Hirdetés
-
Spyra: nagynyomású, akkus, automata vízipuska
lo Type-C port, egy töltéssel 2200 lövés, több, mint 2 kg-os súly, automata víz felszívás... Start the epic! :)
-
Computex 2024: perifériák az ASUS ROG fémjelzésével
ph A cég 50 gramm alatti, szénszálas burkolattal bíró egeret és decensnek látszó játékos headsetet is villantott a madzagmentes szegmensben.
-
Spanyol botrány: ellophatták a járművezetők adatait
it A spanyol közlekedési hatóság észrevette, hogy valaki adatokat próbált szerezni tőlük – lehet, hogy járművezetők millióinak privát adatait árulják online.
-
PROHARDVER!
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
dombila
senior tag
válasz Zola007 #21998 üzenetére
Egy ilyen kód az éppen aktuális router time-tól visszafelé 5 perccel írja ki a log-ot:
/log print where time>([/system clock get time] - 5m)
Ha az 5m helyére 24h-t írsz, akkor az elmúlt 24 óra log-ját kapod.
Ezt egy file író script-be helyezve és éjfélre időzítve mindig egy napi logot kapsz a file-ban.[ Szerkesztve ]
-
dombila
senior tag
válasz dombila #22003 üzenetére
Végülis meg lehet csinálni, de elég pepecselős munka. A gondot az jelenti, hogy a ROS 7-ben a system clock külön mezőben kezeli a dátumot és az időt:
[admin@MikroTik] > /system clock print
time: 17:59:30
date: 2024-04-25
time-zone-autodetect: yes
time-zone-name: Europe/Budapest
gmt-offset: +02:00
dst-active: yesEzzel szemben a log-ban egyetlen mezőben szerepel együtt a dátum és az idő:
Time: Apr/25/2024 15:35:37A logot lehet szűrni a Time mezőre (where <feltétel>), így ki lehet venni belőle egy adott napi tartalmat, de ha a script meg akarja tudni az aznapi dátumot a system clock.tól, akkor azt yyyy-mm-dd formátumban kapja, míg a logot Mon/DD/Year formátumban lehetne szűrni. Így kell bele egy dátum konverziót írni. Ráadásul a log Time mezőjét bontani is kell, dátumra és időre, az szerintem csak log soronként oldható meg, így kellene egy ciklus, ami soronként megnézi az adott log dátumát/idejét és eldönti, hogy kell-e.
Biztos meg lehet oldani ROS script-tel is, de szerintem egyszerűbb minden nap az egész lot-ot file-ba menteni és külső programmal kiszedni belőle az adott napi (vagy elmúlt 24 óra) adatokat.
[ Szerkesztve ]
-
őstag
-
senior tag
-
Pilok
tag
Sziasztok,
Leirom gyorsan a gondomat:
adott egy rb3011uias ami kb 12 eves es megerett a cserere.
egy 1Gbit/100 Mbit net a bejovo de hamarosan duplazodik.
8 Vlant szolgal ki ez az eszkoz kb 35-40 tuzfal szaballyal.
Mogotte egy USG-Aggregation es USW-Pro-24-POE van Unifi sfp modulokkal.
Nem tudok donteni hogy CCR2004-16G-2S+PC vagy RB5009UG+S+IN.Ti melyiket ajanlanatok?
[ Szerkesztve ]
-
ekkold
Topikgazda
A két eszköz nem egy kategória.
Az RB5009 soho router, a CCR professzionális.
A CCR:
- közel a duplája árban.
- kb. 2x annyi port
- nagyobb teljesítmény
- a paszív hűtésű erősen melegszik (állítólag), csak jól szellőző rackbe, ajánlott.
- a melegedést a nagyobb teljesítmény is alátámasztjaTehát a zongorát és a pianínót akarjuk összehasonlítani.
- Valóban kell a sokkal több port?
- Valóban szükséges az 5009-nél nagyobb teljesítmény?
- Valóban nem számít az árkülönbség?Ha csak a sávszél növekszik, és eddig a 3011 is bírta a strapát, és nem jelent meg újabb követelmény, akkor 4011 vagy 5009 is bőven elegendő.
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
kammler
senior tag
Probléma nélkül megy 2000/1000-es neten az RB5009. Firewall IPV4 34 rules (gyári alap plusz néhány) NAT 17 szabály, megy rajt IPV6 is gyári tűzfal. Zerotier. Letöltés T optikán pppoe-n 1980 Mbit le 54% processzor terhelés, fel 915 Mbit 35% proc terhelés. Fasttrack nélkül. Azzal meg még annyira se eszi a processzort. 7.14.2. Ja és capsman is 3 wifinek. Az mondjuk nincs használva nagyon. Hát ha még telerakták volna 2.5G-ás portokkal is.
[ Szerkesztve ]
-
Pilok
tag
Koszonom,
Amit nem irtam hogy 10G-s halozat is lesz nagyobb napi adatforgalommal (5-600 GB).
Ez befolyasolja valamennyire?Ezt a 3011-el nem tudtam meg tesztelni.
-
ekkold
Topikgazda
Talán elfér itt: Felkerült egy újabb írásom, mikrotik témában [link].
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
Reggie0
félisten
válasz ekkold #22014 üzenetére
Szerintem a cikkben megjelent modszernel egyszerubb, ha olyan tuzfalszabalyokat hozunk reszre, amivel megfelelo sorrendben jelszavat adhatunk meg az ip cimunk felvetelehez. A jelszo pl. lehet ping csomag meret, vagy udp csomag cim+csomag meret, esetleg tobb egymas utan kovetkezo csomag merete. Pl. ha megpingeled a gepet, 1234 bajtos csomaggal akkor felkerul az A listara. Ha egy A listan levo gep kuld egy 3456-os portra egy 789 bajtos udp csomagot, akkor megnyitja a megfelelo portokat.
Ha valaki nagyon meno rendszert akar, akkor ugyanez a modszer egy mikrotik scripttel akar 2fa-hoz hasonlo generalt ugrokodos lehet, azaz az csomagmeretek es portszamok ido alapon egy algoritmusbol kalkulalhatoak, igy mindig masra van szukseg.
[ Szerkesztve ]
-
ekkold
Topikgazda
válasz Reggie0 #22015 üzenetére
Igen, ezt a megoldást is alkalmaztam már. Ezért inkább úgy fogalmaznék, hogy mindkettőnek van előnye és hátránya is.
A pingelős módszer, csomagmérettel variálva, különösen ha több lépcsős elég megbízható, de...
- Pl. a windowsos ping és a linuxos nem ugyanúgy kezeli a csomagméretet amikor paraméterként megadom.
- Ha egy egyszerű felhasználót akarok beengedni, egy sima PC-ről, akkor már nehezebb a dolgom (pl. minimum gyártanom kell neki egy .bat fájlt, ami megfelelő csomagméretekkel pingel)
- Egyszerűen a kényelmi szint más, ha csak beírok egy jelszót egy böngésző ablakban. Illetve ez esetben nem csak a saját IP-met tudom felvenni, hanem bármilyen IP-t, amit a form IPcím mezőjébe beírok.
- Ha a form-ot https-el érem el, akkor sokkal nehezebb a jelszót megszerezni (pl. a kommunikáció lehallgatásával), mint egy pingelés, vagy UDP csomag esetében.A pingelős módszer tagadhatatlan előnye, hogy a routeren kívül gyakorlatilag semmi egyéb nem kell hozzá. Lehet, hogy kiegészítem majd ennek a leírásával is ezt a cikket.
Mióta a mikrotikre lehet dockert is telepíteni, elvileg ezzel is megoldható lenne a webszerver, és akkor a cikkben írt megoldás sem igényel további hardvert.
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
őstag
-
ekkold
Topikgazda
válasz lionhearted #22021 üzenetére
Hogyan csinálnád meg? Raksz be példát? Az API használatához authentikálni kell a routerbe, ha jól tévedek. Az UDP hívással kizárólag az IP felvétele valósul meg, a routerben gyakorlatilag semmihez sem fér hozzá a webszerver.
A pingeléssel "bekopogtatásnak" is megvan ugyanez az előnye.Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
adika4444
addikt
Hali!
Az normális, hogy egy valamilyen Xeon procis Debian-on virtualizált X86-os RouterOS CHR egy WireGuard-on át indított speedtest-től 100%-ra járatja az egyik magot és a sebesség maximum 50 Mbps?
Egy Pentium N3540-es laptopot használtam régen WG szervernek, de megeröltetés nélkül átment rajta 300 Mbps (biztosan többet is bírt volna, csak ez a netem teteje).
üdv, adika4444
-
őstag
válasz ekkold #22022 üzenetére
A hsz. utolsó mondatával arra utaltam, hogy igen, autentikálni azt kell. Jelszót vagy tokent kezelni kell.
De ha nem push irányban gondolkozunk (ha már biztonság, meg DMZ, meg egyéb purdue model), akkor lementheted a felvételre szánt IP-t valahova, amit egy másik script (lehet routerosben is) felolvas, felvesz a listára percenként. Persze ezzel nem feltétlenül lett "egyszerűbb", viszont eltűnik a magic constant port a képletből, amivel amúgy kb bárrmi más is hívhat.[ Szerkesztve ]
Tegnap még működött...
-
ekkold
Topikgazda
válasz lionhearted #22026 üzenetére
...a magic constant port a képletből, amivel amúgy kb bárrmi más is hívhat.
Azért nem tud más hívni a "magic constant port"-ot használva, mert a mikrotik ezt csak a NAS belső IP címéről fogadja el (forráscím), a csomag cél címe pedig a listára felvenni kívánt cím (és persze adott interfészre is lehet szűkíteni a kört.). Ha kintről próbál valaki olyan csomagot küldeni, aminek a cél-címe a saját címe, az a csomag el sem fog jutni a routerig, hiszen annak a csomagnak a számára nem az én mikrotikem lesz a gateway, ez csakis belső hálózatból induló csomagok esetén lesz így, amelyek a router mint gateway-nek szintén a belső címére érkeznek. Persze lehet, hogy hibás a gondolatmenetem, de hol hibás?
Ez szerintem inkább a webszerver felől támadható - ha azt meg tudja hekkelni valaki. Persze ezzel akkor is csak portot tud nyitni, de ezzel még közel sem fér hozzá a routerhez.[ Szerkesztve ]
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
e90lci
senior tag
Sziasztok.
Az normális,hogy egy CRS326-24G-2S+RM os switch 72-fok on üzemel?Sima switchként van használva egy rack szekrényben. -
adika4444
addikt
válasz ekkold #22024 üzenetére
Ez is azt erősíti, hogy valami zűr lesz. Xeon-on nem lehet normális esetben 50 Mbps a teteje... Köszi.
#22025Reggie0
A CLI verzióval csináltam, de itt a konkrét gond inkább az, hogy rommáhajtotta a CHR CPU-ját és ezt nem értem, hogy miért...[ Szerkesztve ]
üdv, adika4444
-
őstag
válasz ekkold #22027 üzenetére
Úgy értem, hogy bármilyen alkalmazás adott hoston, pl ez a port valakinek az eheti random torrent portja.
Van egy felhasználó szintű nevesített auth lépés, majd egy véletlenül is előidézhető lépés. De akár szándékosan, lásd fenti eset.. Ez nem fér össze a fejemben. Persze nem állítom, hogy kritikus hiba lenne, vagy könnyen kihasználható... Habár a te leírásaid sokunknak arany sztenderd.
Ha már itt tartunk, lehetne a php login egyben a mikrotikre is login, akár valamilyen fix átalakítás után. Úgy tárolni se kell.
[ Szerkesztve ]
Tegnap még működött...
-
ekkold
Topikgazda
válasz lionhearted #22033 üzenetére
Így már értem, köszönöm, hogy felhívtad erre a figyelmem!
Ki is egészítettem a leírást a weblapon (remélem nem gond, hogy megemlítettelek).Ja és a login: a weblapon levő PHP csak egy példa. Ezt célszű olyan formában elkészíteni, hogy a jelszót ne tárolja el közvetlenül, hanem valamilyen kódolt formában, és egy külön fájlban. Amúgy szándékosan nem akarok olyan logint készíteni aminek bármi köze lenne a routerhez.
[ Szerkesztve ]
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
azbest
félisten
Találkoztatok már olyannal, hogy a mikorik routeren átmenő natolt netnél nem minden ip cím elérhető az internetről? Például a 8.8.8.8 megy, a 8.8.4.4 nem, de weboldalknál is van, hogy egyik ip címmel megy, a másikkal nem. (nem maga a dns feloldás rossz, ip címek közt válogat)
Hasonló netes panaszoknál elírt subnet maskot emlegettek, de nem látok ilyen problémát. A packet sniffer pingelés próbánál nem is látja sehol azt a csomagot, ami nem működik, amire megy a ping, az megjelenik. A firewall connection listán a jó címnél pingkor SCs, míg a nem működőnél csak C jelzés van és látszik, hogy detailed módban, hogy nem kap választ. A reply address ugyanaz, nem rossz.
Ja és magán a mikrotik eszközön, a tool ping és tracerout simán eléri a problémás címeket, csak a natja mögül nem elérhetőek. Ahogy magáról a netkapcsolatról közvetlenül is elérhetőek a címek és pingelhetőek is.
add action=masquerade chain=srcnat out-interface=wan-bridge src-address=192.168.20.0/24 és add bridge=wan-bridge interface=ether4
A telekom router 192.168.0.x címet oszt előtte. Esetleg megpróbáljuk masquarade helyett src-nat és to-addresses paraméterrel, bár elvileg ugyanazt kéne jelentse.A natnál valami loggolás beállítás kiadhatja, ha valamiért eldobál csomagokat?
RB5009UG+S+
RouterOS 7.14.2
Ez alapján van tippje, hasonló esete valakinek?Esetleg valahol véletlen loop-ba kötött kábel is okozhat ilyet? Egy kábelezés változtatás után kezdtek anomáliák jelentkezni, az után vettük észre az ip címek szelektív elérését. Vagy esetleg sok vlan esetén van ismert bug?
[ Szerkesztve ]
-
őstag
-
addikt
válasz azbest #22036 üzenetére
Nincs adatvesztés portokon? Rossz kábel,akkor hibás csomagokat megleshetnéd.
" észre az ip címek szelektív elérését." Nekem ez elég fura,ott valami gond csak van.
RouterOS 7.14.2-nél nálam nem ment a kifelé 2wan meg VRF. Én maradtam még 6-son. Lehet csak én nem tudtam megoldani,de nekem nem működtek azok a szabályok amik a 2wan-nál kellenének.
Csinálj mentést. Nyomj resetet és nézd meg alap konfiggal van-e gond. 10 perc megcsinálni és úgy jó-e? -
adika4444
addikt
Hali!
Azt mi okozhatja, hogy OSPF-en olyan route-ök is közlekednek, amik le vannak szűrve a routing filter-nél?
Ez a konfig vonatkozó része:
```
/routing ospf instance
add disabled=no in-filter-chain=ospf-in name=ospf-instance-1 originate-default=never out-filter-chain=ospf-out \
redistribute=connected,static
/routing ospf area
add disabled=no instance=ospf-instance-1 name=backbone
/routing filter rule
add chain=ospf-out disabled=no rule="if (dst in 10.0.0.0/8) { accept; }"
add chain=ospf-in disabled=no rule="if (dst in 10.0.0.0/8) { accept; }"
add chain=ospf-out disabled=no rule="reject;"
add chain=ospf-in disabled=no rule="reject;"
/routing ospf interface-template
add area=backbone disabled=no interfaces=\
loopback,vpn-r1,vpn-r2 type=ptp
```A konfig szerint a 10.0.0.0/8-at kéne küldenie és fogadnia, ennek ellenére vígan közlekednek 172.16.0.0/12-ből is subnetek, illetve minden más, ami connected a túloldalt valamelyik interfészen. Ilyen szűrést első körben csak a fő routeren szeretnék, erről másoltam be a konfigot. Nem az lenne ezeknek a lényege, hogy ami reject, azokból a subnet-ekből ne fogadjon semmit? Vagy is a 10.0.0.0/8 kivételével sehonnan semmit...
Azért is gond ez mert több helyen van backup vonal és nyilván így teljesen megkuszálja azt is...Vagy én értem félre nagyon? Hogy kéne szűrni a subnet-eket?
üdv, adika4444
-
lukacr
tag
Sziasztok!
Azt szeretném megtudni, hogy HAP AX3-ason, be lehet-e úgy állítani a CAPSMAN-t, hogy a router saját wifi portjait is az menedzselje?
Ha igen, akkor hogyan?
Nekem, csak az jön össze, hogy "no connection to CAPSMAN" -
azbest
félisten
válasz azbest #22036 üzenetére
köszi a tippeket srácok. A megfejtés még banálisabb lett.
A normál netkapcsolat mellett egy management háló felé is van kapcsolat és dhcp-n át kapott oda címet a routerboard. Ez a metrikákat megkavarta, s a csomagok egy része a telekomos wan port felé ment, másik része a management háló felé. Ez csak akkor tudatosult a kollégában, amikor lehúzott wan porttal volt net a boardon
Ez addig nem is tűnt fel, amíg mind a két hálózat ugyanazt a telekom routert használta nethez, de múltkor megkapta a saját netkapcsolatát a management háló és így most máshol ment ki, mint ahová visszavárta a csomagokat. Az a csoda, hogy egyáltalán valami visszatalált (vagy lehet egyforma súllyal számítottak).
-
addikt
válasz Tamarel #22048 üzenetére
Terepre megy ki az eszköz. Nem is baj ha marad 6-on. Az még stabilabb. De lassan váltani kellene a Wireguard és a VRF miatt. Meg majd minden egyéb extra funkció miatt is lehetne.
Csak a 6-os mangle szabályok már nem jók. Hiába módosítottam a route táblaban az új funkciók miatt,úgy sem lett jó. Kerestem másnak a megoldását,az sem működött. Igaz a legutolsó verzión próbáltam,ami talán beta volt még. De most nem volt időm sokat tesztelgetni és kísérletezni. Így egyelőre eldőlt.Majd valamikor nekifutok újra.
-
Pille99
tag
Sziasztok,
tudja valaki miért csinálja ezt a RB5009, ha a mobilon megszakítom a Wireguard kapcsolatot?
[ Szerkesztve ]
Új hozzászólás Aktív témák
- IBM Lenovo ThinkPad 20V 4.5A 65 és 90W gyári töltő
- HP laptop töltő, eredeti, 65W
- 4GB DDR3 PC3 PC3L 1600MHz 1333MHz RAM memória LAPTOP -ba eladó
- Dell Optiplex 7070 SFF: Az igazi kis erőgép: i7 8700, 32GB RAM, 512GB SSD, 2xDP+HDMI+USB-C, Win11Pro
- Dell Optiplex 7070 SFF:A tökéletes irodai/otthoni PC:i5 8500,16GB RAM,256GB SSD,2xDP+HDMI+USB-C,Win
Állásajánlatok
Cég: Alpha Laptopszerviz Kft.
Város: Pécs
Cég: Ozeki Kft.
Város: Debrecen