- Radeon RX 9060 XT: Ezt aztán jól meghúzták
- Atomenergiával dübörögnek tovább az Amazon adatközpontok, SMR-ek is jöhetnek
- Macron betiltatná az EU-ban a közösségi médiát a 15 év alattiaknak
- Az NVIDIA ipari AI-felhőt épít a németeknek, együtt az OpenAI és a Google
- Két új Ryzen közül választhatnak a kézikonzolok
-
PROHARDVER!
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
ekkold
Topikgazda
válasz
betyarr
#12987
üzenetére
Torrent esetében, a megnyitott portra érkező csomagok eljutnak a torrent kliensig. Ezek után elsősorban a torrent kliens biztonságosságán ill. megbízhatóságán múlik minden.
A logban annyi látszik, hogy a winbox portjára próbáltak csatlakozni, de a router elutasította. A winbox portját nem érdemes kinyitni az internet felé, az erre jövő csatlakozási próbálkozások forráscímét meg feketelistára tenni.
-
bacus
őstag
És mit javasolsz helyette? Mint írtam 2-5 fős cégek, napi 10-20 kimenő levél..
Miben különbözik egy külső szolgáltató smtp szervere (amiért fizetek és persze hitelesítés után küld levelet) és saját szolgáltatója (mail.telekom.hu) között?
Ezek a levelek ráadásnak nem érzékenyek, pl bérszámfejtéshez közlik a szabadságon töltött napokat dolgozónként, ilyesmi. -
betyarr
veterán
megcsináltam az openvpn-t a mikrotikre,de hiába sikerül csatlakozni (mobilnetről) a helyi hálón lévő dolgokat mégsem érem el,pedig a videó végén lévő natot és route-ot is megcsináltam.ezt a videót követtem: [link]
most ránéztem és a routerben a public ip-m más,mint amit élő openvpnen (mobilneten) csatlakozó mobilomon lekérdezek a neten.
lehet hogy natol a digi és ezért nem megy a vpn?vagy ne kérdezzek hülyeséget
-
-
Reggie0
félisten
válasz
betyarr
#12987
üzenetére
Persze, vannak. Meg a mikrotik wikijen is van ra par pelda. Pl. csinalhatsz olyat, hogy egy meghatarozott meretu csomaggal kell pingelni a routert es akkor nyitja ki a portot annak az ip-nek, ahonnan a ping jott. Ezt lehet tetezni azzal, hogy egymas utan meghatarozott sorrendben n darab kulonbozo megadott meretu pinget var, mint egy kombinacios zar.
-
-
#12986
lionhearted
őstag
bacus
#12975
-
ekkold
Topikgazda
válasz
Ablakos
#12981
üzenetére
A közzétett script ahhoz is használható. Nagyjából 90 másodperc után feketelistára kerül a próbálkozó(k) IP címe, ami csak néhány röpke próbálkozásra elegendő (pl. ilyenekre, hogy: admin/admin, root/admin, guest/1234) aztán el is fogyott az idő. Nálam kb. ennyire futja nekik:
Ez 14 próbálkozás többféle IP-ről, utána pedig csend van egy jó darabig. 
Egy ilyen log azt is megmutatja, hogy milyen user-neveket NE használjunk! -
-
ekkold
Topikgazda
-
Ablakos
őstag
Az elmúlt napokban sok log bejegyzés van (több száz) a lenti hibaüzenettel. Az sftp servert lekapcsoltam egy időre, de valami megoldás kellene. Valami támpontot szeretnék kérni hogyan, merre induljak, hogy kibannoljam a próbálkozókat?
feb/17 20:56:41 ipsec,error 176.63.27.21 failed to get valid proposal.
feb/17 20:56:41 ipsec,error 176.63.27.21 failed to pre-process ph1 packet (side: 1, status 1).
feb/17 20:56:41 ipsec,error 176.63.27.21 phase1 negotiation failed. -
bacus
őstag
A vodafone megvette a upc-t, ami annyiban érinti az összes volt upc ügyfelemet, hogy május 31-ével végleg kivezetésre kerül a levelező rendszerük, az SMTP szerver is !
Csak érdeklődnék, hogy ki hogy oldja meg ezt a feladatot? Ezek többségében 2-5 fős kis irodák, saját domain névvel, ahol a beérkező levevelezés, domain kezelés rendben van, küldeni pedig az smtp.upcmail.hu szerveren küldtek.
A gmail szigorított, nekem már nem sikerült úgy beállítani a levél küldést, hogy NE cserélje le a gmail smtp használatakor a levél fejlécét.
(elnézést, tudom, hogy nem ez a legauthentikusabb topik.)
-
betyarr
veterán
válasz
ekkold
#12972
üzenetére
távolról (nem helyi hálóból) menne az ébresztés.
közben rájöttem,hogy van rá egyszerűbb megoldásom.pont ezt a két pc-t csináltam meg egy-egy sonoff kapcsolóval,hogy alexa hangvezérléssel betudja kapcsolni.ennek csak annyi a hátránya,hogy nincs róla feedback (épp nem kapcsolta-e már be valaki.mert ha igen,és én távolról kapcsolnám be,akkor kikapcsol.ez ugye egy pillanatkapcsoló,ami zárja fél másodpercre az alaplapi áramkört).a #12973-as hsz-ben nem jó a link
-
ekkold
Topikgazda
válasz
betyarr
#12967
üzenetére
Írtam rá scriptet, az adott ethernet porton levő összes eszközt ébreszti, így nem kell MAC adresst keresgélnem.
De ha a MAC addresseket ismered, akkor nem probléma mindegyik PC-hez egy külön indító scriptet írni (vagy változtatod a MAC adresseket a PC-ken?). Amúgy a WOL alaphelyzetben nem IP alapon működik, tehát az IP címet nem is kell tudni hozzá. IP címre csak akkor van szükség, ha távolról (pl. interneten keresztül) ébreszted. Akkor viszont a routernek kell tudni forwardolni (ami megintcsak megoldható). -
betyarr
veterán
válasz
Reggie0
#12970
üzenetére
valszeg ez lesz,keresek rá valami scriptet.
vicces amúgy,hogy szénné lehet konfigolni a routert,de egy ilyenre nem gondolnak.igaz a power usereknek ilyen "felesleges" opcióra nincs szükségük
meg legalább egy power led kikapcsolási lehetőség is lehetne,mert fényárban úszik a szoba éjszaka
bár ezt egy kis szigszalaggal meg lehet oldani. -
-
betyarr
veterán
válasz
Reggie0
#12968
üzenetére
kettő mac cím van (a két gépé),de egyet sem biztos,hogy meg tudok jegyezni,mivel nem rendszeresen használom.meg kényelmesebb lenne nem bepötyörészni mindig.legalább az jó lenne,ha egy lenyíló menüből ki lehetne választani,neadjisten lehetne még kommentelni is a mac címet,ami meg is jelenne.
-
betyarr
veterán
tegnap este óta túrom a netet,de eddig még sikertelenül.van otthon két gép,amit időnként wol-al ébresztek távolról szükség esetén.a syno routeremben ez nagyon egyszerű volt,mert egyszer összepárosítottam a mac címeket az ip-kkel és azok szépen meg is jelentek egyenként egy kapcsolóval,amire elég volt rábökni és indult a megfelelő pc.na most ez a mikrotik esetében egy kicsit problémásabb,mert minden egyes esetben először ki kell keresni az adott gép mac címét és összepárosítani az adott interfésszel a routeren és csak ezután lehet küldeni a packetet az ébresztéshez.
ti nem találtatok erre egy sokkal egyszerűbb megoldást?scriptre gondoltam,de ugye az sem könnyítené meg a helyzetet csak akkor,ha rendszeresen ugyan abban az időben kellene ébreszteni a gépe(ke)t és nem csak alkalomszerűen. -
betyarr
veterán
válasz
ekkold
#12965
üzenetére
hát ja.a leírásban ugye még közte van a tcp és udp portok szabályai,viszont egyelőre még nem vagyok benne biztos,hogy nekem milyen portokat kellene felvennem azokba,így azt egyelőre kihagytam.
és mivel az közbe esik a szövegben, én kis naív azt gondoltam,hogy ez az első pár sor már blokkolja a port scannereket. -
betyarr
veterán
válasz
ekkold
#12963
üzenetére
tehát a blacklist mellé még ezeket a szabályokat kell felvenni?jól értem?
ip firewall filter add action=drop chain=input comment="drop blacklist" src-address-list=blacklist
ip firewall filter add action=drop chain=forward comment="drop blacklist" src-address-list=blacklist -
betyarr
veterán
válasz
user12
#12960
üzenetére
a port scanners szabály így hangzik:
/ip firewall filter add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m \
chain=input comment="port scanners" protocol=tcp psd=21,3s,3,1akkor ez így elvileg rendben is van?
bocsi a sok kérdésért,értetlenkedésért,de kezdő vagyok
-
user12
őstag
válasz
Richard
#12955
üzenetére
Nincs
De pl az omada helyett akkor inkább már cAP ac vagy bármilyen más MT access pointot-t vennék. Nemnagyon ismerem a TP link megoldásait, de ha jól tudom ahhoz is fog kelleni valami kontroller
1: Ebben az esetben nem árt részletesebben is érteni a beállításokhoz ha távolról is rá akarsz nézni a kamerákra (bár nem tudom, hogy a hiki milyen megoldást alkalmaz).
2: Teljesítményben az UDM pro messze jobb + ezzel ergo centralizálva tudod kezelni a wifit és a kamera rendszert és az Asus után hamarabb "összebarátkozol" a beállításokkal.
Attól, hogy nagyobb a MP szám, nem biztos, hogy a funkciók, látómező, éjszakai mód, stb is jobb.
A második variációval kapcsolatban kérdezz itt és lesz, aki megosztja a saját tapasztalatát is. (vagy akár javasolnak más alternatívát) -
válasz
user12
#12954
üzenetére
Megmondom őszintén kicsit őrlődök, hogy melyik irányba menjek el.
MikroTik RB4011 + TP-Link Omada + Hikvision kamerarendszer vagy
UDM Pro + Nano HD + Unifi Protect.Az hozzá tartozik, hogy az első variációban még úgy is lényegesen olcsóbban kijön a rendszer, hogy minden kamera 8mp. Kérdés van-e olyan jó mint a második variáció
Amúgy köszönöm!
-
user12
őstag
válasz
Richard
#12953
üzenetére
Azt nem tudom megmondani, hogy az AiProtect hogyan és mitől véd.
Rákerestem, láttam, hogy szép, mutatós grafikus felülete van, de, hogy a felület alatt milyen szabályok futnak azt kellene tudni (és nyilván gyakorlatban ismerni).Én azt mondom, hogy minimum ugyanannyira biztonságos, de inkább jobban.
-
betyarr
veterán
szerintetek milyen vpn-t használjak?nem kell semmi extra,csak hogy elérjem munkahelyi pc-ről/mobilról a helyi hálózaton a routert és még pár dolgot (egy rpi-n futó adguard homeot,unifi controllert és egy pc-n futó torrent kliens ui-ját).tehát fájlokat nem akarok sem mozgatni,sem elérni.inkább openvpn-t állítsak be,vagy maradjak a skori féle vpn-es megoldásnál (pptp/L2TP+ipsec)?melyik a biztonságosabb?
-
-
Sziasztok!
Tervezek venni egy RB4011-et. Egy Asus routert váltana ki.
Egyetlen egy kérdésem lenne, mégpedig a tűzfallal kapcsolatban.Az asusban az AiProtect látszólag szépen teszi a dolgát, a logban sok külső próbálkozást blokkol.
A 4011-ben kapcsolható gyárilag valami tűzfal külön konfigurálás nélkül? Tehát bekapcsolom és hasonlóan, vagy még jobban teszi a dolgát mint az asus. Vagy külön beállítást igényel a legapróbb részletekig?
Köszönöm
-
Kroni1
veterán
válasz
Shkiz0
#12942
üzenetére
Nekem mindegyiken a gyári.
A tasoma-n csak most kezdtem el gondolkodni, mert láttam egy projektet ahol a nem sonoff kompatibilis RF redőny vezérlését sikerült megoldani és tasoma is kellett hozzá. Nekem is 433MHz-es smart home motorjaim vannak, amik nem mennek a 433 Sonoff RF bridge-el.
-
Adamo_sx
aktív tag
válasz
betyarr
#12943
üzenetére
A fent leírt szabályod az input chainre vonatkozik, ebbe az a forgalom kerül, ami a routernek van címezve.
A torrent szervered gondolom, hogy nem a routeren fut, hanem mögötte egy szerver, aminek a webes felülete forwardolva van a routeren kifelé. Azt a szabályt kell megszűntetni, ami forwardolja és máris elérhetetlen lesz kívülről. -
betyarr
veterán
azon gondolkodtam,hogy ha ezzel a skori féle tűzfal szabállyal blokkolható a net felől a dns:
/ip firewall filter add action=drop chain=input dst-port=53 protocol=udp src-address=!192.168.0.0/16
akkor mondjuk a torrentem webes felületét is le tudom tiltani,ha ugyanezt a szabályt használom,csak a megfelelő port számmal és nem csak udp,hanem tcp-vel állítom be
ha működne az elképzelésem,akkor mennyire lenne biztonságos?
mod: bár a webes felületet ddns címmel érem el,úgyhogy lehet nem jó a gondolatmenetem...
-
leviske
veterán
Sziasztok!
Pár hónapja átraktam a hAP ac2 beállításait és csak gyors konfigoltam, hogy menjen a DIGI PPPoE, mert bajok voltak a nettel. Tegnap/ma próbáltam újra beállítani az IPv6-ot, de miután Slug írása az újabb RouterOS verziókat már nem igazán követi le*, így próbáltam frissebb leírások alapján dolgozni. Ez alapján a leírás alapján létrehoztam egy DHCPv6 klienst (IPv6-LLP néven), ezt a PPPoE profilban beállítottam DHCPv6 PD Poolnak, majd mindegyik interfésznek (etherX, wlanX) létrehoztam egy ipv6 címet.
Az eredmény az lett, hogy mindegyik interfésznél ott figyel a "address pool error: Pool IPv6-LLP exhausted - no more addresses left! (14)" hiba.
Valakinek ötlet?*A 6.46+ és a 6.48+ verziók már invalid eredményt adnak a DHCPv6 szerver létrehozásánál az ő javaslatai alapján.
-
#12916
Reggie0
félisten
Marcelldzso
#12914
Reggie0
félisten
válasz
Marcelldzso
#12914
üzenetére
"hogy bizonyos pontokon packet loss-os a wifi"
Azokon a pontokon atment az eszkoz a megfelelo AP-re, vagy valamelyik szomszedos tavolabbin ragadt?
-
Bobolit
aktív tag
Sziasztok!
UPnP kérdés. Beállítottam external interface-nek a pppoe interface-t, internalnak meg két bridge-et. A két bridge szeparált hálózatban van. Ha jól gondolom, amikor sikeres a UPnp, akkor a DST-NAT-ok között látnom kellene a létrejött szabályokat. Na ez nem történik meg, az Xbox meg azt mondja, hogy UPnp not successful. Kéne még valami beállítás?
Találtam valakit, aki hasonló gondokkal küzd, azt javasolták neki, hogy engedélyezze az eszköznek az input láncban a hozzáférést a router-hez. Ez tényleg így lehet? "Are addresses of those devices in "allowed_to_router" list? If not, their attempts to contact UPnP service get dropped." -
#12914
Marcelldzso
tag
Marcelldzso
tag
Sziasztok,
Az ilyesmit, hogyan lehet kivédeni?
Detected conflict by ARP response for 192.168.84.208 from 70:CE:8C:C5:F4:13
A mac cím kereső alapján egy samsung telefon.Illetve még az a jelenségem van, hogy bizonyos pontokon packet loss-os a wifi.
31 cap ac, van capsmanbe szervezve, van ahol irodánként egy van felszerelve.
5GHz-n nem, csak 2,4GHz-en szakad.
Semmi extra nincs beállítva, /20mhz/XX/hungarian.
RB4011 - 6.46.8 -
Reggie0
félisten
Hat igen, viszont az ac3-ra nincs metarouter. De most megneztem hogy all a metarouter usb supportal es meg mindig nem csinaltak meg, szoval felejto, nem lehet megoldani.
Itt mar csak az az egyetlen megoldas, ha a routerOS-t lecsereli openwrt-re.
Viszont az a mips proci nem olyan gyenge, nyilvan nem valo 100 soros ipfilter meg openvpn tunnelek tomkelege, de alap routingra boven eleg. Az RB2011-ben gyengebb a proci es megis teljesen elegendo otthoni celokra.
-
Reggie0
félisten
válasz
cellpeti
#12908
üzenetére
ac3 az olcsositott valtozat, ha belefer inkabb a sima ac-t vedd.
viszont azt nem tudom, hogy print servernek jo lenne barmelyik is.
Szerk: ahogy elnezem legfeljebb a ac-sbol tudsz csinalni print szervert, ha felszenvedsz ra egy linuxos metaroutert, es arra feltelepited a print szervert, de ez haladoknak is igen rogos ut.
-
betyarr
veterán
Akik nemkívánatos portokon próbálnak bejönni (felsoroljuk a TCP majd a kövektekõ szabályban az udp portokat) Ezek a szabályok elég széleskörûek, ezért nem biztos, hogy mindenkinek egy-az-egyben jók, érdemes a portok listáját a saját igényeinkre szabni:
/ip firewall filter add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h \
chain=input dst-port=20-1023,8000,8080,8291 protocol=tcp src-address=!192.168.0.0/16
/ip firewall filter add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h \
chain=input dst-port=20-122,124-499,501-1023,8000,8080,8291 protocol=udp src-address=!192.168.0.0/16
Skori tollából,gondolom már sokan ismeritek.egy kis segítséget kérnék,hogy milyen portokat érdemes ide (még) felvenni?vagy ezek a leggyakrabban használtak és max még hozzá adom amit én nyitok?
holnap jön a router,úgyhogy este majd állok is neki a beállításnak,hogy tudjam tesztelni. -
Reggie0
félisten
válasz
Pille99
#12904
üzenetére
Elvileg a mesh wifinek meg lehet adni, hogy csak egy vezetek fele legyen aktiv linkje, de az TP-link cuccokat nem ismerem.
Masfelol nem kell ezzel foglalkozni, az RSTP prioritasokat allitsd be, hogy a legjobb link legyen elol es onnantol bizd a rendszerre. Nem baj, ha lenyomja a portot, ha masfelol elerheto marad a halo. Direkt erre valo.
-
Pille99
tag
válasz
f8enter
#12902
üzenetére
Arra is van tipped, hogy védjem ki a hurok kialakulását?
Ez az üzenet néhány másodpercenként ismétlődik.
dhcp1 offering lease 192.168.1.89 for 09:55:36:11:41:1A without success
A LOGban megnéztem mi történt mikor elindult.
Előtte ez történt:
2021-02-13T11:54:04.663508+01:00 interface,info ether5 - - - ether5 link down
2021-02-13T11:54:35.662161+01:00 interface,info ether5 - - - ether5 link up (speed 1G, full duplex)
2021-02-13T11:54:35.663251+01:00 interface,info ether5 - - - ether5 detect LANAz ether5 végén egy switch van, melybe kábelen be van dugva 1 Mesh Wi-fi router is Access Point-ként.
Valószínűleg, mikor az ether 5 megszakadt, ez WI-FIn csatlakozott egy másik Mesh Wi-fi routerhez. Mikor a kábeles csatlakozás helyrejött., létrejött egy hurok és a Miki adott magának is egy IP címet dhcp-n keresztül. (192.168.1.89)
A TP-link mesh routeren nem lehet állítani semmit.
MIKI-vel ki tudom ezt védetni? Ha igen, hogy?
Egy ilyen log azt is megmutatja, hogy milyen user-neveket NE használjunk! 
bár ezt egy kis szigszalaggal meg lehet oldani.
van ötletetek?
Ha nem interfészenként osztom ki, hanem csak a bridge-nek, akkor nincs gond a jelek szerint.
Új hozzászólás Aktív témák
Hirdetés
- HP Elitebook 840 G3 laptop (15,6FHD/I5-G8/8GB/256SSD/Magyar/Win11)
- AMD Ryzen 5 5500 - GTX 1080Ti 11Gb - MSI B450 Max
- HP Zbook 15 G3 laptop (15,6FHD/I7-G6/16GB/256SSD/AMD2GB/MagyarVilágítós/Win11)
- Apple iPhone 13 128GB, Kártyafüggetlen, 1 Év Garanciával
- Apple iPhone 13 Pro 128GB, Kártyafüggetlen, 1 Év Garanciával
- Dell USB-C, Thunderbolt 3, TB3, TB4 dokkolók (K20A) WD19TB/ WD19TBS/ WD22TB4, (K16A) TB16/ TB18DC
- Honor 90 Lite 256GB, Kártyafüggetlen, 1 Év Garanciával
- Azonnali készpénzes GAMER / üzleti notebook felvásárlás személyesen / csomagküldéssel korrekt áron
- Samsung Galaxy Xcover 5 64GB, Kártyafüggetlen, 1 Év Garanciával
- Eredeti Lenovo USB-C 65W töltő
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest