- Milyen TV-t vegyek?
- Szünetmentes tápegységek (UPS)
- OLED TV topic
- Milyen asztali (teljes vagy fél-) gépet vegyek?
- Mini-ITX
- Intel Core i5 / i7 / i9 "Alder Lake-Raptor Lake/Refresh" (LGA1700)
- AMD Radeon™ RX 470 / 480 és RX 570 / 580 / 590
- Milyen házat vegyek?
- Milyen asztali médialejátszót?
- TCL LCD és LED TV-k
Hirdetés
-
Spyra: nagynyomású, akkus, automata vízipuska
lo Type-C port, egy töltéssel 2200 lövés, több, mint 2 kg-os súly, automata víz felszívás... Start the epic! :)
-
Computex 2024: MSI Claw 8 AI kézikonzol Lunar Lake-kel
ph A külön utakon járó sárkányos gyártó kézi konzoljának második generációjánál is marad az Intel mellett.
-
Spanyol botrány: ellophatták a járművezetők adatait
it A spanyol közlekedési hatóság észrevette, hogy valaki adatokat próbált szerezni tőlük – lehet, hogy járművezetők millióinak privát adatait árulják online.
-
PROHARDVER!
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Gyurka6
őstag
-
E.Kaufmann
addikt
válasz Watercolour #8000 üzenetére
IPv6 esetén nem szokás NAT-olni csak éppen ahogy a Pista bácsi az antiszemitizmussal: igény volna rá még ha simán a tűzfalazáshoz nem is kell, valamint a Prefix Translationnak nincs is olyan mellékhatása, mint az IPv4 esetén elterjedt NAT-NAPT megoldásnak.
Mondjuk gondolom a SIP-RTP ugyanúgy nem örül ha megbolygatják a prefix-et, mintha az egész címet változtatnák, de pl szolgáltatói támogatás nélkül multi WAN-hoz nem ártana valamilyen NAT megoldás, pláne ha terhelésmegosztást is szeretnénk.
Más kérdés, hogy a ROS 6 nem hogy NAT-olni nem tud IPv6 alatt, de ha jól rémlik a csomagokat se bírja jelölni.Le az elipszilonos jével, éljen a "j" !!!
-
-
adika4444
addikt
válasz Watercolour #8000 üzenetére
Köszi!
"- PPPoE reconnectkor kérjen új prefixet, ezt valószínűleg halál egyszerű megoldani, csak még nem foglalkoztam vele"
Asszem a PPPoE csatlakozásnál lehet szkriptet futtatni...
"- Új prefix kérése esetén valahogyan értesíteni és erőltetni a klienseket (saját gépeim), hogy ők is kérjenek új címet, mert jelenleg ha 7 naponta szakít a Digi, vagy nyomok egy kézi PPPoE reconnectet, a gépek nem tudnak IPv6-on kommunikálni, mert másik prefixet oszt ki a digi... Nyilván nagyon rövid lease time-mal meg lehetne oldani, de ez elég szar megoldásnak hangzik."
Ebben nincs semmi extra. A lease-t be kell állítani 600 secre (10 m azaz 10 perc), nekem a régi routerrel ennyi volt.
"IPv6 esetén nem szokás NAT-olni, éppen az a lényege, hogy tengernyi cím van, minden eszköznek lehet és lesz is publikus IPv6 címe. Azért kapsz a Digitől egy teljes /64 prefixet, hogy bőven jusson minden eszközödnek saját publikus IPv6 cím.
Ezért érdemes figyelni arra, hogy a routereden állíts be értelmes IPv6 tűzfalszabályokat, hiszen közvetlenül az internetről elérhetőek lesznek a gépeid."
IPv6-hoz is kell a fasttrack beállítása az extra sebességért? Egyébként akkor már ugye a tűzfalat is frissíteni kell ha jön új prefix, bár ez talán ha az előző kettő megoldódik, simán össze lehet kötni.(#8003) Watercolour:
Ha jutsz valamire, feltétlen számolj majd be róla, működőképesre kalapálnám én is.[ Szerkesztve ]
üdv, adika4444
-
Watercolour
aktív tag
válasz adika4444 #8004 üzenetére
"Asszem a PPPoE csatlakozásnál lehet szkriptet futtatni..."
Valóban, ezzel a scripttel sikerült is megoldani az új prefix kérést PPPoE csatlakozáskor, persze az interfész és a pool nevét átírtam a sajátomra, illetve a delayt csökkentettem 3-ra."Ebben nincs semmi extra. A lease-t be kell állítani 600 secre (10 m azaz 10 perc), nekem a régi routerrel ennyi volt."
Ez inkább megkerülésnek mint megoldásnak tűnik nekem, bár az előző scriptet beállítva látszólag működik a dolog."IPv6-hoz is kell a fasttrack beállítása az extra sebességért?"
Kellene, de a RouterOS jelenleg nem támogatja az IPv6 fasttracket. Ha komolyabb sebességgel forgalmazok IPv6-on adatot, kicsit meg is ugrik a routerem CPU-ja:"Egyébként akkor már ugye a tűzfalat is frissíteni kell ha jön új prefix, bár ez talán ha az előző kettő megoldódik, simán össze lehet kötni."
Ha van olyan tűzfalszabályod, amibe hardcode-oltál címeket, akkor valószínűleg igen.(#8001) Gyurka6
Köszi a linket, hasznos volt! -
adika4444
addikt
válasz Watercolour #8005 üzenetére
Köszi, ki fogom próbálni!
Felmerült közben egy újabb kérdésem. Ahol van export parancs, ott ugye SSH-n ki tudom íratni a parancsokat, amivel elérhetem az adott állapotot.
Hogy tudom ezt fájlba írni amit aztán lementek?"Ez inkább megkerülésnek mint megoldásnak tűnik nekem, bár az előző scriptet beállítva látszólag működik a dolog."
Mekkora bérleti idővel végül?"Ha van olyan tűzfalszabályod, amibe hardcode-oltál címeket, akkor valószínűleg igen."
Azt szeretném, hogy alapvetően csak a related,established kapcsolatok menjenek át, és csak egy eszközre lehessen kívülről új kapcsolatot nyitni (home server). Ide már esélyesen kelleni fog ez, meg a cím vége, amit kioszt az adott gépnek a router.[ Szerkesztve ]
üdv, adika4444
-
bambano
titán
válasz adika4444 #8007 üzenetére
hol akarod fájlba írni?
ha a mikrotiken, ott több helyen is van a print parancsnak fájlkimenet opciója.
ha azon a gépen, ahol ssh-ztál, ott azon a gépen kell az ssh kimenetét lerakni fájlba. linuxon ez triviális.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
ekkold
Topikgazda
válasz adika4444 #8007 üzenetére
export file=mentesfileneve.rsc
/tool e-mail set address=smtp.smtpszerverneve.hu from=Mikrotik<feladómailcime@domain.hu> password=smtp-password user=smtp-username
/tool e-mail send to=cimzett@digikabel.hu subject="Backup $filename" \
body="Mikrotik backup\r\n" \
file="mentesfileneve.rsc"
Amúgy ITT írtam erről is kicsit bővebben, esetleg olvasd el.Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
ekkold
Topikgazda
válasz Watercolour #8000 üzenetére
".... IPv6 esetén nem szokás NAT-olni, éppen az a lényege, hogy tengernyi cím van, minden eszköznek lehet és lesz is publikus IPv6 címe. Azért kapsz a Digitől egy teljes /64 prefixet, hogy bőven jusson minden eszközödnek saját publikus IPv6 cím.
Ezért érdemes figyelni arra, hogy a routereden állíts be értelmes IPv6 tűzfalszabályokat, hiszen közvetlenül az internetről elérhetőek lesznek a gépeid. ...."
Ezzel kapcsolatban nem értek valamit. Ugye azért kezdtek anno dinamikus IP címeket kiosztani mert kevés az ipv4 cím. Oké, de ha ipv6 címből van bőven, akkor azt mi a fenének kell gyakran cserélgetni?? Ha a LAN minden eszköze kap publikus címet, akkor azért az elég nagy biztonsági kockázat is egyben, tehát jó tűzfal kell. De ha a LAN eszközök címe is állandóan változik akkor valamilyen névhozzárendelés alapján is lehet kezelni a tűzfalban az eszközöket? Vagy olyan tűzfalszabályok kellenek amik mondjuk MAC address alapján dolgoznak? (ilyesmit mintha tudna a mikrotik !?)[ Szerkesztve ]
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
bambano
titán
"Ugye azért kezdtek anno dinamikus IP címeket kiosztani mert kevés az ipv4 cím.": nem. azért lett privát címtartomány meg a nat, mert kevés az ip cím. a dinamikus kiosztás ettől független történet. azért osztják dinamikus protokollon az ip címet, hogy címcsere esetén ne kelljen végigmenni többezer user gépén és átállítani.
a címcsere pedig azért van, hogy ne üzemeltess otthon szervert.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
adika4444
addikt
válasz bambano #8009 üzenetére
Windows-om van, OpenSSH-val. Megnézem, mit tudok tenni, hogy ide írja, de lehet, első körben az eszköz diszkjére rakom.
(#8010) ekkold:
Ezt a remek leírást használtam a router konfigjához - köszi, hogy elkészítetted!
A konfigmentős részt valamiért beállításnál átsiklottam, de ez lesz az! SMB-vel fogom lehúzni, a mail-lal nem akarok jelenleg szórakozni.Mennyire problémás, ha 1 nap uptime alatt 2500-nál jár a write-sect-total?
[ Szerkesztve ]
üdv, adika4444
-
ekkold
Topikgazda
válasz adika4444 #8014 üzenetére
Nálam jelenleg 64nap 2óra az uptime, és 151348 a total write. Ez arányaiban kb. ugyanannyi mint nálad.
A backup amúgy FTP-vel is megy, ha van szervered, akkor pikk-pakk feltölti rá. A mikrotik a saját filesystemében nem biztos hogy szerencsés sokat írogatni. Az újabb tipusoknál /flash mappa megy a "diszkre" a gyökérkönyvtár a RAM-ban van (tehát trölődik ujrainduláskor), ha pendrájvot is bedugsz, akkor az a /disk1 mappában lesz elérhető (legalábbis az én routeremen így van). Ha helyi mentést akarsz csinálni, akkor célszerű valamilyen háttértárat kötni az USB-re, és arra írogatni.Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
Kindar
tag
Sziasztok,
Segítsetek kérlek, küzdök mint disznó a jégen már 3 napja.
Digi net (pppoe, nincs NAT-olva az IP-m ) - mikrotik router - TS3 szerver PC-n.
NAT beállítás a routerben:
ugyanezzel a beállítással csak értelem szerűen más portokkal és más belső IP-vel a transmission megy, külső hálózatról elérem. Az eszközök fix IP-n vannak LAN-on.
Az internet szerintem összes fellelhető variációját kipróbáltam már erre a problémára, de csak nem akar összejönni. Belső hálózaton lehet csatlakozni a TS szerverre.
Eddig a DIGI eszköze is router módban ment, de amióta átállíttattam AP-ra, azóta szenvedek, hogy újra beüzemeljem a TS szervert.
Elvesztem, nincs több ötletem, hogy hol lehet a hiba. -
adika4444
addikt
válasz adika4444 #8018 üzenetére
Nem tudom már szerkeszteni az előzőt
A két felső sor cseréje - elvileg - megoldotta, de most már nem csinálok újabb PPPoE reconnectet, a szkript futtatása látszólag remekül megy. Élesben majd holnap rápróbálok.szerk: Megadtam 0d 00:10:00-t a lease time-nek a DHCPv6 szervernél, de nem izgul rá, továbbra is magas a lejárati idő a Linuxos gépen.
[ Szerkesztve ]
üdv, adika4444
-
ekkold
Topikgazda
-
Kindar
tag
Amit a videó második felében csinál, akkor gyakorlatilag felesleges? Nekem ugye az volt a gondom, hogy TS szerverre nem tudtam csatlakozni külső címmel, azt ez oldotta meg. Próbáltam minden lépés után, hogy jó e már, de csak onnantól működött, hogy mindent megcsináltam ami a videóban is van
-
ekkold
Topikgazda
Nekem egy NAS van a hálózatomon, ahhoz elég ennyi, hogy a belső hálóból, a külső IP-n elérjem.
Viszont, ez csak akkor megy, ha kintről amúgy egyébként elérhető az eszköz. Továbbá ha az eszközhöz való portfordítás (dst-nat) nincs leszűkítve a WAN portra, vagy ha a belső IP-re is van felvéve dst-nat.
Persze más lehetőség is van ami hasonló eredményt ad, pl. IP listát kell felvenni, és a listán levő címekre alkalmazni a dst-nat -ot, de ez az adott helyi hálózat felépítésétől is függ.
[ Szerkesztve ]
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
ekkold
Topikgazda
Tehát a NAS elérése kintről:
/ip firewall nat
add action=dst-nat chain=dstnat comment="NAS DSM HTTPS kiford\EDt\E1sa" dst-address-list=wan dst-port=5000-5001 protocol=tcp to-addresses=192.168.9.120 to-ports=5000-5001A dst-addres-list esetében pedig a WAN oldalí címem benne van egy IP listában, valahogy így:
/ip firewall address-list
add address=9xxxxxxxxx2.sn.mynetname.net list=wan
Persze ehez be kell kapcoslni az ip cloud-ot.Ez kiegészítve a korábbival elérhetővé teszi kintről és bentről is a szervert.
[ Szerkesztve ]
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
ekkold
Topikgazda
Na ez így sok lehet részekre szabdalva, foglaljuk össze:
# Mikrotik dyndns bekapcsolása
/ip cloud
set ddns-enabled=yes update-time=no
# wan oldali IP cím felrakása egy listára
# a dyndns név kimásolható az /ip cloud menüből
/ip firewall address-list
add address=gyariszam.sn.mynetname.net list=wan
# a szükséges portok kifordítása a külső ip címre
# itt nyilván több sor is lehet, a szükséges portoktól függően
/ip firewall nat
add action=dst-nat chain=dstnat comment="NAS DSM HTTPS kifordit" dst-address-list=wan dst-port=5000-5001 protocol=tcp to-addresses=192.168.9.120 to-ports=5000-5001
#ez csak ahoz kell hogy bentről is elérhetők legyenek a kifordított portok, a külső IP-re hivatkozva
/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.0.0/16 src-address=192.168.9.0/24Így átlátható, ill. megérthető, hogy mi és miért van?
Annyi még furcsa lehet (de attól még működik) hogy az utolsó sor két LAN cím között NAT-ol, pedig egy külső IP-re hivatkozunk, de a mikrotik "észreveszi" hogy az a külső cím is a saját címe, és ezért működni fog a NAT-olás.[ Szerkesztve ]
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
adika4444
addikt
Olyat lehet DDNS nélkül, hogy mint egy sima ASUS, TP esetében elérjem a belül lévő eszközöket külső IP alapján? Tehát ne kelljen minden forward szabállyal eljátszani a kifordítást. Most tűnt fel, hogy külső címmel nekem sem megy a belső cuccok elérése, Telenor mobilneten minden jó. Az IPv6 miatt eddig fel sem tűnt, csak most, hogy IPv4 alapján próbálkozok
szerk: Ez a MikroTik féle DDNS mennyire jó a gyakorlatban? Hallottam olyasmit, hogy megbízhatatlan picit...
[ Szerkesztve ]
üdv, adika4444
-
ekkold
Topikgazda
válasz adika4444 #8032 üzenetére
Rossz a kérdés, mert a gyakorlatban "forward szabály" = "kifordítás", egyetlen kivétel ha a mikrotik belső LAN címére forwardolsz, de akkor meg működni fog minden egyéb nélkül... tehát a korábbi forward szabály maga a kifordítás, csak nem a wan porthoz van rendelve a bejövő port, hanem a wan IP címhez. A forwardolás meg mindenképpen kell ha egy eszközt kívülről el akarsz érni - itt csak az a különbség, hogy nem mindegy hogyan..
A saját eddigi tapasztalatom szerint "a MikroTik féle DDNS" megbízhatóan működik.
Amúgy megoldható ddns nélkül is, (sokféle működőképes megoldás létezik) csak éppen így a legegyszerűbb szerintem.
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
jerry311
nagyúr
Láma kérdés, de mi köze a címfordításnak a DDNS-hez?
-
Kindar
tag
Nálam van egy NAS, amin megy a Transmission és DLNA szerver. A transmissiont elértem külső és belső címről is. Amit nem bírtam felfogni, hogy miért nem érem el a gépre telepített Teamspeak szervert a gépről külső címmel. Belső címet megadva ment. Mondjuk azt nem próbáltam, hogy amikor a géppel próbáltam elérni külső címmel a gépen lévő szervert és nem működött, akkor ha külső hálózatról próbáltam volna ment volna e.
Egyébként tuti ennyi volt csak a baja, hogy ez a szabály kellett bele, ugyanis ahogy írtam addig tökéletesen működött ameddig a szolgáltató eszköze is routolt a mikrotik felett, de ahogy az át lett állítva AP módba onnantól halt meg minden. -
ekkold
Topikgazda
válasz jerry311 #8035 üzenetére
Alaphelyzetben ha olyan NAT szabályt (vagy akár tűzfal szabályt) akarsz létrehozni amiben a WAN oldali IP cím is szerepel, akkor azt az IP címet bele kellene írni a szabályba. Csakhogy ez az IP időnként változik, én viszont valamiért nem szeretném minden IP változáskor átírogatni a NAT szabályt . Erre persze könnyedén lehetne írni mondjuk egy scriptet ami megteszi helyettem.
De... itt jön a képbe a dyndns, és az IP cím listák. IP listára fel lehet tenni domain neveket is, és a hozzájuk tartozó IP automatikusan frissül a listában. Tehát ha létrehozok egy wan elnevezésű IP listát, a router dyndns nevével, akkor az mindig az aktuális wan oldali IP-t fogja tartalmazni. IP listára pedig bármely NAT vagy tűzfal szabály tud hivatkozni, bármilyen script megírása nélkül is. Viszont ahhoz, hogy ez így működjön kell a dyndns, amit amúgy is használok másra, tehát adja magát a dolog.
Mint írtam van többféle más megoldás is, de ez így elég egyszerű, és jól is működik.[ Szerkesztve ]
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
Crowley
csendes tag
Sziasztok!
Adott két hálózat más IP tartománnyal és saját internettel 1-1 mikrotik eszközön
Az egyik hálózaton van egy nyomatót és meg szeretném oldani, hogy erre a másik hálózatból is lehessen nyomtatni. Mindkettőn van szabad interface, gondoltam ezen összekötöm őket.
Ebben kérnék segítséget.
Köszönöm!Crowley
-
bambano
titán
válasz Crowley #8041 üzenetére
Mindkettőn van szabad interface, gondoltam ezen összekötöm őket.Ebben kérnék segítséget.": egy ethernet kábel egyik végét az egyik mikrotiken levő szabad portba dugd, a másik végét meg a másik mikrotiken levő szabad portba.
voila!
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
ekkold
Topikgazda
válasz Crowley #8041 üzenetére
Nagy vonalakban: mindkét szabad portnak amiket összekötsz, adsz egy-egy IP címet, (ami egyik LAN tartományában sincs benne), pl. 10.10.10.1/24 és 10.10.1.2/24. A routerekbe felveszel egy-egy routing szabályt ami a másik router LAN tartományának eléréséhez az ETH túlvégén levő IP rendeli gatewayként. Ekkor a két IP hálózat átjárható lesz, azaz látni fogják egymást a két hálózatban levő eszközök. Ezután megfelelő tűzfal szabályokkal beállítod, hogy ki és mihez férhet hozzá...
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
ekkold
Topikgazda
válasz Crowley #8044 üzenetére
Ha az egyik végét az egyik mikrotikbe dugod, akkor kizárásos alapon a másik vége marad szabadon, amit történetesen csak a másik mikrotikbe dughatsz be. De ha az egyik végét nem az egyik, hanem a másik routerbe dugod, akkor semmi sem garantált
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
vargalex
félisten
Csak egy kérdés: ebben az esetben a használt hostname feloldása nem az address list-hez adáskor történik meg? Azaz valóban dinamikus WAN IP cím esetén (nem DHCP WAN kapcsolat) nem fog frissülni, ahhoz szerintem egy script is kellene, ami frissiti a hozzá tartozó IP-t.
Alex
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Alpha Laptopszerviz Kft.
Város: Pécs
Cég: Ozeki Kft.
Város: Debrecen