[Itt] nézd meg.

Gyurka

IPv6 esetén nem szokás NAT-olni csak éppen ahogy a Pista bácsi az antiszemitizmussal: igény volna rá még ha simán a tűzfalazáshoz nem is kell, valamint a Prefix Translationnak nincs is olyan mellékhatása, mint az IPv4 esetén elterjedt NAT-NAPT megoldásnak.
Mondjuk gondolom a SIP-RTP ugyanúgy nem örül ha megbolygatják a prefix-et, mintha az egész címet változtatnák, de pl szolgáltatói támogatás nélkül multi WAN-hoz nem ártana valamilyen NAT megoldás, pláne ha terhelésmegosztást is szeretnénk.
Más kérdés, hogy a ROS 6 nem hogy NAT-olni nem tud IPv6 alatt, de ha jól rémlik a csomagokat se bírja jelölni.

Le az elipszilonos jével, éljen a "j" !!!

Hasznosnak tűnik, köszi!

(#8002) E.Kaufmann
Ennyire mélyen sajnos nem ástam bele magam. Ha a csomagok jelölése alatt olyan mangle rulet értesz, aminek az actionje mark packet v. mark connection, akkor tudja, legalábbis úgy tűnik, jól működik.

Köszi!

"- PPPoE reconnectkor kérjen új prefixet, ezt valószínűleg halál egyszerű megoldani, csak még nem foglalkoztam vele"
Asszem a PPPoE csatlakozásnál lehet szkriptet futtatni...
"- Új prefix kérése esetén valahogyan értesíteni és erőltetni a klienseket (saját gépeim), hogy ők is kérjenek új címet, mert jelenleg ha 7 naponta szakít a Digi, vagy nyomok egy kézi PPPoE reconnectet, a gépek nem tudnak IPv6-on kommunikálni, mert másik prefixet oszt ki a digi... Nyilván nagyon rövid lease time-mal meg lehetne oldani, de ez elég szar megoldásnak hangzik."
Ebben nincs semmi extra. A lease-t be kell állítani 600 secre (10 m azaz 10 perc), nekem a régi routerrel ennyi volt.
"IPv6 esetén nem szokás NAT-olni, éppen az a lényege, hogy tengernyi cím van, minden eszköznek lehet és lesz is publikus IPv6 címe. Azért kapsz a Digitől egy teljes /64 prefixet, hogy bőven jusson minden eszközödnek saját publikus IPv6 cím.
Ezért érdemes figyelni arra, hogy a routereden állíts be értelmes IPv6 tűzfalszabályokat, hiszen közvetlenül az internetről elérhetőek lesznek a gépeid."
IPv6-hoz is kell a fasttrack beállítása az extra sebességért? Egyébként akkor már ugye a tűzfalat is frissíteni kell ha jön új prefix, bár ez talán ha az előző kettő megoldódik, simán össze lehet kötni.

(#8003) Watercolour:
Ha jutsz valamire, feltétlen számolj majd be róla, működőképesre kalapálnám én is.

[ Szerkesztve ]

üdv, adika4444

"Asszem a PPPoE csatlakozásnál lehet szkriptet futtatni..."
Valóban, ezzel a scripttel sikerült is megoldani az új prefix kérést PPPoE csatlakozáskor, persze az interfész és a pool nevét átírtam a sajátomra, illetve a delayt csökkentettem 3-ra.

"Ebben nincs semmi extra. A lease-t be kell állítani 600 secre (10 m azaz 10 perc), nekem a régi routerrel ennyi volt."
Ez inkább megkerülésnek mint megoldásnak tűnik nekem, bár az előző scriptet beállítva látszólag működik a dolog.

"IPv6-hoz is kell a fasttrack beállítása az extra sebességért?"
Kellene, de a RouterOS jelenleg nem támogatja az IPv6 fasttracket. Ha komolyabb sebességgel forgalmazok IPv6-on adatot, kicsit meg is ugrik a routerem CPU-ja:

"Egyébként akkor már ugye a tűzfalat is frissíteni kell ha jön új prefix, bár ez talán ha az előző kettő megoldódik, simán össze lehet kötni."
Ha van olyan tűzfalszabályod, amibe hardcode-oltál címeket, akkor valószínűleg igen.

(#8001) Gyurka6
Köszi a linket, hasznos volt!

Nagy nehezen rájöttem, hogy miért ez a sok le/felcsatlakozás:
Némelyik eszköz nem szereti a szélső csatornákat, addig nem nyugszik, míg középsőt nem talál.

5G-n melyik csatorna az általánosan elfogadott? Mert ott is van le/fel szédelgés

Köszi, ki fogom próbálni!

Felmerült közben egy újabb kérdésem. Ahol van export parancs, ott ugye SSH-n ki tudom íratni a parancsokat, amivel elérhetem az adott állapotot.
Hogy tudom ezt fájlba írni amit aztán lementek?

"Ez inkább megkerülésnek mint megoldásnak tűnik nekem, bár az előző scriptet beállítva látszólag működik a dolog."
Mekkora bérleti idővel végül?

"Ha van olyan tűzfalszabályod, amibe hardcode-oltál címeket, akkor valószínűleg igen."
Azt szeretném, hogy alapvetően csak a related,established kapcsolatok menjenek át, és csak egy eszközre lehessen kívülről új kapcsolatot nyitni (home server). Ide már esélyesen kelleni fog ez, meg a cím vége, amit kioszt az adott gépnek a router.

[ Szerkesztve ]

üdv, adika4444

Nekem egy hAP AC2 5220 MHz-n megy. Ez kimondottan stabil az eddigi egy napos tapasztalatom alapján.

üdv, adika4444

hol akarod fájlba írni?
ha a mikrotiken, ott több helyen is van a print parancsnak fájlkimenet opciója.
ha azon a gépen, ahol ssh-ztál, ott azon a gépen kell az ssh kimenetét lerakni fájlba. linuxon ez triviális.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

export file=mentesfileneve.rsc
/tool e-mail set address=smtp.smtpszerverneve.hu from=Mikrotik<feladómailcime@domain.hu> password=smtp-password user=smtp-username
/tool e-mail send to=cimzett@digikabel.hu subject="Backup $filename" \
body="Mikrotik backup\r\n" \
file="mentesfileneve.rsc"
Amúgy ITT írtam erről is kicsit bővebben, esetleg olvasd el.

".... IPv6 esetén nem szokás NAT-olni, éppen az a lényege, hogy tengernyi cím van, minden eszköznek lehet és lesz is publikus IPv6 címe. Azért kapsz a Digitől egy teljes /64 prefixet, hogy bőven jusson minden eszközödnek saját publikus IPv6 cím.
Ezért érdemes figyelni arra, hogy a routereden állíts be értelmes IPv6 tűzfalszabályokat, hiszen közvetlenül az internetről elérhetőek lesznek a gépeid. ...."
Ezzel kapcsolatban nem értek valamit. Ugye azért kezdtek anno dinamikus IP címeket kiosztani mert kevés az ipv4 cím. Oké, de ha ipv6 címből van bőven, akkor azt mi a fenének kell gyakran cserélgetni?? Ha a LAN minden eszköze kap publikus címet, akkor azért az elég nagy biztonsági kockázat is egyben, tehát jó tűzfal kell. De ha a LAN eszközök címe is állandóan változik akkor valamilyen névhozzárendelés alapján is lehet kezelni a tűzfalban az eszközöket? Vagy olyan tűzfalszabályok kellenek amik mondjuk MAC address alapján dolgoznak? (ilyesmit mintha tudna a mikrotik !?)

[ Szerkesztve ]

"Ugye azért kezdtek anno dinamikus IP címeket kiosztani mert kevés az ipv4 cím.": nem. azért lett privát címtartomány meg a nat, mert kevés az ip cím. a dinamikus kiosztás ettől független történet. azért osztják dinamikus protokollon az ip címet, hogy címcsere esetén ne kelljen végigmenni többezer user gépén és átállítani.

a címcsere pedig azért van, hogy ne üzemeltess otthon szervert.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"Ha a LAN minden eszköze kap publikus címet, akkor azért az elég nagy biztonsági kockázat is egyben, tehát jó tűzfal kell."

Haaat, ha azt gondolod, hogy a NAT megved, akkor van egy (vagy tobb) rossz hirem...

Windows-om van, OpenSSH-val. Megnézem, mit tudok tenni, hogy ide írja, de lehet, első körben az eszköz diszkjére rakom.
(#8010) ekkold:
Ezt a remek leírást használtam a router konfigjához - köszi, hogy elkészítetted!
A konfigmentős részt valamiért beállításnál átsiklottam, de ez lesz az! SMB-vel fogom lehúzni, a mail-lal nem akarok jelenleg szórakozni.

Mennyire problémás, ha 1 nap uptime alatt 2500-nál jár a write-sect-total?

[ Szerkesztve ]

üdv, adika4444

Nem gondolom, hogy a NATolás megvéd, de mindenképpen megnehezíti a támadó dolgát.

Ha nem üzemeltet(nék) otthon szervert, akkor minek kellene publikus cím az eszközök számára?

[ Szerkesztve ]

Nálam jelenleg 64nap 2óra az uptime, és 151348 a total write. Ez arányaiban kb. ugyanannyi mint nálad.
A backup amúgy FTP-vel is megy, ha van szervered, akkor pikk-pakk feltölti rá. A mikrotik a saját filesystemében nem biztos hogy szerencsés sokat írogatni. Az újabb tipusoknál /flash mappa megy a "diszkre" a gyökérkönyvtár a RAM-ban van (tehát trölődik ujrainduláskor), ha pendrájvot is bedugsz, akkor az a /disk1 mappában lesz elérhető (legalábbis az én routeremen így van). Ha helyi mentést akarsz csinálni, akkor célszerű valamilyen háttértárat kötni az USB-re, és arra írogatni.

Köszi!

Más:
Megcsináltam a fenntebb linkelt szkriptet, de nem működik. Szépen lefut, meg is kapja az új prefixet a DHCP kliens + az addressesnél is látom, de vlmiért az én DHCP szerverem nem osztja már tovább...

üdv, adika4444

Sziasztok,

Segítsetek kérlek, küzdök mint disznó a jégen már 3 napja.
Digi net (pppoe, nincs NAT-olva az IP-m ) - mikrotik router - TS3 szerver PC-n.
NAT beállítás a routerben:

ugyanezzel a beállítással csak értelem szerűen más portokkal és más belső IP-vel a transmission megy, külső hálózatról elérem. Az eszközök fix IP-n vannak LAN-on.
Az internet szerintem összes fellelhető variációját kipróbáltam már erre a problémára, de csak nem akar összejönni. Belső hálózaton lehet csatlakozni a TS szerverre.
Eddig a DIGI eszköze is router módban ment, de amióta átállíttattam AP-ra, azóta szenvedek, hogy újra beüzemeljem a TS szervert.
Elvesztem, nincs több ötletem, hogy hol lehet a hiba.

Nem tudom már szerkeszteni az előzőt
A két felső sor cseréje - elvileg - megoldotta, de most már nem csinálok újabb PPPoE reconnectet, a szkript futtatása látszólag remekül megy. Élesben majd holnap rápróbálok.

szerk: Megadtam 0d 00:10:00-t a lease time-nek a DHCPv6 szervernél, de nem izgul rá, továbbra is magas a lejárati idő a Linuxos gépen.

[ Szerkesztve ]

üdv, adika4444

Ha korábban kapott hosszabb lejáratú ip-t a kliens, akkor addig tojik az új beállításokra, míg az előző le nem jár.

ipconfig /release
ipconfig /renew

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Ez a baj, hogy az új címre sem alkalmazza. Azt tudom, hogy egyszer lekéri, és meglévő címnél már nem változik.

Linuxon amúgy sudo ifdown eth0 && sudo ifup eth0 (eth0 helyére az interface, nekem br0).

üdv, adika4444

Közben meglett a megoldás, Hairpin NAT. A kérdés csak az, hogy tényleg ezt kerestem?
[link]
Rákeresve a Hairpin NAT-ra az interneten elég sok variáció van.
Van a videóban mutatott módszernek valami biztonsági kockázata?

Ha azt szeretnéd hogy bentről is elérd a külső címen, akkor igen, erre van szükséged

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Nálam nagyjából ennyi, hogy bentről is elérhetők legyenek a külső címek:
/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.0.0/16 src-address=192.168.9.0/24

[ Szerkesztve ]

Amit a videó második felében csinál, akkor gyakorlatilag felesleges? Nekem ugye az volt a gondom, hogy TS szerverre nem tudtam csatlakozni külső címmel, azt ez oldotta meg. Próbáltam minden lépés után, hogy jó e már, de csak onnantól működött, hogy mindent megcsináltam ami a videóban is van

Nekem egy NAS van a hálózatomon, ahhoz elég ennyi, hogy a belső hálóból, a külső IP-n elérjem.

Viszont, ez csak akkor megy, ha kintről amúgy egyébként elérhető az eszköz. Továbbá ha az eszközhöz való portfordítás (dst-nat) nincs leszűkítve a WAN portra, vagy ha a belső IP-re is van felvéve dst-nat.

Persze más lehetőség is van ami hasonló eredményt ad, pl. IP listát kell felvenni, és a listán levő címekre alkalmazni a dst-nat -ot, de ez az adott helyi hálózat felépítésétől is függ.

[ Szerkesztve ]

Tehát a NAS elérése kintről:
/ip firewall nat
add action=dst-nat chain=dstnat comment="NAS DSM HTTPS kiford\EDt\E1sa" dst-address-list=wan dst-port=5000-5001 protocol=tcp to-addresses=192.168.9.120 to-ports=5000-5001

A dst-addres-list esetében pedig a WAN oldalí címem benne van egy IP listában, valahogy így:
/ip firewall address-list
add address=9xxxxxxxxx2.sn.mynetname.net list=wan
Persze ehez be kell kapcoslni az ip cloud-ot.

Ez kiegészítve a korábbival elérhetővé teszi kintről és bentről is a szervert.

[ Szerkesztve ]

Na ez így sok lehet részekre szabdalva, foglaljuk össze:

# Mikrotik dyndns bekapcsolása
/ip cloud
set ddns-enabled=yes update-time=no

# wan oldali IP cím felrakása egy listára
# a dyndns név kimásolható az /ip cloud menüből
/ip firewall address-list
add address=gyariszam.sn.mynetname.net list=wan

# a szükséges portok kifordítása a külső ip címre
# itt nyilván több sor is lehet, a szükséges portoktól függően
/ip firewall nat
add action=dst-nat chain=dstnat comment="NAS DSM HTTPS kifordit" dst-address-list=wan dst-port=5000-5001 protocol=tcp to-addresses=192.168.9.120 to-ports=5000-5001

#ez csak ahoz kell hogy bentről is elérhetők legyenek a kifordított portok, a külső IP-re hivatkozva
/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.0.0/16 src-address=192.168.9.0/24

Így átlátható, ill. megérthető, hogy mi és miért van?
Annyi még furcsa lehet (de attól még működik) hogy az utolsó sor két LAN cím között NAT-ol, pedig egy külső IP-re hivatkozunk, de a mikrotik "észreveszi" hogy az a külső cím is a saját címe, és ezért működni fog a NAT-olás.

[ Szerkesztve ]

Olyat lehet DDNS nélkül, hogy mint egy sima ASUS, TP esetében elérjem a belül lévő eszközöket külső IP alapján? Tehát ne kelljen minden forward szabállyal eljátszani a kifordítást. Most tűnt fel, hogy külső címmel nekem sem megy a belső cuccok elérése, Telenor mobilneten minden jó. Az IPv6 miatt eddig fel sem tűnt, csak most, hogy IPv4 alapján próbálkozok

szerk: Ez a MikroTik féle DDNS mennyire jó a gyakorlatban? Hallottam olyasmit, hogy megbízhatatlan picit...

[ Szerkesztve ]

üdv, adika4444

Rossz a kérdés, mert a gyakorlatban "forward szabály" = "kifordítás", egyetlen kivétel ha a mikrotik belső LAN címére forwardolsz, de akkor meg működni fog minden egyéb nélkül... tehát a korábbi forward szabály maga a kifordítás, csak nem a wan porthoz van rendelve a bejövő port, hanem a wan IP címhez. A forwardolás meg mindenképpen kell ha egy eszközt kívülről el akarsz érni - itt csak az a különbség, hogy nem mindegy hogyan..

A saját eddigi tapasztalatom szerint "a MikroTik féle DDNS" megbízhatóan működik.

Amúgy megoldható ddns nélkül is, (sokféle működőképes megoldás létezik) csak éppen így a legegyszerűbb szerintem.

Én is így oldottam meg, és működik évek óta szépen.

Láma kérdés, de mi köze a címfordításnak a DDNS-hez?

Semmi, de esetünkben a kollégának kellett ez is, hacsak nincs statik IP-je

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Nálam van egy NAS, amin megy a Transmission és DLNA szerver. A transmissiont elértem külső és belső címről is. Amit nem bírtam felfogni, hogy miért nem érem el a gépre telepített Teamspeak szervert a gépről külső címmel. Belső címet megadva ment. Mondjuk azt nem próbáltam, hogy amikor a géppel próbáltam elérni külső címmel a gépen lévő szervert és nem működött, akkor ha külső hálózatról próbáltam volna ment volna e.
Egyébként tuti ennyi volt csak a baja, hogy ez a szabály kellett bele, ugyanis ahogy írtam addig tökéletesen működött ameddig a szolgáltató eszköze is routolt a mikrotik felett, de ahogy az át lett állítva AP módba onnantól halt meg minden.

Szuper, köszönöm a részletes magyarázatot.

Alaphelyzetben ha olyan NAT szabályt (vagy akár tűzfal szabályt) akarsz létrehozni amiben a WAN oldali IP cím is szerepel, akkor azt az IP címet bele kellene írni a szabályba. Csakhogy ez az IP időnként változik, én viszont valamiért nem szeretném minden IP változáskor átírogatni a NAT szabályt . Erre persze könnyedén lehetne írni mondjuk egy scriptet ami megteszi helyettem.
De... itt jön a képbe a dyndns, és az IP cím listák. IP listára fel lehet tenni domain neveket is, és a hozzájuk tartozó IP automatikusan frissül a listában. Tehát ha létrehozok egy wan elnevezésű IP listát, a router dyndns nevével, akkor az mindig az aktuális wan oldali IP-t fogja tartalmazni. IP listára pedig bármely NAT vagy tűzfal szabály tud hivatkozni, bármilyen script megírása nélkül is. Viszont ahhoz, hogy ez így működjön kell a dyndns, amit amúgy is használok másra, tehát adja magát a dolog.
Mint írtam van többféle más megoldás is, de ez így elég egyszerű, és jól is működik.

[ Szerkesztve ]

Adódott egy új probléma. Amióta be lett állítva ez a NAT, azóta az elszigetelt wifi hálózaton nincs internet sem.
Ennek mi lehet az oka?

Sziasztok!

Adott két hálózat más IP tartománnyal és saját internettel 1-1 mikrotik eszközön
Az egyik hálózaton van egy nyomatót és meg szeretném oldani, hogy erre a másik hálózatból is lehessen nyomtatni. Mindkettőn van szabad interface, gondoltam ezen összekötöm őket.
Ebben kérnék segítséget.
Köszönöm!

Crowley

Akkor kapcsold ki próbaképpen ezt a NAT szabályt, hogy akkor megjavul-e?
Amúgy ehhez ismernünk kellene a router többi beállítását, hogy erre értelmes választ lehessen adni.

Nagy vonalakban: mindkét szabad portnak amiket összekötsz, adsz egy-egy IP címet, (ami egyik LAN tartományában sincs benne), pl. 10.10.10.1/24 és 10.10.1.2/24. A routerekbe felveszel egy-egy routing szabályt ami a másik router LAN tartományának eléréséhez az ETH túlvégén levő IP rendeli gatewayként. Ekkor a két IP hálózat átjárható lesz, azaz látni fogják egymást a két hálózatban levő eszközök. Ezután megfelelő tűzfal szabályokkal beállítod, hogy ki és mihez férhet hozzá...

Ha az egyik végét az egyik mikrotikbe dugod, akkor kizárásos alapon a másik vége marad szabadon, amit történetesen csak a másik mikrotikbe dughatsz be. De ha az egyik végét nem az egyik, hanem a másik routerbe dugod, akkor semmi sem garantált

Csak egy kérdés: ebben az esetben a használt hostname feloldása nem az address list-hez adáskor történik meg? Azaz valóban dinamikus WAN IP cím esetén (nem DHCP WAN kapcsolat) nem fog frissülni, ahhoz szerintem egy script is kellene, ami frissiti a hozzá tartozó IP-t.

Alex

Nem. De próbáld ki amúgy. A listában tárolódik a domain name, és létrejön egy dinamikus bejegyzés is alá, az IP címmel, ami frissül is.