Az IP címet vagy tartományt ahonnan be akarsz lépni felveszed az engedélyezett IP/tartományok közé, a tűzfalon is átengeded és kész is vagy.

Üdv, WireGuard / WG esetén minden egyes kapcsolat új Interface és Peer?
ha igen, az inerface-ek címei lehetnek közös subnet-en?
Különböző csatlakozásoknak gondolom eltérő port-ot kell használniuk ?

Elég új peereket csinálni, egy interfacehez & porthoz kapcsolódhat egyszerre több peer is.

[ Szerkesztve ]

Hogy hívják az éhes horgászt? Gyere Pista, kész a kaja!

Nekem az a tapasztalatom, hogy igen, minden kapcsolat új interface és új peer, külön port, és külön IP tartomány is. Másként fogalmazva a wg pont-pont kapcsolatokat hoz létre.

[ Szerkesztve ]

Ez az infó honnan származik? Saját tapasztalat, vagy más forrásból?

bár nem engem kérdeztél, de nekem pl van saját tapasztalatom
simán működik egy interfészen több kapcsolat.
nekem se volt egyértelmű, de sehol nem írták, hogy szükség lenne minden kapcsolathoz új IF-re, és szerintem technikailag sem indokolja semmi.

de persze ellene sem tudnék érvelni, végül nálam is külön interfészen van a két WG kapcsolatom, de ha pl bevezetnénk a WG-t a munkahelyemen, biztos nem állnék neki minden VPN-ező, home officeoló kollégának külön interfészt kreálni

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Megy egyszerre is a két peer?

Még 7.1 alatt próbáltam 2db virtuális PC-ről csatlakozni, külön-külön fel tudtak csatlakozni ugyanarra az interfészre, de egyszerre semmilyen módon nem tudtam a két klienssel csatlakozni, pedig rengeteget kísérleteztem vele.

Két peer esetén hogy néz ki pl. az IP kiosztás? Minden VPN kliens ugyanabban az alhálózatban van, vagy az interfésznek több IP címe is van?

A linkelt hozzászólásod esetében megoldódott a probléma? Mert az RB5009-el, és CCR1009-el is 600Mbit/s körüli sebességet mértem wireguard windows klienssel, a speedtest.net-en. Jó eséllyel átmenne ennyi két router között is - de nemsokára ki is próbálom - egy barátom is vett egy CCR1009-et. [link]

[ Szerkesztve ]

ment egyszerre a két peer és mindkettő peer ugyanabban az alhálózatban volt (a VPN interfészük legalábbis)

A linkelt hozzászólásod esetében megoldódott a probléma?

igen, az MTU-t kellett lejjebb venni
de eddigre már szétszedtem két külön interfészre a két kapcsolatot, mert arra is gyanakodtam, úgyhogy azóta is külön vannak, mert nem bolygatom, ha egyszer működik.

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

20 ev alatt olcsobb menet kozben frissiteni, mint olyat venni, ami 20 ev mulva is jo lesz. (Sot ilyen valoszinuleg nem lesz, max a kabelezes.)

20 évvel ezelőtt egy üres Avaya AP 300.000 pénzbe fájt és abba még kellett egy kártya, ami akkor 50k péz volt.... ja és még csak b-t tudott, g-t sem... 3 év múlva már egy darab sem volt használatban. Szóval ha már 5 évre tervezel az is sok tud lenni...

[ Szerkesztve ]

Pontosan. Egyedul a kabelezesre eri meg penzt onteni, mert egy kabeltipus eletciklusa azert megvan nagyjabol 20 ev.

Keresgélem mi foghatja, egyelőre sikertelenül. Minden címet meg tudok pingelni a hálózatban, kivéve a routerét (legyen ez az 'A'). Csak a routerben (legyen ez a 'B') nyitott terminálból tudom az ellenoldal routerét ('A') pingelni. (Engedélyezett tartomány egyelőre 0.0.0.0/0)
Ami érdekes, hogy fut az elérni kívánt router mögött egy szerveren is WG. Amennyiben arra csatlakozom, működik minden.

Ha nem tudod pingetni akkor vagy tűzfal vagy routing probléma van. Három helyen lehet gond, vagy az IP Service List-nél nem jól adtad meg a tartományt vagy IP-t amiről hozzá lehet férni vagy a tűzfalon szűrsz valamit vagy a route table nem megfelelő.

[ Szerkesztve ]

Saját tapasztalat, mindig is így használtam. Egyetlen wg interfacem van otthonra, azon keresztül érem el mobilról, laptopról, egyéb eszközökről akár egyszerre is az otthoni hálózatot természetesen egy peer, egy eszköz alapon. Ha belegondolsz, eleve így a logikus, hiszen rengeteg VPN szolgáltatás akkor nem tudna wireguardot használni, ha minden peernek külön port kellene...

Amire tudok gondolni, hogy miért nem "működhetett" nálad, az az allowed addresses hiánya router oldalon. Amikor létrehozod a peert, akkor egy peer esetén talán nem szükséges kitölteni az allowed addresses mezőt, de ha több peered van, mindenképpen ki kell, különben nem tudja a router, hogy hova küldje a csomagokat. Pl:

Columns: INTERFACE, PUBLIC-KEY, ENDPOINT-PORT, ALLOWED-ADDRESS
# INTERFACE   PUBLIC-KEY                                    ENDPOINT-PORT  ALLOWED-ADDRESS
0 wireguard1  hack<redacted>              0  192.168.98.2/32
1 wireguard1  Coal<redacted>              0  192.168.98.3/32

Nekem így remekül működik.

Más: Ezt már régóta be szerettem volna dobni, hátha másnak is segíthet. Én is belefutottam a memleakes bugba ROS7-re frissítés során. Illetve voltak érdekességek, hogy a router az összes talált DHCP szerverről berakta a gateway-t default routenak, hiába volt kigyomlálva az add default routes opció meg stb. Produkált jó pár érdekességet a rendszer. Végül @adika4444 hívta fel a figyelmem, amit innen is nagyon köszönök, hogy nem elég csak a packages fülön frissíteni az OS-t: [kép] Hanem figyelni kell arra, hogy a firmware is friss legyen a System->RouterBOARD menüben: [kép]

Hogyha a második képen nem 7.x szerepel a current firmware alatt, hanem 6.x, akkor mindenképpen érdemes az upgrade gombbal frissíteni a firmwaret is. Nekem így megszűnt a memleak probléma és kb 10 MB RAM-mal kevesebbet eszik a rendszer a 6.x-hez képest.

Persze elképzelhető, hogy más memleaket idéző probléma is létezik a rendszerben, de szerintem megéri ránézni.

[ Szerkesztve ]

Hogy hívják az éhes horgászt? Gyere Pista, kész a kaja!

Köszönöm, kipróbálom. Nekem is furcsa volt, amikor először kísérleteztem vele, hogy ha több peer létrehozható egy interfészhez, akkor miért nem használhatók egyszerre.

Sziasztok, létezik olyan feature, hogy időnként megváltozik a cloud dns-e, ami ugye a serial-lal azonos kellene legyen?

Nálam megtörtént...
Működött a gyári számmal hetekig, egyszer csak nem működött. Mi történt? Miért nem megy? Megváltozott, használtam az újat, működött ismét hetekig.
Most pár napja megint nem működik. Már a hajamat téptem, gondoltam kipróbálom a régit.
ÉS
MŰKÖDIK
Közben nem volt OS frissítés, minimális használat.

Egyáltalán át lehet írni a gyárilak beállított dns-t? Én még nem találtam rá user szintű megoldást, na de, hogy magától megváltozzon...

És ha megváltozik és szeretnék távolról csatlakozni, akkor b+, menjek oda és nézzem meg, hogy éppen mire változott.
Ez nem normális...

Megváltozott a routered gyári száma? Ilyenről még nem hallottam - hacsak nem hekkelték szét... Milyen routerOs verzió van rajta? Elérhető az internet felől a 8291-es porton?

Nem tudom, hogy a gyári száma megváltozott-e, csak azt, hogy a dns cím (ami a gyári számmal azonos szokott lenni) megváltozott, majd vissza...
7.1 van rajta és nem elérhető 8291-en.

A gyari szam nem valtozik meg, csak mas ddns cimet ir a cloud, mint a serialja. Neha meg ugyan az. Most ez:

[admin@MikroTik] > /ip/cloud/print
ddns-enabled: yes
ddns-update-interval: none
update-time: yes
public-address: 8************
dns-name: 45************.sn.mynetname.net
status: updated
[admin@MikroTik] > /system/routerboard/print
routerboard: yes
model: CCR2004-16G-2S+
serial-number: HA*********
firmware-type: al64
factory-firmware: 7.0.4
current-firmware: 7.0.4
upgrade-firmware: 7.1

[ Szerkesztve ]

Akkor ez valami bug lenne a 7.1-ben? Eddig ezt nem nézegettem, de most ránéztem, és egyezik a gyári számmal (RB5009 os: 7.1.1).

Frissítettem 7.1.1-re, meglátjuk történik-e valami meglepetés, vagy visszaáll az elvárt stabilitás.
Jeleztem supportnak, hogy van egy ilyen érdekesség.

MikroTik hEX S az elmúlt egy évben háromszor felejtette el a jelszót pl egy áramszünet után vagy éppen egy újraindításkor Más is találkozott ezzel? Egyébként csendben teszi a dolgát, de az utolsó akció után vissza se állítottam, beélesítettem a DIGI optikás routerét ami atom stabil. Nincs szívem eladni ezt a szerencsétlen HEX S-t, gondoltam jó lesz switch-nek. Be lehet állítani erre, hogy a jelszóval többet ne kelljen foglalkoznom?

A jó zenehallgatáshoz nem feltétlen kell minőség. Az egy intellektuális kaland, amit mindenki a saját szintjén élhet meg. A hifi egy eszköz ami ezt az élményt fokozza, de nem feltétlen szükséges hozzá.

Lehet a NAND eloregedett benne es sok a hiba. Erre az esetre azt javasoljak, hogy netbootal, formazassal telepitsd ujra az egeszet.

[ Szerkesztve ]

2021.04. havi beszerzés és elöregedett?? 10+ éves Cisco switch-em gond nélkül teszi a dolgát, de van ennél még öregebb hálózati eszközöm, ami hibátlanul működik. Meg lehet ezt gariztatni? Bizonyítani, hogy minden 3 hónapban elfelejti a jelszót egy kicsit nehézkes.

A jó zenehallgatáshoz nem feltétlen kell minőség. Az egy intellektuális kaland, amit mindenki a saját szintjén élhet meg. A hifi egy eszköz ami ezt az élményt fokozza, de nem feltétlen szükséges hozzá.

Hat ez attol fugg mennyit irod a NAND-ot. Egy pendrive-ot is ki lehet nyirni par nap alatt, ha nagyon akarod.

[ Szerkesztve ]

De nem akarom! Az sem tudtam eddig, hogy mi az a NAND. Egyszerűen egy működő routert szerettem volna, de visszaviszem aztán majd az okosok kitalálják, mi legyen vele. Köszönöm mindenkinek a segítséget!

A jó zenehallgatáshoz nem feltétlen kell minőség. Az egy intellektuális kaland, amit mindenki a saját szintjén élhet meg. A hifi egy eszköz ami ezt az élményt fokozza, de nem feltétlen szükséges hozzá.

Üdv!

Találtam egy szkriptet, ami blokkolja a sikertelen vpn próbálkozók IP-jét. Valamiért nekem nem akar működni. Rá tudna nézni valaki nekem? Lefut, de nem kerülnek a listába.
[link]
Köszönöm

[ Szerkesztve ]

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Van az általad linkelt drop szabály előtt másik drop szabály?

"Got any other secret weapons?"

Igen. A mellékelt képen látható az összes szabály. Utána egy kép a logról. Amennyiben lefuttatom a szkriptet, a pirossal látható IP-knek be kellene kerülniük a blacklistbe de nem kerülnek. Vajon miérT?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

látszik, hogy egyetlen találat sincs arra a szabályra, mert valószínűleg rég kiértékelésre kerülnek azok a kapcsolatok, el se jut odáig a listában.
tedd valahova a lista elejére.

a drop szabályokat egyébként is érdemes előre tenni, hogy mielőbb végezzen a router a kiértékeléssel és aztán ne kelljen rájuk erőforrást pazarolni.

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Szerintem meg a nagyobb forgalmú adatokat kell előre venni. Míg a drop csomagok kevés van,addig a rendes accept szabályon keresztül menő forgalomból 1000x annyi.

van benne igazság

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Akkor most mit is kellene csinálnom? Tele vagyok piros ipsec figyelmeztetésekkel.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

húzd a lista elejére ezt a szabályt

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Közben találtam a szkriptből egy javított verziót. Ez szépen működik. Valószínű magával a szkripttel volt a gond.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Belinkelnéd? Mondjuk nálam sokkal több l2tp+ipsec kapcsolat van (ami jó), és csak ritkán van 1-1 próbálkozás..

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Ez a javított:

[link]

Talán jó lesz. Most hagyom dolgozni aztán meglátom. Mondjuk most van olyan bejegyzés is hogy rossz jelszó. Jó lenne valahogy belefűzni azt is. De hogy?

[ Szerkesztve ]

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Valami még mindig nem tiszta nekem. Lefuttatom a szkriptet és az 1 perccel korábban érkezett bejegyzésben szereplő IP nem kerül fel a blacklistre.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

A backup-ból lehetséges export formátumot előállítani? Csak néhány script kellene a backupból, de nem akarom felülvágni a jelenlegi konfigot.

úgy látom egynél többször kell próbálkozni a banhoz

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Helló.
Megpróbálom sorban megválaszolni.
Igen minden terem hely 192.168.90.0/24
Az ha egyesével tudok bekerülni az volna a legjobb mert akkor csak az adott hely gépeit látom nem több 100 at egyszerre
A gépekben van 1 monitorizáló panel ami küldi az adatot a felügyeletnek bedobott pénz kifizett stb. illetve azzal tudom bekapcsolni a jackpot rendszerbe is, mikor a gépeket elmozgatják A helyröl B helyre hozzá kell igazítsam a helyhez .Erre van egy advanced config nevü program ami ha belső hálozaton vagyok kilistázza a panelokat ip cim alapján ezt szeretném elsőkörben illetve a jackpot pc konfigja is elérhető lenne így.
Remélem sikerült leírnom a storyt.
Bocsánat elég kezdő vagyok még mikrotikban de próbálkozom

Megoldani a problémát sokkal könnyebb, mint elmagyarázni.

Ha gondolod, írj nekem egy pm-t benne a telefonszámoddal, felhívlak és megbeszéljük, hogyan tovább. Esetleg itt biztos adnak még jó tanácsot, de egyszerűbb megmutatni egy telephely/routernél mit kell tegyél, aztán a többin majd végig mész magad.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Most olyan bejegyzés jött ami még eddig sosem Sambán próbálkoznak távolról. Ez hogyan lehet ha nem nyitottam neki portot?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

/ip/smb alatt nincs valami beállítva?

Én rontottam el... A drop szabályom Blacklist-re szólt, a lista meg blacklist volt. A nagy betű miatt volt. Viszont a blokkoló szkriptet nem értem még mindig. Tudnál vetni rá egy pillantást?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Sziasztok
Nemrég lett irodába egy RB5009 beújítva, ROS 7.1.1, de amióta megvan, majdnem konstans a szívás vele. Ezekbe más is belefutott?

-Teljesen random időközönként az összes eddig aktív portja lemegy down-ba és azonnal vissza is jön minden gigabitre. Úgy vettem észre, hogy kikapcsolt BGP-vel nem, vagy csak ritkábban csinálja. Loop nincs, de a logban látszik, hogy lementek és fel a portok. Nem kábelhiba és nem is konfig, egy 3011-et váltott, ami működik rendben, csak gyenge volt már a céljainkra.

-A narancssárga led a 2-8 portokon nincs bekötve. Nem nagy balhé, csak kicsit igénytelen és pazarló hatású nekem

-Ha az első porthoz nem csatlakozik eszköz, akkor a poe ledje félfénnyel pislákol mintha valami áram kóborolna benne, viszont ha csatlakoztatom a túloldalt is, akkor kialszik. Nem tudom, ez mennyire okés vagy utalhat bajra
-Ez lehet, hogy admin error, de valamiért bgp-vel össze van kötve csillagpontosan több mikrotik router, de van 1-1 direkt tunnel is bizonyos szomszédokhoz. BGP dinamikus routing van. Valamiért néha csak az egyik router jelenléte csak egy teljesen másik szerint hurkot csinált és mindig kitiltja. Pedig sehogy nem bírom megfogni, hogy mi okozhatja.

-Bridge STP állítás esetén hiába volt safe mode, ha elvesztem a kapcsolatot, vagy direkt bezárom a winboxot, kitörlődik a bridge amit állítottam, ethernet portokat hol visszatölti, hol nem.

-Ha bridge és vlan környékén állítgatok vagy éppen igmp proxyt, be tud kattanni valami agyilag. A jelenség ilyenkor, hogy pppoe nem bír kapcsolódni egyátalán. Logot "terminated" üzenetekkel szétspameli. PPTP kliens hiába kapcsolódik fel dhcp wan mellett, a válaszidők ilyen 1500ms-től indulnak, az effektív tempó nem éri el az 1 megabit/sec-et. Látszólag az eszköz okén megy és nincs se magas cpu használat, se loop, semmi rendkívüli. Viszont se safe mode nem segít, ha egyszer bekattant, se package+firmware down vagy upgrade, se konfig visszatöltés. Kizárólag az a megoldás, hogy lefactoryzom és utána megy rá a restore.

Ezt a legutóbbit 4011-essel is tapasztalom ros6 és ros7 alatt is.

Sziasztok!

Teljesen szűz vagyok Mikrotik termékeket illetően, így most kérném a segítségeteket!
Adott az alábbi eszköz: SXTsq Lite2 melyet szeretnék Wifi Extendernek használni, mert a kert hátsó részébe már nem megy el a router wifi-je.
Rajzolok, hogy könnyebb legyen elképzelni!

A kérdés, hogy melyik beállítás szükséges számomra a "Quick Setup"-on belül, hogy ki tudjam tolni a wifi hatótávját?

Segítségeteket előre is köszönöm!
Robi

Szerintem ott van az, majd kiszúrja a szemed...

Use my SXT as a WiFiExt in my backyard , na ide tegyél egy pipát, majd reboot.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30