-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
ekkold
Topikgazda
válasz betyarr #15891 üzenetére
Cseréld meg a portokat, ne az ether1 legyen a WAN port, hogy másik eth porttal is ugyanezt csinálja-e. Lehet kábel vagy dugó probléma is, kontakthiba vagy nem jó minőségű kábel. Megpróbálhatod kísérletképpen 100MBit-en is, hogy úgy is ezt csinálja-e.
A 4011-ben két switch chipvan, olyan portot próbálj, ami a másik chip-re van kötve. -
yodee_
őstag
válasz ekkold #15900 üzenetére
Amennyiben jól értelmeztem a feladatot, akkor csatolnám az eredményt. Az első kép a fő router:
A második kép az 1. külső eszköz (13.0.3.1) ezzel van a gond:
A harmadik kép pedig a 2. külső eszköz (13.0.4.1):
Amikor a 2.ról pingelem az 1.t akkor szépen látszik a logban minden. Viszont fordítva semmi. Tehát nem jön ki az 1. eszközről ha jól értem.
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
-
sanzi89
addikt
Sikerült egy kedves fórumtárs jóvoltából beszerezni egy RB4011iGS+RM-t, ma be is állítottam itthon, mint fő router, simán átjön rajta a DIGI-s FFTH gigabit PPPOE-vel. Igaz még semmilyen szabály nincs beállítva sehova, egyelőre ismerkedünk, de idáig szimpatikus.
Bár aki a rack rögzítő füleket kitalálta, azt kukoricára térdepeltetném, egy 10k-s TP-Link switch is agyonveri minőségérzetben, stabilitásban...
"Mindent azért kell tudni mert kérdezik, nem azért mert hasznos."
-
ekkold
Topikgazda
válasz sanzi89 #15903 üzenetére
Sürgősen állíts be tűzfalat, nehogy szét is hekkeljék mindjárt a routert. Hallottam olyan esetet amikor az illetőre a TEK rátörte az ajtót egyik éjjel.
Házkutatás, minden informatikai eszközét lefoglalták, és rabosították is.
Mint később kiderült a routerét feltörték, és felhasználták illegális anyagok terjesztéséhez (bűncselekményhez). Persze miután kiderült, hogy nem ő a terjesztő, kiengedték, de nem hiszem, hogy kellemes élményként maradt volna meg benne a dolog...[ Szerkesztve ]
-
sanzi89
addikt
válasz ekkold #15904 üzenetére
Úgy értettem, hogy nincs szabály beállítva, hogy kb. minden tiltva van. Ez alapján mentem végig az alapokon. Inkább arra gondoltam, hogy nincs QOS, VPN, meg egyéb nyalánkság használatban.
[ Szerkesztve ]
"Mindent azért kell tudni mert kérdezik, nem azért mert hasznos."
-
silver-pda
aktív tag
Ha van egy ilyen beállításom /ip firewall filter alatt (első 15 sor az chain=input):
0 ...
1...
2...
3 chain=saját action=accept vmi feltételek1...
4 chain=saját action=accept vmi feltételek2...
5 chain=saját action=accept vmi feltételek3...
6 chain=input action=jump jump-target=saját vmi feltételek4...
7...Ha rámegy a 6.-ra, akkor onnan elugrik 3-ra és ha 3, 4, 5-nél nem felel meg a feltételeknek, akkor megy a 7-re?
Jó így a vizsgálati sorrend, ha csak 6-ra egyezik? 0,1,2,6,3,4,5,7...
És mi van ha, mondjuk a 10. sor is chain=saját
Akkor a vizsgálati sorrend, ha csak 6-ra egyezik? 0,1,2,6,3,4,5,10,7... -
sanzi89
addikt
Ez a Quick Setup hányszor megszopatott már, és nem tanulok belőle.
Ma jött meg a már korábban említett Mikrotik wAP 2nD, mondom gyorsan csak a Quick Setup-ban adok neki egy fix IP és már robogok is tovább. Hát nem, fix IP beállítás után elérhetetlen lett az eszköz. Jó, reset, package és firmware frissítés után újra Quick Setup-on fix ip-t beírom, és megint elérhetetlen lesz az eszköt...
Jó, újabb reset, default configot is törlöm, kézzel beállítom azt a 3 dolgot és láss csodát, elsőre működik.
"Mindent azért kell tudni mert kérdezik, nem azért mert hasznos."
-
Lenry
félisten
válasz silver-pda #15911 üzenetére
a tűzfal az első találatig vizsgál.
ha a 6-oson volt match, akkor azt végrehajtja. ha nálad az a parancs, hogy ugorjon a 3-ra, akkor azt még meg fogja csinálni, de ott szerintem vége.
bár, akkor nem teljesen értem, hogy miért nem írod meg úgy a szabályt, hogy a 3-asra matcheljen, és akkor nem terheled a routert még 3 ellenőrzéssel.plusz ha először nem volt match a 3-as szabályra, akkor mitől lenne a másodszorra?
tehát ha a 6-osról átirányítod újra a 3-asra, attól még ugyanúgy nem fog megfelelni, ahogy először sem tette, hisz akkor el se jutott volna a hatodik szabályig.egyébként is érdemes úgy sorbarendezni őket, hogy azok a szabályok, amikre a legsűrűbben van találat, azok legyenek elöl (figyelembe véve persze a saját igényeidet)
meg a GOTO bármely környezetben az a parancs, amit érdemes leginkább egyáltalán nem használni
[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
silver-pda
aktív tag
Láttam egy hasonlót, volt 6-10 sor input chain, ami a 192.168.1.66 ip esetén különböző portokra adott accept-et. Ezt összevonta 3 sorra, mert külön nézte tp,udp meg vmi másra. Hogy ne menjen végig ezen a 3 soron az akinek nem ez az ip-je van, ezért csinál egy új saját chain-t, és erre ugratta rá. Elvileg így egy input chain csak erre a 6. sorra fut és nem elemzi ki a 3-5 sorokat. Nekem ez jött le belőle. Vagy rosszul értelmeztem?
-
jerry311
nagyúr
válasz silver-pda #15914 üzenetére
Nem győzött meg. Hasonlót csinált a Check Point az R80-ban, az sem lett világmegváltó.
-
silver-pda
aktív tag
válasz silver-pda #15914 üzenetére
meg van , hol láttam: egy oktató videóban. Sajnos csak egy kis rész volt ingyenes belőle.
-
bigrock
addikt
Üdv,
Egy hex PoE routerbe behelyezett Huawei E3372 stick-kel szeretnék Vodafone mobilnetet csiholni. Tudna valaki segíteni az APN (és egyéb) beállításokban? 7.1.1-en vagyok.
Köszi! -
jerry311
nagyúr
IP-IP tunnel + IPSec (AES 256 + SHA 256), szálak számától függetlenül max. sebesség 50-55 Mbps.
Mindkét oldal 4011.
Mindkét oldal 1G uplink, az egyiken 300M a garantált, a másikon 500M. Speedtesten meg is van a sebesség.
Az egyik oldal PPPoE, a másik DHCP.Mikrotik szerint a 4011 már 1 szálon is 1G feletti sebességre képes.
Hová lesz a sávszél?
-
g0dl
addikt
Aki használ olyan szabályokat, amelyek tiltólistára teszik az olyan ip-ket, amelyek olyan portokon probálkoznak, ahol nem kéne, ott átlagosan milyen hosszú lista jön létre?
Nincs veszélye sokmilliós listának? -
g0dl
addikt
Elfogy valamilyen erőforrás. ( RAM, CPU)
-
bacus
őstag
Nem így működik a saját chain !!
Ezekre úgy kell tekinteni mint subrutinokra, azaz beleugratod, de ha nincs olyan szabály ami megállítja a tűzfal kiértékelést, a visszatérési pontja a normál (input, forward, output) chain (amiből meghívtad) utáni sor. Tehát teljesen MINDEGY hol van sorrendileg a tűzfalban !!
AZAZ NEM GOTO !!A kiértékelés az első olyan szabályig tart, ami elfogadja vagy blokkolja a csomagot (valamilyen módon).
A saját chain értelme, hogy sok mindent nem kell 2x-3x megírni. Ha pl azt szeretnéd, hogy az icmp csomagokat egy idő után dobja el, mind a bejövő, mind az átmenőket, akkor ezt egy saját chainbe zárva mindkét chainből meghívhatod (input, forward)
Én sokat használom, pl több ügyfelemnek üzemeltetem a szerverét az irodámban. Az ügyfelek vpn csatlakozáskor saját listába kerülnek, ahol minden csomag eldobásra kerül, ami nem a saját szerverére megy. Ehhez szükséges szabályokat egy chain-be teszem, így amikor pl új ügyfél jön, aki mondjuk két szervert is elérhet, akkor leszűrve erre a chainre csak pár szabályt kell átnézni, módosítani.., nem a teljes forward chaint.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
ekkold
Topikgazda
válasz Reggie0 #15931 üzenetére
Azért a router konkrét típusától (ill az erőforrásoktól) is függhet, hogy mekkorára hagyja növekedni az ember ezt a listát.
Akár olyat is lehetne csinálni, hogy nagyon hosszú timeouttal kerül fel minden IP, de egy "takarító script" időnként letöröl a régiek közül annyit, hogy mondjuk csak a 200 legfrissebb maradjon meg. -
jerry311
nagyúr
válasz jerry311 #15920 üzenetére
ROS implementációs hiba, mint OpenVPN-nél? Passz, de elég öreg protokollok ezek, hogy ne legyenek már bennük ilyen hibák.
CPU terhelést nézted mindkét oldalon? 10-11%.
Az AES 256-ot tudja hardverből? Mindent is.
Hogyan tesztelted? Real life traffic. FTP, HTTP/S, SMB, együtt, külön. Nyilván ami weblapon belül van (HTTP/S) az lehet bármekkroa. Jellemzően nagyobb debug fájlok és VMWare OVA/ISO-knál látszik meg, hogy 50 Mbps környékén megáll a tudomány. Akkor is ha 1 szálon 1 forrás-cél van, akkor is ha több.
Akkor is itt volt a maximum, amikor csak "simán" policy based IPSec volt, nem IP-IP + IPSec.
-
-
ekkold
Topikgazda
-
silver-pda
aktív tag
Köszi, így már világosabb a dolog.
1: saját chain feldolgozás csak akkor történik, ha van rá egy jump?
2: ha a saját chain-ekben nincs egyezés, akkor a jump-os sor után fog folytatódni a feldolgozás?
3: saját chain-ek lehetnek úgy, hogy van amelyik a jump sor előtt van és van amelyik mögötte? A saját chain-ek feldolgozása a sorrendjükön alapul?
4: mire való akkor az action=return? passes control back to the chain from where the jump took place - ez akkor a jump sorra ugrik vissza és újra jump-ol? -
betyarr
veterán
azt kérdezném meg,hogy összehasonlítva egy out of the box routerrel a skori féle leírásban szereplő alap tűzfalbeállítások mennyire elégségesek a mikrotik esetében a hálózat/router védelmére?bőven jó,vagy kellene még rajta csiszolni?nekem csak annyi van beállítva,amit ott találtam,de nagyon nem merem piszkálni,mert nem lenne jó olyat is tiltani vagy engedélyezni,amit nem kéne.vannak olyan általános ajánlások,amit még érdemes beállítani rajta?
-
-
jerry311
nagyúr
válasz ekkold #15935 üzenetére
Nem elérhető a használt szoftver verzióban.
Meg úgy alapvetően nem 5-10% sebesség különbségről van szó, hanem arról, hogy még a Mikrotik által közzétett sebesség minimumát sem hozza (74 Mbps), a maximumnak (2100 Mbps) meg csak a 2.5%-át.
Ez nem protokoll hiba, vagy overhead, ez valami ordas nagy elkúrás valahol. Csak (még) nem tudom hol, de szeretném ha kiderülne.[ Szerkesztve ]
-
Reggie0
félisten
válasz jerry311 #15944 üzenetére
Szerintem kezdetnek egy szintetikus, udp teszt kene, mert TCP-nel azert sokminden beleszolhat a meresbe. iperf-et vagy a beepitett btest-et probald meg 1400 bajtos udp csomagokkal.
A 10-15%-os CPU terheles nekem gyanus, mert meg egy magot sem visz 100%-ra.[ Szerkesztve ]
-
bacus
őstag
válasz silver-pda #15938 üzenetére
1. igen
2. igen
3. igen és igen
4. arra, ha van a saját chainben egy drop all a végén, de mégse akarod, hanem vissza akarod adni a feldolgozást a tűzfal jump utáni soráraNe akarj végtelen ciklust csinálni a tűzfal szabályoknál .
Nem lehet egyszerű megérteni a mikor hova ugrik, ha soha nem programoztálKössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
Új hozzászólás Aktív témák
- Háztartási gépek
- Trollok komolyan
- Projektor topic
- Azonnali notebookos kérdések órája
- MSI Thin: gamer notebook két változatban
- Még a nyár előtt megérkeznek a G.Skill új Ripjaws memóriái
- Külpolitika
- Kompakt vízhűtés
- Star Trek Online -=MMORPG=-
- Samsung Galaxy Watch4 és Watch4 Classic - próbawearzió
- További aktív témák...
- Lenovo ThinkStation P330 Workstation: 3D tervezésre (CAD), videó vágásra, animációk készítésére(DCC)
- ASUS ROG STRIX RTX 3070 8GB
- Eladó ASUS ROG STRIX SCAR II GL704G kishibás gamer notebook
- ÚJ! // ÁR ALATT! // Edifier S3000 MK II // Muziker garancia
- AKCIÓ -150e Ft ÚJ Dell Inspiron 3530:i7 1355U(10magos),16GB,512GB,15.6" FHD,Iris Xe,akku 100%,Win 11
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Alpha Laptopszerviz Kft.
Város: Pécs