-
GAMEPOD.hu
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Horvi
őstag
Sziasztok,
A milyen routert vegyek topikból irányítottak ide (is).
Router vásárlásban kérném a segítséget. 110 négyzetméteres családi téglaházban lenne használva, falak kb 20 centi vastagok. Egy PC és egy NAS lenne rajta madzagon, két laptop és 2 telefon wifin.
Olyan kellene ami kihajtja a gigás digit, viszont inkább a Mikrotik/Ubi vonal érdekelne. Mikrotikből amiről olvastam, hogy jó lehet az a hap ac2 ebben ugye van wifi is. Melyik típust lenne érdemes még megnézni?Ubi fórumon is kérdeztem ott az ER-3 liteot/ER-4-t ajánlották plusz switch plusz APk. Bár ez árban már elég húzós lenne, illetve az is szóba került ha Mikrotikből akarnék építeni egy normálisabbat az is sokba kerülne mert a miki wifiben gyengébb. Illetve le akartak beszélni a hap ac2-ről mondván viszonylag gyenge a wifije illetve nem olyan erős mint akár az Erlite-3.
Minden ötlet/tanács jól jönne.
Köszi!
Hello darkness, my old friend...
-
Horvi
őstag
Sziasztok,
Egy olyan kérdésem lenne, hogy beszereznék otthonra egy hap ac2-t és ismerkednék a Mikrotikkal. Érdemes lehet elmenni egy MTCNA képzésre vagy egy kis affinitással és hálózatos ismerettel bele lehet vágni?
Aki volt már képzésen le tudná írni a tapasztalatait, hogy megérte-e(annyira nem olcsó ahogy néztem) a dolog vagy annyira nem.
Előre is köszi!Hello darkness, my old friend...
-
Horvi
őstag
válasz thesitu #9368 üzenetére
Igen próbálkoztak, ilyen nekem is volt. Ekkold kolléga leírása alapján konfigoltad most a cuccot? Mert ha igen akkor ott van egy elírás benne és ezért nem rakja blacklistre/tiltja a winbox huszárokat akik próbálkoznak belépni a routeredre.
Hello darkness, my old friend...
-
Horvi
őstag
válasz thesitu #9370 üzenetére
Áhh sorry, látom ekkold már kijavította a dolgot. Amikor én néztem régebben és váltottunk is pár PM-et akkor a winbox portja ami hozzá lett adva a firewall rule-hoz ami rakja a népeket blacklistre az 8192 volt, de most már javítva lett 8291(ez a default).
Szóval így mennie kellene a dolognak, mondjuk célszerű lehet a winbox elérést átrakni más portra.
Még egy kérdés, a blacklisten ha rákeresel akkor megtalálod ezt az IP címet ahonnan próbálkoztak?
[ Szerkesztve ]
Hello darkness, my old friend...
-
Horvi
őstag
Sziasztok,
Adott egy hap ac2 router(192.168.1.0-s hálózat), az alap konfig már megvan ez alapján. Most próbálom belőni az openvpn szervert. Találtam róla elég sokféle leírást de végül sikerült csatlakozni a routerre. Az openvpn-nek csináltam külön ip poolt 192.168.2.10-192.168.2.20. Felmerült a további konfigolással kapcsolatban pár kérdés.
Az egyik az, hogy mit és hogyan kellene beállítani, hogy a vpn-re csatlakozó eszközökről is el tudjam érni a routert winboxból?
A másik, hogy láttam sok helyen, hogy állítanak címfodítást a vpn tartományra is, hogy a csatlakozott eszközök tudjanak netezni. De furcsa módon nekem ez működött enélkül is.
Az utolsó pedig az, hogy láttam pár leírásban, hogy csinálnak port forwardot az openvpn portra. Ez akkor is kell ha nem egy mögöttes eszköz csinálja az openvpn-t hanem maga a router?Remélem tudtok segíteni.
Köszi!Hello darkness, my old friend...
-
Horvi
őstag
Megnéztem a beállításokat és az volt amit gyanítottál, tartományi korlátozás volt illetve user error mert a 192.168.1.1 címen akartam elérni a routert de úgy nem ment, viszont a 192.168.2.1 címen ami a vpn pool defgw-je úgy meg simán ment
A címfordítás a 192.168.0.0/16-ra volt beállítva így azért ment a net.
Köszi akkor nem állítok forwardot.
Viszont most más probléma adódott. Telefonról simán tudok csatlakozni a vpn-re viszont laptopról valamiért nem akar működni a dolog. A vpn kliensben time outtal száll el viszont néztem próbálkozás közben a miki logokat ott viszont meg sem jelenik. Mintha addig el sem jutna.
Illetve még egy olyan kérdés, hogy mire érdemes állítani az openvpn szervernél a max MTU-t?
Hello darkness, my old friend...
-
Horvi
őstag
válasz adika4444 #9450 üzenetére
Oké kb sztornó az egész. Most valahogy magically működik (kopp kopp kopp). Szerintem ott az ip filter/blacklist dolognál mehetett valami félre.
Elvileg a mikinek nincs ipv6 címe, az ipv6 package fel sincs telepítve. Viszont most, hogy csatlakoztam a vpn-re a windowsos laptop ipconfigjában a vpn kapcsolatnál megjelenik az ipv6 cím amit nem tudom honnan szed. Az ipv4 cím azt felismerem mert azt a vpn poolból kapta.
Viszont akkor így felmerült egy másik kérdés. Van egy banana pi a 192.168.1.0-s hálón viszont azt ugye alapból nem érem el az openvpn 192.168.2.0-s hálójából. Ha jól gondolom oda valahogy route-ot kéne hozzá adni a mikiben. Esetleg a kliens konfigban is kell hozzá valami módosítás?
Az openvpn beállítást te milyen leírás alapján csináltad? Vagy teljes egészében a wiki-t követted?
Köszi![ Szerkesztve ]
Hello darkness, my old friend...
-
Horvi
őstag
válasz adika4444 #9456 üzenetére
Emlékeim szerint igen fe80-as volt de most nem vagyok gép előtt így nem állítom biztosra.
Kipróbáltam, hogy a .ovpn file-ba hozzáadtam egy route-ot
route 192.168.1.0 255.255.255.0 192.168.2.1
így laptopról működött a dolog és elértem az 1.0-s hálóban levő pi-t viszont telefonról ugyanez a beállítás valamiért nem működött.
Kicsit hektikus a dolog de még próbálom csiszolgatni.Hello darkness, my old friend...
-
Horvi
őstag
Sziasztok,
Egy olyan kérdésem lenne, hogy van egy hap ac2-m(6.46.3-s releasen) illetve felraktam rá az ntp packaget extraként.
Jól értelmezem ha kijön egy új release(van is a 6.46.4) akkor újra le kell töltenem az ntp packaget és telepíteni?
Vagy a normál frissítés ezek után az extra packaget is frissen tartja?
Köszi!Hello darkness, my old friend...
-
Horvi
őstag
Sziasztok,
Egy olyan problémával fordulnék hozzátok, hogy adott otthon vidéken egy digis net ami mellé van egy hap ac2(ez csinálja a pppoe-t) legújabb stabil os van rajta. A beállítást ez alapján csináltam mint gondolom elég sokan itt a topicban. Viszont elő szokott fordulni, hogy elmegy a net a logokban ezt látom:
mar/28 16:13:28 interface,info ether1 link down
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: terminating... - disconnected
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: disconnected
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: initializing...
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: connecting...
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: terminating...
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: disconnected
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: initializing...
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: connecting...
mar/28 16:13:38 pppoe,ppp,info pppoe-digi: terminating... - disconnected
mar/28 16:13:38 pppoe,ppp,info pppoe-digi: disconnected
mar/28 16:13:38 pppoe,ppp,info pppoe-digi: initializing...
mar/28 16:13:38 pppoe,ppp,info pppoe-digi: connecting...
mar/28 16:13:48 pppoe,ppp,info pppoe-digi: terminating... - disconnected
mar/28 16:13:48 pppoe,ppp,info pppoe-digi: disconnectedCsak az segít, ha a digis routert(bridge módban van) kikapcsoljuk és vissza. Akkor újra felépül a pppoe kapcsolat és lesz net.
Nyílván az nem opció, hogy mindig ki-be kapcsolgassák otthon a routert a szülők ha épp nincs net. Ráadásul szeretném elérni az otthoni cuccokat vpn-en keresztül így meg elég hektikus a dolog.
Tanácsot szeretnék kérni, hogy merre lenne érdemes elkezdeni a nyomozást? Gondoltam rá, hogy állítanék be extra logolást hátha abból kiderül valami. Mikre lenne érdemes logolni?
Előre is köszi![ Szerkesztve ]
Hello darkness, my old friend...
-
Horvi
őstag
Köszi szépen a segítséget és az ötleteket.Nektek is (#10082) Gyurka6
és (#10083) m0skiJelenleg csak szülők elmondása alapján tudok erre válaszolni, hogy meddig nem kapcsolódik mert én nem voltam otthon és a logok sincsenek meg mert úgy indították újra a dolgot, hogy áramtalanították az elosztóval(amin rajta volt a miki is ). De azt mondták, hogy napokig nem volt előtte net.
Belőttem egy scriptet is ami minden vasárnap elküldi nekem a logokat egy mailben viszont amikor ez az eset volt, hogy szóltak péntek magasságában, hogy nincs otthon net akkor a vasárnap esedékes log e-mail sem jött meg.
Arról lehet még van logbejegyzés megpróbálom előkeríteni.Viszont amit még megfigyeltem, hogy amikor nincs otthon net, nem tudok felcsatlakozni a vpn-re sem, viszont a miki által adott dyndns szolgáltatás válaszol a pingre.
Illetve lehet láma kérdés, de ha így megszakad a kapcsolat akkor a miki meddig próbálja meg újra kiépíteni? Van benne valami limit, hogy mondjuk 1 óra után hagyja abba? Vagy próbálkozik a végtelenségig?
Hello darkness, my old friend...
-
Horvi
őstag
válasz stickermajom #10088 üzenetére
Köszi, és akkor ezt valami scriptel csinálod ami nézi a dolgokat meg elküldi a pppoe-t aludni egy kicsit? Ha igen azt, hogy érdemes megoldani?
Scriptelésben még nem igazán vagyok járatos. Meg igazából az egész mikrotiket még csak tanulgatom.Hello darkness, my old friend...
-
Horvi
őstag
válasz stickermajom #10095 üzenetére
Köszi szépen, azt hittem bonyolultabb a dolog. Így talán még nekem is menni fog
Hello darkness, my old friend...
-
-
Horvi
őstag
válasz akos86 #10774 üzenetére
Most így hirtelen nincs előttem a menürendszer, ha gondolod megnézem neked amint hazaérek(otthon kb ugyanez a felállás van nekem is) ha addig más nem segít ki De mintha az IP/Pool-nál adnád meg a DHCP poolt és ott állítod a DNS címet is. Ha a VPN-nek külön poolja van akkor ott is meg lehetne adni külön DNS címet nem?
[ Szerkesztve ]
Hello darkness, my old friend...
-
Horvi
őstag
Köszi a kiigazítást akkor valóban rosszul emlékeztem. Viszont kíváncsivá tett a dolog megnézem nálam működik-e.
Gyorsan lecsekkoltam nálam így van beállítva:Valamint az openvpn konfig fájlban be állítva egy route:
route 192.168.1.0 255.255.255.0 192.168.2.1
Lehet a kollégának ez hiányzik és ezért nem megy mert a vpn poolbol nem talál oda a másik networkbe ahol a pi-hole van?
És működik is a dolog mert böngészgettem mindenféle weboldalt és közben egy másik ablakban néztem a pi-hole admin felületét. Mindig amikor megnyitottam egy új oldalt nőtt a query-k száma illetve a blokkoltak száma is.
[ Szerkesztve ]
Hello darkness, my old friend...
-
Horvi
őstag
Sziasztok,
Lenne egy pár ipseces kérdésem felétek. Csináltam egy site to site ipsec tunnelt a wiki alapján az otthoni hapac2 és az albérletben levő hapac2 között. Mindkét helyen digis net van, nem vagyok NAT mögött azt megnéztem. Mind a két hapac2 router ekkold kolléga leírása alapján lett konfigurálva.
Megcsináltam a leírásban szereplő nat és filter szabályokat is, a kapcsolat kiépült a ping is megy, viszont a gond az, hogy nem érem el rendesen az otthoni NAS(OMV5)-t és a rajta futó dockereket.Ha megpróbálom elérni az omv felületét böngészőből akkor nem jön be az oldal. Egyelőre nem jövök rá, hogy mi lehet a baja.
A másik kérdés, hogy a wiki oldalon a konfignál van egy ilyen rész:
However, this can add significant load to router's CPU if there is a fair amount of tunnels and significant traffic on each tunnel.
Solution is to use IP/Firewall/Raw to bypass connection tracking, that way eliminating need of filter rules listed above and reducing load on CPU by approximately 30%.
Kipróbáltam ezt is, hogy a /ip firewall raw résznél adom hozzá a szabályt amit kell és nem pedig a /ip firewall filter-nél viszont akkor a ping nem ment a két oldal között.
Most akkor ez a rész hibásan működik vagy a /ip firewall filter szabály mindenképpen kell és a raw rész csak egy kiegészítő hozzá?A harmadik dolog pedig miután felépült az ipsec kapcsolat próbáltam belépni az otthoni routerre winboxon keresztül. Be is lépett viszont olyan volt mintha üres lenne a router. Nem jelent meg semmi a logban, végignéztem pár menüt és azok is üresek voltak. Se address-es se network semmi.
Találkozott már ilyennel valaki?Köszi!
[ Szerkesztve ]
Hello darkness, my old friend...
-
Horvi
őstag
válasz Beniii06 #11060 üzenetére
Statikus szabályt nem adtam hozzá. Ha az /ip routes résznél akarom megoldani akkor gondolom a routes résznél kell hozzáadni egy új szabályt.
A filter rule-ok hanyagolása alatt mit értessz? Csak azokat a rule-okat raktam be amit a wikiben írtak.
Hello darkness, my old friend...
-
Horvi
őstag
válasz Beniii06 #11063 üzenetére
Áhh értem akkor azt egyelőre kihagyom. Csak írta a wiki ha be van kapcsolva a fasttrack akkor a csomagok kikerülik az IPsec policyt.
Viszont a távoli elérés még nem akar menni rendesen. Most ott tart a dolog, hogy félig meddig betölt 1-1 oldal de ilyen fél óra alatt, meg a weboldal egyes részei jelennek csak meg mint az 56k-s időkben Vagy mint amikor a DNS feloldás nem megy vagy csak akadozva.
Illetve még nem állítottam static route-ot de az akkor is kellene ha simán tudom pingelni az otthoni hapac2-n lógó NAS-t?
Hello darkness, my old friend...
-
Horvi
őstag
válasz Kenderice #11062 üzenetére
Nézd meg az /ip services részt. Ott találod a service-eket és ott tudod engedélyezni pl a webes elérést(www) a hozzá tartozó portot illetve azt is be tudod állítani, hogy milyen IP tartományról engedélyezed a belépést.
Kintről is el tudod érni a routert, belősz egy VPN-t és úgy pl.
Hello darkness, my old friend...
-
Horvi
őstag
Erre esetleg valami ötlet, hogy miért olyan lassú az elérés, hogy be sem tölti a NAS felületét meg a konténerek webes felületét?
Merre lenne érdemes keresgélni mert egyelőre elakadtam a dologgal.Hello darkness, my old friend...
-
Horvi
őstag
Hát úgy látszik próbálkoznak, de miért nem teszed a tiltó listára az IP-t? Vagy az SSH-t másik portra, esetleg ha nem használod az SSH-t akkor le lehet tiltani. Vagy korlátozni az SSH elérést csak a belső IP-kre. Van pár lehetőséged.
[ Szerkesztve ]
Hello darkness, my old friend...
-
Horvi
őstag
Érdemes lehet majd lecserélni a s2s ipsec-et wireguardra két hapac2 között?
Hello darkness, my old friend...
-
-
Horvi
őstag
Sziasztok,
Wireguard beállításában tudnátok segíteni? Két miki között szeretném összelőni de valahogy nem az igazi. Ez alapján csináltam, igaz az endpointok nekem dinamikus címek, ahol a mikrotik dyndns címét használtam. Illetve az endpointokhoz mindkét routernél hozzáadtam a wireguard leendő ip tartományát 10.10.10.0/30A Mikrotik-A LAN oldali IP tartomány 192.168.10.0/24, wireguard interface címe 10.10.10.2/30.
A Mikrotik-B LAN oldali IP tartomány 192.168.1.0/24 wireguard interface címe 10.10.10.1./30
A gond az, hogy a 192.168.10.0-ás tartományból nem tudom pingelni a 192.168.1.0-ás tartományt csak a Mikrotik-A wireguard addressét a 10.10.10.1-et.
Tudnátok segíteni, hogy mi lehet a gond? Tuti valami apróságot néztem el de nem jövök rá.
KösziHello darkness, my old friend...
-
Horvi
őstag
válasz ekkold #15591 üzenetére
Elvileg nem kellene. A leírás alapján az input chainbe hozzáadtam a tűzfal szabályt mindkét routernél ami a másik router publikus IP címéről engedi a forgalmat ha a wireguard portjára jön.
Illetve a két hálózat közötti forgalmat engedélyező szabályt is hozzáadtam a forward chainhez. De ez már amúgy is ott volt az ipsec miatt.
Más plusz szabály nincs, a routert a te leírásod alapján konfigoltam, azok a beállítások vannak benne mindkettőben.
Az amúgy nem kavarhat be, hogy jelenleg is él az ipsec kapcsolat a két router között?[ Szerkesztve ]
Hello darkness, my old friend...
-
Horvi
őstag
válasz Beniii06 #15598 üzenetére
Amúgy ha másnak nem legalább a két wireguard ip között nem kéne működnie a pingnek?
> ping 10.10.10.1 src-address=10.10.10.2
SEQ HOST SIZE TTL TIME STATUS
0 10.10.10.1 timeout
1 10.10.10.1 timeout
2 10.10.10.1 timeout
3 10.10.10.1 timeout
sent=4 received=0 packet-loss=100%Hello darkness, my old friend...
-
Horvi
őstag
válasz Reggie0 #15602 üzenetére
Elvileg ugye hozzáadtam mindkét routernél az endpointhoz a wireguard networkjét ami a 10.10.10.0/30 illetve az ellenoldali networkot amit el akarok érni.
Ez a wireguard és a peer beállítás a 192.168.10.0/24-es network oldali routeren:
[MikroTik] /interface/wireguard> print detail
Flags: X - disabled; R - running
0 R name="wireguard1" mtu=1420 listen-port=13231
private-key="xxxxxxxxx"
public-key="xxxxxxxxx"
[MikroTik] /interface/wireguard> peers/print detail
Flags: X - disabled
0 interface=wireguard1
public-key="xxxxxxxxx"
endpoint-address=xxxxxxxxx.sn.mynetname.net endpoint-port=13231
current-endpoint-address=xxx.xxx.xxx.xxx current-endpoint-port=13231
allowed-address=10.10.10.0/30,192.168.1.0/24 rx=0 tx=0[ Szerkesztve ]
Hello darkness, my old friend...
-
Horvi
őstag
válasz Reggie0 #15607 üzenetére
Hozzáadtam ezeket mindkét oldalon de így sem jó. Elvégeztem egy kísérletet saját gépről a 192.168.10.15-s címről.
Tudtam pingelni a saját GW-t 192.168.10.1(nyílván ment )
Lehetett pingelni az itthoni router wireguard ipjét is a 10.10.10.2-t
Lehetett pingelni a remote router wireguard ipjét is a 10.10.10.1-t.
Viszont a remote oldali router GW címét a 192.168.1.1-et már nem.Viszont ha mikrotikből indítok pinget az nem működik mindig timeoutot dob.
Hello darkness, my old friend...
Új hozzászólás Aktív témák
- EDIFIER R1700BTS hangfal pár makulátlan, új állapotban, 2 év hivatalos garanciával, alkalmi áron
- LG OLED55B23LA 2 Év GYÁRI GARANCIA
- Apple iPhone XR 128GB, Kártyafüggetlen, 1 Év Garanciával
- Gamer PC , i7 12700KF , RTX 3080 Ti , 64GB DDR5 , 960GB NVME , 1TB HDD
- Intel PC , i5 8500 , 1660 6GB , 32GB DDR4 , 512GB NVME , 500GB HDD
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen