- Samsung Galaxy Watch7 - kötelező kör
- Nem várt platformon a OnePlus Nord 5
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- Samsung Galaxy S21 FE 5G - utóirat
- Samsung Galaxy Watch (Tizen és Wear OS) ingyenes számlapok, kupon kódok
- One mobilszolgáltatások
- Samsung Galaxy Watch6 Classic - tekerd!
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- iPhone topik
- Honor Magic V2 - origami
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Marcelldzso
tag
válasz
sanzi89 #16198 üzenetére
Egy gyenge tipp:
A capsmanban a datapath-nál be van kapcsolva a local forwarding és talán bridge bejegyzés sincs kitöltve a lanra megfelelően.
- nyilván ez függ attól, hogy milyen módon kezeled az AP-kat. Van aki például kézzel hozzáadogatja adott bridghez az adott cap interfészt. -
sanzi89
addikt
Valakinek ötlet arra, hogy egy CAPsMAN-es WiFi hálózaton miért nem működik egy soundbar-ba épített Google Chromecast? Tünetek:
- Client-To-Client forward bekapcsolva, más esetben a WiFi-n lévő eszközök tudnak egymással kommunikálni
- Ha a laptop vezetéken van, akkor működik a WiFi-re kötött Google Chromecast
- Ha a laptop WiFi-n van, akkor ugyan csatlakozik a WiFi-re kötött Google Chromecasthoz, de a zene akad, torz, értetetlen zaj
- Ha a mobil WiFi-n van és megpróbálom megkeresni a hálózaton lévő Chromecast eszközöket, akkor meg se találja...Természetesen ha beröffentek egy Mikrotiket sima standalone AP-nak, vagy bedugom az ezer éves fos TP-Link-et, mindkettővel tökéletes minden. Öltetek mi lehet elkúródva a CAPsMAN-ben?
-
Audience
aktív tag
válasz
Marcelldzso #16196 üzenetére
Nekem is nagyon stabil a CHR. P1 lic van hozzá.
uptime: 3w16h46m43s
version: 7.1.1 (stable)
build-time: Dec/21/2021 11:53:05
factory-software: 6.0
free-memory: 352.5MiB
total-memory: 448.0MiB
cpu: Intel(R)
cpu-count: 1
cpu-frequency: 2394MHz
cpu-load: 1%
free-hdd-space: 989.5MiB
total-hdd-space: 1015.9MiB
write-sect-since-reboot: 274576
write-sect-total: 274577
architecture-name: x86_64
board-name: CHR
platform: MikroTik -
Marcelldzso
tag
Nálam itthon vmben fut a CHR és kapcsolódott korábban site to site egy rb750gr3-hoz míg le nem cseréltem most wireguard-ra. Szerintem mennie kellene. P Unlimited licenszel fut.
[admin@MikroTik CHR] > /system/resource/print
uptime: 3w8h20m25s
version: 7.1.1 (stable)
architecture-name: x86_64
board-name: CHR
platform: MikroTik -
Reggie0
félisten
/system logging add topics=wireguard,debug
-
Istv@n
aktív tag
Sziasztok!
Wireguard kérdés.... Hogy lehetne azt megoldani, hogy lássam a logban, ha esetleg csatlakozási próbálkozás van "kintről"? L2tp-nél elég részletesen látszik, hogy mi történik éppen, de a wireguard nem ír semmit a logba. (Nekem legalábbis...)
-
bacus
őstag
válasz
Reggie0 #16188 üzenetére
Nekem meg volt több leállás is. Igaz RB 5009-en, itt volt szó róla, hogy hardver hiba, de most megint 3 nap az uptime..
Többen panaszkodtam memory leak -re is, nekem a beállítom és fél évre elfelejtem típusú felhasználást preferálónak ez így még nem tűnik annak.
Sajnos még friss is annyira, hogy senkinek nem lehet ilyen tapasztalata.Addig maradnék a 6.os verzión ami tudom, hogy atomstabil.
-
-
Reggie0
félisten
-
válasz
Reggie0 #16184 üzenetére
Való igaz, hogy a wireguard elképesztő sebességben, de az ipsecnek is van létjogosultsága. Sajnos a wg mindenképp L3, L2 encapsulationt nem tud, míg az L2TP over IPSec vígan megoldja és van egyszerűen távoli DLNA szerverem. Mondjuk lehet megoldaná wireguardon az smcroute projekt is, de nekem nem sikerült egyelőre összehozni.
Szóval ha kell L2, arra egyelőre nem nyújt alternatívát tudtommal...
-
bacus
őstag
virtualboxba feltettem a saját gépemre is egy CHR-t, kipróbáltam a 6 os és 7-es verziót is. Ezekhez sem lehet egy rb-ból l2tp ipsec-el kapcsolódni, illetve ezekből sem. Windows kliens kapcsolódik a chr-ekhez, illetve két chr között is azonnal létrejön a kapcsolat.
Ez vagy valami bug vagy chr limitáció.
-
bacus
őstag
válasz
Reggie0 #16182 üzenetére
Egyenlőre egy dolgot találtam, amit nem is értek. l2tp ipsec a CHR és bármelyik mikrotik között nem megy, ami azért érthetetlen, mert az itthoni routerrel sem megy, miközben a mögötte lévő notebookról meg igen. (nem egyszerre).
Próbáltam fordítva is, azaz hogy a CHR a kliens, de pont ugyan ez a helyzet.
Elvileg nincs limitáció, de mégsem megy. IPSEC-t kikapcsolva az l2tp tökéletesen működik.
Igen, sajnos ez is egyéni vállalkozás, írtam egy support jegyet, de semmi válasz fél nap után sem
Itt a számlázás lesz érdekes, mert utalni egy kft részére kell, nem az EV részére.
-
bacus
őstag
válasz
Reggie0 #16180 üzenetére
Lemondtam a szolgáltatást (rackoo.net), nem tudom ajánlani. Egyszemélyes vállalkozás, család, kft, főiskola diploma írás mellett nincs ideje.
Mai válaszából kiderült, hogy scsi diskre volt állítva a disk típusa amit a mikrotik nem támogatott, átállította IDE diskre, ettől ugyan működött, de nem CHR licenszet telepített, hanem egy x86-os változatot. Ennek a free licensze (amit külön kell igényelni), nem ugyanaz, mint a CHR free licensze. Minden bootoláskor a lemezről akart bootolni, console indít, majd boot menü, átállítani honnan bootoljon, stb, elegem lett. Ez nem szolgáltatás.Viszont kicsit tovább kutatva (vps4you.hu) találtam ezt, ahol 5 perc alatt a legfrissebb CHR ketyegett. Van 3 nap demo, amikor kipróbálhatod.
Ez kb ugyanaz, mint amit te vettél az ATW.nél. Nekem a mikrotik egyszerűbb, mint ugyanezt egy linuxon konfigurálni, évi bruttó 10e forint körüli összegért kényelmesebb lesz az életem.A mikrotik tanfolyamaim miatt egyébként is van 4 licenszem, most egyet felhasználok ha a sebesség is szempont lesz.
-
Reggie0
félisten
Ez egyaltalan nincs igy. Az 1000-1500 forintos csomagokon is siman elfut a linux, nekem is igy van fix IP-m.
En ATW-nel vettem, 1GB ram, 10GB SSD tarhely, ennyi boven eleg a routinghoz. Havi 900 forint egy eves elore fizetessel.(Hiaba vettel C osztalyt regen, siman elvettek. Regen sokan sefteltek vele, nagyon keveseknek sikerult csak megtartani. Nekem is volt, de aztan elvettek ahogy fogyak az IP-k. Valami roman tartomany volt.).
-
bacus
őstag
válasz
Reggie0 #16177 üzenetére
Pont a ros erőforrás igénytelensége miatt szeretném, egy rendes linuxhoz több memória, háttértár kell, ezért a havi díja is jóval magasabb.
Kizárólag a fix IP cím a fontos, új ügyfeleknek szeretnék elérési pontot csinálni (új vpn, web szerver, pl), amit azután beforwardolok a meglévő szervereimre. Nem szeretném ha ütközés lenne a mostani portokkal. A havi 1500 Ft sokkal olcsóbb, mint ha az internet szolgáltatómtól tudnék még egy fix IP címet kérni. (amit szerintem nem is lehet - telekom vagy digi optika)
15 éve ajánlgatták, hogy megvehetnék egy 256 címből álló tartományt, nem is volt megfizethetetlenül drága, csak akkoriban nem tudtam elképzelni sem, minek kellene ez nekem, mit kezdjek vele. Ejj, ha vissza tekerhetném az idő kerekét..
Audience: egyszer már ajánlotta valaki - tesztként nekifutottam, de elakadtam valahol, még a saját magánfiókomban próbáltam, azóta is küldi a 0 EUR-ról a számlát, meg az egyéb leveleit, hogy pl lejárt a hozzá csatolt bankkártyám, stb. Nekem az azure bonyolult volt és a 10 dollár meg drágább is (pont 2x annyi jelenleg), mint a megrendelt (de még nem működő) szolgáltatás. Ha ez beindulna, nyilván utána már nem kell állandóan telepítgetni, csak fizetni a díjat, vélhetőleg elég lenne, de az indulás itt sem megy simán.
A cégemnek nincs bankkártyája és nem is szeretném hogy legyen. -
bacus
őstag
Megint úgy adódott, hogy kellett volna (kell most is), egy fix ip cím, meg egy mikrotik valahol a nagyvilágban. A cégem nevére meg számla, ami forintos és átutalással lehet fizetni.
Gyors keresés 1500 Ft bruttó, ez jó lesz, gondoltam naivan, megrendeltem, fizettem, majd ma rá 4 napra aktiválták. (rackoo.net - egyelőre senkinek nem ajánlom
) Volt mikrotik iso 6.48.2, jónak tűnt, de nem tudom életre kelteni. Irtam az ügyfélszolgálatnak, de olybá tűnik ez egy egyszemélyes cég...
(még két mikrotik iso van, 6.31 és 7.1 beta, de ezek sem működnek, a 7.1 béta legalább látszólag települ, de utána nem bootol be, a másik két mikrotik iso induláskor azt mondja, hogy nincs helyi lemez.)Szóval kellene nekem valami jól működő vps, ahol ez gyorsan, gondtalanul megvalósítható.
- mikrotik chr-t szeretnék futtatni
- magyar átutalással fizethető forintos számla
- 2e forint bruttó ár környékénHasznál valaki ilyesmit?
-
válasz
silver-pda #16174 üzenetére
Milyen irányban az APtől?
-
silver-pda
aktív tag
válasz
amargo #16135 üzenetére
Gyengébb alatt azt értettem, hogy hap ac2 esetén még volt jel, gyenge, hapac3 esetén a teló elvesztette a jelet, megszűnt a wifi. Routerek ugyanott voltak, teló is, csatorna ugyanaz, természetesen egyszerre csak egyik router wifije ment, így nem zavarták egymást.
Mindegy, majd a v7 a wifiwave2-val, ha javítják a "memory leak"-et, amit itt említettek már.@lionhearted: azért a közel 20 centis antennától többet vártam, hap ac2-ben belül 1-2 cm-es "antennák" vannak.
-
Tamarel
senior tag
válasz
Richárd22 #16171 üzenetére
Igen, pont ez van benne. így kezdődik:
Jan/18/2022 16:20:11 pppoe,ppp,debug,packet pppoe-out1: rcvd LCP TermReq id=0x3
Jan/18/2022 16:20:11 pppoe,ppp,debug,packet Peer not respondingKorábban már állítgattam a keepalive timeout értékét, de nincs hatása. Kikapcsolva is ez a helyzet.
Internet detection-t kerestem korábban, amit találtam az nem volt bekapcsolva. -
Richárd22
csendes tag
válasz
Tamarel #16165 üzenetére
Hogy jobban lehessen látni mi történik amikor eldobja a PPPOE kapcsolatot, érdemes aktiválni a System-->Logging-ot. Itt beállítod hogy logolja a PPPOE interfészt és azt a Disk-re, majd winboxon keresztül a files menüből elérve letölthetted a log.txt-t, és bele tudsz nézni.
Ott látni az egyéb finomságokat mint például hogy "peer not responding" stb. -
amargo
addikt
Valamiért erre nem emlékeztem, nálam a sima hAP AC3-as van LTE nélkül (a wAP tól kapom egy külön vlan-on az LTE-t azaz két külön eszköz).
Amúgy kíváncsiságból kérdezem, hogy az upgrade-et ilyenkor a Mikrotik, hogy csinálja?
Mert lehet érdemes lenne upgrade után "újra konfigolni" a parancsokat futtatva, hátha csak az upgrade process-be megy félre valami és azért leak-el.Reggie0: DoH-hoz cert update és DNS cache flush pl nálam is fut, na meg a backup.
-
iceQ!
addikt
válasz
amargo #16160 üzenetére
Nem azzal van gond, hogy 130 MB a szabad, hanem az hogy folyamatosan csökken a memória s egyszer csak elfogy(na). Egyébként pedig ITT írtam erről elsőnek a hibáról, Ekkor még csak 7.1 volt, stable. 7.1.1 is ugyan ezt a hibát produkálja. A hAP AC3 nálad is LTE verziós, ugye?
-
amargo
addikt
Ezért kérdeztem, a 130MB szabad memória az számomra nem jelenti a memory leak-et (nálam 160MB , már 28 napja), de ezek szerint, volt az kevesebb is nálad és egy idő után használhatatlan volt a rendszer (és végül elpusztult a rendszer -> nincs garbage collection), csak ez nem lett leírva, ezért kérdeztem, hogy nem kevered-e, de ezek szerint nem. Amúgy furcsa, mert nálam is hasonló a setup mint nálad és nincs folyamatos csökkenés.
jerry311: Én nem írtam olyat, hogy a memory leak az hasznos lenne, ebből két dolog következik vagy a mondatomat nem tudod értelmezni vagy nem tudod mi mi mire való? A másodikban tudok segíteni (az első sokszor nekem se megy
) pl: [link]
-
Tamarel
senior tag
válasz
Richárd22 #16149 üzenetére
Beállításban üres a Max MTU, viszont magától felismerte Actual MTU-nak és MRU-nak az 1480-at. Azét most beírtam az 1480-at, hátha nem mindig találja el.
Eddig szinte gyári beállításon volt (pppoe+2 port forward), tegnap este kiirtottam az ipv6-ot (ppp profile és ipv6 settings) és 1.4Gb-nál dobta el az eddigi 7-800Mb helyett.
Magyarul lehet high cpu az oka, ma megnézem. -
-
Statikus
senior tag
Sziasztok!
VPN kapcsolódáskor ezt a hibaüzenetet dobja Win10 néhány napja. Előtte egy pillanat alatt csatlakozott.
The l2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.Ma sok próbálkozás után egy másik gépen, mobilnetről beengedett.
Majd később már arról sem.Már mindent próbáltam, amit google kidob, de minden beállítás jónak tűnik.
A win10 szaródott el, vagy máshol keressem a hibát? Mikrobi és egyéb hálózati elemek nem változtak.
SSH-n a routert elérjük.
Köszi
-
bacus
őstag
válasz
Audience #16147 üzenetére
ahx4 - ezen 3 switch chip van, mindegyiken lehet egy bridge és marad a hw offload, feltéve, hogy nincs bekapcsolva az rstp..
Köszönöm a választ, én is ezt hámoztam ki közben nagyjából, hogy ez a megoldás, amit leírtál, bár az ahx4 switch chipjei nem támogatják a vlan táblát, így ha nem muszáj, akkor nem kell használni a routeren a portokat, inkább a mellette lévő crs switch dolgozzon.
Trunk port is csak 1 gigás, nincs sfp+ port a routeren.
-
Richárd22
csendes tag
válasz
Tamarel #16140 üzenetére
Nem maradt le véletlen a max MTU=1492?
Nekem az RB3011-em produkált hasonló tünetet. Ott az volt hogy ha áramszünet következett be vagy újra csatlakozott a PPPOE akkor be akadt, ugyanúgy mint nálad a képen, ilyenkor az egyetlen megoldás a backup volt (valószínű azon a backupon eltalálta milyen MTU-t kell használni). Végül rájöttem hogy lemaradt a max MTU és az megoldotta a problémát. -
Audience
aktív tag
Fogod a portokat hozzáadod a bridge-hez. Beállítod a PVID-et mindegyik portra. Bekapcsolod a bridge-en a VLAN filtering-et és kijelölöd az access és a trunk portokat. Több bridge felesleges és bukod a HW Offload-ot. Ha a routernek kell IP cím mindegyik tartományból akkor hozzáadod a bridge-hez VLAN portként egyesével az összes VLAN-t és a DHCP kliens-t a VLAN adapterekre rakod. Így mindegyiknek lesz IP-je a megfelelő VLAN-ból. Ha a DHCP a routeren van akkor pedig a DHCP server-t rakod az adott VLAN portra és adsz címet a megfelelő tartományból a VLAN adapternek.
A Switch-ek-nél beállítod a VLAN-okat a trunk és acces portokat és bekapcsolod mindegyiken a VLAN filteringet és a forgalom csak akkor megy el a router-ig ha inter VLAN routing-ra van szükséged. Ekkor viszont normális, hogy elmegy addig, ezt másként nem fogod tudni kezelni. Én ezért a trunk portokat SFP+ -ba rakott 10G-s optikával csinálom így nem gond ha átmegy rajtuk a forgalom.
-
iceQ!
addikt
válasz
amargo #16142 üzenetére
Memória azért van hogy használja, ne pedig felhasználja ha kell hanem. Nálam ez van most hogy 1 hét alatt elfogy, míg a 6.48as rendszer alatt nem. Tehát érted? Egyik alatt nem fogy el, másik alatt elfogy. Mire fogy el? Nem tudom, mivel nem fut pluszban semmi. Ugyan az a konfig.
Legelőször kb 20 MB volt szabadon. Ez normális? Túlzott használat jelző ide már kevés. -
amargo
addikt
A memória arra van, hogy használják (lásd az összes rendszer így működik megfelelően gyorsan).
Ezért a sokat zabál fel az értelmezhetetlen dolog (az jobban tetszene, ha a 90%-a kihasználatlanul lenne benne vagy nem értem?), de ezek alapján nem is leak-el a memória nálad, hanem a túlzott használatod érezed annak?
-
-
-
bacus
őstag
válasz
jerry311 #16134 üzenetére
De még nem igen tudok se frissíteni, meg nincs mire downgradelni sem.
Egyébként a ledek villognak, mintha lenne forgalom, csak épp nincs bridge, nincs dhcp server, mac -en sem elérhető.
Nekem is volt 16-18 nap uptime, de nem volt intenziv a használat a két ünnep között, most meg az, illetve azóta vannak hülyeségek mióta az ipv6-t megint megpróbáltam életre kelteni.
(sikerrel a lan eszközökön és kudarccal a wifis eszközökön.)
A mobiltelefonokon leállt egy csomó app ami használta az ipv6-t (nem kaptak átjárót), amit csak úgy tudtam megoldani, hogy az ipv6 settings menüben letiltottam az ipv6-t. (ros 7 alatt van ilyen).Egyelőre nem hiszek a hardver hibában, várnék valami ros frissítésre.
-
amargo
addikt
válasz
silver-pda #16127 üzenetére
Számomra nem világos a gyengébb alatt mit értesz?
Nekem van mind a két estközöm és az ac3 messze erősebb jelet produkál mint az ac2-es. Gyakorlatilag nálam 3 szint van, a középsőn van a fő router és most a tetőtéri szenzoron kívül minden az ac3-ra csatlakozik a wap-ra szinte senki nem megy, pedig azaz emeleten van.
-
jerry311
nagyúr
Nálam hozzáértő volt az eladó cég, a supportjuk nézegette a logokat egy ideig, a 2 hónap alatt jött pár új ROS is, de nem segített. Cserélték, a másodiknak nincsenek ilyen problémái. Amit tavaly ősszel vettem (jóval a gyártás megkezdése után ugye), az is stabil.
De amikor az első 4011-re panaszkodtam, akkor kb. ugyanígy megkaptam, hogy új modell, lehetnek még gyerekbetegségek a gyártásban, mert a Mikrotik "ilyen". -
Reggie0
félisten
válasz
lionhearted #16132 üzenetére
Meg mas az iranykarakterisztikaja, ami mondjuk az integralt antennaknak jellemzoen nem olyan jo, igy azert a kulso antennatol jogosan lehet javulast remelni.
-
válasz
silver-pda #16127 üzenetére
A nagy antenna a vételi érzékenységet növeli, az adóteljesítmény jogilag korlátozott. Arról nem is beszélve, hogy a fizikát nem lehet meghazudtolni, az antenna nyereségnek vannak hátulütői.
Tehát önmagában a nagy antennától kliens oldalon jobb letöltést (ha ebben mérjük az "erősségét", nem fejtetted ki), hiú ábránd volt. A v7-ben lévő wifiwave2 csomagtól viszont lehet várni. -
bacus
őstag
Kezd nem unalmas lenni az 5009 -el az élet, elkezdett fagyogatni, gyakorlatilag teljesen elérhetetlen lesz a router, csak táp kihúz bedug után áll helyre. Család már úgy jár áramtalanítani, mint ha a leggagyibb kínai routert használnánk.
Jöhetne már valami frissítés, mert az, hogy valami nem működik még, az elfogadható, de hogy lefagy, az nagyon nem.
-
silver-pda
aktív tag
Kicsit többet vártam ettől a hap ac3-tól (nem LTE) wifi-n. Úgy tűnik, hogy ugyanarról a helyről, ahol egy hap ac2 volt előtte, gyengébb, mint a hap ac2. Pedig hap ac2-n csak belső antenna van, hap ac3-n meg 2 nagy külső.
Igaz, még v6 van rajta, v7-tel várnék kicsit.
Más: másnak is sok forward invalid csomagja van? (invalid forward: in:bridge out:ether1) - chain=forward action=drop connection-state=invalid log=yes log-prefix="invalid"
-
bacus
őstag
VLAN -os kérdésem lenne. Az tiszta, hogy a routeren hogyan csinálok trunk portot, de mi van akkor, ha a routeren lévő további portokat is szeretném használni (mint access portokat).
Tehát pl eth1- trunk port , ebben van VLAN10, VLAN20,VLAN30, de eth2 és 3 az a VLAN10 Access portja kellene legyen, a eth4 és eth5 VLAN20-é, stb
Az működik, ha a routeren bridge10, bridge20, bridge30 kap ip címet, dhcp servert, majd a
bridge10-be megy a VLAN10, eth2, eth3 , bridge20-ba VLAN20, eth4,eth5?Hogy kellene ezt a routeren JÓL megcsinálni? Az a gondolatom, hogy mikor két eszköz kommunikál, azt nem akarom hogy switch access portjából felmenjen a routerbe trunk porton, majd onnan vissza a switchbe ismét a trunk porton és át egy másik vlan access portjába.
Remélem érthető voltam, valahogy nem tiszta ez a rész sem.
De lehet csak én bonyolítok túl valamit.
-
Horvi
őstag
válasz
Marcelldzso #16124 üzenetére
Hát ha rájön az ember utána már nem akkor truváj
Én következőnek azt akarom belőni, hogy telóval is tudjak csatlakozni a mikihez és akkor nem kell dockeres szerverrel bohóckodni .
-
Horvi
őstag
válasz
Marcelldzso #16122 üzenetére
Már a wireguard működésre bírásával is elégedett vagyok. Persze az ötöslottóra sem mondanék neme
-
Horvi
őstag
válasz
Marcelldzso #16119 üzenetére
Szia,
Végül megoldódott a probléma. Nem a NAT szabály volt a ludas hanem maga az IPsec policy. Az egyik oldalon kikapcsoltam(ezzel lőttem le az ipsecet és így teszteltem) a másikon viszont nem. Így a másik oldal a visszafele csomagot a policy alapján az ipsec tunnelen akarta küldeni encryptálva.
Kilőttem az ellenoldalon is a policyt és most már működik. De mit össze szívtam vele. Na mindegy ebből tanul az ember.
Most már csak a firewall szabályokat nézegetem, hogy akkor végül melyik kell nekem és milyen sorrendben érdemes berakni őket. Meg az MTU-t állítgatom a wireguard interfacen, hogy hátha nyerek egy kis sebességet.
Köszi mindenkinek a segítséget! -
Horvi
őstag
válasz
ekkold #16113 üzenetére
Köszi, még egy kérdés ehhez. A leírásban volt egy ilyen input szabály is:
/ip/firewall/filter
add
action
=accept
chain
=input
dst-port
=13231
protocol
=udp
src-address
=192.168.80.1
Erre szükség van? Mert ha nem engedélyezem akkor is működik a kapcsolat(sikerült végre megpatkolni).
Arra tippelnék, hogy emiatt nem kell, a te leírásod alapján konfigoltam a routert:Az Estabilished csomagok átengedése:
/ip firewall filter add chain=input connection-state=established action=accept comment="Established connections"
pzoli888 - De routerenként mindhárom allowed tartomány ott van. -
Horvi
őstag
válasz
ekkold #16110 üzenetére
A wireguardnál is számít, hogy a forward-ban ez a típusú rule a fasttrack előtt legyen mint az IPsecnél? Vagy elég ha csak az első drop előtt van?
/ip/firewall/filter
add
action
=accept
chain
=forward
dst-address
=10.1.202.0/24
src-address
=10.1.101.0/24
add
action
=accept
chain
=forward
dst-address
=10.1.101.0/24
src-address
=10.1.202.0/24
-
válasz
yodee_ #16108 üzenetére
1280 a WAN bridge (ezt nem is tudom állítani)
1200-ra vettem le a WG-étannyit még hozzá kell tenni, hogy külön interface-t csináltam végül ennek a kapcsolatnak, tehát most a két WireGuard kapcsolat két külön WG interface-en fut.
(nem tudom, hogy ez befolyásol-e bármit, de gondoltam leírom) -
ekkold
Topikgazda
válasz
kis20i #16106 üzenetére
A mikrotiknél, az allowed addres mezőben simán megadható 0.0.0.0/0, mert úgyis a routing szabályok határozzák meg, hogy melyik csomagot küldi át rajta.
Más oprendszereknél a konfigban szereplő allowed address alapján routingol (pl. windows, android) ott fontos pontos beállítás. -
Horvi
őstag
válasz
kis20i #16106 üzenetére
Köszi ezeket megnéztem. Az allowed tartományban ezek vannak:
10.10.10.0/30(WG), 192.168.10.0/24(siteA), 192.168.1.0/24(siteB).
Ha a siteA-ról a terminálból indítok egy pinget a 192.168.1.20-ra(NAS) az működik, viszont ha a pcmről(192.168.10.15) indítok pinget a CMD-ben akkor már bukta. -
-
kis20i
tag
Amikkel én jókedvű, mosolygós perceket szereztem magamnak:
- A WG interface IPje nem lehet azonos tartomány a két hálózattal
- Allowed Addresshez legalább 3 tartomány kell, a két hálózat, meg a WG tartománya
- Route szabály, de az Nálad rendben
Egyébként nekem is a WG interface van megadva a route listában, szépen működik. Van 1 WG kifele, 2 site to site befele, meg a mobilok, laptopok, szépen mennek. -
-
ekkold
Topikgazda
válasz
Reggie0 #16075 üzenetére
Kisérleteztem egy kicsit. PPTP-vel, majd Wireguard-al kapcsolódtam helyben az RB5009-hez , majd a CCR1009-hez. A sebességet a speedtest.net-hez kapcsolódva mértem, böngészőben. Ez annyiból "igazságtalan", hogy a routereknek NAT-olni is kellett a mérés közben, ill az RB5009-nek a PPPOE-t és a tűzfalszabályokat is kezelnie kellett közben, és a fasttrack is aktív volt.
A kliens mindegyik mérésnél asztali PC volt.
Letöltési sebességek, speedtest.net-el mérve:
PPTP RB5009:608Mbps CCR1009: 540Mbps
Wireguard: RB5009:557Mbps CCR1009: 598MbpsTehát ezzel a méréssel a két router teljesítménye igencsak hasonló.
Érdekes, hogy a kisebb routereken a wireguard jóval gyorsabb mint a PPTP, ezeken viszont nem jelentős a különbség.
Mivel korábban felvetettem válaszolok magamnak RB5009 vs CCR1009
RB5009
- új modell, modern processzor,
- kevesebb maggal tudja ugyanazt a teljesítményt, a nem osztható feladatokban jobb lehet
- kevesebb energiafogyasztás (valószínűleg)
- 2,5Gbps rezes port
- fizikailag kicsi méret
CCR1009:
- profi/ipari kivitelű fém ház,
- profi hőcsöves hűtés (nyilvánvaló hogy ez iparibb kivitel, az RB5009 a teljesítménye ellenére inkább soho/home router)
- kiforrott, nagy teljesítményű 9 magos processzor típus,
- minden port közvetlenül a processzorhoz "huzalozva", nincsenek switch chipből eredő korlátok
- soros konzol
- fizikailag ez is kicsi, de az RB 05u magasságához képest ez 1u magas
- iparibb kivitelre jellemzően több dolog monitorozható, pl. CPU hőmérséklet, belső hőmérséklet, tápfeszültség, áram és teljesítmény felvétel,
Új hozzászólás Aktív témák
Hirdetés
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest