-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
-
leviske
veterán
Adott egy Telekomos HGW mögött DMZ-be rakva egy hAP ac². Netet gond nélkül eléri, osztja a címeket stb. Viszont a kérdésem az volna, hogy ebben a felállásban hogy tudom a szolgáltató által delegált IPv6 prefixeket használni? Mert közvetlen a HGW-re csatlakozva van gond nélkül IPv6 elérés, viszont a router saját belső hálózatán nincs.
#13403 tonermagus: Igen, a gyengébb processzor a NAT-olás miatt lassabb netet eredményezhet. Korábban volt róla szó, hogy a hAP ac²-ben lévő processzor akár fastpath szerű szoftveres trükközés nélkül is ki tudja lökni magából a gigabites elérést, miközben gyengébb eszközök ezt már nem feltétlen tudják. De javítsatok ki, ha tévedek.
[ Szerkesztve ]
-
senior tag
Bocsi, hogy tovább fűzöm a dolgot, nem össze veszni szeretnék, csak megérteni.
Ha a WinBox port nem elérhető "kívülről", nem is születhetnek ilyen logok. Nálam legalábbis nem szokott ilyen lenni.
Bár csendben azt is hozzá teszem, hogy nekem max 25-30 Mikivel van tapasztalatom, tehát nem vagyok profi. Mindenesetre egyikben sem láttam ilyet az elmúlt kb 5 évben.[ Szerkesztve ]
-
ekkold
Topikgazda
válasz Zwodkassy #13405 üzenetére
Ha az IP Services részben korlátozod a winbox elérést, az önmagában nem a portot zárja le, csak visszautasítja a kapcsolatot, ha az nem megfelelő IP tartományból jön. Ilyenkor van log bejegyzés. Ha a tűzfalban is letiltod a portot akkor a port nem elérhető, és nem lesz log bejegyzés.
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
senior tag
válasz ekkold #13406 üzenetére
"Ha az IP Services részben korlátozod a winbox elérést, az önmagában nem a portot zárja le, csak visszautasítja a kapcsolatot, ha az nem megfelelő IP tartományból jön. Ilyenkor van log bejegyzés"
Hát ezt bizony nem (így) tudtam
Köszi az infót!
Majd lecsekkolom[ Szerkesztve ]
-
Lenry
félisten
válasz ekkold #13406 üzenetére
pontosan így van, nálam ez így néz ki
[lenry@K94] /ip service> export
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.94.0/24
set api-ssl disabled=yes
nem elérhető kintről. pont.
de a tűzfalban nincs pluszban letiltva[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
senior tag
Hát így már érthető! :-) :-) :-)
"nem elérhető kintről. pont
de a tűzfalban nincs pluszban letiltva"
Maga a WinBox port így elérhető "bárhonnan", azaz "kívülről" is, mivel tiltva nincs, csak nem enged be a WinBox.
Azaz valóban, a WinBox maga már nem elérhető :-)"address (IP address/netmask | IPv6/0..128; Default: ) : List of IP/IPv6 prefixes from which the service is accessible."
Ezért a sok Log bejegyzés :-)
[ Szerkesztve ]
-
ssarosi
tag
Van egy problémám, ahol elakadtam.
A mikrotik routerek csak vpn szerverek, a kliensek pedig minden esetben számítógépek.
Eredetileg az ROS 6.43.16-nál leálltam a frissítéssel, mert (megkövezni nem kéne) a PPTP vpn csak befelé működik, kifelé (PC-ről) már nem ezen verzió felett. Windows verziótól függetlenül.
A win10 2004-es verziója meg nem hajlandó már ezen verzióval (ROS 6.43.16) kapcsolódni.
Frissítettem 20H2-re, az eredmény várható volt, ez sem.
Ekkor frissítettem a húgom könyvelő irodájában ros-t v6.47.9-re.
Amíg az én mikrotikemen a 6.43.16 volt, addig tudtam kapcsolódni pptp és l2tp/ipsec protokollal is a v6.47.9-re. Amint a sajátomat is frissítettem, csak az l2tp/ipsec működik.
PPTP esetén a kapcsolat létrehozásakor a hitelesítő adatok ellenőrzésél megakad, és a windows 806-os hibával GRE protokollra hivatkozva, hogy nincs konfigurálva, a kapcsolat nem jön létre. A konfiguráción semmit sem változtattam, a régi ros-en ment.
Ez nem is lenne akkora gond, de az iskolában a windows szervert is PPTP-n érem el, és az összes pedagógus is. A pedagógusok kb. 65-70 laptopját, meg pár otthoni asztali gépét nem szeretném átállítani, mert ők nem képesek rá.
Nem vagyok egy mikrotik guru, és nem is leszek az. És az is lehet hogy elég pongyolán fogalmaztam.Ennek ellenére esetleg tudna valaki segíteni?
[ Szerkesztve ]
-
DonJoee
tag
Sziasztok!
Egy egyszerű, 20 forintos kérdésem lenne...
Több ISP (és ezzel WAN-port) esetén szeretném megtudni mindegyiknek a publikus IP-címét scriptből, custom DDNS-updater számára.
A modemek teszik a saját dolgukat, ők végzik a PPPoE-kapcsolat felépítését és az eredményt (internetet) egy DMZ-zett statikus LAN-címen adják a MikroTik-nek. Szóval nincs bridge-mód a modemeken és ezzel együtt nincs publikus IP-cím sem az RB WAN-portjain.Több lehetséges módot ajánlgatnak a fórumokban és ezek működőképesek is EGYetlen WAN-port esetén, mert a default route-on keresztül megy ki a kérés (akár /IP Cloud, akár :resolve-os, akár külső "IP-cím megmondó" szolgáltatás esetén). De ha mondjuk a WAN2, WAN3 stb. címét szeretném megtudni, akkor is a default route-on megy ki a kérés, amit nálam még bonyolít egy load balancing is. Szóval hol a WAN1, hol a WAN2, hol pedig a WAN3 címét kapom meg akkor is, ha a WAN2-re vagyok kíváncsi.
A route-olást nem biztos, hogy célszerű bántanom (mondjuk ki-bekapcsolgatni a route-okat) mert ha ezt percenként csinálom sokgépes terhelés esetén, az mind vissza fog folyni a nyakamba (anyázás képében).
Van arra valami direkt mód, hogy egy bizonyos kérést (mondjuk /tool fetch -kérést) egy meghatározott WAN-porton keresztül küldjek ki scriptből?
Vagy erre csinálnom kellene egy tűzfal-szabályt (amelyek számával azért spórolni szeretnék, az RB4011 ereje ellenére is) ?
Mit javasoltok (ha nem is szájbarágósan, de mindenképpen MikroTik-laikusok szintjén)?
Rig: RB4011, ROS 6.47.9
Köszi!
"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
Reggie0
félisten
válasz DonJoee #13414 üzenetére
Olyan szervert kell valasztani az ip lekerdezesere, aminek keves ipcime van, vagy csak egyet felvenni a dns-be statikusan. Majd ehhez az ipcimhez ISP-kent egy-egy kulon routingot vegyel fel, amit kapcsolgatsz (vagy csak mindig add hozza majd torold a szabalyt a megfelelo isp iranyaba) aszerint, hogy melyik halot akarod lekerdezni, igy nem fogja erinteni a normal halozati forgalmat a routing piszkalasa.
Viszont ne felejtsd el a routing aktivaltsagat visszaellenorizni, mert ha valamiert nem mukodik, akkor a default route-on keresztul fog menni a lekerdezes es hamis eredmenyt kapsz.[ Szerkesztve ]
-
DonJoee
tag
válasz Reggie0 #13415 üzenetére
Aha!
Lássuk, jól értem-e: szóval, ha mondjuk a "whatismyip.akamai.com" IP-címét, ami 91.83.14.187, beírom egy route Dst.address-mezőjébe és ehhez gateway-ként mondjuk a WAN2-őt adom meg, akkor minden alkalommal, amikor a fenti url-t akarom elérni, ezen a route-on (és így a WAN2-őn) keresztül megy ki a forgalom, mert az általánoshoz (0.0.0.0/0) képest "közelebb" van a cél, "jobb" errefelé route-olni... (gondolom egy alacsony distance-szel még jobban is rásegíthetek a dolgokra)
És ha csinálok 3 route-ot (egyet-egyet minden WAN-port számára, amiket gateway-ként adok meg) és sorban, mindig csak egyet kapcsolok be belőlük, akkor mindig csak azon keresztül megy ki a kérés az IP-cím-jólmegmondó szolgáltatás felé...
Aztán, ha végeztem, disablélom az összes ilyen spéci route-ot és kész is vagyok?Ja és mindig:
:if (([:len [/ip route find where comment="WAN1_chk" and !disabled]] > 0) do...
[ Szerkesztve ]
"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
Reggie0
félisten
válasz DonJoee #13416 üzenetére
Igen, jol erted. Arra vigyazzal, hogy kell egy kell varakozni a bekapcsolas utan es ellenorizd a route aktiv statuszat, mert ha nem aktiv(pl. megszakadt a net azon a route-on), akkor a default route-n fog menni. A disabled-re ellenorizni nem eleg, az active statusz is kell.
A masik amire figyelj, hogy az whatismyip.akamai.com-nak tobb ipcime van es veletlenszeru mire oldja fel a DNS szerver. Ilynekor az a legegyszerubb, ha felveszed statikusan a te DNS-edbe a hostot, igy mindig a kivalasztott IP-re fog menni es akkor nem kell minden ipcimre felvenni routet, illetve ha valtozas van a domain rekordokban akkor eszre fogod venni abbol, hogy nincs valasz, illetve ha uj ip jelenik meg az A rekordok kozott, akkor nem fog kiugrani a cuccod a default route-ra.
Hatranya, hogy neha utana kell allitani az IP-t. Persze ezt is lehetne automatizalni, hogy torlod a statikus dns rekordot, lekerdezed a hostnevhez az IP-t, majd ezt eltarolod egy statikus dns rekordban, frissited a route-okhoz tartozo ipcimet es utana kezded el lekerdezni az ipcimedit.
[ Szerkesztve ]
-
bacus
őstag
válasz ssarosi #13413 üzenetére
" a PPTP vpn csak befelé működik, kifelé (PC-ről) már nem ezen verzió felett. Windows verziótól függetlenül."
A legfrissebb win10 van, és megy a pptp is ! Nem a mikrotik a ludas, hanem a win10-en kell keresni az okot. Szerintem google neked is barátod.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
DonJoee
tag
válasz Reggie0 #13417 üzenetére
Ok, az akamai-t egyelőre felvettem statikus DNS-listára. Majd később agyalok a frissítésén.
A route aktív státusz check meg gondolom valami ilyesmi lenne::if (/ip route get value-name=active [find comment="WAN1_chk"]) do...
[ Szerkesztve ]
"Vigyázzon, fegyverem van! Most otthon van, de van!" - Leslie Nielsen
-
ekkold
Topikgazda
válasz ssarosi #13413 üzenetére
Ahogy előttem is írták a windows-al lesz a gond. Nekem Win7 alatt most is működik a PPTP, RouterOS verziótól függetlenül.
Viszont a windows alaphelyzetben automatikusan dönti el, hogy milyen tipusú VPN-re próbál kapcsolódni. Tehát ha beállítasz egy L2TP-t is ugyanolyan jelszóval, akkor jó eséllyel fel tudnak rá kapcsolódni a windows kliensek.Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
Lenry
félisten
válasz Reggie0 #13412 üzenetére
nem látom a különbséget a két tagmondat közt.
most be tudsz lépni kintről azon a porton keresztül? nem.
port scanner mit mond rá? zárva.ha letiltom tűzfalból is, akkor be tudsz lépni azon a porton keresztül? nem.
port scanner mit mond majd rá? zárva.Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
ssarosi
tag
A windows verziótól függetlenül alatt azt értem (nem a 2004 és a 20H2- t értem minden verzió alatt), hogy az otthoni gépemen win81 van.
Ha lecserélem az ROS-t újabbra, akkor PPTP-nek annyi (kifelé). És semmilyen konfiguráción nem változtatok az ROS frissítésen kívül.
Jelen pillanatban visszatettem a régit, mert dolgoznom kell.[ Szerkesztve ]
-
bacus
őstag
válasz ssarosi #13428 üzenetére
Nem tudom miért van, de nekem a legfrissebb ROS és legfrissebb win10 (minden frissítéssel) megy a pptp, mindig is ment. Illetve nem, valamelyik win 10 frissítés után döglöttek le a pptp kapcsolatok, ott volt, hogy a win10-t állítottam, és volt, hogy l2tp váltás történt !
De egy hely sem volt, ahol ROS downgrade !Én elfogadom, hogy ez most jó megoldásnak tűnik a részedről, azonban az hosszútávon megbosszulja magát, ha nem tudsz frissíteni.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
Reggie0
félisten
Portscan opennek mondja es ilyenkor a winbox szerver alkalmazas utasitja el a kapcsolatot. Ha tuzfalbol tiltod, akkor a winboxig el sem jut a dolog, igy peldaul exploitolni se lehet, ha esetleg van es eroforrast is kevesebbet fog enni(nem mintha szamitana, max ha dosolnak es gyenge a proci).
[admin@MikroTikCCR] > /ip service print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 XI telnet 23
1 XI ftp 21
2 www 80
3 ssh 22 0.0.0.0/0
4 www-ssl 443 none
5 api 8728
6 winbox 8291 11.0.0.0/24
7 api-ssl 8729 none
[admin@MikroTikCCR] > :quit
interrupted
Connection to 10.0.0.254 closed.
user@host:~$ nmap 10.0.0.254 -p 8291
Starting Nmap 7.70 ( https://nmap.org ) at 2021-03-28 22:39 CEST
Nmap scan report for 10.0.0.254
Host is up (0.0017s latency).PORT STATE SERVICE
8291/tcp open unknownNmap done: 1 IP address (1 host up) scanned in 0.07 seconds
user@host:~$[ Szerkesztve ]
-
yodee_
őstag
Üdv ismét :-)
Úgy néz ki lassan összeáll a rendszerem. A cél az lenne, hogy a pihenőkertünkben lévő kamerákat neten keresztül rögzítsem. Egyenlőre próba, hogy mennyire kivitelezhető. Ha sok lesz a macera akkor marad a helyben történő rögzítés. A kérdésem az lenne, hogy mekkora tempót lehet kihozni két hAP ac2 között L2TP+IPSec kapcsolattal.
Köszi
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
-
Marcelldzso
tag
Mai érdekesség:
912UAG-2HPnD+2WD4GDIH-KIT
apn-jét Passtrough üzemmódba szervettem volna állítani, de csak nem sikerült.
Összerakam egy új hálót mindenével együtt egy rb4011-ben, tesztkörnyezetben működik is, minden rendben(dhcp,vpn,nat,route,stb.))
A 912-esen és a 4011-en is vettem fel két vlan-t vlan_net és vlan_conf néven, szétszedtem két id-re és a passtrough-t beállítottam vlan_net-re. ip-t megkaptam a 4011-en örültem, de nem volt háló. a külső ípről nem jött válasz uncreachable.kicseréltem a interfaces/wan list/-ben az eth1-et vlan_net-re, de se a 4011-en se a belső hálón nincs átjáró a netre.ha kikapcsolom a passtrought és dupla natot csinálok vlan_neten kersztül van net és megy minden csak szeretném kerülni a dupla natot.
érdekes, hogy tényleg kap IP-t a 4011- default route-ok is létrejönnek és semmi.
-
Zsolt_16
tag
Sziasztok,
Sajnos már nem tudom, hogyan oldhatnám meg a problémát így ide fordulok.
Van egy jelenlegi rendszer ami így néz ki: 3 ap wifi (ubiquiti) ezek belemennek egy switchbe ahonnan belemennek egy mikrotik routerbe és onnan a modembe.
A dhcp szerver mikrotik oldaláról megy bevan állítva a pool a dhcp szerver szépen kiossza a leaseseket 10 perces lejárati idővel a gond itt kezdődik mikor lejár az idő akkor „defconf offering lease <IP> for <MAC> without success” hibával nem kapja meg az ip-t így a ap oldalról kioszt részére egy random ip-t valaki esetleg találkozott már ilyennel? -
Lenry
félisten
válasz Zsolt_16 #13435 üzenetére
így a ap oldalról kioszt részére egy random ip-t valaki esetleg találkozott már ilyennel?
ez alapján én úgy látom, hogy az AP-kban nem kapcsoltad ki a DHCP-t, így a felcsatlakozó eszköz megkapja az IP-t az Ubi eszköztől, és a Mikrotik által kiosztottra már nincs szüksége.
kapcsold ki a DHCP-t az Ubi AP-kben.Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
vezeték nélkül kb 300m-re szeretnék gigabit közeli sebességet átlőni.
mi lenne erre leginkább alkalmas?
a két végpont tisztán rálát egymásra.Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Reggie0
félisten
válasz Zsolt_16 #13435 üzenetére
Volt mar ilyen problemam, pont ubi ap+mikrotik router felallasban. Emlekeim szerint a MAC cimek cacheelesenel/switchelesenel volt gond, mert roamingoltak az eszkozok es rossz iranyba ment a dhcp-s csomag. Ha jol emlekszem talan a bridge beallitasait kellett piszkalni, vagy az AP-k beallitasati, sajnos erre mar nem emlekszem pontosan.
Debugoltam egy ideig, a jelenseg, hogy az eszkoz megkapja a router felol jovo csomagot, csak vissza a valasz nem erkezik meg a routerhez.
[ Szerkesztve ]
-
leviske
veterán
A hAP ac2 és cAP reális használt piaci ára mennyi lehet? 20k egy hAP-ért és 7k egy cAP-ért sok?
-
iceQ!
addikt
válasz grabber #13439 üzenetére
Nekünk ez van 2 épület között. Nem tudja semmi kiröccenteni a ritmusából, nagyon profi cucc.
Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS
-
Reggie0
félisten
802.11ad eszkozt probalt mar innen valaki laptoppal?
-
iceQ!
addikt
válasz grabber #13448 üzenetére
~50 méter, stabil. Nem volt olyan hideg tél, vagy kemény nyári zivatar ami miatt akár 1mp-re megszakadt volna a jel
Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen