Mukodik, en mar probaltam.

A wireguard erdekes egy allatfaj. A peernel az allowed address-ben meg kell azt az iptartomanyt is adni, amit at akarsz kuldeni rajta, nem eleg a ket vegpont networkjet megadni, mert maga a wireguard tunnel implementacio lefiltereli.
Tehat, ha az allowed address-ben csak a 10.10.10.0/24 szerepel, akkor hiaba route-olsz barmit, vagy adsz mas cimet a ket vegpontnak, csak a 10.10.10.0/24-es networkbe tartozo destination es source addressu csomagot fog atengedni.

Nalam peldaul a ket vegpont cime a wg tunnelben 192.168.3.1 es 192.168.3.2. A peer-t pedig igy kellett felvenni, hogy a tunnelen a 10.0.0.0/16-ban megtalalhato gepekrol is at tudjam routeolni a forgalmat:

[admin@MikroTikCCR] /interface/wireguard/peers> print
Columns: INTERFACE, PUBLIC-KEY, ENDPOINT-PORT, ALLOWED-ADDRESS, PERSISTENT-KEEPALIVE
# INTERFACE PUBLIC-KEY ENDPOINT-PORT ALLOWED-ADDRESS PERSISTENT-KEEPALIVE
0 wireguard1 x 0 192.168.3.0/24 1s
10.0.0.0/16

[ Szerkesztve ]

Működnie kell a pingnek, tehát a wireguard interfészek címét is kell tudni pingelni. Tedd be a wireguard beállításokat is, hátha mégis ott nem stimmel valami.

sajnos nem jött be.
Továbbra is ez van:

Két mikrotik eszköz között is jól működik, és sokkal gyorsabb mint az L2TP, vagy mint a PPTP, amit eddig használtam.

Elvileg ugye hozzáadtam mindkét routernél az endpointhoz a wireguard networkjét ami a 10.10.10.0/30 illetve az ellenoldali networkot amit el akarok érni.

Ez a wireguard és a peer beállítás a 192.168.10.0/24-es network oldali routeren:
[MikroTik] /interface/wireguard> print detail
Flags: X - disabled; R - running
0 R name="wireguard1" mtu=1420 listen-port=13231
private-key="xxxxxxxxx"
public-key="xxxxxxxxx"
[MikroTik] /interface/wireguard> peers/print detail
Flags: X - disabled
0 interface=wireguard1
public-key="xxxxxxxxx"
endpoint-address=xxxxxxxxx.sn.mynetname.net endpoint-port=13231
current-endpoint-address=xxx.xxx.xxx.xxx current-endpoint-port=13231
allowed-address=10.10.10.0/30,192.168.1.0/24 rx=0 tx=0

[ Szerkesztve ]

Hello darkness, my old friend...

Ne csak az ellenoldali networkot add hozza, hanem a lokalis is. Szoval akkor neked ez kell legyen mind a ket oldalon:
allowed-address=10.10.10.0/30,192.168.1.0/24,192.168.10.0/24

Az allowed-address akár 0.0.0.0/0 is lehet, nincs túl nagy jelentősége, mert úgyis a routing szabályokon múlik, hogy mi megy arrafelé.

Az endpoint-ot sem feltétlenül kell mindkét oldalon megadni. Ha mindkét oldalon van publikus IP, akkor azon az oldalon, ahol gyakrabban változik. Ha az egyik oldalon nincs publikus IP, akkor értelemszerűen csak azon az oldalon.

[ Szerkesztve ]

A 0.0.0.0/0 nem szerencses, mert a kliensek akkor felveszik default route-nak, legalabbis linuxon. Mikrotikek kozott lehet elmegy.

[ Szerkesztve ]

A mikrotik nem veszi fel default route-ba, nyugodtan beállítható így.
Windows-ból pedig direkt így használom.
Androiddal még nem próbáltam, de ott is kimondottan ez a beállítás kellene, hogy minden titkosítva menjen, akár nyílt wifi esetén is.
Linuxon csak kipróbáltam, hogy működik - teszi a dolgát ahogy kell.

[ Szerkesztve ]

Kpróbáltam azt is, hogy az allowed-address mezőben csak a távoli hálózat IP tartományát adtam meg, semmi mást, és így is működött, annak ellenére, hogy a távoli wireguard interfészt nem lehetett pingelni.
Ezután kipróbáltam kicsit nagyvonalúbban: 10.0.0.0/8 és 192.168.0.0/16 megadásával. Így is teljesen jól megy, minden pingelhető, és jól működik.
Ha belegondolunk, hogy olyan kapcsolat esetében, ahol a kliens IP címe változik (pl. mobilneten lóg, esetleg helyet változtat, különböző wifi hálózatokra csatlakozik, változó LAN címmel) ott nem is nagyon jöhet szóba más mint a 0.0.0.0/0 .

[ Szerkesztve ]

Memory leak problémára a megoldás a downgrade lett.

Vissza a korábbi állapotokhoz. Mindig ennyi szabad memória volt ezen az eszközön.

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

azért lehet, hogy próbáld meg megint a frissítést, hátha csak félrement valami.
nekem ugyanígy hap ac3-on megy a 7.1, de 18 nap uptime után is bőven van szabad RAM

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Nem tudom hogy mások írták e, de próbáld meg egy másik gépen megcsinálni a netinstall metódust, nekem egy cap lite-ba sikerült így életet lehelni.

https://wiki.mikrotik.com/wiki/Manual:Netinstall

[ Szerkesztve ]

3dfx, gone but never forgotten...

Egyelőre most nem, viszont nálad a HDD-n mi fut? Dude szerver?

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

nincs rákötve HDD - a belső flashen futtatott Dude-al meg elég rosszak a tapasztalataim

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Hozzáadtam ezeket mindkét oldalon de így sem jó. Elvégeztem egy kísérletet saját gépről a 192.168.10.15-s címről.
Tudtam pingelni a saját GW-t 192.168.10.1(nyílván ment )
Lehetett pingelni az itthoni router wireguard ipjét is a 10.10.10.2-t
Lehetett pingelni a remote router wireguard ipjét is a 10.10.10.1-t.
Viszont a remote oldali router GW címét a 192.168.1.1-et már nem.

Viszont ha mikrotikből indítok pinget az nem működik mindig timeoutot dob.

Hello darkness, my old friend...

Akkor tuti vmi tuzfal lesz. El kell kezdeni megkeresni, hogy hol tunik el a packet.

Az egy jó kör lesz akkor úgy érzem mivel még nem csináltam ilyet de próbálkozok majd.
Rosszul emlékszem, hogy /ip/firewall/filter add src-address= résznél meg lehetett adni dyndns címet is? Mert most próbáltam és sír miatta, hogy rendes IP-t vár.

Egyelőre most úgy áll a dolog, hogy a ping hol megy hol nem:
[MikroTik] > ping 10.10.10.1 src-address=10.10.10.2
SEQ HOST SIZE TTL TIME STATUS
0 10.10.10.1 timeout
1 10.10.10.1 timeout
2 10.10.10.1 timeout
sent=3 received=0 packet-loss=100%
[MikroTik] > ping 10.10.10.1 interface=wireguard1
SEQ HOST SIZE TTL TIME STATUS
0 10.10.10.1 timeout
1 10.10.10.1 timeout
2 10.10.10.1 timeout
sent=3 received=0 packet-loss=100%
[MikroTik] > ping 10.10.10.1 src-address=192.168.10.1
SEQ HOST SIZE TTL TIME STATUS
0 10.10.10.1 56 64 5ms413us
1 10.10.10.1 56 64 5ms707us
2 10.10.10.1 56 64 8ms953us
sent=3 received=3 packet-loss=0% min-rtt=5ms413us avg-rtt=6ms691us
max-rtt=8ms953us

A másik oldalról is így néz ki a ping(ping 10.10.10.2 src-address=192.168.1.1)
Szóval számomra úgy tűnik, hogy ott a wireguard interface címénél akad el a dolog.

Hello darkness, my old friend...

Nem lehet. Ahhoz address-list-hez kell hozzaadni a cimet valamilyen neven, es az src-address-list mezobe pedig a lista nevet.

Értem köszi. Akkor a leírás alapján hozzáadott input chain szabályom nem volt jó ott valami tök random IP volt ami nem egyezett a publikus címmel. Csináltam address listet mindkét routeren és azt adtam hozzá az input chain-hez.
Sajnos egyelőre így sem jó de nyomozom tovább. Hátha megtalálom hol veszik el a csomag.

Hello darkness, my old friend...

Ha barmit tudsz pingatni a ket wireguard endpoint IP kozott, akkor nem a publikus ipcimmel lesz a baj, a ket router kozott a wireguard enkapsuzlalt csomag atmegy.

Csak gondoltam kijavítom ha már észrevettem a dolgot, nehogy később ezen bukjak el
Most azt próbálom, hogy az itthoni mikrotik 10.10.10.2-es wg címéről pingelem a remote network 192.168.1.20-as címét és a remote mikrotiken nézem torch-al, hogy mi a helyzet a wg interfacen. Úgy tűnik, hogy a csomag átmegy:

Viszont megjelent egy ilyen is a torchban:

[ Szerkesztve ]

Hello darkness, my old friend...

Ebbol is latszik, hogy csak visszafele nem megy a csomag. Most nezd meg, hogy az 192.168.1.20-as gep fele elmegy-e a csomag a bridgen, illetve a bridgere jon-e visszafele csomag.

A 255.255.255.255 csak broadcast, nem kell foglalkozni vele.

[ Szerkesztve ]

Itt most arra gondolsz, hogy a remote oldalon meg kéne nézni, hogy az ottani wg címről elérhető-e a 192.168.1.20-as cím?
Ha a pingnél a 192.168.1.20-as címet pingelem a bridge interfaceről akkor jó. Ha ugyanezt a címet pingelem a wireguard interfaceről úgy már nem működik.

Hello darkness, my old friend...

Nem, hanem kovesd a csomag utjat a cimzettig, majd nezd meg az kuld-e valaszt es a valasz meddig jut vissza. Azt mar latjuk, hogy a wg tunelen atmegy a keres, de nem megy vissza a valasz. A kerdes az, hogy az 192.168.1.20-as gepet eleri-e a ping es az kuld-e valaszt es ha valaszol ra, akkor a valasz meddig jut el a visszafele iranyban.

Mikrotiken bejott a csomag a wg interfeszen, de annak at kell kerulnie egy masik interfeszre, hogy kijusson a routerbol. Azert mondtam, hogy nezd meg a bridge-n levo forgalmat is, mert abbol latod, hogy a forwarding sikeres-e, illetve ha a celgep valaszol a pingre ott mar latod, hogy jon-e valasz.

[ Szerkesztve ]

Van valahol egy jó leírás a wireguard road warrior beállításhoz?
Android, pc, és linux kliensek lennének (persze nem publikus IP-vel)

Publikus IP nelkul hogy tervezed a kapcsolodast?

Lehet, hogy mégis van valami, mert úgy nézem mintha nekem is fogyna a memória a hAPac^2-n.
Jelenleg 6 nap uptime, és 256Mb total/150Mb free. Korábban mintha több free lett volna. Holnap ránézek megint.
7.1 van rajta, és semmi extra csomag.

[ Szerkesztve ]

Sziasztok!
Frissített már valaki wAP ac LTE kit-et [link] az új 7-es rendszerre?
Pro és kontra a régi-új rendszerrel kapcsolatban?

Sziasztok! Mikrotik switchre nem találtam topicot, így itt tenném fel a kérdést.

Mi a különbség a két switch között, azonkívül, hogy az olcsóbbra csak switchOS van? Egyáltalán miért kéne nekem router funkció egy hardveresen relatíve gyengébb cuccba?
Mert nekem a gyártó honlapja alapján se egyértelmű.

1. [link]
2. [link]

Illetve mit takar a "Cloud" felirat a mikrotik esetében. Kis irodába kéne, tartaléknak valami olcsóbb switch. Jelenleg Zyxel GS192024 v2 van kihelyezve. kb 15-18 pc lógna rajta+szerver.

Köszi előre is!

[ Szerkesztve ]

A ket switch teljesen ugyan az, csak az egyiken RouterOS is elerheto, a masikon csak SwitchOS.
Barmiert kellhet, mashogyan lehet es kell konfiguralni, tudsz rajta scripteket futtatni, tud VPN-re felcsatlakozni, lehet DHCP szerver, stb. es azert meg routerkent is erosebb, mint az RB2011-es routeruk, vagy ami alatta van, igy ha nincs gyors neted(=<200mbit), akkor elegendo.

valamivel többet eszik a rOS7.
most körbenéztem az általam elérhető hap ac2-ket, itt az eredmény
kettőn van 7-es routerOS, azokon a 128MB RAM-ból 60 mega maradt szabadon, amelyiken még 6-os van azon átlagosan 80.
viszont szerencsére nem tapasztalok leaket.

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Én egy 20x4-es kijelzőre kiraktam pár alap dolgot a routerről (RB5009) és stagnál a memória használat, olyan 205 MB a plafon, de 203-205 között változik.

[ Szerkesztve ]

Hogy jut el az info a kijelzőre? USB-soros konverter, v. más?

IOT package => MQTT => NodeRed => kijelző

USB konverter nem játszik, mert a tárolónkban van a router és néha igen nehézkes megközelíteni. A nodered és az mqtt pedig azon a pi-n fut, amin a kijelző van. Majd még finomítani fogom, de mindenképpen szeretnék/szerettem volna egy állandóan szem előtt lévő kijelzőt, amin az általános státuszt látom.

A vpn-ek szamat a license korlatozza, legalabb 500-at tud, de van amibol korlatlan(pl. openvpn). Az, hogy ezek mekkora sebesseget fognak tudni az mar mas kerdes, mert nem egy eros proci. Amik vannak 7-es routerossel: pptp, l2tp, eoip, openvpn, ipsec, wireguard. De ahhoz boven jo, hogy mondjuk tavoli management miatt, vagy valami egyeb kisforgalmu tunnelezest megoldj vele.
Itt talalod a license leveleket, a CRS326-nak 5-os van: [link]

[ Szerkesztve ]

A klienseknek nincs publikus IP címe, az otthoni mikrotiknek van.. (így működik pl. openvpn-nel)

Hogy világos legyen, a wiki-ben leírtak site2site vpn-ről szólnak.
Szerinted hány mobil előfizetés van, amelyikhez publikus ip cím jár?

Hello!

Ide irányítottak az egyik fórumról.
Van egy Mikrotik RB952Ui-5ac2nD router az irodában. Úgy adódott, hogy új nyomtatót kell vennem. A kérdésem, hogy ezzel a routerrel megoldható egy USB-s nyomtató működtetése, úgy hogy aki a wifire csatlakozik, az tudjon vele nyomtatni?
A korábbi wifis volt, viszont azt elvitte a régi bérlő és nekem nincs is szükségem olyan tudású nyomtatóra, mint ami neki volt.

7.1.1. stable kint van.

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

Nem

Nahat, akkor megis van egy publikus ipcim, ahova lehet csatlakozni. Ez volt a kerdes.

What's new in 7.1.1 (2021-Dec-21 13:53):

*) backup - added "force-v6-to-v7-configuration-upgrade" option on backup load to clear RouterOS v7 configuration and trigger reimport of RouterOS v6 route configuration (CLI only);
*) backup - fixed automatic backup generation when resetting configuration;
*) bgp - improvements on detecting peers local address when IPv6 link-local addresses are used;
*) capsman - improved system stability when processing CAP packet by Mangle;
*) dhcpv4-server - allow adding comments;
*) ethernet - improved system stability when receiving large packets on devices with 88F3720 CPU (nRAY, LHGG);
*) l3hw - fixed HW offloaded routing when using 7 or more VLAN interfaces;
*) l3hw - fixed bonding source MAC address;
*) l3hw - improved system stability when using 7 or more VLAN interfaces;
*) ntp - print log change time with time-zone applied;
*) ospf - fixed distance if "originate-default" is set to "always";
*) ospf - fixed neighbor stuck in ExStart;
*) ospf - fixed simple authentication;
*) ospf - improved overall stability;
*) ospf - improves stability when handling looped back OSPF packets;
*) upgrade - improved 404 error handling when checking for new versions;
*) webfig - fixed user policy lookup for skin designer;
*) winbox - made "Routing Filters/Rules" table sortable;
*) winbox - moved "IP/Route/Nexthops" and "IPv6/Route/Nexthops" menus to "Routing/Nexthops";
*) winbox - updated default "Routing/BGP/Peer Cache" table appearance;

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Hali!

Frissítettem az IPv6-os blogbejegyzésem.

Benne van, hogy hogy lehet dinamikus IPv6 prefixekkel normálisan dolgozni, illetve, hogy miként lehet a változó prefixű hálózaton lévő eszközöket elérni kívülről, úgy, hogy közben minden más el van tűzfalazva.

üdv, adika4444

van egy pár sonoff eszközöm,többnyire okoskonnektorok.valamiért nem szeretik egymást a mikrotik routeremmel,mert folyamatosan lekapcsolódnak a hálózatról random időközönként (10 perc-1 max két óra után).a szolgáltatói csodarouterrel nem volt ilyen gebasz közel 2 hónapon keresztül (új helyre költöztünk).mihelyst átkértem a csodamasinát bridge módba és beüzemeltem a mikrotiket,azóta csinálják a sonoffok ezt a le-felcsatlakozást.a régi lakhelyemen is ez volt,akkor meg voltam róla győződve,hogy a sonoffnál van a bug,mert minden egyéb wifis eszköz betonsatbilan csatlakozik.a wifit egy unifi ap adja,de ennél is kizárva a hiba,mert a költözést követően rögtön beüzemeltem.
tudnátok ebben segíteni?

DHCP mekkora lease-vel dolgozik? LOG esetleg ír valamit? IPv6-ot használsz?

üdv, adika4444