- Radeon RX 9060 XT: Ezt aztán jól meghúzták
- Atomenergiával dübörögnek tovább az Amazon adatközpontok, SMR-ek is jöhetnek
- Macron betiltatná az EU-ban a közösségi médiát a 15 év alattiaknak
- Az NVIDIA ipari AI-felhőt épít a németeknek, együtt az OpenAI és a Google
- Két új Ryzen közül választhatnak a kézikonzolok
-
PROHARDVER!
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
válasz
Zwodkassy
#13094
üzenetére
Egyébként meg törje fel. Mire megy vele? Kap egy IPv4 címet, ami a belső hálózaton kívüli, és aminek segítségével csak a router-el tud beszélgetni, és azzal is csak erősen korlátozottan. Ahhoz, hogy tovább jusson, tudnia kell a további lépés(eke)t : mondjuk port-knock. Persze tucatnyi más is lehet ez.
-
-
Logban miket javasolt megjeleníteni, hogy ne minden apró részletet jelenítsen meg, de a lényegesebb dolgok látszódjanak benne?
Nálam most ez a beállítás logra.
A log alapján nem nagyon történik semmi rendkívüli, néha TCP-n jön egy-két próbálkozás pár havonta OVPN portra, mert az van nyitva és ennyi.
De nem szeretném nem megfelelő log beállítás miatt hamis biztonságérzetbe ringatni magam.
Nem vagyok különösebb ismerője a ROS-nak, annak idején beállítgattam mindent a tanácsok alapján és probléma nélkül üzemel az itthoni háló lassan egy éve, csak szeretném tudni, hogy valóban minden okés. -
ekkold
Topikgazda
válasz
Reggie0
#13084
üzenetére
Amikor utoljára próbáltam az SSTP-t (mikrotik-mikrotik között), akkor drasztikusan lassúbb volt, mint a PPTP, és az L2TP-nél is lényegesen lassúbb volt. De majd valamikor kipróbálom újból.
A PPTP esetében leginkább az hiányzik, hogy nem lehet a portot tetszés szerint átállítani, pedig az fokozná a biztonságát. Sokkal nehezebb úgy feltörni bármit is, hogy mondjuk a 32673-as porton van, és nem tudni milyen szolgáltatás van mögötte. A napokban kísérleteztem: megpróbáltam más külső portra natolni a PPTP-t, szerver és kliens oldalon is, de egyelőre nem sikerült ilyen módon működésre bírni. -
-
betyarr
veterán
válasz
Zwodkassy
#13079
üzenetére
nem akarok belevau,csak próbálok/próbáltam gondolkodni.amíg a megfelelő portokhoz nem tettem be a tűzfal szabályt,addig nekem is tépték a winbox portját.ergo hiába csak belülről érhető el,attól még automatikusan próbálkozhatnak rajta,max nem sikerül.ha már van hozzá FW rule és küldi a feketelistára,onnan már a logban sem jelenik meg.nekem legalábbis így történt.
de javíts(atok) ki,ha ez nem így van.lehet én gondolkodom rosszul
-
betyarr
veterán
válasz
Ablakos
#13074
üzenetére
ennyire azért nem vagyok jó még ebben,hogy ilyen preroutingba tegyek bármit is
egyelőre örülök,hogy kezdem felfogni (haha!inkább kapiskálni) a skori féle tűzfalszabályokat.Reggie0: próbáltam utána nézni,de sok helyen van "interface" jelölés.nem tudom pontosan mire gondolsz
nagyon az elején vagyok még a témának,de minden nap olvasok valamit róla,hogy egyszer legalább minimálisan átlássam. -
betyarr
veterán
nagyjából átgondoltam a skori féle port-tűzfalszabályokat és be is állítottam.kb egy órája csináltam meg és máris duzzad rendesen a lista.eddig 27 ip cím van a feketelistán.akinek van beállítva ilyen tűzfalszabály,az mit tapasztal?mekkorára tud ez duzzadni még?nagyon terheli a processzort?vagy nem számottevő?
-
bacus
őstag
válasz
Statikus
#13070
üzenetére
Számomra nem derült ki, hogy minek az LTE, kiváltani a vezetékest VAGY backup vonalnak.
Szerintem ezt kell eldönteni első sorban. Ha az LTE lesz a fő neted, akkor a wap ac lte6 mellé kell egy buta 24 portos switch és kész vagy.
Ha viszont az csak backup, akkor felesleges megvenned, mert az LTE részt fogod csak modemként használni és a továbbmenő router lesz az útválasztó. Ebben az esetben a lte6 kit wifijét nem is fogod használni.. (ha nem így teszel, akkor dupla NAT lesz)
Látatlanba mondom, hogy több AP-vel jobban jársz bármelyik "több szobás/helységes" irodába, legalábbis wifi szempontból. A 4011 jó, mellé egy switch jó, ha tényleg kell az LTE akkor wAP R fél árban van (azt is csak modemnek fogod használni).
Az USB stickes megoldások is teljesen jók lehetnek, DE
- nem tudod kültérre rakni
- a stickek nem annyira stablilak (gondolok itt arra, hogy melegszenek, meg azért elég fura ahogy kiáll a stick, az irodai szerver helységben nem is a legjobb a helye)
- könnyű elvinni, sokan nézik trombitánakén 4 évig használtam így egész nyáron egy hap-be dugva stciket, talán 1x sem kellett újraindítani, de kényszermegoldás volt.
-
Reggie0
félisten
válasz
Statikus
#13070
üzenetére
Van amelyiken van USB port, amibe be lehet dugni, de egy integralt megoldassal sokkal egyszerubb dolgod lesz.
Masik kerdes, hogy mekkora VPN savszel kell. Mert ha nem kell a 4x1400MHz proci, akkor ezeket lehet meg:
a) wAP ac LTE6 kit+buta switch,
b) Audience LTE 6 kit+buta switch,
c) Chateau LTE 12 + buta switchAz "a" a legolcsobb, "b"-nel a leggyorsabb a wifi raadasul 2db 5G-s wifi AP van benne, a "c"-nel pedig a mobilnet a leggyorsabb. Mindegyik kb. a 300Mbites vpn-t tudja majd. Amit te neztel ki, annak pedig a VPN-je a leggyorsabb(kb. 600mbit), az gyakorlatilag az "a"+egy extra router.
De eloszor szamold ki, hogy vpn-rol kb. hany juzer lesz, a cegnel mekkora a net savszelessege fel/le iranyban, illetve a klienseknel milyen net van. Pl. upc az 500mbites csomagjahoz, 22mbit uplinket hasznal, tehat aki upc-rol csatlakozik be es ilyen vagy kisebb csomagja van, az max 22mbitet fog forgalmazni. A ceges halo uplinkje meg megoszlik a kliensek fele.
-
Statikus
senior tag
válasz
Reggie0
#13067
üzenetére
Köszi.
A sok hasznos infó alapján ezt gondoltam:
MikroTik Routers and Wireless - Products: RB4011iGS+RM
10 portos erős routerMikroTik Routers and Wireless - Products: wAP ac LTE6 kit
Wifi AP + LTE+ valamilyen nem menedzselhető 8-10 portos butaswitch - Mikrotiknél nem találtam ilyet.
Kérdés: többször elhangzott az USB-s LTE. Hova dugom be? Ezeken a routereken nincs USB.
-
Ablakos
őstag
válasz
Kroni1
#13068
üzenetére
Scriptet írni (levadászni egy jót a netről). A többszörös sikertelen bejelentkező ip címekre hosszú bannolás.
Nekem hiába volt lekapcsolva az L2TP szerver, valaki mint foxi a nadrágszárat csak próbálgatta az 500-as portot.
Ekkold scriptje azóta nyugalmat teremtett a logban. -
Kroni1
veterán
Tegnap este óta ilyeneket látok a log-ban, korábban nem vettem észre hasonlókat:
Ekkold fórumtársunk leírása alapján állítottam be a routert, az IP - Services-nél minden protokoll tiltva van, winbox és www is csak bentről engedélyezett.. Ezen kívül tudok valamit még tenni?
-
Reggie0
félisten
válasz
Statikus
#13062
üzenetére
Wifi AP is kell? Akkor egyszeru: mehet az altalad kinezett switch es egy Cap AC, a switchbe pedig az usb-s lte. Csak annyit kell megtrukkozni, hogy az AP-re kell bizni a VPN-ek kezeleset, mivel annak a procija az RB1100AHx4 teljesitmenyenek felet azert hozza es van hardveres ipsec gyorsitas benne. Esetleg a routingot is rabizhatod az AP-ra, bar azt meg tudja csinalni a switch is, majd oda rendezet ahogy neked kenyelmes
-
-
Ablakos
őstag
válasz
Statikus
#13057
üzenetére
Dehogy mondok ilyet! Nekem is (saját kérésemre) bridge módban működik a Digi eszközöm. A mikrotik kezeli a DIGI utáni belső hálózatomat (tűzfal, címfordítás, capsman) Ezekre a feladatokra nem mendzselhető switch kell. Legalábbis ezt tapasztaltam CRS eszköznél a saját tudatlanságomon.
Gyenge a (1 magos) cpu a fent említett néhány feladatra.Nálam az RB1100 mellé dlink olcsó soho switchek vannak, ahol szükséges. (pl egy asztalnál 3 db irodai pc)
-
Beniii06
addikt
válasz
Statikus
#13062
üzenetére
Mielőtt megveszed a wifis 4011-et, olvass vissza egy kicsit, volt vele több probléma is, igaz korábban, de volt. Én inkább vezetékes 4011-et + cap ac-t javasolnék helyette. A 4011 gyakorlatilag RB1100AHx4, egy kicsit olcsósítva consumer szintre. Nálam vezetékes 4011 + cap ac kombó van és stabil kategória, illetve nem voltak olyan problémák, amiket itt leírtak wifis 4011 esetén.
-
Statikus
senior tag
válasz
Reggie0
#13061
üzenetére
Köszönöm. Én is keresek, böngészek, de nem találtam még tökéletes megoldást.
A 20 kevés lesz, ez egészen biztos.Tehát kellene egy LTE-s router, egy switch és egy wifi 2,4/5 AP, vagy bármi más, ami ezek kombinációja.
Pld. egy ilyen? MikroTik Routers and Wireless - Products: RB4011iGS+5HacQ2HnD-IN
Milyen lenne szerinted ez a router?Mellé valamilyen LTE és egy másik 10 portos switch. Lesznek olyan eszközök, amiket ki lehet rakni egy külső "gyengébb" switchre (pld. nyomtatók, tévék, 8 eszköz).
LTE-t tudnál javasolni ehhez a routerhez?
-
Reggie0
félisten
válasz
Statikus
#13058
üzenetére
Na vegignyalaztam a kinalatot. Ha 20 mbit/s VPN sebesseg elegendo, akkor az altalad linkelt switch a legjobb megoldas. Prociban ugyan azt tudja, mint az RB2011-es router es USB stickel mehet ra az LTE modem. Ha gyorsabb VPN-re van szukseged, akkor viszont legalabb 2 eszkoz kell neked, attol fuggoen, hogy mekkora sebessegre van szukseged(es mennyit vagy hajlando raaldozni).
-
Reggie0
félisten
válasz
Statikus
#13058
üzenetére
Neked kell tudni, hogy meg fog-e felelni. Csak gondoltam leirom, hogy annak mik a negativumai, mielott megveszed el tudjad donteni, hogy jo lesz-e neked, mert a 2 NAS eseten mar sokfele lehetseges igenybevetelt el tudok kepzelni.
Ezen felul a masodlagos mobilnetet az RB1100AHx4 eseten csak kulon eszkozzel tudod megoldani.
Mivel kulon eszkoz kell neked, igy azt is erdemes lehet megfontolni, hogy inkabb egy LTE-s routert veszel es arra kotsz switchet. Igy is ugy is legalabb 2 eszkozod lesz.
-
Statikus
senior tag
válasz
Reggie0
#13056
üzenetére
Van jobb javaslatod? A felsorolt eszközök nem fognak folyamatos, egyidejű hálózati forgalmat generálni, nem dolgozunk több száz gigás fileokkal, nem 8K videókat szerkesztünk. Lesz forgalom, de nem azt kell elképzelni, hogy óránként több gigát küld/fogad minden végpont. Ha csak 2,5giga van procin keresztül, az 2,5 gép gigabit kiszolgálását jelenti. Ritkán lenne ekkora igény.
-
Statikus
senior tag
válasz
Ablakos
#13055
üzenetére
Inkább azt javaslod, hogy a modem is router módban legyen és a Mikrotik is?
Melyik halovány a kettő közül és mi a probléma velük? Kevés a teljesítmény a leírtakhoz?
Amit javasoltál, annak kevés a portja, tehát kell mellé egy switch is. Ha kell switch, akkor én kevés portos routert tennék sok sportos switch mellé.Előre is köszönöm a segítséget.
-
-
-
Statikus
senior tag
Sziasztok,
kis irodába, kb. 15 LAN eszközhöz + WIFI AP-hoz melyiket javasolnátok? Esetleg valami teljesen más megoldást?
https://mikrotik.com/products/compare/CRS125-24G-1S-IN+CRS326-24G-2SplusRM
A 15 LAN eszköz kb. 5-6 asztali PC, 3 TV, 2 NAS, 4 nyomtató lenne.
Wifin pár telefon, ipad, notebook lesz.Net a megboldogult UPC fehér modemjéből jön, bridge módban. Szeretnék egy másodlagos, mobilnetet is belevarázsolni a rendszerbe (még nem tudom milyen eszközzel), ha elmegy a kábelnet, akkor is el tudjuk érni a hálót kívülről.
Alapelvárás, hogy kintről VPN-nel bármikor elérjünk mindent, beállított jogok szerint.Tudtok segíteni?
Köszönöm.
-
Beniii06
addikt
Egy gyors kérdés: újonnan vásároltad? Ha igen és érvényes a 14 napos elállás, akkor egy hap ac2 szerintem jobb választás még AP-nak is, CPU-ban sokkal erősebb, képes gigabit wan elérés "meghajtására", később akár asus helyére is mehetne. Wifi sebességben nem kell csodákat várni, abban nem erős a Mikrotik.
Kezdő leírásnak a topikban többször is linkelt ekkold írása jó alap + mikrotik wiki és yt videók.
Quick set csak addig javasolt, amig be nem tudod magad is állítani és azt is csak az elején mert átírja a meglévő konfigot és összekavar mindent.
-
Üdv!
Teljesen kezdő vagyok a Mikrotik eszközök világában.
Tanulás céljából, szereztem egy ilyet: [kép]
Elsőre a cél az hogy az ASUS routerem után kötve AP-ként üzemeljen vezetékkel és wifin.
A rá csatlakoztatott eszközök ne érjék el a 192.168.1.5 IP címet.
Illetve ha meg lehet oldani akkor a rá kapcsolódott eszközökről készüljön egy log a meglátogatott weboldalakról.Ha tudtok ajánlani hasznos olvasmányt a beállításokkal kapcsolatban, azt köszönöm.
-
mrzed
senior tag
Az utóbbi 2 hétben előjött egy olyan hibaüzenet a lob-ban, hogy inaktív s+rj10 modul túl meleg:
"sfp-sfpplus7 high temperature warning! Please, improve module cooling/placement or use different type of modules for this solution"
A jelzett időpontokban a modulok nem voltak link-ben, a túloldalon lévő gépek ki voltak kapcsolva. Inaktív állapotban csak 50-52 fokosak szoktak lenni, aktívan pedig 65-67. Érdekes, hogy a folyton aktív wan-ra még soha nem jött ilyen riasztás.
Más is tapasztalta már ezt? Lehet hogy a 6.48.1 verzióban baltáztak el valamit ezzel kapcsolatban?! -
Kenderice
senior tag
Sziasztok.
Hairpin nat segítség kéne.
A mikrotik LHG LTE helyi IP címe 192.168.88.1
Mögötte van egy router a 192.168.0.1 címen.
Ezen ül egy gép 192.168.0.18 IP-n.
Hogyan tudom megcsinálni a haipin NAT-ot így?
Másik helyen sikerült de ott a mikrotik router ugyanazon az alhálózaton van, mint a többi gép... -
Reggie0
félisten
válasz
Bobolit
#13044
üzenetére
NAT szaballyal. A megadott ip-knel az 53-as port eseten csak egy accept rule kell, vagy ha masqueradingolsz foszabalykent, akkor egy masquerade kell. Masik lehetoseg, hogy csinalsz egy uj chain-t, amire jumpolsz a dns nat elott, az uj chainben ellenorzod az ip-ket, es ha olyan van, amire nem kell, akkor returnt nyomsz, majd utana dnatolsz a maradekra.
-
Bobolit
aktív tag
Sziasztok!
Ha egy dst-nat szabállyal átirányítok minden belülről induló DNS kérést egy biztonságos DNS szerverre - Norton - akkor meg lehet oldani, hogy ez alól bizonyos IP-k kivételt képezzenek és használhassák a 8.8.8.8-at?
Tűzfal szabállyal valahogy? De ha a NAT előbb fut le... -
betyarr
veterán
no,végre sikerült a vpn kérdést megoldani: [link] ez alapján állítottam be az openvpn-t és működik távoli pc-ről és telefonról (mobilnetről) egyaránt.köszönöm szépen mindenkinek a segítő hozzászólást
más.
szeretném a hozzáértő ph!órumozók segítségét kérni: a miki kid control-ja elég "kezdetleges" és csak tól-ig időpontot tudok beállítani.nekem azonban egy olyan beállítás kellene,amivel időkvótát tudok beállítani.a legjobb az lenne (már ha egyáltalán megoldható),hogy a router mondjuk egy script segítségével figyelné az adott wifin (ssid 1) lévő klienseket és a netre/lanra való felcsatlakozást követően X idő elteltével blokkolná az internetelérést, illetve a hálózaton lévő médiaszerverként üzemelő pc-hez való csatlakozást (a képen ez a 192.168.1.111-es ip-jű pc).itt egy séma,hogy hogyan épül fel az otthoni háló:
szerintetek ez megoldható?ha igen,akkor kérhetek ehhez segítséget?sajnos én hiába túrom a netet,eddig még nem sikerült megfelelő megoldást találnom.
köszi előre is a segítséget! -
#13042
MasterDeeJay
veterán
Valami modernebb USB 4G stick-et tudnátok ajánlani ami jó mikrotikhez (RB3011) és itthon elérhető áron kapható?
Most egy Huawei E3372 van ami tökéletesen megy de át kell raknom egy másik routerbe. Aztán ha van gyorsabb nála azt venném. -
ratkaics
senior tag
Sziasztok!
Azt, hogyan lehet megcsinálni, hogy egy hAPac3-on lévő két portra kötött gépet, csak belső hálózatról(és VPN-ből) lehessen elérni, de az internet felől nem? Illetve azok se tudjanak az internetre kimenni. Mindezt úgy, hogy többi porton lévők tudjanak netezni is.
Köszi előre is!
-
Ablakos
őstag
Van egy bekonfigurált L2TP/IPSEC előre kiosztott kulccsal. Működik.
Próbáltam a biztonságát RSA kulccsal emelni, de nem sikeredik windows 10 alatt.Adott: system/certificate alatt a CA(saját aláírt), 1server és 1client cert.
Van valakinek a kulcsok elhelyezéséről, kezeléséről valamilyen jó leírása?
(A mikrotik manual nem ad valami részletes útmutatást.) -
mgy
senior tag
Urak, tudnátok segíteni?
Itt maradtam egy félig bekonfigol Hex-S-el, úgy-ahogy megy rajta a net, de messze nem vagyok még boldog. Szeretném megtanulni a Router OS-t legalább felhasználói szinten (már ha van ilyen), de most egész egyszerűen nem fér a többi dolgom mellé.
Két fontosabb dolog lóg még, szeretném, ha VPN kapcsolatom már a router kezelné, nem az egyes helyi hálón lógó gépek. Találtam leírást rá, de nem boldogultam vele. Van működő eljárásotok ennek a beállítására?
A másik pedig egy második wifi hálózat összerakása lenne, ennek viszont fogalmam sincs, hogyan kezdjek hozzá. Ideális esetben három weifi hálózatot szeretek itthon látni, egyet a családnak, egyet a vendégeknek, egyet pedig a "dolgoknak". Nyilván a családin lévő gépek látják egymást és a netet, a vendégek csak a netet plusz 2-3 stream eszközt a házban, míg a harmadik, a dolgok nete egyáltalán semmit nem ad a rajta csüngőknek, csak net elérést.
Unify AP-k vannak amúgy a itthon, elsőre úgy érzem, a mikrotiken kell csinálni egy második lant a "dolgoknak" és azt adni a unify-oknak, hogy a megfelelő wifin azt adja, de ez csak elképzelés.
Köszi előre, ha tudtok picit segíteni! -
betyarr
veterán
most,hogy szerte szét szívattam magam az androidos openvpn connect appal,feltettem az openvpn for android appot,amivel már sikerült is csatlakozni a lanomhoz.
de akkor a hivatalos openvpn connect app vajh miért nem működik?azon létrejön a kapcsolat,de a lanomat nem érem el.direkt a hivatalos appot szerettem volna használni erre a célra. -
bacus
őstag
De fordítva is igaz, ha már egyszer engedted, nem tudod tiltani, nem?
A lényeg, hogy ez már az optimalizálás része a tűzfalbeállításnak, amit azért a vége felé csinálunk. Első körben a funkcionalitás fontos, ha jól működik akkor jön az egyszerűsítés, majd a végén lehet optimalizálgatni.(vagy jó erős router kell, akkor meg lehet állni, ha már funkcionálisan megy
)Régebben egyébként írtam a két féle megközelítésről, hogy először tiltasz, aztán a többi mehet, vagy a fordítottjáról aminél elöször engedsz aztán tiltasz.
Ez a tervezés része (meg a szokásé), hogy ki mit tart jobbnak, illetve mire van szükség.
Mind a kettő lehet jó.(egyébként hasonlatos ez a valószínűség számítás, kombinatorika részhez, mikor annak a valószínűségét keresed, hogy egymás után 5x dobsz dobókockával, akkor egyszer sem lesz hatos..., itt is egyszerűbb megmondani annak a valószínűségét, hogy legalább 1x hatost dobsz, majd ezt kivonni 1-ből, hogy megtudd a kérdésre a választ)
-
Reggie0
félisten
-
betyarr
veterán
most próbáltam rendezni a hsz-ed alapján:
/ip firewall filter
add action=accept chain=input in-interface=!pppoe-digi src-address=\
192.168.0.0/24
add action=accept chain=input comment="Established connections" \
connection-state=established
add action=drop chain=input comment="Invalid csomagok eldob" \
connection-state=invalid
add action=drop chain=forward comment="Invalid csomagok eldob" \
connection-state=invalid
add action=accept chain=input dst-port=11194 protocol=tcp
add action=drop chain=input comment="DNS net fel\F5l eldob" dst-port=53 \
protocol=udp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=1d10m chain=input comment="port scanners" protocol=\
tcp psd=21,3s,3,1
add action=drop chain=forward comment="drop blacklist" src-address-list=\
blacklist
add action=drop chain=input comment="drop blacklist" src-address-list=\
blacklistaz elsőben nagyon nem vagyok biztos,de a többi jó helyen van így?
-
betyarr
veterán
köszi!
ekkold: jaja,nem is figyeltem
nagy lázban voltam azzal,hogy nem működik a torrentes port,meg egyebek miatt is.most pl a kid control szivatott.beállítottam egy pause durationt és hiába akartam hogy már ne legyen aktív,nem akart hallgatni a szép szóra és nem is kapott az eszköz netet.végül csak sikerült megoldani,de legalább fél óra volt.nem sokat írnak erről a pause durationról és pause till funkcióról a wikiben.vagy mert szinte felesleges (én legalábbis nem értem a lényegét) vagy mert bugos.lásd a fenti történetet.kid controlra nem lehet vmi király sriptet írni?mondjuk egy olyat,hogy engedélyezve van a net a gyerekeknek reggel 8-tól este 8-ig,de ebből a 12 órából csak 3 órát lóghatnak rajta,de úgy,hogy a számláló csak akkor indul,amikor létrejön a netkapcsolat az eszközükkel.
-
bacus
őstag
Hát ez így ebben a formában NEM igaz.
Amit tudni kell (és számtalanszor elmondtam), hogy az első illeszkedő* szabályig folyik a kiértékelés, azaz NEM MEGY VÉGIG az összes szabályon! (baj is lenne, ha egy tiltás után folytatódna a kiértékelés és később mégis engedélyt kapna, vagy fordítva.) A legkevesebb terhelés érdekében azokat kell előre venni, amibe biztos belefut, és akkor sokkal kevesebb szabály kerül kiértékelésre.
(*illeszkedő - ami megfelel a feltételeknek)
Pl blokkolni akarsz egy IP tartományt. Ha ezt a végére teszed, akkor minden szabályon végig fog menni a tartományba eső IP, fogja a procit, és a legvégén kap egy DROP-t. Ugye beláthatjuk, hogy ez nem túl gazdaságos, no meg a blokkolás sem fog menni, ha előtte valami miatt kap egy ACCEPT-t.
Érdemes előre venni az established és related ill az invalid csomagokat, mert a tűzfalunk sokat gyorsul. (tulajdonképpen a fasttrack is ilyesmi, ami egyszer megkapta a fasttrack jelölést utána nem értékelődik már ki).
Ezek után jöhetnek a mindenkire érvényes tiltó majd az engedő szabályok, pl vpn, stb.
-
betyarr
veterán
miért lehet a torrentes portom zárva?
# feb/20/2021 17:48:18 by RouterOS 6.45.9
# software id = 85EM-JDDR
#
# model = RB4011iGS+
# serial number
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-digi src-address=\
192.168.1.0/24
add action=masquerade chain=srcnat out-interface=pppoe-digi
add action=dst-nat chain=dstnat dst-port=44772 in-interface=pppoe-digi \
protocol=tcp to-addresses=192.168.0.111 to-ports=44772
add action=dst-nat chain=dstnat dst-port=44772 in-interface=pppoe-digi \
protocol=udp to-addresses=192.168.1.111 to-ports=44772
add action=accept chain=srcnat dst-port=5060 protocol=tcp
add action=accept chain=srcnat dst-port=6050 protocol=udp
add action=masquerade chain=srcnat -
betyarr
veterán
válasz
betyarr
#13019
üzenetére
asszem sikerült megoldani: az volt a probléma,hogy a ovpn-hez beállított poolból kiosztott címeknek szerepelniük kell a szerviz/available from-ban,mert ott korlátozva van az említett 192.168.0.0-ra az elérés.
viszont mobilról (mobilneten/másik wifi hálón keresztül) hiába csatlakozik fel sikeresen vpn-en a szerverre (látom is a router logjában),a lan-t nem lehet látni.pedig sem a miki logjában,sem az ovpn logjában nem látok semmi hibát.
-
-
betyarr
veterán
válasz
betyarr
#13014
üzenetére
az ovpn konfig fájlban sztem pont ezért van egy route betéve 192.168.1.0-ra.
illetve nem pont ezért van a route,hanem,hogy ne az ovpn szerver címén akarjon a winbox csatlakozni.de ha átroutol a 192.168.1.0-ra,akkor miért nem érzékeli a miki router,hogy ez benne van az engedélyezett 192.168.0.0 ip-tartományban?
-
ekkold
Topikgazda
válasz
Reggie0
#13013
üzenetére
Úgy ok., csak sajnos a windowsokba épített kliensben sem állítható át a standard port. A szerver oldalt még meg tudnám oldani pl úgy hogy a NAS-on bekapcsolom a PPTP-t, és ezt a mikrotik forwardolná másik portra. De ehhez kapcsolódni (azaz a kliens oldalt beállítani) már nem lenne egyszerű, sem windows/linux, sem mikrotik kliens esetében. Igazából nem is értem miért nem állítható ez a port már alapból is.
-
betyarr
veterán
válasz
Reggie0
#13005
üzenetére
és Horvi: ööö,lehet nem jól értem,de ez lenne a gebasz az esetemben?
Korlátozzuk a router elérését a LAN IP tartományára, kapcsoljuk ki azokat a szolgáltatásokat, amiket egyelõre nem használunk (api, ftp, telnet, ssh, stb...) csak a www és a winbox maradjon. A saját routeremen a www elérés portját lecserétem az eredei 80-as portról a 8000-es portra.
-
betyarr
veterán
válasz
betyarr
#13002
üzenetére
kezdek egy kicsit begőzölni.igaz távoli pc-ről már sikerült be openvpn-ezni az otthoni hálómra (elérem az összes lanon lévő klienst),de a routert meg mégsem érem el.se winboxon,se webfigen.mit rontok el vajon?pedig az openvpn fájlban megcsináltam a 10.8.0.1-ről a routot 192.168.1.0-ra,mégsem sikerül
lehet valami tűzfal szabály miatt van? -
-
Nem vagyok különösebb ismerője a ROS-nak, annak idején beállítgattam mindent a tanácsok alapján és probléma nélkül üzemel az itthoni háló lassan egy éve, csak szeretném tudni, hogy valóban minden okés.
egyelőre örülök,hogy kezdem felfogni (haha!inkább kapiskálni) a skori féle tűzfalszabályokat.
)
lehet valami tűzfal szabály miatt van?
Új hozzászólás Aktív témák
Hirdetés
- HP Elitebook 840 G3 laptop (15,6FHD/I5-G8/8GB/256SSD/Magyar/Win11)
- AMD Ryzen 5 5500 - GTX 1080Ti 11Gb - MSI B450 Max
- HP Zbook 15 G3 laptop (15,6FHD/I7-G6/16GB/256SSD/AMD2GB/MagyarVilágítós/Win11)
- Apple iPhone 13 128GB, Kártyafüggetlen, 1 Év Garanciával
- Apple iPhone 13 Pro 128GB, Kártyafüggetlen, 1 Év Garanciával
- Crucial 240GB SSD eladó
- ÁRGARANCIA!Épített KomPhone i5 10600KF 16/32/64GB RAM RX 6600 8GB GAMER PC termékbeszámítással
- Eladnád a telefonod? KÉSZPÉNZES OKOSTELEFON FELVÁSÁRLÁS azonnali fizetéssel!
- Bomba ár! HP Elitebook 850 G3 - i7-6GEN I 16GB I 256GB SSD I RadeonI 15,6" FHD I Cam I W11 I Gari!
- BESZÁMÍTÁS! ASUS ROG CROSSHAIR VI EXTREME alaplap garanciával hibátlan működéssel
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest