-
GAMEPOD.hu
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
nyilasmisi
tag
Néhány mondatban el tudná magyarázni valaki, hogy ez a Capsman dolog miről szól, és hogyan kell beüzemelni.
A wiki-t már átolvastam de nekem nem teljesen világos.
-
nyilasmisi
tag
válasz balaaa88 #1123 üzenetére
Pontosan én is ezen tökölök már vagy 1 hónapja. Elolvastam már minden doksit amit lehetett.
Nekem a IP-s környezet a következően néz ki.
A haveromnál van előfizetve a digi-s ppoe-s 100/100-as internet (ZTE G625-el), amire rámegy egy WRT320N Linksys (Ezt kellene kicserélni)
Itt ennek a LAN1-ére rámegy Ubiquiti NanoBeam M5-ös. ez átlő 2km-ert, és fogadom a tetőmön egy ugyan ilyen NanoBeamM5-el. Majd ez csatlakozik rá a központi RB2011-emre, innen van minden kb 30-35 LAN-os eszközre szétosztogatva.Namármost ugye dupla NAT van, mint ahogy ez a konfigból látható. Így port forward-al szépen internet felől minden eszközt elérek ha kell.
A 2011-után még 4 szomszéd felé adok pont-multipont-al (Cisco Aironet <ezt is cserélni kell de most nem ez a fokusz egyelőre>), amely végén mindegyik helyen van 1-1-1-1 router, hogy 1 static IP-k nézzenek felém. (Ők meg minden router végén DHCP-zik az összes motyojukat ami csak van LAN irányba)
Ezek fényében (5 család), 'előre' a 320-as Linksys helyett mit tennétek be?
Edge Router Light vagy HEX-et (750Gr2)??Jelenleg 75/75Mbit körül tud kiköhögni ddwrt-vel a linksys, ennél többel nem megy.
A Nanobeam pedig DL/UL sebessége külön-külön irányba megmérve tudja a 150Mbit-etKíváncsi lennék a véleményetekre.
-
-
nyilasmisi
tag
Megérkezett a 3011.
Kiváncsi leszek hogy a 2011-hez képest mennyivel lesz erősebb home környezetben.
-
nyilasmisi
tag
-
nyilasmisi
tag
A digi elkezdte a dual stack-es ipv6-os ip címeket is osztogatni a ppoe kapcsolatokon keresztül.
Kérdés, hogyha egy mikortikkel authentikálunk be, akkor a sima ipv4-es ppoe dial-up-hoz képest mit kell módosítani, hogy adott esetben ipv6-os címeket is kaphassunk?
-
nyilasmisi
tag
Használ valaki Hairpin NAT szabályt??
-
nyilasmisi
tag
válasz Proci85 #1310 üzenetére
Az volna a kérdésem, hogy a 2011-emben felvittem pár Hairpin szabályt is, de van amelyik működik, van amelyik nem.
Azt hozzá kell tennem hogy a 2011 WAN oldala az nem a szolgáltatói publikus IP, hanem egy 10.2.0.1/29-es tartomány, mivel a Digis internetnél van a pppoE-ző másik mikrotik, és egy L2-es 5GHz-es ubiquiti link jön le hozzám, ezért a 2 router miatt dupla NATolású a hálózat!Ami fontos lenne, hogy van port bizonyos IP felé a belső LAN-on amit Hairpinelni kellene, és van olyan ugyan ilyen portszám amelyet pedig nem, és csak kiküldeni a netfelé.
Nos nekem ettől teljesen megbolondul, és ezen a porton nem hajlandó a net felé ezt a portot kiküldeni, hanem a Hairpinelt belső hálózatban lévő IP-re küldi ezt is!Remélem érthető voltam.
MÁS: Ha már itt tartunk várnék 5leteket hogy hogyan lenne a legjobb/legcélszerűbb megcsinálni/átkonfigolni a hálózatot, hogy abban az esetben hogyha a Digis- internet az távol van tőlem a falu másik oldalán, (ott a modem mellett egy másik mikrotik ether1-en, és az ether2-je egy ubiquiti bridge re megy rá, majd nálam a ház tetején egy másik ubiquiti, és annak a lan kimenete megy rá az RB2011 ether1-ére.)
Természetesen fontos lenne hogy minden egyes eszköz az internet felöl is elérhető legyen!!
Valahogy levihető a publikus IP a 2011-ig úgy, hogy a ként feljebb lévő Ubi is elérhető maradjon? -
nyilasmisi
tag
Ezt úgy érted hogy az optikánál a Digis modem mellett lévő mikrotikben marad ugyan így a pppoE felfelé, és az ether2-re huzzak rá egy eoIP tunnelt, valamint "lent nálam" a RB2011-ben az ether1-en amin fogadom, oda meg a eoIP másik felét??
Ebben az esetben a publikus IP akkor hol fog terminálódni? Az első mikrotik ether1-én, vagy lent nálam az RB2011- ether1-én?
[ Szerkesztve ]
-
nyilasmisi
tag
Látott már valaki ilyet?
Hozzá szeretnék kapcsolódi a saját wifi-mhez, és user nevet is kér!
Nagyjából mintha a 6.33.3 verziojú ROS frissítés óta csinálná!
Azok a gépek amelyek már volt wifi-loginje azok fennt vannak továbbra is, de egy újjonan csatlakozó laptop például úgy néz ki ahogy a képen, és sehogy sem lehet felcsatlakoztatni a wifire.(Másik fajta Mikrotikkel is csinálja amelyik a szomszedban van).
Valakinek valami 5lete?
-
nyilasmisi
tag
Találkozott már valaki olyannal, hogy wifire csatlakozás esetén a PC-n nem csak a WPA2-es kód megadó ablak jön fel, hanem username ablak is? Természetesen nem lehet hozzácsatlakozni az AP-hez.
Iphone-al is ugyan ezt csinálja, csak Andrioidos eszközök hajlandóak gond nélkül felmenni!
Ötlete valakinek?
-
nyilasmisi
tag
válasz vjozsef #1527 üzenetére
Így néz ki a wireless security beállítás.
Már szana szét állítittam mindent, de semmi nem változott.
- Android csatlakozik
- Iphone azonnal visszadobja, hogy nem lehet a hálózathoz csatlakozni
- A PC- meg olyan ablakot dob fel, amelyhez nem csak a pre-shared key megadása kötelező, hanem egy user name is! -
nyilasmisi
tag
Szerintetek egy HAP eth5-ös portja amely POEout-os arra ráköthető távtáplálás gyanánt egy mAP Lite?
A pdf doksi szerint az mAP az 5-60V-ig fogad feszültséget, viszon magára a mAP Litre 5V power only felirat van gravírozva, és micro USB-s csatlakozós saját táp van gyárilag hozzá!
Nagyon jó lenne ha nem kellene a gyári telefontöltőt használni hozzá!
Egyelőre nem merem POE-san meghajtani a HAPból! Van valakinek valami 5lete? Nem szeretném a kis mAP-t kinyírni!
Köszönöm a segítséget -
nyilasmisi
tag
Ismeri valaki ezt a host-ot: 62.210.162.182
Bármelyik mikrotikben amelyek kint lógnak a neten (indítottam pár darabott az elmúlt időben), és aktiváltam a IP/Cloud alatt a DDNS update-et hogy távolról elérhető legyen számomra, 1 napon belül megjelenik, és a 80-as port-on belépési kisérletek zajlanak!
Semmilyen más DDNS szolgáltatás nem fut ami alapján felderíthetnék a host-omat, csak a sn.mynetname.net.
Elképzelhető szerintetek hogy ez egy backdoor a mikrotikben?Ja és ami még durva hogy 22 óra alatt az alábbi blacklisteket gyüjtötte:
[ Szerkesztve ]
-
nyilasmisi
tag
Lenne egy olyan kérdésem hogy van az alábbi tűzfalszabályal működik egy router:
/ip firewall filter
add action=drop chain=input connection-state=invalid
add chain=input connection-state=established,related
add action=jump chain=input in-interface=bridge-local jump-target=input-internal
add action=jump chain=input in-interface=pppoe-out1-Digi jump-target=input-net
add action=drop chain=input
add chain=input-net dst-port=80,8291,2000 protocol=tcp
add action=drop chain=input-net src-address-list=blacklist
add chain=input-net protocol=icmp
add action=add-src-to-address-list address-list=blacklist-ftp address-list-timeout=3d chain=input-net dst-port=21 protocol=tcp
add action=add-src-to-address-list address-list=blacklist-ssh address-list-timeout=3d chain=input-net dst-port=22 protocol=tcp
add action=add-src-to-address-list address-list=blacklist-telnet address-list-timeout=3d chain=input-net dst-port=23 protocol=tcp
add action=drop chain=input-net
add chain=input-internal
add action=drop chain=forward connection-state=invalid
add chain=forward connection-state=established,related
add action=jump chain=forward jump-target=forward-net out-interface=pppoe-out1-Digi
add action=jump chain=forward jump-target=forward-internal out-interface=bridge-local
add action=drop chain=forward
add chain=forward-net in-interface=bridge-local src-address=172.16.1.0/24
add action=drop chain=forward-net
add action=drop chain=forward-internal/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1-Digi
add action=dst-nat chain=dstnat dst-port=8292 protocol=tcp to-addresses=172.16.1.1 to-ports=8291
add action=dst-nat chain=dstnat dst-port=22000 protocol=tcp to-addresses=172.16.1.1 to-ports=80E mögött bridge modban működik egy mAP lite amely egy távoli ponton a lakásban wifi-t csinál.
Milyen szabályt kellene ide beilleszteni, hogy a WAN felöl átjussak rajta, és elérjem a winbox (8291, a net felöl 8292), és a webif (80, a net felöl 22000) portját a kis mAP-nak?
A NAT fül alatt felvettem 1-1 dstnat -ot de a logban csak droppokat forward-internal chain-ben!
Tud valaki ebben segíteni? Egyelőre leakadtam sajnos
-
nyilasmisi
tag
A fő router 172.16.1.100
A mögötte lévő kis mAP az 172.16.1.1Az érdekesség, hogy beraktam ezt a két sort amit mondtál, de nem illeszkedik, mivel továbbra is a legutolsó:
add action=drop chain=forward-internal csomagszámláló számlál be!!
A két dstnat szabály is számolódik a NAT fül alatt, de valamiért mégis dobódik a csomag!
[ Szerkesztve ]
-
nyilasmisi
tag
válasz szegedilaci #1946 üzenetére
Neked nem NAT szabály kell, hanem egy static route az elsőbe, hogy ha a második router subnet-ét keresed akkor az "merre van"!
IP/ routes alatt az elsőbe vegyél fel egy ilyet hogy dst address: 172.17.7.0/24, default gateway: 172.17.47.0/24-ether2
Pingel próbáld ki hogy utána már át fognak menni a csomagok a 2 router alhálójába, és az első nem felfelé a WAN default gateway felé fogja akarni felküldözgetni.
-
nyilasmisi
tag
válasz szegedilaci #1952 üzenetére
Nem lehet hogy azért nem megy a ping, mert a 2 router firewall rule-jában nem engeded be az ICMP-t?
-
nyilasmisi
tag
Van valakinek arra valami5lete, hogy ha van 2 mikrotik egymás után.
Az első pppoE-zik a Digi felé és kap ipv6-os prefixet, majd ennek a LAN-oldalára rá van kötve egy másik Mikrotik, (kettős NAT-olás van), és ennek a második Mikrotik-nek a LAN oldali bridge interfacein hogyan lehet a legelső WAN-ján kapott ipv6-os prefixet továbbosztani?Segítséget előre is köszönöm, ha valakinek van valami használható javaslata.
-
nyilasmisi
tag
válasz bambano #1996 üzenetére
A második megoldás nem járható, mert a 2-ik Mikrotik egy másik irányból is fogad szolgáltatói netet, tehát routolni kell, bridge-elni nem lehet.
Az első megoldást kellene akkor alkalmazni.
Ezt hogy érted, hogy kisebb tartományu netet?
Jelenleg /64-et kap az első.A másodikon, az első felé néző ether-ére kellene DHCPv6 clienst felrakni, majd a local bridge-en pedig egy DHCPv6- szervert futtatni? Jól értelmezem?
-
nyilasmisi
tag
Valaki tényleg bemásolhatna egy jól működő ipv6 config printout-ot!
Az enyém így néz ki de mint mondottam ipv6 DNS-ről a kliensek nem értesülnek:
# may/21/2016 23:04:35 by RouterOS 6.35.1
# software id = 9513-CUPV
#
/ipv6 dhcp-server
add address-pool=V6pool interface=bridge-local lease-time=1w name=ipv6-dhcp
/ipv6 address
add from-pool=V6pool interface=bridge-local
/ipv6 dhcp-client
add add-default-route=yes interface=pppoe-out1-Digi pool-name=V6pool request=\
prefix
/ipv6 firewall filter
add chain=input protocol=icmpv6
/ipv6 firewall mangle
add chain=forward
add chain=input
/ipv6 nd
set [ find default=yes ] advertise-dns=yes interface=bridge-local \
managed-address-configuration=yes -
nyilasmisi
tag
válasz bambano #2054 üzenetére
"az nd-t az összes interfészre engedélyezni kell."
Nekem ez elvileg csak a bridge local-on van, Ezt hogyan engedélyezed a többire is?"a pppoe interfészhez nem kell dhcp kliens default route."
Ez kiszedtem, mostmár nem adja hozzá mint default route"a pppoe konfigjában engedélyezni kell az ipv6-ot is."
Ez engedélyezve van, csont ugyan ugy néz ki nekem is mint a mit te is bekopiztál -
nyilasmisi
tag
Én pont multkor raktam káposztáson a paneldzsumbúj közepén egyet, ráadásul fent a 10.-ken lévő lakásba.
Scan-ben látot vagy 60darab másik AP-t.
Ettöl függetlenül nagyon szépen megcsinálta a kiskaptárt. Digis 100/100-ból 60/60 környékén hozott a szobán belül wifin.
Ne a szélső szobába rakd hanem lehetőleg középre[ Szerkesztve ]
-
nyilasmisi
tag
Melyik az a "legolcsóbb" típus amelyik képes pppoE-n áttolni a Digis 1000-res netet?
-
nyilasmisi
tag
válasz bambano #2359 üzenetére
Nagyon ígéretesnek tűnik a 3011, de azért már eltelt vagy fél év a megjelenés óta, és nem nagyon van előre lépés ezzel.
Jó lenne ha nem csak RM verzió lenne kapható, mert azért mégis csak vicces egy ügyfél íróasztalára rack méretet letenni.
Továbbra is azt mondom hogy kicsit arcpirító dolog hogy a 1043-as TP-Link odaver ennek, jó lenne ha lenne már végre megfizethető verzióban HW-NAT-os Mikrotik alternatíva.
Nekem már több eset is volt hogy vakargattam a fejem ha 200-as (500, vagy 1000) Digis net fölé kellene Mikrotiket tenni akkor mit csinálnék.
Szerencsére csak 200/100-as volt a legnagyobb csomag. Ennél nagyobbra sajnos azt kellene mondani hogy nem Mikrotik?Mi a véleményetek erröl?
UI: Ha van valakinek lehetősége 3011-es Digis netet kihajtani, akkor a mérési eredeményeket a beállítással együtt köz kincsé tehetné. Szerintem sokunkat érdekelné.
-
nyilasmisi
tag
-
nyilasmisi
tag
válasz SimLockS #2373 üzenetére
Hát ez az!
Ezt én is néztem, de ez alapján is ellentmondás van.
A mAP-nak az oldalon wireless chip-nek: QCA9531-et ír, miközben a valóságban 9331 van benne.
Chain-re is azt írja hogy 2, de a valóságban csak 1.A lite egy erősebb cucc lenne mint a sima?
Ja és a lite fele annyiba kerül mint a sima?A lite egyébként égen földön nem kapható jelenleg, ezért is vettem 2x annyiért a simát, eszembe nem jutott hogy ez nem 2x2-es dupla áron!
Arról nem is beszélve hogy a CPU nominal frequency az oldalon 650MHz, a valóságban meg csak 400!
Érti ezt valaki?
[ Szerkesztve ]
-
nyilasmisi
tag
válasz cildren #2378 üzenetére
Hi!
Mintha én írtam volna ezt a hozzászólást. Az egyik ismerőshöz pont ugyan ezeken vacilláltam a hét folyamán.
Én mivel pont volt még 1 db vadi új 2011UiAs-2HPnD a jofogáson (laptopmuszaki.hu) 22900-ért, aminek az új ára 36.500, ezért e mellett döntöttem. (majdnem fél áron volt.)
Ha ki kell adni a ~40k-t akkor szerintem most már az új HW-t talán jobban megéri megvenni. -
nyilasmisi
tag