-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Üdv!
A tegnapi nappal én is becsatlakoztam a mikrotik felhasználók táborába. Egy mikrotik hap ac2 lett a befutó és alapvetően otthoni telekomos gigabites neten lenne routernek használva.
Egyelőre az alapokat szerettem volna konfigurálni, egy 5 és 2.4 GHz-es wifit, illetve a lan portokat, hogy amit a router kap pppoe-n, azt ossza tovább egy normál otthoni NAT-os felállásban. Default configgal pikk-pakk ment, de szeretném bekonfigolni magamnak az alapoktól a routert. Egyelőre nem parancsokkal, csak a webuin/winboxon. Lereseteltem a default konfig beállítása nélkül, majd elkezdtem beállítani lépésről lépésre. Először kapott egy pppoe-interfészt, majd csináltam két wlant, egy bridge alá beraktam az összes lan és wlan interfészt, majd konfiguráltam egy DHCP szervert, beállítottam a DNS-t és egy NAT masqueradet is csináltam. Ezt követően sem akar sajnos a klienseknek dhcp ip-t osztani a router, wifin pl az android kliensek kiírják, hogy obtaining IP address, aztán feladják a kapcsolódást.
Van esetleg valami checklist, hogy pontosan mit kéne beállítani? Arra gondoltam, hogy lehet egy route hiányzik a router címére, illetve a gateway konfiguráció (amit webuin nem találtam meg). Alapvetően szerintem elboldogulnék, csak azt nem tudom mi hiányzik még.
Illetve mi kell ahhoz, hogy legyen egy Valami nevű ssid-m, ami 2.4 GHz-en és 5 GHz-en is elérhető legyen egyszerre és fallbackeljen az összes kliens a 2.4 GHz-re, ha az 5 GHz nem elérhető/támogatott?
És még valami. Wireguard támogatásról mindenhol olvasok a neten, de a gui-n sehol nem találom. Kellene hozzá valami csomag?
Köszi!
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz Beniii06 #14057 üzenetére
Köszi a linket. Átnézem.
Nyilván a bridgebe beraktam az összes interfészt, elnézést, hogy kihagytam a felsorolásból. Ip pool és ip route megvan, mégis hiányzik valami.
A tűzfalra nem gondoltam még, furcsa is volt a sok unsuccessful admin login. De akkor beállítom.
Az épített router megvan a mai napig, ez másik lakásba kell, másodlagos otthon címszóval. Sőt, ha sikerül belőni, megy majd ki Ausztriába.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz Ejelhar #14066 üzenetére
Rendben, remek ötlet! Azóta lehúztam róla mindent és felraktam a defconfigot, de pár nap múlva megy majd az éles helyére, akkor felkonfigolom megint, aztán majd küldök export kimenetet.
Winboxot is használok, pláne ha nem is menne az elérés máshogy, mert ip címen nem is nagyon érhető el a router, csak mac alapján... Egyébként nekem nagyon hasonlónak tűnt a két gui. Azt hittem nagyjából egyezik funkcionalításban. Mi az, ami más?
Illetve a wireguardos kérdésemre tudna valaki válaszolni? Lehetséges egyáltalán?
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz Mr Dini #14067 üzenetére
Sikerült végül DHCP-n IP-t kapni. Valóban az addresses rész nem volt rendesen beállítva. Nem adtam prefixet a networknek.
Most a duckdns-sel küzdök (DDNS, mert dinamikus IP-m van otthon). Adnak egy szkriptet az oldalukon mikrotikhez, de nem akar működni. Próbáltam SSH alatt futtatni egy parancsot, ami talán problémás lehet benne:
[admin@MikroTik] > /ip address get [find where interface=wan1 disabled=no] value-name=address
[admin@MikroTik] >
Ez miért üres? A wan1 (gyakorlatilag az ether1 átnevezve) dhcp-n kap IP-t és az Addresses menü alatt rendesen látom is az IP-t, amit kap. Mindenhol azt olvastam, hogy ennek működnie kellene.
Egyébként már a belseje üres:
[admin@MikroTik] > /ip address find where interface=wan1 disabled=no
[admin@MikroTik] >
[ Szerkesztve ]
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz Beniii06 #14093 üzenetére
Láttam, hogy van beépített, viszont mindenképp maradnék a szkriptnél, mert kb 40 szerverbe van beégetve már a duckdns-es cím. Illetve jó lenne rájönni, miért nem működik a parancs.
A wan1 kapcsán pedig nyilván azt kell megadni. Csupán azért írtam le, hogy tisztázzam, nálam a WAN interfész wan1 névre hallgat, átneveztem az alap ether1-et, ezért írtam bele a parancsba is ezt. Gondoltam, mivel nem standard, lehet kavarodást okozhat.
[ Szerkesztve ]
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz adika4444 #14098 üzenetére
Köszönöm a részletes választ!
Közben felhívták a figyelmem, hogy a :put szükséges a kiíráshoz, így már látom, hogy a szkript nem az IP lekérésen hasalt el, hanem nem tudja valamiért létrehozni az ipinfo.txt-t. Létrehoztam így:
/file print file=ipstore.txt; /file set [find name="ipstore.txt"] contents=""
Most minden tökéletes.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
Megint én a tonnányi kezdő kérdésemmel, elnézést!
Router: hAP AC2
RouterOS verzió: v6.48.31. Azt vettem észre, hogy a kis mikrotik, bár tökéletesen megy minden, erősen villogtatja a rá kötött eszközök hálózati aktivítását jelző indikátorait. Csak hogy egy példát említsek, a net az ether1 portba érkezik egy UPC-s connectboxból, ami bridge módban van. Ezen van a szokásos indikátor led közvetlenül a csatlakozónál, ami elég hevesen is tud villogni, ha sok a forgalom, de alap esetben csak világít. Ha egy másik routert kötök rá és bekonfigolom, néha villan egyet, de amúgy stabilan világít. Mikrotikkel folyamatosan nagyon hevesen villog, még akkor is, ha alig van hálózati forgalom, vagy a mikrotik GUI azt mutatja, hogy épp konkrétan semmi nem megy ki az ether1 felé. A kliensekkel is ezt csinálja, bár ott nem folyamatosan, ritmikusan, hanem egy kicsit lassabban, nem ritmikusan, de túl szaporán. Nehezen tudom elképzelni, hogy ennyi forgalom lenne. Jelenleg 6 darab eszköz van a hálózatra csatlakoztatva, szóval még a broadcast message floodra se nagyon tudok gondolni. Még nem néztem rá wiresharkkal, hogy mi történik, de szintén a mikrotik guit nézve, 0 kbit/s "forgalom" megy az adott kliens felé. Ez mennyire normális?
2. Szerettem volna titkosított DNS-t, hogy ne lásson bele az ISP a forgalomba, de szomorúan tapasztaltam, hogy a router nem támogatja a dns over tls-t. Így maradtam a DoH-nál. Eredetileg a Cloudflare DoH-ját lőttem be, ami tökéletesen működik. Viszont a Cloudflarenek így is túl sok adatom küldöm el, szerettem volna egy másik kevésbé adathörcsög cégbe fektetni a bizalmam. A mullvad DoH-ját szerettem volna beüzemelni, akik unboundot használnak a szerverre, de az semmiképp nem működött, pedig curllal simán ment. Végül maradtam a quad9-nél, ami viszont rengeteg errort rak a logba, tucat ssl timeouttal, meg hasonlók. Állítólag nem egyedi a probléma és csak mikrotik alatt jelentkezik. Egyelőre így visszaváltottam cloudflare-re. Van valami más publikus doh resolver, ami jól megy mikrotik alatt?
3. Van egy DLNA szerverem egy Hetzner dedikált szerveren, az OS Fedora. Szeretném ezt bedrótozni az otthoni hálózatba, hogy a kliensek lássák itthon, mint helyi DLNA szerver. A DLNA-hoz elméletileg L2 tunneling kellene, így ahogy néztem az ipsec és az eoip, illetve az ipsec és l2tp jöhet szóba. Előbbi tudtommal csak mikrotikek közt megy, linux és mikrotik között nem, így talán marad az utóbbi, l2tp-s megoldás? Vagy van valami más is esetleg?
4. Kell valami extra ahhoz, hogy menjen a DLNA a helyi hálón? Feltételezem simán működhet a dolog, de van egy elérhető multicast csomag, ami elbizonytalanított. Szükségem van rá?
5. Kis terhelés alatt is egészen forró a kicsike. Tudok/Kell-e ezzel valamit kezdeni?
Köszi!
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz adika4444 #14103 üzenetére
1. Köszi, a sniffer nem rossz ötlet. Nem is tudtam hogy lehet ilyet. Remélhetőleg a wan interfészen is menni fog értelmes sebességgel.
2. Ja, mehetne a dns szerver a hetznerre is, viszont akkor sem lesz titkosítva a forgalom a hetzner és köztem, hacsak nem használok arra is vpn-t. Pihole-n gondolkozom, lehet majd rendelek egy pi zerot.
3. Köszi. Nem tudtam, hogy ovpn jó lehet, azt hittem az csak userspace, illetve max L3-ig megy max.
4+5. Remek hír!Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz adika4444 #14103 üzenetére
Illetve az kimaradt, hogy természetesen tűzfallal tiltok mindent, alapból el van dobva minden, ami nem vpn/icmp egy megadott forrásból, vagy már létrehozott kapcsolat. Nmappal hetznerről nézve egyetlen portot sem lát nyitva.
A routeren meg ssh-n kívül más nincs. Az is non standard portra van irányïtva és fail2ban van rajta.
Csak a belső kliensek tudnak kapcsolatokat kezdeményezni amïg dstnat alatt vannak bárhova.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
Üdv!
Jól látom, hogy az lte interfészeket nem lehet bridgebe rakni? Gondoltam simán berakom a lan bridgem alá, hogy kapjon IP-t a lan ip poolból, de nem is jelenik meg a listában, mint lehetőség winboxban. Úgyhogy kénytelen voltam neki saját címet/tartományt adni.
Illetve azt vettem észre, hogy a mikrotik DNS szervere nem elérhető az így létrehozott address poolban. Pedig a tűzfal nem fogja vissza. Mintha be lenne bindolva a lan IP poolra és nem is engedne más klienseket csatlakozni, akiknek más IP címe van. Ezzel lehet valamit kezdeni? Minden mást elérek, webfiget is pl, csak a DNS-t nem.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
Pár hete van meg csupán a mikrotik hap ac2, ami azóta a teljes otthoni hálózatomat üzemelteti, de a mai napig nem bírom elhinni, hogy a komplett router alig volt 20k és ilyen sokat tud. Ehhez képest az Asus, meg az összes soho router nagyon durván túl van árazva és azok nem is tudják a gigabitet szoftveresen, csak nagyon gány, zárt forráskódú "hwnat" modulokkal, amik gyakorlatilag switchet csinálnak a routerből, cserébe le lehet mondani a tűzfalról, QoS-ről stb.
És akkor itt a mikrotik egy árához képest hihetetlen 4 magos ARMv7 procival, dual band támogatással, a teljes értékű routeros-szal. Nem igazán értem hol van nekik hasznuk ebben.
Olvastam pár fórumon, hogy nem igazán a home usereket célozzák meg a mikrotikkel, nem sokan veszik, ezért maradhat ilyen olcsó. De akkor meg minek fektetnek egyáltalán effortot abba, hogy consumer routereket csináljanak? What's the catch?
Illetve nézegettem, hogy gigabites hálózati forgalom mellett is alig van 1-3%-on a CPU. Ekkor tűnt fel, hogy az interfészek legtöbbjéhez fastpath-t használ a routeros, ami a wiki szerint annyit jelent, hogy ilyenkor nem éri el a linux kernelt a csomag, emiatt sokkal gyorsabb. Gyakorlatilag az Asus hwnatjára emlékeztet engem. De akkor mégis hogy oldják meg, hogy a tűzfal, a packet counter, a QoS meg stb működjön akkor is, ha a fastpath aktív? Vagy a tűzfal és minden ilyenkor bele van gyúrva magába a modulba?
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz Apollyon #14162 üzenetére
Én sokéves Asus routerzésről tértem át Mikrotikre most, eddig csak az volt itthon, mert a kollégák kapásból azt ajánlották az igényeimre a milyen routert vegyek topikban. A vicc az, hogy a korábbi routeremért többet adtam ki, mint ezért a kis mikrotikért és az tele volt az asuswrt kompromisszumaival, illetve nem tudott pl 5 GHz-et. Tomatoval egész használható volt, de a két különböző asus routerem pontosan ugyanazzal a hibával rukkolt elő, pár nap uptime után a wifi kliensek nem kaptak netet (csatlakozni tudtak, IP-t kaptak, de DNS meg semmi nem ment). Illetve az volt borzalmas, hogy megállt a vas a kezdetileg kiadott 3.x kernelen és akkor légy boldog vele. Ha openwrt-t szeretnél rá friss kernellel, akkor el kell felejtened a zárt forrású hwnatjukat (tehát kb a gigabitet), a wifi támogatást, meg stb. Nehezemre esett elhinni, hogy a ténylegesen openwrt-vel jövő gigabites routerekből kb csak egy széria van, a Linksys routerek, és azok is 40k-nál kezdődnek.
Ezt a hap ac^2-t havernál láttam először, aki mesélte, hogy simán elviszi a digis gigabitet. Rákerestem és elég sok fenntartással úgy döntöttem megveszem, kipróbálom, aztán max ha nem tetszik, visszaviszem a 14 napon belül, vagy megtartom játszós eszköznek. Féltem, hogy valószínűleg eléggé idegen lesz megtanulni a GUI-t, meg a CLI-t, mivel eléggé eltért a routeros az iproute2-től és társaitól. Pláne, hogy nem mondanám magam egyáltalán hozzáértőnek, ha hálózatokról van szó. De ennek az ára is durván olcsó volt egy ilyen hardverért.
Megjött és pár óra alatt sikerült is beüzemelni és tényleg beton stabil. Csak hozzá kellett szokni a felülethez.
Viszont jó, hogy felhoztad az openwrt témát. Láttam, hogy nemrég kapott openwrt támogatást a hap ac2, gondolkozom, hogy felrakom, mivel pár funkciót hiányolok a routerosból és sajnálatos módon nem igazán van lehetőség pl saját binárisokat futtatni (főként egy routeren futó adblock dns érdekelne, meg wireguard egy stabil rendszeren). Elvileg minden fontos komponens működik és stabil + kapott sw és hwnat támogatást is. Valaki esetleg próbálkozott már vele innen? Mennyire esik vissza a wifi teljesítmény, ha egyáltalán visszaesik? Meg kell-e nyitni a házat a flashingre? Vagy elég csak a netbootos megoldás egy DHCP-vel, meg TFTP-vel?
Illetve az is egy jó kompromisszum lenne, ha tudnám rootolni a routerost. Találtam egy defconfot kihasználó exploitot, ami elméletileg kis hackeléssel permamenssé tehető. Itt is az lenne a kérdésem, hogy próbálta-e már valaki? Érdemes-e egyáltalán RouterOS v6.48.3-on próbálkozni, vagy ott már bepatchelték?
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz ekkold #14169 üzenetére
Elvileg a bootloader nem lesz piszkálva, így netinstallal vissza lehet térni bármikor routerosra, amíg megvan a licenc mentés és a flash chip ugyanaz.
Egyébkén miért kellene route-olni a rendszert, mit várnál ha sikerülne? Pl. tudsz fordítani linuxos cuccokat erre a procira?
Igen, azért rootolnám, hogy utána futtathassak saját binárisokat. Feltételezem, hogy simán ARMv7-re fordított binárisokkal futni fog a dolog. Max mindent statikusan kell linkelni, a libc-t is. Vagy egy saját chrootot alakítanék ki a dolgoknak, amit hiányolok a rendszerből akár egy külső HDD-n.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
Nekem egy pi zero és egy pendrive van rákötve. A pi zero átlagban 80 mA-t használ, peak időben 120 mA-t, a pendrive meg 105 mA-t tol maximum, ha éppen adatot mozgatok róla kb. Papíron el kell, hogy bírja, de jobbnak láttam aktív hubba dugni mindent. Hosszútávon biztosan nem aggatnék rá csak úgy egynél több fogyasztót.
Ha mindenképp passzívban gondolkozol, mérd le.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
Van egy hap ac2-m itthon. Szeretném kipróbálni a béta hetes firmwaret, mert sokak szerint már használhatóan stabil ezen a típuson. Viszont szeretném valahogy meghagyni a lehetőséget a downgradere. A legjobb lenne, ha egy usb stickre tudnám kiírni a béta verziót, majd azt bootolni. A mikrotik boot sorrendnél láttam egy first flash then nand-hoz hasonló opciót. Gondolom itt nem az usb flash drivera gondol. Így az USB kiesik?
Ha frissítek, utána lehet downgradelni vissza hatos fw-re? A bootloader is a régi lesz újra? Van valami hátulütője a műveletnek?
Köszi!
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
-
Én is kerestem rá utalást, nem nagyon találtam a felületen. Van pár rootolási metódus publikálva itt: [link] De én még nem próbáltam. Meg lehet dumpolni a flash-t a board megbontásával.
Amúgy a fórumon is időről időre feljön a kérdés, hogy akkor most hanyas linux kernelre épül az aktuális routeros, ott is mindig le szokták írni.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz E.Kaufmann #14600 üzenetére
Én is csak annyit állítottam, hogy linux kernel alapú a rendszer. Tudtommal ezzel az alappal már technikailag lehetséges a docker containerek futtatása mindenféle virtualizált linux megoldások nélkül.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
Sziasztok!
Adott egy mezei home network, amit egy Mikrotik hAP ac2 hajt. A netet közvetlenül DHCP-n kapja a szolgáltatótól a router és saját publikus IPv4 címet kap. IPv6 (sajnos) nincs.
A routeren fut egy openvpn szerver, amit használni szoktam a hálózatom távoli eléréséhez. Azonban van a tűzfalon egy olyan szabály, hogy inputon mindent dobjon el, ami nem a VPN port forgalma, illetve nem a LAN bridgere vonatkozik. Emiatt VPN alól magát a routert nem tudom elérni.
Eddig azt csináltam, hogy beSSH-ztam egy LAN-os gépre és azon keresztül konfigoltam a routert SSH tunnellel. De ez nem a legkényelmesebb. Most csináltam egy szabályt, hogy az input chainen, ha az src ip 10.8.0.0/24 alá esik, akkor engedje a routerhez hozzáférést. Azonban félek, hogy így a magentás hálóról spoofolt IP-vel valahogyan be tudnának jutni a router login felületére. Nem tudom ez mennyire reális veszély?
A legjobb az lenne, ha azt tudnám mondani, hogy berakom a vpn interfészt is a LAN alá, vagy nem src ip, hanem interface alapján csinálom az input kivételt, de a VPN interfacek nem permanensek Mikrotik alatt, így nem lehet bridgebe/vlanba rakni.
Mit tudok tenni?
A cél az lenne, hogy VPN-ről biztonságosan el tudjam érni a mikrotikem felületét, de lehetőleg más úton semmiképpen sem.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz ekkold #14665 üzenetére
Igen, tisztában vagyok azzal, hogy a blocking tűzfal szabályom miatt nem tudja elérni a VPN interface a routert.
Ezért gondoltam azt, hogy akkor létrehozok egy szabályt, hogy ami az openvpn1 interfészről jövő input traffic a router dst ipjére, azt engedem. Viszont sajnos a VPN interface nem jelent meg a tűzfal szabályom alatt, mint lehetőség, ezért maradt az, hogy interfész helyett source ip-re szűröm a szabályt, nyilván a VPN IP-kre. Lehetne az, hogy statikus IP-t osztok a VPN-en belül és csak arra engedem a router elérést.
Azonban elgondolkoztam, hogy a Magenta oldaláról nem teljesen lennék védve ezzel a megoldással. Sajnos az ISP-m nem igazán a hozzáértéséről híres, pl simán lehet ARP-ot mérgezni és a cmts továbbítja. Félek, hogy bár elég valószínűtlen, valahogy valaki mégis talál egy módot, hogy a magenta oldalról felvegye azt a src IP-t, amit az én VPN-em is kioszt jobb esetben és így elkezdheti brute forcolni a routeremet. Ezt szeretném elkerülni az interfész alapú szűréssel, de ahogy néztem ez nem lehetséges. Szóval alternatív megoldásokat keresek lehetőleg harmadik eszköz bevonása nélkül közvetlenül a routeren megvalósítva.
Wan interfacen ARP letiltása sajnos nem játszik, mivel akkor a gateway-t se tudná megtalálni a router.
A port knockingot meg overkillnek érzem otthonra. Igazából magát a VPN-t elég erős jelszó/key kombináció védi, max annak a veszélye áll fent, hogy brute forcolnak, vagy valami exploit alapján jutnak be. De hirtelen azt sem tudom, csak mikrotikkel hogyan tudnék port knockingot konfigurálni.
[ Szerkesztve ]
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz Mr Dini #14666 üzenetére
Csak kellett egy séta, hogy rájöjjek, mivel nincs ipv6-om, lehetne egy gány megoldás a VPN-en keresztül IPv6-on elérni a routert. Mivel wan oldalról nincs ipv6-os hálózatra csatolva a router, így elméletileg lehetetlen, hogy így hozzáférjenek.
Aztán rájöttem, hogy van tagadás operátor is az interface list opciónál. Magyarul annyit mondok, hogy !wan1 és megfordítom a feltételt. Így max belső hálóról mehetne a trükközés, wanról nem.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
-
Sziasztok!
Egy ismerősöm gondolkozik router vásárlásban és a mikrotik felé kacsintgatna. Ez lenne a kiszemelt darab, de ez még egyáltalán nem biztos: [link]
Felmerült benne a kérdés a vásárlás előtt, hogy a wireguard sebessége milyen lenne, ezért keresett meg engem, azonban ezzel kapcsolatban nekem sincs tapasztalatom, mert még nem frissítettem a bétára.Érdekelne pár tapasztalat akár egy gyengébb/erősebb eszközről is, mint a linkelt darab, hogy milyen lenne a teljesítménye.
Illetve azon gondolkoztam, hogy bár neki nem lenne szempont a wifi, megpróbálom rábeszélni egy hap ac2/ac3-ra, mert annak talán alkalmasabb a processzora is a VPN-re jobban. Nem tudom, érdemes lenne-e ebbe az irányba terelni?
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz adika4444 #14878 üzenetére
Üdv!
Köszi a kielégítő választ! Nem lenne szempont az SFP, így rá is beszéltem, az ac2 felé nézelődik most.
Köszi a tesztelést, az elég lesz bőven. Gondolom még a wireguard nem támogatja a hw offloadot, talán ha esetleg lesz majd az is a jövőben, simán vinni fogja a gigát...
Az igényeken már végigmentünk, elég alap dolgokra kellene csak. Szerintem menni fog.
@jerry311
Teljesen jogos, a korábbi hszeket pedig átfutottam, de nem maradt meg bennem, hogy konkrét értékek is említve lettek volna.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
Üdv!
Egy elég kezdő kérdésem lenne, de nem sikerül rájönni, mi a gond. Telekomos optikán üzemeltem be átmenetileg egy hap ac2-t, amin 7.1.1-es routeros fut. Az ac2 közvetlenül a pppoe passthrough módba rakott szolgáltatói ONT-ra csatlakozik.
Van egy lan bridge, amihez a dhcp szerver az 192.168.1.0/24 poolból oszt IP-ket, illetve a pppoe-out1 interészen van egy masquerade szabály.
Mivel a szolgáltatói eszköz az 192.168.0.1-es címen rendelkezik egy minimalista webes felülettel, szeretném azt is elérhetővé tenni a bridge hálózaton (lan). Ehhez létrehoztam egy új bejegyzést az addresses alatt, címnek 192.168.0.2/24-et adtam, networknek 192.168.0.0-t és interfacenek ether1-et. Ez létre is hozott egy új routeot a megfelelő ether1 intefacere és ezek után tudom pingelni a szolgáltatói eszközt közvetlenül a routerről, illetve a fetch toollal le tudom kérni a login felületet.
Ami viszont érdekes, hogy az 192.168.1.0/24 tartományból nem érem el a routert, látszólag nem is jutnak el hozzá a csomagok. A tűzfalat próbáltam teljesen letiltani a teszt erejéig, ugyanaz az eredmény.
Illetve SSH-n engedélyeztem a port forwardot, majd megpróbáltam forwardolni:
ssh -L 8080:192.168.0.1:80 admin@192.168.1.1
Belép, nem dob hibát, de a 8080-on nem érem el a router webui-t.
Van valami ötlet, hogy mit ronthattam el? Köszi! :R
Szerk.: Telefonról elérem ssh forwarddal, legalább ez egy jó jel. Már csak a belső hálózaton elérést nem értem.
[ Szerkesztve ]
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
-
Üdv!
adika4444 csodaszkriptjének hála sikerült belőni az IPv6-ot itthon rendesen és tényleg azt tapasztalom, hogy minden csodásan működik, de valóban igaz, amit mindig mondanak az MT-ről, hogy IPv6 fronton nincs hw offload és ezért marha gyenge. Nos nekem stabilan hozza a 30 MB/s-t, de soha nem megy gigabit közelébe a sebesség.
Az okát viszont nem teljesen értem, hiszen úgy tudtam, hogy ezeknek az "olcsó" home grade routereknek a NAT okoz jelentős procihasználatot, sokan nem is tudják szoftverből megoldani, ezért használ a legtöbb gyártó mindenféle zárt modult hwnat címszó alatt és így hozza ki a gigabitet a router. Ezt a Mikrotik is tudja fasttrack címszóval és IPv4-en remekül megy a gigabit.
Viszont v6-on nincs NAT... Még csak v6 to v4 translationra se tudok gondolni, mint lassítő tényező, mivel a routeros7-ben láttam pár v6-ot érintő funkciót, akkor csak újraírták volna, ha olyan régi a backend...
A kérdés adott. Mi korlátozza ennyire a v6-ot Mikrotik alatt? Mert valóban, ha v6-on speedtestelek, egy magot teljesen ki is pörget.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz ekkold #16035 üzenetére
Ha szükséges, akkor valóban lehetséges, de alapesetben nincs és a setupomon sincs. Illetve végignéztem a menüben, amúgy sehol nem találtam NAT opciót az IPv6 menüben (nincs is rá szükségem). A NAT-ot csak mint okot írtam a v4 lassúsága kapcsán és arra számítottam, hogy mivel v6-on eleve nincs NAT-om, legalább ugyanolyan gyors lesz, mint a v4.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz jerry311 #16037 üzenetére
Ezzel tisztában vagyok, de pontosan mihez is kéne a hw offload ebben az esetben, vagy az, hogy ennyire pörögjön a CPU? Sehol nem láttam ezt említve a mikrotik doksiban.
Beüzemeltem korábban egy Asus routert és az röhögve vitte az ipv6-ot hw offload nélkül is, csak az ipv4 nat okozott komolyabb gondot neki sebesség tekintetében.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
Nekem Telekomon elsőre sikerült belőni és gateway is van minden eszközön, ami kezeli a discovery csomagokat. Ami meg nem, annak eleve nem lesz v6-os címe.
Nem is volt nehéz belőni egyáltalán, csak a menüpontokat keresgéltem egy ideig.
Ez alapján csináltam: [link]
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz betyarr #16059 üzenetére
Ha torrentes gép, akkor ne csodálkozz. A peerekhez valahogy kapcsolódni kell, valószínűleg ezeket az ip-ket látod. Teljesen normális jelenség hogyha torrentezel, hogy átjáróház lesz a router.
@ekkold
És valóban! Nem vettem észre.
[ Szerkesztve ]
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz Reggie0 #16184 üzenetére
Való igaz, hogy a wireguard elképesztő sebességben, de az ipsecnek is van létjogosultsága. Sajnos a wg mindenképp L3, L2 encapsulationt nem tud, míg az L2TP over IPSec vígan megoldja és van egyszerűen távoli DLNA szerverem. Mondjuk lehet megoldaná wireguardon az smcroute projekt is, de nekem nem sikerült egyelőre összehozni.
Szóval ha kell L2, arra egyelőre nem nyújt alternatívát tudtommal...
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
-
-
-
válasz ekkold #16305 üzenetére
Saját tapasztalat, mindig is így használtam. Egyetlen wg interfacem van otthonra, azon keresztül érem el mobilról, laptopról, egyéb eszközökről akár egyszerre is az otthoni hálózatot természetesen egy peer, egy eszköz alapon. Ha belegondolsz, eleve így a logikus, hiszen rengeteg VPN szolgáltatás akkor nem tudna wireguardot használni, ha minden peernek külön port kellene...
Amire tudok gondolni, hogy miért nem "működhetett" nálad, az az allowed addresses hiánya router oldalon. Amikor létrehozod a peert, akkor egy peer esetén talán nem szükséges kitölteni az allowed addresses mezőt, de ha több peered van, mindenképpen ki kell, különben nem tudja a router, hogy hova küldje a csomagokat. Pl:
Columns: INTERFACE, PUBLIC-KEY, ENDPOINT-PORT, ALLOWED-ADDRESS
# INTERFACE PUBLIC-KEY ENDPOINT-PORT ALLOWED-ADDRESS
0 wireguard1 hack<redacted> 0 192.168.98.2/32
1 wireguard1 Coal<redacted> 0 192.168.98.3/32
Nekem így remekül működik.
Más: Ezt már régóta be szerettem volna dobni, hátha másnak is segíthet. Én is belefutottam a memleakes bugba ROS7-re frissítés során. Illetve voltak érdekességek, hogy a router az összes talált DHCP szerverről berakta a gateway-t default routenak, hiába volt kigyomlálva az add default routes opció meg stb. Produkált jó pár érdekességet a rendszer. Végül @adika4444 hívta fel a figyelmem, amit innen is nagyon köszönök, hogy nem elég csak a packages fülön frissíteni az OS-t: [kép] Hanem figyelni kell arra, hogy a firmware is friss legyen a System->RouterBOARD menüben: [kép]
Hogyha a második képen nem 7.x szerepel a current firmware alatt, hanem 6.x, akkor mindenképpen érdemes az upgrade gombbal frissíteni a firmwaret is. Nekem így megszűnt a memleak probléma és kb 10 MB RAM-mal kevesebbet eszik a rendszer a 6.x-hez képest.
Persze elképzelhető, hogy más memleaket idéző probléma is létezik a rendszerben, de szerintem megéri ránézni.
[ Szerkesztve ]
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz ekkold #16422 üzenetére
A listát még kiegészíteném a számomra két legnagyobb előnnyel:
- UDP és ha jön egy olyan csomag, amit nem tud decryptelni, akkor arra egész egyszerűen nem válaszol. Egy port scannernek esélye sincs kiszúrnia, hogy neked Wireguard fut azon a bizonyos porton. Így tök nyugodtan ki tudom engedni a wg-t a nagyvilágba, mert jó eséllyel (egy nem standard porton) alig fog kapni brute forcet.
- "Stateless" modell. Nem egy adott kiépített kapcsolaton áll az egész, ami ha megszakad, mert pl dinamikus IP van otthon és az pont változik, akkor mehet az újracsatlakozás és jó eséllyel minden VPN-en létrehozott kapcsolat megszakad, hanem a wg-nek csak az számít, hogy amilyen csomagokat ő tud decryptelni, arra válaszol. Ha épp változott az IP, de közben folyamatosan küldte az változott IP-jű peer a tartalmat, akkor ő szépen folyamatosan válaszol rá. Emiatt kell minden peernek külön kulcs, mert az alapján dönt, hova routoljon, de ez egy marha nagy előny.
- Borzasztó modern a crypto háttere. Emiatt tud olyan gyors lenni egy openvpn-hez képest például.Persze a stateless modellnek van átka is, például, hogy outbound address-t nem nagyon lehet megadni, ha több IP/interface van a gépben, kénytelen az ember a routinggal szórakozni, de ez sem olyan nagy trauma szerintem.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
Ha az a szempont, hogy könnyű legyen a usereknek, úgy oldanám meg, mint a mullvad vpn. Van egy konfig generátor weboldal, az kliens oldalt generál egy privát kulcsot a peernek, a hozzá tartozó publikus kulcsot pedig elküldi a szervernek, ami szépen be tudja rakni a wireguard peerek közé. A user meg csak annyit lát, hogy kattint egyet és letöltődik a konfig, ami megy is. Igaz, hogy ehhez is kell egy saját microservice, de szerintem sokkal egyszerűbb user szemléletből, mint mondjuk egy openvpn-t összerakni...
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
Akkor ez a gondod. Vagy legyen egy peered per interface (nem javaslom), vagy add meg az IP-t minden egyes peer esetében, különben a mikrotik nem fogja tudni, hogy melyik peerhez routolja az adott ip forgalmát. Korábban leírtam ugyanezt.
Például a példádban a kliens IP-je 192.168.2.2/32, akkor a peernél is írd be ezt.
[ Szerkesztve ]
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz atiska007 #16607 üzenetére
Én nem így csinálnám, simán kiosztanám a klienseknek DHCP-n hogy a DNS szerver ip: pi IP címe. Természetesen a klienseken le kell, hogy járjon a lease time, de utána menni fog, ha rendesen blokkoltad.
Az 53-as port UDP DNS forgalmat meg un-bloc átirányítanám erre az ip címre.
[ Szerkesztve ]
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
válasz Reggie0 #16784 üzenetére
A kolléga azt állítja, hogy már a handshake sem látszódik, így én nem a routingra gyanakodnék elsősorban.
A kérdezőnek:
Általában nem szükséges új interface, bár a hozzászólásodban idézett konfigban nem látszik a site to site része a konfignak, így elképzelhető, hogy van valami speciális setup, ami miatt indokolt. Nekem pl azért van 2 interfacere leválasztva a kettő, mert szerettem volna az egyik interfacen korlátozni a LAN elérhetőségét.
A tesztelés idejére legalább javaslok egy PersistentKeepalive beállítást a mobilos oldalon, így tudod nézegetni, hogy rendben van-e a handshake bizonyos időközönként.
Amire pedig tippelni tudok, az az, hogyha handshake sincs, akkor vagy tűzfal, vagy a kulcsok rosszak. Első körben megnézném, hogy a tűzfalnál nő-e a wg countere. Ha igen, akkor hogy a kulcsok rendben vannak-e.
Ha ezek egyike se válik be, akkor kiszedném router oldalon a "persistent-keepalive=1m" settinget. Road warrior setupban én ezt a mobilra szoktam hagyni, hiszen ő kapcsolódik IP-hez, a routerben nem is adtál meg endpoint addresst, az mit keepaliveoljon? Meg állandóan tegye ezt? Elég mobil oldalon megtenni, az meg pontosan tudni fogja, hogy kinek megy a keepalive és tényleg csak akkor, amikor kezdeményezel wireguard kapcsolatot mobil oldalon. Viszont el tudom képzelni, hogy ez összezavarja a mikrotik lelkét.
[ Szerkesztve ]
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
Nem tudom hányszor fog még előjönni ez a kérdés, de leírtam többször részletesebben, hogy igen, lehet egy wireguard interfacen több peer is, csak arra kell figyelni, hogy a peereknél az allowed address precízen meg legyen adva. Pl ha 10.11.11.2/32 az IP, amit adni akarsz a mobilnak, akkor ezt ne csak a kliens konfig fájlba írd be, hanen a wg peer allowed-addresses mezőjébe is: 10.11.11.2/32. De ahogy látom, ezt már kitöltötted, szóval ha figyelsz arra, hogy minden peernél szerepeljen, akkor menni fog.
A pihole kérdésre meg... Nekem az volt a tapasztalat, hogy wg fronton még masquerade se kell, elérik egymást szépen a különböző hálózatok. Próbáld meg csak úgy elérni, esélyes, hogy menni fog. Ha nem, akkor meg a piholeos masinára lenne érdemes ránézni, hogy mire van bindolva a pihole, illetve hogy fogja-e tűzfal a forgalmat.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
Sikerült tegnap 7.1.5-re frissíteni. Eddig minden megy, ahogy kellene, viszont a statisztika (graphs) elmászott. Egy üres oldalt renderel helyette, linkek sincsenek, pedig korábban ott voltak és be van kapcsolva a logolás még mindig.
Másnak se megy?
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
-
válasz Audience #17123 üzenetére
No igen, de én itt sem látok gateway-t megadva. Gondolom az on link annyit jelent, hogy kitolja az interfészre szépen, a többit meg majd a wg intézi. Tudtommal ha pl két gépet kötök össze direktben, ott is azt szokás mondani, hogy nem lesz szükség alapértelmezett átjáróra.
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
-
-
-
-
Üdv!
Sajnos ábrát most nem tudok rajzolni, de ha szükséges, mindenképpen csinálok majd. Szeretnék egy házi szervert elhelyezni, ami egy telekomos optikára lenne kötve. Az ONT jelenleg PPPoE passthrough módban van, de van egy 192.168.0.0/24 hálózata, erre van rákötve egy hap ac2, ami intézi a PPPoE kapcsolatot, illetve van egy 192.168.1.0/24 hálója, amin az összes otthoni eszköz lóg. Tipikus egyszerű otthoni setup.
Ide jönne a szerver. Mivel a telekomtól 2 PPPoE sessiont kapok, amiből jelenleg csak egy van használatban, szívesen felhasználnám a másikat a szerverre. Legegyszerűbb az lenne, ha rákötném a telekomos ONT-ra a szervert és úgy authentikálnék. Azonban szeretném a mikrotikre kötni a szervert, hogy a belső hálózatból is elérhessem a fájljaim a szerveren.
Az lenne az ideális, ha a szerver fizikai interfésze így megkapná mondjuk az 192.168.1.5/24 címet, de fel tudnék építeni egy PPPoE sessiont is közvetlen a szerveren, hogy így az saját IP címet is kapjon. Majd ez lenne a preferált alapértelmezett út. Meg lehetne ezt oldani viszonylag erőforrás kímélően valahogy? Fontos lenne, hogy a fasttrack ne bukjon el, mert a hap ac2 nem egy atomgép.
Köszi
Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!
Új hozzászólás Aktív témák
- Dell PowerEdge T420 Tower Server 2xE5-2407(2.20Ghz),128GB,8xLFF(Üres)
- Teljesen új Xiaomi 13 8/256GB DS (5G) Black eladó (bontatlan+garancia)
- ELADÓ MacBook Pro 2017 13" KÖZÉPSŐ MODELL 16GB RAM i5 2.3GHZ 256GB SSD 66 CIKLUS + Magic Mouse
- ÚJszerű Samsung Galaxy S20 Plus 5G (83e-től)
- Eladó Cablemod kábelszettek tápokhoz, moddinghoz a bolti ár töredékéért!
Állásajánlatok
Cég: Alpha Laptopszerviz Kft.
Város: Pécs
Cég: Ozeki Kft.
Város: Debrecen