- Magisk
- Akciófigyelő: Jelentősen olcsóbban nyit az Ulefone új mindenese
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Samsung Galaxy A54 - türelemjáték
- iGO Primo
- Telekom mobilszolgáltatások
- Motorola Moto Tag - nyomom, követ
- Xiaomi Watch S1 - szép az idő
- Egyszerre legnagyobb és legkisebb is a Garmin Venu X1
- Vivo X200 Pro - a kétszázát!
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
-
kammler
senior tag
Pontosítok. Ha egy hálózatban vannak nálam (10.X.X.X, meg 192.X.X.X) ott működik, de ha a másikat is kirakom mobilnetre ott nem. Valami dinamikus szabályt létrehoz a rout-ban, ha jól néztem, de valami nem ok ott szerintem még, mert pingelni se tudok, handshake az van. Az IPSEC a másik mumus, azzal régóta küzdök. Felépül pl. telo meg miki közt a kapcsolat, vpn, adatforgalom nulla. Ha az EoIP-nél bekapcsoltam az ipsec-et, ott jól bekonfigurálta magát, az ok. Kicsit pihenek arra most. Meg kikapcsoltam, mert mindig próbálkoztak, logban láttam.
-
m0ski
aktív tag
-
-
nagy összegbe azért ne fogadj erre...
amikor nekem bedöglött az RB1100, az összes BGA-snak írtam, akit csak felleltem a neten, nagyrésze válaszolni se méltóztatott, a maradék meg nem vállalta. azóta is itt van a polcomon
-
Reggie0
félisten
Ugy altalaban a legtobb mikrotiknel problema, mert csak egy bridget tud hardveresen gyorsitani. A tobbi bridget mar processzorbol fogja kezelni, ami magas prociterhelest tud okozni, ha a vezetekes halozat is erintett. Emiatt a teljes forgalmat be kell kuldeni a prociba, ami a switch chip es a proci kozotti linket is hamar telitheti.
(A wifi, virtualis, tunnel es hasonlo interfeszek bridgelese viszont vegig prociban tortenik minden esetben.)De a te esetedben a vendeg wifi-nek nem kell bridge, ne is add hozza a meglevo bridge-hez se.
-
Audience
aktív tag
- A virtuális interface ugyanazon a frekin fog menni mint amin a fizikai megy, nem tudod másik csatornára tenni
- Csinálj egy másik bridge-et, erre tedd a virtual interface-eket
- Erre a bridge-re egy DHCP szerver
- Vagy a tűzfalon vagy a routing rule-onál állítsd be mit érhetnek el a vendégek. -
Horvi
őstag
Végül kiderül, hogy mi a probléma az első esetben. Amikor állítok static dns bejegyzést akkor amikor a wireguard kapcsolat kiépülne akkor az nginx címére próbál kapcsolódni nem pedig a másik oldali router wan címére szóval a statikus dns bejegyzés nem opció.
Keresgéltem tovább és ha jól gondolom akkor nekem a Hairpin NAT lenne a megoldás valahogy így:
/ip firewall nat add chain=dstnat action=dst-nat dst-address="routerWANIP" dst-port=443 to-addresses="nginxIP" to-ports=443 protocol=tcp
Bár gondolom ezt a dst-address részt érdemes lenne kicserélni dst-address-list-re és a beépített címet használni?A másik problémára(kültéri wifi upgrade), tesztelés céljából kapok kölcsön egy wap ac-t aztán majd kipróbálom aztán ha jó akkor rendelek egyet. Bár ahogy nézem jelenleg nem lehet kapni.
-
-
-
adika4444
addikt
Hali!
A filter-ben WAN port felől csinálj egy forward szabályt, ami engedélyezi a forgalmat a nginx-es belső IP felé. HA nagyon paranoiás vagy, akkor hasonlóan a dstnat szabályodhoz limitáld mit engedsz be (port), ha kevésbé, akkor elég a dstnat-nál kikötni
Ja, és ne felejtsd el engedélyezni a szabályokat, itt a példában ki van kapcsolva (bár gondolom szándékosan).Az input szabály pedig nem kell, hisz nem a router-re engedélyezed. A dst-address-list-nél amúgy mi ez a "Erd DDNS address" az address-list-nél?
-
-
bacus
őstag
"Akár ubi is szóba jöhet bár azokat nem ismerem."
hát van ugye a csemege, ebből a lidlis a legjobb szerintem, piacon árulnak ecetes uborkát, amit sokan tévesen kovászosnak hívnak, de nem az, meg van a rendes kovászos uborka. Ezt azért sokan csinálják, tévesen azt hiszik, hogy csak nyáron lehet, mert kell neki a nap, pedig a meleg kell neki.
Ezt nem csak ismerem, de készítem is rendszeresen, nagyon tuti receptem van. -
Nem tudom hányszor fog még előjönni ez a kérdés, de leírtam többször részletesebben, hogy igen, lehet egy wireguard interfacen több peer is, csak arra kell figyelni, hogy a peereknél az allowed address precízen meg legyen adva. Pl ha 10.11.11.2/32 az IP, amit adni akarsz a mobilnak, akkor ezt ne csak a kliens konfig fájlba írd be, hanen a wg peer allowed-addresses mezőjébe is: 10.11.11.2/32. De ahogy látom, ezt már kitöltötted, szóval ha figyelsz arra, hogy minden peernél szerepeljen, akkor menni fog.
A pihole kérdésre meg... Nekem az volt a tapasztalat, hogy wg fronton még masquerade se kell, elérik egymást szépen a különböző hálózatok. Próbáld meg csak úgy elérni, esélyes, hogy menni fog. Ha nem, akkor meg a piholeos masinára lenne érdemes ránézni, hogy mire van bindolva a pihole, illetve hogy fogja-e tűzfal a forgalmat.
-
#16119
Marcelldzso
tag
Horvi
#16088
-
kis20i
tag
Amikkel én jókedvű, mosolygós perceket szereztem magamnak:
- A WG interface IPje nem lehet azonos tartomány a két hálózattal
- Allowed Addresshez legalább 3 tartomány kell, a két hálózat, meg a WG tartománya
- Route szabály, de az Nálad rendben
Egyébként nekem is a WG interface van megadva a route listában, szépen működik. Van 1 WG kifele, 2 site to site befele, meg a mobilok, laptopok, szépen mennek. -
pzoli888
kezdő
visszatérő probléma, hogy nincs felvéve az ip routes-nál a másik oldali hálózat és az ilyen bejegyzésnél a gateway-nek pedig a másik oldai wireguard-os ip kell.
a fenti routes nélkül valószínleg a ping/traceroute sem menne, ha így próbálod ki: ping <másik oldali hálózati cím> -src-address=<a helyi router lan local címe> -
pzoli888
kezdő
vagy felveszel egy olyan INPUT szabályt, ami mindent enged a wireguard-os interface-en, és ez az új szabály minden olyan szabályok előtt legyen amiben az action: add-src-to-address-list
vagy add-src-to-address action-os szabályba beleírod a wireguard-os címet és tartományt, mint kivétel. -
Reggie0
félisten
Nem, hanem kovesd a csomag utjat a cimzettig, majd nezd meg az kuld-e valaszt es a valasz meddig jut vissza. Azt mar latjuk, hogy a wg tunelen atmegy a keres, de nem megy vissza a valasz. A kerdes az, hogy az 192.168.1.20-as gepet eleri-e a ping es az kuld-e valaszt es ha valaszol ra, akkor a valasz meddig jut el a visszafele iranyban.
Mikrotiken bejott a csomag a wg interfeszen, de annak at kell kerulnie egy masik interfeszre, hogy kijusson a routerbol. Azert mondtam, hogy nezd meg a bridge-n levo forgalmat is, mert abbol latod, hogy a forwarding sikeres-e, illetve ha a celgep valaszol a pingre ott mar latod, hogy jon-e valasz.
-
-
ekkold
Topikgazda
Az allowed-address akár 0.0.0.0/0 is lehet, nincs túl nagy jelentősége, mert úgyis a routing szabályokon múlik, hogy mi megy arrafelé.
Az endpoint-ot sem feltétlenül kell mindkét oldalon megadni. Ha mindkét oldalon van publikus IP, akkor azon az oldalon, ahol gyakrabban változik. Ha az egyik oldalon nincs publikus IP, akkor értelemszerűen csak azon az oldalon.
-
Reggie0
félisten
A wireguard erdekes egy allatfaj. A peernel az allowed address-ben meg kell azt az iptartomanyt is adni, amit at akarsz kuldeni rajta, nem eleg a ket vegpont networkjet megadni, mert maga a wireguard tunnel implementacio lefiltereli.
Tehat, ha az allowed address-ben csak a 10.10.10.0/24 szerepel, akkor hiaba route-olsz barmit, vagy adsz mas cimet a ket vegpontnak, csak a 10.10.10.0/24-es networkbe tartozo destination es source addressu csomagot fog atengedni.Nalam peldaul a ket vegpont cime a wg tunnelben 192.168.3.1 es 192.168.3.2. A peer-t pedig igy kellett felvenni, hogy a tunnelen a 10.0.0.0/16-ban megtalalhato gepekrol is at tudjam routeolni a forgalmat:
[admin@MikroTikCCR] /interface/wireguard/peers> print
Columns: INTERFACE, PUBLIC-KEY, ENDPOINT-PORT, ALLOWED-ADDRESS, PERSISTENT-KEEPALIVE
# INTERFACE PUBLIC-KEY ENDPOINT-PORT ALLOWED-ADDRESS PERSISTENT-KEEPALIVE
0 wireguard1 x 0 192.168.3.0/24 1s
10.0.0.0/16 -
Beniii06
addikt
-
Kenderice
senior tag
Köszi, közben rájöttem. Nem írtam be a portot mert nem 80-at adtam meg a www portnak.
Viszont a port forwarding nem akar összejönni.
Mindenhol a router internetes IP címét adják meg forrásnak de az dinamikus, mindig változik.
Hogy csináljam a port forwardot ha a 192.168.0.103 belső gép ftp, 21-es portját akarom megnyitni a net felé de 21000 portként legyen elérhető a net felől? -
Beniii06
addikt
Statikus route szabályt adtál hozzá?
Meg kell mondani az albérletes hapac-nak, hogy az omv ip címét/azt a hálózatot azt az otthoni hapac-n keresse(annak az ip címére továbbítsa a kéréseket) magyarul. Ez szerintem kimaradt. Megadhatod ip --> routes menüben(hivatalosan ez a jó megoldás) vagy a firewallban mangle rule-ként is(prerouting, elérni kívánt ip,action route és hova küldje a csomagokat. A filter rule-okat hanyagold szerintem, az nem erre való.
-
#11059
E.Kaufmann
veterán
Horvi
#11058
-
akos86
aktív tag
Köszönöm a válaszod.
Jelenleg VPN profil úgy van beállítva, hogy a helyi hálózat tartományából kap címet a VPN kliens gép, ahol lehetett ott a rpi lett beállítva DNS-nek a routerben, de valamit csak nem jól csináltam ha így nem működik a VPN kapcsolat alatti reklám tiltása, próbálkozom még. -
a Poolban csak egy nevet meg a tartományt tudod megadni, a DHCP Server - Networks részben adod meg a DNS-t, de a PPP-hez erre nincs szükség.
valóban a PPP Profil részben van DNS megadásra lehetőség, ha az nem működik, akkor valami vagy nem jól van beállítva, vagy a kolléga talált egy új bugot a routerOS-ben -
ekkold
Topikgazda
Emlékeim szerint mintha neked is lenne NAS-od. Ha synology/xpenology, akkor van syslog server (naplóközpontot fel kell tenni). A mikroik tud logolni távoli szerverre, így nem kell menteni, meg elküldeni a log-ot, hanem ott lesz a szerveren, tetszőleges időszakra visszamenőlegesen.
-
#10095
stickermajom
addikt
Horvi
#10094
stickermajom
addikt
Scriptnek azért nem nevezném.
GUI-n Tools - Netwatch, ott kitöltöd értelemszerűen, és nálam a Down tabon szerepel ennyi:/interface disable pppoe; log warning "PPPoE has been disabled, waiting 20s";:delay 20s/interface enable pppoe; log warning "PPPoE has been enabled"A szolgáltatói eszköz alá vegyél egy wifis dugaljat, egy RPi pingelhet szintén valami "mindig elérhetőt", ha lemegy kilövi az eszközt, vár kicsit, visszakapcsolja.
-
#10088
stickermajom
addikt
Horvi
#10084
stickermajom
addikt
Ilyesmi előfordult nálam is párszor, azóta pingetem 30 secenként a 8.8.8.8-at Netwatch-csal, ha timeoutol, akkor pppoe interface kap 20 másodperc pihit, aztán vissza. Volt már olyan, hogy megoldotta, de a nagy home officeok óta volt, hogy nem segített. Bár az egyik gyanúsan valami karbantartás volt, mert pont éjfélkor ment el egy 20 percre.
-
m0ski
aktív tag
Szia!
DIGI 7 naponta központilag bontja az aktuális PPPoE kapcsolatot, ilyenkor szoktam hasonlót látni a logban. Az esetek nagy többségében általában max. 2 percen belül újracsatlakozik és új IP-t kap.
Illetve akkor is ez van, ha központi hiba miatt áll meg a kapcsolat (minap valamelyik hajnalban kb. fél órán keresztül mentek ezek az üzenetek, mire az eszköz vissza tudott csatlakozni). -
bacus
őstag
Meddig nem kapcsolódik? Mert ez az általam ismert minden digi-s (még a fix ip címesnél is, ftth, fttb végpontosnál is) előfordul, hogy X időnként lebont a pppoe szerver és egy pár percig, néha csak pár mp-ig ilyenkor nem tud visszacsatlakozni a router. Mondom, általában egy percen belül helyreáll !
Ilyenkor, ha épp "normál" időben történik, mikor gép előtt vagyok, akkor segít (gyorsít), ha belépek a routerbe, letiltom a pppoe klienst, majd egy 15mp várakozás után engedélyezem.
Nálam néha jön egy could not connect to ourselves vagy vmi ilyesmi hibaüzenet...
Szerintem nincs mit logolni, mert NEM a végponton (azaz nálad) van a hiba.
lionhearted: hány tplink eszköz ez? mert ellentmondást érzek, hogy is néz ki ez a hálózat, főleg, hogy "ne zavarjuk a lakókat" is van.., ezek szerint ki tudja mi van rádugva a hálózatra, még az is lehet, hogy még pár router és van cím ütközés.
-
-
Kroni1
veterán
Köszi! Már nekiveselkedtem ekkold cikkének, gondoltam ha lesz időm akkor az alapján be is állítom a routert, de még nem volt lelki erőm elkezdeni.
Beniii06: "Fizetős? Minek?" - pont ilyesmiket akartam ott megkérdezni, hogy van-e értelme fizetősnek, vagy nincs, meg hogy egy vpn mennyit lassít a kapcsolaton, stb. De ha a sajátja is jól használható akkor természetesen az is megfelelne nekem!
GUI-n Tools - Netwatch, ott kitöltöd értelemszerűen, és nálam a Down tabon szerepel ennyi:
Új hozzászólás Aktív témák
Hirdetés
ekkold
- Honor Magic5 Lite 128GB, Kártyafüggetlen, 1 Év Garanciával
- Dell USB-C dokkolók: (K20A) WD19/ WD19S/ WD19DC + 130W, 180W, 240W töltők
- Bomba ár! Dell Latitude E7270 - i7-6GEN I 8GB I 256GB SSD I 12,5" FHD I HDMI I CAM I W10 I Gari!
- ÁRGARANCIA!Épített KomPhone Ryzen 7 7700X 32/64GB RAM RTX 5070Ti 16GB GAMER PC termékbeszámítással
- BESZÁMÍTÁS! Apple MacBook Pro 14 M4 16GB RAM 512GB SSD garanciával hibátlan működéssel
Állásajánlatok
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest