funkcionális analfabéták kedvéért akkor megmagyarázom:
A kolléga azt írta, hogy nem tudja eldönteni, mi a különbség. ez alapján feltételeztem, hogy utánanézett, és mégsem tudja eldönteni. Ha utánanézett pl. itt, akkor ezt láthatta:

"The RB951Ui-2HnD is a wireless SOHO AP with a new generation Atheros CPU and more processing power. It has five Ethernet ports, one USB 2.0 port and a high power 2.4GHz 802.11b/g/n wireless AP with antennas built in.". Kiemelem még egyszer: 5 ethernet portja van. Ez a hivatalos gyári infó.

Nekem négy page down gomb megnyomása után jön az infó, hogy ez a port 10/100-as, ez már lehet, elkerülte a kolléga figyelmét. Azt meg nyilván nem tudhatja mindeki, hogy a mikrotiknek mi a szavajárása.

Fentiekre tekintettel a hozzászólásom pontos volt, felesleges volt kijavítással próbálkozni.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Bocs,

Többen válaszoltak már, de szerintem ez a jövőben segítségedre lehet.

Manual: Product Naming

[ Szerkesztve ]

Mikrotik-Hu | -unofficial- | https://www.facebook.com/groups/mikrotikhu/

Kipróbáltam a capsman-t.
Lehetséges hogy ezen keresztül nem lehet virtual-ap -t létrehozni/kezelni?
Mert eddig nem sikerült megtalálnom hogy hogyan kéne.

[ Szerkesztve ]

Lehet, a cAPSMAN-ban hozz létre még egy konfigurációt és állítsd be a provisioningnál, hogy berakja slave confignak.

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

Ahogy csusza megírta, működik igen.

Mikrotik-Hu | -unofficial- | https://www.facebook.com/groups/mikrotikhu/

Sziasztok!

Abban szeretnék segítséget kérni hogy vagy két eltérő lakásban lévő hálózat, mindkettő mikrotik routerrel van felszerelve ugyanazzal a beállításokkal (a két rendszer egymás "klónjai") rádugva mediaserverrel és abban szeretnék segítséget kérni hogy laptopról a másik hálózatra szeretnék VPN-nel kapcsolódni.

A probléma az hogy sikerül a VPN kapcsolat csak éppen mivel ugyanaz a subnet (192.168.0.1) ezért ha szeretnék "A" pontból a "B" ponti mediaszerverre kapcsolódni (amiknek mivel "klónok" ugyanaz az IP-jük, 192.168.0.2) mindig az aktuális hely szerverére kapcsolódik teljesen érthető módon.

Próbáltam valami szabályt létrehozni a routolásra de nem igazán sikerül. Természetesen ha megváltoztatom a subnetet vagy akár az egyik mediaserver IP-jét bármelyik hálózaton akkor tökéletesen működik, de pont ezért szeretném megtartani ezeket a beállításokat hogy egyforma legyen a két helyen.

Előre is köszönöm a segítséget!

Az élet olyan nemi úton terjedő betegség, amelynél a halálozási arány 100%

Ha teljesen meg akarod tiltani a kommunikációját az adott gépnek akkor input - al, és akkor a router nem áll szóba az adott géppel.
Ekkor lan kapcsolatod sem lesz.

Én a NASra bíztam a VPN kezelést, openvpn-t használok, a NAS nak több cpu ereje van erre.

Gigabyte Z390 Aorus master , Core i9 9900K, Asus RTX2070, 64 GB DDR4, Dell Latitude 6430

Vki használta már a Bridge Nat funkcióját? Mennyire terheli a router-t?

A Capsman nekem is kicsit homály. Van négy eth. port, amelyeken az AP kliensek bejönnek a routerre. Ha switchelve vannak ezek a portok a masterrel, akkor nem kapnak IP címet a kliensek. (Ragaszkodom, hogy a dhcp server "központosítva" csak a routeren legyen.) Ha softveres bridge teszem a master porttal ezeket az eth. portokat, akkor tökéletes minden. Nem tudom mi a fene különbség van, hiszem mindkettő layer 2 kapcsolat.
Nem is rugóznék ezen, csak ha a master port is bridge-n van, akkor a nem működik a fasttrack connection. Így meg elég halovány NAT képessége van a CRS125-nek.

Én is össze szoktam switchelni a lábakat, de a master portot akkor is a bridge-be teszem, ha csak mondjuk egyetlen ethernet lábon megy ki a hálózat.

Bridge-s hálózaton semmi bajom nincs a cAP kezeléssel. Simán switchelve még nem is próbáltam.

Egyébként szerintem a capsman csak bridge-lt hálózaton megy, mivel a datapath-nál bridge-t lehet megadni csak neki, ha jól emlékszem.

Viszont, ez kényelmessé teszik a dolgokat, mert ha pl. két SSID-t szóratsz és két teljesen külön hálózatra tudsz felkapcsolódni, a datapath-nál más-más bridge-ket adhatsz meg.

Tényleg, ezzel kapcsolatban kérdés: technikailag ez egyébként rendben van? Van egy static management IP-je a cap-oknak, szórnak egy office SSID-t ugyanazon a datapath bridge-n, mint amiben a management IP van, illetve adott esetben egy guest-et, aminek a datapath-ja másik bridge-re mutat. Gondolom pontosan ez az, amiért a capsman egyáltalán létezik.

Meet me @ Dhen' Ess Hardware! | Mikrotik - Routing the World!

Sziasztok!

SSH privát kulcsos belépést próbálok elsajátítani itthonra, de jutub videot követve sem sikerül.
Amit csináltam:
ubuntu bashból generáltam egy ssh kulcsot:
#ssh-keygen -t dsa
passw:proba1

ezt a két fájt felmásoltam a mikrotikre scp-vel, majd a users menüben hozzáadtam a user1-hez beírtam ott is a kódot.
Publik key az id-dsa.pub; privát a id-dsa
egy TXT-be kimásoltam a privát kulcsot majd bejelentkezést kezdeményeztem bashból:
#ssh user1@mikrotik.net -p 40022 -t privkey.txt

De csak kéri a kódot és Putty beenged a kóddal fájl nélkül is. Mit csinálok rosszul?

Ezt (is) próbáltam mielőtt írtam, de nem vált be sajnos, ezért írtam.
action=drop chain=input comment="Drop DAHUA IP CAM" src-address=192.168.0.10

Sajna ugyan úgy pingelhető és kommunikál is a hálón.

szerintem ha nem akarsz jelszót a bejelentkezéskor, akkor a kulcsnak sem kell jelszót adni.
ssh-keygennél enter.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ezt próbáltam, de sajnos ez fogadott:
root@DESKTOP-SSPLVJA:~/.ssh# ssh user1@mikrotik.net -p 40022 -i key.txt
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0777 for 'key.txt' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key "key.txt": bad permissions
user1@mikrotik.net's password:

Akkor nem kér csak kódot, ha magának a user-nak nem adok mikor létrehozom, csak üresen hagyom, de akkor kulcs se kell, simán beenged.

"Permissions 0777 for 'key.txt' are too open."

a key.txt védelmi kulcsát be kell állítani úgy, hogy csak a tulajdonosa olvashassa.

chmod 600 key.txt

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Így nem dobja a hibaüzenetet az elejére de a tényállás változatlan, kulccsal is beenged meg anélkül is.
pedig..: nem olyan bonyolult így ránézésre

----
szerk.: na asszem sikerült.
Szóval legenerálod az SSH kulcsokat, majd a ROS-ben nem SSH priv. keys-nél rendeled a kulcsot a user-hez, hanem melltte az SSH keys-ben. (a *.pub-ot)
A key.txt-be kimásolod a privát kulcsot chmod 600- nem jó a tulajdonos Ír ÉS olvas mód, csak a tulajdonos OLVAS!!!

Ezután ha hozzárendeled a kulcsot beenged, ha nem kóddal se.
Nehéz szülés volt, logikáját még nem értem de ok.

Másik, ezaz scp -P 40022 || ssh -p 40022 kiégette a lelkem finoman szólva nem lehetett volna egyformára tervezni őket ááá.

Köszi a segítséget!

[ Szerkesztve ]

Ezzel a kérdésemmel kapcsolatban annyit, hogy nem lehetséges, hogy maga az eszköz tud valamiféle hálózati kényszerítést csinálni?
Csak mert ugye a lent említett tűzal sor után is pingelhető, igen ám, de ha alapból az egész hálózatra teszek egy ICMP csomag drop szabályt minden más pingelhetetelen, kivéve a kamera....Őt lehet pingelni akkor is a PC-ről, míg se a routert, se az AP-t se a telefont....

Bocs a sok uj posztért, de szerkesztési időn kívül jönnek az ötletek.
Ez konkrétan mit akar egyébként?
The authenticity of host '[d------.org]:40022 ([188.----]:40022)' can't be established. key fingerprint is SHA256HB**********HDmZbjjL5/I2T2Tf****Wo0aY. re you sure you want to continue connecting (yes/no)? yes

Ugye a pc és a kamera nem switchre van dugva?

Teljesen amatör kérdés.
Adott egy szűrésekkel beálított mikrotik, ahol a lanon lévő kliensek egymást nem érik el csak kifelé a net felé kommunikálhatnak, hogy tudom beállítani hogy 2 adott ipjű gép egymást elérje, ha nem is bármilyen porton de legalább 1en?

A 2 adott IP-re kikapcsolod a szűrést, az nem jó?

Minden bizonnyal jó Csak nem túlzottan látom át a konfigot, mit kéne keresnem hogy néz ki normál esetben egy ilyen szűrés? Van bent vagy 30 szabály... a tűzfalnál. Süsü vagyok hozzá.
A dhcp ip kiosztás sávszél korlátozás rész sima külső port átengedés dolgok mennek pl ezt a portot simán kiengedni tudom de lanon a 2 gép valami szabálllyal teljesen el van zárva...próbálkoznék szabályokkal, csak egy éles rendszer rajta 500 klienssel annyira nem lenne jó ha mindenki eldobná a kapcsolatot

[ Szerkesztve ]

Ha nem tudod vagy nem akarod a tiltó szabályt törölni, úgy is megoldható, hogy a két IP cím (vagy MAC address, ami biztosabb) között a kommunikációt engedélyező tűzfalszabályt készítesz (de ez esetben az engedélyező szabály meg kell előzze a tiltót a listában).
Konzolról ha kilistázod (/ip firewall export) és beírod ide, akkor valaki egész biztos, hogy tud segíteni benne.

Rendszergazda vagyok....ha röhögni lát, mentsen

30 szabály? Akkor az csak valami alap konfig lehet, pasteld ide be az egészet, hadd lássuk.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Itt a konfig, van benne sok dolog ami nem is kell már

# nov/01/2017 14:17:44 by RouterOS 6.40.4
# software id = 8C8Z-IPKS
#
# model = CCR1009-8G-1S
# serial number = 49130427F4E3
/ip firewall address-list
add address=89.132.155.172 comment="Saj\E1t SMTP szerver" list=smtp-szerverek
add address=195.70.49.106 comment=smtpauth.upcbusiness.hu list=smtp-szerverek
add address=213.46.255.2 comment=smtp.monornet.hu list=smtp-szerverek
add address=89.135.50.60 comment="Ez a cim kiv\E9tel az smtp szures alol" list=\
kivetelek
add address=70.86.5.44 list=smtp-szerverek
add address=194.149.13.163 comment=smtp.datanet.hu list=smtp-szerverek
add address=62.112.194.45 comment=smtp.datanet.hu list=smtp-szerverek
add address=194.149.13.165 comment=smtp.datanet.hu list=smtp-szerverek
add address=194.149.13.161 comment=smtp.datanet.hu list=smtp-szerverek
add address=195.70.57.133 comment=smtp.mediacenter.hu list=smtp-szerverek
add address=84.2.44.3 comment=mail.t-online.hu list=smtp-szerverek
add address=84.2.45.3 comment=mail.t-online.hu list=smtp-szerverek
add address=84.2.46.3 comment=mail.t-online.hu list=smtp-szerverek
add address=192.168.190.10 comment="Ez a cim kiv\E9tel az smtp szures alol" \
list=kivetelek
add address=192.168.190.212 comment="Ez a cim kiv\E9tel az smtp szures alol" \
list=kivetelek
add address=79.172.252.54 comment=Premiumos list=smtp-szerverek
add address=178.238.222.15 comment=Premiumos list=smtp-szerverek
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
disabled=yes
add action=drop chain=forward comment="Drop dhcp leased ips on PPPoE interface" \
src-address=192.168.180.2-192.168.180.254
add action=drop chain=forward comment="Drop DCOM" dst-port=135 protocol=tcp
add action=drop chain=input comment="Drop Telnet attempts" dst-port=23 \
protocol=tcp
add action=drop chain=input comment="Drop Invalid connections" \
connection-state=invalid
add action=accept chain=forward dst-address=192.168.190.0/23 protocol=tcp \
src-address=192.168.190.10
add action=accept chain=forward dst-address-list=smtp-szerverek dst-port=25 \
out-interface="UPC Port 1" protocol=tcp
add action=accept chain=input comment="Allow Established connections" \
connection-state=established
add action=accept chain=input comment="Allow UDP" protocol=udp
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=drop chain=forward comment="drop invalid connections" \
connection-state=invalid protocol=tcp
add action=accept chain=forward comment="allow already established connections" \
connection-state=established
add action=accept chain=forward comment="allow related connections" \
connection-state=related
add action=drop chain=forward comment="block bad IP" src-address=0.0.0.0/8
add action=drop chain=forward comment="block bad IP" dst-address=0.0.0.0/8
add action=drop chain=forward comment="block bad IP" src-address=127.0.0.0/8
add action=drop chain=forward comment="block bad IP" dst-address=127.0.0.0/8
add action=drop chain=forward comment="block bad IP" src-address=224.0.0.0/3
add action=drop chain=forward comment="block bad IP" dst-address=224.0.0.0/3
add action=jump chain=forward comment="jumps to new chains" jump-target=tcp \
protocol=tcp
add action=jump chain=forward comment="jumps to new chains" jump-target=udp \
protocol=udp
add action=jump chain=forward comment="jumps to new chains" jump-target=icmp \
protocol=icmp
add action=drop chain=tcp comment="deny TFTP" dst-port=69 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 protocol=\
tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 protocol=\
tcp
add action=drop chain=tcp comment="deny NBT" dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment="deny cifs" dst-port=445 protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 protocol=\
tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\
tcp
add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 protocol=tcp
add action=drop chain=udp comment="deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 protocol=\
udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 protocol=\
udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp
add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=\
udp
add action=accept chain=icmp comment="drop invalid connections" icmp-options=\
0:0 protocol=icmp
add action=accept chain=icmp comment="allow established connections" \
icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="allow already established connections" \
icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 \
protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=drop chain=udp comment="deny dhcp" dst-port=67-68 protocol=udp
add action=accept chain=input comment=\
"Allow access to router from known network" src-address=192.168.255.0/24
add action=accept chain=input comment=\
"Allow access to router from known network" src-address=192.168.190.0/24
add action=accept chain=input src-address=10.0.0.0/8
add action=accept chain=input src-address=89.135.50.64/26
add action=accept chain=input src-address=89.135.50.64/26
add action=accept chain=forward src-address=89.132.156.147
add action=drop chain=input comment="Drop anything else"
add action=add-src-to-address-list address-list=smtp-spammer \
address-list-timeout=4w2d chain=forward dst-address-list=!smtp-szerverek \
dst-port=25 out-interface=UPC protocol=tcp
add action=drop chain=forward dst-port=25 out-interface="UPC Port 1" protocol=\
tcp src-address-list=!kivetelek
/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
"UPC primary - IP range (alap tartomany)" disabled=yes dst-address=\
!89.132.155.172 new-routing-mark="UPC primary" passthrough=no src-address=\
89.132.155.160/29
add action=mark-routing chain=prerouting comment=\
"UPC primary - IP range (extra tartomany)" disabled=yes dst-address=\
!89.132.155.172 new-routing-mark="UPC extra tartomany" passthrough=no \
src-address=89.132.156.128/27
add action=mark-routing chain=prerouting comment=\
"UPC primary - IP range (extra tartomany)" disabled=yes dst-address=\
!89.132.155.172 new-routing-mark="UPC extra tartomany 2" passthrough=no \
src-address=89.135.54.0/25
add action=change-mss chain=forward new-mss=clamp-to-pmtu protocol=tcp \
tcp-flags=syn
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
disabled=yes
add action=masquerade chain=srcnat out-interface="UPC Port 1" src-address=\
10.10.10.0/24
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.190.212 \
dst-port=18767 protocol=tcp src-port=18767 to-addresses=192.168.190.212 \
to-ports=18767
add action=dst-nat chain=dstnat disabled=yes log=yes protocol=tcp src-address=\
192.168.190.212 src-port=18767 to-addresses=192.168.190.10 to-ports=18767
add action=src-nat chain=srcnat comment=\
"Apartman nem publikus cimek mas forrasra natol\E1sa" disabled=yes log=yes \
protocol=tcp src-address=192.168.190.212 src-port=18767 to-addresses=\
192.168.190.10 to-ports=18767
add action=src-nat chain=srcnat comment=\
"Apartman nem publikus cimek mas forrasra natol\E1sa" out-interface=\
"UPC Port 1" src-address=192.168.190.0/23 to-addresses=89.135.50.65
add action=src-nat chain=srcnat comment=\
"Apartman nem publikus cimek mas forrasra natol\E1sa" disabled=yes \
dst-address=!91.120.14.98 out-interface=UPC src-address=192.168.190.0/23 \
to-addresses=91.120.14.129
add action=src-nat chain=srcnat comment="TESZT gep/port natol\E1sa" disabled=\
yes dst-address=!91.120.14.98 out-interface=UPC src-address=\
192.168.254.0/24 to-addresses=91.120.14.129
add action=src-nat chain=srcnat comment="TESZT gep/port natol\E1sa" \
dst-address=!89.132.155.172 out-interface="UPC Port 1" src-address=\
192.168.254.0/24 to-addresses=89.135.50.65
add action=src-nat chain=srcnat comment=\
"PPPOE nem publikus cimek mas forrasra natol\E1sa" disabled=yes \
dst-address=!91.120.14.98 out-interface=UPC src-address=10.0.0.0/24 \
to-addresses=91.120.14.129
add action=src-nat chain=srcnat comment=\
"PPPOE nem publikus cimek mas forrasra natol\E1sa" dst-address=\
!89.132.155.172 out-interface="UPC Port 1" src-address=10.0.0.0/24 \
to-addresses=89.135.50.65
add action=masquerade chain=srcnat comment="Mail szerver NATol\E1sa" disabled=\
yes out-interface="UPC Port 1" src-address=192.168.255.0/24 to-addresses=\
91.120.14.97
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=22 protocol=tcp to-addresses=192.168.255.1 to-ports=\
22
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=25 protocol=tcp to-addresses=192.168.255.1 to-ports=\
25
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=18767 protocol=tcp to-addresses=192.168.190.10 \
to-ports=18767
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=110 protocol=tcp to-addresses=192.168.255.1 to-ports=\
110
add action=dst-nat chain=dstnat comment="Mail portbedobas UPC-rol" dst-address=\
89.135.50.65 dst-port=80 protocol=tcp to-addresses=192.168.255.1 to-ports=\
80
add action=dst-nat chain=dstnat comment="monornet to datanet smtp redit" \
dst-address=213.46.255.2 dst-port=25 protocol=tcp to-addresses=\
194.149.13.165 to-ports=25
add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
89.132.155.172 dst-port=49256 protocol=tcp to-addresses=192.168.255.2 \
to-ports=49256
add action=dst-nat chain=dstnat disabled=yes dst-address=89.132.155.172 \
dst-port=63320 protocol=tcp to-addresses=192.168.255.199 to-ports=63320
add action=dst-nat chain=dstnat comment="Teszt remote" disabled=yes \
dst-address=89.132.155.172 dst-port=2222 protocol=tcp to-addresses=\
192.168.254.2 to-ports=3389
add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
89.132.155.172 dst-port=2075 protocol=tcp to-addresses=192.168.190.232 \
to-ports=50000
add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
91.120.14.98 dst-port=40000 protocol=tcp to-addresses=192.168.255.1 \
to-ports=21
add action=dst-nat chain=dstnat comment="Torrent\?" disabled=yes dst-address=\
89.132.155.172 dst-port=33303 protocol=tcp to-addresses=192.168.255.2 \
to-ports=2075
add action=dst-nat chain=dstnat dst-port=25 protocol=tcp src-address=\
192.168.190.43 to-addresses=192.168.150.199 to-ports=63320
add action=dst-nat chain=dstnat comment="Mail portbedobas ADSL-rol" \
dst-address=192.168.255.254 dst-port=25 protocol=tcp to-addresses=\
192.168.255.1 to-ports=25
add action=dst-nat chain=dstnat dst-address=89.135.54.80 protocol=t
to-addresses=192.168.190.8 to-ports=0-65535
add action=src-nat chain=srcnat protocol=tcp src-address=192.168.19
to-addresses=89.135.54.80 to-ports=0-65535
add action=dst-nat chain=dstnat comment="monornet to datanet smtp r
dst-address=213.46.255.2 dst-port=25 protocol=tcp to-addresses=
194.149.13.161 to-ports=25
add action=dst-nat chain=dstnat comment="monornet to datanet smtp r
dst-address=213.46.255.2 dst-port=25 protocol=tcp to-addresses=
194.149.13.163 to-ports=25
add action=masquerade chain=srcnat comment="masquerade hotspot netw
disabled=yes src-address=192.168.20.0/24
add action=masquerade chain=srcnat comment="masquerade hotspot netw
disabled=yes src-address=89.135.50.64/26
add action=masquerade chain=srcnat comment="masquerade hotspot netw
disabled=yes src-address=89.135.50.64/26
/ip firewall service-port
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes

Mindössze az kéne nekem hogy mondjuk a 192.168.190.31 és 192.168.190.32-es ip című gép tudjon egymással kommunikálni

Sziasztok!
Ujabb fennakadásba ütköztem.
OpenVPN szervert indítottam a mikrotik RB-on.
Tökéletes az eredmény amennyiben a telefonomról(=android7.0) csatlakozok, akár másik wifi, akár mobilnetről.
Viszont a notebookom nem hajlandó csatlakozni.
Open VPN kliens fentvan, ugyan azokat a crt-ket másoltam be neki amit a telefonnak, ugyan az a *.ovpn fájl, ami a telefonon. Mi lehet a baja?

A hibaüzenet a következő:
Wed Nov 01 15:19:21 2017 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Wed Nov 01 15:19:21 2017 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Nov 01 15:19:21 2017 MANAGEMENT: >STATE:1509545961,RESOLVE,,,,,,
Wed Nov 01 15:19:21 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]IP:PORT
Wed Nov 01 15:19:21 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Nov 01 15:19:21 2017 Attempting to establish TCP connection with [AF_INET]IP:PORT [nonblock]
Wed Nov 01 15:19:21 2017 MANAGEMENT: >STATE:1509545961,TCP_CONNECT,,,,,,
Wed Nov 01 15:19:22 2017 TCP connection established with [AF_INET]IP:PORT
Wed Nov 01 15:19:22 2017 TCP_CLIENT link local: (not bound)
Wed Nov 01 15:19:22 2017 TCP_CLIENT link remote: [AF_INET]IP:PORT
Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,WAIT,,,,,,
Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,AUTH,,,,,,
Wed Nov 01 15:19:22 2017 TLS: Initial packet from [AF_INET]IP:PORT, sid=4b8ef1ab ee265ca9
Wed Nov 01 15:19:22 2017 OpenSSL: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
Wed Nov 01 15:19:22 2017 TLS_ERROR: BIO read tls_read_plaintext error
Wed Nov 01 15:19:22 2017 TLS Error: TLS object -> incoming plaintext read error
Wed Nov 01 15:19:22 2017 TLS Error: TLS handshake failed
Wed Nov 01 15:19:22 2017 Fatal TLS error (check_tls_errors_co), restarting
Wed Nov 01 15:19:22 2017 SIGUSR1[soft,tls-error] received, process restarting
Wed Nov 01 15:19:22 2017 MANAGEMENT: >STATE:1509545962,RECONNECTING,tls-error,,,,,
Wed Nov 01 15:19:22 2017 Restart pause, 5 second(s)

[ Szerkesztve ]

Ugyan ez a gép, ugyan ezekkel a fájlokkal linux alól felcsatlakozik, majd 5mp múlva automatikusan le. A telefon mindvégig fentmarad mig én le nem választom, vagy szerver(=tehát én)

Wed Nov 1 15:46:12 2017 VERIFY OK: depth=1, C=HU, ST=HB, L=Debrecen, O=Home, OU=MyOrganizationalUnit, CN=Home CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Nov 1 15:46:12 2017 VERIFY OK: depth=0, C=HU, ST=HB, L=Debrecen, O=Home, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=me@myhost.mydomain
Wed Nov 1 15:46:12 2017 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 1 15:46:12 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 1 15:46:12 2017 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Wed Nov 1 15:46:12 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 1 15:46:12 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 AES256-GCM-SHA384, 2048 bit RSA
Wed Nov 1 15:46:12 2017 [server] Peer Connection Initiated with [AF_INET]IP
Wed Nov 1 15:46:15 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:20 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:25 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Nov 1 15:46:25 2017 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 192.168.0.1,ping 20,ping-restart 60,topology subnet,route-gateway 192.168.90.1,ifconfig 192.168.90.7 255.255.255.0'
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: timers and/or timeouts modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: --ifconfig/up options modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: route-related options modified
Wed Nov 1 15:46:25 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Nov 1 15:46:25 2017 ROUTE: default_gateway=UNDEF
Wed Nov 1 15:46:25 2017 ERROR: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Wed Nov 1 15:46:25 2017 Exiting due to fatal error

Na még azt mondd meg, hogy mit jelent, hogy "elérjék egymást" vagy "tudjanak kommunikálni".

Ezek windowsos gépek és fájlmegosztást szeretnél? Vagy mire kell gondolni?

itt van ez a két ugrás:
add action=jump chain=forward comment="jumps to new chains" jump-target=tcp \
protocol=tcp
add action=jump chain=forward comment="jumps to new chains" jump-target=udp \
protocol=udp

nos ezek elé kell neked két szabály (nyilván gep1ip és gep2ip címét írd be helyesen)

add action=accept chain=forward dst-address=gep2ip src-address=gep1ip
add action=accept chain=forward dst-address=gep1ip src-address=gep2ip

persze ezzel minden forgalmat engedélyezel a két gép között

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Sziasztok!

Tudja valaki, hogy egy MikroTik RB750GL milyen sebességet tud WAN-LAN irányban PPPoE-vel?

Igen most ideiglenesen ez kell hogy minden forgalom menyjen a 2 gép közt

Lehet én értek valamit félre, de neked nem MAngle kell véletlen?
/ip/firewall/mangle

H 2 szabály segítségével 2 cím közt összeirányítsd a csomagokat?

frissítsd azt a linuxot, az openvpn csomagot legalábbis, lehet régi a verzió, de fordítva is lehet baj, a ros-t is a legfrissebbre.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

max 200körül kb... de lehet kevesebbet..

Közben sikerült megoldani most működik bár nem mondom hogy tudom pontosan melyik szabály kikapcsolása vagy hozzáadása oldotta meg, de majd alkalom adtán végigjátszom

Üdv,

Lenne pár kérdésem:
-1 Gbps-es nethez milyen milyen router kellene? (PPPoE NAT-olással. WAN-LAN irányba.) RB750GL elég lenne?
-Tudnak-e a Mikrotik routerek DHCP-n egy MAC címhez több IP címet osztani?
-Tudok-e WINS szevert is kiosztani DHCP-vel?
-VPN-hez milyen lehetőségek vannak?

Előre is köszi.

[ Szerkesztve ]

Switch Tax

Ja igen, még valami:
- no-ip-re tud WAN IP-t frissíteni?

Switch Tax

A linuxot pár napja telepítettem,
VERSION="16.04.3 LTS (Xenial Xerus)"
Az openvpn csomag hivatalos forrásból van szintén pár napos.
A windows-os kliens dettó, openvpn weboldalról van és ugyan úgy ledob.
A router os-t most frissítettem, current 6.40.4 es, ugyan az a hiba.

nagyon nem
nem hiszem, hogy maga a dhcp ezt megengedi
igen
majdnem minden félét ismer, pptp, sstp, l2tp, openvpn (ezt csak tcp-n)
no-ip: azt tudja amilyen scriptet megírsz, vagy találsz. DNSoMatic script biztosan van, az elég sok mindent ismer, többek között a no-ip -t is, itt egyszerre tudsz frissíteni több címet is.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Köszi a válaszokat. Milyen routert lenne érdemes nézni akkor? Switch van külön, elég ha 1-1 port között tudja a sebességet.

DHCP-hez, itt azt írja:

When the RRAS server starts with the Use DHCP to assign remote TCP/IP addresses option, it instructs the DHCP client on the RRAS server to obtain 10 IP addresses from its configured DHCP server.

Mostani TP-link log-jában látom a request-eket, de ugyanazt az IP-t adja oda neki.

Switch Tax

Igen, de ennek semmi köze a normál DHCP-hez. Az RRAS szerver induláskor lefoglal 10 IP címet, hogy majd a DIAL UP klienseknek ő oda tudja adni.

Az én magánvéleményem: (és szigorúan kisvállalati x<30)
- ha nem muszáj, nem kényszer, akkor nem használok windows szervert.
- ha már muszáj windows szervert használni, akkor sem használom a DHCP -t windowson.
- azért használok mikrotik routert, mert a vpn is sokkal egyszerübb a telephely-telephely és a telephely-kliensek között is.

Tehát RRAS = windows szerver + dhcp szerver + vpn (vagy egyéb dial-up)

/RRAS = Routing and Remote Access Service/

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Itt a hiba! Ms mindig okosabb akar lenni, mint a sok ezer felhasználója, el se tudja képzelni, hogy windows szervert használ valaki, de nem az a dhcp szerver. Ergo, amikor ő azt mondja, hogy lekér 10 ip címet a dhcp szervertől akkor ezen csak a saját dhcp szerverét értheti.

Utoljára 2003-as r2 windows szerveren csináltam ilyet, ott ezt a 10-t tényleg jó előre lefoglalta, de azért állítani lehetett, hogy 10 legyen v. kevesebb, vagy melyik 10, mert azt amit így lefoglalt, azt ki is kellett zárni még (ha emlékeim nem csalnak) a dinamikusan kiosztott ip címek közül. (lehet automatikusan megcsinálta, mert olyan intelligens volt ) Ms egyébként mindig is tojt a teljes szabvány leírásokra, nem véletlen sokszor az inkompatibilitás.

Mikrotikéknál nem így megy a dolog, ha létrehozol egy pool-t, onnan kaphatnak ip-t a vpn kliensek. De itt egy rendes routeren vagy, nem vagy kötve egy alhálózathoz, lehet több pool, több alhálózat, stb. A vpn klienseknek nem kell feltétlenül ugyanabba az alhálózatba lenni, stb. , egy név/jelszó párral többször is lehet csatlakozni, ha olyan a beállítás és mindig új ip-t kap, stb.

Hogy milyen router kell otthonra, azt nem tudom, de én mostanában mindenhova a 3011-t veszem (ahol elég a pénz), sok memória, gyors, stb, viszont nincs benne a wifi, azt külön kell megoldani.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Na igen, most olvasom ezt is, hogy:

The Windows DHCP service provides a predefined user class named Default Routing and Remote Access Class for assigning options that are provided only to RRAS clients.

Vagyis valószínűleg tényleg csak Windows-os DHCP-vel menne ez.

Wifi is, Switch külön van megoldva, csak router kellene.
Ennél a 3011-nél egyszerűbb, olcsóbb is megtenné szerintem.

Switch Tax

Olcsóbb van, de egyszerűbb? Mindegyiken a RouterOS fut, nem bonyolultabb egyik sem a másiknál.

Még egy típus van, ami talán -erre nincs tapasztalatom- átviszi a gigabitet talán és olcsóbb a 3011nél:
MikroTik hEX RB750Gr3, kb harmad annyiba kerül.

De nekem most több dolgom nincs, hogy kipróbáljam:
-hex gr3, na jó ez nem lenne akkora probléma
-gigabites net, tudnék csinálni saját pppoe szervert, hogy leteszteljem
-szabad idő és kedv, ez az ami miatt hamvába hal az ötlet

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Nem szoftveresen, hanem hardveresen egyszerubbre gondoltam.

Azt a hex-et nézegettem én is egyébként. Mikrotik-nál van hardveres gyorsítású NAT-olás, vagy prociból csinálja?

Switch Tax

tévedés, nem dhcp szerverből kéri az ip címet, hanem dhcp szerver segítségével.

ha elolvasod az ms kottát, ott leírja, hogy dhcp-n keresztül kér a rras szerver kliens oldalára 10 ip címet, vagyis nem a dhcp kliens oldalára kéri a 10 címet, hanem a rras oldalra.

ez így teljesen jól van. viszont te nem ezt kérdezed.

egy mac-hez csak akkor fog a dhcp különböző ip címeket hozzárendelni, ha más-más broadcast tartományból jön, de akkor is csak egyet.

a mikrotikekben a vpn szerverek osztanak maguktól ip címet, ha úgy állítod be. vagy adhatsz ip címet radiuson keresztül.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis