😂😂😂

Na megy is, teszi a dolgát szépen.
Viszont kissé fura, hogy sem WinBoxszal, sem böngészőből nem tudom konfigolni. Nem találja egyik sem, sem MAC, sem IP alapján. (sem, sem sem )
Viszont a telefonos alkalmazással MAC cím alapján tudom piszkálni. Ha így megy, így marad.
Köszi mégegyszer a segítséget.

"Don't fret, boyo. I'll be gentle!"

Közben jött egy újabb ötlet. Adott 3 darab hAP ac2.

- 1: fő Router, VPN szerverrel
- 2: másodlagos Router, VPN L2TP+IPsec kliens a fő Routerre.
- 3: harmadlagos Router, VPN L2TP+IPsec kliens a fő Routerre.

Mindegyik Router szépen látja a többit és vissza. A rá csatlakozott eszközök szintúgy. Viszont, most jön a csavar. Amennyiben a telefonommal becsatlakozok a fő Routerre akkor csak azt érem el. Sem a másodlagos sem a harmadlagos Routert, sem a rájuk csatlakoztatott eszközöket. Ez miért lehet? Beállítás gond, vagy a telefonon nem lehet ezt megoldani?

Köszönöm

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

routingot be kell allitani, illetve a telefonnak is le kell kuldeni a vpn szerver(config) altal. Milyen cimtartomanyban van a helyi halo es a vpn-es kliensek milyen tartomanyban kapnak IP-ket?

[ Szerkesztve ]

Ezt egész pontosan hogyan tegyen meg? Jelenleg ez van a routes-ban:

[ Szerkesztve ]

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Bocs ez meg lemaradt. A helyi háló az 1-es routeren 13.0.1.100 - 200 között DHCP illetve van néhány statikus. A VPN pool 13.0.2.10 - 30-ig.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Sajnos kicsit csokevenyes az ovpn szerver a mikrotikben, es igy a kliensnek nem tud extra routing szabalyokat lekuldeni. Igy harom megoldas van:
0. beallitod manualisan a kliensben a routing tablat
1. beallitod a kliens konfigban, hogy a vpn szervert rakja be default route-nak, de ekkor a kliens osszes netes forgaloma atmegy az ovpn szerver fele
2. olyan netmaskkal osztod ki az ovpn kliensnek az ipcimet, amibe a halozatodon levo tobbi cim is beleesik, azaz a te esetedben 255.255.0.0-val es akkor elmeletem szerint a router at fogja routeolni, de ezt ki kell probalni, nem vagyok biztos benne, lehet meg 1-2 dolgot be kell allitani hozza.

Mellesleg: 13.x.x.x cimeket ne hasznaljal, mert az az interneten letezo cimtartomany, LAN-ra az 10.0.0.0/8, 172.16.0.0/12 es 192.168.0.0/16 van. A 13.0.0.0/12 konkretan a xerox-hoz tartozik.

[ Szerkesztve ]

IP: Eddig nem vettem észre hogy probléma lenne vele. Lehet vele gondom?

Kliensben nem tudok állítani semmit mert sima android vpn csatlakozás.Akkor ez marad így, annyira nem fontos végülis.

[ Szerkesztve ]

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Persze. Minden ami abban a tartomanyban van, azt nem fogod elerni

Ha már szóba jött az IPv6! Ki mennyire jártas a témában?
Van itthon néhány Miki-m : egy routernek (Rb3011), kettő AP-nak, és egy switch-nek.
Pár hónapja kísérlet képen, engedélyeztem mindegyiken az IPv6 csomagot, és mindegyiknek adtam egy belső használatú címet (ULA - Unique Local Unicast) : fd00:0:0:81::1/64, fd00:0:0:81::2/64, fd00:0:0:81::3/64 és fd00:0:0:81::4/64.
Eddig nem is volt gond. Viszont innentől kezdve nagyon (szörnyen) lassú az internetes böngészés a Winows-os gépeken. Mint az kiderült számomra, IPv6-on akartak kimenni a netre. Persze ez nem sikerülhetett nekik, mivel ilyet nem állítottam be egyik Miki-n sem. Sebtapasz megoldásként, letiltottam a Windows alatt az IPv6 kapcsolatot :-(
Erre csak ilyen "csúnyácska" megoldás létezik?

[ Szerkesztve ]

Oszinten szolva en mar nagyon reg nem foglalkoztam IPv6-al.

:-(

Kapható már valahol kishazánkban a hap ac3 (rbd53ig-5hacd2hnd)?

Volt január végén, de ÁK szerint el is fogyott.

"Got any other secret weapons?"

Ja, én is úgy látom, hogy jó ideje "hol volt, hol nem volt"

Meg a mikrotik is csak az LTE6-os verziot tudja adni ebayen, szoval globalis keszlethiany van.

Sima hap ac nem jo? Abban jobb a wifi.

[ Szerkesztve ]

"Sima hap ac nem jo? Abban jobb a wifi."

Igen, tudom, van/volt is olyanom.
Csakhogy abban is csak a nyomorúságos 16 mega flash van 😭
Az ac3-ban egy kicsit több 😊
Sajnos az LTE verzióba sem sikerült sok flash-t rakni 😭

[ Szerkesztve ]

Jah, az szivas mindegyikben. Mar gondolkodtam azon, hogy nem lehetne-e atforrasztani a chipet.
USB nem jo? Pendrive-ot ra tudsz dugni hap ac-ra.

[ Szerkesztve ]

De mihez kevés a flash? Amúgy sem érdemes oda írogatni, annyiféle plusz csomag meg nincs rá, mint az openWRT esetén.

Le az elipszilonos jével, éljen a "j" !!!

Ez engem is érdekelne! Én kitettem pendrive-ra minden logot, DCHP leasae logolás kikapcsolva mégis növekedik az írott mennyiség. Még mi ír oda?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Hát én egy "Wap Ac Lte Kit" - el cumiztam meg tavaly a 16 mega flash-t. Ugyanis én szoktam használni a tűzfalban a Geo-IP szűrést. Ebben az esetben felvettem kb 3 (max 4) országot az Address-List-be, és már ki is futottam a flash méretéből : újra indítás és/vagy áramszünet után "elfelejtette" a listák kb 90‰-át 😭
Írtam is a MikroTik Support-nak. Válasz, ha ilyen sok mindent szeretnék, akkor nagyobb flash méretű eszközt válasszak 🤮
De ha jól emléxem, ezt írtam is itt a fórumon.

[ Szerkesztve ]

Ez meg a másik dolog. Szerintem nem mindegy, hogy 16 mega-s flash-t írogat a rendszer, vagy 128/256/512-t. Ha jól tudom (emléxem), már a RouterOS is figyel arra, hogy ne mindig ugyan arra a területére írjon a flash-nak.

Na jó, én is listáztam egy RB3011-en de nem éreztem túl jó megoldásnak, egyrészt azért nagyobb flash-re se szívesen írogatok a routeren napi/heti szinten, másrészt nagyobb listák feldolgozása sem túl CPU barát, még ha lehet is optimalizálni a dolgokat, és csak az új kapcsolat kiépítésekor csekkoljuk, akkor is zabálja a CPU-t.
Most annyiban érzem jogosnak a nagyobb flash-t, hogy a ROS7-hez van wave2-es Wifi csomag, gondolma az AC Wave2 és esetleg majd a WPA3 miatt, és sokan panaszkodnak, hogy a kissebb flash és memóriájú eszközökön nem haználható a csomag, de remélem, majd csak összegyúrják a dolgokat. Régen is volt külön Wireless-fp majd Wireless-repeater csomag, aztán szépen eltűntek/beleolvadtak az alap FW-be.

Le az elipszilonos jével, éljen a "j" !!!

"még ha lehet is optimalizálni a dolgokat, és csak az új kapcsolat kiépítésekor csekkoljuk, akkor is zabálja a CPU-t"
Hát én ilyet nem nagyon tapasztaltam.
Számomra ez is olyan dolog, mint a Mikulás : mindenki beszél róla, de még senki sem találkozott vele 😂
És ilyen listát használok HapAcLite-n is, ami nem egy erő bajnok.

[ Szerkesztve ]

De milyen az az ilyen? Honnan töltöd le és mit?

Le az elipszilonos jével, éljen a "j" !!!

Sajnos mikrotiknel ez igy megy. Mar csak a routerekben van ertelmes flash es/vagy sd kari bovithetoseg, de ott se mindegyikben. Nekem a CCR1009 routerben 128MB van...

Lehet jobban jarsz, ha van egy kulon routered es kulon a wifis AP(k).

[ Szerkesztve ]

Hmmm...
Pl :
/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/HU

Főleg ott, ahol csak egy eszközre van szükség :-)
Egyébként a Wi-Fi másodlagos szempont

Amugy nem tudom, hogy ismeritek-e ezt az oldalt, de itt erdemes valogatni. Jol el van dugva: https://mikrotik.com/products/matrix

Szerintem neked egy hex lenne az idealis valasztas. Az prociban mar nem gyenge a 2x880mhz-vel, a filtereket is egesz jol birja es sdkartival bovitheto a tarhely. Es meg arban is tok jo.

[ Szerkesztve ]

"sdkartival bovitheto a tarhely"
Csakhogy ez az említett problémáira nem megoldás :-(

[ Szerkesztve ]

Vagy veszel hasznaltan egy RB1000-rest [link] es bebootolod compact flash kartyarol es boven lesz helyed De a licenceles ezeknel nem tudom hogy megy, lehet a nor-on levovel lehet hasznalni.

[ Szerkesztve ]

Egy egyszerű feladatra azért ez egy kicsit ágyúval verébre dolog.
Persze lehet, hogy ez a MikroTik marketing stratégiája

MicroDrive támogatása , na olyat se mostanában gyártottak

Le az elipszilonos jével, éljen a "j" !!!

Szerinted a fórumon hány olyan ember van, akinek volt a kezében valaha?

Jaja, pedig nem rossz cucc. CF kartyabol meg van egy zsaknyi

Valakinek sikerült már SSTP VPN kapcsolatot csinálni MikroTik és Windows között?

Igen. Mi a kérdés?

Nekem is sikerült már.
- Windows kliens a certet szigorúan csekkolja
- Központilag rendesen csak powershell scripttel lehet piszkálni csoportházirendből
- Split tunelling-et ne felejtsd el
- IPv6-on nem működik Mikrotikkel csak v4-en

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Egyelőre Win7-en próbáltam, mivel csak az (vagy WinXp és Win2k) van csak virtuálisan.
Amit leírást olvastam, abban azt írták, hogy csinálni kell a Miki-ben egy CA és egy Server cert-et. Elvileg jó a self-signed megoldás is.
Majd a CA cert-et ki exportálni a Miki-ből, és be a Win7-be.
A Server cert kell ugye az SSTP Server-nek.
Ezt meg is csináltam, de a Win7 panaszkodik, hogy nem jó a certificate. Talán a CN (gondolom Common Name) része nem tetszett neki

[ Szerkesztve ]

"Windows kliens a certet szigorúan csekkolja"
Az általam talált leírás nem használt kliens cert-et. Furcsáltam is.

"Split tunelling-et ne felejtsd el"
Na ilyet még nem olvastam (emléxem) az SSTP kapcsán

Nekem be kellett a Windows kliensen, mert a kapcsolat felépülése után minden forgalom a VPN felé csörgött nélküle.
Cert: kellett egy fő cert, amivel egy az SSTP-hez létrehozott cert-el írtam alá, majd a fő cert-et kellett telepíteni a kliensen, mert a Win10 nem fogadta el az önaláírtat

Le az elipszilonos jével, éljen a "j" !!!

biztos én keresem rosszul, de tudna valaki linkelni egy scriptet, ami felveszi egy address-listbe aki túl sokszor próbálkozik illetéktelenül?

tele van ilyenekkel a logom, és bár tudom, hogy ezek nem jutottak be, de azért szívesen kibasznám őket, de kézzel ez nyilván nem hatékony.

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Nem lenne egyszerűbb leriltani a WinBox pártját a publikus felől?
És/vagy port-ot változtatni?
Egyébként biztosan van rá script is, bár én az előző kettőben hiszek

https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention
Talán ez átírható lenne : más a port száma, és az üzenet

nincs nyitva publik felé, nem is ez a bajom.

#13345
köszi, megnézem

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

*nincs nyitva publik felé, nem is ez a bajom"
Akkor bocsi!
Az IP címből (212.106.225.45) erre következtettem.

"Cert: kellett egy fő cert, amivel egy az SSTP-hez létrehozott cert-el írtam alá, majd a fő cert-et kellett telepíteni a kliensen, mert a Win10 nem fogadta el az önaláírtat"

Ezt a fő cert-et honnan szerezted be?

Azt is a mikrotiken csinálod.

Pontosan

Le az elipszilonos jével, éljen a "j" !!!