-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Reggie0
félisten
válasz
ekkold
#16317
üzenetére
A gyari szam nem valtozik meg, csak mas ddns cimet ir a cloud, mint a serialja. Neha meg ugyan az. Most ez:
[admin@MikroTik] > /ip/cloud/print
ddns-enabled: yes
ddns-update-interval: none
update-time: yes
public-address: 8************
dns-name: 45************.sn.mynetname.net
status: updated
[admin@MikroTik] > /system/routerboard/print
routerboard: yes
model: CCR2004-16G-2S+
serial-number: HA*********
firmware-type: al64
factory-firmware: 7.0.4
current-firmware: 7.0.4
upgrade-firmware: 7.1 -
válasz
ekkold
#16305
üzenetére
Saját tapasztalat, mindig is így használtam. Egyetlen wg interfacem van otthonra, azon keresztül érem el mobilról, laptopról, egyéb eszközökről akár egyszerre is az otthoni hálózatot természetesen egy peer, egy eszköz alapon. Ha belegondolsz, eleve így a logikus, hiszen rengeteg VPN szolgáltatás akkor nem tudna wireguardot használni, ha minden peernek külön port kellene...
Amire tudok gondolni, hogy miért nem "működhetett" nálad, az az allowed addresses hiánya router oldalon. Amikor létrehozod a peert, akkor egy peer esetén talán nem szükséges kitölteni az allowed addresses mezőt, de ha több peered van, mindenképpen ki kell, különben nem tudja a router, hogy hova küldje a csomagokat. Pl:
Columns: INTERFACE, PUBLIC-KEY, ENDPOINT-PORT, ALLOWED-ADDRESS# INTERFACE PUBLIC-KEY ENDPOINT-PORT ALLOWED-ADDRESS0 wireguard1 hack<redacted> 0 192.168.98.2/321 wireguard1 Coal<redacted> 0 192.168.98.3/32Nekem így remekül működik.
Más: Ezt már régóta be szerettem volna dobni, hátha másnak is segíthet. Én is belefutottam a memleakes bugba ROS7-re frissítés során. Illetve voltak érdekességek, hogy a router az összes talált DHCP szerverről berakta a gateway-t default routenak, hiába volt kigyomlálva az add default routes opció meg stb. Produkált jó pár érdekességet a rendszer. Végül @adika4444 hívta fel a figyelmem, amit innen is nagyon köszönök, hogy nem elég csak a packages fülön frissíteni az OS-t: [kép] Hanem figyelni kell arra, hogy a firmware is friss legyen a System->RouterBOARD menüben: [kép]
Hogyha a második képen nem 7.x szerepel a current firmware alatt, hanem 6.x, akkor mindenképpen érdemes az upgrade gombbal frissíteni a firmwaret is. Nekem így megszűnt a memleak probléma és kb 10 MB RAM-mal kevesebbet eszik a rendszer a 6.x-hez képest.
Persze elképzelhető, hogy más memleaket idéző probléma is létezik a rendszerben, de szerintem megéri ránézni.
-
válasz
ekkold
#16307
üzenetére
ment egyszerre a két peer és mindkettő peer ugyanabban az alhálózatban volt (a VPN interfészük legalábbis)
A linkelt hozzászólásod esetében megoldódott a probléma?
igen, az MTU-t kellett lejjebb venni
de eddigre már szétszedtem két külön interfészre a két kapcsolatot, mert arra is gyanakodtam, úgyhogy azóta is külön vannak, mert nem bolygatom, ha egyszer működik. -
válasz
ekkold
#16305
üzenetére
bár nem engem kérdeztél, de nekem pl van saját tapasztalatom
simán működik egy interfészen több kapcsolat.
nekem se volt egyértelmű, de sehol nem írták, hogy szükség lenne minden kapcsolathoz új IF-re, és szerintem technikailag sem indokolja semmi.de persze ellene sem tudnék érvelni, végül nálam is külön interfészen van a két WG kapcsolatom, de ha pl bevezetnénk a WG-t a munkahelyemen, biztos nem állnék neki minden VPN-ező, home officeoló kollégának külön interfészt kreálni
-
e90lci
senior tag
válasz
ekkold
#16252
üzenetére
Szia!
Sajna nálam más lehet a gond,ugyanis elfogy 3 nap után az összes memória.Csináltam egy teljes törlést,újra konfigolást,de változatlan.A downgreadet,még nem csináltam a 6.49 re vissza,csak a 7.1-re ott is változatlan.Jövő hét pénteken otthon leszek,csinálok a 6-osra vissza hacsak nem jön egy stabil fw ami megoldja (7.1.2).Addig megy a 3 naponta reboot este 3 _30 kor. -
Horvi
őstag
válasz
ekkold
#16113
üzenetére
Köszi, még egy kérdés ehhez. A leírásban volt egy ilyen input szabály is:
/ip/firewall/filteraddaction=acceptchain=inputdst-port=13231protocol=udpsrc-address=192.168.80.1
Erre szükség van? Mert ha nem engedélyezem akkor is működik a kapcsolat(sikerült végre megpatkolni).
Arra tippelnék, hogy emiatt nem kell, a te leírásod alapján konfigoltam a routert:Az Estabilished csomagok átengedése:/ip firewall filter add chain=input connection-state=established action=accept comment="Established connections"
pzoli888 - De routerenként mindhárom allowed tartomány ott van. -
Horvi
őstag
válasz
ekkold
#16110
üzenetére
A wireguardnál is számít, hogy a forward-ban ez a típusú rule a fasttrack előtt legyen mint az IPsecnél? Vagy elég ha csak az első drop előtt van?
/ip/firewall/filteraddaction=acceptchain=forwarddst-address=10.1.202.0/24src-address=10.1.101.0/24addaction=acceptchain=forwarddst-address=10.1.101.0/24src-address=10.1.202.0/24 -
Reggie0
félisten
válasz
ekkold
#16062
üzenetére
Ez egy jo kerdes. A 36 magos, 1.4GHz-es tilera coremark score 165000, mig pl. a raspi 4 magos 2.15 gigahertzes ARM A72-vel a 4 magos rpi 45000. Szoval ha visszaszamoljuk, akkor az 1 gigas 9 magos TILE procira kb. 30000 jon ki, mig az 1.4 gigas 88F7040-ra szinten 30000. De ez csak egy becsles a coremark ertekek alapjan, a cache meretek, erosen elternek, illetve van ahol az egymagos teljesitmeny szamit. A linuxhoz kene hozzaferni, hogy benchmarkolni lehessen.
Viszont ha a mikrotik routing performance-t nezzuk, akkor a tile vagy 30%-50%-al gyorsabb, es azt mind a ketto CPU-bol tolja. -
válasz
ekkold
#16035
üzenetére
Ha szükséges, akkor valóban lehetséges, de alapesetben nincs és a setupomon sincs. Illetve végignéztem a menüben, amúgy sehol nem találtam NAT opciót az IPv6 menüben (nincs is rá szükségem). A NAT-ot csak mint okot írtam a v4 lassúsága kapcsán és arra számítottam, hogy mivel v6-on eleve nincs NAT-om, legalább ugyanolyan gyors lesz, mint a v4.
-
-
yodee_
őstag
válasz
ekkold
#15959
üzenetére
A hAP ac2 oldalán megnéztem, hogy a legjobb teljesítmény AES-128-CBC + SHA1 ezzel az IPSec típussal jöhet. Nem tudom a "tunnel"-ek számát hol tudom állítani, az MTU-t max 1400-ra tettem és így 160/75 mbit jön össze úgy hogy a fő router 1000/1000 thome, az 1. külső eszköz 300/75 mbit. Ennél többet szerintem nem is várhatok tőle. Ezzel elégedett vagyok.
-
Reggie0
félisten
válasz
ekkold
#15966
üzenetére
RB5009 ARM alapu, igy biztos fog menni rajta a Container, mivel dockeren az ARM architekturak tamogatottak. CCR1xxx szeriara is megjelent a Container, de meg nem lattam feltoltheto imaget, ha egyaltalan mukodik, akkor valakinek azt a nullarol kell osszeollozni, mert a Dockernel nem tamogatott architektura.
CCR1009 elonyok:
- erosebb proci
- soros konzol
- microSD foglalat
- procibol megy a networking
- nincs switch chip
- nagyobb ram
- lcd kijelzo(ha szamit)RB5009 elonyok:
- sokkal nagyobb nand
- extra 2.5 gigas port
- biztos lesz docker -
jerry311
nagyúr
válasz
ekkold
#15935
üzenetére
Nem elérhető a használt szoftver verzióban.
Meg úgy alapvetően nem 5-10% sebesség különbségről van szó, hanem arról, hogy még a Mikrotik által közzétett sebesség minimumát sem hozza (74 Mbps), a maximumnak (2100 Mbps) meg csak a 2.5%-át.
Ez nem protokoll hiba, vagy overhead, ez valami ordas nagy elkúrás valahol. Csak (még) nem tudom hol, de szeretném ha kiderülne. -
yodee_
őstag
válasz
ekkold
#15900
üzenetére
Amennyiben jól értelmeztem a feladatot, akkor csatolnám az eredményt. Az első kép a fő router:
A második kép az 1. külső eszköz (13.0.3.1) ezzel van a gond:
A harmadik kép pedig a 2. külső eszköz (13.0.4.1):
Amikor a 2.ról pingelem az 1.t akkor szépen látszik a logban minden. Viszont fordítva semmi. Tehát nem jön ki az 1. eszközről ha jól értem.
-
Marcelldzso
tag
válasz
ekkold
#15871
üzenetére
Átállítottam /30-ra és az allowednél kivettem a plusz sorokat pzoli mondása alapján.
A két router látja egymást. A két router tudja pingelni egymás LAN oldalán lévő eszközeit, viszont a LAN oldalról nem érem el a másik router LAN oldalát.
A traceroute a windowsban azt mondja, hogy megszólítja a routert és onnantól kapufa.
Merre keressem tovább a hibát?
Köszönöm, hogy segítetek! -
#15843
E.Kaufmann
veterán
ekkold
#15841
-
yodee_
őstag
válasz
ekkold
#15799
üzenetére
Tisztában vagyok vele, hogy nem ajánott az IP tartomány amit használok, viszont 2 éve nincs gondom vele. Amint hiba lesz, változtatok. Csatolok képet a jelenlegi IP/Routes részről:
Fő router (13.0.1.1):
1. külső router (13.0.3.1):
2. külső router (13.0.4.1):
Egyenlőre csak az utolsónál aktív a bejegyzés, de így nem működik.
-
válasz
ekkold
#15787
üzenetére
a stabillá nyilvánítás óta használom itthon a 7-est, egy másik helyen pedig valami korai rc óta (nem akart menni a mobilnetes stick 6-ossal, jobb ötletem nem lévén frissítettem a 7-es épp akkor aktuális előzetesére, azzal meg jó volt), és más problémát nem tapasztaltam vele ezen az egy kernel failure-ön, meg a múltkori automata frissítésbe belefagyáson kívül.
-
starchild
tag
válasz
ekkold
#15787
üzenetére
7.1-ről 7.1.1-re váltás nálam falióra és mindegy egyéb error nélkül zajlott le. Rb5009, rb4009, wap ac megy kb 9 napja az új softtal probléma nélkül.
...kopp...kop ...kopp😃
Nemtom ki hogy van vele, de én (mint mindig) a fw-t is hozzáfrissítettem az os-hoz.
B.UÉ.K! azaz Bugmentes esztendőt minden routerosolónak és egyéb más rendszert használónak. -
válasz
ekkold
#15766
üzenetére
"Ezen kívül az 53-as portja jövő csomagok forráscíme automatikusan megy a feketelistára, onnantól pedig az adott forráscím számára semmilyen port nincs nyitva"
Erre (is) mondták nekem pár éve, vagy olvastam, passz, hogy publikus IP-n port szkennelést 1024 felett kell(ene) kezdeni 😁
Persze nem tudom mennyire műxik a dolog. -
-
g0dl
addikt
válasz
ekkold
#15751
üzenetére
"Eleve nem tudják melyik porton van, és azt sem, hogy azon a porton éppen wireguard van."
Szerintem ezt nem lehet gond kideríteni, ha valaki akarja. Egyébként pedig ne alapozzunk a security through obscurity-ra.
A wireguard sebességben nagyon jó, nekem a fő gondom vele, hogy a kliensek nem nyújtanak jelszó vagy más védelmet a kulcsokra. Tehát ha elveszted/ellopják a mobilod amin beállított kliens van az elég kellemetlen lehet.
Ha erre valaki tud ajánlást, azt megköszönném. -
Horvi
őstag
válasz
ekkold
#15703
üzenetére
Igen ez volt a gond, hogy a feketelistára felkerült LAN cím is amiből a wireguard subnetje is jött így ez volt a gondja. Most a ping megy az egyik routerből a másikba wg-n keresztül egészen addig míg le nem lövöm a két router között az ipsec tunnelt. Utána packet rejected üzenet jön vissza
Szóval akad még itt bonyodalom. -
jag222
csendes tag
válasz
ekkold
#15701
üzenetére
Nem, csak a NAT-olt oldalon volt, és ha egyszer elindult akkor a másik oldal IP váltásáig (DIGI, heti 1x) jó volt a kapcsolat.
pzoli888 adott egy tippet a 15698 hsz-ben: After resolving a server's domain, WireGuard will not check for changes in DNS again.
Ezt most be is állítottam, hap ac2 oldalon "kértem" új IP-t, de nem találják egymást...
Most várok arra, hogy az LTE le- föl csatlakozzon (helyileg messze van, nem tudok oda menni újraindítani) és akkor elvileg megint helyreáll, a logból hátha kiderül valami majd.
Egyéb ötlet? -
#15696
lionhearted
őstag
ekkold
#15690
-
pitiless
senior tag
-
pitiless
senior tag
válasz
ekkold
#15638
üzenetére
IOT package => MQTT => NodeRed => kijelző
USB konverter nem játszik, mert a tárolónkban van a router és néha igen nehézkes megközelíteni. A nodered és az mqtt pedig azon a pi-n fut, amin a kijelző van. Majd még finomítani fogom, de mindenképpen szeretnék/szerettem volna egy állandóan szem előtt lévő kijelzőt, amin az általános státuszt látom.
-
válasz
ekkold
#15631
üzenetére
valamivel többet eszik a rOS7.
most körbenéztem az általam elérhető hap ac2-ket, itt az eredmény
kettőn van 7-es routerOS, azokon a 128MB RAM-ból 60 mega maradt szabadon, amelyiken még 6-os van azon átlagosan 80.
viszont szerencsére nem tapasztalok leaket. -
ekkold
Topikgazda
válasz
ekkold
#15610
üzenetére
Kpróbáltam azt is, hogy az allowed-address mezőben csak a távoli hálózat IP tartományát adtam meg, semmi mást, és így is működött, annak ellenére, hogy a távoli wireguard interfészt nem lehetett pingelni.
Ezután kipróbáltam kicsit nagyvonalúbban: 10.0.0.0/8 és 192.168.0.0/16 megadásával. Így is teljesen jól megy, minden pingelhető, és jól működik.
Ha belegondolunk, hogy olyan kapcsolat esetében, ahol a kliens IP címe változik (pl. mobilneten lóg, esetleg helyet változtat, különböző wifi hálózatokra csatlakozik, változó LAN címmel) ott nem is nagyon jöhet szóba más mint a 0.0.0.0/0 . -
Horvi
őstag
válasz
ekkold
#15591
üzenetére
Elvileg nem kellene. A leírás alapján az input chainbe hozzáadtam a tűzfal szabályt mindkét routernél ami a másik router publikus IP címéről engedi a forgalmat ha a wireguard portjára jön.
Illetve a két hálózat közötti forgalmat engedélyező szabályt is hozzáadtam a forward chainhez. De ez már amúgy is ott volt az ipsec miatt.
Más plusz szabály nincs, a routert a te leírásod alapján konfigoltam, azok a beállítások vannak benne mindkettőben.
Az amúgy nem kavarhat be, hogy jelenleg is él az ipsec kapcsolat a két router között? -
-
Reggie0
félisten
válasz
ekkold
#15471
üzenetére
De irjak, benne van a manualjukban, hogy johet eleve hibasan a nand. [link]
"According to the manufacturer of NAND chips, up to 5 blocks can be bad when NAND is manufactured, and up to 80 bad blocks could develop during operation, but it will not disturb the operation of your router, because complex workaround mechanisms are in place, that will copy the data to another block and attempt to fix the bad block. "
A nand chip gyartoja pedig azt irja, hogy amikor a gyarbol kigurul, akkor a 8192 blokkbol 8032-nek kell legalabb jonak lennie, azaz 160 hibas blokk lehet rajta gyarilag.74. oldal: [link]
-
-
Reggie0
félisten
válasz
ekkold
#15454
üzenetére
De menti. probald igy:
[admin@MikroTikCCR] /interface/wireguard> /interface/wireguard/export compact show-sensitive
# dec/10/2021 22:20:20 by RouterOS 7.1
# software id = xxxx-xxxx
#
# model = CCR1009-7G-1C-1S+
# serial number = xxxxxxxxxxxx
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard_Test2 private-key="+OD2wJUzFJ6bAeKY4AOjnSv/ss3jIpTf7ndgwMrMTWE="A teljes configra is igy kell a show-sensitive kapcsoloval.
-
#15363
lionhearted
őstag
ekkold
#15352
-
starchild
tag
válasz
ekkold
#15353
üzenetére
Nálam szépen megy, 7.1 dev verziókal, otthoni környezetben.
Igaz, nem tettem rá nagy terhet, egyelőre a telekomos 2/1 Gigás optikai netet kell elosztania, illetve wireguard VPN elérést biztosítani.
Hardveresen nagyon masszívnak, erősnek látom, a szoftveres rész meg alapból jó a Mikrotik-nál, a 7es verzió meg majd kiforrja magát. -
starchild
tag
válasz
ekkold
#15352
üzenetére
Szvsz a testing-ből jön majd a stable, a development meg megy a maga útján tovább. Ezért lett kettéválasztva.
Igaz, furcsa a megnevezés, mert rc (pláne 7 verzió) után, már általában stable szokott jönni más szoftvereknél.
De csak teszteljenek a fiúk, jobb ha tényleg csak a stabil dolgok kerülnek az éles környezetben használt szoftverbe. -
Reggie0
félisten
válasz
ekkold
#14949
üzenetére
Sajat eszkozon(CCR1009). kifejtettem az autosup.rif-bol a logokat, ezt dobja a kernel: https://pastebin.com/HEFcB99K
#14946 ekkold: Majd ejjel backupolok es upgradelek, kiderul, hogy javitottak-e. De a changelog es kernel log alapjan nem tartom valoszinunek, mert massal van a gond.
-
Apollyon
Korrektor
válasz
ekkold
#14885
üzenetére
PC-s linuxokon miért kell parancssorral sz@rakodni
Mert a Unixes KISS filozófia érvényesül (keep it simple, stupid). Mikrotik alatt énis winboxolok, de amúgy jobban preferálom linuxon a terminált, mert parancssorban mindent egyszerűbben, gyorsabban meg lehet oldani, kisebb erőforrás igénnyel, egér nélkül...
-
adika4444
addikt
válasz
ekkold
#14881
üzenetére
Nem fog működni. A WireGuard az endpoint-okkal kommunikál, amit minden sikeres kulcsegyeztetésnél lefrissít. Azaz ha rámész egy géppel, majd később egy másodikkal, akkor azutóbbi endpoint-jára fog frissülni a peer szerver oldalon, eredményképp minden packet az új helyre fog érkezni.
Csinálj saját peer-t minden klienshez.
-
Beniii06
addikt
válasz
ekkold
#14855
üzenetére
Köszönöm az információt neked és adika4444 - nak is. Nálam is az a probléma, hogy a két eszköz fő router és az esetleges bugok többet ártanának, mint ami előnyt adna a VPN sebesség növekedése, marad akkor a mostani felállás és inkább egy PC - mobil eszközön fogom tesztelni a wireguardot.
-
, inkább a sebessége miatt kellene már cserélni, mert ugye 100MBit-et röhögve bír, de már pl a ROS7-ben elérhető CAKE QoS "kicsit" megizzasztja a CPU-t ilyen "alap" internet mellett is.
Szóval akad még itt bonyodalom.
Új hozzászólás Aktív témák
Hirdetés
- TP-Link EAP Wifi AP-k (225, 245, 615)
- Mars Gaming ML-LCD240 2x ARGB 120mm FDB Fan LCD Display (Alkatrésznek) INGYEN FOXPOST
- CORSAIR K55 RGB PRO XT (Kartámasz nélküli) INGYEN FOXPOST
- Szép! Dell Latitude 7430 ÜTÉSÁLLÓ! Üzleti Profi Ultrabook 14" -60% i5-1245U 16/512 FHD IRIS Xe
- Philips 32E1N1800LA/00 4K monitor
- Iphone 16E 128GB Fekete Bontatlan 24 Hónap Garancia
- Bomba ár! Dell Latitude 7320 - i5-11GEN I 8GB I 256SSD I HDMI I 13,3" FHD I Cam I W11 I Garancia!
- Azonnali A320 B350 X370 B450 X470 A520 B550 X570 chipset alaplap felvásárlás személyes/csomagküldés
- ÁRGARANCIA! Épített KomPhone Ryzen 7 9700X 32/64GB RTX 5070 12GB GAMER PC termékbeszámítással
- BESZÁMÍTÁS! Gigabyte A620M R5 7500F 32GB DDR5 512GB SSD RX 6700 XT 12GB ZALMAN S3 TG CM 700W
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest