Hirdetés

Hozzászólok Aktív témák

  • bambano

    titán

    LOGOUT blog

    funkcionális analfabéták kedvéért akkor megmagyarázom:
    A kolléga azt írta, hogy nem tudja eldönteni, mi a különbség. ez alapján feltételeztem, hogy utánanézett, és mégsem tudja eldönteni. Ha utánanézett pl. itt, akkor ezt láthatta:

    "The RB951Ui-2HnD is a wireless SOHO AP with a new generation Atheros CPU and more processing power. It has five Ethernet ports, one USB 2.0 port and a high power 2.4GHz 802.11b/g/n wireless AP with antennas built in.". Kiemelem még egyszer: 5 ethernet portja van. Ez a hivatalos gyári infó.

    Nekem négy page down gomb megnyomása után jön az infó, hogy ez a port 10/100-as, ez már lehet, elkerülte a kolléga figyelmét. Azt meg nyilván nem tudhatja mindeki, hogy a mikrotiknek mi a szavajárása.

    Fentiekre tekintettel a hozzászólásom pontos volt, felesleges volt kijavítással próbálkozni.

    lezso6 szerint a user: rossz számtech karmája van | @netik: There is no Internet of Things. There are only many unpatched, vulnerable small computers on the Internet.

  • djmorphy

    tag

    Sziasztok!

    Köszönöm szépen a segítséget. Valóban benéztem, mert CPU-ban meg RAM-ban kerestem az eltérést valamiért eszmbe se jutott, hogy nem gigabites.

  • feel2006

    tag

    Többen válaszoltak már, de szerintem ez a jövőben segítségedre lehet. :)

    Manual: Product Naming

    [ Szerkesztve ]

    Mikrotik-Hu {MTCNA, MTCUME, MTCWE} | -unofficial- | https://www.facebook.com/groups/mikrotikhu/

  • ssarosi

    tag

    Kipróbáltam a capsman-t.
    Lehetséges hogy ezen keresztül nem lehet virtual-ap -t létrehozni/kezelni?
    Mert eddig nem sikerült megtalálnom hogy hogyan kéne.

    [ Szerkesztve ]

  • csusza`

    senior tag

    Lehet, a cAPSMAN-ban hozz létre még egy konfigurációt és állítsd be a provisioningnál, hogy berakja slave confignak.

    Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

  • feel2006

    tag

    Ahogy csusza megírta, működik igen. :)

    Mikrotik-Hu {MTCNA, MTCUME, MTCWE} | -unofficial- | https://www.facebook.com/groups/mikrotikhu/

  • traders

    tag

    Sziasztok!

    Abban szeretnék segítséget kérni hogy vagy két eltérő lakásban lévő hálózat, mindkettő mikrotik routerrel van felszerelve ugyanazzal a beállításokkal (a két rendszer egymás "klónjai") rádugva mediaserverrel és abban szeretnék segítséget kérni hogy laptopról a másik hálózatra szeretnék VPN-nel kapcsolódni.

    A probléma az hogy sikerül a VPN kapcsolat csak éppen mivel ugyanaz a subnet (192.168.0.1) ezért ha szeretnék "A" pontból a "B" ponti mediaszerverre kapcsolódni (amiknek mivel "klónok" ugyanaz az IP-jük, 192.168.0.2) mindig az aktuális hely szerverére kapcsolódik teljesen érthető módon.

    Próbáltam valami szabályt létrehozni a routolásra de nem igazán sikerül. Természetesen ha megváltoztatom a subnetet vagy akár az egyik mediaserver IP-jét bármelyik hálózaton akkor tökéletesen működik, de pont ezért szeretném megtartani ezeket a beállításokat hogy egyforma legyen a két helyen.

    Előre is köszönöm a segítséget!

    Az élet olyan nemi úton terjedő betegség, amelynél a halálozási arány 100%

  • Core2duo6600

    veterán

    Ha teljesen meg akarod tiltani a kommunikációját az adott gépnek akkor input - al, és akkor a router nem áll szóba az adott géppel.
    Ekkor lan kapcsolatod sem lesz.

    Én a NASra bíztam a VPN kezelést, openvpn-t használok, a NAS nak több cpu ereje van erre.

    Asus Z97 Deluxe , Core i7 4790, Asus ATI Radeon 5870, 32 GB Kingstone DDR3 1600, Samsung SSD, Dell Latitude 6430

  • Zwodkassy

    aktív tag

    Vki használta már a Bridge Nat funkcióját? Mennyire terheli a router-t?

  • Ablakos

    őstag

    A Capsman nekem is kicsit homály. Van négy eth. port, amelyeken az AP kliensek bejönnek a routerre. Ha switchelve vannak ezek a portok a masterrel, akkor nem kapnak IP címet a kliensek. (Ragaszkodom, hogy a dhcp server "központosítva" csak a routeren legyen.) Ha softveres bridge teszem a master porttal ezeket az eth. portokat, akkor tökéletes minden. Nem tudom mi a fene különbség van, hiszem mindkettő layer 2 kapcsolat. :F
    Nem is rugóznék ezen, csak ha a master port is bridge-n van, akkor a nem működik a fasttrack connection. Így meg elég halovány NAT képessége van a CRS125-nek. :O

  • csusza`

    senior tag

    Én is össze szoktam switchelni a lábakat, de a master portot akkor is a bridge-be teszem, ha csak mondjuk egyetlen ethernet lábon megy ki a hálózat.

    Bridge-s hálózaton semmi bajom nincs a cAP kezeléssel. Simán switchelve még nem is próbáltam.

    Egyébként szerintem a capsman csak bridge-lt hálózaton megy, mivel a datapath-nál bridge-t lehet megadni csak neki, ha jól emlékszem.

    Viszont, ez kényelmessé teszik a dolgokat, mert ha pl. két SSID-t szóratsz és két teljesen külön hálózatra tudsz felkapcsolódni, a datapath-nál más-más bridge-ket adhatsz meg.

    Tényleg, ezzel kapcsolatban kérdés: technikailag ez egyébként rendben van? Van egy static management IP-je a cap-oknak, szórnak egy office SSID-t ugyanazon a datapath bridge-n, mint amiben a management IP van, illetve adott esetben egy guest-et, aminek a datapath-ja másik bridge-re mutat. Gondolom pontosan ez az, amiért a capsman egyáltalán létezik.

    Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

  • brickm

    őstag

    Sziasztok!

    SSH privát kulcsos belépést próbálok elsajátítani itthonra, de jutub videot követve sem sikerül.
    Amit csináltam:
    ubuntu bashból generáltam egy ssh kulcsot:
    #ssh-keygen -t dsa
    passw:proba1

    ezt a két fájt felmásoltam a mikrotikre scp-vel, majd a users menüben hozzáadtam a user1-hez beírtam ott is a kódot.
    Publik key az id-dsa.pub; privát a id-dsa
    egy TXT-be kimásoltam a privát kulcsot majd bejelentkezést kezdeményeztem bashból:
    #ssh user1@mikrotik.net -p 40022 -t privkey.txt

    De csak kéri a kódot és Putty beenged a kóddal fájl nélkül is. Mit csinálok rosszul?

  • brickm

    őstag

    Ezt (is) próbáltam mielőtt írtam, de nem vált be sajnos, ezért írtam.
    action=drop chain=input comment="Drop DAHUA IP CAM" src-address=192.168.0.10

    Sajna ugyan úgy pingelhető és kommunikál is a hálón.

  • bambano

    titán

    LOGOUT blog

    szerintem ha nem akarsz jelszót a bejelentkezéskor, akkor a kulcsnak sem kell jelszót adni.
    ssh-keygennél enter.

    lezso6 szerint a user: rossz számtech karmája van | @netik: There is no Internet of Things. There are only many unpatched, vulnerable small computers on the Internet.

  • brickm

    őstag

    Ezt próbáltam, de sajnos ez fogadott:
    root@DESKTOP-SSPLVJA:~/.ssh# ssh user1@mikrotik.net -p 40022 -i key.txt
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    @ WARNING: UNPROTECTED PRIVATE KEY FILE! @
    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
    Permissions 0777 for 'key.txt' are too open.
    It is required that your private key files are NOT accessible by others.
    This private key will be ignored.
    Load key "key.txt": bad permissions
    user1@mikrotik.net's password:

    Akkor nem kér csak kódot, ha magának a user-nak nem adok mikor létrehozom, csak üresen hagyom, de akkor kulcs se kell, simán beenged.

  • bambano

    titán

    LOGOUT blog

    "Permissions 0777 for 'key.txt' are too open."

    a key.txt védelmi kulcsát be kell állítani úgy, hogy csak a tulajdonosa olvashassa.

    chmod 600 key.txt

    [ Szerkesztve ]

    lezso6 szerint a user: rossz számtech karmája van | @netik: There is no Internet of Things. There are only many unpatched, vulnerable small computers on the Internet.

  • djmorphy

    tag

    Köszönöm szépen!
    Most már elmentettem olyan helyre ahol tényleg meg is találom :)

  • brickm

    őstag

    Így nem dobja a hibaüzenetet az elejére de a tényállás változatlan, kulccsal is beenged meg anélkül is.
    pedig..: nem olyan bonyolult így ránézésre

    ----
    szerk.: na asszem sikerült.
    Szóval legenerálod az SSH kulcsokat, majd a ROS-ben nem SSH priv. keys-nél rendeled a kulcsot a user-hez, hanem melltte az SSH keys-ben. (a *.pub-ot)
    A key.txt-be kimásolod a privát kulcsot chmod 600- nem jó a tulajdonos Ír ÉS olvas mód, csak a tulajdonos OLVAS!!!

    Ezután ha hozzárendeled a kulcsot beenged, ha nem kóddal se.
    Nehéz szülés volt, logikáját még nem értem de ok.

    Másik, ezaz scp -P 40022 || ssh -p 40022 kiégette a lelkem finoman szólva :) nem lehetett volna egyformára tervezni őket ááá.

    Köszi a segítséget!

    [ Szerkesztve ]

  • brickm

    őstag

    Ezzel a kérdésemmel kapcsolatban annyit, hogy nem lehetséges, hogy maga az eszköz tud valamiféle hálózati kényszerítést csinálni?
    Csak mert ugye a lent említett tűzal sor után is pingelhető, igen ám, de ha alapból az egész hálózatra teszek egy ICMP csomag drop szabályt minden más pingelhetetelen, kivéve a kamera....Őt lehet pingelni akkor is a PC-ről, míg se a routert, se az AP-t se a telefont....

  • brickm

    őstag

    Bocs a sok uj posztért, de szerkesztési időn kívül jönnek az ötletek.
    Ez konkrétan mit akar egyébként?
    The authenticity of host '[d------.org]:40022 ([188.----]:40022)' can't be established. key fingerprint is SHA256:RHB**********HDmZbjjL5/I2T2Tf****Wo0aY. re you sure you want to continue connecting (yes/no)? yes

  • Lezl

    tag

    Teljesen amatör kérdés.
    Adott egy szűrésekkel beálított mikrotik, ahol a lanon lévő kliensek egymást nem érik el csak kifelé a net felé kommunikálhatnak, hogy tudom beállítani hogy 2 adott ipjű gép egymást elérje, ha nem is bármilyen porton de legalább 1en?

  • Lezl

    tag

    Minden bizonnyal jó :) Csak nem túlzottan látom át a konfigot, mit kéne keresnem hogy néz ki normál esetben egy ilyen szűrés? Van bent vagy 30 szabály... a tűzfalnál. Süsü vagyok hozzá.
    A dhcp ip kiosztás sávszél korlátozás rész sima külső port átengedés dolgok mennek pl ezt a portot simán kiengedni tudom de lanon a 2 gép valami szabálllyal teljesen el van zárva...próbálkoznék szabályokkal, csak egy éles rendszer rajta 500 klienssel annyira nem lenne jó ha mindenki eldobná a kapcsolatot :)

    [ Szerkesztve ]

  • user12

    aktív tag

    Ha nem tudod vagy nem akarod a tiltó szabályt törölni, úgy is megoldható, hogy a két IP cím (vagy MAC address, ami biztosabb) között a kommunikációt engedélyező tűzfalszabályt készítesz (de ez esetben az engedélyező szabály meg kell előzze a tiltót a listában).
    Konzolról ha kilistázod (/ip firewall export) és beírod ide, akkor valaki egész biztos, hogy tud segíteni benne.

    Rendszergazda vagyok....ha röhögni lát, mentsen

  • bacus

    senior tag

    30 szabály? Akkor az csak valami alap konfig lehet, pasteld ide be az egészet, hadd lássuk.

    "Nagyon rossz lány voltam. Meg kell büntess !" nyögte a fülembe, így aztán telepítettem a windows 10-t a laptopjára... https://www.paypal.me/engiman/20

  • Lezl

    tag

    Itt a konfig, van benne sok dolog ami nem is kell már

    # nov/01/2017 14:17:44 by RouterOS 6.40.4
    # software id = 8C8Z-IPKS
    #
    # model = CCR1009-8G-1S
    # serial number = 49130427F4E3
    /ip firewall address-list
    add address=89.132.155.172 comment="Saj\E1t SMTP szerver" list=smtp-szerverek
    add address=195.70.49.106 comment=smtpauth.upcbusiness.hu list=smtp-szerverek
    add address=213.46.255.2 comment=smtp.monornet.hu list=smtp-szerverek
    add address=89.135.50.60 comment="Ez a cim kiv\E9tel az smtp szures alol" list=\
    kivetelek
    add address=70.86.5.44 list=smtp-szerverek
    add address=194.149.13.163 comment=smtp.datanet.hu list=smtp-szerverek
    add address=62.112.194.45 comment=smtp.datanet.hu list=smtp-szerverek
    add address=194.149.13.165 comment=smtp.datanet.hu list=smtp-szerverek
    add address=194.149.13.161 comment=smtp.datanet.hu list=smtp-szerverek
    add address=195.70.57.133 comment=smtp.mediacenter.hu list=smtp-szerverek
    add address=84.2.44.3 comment=mail.t-online.hu list=smtp-szerverek
    add address=84.2.45.3 comment=mail.t-online.hu list=smtp-szerverek
    add address=84.2.46.3 comment=mail.t-online.hu list=smtp-szerverek
    add address=192.168.190.10 comment="Ez a cim kiv\E9tel az smtp szures alol" \
    list=kivetelek
    add address=192.168.190.212 comment="Ez a cim kiv\E9tel az smtp szures alol" \
    list=kivetelek
    add address=79.172.252.54 comment=Premiumos list=smtp-szerverek
    add address=178.238.222.15 comment=Premiumos list=smtp-szerverek
    /ip firewall filter
    add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
    disabled=yes
    add action=drop chain=forward comment="Drop dhcp leased ips on PPPoE interface" \
    src-address=192.168.180.2-192.168.180.254
    add action=drop chain=forward comment="Drop DCOM" dst-port=135 protocol=tcp
    add action=drop chain=input comment="Drop Telnet attempts" dst-port=23 \
    protocol=tcp
    add action=drop chain=input comment="Drop Invalid connections" \
    connection-state=invalid
    add action=accept chain=forward dst-address=192.168.190.0/23 protocol=tcp \
    src-address=192.168.190.10
    add action=accept chain=forward dst-address-list=smtp-szerverek dst-port=25 \
    out-interface="UPC Port 1" protocol=tcp
    add action=accept chain=input comment="Allow Established connections" \
    connection-state=established
    add action=accept chain=input comment="Allow UDP" protocol=udp
    add action=accept chain=input comment="Allow ICMP" protocol=icmp
    add action=drop chain=forward comment="drop invalid connections" \
    connection-state=invalid protocol=tcp
    add action=accept chain=forward comment="allow already established connections" \
    connection-state=established
    add action=accept chain=forward comment="allow related connections" \
    connection-state=related
    add action=drop chain=forward comment="block bad IP" src-address=0.0.0.0/8
    add action=drop chain=forward comment="block bad IP" dst-address=0.0.0.0/8
    add action=drop chain=forward comment="block bad IP" src-address=127.0.0.0/8
    add action=drop chain=forward comment="block bad IP" dst-address=127.0.0.0/8
    add action=drop chain=forward comment="block bad IP" src-address=224.0.0.0/3
    add action=drop chain=forward comment="block bad IP" dst-address=224.0.0.0/3
    add action=jump chain=forward comment="jumps to new chains" jump-target=tcp \
    protocol=tcp
    add action=jump chain=forward comment="jumps to new chains" jump-target=udp \
    protocol=udp
    add action=jump chain=forward comment="jumps to new chains" jump-target=icmp \
    protocol=icmp
    add action=drop chain=tcp comment="deny TFTP" dst-port=69 protocol=tcp
    add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 protocol=\
    tcp
    add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 protocol=\
    tcp
    add action=drop chain=tcp comment="deny NBT" dst-port=137-139 protocol=tcp
    add action=drop chain=tcp comment="deny cifs" dst-port=445 protocol=tcp
    add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp
    add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 protocol=\
    tcp
    add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp
    add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\
    tcp
    add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 protocol=tcp
    add action=drop chain=udp comment="deny TFTP" dst-port=69 protocol=udp
    add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 protocol=\
    udp
    add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 protocol=\
    udp
    add action=drop chain=udp comment="deny NBT" dst-port=137-139 protocol=udp
    add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp
    add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=\
    udp
    add action=accept chain=icmp comment="drop invalid connections" icmp-options=\
    0:0 protocol=icmp
    add action=accept chain=icmp comment="allow established connections" \
    icmp-options=3:0 protocol=icmp
    add action=accept chain=icmp comment="allow already established connections" \
    icmp-options=3:1 protocol=icmp
    add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 \
    protocol=icmp
    add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
    protocol=icmp
    add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
    protocol=icmp
    add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
    protocol=icmp
    add action=drop chain=icmp comment="deny all other types"
    add action=drop chain=udp comment="deny dhcp" dst-port=67-68 protocol=udp
    add action=accept chain=input comment=\
    "Allow access to router from known network" src-address=192.168.255.0/24
    add action=accept chain=input comment=\
    "Allow access to router from known network" src-address=192.168.190.0/24
    add action=accept chain=input src-address=10.0.0.0/8
    add action=accept chain=input src-address=89.135.50.64/26
    add action=accept chain=input src-address=89.135.50.64/26
    add action=accept chain=forward src-address=89.132.156.147
    add action=drop chain=input comment="Drop anything else"
    add action=add-src-to-address-list address-list=smtp-spammer \
    address-list-timeout=4w2d chain=forward dst-address-list=!smtp-szerverek \
    dst-port=25 out-interface=UPC protocol=tcp
    add action=drop chain=forward dst-port=25 out-interface="UPC Port 1" protocol=\
    tcp src-address-list=!kivetelek
    /ip firewall mangle
    add action=mark-routing chain=prerouting comment=\
    "UPC primary - IP range (alap tartomany)" disabled=yes dst-address=\
    !89.132.155.172 new-routing-mark="UPC primary" passthrough=no src-address=\
    89.132.155.160/29
    add action=mark-routing chain=prerouting comment=\
    "UPC primary - IP range (extra tartomany)" disabled=yes dst-address=\
    !89.132.155.172 new-routing-mark="UPC extra tartomany" passthrough=no \
    src-address=89.132.156.128/27
    add action=mark-routing chain=prerouting comment=\
    "UPC primary - IP range (extra tartomany)" disabled=yes dst-address=\
    !89.132.155.172 new-routing-mark="UPC extra tartomany 2" passthrough=no \
    src-address=89.135.54.0/25
    add action=change-mss chain=forward new-mss=clamp-to-pmtu protocol=tcp \
    tcp-flags=syn
    /ip firewall nat
    add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
    disabled=yes
    add action=masquerade chain=srcnat out-interface="UPC Port 1" src-address=\
    10.10.10.0/24
    add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.190.212 \
    dst-port=18767 protocol=tcp src-port=18767 to-addresses=192.168.190.212 \
    to-ports=18767
    add action=dst-nat chain=dstnat disabled=yes log=yes protocol=tcp src-address=\
    192.168.190.212 src-port=18767 to-addresses=192.168.190.10 to-ports=18767
    add action=src-nat chain=srcnat comment=\
    "Apartman nem publikus cimek mas forrasra natol\E1sa" disabled=yes log=yes \
    protocol=tcp src-address=192.168.190.212 src-port=18767 to-addresses=\
    192.168.190.10 to-ports=18767
    add action=src-nat chain=srcnat comment=\
    "Apartman nem publikus cimek mas forrasra natol\E1sa" out-interface=\
    "UPC Port 1" src-address=192.168.190.0/23 to-addresses=89.135.50.65
    add action=src-nat chain=srcnat comment=\
    "Apartman nem publikus cimek mas forrasra natol\E1sa" disabled=yes \
    dst-address=!91.120.14.98 out-interface=UPC src-address=192.168.190.0/23 \
    to-addresses=91.120.14.129
    add action=src-nat chain=srcnat comment="TESZT gep/port natol\E1sa" disabled=\
    yes dst-address=!91.120.14.98 out-interface=UPC src-address=\
    192.168.254.0/24 to-addresses=91.120.14.129
    add action=src-nat chain=srcnat comment="TESZT gep/port natol\E1sa" \
    dst-address=!89.132.155.172 out-interface="UPC Port 1" src-address=\
    192.168.254.0/24 to-addresses=89.135.50.65
    add action=src-nat chain=srcnat comment=\
    "PPPOE nem publikus cimek mas forrasra natol\E1sa" disabled=yes \
    dst-address=!91.120.14.98 out-interface=UPC src-address=10.0.0.0/24 \
    to-addresses=91.120.14.129
    add action=src-nat chain=srcnat comment=\
    "PPPOE nem publikus cimek mas forrasra natol\E1sa" dst-address=\
    !89.132.155.172 out-interface="UPC Port 1" src-address=10.0.0.0/24 \
    to-addresses=89.135.50.65
    add action=masquerade chain=srcnat comment="Mail szerver NATol\E1sa" disabled=\
    yes out-interface="UPC Port 1" src-address=192.168.255.0/24 to-addresses=\
    91.120.14.97
    add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
    89.135.50.65 dst-port=22 protocol=tcp to-addresses=192.168.255.1 to-ports=\
    22
    add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
    89.135.50.65 dst-port=25 protocol=tcp to-addresses=192.168.255.1 to-ports=\
    25
    add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
    89.135.50.65 dst-port=18767 protocol=tcp to-addresses=192.168.190.10 \
    to-ports=18767
    add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
    89.135.50.65 dst-port=110 protocol=tcp to-addresses=192.168.255.1 to-ports=\
    110
    add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
    89.135.50.65 dst-port=80 protocol=tcp to-addresses=192.168.255.1 to-ports=\
    80
    add action=dst-nat chain=dstnat comment="monornet to datanet smtp redit" \
    dst-address=213.46.255.2 dst-port=25 protocol=tcp to-addresses=\
    194.149.13.165 to-ports=25
    add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
    89.132.155.172 dst-port=49256 protocol=tcp to-addresses=192.168.255.2 \
    to-ports=49256
    add action=dst-nat chain=dstnat disabled=yes dst-address=89.132.155.172 \
    dst-port=63320 protocol=tcp to-addresses=192.168.255.199 to-ports=63320
    add action=dst-nat chain=dstnat comment="Teszt remote" disabled=yes \
    dst-address=89.132.155.172 dst-port=2222 protocol=tcp to-addresses=\
    192.168.254.2 to-ports=3389
    add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
    89.132.155.172 dst-port=2075 protocol=tcp to-addresses=192.168.190.232 \
    to-ports=50000
    add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
    91.120.14.98 dst-port=40000 protocol=tcp to-addresses=192.168.255.1 \
    to-ports=21
    add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
    89.132.155.172 dst-port=33303 protocol=tcp to-addresses=192.168.255.2 \
    to-ports=2075
    add action=dst-nat chain=dstnat dst-port=25 protocol=tcp src-address=\
    192.168.190.43 to-addresses=192.168.150.199 to-ports=63320
    add action=dst-nat chain=dstnat comment="Mail portbedobas ADSL-rol" \
    dst-address=192.168.255.254 dst-port=25 protocol=tcp to-addresses=\
    192.168.255.1 to-ports=25
    add action=dst-nat chain=dstnat dst-address=89.135.54.80 protocol=t
    to-addresses=192.168.190.8 to-ports=0-65535
    add action=src-nat chain=srcnat protocol=tcp src-address=192.168.19
    to-addresses=89.135.54.80 to-ports=0-65535
    add action=dst-nat chain=dstnat comment="monornet to datanet smtp r
    dst-address=213.46.255.2 dst-port=25 protocol=tcp to-addresses=
    194.149.13.161 to-ports=25
    add action=dst-nat chain=dstnat comment="monornet to datanet smtp r
    dst-address=213.46.255.2 dst-port=25 protocol=tcp to-addresses=
    194.149.13.163 to-ports=25
    add action=masquerade chain=srcnat comment="masquerade hotspot netw
    disabled=yes src-address=192.168.20.0/24
    add action=masquerade chain=srcnat comment="masquerade hotspot netw
    disabled=yes src-address=89.135.50.64/26
    add action=masquerade chain=srcnat comment="masquerade hotspot netw
    disabled=yes src-address=89.135.50.64/26
    /ip firewall service-port
    set tftp disabled=yes
    set irc disabled=yes
    set h323 disabled=yes
    set sip disabled=yes
    set pptp disabled=yes

  • Lezl

    tag

    Mindössze az kéne nekem hogy mondjuk a 192.168.190.31 és 192.168.190.32-es ip című gép tudjon egymással kommunikálni

  • brickm

    őstag

    Sziasztok!
    Ujabb fennakadásba ütköztem.
    OpenVPN szervert indítottam a mikrotik RB-on.
    Tökéletes az eredmény amennyiben a telefonomról(=android7.0) csatlakozok, akár másik wifi, akár mobilnetről.
    Viszont a notebookom nem hajlandó csatlakozni.
    Open VPN kliens fentvan, ugyan azokat a crt-ket másoltam be neki amit a telefonnak, ugyan az a *.ovpn fájl, ami a telefonon. Mi lehet a baja?

    A hibaüzenet a következő:
    Wed Nov 01 15:19:21 2017 WARNING: --ping should normally be used with --ping-restart or --ping-exit
    Wed Nov 01 15:19:21 2017 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Wed Nov 01 15:19:21 2017 MANAGEMENT: >STATE:1509545961,RESOLVE,,,,,,
    Wed Nov 01 15:19:21 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]IP:PORT
    Wed Nov 01 15:19:21 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
    Wed Nov 01 15:19:21 2017 Attempting to establish TCP connection with [AF_INET]IP:PORT [nonblock]
    Wed Nov 01 15:19:21 2017 MANAGEMENT: >STATE:1509545961,TCP_CONNECT,,,,,,
    Wed Nov 01 15:19:22 2017 TCP connection established with [AF_INET]IP:PORT
    Wed Nov 01 15:19:22 2017 TCP_CLIENT link local: (not bound)
    Wed Nov 01 15:19:22 2017 TCP_CLIENT link remote: [AF_INET]IP:PORT
    Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,WAIT,,,,,,
    Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,AUTH,,,,,,
    Wed Nov 01 15:19:22 2017 TLS: Initial packet from [AF_INET]IP:PORT, sid=4b8ef1ab ee265ca9
    Wed Nov 01 15:19:22 2017 OpenSSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
    Wed Nov 01 15:19:22 2017 TLS_ERROR: BIO read tls_read_plaintext error
    Wed Nov 01 15:19:22 2017 TLS Error: TLS object -> incoming plaintext read error
    Wed Nov 01 15:19:22 2017 TLS Error: TLS handshake failed
    Wed Nov 01 15:19:22 2017 Fatal TLS error (check_tls_errors_co), restarting
    Wed Nov 01 15:19:22 2017 SIGUSR1[soft,tls-error] received, process restarting
    Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,RECONNECTING,tls-error,,,,,
    Wed Nov 01 15:19:22 2017 Restart pause, 5 second(s)

    [ Szerkesztve ]

  • brickm

    őstag

    Ugyan ez a gép, ugyan ezekkel a fájlokkal linux alól felcsatlakozik, majd 5mp múlva automatikusan le. A telefon mindvégig fentmarad mig én le nem választom, vagy szerver(=tehát én)

    Wed Nov 1 15:46:12 2017 VERIFY OK: depth=1, C=HU, ST=HB, L=Debrecen, O=Home, OU=MyOrganizationalUnit, CN=Home CA, name=EasyRSA, emailAddress=me@myhost.mydomain
    Wed Nov 1 15:46:12 2017 VERIFY OK: depth=0, C=HU, ST=HB, L=Debrecen, O=Home, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
    Wed Nov 1 15:46:12 2017 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Wed Nov 1 15:46:12 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Wed Nov 1 15:46:12 2017 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Wed Nov 1 15:46:12 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Wed Nov 1 15:46:12 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 AES256-GCM-SHA384, 2048 bit RSA
    Wed Nov 1 15:46:12 2017 [server] Peer Connection Initiated with [AF_INET]IP
    Wed Nov 1 15:46:15 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
    Wed Nov 1 15:46:20 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
    Wed Nov 1 15:46:25 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
    Wed Nov 1 15:46:25 2017 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.0.1,ping 20,ping-restart 60,topology subnet,route-gateway 192.168.90.1,ifconfig 192.168.90.7 255.255.255.0'
    Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: timers and/or timeouts modified
    Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: --ifconfig/up options modified
    Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: route-related options modified
    Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    Wed Nov 1 15:46:25 2017 ROUTE: default_gateway=UNDEF
    Wed Nov 1 15:46:25 2017 ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
    Wed Nov 1 15:46:25 2017 Exiting due to fatal error

  • bacus

    senior tag

    Na még azt mondd meg, hogy mit jelent, hogy "elérjék egymást" vagy "tudjanak kommunikálni".

    Ezek windowsos gépek és fájlmegosztást szeretnél? Vagy mire kell gondolni?

    itt van ez a két ugrás:
    add action=jump chain=forward comment="jumps to new chains" jump-target=tcp \
    protocol=tcp
    add action=jump chain=forward comment="jumps to new chains" jump-target=udp \
    protocol=udp

    nos ezek elé kell neked két szabály (nyilván gep1ip és gep2ip címét írd be helyesen)

    add action=accept chain=forward dst-address=gep2ip src-address=gep1ip
    add action=accept chain=forward dst-address=gep1ip src-address=gep2ip

    persze ezzel minden forgalmat engedélyezel a két gép között

    [ Szerkesztve ]

    "Nagyon rossz lány voltam. Meg kell büntess !" nyögte a fülembe, így aztán telepítettem a windows 10-t a laptopjára... https://www.paypal.me/engiman/20

  • kajla_

    csendes újonc

    Sziasztok!

    Tudja valaki, hogy egy MikroTik RB750GL milyen sebességet tud WAN-LAN irányban PPPoE-vel? :R

  • Lezl

    tag

    Igen most ideiglenesen ez kell hogy minden forgalom menyjen a 2 gép közt

  • brickm

    őstag

    Lehet én értek valamit félre, de neked nem MAngle kell véletlen?
    /ip/firewall/mangle

    H 2 szabály segítségével 2 cím közt összeirányítsd a csomagokat?

  • bacus

    senior tag

    frissítsd azt a linuxot, az openvpn csomagot legalábbis, lehet régi a verzió, de fordítva is lehet baj, a ros-t is a legfrissebbre.

    "Nagyon rossz lány voltam. Meg kell büntess !" nyögte a fülembe, így aztán telepítettem a windows 10-t a laptopjára... https://www.paypal.me/engiman/20

  • Lezl

    tag

    Közben sikerült megoldani most működik bár nem mondom hogy tudom pontosan melyik szabály kikapcsolása vagy hozzáadása oldotta meg, de majd alkalom adtán végigjátszom :)

  • MasterMark

    titán

    Üdv,

    Lenne pár kérdésem:
    -1 Gbps-es nethez milyen milyen router kellene? (PPPoE NAT-olással. WAN-LAN irányba.) RB750GL elég lenne?
    -Tudnak-e a Mikrotik routerek DHCP-n egy MAC címhez több IP címet osztani?
    -Tudok-e WINS szevert is kiosztani DHCP-vel?
    -VPN-hez milyen lehetőségek vannak?

    Előre is köszi. :R

    [ Szerkesztve ]

    There is no replacement for displacement

  • MasterMark

    titán

    Ja igen, még valami:
    - no-ip-re tud WAN IP-t frissíteni?

    There is no replacement for displacement

  • brickm

    őstag

    A linuxot pár napja telepítettem,
    VERSION="16.04.3 LTS (Xenial Xerus)"
    Az openvpn csomag hivatalos forrásból van szintén pár napos.
    A windows-os kliens dettó, openvpn weboldalról van és ugyan úgy ledob.
    A router os-t most frissítettem, current 6.40.4 es, ugyan az a hiba.

  • bacus

    senior tag

    nagyon nem
    nem hiszem, hogy maga a dhcp ezt megengedi
    igen
    majdnem minden félét ismer, pptp, sstp, l2tp, openvpn (ezt csak tcp-n)
    no-ip: azt tudja amilyen scriptet megírsz, vagy találsz. DNSoMatic script biztosan van, az elég sok mindent ismer, többek között a no-ip -t is, itt egyszerre tudsz frissíteni több címet is.

    "Nagyon rossz lány voltam. Meg kell büntess !" nyögte a fülembe, így aztán telepítettem a windows 10-t a laptopjára... https://www.paypal.me/engiman/20

  • MasterMark

    titán

    Köszi a válaszokat. Milyen routert lenne érdemes nézni akkor? Switch van külön, elég ha 1-1 port között tudja a sebességet.

    DHCP-hez, itt azt írja:

    When the RRAS server starts with the Use DHCP to assign remote TCP/IP addresses option, it instructs the DHCP client on the RRAS server to obtain 10 IP addresses from its configured DHCP server.

    Mostani TP-link log-jában látom a request-eket, de ugyanazt az IP-t adja oda neki.

    There is no replacement for displacement

  • bacus

    senior tag

    Igen, de ennek semmi köze a normál DHCP-hez. Az RRAS szerver induláskor lefoglal 10 IP címet, hogy majd a DIAL UP klienseknek ő oda tudja adni.

    Az én magánvéleményem: (és szigorúan kisvállalati x<30)
    - ha nem muszáj, nem kényszer, akkor nem használok windows szervert.
    - ha már muszáj windows szervert használni, akkor sem használom a DHCP -t windowson.
    - azért használok mikrotik routert, mert a vpn is sokkal egyszerübb a telephely-telephely és a telephely-kliensek között is.

    Tehát RRAS = windows szerver + dhcp szerver + vpn (vagy egyéb dial-up)

    /RRAS = Routing and Remote Access Service/

    [ Szerkesztve ]

    "Nagyon rossz lány voltam. Meg kell büntess !" nyögte a fülembe, így aztán telepítettem a windows 10-t a laptopjára... https://www.paypal.me/engiman/20

  • MasterMark

    titán

    Mivel a mostani TP-link nem tud VPN-t, ezért egy Windows Server-ről van megoldva a dolog.

    A linkelt cikkben azt írja, hogy konfigurált DHCP szervertől kéri le a kliens előre azt a 10 címet.
    Ez amúgy a DHCP Relay Agent-hez kellene. A VPN-hez.

    DHCP szerver egyébként nem a Windows Server-en, hanem a TP-link-en megy.

    szerk.: Ez csak otthoni szerver experimental célokra csak. No para. :D

    Ha a router tudna értelmes VPN-t, akkor ezzel nem lenne gond egyrészt ezt is szeretném kiváltani, azért nézelődtem Mikrotik-nál.

    [ Szerkesztve ]

    There is no replacement for displacement

  • bacus

    senior tag

    Itt a hiba! Ms mindig okosabb akar lenni, mint a sok ezer felhasználója, el se tudja képzelni, hogy windows szervert használ valaki, de nem az a dhcp szerver. Ergo, amikor ő azt mondja, hogy lekér 10 ip címet a dhcp szervertől akkor ezen csak a saját dhcp szerverét értheti. :)

    Utoljára 2003-as r2 windows szerveren csináltam ilyet, ott ezt a 10-t tényleg jó előre lefoglalta, de azért állítani lehetett, hogy 10 legyen v. kevesebb, vagy melyik 10, mert azt amit így lefoglalt, azt ki is kellett zárni még (ha emlékeim nem csalnak) a dinamikusan kiosztott ip címek közül. (lehet automatikusan megcsinálta, mert olyan intelligens volt :D ) Ms egyébként mindig is tojt a teljes szabvány leírásokra, nem véletlen sokszor az inkompatibilitás.

    Mikrotikéknál nem így megy a dolog, ha létrehozol egy pool-t, onnan kaphatnak ip-t a vpn kliensek. De itt egy rendes routeren vagy, nem vagy kötve egy alhálózathoz, lehet több pool, több alhálózat, stb. A vpn klienseknek nem kell feltétlenül ugyanabba az alhálózatba lenni, stb. , egy név/jelszó párral többször is lehet csatlakozni, ha olyan a beállítás és mindig új ip-t kap, stb.

    Hogy milyen router kell otthonra, azt nem tudom, de én mostanában mindenhova a 3011-t veszem (ahol elég a pénz), sok memória, gyors, stb, viszont nincs benne a wifi, azt külön kell megoldani.

    "Nagyon rossz lány voltam. Meg kell büntess !" nyögte a fülembe, így aztán telepítettem a windows 10-t a laptopjára... https://www.paypal.me/engiman/20

  • MasterMark

    titán

    Na igen, most olvasom ezt is, hogy:

    The Windows DHCP service provides a predefined user class named Default Routing and Remote Access Class for assigning options that are provided only to RRAS clients.

    Vagyis valószínűleg tényleg csak Windows-os DHCP-vel menne ez.

    Wifi is, Switch külön van megoldva, csak router kellene.
    Ennél a 3011-nél egyszerűbb, olcsóbb is megtenné szerintem.

    There is no replacement for displacement

  • bacus

    senior tag

    Olcsóbb van, de egyszerűbb? Mindegyiken a RouterOS fut, nem bonyolultabb egyik sem a másiknál.

    Még egy típus van, ami talán -erre nincs tapasztalatom- átviszi a gigabitet talán és olcsóbb a 3011nél:
    MikroTik hEX RB750Gr3, kb harmad annyiba kerül.

    De nekem most több dolgom nincs, hogy kipróbáljam:
    -hex gr3, na jó ez nem lenne akkora probléma
    -gigabites net, tudnék csinálni saját pppoe szervert, hogy leteszteljem
    -szabad idő és kedv, ez az ami miatt hamvába hal az ötlet :D

    "Nagyon rossz lány voltam. Meg kell büntess !" nyögte a fülembe, így aztán telepítettem a windows 10-t a laptopjára... https://www.paypal.me/engiman/20

  • MasterMark

    titán

    Nem szoftveresen, hanem hardveresen egyszerubbre gondoltam.

    Azt a hex-et nézegettem én is egyébként. Mikrotik-nál van hardveres gyorsítású NAT-olás, vagy prociból csinálja?

    There is no replacement for displacement

  • bambano

    titán

    LOGOUT blog

    tévedés, nem dhcp szerverből kéri az ip címet, hanem dhcp szerver segítségével.

    ha elolvasod az ms kottát, ott leírja, hogy dhcp-n keresztül kér a rras szerver kliens oldalára 10 ip címet, vagyis nem a dhcp kliens oldalára kéri a 10 címet, hanem a rras oldalra.

    ez így teljesen jól van. viszont te nem ezt kérdezed.

    egy mac-hez csak akkor fog a dhcp különböző ip címeket hozzárendelni, ha más-más broadcast tartományból jön, de akkor is csak egyet.

    a mikrotikekben a vpn szerverek osztanak maguktól ip címet, ha úgy állítod be. vagy adhatsz ip címet radiuson keresztül.

    lezso6 szerint a user: rossz számtech karmája van | @netik: There is no Internet of Things. There are only many unpatched, vulnerable small computers on the Internet.

Hozzászólok Aktív témák