- Xiaomi Smart Band 8 Pro - pro és kontra
- Huawei Watch Fit 3 - zöldalma
- Samsung Galaxy A54 - türelemjáték
- Honor Magic5 Pro - kamerák bűvöletében
- Jobb zoom, egyszerűbb kijelző - megérkezett a Sony Xperia 1 VI
- Netfone
- Samsung Galaxy S23 Ultra - non plus ultra
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Apple iPhone 15 - a bevált módszer
- Ezek a OnePlus 12 és 12R európai árai
Hirdetés
-
A tüntetések ellenére is bővítheti német gyárát a Tesla
it Hiába a nagy tüntetések, a helyi önkormányzat rábólintott a Tesla német gyárbővítésére.
-
AMD Radeon undervolt/overclock
lo Minden egy hideg, téli estén kezdődött, mikor rájöttem, hogy már kicsit kevés az RTX2060...
-
Bemutatta első Snapdragon X-re épülő notebookját az ASUS
ph Az új Vivobook S 15 ráadásul az első ilyen, hazánkban is elérhető PC lehet, és már júniusban megvásárolható lesz.
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
ekkold
Topikgazda
A közeljövőben tervezem, hogy több VPN kapcsolatomat lecserélem wireguard-ra. Jelenleg L2TP és PPTP VPN-t használok, mikrotik-mikrotik, és windows kliens - mikrotik szerver felállásban.
A wireaguard-al a fentiektől eltérően, a szerver oldalon nem tudom pont-multipont szerű módon kialakítani a kapcsolatokat, hanem sok pont-pont kapcsolat kell, másképp fogalmazva minden egyes kapcsolathoz külön wireguard interfészt kell létrehozni a mikrotikben, és minden egyes interfészhez külön UDP portot kell nyitni. Az intefészeknek ráadásul statikusan kell IP címet adni.
Arra lennék kíváncsi, hogy ki milyen stratégiával osztaná ki a z IP címeket, és az UDP portokat, hogy az egész megoldás hosszú távon is logikus és átlátható maradjon? -
ekkold
Topikgazda
Most akkor a 7.1 (Testing), vagy a 7.1rc7 (Development) van közelebb a stabil verzióhoz? Csak én nem értem a dolog logikáját?
-
ekkold
Topikgazda
válasz szuszinho #15358 üzenetére
Egy AP-ként használt cAPac-ra raktam fel próbaképpen az RC verziót, ezen megy a wireguard, aminek az UDP portját egy hAPac fordítja ki a net felé. Windowsos wireguard klienssel egy ideje rendszeresen használom. Teszi a dolgát, ahogy kell, minden más VPN-nél gyorsabb amiket eddig használtam.
-
ekkold
Topikgazda
válasz Pizzafutar #15446 üzenetére
Nekem pár perce jött meg az 5009, bár még nem volt időm bekapcsolni sem.
-
ekkold
Topikgazda
Szerettem volna átvinni másik routerre a wireguard beállításait, ezért próbáltam export paranccsal kimenteni. Nos az export a private key-t nem menti, így az exportált beállítások alapján, másik eszközön nem reprodukálható ugyanúgy az adott kapcsolat, új private key-t fog generálni ahhoz viszont a régi peer-ek nem tudnak majd csatlakozni, mert a public key is változik emiatt. Vagy "kézzel" kell átmásolni mindegyik private key-t a másik routerre (vagy utólag kézzel beleírni az exportba).
(Csak zárójelben: a windows-os wireguardból pl. minden további nélkül exportálhatók a beállítások.)
-
ekkold
Topikgazda
A backup mindent ment, de ugye van, amikor nem mindent akarunk átvinni a másik eszközre. Az export menti a PPP jelszavakat (VPN-t és PPOE-t is), a wifi jelszavakat is, ipsec kulcsot is, logikus lett volna ha a wireguardot is lehetett volna úgy exportálni, hogy abból visszaállítható legyen a kapcsolat. Persze script-el meg lehetne oldani...
-
ekkold
Topikgazda
válasz Reggie0 #15457 üzenetére
Köszönöm, hogy felhívtad a figyelmem erre! Megint tanultam valamit!
Lehet, hogy ez a 7-es routerOS-el jött? Mert a show-sensitive nélkül a wifi jelszavakat sem menti. Ez annyiból ügyes, hogy ha csak meg akarod mutatni a konfigot pl. egy fórumban, akkor lehet jelszavak nélkül is exportálni, de azért jelszavakat tartalmazó mentést is lehet készíteni vele. -
ekkold
Topikgazda
válasz momcrew #15462 üzenetére
Csakhogy nekem nem a mikrotiknél van garanciám, hanem egy magyar üzletben. Ha nem 0,0% a bad block, akkor a termék nem 100%-os, amit kaptam. Ha nincs ettől eltérő megadva a garanciális feltételek között, akkor ez hibás termék. Pl. ha vennél egy SSD-t, vagyHDD-t, amin csak 0,1% hibás szektor van, Te sem örülnél neki, még akkor sem ha azt mondanák, hogy ugyan már, ennyi simán belefér.
-
ekkold
Topikgazda
Csakhogy pixelhiba estén pontosan leírják (nam csak a gyártó, hanem a forgalmazó illetve a kisker. is), hogy mi számít garanciális hibának és mi nem. SSD /HDD esetén a kiskernél nincs ilyen, és szerintem mikrotiknél sem.
Monitort egyébként nem vennék olyan cégtől aki pixelhiba esetén nem cseréli (merthogy van olyan cég, amelyik pixelhiba estén is kicseréli)...
Magánszemélyként pedig egyszerűen indoklás nélkül elállnék... és vennék másikat.Egyébként vettem már úgy cégnévre monitort, hogy az egyik pixelhibás volt, felhívtam őket, hogy akkor most mi van... Azt mondták ugyan nem garanciális hiba, de ha szeretném akkor kicserélik. Szerettem volna. Kicserélték. Ezért aztán máskor is vásárolok tőlük, mert tudom, hogy korrektek.
[ Szerkesztve ]
-
ekkold
Topikgazda
A hAPac^2-ből volt olyan széra amibe nem 128Mb, hanem 256Mb RAM került. Ezekre felmegy a wave pkg. Nekem is ilyen van, majd valamikor kipróbálom.
Amúgy a sima WPA-t is nagyon nehéz feltörni, a WPA2-t pedig méginkább. Ha hosszú, és nem faék egyszerűségű jelszót használsz, akkor gyakorlatilag esélytelen a feltörése. Persze a pin kódos csatlakozási lehetőséget is érdemes kikapcsolni, mert a WPA/WPA2 is többnyire csak is ezen át törhető fel értelmes idő alatt.
Ezzel arra céloztam, hogy jelenleg szerintem még nem érdemes különösebben a WPA3-ra hajtani. -
ekkold
Topikgazda
Az allowed-address akár 0.0.0.0/0 is lehet, nincs túl nagy jelentősége, mert úgyis a routing szabályokon múlik, hogy mi megy arrafelé.
Az endpoint-ot sem feltétlenül kell mindkét oldalon megadni. Ha mindkét oldalon van publikus IP, akkor azon az oldalon, ahol gyakrabban változik. Ha az egyik oldalon nincs publikus IP, akkor értelemszerűen csak azon az oldalon.
[ Szerkesztve ]
-
ekkold
Topikgazda
válasz Reggie0 #15609 üzenetére
A mikrotik nem veszi fel default route-ba, nyugodtan beállítható így.
Windows-ból pedig direkt így használom.
Androiddal még nem próbáltam, de ott is kimondottan ez a beállítás kellene, hogy minden titkosítva menjen, akár nyílt wifi esetén is.
Linuxon csak kipróbáltam, hogy működik - teszi a dolgát ahogy kell.[ Szerkesztve ]
-
ekkold
Topikgazda
válasz ekkold #15610 üzenetére
Kpróbáltam azt is, hogy az allowed-address mezőben csak a távoli hálózat IP tartományát adtam meg, semmi mást, és így is működött, annak ellenére, hogy a távoli wireguard interfészt nem lehetett pingelni.
Ezután kipróbáltam kicsit nagyvonalúbban: 10.0.0.0/8 és 192.168.0.0/16 megadásával. Így is teljesen jól megy, minden pingelhető, és jól működik.
Ha belegondolunk, hogy olyan kapcsolat esetében, ahol a kliens IP címe változik (pl. mobilneten lóg, esetleg helyet változtat, különböző wifi hálózatokra csatlakozik, változó LAN címmel) ott nem is nagyon jöhet szóba más mint a 0.0.0.0/0 .[ Szerkesztve ]
-
ekkold
Topikgazda
-
ekkold
Topikgazda
válasz pitiless #15662 üzenetére
Jó lett! De ha ilyesmit akarnék csinálni, akkor vagy egy ethernet vezérlős arduinoból, vagy egy wifis modulból, pl. ESP8266-ból építeném fel.
A mikrotik egy script-el elküldené a LAN-on, amit a kijelzőre kell írni, az ESP meg kitenné a kijelzőre. Így se IOT package, se MQTT nem kellene hozzá.[ Szerkesztve ]
-
ekkold
Topikgazda
-
ekkold
Topikgazda
válasz jag222 #15697 üzenetére
A "Persistent Keepalive" mindkét oldalon be van állítva? Ugyanis ha csak az egyik oldal címe frissül, akkor annak a keepalive csomagja még betalálhat a másik oldalon, aki emiatt viszont frissíti az endpoint -ot. Még akkor is ha ez az oldal NAT mögött van, ugyanis a"Persistent Keepalive" célja pont ez, hogy a NAT mögötti eszköz kapcsolatát (azaz a számára nyitott portot) fenntartsa a NAT-olást végző eszköz, különben a válasz csomagok sem érnének célba !
[ Szerkesztve ]
-
ekkold
Topikgazda
válasz joekajoeka #15741 üzenetére
Használd inkább a wireguardot! Az bármelyik UDP porton lehet, és akkor knock sem feltétlenül kell. Eleve nem tudják melyik porton van, és azt sem, hogy azon a porton éppen wireguard van. A kulcsok jó hosszúak, és csak nyilvános kulcsot kell cserélni hozzá. Ha a hackernek van egy szuperszámítógép-hálózata, meg sok éve próbálkozni - hát sok sikert hozzá. Ha nincs hátsó ajtó a wireguard kódjában, (nyílt forráskódú, és a kód is rövid - tehát nagy eséllyel kiszúrnák a fejlesztők) akkor nem igazán van realitása a feltörésének.
[ Szerkesztve ]
-
ekkold
Topikgazda
válasz jerry311 #15752 üzenetére
Wireguard is van kb. mindenre. Mikrotikre, Androidra, Mac-re, Linuxra, Windowsra... Azért is tettem be a képet, mert egy viszonylag régi mikrotikre (RB951) is felraktam a 7-es routerOs-t, és probléma nélkül működik. Némelyik szolgáltató előszeretettel blokkol olyan portokat amin PPTP vagy éppen L2TP működik (persze letagadják) de olyan VPN-t nehéz blokkolni amelyik bármelyik porton működhet.
Ha pedig saccolnom kellene, előfordulhat, hogy az újabb oprendszerekben alapból lesz wireguard is.
Ráadásul a wireguard még ezen az RB951-esen is gyorsabb mint az L2TP vagy mint a PPTP...[ Szerkesztve ]
-
ekkold
Topikgazda
válasz jerry311 #15756 üzenetére
Nyilván nem kötelező használni, csak azért írtam mert igen jó alternatíva. A telepítő sem nagy, és a feltelepített program sem.
Azon kívül én már jártam úgy, hogy az otthoni VPN-t szerettem volna távolról elérni egy PC-ről, (kellett volna egy file a NAS-ról) de valami miatt (talán a helyi tűzfal, vagy nemtudommi miatt) sem a PPTP, sem pedig az L2TP nem működött. A wireguard viszont igen...
-
ekkold
Topikgazda
válasz jag222 #15758 üzenetére
Igen, mert ez attól is függ milyen eszközön fut. De kb mindenhol gyorsabb, csak abban van különbség, hogy mennyivel...
De az eredeti kérdéssel kapcsolatban: mehet akár párhuzamosan is a többféle VPN megoldás. L2TP+ipsec kopogtatással, és mellette wireguard is ,egy véletlenszerűen kiválasztott porton.
-
ekkold
Topikgazda
>Szerintem ezt nem lehet gond kideríteni,...
Rendben, az itthoni IP címem 84.236.99.186 és jelenleg 6 különböző porton is működik wireguard. Melyek ezek a portok?
>....ha elveszted/ellopják a mobilod amin beállított kliens van az elég kellemetlen lehet. Ha erre valaki tud ajánlást, azt megköszönném....
Persze, a szerver oldalon egyszerűen letiltod/törlöd azt a klienst, illetve a hozzá tartozó publikus kulcsot... Vagy éppenséggel nem törlöd, csak a hozzáférési jogokat változtatod meg, és pont ezen át deríted fel, hogy hol van a telefonod....[ Szerkesztve ]
-
ekkold
Topikgazda
válasz Reggie0 #15765 üzenetére
Nincs nyitva az 53-as portom. Ezen kívül az 53-as portja jövő csomagok forráscíme automatikusan megy a feketelistára, onnantól pedig az adott forráscím számára semmilyen port nincs nyitva. Egyetlen kivétel lehet: ha fent vagy a fehérlistámon, de azon csak 3db cím van - tehát ahhoz ismernünk kellene egymást...
Tehát pl. a 80-as és a 443-as port nyitva van. De ha megnézed, hogy az 53-as, vagy éppen a 21-es port nyitva van-e, onnantól pl. már a 80-as is zárva lesz.[ Szerkesztve ]
-
ekkold
Topikgazda
válasz Zwodkassy #15773 üzenetére
Az lehet, de nekem gyakorlati tapasztalat alapján jött ez. Azokat a portokat , amelyeket szeretnek hackelni, felvettem tűzfal szabályba, ami küldi feketelistása a forráscímet. Ez eddig elég hatékony megoldásnak bizonyult. Természetesen port szkennelésre is van felvéve szabály, de ennek nagyon ritkán van dolga. Az 1024 alatti portoknak általában adott funkciója van, ezért ezek esetleg "kívánatosabbak" egy hacker számára.
Gondolj bele, mondjuk nyitva van a 38417-es portom - na és mire mész vele? Ha én tudom , hogy FTP van mögötte, vagy éppen webszerver, akkor tudom használni, de más csak próbálgatni tudja, hogy mi lehet az... viszont 3 próbálkozás után megy feketelistára az IP ...[ Szerkesztve ]
-
-
ekkold
Topikgazda
BUÉK mindenkinek!
Nem sokkal azután, hogy 7.1-ről 7.1.1-re frissítettem az RB5009-en, nekem is volt egy kernel falióra, nem tudom mi okozta, viszont azóta többször nem jött elő ilyen hiba. Most 10nap uptime-nál tart.
Amúgy minden használatban levő mikrotik eszközömet frissítettem 7.1.1-re: (hAPac, hAPac^2, RB951G, cAPac, RB5009) komolyabb gond egyikkel sem volt. A heti mentést végző scriptet kicsit át kellett írnom, az Os változásai miatt, illetve volt olyan script ami valami jogosultsági marhaság miatt nem akart futni, ezt lemásoltam, és új scriptként felvettem, így már működött (a jogosultság látszólag ugyanaz volt, úgyhogy gyakorlatilag nem tudom mi volt a baja, de végülis most jó).Összefoglalva nekem zömében jók a tapasztalataim a 7.1.1 Os-el. Az előforduló hibák sem tűntek súlyosnak, a kernelhiba volt a legdurvább, de a gyakorlatban csak annyit jelentett, hogy egyszer újraindult miatta a router. Nyilván ha rendszeresen csinálná, akkor zavarna, de nem fordult elő többször.
[ Szerkesztve ]
-
ekkold
Topikgazda
válasz yodee_ #15794 üzenetére
Igen ilyesmi kellene. Gyakorlatilag 4db különböző IP tartománynak kell lennie:
- Fő router
- 1. külső router
- 2. külső router
- VPN címtartománya
(ha wireguard-al oldanád meg akkor 5db IP tartomány kellene, mert a wireguard interfészek tapasztalatom szerint nem működnek jól, ha közös IP tartományban vannak)
- Mindhárom routeren két static routing-ot kell felvenni, (a másik két eszköz felé).
- A VPN címtartományára elvileg létrejön dinamikus routing szabály (de ha nem, vagy ha nem megfelelően akkor az is kell)- A 13.0.0.0/24 IP tartományok szerintem sem célszerűek belső IP céljára.
[ Szerkesztve ]
Új hozzászólás Aktív témák
- Anime filmek és sorozatok
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Óra topik
- Tőzsde és gazdaság
- Toyota topik
- gban: Ingyen kellene, de tegnapra
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Xiaomi Smart Band 8 Pro - pro és kontra
- Call center-forradalom: AI alakítja át az ideges telefonálók hangját
- Bemutatta első Snapdragon X-re épülő notebookját az ASUS
- További aktív témák...
- HP ProDesk PC // i5-4570 // 16GB DDR3 // Radeon R7 250 1GB GDDR5 128bit // 240GB SSD //
- Eladó HP 15-dw3003nh laptop, 8GB RAM, 256GB NVME SSD, 1TB HDD, világító bill. Garancia
- Keresek AMD alaplaphoz felfogató készletet!
- QNAP TS-128A NAS Gigabit LAN 64Bit ARM + 4TB WD Purple HDD
- IceRiver KS0 Pro x4 - 1280Gh - OC - extra
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Ozeki Kft.
Város: Debrecen