A "Persistent Keepalive" mindkét oldalon be van állítva? Ugyanis ha csak az egyik oldal címe frissül, akkor annak a keepalive csomagja még betalálhat a másik oldalon, aki emiatt viszont frissíti az endpoint -ot. Még akkor is ha ez az oldal NAT mögött van, ugyanis a"Persistent Keepalive" célja pont ez, hogy a NAT mögötti eszköz kapcsolatát (azaz a számára nyitott portot) fenntartsa a NAT-olást végző eszköz, különben a válasz csomagok sem érnének célba !

[ Szerkesztve ]

vagy felveszel egy olyan INPUT szabályt, ami mindent enged a wireguard-os interface-en, és ez az új szabály minden olyan szabályok előtt legyen amiben az action: add-src-to-address-list
vagy add-src-to-address action-os szabályba beleírod a wireguard-os címet és tartományt, mint kivétel.

Neki a LAN cimekkel akadt problémája, maga a wireguard kapcsolat működött, csak a hálózat többi részét nem érte el.
A feketelistát kellett volna úgy megcsinálni, hogy LAN címek ne kerülhessenek fel rá.

Nem, csak a NAT-olt oldalon volt, és ha egyszer elindult akkor a másik oldal IP váltásáig (DIGI, heti 1x) jó volt a kapcsolat.
pzoli888 adott egy tippet a 15698 hsz-ben: After resolving a server's domain, WireGuard will not check for changes in DNS again.
Ezt most be is állítottam, hap ac2 oldalon "kértem" új IP-t, de nem találják egymást...
Most várok arra, hogy az LTE le- föl csatlakozzon (helyileg messze van, nem tudok oda menni újraindítani) és akkor elvileg megint helyreáll, a logból hátha kiderül valami majd.
Egyéb ötlet?

Igen ez volt a gond, hogy a feketelistára felkerült LAN cím is amiből a wireguard subnetje is jött így ez volt a gondja. Most a ping megy az egyik routerből a másikba wg-n keresztül egészen addig míg le nem lövöm a két router között az ipsec tunnelt. Utána packet rejected üzenet jön vissza Szóval akad még itt bonyodalom.

Hello darkness, my old friend...

LTE6-os eszközben is digi-s sim van? mert ha igen, akkor ideiglenesen a mikrotikes dns-t (ha be van kapcsolva) használva elérhető a digi hálózatából a nat-olt eszközöd is, hiába 100.x.x.x a címe, csak legyen olyan firewall szabály ami winbox és/vagy webes portot elérhetővé teszi wan interfaceről is.

[ Szerkesztve ]

Nem, az Telekomos

kár, mert akkor wireguard konfigolás idejére egyszerűbb lett volna elérni távolról

Telefonon (Android, szintén Telekom, NAT mögött) kipróbáltam wireguard applikációval. A helyzet itt is ugyanaz, ha a digis Mikrotik oldalon IP váltás van akkor a kapcsolat megszakad, de itt ha a wg-t az appon belül ki-be kapcsolom (amit az LTE-re javasoltál) azonnal visszaáll. Most már én vagyok gyanús magamnak, valamit elírtam a netwatch /scriptben?
Ha visszajön akkor kiderül. Ha látszólag OK, akkor meg felteszek rá plusz még egy wg kapcsolatot egy másik, fix IP-s mikrotik felé és akkor valamelyik irányból mindig elérem és tudom tesztelni.
Kösz még egyszer a segítséget.

ha az lte down / up megoldja, akkor wireguard config idejére esetleg csinálhatsz a scheduler-ben pl 30 percenként egy lte down / up script-et és akkor nem kell "sokat" várni és utána folytatható a konfig.

Androidon a wireguard alkalmazásnál nem tapasztaltátok az akksi keményebb merülését akkor is, ha nincs élő kapcsolat?

Nem probaltam. Teny, hogy jobban merul, de nalam 10 maposdperces a keepalive ping.

Jövőre tervezek egy kis iroda átalakítást, ami a hálózatot is erősen érinti. Van két crs 326 switch ami közé gondoltam egy optikai 10G linket sfp+ portokba.., de nincs tapasztalatom az optikai hálózattal. Mit kellene vennem, hogy összekössem a két switchet? Mivel nincs eszközöm az optika szereléshez, valami gyári kész kábelre gondoltam (30m), de azt hogy húzom ki? Mekkora átmérőjű luk kell a falba, amin átfér a csatlakozó? Vagy hogy megy ez?
(az iroda egy panel lakásban van, a két switch a lakás két legtávolabbi pontján található.)

Melyik sfp+ eszközt érdemes megvenni?

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Random Cisco (Finisar vagy Avago) 10G SFP+ moduljaim vannak ebayről. Eddig egyik sem panaszkodott, de a Mikrotikek sem. Nyilván a Mikrotik admin guide Mikrotik SFP-t ajánl...
1 LC csatlakozó átmegy 10-12 mm-es lukon, de kettő kell. Kb. teniszlabdánál kisebb sugáron ne hajlítsd.

De van készre szerelt kábel? Vagy csináltatni kell? Nem melegedne ennyire a rezes modul, tuti nem optikáznék..

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Ha vannak speciális eszközeid, akkor szerelheted magadnak, és akkor elég csak 4-5 mm-es luk is. Az optika szerelése jóval bonyolultabb mint egy jó krimpelő fogó, vagy betűző.

Az optikai SFP sokkal kevésbé melegszik, mint amennyire ráparáztatnak minden fórumban. 23 fokos lakásban 39 fokos a Finisar 10G.

[ Szerkesztve ]

Én innen vettem optikai kábelt:
Optikai kábelek
Duplex lc-lc kábelt használok, vettem tőlük egy 20 és egy 3 méterest, tökéletes minőség.

Nem, nincsenek szerszámaim, de előbb utóbb nem úszom meg, hogy befektessek ilyenbe. Eddig elkerültem. Azért nem milliókat szeretnék bele fektetni, de nem várom el, hogy krimpelő fogó árában legyen.
Érdekelne az is, ha valaki megmutatja mi kell, hogy kell szerelni, esetleg - nem ingyen - de ezt nálam az irodában teszi.

Már ott el vagyok veszve, hogy milyen csatlakozó, hány ér, stb.. a mikrotik oldalán csak 1 db 10G optikai valami van, a többi nagy távolságra való 1,25G-ás.

A rezes 70 fokja sem érdekelne, ha stabilan nem menne feljebb, de tartok tőle, hogy a mi irodánkban (ahol nyáron alig vagyunk) feljebb menne.

Kellemes Ünnepeket mindenkinek!

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Az már kiderült, hogy SC csatlakozós. Ez igazából csak azért számít mert az SFP-k meg LC. ( [link] )
Ha ~400 méter és az előző tulaj húzatta ki, akkor arra tippelnék csak simán dark fiber = optikai szál, amire neked kell az aktív eszközt rakni.

Ha felcseréled az egyik oldalon a csatlakozókat, akkor feljön a link? Ez gyakori hiba. Kvázi "cross kábel" kell, hogy amit az egyik oldalon az SFP bal lukába dugtál be, az a másikon jobb lukba menjen.

Még sosem jutottam odáig, hogy szerszámot vásároljak optikához, mindenhol azt mondták, hogy drága, és bonyolult, vegyek inkább kész kábelt.
De ha annyi optikai kábelt készítenék, mint amennyi rezet, akkor teljesen felesleges lenne beruházni rá. 15 éve vettem 100 db RJ45 csatlakozót és még van belőle.

Annyi csavar van az egészben, ha simán csak ki/be kapcsolom a wg interface-t akkor frissíti ugyan a DNS-t, de még a régire. Kell várni x időt, be kell rakni egy késleltetést a down és up közé. Én most 5 percre raktam be, addig tutira átszalad mindenen a domain név frissítése.Lehet majd finomítani, de így most karácsony este erről ennyit.
Az alap ötlet, a probléma megoldás nálad volt a nyerő, sokadszorra is kösz.

Hol van az ominózus város?

Hát amikor nálunk jött bekötni a Digi-s szerelő az optikát, jó ha öt percet foglalkozott az egésszel. Csodálkoztam is. Aztán megtudtam, talán pont itt valamelyik fórumon, hogy gyors-csatlakozót használnak a srácok. Még egy YT linket is kaptam, amin bemutatják hogyan kell csinálni.
Ez 2016 nyarán lehetett. Utána is néztem anno : 30 és 150 eFt között mozgott egy ilyen "krimpelő" készlet, és 400-500 Ft körül voltak a gyors-csatlakozók.

[ Szerkesztve ]

nincs mit, esetleg még egy dns cache flush -t is lehet csinálni, ha véletlen dns ttl időn belül változik az ip cím többször, ill. azt nem tudom, hogy mi történik akkor, ha down-ba kerül a wireguard és utána nem érhető el az endpoint, mert pl. nincs hosszabb ideig internet ott. Most azt gondolom, hogy scheduler-el ez is megoldható.

a képen látható bedugott kábel másik vége LC, ez akkor pipa
anno valaki ráírta az egyik szálra, hogy "BAL", így azt dugtam be baloldalra (a 11 feliratú portba). az ellenoldalon lévő kábelen nincs ilyen jelölés, így azt mindkét kombinációban próbáltam, de egyik esetben sem volt link.
annyi, hogy az a kábel asszem narancssárga, ez meg citrom. mintha azt olvastam volna valahol, hogy az optikai kábeleknél ennek is van jelentősége - ha igen, akkor ez lehet hiba?

#15722 iceQ!
honnan látom, hogy az enyém melyik?
az egyik oldalon most egy régi HP ProCurve switch van, a másik oldalon egy Mikrotik CRS106-1C-5S.

#15727 byson55
Szeged

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Azt így nehéz megmondani hogy milyen a kábel. Tesztelővel lehetne ezen az információ hiányon segíteni. Annyi a lényeg ( én így tudom), hogy az sfp modul legyen kompatibilis az optikával. Tehát ha a kábel multi modusu, akkor neked is olyannak kell lennie mindkét modulnak

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

Ha nem volt tréfás kedvében a telepítő, akkor a kék csatlakozó és a citromsárga kábel arra utal, hogy ez egy monomódusú kábel lesz.

A citrom az mono, a narancs az multi.

Szerintem az a legjobb, ha hivsz valakit, aki OTDR-rel kimeri.

Múltkorában a virtuális wlan interface-hoz beállítottam dhcp szervert. Konfigba nem adott hibát, tesztelve nem volt. Most nem engedi beállítani (cli beállítás után konfigban hiba):
DHCP server can not run on slave interface!
Van vmi trükk?
Lényeg, hogy virt wlan másik címtartományból kapjon ip-t és csak internet fele menjen, belső hálóra ne.
Közben 6.47->6.48 váltás volt.
add address-pool=dhcp-pool-guest authoritative=yes disabled=no interface=\
wlan3 lease-script="" lease-time=2h name=dhcp-guest src-address=\
192.168.89.1 use-radius=no

Bár lehet, hogy ez korábban csak bug volt?

[ Szerkesztve ]

és ha csinálsz egy új bridge-et, majd ebbe a bridge-be belerakod a virtuális wlan-t, és a dhcp servert erre az új bridge-re rakod? (adj ip-t is új bridge-nek is)

Igen májusban volt szó új bridge-ről is. De arról is hogy nem kell. Esetleg kiveszem a bridge-ből és akkor rakhatok rá. A virt wlan működne, ha nincs bridge-ben?

Vagy bug miatt tudtam hozzáadni régebben, vagy mert a
/interface list member add interface=wlan3 list=LAN
helyett a
/interface list member add interface=bridge list=LAN -t használtam.

Meg is válaszoltad magadnak. Ha egy if bridgben van, akkor nem az if-nek adunk IP címet, hanem a bridge-nek.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

ilyesmit tudnék elképzelni (7.1-es syntax) vendég wifi-hez
interface/wireless/add ssid=guest master-interface=wlan2 name=guest-wlan disabled=no
interface/bridge/add name=guest-bridge
interface/bridge/port/add bridge=guest-bridge interface=guest-wlan
ip/address/add address=192.168.199.1/24 interface=guest-bridge
ip/pool/add name=guest-pool ranges=192.168.199.100-192.168.199.200
ip/dhcp-server/add interface=guest-bridge address-pool=guest-pool
ip/dhcp-server/network/add address=192.168.199.0/24 dns-server=192.168.199.1 gateway=192.168.199.1

a meglévő konfig ismerete nélkül még szükséget lehet nat masquerade szabályra
ip/firewall/nat/ add chain=srcnat src-address=192.168.199.0/24 action=masquerade

ill. firewall szabályra is, ami drop-olja a forward (és esetleg az input) chain-ben a guest-bridge-ből érkező dolgokat amik a lan felé tartanak.

Sziasztok,

Hasznalom sokat a telefonomrol a VPN kapcsolatot a mikrotik routeromhoz, minden jol mukodik viszont a logba eleg sok probalkozast latok, hogy mas is szeretne hasznalni .
Bealitottam a port knock-ot. Ez is jol mukodik nekem: knock > l2tp VPN > es bent is vagyok.
Na de itt most nem vagyok en tisztaba: hogyha kitalajak a knocking-ot akkor teljes hozzaferes van a routerhoz/halozhathoz vagy a tobbi tuzfal szabalyok meg sorban lefele ervenyesek?
Javitottam a biztonsagon igy vagy inkabb rosszat csinaltam?

A tűzfal szabályokat fentről lefelé (az elsőtől az utolsó felé) ellenőrzi a rendszer, de csak az első egyezésig. Ha egyezés van, akkor azt a szabályt használja, nem folytatja tovább, hogy hátha van még másik is.

Kültérre, az udvar és terasz WiFi lefedettségének javítására keresek valamilyen AP-t. Elhelyezni az ereszdeszkára tervezem úgy, hogy a képen jelölt vízsintes deszkázatra fog kerülni úgy, hogy lefele néz. Jelenleg két RB951G-2HnD van itthon CAPsMAN Wifi módban.

Ezt néztem ki:
Mikrotik wAP RBwAP2nD

Amiért tetszik:
Kicsi, olcsó, L4 licensz, szóval tudja a CAPsMAN-t, nekem a 2.4GHz bőven elég, van rajta PoE-IN.

Amiért nem tetszik:
A 100Mbit/s LAN és a 300 Mbit/s WiFi hogy jön ki a gyakorlatban azt sose értettem, biztos drága egy gigás LAN chip. Elvileg ez körsugárzó és abból se a legacélosabb, de nem találtam a Mikrotik kínálatában értelmes, olcsó mondjuk 120-180 fokos irányított AP-t. Illetve azt se tudom, hogy azzal jobban járnék-e.

Szóval mit gondoltok, ebben a 20k környéki ársávban kültérre csak 2.4GHz-re, mobiltelefonok kiszolgálására van jobb Mikrotik megoldás? Köszi!

[ Szerkesztve ]

"Mindent azért kell tudni mert kérdezik, nem azért mert hasznos."

300Mbit-es wifi a gyakorlatban 100Mbit, nincs sok ertelme a gigas csatinak.

Van irányított wireless eszköz, de csak L3 licenc alatt... PtP kapcsolatokra. Viszont megveszed a nagyobbat, és kész. Azt gondolom, hogy a 120 fok is sok, ritkán kell az ég felé lőni.

A 100mbit miatt, ahogy írják, nem kell aggódni. A 300 mbps egy elméleti maximum a link sebességre, de half duplex kapcsolat.

Tegnap még működött...

"Viszont megveszed a nagyobbat, és kész."

Mire gondolsz nagyobb alatt?

"Mindent azért kell tudni mert kérdezik, nem azért mert hasznos."

Licence "upgrade"? Extra $45 az L4-es.

[ Szerkesztve ]

Szóval egy gyárilag L3-mas eszközre tudok venni L4-es licenszt?

Még konkrétabban egy Mikrotik SXTsq Lite2-ra tudok CAPsMAN-t varázsolni?

Bár ennek meg 60° a sugárzási szöge, szóval a fenti feladatra, hogy egy kültéri általános AP-t csináljak belőle lehet nem is lenne jó, hiába a 2 vs 10 dBi-s antenna.

Azért a plusz 45 dollár már tétel ezen a szinten, de köszi az infót!

[ Szerkesztve ]

"Mindent azért kell tudni mert kérdezik, nem azért mert hasznos."

Igen: [link]