- Az Euronics is elkezd használt mobilokkal foglalkozni
- Az Oppo Find X8 Ultra lett a legvékonyabb kameramobil
- Xiaomi 15 - kicsi telefon nagy energiával
- Keretmentesít a Galaxy S25 FE
- Samsung Galaxy Watch6 Classic - tekerd!
- Samsung Galaxy A52s 5G - jó S-tehetség
- iPhone topik
- Xiaomi 15 Ultra - kamera, telefon
- Hammer 6 LTE - ne butáskodj!
- Magisk
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
brickm
őstag
Sziasztok!
7.2.2-re frissítettem nemrég. Most vettem észre, hogy az OpenVPN elérés nem annyira stabil. Lassú, ha működik. De van, hogy felenged egy eszközt, mégegyet, de egy harmadikat már nem. Klienseket újra configuraltam, semmi. Ha újraindítom jó egy darabig, majd kezdődik előlről. Ez ismert bug? -
brickm
őstag
Sziasztok!
7.5.1-es RouterOS-t használok jelenleg.
A story röviden:
2-3éve használtam Norton DNS szervereket, olyan módon, hogy az IP : DNS menüpontban a routerben alapvetően meg volt adva a 8.8.8.8 és a 8.8.4.4-es cím, illetve a digi pppoe kapcsolatban engedélyezve volt a peer DNS használata. NAT szabályt hoztam létre, ami figyelte a belső hálózati címen közlekedő UDP 53as port kéréseket, és DST natolta a norton szerver felé.Tökéletesen működött is a dolog.
Most viszont, ha átirányítom pl a saját DNS szerveremre az 53as UDP kéréseket(kivétel a szerverét) akkor megszűnik a DNS névfeloldalás, sem az átirányított irányba, sem az IP DNS menüben megadott irányba nem múködik. A DNS szerverem jó, ha az IP DNS menüben állítom be, vagy direktben a klienseket, akkor tökéletesen működik
Illetve, ha csak csinálok egy UDP 53 redirect to 53 szabályt, mi annyit csinálna, csinált régen, hogy a klienseket beállított DNS szerver címet is átirányítja a router saját DNS címe felé, na az sem működik. Találkoztatok már esetleg ilyesmivel?
Neten rákerestem, hátha én emlékszem rosszul és nem így csináltam, de ezt találtam fórumokon is. -
brickm
őstag
válasz
Adamo_sx
#9526
üzenetére
Igazából, mindkettőtöknek, ugyanis ez a két szabály oldotta meg: (22,23) kettő közül bármelyiket kiveszem meghal a hairpin.
22 ;;; proba1
chain=dstnat action=dst-nat to-addresses=192.168.0.10 to-ports=80
protocol=tcp src-address-type="" dst-address-type=local dst-port=80
log=no log-prefix=""
23 ;;; proba 2
chain=srcnat action=masquerade protocol=tcp src-address=192.168.0.0/24
dst-address=192.168.0.10 out-interface=bridge dst-port=80 log=no
log-prefix=""24 ;;; site forwarding
chain=dstnat action=dst-nat to-addresses=192.168.0.10 to-ports=80
protocol=tcp in-interface=pppoe-out1 dst-port=80 log=no log-prefix=""Igazából nem arra gondoltam, hogy ROS hiba okozza, csak mielőtt bejött ez a loval bridge használata, egyetlen egy szabály volt, ami a hairpint megoldotta és remekül működött is 2-3éven át használtam.
-
brickm
őstag
válasz
Zwodkassy
#9523
üzenetére
Hát nekem ez a fő problémám, hogy ezt a konkrét szabályt rendesen értelmezni sem tudom( amugy a mikrotik wikiről van). Én sem értem, így hogyan jönne vissza a csomagom a belső hálóba. Mármint: ugye van egy fő masq. szabályom, ami minden belső cím kérését kiforgatja a NAt mögül. Namost ez annyit tesz hozzá, hogy amennyiben kilép a LAN bridge-ből kiforgatja a netre. Ez oké, de ez megtörténik az első szabályommal is, ami mindent kiforgat. Tehát... nem is moccan a számlálója.
-
brickm
őstag
válasz
Zwodkassy
#9520
üzenetére
192.168.0.10 -es gép, 80-as port,
WP engine fut rajta, settingben a külső domainnel, ugyanis ha a belső IP-t hagyom benne, akkor az index.php után minden más kérést a belső IP-n keres a kliens kívülről (chrome f12 network alatt szépen látszik, hogy a CSS-ek már nem töltődnek be)
Laca0
Hálistennek a hairpint leszámítva teljesen stabil a rendszer, így nem gondoltam, hogy indokolt lehet frissíteni. -
brickm
őstag
Sziasztok!
Mióta ROS 6.43.12 van fent nem működik a local hairpin.
Eddig nem zavart, most viszont van egy új kiszolgáló, ami ki van forgatva, és szeretném bentről is elérni, szóval...kéne. Hol hibázom el?21 ;;; Local hairpin NAT
chain=srcnat action=masquerade src-address=192.168.0.0/24
out-interface-list=LAN log=no log-prefix=""
Előző ROS-el simán működött a dolog. -
brickm
őstag
Sziasztok!
Mikrotik rendszeren adott két hálózat, egy helyi 192.168.0.0/24 és egy openvpn bejövő 192.168.90.0/24 es poollal.
Az lenne az érdekes, hogy a helyi hálón található egy fileszerver, nevezetesen 0.6 os végződéssel. Azt szeretném egy tűzfal szabálynak megadni, hogy a 90-es tartományból 3-4 eszköz ne tudja elérni ezt semmiféle porton. Mi ennek a legelegánsabb módja, azon kívül, hogy a fileszerver firewallban tiltom ki őket? -
brickm
őstag
Sziasztok!
Amatőr kérdés lesz, de mivel távol van az eszköz nem akarom magam kizárni, inkább kérdezek. Manuálisan felkonfigolt mikrotik routerem van,
6.43.12-es ROS-el. Az lenne a kérdés lényege, hogy teljesen manuál konfig után, ha quicksetben átírom a 0.1-es local network címet,mondjuk 10.1-re, az mindenhol viszi magával a változást, vagy pl a firewall- NAT, DHCP server>Leases és társai részekben manuálisan kell átírkálnom majd a címet? -
brickm
őstag
Pedig az IP/route-ba nem csináltam semmit, és nincs is benne semmi különös, csak ami egy hálózat esetén is.
Így azt gondolom az átjáró meghatározása és a subnet mask határozza meg, hogy mit látsz melyikből.
Meg ilyen nat szabályom van:
masquarade -
-
brickm
őstag
Sziasztok!
Az mennyire valid, hogy egy RB750Gr3-on szeretnék létrehozni két belső hálót, külön poollal, egyik valami 192.168.0.0/24, másik valami 10.0.0.0/29-es tartományt kapna
Előbbibe menne minden kliens, a másikba meg minden kiszolgáló(pl a raspberry, ami a tv alatt van, a média szerver, a linuxos backup szerver, a riasztó kp vezérlője, stb)
A kérdés, hogy biztosítsam az átjárást köztük, hogy a 192-es tartomány biztonságosan átjárjon a 10.-ba de fordítva ne(vagy igény esetén bizonyos portokon ott is átjárjon) illetve célszerű-e egyáltalán, elszaparálni egymástól őket, vagy feleslegesen szivatom vele a mikrotik CPU-t, meg magamat? -
#7132
brickm
őstag
Core2duo6600
#7129
brickm
őstag
válasz
Core2duo6600
#7129
üzenetére
Adblock. Nálam sincs gépen se reklám.
-
brickm
őstag
Annyi a lényeg, hogy szándékosan nem smart tv-t vásároltam, hanem régimódian egy Lg buta vasat. Vettem egy raspberry 3B+ t ezen fut sd kártyárol egy debian9 arm verzió KoDi szervizzel startup módban. Abban van youtube app (reklámot kihagyja) illetve tubecast app ami össze van vele kapcsolva. Ez beszélget a telefonommal ( beszélgetne. Meg beszélgetett ezelőtt 4nappal még...csak azóta lett vele valami) így telón kiválasztom a jutub appban a videót amit screenshare-al áttol a PInek, ha akarom és a tv-n nézem a videót,
Csak most elkezdte, hogy nem látja a teló a PIt a hálózaton. Gondolom a YT mókol a háttérben, mert a reklámmentes appon kívüli playing neki nem buli.
-
brickm
őstag
válasz
bambano
#7126
üzenetére
Raspberry, youtube app, tubecast.
Félretéve, azta fajta paranoiát, hogy a google mindent megtud ezáltal rólam(mivel igy is ugyis jutubozni fogok agépen/telon) Inkább az érdekelne, hogy hogy lehetne használhatóvá is tenni, mert jelenleg hol megy hol nem, de inkább nem. A manuális párosítást is elfelejti sajnos hamar. -
brickm
őstag
Sziasztok!
SSDP portot hogy érdemes kezelni mikrotik routerben?
Adott egy eszköz a hálózaton, ami a youtube-al kommunikálna, és azonosítaná az eszközt a többi eszköznek a hálózatomban.Jelenleg ezt találtam ki rá:
chain forward, protocol: tcp, any port:5000, action:accept. 4.rule. -
#7102
brickm
őstag
Szpilu__25
#7101
brickm
őstag
válasz
Szpilu__25
#7101
üzenetére
Frekit ne auto-ba tedd. Nekem TP link-el volt ez, iphone-t ledobálta szintén kb 5-10percenként. Ha mindent manuálisan állítottam be jól ment.
-
brickm
őstag
-
brickm
őstag
Ha zavar a hosszú cím és amúgy is van(meg meg is hayod a) dyndns-ed átirányíthatod azt a domain a mikrotik domainedre (nálam is volt egy darabig) A dyndns néha sz rul frissítette le a címet nekem is, vagy szimplán nem frissítette, csak akkor ha manuálisan beleírtam valami random IP-t, akkor észhez tért, hogy ja nem is jó címet akar fordítani.
(jelenleg inkább NOIP-t használok, de mondom ha van dyned és ragaszkodsz is hozzá, irányítsd át azt a mikrotik cloud-ra) -
-
-
#6986
brickm
őstag
Kiratheonly
#6985
brickm
őstag
válasz
Kiratheonly
#6985
üzenetére
Nálam a Digi 1Gigás optikája egyszer ment fel 850Megabit(letöltésig) amúgy átlag 300-350-450Megabitet tud. Akármit kötök utána-(a bridgelt huawei sz_rjuknak)
-
#6934
brickm
őstag
Core2duo6600
#6933
brickm
őstag
válasz
Core2duo6600
#6933
üzenetére
Jó neked, nekem a digi 750Gr3-al még cat6os kábellel se tud 300Mb-nél többet lefele se.
buntu@ubuntu:~$ speedtest
Retrieving speedtest.net configuration...
Testing from DIGI Tavkozlesi es Szolgaltato Kft. (92.249.X.X)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Giganet Internet Kft (Nyiregyhaza) [35.51 km]: 23.311 ms
Testing download speed................................................................................
[B]Download: 286.49 Mbit/s[/B]
Testing upload speed......................................................................................................
[B]Upload: 240.92 Mbit/s[/B]A huawei sz rság bridge-ben van. Ha direkt abba dugom a cat6-ot, akkor is ugyan ennyit mérek... fasttrack on off ugyan az.
-
brickm
őstag
válasz
Adamo_sx
#6925
üzenetére
Ezek szerint olyan jól megszerveztem a tűzfalamat, hogy nem lassít semmit a kapcsolaton, mert hiába rakosgatom, nem történik az égvilágon semmi.
![;]](//cdn.rios.hu/dl/s/v1.gif)
Szerk.: nekem eddig is egy accept rule volt az első, ami a már meglévő felépült kapcsolatokat engedte át. Lehet ezért nincs változás, mert a fasttrack se cisnál sokkal többet.
-
brickm
őstag
Urak!
Használja valaki a fasttracket? Szerintem nekem hiányzik belőle valami. Mikrotik Wikin mutat 3 rule-t a firewall/mangle -ön belül is, ahol nekem nincs semmi. (hogy aztán én töröltem ki régebben, vagy sose volt az passz)
Kell oda valami? Mi?
Most ki/be kapcsolgatom a firewall/filter első két sorát, ami a wikin is fent van és azon kívül, hogy a számlálója megy/nem megy semmi változást nem érzek. Pseedtest se mond semmit, pedig elvileg markáns eltérésnek kéne lenni. -
brickm
őstag
válasz
bambano
#6905
üzenetére
Nekem most rb750gr3 van. A digi netem már a saját eszközüknél sem ad 300-400Mbitnél többet. Cat5e kábelen ez átjön a mikrotikemen 6ms pinggel. Wifi ap külön eszköz. Gondolkodtam én is 4011en. De végülis a digi hálózata nálam annyira silány, hogy kár lett volna beleölni több pénzt.
-
brickm
őstag
Szerintem ha 50-100Mbitnél nagyobb sávszélességet szeretnél wifin alapból ne is kombinált eszközben gondolkodj.
Azért a wifi elég sok powert kér, meg melegít is. Ezt bezsúfolni a 2magos CPU meg a RAM mellé....
Én mindig is arra utaztam, hogy a Router legyen egy önálló eszköz, ami a routingot cisnálja, meg a natolást, tűzfalat, sávszélesség elosztást. A Wifi legyen külső eszköz, ha elég egy low power tp link AP, akkor azt kötök rá, ha meg kell egy Ubiquity highend spot antenna, akkor azt.
A mikrotik meg köszöni szépen 30 fokos, oda teszem, ahova csak akarom.
De hogy a kérdésedre is válaszoljak szerintem a hardver kevés hozzá, mert a soho cuccaik elég picik, ennyi fért bele.
-
brickm
őstag
Szia,
Miért jön létre dhcp kliens?
Alapvetően ha PPPOE connection-ben vagyaz az ether1-re van létrehozva és nem jön léte helyette egy dhcp sehogy.Nézd meg nincs e valami active script/schedule job erre vonatkozóan. Illetve lehet egy PPPOE kliens export se ártana, ha bemásolod megnézzük mi van benne.
Quick setből lett beállítva a router?
-
#6851
brickm
őstag
Core2duo6600
#6850
brickm
őstag
válasz
Core2duo6600
#6850
üzenetére
Garantáltam, elvileg.
Ha jól értelmezem amit csináltam...
Ennek úgy kellene működnie, hogy mindenki kapja az 1000-es Megabitet, kivétel ha ekezd elfogyni, mert akkor a beállított limiteket tartja meg. De egyébként, ha a szabálynál adott eszöznek 1000M helyett pl 7M-t adok, akkor speedtest is 7M-nál áll le, tehát mindkét funkció működik elvileg.A másik verziót nehezebb tesztelni, mert egyszerre kell több eszközön futtatni a tesztet, hogy valóban működnek-e a priorizálások. (annyi a lényeg, hogy a fő PC első helyen van, telefonok, rapsberry(kodi) követi, a server meg az utolsó.
-
-
brickm
őstag
Sziasztok!
Terhelésmegosztásban valaki tudna segíteni?
Mikrotik RB750Gr3 routerre váltottam, ami eddig a sima 750ben működött, most nem pont azt tapasztalom.
A bejövő netet szeretném 4-5 fix kliens (mint VIP tag, fix IP-vel) és a többiek (nem VIP IP, guest eszközök közt)IP»Firewall»Mangle: (így épül fel a többi is, a fix IP-s gépek connection-jét megjelölöm, illetve azalapján a packetet)
3 ;;; PB server - VIP0
chain=forward action=mark-connection new-connection-mark=vip0conn
passthrough=yes src-address=192.168.0.5 log=no log-prefix=""
4 chain=forward action=mark-packet new-packet-mark=vip0pack passthrough=no
connection-mark=vip0conn log=no log-prefix=""
11 ;;; NemVIP
chain=forward action=mark-connection new-connection-mark=nemvipconn passthrough=yes
in-interface-list=LAN log=no log-prefix=""
12 chain=forward action=mark-packet new-packet-mark=nemvippack passthrough=no
connection-mark=nemvipconn log=no log-prefix=""/queue tree
add comment=Download limit-at=300M max-limit=1G name=ISP-IN parent=bridge priority=7 queue=\
pcq-download-default
add comment=Upload limit-at=75M max-limit=1G name=ISP-OUT parent=pppoe-out1 priority=7 queue=\
pcq-upload-default
add limit-at=1M max-limit=1G name=nemvip_le parent=ISP-IN queue=pcq-download-default
add limit-at=1M max-limit=1G name=nemvip_fel parent=ISP-OUT queue=pcq-upload-default
add limit-at=299M max-limit=1G name=vip_le parent=ISP-IN queue=pcq-download-default
add limit-at=74M max-limit=1G name=vip_fel parent=ISP-OUT queue=pcq-upload-default
add comment="Macbook Pro" limit-at=100M max-limit=1G name=vip1_in packet-mark=vip1pack parent=vip_le \
priority=1 queue=pcq-download-default
add comment="Macbook pro" limit-at=50M max-limit=1G name=vip1_out parent=vip_fel priority=1 queue=\
pcq-upload-default
add comment="Packard Bell server" limit-at=150M max-limit=1G name=vip0_in packet-mark=vip0pack parent=\
vip_le priority=3 queue=pcq-download-default
add comment="Packard Bell server" limit-at=17M max-limit=1G name=vip0_out packet-mark=vip0pack parent=\
vip_fel priority=3 queue=pcq-upload-default
add comment="iPhone 7" limit-at=5M max-limit=1G name=vip2_in packet-mark=vip2pack parent=vip_le \
priority=2 queue=pcq-download-default
add comment="iPhone 6S" limit-at=4M max-limit=1G name=vip4_in packet-mark=vip4pack parent=vip_le \
priority=1 queue=pcq-download-default
add comment="Raspberry PI 3B+" limit-at=40M max-limit=1G name=vip3_in parent=vip_le priority=1 queue=\
pcq-download-default
add comment="iPhone 7" limit-at=5M max-limit=1G name=vip2_out packet-mark=vip2pack parent=vip_fel \
priority=1 queue=pcq-upload-default
add comment="iPhone 6S" limit-at=2M max-limit=1G name=vip4_out packet-mark=vip4pack parent=vip_fel \
priority=1 queue=pcq-upload-defaultViszotn ha leveszem pl a MBP limitjeit 1-2 M-ra, és indítok egy nagyobb file máveletet nem pirosodik be és nem vágja le, ahogy emlékszem sima 750-nél ez történt. Mit hibázhattam? (vagy valamit máshogy kell csinálni a bridgelt lan portok miatt?)
-
brickm
őstag
válasz
bambano
#5879
üzenetére
Szia, én is ezt csinálom, csak
21,22,23,443,445,8080,40080,40022 portokat, illetve egy listára felmegy az összes, meg mellé portonként is cisnál egy listát
tehát van external ports list meg external port:21, external port:22 stb.Ment 400napot leállás nélkül az RB750 és nem volt gondja soha. Volt benne vagy 5ezer cím.
Érdemes a kigyüjtött címeket exportálni, hogy meglegyen és másik ROS-en is hazsnálni lehessen.
Illetve én már csak a magyar címlistákról engedek befelé kapcsolatokat, kivétel amit én kezdeményezek, így lecsökkent az egy óra alatt 200an akarnak betámadni lista napi 5-10-re
-
-
#5812
brickm
őstag
Core2duo6600
#5809
brickm
őstag
válasz
Core2duo6600
#5809
üzenetére
Flowchart maker.
[link] -
brickm
őstag
Pedig annak a szabálynak is számol a számlálója, elvileg a restart óta 287 csomag ment át rajta, , 142kB adat. ami reális lehet abóbl kiindulva, hogy azóta a fő masq- en 8700 cosmag és 1430kB adat ment át. Belépkedtem a géppel meg a telóval és kipróbáltam tud-e pingelni meg netezni.
Egyébként azért raktam be, hogy tudjak a VPN becsatlakozással is netezni távolról az itthoni IP-mmel, mindjárt megnézem ha kiveszem is tudok-e. (szerk:: kivettem, így a kliens nem megy ki a netre, tehát kell a masq szabály a pool-ra ha netezni is akarok vele.)
Pár nap múlva megint elém kerül a win7-es kliens, kipróbálom ujratlepítek mindent rajta amit tudok épp(egyébként tázfal ki van teljsen kapcsolva rajta már, rendszergazda a fiók, hálókártya sorrendet is módosítgattam stb...)
Egyébként az egy erősen vállalati környezetben van, mint ahogy a topológián is láthatod, viszont a telómat feltettem ugyan arra a hálózatra, és az akkor is hazajött, szóval mennie kellene.
(Ja igen, pl a tescobol nem tudok hazajönni a telefonnal se, gondolom ők a 41194-es portot kiszűrik)Köszönöm neked is és bambano-nak is, hogy foglalkoztatok a problémámmal!
Ha sikerül beléptetni a másik gépet is jelentkezem. -
brickm
őstag
A win10 most ezt kapta:
IPv4 Address. . . . . . . . . . . : 192.168.90.122 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . :
A win 7 is 90-es tartományba kap, de mikor melyik címet. Ránzésre nem tűnt rendellenesnek. Az tűnt annak, hogy a Def gateway üres, de most is üres a win10-é, amikor jó.A win7 ről semmit nem tudok pingelni, ezért is gyanakodtam az átjáró hibára elsőre. Sőt a routerből se tudom pingelni azt az IP-t amit ad a win7es gépnek, pedig az uptime pörög, active a kliens elvileg.
/firewall filter
1 ;;; Accept OpenVPN connection
chain=input action=accept protocol=tcp dst-port=41194 log=no log-prefix=""nat
4 ;;; masq LAN selective pool (Selective masq. lists)
chain=srcnat action=masquerade src-address-list=selective masq. out-interface=pppoe-out1_DIGI
log=no log-prefix=""
5 ;;; OpenVPN masquarade
chain=srcnat action=masquerade src-address=192.168.90.0/24 out-interface=pppoe-out1_DIGILehet az a baj, hogy masquarade-elem a VPN poolt is?
99%ban eddig egy eszköz volt fent, a telefonom. Azért volt jó valószínáleg a /32, vagy a telefon ignorál páér dolgot config fájlból... ez passz számomra.
A win7 is belép, csak semmit nem tud kezdeni a hálózaton\vele se lehet kezdeni semmit. De fizikálisan látom a routerben az active connection listában... az uptime is megy.
-
brickm
őstag
iphone hotspotra feltettem a dell-t és connectáltam. Ez a felállás a hálózati topológián a középső ág:
[link]Minden így cisnáltam. Illetve az IOs eszközök hónapok óta hibátlanul működnek. Régebben a win10-es gép is hazsnálva volt, az is működött, bár hibaüzenettel kapcsolódott fel(már nem emlékszem mi volt, de a temrinál is duplikált csomagokra panaszkodott akkor is) viszont elértem a PI-t a gépről is.
Aztán most egy távoli win7es gépen kiakadt a dolog így kipróbáltam és a win10es se lépett már be.
Az elmúlt napokban annyit csináltam, hogy visszatöltöttem egy régebbi autobackupot, azzal se ment, kitöröltem minden VPN beállítást újra megcisnáltam, aztán a githubos tutoriallal is... de semmi.
Majd tegnap ujra legeneráltam a CERT fájlokat, azóta a win10 is belép, de a win7 most se.
Akkor se ha mindenkit ledobok és csak ő akar belépni.32volt beírva régebben, mert kevés cím is elég volt, de ezeket persze dinamikusan átírtam mindenhol (legalábbis ezeken a helyeken át...) mikor /24re váltottam.
-
brickm
őstag
Igen mode ip van,
ethernetnek kellene lenni?
A githubos script nem határozza meg, így gondolom az IP mode az alapbeállítás.[link]
[link]
(a route- listbe nem kell semmi? erről nem találtam érdemben semmit és a két tutorial se csinál vele semmit)>>SZERK: már látom, automatán hozzá adja mikor belép egy kliens
.ovpn:client
proto tcp-client
port 41194
#remote 192.168.0.1
remote XXX.sn.mynetname.net
dev tun
nobind
persist-key
route 192.168.0.0 255.255.255.0 192.168.90.1
tls-client
ca ca.crt
cert client.crt
key client.key
redirect-gateway def1
ping 10
verb 3
cipher AES-256-CBC
auth SHA1
pull
auth-user-pass
auth-user-pass user.authuser.auth példa.
1.sor:dell
2.sor:generált password(ugyan az, mint a secretben)A cert file-okon jelenleg nincs passphrase, mert ha ráteszem az iphone nem tud vele belépni.
[link]Kliensből már bezséltük, hogy a régiek jobbak. Kezdtem 2.2.2.-vel, és kb mindet kipróbáltam már. Jelenleg a 2.4.6 van fent mindkét gépen. A win10-es már belép hiba nélkül. De a win7es kakókifli.
-
brickm
őstag
Szia, a hiba a következő:
[link]A hálózati topológia főbb elemei a következők:
[link]A két narancs kliensből akarom elérni a pirosat.
Illetve az iphone 7 is kliens amikor épp nem adja a netet a win10-es PC-nek.
A jobb szélső topológiát természetesen nem ismerem 100%osan, a tracertből bogarásztam ki az átjárókat. -
brickm
őstag
válasz
bambano
#5774
üzenetére
Teljesen igazad van, holnap megrajzolom, megnézem a távoli win7es PC tartományát.
Egyébként az jutott eszembe, hogy régen /32-es tartományt használtam a VPN-nek, mert elég volt annyi cím.
Lehet valahol egy config részben benne maradt a /32 a /24 helyett, csak a telefon nem foglalkozott vele a windows PC-k meg igen ... Bár vannak kétégeim ezzel kapcsolatban, mert a második tutorial ctrl C ctrl V és az sem ment. -
brickm
őstag
Tegnap este kinyírtam az egész VPN ocnfigot a mikrotiken. Felvertem újra, mindkét tutoriallal, a win7es PC még most sem kapcsolódik hiba nélkül, az még mindig nem látja a belső háló cuccait, VISZONT a win10-es gép hiba nélkül felmegy már.
Ami érdekes, hogy a route sorral játszottam elég sokat, meg átgugliztam pár fórumot, de csak ez a jól működő:route 192.168.0.0 255.255.255.0 192.168.90.1
Ami mostmár így, hogy bezséltünk róla nekem is úgy logikus, hogy IP NM > GW
-
-
brickm
őstag
válasz
bambano
#5764
üzenetére
Lehetséges, hogy a routing infóval van a gond.
Az én értelmezésemben ez a sor azt csinálja, hogy a 192.168.88.0/24 es címtartományba beroutolja a 192.168.90.1-et (?) Igazából ez a sor azután került be, hogy az alma teló sem látta a 88as tartomány eszközeit(de ebben már nem vagyok teljesen biztos.)
Ha kiveszem azt a sort, akkor se jó a kapcsolat windows alól.Egyébként gondolom az alma kliens kihagyja a neki nem megfelelő sorokat, azért működik, ugyanis a logjában nincs error.
Míg a windows kliensében van:
[link] -
brickm
őstag
Sziasztok!
Milyen VPN megoldást ajánlanátok nekem amihez adott egy mikrotik rb750, és multi platformon kellene stabilan üzemelnie(windows 7,10, MAC OS, IOS, esetleg android is, de az nem létkérdés most épp)
Jelenleg OpenVPN-t használok, de csak az IOS-ről megy stabilan, a windows kliensek hibára állnak ki... bekapcsolódnak, viszont valami gebasz van a dhcp settinggel, mert se pingelni nem tudok belőle semmit, se őt..miközben az uptime pörög, tehát él a kapcsolat)
Vagy ha esetleg valaki nagyobb tudora a olognak és lenne kedve ötletelni maradhat az openvpn, csak kéne némi segítség, mert már feladófélben vagyok.
Ahogy cisnáltam a servert jelenleg:
[link]Amit még próbáltam:
[link] -
brickm
őstag
válasz
bambano
#5259
üzenetére
Na egy ilyen kijelentést olvastam már, pont ezért kérdeztem rá.
Csak akkor azt hiszem valaki az rb2011-el kapcsolatban panaszkodott. Talán...Ennek mi az oka? Gyenge a hardver?
Mert akkor nem is szórakozok sfp-s modulossal, megelégszek a 100\100al aztán a franc ugy egye meg. Legalább marad lóvé sörre
-
brickm
őstag
Szia!
Vehetsz bátran. Nekem bambano ajánlotta annak idején itt a mikrotik termékeket. Kellett egy komolyabb munkámhoz komolyabb router\switch és itt panaszkodtam ki magam. 1100ahx2-t vásároltam akkor, meg magamnak egy rb750-et gyakorolni. Én azóta is a kicsit használom itthon, SOHA semmi baj nem volt vele. ilyen 400+ napos uptime-ok voltak már benne, aztán költöztem, meg áramszünet volt és társai
Most csak azért váltok, mert van pár uj eszköz itthon ami nem hajlandó a tp-linkkel együtt dolgozni, de olyan szinten, hogy egy hete tépem a hajam tőle. Úgyhogy beépített wifis mikrotik lesz a vége.
-
brickm
őstag
válasz
bambano
#5255
üzenetére
Köszönöm!
Az általad említett debreceni boltban is ugyan az a helyzet, mint ahol én kérdeztem, 5-6 ezres felár a wireless-hez képest. Úgyhogy lerendelem tőlük.Egyébként RouterBOARD 951G-2HnD -t néztem ki itthonra. Az Rb750-et váltaná fel, annyi lenne a lényeg, hogy ugye a wifi beépített legyen, és lehetőleg tényleg bírja a giganetet. Ilyen szempontból jó választás, vagy vegyek inkább
RouterBOARD 951G-2HnD -t az SFP miatt. Egyelőre 100\100as Digi netem van, de nem kizárt, hogy váltok gigára és akkor már úgy venném, hogy ne kelljen megint cserélni.
Vagy esetleg valami mást....? -
-
brickm
őstag
válasz
bambano
#5082
üzenetére
Köszönöm, még annyi kérdésem lenne ezzel kapcsolatban,hogy ezt a tűzfal szabályt én szimplán chain: forward-on láttam aktívnak példákban, semmi interface deklaráció.
Ez így megfelelő szűrés, vagy érdemes lenne meghatározni neki az interface-t is?erre gondolok:
E helyett:
9 ;;; Drop to bogon list
chain=forward action=drop dst-address-list=BogonsEzt alkalmazni:
19 chain=forward action=drop src-address-list=Bogons
in-interface=pppoe-out1_DIGI log=no log-prefix=""
20 chain=forward action=drop dst-address-list=Bogons
out-interface=pppoe-out1_DIGI log=no log-prefix="" -
brickm
őstag
LEnne is egy gyors kérdésem az uj OS-ről.
LEtöltöttem X86-iso formában. Feltettem virtualboxba. A winbox látja, mindkét virtuális hálókártyát, de ha megpróbálok csatlakozni, elutasít helytelen felhazsnálónév\jelszóval.
admin , üres.
A Vbox belép terminálban ezekkel. Adtam hozzá új felhasználót, de az sem enged be.
Se IP vel se MAC-el.... Ötletek? -
brickm
őstag
Siasztok!
tudna valaki segíteni, hogy az alábbi általam használt tűzfal jó-e, vagy valamit esetleg tennétek bele\kihagynátok\máshova raknátok?/ip firewall filter
add action=accept chain=forward comment="Accept to related connections" \
connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat in-interface=\
pppoe-out1_DIGI
add action=accept chain=input comment="ICMP Rule" in-interface=pppoe-out1_DIGI \
protocol=icmp
add action=accept chain=input dst-port=8291,40022,40021,41194 in-interface=\
ether2-master-local protocol=tcp src-address=192.168.0.0/24
add action=accept chain=input dst-port=80,8291,40022,40021,41194 protocol=tcp \
src-address=192.168.90.0/24
add action=accept chain=input comment="Enable OpenVPN connection" dst-port=\
41194 in-interface-list=all protocol=tcp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=\
Bogons
add action=drop chain=input comment=proxy dst-port=8080 in-interface=\
pppoe-out1_DIGI protocol=tcp
add action=drop chain=input comment=\
"Debug rule for local settings, drop all connection from external sites" \
dst-port=8291,40022,40021 in-interface=!ether2-master-local protocol=tcp
add action=drop chain=input comment="Drop external IP List" src-address-list=\
external_ports
add action=add-src-to-address-list address-list=external_ports_21 \
address-list-timeout=none-dynamic chain=input dst-port=21 in-interface=\
!ether2-master-local protocol=tcp
add action=add-src-to-address-list address-list=external_ports_22 \
address-list-timeout=none-dynamic chain=input dst-port=22 in-interface=\
!ether2-master-local protocol=tcp
add action=add-src-to-address-list address-list=external_ports_23 \
address-list-timeout=none-dynamic chain=input dst-port=23 in-interface=\
!ether2-master-local protocol=tcp
add action=add-src-to-address-list address-list=external_ports_80 \
address-list-timeout=none-dynamic chain=input dst-port=80 in-interface=\
!ether2-master-local protocol=tcp
add action=add-src-to-address-list address-list=external_ports_443 \
address-list-timeout=none-dynamic chain=input dst-port=443 in-interface=\
!ether2-master-local protocol=tcp
add action=add-src-to-address-list address-list=external_ports_1194 \
address-list-timeout=none-dynamic chain=input dst-port=1194 in-interface=\
!ether2-master-local protocol=tcp
add action=add-src-to-address-list address-list=external_ports \
address-list-timeout=none-dynamic chain=input dst-port=80,21,22,23,443,1194 \
in-interface=!ether2-master-local protocol=tcp
add action=drop chain=input comment="Drop external warnings" dst-port=\
21,22,23,25,53,80,110,115,135,139,143,194,443,445,1433 in-interface=\
pppoe-out1_DIGI protocol=tcp
add action=drop chain=input dst-port=3306,3389,5632,5900 in-interface=\
pppoe-out1_DIGI protocol=tcp
add action=drop chain=input comment="Drop ssh brute forcers" dst-port=40022 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list="selective masq." \
address-list-timeout=none-dynamic chain=input comment=\
"Local IP register to selective masq. list" dst-address=192.168.0.1 \
dst-port=9032 protocol=tcp src-address=192.168.0.0/24 src-address-list=\
new_user
add action=add-src-to-address-list address-list="selective masq." \
address-list-timeout=5m chain=input comment=\
"Local IP register to selective masq. list time: 0d 00:05:00" dst-address=\
192.168.0.1 dst-port=8080 protocol=tcp src-address=192.168.0.0/24 \
src-address-list=new_user
add action=add-src-to-address-list address-list=new_user address-list-timeout=\
5m chain=forward comment="Scan new users" src-address=192.168.0.0/24 \
src-address-list="!selective masq."
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=40022 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=40022 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=40022 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=40022 \
protocol=tcp
add action=accept chain=forward comment="Accept to new connections" \
connection-state=new
add action=drop chain=input comment="Drop anything else! " in-interface=\
ether1-gateway -
brickm
őstag
Sziasztok!
Van egy kis problémám egyik hálózaton lévő eszközzel.
Ihone 6 készülék, bármilyen App store-os vagy icloud-os kapcsolódási kísérlet során kiáll kapcsolt hibára.
A mikrotiken már transparent proxytól kezdve a revers connectionök logolásig mindent bekapcsoltam.
Amire jutottam:
Ha megpróbálok be\ki -jelentkezni az appstore-ba\icloudba a hálózatra jön egy reverse connection, 23-as portra, pl innen 23as portra:203.181.7.199
vagy ő a 443as porton: 209.250.248.14
22es port: 122.114.13.106
Volt már kínai telekom cég is a listán, meg amerikai Data link cég is.
Mivel az efféle kapcsolatokat inputról dobom el, természetesen nem tudok be\ki lépni.
Mi lehet ez segítsetek.
Van itthon egy 6S is, az robléma nélkül lépked ki\be, nem fogja meg a tűzfal. -
brickm
őstag
Tegnap megállt bennem a vér mikor elővettem a régi asus laptopomat, bekapcsoltam és miután felállt a rendszeraz ipconfigban a 192.168.1.118-as címet láttam kiírva.
A rendszer úgy néz ki, hogy egy mikrotik-be bejön az ISP, az ad mindennek ami rákapcsolódik 0-ás tartományba egy IP-t, illetve van egy tp link router switch üzemmódba kötve, ami a wifis eszközöket csapja a mikrotikre. Természetesen rajta a DHCP kikapcsolva.(úgy tűnik most visszakapcsolta magát
)Gép a restart után visszatért a 0-ás tartományba.
-
#4341
brickm
őstag
Core2duo6600
#4339
brickm
őstag
válasz
Core2duo6600
#4339
üzenetére
A masquarade.-et csak a dhcp poolra adod ki.
-
brickm
őstag
Sziasztok!
Mikrotik routeremen feltűnt az adatforgalomban, hogy a két droidos telefon rendszeresen magától kommunikál egy bizonyos baidu dot com nevű kínai kereső oldal felé.
Szeretném ezt az adatforgalmat teljesen tiltani tűzfallal.
Erre a célra készítettem ezt a két rule-t:6 ;;; Drop Blocked IP Input-Src
chain=input action=drop src-address-list=Blocked_ip log=no log-prefix=""
7 ;;;;Drop Blocked IP Input-Dst
chain=input action=drop dst-address-list=Blocked_ip log=no log-prefix=""Jó ez így, vagy máshogy oldanátok meg?
-
brickm
őstag
Na sikerült elérni az AP-t is kintről.
Kellett bele a második szabály:1 ;;; masq OpenVPN pool full
chain=srcnat action=masquerade src-address=192.168.90.0/31
out-interface=pppoe-out1_DIGI log=no log-prefix=""
2 chain=srcnat action=masquerade src-address=192.168.90.0/30
dst-address=!192.168.90.0/30 log=noNem igazán értem miért kell, ha az ip kamera meg a pc elérhető 0.10 és 0.101-es címen, ez miért nem.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
na ezt se hallottam még. Nekem 6.40.4 van most fent. Mivel eddig hibátlanul működik, vpn stb minden megy, nem bántom szerintem.
Új hozzászólás Aktív témák
Hirdetés
- Filmvilág
- Egyre csak fejlődik az AI, emberek tízezreit rúgja majd ki a BT
- Luck Dragon: Asszociációs játék. :)
- Autós topik
- Kerékpárosok, bringások ide!
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- Az Euronics is elkezd használt mobilokkal foglalkozni
- Interactive Brokers társalgó
- Az Oppo Find X8 Ultra lett a legvékonyabb kameramobil
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- További aktív témák...
- Napi 700 ft tól elvihető RÉSZLETRE BANKMENTES HP 840 G11 Ultra 5
- IBM/Lenovo Thinkpad T60
- ÁRGARANCIA! Épített KomPhone i5 14400F 32/64GB RAM RTX 5060Ti 8GB GAMER PC termékbeszámítással
- Apple iPhone SE 16GB, Kártyafüggetlen, 1 Év Garanciával
- Bomba ár! Lenovo ThinkPad T490s - i7-8GEN I 16GB I 256SSD I 14" WQHD HDR I Cam I W11 I Gari!
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest