-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
-
Audience
aktív tag
válasz E.Kaufmann #19250 üzenetére
Én már egy ideje egy CHR-en ami Synology-n fut feltettem egy pihole-t, kíváncsiságból. El is felejtettem, hogy ott van, gond nélkül megy már egy ideje.
-
yumme
csendes tag
Sziasztok,
500M DIGI net optika, Huawei HG8121H bridge-be átrakva
400M van nagyon max kihasználva
routing szabályok alapvetően tiltóak
kbmax 50 gépes iroda,
1G-s intranet
kb 10 VLAN -al
kb 10 állandó kapcsolatú OpenVPN kliens (irodai jellegű forgalom)+ újdonság hogy legyen mobilinternet backup ha a DIGI megpusztul
OPNsense alól ki akar pusztulni a hardware, milyen Mikrotik-et javasoltok helyette?
mennyire lenne nagy bűn CRS326-ot használni? (kiütne egy öreg VLAN-ozós smart switch-et meg az OPNSense 1U-s ősöreg Dell szerverét)
[ Szerkesztve ]
-
pitiless
senior tag
cap ax
https://www.youtube.com/watch?v=o-wYVPYhOU0 -
Victorio
aktív tag
válasz pitiless #19254 üzenetére
6 GHz rádió és 2.5 G ethernet uplink nélkül
Wifi terén van kb 2 év lemaradásuk minden eszközüknél.Hiába nem szereted, - mondta a Macska - itt mindenki bolond. Én is bolond vagyok. Te is bolond vagy. Honnan gondolja, hogy én bolond vagyok? - kérdezte Alice. Ha nem volnál bolond, - válaszolt a Macska - nem jöttél volna ide.
-
őstag
-
E.Kaufmann
addikt
válasz lionhearted #19256 üzenetére
Háát igen. Asus AP (AX53U) - asztali PC között is szobán belül ha 80 MByte/s-al másolok NAS-ról AX-es wifin, az már naggggyon jó. De még nagyobb wifi sebességnél sincs sok haszna, az pont arra jó, hogy stabilan ki lehessen venni gigabitből a maxot.
[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
-
Reggie0
félisten
válasz E.Kaufmann #19257 üzenetére
Az a vicc, hogy 1 fodem es lepcsohazon keresztul 60MB/s megy nekem 4 chain-es ac1566-al.
-
Staradder
tag
Halli
Két router közt vacillálok hap ac3 és a hap ax2
Teljesítményben az utóbbi jobb, viszont nekem fontos a wifi is. Az elsőnek van 2 db külső antennája ehhez. Mennyit számít ez wifi lefedettség terén?
Van valami tapasztalat erről hogy a belső antennás mikrotikek ezzek az újabbak között mennyire és mire jók?
Köszi -
őstag
-
Tamarel
senior tag
válasz lionhearted #19262 üzenetére
Nem tudok ipv6os vpn szolgáltatóról.
-
kammler
senior tag
válasz Tamarel #19266 üzenetére
Mondjuk most jut eszembe, azt nem tudom, hogy mikrotikkel használható-e, csak rávágtam hirtelen, hogy ad IPV6-ot. Nekem is csak úgy lett IPV6, hogy érdeklődtem telekomnál, vajon megy-e már élesben az IPV6 náluk. Erre a mikrotik első rúgásra kapott, osztott IPV6-ot mire hazaértem. Nem kértem, csak érdeklődtem, hát erre bekapcsolták. mondjuk ki lehet kapcsolni.
[ Szerkesztve ]
-
őstag
válasz Tamarel #19264 üzenetére
Sima IPv6 internet route sebesség, ami érdekel, nem kell extra VPN rá. A hap ac2 ilyen 300mbps körül karcolt, hátha hasonló mértékben gyorsul az ax abban is.
Mivel van rajta tűzfal, nem feltétlenül látszódik kifele az eszközök, max IP szinten követhető értelemben és mértékben.
[ Szerkesztve ]
Tegnap még működött...
-
E.Kaufmann
addikt
válasz Gyurka6 #19268 üzenetére
Mármint a telekom NAT-olt V6-ot ad (mert hogy én otthon magamnak NAT-olok és van-e értelme vagy nincs, más kérdés)
Még jó, hogy Digis lettem/maradtamAmúgy működik Mikrotik 7.8-al a prefix translation is, csak src/dst-NAT helyett netmap-ot kell beállítani és tartományt adni. DHCP kliensben betettem egy scriptet, ami befrissíti a szolgáltatói tartományt a szabályban.
Ja a 7.9-ben meg megjelent egy ilyen, ami segíthet prefix cserénél (idézet a fórumából):
*) ipv6 - send out RA packet with "preferred-lifetime" set to "0" when IPv6 address is deactivated;
- I hope this not only happens when the address is deactivated but also every time the address is changed, like when a new address from a pool is assigned.
-Yes it does.I have tested it successfully in my lab, changed the globally assigned prefix, router sends out RA with 0 to clients for old prefix.
Long story, but finally, no workaround scripts necessary anymore, Thanks Mikrotik![ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
-
adika4444
addikt
válasz E.Kaufmann #19270 üzenetére
Nem NAT-ol v6-on a Telekom. Értelme sem lenne az persze lehet, hogy szűrik a bejövő kapcsolatokat, de ezt is kétlem, révén perpill is működik rendben a távoli elérés.
A prefixcserés dolog örömteli, már csak suffix-re alkalmazható tűzfalszabály és IPv6 offload kellene. Nem állnak, csak lassan vacakolnak, 2030-ra talán a RouterOS is birtokában lesz ezeknek a képességeknek
Szerk: Az is kérdés, a ROS7.9-be érkező újítás vajon letudja-e kezelni a PPPoE újraépülést ami új IPv6 prefix-et ad DIGI és Telekom esetében, viszont ehhez a DHCPv6 klienst újra kell indítani.
[ Szerkesztve ]
üdv, adika4444
-
Tamarel
senior tag
válasz lionhearted #19262 üzenetére
- csupasz sebesség 941 Mbps
- wireguard 830 Mbps
- speed.cloudflare.com 882 MbpsConnected via IPv6
Server location: Budapest
Your network: Digi TV (AS20845)
Your IP address: -
jerry311
nagyúr
válasz Tamarel #19266 üzenetére
Pont úgy, mint nagyobb cégek a publikus IPv4 tartományukat:
Ott egy jól beállított tűzfal és kész.Amúgy meg, a modern támadások úgyis arra mennek rá, hogy valamire kattintasz, nem a tűzfalat hekkelik kívülről.
Nyilván ha valaki tárva nyitva hagyja az ajtót, akkor lehet megtalálja egy script kiddie. -
Tamarel
senior tag
válasz jerry311 #19274 üzenetére
Szerintem nagy cégnél belül privát ipv4 van, szóval ott a nat alap. Mintahogy szervercserénél is kellhet a nat és a több szolgáltató esetén is.
Ipv6-nál szerintem szintén privát tartomány lehet a jó irány, de a kijárat megoldása nem annyira egyértelmű. Gondolom vagy prefix csere-bere vagy proxy.
Az ebből egy eszközre egyszerűsített logikai megoldás a kérdés.Ha a szolgáltatói ipv6 címet leengeded az eszközeidre és egy belső másolás épp azzal megy, akkor az internet / ipv6 cím eltűnése megszakítja a kapcsolatot. Láttam, kösz nem kérem.
[ Szerkesztve ]
-
E.Kaufmann
addikt
válasz Tamarel #19275 üzenetére
Most volt egy kis gixer, de a prefix translation több napja működni látszik RouterOS-en. Pont az általad felvázolt gond miatt is LAN-on ULA-ban gondolkozom és úgy néz ki működik vegyesen is a NAT, fő LAN tartományból a prefixet módosítva, más LAN tarrtományokból meg masquerade.
Amúgy cégnél én is proxy-val csináltam még rég, de a fő szolgáltatások csak v4-en mentek.
Le az elipszilonos jével, éljen a "j" !!!
-
XENISETE
kezdő
Mesterséges intelligencia írt egy Mikrtotik alap tűzfal szabályt.
"Természetesen fontos megjegyezni, hogy a biztonságos tűzfalbeállítások kialakítása a hálózat és az alkalmazások specifikus igényeitől függ. Azonban általános ajánlásokat és egy példa konfigurációt adhatok a Mikrotik RouterOS tűzfal filterének beállításához.
Az alábbi példa a következő szabályokat tartalmazza:
Engedélyezzük a loopback kapcsolatokat.Engedélyezzük a kimenő ICMP forgalmat.Blokkoljuk a bejövő és kimenő SSH kapcsolatokat azon kívül, hogy az adminisztrátori IP-címekről jönnek.Blokkoljuk a bejövő SMB kapcsolatokat.Blokkoljuk az összes bejövő forgalmat, amely nem engedélyezett kivételekkel érkezik."/ip firewall filter
add chain=input connection-state=established,related action=accept comment="Allow established connections"
add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
add chain=input in-interface=lo action=accept comment="Allow loopback traffic"
add chain=input protocol=icmp action=accept comment="Allow outbound ICMP"
add chain=input protocol=tcp dst-port=22 src-address-list=admin action=accept comment="Allow SSH from admin IP"
add chain=input protocol=tcp dst-port=22 action=drop comment="Drop all other SSH traffic"
add chain=input protocol=tcp dst-port=445 action=drop comment="Block incoming SMB connections"
add chain=input action=drop comment="Drop all other incoming traffic"
add chain=forward connection-state=established,related action=accept comment="Allow established connections"
add chain=forward connection-state=invalid action=drop comment="Drop invalid connections"
add chain=forward action=drop comment="Drop all other forwarded traffic"
add chain=output action=accept comment="Allow all outgoing traffic"
Ez a konfiguráció az alábbi módon működik:
Az első szabály engedélyezi az összes már meglévő, kapcsolatban álló (established) és kapcsolódó (related) forgalmat.A második szabály eldob minden érvénytelen (invalid) kapcsolatot.A harmadik szabály engedélyezi a loopback kapcsolatokat.A negyedik szabály engedélyezi a kimenő ICMP forgalmat.Az ötödik szabály engedélyezi az SSH kapcsolatokat az adminisztrátori IP-címekről.A hatodik szabály elutasítja az összes többi SSH kapcsolatot.A hetedik szabály elutasítja az összes bejövő SMB kapcsolatot.A nyolcadik szabály elutasít minden más bejövő forgalmat.[ Szerkesztve ]
-
adika4444
addikt
válasz E.Kaufmann #19276 üzenetére
Az IPV6 NAT-olás témával nekem egy nagy gondom van, mégpedig az, hogy ha UlA címet kapnak az eszközök, azt nem tudom rábírni, hogy DGW-ként használják, tehát force-olni kell az IPv6 kapcsolatot.
#19277XENISETE
Erőforráshasználat miatt jobb, ha a forward szabályok elől vannak, révén legtöbbet routol a router, tehát kisebb az input-output jellegű forgalom.üdv, adika4444
-
XENISETE
kezdő
válasz Gyurka6 #19278 üzenetére
A biztonságos IPv6 tűzfalbeállítások kialakítása hasonló az IPv4 tűzfalbeállításokhoz, azonban az IPv6 tűzfalaknak figyelembe kell venniük az IPv6 egyedi jellemzőit és az IPv6 hálózatok működési módját.
Az alábbi példa az IPv6 tűzfal filterének beállítására összpontosít, és a következő szabályokat tartalmazza:
Engedélyezzük a loopback kapcsolatokat.Engedélyezzük a kimenő ICMPv6 forgalmat.Engedélyezzük a bejövő ICMPv6 forgalmat, de csak bizonyos típusokat (pl. ICMPv6 Echo Request).Blokkoljuk a bejövő és kimenő SSH kapcsolatokat azon kívül, hogy az adminisztrátori IP-címekről jönnek.Blokkoljuk az összes bejövő IPv6 forgalmat, amely nem engedélyezett kivételekkel érkezik./ipv6 firewall filter
add chain=input connection-state=established,related action=accept comment="Allow established connections"
add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
add chain=input in-interface=lo action=accept comment="Allow loopback traffic"
add chain=input protocol=icmpv6 icmp-options=echo-request action=accept comment="Allow inbound ICMPv6 Echo Request"
add chain=input protocol=icmpv6 action=drop comment="Block all other inbound ICMPv6"
add chain=input protocol=tcp dst-port=22 src-address-list=admin action=accept comment="Allow SSH from admin IP"
add chain=input protocol=tcp dst-port=22 action=drop comment="Drop all other SSH traffic"
add chain=input action=drop comment="Drop all other incoming IPv6 traffic"
add chain=forward connection-state=established,related action=accept comment="Allow established connections"
add chain=forward connection-state=invalid action=drop comment="Drop invalid connections"
add chain=forward action=drop comment="Drop all other forwarded IPv6 traffic"
add chain=output action=accept comment="Allow all outgoing IPv6 traffic"
Ez a konfiguráció az alábbi módon működik:
Az első szabály engedélyezi az összes már meglévő, kapcsolatban álló (established) és kapcsolódó (related) IPv6 forgalmat.A második szabály eldob minden érvénytelen (invalid) IPv6 kapcsolatot.A harmadik szabály engedélyezi a loopback IPv6 kapcsolatokat.A negyedik szabály engedélyezi a kimenő ICMPv6 forgalmat.Az ötödik szabály engedélyezi a bizonyos típusú bejövő ICMPv6 forgalmat (pl. ICMPv6 Echo Request).Az hatodik szabály elutasítja az összes többiAz alábbiakban bemutatom, hogyan lehet beállítani az IPv6-t a Mikrotik RouterOS operációs rendszeren a Magyar Telekom internet szolgáltató által biztosított IPv6 címmel.
Lépjen be a Mikrotik eszközbe a webes felületén keresztül vagy a Winbox program segítségével.
A bal oldali menüben válassza ki az "IP" menüpontot, majd válassza a "DHCP Client" lehetőséget.
Kattintson az "Add new" gombra a jobb felső sarokban.
A megjelenő ablakban az "Interface" mezőben válassza ki a WAN interfészét, ahol az internet szolgáltatóval kapcsolódik. Ezt általában a PPPoE kapcsolat jelöli, amelyet a Telekom kínál.
Az "Use Peer DNS" opció legyen bekapcsolva, amely azt jelenti, hogy a router automatikusan használja a Telekom által biztosított DNS szervert.
Az "Add Default Route" opció is legyen bekapcsolva, amely biztosítja, hogy a router IPv6 forgalmát a megfelelő irányba továbbítsa.
A "Request Address" opció bekapcsolásával a Telekom automatikusan kiosztja az IPv6 címet az eszköznek.
Kattintson az "OK" gombra a beállítások mentéséhez.
A beállítások elmentése után az IPv6 címét a "IP > Addresses" menüpont alatt találja meg.
Ellenőrizze, hogy az IPv6 címe elérhető-e az interneten keresztül. Ehhez használja a "ping" parancsot egy IPv6 címre vagy egy domain névre, például a Google IPv6 címére: "ping ipv6.google.com".
Ezzel beállította az IPv6 internetkapcsolatot a Mikrotik RouterOS eszközön a Magyar Telekom szolgáltatóval.[ Szerkesztve ]
-
jerry311
nagyúr
válasz Tamarel #19275 üzenetére
Persze, mert ma egy RFC1918 belső hálózat olcsóbb. Nem olyan rég még több nagy cég is rendelkezett saját publikus /8 tartománnyal. (IBM-nek még mindig megvan a 9.0.0.0/8) Náluk nem volt szükség NAT-ra, mert minek. Alapvetően nem a NAT-tól biztonságosabb egy hálózat. Attól már igen, hogy az otthoni router dobja a kívülről érkező kéréseket.
Mondjuk, engem sajnos nem érint az IPv6, mert a szolgáltató semmi jelét nem mutatja ilyen irányú fejlesztéseknek.
-
Reggie0
félisten
válasz XENISETE #19282 üzenetére
Mar valamennyire aramkor is lehet vele terveztetni, csak nem schematic-ot kell kerni tole, hanem netlist-et, mert az szoveges, nem kep. Mondjuk egy astabil multivibratoros villogot egesz jol megtervez, de komplex cuccoknal sok feketedoboz lesz benne.
Amugy tud linux es mikrotik konzolt emulalni is, csak meg kell kerned, hogy jatsza el, hogy-egy linuxos gep vagy router ami terminalt biztosit neked. Parancsokat is tudsz hozzaadni ha leirod neki szovegesen hogy mukodik.
[ Szerkesztve ]
-
zsolt008
tag
sziasztok,
van egy wireguard kliensnek konfigurált mikrotik, ami a rajta lógó kliensek forgalmát átküldi a tunnelen ( 0.0.0.0/0 -> wg-interface),
meg persze van statikus szabály a tunnel működéséhez is (remote_végpont_ip -> default_gw).
a remote server ip-je nem kőbevésett, az esetleges változást is szeretném lekövetni, azaz remote_végpont_ip -> default_gw szabályt módosítgatni ha változik az ip.
ahogy ismerkedek a routerrel, látom, hogy van a netwatch és a scheduler amivel lehet ilyet csinálni (scripteket futtatni eseménykor), de hátha van más mód, is ami esetleg pont ilyesmire van csak nem vettem észre? (szóval valami fqdn routingot keresek-csinálnék)[ Szerkesztve ]
-
zsolt008
tag
válasz Reggie0 #19288 üzenetére
nem a def gw változik, a nyíl csak azt jelenti hogy az a cím azon az interfacen megy.
hogy érted, hogy követi az ip változást?
(a peer-ben feloldja az fqdn-t az endpoint_addresnél)
az van a fejemben, hogy a kliensen kell egy külön route az endpont_addresshez (ez lenne a remote_endpoint_ip az előző hozzászólásomban), ha egyébként a 0.0.0.0/0 a wg_interfacen keresztül megy.
nem így van? most sajnos nem tudom kipróbálni, de csak így sikerült összehozni, igaz zöldfülű voltam mindkettőhoz (mikrotik/wireguard) -
Reggie0
félisten
válasz zsolt008 #19289 üzenetére
Hat, nekem vps-en keresztul van fix ip-je az itthoni routeremnek, azt egy titkositas nelkuli openvpn viszi at. A wireguard szerver igy az itthoni routerem. Amikor a laptoppal hazajovok, akkor egy ido utan rajon, hogy mas az IP-je a szervernek es atugrik a belsohalos cimere teljesen magatol. Szoval, ha a szerver eleri a klienst akkor le tud frissulni az IP, mert megkapja a szervertol jovo csomagban, hogy mi az uj, a "session" meg ugyanaz. Legalabbis linux alatt, mikrotiken lehet nem tudja.
Ha feloldja mar az jo, amikor megjelent routeros-ben valamiert nalam nem ment.
Mar ertem mire gondolsz, a remote public ip eleresehez valoban kell kulon route, de ezt VRF-el, route rule-val vagy packet mark-al is meg lehet oldani es akkor nem kell script.
[ Szerkesztve ]
-
zsolt008
tag
köszi mindkettőtök válaszát.
@Reggie0 - ezek a vrf, route rule, packet mark tudják az ip változását valahogy észlelni és kezelni?[ Szerkesztve ]
-
zsolt008
tag
válasz Reggie0 #19293 üzenetére
aha, értem, köszi. itt most nekem nem is kell 2 default gw, minden megy át a tunnelen, az endpoint meg kap egy külön route-ot. aztán majd netwatch vagy schedulerrel updatelek, még meg kell néznem pontosan hogy is működnek.
@Tamarel - esetleg átdobnád, hogy néz ki nálad a scheduler script?
köszi -
kis20i
csendes tag
-
zsolt008
tag
válasz kis20i #19295 üzenetére
igen, az lehet, hogy csak az elején oldja fel a nevet.
a 2 default route-os megoldást is értem és köszönöm, elegáns.
de végül ehhez is kell a netwatch az interface billegtetéséhez, ami nem gond, csak kíváncsi voltam van-e esetleg valami gyári megoldás, ne találjam fel újra a kereket.[ Szerkesztve ]
-
Audience
aktív tag
válasz kis20i #19295 üzenetére
Én csináltam egy script-et netwatch ha nem látja a WireGuard HUB-ot aminek nincs fix IP-je akkor letiltja a WireGuard interface-t, üríti a DNS cache-t és újra engedélyezi. Kell neki késleltetés mert meg kell várni amíg frissül a DNS bejegyzés.
A megadott FQDN-t egyszer oldja fel és késöbb már a megkapott IP-ből dolgozik, hiába frissül a DNS bejegyzésed.
[ Szerkesztve ]
Új hozzászólás Aktív témák
- Új! Lenovo IdeaPad Slim 5 Prémuim Laptop 16" -AMD Ryzen 5 7530U 8/512 AMD Radeon Graphics 2GB ! FHD+
- Samsung Galaxy Book2 Pro 360 Evo 13,3 makulátlan állapotban
- ÚJ, 30 HÓNAP GARANCIA - 2023 LG OLED 77" C3 4K HDR OLED77C31LA
- Eladó garanciális, kifogástalan állapotú PS 5
- HP ENVY x360 15-ew0005nl Convertible - ÚJ - 15,6" notebook - i7-1260P, 32GB, 1TB SSD, Win11
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Alpha Laptopszerviz Kft.
Város: Pécs