4108 üzenetére
Szia!
Köszi, kipróbálom.
A másik tanusítványt, amit létrehozol az server tanusítvény legyen? Tehát build-key-server-el hozom létre, vagy mintha kliens tanusítványt hoznék létre, tehát build-key client, stb.?
-
almi
senior tag
válasz E.Kaufmann #4110 üzenetére
Most odáig eljutottam, hogy a CN nem felel meg az átadott értéknek.
Pedig a CommonName az ugyan az mind a 2-nél. Hm-hm. Legalább most már más a hiba..
-
almi
senior tag
Most nemrégen kipróbáltam minden féle cert nélkül is.
A Mikrotikről is kitöröltem mindent és a client gépről is a beimportált ca-t és érdekes, mert teljesen ugyan az a hiba, mint amikor bent voltak a certek.
Mintha nem is észlelné a certificate-eket, akkor sem, amikor be vannak töltve. -
almi
senior tag
válasz E.Kaufmann #4116 üzenetére
Szia!
Köszönöm szépen, végülis sikerült úgy megcsinálni, hogy létrehoztam egy ca.crt-t és key-t, amit felvettem a Windowsos kliensen a certek közé és csináltam a ca-val egy server.crt-t és server.key-t, amit ugye a mikrotiken adtam meg az SSTP szerverhez.
Ezen felül van egy felhasználói név és jelszó az azonosításra.
Mennyire biztonságok így a csatorna, hogy nincs külön client cert?(Ha bepipáltam a beállításoknál, hogy Verify Client Certificate, azzal már nem jött össze a dolog sajnos.
Az alábbi hibát kaptam: A leíróval társított megnyitás-zárolás most más leíróval van társítva.)De ha ez csak egy plusz azonosítási szint és a csatorna így is titkosított, akkor végülis megfelelne csak a ca.crt-vel is a dolog.
-
almi
senior tag
Sziasztok!
Az egyik MikroTik routerem hoszting szolgáltatónál van bent, szerver teremben.
Elvileg egy porton keresztül kapok egy public IP-t és egy Management IP-t a szolgáltató management networkjéből. Ezt az IP-t el tudnám érni a management VPN-ről, szóval ha valamit netán elkonfigolok, tűzfalat, vagy valamit, akkor még lenne egy backup lehetőség a másik oldalról.Ez a management IP viszont egy másik VLAN-ban van.
A kérdésem az az, hogy hogyan is tudom ezt beállítani, hogy működjön a 2. IP is, a management VPN-ről?Köszönöm!
Üdv.,
almi -
almi
senior tag
Sziasztok!
Mikrotik routerrel + Unifi AP-kkal szeretnék beállítani egy plusz Guest SSID-t az irodában.
Addig el is jutottam, hogy létrehoztam az ether2 (Ez az interface megy a switch-be, amin lógnak az AP-k és minden egyéb.) interface-hez egy VLAN-t, csináltam rá dhcp-t, poolt, NAT-oltam a tűzfalon, stb.
Unifi Controlleren belül is létrehoztam egy másik SSID-t, engedélyeztem rajta a Guest Policy-t és beállítottam a VLAN ID-t.Annyit elértem, hogy ha rámegyek a Guest wifi-re, abból a subnetből kapok IP-t, amelyiket a VLAN-ban állítottam be, viszont ugyan úgy látom a többi subnetben lévő gépet és eszközt.
A MikroTik-en automatikusan létrejön egy Route szabály, amit nem tudok kitörölni és így belelátok a Guestről az irodai LAN-ba.
Mi lehet erre a megoldás?
-
almi
senior tag
válasz animal1987 #4175 üzenetére
Szia!
Köszönöm, próbálkoztam ezzel is, de sajnos valamiért nem nagyon akar menni az a szabály.
Ugyan úgy meg tudok nyitni mindent a többi subnetből böngészőben.
Illetve a router-t nem érem csak el, a többit sajnos valamiért igen.Lehet, hogy a sorrend nem jó, ezzel majd még próbálkoznom kell.
-
almi
senior tag
válasz animal1987 #4183 üzenetére
Szia!
Igen, így csináltam én is.
A konfig még elég alap.
A lényeg, hogy ether2 a LAN portom és erre csináltam egy plusz VLAN interface-t, ami a Guest network. (Illetve 2 subnetem van az irodai LAN-ban is.)
Mind a 2 kap DHCP-ről IP-t, különböző subnetből. NAT szabály is be van állítva mind a 2-n, és az Unifi AP-k szórják mind a 2 SSID-t. Unifi Guest policy-vel van beállítva a VLAN. Internet van mind a 2-n, minden jó, csak annyi, hogy a tűzfal szabályok ellenére is átlátok a Guest-ből az irodai LAN-ra, valamiért.A tűzfal szabályok pedig így néznek ki:
add chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input dst-address=10.125.10.0/24 src-address=192.168.2.0/24
add action=drop chain=input dst-address=10.125.25.0/24 src-address=192.168.2.0/24
add chain=input comment="defconf: accept established,related" connection-state=established,related
add chain=input comment=VPN dst-port=11194 protocol=tcp
add chain=input comment="SSTP VPN" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1_WAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1_WANIlletve miért jobb, ha Bridge-e van az embernek és nem az Interface-nek ad IP-t?
[ Szerkesztve ]
-
almi
senior tag
válasz animal1987 #4189 üzenetére
Áhh, elnézést..
Köszönöm mindenkinek a segítséget. Igen, ennyi volt a hiba, INPUT helyett FORWARD kellett.
Akkor ha jól értem, még ha csak egy interface is van a bridge-ben, akkor is érdemes így használni.
Köszi!
Üdv.,
almi -
almi
senior tag
válasz E.Kaufmann #4191 üzenetére
Értem, köszönöm szépen!
-
almi
senior tag
Sziasztok!
Elnézést a sok kérdésért, de még barátkozok a MikroTik-kel és a Firewall Rule-okkal.
Van egy domainem, aminek az A rekordját a publikus IP-mre irányítottam. Ezen az IP-n, NAT mögött van egy apache webserver, amit ki szeretnék engedni az internetre, de valahogy nem sikerül.
Egyelőre a domain irányítással azt értem el, hogy ha beírom a webcímet, a routerem webes login felülete jön be, ami nem nagyon tetszik..
Illetve ha csinálok egy NAT szabályt a 80-as portra, akkor is Not Found üzenetet kapok.
A szabály, amit csináltam a NAT-nál:
add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1_WAN protocol=\
tcp to-addresses=192.168.10.2 to-ports=80Mi lehet a probléma? Hogyan tudom ezt biztonságosan, szépen megoldani?
Köszönöm!
-
almi
senior tag
-
almi
senior tag
Sziasztok!
Létre szeretnék hozni egy site to site kapcsolatot egy speciális eszköz segítségével.
Mind 2 telephelyen be van téve az eszköz a router mögé amiből kapja a netet és az eszköz LAN portja vissza van dugva szintén a router egyik portjára.
Az eszköz egy saját csatornán keresztül kialakítja a kapcsolatot, belső IP-k segítségével.
Ezt az IP-t én nem tudom megváltoztatni, ezt a cég állította be, akiktől van az eszköz.Az eszköz WAN portját, aminek az én routerem oszt IP-t, tudom pingelni(ebből a subnetből kap: 10.115.20.0/24), viszont a visszadugott LAN portját nem sajnos. Az eszköz beállított stat IP-je 192.168.10.2.
Hogyan tudom azt elérni, hogy tudjam ezt is pingelni?Próbáltam egy 192.168.10.0/24-es címtartományt felvenni erre a portra, de semmi nem történt.
A túloldalról tudják pingelni a nálam lévő eszközt (Ezen a 192.168.10.2-es IP-n), szóval a cég biztos jól állította be a saját kis csatornáját.
Kérdés, hogy hogy kell beállítanom a routeremen azt az interfacet, amibe az eszköz LAN portjából jön a kábel, hogy használható is legyen a dolog.Mi lehet a megoldás?
Köszi!
-
almi
senior tag
válasz feel2006 #4233 üzenetére
Sziasztok!
MikroTik-en OpenVPN szervert használok, site to site kapcsolatra és client to site kapcsolatra is.
Mitől lehet az, hogy a site-to-site másik oldaláról, szintén MikroTik mögül tudok pingelni egy bizonyos subnetben lévő IP-t, viszont ugyan ezt már nem tudom megtenni, ha client-ként jelentkezek be, ugyan arra a Mikrotikes OVPN szerverre? A távoli mikrotiken van az OVPN szerver.
Client configban van egy sima route, a LAN-ra, és van push route a másik subnetre. Route-ok helyesen vannak beállítva a mikrotiken, az alhálózatok között, az tuti, különben nem menne a Site to site-on sem.
Client VPN-en a sima route mögötti subnetből bármit tudok pingelni, viszont a másikból sajnos semmit.Van esetleg valami más trükk, amivel lehet pusholni route-ot OpenVPN client configban?
Sajnos maguk a Route-ok sem épülnek fel, nem látom őket a kapcsolódás után a routing táblában.Valaki esetleg találkozott már ilyennel? Vagy ez valami MikroTik hülyeség lehet?
[ Szerkesztve ]
-
almi
senior tag
Közben meglett a megoldás.
Sajnos a MikroTik OpenVPN server ugye nem tudja megoldani a push route-ot, és az OpenVPN kliens konfig pedig csak 1 route-ot tud kezelni, valamiért. Ez is szerintem valami MikroTik hiányosság.
Kézzel windows-ban felvéve a szükséges route-okat, hibátlanul működik a dolog a kliensek felől is. Megy a ping a többi subnetbe is.
Üdv.,
almi -
almi
senior tag
válasz Core2duo6600 #4279 üzenetére
[ Szerkesztve ]
-
almi
senior tag
Sziasztok!
Van 2 mikrotik routerem site to site VPN-el összekötve. A távoli router 2-es interface-e össze van kötve egy Supermicro szerverrel, amin ESXi van. Jelenleg egyetlen egy subnet van, amiből minden routerre kötött eszköz IP-t kap, a host és a rajta lévő VM-ek is.
Az ESXi-n szeretnék létrehozni több portgroupot és a különböző portgroupokban lévő vm-ek külön subnetből kapnának IP-t. Na most ehhez ugye VLAN-okra van szükségem.
A kérdésem az az, hogy ha most csak simán az ether-2-n van egy 10.120.10.0/24-es subnet azt bele tudom-e úgy tenni egy VLAN-ba, hogy nem változik semmi, csak éppen benne lesz egy management VLAN-ban?
-
almi
senior tag
Sziasztok!
Van egy Mikrotik routerem, ami 2 publikus IP-t kap a szolgáltatótól egy porton. A Mikrotik mögötti szerverek egyikén fut egy webserver, ami ugye használja a 443-as portot a https miatt, viszont van egy SSTP VPN-en is a routeren, ami szintén 443-as portot használ.
Felvettem az addresseknél mind a 2 IP-t és van NAT szabályom a webszerver felé, ez oké.
Viszont így az SSTP VPN nem megy. Hogy tudom külön IP-re irányítani, hogy a webszerver az egyik IP-t és 443-as portot használja, a VPN pedig a másikat?Köszi!
Üdv.,
almi -
almi
senior tag
Sziasztok!
Hogy tudok LAN-on belül egy ilyen átirányítást megcsinálni: pl: 192.168.1.1:5000 -> 192.168.1.2:5000 ?
Rengeteg féle képpen csináltam, de valahogy nem akar működni a dolog.
Az utolsó próbálkozásom most ez volt pl:
/ip firewall nat add dst-address=192.168.1.1 dst-port=5000 action=dst-nat to-addresses=192.168.1.2 to-ports=5000
Mi ennek a dolognak a rendes megoldása?
Köszönöm.
Üdv.,
almi -
almi
senior tag
válasz bambano #4725 üzenetére
Szia!
Lehet, hogy én fogalmaztam rosszul, de a lényeg az lenne, hogy a 192.168.1.1-es szervert az 5000-es porton elérni próbáló csomagok legyenek átirányítva a 192.168.1.2-es szerver 5000-es portjára.
Így szerintem mindenképpen át kell, hogy menjen a routeren is.
Ez így kivitelezhető lehet?
-
almi
senior tag
Sziasztok!
Valakinek van tapasztalata az RB962UiGS-5HacT2HnT típusú Wifi-s routerrel?
Kis irodában lenne (Kb. 60 m2 a teljes alapterület, 3 külön helyiséggel.), kezdetben egymagában. Csúcsidőben 6-8 usert kellene kiszolgálnia, vegyesen kábelről és wifiről(Mondjuk mindenkit számoljunk 2 eszközzel.), illetve kb. 2 folyamatos VPN kapcsolattal.
Tapasztalatokra lennék kíváncsi, hogy milyen hatósugarú a wifi, így beépített antennával, esetleg kell-e mellé egy komolyabb AP?
Proci miatt nem aggódok, inkább a memória nem tűnik valami soknak.Esetleg másik ajánlott eszköz ebből az árkategóriából, ilyen, vagy hasonló tudással?
Köszi!
Üdv.,
almi -
almi
senior tag
Szia!
Köszönöm a tippet.
Nem valószínű, hogy szükségem lesz SFP-re és PoE-ra. Ha netán nem lesz kielégítő a wifi, akkor esetleg egy AP miatt szükségem lesz PoE-ra, de max használok PoE adaptert.
A 128 MB RAM csak nekem tűnik kevésnek?Esetleg hasonló kategóriában 8-10 portos wifi-s routert tudsz ajánlani?
Vagy akkor már érdemesebb egy router + switch kombót használni? -
almi
senior tag
válasz Kiratheonly #6348 üzenetére
Szia!
Köszi a megerősítést.
Az erősebb hardver miatt valószínű hAP ac2 lesz a nyerő és mellé egy 8 vagy 16 portos switch.Üdv.,
almi -
almi
senior tag
Sziasztok!
Adott egy Mikrotik RB850Gx2 router, ami egyben a DNS szerver is a hálózaton.
Ahogy ez a router egy OpenVPN szerver is, amire egy másik városban lévő linuxos openvpn csatlakozik kliensként. Ezen a linux szerveren fut egy bind is, ami az ottani DNS-t szolgálja ki.
A problémám az az, hogy a bind-ban hiába adom meg egy bizonyos domainre (sajatdomain.local) forwardernek a VPN túloldalán lévő mikrotiket, sajnos nem történik semmi, nem oldja fel a sajatdomain.local-os címeket.A hálózati láthatóság megoldott, pingelni tudom a távoli linux szerverről a mikrotiket.
Van esetleg valami, amit figyelmen kívül hagytam?
Köszi!
Üdv.,
almi -
almi
senior tag
A Port Checker mit ír, nyitva van a port?
-
almi
senior tag
Csak ötletelek..
A WAN list milyen IP-ket tartalmaz, amit maszkolsz? Nem lehet, hogy egy NAT szabály hiányzik arra az alhálóra, amiben ez a szervered is van?
Nincs esetleg valami IP szűrés az ssh-n?A Tools menüben találsz egy Packet Sniffer nevű toolt, amit elég jól be lehet configolni, hogy mit figyeljen az adatfolyamban, majd az így elmentett adatokat ki tudod elemezni egy Wireshark-al.
Lehet, hogy abban válaszra találsz.[ Szerkesztve ]
-
almi
senior tag
Sziasztok!
Adott egy Mikrotik RB850Gx2-es router és T-s 1000/1000 PPPoE internet.
Sajnos valamiért csak max 300/250-es down/up értéket sikerült kisajtolni a routerből.
Van valami mágia, amivel lehet még turbózni kicsit a sebességet, vagy ennyit tud a router?
Speed test alatt egyébként felmegy kár 80%-ig is a CPU használat.
Nincs semmi extra beállítás, PPPoE interface felvéve, majd maszkolva, hogy legyen a clienteknek internet. Illetve 10-15 firewall szabály.Köszi!
Üdv.,
almi -
almi
senior tag
válasz Adamo_sx #9058 üzenetére
Köszi a tippeket!
A Firewall eszi a legtöbbet speedtest alatt a CPU erőforrásaiból egyébként.
Be van kapcsolva a FastTrack, de most olvastam egy olyat, hogy a FastTrack csak az ether1-2-es porton működik. Ezt majd még kipróbálom, mert most ether3-on van a T-s modem, hátha javít a dolgon.
Új hozzászólás Aktív témák
- Iceriver KS0 Pro 200-320GH 240W táp, komplett hűtéssel, hűtőbordákkal szerelve
- Asus TUF FX505DU Gamer Laptop 1660Ti , Ryzen 7 , 16GB , 512GB SSD , 1TB HDD
- KFA2 RTX 3080 SG 10GB LHR
- Netgear Nighthawk R6300 V2 AC1750 kétsávos gigabites WiFi Router NAS funkciókkal (Freshtomato)
- Xbox Wireless Controller Elite Series 2 - Core Edition Red