Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Gyorskeresés
Legfrissebb anyagok
- Retro Retro Kocka Kuckó 2024
- Bemutató Spyra: nagynyomású, akkus, automata vízipuska
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
Általános témák
LOGOUT.hu témák
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [ubyegon2:] Airfryer XL XXL forrólevegős sütő gyakorlati tanácsok, ötletek, receptek
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] [kraftxld:] Apróságok amik felcs*szik az ember agyát.
- [Re:] [sziku69:] Szólánc.
- [Re:] [antikomcsi:] Való Világ: A piszkos 12 - VV12 - Való Világ 12
- [Re:] [Luck Dragon:] Kenyér
- [Re:] PLEX: multimédia az egész lakásban
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Téma összefoglaló
Hozzászólások
nemurea
aktív tag
Az utókor számára, ha nekik sem lenne egyértelmű: hiába jelzi ki alul a kis piktogram, hogy Ethernet, vezetékes kapcsolat a wifi jel helyett - az adatforgalom, úgy tűnik, azon a kapcsolati módon fog folyni, ami először épült fel, vagy esetleg amit korábban használt ez esetben pl. a laptop és a NAS. Tehát hiába dugtam be a kábelt és jelezte az 1 Gbitet, a csóri wifi-n ment továbbra is a forgalom, egészen addig, amíg kézzel ki nem kapcsolatam.
Tegyük hozzá, hogy akkor is karcsú a 10-15 Mbit/s a MikroTik routertől 2 méterre.
Longeye
tag
Én is most küzdök vele.
A leírás alapján, nekem egyből sikerült. A router egy hap ac2 ROS 7.14.2-vel.
Androidos telefonnal és tablettel, a Google Play áruházból letöltött BTH kliens segítségével teljesen jól működik. ping, ssh és https megy rendesen. Winbox-szal is tudom a routert konfigolni.
Debian-os notit próbálok még csatlakoztatni, szintén a leírás alapján. Azzal az van, hogy nincs rá BTH app, csak wireguard kliens. Ezt bekonfigolva mindent tudok az otthoni hálózaton pingelni, de a szolgáltatásokat nem érem el. Winbox annyit tud, hogy szépen bejelentkezik a routerbe, de utána nem tudja letölteni az adatokat a routerről. Kipróbáltam, hogy a bejelentkezés valós-e és megadtam direkt hibás felhasznónevet/jelszót, így már nem engedett be. Itt nyilván a Debian konfigban van valami, de eddig mmég nem jöttem rá, hogy mi.
/* Egy lelkes kontár */
vkp
aktív tag
És van publikus címe a routernek?
Longeye
tag
Először wireguard-dal próbálkoztam, de a Mikrotiken, elvileg ha bekapcsolom a DDNS funkciót, amit ad domain-t (serialnumber.sn.mynetname.net), azt már tudnom kellene bárhonnan pingelni.
Nekem már ez sem működött, szóval valószínűleg nincs.
/* Egy lelkes kontár */
kress
aktív tag
mármint a pingre nem válaszol vagy nem ad vissza ipt vagy mit nem csinál? tűzfal? google myip valamelyik site mit mond? traceroute?
kammler
senior tag
Mot is mobilnetről megyek, Telekom, NAT, épp az otthoni gépet böngészem telórol BTH-al.
[ Szerkesztve ]
Tamarel
senior tag
A fasttrack-et kikerültem egy csak erre vonatkozó (megelőző) szabállyal.
Így elsőre működni látszik minden, majd idővel kiderül.
/ip firewall filter
add action=accept chain=forward connection-mark=no-vpn connection-state=established,related in-interface-list=LAN
jag222
csendes tag
Sziasztok!
CAPsMAN beállításhoz kérek segítséget. A router egy 5009-es, az AP egy cAP AX (pontosabban ebből lenne 20+ darab, most eggyel tesztelek). A hibajelenség, hogy az AP kiírja, hogy "managed by CAPsMAN), ellenben a routeren "no connection to CAPsMAN, managed locally" szöveg van. Próbálkoztam a 13.5 és 14.2 RouterOS verzióval is. A "wifi-qcom" csomag van mindkettőn. A beállítás faék egyszerű: az AP-n a reset utáni CAP mode (próbálkoztam kézi setuppal is). A routeren egy bridge, semmi tűzfal, csak address és DHCP beállítás. Az AP igazából működik, csak ez a no connection... szöveget nem értem, meg ugye ez így nem is jó.
Ötlet, segítség? Előre is kösz.
vkp
aktív tag
"Router is behind a NAT. Remote connections might not work." Ezt írja nat mögött az ip cloud ablak alján. Ezek szerint csak public ip-vel megy. Ha az megvan, akkor egyébként sem tart sokból beconfigni egy bármilyen vpn-t.
mrzed
senior tag
Egy kicsit tréfás az új capsman... könnyen be lehet nézni, főleg ha több profilt is használsz. Amikor létrejött egy cap és látod az 5009-esen ott is behúzza a profilt. Ha a configuration profilban be van állítva a manager capsman or local, vagy simán capsman akkor nem indul el a cap. Tehát a configuration fülön csak a cap-ba legyen ez a rész konfigurálva.
Adamo_sx
aktív tag
Nálam is ezek az eszközök vannak,de az 5009-en néma wifi-qcom, hanem a wireless package van fent. Működik a CAPsMAN , a mikrotik doksiban lévő leírás alapján állítottam be. Ha addig nem találod meg a hibát, később meg tudom nézni a pontos konfigomat, de csak valamikor este, vagy holnap este leszek gép közelben.
Egyébként a routerre nem kell ez a qcom wifi csomag, az új capsman már része az alap csomagnak... nekem a switchen is ott virít.
Tegnap még működött...
pitiless
senior tag
Ha azt akarod, hogy ROS upgrade után a cap-ek is frissüljenek (amennyiben ugyanaz az architektúra, nálam igen, akkor kell). Nálam RB5009 a router, 1 db hap ax2 és 2 db cap ax van, így az RB5009 frissítése után azonnal frissül a másik három eszköz is.
mrzed
senior tag
A firmwaret is lefrissítik a cap-ek automatikusan?
pitiless
senior tag
Ha be van pipálva az upgrade, akkor igen, csak a rebootot kell scriptelni.
Tamarel
senior tag
Köszi az ötletet, már jól működik.
kammler
senior tag
Nem. Nem csak azzal megy. Pont az a lényege a back to home-nak. Azért csinálták, hogy akinek elég, kattint hármat a telefonon, hármat a roteren aztán van VPN.
[ Szerkesztve ]
Értem, jogos, így automatikusan megy, egyéb script nélkül.
Valószínűleg akkor nem csak a AP-ken állítottad be az interfészeken a Configuration/Manager rész, avagy valamilyen profil zavarhat be a menedzseren... vagy utólag, miután megjelent (és nem dynamicként veszed fel), még állíthattál rajta, vagy ilyesmi... vakon kicsit nehéz tippelni, ezért szoktak exportot betenni a lényeges részről, főleg ha labor környezet.
@Tamarel: örülök, hogy meglett.
[ Szerkesztve ]
Tegnap még működött...
vkp
aktív tag
Igen, rászívtam magam, megcsináltam még egyszer nulláról és megy. Viszont megy windows alatt is, csináltam egy új peer-t, beírtam a szükséges kulcsokat, megadtam endpointnak a cloud által megadott hostname-t, és portot és megy.
kammler
senior tag
Persze, egy wireguard igazából.
Longeye
tag
Gondoltam rá, hogy megnézem Windows alól is, de így már nem fogom. Debian alól egyelőre nem megy nekem, pedig én is azt csináltam, amit te.
Néztem hétvégén tcpdump-pal. Ha pl. be akarok lépni a router webes felületére, mennek a két végpont között a csomagok, megtörténik a TLS handshake is, az oldal mégsem jön be.
No mindegy, azt már tudom, hogy nem a Mikrotik oldalon kell keresni a problémát.
/* Egy lelkes kontár */
Longeye
tag
Megvan!!!!
Az mtu-t átállítottam 800-ra a wg0 interface-en és működik!
El se hiszem
Otthon vagyok
/* Egy lelkes kontár */
Audience
aktív tag
A 800 nagyon kicsi MTU-nak. 1300 alá még sosem kellett mennem!
Longeye
tag
Wow! Köszönöm!
1400-ra volt állítva alapból, de azzal nem ment. Most átállítottam 1300-ra és ezzel is működik.
Őszintén szólva, még sosem kellett ezzel játszanom, mindig jó volt, amit adott a rendszer.
Megspóroltál nekem egy csomó időt! Köszönöm, még egyszer!
Így is, már vagy 4 napja küzdök vele.
Szerk.: Jah! És még gyorsabb is, persze!
[ Szerkesztve ]
/* Egy lelkes kontár */
stopperos
senior tag
A problémád annyi, hogy ssl forgalomnál be lehet állítani, hogy a csomagokat ne lehessen feldarabolni. Mivel a wireguard is szűkíti a csomagon belül szállítható adatmennyiséget, ezért ha darabolni kell a csomagot, akkor azt el is dobja.
Tűzfalból ennyi amúgy (a wireguard tunnel túlsó oldalán kell beállítanod):
/ip firewall mangle
add action=change-mss chain=forward new-mss=1300 out-interface=ether1 protocol=tcp tcp-flags=syn tcp-mss=1301-65535
"What is Linux? I only joined because of the the penguin..." - meanwhile in the linux community. http://9gag.com/gag/arpZGOy
Nem feltétlenül válasz, csak itt hagynám az utókornak: a default 1420 WireGuard MTU az 1500-as MTU netre van... ha PPPoE neted van, akkor ugye -8 alapból => 1412
Tegnap még működött...
Longeye
tag
Köszi a magyarázatot! Most már értem.
A szabály nálam nem működik. Ezt írja rá: "in/out-interface matcher not possible when interface (ether1) is slave - use master instead (bridge1)"
Ez azért van, mert nem ezen a kis ac2-n keresztül jön az internet, hanem egy másik ax3-on keresztül. Ennél a kis ac2-nél csak be vannak dobva egy bridge-be (bridge1) az ethernet interface-ek. Ennek csak a BTH/Wireguard a feladata egyelőre. Azt szeretném megnézni még, hogy Androidból mekkora lehet az MTU.
/* Egy lelkes kontár */
yodee_
őstag
Az miért lehet, hogy az Én PPPOE kapcsolataim 1492-es MTU-val mennek?
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
stopperos
senior tag
Akkor az ax3-on kell, ahol ether1 helyett azt az interfészt írd be, ami a WAN interfészed.
"What is Linux? I only joined because of the the penguin..." - meanwhile in the linux community. http://9gag.com/gag/arpZGOy
dombila
senior tag
Bizony, a Digi PPPOE-je nálam is 1492-es MTU-val megy. Szerintem a 8 az 1500-as net MTU-ból jön le. A Wireguard meg ezen belül megy 1420-al.
A kérdést nem értem, a PPPoE kapcsolatnak kell plusz header, ezért 1500-8=1492. Ugyanígy a WG kapcsolat MTU PPPoE neten keresztül 1420-8=1412. Csak ezt már nem állítja be a Mikrotik automatikusan.
[ Szerkesztve ]
Tegnap még működött...
yodee_
őstag
Tehát akkor az rendben vagy így. Értem. Milyen különbséget érhetek el, ha manuálisan át állítom 1420-ról, 1412-re a WG interface-eken?
[ Szerkesztve ]
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
Longeye
tag
Igen úgy lesz a végleges megoldás.
Annyit szeretnék még kérdezni, hogy a "tcp-flags=syn" miért kell a szabályba? Nem kell vonatkoznia minden tcp csomagra?
Elnézést, ha láma a kérdés, de én egy láma vagyok
/* Egy lelkes kontár */
Audience
aktív tag
Minél nagyobb az MTU annál több adat tud elmenni egyetlen csomagban, tehát érdemes a lehető legnagyobbra venni a maximális teljesítmény érdekében!
Egy ethernet keret ha nem jumbo frame 1500 byte-ot tud átvinni, tehát ennyi fér bele. Ebben utazik egy TCP keret aminek a fejrésze 20 byte, majd a TCP keretben utazik egy IP keret aminek a fejrésze szintén 20 byte így megkapjuk a TCP MSS-t ami tehát az MTU - 40 byte. Ennyi a valós adat amit átvisz egy keret maximum.
Az MSS tehát a konkrétan átvitt adat. Ezt tudod egy mangle rule-lal beállítani.
Amikor két végpont kommunikál, lehetnek szűk kersztmetszetek az átvitelben, pl egy S2S VPN esetében a két site-on 1500byte az MTU de közöttük a VPN csak 1420-ra van állítva pl. VPN kapcsolat okán. Ekkor vagy kézzel beállítod vagy egy ICMP szolgáltatást használsz a PMTU discovery-t ami feltérképezi mekkora csomag fér át a két végpont között és nem küld nagyobbat. Az ICMP sok helyen blokkolva van, nehéz rá építeni, ezért szokták kézzel beállítani és ezért szokták az elméleti maximum alá venni kicsivel. Ha elrontod akkor a HTTPS kapcsolatok nem fognak működni mert nem viselik el a csomag darabolást amikor a limitet meghaladó csomagot felbontjuk egy maximális méretű csomagra és a maradékra.
ekkold
Topikgazda
Akkor nekem az lenne a kérdésem, hogy lehet az, hogy nálam a wireguard interfészek a default 1420-as MTU-van mennek, és PPPOE netem van (1492 MTU-val), ugyanakkor a wireguard látszólag mégis hibátlanul működik.
[ Szerkesztve ]
Audience
aktív tag
Mert az első csomagban a syn flag 1-re van állítva és a 3 way handsake során ez az első csomag így ezt kell elkapni!
Audience
aktív tag
Nem ismerjük a kollega teljes konfigurációját csupán azt látjuk, hogy van egy MTU problémája.
Nálad az 1492byte-os MTU 1452byte TCP MSS-t jelent, ebből jön le a VPN header ami WG-nél 40byte ami 1412byte. Ettől több nem fog átférni. Gyanítom, hogy ha megpróbálnál 1420byte-ot áttolni az nem menne.
Longeye
tag
Szóval az elsőnél kell meghatározni az MTU-t és a többire is ez lesz érvényes.
Köszönöm!
/* Egy lelkes kontár */
Mivel maga a wireguard csomagjai (amik amúgy UDP alapúak) töredezettségei a benne utazó TCP csomagokra nincs tördezettségi hatással, performancia hatással viszont lehetnek. Valamint úgy látom, hogy az IPv6 is bele van számolva az 1420-ba... azaz ott is lehet mozgástered.
Nem akartam jobban belefolyni, főleg vakon nem. Ahogy @Audience írta, egy jellegzetes MTU probléma jelentkezett, és most is megoldás volt ennek állítása. Egy ideig rendszeres szívásom volt VXLAN hálózaton üzemeltetett VM-eken, hogy a VM 1500as MTU-t látott (mit látott volna..), míg az alattas hálózat 1450-en volt...
Tegnap még működött...
Longeye
tag
Nem tudom ad-e valamit az aktuális mtu témához és közelebb visz-e a megfejtéshez, de megnéztem Androidos telómon. Két interface van, amikor BTH/Wireguard segítségével csatlakozom az otthoni hálózathoz.
Az egyik neve: rmnet0 és ennek mtu-ja 1500
A másik a tun0, ennek pedig 1280-as mtu-ja van.
Nekem, Debian 12 alatt 1300-tól már működött, amit Audience javasolt.
/* Egy lelkes kontár */
Tamarel
senior tag
Megváltozott az rss url…
A 7.14.3 jónak néz ki (a queue).
What's new in 7.14.3 (2024-Apr-17 15:47):
*) bgp - correctly synchronize input.accept-nlri address list;
*) bridge - use default "edge=auto" for dynamically bridged interfaces (PPP, VPLS, WDS);
*) disk - improved system stability;
*) fetch - fixed slow throughput due to "raw" logging which occurred even when not listening to the topic (introduced in v7.13);
*) queue - improved system stability (introduced in v7.6);
*) wifi-qcom - added configuration.distance setting to enable operation over multi-kilometer distances (CLI only);
iceQ!
addikt
Sziasztok,
Mai nap ez fogadott mikor frissíteni szerettem volna a routert. Idáig tökéltesen működött, a konfigon nem változtattam semmit. Pingelni a download/update.mikrotik.com oldalt tudom a router-ről.
Mi lehet a gond?
Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS
(hobbi szinten hálózatozok)
Sziasztok valaki felvilágosítana a Mikrotikben a "back-to-home-vpn" funkció hogy megy ki a nyilvános hálózatra? Zavaradatóságomat azt okozza ha eddig bármiféle VPN-t akartam be állítani a szolgáltatói routeren engedélyeznem kellet hogy a nyilvános hálózatról bejövő kérések elérhessék a saját mikrotik routuremet. Ha ez nem teljesült akkor már szolgáltatói routernél elhasalt a kapcsolat. Ezzel ellentétben a back-to-home-vpn funkcióval simán nyilvános hálózattal elérem a szolgáltató mögötti Mikrotik routert és rajta a belső hálózatomat. Hogyan
~ Nincs annál lustább ember a világon ki egy csomagot nem képes feladni a mai világban.
kress
aktív tag
[link]
"if the router is not directly reachable from the internet, the connection will be made through the MikroTik relay servers"
Oké, mikrotik szerverei hogy érik el a belső hálózatomat?
~ Nincs annál lustább ember a világon ki egy csomagot nem képes feladni a mai világban.
kress
aktív tag
gondolom a belső hálózatod éri el az ő szerverüket, aztán ott kapcsolat és azt használja
keress rá a reverse shellre, hogy működik 😃
[ Szerkesztve ]
vmk
tag
Esetleg keress rá a Tailscale-re, hogy hogy működik, vannak videók róla. Ugyan az az elv.
Zola007
veterán
Szeretnék minden nap futtatni egy scriptet, ami az utolsó 24 óra eseménynaplóját írja ki txt.be
Erre tudtok scriptet / módszert?
Mʏ ᴘʜɪʟᴏsᴏᴘʜʏ ɪs: Iᴛ’s ɴᴏɴᴇ ᴏғ ᴍʏ ʙᴜsɪɴᴇss ᴡʜᴀᴛ ᴘᴇᴏᴘʟᴇ sᴀʏ ᴏғ ᴍᴇ ᴀɴᴅ ᴛʜɪɴᴋ ᴏғ ᴍᴇ. I ᴀᴍ ᴡʜᴀᴛ I ᴀᴍ ᴀɴᴅ I ᴅᴏ ᴡʜᴀᴛ I ᴅᴏ. I ᴇxᴘᴇᴄᴛ ɴᴏᴛʜɪɴɢ ᴀɴᴅ ᴀᴄᴄᴇᴘᴛ ᴇᴠᴇʀʏᴛʜɪɴɢ. Aɴᴅ ɪᴛ ᴍᴀᴋᴇs ʟɪғᴇ sᴏ ᴍᴜᴄʜ ᴇᴀsɪᴇʀ. - Sɪʀ Aɴᴛʜᴏɴʏ Hᴏᴘᴋɪɴs
yodee_
őstag
Alapból meg lehet csinálni, hogy fájlba mentse. Nekem is így fut és egy pendrivera menti a teljes logot.
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
Zola007
veterán
Loggingban nem tudok intervallumot megadni diskre logolva csak sorszámot és max méretet. Te hogy csináltad?
nekem arra lenne szükségem, hogy minden napról legyen egy külön LOG fájl
[ Szerkesztve ]
Mʏ ᴘʜɪʟᴏsᴏᴘʜʏ ɪs: Iᴛ’s ɴᴏɴᴇ ᴏғ ᴍʏ ʙᴜsɪɴᴇss ᴡʜᴀᴛ ᴘᴇᴏᴘʟᴇ sᴀʏ ᴏғ ᴍᴇ ᴀɴᴅ ᴛʜɪɴᴋ ᴏғ ᴍᴇ. I ᴀᴍ ᴡʜᴀᴛ I ᴀᴍ ᴀɴᴅ I ᴅᴏ ᴡʜᴀᴛ I ᴅᴏ. I ᴇxᴘᴇᴄᴛ ɴᴏᴛʜɪɴɢ ᴀɴᴅ ᴀᴄᴄᴇᴘᴛ ᴇᴠᴇʀʏᴛʜɪɴɢ. Aɴᴅ ɪᴛ ᴍᴀᴋᴇs ʟɪғᴇ sᴏ ᴍᴜᴄʜ ᴇᴀsɪᴇʀ. - Sɪʀ Aɴᴛʜᴏɴʏ Hᴏᴘᴋɪɴs
Mai Hardverapró hirdetések
prémium kategóriában
- -70% HP EliteBook 850 G7:i7 10610U,32GB RAM,512GB SSD,15.6" FHD,vil.MAGYAR numeri.bill,WWAN 4G,Win11
- ASUS TUF Gaming GeForce RTX 4070 Ti 12GB
- Hama Ultraslim Fali konzol (TV)
- ÉRKEZETT Legújabb Bontatlan Új M2 IPAD PRO 2022 12,9 128GB - 256GB Wi-Fi Azonnal DEÁK TÉRNÉL Átvehe
- Női városi bringa (Sierra City)