1. külső routernél (13.0.3.1) miért nem aktív a 13.0.4.0/24 route? rakd enabled-re, mert ez így szerintem csak az egyik irány, és szükség van a vissza irányra is.

Bekapcsoltam, de semmi változás.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

és mit mutat pl. egy tool traceroute 13.0.3.1 src-address=13.0.4.1 a 2. külső routerről futtatva?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

vagy én nem látok vmit jól, de ez jónak tűnik, nem? mi nem működik jól, milyen eszközökről?

Ez már működik igen most látom Én is csak, viszont az 1. külső router felől nem működik. Gondolom ott így adom ki a parancsot:

tool traceroute 13.0.4.1 src-address=13.0.3.1

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

igen, és ennek mi az eredménye?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Amugy celszeru lenne valami orosz IP-tartomanyt valasztani, arra garantaltan nem lesz szukseged. Es meg az eselyet is csokkented, hogy hekkeljenek

[ Szerkesztve ]

ez tényleg fura, esetleg vmilyen tűzfal szabály? de csak ez csak tipp

Srácok...
Azthittem nem fogok de még is szívok a Wireguarddal...
Szóval frissítettem 7.1.1re mindkét oldalt ---> belassult az IPsec.
Gondoltam akkor wg és problem solved.
De, addig sem jutok el, hogy a két interface összekapcsolódjon.
A saját oldalamon látom, hogy próbálkozik, handshake failure.. ellenoldalon hiába kapcsoltam be a logolás még a próbálkozást sem látom, 0. minden számláló.
megnéznétek mit ronthatok el?
sejtem megint nem látom a fától az erdőt.
[admin@RakhegyTik] /interface/wireguard> print
Flags: X - disabled; R - running
0 R name="wg-rakhegy" mtu=1420 listen-port=13231
private-key="EZITTAPRIVÁTKULCSWk="
public-key="EZITTAPUBLICKULCSSDtbXVgfzU="

Ezt raktam mindkét oldalon a firewall filter táblába:
add action=accept chain=input dst-port=13231 protocol=udp

Mi kellene még hozzá, hogy létrejöjjön a kulcscsere?

mindkét oldalon beállítottad a peereket is?

/interface wireguard peers
add allowed-address=wgInterfészIPtartománya \
endpoint-address=másikOldalPublikusIPcíme \
endpoint-port=13231 interface=wg-rakhegy persistent-keepalive=\
30s public-key="másikOldalPublikusKulcsa"

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Igen, megvan mindkét oldalon.

bammmeeg.
az interface neveknek ugyanazoknak kell lenni?
feltűnt, hogy az interface-nek ugyanazt raktad nekem példába.

[ Szerkesztve ]

Fő router (13.0.1.1) tűzfal:

1. külső router (13.0.3.1) tűzfal:

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Sziasztok,

Ritkán szoktam a logokat nézegetni, mert ha valami működik, akkor van jobb dolgom is
Most viszont belenéztem, és nem értem a látottakat.
Üzemel néhány wifis hőmérő modul és okos izzó a házamban.
Fix IP-n lógnak, 3 nap lease time van a dhcp szerveren és capsman.
De ezek fix helyre rakott eszközök és a cap-ek között sem ugrál.

Mitől lehet ez a néhány percenként küldött temérdek mennyiségű logáradat?
Vagy buta a kliens oldali eszköz és folyamatosan pingeli a routert IP címért ?
Pastebin log [link]

Köszönöm a tanácsokat előre is
BUÉK

lehet mind a három router tűzfal szabályaiban, ahol az action =drop és a chain= forward vagy input szerepel ott be kellene kapcsolni a log-ot (akár log prefix is legyen: külön prefix input-ra és külön prefix forward szabályra), és megint traceroute-olni a rossz irányt, majd ezek után megnézni, hogy vmilyik router logjában látsz-e vmit, és ha látsz vmilyen logot ezekkel kapcsolatban, akkor tűzfal gond lesz a hiba.

[ Szerkesztve ]

Az mennyire játszhat szerepet, hogy a Fő és 1. külső router PPPOE T-home kapcsolat, míg a 2. külső router egy Telenor mobil internet kapcsolat DHCP kliens módban ?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Átnézné valaki nekem ezeket a filter rule-okat?

Próbálnám beállítani a wireguardot de ezen az oldalon mindig 0-át mutat a counter a porton...
persze ha felépítek egy ipsec tunnelt akkor már is működik....
/ip firewall filter
add action=accept chain=forward connection-state=established,related disabled=yes
add action=accept chain=input dst-port=20636 log=yes log-prefix=wireguard protocol=udp
add action=accept chain=input port=1701,500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input src-address=192.168.12.0/24
add action=accept chain=forward dst-address=192.168.19.0/24 src-address=192.168.12.0/24
add action=accept chain=forward dst-address=192.168.12.0/24 src-address=192.168.19.0/24
add action=drop chain=input dst-port=53 protocol=udp src-address=!192.168.19.0/24
add action=accept chain=forward connection-state=established,related dst-port=443 protocol=tcp
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment="Invalid csomagok eldob" connection-state=invalid
add action=drop chain=forward comment="Invalid csomagok eldob" connection-state=invalid
add action=accept chain=input comment="Established connections" connection-state=established
add action=fasttrack-connection chain=forward connection-bytes=10240-0 connection-state=established,related hw-offload=yes
add action=fasttrack-connection chain=forward connection-mark=!ipsec connection-state=established,related hw-offload=yes
add action=accept chain=input in-interface=!pppoe-out1 src-address=192.168.19.0/24
add action=drop chain=input dst-port=53 protocol=udp src-address=!192.168.19.0/24
add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m chain=input comment="port scanners" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m chain=input comment="port scanners" protocol=udp psd=21,3s,3,1
add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h chain=input dst-port=20-1023,8291 protocol=tcp src-address=!192.168.19.0/24
add action=add-src-to-address-list address-list=blacklist address-list-timeout=6h chain=input dst-port=500,4500 protocol=udp src-address=!192.168.19.0/24
add action=drop chain=input comment="drop blacklist" src-address-list=blacklist
add action=drop chain=forward comment="drop blacklist" src-address-list=blacklist
add action=drop chain=forward comment="Block wrong IPSEC" disabled=yes in-interface=pppoe-out1 src-address-list=IPSEC
/ip firewall mangle
add action=add-src-to-address-list address-list=sstp-conn address-list-timeout=30s chain=prerouting dst-address-type=local dst-port=443 protocol=tcp tls-host=vpn.mrmarcell.hu
add action=change-mss chain=forward new-mss=1440 out-interface=pppoe-out1 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=!0-1440
add action=mark-connection chain=forward comment="mark ipsec connections to exclude them from fasttrack" ipsec-policy=out,ipsec new-connection-mark=ipsec
add action=mark-connection chain=forward comment="mark ipsec connections to exclude them from fasttrack" ipsec-policy=in,ipsec new-connection-mark=ipsec


Én nem értek hozzá, de az első rule miért disabled?

Esetleg próbálj 7.1-ről, 7.1.1-re frissíteni.

nem gondolnám, nálam egy hap ac2-n van egy usb-s Huawei E3372H mobil stick igaz modem módban, de l2tp-val is ment, de már átraktam wireguard-ra.

Sziasztok, nyomtam egy frissítést úgy néz ki kinyírta a routert. Se Mac se Ip címmel ne tudok csatlakozni, reset sem segít. Tudok esetleg valamit kezdeni ilyenkor a routerrel? LAN- on sem sikerül kapcsolódni sajnos. hAp Ac2 routerről lenne szó. Köszönöm

Szépen képekkel leírva:

https://wiki.mikrotik.com/wiki/Manualetinstall

Cirbolya_sentinel

Köszönöm megnézem ,már csak netet kell szeretném

Igen, ha az nincs, elég nehéz letölteni, szerencsére nem nagy fájlok,

[ Szerkesztve ]

Cirbolya_sentinel

Sajnos nekem nem jelenik meg a Netsinstallnál az router pedig beállítok mindet.Nincs hálózati hozzáférést ír ahol a kapcsolat adatait nézem.

[ Szerkesztve ]

Kellhet még a 30mp-es játék: táppal 30mp reset, táp ki 30mp reset, táp vissza és még mindig 30mp reset folyamatosan nyomva.

-

ha sokáig próbálkozik az ember, és jól van beállítva minden, előbb utóbb sikerülni fog, ha nem teljesen kuka a cucc

[ Szerkesztve ]

Cirbolya_sentinel

Azért vicc hogy egy frissítés kinyírja. Egyenlőre semmi.Frissítés után még a szolgáltató modemja is megbolodnult, villogott minden rajta mint a karácsonyfán.

A 7.1.1-es verziót raktad fel, az nálam is szétesett egy régebbi RB433-as lapon, igaz elég régi OS-ről frissítettem volna. A netinstallal sikerült újra rakni az OS-t

Cirbolya_sentinel

Köszönöm a segítséget. Sikerült a netinstall után helyre tenni a dolgokat ismét működőképes lett.

Sziasztok,

Kellene egy router (kis számú végpont, 4-5 db VLAN, VPN(szerver) 2 kapcsolat, VPN(kliens) 3 kapcsolat, route szabályok a VLAN-ok között + a szokásos)

RB5009-et néztem ki.

kérdéseim:

mivel most dobták piacra és megértésem szerint új architektúrára épül félő hogy tele van gyermekbetegségekkel. Érdemes-e jelenleg már venni belőle? Ha igen, hol érdemes beszerezni?

vagy inkább várjak "rev. 2" -re és addig nézzek valami használt CCR10xx ?

Köszi

Én is így jártam, két nap ráment, mire összejött a netinstall

Más ötlet? A háromból kettő jó, nem hinném hogy ez lenne a gond.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

azt nézted már, hogy a traceroute idejére az összes eszközön a drop-os firewall szabályokat log-olni, majd megnézni, hogy a traceroute után írt-e vmit oda vmelyik router?

Szvsz, az 50069 ágyúval verébre, de képes lesz elbánni a feladattal.
1-4% CPU terhelés mellet.

Nekem bevált az RB5009, a 4011-nél erősebbnek tűnik. A gigabites net NAt-olása + szokásos feladatok + VPN sem okoz különösebb terhelést...

Azért javasoltam, mert nekem csinált olyat a 7.1, hogy hiába vettem fel a routing szabályt, az nem működött. Újraindítás után viszont magától megjavult. A 7.1.1-nél nem tapasztaltam ilyet.

Amúgy meg naplózni kellene, hogy meddig jutnak el a csomagok, akár naplózó tűzfalszabályokat felvenni erre a célra. Csak kiderül, hogy hol akad el.

[ Szerkesztve ]

köszi!
a legjobb eszköz az, amit felkonfig után nem kell észrevennem hogy létezik

köszi!

volt vele bármi probléma? külföldi fórumokon viszonylagosan sok HW problémát olvasok ...

0,1% bad szektor van a belső háttértáron - figyelni kell, hogy növekszik-e. Van egy RB951-es routerem amin évek óta ennyi, nem növekszik. Remélem ezen se fog. Más megoldhatatlan problémával eddig nem találkoztam.

köszönöm!

[ Szerkesztve ]

Az enyémen se szerencsére , inkább a sebessége miatt kellene már cserélni, mert ugye 100MBit-et röhögve bír, de már pl a ROS7-ben elérhető CAKE QoS "kicsit" megizzasztja a CPU-t ilyen "alap" internet mellett is.

Le az elipszilonos jével, éljen a "j" !!!

Nálam is teszi a dolgát eddig gond nélkül.

Van valakinek megoldása arra,hogy linuxban írt scriptben be SSH-n bejelentkezik a Mikrotikbe és a scriptben lévő SSH parancsot is elküldi?
Ha kézzel csinálom megy,de ha scriptben szeretném ezt megcsinálni ott már nem tudok SSH parancsokat küldeni.

Ajánlom magam, ezt régebben csináltam, az sshpass a kulcs:
[link]

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

esetleg ebben tudna valaki segíteni?borzalmasan idegesítő,hogy folyamatosan le-felcsatlakoznak a sonoff eszközök.tuti valami a mikrotik-ban lévő beállítás nem nyerő,mert 2 hónapig sosem csatlakoztak le a wifiről,csak mióta újra beüzemeltem a mikit.

Csinálj egy usert aminek vannak a szükséges jogai (de nem több) vedd fel a publikus kulcsod ( linuxon ~/.ssh/id_rsa.pub ) a mikrotikba ( /user/ssh-keys) .

aztán
ssh <a felvett user>@<mikrotik_ip> parancs

Logban mit latsz? Nem tul gyenge a wifi a dugaszoknal? Esetleg nincs valami szabalyod ra?

I am more than a fish, I am more than a man, Death will rise, from the tide! I am murloc!

Mi a véleményetek az
/ip settings rp-filter illetve
/ip settings tcp-syncookies beállításokról?