-
GAMEPOD.hu
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
vargalex
félisten
-
ekkold
Topikgazda
válasz vargalex #8052 üzenetére
Azért 192.168.0.0./16 mert nem csak 192.168.9.x hálózatom van (bár az az elsődleges), így viszont univerzális, mert minden 192.168. kezdetű célcímre működni fog. Tehát ha monmdjuk a 192.168.10.10 címen is fut egy szolgáltatás, amit a oruter forwardol, akkor azt is el lehet érni a 192.168.9.x hálózatból a külső IP-re hivatkozva.
[ Szerkesztve ]
-
Kindar
tag
Jogos a felvetés, ennyi információval nem sok mindent lehet kezdeni. Mea culpa. Ámbár úgy fest rájöttem a hiba okára. Én voltam az. valószínűleg véletlenül töröltem a szeparált wifi scrnat profilját. A fő hálózatnak címeire meg volt, de ennek nem. Létrehoztam és így már megy. Köszönöm szépen a segítséget még egyszer!
-
adika4444
addikt
Hali!
A korábbi NAT fordítgatásra:
Nos, én nem szeretek külső elem(ek)től függni, márpedig ez a MikroTik DDNS tipikusan ilyen, nem nálam fut, nem én felügyelem, szóval nem egy főnyeremény véleményem szerint.
Az alapötletet tehát kissé átdolgoztam, íme.
Ekold leírása alapján felvettem az alábbi szabályt, és a tényleges portátirányítást:
add action=masquerade chain=srcnat dst-address=192.168.0.0/16 src-address=192.168.43.0/24 comment="required to use the public IP in LAN same as WAN"
add action=dst-nat chain=dstnat dst-address-list=wan dst-port=1194 protocol=udp to-addresses=192.168.43.6 comment="openvpn"Utána létrehoztam a /ip firewall address-list helyen a WAN listát, egy elemmel, ami a publikus WAN címem.
Na ehhez csináltam egy olyat, hogy PPPoE on_up esetén lefuttat egy szkriptet, ami a PPPoE interfész címével felülírja a korábbi WAN címet az address_list esetében. Így gyakorlatilag ha van net, nincs olyan eset, hogy ne működne a szabály belső hálóról WAN címre.
Ha kiadok egy /interface pppoe-client majd disable 0 enable 0 sort, az ekvivalens a PPPoE szakadással? Az a baj, hogy a 168 óra leteltével nem leszek a router közelében, tehát ha meggárgyul, elég nehezen tudom helyrerakni, szóval valahogy kéne tesztelni. DIGI a szolgáltatóm.
üdv, adika4444
-
m0ski
aktív tag
Sziasztok!
Én ez alapján csináltam annak idején a Hairpin NAT-ot, és tökéletesen működik mindenféle address list piszkálás nélkül, DIGI-vel.
Egy NO-IP DDNS ugyan fel van húzva, de ez a működés szempontjából indifferens.Kiragadott részlet, de pl. a Transmission kliens sora így néz ki + masquerade:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-DIGI
add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=\
!192.168.0.1 src-address=192.168.0.0/24
add action=dst-nat chain=dstnat comment="Zyxel NAS" dst-address=\
!192.168.0.0/24 dst-address-type=local dst-port=\
51515 protocol=tcp to-addresses=192.168.0.2[ Szerkesztve ]
-
Lenry
félisten
válasz adika4444 #8055 üzenetére
ez mind szuper, de ha nem vagy otthon, akkor honnan tudod hogy mi az új IP címed, és még fontosabb, hogy pl a böngésződ honnan tudja?
mert nyilván azért kell a hairpin NAT, hogy bentről is elérj valamilyen, alapvetően kintről elérhető szolgáltatást...
a DDNS erre megoldás, míg a szkripted - ha jól értem a működését - nemGvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
adika4444
addikt
Köszi az ötletet, de a PPPoE miatt kérdéses az egész. Lehet marad a fapados módszer, kihúzom a kábelt aztán visszadugom
(#8058) Lenry:
Félreérthetőre sikeredett. Tehát a cél az annyi, hogy a szkript minden köztes megoldás nélkül nyerje ki a WAN címemet. Én már használok DDNS-t az eléréshez, csak a cél az, hogy ahol nem kell, ott ne használja, így ha például leáll, annak nincs kihatása a router ezen részére.[ Szerkesztve ]
üdv, adika4444
-
m0ski
aktív tag
DDNS problémára szerintem megoldás lehet, ha egy ingyenes (de 30 naponta levélben megerősítős) címet CNAME-el ráirányít a Mikrotik Cloud címére. Így nem kell megjegyezni a bonyolult címet, és fixen működik.
Van hozzá frissítős script, amit be lehet rakni pppoe on up-ra, és amikor megújul a cím, frissít NO-IP felé, de ha kell még e-mailben is elküldi az új IP-t.
-
adika4444
addikt
válasz Gyurka6 #8061 üzenetére
No itt akkor egyben mindenkinek:
A WAN cím arra kell, hogy a routeren belül ne kelljen DDNS. Duckdns-t használok a home serveremen, az teljességgel kielégíti az igényeimet.
No de akkor jöjjön a gyakorlati rész.
A linkelt szkript hát bizonybizony hibás, a delay-jel kellett játszani, meg a parancsok sorrendjével. Így sem elegáns, mert ellenőrízhetné, hogy tényleg van-e kapcsolat mielőtt v6-ot kér, de jó ez most. A másik probléma, hogy bár a lease 00:10:00-ra van téve, még is valami bődület magasat oszt ki mindig a v6-os DHCP szerver, ami rohadtul nem kerek abban a formájában.
Na tehát akkor az én beállításaim. Lan tartományom 192.168.43.0/24, ether1 a bejövő portom.
#Beallitjuk a PPPoE-t (akinek be van, az csak set-tel lojje be a service name-t digi-re)
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=\
disabled name=pppoe-digi password=<ppp-login-pass> service-name=digi \
use-peer-dns=yes user=<mindenkinek_a_sajatja>
#Meghivjuk a szkriptemet, ami a PPPoE ujracsatlakozasnal ujrainditja az IPv6-ot, ill. a WAN cimlistat is beallitja.
/ppp profile
set *0 on-up=pppoe-digi-reconnect
#Felveszunk egy cimet, hogy legyen mit modositani a kov. ujracsatnal, amikor is a 0.0.0.0 a realis WAN cimunkre fog cserelodni
/ip firewall address-list
add address=0.0.0.0 list=wan
#Ekkold leirasaban volt, nelkule is mukodik a net, de ha mar van hat miert ne legyen beallitva
/ip firewall mangle
add action=change-mss chain=forward comment="PPPoE MTU" new-mss=1440 \
out-interface=pppoe-digi passthrough=yes protocol=tcp tcp-flags=syn \
tcp-mss=!0-1440
#NAT beallitasa, a masodik szabaly a kulso cim belso hasznalathoz kell
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-digi src-address=\
192.168.43.0/24
add action=masquerade chain=srcnat dst-address=192.168.0.0/16 src-address=\
192.168.43.0/24
#IPv6
/ipv6 address
add address=::1 from-pool=digi interface=br-lan
/ipv6 dhcp-client
add add-default-route=yes interface=pppoe-digi pool-name=digi request=\
address,prefix
/ipv6 nd
add advertise-dns=yes interface=pppoe-digi ra-lifetime=none
/ipv6 route
add distance=1 gateway=pppoe-digi
#IPv6-os DHCP szerver. Lathato, hogy a lease 10 perc, csak ezt ignoralja a rendszer a gyakorlatban.
/ipv6 dhcp-server
add address-pool=digi interface=br-lan lease-time=10m name=dhcp-digi6
#vegul a szkript
/system script
add dont-require-permissions=no name=pppoe-digi-reconnect owner=admin policy=\
read,write,policy,test,sniff,sensitive,romon source=":execute {/ipv6 pool \
remove digi}\
\n:execute {/ipv6 dhcp-client disable [find interface=pppoe-digi]}\
\n \
\n:delay 3\
\n:execute {/ipv6 dhcp-client enable [find interface=pppoe-digi]}\
\n:delay 3\
\n:execute {/ipv6 dhcp-server disable [find name=dhcp-digi6]}\
\n:execute {/ipv6 dhcp-server enable [find name=dhcp-digi6]}\
\n\
\n:global ipaddress [/ip address get [find interface=\"pppoe-digi\"] addre\
ss ];\
\n:for i from=( [:len \$ipaddress] - 1) to=0 do={ \
\n\t:if ( [:pick \$ipaddress \$i] = \"/\") do={ \
\n\t\t:global newipaddress [:pick \$ipaddress 0 \$i]\
\n\t} \
\n}\
\n:execute {/ip firewall address-list set [find list=\"wan\"] address=\$ne\
wipaddress}"Egy kézi PPP reconect után pedig örömmel jelentem, hogy szépen az új prefixet osztogatja a v6-os DHCP szerver és frissült a címem a tűzfalon
Ami még fontos, hogy mivel a PPPoE interfész címét használja, ezért ha benatol a DIGI, akkor a NAT-olt cím lesz a listán (100.64.0.0/10)
Nem vagyok egy nagy mágus a témában, szerda óta MikroTik-ezek, szóval ha valami nem elég precíz, akkor javítsatok!
üdv, adika4444
-
adika4444
addikt
Igen, elvileg meg lehet oldani. Odáig már eljutottam, hogy ha 100-zal kezdődik az IP, akkor NAT, ha nem, akkor nem NAT. Csak ugye a NAT tartománya a 100.64.0.0/10 ami annyit tesz, hogy 100.64.0.0 és 100.127.255.255 közti lehet az IP. Tehát ha 100-zal kezdődik, akkor meg kell vizsgálni a második blokkot, és ha az >= 64 és <= 127, na akkor van NAT. A DIGI-nek elvileg nincsen publikus IP-je ami 100-zal kezdődik, tehát elméletileg elég a cím elejének vizsgálata, de igazából ha már lúd, legyen kövér alapon érdemes ellenőrizni ezt is.
üdv, adika4444
-
ekkold
Topikgazda
válasz adika4444 #8059 üzenetére
Valóban lehet erre scriptet is írni, de igazából amikor erre szükség van, akkor úgyis éppen otthon vagy, hiszen bentről kell elérned a külső címed.
Ha nem bízol a dyndns-ben arra is vannak jó megoldások, nekem pl. az a másodlagos megoldásom, hogy a weblapomon van egy PHP, aminek a router időnként elküldi néhány adatát. Így ha a dyndns nem működne, a weblapomon akkor is meg tudom nézni, hogy mi a routerem IP címe, mikor jelentkezett utoljára erről a címről a router, és mi a dyndns neve. Ez a PHP több router adatait is tudja fogadni, és szépen összerakja egy táblázatba az adatokat. -
#42556672
törölt tag
-
_kovi_
aktív tag
Sziasztok!
Tudtok adni útmutatót, hogy milyen szabályok ajánlatos a tűzfalnál és a nat-nál létrehozni?
MikroTik hAP ac2Köszi!
-
DjTomboy
csendes tag
Sziasztok!
Nemrég vettem egy Mikrotik hAP ac^2-t. Telekomos optikai internetem van.
Ha úgy állítom be, hogy a Sagemcom ONT csinálja a PPPoE kapcsolatot és a mikrotik a wan-nak beállított portján dhcp kliensként kap ip-t, akkor a mikrotikra kötött eszközökön rendben van az internet sebessége (~900 Mbit le, 980 Mbit fel). De ez így nekem nem jó, így dupla NAT-olás van...
Ha a mikrotik csinálja a PPPoE kapcsolatot, akkor a letöltési sebesség rendben van, viszont a feltöltési sebesség csak 200 Mbit.
Mit állítok be rosszul? Az alábbi képeken láthatóak a jelenlegi PPPoE-s beállításaim. Lereseteltem a routert úgy, hogy ne legyen alapból beállítva semmi, utána állítottam be ezeket. (a képek készítésekor nem volt bedugva a hálókábel, amin keresztül meg a pppoe kapcsolat).[ Szerkesztve ]
-
uno20001
csendes újonc
válasz DjTomboy #8084 üzenetére
Ha tényleg nem jó a dupla NAT, akkor esetleg csak simán AP-nak konfigurálhatnád a Mikrotiket. Tehát a Sagemcom ONT osztaná mindenkinek az IP-t DHCP segítségével, a hAP ac^2 pedig csak access point-ként működne. (Ez valóban nem oldja meg a PPPoE problémát a Mikrotiken, de kompromisszumos megoldásnak jó lehet.)
[ Szerkesztve ]
-
Beniii06
őstag
válasz DjTomboy #8084 üzenetére
Milyen csomagban vagy? Mert ha jól emlékszem a régebbi 1000-es csomag nem volt szimmetrikus és az a pontosan 200 Mbps központi korlátnak tűnik vagy leterhelt környék miatt lehet. Azért jó lett volna kb. pár speedtest eredményt is csatolni 3 különböző időpontban(reggel, délben,este) különböző magyar szerverekre(Telekom, antenna hun, stb.) és itt nem a speedtest eredmény a lényeg(sokat win10 appra esküsznek), hanem hogy elindítod a speedtestet és screenshotolod az interface listát!
PPPoE-nél MTU 1480 legyen!
"Got any other secret weapons?"
-
vargalex
félisten
válasz jerry311 #8089 üzenetére
Pedig igaza van a kollégának, pont úgy viselkedik, mintha 1000/200-as csomag lenne beállítva. El tudom képzelni, hogy a PPPoE kapcsolatot felépítő eszköz MAC címe alapján más limiteket állítanak be. Esetleg nem pont ugyan ez a PPPoE usernév a SagemCom-ban, bár erre gondolom figyelt a kolléga.
Alex
-
adika4444
addikt
válasz vargalex #8090 üzenetére
Nem csinál ilyet a Telekom. Beköttettük az 1000/200-at, amit még aznap felrakattunk giga/gigára. Először sagemen ment az 1000/200, utána a saját AC66U-n. Felváltás után az AC66U-n egy PPPoE reconnect után ment az új sebesség. Próbaképp megnéztem, a Sagemen is. Visszaraktam az ASUS-ra, és azóta is tökéletesen megy.
Egy hAP ac^2-re akarom cserélni majd, oda is vágna, ha nem vinné a giga/giga csomagot.
DjTomboy: Egy gépet köss rá a Sagem-re közvetlen, és azon csinálj PPPoE-t. Ha nem is hajtja ki a gigát, de ha már 200 fölé megy a felfelé irány, akkor lehet következtetni...
üdv, adika4444
-
vargalex
félisten
válasz adika4444 #8093 üzenetére
Ez csak egy ötlet volt. De akár userenként más módszert is használhat a Telekom... Csak ugye gyanús az a 200 Mbps. Én megnézném egy másik routerrel is (nem a SagemCom-al). Kétlem, hogy a hAP ac² csak 200 Mbps-t tudna felfelé irányban, miközben lefelé tudja a gigabitet.
[ Szerkesztve ]
Alex
-
adika4444
addikt
válasz vargalex #8094 üzenetére
DIGI gigás neten jelenleg is jön a 800/300. Szóval legalább 300-at bírnia kell neki.
Érdekes mindenesetre a hiba, nagyon meglepődnék, ha tényleg az lenne, hogy MAC alapján korlátozgatnak. De ugye a MAC-t a MikroTik-be lehet klónozni, a Sagem meg asszem kiírja a WAN fizikai címet.üdv, adika4444
-
E.Kaufmann
addikt
Ez nem valami MTU vagy clam tcp to mss gond? Lehet darabolja feltöltésnél a csomagokat, ahelyett, hogy ICMP-n utasítaná a klienseket kisebb csomagméretre.
Le az elipszilonos jével, éljen a "j" !!!
-
DjTomboy
csendes tag
válasz Beniii06 #8088 üzenetére
MTU-ra egy ilyen van beállítva:
Most néztem a Sagem-ben 1492-re van állítva az MTU.
Próbáltam ezzel-enélkül de sehogy sem volt jó.
A csomagomban 1 Gbit/s letöltési, 1 Gbit/s feltöltési sebesség van.. Ez majdnem mindig meg is van a Sagem-mel. A házban összesen két lakásba van bekötve Telekom net, így ketten osztozunk az 1,25 Gbps-on.
Ha Speedtest-et csinálok, akkor mindig több különböző szerverrel szoktam mérni egymás után és a feladatkezelőben nézem a hálózati csati sebességet. Rakok majd fel képeket, csak most nem tudok mérni.
[ Szerkesztve ]
Új hozzászólás Aktív témák
- Egyre közelebb a Poco F6 startja
- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
- Kerékpárosok, bringások ide!
- A fociról könnyedén, egy baráti társaságban
- Sorozatok
- HiFi műszaki szemmel - sztereó hangrendszerek
- Revolut
- Modern monitorokra köthető 3dfx Voodoo kártya a fészerből
- AMD Navi Radeon™ RX 6xxx sorozat
- EAFC 24
- További aktív témák...
- Újszerű - ASROCK B450 Fatal1ty Gaming K4 AMD AM4 alaplap + Windows 10/11 HOME digitális licensz
- Újszerű - ASROCK B450 Pro4 AMD AM4 dobozos alaplap
- HP Elitedesk 800 G4 DM I5-8500T 16GB 256GB SSD (1 USB sérült, de működik)
- Dell 7060 Micro I5-8500T 8GB 500 GB SSD WIFI
- DELL LATITUDE 7390 I5-8250U/8GB/256GB SSD/1920X1080