-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Reggie0
félisten
A wireguard erdekes egy allatfaj. A peernel az allowed address-ben meg kell azt az iptartomanyt is adni, amit at akarsz kuldeni rajta, nem eleg a ket vegpont networkjet megadni, mert maga a wireguard tunnel implementacio lefiltereli.
Tehat, ha az allowed address-ben csak a 10.10.10.0/24 szerepel, akkor hiaba route-olsz barmit, vagy adsz mas cimet a ket vegpontnak, csak a 10.10.10.0/24-es networkbe tartozo destination es source addressu csomagot fog atengedni.Nalam peldaul a ket vegpont cime a wg tunnelben 192.168.3.1 es 192.168.3.2. A peer-t pedig igy kellett felvenni, hogy a tunnelen a 10.0.0.0/16-ban megtalalhato gepekrol is at tudjam routeolni a forgalmat:
[admin@MikroTikCCR] /interface/wireguard/peers> print
Columns: INTERFACE, PUBLIC-KEY, ENDPOINT-PORT, ALLOWED-ADDRESS, PERSISTENT-KEEPALIVE
# INTERFACE PUBLIC-KEY ENDPOINT-PORT ALLOWED-ADDRESS PERSISTENT-KEEPALIVE
0 wireguard1 x 0 192.168.3.0/24 1s
10.0.0.0/16[ Szerkesztve ]
-
Horvi
őstag
válasz Reggie0 #15602 üzenetére
Elvileg ugye hozzáadtam mindkét routernél az endpointhoz a wireguard networkjét ami a 10.10.10.0/30 illetve az ellenoldali networkot amit el akarok érni.
Ez a wireguard és a peer beállítás a 192.168.10.0/24-es network oldali routeren:
[MikroTik] /interface/wireguard> print detail
Flags: X - disabled; R - running
0 R name="wireguard1" mtu=1420 listen-port=13231
private-key="xxxxxxxxx"
public-key="xxxxxxxxx"
[MikroTik] /interface/wireguard> peers/print detail
Flags: X - disabled
0 interface=wireguard1
public-key="xxxxxxxxx"
endpoint-address=xxxxxxxxx.sn.mynetname.net endpoint-port=13231
current-endpoint-address=xxx.xxx.xxx.xxx current-endpoint-port=13231
allowed-address=10.10.10.0/30,192.168.1.0/24 rx=0 tx=0[ Szerkesztve ]
Hello darkness, my old friend...
-
ekkold
Topikgazda
Az allowed-address akár 0.0.0.0/0 is lehet, nincs túl nagy jelentősége, mert úgyis a routing szabályokon múlik, hogy mi megy arrafelé.
Az endpoint-ot sem feltétlenül kell mindkét oldalon megadni. Ha mindkét oldalon van publikus IP, akkor azon az oldalon, ahol gyakrabban változik. Ha az egyik oldalon nincs publikus IP, akkor értelemszerűen csak azon az oldalon.
[ Szerkesztve ]
-
ekkold
Topikgazda
válasz Reggie0 #15609 üzenetére
A mikrotik nem veszi fel default route-ba, nyugodtan beállítható így.
Windows-ból pedig direkt így használom.
Androiddal még nem próbáltam, de ott is kimondottan ez a beállítás kellene, hogy minden titkosítva menjen, akár nyílt wifi esetén is.
Linuxon csak kipróbáltam, hogy működik - teszi a dolgát ahogy kell.[ Szerkesztve ]
-
ekkold
Topikgazda
válasz ekkold #15610 üzenetére
Kpróbáltam azt is, hogy az allowed-address mezőben csak a távoli hálózat IP tartományát adtam meg, semmi mást, és így is működött, annak ellenére, hogy a távoli wireguard interfészt nem lehetett pingelni.
Ezután kipróbáltam kicsit nagyvonalúbban: 10.0.0.0/8 és 192.168.0.0/16 megadásával. Így is teljesen jól megy, minden pingelhető, és jól működik.
Ha belegondolunk, hogy olyan kapcsolat esetében, ahol a kliens IP címe változik (pl. mobilneten lóg, esetleg helyet változtat, különböző wifi hálózatokra csatlakozik, változó LAN címmel) ott nem is nagyon jöhet szóba más mint a 0.0.0.0/0 .[ Szerkesztve ]
-
iceQ!
addikt
Memory leak problémára a megoldás a downgrade lett.
Vissza a korábbi állapotokhoz. Mindig ennyi szabad memória volt ezen az eszközön.
Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS
-
Lenry
félisten
-
-
Lenry
félisten
nincs rákötve HDD - a belső flashen futtatott Dude-al meg elég rosszak a tapasztalataim
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Horvi
őstag
válasz Reggie0 #15607 üzenetére
Hozzáadtam ezeket mindkét oldalon de így sem jó. Elvégeztem egy kísérletet saját gépről a 192.168.10.15-s címről.
Tudtam pingelni a saját GW-t 192.168.10.1(nyílván ment )
Lehetett pingelni az itthoni router wireguard ipjét is a 10.10.10.2-t
Lehetett pingelni a remote router wireguard ipjét is a 10.10.10.1-t.
Viszont a remote oldali router GW címét a 192.168.1.1-et már nem.Viszont ha mikrotikből indítok pinget az nem működik mindig timeoutot dob.
Hello darkness, my old friend...
-
Horvi
őstag
válasz Reggie0 #15618 üzenetére
Az egy jó kör lesz akkor úgy érzem mivel még nem csináltam ilyet de próbálkozok majd.
Rosszul emlékszem, hogy /ip/firewall/filter add src-address= résznél meg lehetett adni dyndns címet is? Mert most próbáltam és sír miatta, hogy rendes IP-t vár.Egyelőre most úgy áll a dolog, hogy a ping hol megy hol nem:
[MikroTik] > ping 10.10.10.1 src-address=10.10.10.2
SEQ HOST SIZE TTL TIME STATUS
0 10.10.10.1 timeout
1 10.10.10.1 timeout
2 10.10.10.1 timeout
sent=3 received=0 packet-loss=100%
[MikroTik] > ping 10.10.10.1 interface=wireguard1
SEQ HOST SIZE TTL TIME STATUS
0 10.10.10.1 timeout
1 10.10.10.1 timeout
2 10.10.10.1 timeout
sent=3 received=0 packet-loss=100%
[MikroTik] > ping 10.10.10.1 src-address=192.168.10.1
SEQ HOST SIZE TTL TIME STATUS
0 10.10.10.1 56 64 5ms413us
1 10.10.10.1 56 64 5ms707us
2 10.10.10.1 56 64 8ms953us
sent=3 received=3 packet-loss=0% min-rtt=5ms413us avg-rtt=6ms691us
max-rtt=8ms953usA másik oldalról is így néz ki a ping(ping 10.10.10.2 src-address=192.168.1.1)
Szóval számomra úgy tűnik, hogy ott a wireguard interface címénél akad el a dolog.Hello darkness, my old friend...
-
Horvi
őstag
válasz Reggie0 #15620 üzenetére
Értem köszi. Akkor a leírás alapján hozzáadott input chain szabályom nem volt jó ott valami tök random IP volt ami nem egyezett a publikus címmel. Csináltam address listet mindkét routeren és azt adtam hozzá az input chain-hez.
Sajnos egyelőre így sem jó de nyomozom tovább. Hátha megtalálom hol veszik el a csomag.Hello darkness, my old friend...
-
Horvi
őstag
válasz Reggie0 #15622 üzenetére
Csak gondoltam kijavítom ha már észrevettem a dolgot, nehogy később ezen bukjak el
Most azt próbálom, hogy az itthoni mikrotik 10.10.10.2-es wg címéről pingelem a remote network 192.168.1.20-as címét és a remote mikrotiken nézem torch-al, hogy mi a helyzet a wg interfacen. Úgy tűnik, hogy a csomag átmegy:[ Szerkesztve ]
Hello darkness, my old friend...
-
Reggie0
félisten
-
Horvi
őstag
válasz Reggie0 #15624 üzenetére
Itt most arra gondolsz, hogy a remote oldalon meg kéne nézni, hogy az ottani wg címről elérhető-e a 192.168.1.20-as cím?
Ha a pingnél a 192.168.1.20-as címet pingelem a bridge interfaceről akkor jó. Ha ugyanezt a címet pingelem a wireguard interfaceről úgy már nem működik.Hello darkness, my old friend...
-
Reggie0
félisten
Nem, hanem kovesd a csomag utjat a cimzettig, majd nezd meg az kuld-e valaszt es a valasz meddig jut vissza. Azt mar latjuk, hogy a wg tunelen atmegy a keres, de nem megy vissza a valasz. A kerdes az, hogy az 192.168.1.20-as gepet eleri-e a ping es az kuld-e valaszt es ha valaszol ra, akkor a valasz meddig jut el a visszafele iranyban.
Mikrotiken bejott a csomag a wg interfeszen, de annak at kell kerulnie egy masik interfeszre, hogy kijusson a routerbol. Azert mondtam, hogy nezd meg a bridge-n levo forgalmat is, mert abbol latod, hogy a forwarding sikeres-e, illetve ha a celgep valaszol a pingre ott mar latod, hogy jon-e valasz.
[ Szerkesztve ]
-
g0dl
addikt
Van valahol egy jó leírás a wireguard road warrior beállításhoz?
Android, pc, és linux kliensek lennének (persze nem publikus IP-vel) -
ekkold
Topikgazda
-
májkimiki
őstag
Sziasztok!
Frissített már valaki wAP ac LTE kit-et [link] az új 7-es rendszerre?
Pro és kontra a régi-új rendszerrel kapcsolatban? -
MajaG
senior tag
Sziasztok! Mikrotik switchre nem találtam topicot, így itt tenném fel a kérdést.
Mi a különbség a két switch között, azonkívül, hogy az olcsóbbra csak switchOS van? Egyáltalán miért kéne nekem router funkció egy hardveresen relatíve gyengébb cuccba?
Mert nekem a gyártó honlapja alapján se egyértelmű.Illetve mit takar a "Cloud" felirat a mikrotik esetében. Kis irodába kéne, tartaléknak valami olcsóbb switch. Jelenleg Zyxel GS192024 v2 van kihelyezve. kb 15-18 pc lógna rajta+szerver.
Köszi előre is!
[ Szerkesztve ]
-
Reggie0
félisten
A ket switch teljesen ugyan az, csak az egyiken RouterOS is elerheto, a masikon csak SwitchOS.
Barmiert kellhet, mashogyan lehet es kell konfiguralni, tudsz rajta scripteket futtatni, tud VPN-re felcsatlakozni, lehet DHCP szerver, stb. es azert meg routerkent is erosebb, mint az RB2011-es routeruk, vagy ami alatta van, igy ha nincs gyors neted(=<200mbit), akkor elegendo. -
Lenry
félisten
válasz ekkold #15631 üzenetére
valamivel többet eszik a rOS7.
most körbenéztem az általam elérhető hap ac2-ket, itt az eredmény
kettőn van 7-es routerOS, azokon a 128MB RAM-ból 60 mega maradt szabadon, amelyiken még 6-os van azon átlagosan 80.
viszont szerencsére nem tapasztalok leaket.Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
BossBoss
őstag
Sziasztok!
Tudnátok abban segíteni, hogy mennyit érhet egy 4011-es nem wifis változat? Van nálam egy, pár hetet ment összesen, több mint fél éve dobozában pihen. Megválnék tőle.
Köszönöm!
-
pitiless
senior tag
válasz ekkold #15638 üzenetére
IOT package => MQTT => NodeRed => kijelző
USB konverter nem játszik, mert a tárolónkban van a router és néha igen nehézkes megközelíteni. A nodered és az mqtt pedig azon a pi-n fut, amin a kijelző van. Majd még finomítani fogom, de mindenképpen szeretnék/szerettem volna egy állandóan szem előtt lévő kijelzőt, amin az általános státuszt látom.
-
Reggie0
félisten
A vpn-ek szamat a license korlatozza, legalabb 500-at tud, de van amibol korlatlan(pl. openvpn). Az, hogy ezek mekkora sebesseget fognak tudni az mar mas kerdes, mert nem egy eros proci. Amik vannak 7-es routerossel: pptp, l2tp, eoip, openvpn, ipsec, wireguard. De ahhoz boven jo, hogy mondjuk tavoli management miatt, vagy valami egyeb kisforgalmu tunnelezest megoldj vele.
Itt talalod a license leveleket, a CRS326-nak 5-os van: [link][ Szerkesztve ]
-
llaszlo
veterán
Hello!
Ide irányítottak az egyik fórumról.
Van egy Mikrotik RB952Ui-5ac2nD router az irodában. Úgy adódott, hogy új nyomtatót kell vennem. A kérdésem, hogy ezzel a routerrel megoldható egy USB-s nyomtató működtetése, úgy hogy aki a wifire csatlakozik, az tudjon vele nyomtatni?
A korábbi wifis volt, viszont azt elvitte a régi bérlő és nekem nincs is szükségem olyan tudású nyomtatóra, mint ami neki volt. -
iceQ!
addikt
7.1.1. stable kint van.
Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS
-
Lenry
félisten
What's new in 7.1.1 (2021-Dec-21 13:53):
*) backup - added "force-v6-to-v7-configuration-upgrade" option on backup load to clear RouterOS v7 configuration and trigger reimport of RouterOS v6 route configuration (CLI only);
*) backup - fixed automatic backup generation when resetting configuration;
*) bgp - improvements on detecting peers local address when IPv6 link-local addresses are used;
*) capsman - improved system stability when processing CAP packet by Mangle;
*) dhcpv4-server - allow adding comments;
*) ethernet - improved system stability when receiving large packets on devices with 88F3720 CPU (nRAY, LHGG);
*) l3hw - fixed HW offloaded routing when using 7 or more VLAN interfaces;
*) l3hw - fixed bonding source MAC address;
*) l3hw - improved system stability when using 7 or more VLAN interfaces;
*) ntp - print log change time with time-zone applied;
*) ospf - fixed distance if "originate-default" is set to "always";
*) ospf - fixed neighbor stuck in ExStart;
*) ospf - fixed simple authentication;
*) ospf - improved overall stability;
*) ospf - improves stability when handling looped back OSPF packets;
*) upgrade - improved 404 error handling when checking for new versions;
*) webfig - fixed user policy lookup for skin designer;
*) winbox - made "Routing Filters/Rules" table sortable;
*) winbox - moved "IP/Route/Nexthops" and "IPv6/Route/Nexthops" menus to "Routing/Nexthops";
*) winbox - updated default "Routing/BGP/Peer Cache" table appearance;Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
adika4444
addikt
Hali!
Frissítettem az IPv6-os blogbejegyzésem.
Benne van, hogy hogy lehet dinamikus IPv6 prefixekkel normálisan dolgozni, illetve, hogy miként lehet a változó prefixű hálózaton lévő eszközöket elérni kívülről, úgy, hogy közben minden más el van tűzfalazva.
üdv, adika4444
-
betyarr
veterán
van egy pár sonoff eszközöm,többnyire okoskonnektorok.valamiért nem szeretik egymást a mikrotik routeremmel,mert folyamatosan lekapcsolódnak a hálózatról random időközönként (10 perc-1 max két óra után).a szolgáltatói csodarouterrel nem volt ilyen gebasz közel 2 hónapon keresztül (új helyre költöztünk).mihelyst átkértem a csodamasinát bridge módba és beüzemeltem a mikrotiket,azóta csinálják a sonoffok ezt a le-felcsatlakozást.a régi lakhelyemen is ez volt,akkor meg voltam róla győződve,hogy a sonoffnál van a bug,mert minden egyéb wifis eszköz betonsatbilan csatlakozik.a wifit egy unifi ap adja,de ennél is kizárva a hiba,mert a költözést követően rögtön beüzemeltem.
tudnátok ebben segíteni?
Új hozzászólás Aktív témák
- Samsung Galaxy A22 5G 64GB, Kártyafüggetlen, 1 Év Garanciával
- HP Spectre x360 14-eu0895no - ÚJ - 14" OLED 2-IN-1 ultrabook (Intel Core Ultra 7 CPU)
- HP Spectre x360 14-eu0779ng - ÚJ - 14" OLED 2-IN-1 ultrabook (Intel Core Ultra 7 CPU)
- Samsung Galaxy A14 64GB, Kártyafüggetlen, 1 Év Garanciával
- Samsung Galaxy A14 64GB, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Promenade Publishing House Kft.
Város: Budapest