-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
ekkold
Topikgazda
válasz
yodee_
#15892
üzenetére
A közpotni routerbe vegyél fel olyan szabályt ami:
- forward action=log, a forráscím ez egyik másodlagos eszköz, a célcím a másik másodlagos eszköz. A szabályt vidd előre a sorban a drop szabályok elé.
Ebből látszani fog eljut-e a csomag a központi routerbe aminek továbbítania kellene..
-ugyanilyen szabályt vegyél fel fordított irányra is.
Ebből látszani fog eljut-e a válasz csomag a központi routerbe aminek továbbítania kellene..
Ha a szabályokat leszűkíted pl. ICMP protokollra akkor már csak pingelni kell, és nézni, hogy mit logol.A két másodlagos eszközbe pedig hasonló szabályt vehetsz fel ami nem forward, hanem input.
Ezután egy ping szépen lekövethető, hogy hol akad el. -
pzoli888
kezdő
-
szuszinho
őstag
Így minden készüléket a saját DNS szerveremre küldök?
;;; Force DNSchain=dstnat action=dst-nat to-addresses=192.168.200.98 protocol=tcp src-address=!192.168.200.98dst-address=!192.168.200.98 dst-port=53 log=no log-prefix=""chain=dstnat action=dst-nat to-addresses=192.168.200.98 protocol=udp src-address=!192.168.200.98dst-address=!192.168.200.98 dst-port=53 log=no log-prefix=""chain=srcnat action=masquerade protocol=tcp dst-address=192.168.200.98 src-address-list=home dst-port=53log=no log-prefix=""chain=srcnat action=masquerade protocol=udp dst-address=192.168.200.98 src-address-list=home dst-port=53log=no log-prefix="" -
betyarr
veterán
-
Mangle szabály jó volt,csak az address list nem frissült ezek szerint. Most tesztelgettem:
Address listban nincs timeout alapból. De kézzel beállíthatom. Ha beállítok valami időzítést és lejár akkor tényleg törlődik a lista ha nem volt más elem a listában
Elég ha ki be kapcsolom az address listát akkor mindig újra feloldja a címet.Egy időzítővel ki be kapcsolom a listát óránként és így frissül a lista elemei. Remélem így már jó lesz,majd hetek múlva kiderül ha változik a cím.
-
Beniii06
addikt
válasz
betyarr
#15891
üzenetére
Kábel csere, port csere, kézzel állítani link sebességet automata helyett. Ezekkel próbálkoznék.
Arra figyelj, ha portot cserélsz(jól gondolom neked az ether1 wan port), akkor a bridgeből is ki kell venni az új portot és a tűzfal szabályokat is át kell írni az újra, különben védtelen lesz a router.
Nem olvastam vissza, csak erre válaszolok.
-
betyarr
veterán
szerintetek a szolgáltató felől hibádzik valami,vagy a mikrotik router kínlódik?
mod.: annyit még hozzátennék,hogy mindig is volt ilyen (úgy értem a régi lakhelyemen ahol másik szolgáltató volt),csak talán nem ennyire durván.
illetve,néha rájön és dobálja a portokra ezt a link down/link up dolgot,csak nem ilyen gyakran. -
-
#15885
betyarr
veterán
lionhearted
#15884
betyarr
veterán
válasz
lionhearted
#15884
üzenetére
ott is csak annyi látszik,hogy disconnected majd connected.semmi egyéb
-
#15884
lionhearted
őstag
betyarr
#15877
-
-
-
#15881
pzoli888
kezdő
Marcelldzso
#15878
pzoli888
kezdő
válasz
Marcelldzso
#15878
üzenetére
a 2 routeren az ip routes résznél felvetted a másik oldali alhálózatot?
-
-
#15879
jerry311
nagyúr
Marcelldzso
#15878
jerry311
nagyúr
válasz
Marcelldzso
#15878
üzenetére
NAT?
-
Marcelldzso
tag
válasz
ekkold
#15871
üzenetére
Átállítottam /30-ra és az allowednél kivettem a plusz sorokat pzoli mondása alapján.
A két router látja egymást. A két router tudja pingelni egymás LAN oldalán lévő eszközeit, viszont a LAN oldalról nem érem el a másik router LAN oldalát.
A traceroute a windowsban azt mondja, hogy megszólítja a routert és onnantól kapufa.
Merre keressem tovább a hibát?
Köszönöm, hogy segítetek! -
#15877
betyarr
veterán
lionhearted
#15870
betyarr
veterán
válasz
lionhearted
#15870
üzenetére
sajna nem ez a megoldás
a 7 nap sem segített,de a 23 óra sem.ha valakinek lenne még ötlete,azt szívesen fogadom!
-
#15876
pzoli888
kezdő
Marcelldzso
#15859
pzoli888
kezdő
válasz
Marcelldzso
#15859
üzenetére
én úgy látom, hogy A és B-nél is a allowed-addressnél szerepel a 10.1.10.0/24 és 10.1.1.0/24 cím. oda nem csak a másik oldal tartománya kellene? A /32 szerintem maradhat, de csak egy /24-es cím kellene.
-
#15874
betyarr
veterán
lionhearted
#15870
betyarr
veterán
válasz
lionhearted
#15870
üzenetére
lease time-ot tudok állítani,de az valszeg nem az.duplaklikk az eszköz mezőjére,ott az expires after nem módosítható.hogyan kell ezt megadni?
-
-
#15871
ekkold
Topikgazda
Marcelldzso
#15859
ekkold
Topikgazda
válasz
Marcelldzso
#15859
üzenetére
Szerintem a /32 a baja.
A 10.10.10.1/32 és 10.10.10.2/32 címeket próbáld meg /30-al
Amit a konfigban nem mutattál meg, de feltételezhető:
Az interfészeknek be kell állítani a címét a /IP/Adresses menüben, és itt is /30-at kellene használni. -
#15870
lionhearted
őstag
betyarr
#15857
-
#15864
jerry311
nagyúr
E.Kaufmann
#15862
jerry311
nagyúr
válasz
E.Kaufmann
#15862
üzenetére
Otthoni környezetben valószínűleg semmivel sem fogod tiltani, mert a TCP/443-at elég nehéz úgy tiltani, hogy ne okozzon problémákat. Decrypt vagy TLS proxy otthon általában nem játszik, mert drága.
Céges szinten meg, TLS proxy, group policy, ami csak a céges DNS szervert engedi... Vannak módszerek... Minden rendszer biztonsága a használhatatlanságig növelhető, kérdés ki mennyit akar szopni vele. -
betyarr
veterán
remélem minden olyan infót sikerült kiszednem belőle,ami nem kell hogy nyilvános legyen.
[admin@MikroTik] >> export hide-sensitive
# jan/04/2022 09:26:39 by RouterOS 6.48.1
# software id = 85EM-JDDR
#
# model = RB4011iGS+
# serial number =
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether2 ] comment=Gigaset
set [ find default-name=ether3 ] comment=TADO
set [ find default-name=ether4 ] comment=POWERCUBE
set [ find default-name=ether5 ] comment=KRAFTWERK
set [ find default-name=ether8 ] comment=Raspberry
set [ find default-name=ether10 ] comment=Nandi-PC
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip kid-control
add disabled=yes fri=15h-17h30m mon=8h30m-17h10m name="L\F5rinc" sat=\
8h-9h30m,14h-16h sun=8h-9h30m,14h-16h thu=16h30m-17h10m tue=16h30m-17h10m \
wed=16h30m-17h10m
add disabled=yes fri=15h-17h30m mon=8h30m-17h10m name=Regi sat=8h-9h30m,14h-16h \
sun=8h-9h30m,14h-16h thu=16h30m-17h10m tue=16h30m-17h10m wed=16h30m-17h10m
/ip pool
add name=dhcp-pool1 ranges=192.168.1.0-192.168.1.250
add name=vpn_pool ranges=192.168.12.2-192.168.12.10
/ip dhcp-server
add address-pool=dhcp-pool1 authoritative=after-2sec-delay disabled=no \
interface=bridge1 lease-time=21w3d10m name=server1
/ppp profile
add local-address=192.168.12.1 name=vpn_profile on-up="#az \E9l\? VPN kapcsolato\
k enged\E9ly\E9t hosszabb\EDtja meg a tuzfal vpnlogin list\E1ban\r\
\n:delay 2\r\
\nforeach i in=[ppp active find ] do={\r\
\n local ipaddr [ppp active get value-name=caller \$i];\r\
\n /ip firewall address-list set [find address=\$ipaddr list=\"vpnlogin\"] \
timeout=01:30:01\r\
\n /ip firewall address-list set [find address=\$ipaddr list=\"vpn1\"] time\
out=01:30:00\r\
\n}\r\
\n" remote-address=vpn_pool
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
ord,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
/interface ovpn-server server
set auth=sha1 certificate=server cipher=aes256 enabled=yes port= \
require-client-certificate=yes
/interface pptp-server server
set default-profile=default max-mru=1460 max-mtu=1460
/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.1.249 always-broadcast=yes comment="Sonoff POWECUBE" \
mac-address= server=server1
add address=192.168.1.248 always-broadcast=yes mac-address= \
server=server1
add address=192.168.1.247 comment="Main light" mac-address= \
server=server1
add address=192.168.1.241 comment="RM mini" mac-address= \
server=server1
add address=192.168.1.240 client-id= mac-address=\
server=server1
add address=192.168.1.105 client-id= comment=POWERCUBE \
mac-address= server=server1
add address=192.168.1.111 client-id=1: comment=KRAFTWERK \
mac-address= server=server1
add address=192.168.1.127 client-id=1: mac-address=\
server=server1
add address=192.168.1.11 client-id=1: comment=Regi_TV \
mac-address= server=server1
add address=192.168.1.107 client-id= comment=LG_TV \
mac-address= server=server1
add address=192.168.1.103 comment=Gigaset mac-address= server=\
server1
add address=192.168.1.100 client-id= comment=Anett_telefon \
mac-address= server=server1
add address=192.168.1.37 client-id= comment=\
"L\F5rinc_tablet" mac-address= server=server1
add address=192.168.1.118 client-id= comment=Regi_tablet \
mac-address= server=server1
add address=192.168.1.243 always-broadcast=yes comment="Desktop lamp" \
mac-address= server=server1
add address=192.168.1.250 comment="Sonoff TV" mac-address= \
server=server1
add address=192.168.1.102 client-id=1: mac-address=\
server=server1
add address=192.168.1.14 client-id=1 mac-address=\
server=server1
add address=192.168.1.77 client-id= comment="L\F5rinc PC" \
mac-address= server=server1
add address=192.168.1.15 client-id=1 comment="Regi telefon" \
mac-address= server=server1
add address=192.168.1.10 comment=Yeelight2 mac-address= \
server=server1
add address=192.168.1.9 comment=yeelight1 mac-address= server=\
server1
add address=192.168.1.126 client-id= mac-address=\
server=server1
add address=192.168.1.242 always-broadcast=yes comment="Sonoff KRAFTWERK" \
mac-address= server=server1
add address=192.168.1.128 client-id=1 mac-address=\
server=server1
add address=192.168.1.7 client-id= comment="Regi PC" \
mac-address= server=server1
add address=192.168.1.62 client-id= mac-address=\
server=server1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.4.4
/ip firewall address-list
add address=0.0.0.0/8 list=blacklist
add address=127.0.0.0/8 list=blacklist
add address=224.0.0.0/3 list=blacklist
/ip firewall filter
add action=accept chain=input in-interface=!ether1 src-address=192.168.0.0/24
add action=accept chain=input comment="Established connections" \
connection-state=established
add action=drop chain=input comment="Invalid csomagok eldob" connection-state=\
invalid
add action=drop chain=forward comment="Invalid csomagok eldob" \
connection-state=invalid
add action=drop chain=input comment="DNS net fel\F5l eldob" dst-port=53 \
protocol=udp src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist address-list-timeout=\
1d10m chain=input comment="port scanners" protocol=tcp psd=21,3s,3,1
add action=drop chain=forward comment="drop blacklist" src-address-list=\
blacklist
add action=drop chain=input comment="drop blacklist" src-address-list=blacklist
add action=add-src-to-address-list address-list=blacklist address-list-timeout=\
6h chain=input dst-port= protocol=tcp \
src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist address-list-timeout=\
6h chain=input dst-port= protocol=udp \
src-address=!192.168.0.0/16
add action=add-src-to-address-list address-list=blacklist address-list-timeout=\
5h59m chain=input comment="OVPN - 5:59 - blakcklist" connection-state=new \
dst-port=11194 protocol=tcp src-address-list=!vpnlogin
add action=add-src-to-address-list address-list=vpnlogin address-list-timeout=\
1m30s chain=input comment="OVPN - 1,5 min - vpnlogin list" \
connection-state=new dst-port= protocol=tcp src-address-list=!vpn1
add action=add-src-to-address-list address-list=vpn1 address-list-timeout=59m \
chain=input comment="OVPN - 59min - vpn1 list" connection-state=new \
dst-port= protocol=tcp src-address-list=!vpn1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
192.168.1.0/24
add action=dst-nat chain=dstnat dst-port= in-interface=ether1 protocol=tcp \
to-addresses=192.168.1.111 to-ports=
add action=dst-nat chain=dstnat dst-port= in-interface=ether1 protocol=udp \
to-addresses=192.168.1.111 to-ports=
add action=accept chain=srcnat dst-port= protocol=tcp
add action=accept chain=srcnat dst-port= protocol=udp
add action=masquerade chain=srcnat comment=VPN src-address=192.168.12.0/24
/ip firewall service-port
set sip sip-direct-media=no
/ip hotspot user
set [ find default=yes ] limit-uptime=5m
/ip kid-control device
add mac-address= name="L\F5rincPc" user="L\F5rinc"
add mac-address= name="Regi TV" user=Regi
add mac-address= name="L\F5rinc tablet" user="L\F5rinc"
add mac-address= name="Regi tablet" user=Regi
add mac-address= name="Regi telefon" user=Regi
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.0.0/16 port=
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.0.0/16
set api-ssl disabled=yes
/ppp secret
add name=nandi profile=vpn_profile service=ovpn
/system clock
set time-zone-name=Europe/Budapest
/system ntp client
set enabled=yes primary-ntp=148.6.0.1 secondary-ntp=52.178.161.41
/system scheduler
add interval=1w name=" backup-mail" on-event=backup-mail policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=feb/18/2021 start-time=10:00:00
add interval=1h name="open vpn" on-event="#az \E9l\? VPN kapcsolatok enged\E9ly\
\E9t hosszabb\EDtja meg a tuzfal vpnlogin list\E1ban\r\
\n:delay 2\r\
\nforeach i in=[ppp active find ] do={\r\
\n local ipaddr [ppp active get value-name=caller \$i];\r\
\n /ip firewall address-list set [find address=\$ipaddr list=\"vpnlogin\"] \
timeout=01:30:01\r\
\n /ip firewall address-list set [find address=\$ipaddr list=\"vpn1\"] time\
out=01:30:00\r\
\n}" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-time=startup
/system script
add dont-require-permissions=no name=backup-mail owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="# K\
onfig ment\E9se, \E9s k\FCld\E9se email-ben\r\
\n:log info \"Starting Backup Script\"\r\
\n\r\
\n# lok\E1lis v\E1ltoz\F3kba ideiglenesen elt\E1roljuk az elk\FCdeni k\EDv\
\E1n inform\E1ci\F3kat\r\
\nlocal modellname [/system routerboard get model]\r\
\nlocal boardname [/system resource get board-name]\r\
\nlocal cpuload [/system resource get cpu-load]\r\
\n\r\
\nlocal uptime [/system resource get uptime]\r\
\nlocal dnsname [/ip cloud get dns-name]\r\
\nlocal osver [/system resource get version]\r\
\nlocal IPaddr [/ip cloud get public-address ]\r\
\n\r\
\nlocal filename [/system identity get name]\r\
\nlocal datum [/system clock get date]\r\
\n\r\
\n# a d\E1tumot szinmpatikusabb form\E1tumra alak\EDtjuk\r\
\nlocal day [ :pick \$datum 4 6 ]\r\
\nlocal month [ :pick \$datum 0 3 ]\r\
\nlocal year [ :pick \$datum 7 11 ]\r\
\nset \$datum \"\$year\$month\$day\"\r\
\n\r\
\n# a f\E1jlneveket a a router nev\E9b\?l \E9s a d\E1tumb\F3l gener\E1ljuk\r\
\nset \$filename \"\$filename-\$datum\"\r\
\n\r\
\n# elk\E9sz\EDtj\FCk a backup f\E1jlokat\r\
\nexport file=\"\$filename.rsc\"\r\
\n/system backup save name= \"\$filename.backup\"\r\
\n\r\
\n# megv\E1rjuk am\EDg a f\E1jlok l\E9trej\F6nnek\r\
\n:delay 30\r\
\n\r\
\n# email k\FCld\E9se a csatolt f\E1jlokkal \E9s adatokkal\r\
\n# a cimzettet \EDrjuk \E1t arra a c\EDmre amire az emailt szeretn\E9nk meg\
kapni\r\
\n/tool e-mail send to= subject=\"Backup \$filename\" \\\
\r\
\nbody=\"Mikrotik backup: \$filename\\r\\nModell: \$modellname\\r\\nBoard: \
\$boardname\\r\\nCPU load: \$cpuload%\\r\\nIP: \$IPaddr\\r\\nDNS name: \$dns\
name\\r\\nOs ver: \$osver\\r\\nUptime: \$uptime\\r\\n\" \\\r\
\nfile=\"\$filename.rsc,\$filename.backup\"\r\
\n\r\
\n# v\E1rakoz\E1s, majd a backup f\E1jlok t\F6rl\E9se a router t\E1rol\F3j\
\E1b\F3l\r\
\n:delay 50\r\
\n/file remove \"\$filename.rsc\"\r\
\n/file remove \"\$filename.backup\"\r\
\n"
/tool e-mail
set address=smtp.gmail.com from=MikiTiki<> port=587 \
start-tls=yes user=
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool netwatch
add down-script="/tool e-mail send to= subject=\"Host is Dow\
n\" from= port=587 start-tls=yes user=\
om password=` body=\"Host Down\"" host=178.164.243.134 \
up-script="/tool e-mail send to= subject=\"\C9rtes\EDt\
\E9s a routert\F5l\" from= port=587 start-tls=yes user=k\
password= body=\"Az internetkapcsolat \
helyre\E1llt\""
[admin@MikroTik] >> -
#15859
Marcelldzso
tag
Marcelldzso
tag
Még mindig wg.
Kérlek nézzétek meg.
IPSEC-et szeretnék lecserélni.Ha fent van az IPSEC kapcsolat akkor a traceroute megfelelő irányba megy, ha nincs fent az IPSEC akkor össze sem kapcsolódok a WG (handshake failure)
Wireguard A egyik oldal:
/interface wireguard
add listen-port=13231 mtu=1420 name=wg
/interface wireguard peers
add allowed-address=10.10.10.1/32,10.1.1.0/24,10.1.10.0/24 endpoint-address=\
vpn.domain.hu endpoint-port=13231 interface=wg persistent-keepalive=30s \
public-key="1Qz8g0SDASDADADSASDASDASDASDhQyDxv/nnX9OSkio="Wireguard B másik oldal:/interface wireguard
add listen-port=13231 mtu=1420 name=wg
/interface wireguard peers
add allowed-address=10.10.10.2/32,10.1.10.0/24,10.1.1.0/24 endpoint-address=78XXXXXXXXa89.sn.mynetname.net endpoint-port=13231 interface=wg persistent-keepalive=30s public-key=\
"xVkI/cOiZSDSDSDSDSDSDS9egNW/F1GMitgOWU="FW A oldal (ez a 3 az első pár sor)/ip firewall filter
add action=accept chain=input dst-port=13231 protocol=udp
add action=accept chain=forward dst-address=10.1.10.0/24 src-address=10.1.1.0/24
add action=accept chain=forward dst-address=10.1.1.0/24 src-address=10.1.10.0/24FW B oldal (ez a 3 az első pár sor)/ip firewall filter
add action=accept chain=input dst-port=13231 protocol=udp
add action=accept chain=forward dst-address=10.1.10.0/24 src-address=10.1.1.0/24
add action=accept chain=forward dst-address=10.1.1.0/24 src-address=10.1.10.0/24Route A oldal:
/ip route
add disabled=no dst-address=10.1.1.0/24 gateway=10.10.10.1 routing-table=main suppress-hw-offload=noRoute B oldal:
/ip route
add disabled=no distance=1 dst-address=10.1.10.0/24 gateway=10.10.10.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10Hálás köszönetem.
-
#15857
betyarr
veterán
lionhearted
#15855
betyarr
veterán
válasz
lionhearted
#15855
üzenetére
10 perc,plusz 150 nap.legalábbis itt ezt írja.vagy rossz helyen keresgélek?
-
Ad@m
tag
válasz
kopogo
#15852
üzenetére
A fő eltérés a kettő között a ram, a tárhely és az antenna.
Ac2 oldalara ~10k val kevesebb ár billlenti,
a másik oldalra a külső antennás wifi, a több ram és a nagyobb tárhely.
Ha wifiwave2-t akarsz használni (jobb wifiben, de akkor nincs capsman) akkor csak az ac3 jöhet szóba.
Ha nem döntő kérdés az ár akkor én az ac3-at választanám. -
#15855
lionhearted
őstag
betyarr
#15851
-
betyarr
veterán
nekem egy rb4011 van.azért érdekes ez az egész,mert 2 hónapig a voda eszközére volt kötve a unifi ap és egyetlen egy alkalommal sem volt ilyen gebasz.amint átkértem a szolgáltatói eszközt bridge-be,azóta (megint) ez a gond.és csakis kizárólag a sonoffok csinálják ezt.egyéb wifis okoscuccok soha nem kapcsolódnak le-fel.ugyanez volt a helyzet az előző lakhelyemen,csak ott a digi volt a szolgáltató.akkor azt hittem,hogy a sonoffok vagy a unifi ap szívat.de most így kiderült,hogy nem.
-
-
#15850
silver-pda
aktív tag
silver-pda
aktív tag
Mi a véleményetek az
/ip settings rp-filter illetve
/ip settings tcp-syncookies beállításokról? -
-
#15843
E.Kaufmann
veterán
ekkold
#15841
-
ekkold
Topikgazda
válasz
yodee_
#15834
üzenetére
Azért javasoltam, mert nekem csinált olyat a 7.1, hogy hiába vettem fel a routing szabályt, az nem működött. Újraindítás után viszont magától megjavult. A 7.1.1-nél nem tapasztaltam ilyet.
Amúgy meg naplózni kellene, hogy meddig jutnak el a csomagok, akár naplózó tűzfalszabályokat felvenni erre a célra. Csak kiderül, hogy hol akad el.
-
yumme
csendes tag
Sziasztok,
Kellene egy router (kis számú végpont, 4-5 db VLAN, VPN(szerver) 2 kapcsolat, VPN(kliens) 3 kapcsolat, route szabályok a VLAN-ok között + a szokásos)
RB5009-et néztem ki.
kérdéseim:
mivel most dobták piacra és megértésem szerint új architektúrára épül félő hogy tele van gyermekbetegségekkel. Érdemes-e jelenleg már venni belőle? Ha igen, hol érdemes beszerezni?
vagy inkább várjak "rev. 2" -re és addig nézzek valami használt CCR10xx ?
Köszi -
gidacska
tag
válasz
Cirbolya_sen
#15830
üzenetére
Köszönöm a segítséget. Sikerült a netinstall után helyre tenni a dolgokat ismét működőképes lett.
-
gidacska
tag
válasz
Cirbolya_sen
#15828
üzenetére
Azért vicc hogy egy frissítés kinyírja. Egyenlőre semmi.Frissítés után még a szolgáltató modemja is megbolodnult, villogott minden rajta mint a karácsonyfán.
-
#15828
Cirbolya_sen
aktív tag
gidacska
#15827
-
gidacska
tag
válasz
Cirbolya_sen
#15824
üzenetére
Sajnos nekem nem jelenik meg a Netsinstallnál az router pedig beállítok mindet.Nincs hálózati hozzáférést ír ahol a kapcsolat adatait nézem.
-
gidacska
tag
válasz
Cirbolya_sen
#15824
üzenetére
Köszönöm megnézem ,már csak netet kell szeretném
-
#15820
silver-pda
aktív tag
Marcelldzso
#15819
silver-pda
aktív tag
válasz
Marcelldzso
#15819
üzenetére
Én nem értek hozzá, de az első rule miért disabled?
-
#15819
Marcelldzso
tag
Marcelldzso
tag
Átnézné valaki nekem ezeket a filter rule-okat?
Próbálnám beállítani a wireguardot de ezen az oldalon mindig 0-át mutat a counter a porton...
persze ha felépítek egy ipsec tunnelt akkor már is működik..../ip firewall filter
add action=accept chain=forward connection-state=established,related disabled=yes
add action=accept chain=input dst-port=20636 log=yes log-prefix=wireguard protocol=udp
add action=accept chain=input port=1701,500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input src-address=192.168.12.0/24
add action=accept chain=forward dst-address=192.168.19.0/24 src-address=192.168.12.0/24
add action=accept chain=forward dst-address=192.168.12.0/24 src-address=192.168.19.0/24
add action=drop chain=input dst-port=53 protocol=udp src-address=!192.168.19.0/24
add action=accept chain=forward connection-state=established,related dst-port=443 protocol=tcp
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment="Invalid csomagok eldob" connection-state=invalid
add action=drop chain=forward comment="Invalid csomagok eldob" connection-state=invalid
add action=accept chain=input comment="Established connections" connection-state=established
add action=fasttrack-connection chain=forward connection-bytes=10240-0 connection-state=established,related hw-offload=yes
add action=fasttrack-connection chain=forward connection-mark=!ipsec connection-state=established,related hw-offload=yes
add action=accept chain=input in-interface=!pppoe-out1 src-address=192.168.19.0/24
add action=drop chain=input dst-port=53 protocol=udp src-address=!192.168.19.0/24
add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m chain=input comment="port scanners" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m chain=input comment="port scanners" protocol=udp psd=21,3s,3,1
add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h chain=input dst-port=20-1023,8291 protocol=tcp src-address=!192.168.19.0/24
add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h chain=input dst-port=500,4500 protocol=udp src-address=!192.168.19.0/24
add action=drop chain=input comment="drop blacklist" src-address-list=blacklist
add action=drop chain=forward comment="drop blacklist" src-address-list=blacklist
add action=drop chain=forward comment="Block wrong IPSEC" disabled=yes in-interface=pppoe-out1 src-address-list=IPSEC
/ip firewall mangle
add action=add-src-to-address-list address-list=sstp-conn address-list-timeout=30s chain=prerouting dst-address-type=local dst-port=443 protocol=tcp tls-host=vpn.mrmarcell.hu
add action=change-mss chain=forward new-mss=1440 out-interface=pppoe-out1 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=!0-1440
add action=mark-connection chain=forward comment="mark ipsec connections to exclude them from fasttrack" ipsec-policy=out,ipsec new-connection-mark=ipsec
add action=mark-connection chain=forward comment="mark ipsec connections to exclude them from fasttrack" ipsec-policy=in,ipsec new-connection-mark=ipsec -
pzoli888
kezdő
válasz
yodee_
#15815
üzenetére
lehet mind a három router tűzfal szabályaiban, ahol az action =drop és a chain= forward vagy input szerepel ott be kellene kapcsolni a log-ot (akár log prefix is legyen: külön prefix input-ra és külön prefix forward szabályra), és megint traceroute-olni a rossz irányt, majd ezek után megnézni, hogy vmilyik router logjában látsz-e vmit, és ha látsz vmilyen logot ezekkel kapcsolatban, akkor tűzfal gond lesz a hiba.
-
DeniL
tag
Sziasztok,
Ritkán szoktam a logokat nézegetni, mert ha valami működik, akkor van jobb dolgom is
Most viszont belenéztem, és nem értem a látottakat.
Üzemel néhány wifis hőmérő modul és okos izzó a házamban.
Fix IP-n lógnak, 3 nap lease time van a dhcp szerveren és capsman.
De ezek fix helyre rakott eszközök és a cap-ek között sem ugrál.Mitől lehet ez a néhány percenként küldött temérdek mennyiségű logáradat?
Vagy buta a kliens oldali eszköz és folyamatosan pingeli a routert IP címért ?
Pastebin log [link]Köszönöm a tanácsokat előre is
BUÉK -
#15814
Marcelldzso
tag
Marcelldzso
tag
lassan elmegyek szerintem beiratkozok egy alap+routing+wireless tanfolyamra. kicsit idegesít, hogy nem értem - pedig érthetném.
-
#15812
Lenry
félisten
Marcelldzso
#15811
válasz
Marcelldzso
#15811
üzenetére
mindkét oldalon beállítottad a peereket is?
/interface wireguard peers
add allowed-address=wgInterfészIPtartománya \
endpoint-address=másikOldalPublikusIPcíme \
endpoint-port=13231 interface=wg-rakhegy persistent-keepalive=\
30s public-key="másikOldalPublikusKulcsa" -
#15811
Marcelldzso
tag
Marcelldzso
tag
Srácok...
Azthittem nem fogok de még is szívok a Wireguarddal...
Szóval frissítettem 7.1.1re mindkét oldalt ---> belassult az IPsec.
Gondoltam akkor wg és problem solved.
De, addig sem jutok el, hogy a két interface összekapcsolódjon.
A saját oldalamon látom, hogy próbálkozik, handshake failure.. ellenoldalon hiába kapcsoltam be a logolás még a próbálkozást sem látom, 0. minden számláló.
megnéznétek mit ronthatok el?
sejtem megint nem látom a fától az erdőt.
[admin@RakhegyTik] /interface/wireguard> print
Flags: X - disabled; R - running
0 R name="wg-rakhegy" mtu=1420 listen-port=13231
private-key="EZITTAPRIVÁTKULCSWk="
public-key="EZITTAPUBLICKULCSSDtbXVgfzU="Ezt raktam mindkét oldalon a firewall filter táblába:
add action=accept chain=input dst-port=13231 protocol=udpMi kellene még hozzá, hogy létrejöjjön a kulcscsere?
![;]](http://cdn.rios.hu/dl/s/v1.gif)
?
etinstall
Új hozzászólás Aktív témák
- Kerékpárosok, bringások ide!
- Honda topik
- Hardcore café
- btz: Internet fejlesztés országosan!
- Szeged és környéke adok-veszek-beszélgetek
- Metal topik
- Iszonyatos mennyiségű hulladékkal járhat a Windows 10 terméktámogatásának vége
- Kertészet, mezőgazdaság topik
- Milyen autót vegyek?
- Mibe tegyem a megtakarításaimat?
- További aktív témák...
- BESZÁMÍTÁS! Samsung Odyssey G9 OLED 240Hz Dual QHD 0,03ms monitor garanciával hibátlan működéssel
- Samsung Galaxy S24Fe 128Gb Kártyafüggetlen 1Év Garanciával
- AKCIÓ! ASRock H310CM i3 9100F 8GB DDR4 240GB SSD 1TB HDD GTX 1060 3GB AeroCool Strike-X 500W
- ÁRGARANCIA!Épített KomPhone Ryzen 5 4500 16/32/64GB RAM RTX 3050 6GB GAMER PC termékbeszámítással
- BESZÁMÍTÁS! Asus B760M i7 12700KF 32GB DDR4 512GB SSD RX 6800 16GB Rampage SHIVA FSP 700W
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest