-
PROHARDVER!
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
bacus
őstag
válasz
human374
#597
üzenetére
Flags: X - disabled, D - dynamic
# LIST ADDRESS TIMEOUT
0 D ssh_blacklist 43.229.52.157 1w4d19h11m3s
1 D ssh_blacklist 43.229.52.156 1w4d19h34m52s
2 D ssh_blacklist 43.229.52.177 1w4d20h10m53s
....
71 D ssh_blacklist 27.251.106.253 1w6d20h46m10s
72 D ssh_blacklist 101.251.64.250 1w6d22h11m47s
73 D ssh_blacklist 43.229.52.158 1w6d23h8m37snálam most épp 73 bejegyzés van, de csak azért ennyi, mert egész tartományokat kidobok már az elején..
Ezekből a tartományokból egyáltalán nem kezdeményezhet senki semmilyen kapcsolatot.
Egy pár tartomány. Innen e-mail sem jöhet, ezért innen nem érdemes céges levélre bármit is várnom. A gmail-re persze tudnak irni...6 ;;; Clarkston, Washington, United States, mail szerverre probalt betorni
blocked 209.119.222.38
7 ;;; Near: Tarapoto, San Martin, Peru
blocked 190.239.0.0/16
8 ;;; Near: Lanus, Buenos Aires, Argentina
blocked 190.51.0.0/16
9 ;;; Spain
blocked 90.170.0.0/16
10 ;;; Near: Valcea, Valcea, Romania
blocked 109.96.0.0/16 -
bacus
őstag
válasz
human374
#597
üzenetére
Ott vannak a time outok!
Az ssh, mivel secure, ezért a router nem látja a kliensnek adott választ, nem tudja, hogy egy bejelentkezés sikeres volt avagy sikertelen.
Tehát a következő képpen működik.
Új kapcsolat bekerül a stage1 -be, ha ugyanonnan nem kezdeményeződik új kapcsolat, akkor lekerül a listáról
Előtte van egy vizsgálat, hogy új kapcsolat és már valaki a stage1 ben van, akkor ez egy percen belül már a második próbálkozás, roppant gyanus, ezért bekerül a stage2 -be.
Ez előtt is van vizsgálat, hogy új a kapcsolat és már a stage2 ben van, stb.
Ha valaki új kapcsolatot kezdeményez, de már stage3, akkor bekerül az ssh blacklistre 10 napra.
Sorrend fontos, hogy forditott legyen. (legalábbis a drop szabály legyen az első)Tehát összesen 3x lehet próbálkozni úgy, hogy nem várod ki az 1 percet! Minden rontott próbálkozás után 1 perc várakozással, (de legalább minden 2. próbálkozás után várnod kell 1 percet) a végtelenségig próbálkozhatsz. Ha viszont ezt nem igy csinálod, akkor 10 napig várnod kell a következő lehetőségre.
Hatásos, én is használom, ha van ssh szerver mikrotik mögött. Már sokszor kizártam magam
, de nincs baj, mert csinálhatsz egyéb szabályt, amivel tudod törölni magad a listáról, pl. egy sikeres openvpn bejelentkezés után törli az ip cimet a black listáról. -
human374
tag
Sziasztok!
Ez alapján a doksi alapján felhúztam pár tűzfal szabályt, mert több kínai IP-ről folyamatosan próbálkoztak SSH-n bejelentkezni.
Viszont az nem teljesen világos, hogy hogy is működik ez a megoldás. Nem arra tud reagálni a szabály, hogy "ha sikertelen SSH bejelentkezés történt akkor tedd a source IP-t az ssh_stage1 address list-be", hanem ha új kapcsolat épül ki a 22-es porton akkor már be is kerül a source IP a listába.De ha egy ssh loginnál elrontom mondjuk a jelszót akkor nem fog új kapcsolat nyílni, nem? Csak simán újra próbálkozhatok. És hogy hányszor az OS függő?
-
KTTech
veterán
A listában én a fastpath-ot láttam csak, nem a fasttracket... mellesleg szólva, ugyanúgy néz ki az enyém (a beállításokban), mint a tied (igaz ez egy 850Gx2), mégis 100Mbit/s-el többet mérek letöltési irányban (fel +50Mbit/s), mint a 6.28-al
(azonos beállítások mellett eddig max. 250Mbit/s/98Mbit/s volt, most 340/188Mbit/s körül megy, bár a Speedtest nem győzi...)Fasttrackes mérés:
-
Multibit
nagyúr
Nem tudom (egy ideje nem követem a típusválaszték alakulását). Kb. egy éve vettem egy játékroutert, azóta a Mikrotik a szekrényben pihen. Úgy látom itt is előjött a hw NAT-ról való diskurzus. Persze megértem, ha valaki nem akar váltani. Kérdés, mennyire szükséges a "száguldás"?
-
#96292352
törölt tag
Hát igen.. az tuti hogy valamit csinál ez a fasttrack, mert a digi 100/100as net már nem 100%ban terheli a 2011 cpu-ját, hanem csak 90%-ban. Azért sem kevesebb a cpu, mert nálam nem egy alap config van. layer7 meg ilyeneket is csinál. úgyhogy ez egy jó eredmény mindenképpen. Köszönöm a felvilágosítást, hogy létezik ilyen!
-
bacus
őstag
A kolléga feljebb ezt irta:
Nem bonyolult beállítani.
ip/firewall/filter rules
Hozzá kell adni ezt:
chain: forward
connection state: established, related
action: fasttrack connectionip/settings
Allow fast pathNem tudom, hogy ez csak elirás, de lehet ezt is engedni kell, különben almás a dolog?
-
bacus
őstag
válasz
#96292352
#574
üzenetére
pedig jó helyen vagy, azzal is meg lehet oldani.
A másik megoldás, hogy a dynamikus ip mögött frissitgetsz egy dyndns nevet, a fix ip meg ha ez megváltozik, akkor átirja a white listet. Én ezt alkalmazom, mert otthon nincs fix ip cimem, és az ügyfeleim routerébe szeretnék közvetlenül is bemenni, stb.
-
#96292352
törölt tag
Jah lenne még egy, amit még nem tudtam megcsinálni:
Mondom a teljes történetet, hogy érthető legyen:
adott 2 hálózat, több alhálózattal, a 2 hálózatot úgy értem, hogy 1-1 külön internet elérése van, és a kettő között van 50 km.
Az egyik hálózatnak fix a külső ip-je, a másiknak nem. A fix ip-s hálózatba pptp-n keresztül lehet belépni, miután hozzá adattuk az ip-nk egy whitelist-hez. Ez úgy lehetséges hogy a fix ip-nek egyik portját meg kell nyitni egy böngészőben. Ha ez megvan, akkor benne vagyok whitelist-ben és onnantól kezdve tud a pptp csatlakozni.
A dinamic ip-s hálózatnál van egy dynamic dns szolgáltatás beállítva egy arra megfelelő script-el.
Ami fennakadás még, hogy nem tudok rájönni, hogy hogy tudnám ezt a whitelist-es dolgot megoldani egy script-el, hogyha megváltozik az ip, akkor a pptp is fel tudjon csatlakozni mindenféle beavatkozás nélkül.
És ez lenne a kérdés, hogy ezt hogy tudnám megoldani.
Gondolom a /tool fetch parancs lenne a legmegfelelőbb, de ezzel nem sikerült.
Minden ötlet érdekel.
-
#572
#96292352
törölt tag
HwAdokVeszek
#552
#96292352
törölt tag
válasz
HwAdokVeszek
#552
üzenetére
Nah erre én is kiváncsi leszek.
Egyébként nekem is 2011UiAS-2HnD van. -
HaZse
őstag
Rég jártam errefelé.
Minden flottúl működik, de lenne 2 kérdésem.
1.: A jelenlegi konfigomat át tudom-e tölteni egy másik routerboardba? (Gondolom, hogy igen)
2.: Az miért van, hogy eddig láttam MAC address alapján winbox alatt a routerboardot, de mostanában csak IP cím alapján tudok belépni winbox alatt?
-
gerokrisz
tag
válasz
HwAdokVeszek
#557
üzenetére
Szia!
CRS125-24G-1S-RM -hez honnan tudom letölteni a legfrissebb bétát? Mert nem nagyon találok hozzá elérést. (asszem ugyan az kell hozzá mint a 2011 rb-hez.) Előre is köszi! -
#556
Zwodkassy
senior tag
HwAdokVeszek
#555
válasz
HwAdokVeszek
#555
üzenetére
Bitte-danke!
Amint időm engedi, én is kiprószálom! -
#555
HwAdokVeszek
aktív tag
Zwodkassy
#554
HwAdokVeszek
aktív tag
válasz
Zwodkassy
#554
üzenetére
Egész hétvégén nekem működött, eddig semmi probléma nem volt.
Nem bonyolult beállítani.
ip/firewall/filter rules
Hozzá kell adni ezt:
chain: forward
connection state: established, related
action: fasttrack connectionKét másikat le kell tiltani aminek nekem ez volt a tartalma:
chain: forward
connection state: established
action: acceptchain: forward
connection state: related
action: acceptip/settings
Allow fast path -
#554
Zwodkassy
senior tag
HwAdokVeszek
#553
válasz
HwAdokVeszek
#553
üzenetére
Az nem rossz! És bonyolult a beállítása? A MikroTik forumon olvasok róla hideget és meleget is egyaránt.
-
#553
HwAdokVeszek
aktív tag
HwAdokVeszek
#552
HwAdokVeszek
aktív tag
válasz
HwAdokVeszek
#552
üzenetére
Közben kipróbáltam, és tényleg sokat számít.
RB2011UiAS-2HnDUPC 240Mbps
Eddig 220Mbps körül már 100%volt a cpu terhelés.
Most 247Mbps-t mértem és 30-33% körül volt a cpu használat. -
#552
HwAdokVeszek
aktív tag
HwAdokVeszek
aktív tag
Sziasztok.
Próbáltátok már a FastTrack-et?
[link]Ha jól olvastam akkor a natoláson segít.
Az új beta firmwerbe már támogatott.Ha otthon leszek kipróbálom.
-
-
Sziasztok,
tegnap állítottam hadrendbe egy RB951G routert. Minden flottul működik kivéve a thome iptv-t.
T-home net egy Cisco EPC3825 modem/routeren keresztül jön. Ha ebbe dugom direktbe az iptv-t minden jön rendesen. Ha a Mikrobiba, akkor csak a csatorna neveket látom, elektronikus műsorújságot, de magát képanyagot nem. Tudja esetleg valaki, hogy milyen szabályt kellene állítanom a mikrobiban?Ezt még régen találtam valahol, egy fórumon:
Configuration of IPTV
IPTV uses IGMP to subscribe to your provider's TV broadcast. To make this work, we need an IGMP proxy which can forward multicast traffic to your IPTV, and configure firewall to allow such traffic. In this tutorial, I will follow my router's settings, so at some places it is up to you to change the settings described here to your needs. My goal was to make this work with the set top box provided by my ISP, so if you want to watch stream on your computer (with VLC for example) this might or might not work for you. This tutorial will not tell you how to configure anything else in the router, I assume you have a minimal knowledge in RouterOS, and the ability to search online for solutions if needed.
Settings of Mikrotik:
Model - RB2011UiAS-RM (should work with any model capable of running RouterOS)
RouterOS version - 6.18
Ether1 - gateway to internet, gets public IP from ISP via DHCP
Ether2 - your local network, also the place where your IPTV is (set top box or VLC or whatever)First, check if your router has the multicast package installed. You can do this by navigating to Routing in RouterOS menu (either via Webfig or winbox). If you have it already, you should see a submenu called "IGMP Proxy". If you don't have it, you need to download it from mikrotik's website and install it on your router. Be sure to get the correct one for your platform and RouterOS version. The easiest way to install a package is to login to your router with winbox, and drag&drop the package file to the "Files" root folder. After rebooting the router, the package installs automatically.
Click on IGMP Proxy. Then click the "Add New" button:
-Enabled: yes
-Interface: Ether1 (the gateway to internet)
-Treshold: 1
-Alternative subnets: 0.0.0.0/0
-Upstream: yesClick apply, then OK.
Click "Add New" again.
-Enabled: yes
-Interface: Ether2 (your LAN with the IPTV)
-Treshold: 1
-No alternative subnets
-Upstream: noClick apply, then OK.
Click "Settings".
-Quick Leave: yes
-leave everything else as isClick apply, then OK.
Proxy configuration is done. Now we need to check firewall rules to allow IPTV's traffic. I assume you have default firewall configuration, same as on my router (you can see the default firewall config here: http://wiki.mikrotik.com/wiki/Manual
e ... igurations, Firewall, NAT and MAC server section). We are going to extend this.Navigate to IP->Firewall menu. Add new filter rule.
-Chain: input
-Protocol: udp
-action: acceptApply and OK.
Add new filter rule.
-Chain: forward
-Protocol: udp
-action: acceptApply and OK.
Add new filter rule.
-Chain: input
-Protocol: igmp
-action: acceptApply and OK.
This is it. If everything else in your network is configured properly, your IPTV should work now. Any questions, just ask, I try to answer them.
-
-
esox
senior tag
Sziasztok,
tegnap állítottam hadrendbe egy RB951G routert. Minden flottul működik kivéve a thome iptv-t.
T-home net egy Cisco EPC3825 modem/routeren keresztül jön. Ha ebbe dugom direktbe az iptv-t minden jön rendesen. Ha a Mikrobiba, akkor csak a csatorna neveket látom, elektronikus műsorújságot, de magát képanyagot nem. Tudja esetleg valaki, hogy milyen szabályt kellene állítanom a mikrobiban? -
lajos75
senior tag
-
sanzi89
addikt
-
KTTech
veterán
Van rá leírás (hivatalos), ezek alapján elég egyszerű megcsinálni... azt meg azért senki ne várja el, hogy helyette elvégzik a munkáját.
Itt most kb. annyi jött, hogy nem megy, oldja meg valaki, de semmi konkrétum, még annyi se, hogy felváltva működik-e rendesen a szolgáltatás... Hát, szerintem ez így nem ok...
(kb. annyi a megoldás, hogy mindkét interface-t up-ra kell hozni, majd distance-nak az egyik 1, a másik 0 (a nulla az elsődleges kapcsolat), majd 2-3 IP-t figyeltetni vele. Gyárilag tudja a RoS, még script se kell hozzá...
-
DJ.Gróf
aktív tag
Sziasztok!
Van egy megoldandó feladatom a mikortik routerünkel. Már nagyon régóta küzdök vele, de sajnos nem sok sikerrel.
Internet redundanciát kellene biztosítanom a cégünkben.
Van egy UPC internetünk és egy Telenor 3G modemünk.
A UPC-nél nem változik az ip. A telenor 3g dinamikus.
Próbálkoztam már scriptel, route beállítással, de nem jártam sikerrel
Tudna esetleg valaki segíteni a dologban? Nagyon hálás lennék!
-
KTTech
veterán
Az SNMP egyidős a TCP/IP protokollal, azóta támogatja az iparág, de mindig is céges felhasználásra szánták, nem otthoni mókára, ennek megfelelően - ahogy alapból a Mikrotikhez is - kell előképzettség hozzá. A cégeknél meg a használt hálózati manager programok általában egyediek, a cég céljainak megfelelőek, egyedi frontendekkel. NA ezért támogatja a legutolsó managelt switch is vagy akár windows/linux is az SNMP-t.
A Mikrotiknek van remek SNMP kezelője, The Dude-nak hívják, ingyenes, és létezik, amióta a RoS létezik.
-
sanzi89
addikt
Csak akkor miért van benne egy 13k-s TP-Link AP-ba, vagy egy 30k-s TP-Link menedzselhető switch-ben, vagy a 25k-s Mikrotik cuccában. Ezeket már kb bárki meg tudja venni.
Mindegy, köszönöm az információkat, ha lesz időm még szórakozok vele egy kicsit, próbálok beállítani pár dolgot a neten található OID-k alapján, de valószínűleg nem ez, amire szükségem van.Valamint akkor ebben a tekintetben csak unikumnak számítanak a Ubiquiti eszközei.
-
sanzi89
addikt
És például a fentebb említett gagyarella TP-Link AP esetében hogyan "szedem elő" az eszközből? Szabványos OID van annyi, mint égen a csillag, ezt mindet tudja akármelyik eszköz? Ha nem, akkor melyiket tudja? És én ezeket honnan tudjam?
Valamint nem igazán látom az akarást, hogy az egyszeri földi halandó, aki nem akar napokat szórakozni vele beüzemeljen egy ilyet, főleg különféle eszközök esetén.
-
#528
kisgyerek85
senior tag
bacus
#527
kisgyerek85
senior tag
Tűzfal teljesen ki van kapcsolva. PPTP
Amúgy az érdekes, hogy egyszer simán bejelentkezett. Aztán változtattam a felhasználónév jelszó pároson és nem ment. Már újracsináltam egy párszor az egészet. Kb. 3 szor tudtam távolról bejelentkezni. Szóval számomra tök fura az egész.
-
#527
bacus
őstag
kisgyerek85
#525
bacus
őstag
válasz
kisgyerek85
#525
üzenetére
Tűzfal nem blokkol? Milyen vpn? PPTP, SSTP, Ovpn, l2tp?
-
sanzi89
addikt
Tudom, hogy már nem tartozik teljesen a topikba, de lenne egy kérdésem ezzel a Cacti-val kapcsolatban.
Felraktam egy Win7-es gépre, és ki szerettem volna próbálni egy TP-Link TL-WA901ND AP-val - ez tud SNMP-t - de ha jól értelmezem, akkor minden egyes hardverhez kell valamilyen xml template? Mert azon kívül, hogy hozzáadtam a Cacti-hoz az AP-t nem sok érdemi infót tudtam belőle kicsikarni. -
#525
kisgyerek85
senior tag
kisgyerek85
senior tag
Sziasztok!
Videó alapján beállítottam a vpn kapcsolatot ami belső hálózatról gyönyörűen működik, viszont külsőből nem. Log-ba annyit látok, hogy milyen címről akarok bemenni és ennyi.
-
sanzi89
addikt
Ha van pár darab Mikrotik rb951g-2hnd AP-ként elhelyezve, akkor van-e valamilyen mód/szoftver arra, hogy egy helyen, központilag figyeljem az eszközöket, hogy minden rendben van-e vele? Például be van-e kapcsolva, csatlakoznak-e hozzá kliensek. Hasonlóan, mint az Ubiquiti Unifi cuccainál, csak azon funkciók töredékére volna szükséges kevésbé színes-szagos felülettel.
Köszi!
-
-
bacus
őstag
miért irnád folyamatosan?
memóriába megy, amit utána egyszer egy nap fájlba printelsz.
Nekem ez bevállt, nyilván amig 1-2 rb-vel van dolga az embernek, addig lehet belépegetni és nézegetni, de nekem egyszerübb, ha a boardok elküldik emailben a logjaikat a gmailre, azt szépen a filter kielemzi, ami engem érdekel van e benne log bejegyzés, ha nincs, akkor olvasott. Igy elegendő azokat megnézni, amik olvasatlanok, mert ott van dolog.
-
bacus
őstag
-
poli27
veterán
Tudom nem Mikrotik de az UBNT kihozott egy olcsó HW natos 5 portos routert
49$ az ára Edgerouter X és Edgerouter X sft Ez meg a forum róla! Sztem ennyiért nagyon megéri lehet beszerzek majd egyet A Mikrotik meg nyaljon sót, hogy nem képes egy HW natos routert ami megfizethető kihozni 2015 ben!
, de nincs baj, mert csinálhatsz egyéb szabályt, amivel tudod törölni magad a listáról, pl. egy sikeres openvpn bejelentkezés után törli az ip cimet a black listáról.
Új hozzászólás Aktív témák
Hirdetés
ekkold
- Dell Latitude 5320 -60% "Kis Gamer" Üzleti Profi Ultrabook 13,3" i5-1145G7 8/256 FHD IRIS Xe
- Apple IPad pro 12.9 4th gen 256GB wifi+sim 97%-os Gyári akku
- PlayStation 5 (PS5.) SLIM 1TB. SSD. Digital Edition & Sony PlayStation VR2. Virtuális szemüveg.
- Dell Precision 3580 i7-1370P//32GB DDR5 RAM// 1TB SSD/ RTX A500
- ÁRCSÖKKENTÉS Menő retró konfig: Q9550, Gigabyte P43, 4GB RAM, ASUS GT730
- Eladó Új állapotban lévő Xiaomi Redmi 13C 4/128GB / 12 hó jótállás
- BESZÁMÍTÁS! MSI B450M R5 5500 16GB DDR4 512GB SSD GTX 1660 Super 6GB Rampage SHIVA Thermaltake 500W
- BESZÁMÍTÁS! Intel Core i9 9900K 8 mag 16 szál processzor garanciával hibátlan működéssel
- Samsung Galaxy A13 64GB, Kártyafüggetlen, 1 Év Garanciával
- BESZÁMÍTÁS! ASUS B450M R5 3500X 16GB DDR4 500GB SSD RTX 2060 Super 8GB Zalman N5 Zalmann 600W
Állásajánlatok
Cég: FOTC
Város: Budapest