Hirdetés

2019. február 20., szerda

Gyorskeresés

Hozzászólások

(#4001) bambano válasza k.feri80 (#4000) üzenetére


bambano
(Jómunkásember)
LOGOUT blog

funkcionális analfabéták kedvéért akkor megmagyarázom:
A kolléga azt írta, hogy nem tudja eldönteni, mi a különbség. ez alapján feltételeztem, hogy utánanézett, és mégsem tudja eldönteni. Ha utánanézett pl. itt, akkor ezt láthatta:

"The RB951Ui-2HnD is a wireless SOHO AP with a new generation Atheros CPU and more processing power. It has five Ethernet ports, one USB 2.0 port and a high power 2.4GHz 802.11b/g/n wireless AP with antennas built in.". Kiemelem még egyszer: 5 ethernet portja van. Ez a hivatalos gyári infó.

Nekem négy page down gomb megnyomása után jön az infó, hogy ez a port 10/100-as, ez már lehet, elkerülte a kolléga figyelmét. Azt meg nyilván nem tudhatja mindeki, hogy a mikrotiknek mi a szavajárása.

Fentiekre tekintettel a hozzászólásom pontos volt, felesleges volt kijavítással próbálkozni.

lezso6 szerint a user: rossz számtech karmája van | @netik: There is no Internet of Things. There are only many unpatched, vulnerable small computers on the Internet.

(#4002) k.feri80 válasza bambano (#4001) üzenetére


k.feri80
(senior tag)

Bocs,

(#4003) djmorphy válasza k.feri80 (#4002) üzenetére


djmorphy
(lelkes újonc)

Sziasztok!

Köszönöm szépen a segítséget. Valóban benéztem, mert CPU-ban meg RAM-ban kerestem az eltérést valamiért eszmbe se jutott, hogy nem gigabites.

(#4004) feel2006 válasza djmorphy (#3997) üzenetére


feel2006
(tag)

Többen válaszoltak már, de szerintem ez a jövőben segítségedre lehet. :)

Manual: Product Naming

[ Szerkesztve ]

Mikrotik-Hu {MTCNA, MTCUME, MTCWE} | -unofficial- | https://www.facebook.com/groups/mikrotikhu/

(#4005) ssarosi


ssarosi
(kvázi-tag)

Kipróbáltam a capsman-t.
Lehetséges hogy ezen keresztül nem lehet virtual-ap -t létrehozni/kezelni?
Mert eddig nem sikerült megtalálnom hogy hogyan kéne.

[ Szerkesztve ]

(#4006) csusza` válasza ssarosi (#4005) üzenetére


csusza`
(senior tag)

Lehet, a cAPSMAN-ban hozz létre még egy konfigurációt és állítsd be a provisioningnál, hogy berakja slave confignak.

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

(#4007) feel2006 válasza csusza` (#4006) üzenetére


feel2006
(tag)

Ahogy csusza megírta, működik igen. :)

Mikrotik-Hu {MTCNA, MTCUME, MTCWE} | -unofficial- | https://www.facebook.com/groups/mikrotikhu/

(#4008) traders


traders
(kvázi-tag)

Sziasztok!

Abban szeretnék segítséget kérni hogy vagy két eltérő lakásban lévő hálózat, mindkettő mikrotik routerrel van felszerelve ugyanazzal a beállításokkal (a két rendszer egymás "klónjai") rádugva mediaserverrel és abban szeretnék segítséget kérni hogy laptopról a másik hálózatra szeretnék VPN-nel kapcsolódni.

A probléma az hogy sikerül a VPN kapcsolat csak éppen mivel ugyanaz a subnet (192.168.0.1) ezért ha szeretnék "A" pontból a "B" ponti mediaszerverre kapcsolódni (amiknek mivel "klónok" ugyanaz az IP-jük, 192.168.0.2) mindig az aktuális hely szerverére kapcsolódik teljesen érthető módon.

Próbáltam valami szabályt létrehozni a routolásra de nem igazán sikerül. Természetesen ha megváltoztatom a subnetet vagy akár az egyik mediaserver IP-jét bármelyik hálózaton akkor tökéletesen működik, de pont ezért szeretném megtartani ezeket a beállításokat hogy egyforma legyen a két helyen.

Előre is köszönöm a segítséget!

Az élet olyan nemi úton terjedő betegség, amelynél a halálozási arány 100%

(#4009) Core2duo6600 válasza brickm (#3995) üzenetére


Core2duo6600
(PH! kedvence)

Ha teljesen meg akarod tiltani a kommunikációját az adott gépnek akkor input - al, és akkor a router nem áll szóba az adott géppel.
Ekkor lan kapcsolatod sem lesz.

Én a NASra bíztam a VPN kezelést, openvpn-t használok, a NAS nak több cpu ereje van erre.

Asus Z97 Deluxe , Core i7 4790, Asus ATI Radeon 5870, 32 GB Kingstone DDR3 1600, Samsung SSD, Dell Latitude 6430

(#4010) Zwodkassy


Zwodkassy
(fanatikus tag)

Vki használta már a Bridge Nat funkcióját? Mennyire terheli a router-t?

(#4011) Ablakos


Ablakos
(őstag)

A Capsman nekem is kicsit homály. Van négy eth. port, amelyeken az AP kliensek bejönnek a routerre. Ha switchelve vannak ezek a portok a masterrel, akkor nem kapnak IP címet a kliensek. (Ragaszkodom, hogy a dhcp server "központosítva" csak a routeren legyen.) Ha softveres bridge teszem a master porttal ezeket az eth. portokat, akkor tökéletes minden. Nem tudom mi a fene különbség van, hiszem mindkettő layer 2 kapcsolat. :F
Nem is rugóznék ezen, csak ha a master port is bridge-n van, akkor a nem működik a fasttrack connection. Így meg elég halovány NAT képessége van a CRS125-nek. :O

(#4012) csusza` válasza Ablakos (#4011) üzenetére


csusza`
(senior tag)

Én is össze szoktam switchelni a lábakat, de a master portot akkor is a bridge-be teszem, ha csak mondjuk egyetlen ethernet lábon megy ki a hálózat.

Bridge-s hálózaton semmi bajom nincs a cAP kezeléssel. Simán switchelve még nem is próbáltam.

Egyébként szerintem a capsman csak bridge-lt hálózaton megy, mivel a datapath-nál bridge-t lehet megadni csak neki, ha jól emlékszem.

Viszont, ez kényelmessé teszik a dolgokat, mert ha pl. két SSID-t szóratsz és két teljesen külön hálózatra tudsz felkapcsolódni, a datapath-nál más-más bridge-ket adhatsz meg.

Tényleg, ezzel kapcsolatban kérdés: technikailag ez egyébként rendben van? Van egy static management IP-je a cap-oknak, szórnak egy office SSID-t ugyanazon a datapath bridge-n, mint amiben a management IP van, illetve adott esetben egy guest-et, aminek a datapath-ja másik bridge-re mutat. Gondolom pontosan ez az, amiért a capsman egyáltalán létezik.

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

(#4013) brickm


brickm
(senior tag)

Sziasztok!

SSH privát kulcsos belépést próbálok elsajátítani itthonra, de jutub videot követve sem sikerül.
Amit csináltam:
ubuntu bashból generáltam egy ssh kulcsot:
#ssh-keygen -t dsa
passw:proba1

ezt a két fájt felmásoltam a mikrotikre scp-vel, majd a users menüben hozzáadtam a user1-hez beírtam ott is a kódot.
Publik key az id-dsa.pub; privát a id-dsa
egy TXT-be kimásoltam a privát kulcsot majd bejelentkezést kezdeményeztem bashból:
#ssh user1@mikrotik.net -p 40022 -t privkey.txt

De csak kéri a kódot és Putty beenged a kóddal fájl nélkül is. Mit csinálok rosszul?

(#4014) brickm válasza Core2duo6600 (#4009) üzenetére


brickm
(senior tag)

Ezt (is) próbáltam mielőtt írtam, de nem vált be sajnos, ezért írtam.
action=drop chain=input comment="Drop DAHUA IP CAM" src-address=192.168.0.10

Sajna ugyan úgy pingelhető és kommunikál is a hálón.

(#4015) bambano válasza brickm (#4013) üzenetére


bambano
(Jómunkásember)
LOGOUT blog

szerintem ha nem akarsz jelszót a bejelentkezéskor, akkor a kulcsnak sem kell jelszót adni.
ssh-keygennél enter.

lezso6 szerint a user: rossz számtech karmája van | @netik: There is no Internet of Things. There are only many unpatched, vulnerable small computers on the Internet.

(#4016) brickm válasza bambano (#4015) üzenetére


brickm
(senior tag)

Ezt próbáltam, de sajnos ez fogadott:
root@DESKTOP-SSPLVJA:~/.ssh# ssh user1@mikrotik.net -p 40022 -i key.txt
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0777 for 'key.txt' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "key.txt": bad permissions
user1@mikrotik.net's password:

Akkor nem kér csak kódot, ha magának a user-nak nem adok mikor létrehozom, csak üresen hagyom, de akkor kulcs se kell, simán beenged.

(#4017) bambano válasza brickm (#4016) üzenetére


bambano
(Jómunkásember)
LOGOUT blog

"Permissions 0777 for 'key.txt' are too open."

a key.txt védelmi kulcsát be kell állítani úgy, hogy csak a tulajdonosa olvashassa.

chmod 600 key.txt

[ Szerkesztve ]

lezso6 szerint a user: rossz számtech karmája van | @netik: There is no Internet of Things. There are only many unpatched, vulnerable small computers on the Internet.

(#4018) djmorphy válasza feel2006 (#4004) üzenetére


djmorphy
(lelkes újonc)

Köszönöm szépen!
Most már elmentettem olyan helyre ahol tényleg meg is találom :)

(#4019) brickm válasza bambano (#4017) üzenetére


brickm
(senior tag)

Így nem dobja a hibaüzenetet az elejére de a tényállás változatlan, kulccsal is beenged meg anélkül is.
pedig..: nem olyan bonyolult így ránézésre

----
szerk.: na asszem sikerült.
Szóval legenerálod az SSH kulcsokat, majd a ROS-ben nem SSH priv. keys-nél rendeled a kulcsot a user-hez, hanem melltte az SSH keys-ben. (a *.pub-ot)
A key.txt-be kimásolod a privát kulcsot chmod 600- nem jó a tulajdonos Ír ÉS olvas mód, csak a tulajdonos OLVAS!!!

Ezután ha hozzárendeled a kulcsot beenged, ha nem kóddal se.
Nehéz szülés volt, logikáját még nem értem de ok.

Másik, ezaz scp -P 40022 || ssh -p 40022 kiégette a lelkem finoman szólva :) nem lehetett volna egyformára tervezni őket ááá.

Köszi a segítséget!

[ Szerkesztve ]

(#4020) brickm válasza brickm (#4014) üzenetére


brickm
(senior tag)

Ezzel a kérdésemmel kapcsolatban annyit, hogy nem lehetséges, hogy maga az eszköz tud valamiféle hálózati kényszerítést csinálni?
Csak mert ugye a lent említett tűzal sor után is pingelhető, igen ám, de ha alapból az egész hálózatra teszek egy ICMP csomag drop szabályt minden más pingelhetetelen, kivéve a kamera....Őt lehet pingelni akkor is a PC-ről, míg se a routert, se az AP-t se a telefont....

(#4021) brickm válasza brickm (#4019) üzenetére


brickm
(senior tag)

Bocs a sok uj posztért, de szerkesztési időn kívül jönnek az ötletek.
Ez konkrétan mit akar egyébként?
The authenticity of host '[d------.org]:40022 ([188.----]:40022)' can't be established. key fingerprint is SHA256:RHB**********HDmZbjjL5/I2T2Tf****Wo0aY. re you sure you want to continue connecting (yes/no)? yes

(#4022) vkp válasza brickm (#4020) üzenetére


vkp
(fanatikus tag)

Ugye a pc és a kamera nem switchre van dugva?

(#4023) Lezl


Lezl
(lelkes újonc)

Teljesen amatör kérdés.
Adott egy szűrésekkel beálított mikrotik, ahol a lanon lévő kliensek egymást nem érik el csak kifelé a net felé kommunikálhatnak, hogy tudom beállítani hogy 2 adott ipjű gép egymást elérje, ha nem is bármilyen porton de legalább 1en?

(#4024) Adamo_sx válasza Lezl (#4023) üzenetére


Adamo_sx
(fanatikus tag)

A 2 adott IP-re kikapcsolod a szűrést, az nem jó?

(#4025) Lezl válasza Adamo_sx (#4024) üzenetére


Lezl
(lelkes újonc)

Minden bizonnyal jó :) Csak nem túlzottan látom át a konfigot, mit kéne keresnem hogy néz ki normál esetben egy ilyen szűrés? Van bent vagy 30 szabály... a tűzfalnál. Süsü vagyok hozzá.
A dhcp ip kiosztás sávszél korlátozás rész sima külső port átengedés dolgok mennek pl ezt a portot simán kiengedni tudom de lanon a 2 gép valami szabálllyal teljesen el van zárva...próbálkoznék szabályokkal, csak egy éles rendszer rajta 500 klienssel annyira nem lenne jó ha mindenki eldobná a kapcsolatot :)

[ Szerkesztve ]

(#4026) user12 válasza Lezl (#4023) üzenetére


user12
(senior tag)

Ha nem tudod vagy nem akarod a tiltó szabályt törölni, úgy is megoldható, hogy a két IP cím (vagy MAC address, ami biztosabb) között a kommunikációt engedélyező tűzfalszabályt készítesz (de ez esetben az engedélyező szabály meg kell előzze a tiltót a listában).
Konzolról ha kilistázod (/ip firewall export) és beírod ide, akkor valaki egész biztos, hogy tud segíteni benne.

Rendszergazda vagyok....ha röhögni lát, mentsen

(#4027) bacus válasza Lezl (#4025) üzenetére


bacus
(senior tag)

30 szabály? Akkor az csak valami alap konfig lehet, pasteld ide be az egészet, hadd lássuk.

"Nagyon rossz lány voltam. Meg kell büntess !" nyögte a fülembe, így aztán telepítettem a windows 10-t a laptopjára... https://www.paypal.me/engiman/15

(#4028) Lezl


Lezl
(lelkes újonc)

Itt a konfig, van benne sok dolog ami nem is kell már

# nov/01/2017 14:17:44 by RouterOS 6.40.4
# software id = 8C8Z-IPKS
#
# model = CCR1009-8G-1S
# serial number = 49130427F4E3
/ip firewall address-list
add address=89.132.155.172 comment="Saj\E1t SMTP szerver" list=smtp-szerverek
add address=195.70.49.106 comment=smtpauth.upcbusiness.hu list=smtp-szerverek
add address=213.46.255.2 comment=smtp.monornet.hu list=smtp-szerverek
add address=89.135.50.60 comment="Ez a cim kiv\E9tel az smtp szures alol" list=\
kivetelek
add address=70.86.5.44 list=smtp-szerverek
add address=194.149.13.163 comment=smtp.datanet.hu list=smtp-szerverek
add address=62.112.194.45 comment=smtp.datanet.hu list=smtp-szerverek
add address=194.149.13.165 comment=smtp.datanet.hu list=smtp-szerverek
add address=194.149.13.161 comment=smtp.datanet.hu list=smtp-szerverek
add address=195.70.57.133 comment=smtp.mediacenter.hu list=smtp-szerverek
add address=84.2.44.3 comment=mail.t-online.hu list=smtp-szerverek
add address=84.2.45.3 comment=mail.t-online.hu list=smtp-szerverek
add address=84.2.46.3 comment=mail.t-online.hu list=smtp-szerverek
add address=192.168.190.10 comment="Ez a cim kiv\E9tel az smtp szures alol" \
list=kivetelek
add address=192.168.190.212 comment="Ez a cim kiv\E9tel az smtp szures alol" \
list=kivetelek
add address=79.172.252.54 comment=Premiumos list=smtp-szerverek
add address=178.238.222.15 comment=Premiumos list=smtp-szerverek
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
disabled=yes
add action=drop chain=forward comment="Drop dhcp leased ips on PPPoE interface" \
src-address=192.168.180.2-192.168.180.254
add action=drop chain=forward comment="Drop DCOM" dst-port=135 protocol=tcp
add action=drop chain=input comment="Drop Telnet attempts" dst-port=23 \
protocol=tcp
add action=drop chain=input comment="Drop Invalid connections" \
connection-state=invalid
add action=accept chain=forward dst-address=192.168.190.0/23 protocol=tcp \
src-address=192.168.190.10
add action=accept chain=forward dst-address-list=smtp-szerverek dst-port=25 \
out-interface="UPC Port 1" protocol=tcp
add action=accept chain=input comment="Allow Established connections" \
connection-state=established
add action=accept chain=input comment="Allow UDP" protocol=udp
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=drop chain=forward comment="drop invalid connections" \
connection-state=invalid protocol=tcp
add action=accept chain=forward comment="allow already established connections" \
connection-state=established
add action=accept chain=forward comment="allow related connections" \
connection-state=related
add action=drop chain=forward comment="block bad IP" src-address=0.0.0.0/8
add action=drop chain=forward comment="block bad IP" dst-address=0.0.0.0/8
add action=drop chain=forward comment="block bad IP" src-address=127.0.0.0/8
add action=drop chain=forward comment="block bad IP" dst-address=127.0.0.0/8
add action=drop chain=forward comment="block bad IP" src-address=224.0.0.0/3
add action=drop chain=forward comment="block bad IP" dst-address=224.0.0.0/3
add action=jump chain=forward comment="jumps to new chains" jump-target=tcp \
protocol=tcp
add action=jump chain=forward comment="jumps to new chains" jump-target=udp \
protocol=udp
add action=jump chain=forward comment="jumps to new chains" jump-target=icmp \
protocol=icmp
add action=drop chain=tcp comment="deny TFTP" dst-port=69 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 protocol=\
tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 protocol=\
tcp
add action=drop chain=tcp comment="deny NBT" dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment="deny cifs" dst-port=445 protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 protocol=\
tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\
tcp
add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 protocol=tcp
add action=drop chain=udp comment="deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 protocol=\
udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 protocol=\
udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp
add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=\
udp
add action=accept chain=icmp comment="drop invalid connections" icmp-options=\
0:0 protocol=icmp
add action=accept chain=icmp comment="allow established connections" \
icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="allow already established connections" \
icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 \
protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=drop chain=udp comment="deny dhcp" dst-port=67-68 protocol=udp
add action=accept chain=input comment=\
"Allow access to router from known network" src-address=192.168.255.0/24
add action=accept chain=input comment=\
"Allow access to router from known network" src-address=192.168.190.0/24
add action=accept chain=input src-address=10.0.0.0/8
add action=accept chain=input src-address=89.135.50.64/26
add action=accept chain=input src-address=89.135.50.64/26
add action=accept chain=forward src-address=89.132.156.147
add action=drop chain=input comment="Drop anything else"
add action=add-src-to-address-list address-list=smtp-spammer \
address-list-timeout=4w2d chain=forward dst-address-list=!smtp-szerverek \
dst-port=25 out-interface=UPC protocol=tcp
add action=drop chain=forward dst-port=25 out-interface="UPC Port 1" protocol=\
tcp src-address-list=!kivetelek
/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
"UPC primary - IP range (alap tartomany)" disabled=yes dst-address=\
!89.132.155.172 new-routing-mark="UPC primary" passthrough=no src-address=\
89.132.155.160/29
add action=mark-routing chain=prerouting comment=\
"UPC primary - IP range (extra tartomany)" disabled=yes dst-address=\
!89.132.155.172 new-routing-mark="UPC extra tartomany" passthrough=no \
src-address=89.132.156.128/27
add action=mark-routing chain=prerouting comment=\
"UPC primary - IP range (extra tartomany)" disabled=yes dst-address=\
!89.132.155.172 new-routing-mark="UPC extra tartomany 2" passthrough=no \
src-address=89.135.54.0/25
add action=change-mss chain=forward new-mss=clamp-to-pmtu protocol=tcp \
tcp-flags=syn
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
disabled=yes
add action=masquerade chain=srcnat out-interface="UPC Port 1" src-address=\
10.10.10.0/24
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.190.212 \
dst-port=18767 protocol=tcp src-port=18767 to-addresses=192.168.190.212 \
to-ports=18767
add action=dst-nat chain=dstnat disabled=yes log=yes protocol=tcp src-address=\
192.168.190.212 src-port=18767 to-addresses=192.168.190.10 to-ports=18767
add action=src-nat chain=srcnat comment=\
"Apartman nem publikus cimek mas forrasra natol\E1sa" disabled=yes log=yes \
protocol=tcp src-address=192.168.190.212 src-port=18767 to-addresses=\
192.168.190.10 to-ports=18767
add action=src-nat chain=srcnat comment=\
"Apartman nem publikus cimek mas forrasra natol\E1sa" out-interface=\
"UPC Port 1" src-address=192.168.190.0/23 to-addresses=89.135.50.65
add action=src-nat chain=srcnat comment=\
"Apartman nem publikus cimek mas forrasra natol\E1sa" disabled=yes \
dst-address=!91.120.14.98 out-interface=UPC src-address=192.168.190.0/23 \
to-addresses=91.120.14.129
add action=src-nat chain=srcnat comment="TESZT gep/port natol\E1sa" disabled=\
yes dst-address=!91.120.14.98 out-interface=UPC src-address=\
192.168.254.0/24 to-addresses=91.120.14.129
add action=src-nat chain=srcnat comment="TESZT gep/port natol\E1sa" \
dst-address=!89.132.155.172 out-interface="UPC Port 1" src-address=\
192.168.254.0/24 to-addresses=89.135.50.65
add action=src-nat chain=srcnat comment=\
"PPPOE nem publikus cimek mas forrasra natol\E1sa" disabled=yes \
dst-address=!91.120.14.98 out-interface=UPC src-address=10.0.0.0/24 \
to-addresses=91.120.14.129
add action=src-nat chain=srcnat comment=\
"PPPOE nem publikus cimek mas forrasra natol\E1sa" dst-address=\
!89.132.155.172 out-interface="UPC Port 1" src-address=10.0.0.0/24 \
to-addresses=89.135.50.65
add action=masquerade chain=srcnat comment="Mail szerver NATol\E1sa" disabled=\
yes out-interface="UPC Port 1" src-address=192.168.255.0/24 to-addresses=\
91.120.14.97
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=22 protocol=tcp to-addresses=192.168.255.1 to-ports=\
22
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=25 protocol=tcp to-addresses=192.168.255.1 to-ports=\
25
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=18767 protocol=tcp to-addresses=192.168.190.10 \
to-ports=18767
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=110 protocol=tcp to-addresses=192.168.255.1 to-ports=\
110
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=80 protocol=tcp to-addresses=192.168.255.1 to-ports=\
80
add action=dst-nat chain=dstnat comment="monornet to datanet smtp redit" \
dst-address=213.46.255.2 dst-port=25 protocol=tcp to-addresses=\
194.149.13.165 to-ports=25
add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
89.132.155.172 dst-port=49256 protocol=tcp to-addresses=192.168.255.2 \
to-ports=49256
add action=dst-nat chain=dstnat disabled=yes dst-address=89.132.155.172 \
dst-port=63320 protocol=tcp to-addresses=192.168.255.199 to-ports=63320
add action=dst-nat chain=dstnat comment="Teszt remote" disabled=yes \
dst-address=89.132.155.172 dst-port=2222 protocol=tcp to-addresses=\
192.168.254.2 to-ports=3389
add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
89.132.155.172 dst-port=2075 protocol=tcp to-addresses=192.168.190.232 \
to-ports=50000
add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
91.120.14.98 dst-port=40000 protocol=tcp to-addresses=192.168.255.1 \
to-ports=21
add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
89.132.155.172 dst-port=33303 protocol=tcp to-addresses=192.168.255.2 \
to-ports=2075
add action=dst-nat chain=dstnat dst-port=25 protocol=tcp src-address=\
192.168.190.43 to-addresses=192.168.150.199 to-ports=63320
add action=dst-nat chain=dstnat comment="Mail portbedobas ADSL-rol" \
dst-address=192.168.255.254 dst-port=25 protocol=tcp to-addresses=\
192.168.255.1 to-ports=25
add action=dst-nat chain=dstnat dst-address=89.135.54.80 protocol=t
to-addresses=192.168.190.8 to-ports=0-65535
add action=src-nat chain=srcnat protocol=tcp src-address=192.168.19
to-addresses=89.135.54.80 to-ports=0-65535
add action=dst-nat chain=dstnat comment="monornet to datanet smtp r
dst-address=213.46.255.2 dst-port=25 protocol=tcp to-addresses=
194.149.13.161 to-ports=25
add action=dst-nat chain=dstnat comment="monornet to datanet smtp r
dst-address=213.46.255.2 dst-port=25 protocol=tcp to-addresses=
194.149.13.163 to-ports=25
add action=masquerade chain=srcnat comment="masquerade hotspot netw
disabled=yes src-address=192.168.20.0/24
add action=masquerade chain=srcnat comment="masquerade hotspot netw
disabled=yes src-address=89.135.50.64/26
add action=masquerade chain=srcnat comment="masquerade hotspot netw
disabled=yes src-address=89.135.50.64/26
/ip firewall service-port
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes

(#4029) Lezl


Lezl
(lelkes újonc)

Mindössze az kéne nekem hogy mondjuk a 192.168.190.31 és 192.168.190.32-es ip című gép tudjon egymással kommunikálni

(#4030) brickm


brickm
(senior tag)

Sziasztok!
Ujabb fennakadásba ütköztem.
OpenVPN szervert indítottam a mikrotik RB-on.
Tökéletes az eredmény amennyiben a telefonomról(=android7.0) csatlakozok, akár másik wifi, akár mobilnetről.
Viszont a notebookom nem hajlandó csatlakozni.
Open VPN kliens fentvan, ugyan azokat a crt-ket másoltam be neki amit a telefonnak, ugyan az a *.ovpn fájl, ami a telefonon. Mi lehet a baja?

A hibaüzenet a következő:
Wed Nov 01 15:19:21 2017 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Wed Nov 01 15:19:21 2017 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Nov 01 15:19:21 2017 MANAGEMENT: >STATE:1509545961,RESOLVE,,,,,,
Wed Nov 01 15:19:21 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]IP:PORT
Wed Nov 01 15:19:21 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Nov 01 15:19:21 2017 Attempting to establish TCP connection with [AF_INET]IP:PORT [nonblock]
Wed Nov 01 15:19:21 2017 MANAGEMENT: >STATE:1509545961,TCP_CONNECT,,,,,,
Wed Nov 01 15:19:22 2017 TCP connection established with [AF_INET]IP:PORT
Wed Nov 01 15:19:22 2017 TCP_CLIENT link local: (not bound)
Wed Nov 01 15:19:22 2017 TCP_CLIENT link remote: [AF_INET]IP:PORT
Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,WAIT,,,,,,
Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,AUTH,,,,,,
Wed Nov 01 15:19:22 2017 TLS: Initial packet from [AF_INET]IP:PORT, sid=4b8ef1ab ee265ca9
Wed Nov 01 15:19:22 2017 OpenSSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
Wed Nov 01 15:19:22 2017 TLS_ERROR: BIO read tls_read_plaintext error
Wed Nov 01 15:19:22 2017 TLS Error: TLS object -> incoming plaintext read error
Wed Nov 01 15:19:22 2017 TLS Error: TLS handshake failed
Wed Nov 01 15:19:22 2017 Fatal TLS error (check_tls_errors_co), restarting
Wed Nov 01 15:19:22 2017 SIGUSR1[soft,tls-error] received, process restarting
Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,RECONNECTING,tls-error,,,,,
Wed Nov 01 15:19:22 2017 Restart pause, 5 second(s)

[ Szerkesztve ]

(#4031) brickm válasza brickm (#4030) üzenetére


brickm
(senior tag)

Ugyan ez a gép, ugyan ezekkel a fájlokkal linux alól felcsatlakozik, majd 5mp múlva automatikusan le. A telefon mindvégig fentmarad mig én le nem választom, vagy szerver(=tehát én)

Wed Nov 1 15:46:12 2017 VERIFY OK: depth=1, C=HU, ST=HB, L=Debrecen, O=Home, OU=MyOrganizationalUnit, CN=Home CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Nov 1 15:46:12 2017 VERIFY OK: depth=0, C=HU, ST=HB, L=Debrecen, O=Home, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Nov 1 15:46:12 2017 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 1 15:46:12 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 1 15:46:12 2017 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 1 15:46:12 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 1 15:46:12 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 AES256-GCM-SHA384, 2048 bit RSA
Wed Nov 1 15:46:12 2017 [server] Peer Connection Initiated with [AF_INET]IP
Wed Nov 1 15:46:15 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:20 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:25 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:25 2017 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.0.1,ping 20,ping-restart 60,topology subnet,route-gateway 192.168.90.1,ifconfig 192.168.90.7 255.255.255.0'
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: timers and/or timeouts modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: --ifconfig/up options modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: route-related options modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Nov 1 15:46:25 2017 ROUTE: default_gateway=UNDEF
Wed Nov 1 15:46:25 2017 ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Wed Nov 1 15:46:25 2017 Exiting due to fatal error

(#4032) bacus válasza Lezl (#4029) üzenetére


bacus
(senior tag)

Na még azt mondd meg, hogy mit jelent, hogy "elérjék egymást" vagy "tudjanak kommunikálni".

Ezek windowsos gépek és fájlmegosztást szeretnél? Vagy mire kell gondolni?

itt van ez a két ugrás:
add action=jump chain=forward comment="jumps to new chains" jump-target=tcp \
protocol=tcp
add action=jump chain=forward comment="jumps to new chains" jump-target=udp \
protocol=udp

nos ezek elé kell neked két szabály (nyilván gep1ip és gep2ip címét írd be helyesen)

add action=accept chain=forward dst-address=gep2ip src-address=gep1ip
add action=accept chain=forward dst-address=gep1ip src-address=gep2ip

persze ezzel minden forgalmat engedélyezel a két gép között

[ Szerkesztve ]

"Nagyon rossz lány voltam. Meg kell büntess !" nyögte a fülembe, így aztán telepítettem a windows 10-t a laptopjára... https://www.paypal.me/engiman/15

(#4033) kajla_


kajla_
(újonc)

Sziasztok!

Tudja valaki, hogy egy MikroTik RB750GL milyen sebességet tud WAN-LAN irányban PPPoE-vel? :R

(#4034) Lezl válasza bacus (#4032) üzenetére


Lezl
(lelkes újonc)

Igen most ideiglenesen ez kell hogy minden forgalom menyjen a 2 gép közt

(#4035) brickm válasza Lezl (#4034) üzenetére


brickm
(senior tag)

Lehet én értek valamit félre, de neked nem MAngle kell véletlen?
/ip/firewall/mangle

H 2 szabály segítségével 2 cím közt összeirányítsd a csomagokat?

(#4036) bacus válasza brickm (#4031) üzenetére


bacus
(senior tag)

frissítsd azt a linuxot, az openvpn csomagot legalábbis, lehet régi a verzió, de fordítva is lehet baj, a ros-t is a legfrissebbre.

"Nagyon rossz lány voltam. Meg kell büntess !" nyögte a fülembe, így aztán telepítettem a windows 10-t a laptopjára... https://www.paypal.me/engiman/15

(#4037) poli27 válasza kajla_ (#4033) üzenetére


poli27
(PH! kedvence)

max 200körül kb... de lehet kevesebbet..

(#4038) Lezl válasza brickm (#4035) üzenetére


Lezl
(lelkes újonc)

Közben sikerült megoldani most működik bár nem mondom hogy tudom pontosan melyik szabály kikapcsolása vagy hozzáadása oldotta meg, de majd alkalom adtán végigjátszom :)

(#4039) MasterMark


MasterMark
(Jómunkásember)

Üdv,

Lenne pár kérdésem:
-1 Gbps-es nethez milyen milyen router kellene? (PPPoE NAT-olással. WAN-LAN irányba.) RB750GL elég lenne?
-Tudnak-e a Mikrotik routerek DHCP-n egy MAC címhez több IP címet osztani?
-Tudok-e WINS szevert is kiosztani DHCP-vel?
-VPN-hez milyen lehetőségek vannak?

Előre is köszi. :R

[ Szerkesztve ]

(#4040) MasterMark válasza MasterMark (#4039) üzenetére


MasterMark
(Jómunkásember)

Ja igen, még valami:
- no-ip-re tud WAN IP-t frissíteni?

(#4041) brickm válasza bacus (#4036) üzenetére


brickm
(senior tag)

A linuxot pár napja telepítettem,
VERSION="16.04.3 LTS (Xenial Xerus)"
Az openvpn csomag hivatalos forrásból van szintén pár napos.
A windows-os kliens dettó, openvpn weboldalról van és ugyan úgy ledob.
A router os-t most frissítettem, current 6.40.4 es, ugyan az a hiba.

(#4042) bacus válasza MasterMark (#4039) üzenetére


bacus
(senior tag)

nagyon nem
nem hiszem, hogy maga a dhcp ezt megengedi
igen
majdnem minden félét ismer, pptp, sstp, l2tp, openvpn (ezt csak tcp-n)
no-ip: azt tudja amilyen scriptet megírsz, vagy találsz. DNSoMatic script biztosan van, az elég sok mindent ismer, többek között a no-ip -t is, itt egyszerre tudsz frissíteni több címet is.

"Nagyon rossz lány voltam. Meg kell büntess !" nyögte a fülembe, így aztán telepítettem a windows 10-t a laptopjára... https://www.paypal.me/engiman/15

(#4043) MasterMark válasza bacus (#4042) üzenetére


MasterMark
(Jómunkásember)

Köszi a válaszokat. Milyen routert lenne érdemes nézni akkor? Switch van külön, elég ha 1-1 port között tudja a sebességet.

DHCP-hez, itt azt írja:

When the RRAS server starts with the Use DHCP to assign remote TCP/IP addresses option, it instructs the DHCP client on the RRAS server to obtain 10 IP addresses from its configured DHCP server.

Mostani TP-link log-jában látom a request-eket, de ugyanazt az IP-t adja oda neki.

(#4044) bacus válasza MasterMark (#4043) üzenetére


bacus
(senior tag)

Igen, de ennek semmi köze a normál DHCP-hez. Az RRAS szerver induláskor lefoglal 10 IP címet, hogy majd a DIAL UP klienseknek ő oda tudja adni.

Az én magánvéleményem: (és szigorúan kisvállalati x<30)
- ha nem muszáj, nem kényszer, akkor nem használok windows szervert.
- ha már muszáj windows szervert használni, akkor sem használom a DHCP -t windowson.
- azért használok mikrotik routert, mert a vpn is sokkal egyszerübb a telephely-telephely és a telephely-kliensek között is.

Tehát RRAS = windows szerver + dhcp szerver + vpn (vagy egyéb dial-up)

/RRAS = Routing and Remote Access Service/

[ Szerkesztve ]

"Nagyon rossz lány voltam. Meg kell büntess !" nyögte a fülembe, így aztán telepítettem a windows 10-t a laptopjára... https://www.paypal.me/engiman/15

(#4045) MasterMark válasza bacus (#4044) üzenetére


MasterMark
(Jómunkásember)

Mivel a mostani TP-link nem tud VPN-t, ezért egy Windows Server-ről van megoldva a dolog.

A linkelt cikkben azt írja, hogy konfigurált DHCP szervertől kéri le a kliens előre azt a 10 címet.
Ez amúgy a DHCP Relay Agent-hez kellene. A VPN-hez.

DHCP szerver egyébként nem a Windows Server-en, hanem a TP-link-en megy.

szerk.: Ez csak otthoni szerver experimental célokra csak. No para. :D

Ha a router tudna értelmes VPN-t, akkor ezzel nem lenne gond egyrészt ezt is szeretném kiváltani, azért nézelődtem Mikrotik-nál.

[ Szerkesztve ]

(#4046) bacus válasza MasterMark (#4045) üzenetére


bacus
(senior tag)

Itt a hiba! Ms mindig okosabb akar lenni, mint a sok ezer felhasználója, el se tudja képzelni, hogy windows szervert használ valaki, de nem az a dhcp szerver. Ergo, amikor ő azt mondja, hogy lekér 10 ip címet a dhcp szervertől akkor ezen csak a saját dhcp szerverét értheti. :)

Utoljára 2003-as r2 windows szerveren csináltam ilyet, ott ezt a 10-t tényleg jó előre lefoglalta, de azért állítani lehetett, hogy 10 legyen v. kevesebb, vagy melyik 10, mert azt amit így lefoglalt, azt ki is kellett zárni még (ha emlékeim nem csalnak) a dinamikusan kiosztott ip címek közül. (lehet automatikusan megcsinálta, mert olyan intelligens volt :D ) Ms egyébként mindig is tojt a teljes szabvány leírásokra, nem véletlen sokszor az inkompatibilitás.

Mikrotikéknál nem így megy a dolog, ha létrehozol egy pool-t, onnan kaphatnak ip-t a vpn kliensek. De itt egy rendes routeren vagy, nem vagy kötve egy alhálózathoz, lehet több pool, több alhálózat, stb. A vpn klienseknek nem kell feltétlenül ugyanabba az alhálózatba lenni, stb. , egy név/jelszó párral többször is lehet csatlakozni, ha olyan a beállítás és mindig új ip-t kap, stb.

Hogy milyen router kell otthonra, azt nem tudom, de én mostanában mindenhova a 3011-t veszem (ahol elég a pénz), sok memória, gyors, stb, viszont nincs benne a wifi, azt külön kell megoldani.

"Nagyon rossz lány voltam. Meg kell büntess !" nyögte a fülembe, így aztán telepítettem a windows 10-t a laptopjára... https://www.paypal.me/engiman/15

(#4047) MasterMark válasza bacus (#4046) üzenetére


MasterMark
(Jómunkásember)

Na igen, most olvasom ezt is, hogy:

The Windows DHCP service provides a predefined user class named Default Routing and Remote Access Class for assigning options that are provided only to RRAS clients.

Vagyis valószínűleg tényleg csak Windows-os DHCP-vel menne ez.

Wifi is, Switch külön van megoldva, csak router kellene.
Ennél a 3011-nél egyszerűbb, olcsóbb is megtenné szerintem.

(#4048) bacus válasza MasterMark (#4047) üzenetére


bacus
(senior tag)

Olcsóbb van, de egyszerűbb? Mindegyiken a RouterOS fut, nem bonyolultabb egyik sem a másiknál.

Még egy típus van, ami talán -erre nincs tapasztalatom- átviszi a gigabitet talán és olcsóbb a 3011nél:
MikroTik hEX RB750Gr3, kb harmad annyiba kerül.

De nekem most több dolgom nincs, hogy kipróbáljam:
-hex gr3, na jó ez nem lenne akkora probléma
-gigabites net, tudnék csinálni saját pppoe szervert, hogy leteszteljem
-szabad idő és kedv, ez az ami miatt hamvába hal az ötlet :D

"Nagyon rossz lány voltam. Meg kell büntess !" nyögte a fülembe, így aztán telepítettem a windows 10-t a laptopjára... https://www.paypal.me/engiman/15

(#4049) MasterMark válasza bacus (#4048) üzenetére


MasterMark
(Jómunkásember)

Nem szoftveresen, hanem hardveresen egyszerubbre gondoltam.

Azt a hex-et nézegettem én is egyébként. Mikrotik-nál van hardveres gyorsítású NAT-olás, vagy prociból csinálja?

(#4050) bambano válasza MasterMark (#4045) üzenetére


bambano
(Jómunkásember)
LOGOUT blog

tévedés, nem dhcp szerverből kéri az ip címet, hanem dhcp szerver segítségével.

ha elolvasod az ms kottát, ott leírja, hogy dhcp-n keresztül kér a rras szerver kliens oldalára 10 ip címet, vagyis nem a dhcp kliens oldalára kéri a 10 címet, hanem a rras oldalra.

ez így teljesen jól van. viszont te nem ezt kérdezed.

egy mac-hez csak akkor fog a dhcp különböző ip címeket hozzárendelni, ha más-más broadcast tartományból jön, de akkor is csak egyet.

a mikrotikekben a vpn szerverek osztanak maguktól ip címet, ha úgy állítod be. vagy adhatsz ip címet radiuson keresztül.

lezso6 szerint a user: rossz számtech karmája van | @netik: There is no Internet of Things. There are only many unpatched, vulnerable small computers on the Internet.

Copyright © 2000-2019 PROHARDVER Informatikai Kft.