Én is most küzdök vele.

A leírás alapján, nekem egyből sikerült. A router egy hap ac2 ROS 7.14.2-vel.
Androidos telefonnal és tablettel, a Google Play áruházból letöltött BTH kliens segítségével teljesen jól működik. ping, ssh és https megy rendesen. Winbox-szal is tudom a routert konfigolni.

Debian-os notit próbálok még csatlakoztatni, szintén a leírás alapján. Azzal az van, hogy nincs rá BTH app, csak wireguard kliens. Ezt bekonfigolva mindent tudok az otthoni hálózaton pingelni, de a szolgáltatásokat nem érem el. Winbox annyit tud, hogy szépen bejelentkezik a routerbe, de utána nem tudja letölteni az adatokat a routerről. Kipróbáltam, hogy a bejelentkezés valós-e és megadtam direkt hibás felhasznónevet/jelszót, így már nem engedett be. Itt nyilván a Debian konfigban van valami, de eddig mmég nem jöttem rá, hogy mi.

/* Egy lelkes kontár */

És van publikus címe a routernek?

Először wireguard-dal próbálkoztam, de a Mikrotiken, elvileg ha bekapcsolom a DDNS funkciót, amit ad domain-t (serialnumber.sn.mynetname.net), azt már tudnom kellene bárhonnan pingelni.
Nekem már ez sem működött, szóval valószínűleg nincs.

/* Egy lelkes kontár */

Mot is mobilnetről megyek, Telekom, NAT, épp az otthoni gépet böngészem telórol BTH-al.

[ Szerkesztve ]

A fasttrack-et kikerültem egy csak erre vonatkozó (megelőző) szabállyal.
Így elsőre működni látszik minden, majd idővel kiderül.

/ip firewall filter
add action=accept chain=forward connection-mark=no-vpn connection-state=established,related in-interface-list=LAN

Sziasztok!
CAPsMAN beállításhoz kérek segítséget. A router egy 5009-es, az AP egy cAP AX (pontosabban ebből lenne 20+ darab, most eggyel tesztelek). A hibajelenség, hogy az AP kiírja, hogy "managed by CAPsMAN), ellenben a routeren "no connection to CAPsMAN, managed locally" szöveg van. Próbálkoztam a 13.5 és 14.2 RouterOS verzióval is. A "wifi-qcom" csomag van mindkettőn. A beállítás faék egyszerű: az AP-n a reset utáni CAP mode (próbálkoztam kézi setuppal is). A routeren egy bridge, semmi tűzfal, csak address és DHCP beállítás. Az AP igazából működik, csak ez a no connection... szöveget nem értem, meg ugye ez így nem is jó.
Ötlet, segítség? Előre is kösz.

"Router is behind a NAT. Remote connections might not work." Ezt írja nat mögött az ip cloud ablak alján. Ezek szerint csak public ip-vel megy. Ha az megvan, akkor egyébként sem tart sokból beconfigni egy bármilyen vpn-t.

Egy kicsit tréfás az új capsman... könnyen be lehet nézni, főleg ha több profilt is használsz. Amikor létrejött egy cap és látod az 5009-esen ott is behúzza a profilt. Ha a configuration profilban be van állítva a manager capsman or local, vagy simán capsman akkor nem indul el a cap. Tehát a configuration fülön csak a cap-ba legyen ez a rész konfigurálva.

Nálam is ezek az eszközök vannak,de az 5009-en néma wifi-qcom, hanem a wireless package van fent. Működik a CAPsMAN , a mikrotik doksiban lévő leírás alapján állítottam be. Ha addig nem találod meg a hibát, később meg tudom nézni a pontos konfigomat, de csak valamikor este, vagy holnap este leszek gép közelben.

A firmwaret is lefrissítik a cap-ek automatikusan?

Ha be van pipálva az upgrade, akkor igen, csak a rebootot kell scriptelni.

Köszi az ötletet, már jól működik.

Nem. Nem csak azzal megy. Pont az a lényege a back to home-nak. Azért csinálták, hogy akinek elég, kattint hármat a telefonon, hármat a roteren aztán van VPN.

[ Szerkesztve ]

Értem, jogos, így automatikusan megy, egyéb script nélkül.

Valószínűleg akkor nem csak a AP-ken állítottad be az interfészeken a Configuration/Manager rész, avagy valamilyen profil zavarhat be a menedzseren... vagy utólag, miután megjelent (és nem dynamicként veszed fel), még állíthattál rajta, vagy ilyesmi... vakon kicsit nehéz tippelni, ezért szoktak exportot betenni a lényeges részről, főleg ha labor környezet.

@Tamarel: örülök, hogy meglett.

[ Szerkesztve ]

Tegnap még működött...

Igen, rászívtam magam, megcsináltam még egyszer nulláról és megy. Viszont megy windows alatt is, csináltam egy új peer-t, beírtam a szükséges kulcsokat, megadtam endpointnak a cloud által megadott hostname-t, és portot és megy.

Persze, egy wireguard igazából.

Gondoltam rá, hogy megnézem Windows alól is, de így már nem fogom. Debian alól egyelőre nem megy nekem, pedig én is azt csináltam, amit te.
Néztem hétvégén tcpdump-pal. Ha pl. be akarok lépni a router webes felületére, mennek a két végpont között a csomagok, megtörténik a TLS handshake is, az oldal mégsem jön be.
No mindegy, azt már tudom, hogy nem a Mikrotik oldalon kell keresni a problémát.

/* Egy lelkes kontár */

Megvan!!!!

Az mtu-t átállítottam 800-ra a wg0 interface-en és működik!

El se hiszem

Otthon vagyok

/* Egy lelkes kontár */

A 800 nagyon kicsi MTU-nak. 1300 alá még sosem kellett mennem!

Wow! Köszönöm!
1400-ra volt állítva alapból, de azzal nem ment. Most átállítottam 1300-ra és ezzel is működik.

Őszintén szólva, még sosem kellett ezzel játszanom, mindig jó volt, amit adott a rendszer.

Megspóroltál nekem egy csomó időt! Köszönöm, még egyszer!

Így is, már vagy 4 napja küzdök vele.

Szerk.: Jah! És még gyorsabb is, persze!

[ Szerkesztve ]

/* Egy lelkes kontár */

A problémád annyi, hogy ssl forgalomnál be lehet állítani, hogy a csomagokat ne lehessen feldarabolni. Mivel a wireguard is szűkíti a csomagon belül szállítható adatmennyiséget, ezért ha darabolni kell a csomagot, akkor azt el is dobja.
Tűzfalból ennyi amúgy (a wireguard tunnel túlsó oldalán kell beállítanod):
/ip firewall mangle
add action=change-mss chain=forward new-mss=1300 out-interface=ether1 protocol=tcp tcp-flags=syn tcp-mss=1301-65535

"What is Linux? I only joined because of the the penguin..." - meanwhile in the linux community. http://9gag.com/gag/arpZGOy

Nem feltétlenül válasz, csak itt hagynám az utókornak: a default 1420 WireGuard MTU az 1500-as MTU netre van... ha PPPoE neted van, akkor ugye -8 alapból => 1412

Tegnap még működött...

Köszi a magyarázatot! Most már értem.
A szabály nálam nem működik. Ezt írja rá: "in/out-interface matcher not possible when interface (ether1) is slave - use master instead (bridge1)"

Ez azért van, mert nem ezen a kis ac2-n keresztül jön az internet, hanem egy másik ax3-on keresztül. Ennél a kis ac2-nél csak be vannak dobva egy bridge-be (bridge1) az ethernet interface-ek. Ennek csak a BTH/Wireguard a feladata egyelőre. Azt szeretném megnézni még, hogy Androidból mekkora lehet az MTU.

/* Egy lelkes kontár */

Akkor az ax3-on kell, ahol ether1 helyett azt az interfészt írd be, ami a WAN interfészed.

"What is Linux? I only joined because of the the penguin..." - meanwhile in the linux community. http://9gag.com/gag/arpZGOy

Igen úgy lesz a végleges megoldás.
Annyit szeretnék még kérdezni, hogy a "tcp-flags=syn" miért kell a szabályba? Nem kell vonatkoznia minden tcp csomagra?
Elnézést, ha láma a kérdés, de én egy láma vagyok

/* Egy lelkes kontár */

Minél nagyobb az MTU annál több adat tud elmenni egyetlen csomagban, tehát érdemes a lehető legnagyobbra venni a maximális teljesítmény érdekében!

Egy ethernet keret ha nem jumbo frame 1500 byte-ot tud átvinni, tehát ennyi fér bele. Ebben utazik egy TCP keret aminek a fejrésze 20 byte, majd a TCP keretben utazik egy IP keret aminek a fejrésze szintén 20 byte így megkapjuk a TCP MSS-t ami tehát az MTU - 40 byte. Ennyi a valós adat amit átvisz egy keret maximum.

Az MSS tehát a konkrétan átvitt adat. Ezt tudod egy mangle rule-lal beállítani.

Amikor két végpont kommunikál, lehetnek szűk kersztmetszetek az átvitelben, pl egy S2S VPN esetében a két site-on 1500byte az MTU de közöttük a VPN csak 1420-ra van állítva pl. VPN kapcsolat okán. Ekkor vagy kézzel beállítod vagy egy ICMP szolgáltatást használsz a PMTU discovery-t ami feltérképezi mekkora csomag fér át a két végpont között és nem küld nagyobbat. Az ICMP sok helyen blokkolva van, nehéz rá építeni, ezért szokták kézzel beállítani és ezért szokták az elméleti maximum alá venni kicsivel. Ha elrontod akkor a HTTPS kapcsolatok nem fognak működni mert nem viselik el a csomag darabolást amikor a limitet meghaladó csomagot felbontjuk egy maximális méretű csomagra és a maradékra.

Akkor nekem az lenne a kérdésem, hogy lehet az, hogy nálam a wireguard interfészek a default 1420-as MTU-van mennek, és PPPOE netem van (1492 MTU-val), ugyanakkor a wireguard látszólag mégis hibátlanul működik.

[ Szerkesztve ]

Mert az első csomagban a syn flag 1-re van állítva és a 3 way handsake során ez az első csomag így ezt kell elkapni!

Nem ismerjük a kollega teljes konfigurációját csupán azt látjuk, hogy van egy MTU problémája.

Nálad az 1492byte-os MTU 1452byte TCP MSS-t jelent, ebből jön le a VPN header ami WG-nél 40byte ami 1412byte. Ettől több nem fog átférni. Gyanítom, hogy ha megpróbálnál 1420byte-ot áttolni az nem menne.

Szóval az elsőnél kell meghatározni az MTU-t és a többire is ez lesz érvényes.

Köszönöm!

/* Egy lelkes kontár */

Nem tudom ad-e valamit az aktuális mtu témához és közelebb visz-e a megfejtéshez, de megnéztem Androidos telómon. Két interface van, amikor BTH/Wireguard segítségével csatlakozom az otthoni hálózathoz.
Az egyik neve: rmnet0 és ennek mtu-ja 1500
A másik a tun0, ennek pedig 1280-as mtu-ja van.
Nekem, Debian 12 alatt 1300-tól már működött, amit Audience javasolt.

/* Egy lelkes kontár */

Megváltozott az rss url…

A 7.14.3 jónak néz ki (a queue).

What's new in 7.14.3 (2024-Apr-17 15:47):
*) bgp - correctly synchronize input.accept-nlri address list;
*) bridge - use default "edge=auto" for dynamically bridged interfaces (PPP, VPLS, WDS);
*) disk - improved system stability;
*) fetch - fixed slow throughput due to "raw" logging which occurred even when not listening to the topic (introduced in v7.13);
*) queue - improved system stability (introduced in v7.6);
*) wifi-qcom - added configuration.distance setting to enable operation over multi-kilometer distances (CLI only);

Sziasztok,

Mai nap ez fogadott mikor frissíteni szerettem volna a routert. Idáig tökéltesen működött, a konfigon nem változtattam semmit. Pingelni a download/update.mikrotik.com oldalt tudom a router-ről.
Mi lehet a gond?

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

(hobbi szinten hálózatozok)
Sziasztok valaki felvilágosítana a Mikrotikben a "back-to-home-vpn" funkció hogy megy ki a nyilvános hálózatra? Zavaradatóságomat azt okozza ha eddig bármiféle VPN-t akartam be állítani a szolgáltatói routeren engedélyeznem kellet hogy a nyilvános hálózatról bejövő kérések elérhessék a saját mikrotik routuremet. Ha ez nem teljesült akkor már szolgáltatói routernél elhasalt a kapcsolat. Ezzel ellentétben a back-to-home-vpn funkcióval simán nyilvános hálózattal elérem a szolgáltató mögötti Mikrotik routert és rajta a belső hálózatomat. Hogyan

~ Nincs annál lustább ember a világon ki egy csomagot nem képes feladni a mai világban.

Szeretnék minden nap futtatni egy scriptet, ami az utolsó 24 óra eseménynaplóját írja ki txt.be
Erre tudtok scriptet / módszert?

Mʏ ᴘʜɪʟᴏsᴏᴘʜʏ ɪs: Iᴛ’s ɴᴏɴᴇ ᴏғ ᴍʏ ʙᴜsɪɴᴇss ᴡʜᴀᴛ ᴘᴇᴏᴘʟᴇ sᴀʏ ᴏғ ᴍᴇ ᴀɴᴅ ᴛʜɪɴᴋ ᴏғ ᴍᴇ. I ᴀᴍ ᴡʜᴀᴛ I ᴀᴍ ᴀɴᴅ I ᴅᴏ ᴡʜᴀᴛ I ᴅᴏ. I ᴇxᴘᴇᴄᴛ ɴᴏᴛʜɪɴɢ ᴀɴᴅ ᴀᴄᴄᴇᴘᴛ ᴇᴠᴇʀʏᴛʜɪɴɢ. Aɴᴅ ɪᴛ ᴍᴀᴋᴇs ʟɪғᴇ sᴏ ᴍᴜᴄʜ ᴇᴀsɪᴇʀ. - Sɪʀ Aɴᴛʜᴏɴʏ Hᴏᴘᴋɪɴs

Alapból meg lehet csinálni, hogy fájlba mentse. Nekem is így fut és egy pendrivera menti a teljes logot.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Loggingban nem tudok intervallumot megadni diskre logolva csak sorszámot és max méretet. Te hogy csináltad?
nekem arra lenne szükségem, hogy minden napról legyen egy külön LOG fájl

[ Szerkesztve ]

Mʏ ᴘʜɪʟᴏsᴏᴘʜʏ ɪs: Iᴛ’s ɴᴏɴᴇ ᴏғ ᴍʏ ʙᴜsɪɴᴇss ᴡʜᴀᴛ ᴘᴇᴏᴘʟᴇ sᴀʏ ᴏғ ᴍᴇ ᴀɴᴅ ᴛʜɪɴᴋ ᴏғ ᴍᴇ. I ᴀᴍ ᴡʜᴀᴛ I ᴀᴍ ᴀɴᴅ I ᴅᴏ ᴡʜᴀᴛ I ᴅᴏ. I ᴇxᴘᴇᴄᴛ ɴᴏᴛʜɪɴɢ ᴀɴᴅ ᴀᴄᴄᴇᴘᴛ ᴇᴠᴇʀʏᴛʜɪɴɢ. Aɴᴅ ɪᴛ ᴍᴀᴋᴇs ʟɪғᴇ sᴏ ᴍᴜᴄʜ ᴇᴀsɪᴇʀ. - Sɪʀ Aɴᴛʜᴏɴʏ Hᴏᴘᴋɪɴs