-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
-
#10095
stickermajom
addikt
Horvi
#10094
stickermajom
addikt
Scriptnek azért nem nevezném.
GUI-n Tools - Netwatch, ott kitöltöd értelemszerűen, és nálam a Down tabon szerepel ennyi:/interface disable pppoe; log warning "PPPoE has been disabled, waiting 20s";:delay 20s/interface enable pppoe; log warning "PPPoE has been enabled"A szolgáltatói eszköz alá vegyél egy wifis dugaljat, egy RPi pingelhet szintén valami "mindig elérhetőt", ha lemegy kilövi az eszközt, vár kicsit, visszakapcsolja.
-
#10094
Horvi
őstag
stickermajom
#10088
Horvi
őstag
válasz
stickermajom
#10088
üzenetére
Köszi, és akkor ezt valami scriptel csinálod ami nézi a dolgokat meg elküldi a pppoe-t aludni egy kicsit? Ha igen azt, hogy érdemes megoldani?
Scriptelésben még nem igazán vagyok járatos. Meg igazából az egész mikrotiket még csak tanulgatom. -
f8enter
aktív tag
Sziasztok!
Segítséget szeretnék kérni az alábbiakban.
Egy kisebb társasházban lakok, ahol a bejövő netet WiFi-n osztom meg a lakók között. kb. 40 kliens.
1db 1100AHx4 (központi router), 4db cAP ac és 1db cAP Lite szolgálja ki.
CapsMan fut, ami Access List alapján rakja a lakók eszközeit a saját VLAN-jukba, aki nem adja meg a MAC-jét, az megy a Guest hálóra.
Minden lakáshoz saját bridge, VLAN, Pool tartozik.A probléma:
Időnként előfordul, hogy a felcsatlakozott eszköz tökéletes térerő mellett sem látja még a saját GW-t sem (nem ping, wifi jel mellett felkiáltó jel a telefonon), majd "magától" megjavul, hol 5 perc, hol órák alatt.
Telefon, notebook is érintett.Tapasztalt már valaki hasonlót? Mit érdemes megnézni? A rendszert én raktam össze, de ötletem sincs...
-
Gery0505
aktív tag
Sziasztok!
Van egy RB951G-2HnD routerem, amely bootloopos volt, így kaptam. Folyton újraindult, egyet sípolt, és kezdte elölről. Találtam egy [videót] a Youtube-on, aminek alapján el tudtam indulni, hogy megszűnjön ez a bootloop. Úgy néz ki sikerült megszüntetni ezt a hibát oly módon, hogy a Netinstall szoftverével feltettem egy stabil firmware-t. Aztán a Winbox-al sikerült belépni a routerbe, de a beállításaihoz hozzá sem tudok szólni olyan bonyolult számomra... Nem egy TP-Link az biztos...
Egyelőre azt kellene kideríteni, hogy egyáltalán működik-e rendesen, megy-e a Wifi, stb. Tudnátok ebben segíteni, hogy kellene beállítani ezt a routert?
Előre is köszi! -
#10088
stickermajom
addikt
Horvi
#10084
stickermajom
addikt
Ilyesmi előfordult nálam is párszor, azóta pingetem 30 secenként a 8.8.8.8-at Netwatch-csal, ha timeoutol, akkor pppoe interface kap 20 másodperc pihit, aztán vissza. Volt már olyan, hogy megoldotta, de a nagy home officeok óta volt, hogy nem segített. Bár az egyik gyanúsan valami karbantartás volt, mert pont éjfélkor ment el egy 20 percre.
-
#10086
lionhearted
őstag
bacus
#10081
-
Horvi
őstag
Köszi szépen a segítséget és az ötleteket.Nektek is (#10082) Gyurka6
és (#10083) m0skiJelenleg csak szülők elmondása alapján tudok erre válaszolni, hogy meddig nem kapcsolódik mert én nem voltam otthon és a logok sincsenek meg mert úgy indították újra a dolgot, hogy áramtalanították az elosztóval(amin rajta volt a miki is
). De azt mondták, hogy napokig nem volt előtte net.
Belőttem egy scriptet is ami minden vasárnap elküldi nekem a logokat egy mailben viszont amikor ez az eset volt, hogy szóltak péntek magasságában, hogy nincs otthon net akkor a vasárnap esedékes log e-mail sem jött meg.
Arról lehet még van logbejegyzés megpróbálom előkeríteni.Viszont amit még megfigyeltem, hogy amikor nincs otthon net, nem tudok felcsatlakozni a vpn-re sem, viszont a miki által adott dyndns szolgáltatás válaszol a pingre.
Illetve lehet láma kérdés, de ha így megszakad a kapcsolat akkor a miki meddig próbálja meg újra kiépíteni? Van benne valami limit, hogy mondjuk 1 óra után hagyja abba? Vagy próbálkozik a végtelenségig?
-
m0ski
aktív tag
Szia!
DIGI 7 naponta központilag bontja az aktuális PPPoE kapcsolatot, ilyenkor szoktam hasonlót látni a logban. Az esetek nagy többségében általában max. 2 percen belül újracsatlakozik és új IP-t kap.
Illetve akkor is ez van, ha központi hiba miatt áll meg a kapcsolat (minap valamelyik hajnalban kb. fél órán keresztül mentek ezek az üzenetek, mire az eszköz vissza tudott csatlakozni). -
bacus
őstag
Meddig nem kapcsolódik? Mert ez az általam ismert minden digi-s (még a fix ip címesnél is, ftth, fttb végpontosnál is) előfordul, hogy X időnként lebont a pppoe szerver és egy pár percig, néha csak pár mp-ig ilyenkor nem tud visszacsatlakozni a router. Mondom, általában egy percen belül helyreáll !
Ilyenkor, ha épp "normál" időben történik, mikor gép előtt vagyok, akkor segít (gyorsít), ha belépek a routerbe, letiltom a pppoe klienst, majd egy 15mp várakozás után engedélyezem.
Nálam néha jön egy could not connect to ourselves vagy vmi ilyesmi hibaüzenet...
Szerintem nincs mit logolni, mert NEM a végponton (azaz nálad) van a hiba.
lionhearted: hány tplink eszköz ez? mert ellentmondást érzek, hogy is néz ki ez a hálózat, főleg, hogy "ne zavarjuk a lakókat" is van.., ezek szerint ki tudja mi van rádugva a hálózatra, még az is lehet, hogy még pár router és van cím ütközés.
-
#10080
lionhearted
őstag
bacus
#10077
Köszi a választ!
Ugyan nekem is van egy ilyen laptopom, amit néha bedugok, de nem igazán függött össze ezzel a hibajelenség. Alapvetően ki van kapcsolva az a gép.
Az éjjel, hogy ne zavarjam a lakókat
, reseteltem a tplink egységeket, és újrakonfiguráltam, majd ment egy reboot a mikrotiknek is... nem mondom, hogy bizakodó vagyok, mivel szinte azonnal megjelent a hiba, de azóta csend.Azon is gondolkozom, mert írtak ilyet is, hogy a kábel hibás. Ennek nem kellene, hogy jele legyen az is, hogy csomagokat dobál/erroroz? Az erre utaló számlálók stabil 0át mutatnak, ezért kérdezem.
-
Horvi
őstag
Sziasztok,
Egy olyan problémával fordulnék hozzátok, hogy adott otthon vidéken egy digis net ami mellé van egy hap ac2(ez csinálja a pppoe-t) legújabb stabil os van rajta. A beállítást ez alapján csináltam mint gondolom elég sokan itt a topicban. Viszont elő szokott fordulni, hogy elmegy a net a logokban ezt látom:
mar/28 16:13:28 interface,info ether1 link down
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: terminating... - disconnected
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: disconnected
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: initializing...
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: connecting...
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: terminating...
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: disconnected
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: initializing...
mar/28 16:13:28 pppoe,ppp,info pppoe-digi: connecting...
mar/28 16:13:38 pppoe,ppp,info pppoe-digi: terminating... - disconnected
mar/28 16:13:38 pppoe,ppp,info pppoe-digi: disconnected
mar/28 16:13:38 pppoe,ppp,info pppoe-digi: initializing...
mar/28 16:13:38 pppoe,ppp,info pppoe-digi: connecting...
mar/28 16:13:48 pppoe,ppp,info pppoe-digi: terminating... - disconnected
mar/28 16:13:48 pppoe,ppp,info pppoe-digi: disconnectedCsak az segít, ha a digis routert(bridge módban van) kikapcsoljuk és vissza. Akkor újra felépül a pppoe kapcsolat és lesz net.
Nyílván az nem opció, hogy mindig ki-be kapcsolgassák otthon a routert a szülők ha épp nincs net. Ráadásul szeretném elérni az otthoni cuccokat vpn-en keresztül így meg elég hektikus a dolog.
Tanácsot szeretnék kérni, hogy merre lenne érdemes elkezdeni a nyomozást? Gondoltam rá, hogy állítanék be extra logolást hátha abból kiderül valami. Mikre lenne érdemes logolni?
Előre is köszi! -
vampire17
addikt
Sziasztok!
Adott 3 Mikrotik eszkoz (1 cap ac es 2 powerline ap)
a cap ac a foldszinten, a powerline ap (engedelyezett wifivel) az emeleten, a parja (letiltott wifivel) a foldszinten. Az osszes eszkoz egy halozaton van, nincs tuzfal, bridge modban van mind a 3 eszkoz, egyik sem route-ol, nem gateway (arra egy opnsense van)
A problema, hogy ha brodcast-olom az IP tartomanyom, az emeleti ap-n levo eszkozoket nem talalom. (viszont pingelni tudom oket, tracert szerint csak egy hoop van)
Lenne egy progi, aminek mindenkepp kene, hogy ilyen modon latni lehessen az eszkozoket. Van erre valami megoldas?
A lenyeg, CapsMAN nem jatszik (azzal amugy jo) mert pont most kapcsoltam ki, valami mas megoldas kellene.
-
#10077
bacus
őstag
lionhearted
#10076
bacus
őstag
válasz
lionhearted
#10076
üzenetére
Én egyszer találkoztam ilyesmi üzenettel, mikor egy laptop fent volt wifin is meg kábelen is. Ha csak az egyik módon, akkor jó volt, de ha mind a kettőn, akkor volt gond. Itthon sokszor van, hogy a laptopom wifin van csak, aztán le akarok tölteni valami nagyobb iso-t, filmet, stb, akkor rádugom a kábelt, még sosem volt vele gondom.. win a kábeles kapcsolatot preferálja, átáll. Tulajdonképpen még sehol nem hallottam, hogy ilyen okozott volna gondot, de én mégis tapasztaltam 1x.
A másik pedig két tp-link smart switch is össze tudott akadni, mert mind a kettőnek a gyári ip címe 192.168.1.1 volt. Ezt amikor rádugtam a hálózatra (ami nem ez az alhálózat), akkor jöttek az időnkénti kifagyások, ami magától helyre is állt. Elég hamar rájöttem, hogy mi az ok, az egyik switchet lecseréltem, a másikat még nem tudtam kiirtani a hálózatomból (pénz hiány), de átkonfiguráltam egy hálózatba illeszkedő címre. (nem használok vlan-t)
-
#10076
lionhearted
őstag
#42556672
#10075
-
#10075
#42556672
törölt tag
lionhearted
#10074
#42556672
törölt tag
válasz
lionhearted
#10074
üzenetére
VLAN adaptereket használsz?
-
#10074
lionhearted
őstag
Most már ledobja az agyam az ékszíjat...
Van egy SXT R eszközöm LTE-vel, eddig semmi különös. A wifit egy tplink mesh látja el, AP módban...nagyjából semmit nem lehet rajta állítani, szóval itt kevés infom van.
Viszont mostanában elég gyakran, két napja konkrétan 15 percenként jön egy ilyen üzenet a logba:ether1: bridge port received packet with own address as source address (ITT A BRIDGE ADMIN MACJE), probably loopOlyan őrült nagy loop nem lehet, mivel egy kábel megy a mikrotik - tplink között, aztán van 1-1 vezetékes asztali gép bekötve a tplinkekre, minden más wifi.
Azt is olvastam, hogy MAC ütközés, de szemmel láthatóan teljesen más minden, a bridge automacen van, ha kézzel az eth1től eltérőt állítok, akkor javarészt az eth1-re dobja ezt a warningot, viszont nem történik semmi. Amikor viszont a bridgere dobja, akkor azonnal kifagy a hálózat ~1 percre... ez pedig elég zavaró. Annyi mellékhatása még van, hogy a tplink ilyenkor újra DHCPhez fordul, hiába az 1 napos lease time.
Hetekig jó volt ez a konfig, nem nyúltam semmihez, aztán bamm...Neten olvasva találtam még olyat, hogy kapcsoljam ki a Neighbors discoveryt (itt az interface listet none-ra tettem), illetve hogy ha nincs használatban (és nincs), akkor a bridge (R)STP modját kapcsoljam ki. Egyik se vált be hosszú távon, fél nap múlva friss restartot követően is jönnek a warningot, és a hálózat kifagyás.
Ebben a kifagyott időben közvetlen kapcsolattal se lehet IP alapon megszólítani a mikrotiket (MAC elérést nem próbáltam, padláson van, kicsit macerás...)
Esetleg nektek van ötletetek?
-
#10073
lionhearted
őstag
Beniii06
#10072
-
Beniii06
addikt
A digi mobilnak nem nagy a lefedettsége és a kapacitása sem(frekvenciák terén), így asebesség is olyan amilyen + mobilnetről szolgáltatnak otthoni netet FWA-n is és még erre rájön, hogy mindenki leterheli, mert "ingyen" van, de azért van jó hír is: [Már ötszáznál több településen van ott a DIGI Mobil]
-
bacus
őstag
A digi (vagy bármelyik másik szolgáltató) adott ki valami közleményt, hogy a karantén alatt korlátozzák a sávszélességeket?
Vettem egy wap ac -t amiben a digi kártyája 10/4 Mbitet produkált, pontosabban ez volt a max. Igaz, itthon nem az igazi az lte, de ez nagyon karcsú. Decemberben ugyanezzel a kártyával egy wap lte 60 körül tudott, ha jól emlékszem az eredményre..
Az itthoni digis netem is letöltésben kb a felét tudja, most 12h-kor mérve. (persze a 4-500 Mbit is bőven elég)
Csak én tapasztalok ilyet?
update:
Digi oldalán most találtam:
A mobil internet szolgáltatás maximális le- és feltöltési sebessége: 29.3/11.2 Mbit/s, garantált sebessége: 0/0Mbit/s. -
akos86
aktív tag
Nagyon szépen köszönöm!
Az is megoldás lehet ha pl elküldöm magamnak minden nap végén pl :23:59:59 majd utána egy másik scripttel törlöm a fájlt, amit elvileg a ros ismét létrehoz ugyanazon a néven csak ugye üresen?
/tool e-mail send to=××@××.hu subject=([/system identity get name] . "VPN") file=usbdisk/l2tp.0.txt
majd
/file remove [find name~"l2tp\\..*\\.txt"]Van e ennek esetleg hátulütője?Vagy ez így nagyon puruttya megoldás?
-
-
bacus
őstag
válasz
akos86
#10062
üzenetére
ha nem memoriába megy a log, hanem disk-re, akkor az egy txt fájlt jelent. Egy új action-t kell létrehozz, ahol van fájl név, majd itt egy nagyon fontos sor, hány sora lehet, illetve hány fájlt hozhat létre. pl 2 értékre lesz l2tp.0.txt majd ha betelt, akkor lesz l2tp.1.txt, és írja megint az l2tp.0.txt-t fájlt. (azaz mindig ez a 0-as a friss log)
Nem írnám le, hogy mi lesz ha az érték 5
, de ha a lines érték kellően nagy, és üríted is a logot- akkor nem lesz sosem több fájlod.ezt egy script-tel tudod elküldeni magadnak, ütemezetten, ha az eredeti megvalósításod a fontos, akkor viszont a hány sora lehet értéket kellően nagyra kell venni, hogy beleférjen, az email küldés után a log-t pedig üríteni kell.
Erre is kell egy script, ami ezt az action-t szerkeszti a sort 1-re változtatod, ezzel törlöd a log bejegyzéseket, majd vissza irod a kellően nagy számra.
Tehát a törlésre ez a mód van "system->logging->actions->l2tplog , set 1 lines, OK, then set back to 1000 lines."
Tapasztalatból mondom, naponta több 10 log-t kapok emailen, nincs energia megnézni !!!, én pl kulcsszavakat kerestetek vele a levelezőben és ha nincs benne, akkor az a log már olvasott is..., de még így is fárasztó, hogy van hetente pár amit meg kell nézni.
-
akos86
aktív tag
Sziasztok!
A routerben létrehoztam egy logging topics-t melyben elkülönülten tudom nézni, hogy VPN-en ki és mikor csatlakozott be/ki a hálózatra. Azt szeretném megoldani, hogy naponta készüljön egy log fájl (l2tp.txt) ami csakis az aktuális napi VPN be/ki csatlakozásokat tartalmazza.
Ebben kérném a segítségeteket, melyet előre is köszönök.Flags: X - disabled, I - invalid, * - default
# TOPICS ACTION
0 * info disk
1 * error disk
2 * warning disk
3 * critical disk
4 firewall disk
5 ppp L2TP
account -
pittbaba
aktív tag
UPDATE: Ugy nez ki minden sikerult, leirom ha valaki mast is erdekelne: Hozza kellett adni a Firewall -> NAT fulnel meg egy szabalyt, ugyanazt mint a default, es az Out Interface-t pedig arra a bridge-re allitani amelyikben van az eth1,eth5.
Koszonom a segitseget!
-
pittbaba
aktív tag
Koszi, az eth2,3,4 hogy fog kapni internetet ha az eth1 a masik bridge-hez van rendelve?
Az ota is probalkozom, hasonlo verziot probaltam, de a bridge2 nem kapott IP-t.,, Akkor az még a 93 Ohmos arcnet hálózat lehetett "
Jah ott kezdodott, IRC + Quake, de dugtam azert UTP kabelt is mar serverbe, annyira nem vagyok oreg 
-
bacus
őstag
Én ugyan nem vagyok t-home szakértő, de amit te akarsz az megoldható. bridge-wan, beleteszed a eth1 és eth5 portot, dhcp clienst felhúzod a erre a bridgre-re.
A másik bridge.local-ba beteszed a eth2-eth3-eth4 portot, erre felhúzol egy dhcp szervert, kell még egy masquarade src nat szabály, stb, kvázi ami most is van.
Ez megvan 3 perc alatt, leteszteled és vagy megy vagy nem
. Ezzel egyébként kb olyan, mintha egy buta switchbe dugnád a fali kábelt, a switchből menne a tévébe, másik a mikibe.
Ha hurcolni akarod a mikrotiket, akkor ez a második jobb megoldás, mert a switch ott marad, nem kell dugdosni a kábelét !
"Sokat halozatoztam tizen evekkel ezelott" - tizen évekkel? Akkor az még a 93 Ohmos arcnet hálózat lehetett
, valahol még van nekem is pár lezáró impedanciám "sokat kodolok" - ez a "tokolok" szinonimája?
-
pittbaba
aktív tag
Sziasztok!
Vasaroltam egy Mikrotik hAP AC2-t.
Egy kicsit bonyolultabb konfiguraciohoz kernek tanacsot:
Van itt egy T-Home elofizetes, a modem valahol a lakason kivul a falban, a modemhez igy nem ferek hozza, de az UTP fali aljzatban ott az internet + TV.Ha bedugom az UTP kabelt a falba es a gepembe, akkor van halozat es internet eleres.
Ha ugyanezt a kabelt atdugom a TV-hez kapott set top boxba, akkor jon a TV is szepen.Ha bedugom ugyanezt a kabelt a Mirotik WAN csatlakozojaba (1. port), es a szamitogepet bedugom a 2. portba akkor van halozat es internet is (immaron termeszetesen mas network).
Ha a TV-t bedugom a 3. portba, akkor viszont nincs TV, nem mukodik.
A T-mobilos modem admin feluletehez nem ferek hozza, az elofizetest nem modosithatom.Elso sorban pont azert vettem a Mikrotiket, mert sokat kodolok es tobb eszkozon tesztelek, barhova utazok mindig mas halozati korulmenyek varnak, folyamatosan ujra kell konfiguralnom a fejleszto kornyezetet, ezt szeretnem most mar megelozni, es mindig hordani magammal az en kis belso halozatomat, felkonfigolva.
Amit konkretan jelen esetben szeretnek elerni:
- Port 1-be bedugom a T-Home routert
- Port 2,3,4 ugy mukodik ahogy alapertelmezetten, vagyis DHCP server oszt nekem sajat IP-t fuggetlenul a T-Home routertol (tehat kulon network, internet forward 1-es portrol, es DHCP server)
Port 5: Elkeruli a belso halot, es kozvetlenul az 1. portton keresztul kommunikal, tehat a T-Home routertol kapja az IP-t es azon a halozaton van, es mukodik ezaltal a TV (?)Elnezest a nagyon konyhanyelves megfogalmazasok miatt, remelem ertheto mi a cel es tudtok segiteni
Sokat halozatoztam tizen evekkel ezelott, de mar nagyon kijottem a gyakorlatbol 
-
#10054
mgabi
senior tag
stickermajom
#10047
mgabi
senior tag
válasz
stickermajom
#10047
üzenetére
köszi
-
#10051
akos86
aktív tag
lionhearted
#10050
akos86
aktív tag
válasz
lionhearted
#10050
üzenetére
köszönöm az észrevételt igaz a kérdésem nem erre vonatkozott, teszt jelleggel próbálkozom hogy mit és hogyan lehetne...
-
#10050
lionhearted
őstag
akos86
#10049
-
-
mgabi
senior tag
Hap ac2 router + cap ac ap-t használok. Ha hozzákapcsolok egy újabb cap ac-t és wap ac-t, akkor van rá lehetőség, hogy automatikusan átvegye a beállításokat és összeálljanak egy 3-as ap rendszerbe? Van a neten erről valami jó kis összefoglaló, hogy kell beállítani őket? Mindenhol csak egy ap-s beállítás van.
-
adika4444
addikt
válasz
Ablakos
#10036
üzenetére
Az admin felületre be kell lépni, és ott beállítani a gyökér doménre. Kiválasztod, hogy cname, utána nem írsz semmit a domén előtti részhez, csak a célnál adod meg, hova irányítson. Így mennie kéne, legalább is régen még ment mert egyszer elbénáztam a wildcardos részt, hogy minden beállítatlan aldomén mutasson a főre.
(#10038) bacus
Ez régóta így van sajnos... -
Eset Security. Kikapcsoltam, de semmi javulás. Kértem tőle egy alapértelmezett beállítást, de nem lett jobb :-(
Másik gépen szintén ugyan ez az Eset, és ott nincs gond. Legalább 10 éve használok Eset-et, de eddig nem volt ilyen jellegű problémám velük. Legfeljebb felhívom a Support-jukat -
Hát nem pontosan MikroTik kérdés, de vele kapcsolatos, úgyhogy először itt teszem fel.
Default configos routerhez (hap ac lite) nem tudok IP alapon kapcsolódni.
Pingelni tudom, de se WinBox, se Web-es felület. Ha adok neki még egy IP címet (a bridge-nek), mondjuk 192.168.77.1, akkor tudok csatlakozni. És még szebb, hogy rajta keresztül megy az internet elérés is :-)
Sejtésem szerint az adott gép (laptop) Win10-el lesz vmi gond, mivel másik gépen/Win-en nincs ez a jelenség : valahol, valamiért blokkolja a 192.168.88.1 IP címet. -
-
bacus
őstag
ugyanaz a konfig, ugyanazon a routeren, egy frissen generált ca és certekkel bekonnektál a routerbe, a beimportalt CA certel és frissen generált server és kliens certekkel ezt a hibát dobja.
Minden ugyanaz. Én feladtam egyelőre, mert ezt csak a CA újragenerálása oldja meg, amit viszont nem akarok 3, illetve azóta már csak 1 db win kliens miatt. (persze a jövőbe nem látok, de ahol csak win szerver van (se mikrotik router, se egy linux szerver, oda nem vállalok semmit
)Ez tuti nem konfigurációs hiba ! Arra gondoltam, hogy privát kulcs exportálása után esetleg az openssl jelszótlanítása során ment el valami, de elmentettem az eredeti kiexportált kulcsot, szerencsére egy fájlba mellé tettem az exportáló jelszót. De ha így importálom, generálok certeket, stb, akkor is ugyanez.
Én feladtam egyelőre, majd ha már nem tudok mit kezdeni az unalomtól, akkor előlről kezdem az egészet és első lépés a win tesztelése lesz
Zárjuk le a témát, mert már unalmas kezd lenni. -
bacus
őstag
Nem tudom, ez is pont olyan "bő" mint amit én generáltam. Ha most a teszt routeren teljesen 0-ról előlről kezdem, akkor 2x egymás után is elsőre jó.
Azonban, ha a teszt routerre beimportálom a CA certemet (a kulccsal), akkor onnan kezdve már az azzal generált server és client certificatekkel nem megy.(A CA certemet decemberben generáltam, kezdem azt hinni, hogy azzal van valami gond, azt nem tudom melyik router OS verzióval generáltam.
)Mon Mar 30 13:05:53 2020 us=611823 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Mon Mar 30 13:05:53 2020 us=611823 TLS_ERROR: BIO read tls_read_plaintext error
Mon Mar 30 13:05:53 2020 us=611823 TLS Error: TLS object -> incoming plaintext read error
Mon Mar 30 13:05:53 2020 us=611823 TLS Error: TLS handshake failed
Mon Mar 30 13:05:53 2020 us=611823 Fatal TLS error (check_tls_errors_co), restarting -
bacus
őstag
válasz
#42556672
#10014
üzenetére
update: tegnap még éjjel az itthoni teszt routerrel sikerült összehozni, és van egy sejtésem, hogy mi a hiba, mi a különbség.., ma ha lesz időm akkor még kipróbálom, aztán majd megírom, ha megvan a megoldás.
kovidinka: nem jó az sstp több okból sem, az egyik, hogy egy win2016 szerver előtt sosem ülnek, és akkor is kellene a kapcsolat, mikor nincs beloginolva senki. Sztem ez nem megy sstp-vel, de ha igen, akkor most nagyot tévedtem!
-
bacus
őstag
Hagyjuk, nem kezdeném elölről leírni, ha érdekel, olvass vissza kicsit. A mikrotik által generált certet nem eszi meg a win kliens. (most!, mert évek óta használom és nem volt ilyen gondom vele) A baj, hogy 70 szervert állítottam át az elmúlt napokban, párat kiszanáltam, akik már nem is ügyfeleim, de még mindig becsatlakozott a szerverük, amit még én tartottam karban) nem akarom újra kezdeni. Buta, sőt ostoba módon a végére hagytam a win klienseket, illetve nem próbáltam ki win10-el ill. 2016 szerverrel. Mivel régen ez ment mint az álom, illetve win7 alatt talán le is teszteltem a cert létrehozása után, eszembe nem volt, hogy gond lesz. Inkább kiirtom a windowsokat
, ez hosszabb távon többszörösen is megtérül.
(ja és androidról is hasít, persze nincs mit csodálkozni, az se ms..)De kíváncsi volnék, hogy egy legújabb stable ROS-on frissen generált certel is megy e nálad.
Ha lesz időd és kedved akkor próbáld ki, ha nem lesz a régi működő cuccok nem érdekelnek. Nekem is mennek a régiek. -
ƬΛЯΛ
senior tag
Nem próbáltam le, ez egy saját magam által készített leírásból lett "olvashatóvá" téve. Az elmúlt két hétben sok ügyfélnél kezdtük el bevezetni az OpenVPN-t a home office miatt. Egytől egyig Windows-os klienssel és a mai napig így működik hibátlanul mindenkinél. A key jelszófeloldását teljesen feleslegesnek tartom. Azért key. Egyébként a Windows-os OpenVPN kliens meg tudja jegyezni a felhasználónév + jelszó párost és a key jelszavát is, így ezt csak egyetlen egyszer kell beírni neki.
Általában 10-50 klienses kiszolgálásokról van szó, szóval stabilnak mondanám a működést. Személy szerint minden kliensnek szoktam beállítani pool tartományon kívüli fix remote IP-t, így könnyebben tűzfalazható mondjuk egy-egy kliens.
Mint írtam, 1-2 hete csináltam ugyan ezzel a technikával elég sok kliensnek VPN-t több ügyfélnél (értsd több különböző mikrotik routeren) is. Mindenhol szépen működik. Nem tudom Nálad mi lehet a gond
Mit mond az OpenVPN kliens, mi van a logban?Szerk:
Megpróbálhatod az OpenVPNServiceInteractive folyamatot újraindítani a task manager-be. Előfordulhat, hogy beragad, főleg ilyen cert váltásnál. -
bacus
őstag
Ezt most lepróbáltad? Mert én 10 éve használom az openvpn-t és sosem volt vele bajom, csak lejárt a certificate (illetve pár hét és lejár) és a most létrehozottal NEM megy.
"két ügyfélnél élesben" ? Ez nagy számnak számít? Mert nálam általában 100 felett van az aktív kliensek száma, igaz csak 5 win kliens volt, amiből kettőt ki tudtam szanálni...
Azért lett volna jó, ha visszaolvasol picit, mert linux kliensekről megy, mikrotik klienssel megy, csak a win10 -el nem megy, legrissebb és az egyel ezelőtti community oldalról leszedhető tizeshez való openvpn és frissen generált certificate-ekkel, több routeren lepróválva...
A leirásodból még kimaradt, hogy az aláirt kulcsokat az openssl-el jelszótalanítsd, így nem fog kérni az openvpn kliens se jelszót, de végül a legfrissebb openvpn már meg is tudná talán jegyezni a jelszót hozzá..., egyébként mehetne a kisokosba.
Kár, hogy nem működik nálam most. Valami változott.. -
ƬΛЯΛ
senior tag
Pool létrehozása az OpenVPN szervernek:
/ip pool add name=[OpenVPN szerver neve] ranges=[tartomány]PPP profil létrehozása:
/ppp profile add name=[Profil neve] local-address=[létrehozott pool neve] remote-address=[létrehozott pool neve]CA generálása:
/certificate add name=CA common-name=CA key-usage=key-cert-sign,crl-sign days-valid=[érvényesség ideje napban]CA sign-olása:
/certificate sign CA ca-crl-host=[A mikrotik külső IP-je] name=CACA exportálása:
/certificate export-certificate CASzerver cert létrehozás:
/certificate add name=Server common-name=Server days-valid=[érvényesség ideje napban]Szerver cert sign-olása:
/certificate sign Server ca=CA name=ServerKliens certek létrehozása, sign-olása és exportálása, minden új kliensnél ez a command:
/certificate add name=[Kliens neve] common-name=[Kliens neve megint] days-valid=[érvényesség ideje napban]/certificate sign [Kliens neve] ca=CA name=[Kliens neve]/certificate export-certificate export-passphrase=[JELSZÓ!, így jön létre a .key] [Kliens neve]OpenVPN interfész:
/interface ovpn-server Server set enabled=yes certificate=Server auth=sha1 chiper=aes256 port=[kívánt port] netmask=24 require-client-certificate=yes mode=ip default-profile=[Létrehozott profil neve]Ezek után legyenek létrehozva a secretek a PPP --> Secrets menüpont alatt és Service-nek állítsuk be az ovpn-t, Profile-nak pedig a létrehozott PPP profilunkat!
Ezek után a Files menüpont alól le tudjuk tölteni a kiexportált fájlokat, amiket bemásolhatunk a windows-os OpenVPN config mappájába.
Ha ez megvan hozzunk létre egy tetszőleges nevű .ovpn fájlt, amiben az alábbi konfigurációt helyezzük el:
OVPN kliens:
client
proto tcp
port [beállított port]
remote [router külső IP címe, vagy a Cloud menüponttal elérhető DDNS cím]
dev tun
nobind
persist-key
route [router belső network-je és maszkja rendesen kiírva,
ez kell ahhoz, hogy a VPN kliens rálásson a belső hálózatra]
tls-client
ca CA.crt
cert [Kliens].crt
key [Kliens].key
verb 3
chiper AES-256-CBC
auth SHA1
pull
auth-user-pass
remote-cert-tls server
auth-nocacheAzt hiszem mindent leírtam
Alap felállásban ennek így működnie kell 
-
ƬΛЯΛ
senior tag
-
bacus
őstag
Igaz, nem mondtad, de azért csak megfordult a fejedben
. Az emberek ilyenek, átnézed, jónak tűnik, ilyenkor jön, hogy biztos nem itt a hiba, és jön a firmware upgrade, downgrade, majd upgrade megint, majd rengeteg más ötlet, a végén már az eszköz a hibás.., nem kompatibilis, és hasonló gondolatok. Szóval ne vedd magadra, ha te végig magadban illetve a beállításaidban kerested a hibát, hát respect És van mikor tényleg nem a miki konfigja a hibás, lásd a fenti openvpn kálváriám, amit nem tudok életre bírni, pedig más routeren is próbáltam már, szerintem a win kliens van elbaxva.., lévén az nem megy sehol sem. (persze lehet a mikrotik certificate generálása az alap probléma)
-
bacus
őstag
De legalább ismét kiderült, hogy nem az eszköz a hibás
. Ha kicsit is jobban megnézted volna mit írtam, akkor az "arra akar menni a forgalom" kérdést kielemezve azonnal észreveszed ezt a statikus bejegyzést. Az tény, hogy ebből többet tanultál Már csak az nem jön össze, hogy amikor a gépet közvetlenül rádugtad, akkor miért nem ment, ott nem volt statikus bejegyzés.
-
#10002
ƬΛЯΛ
senior tag
lionhearted
#10001
ƬΛЯΛ
senior tag
válasz
lionhearted
#10001
üzenetére
Elképzelhető, hogy írok majd egy hsz-t róla
(Szerencsére a tudás nem szokott elszállni, amit ilyen több napos szívások árán szerzek meg 
)Megmondom őszintén, ez egy muszájhelyzet volt, mert egy ügyfélhez fog kerülni a téma. Náluk Telekom-os ADSL van, ami erősen megfekszik, ha kettőnél több ember van egyszerre a VPN-en. Emiatt jött a döntés, hogy átállunk ideiglenesen LTE-re main vonalon, később pedig jó lesz failover-nek. Egyelőre éles teszt nem történt rajta, de a speedtest átlagosan 35-40/40 le- és feltöltést mutatott, mivel nincs közvetlen rálátásom egyetlen bázisállomásra sem. A jövő hét folyamán kiépítésre kerül az ügyfélnél az éles rendszer, onnantól fogok tudni pontosat mondani
Hupszi, enyém lett a 10k. hsz
-
#10001
lionhearted
őstag
ƬΛЯΛ
#10000
Köszi a felajánlást! Ha még megvan a tudás, meg az idő egy Logout bejegyzést biztos megérne a dolog.
Viszont nekem még nem annyira aktuális, sajnos egy "buta" router van mögötte, amit most inkább átpattintottam "bridge" módba. Jobban szeretem látni, hogy mi történik. Persze tervezem majd bővíteni a hálózatot MT eszközökkel.
Nem tudom viszont, hogy neked ez a fő internet elérésed-e, mint nekem, és van-e valami ötleted arra, hogy egy ilyen dinamikus sebességű internetelérést miképp tartasz kordában. Amit eddig láttam queuekat, mind fix max sebességre dolgoztak.
Viszont roppant zavaró, amikor egy lowlatency igényes szolgáltatást leöl egy sima YT videó.
Egyelőre azt kellene kideríteni, hogy egyáltalán működik-e rendesen, megy-e a Wifi, stb. Tudnátok ebben segíteni, hogy kellene beállítani ezt a routert?
). De azt mondták, hogy napokig nem volt előtte net.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Sőt, egy szóval sem mondtam, hogy az eszköz lenne a ludas.
)Új hozzászólás Aktív témák
ekkold- Apple iPhone 16 Pro - rutinvizsga
- iPad topik
- Léghűtés topik
- Motorolaj, hajtóműolaj, hűtőfolyadék, adalékok és szűrők topikja
- Samsung Galaxy A54 - türelemjáték
- Milyen légkondit a lakásba?
- REpont és hulladékgazdálkodás
- Egy helyre gyűjti az eltérő áruházak játékait a Microsoft
- OLED TV topic
- Ford topik
- További aktív témák...
- BONTATLAN Új Iphone 16 PRO 128Gb - 1TB Független 1év Apple GARANCIA Deák Térnél Azonnal Átvehető.
- Új Bontatlan Mac Studio M4 Max 2025 14cCPU /32cGPU / 36GB RAM / 512GB SSD - Azonnal Átvehető Deák.
- BONTATLAN Új Iphone 16e 128-512GB 1év APPLE garancia gyári független Deák AZONNAL Átvehető Deák térn
- ÚJ bontatlan S9 45mm Silver Stainless steel Cellular milanese fémszíj 199.900 azonnal átvehető Deák
- ÚJ kipróbálásra felbontott MacBook Pro 16 M4 Pro 14CPU/20GPU 24GB/512GB SSD Magyar billentyűzet Azon
- Motorola G72 128GB, Kártyafüggetlen, 1 Év Garanciával
- Csere-Beszámítás! Lenovo Ideapad 3 Gamer notebook.I5 10300H / 16GB DDR4 / GTX 1650 / 250SSD +500HDD
- Eladó szép állapotban levő Huawei P30 Pro kék 6/128GB 12 hónap jótállással!
- ÁRGARANCIA! Épített KomPhone i5 12400F 16/32/64GB RAM RTX 3060 12GB GAMER PC termékbeszámítással
- ÁRGARANCIA! Épített KomPhone i5 14400F 32/64GB DDR5 RTX 5060Ti 8GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged