Keresés: - Mikrotik routerek - Mobilarena Hozzászólások

Legfrissebb anyagok

Mobilarena témák

PROHARDVER! témák

IT café témák

GAMEPOD témák

LOGOUT témák

Keresés

Téma összefoglaló

Utoljára frissítve: 2021-08-17 20:43

Mobilarena

Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Új hozzászólás Aktív témák

#21177 pzoli888 kezdő Tamarel #21176

Új Válasz 2024-01-04 21:40:40 #21177
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz Tamarel #21176 üzenetére

én a dst-address-list=wan-ip részt inkább kihagynám, és helyette az in. interface vagy in. interface list-et állítanám be.
#16116 pzoli888 kezdő Horvi #16115

Új Válasz 2022-01-15 19:42:23 #16116
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz Horvi #16115 üzenetére

WG tartományon kívül csak az a hálózati tartomány legyen ott ami a másik oldalé.
#16114 pzoli888 kezdő Horvi #16109

Új Válasz 2022-01-15 19:31:33 #16114
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz Horvi #16109 üzenetére

"Az allowed tartományban ezek vannak: 10.10.10.0/30(WG), 192.168.10.0/24(siteA), 192.168.1.0/24(siteB)."
ugye routerenként csak két allowed tartomány van beállítva? szóval nem mind a 3 a routereken?
#16103 pzoli888 kezdő Horvi #16101

Új Válasz 2022-01-15 18:17:08 #16103
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz Horvi #16101 üzenetére

tűzfal szabálynál van az action-nél LOG lehetőség, vagy pl. drop szabálynál bepipálni a log checkbox-ot. és akkor után traceroute-nál vagy ping-nél megnézni, hogy mit ír a log-ban.
#16100 pzoli888 kezdő Horvi #16099

Új Válasz 2022-01-15 17:48:42 #16100
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz Horvi #16099 üzenetére

ha kell, akkor kapcsolj be naplózást ideglenesen
#16098 pzoli888 kezdő Horvi #16097

Új Válasz 2022-01-15 17:40:52 #16098
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz Horvi #16097 üzenetére

semmilyen más nat szabály nem kell, csak ami az internet miatt szükséges. ill. firewall szabályokat kell megnézni, hogy ott mi foghatja meg. főleg ahol src és dst addressek is használva vannak a rule-ban.
#16096 pzoli888 kezdő Horvi #16095

Új Válasz 2022-01-15 17:27:23 #16096
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz Horvi #16095 üzenetére

igen próbáld ki úgy, esetleg még tűzfal szabály lehet, ami vhol megfogja.
és nyilván a másik oldali routes is érdekes lehet, hogy vissza is találjanak a csomagok.
#16094 pzoli888 kezdő Horvi #16088

Új Válasz 2022-01-15 17:18:26 #16094
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz Horvi #16088 üzenetére

visszatérő probléma, hogy nincs felvéve az ip routes-nál a másik oldali hálózat és az ilyen bejegyzésnél a gateway-nek pedig a másik oldai wireguard-os ip kell.
a fenti routes nélkül valószínleg a ping/traceroute sem menne, ha így próbálod ki: ping <másik oldali hálózati cím> -src-address=<a helyi router lan local címe>
#15994 pzoli888 kezdő Mr Dini #15992

Új Válasz 2022-01-10 16:31:39 #15994
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz Mr Dini #15992 üzenetére

azért nem éred el a 192.168.1.0/24 hálózatból szerintem, mert a szolgáltatói eszköz 192.168.0.0/24 hálózatban van, és az az eszköz nyilván nem tud mit kezdeni a 192.168.1.0/24 hálózattal, max az ő default gw-je felé tudja küldeni (ha van is), de az nem "te " vagy.
meg kellene próbálni, hogy felveszel egy új nat szabályt. Chain: srcnat, action: masquerade-ba: src-address 192.168.1.0/24 , dst-address 192.168.0.0/24
#15980 pzoli888 kezdő yodee_ #15979

Új Válasz 2022-01-09 22:50:46 #15980
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz yodee_ #15979 üzenetére

ha pl. a vpn tartomány 192.168.175.0/24, akkor ezt a tartományt a másik két routeren felveszed az ip routes-nál. (dst-address=192.168.175.0/24, gateway pedig a főrouter)
#15978 pzoli888 kezdő yodee_ #15977

Új Válasz 2022-01-09 22:34:59 #15978
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz yodee_ #15977 üzenetére

ha a vpn kliens ip tartománya a fő router tartományába esik, akkor proxy arp bekapcsolása segíthet, vagy ha a vpn kliens tartománya más tartomány, akkor a másik két routeren ezt a tartományt is be kell állítani a ip routes-nál, hogy tudja hogy merre keresse ezt.
#15919 pzoli888 kezdő bigrock #15917

Új Válasz 2022-01-06 15:32:01 #15919
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz bigrock #15917 üzenetére

Nálam hap ac2 -n van ilyen stickem (modem módban van az eszköz) és így megy digi mobillal. (ppp client interface)
#15898 pzoli888 kezdő yodee_ #15892

Új Válasz 2022-01-05 15:34:45 #15898
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz yodee_ #15892 üzenetére

én első körben minden router drop szabályira raknám a logot INPUT és FORWARD chain-nél.
(vagy ideiglenes kikapcsolod az összes drop szabályt mindenhol, és nézel egy traceroute-ot. Ha kikapcsolt szabályokkal megy a traceroute akkor tuti hogy a tűzfallal van gond)
#15881 pzoli888 kezdő Marcelldzso #15878

Új Válasz 2022-01-04 15:57:20 #15881
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz Marcelldzso #15878 üzenetére

a 2 routeren az ip routes résznél felvetted a másik oldali alhálózatot?
#15876 pzoli888 kezdő Marcelldzso #15859

Új Válasz 2022-01-04 14:55:42 #15876
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz Marcelldzso #15859 üzenetére

én úgy látom, hogy A és B-nél is a allowed-addressnél szerepel a 10.1.10.0/24 és 10.1.1.0/24 cím. oda nem csak a másik oldal tartománya kellene? A /32 szerintem maradhat, de csak egy /24-es cím kellene.
#15835 pzoli888 kezdő yodee_ #15834

Új Válasz 2022-01-02 19:15:46 #15835
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz yodee_ #15834 üzenetére

azt nézted már, hogy a traceroute idejére az összes eszközön a drop-os firewall szabályokat log-olni, majd megnézni, hogy a traceroute után írt-e vmit oda vmelyik router?
#15822 pzoli888 kezdő yodee_ #15818

Új Válasz 2022-01-02 10:32:14 #15822
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz yodee_ #15818 üzenetére

nem gondolnám, nálam egy hap ac2-n van egy usb-s Huawei E3372H mobil stick igaz modem módban, de l2tp-val is ment, de már átraktam wireguard-ra.
#15817 pzoli888 kezdő yodee_ #15815

Új Válasz 2022-01-01 20:01:32 #15817
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz yodee_ #15815 üzenetére

lehet mind a három router tűzfal szabályaiban, ahol az action =drop és a chain= forward vagy input szerepel ott be kellene kapcsolni a log-ot (akár log prefix is legyen: külön prefix input-ra és külön prefix forward szabályra), és megint traceroute-olni a rossz irányt, majd ezek után megnézni, hogy vmilyik router logjában látsz-e vmit, és ha látsz vmilyen logot ezekkel kapcsolatban, akkor tűzfal gond lesz a hiba.
#15810 pzoli888 kezdő yodee_ #15808

Új Válasz 2022-01-01 14:35:04 #15810
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz yodee_ #15808 üzenetére

ez tényleg fura, esetleg vmilyen tűzfal szabály? de csak ez csak tipp
#15807 pzoli888 kezdő yodee_ #15806

Új Válasz 2022-01-01 13:51:32 #15807
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz yodee_ #15806 üzenetére

igen, és ennek mi az eredménye?
#15805 pzoli888 kezdő yodee_ #15804

Új Válasz 2022-01-01 13:43:18 #15805
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz yodee_ #15804 üzenetére

vagy én nem látok vmit jól, de ez jónak tűnik, nem? mi nem működik jól, milyen eszközökről?
#15803 pzoli888 kezdő yodee_ #15802

Új Válasz 2022-01-01 13:23:31 #15803
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz yodee_ #15802 üzenetére

és mit mutat pl. egy tool traceroute 13.0.3.1 src-address=13.0.4.1 a 2. külső routerről futtatva?
#15801 pzoli888 kezdő yodee_ #15800

Új Válasz 2022-01-01 12:31:46 #15801
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz yodee_ #15800 üzenetére

1. külső routernél (13.0.3.1) miért nem aktív a 13.0.4.0/24 route? rakd enabled-re, mert ez így szerintem csak az egyik irány, és szükség van a vissza irányra is.
#15797 pzoli888 kezdő yodee_ #15794

Új Válasz 2022-01-01 11:22:48 #15797
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz yodee_ #15794 üzenetére

igen, ilyesmire gondoltam. (a < és > jelekre nincs szükség, vagy winbox-ban az ip/routes résznél is csinálhatod)
#15792 pzoli888 kezdő yodee_ #15791

Új Válasz 2022-01-01 09:36:23 #15792
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz yodee_ #15791 üzenetére

a két külső router ip/routes részében fel kell venni a másik külső routernél található hálózatot és beállítani a l2tp interface-t a gatewaynek.
1. külső router:
ip route add dst-address=<a 2. külső router hálózata. pl. 192.168.12.0/24> gateway=<lt2p interface neve a főrouter felé>
2. külső router
ip route add dst-address=<az 1. külső router hálózata. pl. 192.168.33.0/24> gateway=<lt2p interface neve a főrouter felé>
#15740 pzoli888 kezdő silver-pda #15738

Új Válasz 2021-12-26 23:50:43 #15740
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz silver-pda #15738 üzenetére

ilyesmit tudnék elképzelni (7.1-es syntax) vendég wifi-hez
interface/wireless/add ssid=guest master-interface=wlan2 name=guest-wlan disabled=no
interface/bridge/add name=guest-bridge
interface/bridge/port/add bridge=guest-bridge interface=guest-wlan
ip/address/add address=192.168.199.1/24 interface=guest-bridge
ip/pool/add name=guest-pool ranges=192.168.199.100-192.168.199.200
ip/dhcp-server/add interface=guest-bridge address-pool=guest-pool
ip/dhcp-server/network/add address=192.168.199.0/24 dns-server=192.168.199.1 gateway=192.168.199.1
a meglévő konfig ismerete nélkül még szükséget lehet nat masquerade szabályra
ip/firewall/nat/ add chain=srcnat src-address=192.168.199.0/24 action=masquerade
ill. firewall szabályra is, ami drop-olja a forward (és esetleg az input) chain-ben a guest-bridge-ből érkező dolgokat amik a lan felé tartanak.
#15737 pzoli888 kezdő silver-pda #15736

Új Válasz 2021-12-26 19:46:20 #15737
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz silver-pda #15736 üzenetére

és ha csinálsz egy új bridge-et, majd ebbe a bridge-be belerakod a virtuális wlan-t, és a dhcp servert erre az új bridge-re rakod? (adj ip-t is új bridge-nek is)
#15729 pzoli888 kezdő jag222 #15725

Új Válasz 2021-12-24 22:23:51 #15729
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz jag222 #15725 üzenetére

nincs mit, esetleg még egy dns cache flush -t is lehet csinálni, ha véletlen dns ttl időn belül változik az ip cím többször, ill. azt nem tudom, hogy mi történik akkor, ha down-ba kerül a wireguard és utána nem érhető el az endpoint, mert pl. nincs hosszabb ideig internet ott. Most azt gondolom, hogy scheduler-el ez is megoldható.
#15710 pzoli888 kezdő jag222 #15704

Új Válasz 2021-12-23 21:53:57 #15710
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz jag222 #15704 üzenetére

ha az lte down / up megoldja, akkor wireguard config idejére esetleg csinálhatsz a scheduler-ben pl 30 percenként egy lte down / up script-et és akkor nem kell "sokat" várni és utána folytatható a konfig.
#15708 pzoli888 kezdő jag222 #15707

Új Válasz 2021-12-23 19:50:03 #15708
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz jag222 #15707 üzenetére

kár, mert akkor wireguard konfigolás idejére egyszerűbb lett volna elérni távolról
#15706 pzoli888 kezdő jag222 #15704

Új Válasz 2021-12-23 19:35:17 #15706
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz jag222 #15704 üzenetére

LTE6-os eszközben is digi-s sim van? mert ha igen, akkor ideiglenesen a mikrotikes dns-t (ha be van kapcsolva) használva elérhető a digi hálózatából a nat-olt eszközöd is, hiába 100.x.x.x a címe, csak legyen olyan firewall szabály ami winbox és/vagy webes portot elérhetővé teszi wan interfaceről is.
#15702 pzoli888 kezdő Horvi #15700

Új Válasz 2021-12-23 18:56:03 #15702
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz Horvi #15700 üzenetére

vagy felveszel egy olyan INPUT szabályt, ami mindent enged a wireguard-os interface-en, és ez az új szabály minden olyan szabályok előtt legyen amiben az action: add-src-to-address-list
vagy add-src-to-address action-os szabályba beleírod a wireguard-os címet és tartományt, mint kivétel.
#15698 pzoli888 kezdő jag222 #15697

Új Válasz 2021-12-23 17:41:17 #15698
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

pzoli888

kezdő

válasz jag222 #15697 üzenetére

szia,
oka: After resolving a server's domain, WireGuard will not check for changes in DNS again.
állíts be az LTE6 eszközön Netwatch-ot arra az ip-re, ami a hap ac2-es wireguardos (belső) ipje és a következő script-et amikor down-ba kerül:
interface wireguard disable wireguard1
interface wireguard enable wireguard1
pl. linux alatt is kell egy script, ha változik az endpoint ip-je
bővebben: https://wiki.archlinux.org/title/WireGuard "Endpoint with changing IP" rész.