Mikrotik on põhimõtteliselt “Läti Sisku” ja täpselt nii hea, kui on nende kõige sitem progeja…
See tähendab, et Mikrotik on halb?
Ma ei öelnud seda.
Ma viitasin sellele, et tarkvara on suletud lähtekoodiga ja võib esineda ootamatusi ning siis võid ainult patja nutta, teha ei saa sa ise midagi.
Sama aga võib sul juhtuda ka mitmetonnise Cisco’ga, ainus vahe on suppordis mis sa raha eest kaasa saad.
Enda suurim ikaldus on olnud, kus mingi update kunagi kõik müürireeglid minema pühkis, mida ise ka kohe ei märganud sest muu konf jäi alles. _________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
skyTronic, jah, Xbox Live ehk siis vorguga seotud asjad ei toota, torrentite seedimine ei toota, Plexi ei saa valja jagada jne.
xboxi pole käepärast kuid pc-l kõik xbox äpp ja ms mängud, mis xboxi servereid peaks kasutama (gears, forza) töötavad küll ilusasti. plex jagab välja, torrenteid saab seedida.
mikrotik, upnp disabled. _________________ - londiste
...aga mina ei saa kunagi suureks!
skyTronic, jah, Xbox Live ehk siis vorguga seotud asjad ei toota, torrentite seedimine ei toota, Plexi ei saa valja jagada jne.
xboxi pole käepärast kuid pc-l kõik xbox äpp ja ms mängud, mis xboxi servereid peaks kasutama (gears, forza) töötavad küll ilusasti. plex jagab välja, torrenteid saab seedida.
mikrotik, upnp disabled.
Kui sa ise portide suunamist pole teinud, siis kahtlen selles, et sul kõik efektiivselt töötab. Teatud mööndustega küll.
Miks ebaturvaline? Kuidas see muudest teenustest erineb, mille jaoks samuti ligipääs vaja lubada?
Ei erinegi. Iga teenus, mis tervele internetile avatud on, on potentsiaalne sisenemiskoht kodu võrku.
Plexi ma paneks Cloudflare proxy taha ja Mikrotikist lubaks plexi pordile terve maailma asemel ainult Cloudflare IPd. Ei pea oma WAN IPd välja jagama, HTTPS olemas, ddos protection, crawl bot protection jms. WAFiga saab lubada ainult nende riikide IP-d, kus userid asuvad.
Cloudflare Accessiga saab elimineerida kõik Plexi nõrkusi otsivad botid. Või kasutada cloudflared tunnelit või VPNi. ZeroTieriga ei pea Mikrotikil VPNi jaoks porti avama.
Ei põe selle WAN IP pärast, muutub nagunii iga 24h tagant. Plex standard porti ei kasuta. Kui kasutajaid on rohkem, siis ei mina viitsiks neid riike lisada ja eemdadada kui keegi ringi reisib.
Hoian Plex serveri ja Mikrotik karbi softi regulaarselt uuendatuna, mulle piisab sellest.
Sama lugu Xboxiga, see hoiab oma softi regulaarselt uusimana, ei karda midagi.
Upnp ebaturvalisus ei seisne selles, et pordid on avatud, vaid selles, et iga huviline sisevõrgus võib endale ruuterist porte suunata. Kui sa nüüd miski pahalase omale masinasse saad, siis see paneb kohe cp serveri püsti sulle ja kogu maailma pervode jäljed viivad sinu koju.
Kas mingi sinu poolt ette nähtud teenus mingi pordi peal peab maailmale või kellele avatud olema, see on teine teema, ja eks igaüks vastab sellele vastavalt oma vajadustele ja pädevustele. _________________ Mida Ott ei õpi, seda Egon ei tea.
Sellegipoolest on tasuta Cloudflare hea lahendus igasugustele veebiliidestele (kas või Mikrotiki webfigi jaoks kui seda vaja WANist kätte saada) HTTPS ja muu turvalisuse lisamiseks. Access + identity provider (nagu GitHub või Azure AD) annab võimsa autentimise 2FA-ga.
Plexi puhul kasutaks ZeroTierit siis. RB5009 on suht beast, olen testinud ja 0.5 Gbps ühendusega sai täis kiiruse kätte nii, et CPU polnud 100% kasutuse juures. Ilmselt saaks 1 Gbps kätte.
See pole küll tiku teema, samas saab ju siduda. Cloudflare ZeroTier tundub huvitav asi, tikul on tugi olemas ka, Basic plan on tasuta. Kas äkki viitsite pikemalt muljetada, miks see hea on? St nagu aru saan, siis võib teha VPNilaadse olukorra loomise lihtsamaks, kas on nii? Ning tiku puhul saab siis võtta üldse selfhosted variandi ning ise ülal hoida, luues controlleri?
See pole küll tiku teema, samas saab ju siduda. Cloudflare ZeroTier tundub huvitav asi, tikul on tugi olemas ka, Basic plan on tasuta. Kas äkki viitsite pikemalt muljetada, miks see hea on? St nagu aru saan, siis võib teha VPNilaadse olukorra loomise lihtsamaks, kas on nii? Ning tiku puhul saab siis võtta üldse selfhosted variandi ning ise ülal hoida, luues controlleri?
ZeroTieri erinevus muude VPN lahendustega on see, et võrku ühenduvate seadmete confi hallatakse tsentraalselt https://my.zerotier.com veebis. Ja Mikrotikil ei pea porti avama - võib-olla kasulik kui ISP on pordid kinni pannud.
Cloudflare on üldisem teenuste kogum, aga põhiline on HTTPS proxy, mida saab näiteks Mikrotik webfigi või Synology veebi liidese ette panna. Olen ise kasutanud self hosted nextcloudi jaoks. Seda on kasulik kasutada ainult siis kui on vaja neile ligi saada üle WANi.
Cloudflared tunnelit kasutades saab Cloudflare proxy võrguga ühenduse teha nii, et ühtegi porti ruuterist suunama ei pea, ise teeb ühenduse Cloudflare serveritega.
RB5009 on suht beast, olen testinud ja 0.5 Gbps ühendusega sai täis kiiruse kätte nii, et CPU polnud 100% kasutuse juures. Ilmselt saaks 1 Gbps kätte.
Saabki
Spoiler
RB5009UG+S+IN on tootanud vaga stabiilselt. Siis kui ma ta ostsin ja toole panin on probleemideta kainud.
See on kasutades default gatewayd läbi ZeroTier tunneli? Ma mõtlesin seda, et 0.5 Gbps sai kätte ZeroTier VPNiga.
Sorry ei, see on mul otse teenusepakkuja ONT kuljes ja PPPOE-ga tombab uhenduse pusti. Mingit muud konfi mul pole.
Vahetasin teenusepakkuja enda ruuteri valja ja dubleerisin sealt olemasoleva originaal-konfi oma Mikrotik karpi.
---
Lisasin screenshoti naitamaks, et ka Windowsi all on Xbox Live jaoks pordid vaja avada, mitte ainult konsooli peal.
tsitaat:
NAT type on Windows displays "Teredo is unable to qualify"
If you can’t connect to an Xbox multiplayer game on Windows 10, go to Settings > Gaming > Xbox Networking. If you’re having a similar problem on Windows 11, open the Xbox Console Companion app, select Settings, and then select the Network tab.
Look for NAT Type. If the status says Teredo is unable to qualify, it means your PC is unable to obtain a Teredo IP address.
Select games like Forza Horizon 3 and 4 use a networking protocol called Teredo for multiplayer gaming on the Xbox network. Teredo is a networking protocol that’s used to establish communications between clients and servers, and to facilitate connectivity between devices behind routers that use network address translation (NAT).
Failure to obtain a Teredo IP address can occur when there’s an issue with your Teredo adapter, when a device on your network is blocking the Teredo protocol, or if there’s software installed on your PC that’s disabling Teredo functionality. Without a Teredo IP address, you’ll be unable to connect to multiplayer gaming in select games on the Xbox network.
Note Teredo IPsec connectivity is only required for multiplayer gaming in select titles. If your game doesn’t use the Xbox network service, check the game’s support site for help.
Kel huvi, siis hAP ax2 on tekkinud hetkel saadavus - https://www.getic.com/product/mikrotik-hap-ax2 - ~100€ _________________ Experience is what you get when you don't get what you want.
No tikk ei ole küll sellest maailmast kus asju ilma põhjuseta uuendatakse:) Kui turvauuendust ei ole või uut featuuri vaja ei ole, siis töötavat asja ei kisuta:) _________________ Mida Ott ei õpi, seda Egon ei tea.
tikk pigem kipub ikka "niisama" pidevalt uuendama. esimese hooga ei tule välja, siis proovime ikka mitu korda uuesti, aga siis käkime mingi asja jälle ära, et rohkem tööd oleks _________________ Ära suurenda telia kasumit - lõpeta leping! 20/4 pole eriline max kiirus. 1992 kaaperdas telia neti
No tikk ei ole küll sellest maailmast kus asju ilma põhjuseta uuendatakse:) Kui turvauuendust ei ole või uut featuuri vaja ei ole, siis töötavat asja ei kisuta:)
See on väga laia labidaga äsatud väide nüüd. Need ajad, kus avalikus netis olevat töötavat riistapuud ei näpita, on ammu juba möödas. Rääkimata sellest, et changelogid ei kajasta kunagi kõiki (pisi)parandusi, seega tasub ajaga kaasas käia ja tarka vara uuendada. Igalpool tegelikult, aga eriti nendes kohtades, mis laiale maailmale nähtavad on.
Seda muidugi eeldusel, kui on soov öösiti rahulikult magada.
Mis puudutab avalikus netis olevat riistapuud, siis ma mainisin turvauuendust kui põhjust uuendamiseks. Sellega peaks antud suund juba ette ammendatud olema.
Aga kui sa arvad, et ilma põhjuseta uuendamine on hea asi, siis mina arvan, et sul pole ei kogemust ega ka vastutust. Töötava asja ilma põhjuseta näppimine on põhjus number üks, miks asjad katki lähevad. Sügeleva nupu peale vajutamine ainult selleks, et asutuse töö seisma, ja sina ise hilja õhtuni tööle jääks, on esimene lõbu, mis noore itimehe sinisilmsuse sisse mõra lööb.
Ja mis puudutab changelogi, mis muudatusi ei kajasta, siis see kõlab mulle nagu vene rulett. Põhjusmõtteliselt saaks sellist ideed kaitsta, kui oleks põhjust eeldada, et tarkvara arendab kompetentne kaader. Paraku, maailmas, kus vajadus progejate järele kasvab kiiremini kui kompetentse kaadri juurdevool, tuleb eeldada, ja kogemus toetab seda, et tarkvara toodavad purjus leemurid.
Mine küsi tuttava arendaja käest, kas reede õhtul minnakse uue versiooniga laivi, ja ta räägib sulle õlle taga hommikuni, mis juhtub, kui sa arvad, et midagi ei juhtu. _________________ Mida Ott ei õpi, seda Egon ei tea.
Ei tea kas siin konkreetsemalt confi kohta ka küsida kõlbab?
On Mikrotik LHG ruuter. Sisevõrgus on Hikvision kaamerad. Ruuterisse on pandud tööle L2TP VPN. Selle kaudu saan kodust eemal olles koduvõrku ühenduda ja kaamerate pilti jälgida. Soov oli ära keelata kaamerate ligipääs välisvõrgule. Lisasin selleks tulemüüri sellise reegli (lisatud pildid). Kaamerad enam internetti ühenduda ei saa. Sisevõrgus olles näen kaamerate pilti ilusti ilusti. Aga kui ühendun ruuteriga VPN kaudu, siis kaameratega ühendust ei saa. Kui vastava rea tulemüüris välja lülitan, siis näen. Mida teha teisiti, et kaameratel internetti päästu poleks, aga läbi VPNi ma endiselt nende pilti näeks?
Oliver112, GUI ei anna piisavalt infot nende reeglite kohta, aga pakuks, et kui block reeglites Connection State new ees linnuke märkida, siis võib-olla saab korda.
Ühendasin huvi pärast Mikrotiku Telia Huawei ONT-i ja Technicolori vahele (ether1=huawei, ether2=Technicolor). Tahtsin vaadata, kas ma saan sedasi tuvastada salajast öist teleka-vahtimist.
Aga millegi pärast torch ei näita pakette ja samuti ei saada Mikrotik Wiresharkile pakette:
Spoiler
Kas Telia kasutab mingit protokolli või milles võib põhjus olla, et ma ei näe ether1 peal olevat liiklust torchiga/Wiresharkiga?
EDIT:
Torchi sain käima keelates ether1 ja ether2 portidel hw offloadi, et CPU pakette nägema hakkaks:
/interface bridge port add bridge=huawei-technicolor hw=no interface=ether1
/interface bridge port add bridge=huawei-technicolor hw=no interface=ether2
/tool sniffer set filter-stream=yes streaming-enabled=yes streaming-server=192.168.1.221
(võtsin filtrist oma ip ära ja panin set-filter-stream=yes, et ei capturetaks minu enda pakette, millegi pärast nii pidi töötas)
Siis nägin Wiresharkis kõike topelt:
Spoiler
Aga selle vastu aitas, kui lisasin ether1 filtrisse:
/tool sniffer set filter-interface=ether1 filter-stream=yes streaming-enabled=yes streaming-server=192.168.1.221
Ma ei saa ainult täpselt aru, kas liidese filtrisse lisamine tähendab, et seda liidest siis ainult vaadeldakse või et just seda liidest siis ei vaadelda...
Aga selle vastu aitas, kui lisasin ether1 filtrisse:
/tool sniffer set filter-interface=ether1 filter-stream=yes streaming-enabled=yes streaming-server=192.168.1.221
Ma ei saa ainult täpselt aru, kas liidese filtrisse lisamine tähendab, et seda liidest siis ainult vaadeldakse või et just seda liidest siis ei vaadelda...
filter-interface (all | name; Default: all) Interface name on which sniffer will be running. all indicates that the sniffer will sniff packets on all interfaces.
miks peab leiutama, kui volitatud ettevõtetele seda jagatakse
aja küsimus vaid, millal sealt laiali levib
Kas see pole ikka nii, et iga seadme admin kontole pannakse tehases unikaalne vaikimisi parool ja sellele viitav kleeps külge.
Eelseadistatud asjad (60Ghz p2p lingid näiteks) on juba mõnda aega sellise vaikimisi parooliga tulnud, millele viitamiseks on 2 kleepsu kaasa pandud.
See ei tähenda sugugi, et kõikidel Mikrotikkudel oleks edaspidi mingi default parool, mida muuta ei saa ja mida kellelegi jagatakse või mida genereerides suvalisi ruutereid üle võtta saaks.
Seni olid enamik Mikrotikke karbist võttes ilma paroolita, mis on kindlasti halvem variant, kui tehases pandud unikaalne parool. Ilmselt tahetakse sellega vähendada seadmete hulka, mis koduperenaiste poolt häälestatuna üldse ilma paroolita jäävad.
Kas keegi hea inimene viitsiks korra vaadata, miks sellise konfiga winbox´ga väljast ligi ei pääse?
https://pastebin.com/XiwZgZr0
winbox service on lubatud (port 8291). Pole väga sinapeal selle tikuga... Võrk ise töötab ja 3 erinevat subneti tuleb ka LAN portidest nagu vaja, kuid kaugelt ligipääsu tööle ei saa ning ükski pordisuunamine ka ei toimi. Liiklus nagu ei käiks läbi tulemüüri üldse..
dokumentatsioon seda küll ei kirjelda, aga mina olen aru saanud, et kui action= on tulemüüri reeglil puudu, siis seda reeglit sisuliselt ignoreeritakse.
Kuna viimase reegliga keelatakse kõik väljast sisse tulev (action=drop), aga eelnevatega midagi ei lubata, siis ongi nii, et väljast sisse ei saa.
viimati muutis netmaster 04.04.2023 22:30:34, muudetud 2 korda
Selline lugu, et sisevõrku on tekkinud ports seadmeid, mis kuskile teise liidestatud.
Hetkel MikroTik tundub olema suhteliselt stabiilne ja DHCP poolt antud IP'd pole kuid muutunud.
Synos olevas DNS serveris on üks lokaalne TLD tehtud ning MikroTik suunab kõik need TLD'ga domeeni päringud ilusti Syno DNSi.
Küsimus selles, et kas ma peaks MikroTikus DHCP pooli väiksemaks tegema ja kõik need seadmed static IP külge panema?
Või saab MikroTik DNS'ile uue IP saata kui see peaks muutuma?
Kas keegi hea inimene viitsiks korra vaadata, miks sellise konfiga winbox´ga väljast ligi ei pääse?
https://pastebin.com/XiwZgZr0
winbox service on lubatud (port 8291). Pole väga sinapeal selle tikuga... Võrk ise töötab ja 3 erinevat subneti tuleb ka LAN portidest nagu vaja, kuid kaugelt ligipääsu tööle ei saa ning ükski pordisuunamine ka ei toimi. Liiklus nagu ei käiks läbi tulemüüri üldse..
netmaster kirjutas:
äkki on sul action=allow puudu lubavatel reeglitel?
Peaks olema
kui action= on tulemüüri reeglil puudu, siis ta ei tee midagi.
Kuna viimase reegliga dropitakse kõik väljast sisse tulev, aga eelnevatega midagi ei lubata, siis ongi nii, et väljast sisse ei saa.
Välismaailmale Winbox avada on, kuidas nüüd viisakalt end väljendada, eriti loll mõte. _________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
Soov on ära kasutada Telia 5G teenuse fallbacki 4G-le ja teenust kasutada mõne ülal mainitud seadmega.
Hetkel kasutuses olev LHGG LTE6 kit teeb oma asja paremini, kui ISP-de enda pakutavad seadmed. Paketiks Telia 5G, kiiruse piiranguga 200/50Mbit ja sellised kiirused saan täna ka oma seadmega ilusti kätte.
Ei näe pointi, et peaks 5G ruuteri ostma või rentima, kui hetkel kasutuses olev LHGG suudab paketis oleva kiiruse saavutada ka 4G näol.
Ega LTE18 kehvemini tööta kui LTE6 seade. Chipset on tunduvalt parem, LHG ja ATL vahe on antennide arvus, vastavalt 2 ja 4 tk.
Eraldi huvitab mind aga see küsimus - kuidas saadi telialt see 200/50 pakett, sest kui ma siin sobivas teemas seda küsisin, siis jäi pädevate tegelaste jutust mulje et ei saagi kui pole võetud nende 5G purki, mis siis et ka minu 4G seade käib mainitud paketist 2x kiiremini.
Ega LTE18 kehvemini tööta kui LTE6 seade. Chipset on tunduvalt parem, LHG ja ATL vahe on antennide arvus, vastavalt 2 ja 4 tk.
Eraldi huvitab mind aga see küsimus - kuidas saadi telialt see 200/50 pakett, sest kui ma siin sobivas teemas seda küsisin, siis jäi pädevate tegelaste jutust mulje et ei saagi kui pole võetud nende 5G purki, mis siis et ka minu 4G seade käib mainitud paketist 2x kiiremini.
Ma ei kahtle, et LTE18 on LTE6-st kehvem. Pigem loodan, et ehk parem, kuna mõlemal on rohkem kui 2xCA võimalus, ATL-il lisaks ka 4x4MIMO. ATL-il on minuteada 6 sisemist antenni, 4 middle band + 2 lower band. Tooteleht vähemalt väidab nii.
Saaks järgmise paketi valida, ehk 500/100, kui üks nendest seadmest õigustaks ennast.
Aitähh selle hea küsimuse eest! Arvasingi, et ükskord tuleb see ära, vaata PS.
Tnx. 500/100 jaoks ma ei mõtleks muud kui ATL. See lisa 2 antenni on for lower band, kus on vaja ilmselt pikemat distantsi saavutada kuid kiiruseid väga pole ehk CA suurt pointi ei oma, rohkem kui 2CA.
Mõlemal isendil on teoreetiline 1.2Gbps võimekus. Carrier aggregation data järgi suudavad mõlemad isendid teha max 5xCA oma EG18-EA LTE chipiga ja seda muidugi siis, kui 5G NSA võrgus 4G-na on seda lubatud. Samas, miks ei peaks olema lubatud? Rahvakeeli on ju 5G NSA infrastruktuur tegelikult terve kari 4G bande. Ja kui sai testitud Telia 5G rendiruudit, siis ühendus istus ühe n-bandi otsas (oli vist n78, kui õigesti mäletan) ja ülejäänud olid kõik tigujaamas esindatud 4G bandid (1, 3, 7 ja 20).
Kaldun arvama, et ka LHG on suuteline kätte saama 500/100, mida ATL kindlasti suudab. ATL-i parem MIMO annab stabiilsuse eelise LHG ees.
Miks ma ise vaatan LHG poole, on tema antennide oluliselt parem gain. Tigujaamad on mul 2,5km (sel aastal rajatud mast) kaugusel ja edasi on 360 kraadi ümbruses 5km, 15km ja 20km kaugusel.
Enne uue lähema tigujaama rajamist püüdsin oma LHG LTE6 Tikuga signaali 15km kauguselt ja oli stabiilne. Pidin muidugi Cell locki kasutama, et lähema ja rohkem koormatud tigujaama külge ei hüppaks.
Siit ka peamine põhjus, miks LHG poole vaatan. Kui kunagi saab see uus tigujaam ülekoormuse, saan suunata teiste peale. ATL ilmsellt ei ole võimeline +5km kauguselt rahuldavat signaali püüdma.
Enivei, kui rahval pole jagada kogemust eelpool mainitud isendite kohta, eks pean siis ise suvel ära proovima.
Meil pole enamasti nii suuri vahemaid mastideni, et oleks vaja tingimata suurt gaini, nii et see +5dB kõrgematel bändidel ei ole nii väärt kui see et seade saab teha kas 2x2 või 4x4 Mimo´t. Madalas otsas aga ei saa nagunii mingit kiirust, nii pole see et seade on ainult 2x2 nii kriitiline, võimenduse osas aga B20/28 levivad tunduvalt kaugemale ja nii võib seadme gain olla nende jaoks ka väiksem. Pealegi ei võimalda nii ATL i kui LHG peeglite läbimõõt madalatel sagedustel suuremaid võimendustegureid. Läbimõõt peaks olema üle meetri, et low band oleks tugevam.
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
Spoiler 
