-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
vargalex
félisten
Lenne egy kérdésem is: gondoltam tanulási, ismerkedési céllal hosszú évek OpenWrt használata után (persze azt nem hagyom el teljesen) megveszem életem első Mikrotik routerét egy HAP AC2 képében. Természetesen ez már egy valóban csak 128 MB RAM-al szerelt példány, de remélhetőleg elég lesz.
A kérdésem az lenne, hogy ugye az interface-okat csak bridge-be tudom szervezni (pl. szokványos LAN miatt). Ilyenkor a LAN forgalom is átmegy a CPU-n, vagy okosan a switch-et config-olja a háttérben (látom, korábban volt master port megadási lehetőség is)?Alex
-
vargalex
félisten
válasz #42556672 #7045 üzenetére
Ez teljesen világos, természetesen a block diagrammot is néztem. Illetve a switch-et is ismerem, hiszen ugyan ez van pl. a TP-Link TL-WR1043ND v2/v3-ban is.
A kérdés arra irányult, hogy mit csinál a RouterOS. Ugye pl. alap konfiguráció szerint az eth2-eth5 és a wlan1, wlan2 interface-ok bridge-be vannak szervezve (ez lesz a LAN). Ha ezt a RouterOS az eth portok esetében nem a switch konfigurációjával éri el, hanem valóban egy hagyományos értelemben vett bridge-et hoz létre (azaz fizikai interface-okat software-osan 1 logikai interface-ba szervez), akkor bizony a közvetlen forgalom (pl. eth2 és eth3-ra csatlakoztatott 2 gép között) feleslegesen a CPU-n keresztül fog menni. Azt, hogy ez ne így legyen, csak a switch konfigurációjával lehet elérni.Alex
-
vargalex
félisten
válasz #42556672 #7047 üzenetére
És azt hol állítod be, hogy legyen-e hw offload? Meg nyilván meg kellene valahol mondani a switch chip-nek, hogy mely portok között...
Szerk.: Most néztem a log-ban, hogy induláskor látszik, hogy a hardware offloading-ot valóban aktiválja a bridge ethernet portjaira.
[ Szerkesztve ]
Alex
-
vargalex
félisten
Szia!
Ha minden konfiguráció nélkül kötötted így össze, akkor csak úgy éred el, ha vezetékesen, vagy wifi-n a TP-Link-hez kapcsolódsz, hiszen ő is NAT-ol. Persze beállíthatsz ott egy rule-t, hogy a WAN porton legyen elérhető bizonyos portokon. Ekkor a Mikrotik-ra csatlakozva az általa a TP-Linknek osztott IP-n eléred, de akkor is ott a dupla NAT, ami miatt a két eszközre csatlakozott eszközök két külön hálózatban lesznek.
A legtisztább megoldás az, ha a TP-Link-en a switch konfigurációban az összes portot 1 VLAN-ba szervezed, ami a LAN. A LAN interface-t pedig átállítod DHCP kliens módba, így a Mikrotik-tól fog IP-t kérni, amin el is éred.Alex
-
vargalex
félisten
Sziasztok!
Felvettem a tűzfalba egy Rule-t: forward chain-ba az established és related csomagok esetén fasttrack connection action.
Nem kellene itt pl. egy speedtest alkalmával a csomagoknak olyan ütemben növekedniük, mint az így automatikusan létrejövő passthrough szabálynál? Vagy éppen ez a dummy rule mutatja a fasttrack számlálókat, ahogy a comment-je is mutatja és a fasttrack connection-nál csak az első csomag látszik?[ Szerkesztve ]
Alex
-
vargalex
félisten
Sziasztok!
Az ip->services alatt az általam nem használt szolgáltatásokat (a www-n is gondolkodtam) letiltottam, az engedélyezetteknél pedig beállítottam, hogy csak a LAN tartományból érhető el. Tűzfalon még nem tiltottam semmit, de számomra érdekes, hogy az nmap open-nek mondja az összes ilyen portot kívülről (a 10.10.2.3 a router külső lábának IP címe):
[gavarga@gavarga-e5540 ~]$ nmap -n 10.10.2.3
Starting Nmap 7.70 ( https://nmap.org ) at 2019-03-15 09:02 CET
Nmap scan report for 10.10.2.3
Host is up (0.048s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
22/tcp open ssh
53/tcp filtered domain
80/tcp open http
8291/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 1.64 seconds
Ez azért van, mert igazából nem interface-ra bind-elést végez, hanem pl. host.deny-t használ? Azaz a port tényleg nyitva marad és az ssh szerver utasítja el?
[ Szerkesztve ]
Alex
-
vargalex
félisten
válasz DanielK #7099 üzenetére
Ahogy írtam, amik látszanak, azok nem tiltottak, csak az elérhetőség korlátozott IP szerint. Elsőre azt gondoltam, hogy mint általában a linuxos service-ok, így IP-re (interface-ra) bind-eli. De láthatóan nem, illetve azóta találtam is ilyen feature request-et, hogy jó lenne...
Alex
-
vargalex
félisten
-
vargalex
félisten
Sziasztok!
Script kérdésem lenne. Van ugye a tools/fetch funkciója, amivel elvileg változóba is lehet tenni a visszatérési értéket.
A példának megfelelően valóban lehet feltételes utasításban vizsgálni a visszatérés "status", illetve "data" tagját, de sem logolni, sem egy másik változónak értékül adni nem tudom. Nekem pedig éppen arra lenne szükségem, hogy a data tagból kiszedjek egy substringet. Mit csinálok rosszul?
Most éppen nem vagyok RouterOS közelében, de ilyesmi volt a kód (nagyon leegszerűsítve):
:local result [/tool fetch url=http://checkip.dyndns.com as-value output=user]
#a kovetkezo log mukodik
:log info $result
#ez viszont nem
:log info $result->"data"
#ez mukodik
:if ( $result->"status" = "finished" ) do={
:log info "Status is finished"
}
#ez viszont megint nem
:log info $result->"status"
#es a peldaban hasznalt egyenloseg vizsgalat ellenere ez sem megy
:local myResult $result->"data"
Alex
-
vargalex
félisten
válasz E.Kaufmann #7183 üzenetére
Én tegnap állítottam élesbe a hAP ac2-t több egyéb router után, mindegyiket OpenWrt-vel használva. Érdekes módon, lefedettségben eddig a belső antennás D-Link DIR-860L volt a legjobb (előtte volt D-Link DIR-825, TP-Link TL-WDR3600, TP-Link TL-WDR4900, Linksys WRT3200ACM, stb.). A hAP ac2 hasonló lefedettséget nyújt és sebességben is tudja nagyjából azt, mint a D-Link. Pontos értéket este tudok írni.
Alex
-
vargalex
félisten
Szerintem ilyen kis házban nem meglepő, hogy a 4 magos SoC melegszik. (Ott van pl. a D-Link DIR-860L és a Xiaomi Mi Router 3G, mindkettő MT7621 SoC-al. Előbbi alig melegszik, utóbbi viszont állítólag rendesen, pedig nem is annyira kicsi.) Azért nem vészesen meleg.
Én is most vettem ismerkedési céllal, de OpenVPN elvileg van, igaz csak TCP-n, ha jól tudom. Ipdns.hu-ra pedig írtam scriptet, egyáltalán nem vészes.Alex
-
vargalex
félisten
válasz Zwodkassy #7213 üzenetére
Szia!
Végül nem checkip-s IP cím lekérdezéssel oldottam meg, de az sem lenne gond. Így a script a mikrotik saját ddns megoldásából veszi az IP címet (az úgyis jár a routerhez és az IP->Cloud alatt egyszerűen engedélyezhető). Gondolkodom még rajta, hogy berakom a script-be, hogy bizonyos időközönként force-olja az update-ot, de jelenleg ezt nem teszi. Ehhez még a global változóknak utána kellene néznem, mert azt még nem tudom, hogy azt hol lehetne inicializálni és a script-ben csak használni (ugye a script-ben nem inicializálhatom valamilyen értékkel, hiszen akkor ezt minden futtatáskor megtenné).
Szóval, a jelenlegi script:### ipdns.hu ddns update script for RouterOS ###
### Static parameters ###
:local updateURL "http://update.ipdns.hu/update\?hostname="
##################
### Dynamic parameters ###
:local registeredHostname "your ipdns host name"
:local userName "ipdns username for hostname"
:local password "ipdns password for hostname"
##################
:local cloudStatus [/ip cloud get status]
:if ( $cloudStatus = "updated" ) do={
:local extIP [/ip cloud get public-address]
:local registeredIP [:resolve $registeredHostname]
:if ( $extIP != $registeredIP ) do={
:log info "External IP ($extIP) address does not match the registered IP ($registeredIP)"
:local updateAnswer [/tool fetch mode=http user=$userName password=$password url="$updateURL$registeredHostname" as-value output=user]
:log info $updateAnswer
} else={
:log info "External IP address matches the registered IP"
}
} else={
:log info "Cloud not updated"
}
Alex
-
vargalex
félisten
válasz Pyttawrx #7216 üzenetére
Igen, de az a Cloud paramétere. Ezt a scriptet ugye csak ütemezni lehet. Így arra gondoltam, hogy lenne egy globális változó, ami minden futtatáskor növekedne 1-el. Így még tudnám azt tenni, hogy minden x. futtatáskor force-olja az update-ot.
A kérdés mindössze az, hogy ennek a globális változónak hol tudok kezdőértéket adni, mert nyilván ebben a scriptben nem tehetem meg, mert azt csak egyszer kellene...Alex
-
vargalex
félisten
válasz Szpilu__25 #7253 üzenetére
Ahhoz olyan kliens oldal is kellene, ami ritka. Szerintem leginkább csak routerekben/AP-kben találkozni vele.
Alex
-
vargalex
félisten
válasz DanielK #7443 üzenetére
Én éveken át használtam OpenVPN-t OpenWrt alatt. Semmi gond nem volt vele, illetve a beállítás is pikk-pakk ment. Wiki-ben jól le van írva. Aztán átraktam a home szerverre, mert a router által biztosított kb. 30 Mbps kevés volt már. RouterOS alatt pont az az egyik bajom, hogy csak TCP-n megy az OpenVPN, így root nélküli Android telefonról elérhetetlen...
Mindemellett a hAP ac2-t ajánlanám az Archer C7 ellenében, főleg a jóval erősebb SoC miatt. Nem is értem, hogy a "Milyen routert" topicban miért nincs az ajánlottak között. Pedig meglepően olcsó is...
Alex
-
vargalex
félisten
-
vargalex
félisten
válasz E.Kaufmann #7537 üzenetére
Ha a szokásos Docsis 3.0 Cisco modemekről/HGW-kről beszélünk (EPC3208, EPC3212, EPC3925), akkor biztosan.
Alex
-
vargalex
félisten
válasz Beniii06 #7579 üzenetére
Annyit hozzátennék, hogy jóval olcsóbb kategóriában is elérhető az OpenWrt, valamint vagyon jó wiki van. Nyilván a webes felületre közel sincs minden kivezetve, de igazából minden megoldható OpenWrt-vel is, legfeljebb parancssorban...
Ja, és RouterOS alatt nincs nyomtató megosztás. OpenWrt alatt viszont nyilván bármire használható az USB, mint egy PC-n.
[ Szerkesztve ]
Alex
-
vargalex
félisten
válasz Beniii06 #7582 üzenetére
Most a legolcsóbb, amivel kb. kihajtható a gigabit, az a Xiaomi Mi Router 3G Kínából. Itthonról használtan az azonos SoC-ra épülő D-Link DIR-860L, esetleg később támogatásra lehet még számítani a szintén azonos SoC-ra épülő Asus RT-AC57U-nál. Ezek mind MT7621AT-re épülnek (CPU szempontból pont, mint pl. a Mikrotik RB750gr3, RB760iGS, RBM11g, vagy az RBM33g.
Egyébként 4.9-es mainline kerneltől kezdve van Flow Offload támogatás (így nyilván az összes target én elérhető), illetve OpenWrt alatt az MT7621-re van HW Flow Offload támogatás is.
[ Szerkesztve ]
Alex
-
vargalex
félisten
válasz #42556672 #7597 üzenetére
Fizikailag igen, de 2 külön subnet. Szerencsére már régen nincs dolgom windowssal, nem tudom, hogy subneteken keresztül működik-e a windows share. Hirtelen ezt találtam. Ettől függetlenül a browse lehet, hogy nem is megy át subneteken, tehát csak direktbe megcímezve lesz elérhető.
Alex
-
vargalex
félisten
-
vargalex
félisten
válasz #42556672 #7628 üzenetére
Nyilván ez az általános használat, de a Wiki szerint csak egy jóval későbbi RFC-ben korlátozták egymás melletti bitekre a subnet mask-ot (a hivatkozott RFC-ket ugyan nem olvastam végig).
Alex
-
-
vargalex
félisten
válasz vampire17 #7686 üzenetére
Erre mondom, hogy az AP oldalán történő kapcsolat megszakítás pont azt váltaná ki, hogy a kliens az 5 GHz-es hálóra mászna vissza.
(#7687) Lenry: mindegy, hogy azonos, vagy különböző az SSID (nálam különböző és mindenkinek azt is szoktam javasolni, hogy különböző legyen), ha úgyis mindkettőt fel kell venned azért, mert a kertben is használni akarod...
[ Szerkesztve ]
Alex
-
vargalex
félisten
válasz E.Kaufmann #7799 üzenetére
Megjegyezném, hogy egy D-Link DIR-860L B1-nek OpenWrt alatt meg sem kottyant egy hasonlóan méretes lista...
Alex
Új hozzászólás Aktív témák
- LG C4 tévé, a népszerű OLED-sorozat legfrissebb tagja
- Politika
- Sub-ZeRo: Euro Truck Simulator 2 & American Truck Simulator 1 (esetleg 2 majd, ha lesz) :)
- Asztalos klub
- Vírusirtó topic
- Mobil flották
- Apple iPhone 15 Pro Max - Attack on Titan
- Samsung Galaxy S10 és S10+ duplateszt
- Samsung Galaxy S22 Ultra - na, kinél van toll?
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- További aktív témák...
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Promenade Publishing House Kft.
Város: Budapest