Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: BigSandy 05. 06. 2023, 11:27:27
-
Zdravím.
I když mam doma mikrotik, tak spíš lama a dalo mi pořádně zabrat, než to začalo fungovat tak jak jsem chtěl.
Půjde nastavit mikrotik jako switche? Mame od providera ubiquiti, který routuje.
Máme na firmě NVR, které na přistup i zvenčí.
Pan veducí chce, aby se automatický mezi 6 až 14 hodinou port, na kterém to NVR jede zablokoval a zbytek dne byl přístupný.
Půjde to pořešit?
Děkují.
-
povypinaj vsetko na mikrotiku - dhcp, dns.. a daj porty do bridge. Mas z toho switch. ale pozor na firewall..
Skriptom si vies bud nastavit port na down - teda ako keby si odpojil kabel, alebo firewallom zablokovat celu komunikaciu.
-
Mi jde spiš o vypnutí SDK portu třeba 8010.
Když zakažu lan port, tak mi nepojedou aní kamery na monitoru u NVR
-
To iste.
Enable/disable konkretne firewall rule ...
-
To iste.
Enable/disable konkretne firewall rule ...
I když ten mikrotik bude jako switche?
Pokud jo, tak doporučte nějaký.
100 MB internet 50/50 Mbit/s
Nejde mi o wifi
-
Mi jde spiš o vypnutí SDK portu třeba 8010.
Jasně, to je jednoduché.
Na firewallu se nastaví nějaké takové pravidlo:
/ip firewall filter
add action=drop chain=forward comment="drop all on port 8010" disabled=yes protocol=tcp port=8010
A pak ve scheduleru něco takového:
/ip firewall filter enable [find comment="drop all on port 8010"];
Naplánovat enable na 6:00 a stejný command s disable na 14:00.
-
I když ten mikrotik bude jako switche?
Ano. Pokud to nenastavíte nějak hodně divně, FW pravidlo výše by mělo fungovat.
Pokud jo, tak doporučte nějaký.
Pokud Vám nejde vůbec o výkon a nějakou extra rychlost, tak klidně jen něco takového: https://www.i4wifi.cz/cs/210637-routerboard-mikrotik-hex-lite (https://www.i4wifi.cz/cs/210637-routerboard-mikrotik-hex-lite)
Ale je to prakticky jedno. Naprostá většina MikroTiků má (téměř) totožný SW (co do funkcionality) a liší se pouze v HW výbavě.
-
Vaše cena s poplatky 746 Kč
A nějaký 1G?
-
Co toto?
https://www.i4wifi.cz/cs/210742-routerboard-mikrotik-rb750gr3-hex
-
Vaše cena s poplatky 746 Kč
A nějaký 1G?
Třeba tento: https://www.i4wifi.cz/cs/210742-routerboard-mikrotik-rb750gr3-hex
-
Co toto?
https://www.i4wifi.cz/cs/210742-routerboard-mikrotik-rb750gr3-hex
Byl jste rychlejší, ano, třeba ten.
Ale mají toho víc. Cokoliv od MikroTiku, co nevypadá jako talíř/adaptér/PtP spoj bude pravděpodobně kandidát pro Vás, jejich "krabičky" se liší většinou jen výkonem, rychlostí portů a v parametrech WLAN (pokud ji mají).
-
Router mikrotik v roli switche muze mit tragickou propustnost. Co tim switchem budete propojovat a jake realne rychlosti potrebujete?
-
Router mikrotik v roli switche muze mit tragickou propustnost. Co tim switchem budete propojovat a jake realne rychlosti potrebujete?
Nemusi. Vyssie spomenuty hex ma vsetky porty zavesene na jeden switch chip, takze tam nebude ziadny chytak. Pri inych modeloch si treba pozriet diagram, ktore porty idu vzajomne prebridgovat a ktore kombinacie by isli cez cpu.
V dnesnej dobe by som ale uz do hex nesiel, skor o par chlpov drahsi l009.
-
Pravda, nemusi, ale muze. S chipem je to HW switch, ale bylo par bugu v ROS a switchovani na nekterych routerech bylo z nejakeho duvodu tragicke.
Router mikrotik v roli switche muze mit tragickou propustnost. Co tim switchem budete propojovat a jake realne rychlosti potrebujete?
Nemusi. Vyssie spomenuty hex ma vsetky porty zavesene na jeden switch chip, takze tam nebude ziadny chytak. Pri inych modeloch si treba pozriet diagram, ktore porty idu vzajomne prebridgovat a ktore kombinacie by isli cez cpu.
V dnesnej dobe by som ale uz do hex nesiel, skor o par chlpov drahsi l009.
-
Mozna mi neco unika, ten switch chip umi koukat do paketu na vyssich vrstvach (treba na TCP/UDP port)? Osobne bych spis rekl ze ne, cimztopadem se data budou bud switchovat (potecou pouze skrz ten switch chip, ale bez filtrace na IP vrstve) anebo potecou pres procesor, ktery uz ten firewall dokaze, ale pak zase vsechna datova zatez (mezi temito porty) skonci na nem a propustnost asi rapidne spadne...?
-
Mozna mi neco unika, ten switch chip umi koukat do paketu na vyssich vrstvach (treba na TCP/UDP port)? Osobne bych spis rekl ze ne, cimztopadem se data budou bud switchovat (potecou pouze skrz ten switch chip, ale bez filtrace na IP vrstve) anebo potecou pres procesor, ktery uz ten firewall dokaze, ale pak zase vsechna datova zatez (mezi temito porty) skonci na nem a propustnost asi rapidne spadne...?
Nie, neunika, pretoze je to pravda a dobra pripomienka. Bridgovanie je layer 2, firewall je layer 3. Bridgovaneho trafficu sa firewall netyka.
Teda, pokial to switch chip nevie. Pretoze niektore to vedia, vedia sa pozriet do paketu a spracovat ho podla pravidiel, aj bez toho, aby to tieklo cez cpu. Vola sa to "Rule table". Problem je, ze nie kazdy switch chip to podporuje a pred kupou zariadenia sa treba pozriet, ci to bude pouzitelne: https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features
Podla tohto to aktualny hex (rb750gr3, MT7621) nevie, ale taky hex poe (rb960pgs, QCA8337) ano.
-
Kluci, abych tu zbytečně nespamoval a nevytvařel nový topik kvuli každe kravině.
Port forward
Naklikat přes okna umím. Chtěl bych umět přes terminal.
Jsem našel par navodu ale nefunkčních.
Třeba tu uplně dole.
https://www.icafecloud.com/wiki-port-forward-in-mikrotik-router.htm
input does not match any value of interface.
-
Kluci, abych tu zbytečně nespamoval a nevytvařel nový topik kvuli každe kravině.
Port forward
Naklikat přes okna umím. Chtěl bych umět přes terminal.
Jsem našel par navodu ale nefunkčních.
Třeba tu uplně dole.
https://www.icafecloud.com/wiki-port-forward-in-mikrotik-router.htm
input does not match any value of interface.
A v com je konkretne problem? V tom navode ma autor akurat nestandardne pomenovany interface, default je ether1. Co moze, ale nemusi byt wan.
Kludne je mozne pouzit interface list, ako in-interface-list=WAN , takze napriklad:
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=443,80 in-interface-list=WAN protocol=tcp to-addresses=ip_kam_to_chcem_poslat
a treba sa uistit, ci pozadovane interfaces su v nom (by default ano, ale ked sa s tym niekto hral, tak nemusia...)
-
Kluci, abych tu zbytečně nespamoval a nevytvařel nový topik kvuli každe kravině.
Port forward
Naklikat přes okna umím. Chtěl bych umět přes terminal.
Jsem našel par navodu ale nefunkčních.
Třeba tu uplně dole.
https://www.icafecloud.com/wiki-port-forward-in-mikrotik-router.htm
input does not match any value of interface.
A není jednodušší naklikat přes okna a pak se podívat do configu?
-
Je. Ale přes terminal rychlejši a chtěl jsem to zkusit.
Ještě jeden.
Jak povolit na firewallu port 8291 co je v IP-service list pro winbox přes wan, abych se dostal do něj zvenči?
-
add action=accept chain=input src-address-list="list" dst-port=8291 in-interface="wan port" protocol=tcp
a pokud chces na bridgi pouzivat firewal na L3 vrstve pak je moznost zapnout v Bridge -> setting -> use IP firewall (trochu to ale podrti CPU, dle poctu pravidel)
Je. Ale přes terminal rychlejši a chtěl jsem to zkusit.
Ještě jeden.
Jak povolit na firewallu port 8291 co je v IP-service list pro winbox přes wan, abych se dostal do něj zvenči?