-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
válasz #19482368 #4000 üzenetére
funkcionális analfabéták kedvéért akkor megmagyarázom:
A kolléga azt írta, hogy nem tudja eldönteni, mi a különbség. ez alapján feltételeztem, hogy utánanézett, és mégsem tudja eldönteni. Ha utánanézett pl. itt, akkor ezt láthatta:"The RB951Ui-2HnD is a wireless SOHO AP with a new generation Atheros CPU and more processing power. It has five Ethernet ports, one USB 2.0 port and a high power 2.4GHz 802.11b/g/n wireless AP with antennas built in.". Kiemelem még egyszer: 5 ethernet portja van. Ez a hivatalos gyári infó.
Nekem négy page down gomb megnyomása után jön az infó, hogy ez a port 10/100-as, ez már lehet, elkerülte a kolléga figyelmét. Azt meg nyilván nem tudhatja mindeki, hogy a mikrotiknek mi a szavajárása.
Fentiekre tekintettel a hozzászólásom pontos volt, felesleges volt kijavítással próbálkozni.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
ssarosi
tag
Kipróbáltam a capsman-t.
Lehetséges hogy ezen keresztül nem lehet virtual-ap -t létrehozni/kezelni?
Mert eddig nem sikerült megtalálnom hogy hogyan kéne.[ Szerkesztve ]
-
traders
tag
Sziasztok!
Abban szeretnék segítséget kérni hogy vagy két eltérő lakásban lévő hálózat, mindkettő mikrotik routerrel van felszerelve ugyanazzal a beállításokkal (a két rendszer egymás "klónjai") rádugva mediaserverrel és abban szeretnék segítséget kérni hogy laptopról a másik hálózatra szeretnék VPN-nel kapcsolódni.
A probléma az hogy sikerül a VPN kapcsolat csak éppen mivel ugyanaz a subnet (192.168.0.1) ezért ha szeretnék "A" pontból a "B" ponti mediaszerverre kapcsolódni (amiknek mivel "klónok" ugyanaz az IP-jük, 192.168.0.2) mindig az aktuális hely szerverére kapcsolódik teljesen érthető módon.
Próbáltam valami szabályt létrehozni a routolásra de nem igazán sikerül. Természetesen ha megváltoztatom a subnetet vagy akár az egyik mediaserver IP-jét bármelyik hálózaton akkor tökéletesen működik, de pont ezért szeretném megtartani ezeket a beállításokat hogy egyforma legyen a két helyen.
Előre is köszönöm a segítséget!
Az élet olyan nemi úton terjedő betegség, amelynél a halálozási arány 100%
-
Core2duo6600
veterán
Ha teljesen meg akarod tiltani a kommunikációját az adott gépnek akkor input - al, és akkor a router nem áll szóba az adott géppel.
Ekkor lan kapcsolatod sem lesz.Én a NASra bíztam a VPN kezelést, openvpn-t használok, a NAS nak több cpu ereje van erre.
Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430
-
senior tag
Vki használta már a Bridge Nat funkcióját? Mennyire terheli a router-t?
-
Ablakos
őstag
A Capsman nekem is kicsit homály. Van négy eth. port, amelyeken az AP kliensek bejönnek a routerre. Ha switchelve vannak ezek a portok a masterrel, akkor nem kapnak IP címet a kliensek. (Ragaszkodom, hogy a dhcp server "központosítva" csak a routeren legyen.) Ha softveres bridge teszem a master porttal ezeket az eth. portokat, akkor tökéletes minden. Nem tudom mi a fene különbség van, hiszem mindkettő layer 2 kapcsolat.
Nem is rugóznék ezen, csak ha a master port is bridge-n van, akkor a nem működik a fasttrack connection. Így meg elég halovány NAT képessége van a CRS125-nek. -
csusza`
senior tag
válasz Ablakos #4011 üzenetére
Én is össze szoktam switchelni a lábakat, de a master portot akkor is a bridge-be teszem, ha csak mondjuk egyetlen ethernet lábon megy ki a hálózat.
Bridge-s hálózaton semmi bajom nincs a cAP kezeléssel. Simán switchelve még nem is próbáltam.
Egyébként szerintem a capsman csak bridge-lt hálózaton megy, mivel a datapath-nál bridge-t lehet megadni csak neki, ha jól emlékszem.
Viszont, ez kényelmessé teszik a dolgokat, mert ha pl. két SSID-t szóratsz és két teljesen külön hálózatra tudsz felkapcsolódni, a datapath-nál más-más bridge-ket adhatsz meg.
Tényleg, ezzel kapcsolatban kérdés: technikailag ez egyébként rendben van? Van egy static management IP-je a cap-oknak, szórnak egy office SSID-t ugyanazon a datapath bridge-n, mint amiben a management IP van, illetve adott esetben egy guest-et, aminek a datapath-ja másik bridge-re mutat. Gondolom pontosan ez az, amiért a capsman egyáltalán létezik.
Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!
-
brickm
őstag
Sziasztok!
SSH privát kulcsos belépést próbálok elsajátítani itthonra, de jutub videot követve sem sikerül.
Amit csináltam:
ubuntu bashból generáltam egy ssh kulcsot:
#ssh-keygen -t dsa
passw:proba1ezt a két fájt felmásoltam a mikrotikre scp-vel, majd a users menüben hozzáadtam a user1-hez beírtam ott is a kódot.
Publik key az id-dsa.pub; privát a id-dsa
egy TXT-be kimásoltam a privát kulcsot majd bejelentkezést kezdeményeztem bashból:
#ssh user1@mikrotik.net -p 40022 -t privkey.txtDe csak kéri a kódot és Putty beenged a kóddal fájl nélkül is. Mit csinálok rosszul?
-
brickm
őstag
válasz Core2duo6600 #4009 üzenetére
Ezt (is) próbáltam mielőtt írtam, de nem vált be sajnos, ezért írtam.
action=drop chain=input comment="Drop DAHUA IP CAM" src-address=192.168.0.10Sajna ugyan úgy pingelhető és kommunikál is a hálón.
-
-
brickm
őstag
válasz bambano #4015 üzenetére
Ezt próbáltam, de sajnos ez fogadott:
root@DESKTOP-SSPLVJA:~/.ssh# ssh user1@mikrotik.net -p 40022 -i key.txt
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0777 for 'key.txt' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "key.txt": bad permissions
user1@mikrotik.net's password:Akkor nem kér csak kódot, ha magának a user-nak nem adok mikor létrehozom, csak üresen hagyom, de akkor kulcs se kell, simán beenged.
-
-
brickm
őstag
válasz bambano #4017 üzenetére
Így nem dobja a hibaüzenetet az elejére de a tényállás változatlan, kulccsal is beenged meg anélkül is.
pedig..: nem olyan bonyolult így ránézésre----
szerk.: na asszem sikerült.
Szóval legenerálod az SSH kulcsokat, majd a ROS-ben nem SSH priv. keys-nél rendeled a kulcsot a user-hez, hanem melltte az SSH keys-ben. (a *.pub-ot)
A key.txt-be kimásolod a privát kulcsot chmod 600- nem jó a tulajdonos Ír ÉS olvas mód, csak a tulajdonos OLVAS!!!Ezután ha hozzárendeled a kulcsot beenged, ha nem kóddal se.
Nehéz szülés volt, logikáját még nem értem de ok.Másik, ezaz scp -P 40022 || ssh -p 40022 kiégette a lelkem finoman szólva nem lehetett volna egyformára tervezni őket ááá.
Köszi a segítséget!
[ Szerkesztve ]
-
brickm
őstag
Ezzel a kérdésemmel kapcsolatban annyit, hogy nem lehetséges, hogy maga az eszköz tud valamiféle hálózati kényszerítést csinálni?
Csak mert ugye a lent említett tűzal sor után is pingelhető, igen ám, de ha alapból az egész hálózatra teszek egy ICMP csomag drop szabályt minden más pingelhetetelen, kivéve a kamera....Őt lehet pingelni akkor is a PC-ről, míg se a routert, se az AP-t se a telefont.... -
brickm
őstag
Bocs a sok uj posztért, de szerkesztési időn kívül jönnek az ötletek.
Ez konkrétan mit akar egyébként?
The authenticity of host '[d------.org]:40022 ([188.----]:40022)' can't be established. key fingerprint is SHA256HB**********HDmZbjjL5/I2T2Tf****Wo0aY. re you sure you want to continue connecting (yes/no)? yes -
Lezl
tag
Teljesen amatör kérdés.
Adott egy szűrésekkel beálított mikrotik, ahol a lanon lévő kliensek egymást nem érik el csak kifelé a net felé kommunikálhatnak, hogy tudom beállítani hogy 2 adott ipjű gép egymást elérje, ha nem is bármilyen porton de legalább 1en? -
Lezl
tag
válasz Adamo_sx #4024 üzenetére
Minden bizonnyal jó Csak nem túlzottan látom át a konfigot, mit kéne keresnem hogy néz ki normál esetben egy ilyen szűrés? Van bent vagy 30 szabály... a tűzfalnál. Süsü vagyok hozzá.
A dhcp ip kiosztás sávszél korlátozás rész sima külső port átengedés dolgok mennek pl ezt a portot simán kiengedni tudom de lanon a 2 gép valami szabálllyal teljesen el van zárva...próbálkoznék szabályokkal, csak egy éles rendszer rajta 500 klienssel annyira nem lenne jó ha mindenki eldobná a kapcsolatot[ Szerkesztve ]
-
user12
őstag
Ha nem tudod vagy nem akarod a tiltó szabályt törölni, úgy is megoldható, hogy a két IP cím (vagy MAC address, ami biztosabb) között a kommunikációt engedélyező tűzfalszabályt készítesz (de ez esetben az engedélyező szabály meg kell előzze a tiltót a listában).
Konzolról ha kilistázod (/ip firewall export) és beírod ide, akkor valaki egész biztos, hogy tud segíteni benne.Rendszergazda vagyok....ha röhögni lát, mentsen
-
Lezl
tag
Itt a konfig, van benne sok dolog ami nem is kell már
# nov/01/2017 14:17:44 by RouterOS 6.40.4
# software id = 8C8Z-IPKS
#
# model = CCR1009-8G-1S
# serial number = 49130427F4E3
/ip firewall address-list
add address=89.132.155.172 comment="Saj\E1t SMTP szerver" list=smtp-szerverek
add address=195.70.49.106 comment=smtpauth.upcbusiness.hu list=smtp-szerverek
add address=213.46.255.2 comment=smtp.monornet.hu list=smtp-szerverek
add address=89.135.50.60 comment="Ez a cim kiv\E9tel az smtp szures alol" list=\
kivetelek
add address=70.86.5.44 list=smtp-szerverek
add address=194.149.13.163 comment=smtp.datanet.hu list=smtp-szerverek
add address=62.112.194.45 comment=smtp.datanet.hu list=smtp-szerverek
add address=194.149.13.165 comment=smtp.datanet.hu list=smtp-szerverek
add address=194.149.13.161 comment=smtp.datanet.hu list=smtp-szerverek
add address=195.70.57.133 comment=smtp.mediacenter.hu list=smtp-szerverek
add address=84.2.44.3 comment=mail.t-online.hu list=smtp-szerverek
add address=84.2.45.3 comment=mail.t-online.hu list=smtp-szerverek
add address=84.2.46.3 comment=mail.t-online.hu list=smtp-szerverek
add address=192.168.190.10 comment="Ez a cim kiv\E9tel az smtp szures alol" \
list=kivetelek
add address=192.168.190.212 comment="Ez a cim kiv\E9tel az smtp szures alol" \
list=kivetelek
add address=79.172.252.54 comment=Premiumos list=smtp-szerverek
add address=178.238.222.15 comment=Premiumos list=smtp-szerverek
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
disabled=yes
add action=drop chain=forward comment="Drop dhcp leased ips on PPPoE interface" \
src-address=192.168.180.2-192.168.180.254
add action=drop chain=forward comment="Drop DCOM" dst-port=135 protocol=tcp
add action=drop chain=input comment="Drop Telnet attempts" dst-port=23 \
protocol=tcp
add action=drop chain=input comment="Drop Invalid connections" \
connection-state=invalid
add action=accept chain=forward dst-address=192.168.190.0/23 protocol=tcp \
src-address=192.168.190.10
add action=accept chain=forward dst-address-list=smtp-szerverek dst-port=25 \
out-interface="UPC Port 1" protocol=tcp
add action=accept chain=input comment="Allow Established connections" \
connection-state=established
add action=accept chain=input comment="Allow UDP" protocol=udp
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=drop chain=forward comment="drop invalid connections" \
connection-state=invalid protocol=tcp
add action=accept chain=forward comment="allow already established connections" \
connection-state=established
add action=accept chain=forward comment="allow related connections" \
connection-state=related
add action=drop chain=forward comment="block bad IP" src-address=0.0.0.0/8
add action=drop chain=forward comment="block bad IP" dst-address=0.0.0.0/8
add action=drop chain=forward comment="block bad IP" src-address=127.0.0.0/8
add action=drop chain=forward comment="block bad IP" dst-address=127.0.0.0/8
add action=drop chain=forward comment="block bad IP" src-address=224.0.0.0/3
add action=drop chain=forward comment="block bad IP" dst-address=224.0.0.0/3
add action=jump chain=forward comment="jumps to new chains" jump-target=tcp \
protocol=tcp
add action=jump chain=forward comment="jumps to new chains" jump-target=udp \
protocol=udp
add action=jump chain=forward comment="jumps to new chains" jump-target=icmp \
protocol=icmp
add action=drop chain=tcp comment="deny TFTP" dst-port=69 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 protocol=\
tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 protocol=\
tcp
add action=drop chain=tcp comment="deny NBT" dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment="deny cifs" dst-port=445 protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 protocol=\
tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\
tcp
add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 protocol=tcp
add action=drop chain=udp comment="deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 protocol=\
udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 protocol=\
udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp
add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=\
udp
add action=accept chain=icmp comment="drop invalid connections" icmp-options=\
0:0 protocol=icmp
add action=accept chain=icmp comment="allow established connections" \
icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="allow already established connections" \
icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 \
protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=drop chain=udp comment="deny dhcp" dst-port=67-68 protocol=udp
add action=accept chain=input comment=\
"Allow access to router from known network" src-address=192.168.255.0/24
add action=accept chain=input comment=\
"Allow access to router from known network" src-address=192.168.190.0/24
add action=accept chain=input src-address=10.0.0.0/8
add action=accept chain=input src-address=89.135.50.64/26
add action=accept chain=input src-address=89.135.50.64/26
add action=accept chain=forward src-address=89.132.156.147
add action=drop chain=input comment="Drop anything else"
add action=add-src-to-address-list address-list=smtp-spammer \
address-list-timeout=4w2d chain=forward dst-address-list=!smtp-szerverek \
dst-port=25 out-interface=UPC protocol=tcp
add action=drop chain=forward dst-port=25 out-interface="UPC Port 1" protocol=\
tcp src-address-list=!kivetelek
/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
"UPC primary - IP range (alap tartomany)" disabled=yes dst-address=\
!89.132.155.172 new-routing-mark="UPC primary" passthrough=no src-address=\
89.132.155.160/29
add action=mark-routing chain=prerouting comment=\
"UPC primary - IP range (extra tartomany)" disabled=yes dst-address=\
!89.132.155.172 new-routing-mark="UPC extra tartomany" passthrough=no \
src-address=89.132.156.128/27
add action=mark-routing chain=prerouting comment=\
"UPC primary - IP range (extra tartomany)" disabled=yes dst-address=\
!89.132.155.172 new-routing-mark="UPC extra tartomany 2" passthrough=no \
src-address=89.135.54.0/25
add action=change-mss chain=forward new-mss=clamp-to-pmtu protocol=tcp \
tcp-flags=syn
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
disabled=yes
add action=masquerade chain=srcnat out-interface="UPC Port 1" src-address=\
10.10.10.0/24
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.190.212 \
dst-port=18767 protocol=tcp src-port=18767 to-addresses=192.168.190.212 \
to-ports=18767
add action=dst-nat chain=dstnat disabled=yes log=yes protocol=tcp src-address=\
192.168.190.212 src-port=18767 to-addresses=192.168.190.10 to-ports=18767
add action=src-nat chain=srcnat comment=\
"Apartman nem publikus cimek mas forrasra natol\E1sa" disabled=yes log=yes \
protocol=tcp src-address=192.168.190.212 src-port=18767 to-addresses=\
192.168.190.10 to-ports=18767
add action=src-nat chain=srcnat comment=\
"Apartman nem publikus cimek mas forrasra natol\E1sa" out-interface=\
"UPC Port 1" src-address=192.168.190.0/23 to-addresses=89.135.50.65
add action=src-nat chain=srcnat comment=\
"Apartman nem publikus cimek mas forrasra natol\E1sa" disabled=yes \
dst-address=!91.120.14.98 out-interface=UPC src-address=192.168.190.0/23 \
to-addresses=91.120.14.129
add action=src-nat chain=srcnat comment="TESZT gep/port natol\E1sa" disabled=\
yes dst-address=!91.120.14.98 out-interface=UPC src-address=\
192.168.254.0/24 to-addresses=91.120.14.129
add action=src-nat chain=srcnat comment="TESZT gep/port natol\E1sa" \
dst-address=!89.132.155.172 out-interface="UPC Port 1" src-address=\
192.168.254.0/24 to-addresses=89.135.50.65
add action=src-nat chain=srcnat comment=\
"PPPOE nem publikus cimek mas forrasra natol\E1sa" disabled=yes \
dst-address=!91.120.14.98 out-interface=UPC src-address=10.0.0.0/24 \
to-addresses=91.120.14.129
add action=src-nat chain=srcnat comment=\
"PPPOE nem publikus cimek mas forrasra natol\E1sa" dst-address=\
!89.132.155.172 out-interface="UPC Port 1" src-address=10.0.0.0/24 \
to-addresses=89.135.50.65
add action=masquerade chain=srcnat comment="Mail szerver NATol\E1sa" disabled=\
yes out-interface="UPC Port 1" src-address=192.168.255.0/24 to-addresses=\
91.120.14.97
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=22 protocol=tcp to-addresses=192.168.255.1 to-ports=\
22
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=25 protocol=tcp to-addresses=192.168.255.1 to-ports=\
25
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=18767 protocol=tcp to-addresses=192.168.190.10 \
to-ports=18767
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=110 protocol=tcp to-addresses=192.168.255.1 to-ports=\
110
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=80 protocol=tcp to-addresses=192.168.255.1 to-ports=\
80
add action=dst-nat chain=dstnat comment="monornet to datanet smtp redit" \
dst-address=213.46.255.2 dst-port=25 protocol=tcp to-addresses=\
194.149.13.165 to-ports=25
add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
89.132.155.172 dst-port=49256 protocol=tcp to-addresses=192.168.255.2 \
to-ports=49256
add action=dst-nat chain=dstnat disabled=yes dst-address=89.132.155.172 \
dst-port=63320 protocol=tcp to-addresses=192.168.255.199 to-ports=63320
add action=dst-nat chain=dstnat comment="Teszt remote" disabled=yes \
dst-address=89.132.155.172 dst-port=2222 protocol=tcp to-addresses=\
192.168.254.2 to-ports=3389
add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
89.132.155.172 dst-port=2075 protocol=tcp to-addresses=192.168.190.232 \
to-ports=50000
add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
91.120.14.98 dst-port=40000 protocol=tcp to-addresses=192.168.255.1 \
to-ports=21
add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
89.132.155.172 dst-port=33303 protocol=tcp to-addresses=192.168.255.2 \
to-ports=2075
add action=dst-nat chain=dstnat dst-port=25 protocol=tcp src-address=\
192.168.190.43 to-addresses=192.168.150.199 to-ports=63320
add action=dst-nat chain=dstnat comment="Mail portbedobas ADSL-rol" \
dst-address=192.168.255.254 dst-port=25 protocol=tcp to-addresses=\
192.168.255.1 to-ports=25
add action=dst-nat chain=dstnat dst-address=89.135.54.80 protocol=t
to-addresses=192.168.190.8 to-ports=0-65535
add action=src-nat chain=srcnat protocol=tcp src-address=192.168.19
to-addresses=89.135.54.80 to-ports=0-65535
add action=dst-nat chain=dstnat comment="monornet to datanet smtp r
dst-address=213.46.255.2 dst-port=25 protocol=tcp to-addresses=
194.149.13.161 to-ports=25
add action=dst-nat chain=dstnat comment="monornet to datanet smtp r
dst-address=213.46.255.2 dst-port=25 protocol=tcp to-addresses=
194.149.13.163 to-ports=25
add action=masquerade chain=srcnat comment="masquerade hotspot netw
disabled=yes src-address=192.168.20.0/24
add action=masquerade chain=srcnat comment="masquerade hotspot netw
disabled=yes src-address=89.135.50.64/26
add action=masquerade chain=srcnat comment="masquerade hotspot netw
disabled=yes src-address=89.135.50.64/26
/ip firewall service-port
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes -
Lezl
tag
Mindössze az kéne nekem hogy mondjuk a 192.168.190.31 és 192.168.190.32-es ip című gép tudjon egymással kommunikálni
-
brickm
őstag
Sziasztok!
Ujabb fennakadásba ütköztem.
OpenVPN szervert indítottam a mikrotik RB-on.
Tökéletes az eredmény amennyiben a telefonomról(=android7.0) csatlakozok, akár másik wifi, akár mobilnetről.
Viszont a notebookom nem hajlandó csatlakozni.
Open VPN kliens fentvan, ugyan azokat a crt-ket másoltam be neki amit a telefonnak, ugyan az a *.ovpn fájl, ami a telefonon. Mi lehet a baja?A hibaüzenet a következő:
Wed Nov 01 15:19:21 2017 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Wed Nov 01 15:19:21 2017 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Nov 01 15:19:21 2017 MANAGEMENT: >STATE:1509545961,RESOLVE,,,,,,
Wed Nov 01 15:19:21 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]IP:PORT
Wed Nov 01 15:19:21 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Nov 01 15:19:21 2017 Attempting to establish TCP connection with [AF_INET]IP:PORT [nonblock]
Wed Nov 01 15:19:21 2017 MANAGEMENT: >STATE:1509545961,TCP_CONNECT,,,,,,
Wed Nov 01 15:19:22 2017 TCP connection established with [AF_INET]IP:PORT
Wed Nov 01 15:19:22 2017 TCP_CLIENT link local: (not bound)
Wed Nov 01 15:19:22 2017 TCP_CLIENT link remote: [AF_INET]IP:PORT
Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,WAIT,,,,,,
Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,AUTH,,,,,,
Wed Nov 01 15:19:22 2017 TLS: Initial packet from [AF_INET]IP:PORT, sid=4b8ef1ab ee265ca9
Wed Nov 01 15:19:22 2017 OpenSSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
Wed Nov 01 15:19:22 2017 TLS_ERROR: BIO read tls_read_plaintext error
Wed Nov 01 15:19:22 2017 TLS Error: TLS object -> incoming plaintext read error
Wed Nov 01 15:19:22 2017 TLS Error: TLS handshake failed
Wed Nov 01 15:19:22 2017 Fatal TLS error (check_tls_errors_co), restarting
Wed Nov 01 15:19:22 2017 SIGUSR1[soft,tls-error] received, process restarting
Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,RECONNECTING,tls-error,,,,,
Wed Nov 01 15:19:22 2017 Restart pause, 5 second(s)[ Szerkesztve ]
-
brickm
őstag
Ugyan ez a gép, ugyan ezekkel a fájlokkal linux alól felcsatlakozik, majd 5mp múlva automatikusan le. A telefon mindvégig fentmarad mig én le nem választom, vagy szerver(=tehát én)
Wed Nov 1 15:46:12 2017 VERIFY OK: depth=1, C=HU, ST=HB, L=Debrecen, O=Home, OU=MyOrganizationalUnit, CN=Home CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Nov 1 15:46:12 2017 VERIFY OK: depth=0, C=HU, ST=HB, L=Debrecen, O=Home, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Nov 1 15:46:12 2017 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 1 15:46:12 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 1 15:46:12 2017 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 1 15:46:12 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 1 15:46:12 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 AES256-GCM-SHA384, 2048 bit RSA
Wed Nov 1 15:46:12 2017 [server] Peer Connection Initiated with [AF_INET]IP
Wed Nov 1 15:46:15 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:20 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:25 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:25 2017 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.0.1,ping 20,ping-restart 60,topology subnet,route-gateway 192.168.90.1,ifconfig 192.168.90.7 255.255.255.0'
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: timers and/or timeouts modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: --ifconfig/up options modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: route-related options modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Nov 1 15:46:25 2017 ROUTE: default_gateway=UNDEF
Wed Nov 1 15:46:25 2017 ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Wed Nov 1 15:46:25 2017 Exiting due to fatal error -
bacus
őstag
Na még azt mondd meg, hogy mit jelent, hogy "elérjék egymást" vagy "tudjanak kommunikálni".
Ezek windowsos gépek és fájlmegosztást szeretnél? Vagy mire kell gondolni?
itt van ez a két ugrás:
add action=jump chain=forward comment="jumps to new chains" jump-target=tcp \
protocol=tcp
add action=jump chain=forward comment="jumps to new chains" jump-target=udp \
protocol=udpnos ezek elé kell neked két szabály (nyilván gep1ip és gep2ip címét írd be helyesen)
add action=accept chain=forward dst-address=gep2ip src-address=gep1ip
add action=accept chain=forward dst-address=gep1ip src-address=gep2ippersze ezzel minden forgalmat engedélyezel a két gép között
[ Szerkesztve ]
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
kajla_
csendes tag
Sziasztok!
Tudja valaki, hogy egy MikroTik RB750GL milyen sebességet tud WAN-LAN irányban PPPoE-vel?
-
MasterMark
titán
Üdv,
Lenne pár kérdésem:
-1 Gbps-es nethez milyen milyen router kellene? (PPPoE NAT-olással. WAN-LAN irányba.) RB750GL elég lenne?
-Tudnak-e a Mikrotik routerek DHCP-n egy MAC címhez több IP címet osztani?
-Tudok-e WINS szevert is kiosztani DHCP-vel?
-VPN-hez milyen lehetőségek vannak?Előre is köszi.
[ Szerkesztve ]
Switch Tax
-
MasterMark
titán
válasz MasterMark #4039 üzenetére
Ja igen, még valami:
- no-ip-re tud WAN IP-t frissíteni?Switch Tax
-
brickm
őstag
-
bacus
őstag
válasz MasterMark #4039 üzenetére
nagyon nem
nem hiszem, hogy maga a dhcp ezt megengedi
igen
majdnem minden félét ismer, pptp, sstp, l2tp, openvpn (ezt csak tcp-n)
no-ip: azt tudja amilyen scriptet megírsz, vagy találsz. DNSoMatic script biztosan van, az elég sok mindent ismer, többek között a no-ip -t is, itt egyszerre tudsz frissíteni több címet is.Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
MasterMark
titán
Köszi a válaszokat. Milyen routert lenne érdemes nézni akkor? Switch van külön, elég ha 1-1 port között tudja a sebességet.
DHCP-hez, itt azt írja:
When the RRAS server starts with the Use DHCP to assign remote TCP/IP addresses option, it instructs the DHCP client on the RRAS server to obtain 10 IP addresses from its configured DHCP server.
Mostani TP-link log-jában látom a request-eket, de ugyanazt az IP-t adja oda neki.
Switch Tax
-
bacus
őstag
válasz MasterMark #4043 üzenetére
Igen, de ennek semmi köze a normál DHCP-hez. Az RRAS szerver induláskor lefoglal 10 IP címet, hogy majd a DIAL UP klienseknek ő oda tudja adni.
Az én magánvéleményem: (és szigorúan kisvállalati x<30)
- ha nem muszáj, nem kényszer, akkor nem használok windows szervert.
- ha már muszáj windows szervert használni, akkor sem használom a DHCP -t windowson.
- azért használok mikrotik routert, mert a vpn is sokkal egyszerübb a telephely-telephely és a telephely-kliensek között is.Tehát RRAS = windows szerver + dhcp szerver + vpn (vagy egyéb dial-up)
/RRAS = Routing and Remote Access Service/
[ Szerkesztve ]
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
MasterMark
titán
Mivel a mostani TP-link nem tud VPN-t, ezért egy Windows Server-ről van megoldva a dolog.
A linkelt cikkben azt írja, hogy konfigurált DHCP szervertől kéri le a kliens előre azt a 10 címet.
Ez amúgy a DHCP Relay Agent-hez kellene. A VPN-hez.DHCP szerver egyébként nem a Windows Server-en, hanem a TP-link-en megy.
szerk.: Ez csak otthoni szerver experimental célokra csak. No para.
Ha a router tudna értelmes VPN-t, akkor ezzel nem lenne gond egyrészt ezt is szeretném kiváltani, azért nézelődtem Mikrotik-nál.
[ Szerkesztve ]
Switch Tax
-
bacus
őstag
válasz MasterMark #4045 üzenetére
Itt a hiba! Ms mindig okosabb akar lenni, mint a sok ezer felhasználója, el se tudja képzelni, hogy windows szervert használ valaki, de nem az a dhcp szerver. Ergo, amikor ő azt mondja, hogy lekér 10 ip címet a dhcp szervertől akkor ezen csak a saját dhcp szerverét értheti.
Utoljára 2003-as r2 windows szerveren csináltam ilyet, ott ezt a 10-t tényleg jó előre lefoglalta, de azért állítani lehetett, hogy 10 legyen v. kevesebb, vagy melyik 10, mert azt amit így lefoglalt, azt ki is kellett zárni még (ha emlékeim nem csalnak) a dinamikusan kiosztott ip címek közül. (lehet automatikusan megcsinálta, mert olyan intelligens volt ) Ms egyébként mindig is tojt a teljes szabvány leírásokra, nem véletlen sokszor az inkompatibilitás.
Mikrotikéknál nem így megy a dolog, ha létrehozol egy pool-t, onnan kaphatnak ip-t a vpn kliensek. De itt egy rendes routeren vagy, nem vagy kötve egy alhálózathoz, lehet több pool, több alhálózat, stb. A vpn klienseknek nem kell feltétlenül ugyanabba az alhálózatba lenni, stb. , egy név/jelszó párral többször is lehet csatlakozni, ha olyan a beállítás és mindig új ip-t kap, stb.
Hogy milyen router kell otthonra, azt nem tudom, de én mostanában mindenhova a 3011-t veszem (ahol elég a pénz), sok memória, gyors, stb, viszont nincs benne a wifi, azt külön kell megoldani.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
MasterMark
titán
Na igen, most olvasom ezt is, hogy:
The Windows DHCP service provides a predefined user class named Default Routing and Remote Access Class for assigning options that are provided only to RRAS clients.
Vagyis valószínűleg tényleg csak Windows-os DHCP-vel menne ez.
Wifi is, Switch külön van megoldva, csak router kellene.
Ennél a 3011-nél egyszerűbb, olcsóbb is megtenné szerintem.Switch Tax
-
bacus
őstag
válasz MasterMark #4047 üzenetére
Olcsóbb van, de egyszerűbb? Mindegyiken a RouterOS fut, nem bonyolultabb egyik sem a másiknál.
Még egy típus van, ami talán -erre nincs tapasztalatom- átviszi a gigabitet talán és olcsóbb a 3011nél:
MikroTik hEX RB750Gr3, kb harmad annyiba kerül.De nekem most több dolgom nincs, hogy kipróbáljam:
-hex gr3, na jó ez nem lenne akkora probléma
-gigabites net, tudnék csinálni saját pppoe szervert, hogy leteszteljem
-szabad idő és kedv, ez az ami miatt hamvába hal az ötletKössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
válasz MasterMark #4045 üzenetére
tévedés, nem dhcp szerverből kéri az ip címet, hanem dhcp szerver segítségével.
ha elolvasod az ms kottát, ott leírja, hogy dhcp-n keresztül kér a rras szerver kliens oldalára 10 ip címet, vagyis nem a dhcp kliens oldalára kéri a 10 címet, hanem a rras oldalra.
ez így teljesen jól van. viszont te nem ezt kérdezed.
egy mac-hez csak akkor fog a dhcp különböző ip címeket hozzárendelni, ha más-más broadcast tartományból jön, de akkor is csak egyet.
a mikrotikekben a vpn szerverek osztanak maguktól ip címet, ha úgy állítod be. vagy adhatsz ip címet radiuson keresztül.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Új hozzászólás Aktív témák
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Linux kezdőknek
- Ford topik
- Call of Duty: Modern Warfare III (2023)
- NVIDIA GeForce RTX 3080 / 3090 / Ti (GA102)
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- A fociról könnyedén, egy baráti társaságban
- Szünetmentes tápegységek (UPS)
- Magisk
- Vicces képek
- További aktív témák...
- Apple iPhone 13 Midnight 256GB iSTYLE 2025.03.26. GARANCIA
- LG UltraWide 38WN95C-W Monitor 1 év Garancia
- iMac 2017 27" Retina 5K CTO / i7 4.2 GHz / 40 GB DDR4 / 1 TB SSD + doboz
- iMac 2017 27" Retina 5K CTO / i5 3.8 GHz / 40 GB DDR4 / 1 TB SSD / Radeon Pro 580 8 GB + doboz
- iMac 2017 27" Retina 5K CTO / i7 4.2 GHz / 40 GB DDR4 / 500 GB SSD / Radeon Pro 575 4 GB + doboz