-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#22840
mcll
senior tag
lionhearted
#22839
mcll
senior tag
válasz
lionhearted
#22839
üzenetére
Köszi az infókat meg a sok segítséget neked is és persze a többieknek is. De be kell lássam ez a Mikrotik világ kicsit messze van tőlem sajnos, így úgy döntöttem visszaküldöm ezt az ax3-as routert (még benne vagyok a 14 napos elállásban szerencsére) és berendeltem helyette egy Asus TUF-AX4200-est.
-
-
mcll
senior tag
válasz
LaCeeN
#22827
üzenetére
[admin@MikroTik] /ip/dhcp-server/network> printColumns: ADDRESS, GATEWAY, DNS-SERVER# ADDRESS GATEWAY DNS-SERVER0 192.168.1.0/24 192.168.1.254 8.8.8.8A 192.168.1.250 maga a Mikrotik router.
A NAT alatt csak ez a Masquerade szabály van, a többi szabály csak a forward rulejaim (azt nem listázom):
[admin@MikroTik] /ip/firewall/nat> printFlags: X - disabled, I - invalid; D - dynamic0 chain=srcnat action=masquerade log=no log-prefix="" -
#22825
mcll
senior tag
lionhearted
#22824
mcll
senior tag
válasz
lionhearted
#22824
üzenetére
Ezt kérdeztem korábban hogy elég-e amik ott vannak, nem tudom mit vegyek még fel. Ha van tipped írd le kérlek.
-
mcll
senior tag
Újabb problémák.... Napokon keresztül minden gond nélkül ment minden. De ma reggel óta szívás van megint, de most érdekes módon CSAK a wifi rendszerem halt le. Van egy pár TPLink AP eszköz meg ugya a router saját wifije. Egymás után ment el a net a WIFI-ről, de csak a külső hozzáférés, a belső hálózat látható rajta továbbra is. Rebootoltam már mindent, többször is, az AP-ket, a routert a Digis modemet mindent. Logban semmit sem látok, a Filter szabályok pedig az előző postomban látahtók amire most választoltam.
Rejtély mi a probléma, esetleg valakinek ötlete?Megj.: Ami fura hogy pl az okostévéken meg megy minden (wifin csatlakoznak). De telón, laptopon nem. De az egyik régi tabletemen meg megint ok minden...
-
mcll
senior tag
Tűzfal filter alapszabályoknak ez így elengedő, vagy tegyek még rá valamit?
[admin@MikroTik] /ip/firewall/filter> printFlags: X - disabled, I - invalid; D - dynamic0 ;;; Accept SSHchain=input action=accept connection-state=established,related protocol=tcp dst-port=22 log=no log-prefix=""1 ;;; Accept Winboxchain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""2 ;;; Accept establlished @ related conn. (pl ping from router terminal)chain=input action=accept connection-state=established,related log=no log-prefix=""3 ;;; Accept ICMP from LAN sidechain=input action=accept protocol=icmp in-interface=bridge1 icmp-options=8:0-255 log=no log-prefix=""4 ;;; Accept DNS query from LAN side via UDPchain=input action=accept protocol=udp in-interface=bridge1 dst-port=53 log=no log-prefix=""5 ;;; Accept DNS query from LAN side via TCPchain=input action=accept protocol=tcp in-interface=bridge1 dst-port=53 log=no log-prefix=""6 ;;; DROP everything elsechain=input action=drop log=no log-prefix=""[admin@MikroTik] /ip/firewall/filter> -
#22790
mcll
senior tag
lionhearted
#22786
mcll
senior tag
válasz
lionhearted
#22786
üzenetére
Igen feladtam a MAC szűrést, úgyhogy nulláról elkezdtem felhúzni a routert. Most ott tartok hogy él a router, PPPoE login megy, van net minden kliensen. Amin most elakadtam, hogy bár mindenhol van net, de a routeren nem megy a névfeloldás.
[admin@MikroTik] > ping 8.8.8.8SEQ HOST SIZE TTL TIME STATUS0 8.8.8.8 56 59 9ms478us1 8.8.8.8 56 59 9ms53us2 8.8.8.8 56 59 9ms563us3 8.8.8.8 56 59 9ms513us4 8.8.8.8 56 59 9ms647ussent=5 received=5 packet-loss=0% min-rtt=9ms53us avg-rtt=9ms450us max-rtt=9ms647us[admin@MikroTik] > ping prohardver.huinvalid value for argument address:invalid value of mac-address, mac address requiredinvalid value for argument ipv6-addresswhile resolving ip-address: could not get answer from dns server00:23:06 echo: system,error,critical login failure for user e8telnet from 176.42.206.13 via telnet[admin@MikroTik] > -
mcll
senior tag
válasz
kammler
#22783
üzenetére
Tegnap próbáltam előlről, de nem sikerült, már az alapkonfig sem sajnos, pedig YT videó alapján mentem lépésről lépésre. Azaz aztán a default konfig összejött, de a log tele lett betörési próbálkozásokkal, de persze egy sem jutott be. Viszont nálam MAC cím szűrés van, és ezt jó lenne nem elengedjem, hanem megtartanám. De már fogalmam sincs anno hogy raktam össze sajnos.
Már azon gondolkodok nem-e valami ids csapja le nekem a netet (sok próbálkozás miatt lecsapja), csak nem tudom ezt hol tudom megnézni. -
-
mcll
senior tag
Köszi, ha minden igaz akkor ez így most talán jó lesz (?).
Amit csináltam.
1. Lekapcsoltam a korábbi DDNS updater scriptet:
2. Bekapcsoltam DDNS-t (ami be is volt kapcsolva, csak meg kellett adjak neki egy refresh intervallumot). Amúgy itt kérdezném hogy ha van saját Dyndns accountom (ami van) akkor azt nem tudnám itt használni? Vagy most erre a célra jobb ez?
3. Beállítottam ez alapján a listát:
4. És kitöröltem a dest IP-ket, és beraktam a listát:
-
-
mcll
senior tag
Elkiabáltam. Bár ez nem egészen olyan volt, mert pont gépnél voltam, mikor elment a netem. Routert elértem, és minden belső IP-t is, csak netem nem volt. Viszont 1-2 perc után visszajött most a net (korábban csak reboot után). Azonban a DDNS_updater scriptem felakadt teljesen. Ez volt a logban:
10:44:00 script,info DynDNS: IP-DynDNS = 85.66.xx.xx10:44:00 script,info DynDNS: IP-Fresh = 176.241.xx.xx10:44:00 script,info DynDNS: Update IP needed, Sending UPDATE...!10:44:02 fetch,info Download from 147.154.xx.xx FINISHED10:44:04 script,info DynDNS: IP updated to 176.241.xx.xx!10:44:04 system,info nat rule changed by scheduler:DDNS_updater/script:DDNS_updater/action:67 (/ip firewall nat set *5 dst-address=176.241.xx.xx)10:44:04 system,info nat rule changed by scheduler:DDNS_updater/script:DDNS_updater/action:68 (/ip firewall nat set *6 dst-address=176.241.xx.xx)10:45:00 script,info DynDNS: IP-DynDNS = 85.66.xx.xx10:45:00 script,info DynDNS: IP-Fresh = 176.241.xx.xx10:45:00 script,info DynDNS: Update IP needed, Sending UPDATE...!10:45:16 fetch,info Download from 147.154.xx.xx FINISHED10:45:18 script,info DynDNS: IP updated to 176.241.xx.xx!10:45:18 system,info nat rule changed by scheduler:DDNS_updater/script:DDNS_updater/action:89 (/ip firewall nat set *5 dst-address=176.241.xx.xx)10:45:18 system,info nat rule changed by scheduler:DDNS_updater/script:DDNS_updater/action:90 (/ip firewall nat set *6 dst-address=176.241.xx.xx)
és ez ment percenként folyamatosan. valamiért nem tudta rendesen beolvasni a külső IP-met, beragadt neki az a 85.66.xx.xx, Reboot után a script lefutott és rendben van.Amúgy ez a DDNS_updater scriptem:
:global ddnsuser "user":global ddnspass "pass":global theinterface "pppoe-out-DIGI":global ddnshost xxx.gotdns.com:global ipddns [:resolve $ddnshost];:global ipfresh [ /ip address get [/ip address find interface=$theinterface ] address ]:if ([ :typeof $ipfresh ] = nil ) do={:log info ("DynDNS: No ip address on $theinterface .")} else={:for i from=( [:len $ipfresh] - 1) to=0 do={:if ( [:pick $ipfresh $i] = "/") do={:set ipfresh [:pick $ipfresh 0 $i];}}:if ($ipddns != $ipfresh) do={:log info ("DynDNS: IP-DynDNS = $ipddns"):log info ("DynDNS: IP-Fresh = $ipfresh"):log info "DynDNS: Update IP needed, Sending UPDATE...!":global str "/nic/update\?hostname=$ddnshost&myip=$ipfresh&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG"/tool fetch address=members.dyndns.org src-path=$str mode=http user=$ddnsuser \password=$ddnspass dst-path=("/DynDNS.".$ddnshost):delay 1:global str [/file find name="DynDNS.$ddnshost"];/file remove $str:global ipddns $ipfresh:log info "DynDNS: IP updated to $ipfresh!"/ip firewall nat set 3 dst-address=$ipfresh/ip firewall nat set 4 dst-address=$ipfresh/ip firewall nat set 5 dst-address=$ipfresh/ip firewall nat set 6 dst-address=$ipfresh/ip firewall nat set 7 dst-address=$ipfresh/ip firewall nat set 8 dst-address=$ipfresh/ip firewall nat set 9 dst-address=$ipfresh/ip firewall nat set 10 dst-address=$ipfresh/ip firewall nat set 11 dst-address=$ipfresh/ip firewall nat set 12 dst-address=$ipfresh/ip firewall nat set 13 dst-address=$ipfresh/ip firewall nat set 14 dst-address=$ipfresh/ip firewall nat set 15 dst-address=$ipfresh/ip firewall nat set 16 dst-address=$ipfresh/ip firewall nat set 17 dst-address=$ipfresh/ip firewall nat set 18 dst-address=$ipfresh/ip firewall nat set 19 dst-address=$ipfresh/ip firewall nat set 20 dst-address=$ipfresh/ip firewall nat set 21 dst-address=$ipfresh/ip firewall nat set 22 dst-address=$ipfresh/ip firewall nat set 23 dst-address=$ipfresh/ip firewall nat set 24 dst-address=$ipfresh:log info "dst-address set to $ipfresh for NAT rules 3":log info "dst-address set to $ipfresh for NAT rules 4":log info "dst-address set to $ipfresh for NAT rules 5":log info "dst-address set to $ipfresh for NAT rules 6":log info "dst-address set to $ipfresh for NAT rules 7":log info "dst-address set to $ipfresh for NAT rules 8":log info "dst-address set to $ipfresh for NAT rules 9":log info "dst-address set to $ipfresh for NAT rules 10":log info "dst-address set to $ipfresh for NAT rules 11":log info "dst-address set to $ipfresh for NAT rules 12":log info "dst-address set to $ipfresh for NAT rules 13":log info "dst-address set to $ipfresh for NAT rules 14":log info "dst-address set to $ipfresh for NAT rules 15":log info "dst-address set to $ipfresh for NAT rules 16":log info "dst-address set to $ipfresh for NAT rules 17":log info "dst-address set to $ipfresh for NAT rules 18":log info "dst-address set to $ipfresh for NAT rules 19":log info "dst-address set to $ipfresh for NAT rules 20":log info "dst-address set to $ipfresh for NAT rules 21":log info "dst-address set to $ipfresh for NAT rules 22":log info "dst-address set to $ipfresh for NAT rules 23":log info "dst-address set to $ipfresh for NAT rules 24"} else={:log info "DynDNS: dont need changes, IP remain at $ipfresh";}} -
mcll
senior tag
válasz
ekkold
#22743
üzenetére
Mármint arra gondolsz hogy egy hostban a MAC address átállítódik? Ez esetben egyszerűen az adott hoston tűnik el a netkapcsolat nem az összesen, ami csatlakozik a routerhez. Pontosabban ha egy hoston megváltozik a MAC, akkorf ezt a router úgy fogja érzékelni hogy egy új eszköz próbál csatlakozni, melynek a MAC-je számára ismeretlen, így nem kap hozzáférést.
-
mcll
senior tag
Hát valami továbbra sem kerek. Már másnap kezdte ez a router is a "ledobálást", pontosabban megy a router, csak épp a hostok nem kapnak netet. Látszólag meg minden ok. Újraindítás után minden ok megint. Tök ugyanezt csinálta az előző routerem is. Amivel ezek szerint akkor semmi baj, mert valami konfig hiba lesz ez. Csak épp az a fura, hogy éveken át semmi gond nem volt, aztán egyszer csak elkezdte a ledobálást, annak ellenére hogy MAC cím felvitelen kívül semmilyen módosítás nem történt sehol.
Szóval nem értem most akkor mi a baj megint. Log-ban persze semmi. -
#22737
mcll
senior tag
lionhearted
#22736
mcll
senior tag
válasz
lionhearted
#22736
üzenetére
Köszi, most már ok.
-
mcll
senior tag
Feltettem Files-ba a wireless csomagot, majd reboot. Meg is jelent most:
[admin@MCLL-MikroTik-AX3] > /system package printColumns: NAME, VERSION, BUILD-TIME, SIZE# NAME VERSION BUILD-TIME SIZE0 routeros 7.15.3 2024-07-24 10:39:01 11.6MiB1 wireless 7.15.3 2024-07-24 10:39:01 884.1KiB[admin@MCLL-MikroTik-AX3] >Viszont a Wifi szekció tök üres továbbra is.
A log-ban meg ezt találtam:
installed wireless-7.15.3DefConf gen: Unable to find wireless interface(s)package wireless is unscheduled by mac-msg(winbox):admin@58:A0:23:FE:xx:xx () -
mcll
senior tag
Viszont abszolút nincs Wifi-m, tök üres a a rész:
[admin@MCLL-MikroTik-AX3] /interface/wifi> print[admin@MCLL-MikroTik-AX3] /interface/wifi>Hogy tudnám visszavarázsolni?
Ok van a házban több AP is, csak gondoltam megnézem miben tud többet az AX3 5G-s wifije, mint az AP-im.A System/packages-ben is csak egy opció van, a routeros. Elvileg nem itt kellene lennie a wireless csomagnak?
-
#22733
mcll
senior tag
Kicsirics77
#22732
mcll
senior tag
válasz
Kicsirics77
#22732
üzenetére
Köszi ez segített. Eredetileg 4 masquerade szabályom volt. Töröltem az AX3-ból mind a 4-et és a hEX alapján egyesével vittem fel. Már az elsőnél elindult a net. 3 szépen fel is ment a negyediket nem fogadja.
Ezek vannak most:[admin@MCLL-MikroTik-AX3] /ip/firewall/nat> printFlags: X - disabled, I - invalid; D - dynamic0 chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=pppoe-out-DIGI log=no log-prefix=""1 chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.250 out-interface=bridge1 log=nolog-prefix=""2 chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=WAN log=no log-prefix=""A negyedik ez lenne:
chain=srcnat action=masquerade dst-address=82.144.1xx.xxx out-interface=WAÉs erre ezt a hibát dobja nekem:
"Couldn't add New NAT Rule - incoming interface matching not possible in output and postrouting chains (6)."Most megy a net a gépeken, de nem tudom így mennyire marad működöképes (biztonságos) a MAC cím szűrésem.
-
#22731
mcll
senior tag
Kicsirics77
#22730
mcll
senior tag
válasz
Kicsirics77
#22730
üzenetére
igen én is erre tippelek, de pontról pontra hasonlítom össze a régi routerrel és minden ugyanaz.
-
#22729
mcll
senior tag
Kicsirics77
#22728
mcll
senior tag
válasz
Kicsirics77
#22728
üzenetére
Ugyanazok a beállítások vannak itt is mint a régi routerben.
-
mcll
senior tag
Így már sikerült. Gyakorlatilag le lett most klónozva a régi router az újba (a MAC címek persze nem), de valami nem ok.
A router felcsatlakozik a netre, a dyndns is befrissül, látszólag minden ok. Kifele a megnyitott portok mennek. Terminálból meg tudok pingelni külső címeket, tehát kilát a netre. Azonban egyik hoston sincs net, ami fura. A hostok szépen felcsatlakoznak a routerre (MAC cím szűrés van, ARP lista és DHCP leases aktív, sőt szépen látom is hogy a host megkapta az IP-t, de net nincs. Minden opciót átnéztem összehasonlítottam a két routert (2 külön laptopon) de nem látok különbséget.
Hol lehet a bibi? -
mcll
senior tag
válasz
LaCeeN
#22720
üzenetére
Ha letörlöm a configot, akkor sehogy sem fogom elérni, mert az összes interfészt is törli. Winbox-al megyek be MAC alapján, és így sem érem el ilyenkor.
A system backup sajnos nem jó.
[admin@MikroTik] > system backup load filename=MCLL-MikroTik-20240905-1422.backupexpected end of command (line 1 column 20)És mivel bináris a fájl, nem tudok belenézni.
(előtte a hEX-beől mentettem ki így:[admin@MCLL-MikroTik] > system backup saveSaving system configurationConfiguration backup saved -
mcll
senior tag
Sajnos nem akar összejönni sehogy.
Régi hEX routert upgradeltem ROS7-re, sikeres volt, nem halt le, működik minden. Cofigot lementettem. AX3-at felupgradeltem utolsó ROS7-re, így mindkét router ugyanazon a verzión fut (7.15.3.). AX3 configját is leszedtem, hogy onnan az első pár sort átrakjam a hEX lementett configjának elejére (software ID, mode, serial, meg a MAC címet is átírtam. De hiába akarom betolni AX3-ba, csak hibát dob, rögtön az elején:[admin@MikroTik] > import myconfig_hEX_ROS7_oldconfig.rscfailure: already have interface list with such nameAztán elkezdtem soronként átvinni, de jöttek a hibák szépen sorban:
[admin@MikroTik] > /interface bridge[admin@MikroTik] /interface/bridge>[admin@MikroTik] /interface/bridge> add admin-mac=D4:01:C3:72:xx:xx arp=reply-only auto-mac=no comment=\\... "created from master port" name=bridge1 port-cost-mode=short \\... protocol-mode=nonefailure: already have interface with such name[admin@MikroTik] /interface/bridge> /interface ethernet[admin@MikroTik] /interface/ethernet> set [ find default-name=ether2 ] arp=reply-only name=LANfailure: already have interface list with such name[admin@MikroTik] /interface/ethernet> set [ find default-name=ether1 ] name=WANfailure: already have interface list with such name[admin@MikroTik] /interface/ethernet> /interface pppoe-client[admin@MikroTik] /interface/pppoe-client> add add-default-route=yes disabled=no interface=WAN keepalive-timeout=\\... disabled name=pppoe-out-DIGI use-peer-dns=yes user=baloghlaszlo-nbjinput does not match any value of interface[admin@MikroTik] /interface/pppoe-client> /interface lte apn[admin@MikroTik] /interface/lte/apn> set [ find default=yes ] ip-type=ipv4 use-network-apn=no[admin@MikroTik] /interface/lte/apn> /ip dhcp-server[admin@MikroTik] /ip/dhcp-server> add add-arp=yes always-broadcast=yes authoritative=after-2sec-delay \\... interface=bridge1 lease-time=3d name=DHCP-SERVER[admin@MikroTik] /ip/dhcp-server> /ip poolÉrtem, vannak ilyen IF-ek, próbáltam kézzel átnevezni, de csak arra panaszkodik hogy azn a néven már létezik. Ha meg törlöm az Inetrface/Interface List/Ethernet táblákból akkor meg ledob a router és onnantól el sem érem már, mehet a full reset...
Apropó reset. Ez után az első belépéskor feldob a Winbox egy ablakot amiben felajánlja hogy kitörli a default confot (Remove Configuration gomb). Ha erre bökök onnantól meg nem érem már el a routert. Akkor ez minek van? Kábelen csatlakozok közvetlenül a laptopról a routerre. A Wifijét nem is látom, de a Wifi LED nem is világít a router elején.
Hogyan tudnám egy az egybe áttenni a hEX interface konfigjait az AX3-ba? Mert emiatt hasal egy csomó minden sajnos.
-
#22715
mcll
senior tag
silver-pda
#22714
mcll
senior tag
válasz
silver-pda
#22714
üzenetére
jogos pár dolog tök más lesz. jó kis meló lesz kb 1200 sort bevinni...
-
mcll
senior tag
A 2017-ben vásárolt (7 éves) hEX routerboardom lehet kezd megzakkanni, az utóbbi időben egyre többet tapasztalom hogy "megáll" a net. Rebootolom és ok megint. Most beraktam egy schedule-t ami minden éjjel újraindítja. Lehet már öreg. Gondolkodok a cserén, és lehet egy hAP AX3 lesz az utódja. Viszont látom hogy az AX3, már ROS7-es. Ez sokban különbözik a hEX ROS-étől? Valahogy át kellene vigyem a konfigot, bár tudom hogy ez nem lesz egy ctrl-c/v művelet.
-
#21239
mcll
senior tag
E.Kaufmann
#21237
mcll
senior tag
válasz
E.Kaufmann
#21237
üzenetére
Nem tervezek konténerezni, van itthon mondjuk szerver, de nem szolgáltatok semmit kifele, ill ami van ahhoz meg nem kell.
-
#21236
mcll
senior tag
E.Kaufmann
#21235
mcll
senior tag
válasz
E.Kaufmann
#21235
üzenetére
Van USB-C-s táplálású eszközöm 1-2, de még sosem volt velük problémám.
Én most azon agyalok hogy érdemes-e majd dupláját kifizetnem azért hogy legyen LTE, vagy hogy egy 4 magos, nagyobb RAM-al rendelkező eszközt vegyek. Egyáltalán mennyire veszem észre hogy 2 vs 4 mag, illetve 256MB vs 1GB a RAM? -
#21229
mcll
senior tag
E.Kaufmann
#21222
mcll
senior tag
válasz
E.Kaufmann
#21222
üzenetére
Köszi az infókat. Kicsit utánaástam a dolognak, 3 modell között őrlődőm:
1. hAP ax Lite (amit ajánlottál, kb 22ezer br)
Jókat írnak róla, van benne ugyan wifi de ez amúgy is ki lesz kapcsolva nálam)2. HAP ax Lite LTE6 (kb 39ezer br)
Tettszik benne a CAT6 LTE modem, így csak be kell dobni a SIM kártyát és van backup net szükség esetére. De majdnem 2x annyiba van.3. hAP ax2 (kb 39ezer br)
Ez már 4 magos, 4x annyi a RAM, és nem 4 hanem 5 gigalan portja van. Wifi 2.4GHz és 5GHz is van, de nálam ez nem szempont. Meg vab PoE out, de ez sem kell, erre van külön PoE switchem a kameráimnak.Szóval amin őrlődőm hogy érdeme-e majd 2x annyit fizetni azért hogy legyen LTE6 (2.) vagy hogy legyen 4 magos, nagyobb RAM, stb (3.).
De ha jól látom egyiken sincs USB amivel esetleg egy USB dongle segítségével lehetne net backup vonalam. De akkor vennem kell valami jó LTE6 modemet is.Ja és még annyit, hogy a mostani routerem az ROS6, nem tudom mekkora a különbség a ROS6 és 7 között, utóbbival még nem volt dolgom.
-
#21228
mcll
senior tag
E.Kaufmann
#21227
mcll
senior tag
válasz
E.Kaufmann
#21227
üzenetére
Ehh, na ennyit rólam...
-
#21224
mcll
senior tag
E.Kaufmann
#21222
mcll
senior tag
válasz
E.Kaufmann
#21222
üzenetére
Digi kábelen lóg, gigabiten, egy elég nagy belső hálót lát el. Van MAC cím szűrés (csak az ismert mac címeket engedi fel hálóra), rengeteg port forward, stb. stb. Végül is megy, csak ezek szerint akkor lehet tényleg jobb lenne frissíteni a hardvert. Nem tudom mi az a ROS7. Nagyon nem merültem el a mikrotik világában, ami nekem kell azt meg tudom csinálni.
-
mcll
senior tag
Egy kérdés. Jelenleg egy Mikrotik hEX RouterBoardot nyúzok, mely már 2017 óta teszi a dolgát. A hátlapja már levált, letörhetett nem lehet visszarakni rendesen.
A kérdésem, érdemes-e lecserélni egy korszerűbbre, ha igen akkor melyik az ajánlott most (ami azért nem horror pénz). Wifi nem kell rá, az külön AP-kkal megy nálam. -
mcll
senior tag
válasz
Audience
#21127
üzenetére
Ez igaz, de mindben vissza lehet állni a fix gyárira mikor wifi-re csatlakozol. Nálam itthon MAC cím szűrés van, azaz ha a mikrotik ismeri az adott MAC címet, akkor kiadja neki AZT az IP-t amit én előre kiosztottam, azaz beraktam a listába. Így ha ki is tudódik a Wifi pass, akkor sem fogja beengedni a hálózatra.
-
mcll
senior tag
Üdv!
Egy Mikrotik hEX (rev 3) routert használok már évek óta. Alapvetően meg is vagyok vele elégedve, de volna egy kérdésem. Tervezem hogy valamilyen backup internet hozzáférést rakok a jelenlegi Digis mellé (vagy Voda kábel, vagy Telekomos SIM kártyás megoldást USB stickel, még nem döntöttem el). A kérdés, hogy alkalmas-e erre a mostani routerem, vagy inkább másik routerrel próbálkozzak? Ha alkalmas akkor hol találok segédletet erre hogy hogy érdemes és lehet konfigolni a routert. Ha nem alkalmas, akkor melyik routert ajánljátok? Vagy ettől függetlenül lehet jobb ha eleve routert cserélek?
Köszi! -
mcll
senior tag
válasz
Reggie0
#13238
üzenetére
Úgy látom nem jött vissza szerencsére, a /tmp-ben semmi, a Mikrotik router logjában is csak befele próbálkozás van (ami megszokott) mint ilyenek:
10:26:08 firewall,info SSH! forward: in:pppoe-out-DIGI out:bridge1, proto TCP (SYN), 109.104.151.109:48028->192.168.1.250:22, NAT 109.104.151.109:48028->(78.131.19.90:22->192.168.1.25
0:22), len 60
10:26:30 firewall,info SSH! forward: in:pppoe-out-DIGI out:bridge1, proto TCP (SYN), 109.104.151.109:43256->192.168.1.250:22, NAT 109.104.151.109:43256->(78.131.19.90:22->192.168.1.25
0:22), len 60
10:26:53 firewall,info SSH! forward: in:pppoe-out-DIGI out:bridge1, proto TCP (SYN), 109.104.151.109:38546->192.168.1.250:22, NAT 109.104.151.109:38546->(78.131.19.90:22->192.168.1.25
0:22), len 60
Kifele a tegnap esti javítás óta semmi (illetve csak az amikor én kezdeményeztem ssh-t egy másik külső szerverre, de az ok).De ezeket a fail2ban szépen blokkolja 2 hibás próbálkozás után, gyűlnek is a bannolt IP-k rendesen:
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 9
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 30
|- Total banned: 30
`- Banned IP list: 113.161.57.148 116.98.161.19 116.98.167.174 171.240.195.126 172.93.129.188 194.165.16.58 203.159.80.114 221.131.165.23 221.131.165.86 221.181.185.140 221.181.185.143 221.181.185.151 221.181.185.19 221.181.185.198 221.181.185.220 221.181.185.223 221.181.185.237 222.187.232.205 222.187.232.213 222.187.239.31 222.90.28.99 36.71.233.203 45.141.84.10 81.161.63.100 81.161.63.103 81.161.63.253 89.3.71.43 221.181.185.135 115.221.13.230 109.104.151.109 -
mcll
senior tag
válasz
Reggie0
#13236
üzenetére
Nahh aszt hiszem megvan... Kis idő után ez lett a tmp-ben:
root@mcllserver-i3:/tmp# ll
összesen 36K
drwxrwxrwt 9 root root 4,0K márc 12 19:54 ./
drwxr-xr-x 25 root root 4,0K márc 12 15:49 ../
drwxrwxrwt 2 root root 4,0K jan 23 20:41 .font-unix/
drwxrwxrwt 2 root root 4,0K jan 23 20:41 .ICE-unix/
drwx------ 2 root root 4,0K febr 25 09:41 .oscam1/
drwxrwxrwt 2 root root 4,0K jan 23 20:41 .Test-unix/
drwxrwxrwt 2 root root 4,0K jan 23 20:41 .X11-unix/
drwxrwxr-x 3 aaa aaa 4,0K márc 12 02:27 .X25-unix/
drwxrwxrwt 2 root root 4,0K jan 23 20:41 .XIM-unix/A top-ban is látható volt egy TSM alkalmazás "aaa" userrel. És akkor jöttem rá hogy ezt a usert pár nappal ezelőtt hoztam létre, ráadásul samba user is lett csinálva, csak én marha elfelejtettem a teszt után leszedni. Mivel a pass is aaa volt, így nem volt könnyű ezzel bejönni.
Persze kissé agresszív volt ez az alkalmazás, ps ezt mutatta:root@mcllserver-i3:/tmp# ps aux | grep tsm
aaa 30442 0.0 0.0 13304 944 ? S 19:51 0:00 timeout 3h ./tsm -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
aaa 30443 0.0 0.0 14448 3028 ? S 19:51 0:00 /bin/bash ./tsm -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
aaa 30448 7.9 0.4 6306356 34260 ? Sl 19:51 0:12 /tmp/.X25-unix/.rsync/c/lib/64/tsm --library-path /tmp/.X25-unix/.rsync/c/lib/64/ /usr/sbin/httpd rsync/c/tsm64 -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ipAztán a pkill -KILL -u aaa parancsal kilőttem, gyorsan töröltem a usert, meg a /tmp tartalmát. Azóta nem jött vissza szerencsére, tiszta a Mikrotik logja, csak egy próbálkozás volt befelé:
20:03:03 firewall,info SSH! forward: in:pppoe-out-DIGI out:bridge1, proto TCP (SYN), 104.128.228.18
, NAT 104.128.228.187:59961->(78.131.19.90:22->192.168.1.250:22), len 44Remélem így is marad!
Köszönöm a segítséget. -
mcll
senior tag
Sziasztok!
Kis segítség kellene. Mikrotik routerben hogy tudnám beállítani, hogy az az ÖSSZES, CSAK KIMENŐ ssh hívást loggolja úgy hogy a sorban benne legyen a cél IP címe és a forrás, ahonnan indul az SSH kapcsolat. Mivel számos gép van a hálózatban szeretném kideríteni hogy honnan megy kifele SSH hívás. Szolgáltatóm ugyanis jelezte hogy SSH brute force támadásokat loggoltak az IP-mről.
Fontos lenne ezt valahogy megoldjam. A gépeket átnéztem, sehol nem találtam semmit, de vannak linux gépek, Windows gépek vegyesen (virusírtó van), így jó lenne legalább szűkítsem a kört egy adott gépre.
Köszönöm! -
mcll
senior tag
válasz
Adamo_sx
#6081
üzenetére
Közben megtaláltam a hibát.
Mivel UPC alatt nem volt PPPoE így a "WAN" nevű interfészen dolgozott. Ezt át kellett írni a PPPoE interfészre. Tehátglobal theinterface "WAN"
helyett, a jó:
global theinterface "pppoe-out-DIGI"
Most updateli szépen. Majd figyelem menet közben ha váltás történik hogy utánamászik-e. Nem tudom milyen sűrűn vált a Digi.
Amit viszont sajna nem tudok megoldani (és szerintem nem is lehet, csak FIX IP-vel, ami a Diginél csak üzleti csomagban van horror pénzért) hogy van egy <akármi>.earth nevű domainem is (101domain.com-on regisztrálva és hostolva) és ott nem tudom updatelni csak ha bemegyek oda és ott átírom.
-
#6080
mcll
senior tag
Cirbolya_sen
#6072
mcll
senior tag
válasz
Cirbolya_sen
#6072
üzenetére
Jaja.
Közben át is állítottak, megy is, és per pill 78.131.x.x IP-n vagyok, ami ok, nem NAT-.olt.
Most viszont kellene valami megoldás hogy a Dyndns acc-ban szépen updatelje is az IP-ket ha változik. UPC alatt az évek folyamán egyszer sem változott,d e tudom a Diginél már más a helyzet.
Van is egy scriptem, ami be volt rakva, de nem updateli:
:global ddnsuser "<USERNAME>"
:global ddnspass "<PASSWORD"
:global theinterface "WAN"
:global ddnshost <AKARMI>.gotdns.com
:global ipddns [:resolve $ddnshost];
:global ipfresh [ /ip address get [/ip address find interface=$theinterface ] address ]
:if ([ :typeof $ipfresh ] = nil ) do={
:log info ("DynDNS: No ip address on $theinterface .")
} else={
:for i from=( [:len $ipfresh] - 1) to=0 do={
:if ( [:pick $ipfresh $i] = "/") do={
:set ipfresh [:pick $ipfresh 0 $i];
}
}:if ($ipddns != $ipfresh) do={
:log info ("DynDNS: IP-DynDNS = $ipddns")
:log info ("DynDNS: IP-Fresh = $ipfresh")
:log info "DynDNS: Update IP needed, Sending UPDATE...!"
:global str "/nic/update\?hostname=$ddnshost&myip=$ipfresh&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG"
/tool fetch address=members.dyndns.org src-path=$str mode=http user=$ddnsuser \
password=$ddnspass dst-path=("/DynDNS.".$ddnshost)
:delay 1
:global str [/file find name="DynDNS.$ddnshost"];
/file remove $str
:global ipddns $ipfresh
:log info "DynDNS: IP updated to $ipfresh!"
} else={
:log info "DynDNS: dont need changes";
}
}És 10 percenként van futtatva a cronban így:
/system script run dynDnsEzen felül van egy másik script is, ami nekem a NAT rule-okba kicsréli az IP-ket, így kívül-ről és belülről is eláérhető vagyok a dnydns domain nevemmel.
{
:global ipaddr [:resolve mcllserver.gotdns.com];
/ip firewall nat set 3 dst-address=$ipaddr
/ip firewall nat set 4 dst-address=$ipaddr
/ip firewall nat set 5 dst-address=$ipaddr
:log info "dst-address set to $ipaddr for NAT rules 3"
:log info "dst-address set to $ipaddr for NAT rules 4"
:log info "dst-address set to $ipaddr for NAT rules 5"
}
Ez is 10 percenként fut el.UPC alatt tökéletesen működött, de most furán működik... Pontosabban kézzel beállítok egy random IP-t a Dyndns oldalon, majd elindul a fenti script és a NAT-ban a kézzel beállított IP jelenik meg, nem az ami a valóság.
Szerk.: Most beállítottam a Dyndns.com-on a valós IP-met, de a script most azt nem vesz át...Hogy is van ez? Szerintem valamit benézek most, de nagyon...
-
#6067
mcll
senior tag
Cirbolya_sen
#6011
mcll
senior tag
válasz
Cirbolya_sen
#6011
üzenetére
Köszi!
Az imént voltak bekötni. Ami érdekes, hogy rádugtam a Mikrotik-et és azonnal volt net, semmit sem, állítottam a Mikrotikbe így nincs PPPOE beállítás sem. Ez hogy lehet? -
#6029
mcll
senior tag
Cirbolya_sen
#6011
mcll
senior tag
válasz
Cirbolya_sen
#6011
üzenetére
Meglátjuk, Fasttrack aktív.
Amúgy jelenleg 230,70 / 22,90 mbps-t mérek (majdnem mindig ekörül van), de most még UPC netem van (240/20-as csomaggal)Amúgy per pill ezek a tűzfal szabályok vannak:
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 chain=forward action=accept connection-state=established,related log=no log-prefix=""
2 chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""
3 chain=forward action=accept connection-state=established,related in-interface=bridge1 out-interface=WAN log=no l
4 chain=input action=accept connection-state=established,related in-interface=WAN log=no log-prefix=""
5 chain=input action=accept in-interface=bridge1 log=no log-prefix=""Kíváncsi leszek a Digi mit fog mutatni majd (holnap kötik be).
-
#6010
mcll
senior tag
Cirbolya_sen
#6009
mcll
senior tag
válasz
Cirbolya_sen
#6009
üzenetére
Mikrotik hEX RouterBoard, Digi 1000/200mbs
-
mcll
senior tag
Sziasztok!
Szerdán kötik be nálam a Digi-t. Jelenleg UPC-m van, tehát a Mikrotik-et át kell majd állítsam a Digi-re. Természetesen majd kérni fogom a Digi router átállítását modem módra (és a Nat-olás lekapcsolását), és így úgy tudom majd PPoE-n keresztül tud majd a Mikrotik kapcsolódni a netre.
Viszont abban kérném a segítséget hogy pontosan mit és hol kell majd beállítsak ehhez. Ha valakinek volnának screenshotjai (tudom login/jelszó egyedi...) mit kell átállítsak azt megköszönném. -
mcll
senior tag
Üdv,
Hogy lehet beállítani (ha lehet egyáltalán) azt hogy egy adott IP-re (vagy adott MAC című géphez) egy hálózaton belül csakis és kizárólag a beállított IP-kkel (vagy MAC címekke) rendelkező eszközök csatlakozhassanak?
Konkrétan az a probléma hogy a sógornőmékkel egy hálózaton vagyunk, nálunk van két hálózati nyomtató, és a náluk levő Win10-es gépet automatikusan bemappelik ezeket a nyomtatókat, és elég rendszeresen véletlenül a mi nyomtatóinkra küldik a nyomtatnivalót. És ez elég kellemetlen már.
A hálózaton amúgy MAC cím szűrés van (csak az ARP listában szereplő MAC című gépek kapnak hálózati hozzáférést), előre beállított IP cím kiosztással (DHCP csak az ARP lista szerint oszt ki címet). -
#4497
mcll
senior tag
Core2duo6600
#4496
mcll
senior tag
válasz
Core2duo6600
#4496
üzenetére
Jaaaa!
Nem is gondoltam rá hogy a router lenne a hibás.
Persze van ezer port fwd-om, mind megy szépen, de azok nem http, hanem egyéb szolgáltatások. Ez meg elől van. -
-
#4490
mcll
senior tag
Core2duo6600
#4489
mcll
senior tag
válasz
Core2duo6600
#4489
üzenetére
és ha beállítod spec portra? Mondjuk 8885-re? Utána megy neked úgy beírva, hogy domain.com:8885 ?
Mert nálam ez a lényeg. Csak így érhető el (azaz így kellene elérnem).
A 80-as portom fwd-ja megy, de a másik nem. -
#4488
mcll
senior tag
Core2duo6600
#4487
mcll
senior tag
válasz
Core2duo6600
#4487
üzenetére
Köszi.
Átállítottam a te mintádra, de így sem megy ez a dolog. -
#4486
mcll
senior tag
Core2duo6600
#4485
mcll
senior tag
válasz
Core2duo6600
#4485
üzenetére
Nincs. Ezek a filter rule-ok aktívak:
0 chain=input action=accept connection-state=established,related log=yes log-prefix="input"
1 chain=forward action=accept connection-state="" log=no log-prefix="forw"
2 chain=forward action=accept in-interface=bridge1 log=no log-prefix="" -
mcll
senior tag
Konkrétan ez a rule-om ami nem akar menni:
19 ;;; SERVER: test admin
chain=dstnat action=dst-nat to-addresses=192.168.1.245 to-ports=8885 protocol=tcp in-interface=WAN src-port="" dst-port=8885 log=no log-prefix=""Tehát ezt kívülről úgy kellene elérjem hogy: akarmi.dyndns,com:8885 azonban nem megy, ERR_CONNECTION_REFUSED a válasz rá csak.
Mi erre a megoldás?
-
mcll
senior tag
Egy problémám van.
Megy a port forward szépen, azonban http-nél nem. Pontosabban a 80-as port megy kívülről gond nélkül a megfelelő helyre. Azonban van olyan szolgáltatásom amit csak és kizárólag egy portszám megadással lehet elérni.
Tehát pl. ezt csak így lehet meghívni: akarmi.dydns.com:8855
Azonban hiába csinálok erre rule-t nem megy át. Mi itt a trükk? Hogy csinálok erre rule-t?
Az akarmi.dyndns.com forward megy a megfelelő helyre. De hiába csinálok egy tök ugyanilyen rule-t a 8855-ös portra, az már nem megy át. -
mcll
senior tag
Felraktam, felfrissült (legalábbis a csomaglistában, meg rebootolt is, stb.).
Viszont a Routerboard menüben azt írja hogy a current a 3.41 és az upgrade fw pedig 6.41. Rányomok az "Upgrade" gombra, akkor rákérdez hogy tényleg upgradelni akarom. Mondom neki igen de nem történik semmi...
Amúgy nekem nem bridge volt, hanem master volt az ether2, és a 3,4,5 erre volt irányítva. Most azt látom hogy Bridge-t csinált a 2,3,4,5 között) Remélem minden működni fog továbbra is...
-
mcll
senior tag
Nos, ahogy említettem. Szeretném az alábbiakat megoldani:
1. A hálózatra csak és kizárólag azon gépek kapcsolódhatnak, melyek MAC címe ismert a router által.
2. Az IP címek MIND statikusak, azaz én (ill. a router pontosabban) határozza meg mely gép milyen IP címet kaphat. Ha valamelyik gépen statikusan beállítanak egy IP címet mely nem egyezik a routerben a MAC címhez hozzárendelt IP-vel akkor értelemszerűen az a gép nem kap engedélyt (tehát ne lehessen megkerülni).
3. Egyes gépeknél szeretnék korlátozásokat, ami nem sávszélre, csak időre vonatkozik, azaz pl a megadott host adott napo(ko)n pl este 10 és reggel 10 körül tiltva van a hálózaton.Én ezt a következőképp próbáltam megoldani (nem tudom mennyire jó ez).
Az interfészek az alábbiak szerint vannak beállítva:Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE ACTUAL-MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 R LAN ether 1500 1596 2026 64:D1:54:93:E0:3C
1 R WAN ether 1500 1596 2026 64:D1:54:93:E0:3B
2 RS ether3 ether 1500 1596 2026 64:D1:54:93:E0:3D
3 S ether4 ether 1500 1596 2026 64:D1:54:93:E0:3E
4 RS ether5 ether 1500 1596 2026 64:D1:54:93:E0:3F
5 X ppp-out1 ppp-out
Tehát az ether2 a LAN, az ether3,4 és 5 pedig úgy hogy a Master port a LAN.A LAN, ether3,4 és 5 interfészeknél az ARP opciót "reply-only"-ra állítottam. (A WAN portnál nem, ott továbbra is ARP: enabled)
A DHCP->DHCP-SERVER-nél az Address pool opció static-only-ra van állítva:
Flags: X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 DHCP-SERVER LAN static-only 3d yesAz ARP listába szépen feltöltögettem a gépeket, pontosabban amik HDCP-ben mentek, azokat statikusra állítottam (Make Static), meg módosítottam az IP-ket ahol akartam (kivéve azokat a gépeket ahol tudom hogy a gépen statikus IP van megadva).
Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published, C - complete
# ADDRESS MAC-ADDRESS INTERFACE
0 C ;;; Laptop - Laci DELL (LAN)
192.168.1.208 5C:26:0A:47:38:2B LAN
1 C ;;; WiFi AP: TPLink EAP-110 - mcll-ap01
192.168.1.2 50:C7:BF:AE:43:28 LAN
2 C ;;; WiFi AP: TPLink EAP-110 - mcll-ap02
192.168.1.3 50:C7:BF:AE:3E:44 LAN
...etc...Tegnap este csináltam ezt, ment is, de nem minden gépen (a módosítás után volt router reboot is) ment ahogy azt gondoltam volna. Ugyanis ott ahol a host DHCP-ben volt, és mondjuk a módosításig pl a 192.168.1.200-as IP-t használta, de én az ARP listában azt a hostot átraktam 192.168.1.150-re, az istenért sem volt hajlandó azt átvenni. Mindenáron a .200-as IP-n akart csatlakozni (annak ellenére hogy DHCP volt rajta beállítva...). Természetesen a host-on volt flush is, meg reboot is. Egyedül akkor lett online végre, ha vagy fix IP-re tettem a host-ot (a 150-es IP-re), vagy az ARP-ben átállítottam neki hogy ok, akkor legyél .200.
DE. A laptopom este gond nélkül ment, igaz az az IP volt beállítva az ARP-ben amit előtte is használt. De ma reggel például az istenért sem tudott már csatlakozni, annak ellenére hogy az IP amit kért és kapott az volt, mint ami az ARP-ben is be volt írva. MAC is stimmelt, mégsem volt kapcsolat az internet felé. Nem vágom miért. És ezt több host-nál is láttam.
Úgyhogy most levettem ezt a szigorítást, most megy minden. Mit csináltam rosszul?
-
#4331
mcll
senior tag
Core2duo6600
#4330
mcll
senior tag
válasz
Core2duo6600
#4330
üzenetére
Akkor amikor próbálkoztunk még a régi IP volt, nem volt váltás, ezt többször is néztem mert azt láttam hogy valami gáz van a domain feloldással. A régi router valahogy ezt a hibát képes volt lekezelni. Amúgy a tegnapi csere előtt a régi routerben meg is néztem az IP-t és ott még a régi szerepelt (xx.xx.xx.114 vagy valami ilyesmi). A Whatsmyip.com is azt mutatta, meg a ping, host is azt pingelte mutatta. Aztán ahogy felraktam tegnap a Mikrotik-et akkor láttam hogy új IP-m van, és ezzel már ment minden.
-
mcll
senior tag
Bár korábban azt írtam hogy minden ok a Mikrotik-al, hamar kiderült hogy ez mégsem így van, pontosabban akkor működött, viszont kis idővel rá egy csomó külső weboldalt (mint pl Index, aztán egyre több) a router átirányított a saját szerveremre. Ami nem is csoda mert a port fwd szabálynál nem lett megadva semmi az In-interface opciónál. Akkor módosítottam ezt a külső interfészre, és onnantól sehogy sem ment egyik port forward sem, akármit is csináltam. Érdekes mód a port forward csak és kizárólag akkor ment ha domain helyett az IP-t írtuk be a böngészőbe (kívülről nézve persze). Domainnel sehogy. Több napos kínlódás, próbálkozás után sem ment, így levettem a routert. Bárkivel beszéltem, mindenki értetlenül állt a probléma előtt, mivel ilyet még nem láttak. Valahol a névfeloldás környékén volt a probléma.
Tegnap aztán újra felraktam a Mikrotik-et a rendszerre, és ekkor hirtelen elindult a port forward domainnel. Mint kiderült most először az évek során a UPC IP-t váltott nekem (eddig soha nem váltott a sok-sok év alatt). Mikor nem ment még, akkor még a régi IP-m volt (több helyen is ellenőrizve volt, akkor nem volt még váltás). A lényeg hogy az új IP-vel ugyanazok a beállítások már tökéletesen működnek. Rejtély...Úgyhogy a külső elérés domainnel most ezzel a NAT rule-al megy:
3 ;;; SERVER: HTTP
chain=dstnat action=dst-nat to-addresses=192.168.1.245 protocol=tcp dst-address=xxx.xxx.xxx.xxx dst-port=80 log=no log-prefix=""
Be lett rakva egy dyndns updater script is, így ha megint váltás van, akkor szépen utánamegy:0 name="dynDNS" owner="admin" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon last-started=dec/16/2017 17:46:07 run-count=1
source=
:global ddnsuser "xxx"
:global ddnspass "xxx"
:global theinterface "WAN"
:global ddnshost xxx.com
:global ipddns [:resolve $ddnshost];
:global ipfresh [ /ip address get [/ip address find interface=$theinterface ] address ]
:if ([ :typeof $ipfresh ] = nil ) do={
:log info ("DynDNS: No ip address on $theinterface .")
} else={
:for i from=( [:len $ipfresh] - 1) to=0 do={
:if ( [:pick $ipfresh $i] = "/") do={
:set ipfresh [:pick $ipfresh 0 $i];
}
}
:if ($ipddns != $ipfresh) do={
:log info ("DynDNS: IP-DynDNS = $ipddns")
:log info ("DynDNS: IP-Fresh = $ipfresh")
:log info "DynDNS: Update IP needed, Sending UPDATE...!"
:global str "/nic/update\?hostname=$ddnshost&myip=$ipfresh&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG"
/tool fetch address=members.dyndns.org src-path=$str mode=http user=$ddnsuser \
password=$ddnspass dst-path=("/DynDNS.".$ddnshost)
:delay 1
:global str [/file find name="DynDNS.$ddnshost"];
/file remove $str
:global ipddns $ipfresh
:log info "DynDNS: IP updated to $ipfresh!"
} else={
:log info "DynDNS: dont need changes";
}
}Sikerült azt is megoldani hogy a domainek a belső hálózatról is elérhetőek legyenek:
1 name="DomainONLAN" owner="admin" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon last-started=dec/17/2017 10:36:23 run-count=73
source=
{
:global ipaddr [:resolve mcllserver.gotdns.com];
/ip firewall nat set 3 dst-address=$ipaddr
:log info "dst-address set to $ipaddr for NAT rules 3"
}Mindkét script cron-ból 10 percenként lefut, így ha UPC megint IP-t váltana, akkor nem lesz gond.
Tehát most ez a része megy, port fwd, dyndns updater, belső domain elérés.Viszont lenne nemsokára egy kérdésem, mert gondjaim adódtak a statikus DHCP-vel (tehát minden belső eszköz csak akkor tud felcsatlakozni, ha annak MAC címe ismert az ARP listában). Nemsokára megírom hogy próbáltam (fél sikerem volt csak).
-
#4269
mcll
senior tag
animal1987
#4265
mcll
senior tag
válasz
animal1987
#4265
üzenetére
Nagyon szépen köszönöm a távsegítséget, most már tökéletesen megy! Szuper vagy, jövök neked eggyel.
-
mcll
senior tag
Nem írtam át semminek a nevét, ahogy mondtam csak a login passt írtam át és próbálkoztam hozzáadni a fwd rule-okat.
[admin@MikroTikMCLL] > interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE ACTUAL-MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 R ether1 ether 1500 1596 2026 641:54:93:E0:3B
1 R ether2-master ether 1500 1596 2026 641:54:93:E0:3C
2 S ether3 ether 1500 1596 2026 641:54:93:E0:3D
3 S ether4 ether 1500 1596 2026 641:54:93:E0:3E
4 RS ether5 ether 1500 1596 2026 641:54:93:E0:3F[admin@MikroTikMCLL] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 178.48.xx.xx 1
1 ADC 178.48.xx.0/24 178.48.xx.xx ether1 0
2 ADC 192.168.1.0/24 192.168.1.254 ether2-master 0 -
mcll
senior tag
Megcsináltam amit mondtál. a router 80-as portját elfelejtettem átírni a full reset után (előtte 8080 volt). De most leítiltottam.
Így néz ki:
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Server Oscam webaccess" dst-port=8881 in-interface=ether1 protocol=tcp \
to-addresses=192.168.1.245 to-ports=8881
add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=192.168.1.245 to-ports=80De most sem megy kívülről.
-
mcll
senior tag
Szerintem minden fontos dolgot leírtam, screenshotokkal együtt.
Nézem belső hálón (router mögött domain-t és portot beírva) és nézem kívülről is (ugyanígy).
Most visszatettem a régi routert, azzal hiba nélkül megy a port forward. Szóval valami a Mikrotik routerben nem kerek.
Ezt kérdeztem hogy mi lehet az? Szinte az összes netes forrást átnéztem, mindenhol majdnem ugyanazt írják hogy kell a port forwardot csinálni, igaz van 1-2 verzió. Mindent kipróbáltam, nem megy. -
#4252
mcll
senior tag
Core2duo6600
#4250
mcll
senior tag
válasz
Core2duo6600
#4250
üzenetére
Nem. De mint mondtam a régi router helyére lett betéve. A régi meg instabil sajnos, sokszor lefagy. De lehet most visszarakom inkább.
-
#4251
mcll
senior tag
Core2duo6600
#4249
mcll
senior tag
válasz
Core2duo6600
#4249
üzenetére
Teljesen mindegy, mert semelyik port nem megy. És nem értem miért. Full reset után a jelszó beállításon kívül semmit sem állítok át, csak hozzáadom a port forwardot, és nem megy. Lehet eladom ezt az egészet ha nem tudom beállítani. Veszek egy vacak mezei routert...
-
mcll
senior tag
Azon gondolkodok hogy nem-e az interfész listában van valami elírva. Így néz ki (ez a default):
Nálam úgy van hogy a routeren az 1-es port a WAN (ez megy a modemre), a többi viszont sima portok, azaz mint egy switch úgy kellene működnie. Ha a fenti kép nem ok, akkor írjátok meg mit állítsak be a portoknál.
Új hozzászólás Aktív témák
Hirdetés
- Nintendo Switch 2
- Soundbar, soundplate, hangprojektor
- Szünetmentes tápegységek (UPS)
- Melyik tápegységet vegyem?
- Vicces videók
- Fortnite - Battle Royale & Save the World (PC, XO, PS4, Switch, Mobil)
- Lies of P - Túl a 3 millión
- Formula-1
- Fotók, videók mobillal
- Luck Dragon: Asszociációs játék. :)
- További aktív témák...
- ÚJ aktiválatalan Apple iPhone 16 Pro 128GB ! 1ÉV nemzetközi APPLE GARANCiA
- Új Gamer PC - Ryzen 7 5700X / RTX 5060 / A520M / 16GB vagy 32GB RAM / 240GB + 1TB M.2 SSD / 650W
- Samsung Galaxy Z Fold 4 256 GB, szürkészöld + S Pen tok
- TP-Link ER-7212PC Omada 3-in-1 Gigabit VPN Router
- TP-Link EAP Omada Wifi AP-k (225, 245, 615)
- Eladó ÚJ, BONTATLAN Samsung Galaxy A05s 4/64GB ezüst / 12 hónap jótállással!
- Telefon felvásárlás!! iPhone 11/iPhone 11 Pro/iPhone 11 Pro Max
- Csere-Beszámítás! AMD Ryzen 5 9600X Processzor!
- BESZÁMÍTÁS! ASUS H81M-PLUS H81 chipset alaplap garanciával hibátlan működéssel
- Jogtiszta Microsoft Windows / Office / Stb.
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest