Sziasztok

Routeros 7.1.3-ra frissült a router és meglepő módon a webfig-ben az IP>Routes menü üres.
Viszont a terminálban az ip route print parancs listázza az útvonalakat. Ez normális dolog vagy bug lehet?
Köszönöm előre is.

Rendszergazda vagyok....ha röhögni lát, mentsen

Winbox mit mond?

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Ez buggos eleg regota. Elozo (7.x) verziokban is volt, hogy nem mindent listazott ki, csak reszlegesen.

Sziasztok!

A Routeros-al még csak most ismerkedek (korábban itt volt is vita az amatőr kérdésem miatt (elnézést ezért, csak nincs "kezdőknek" topic)), ennek ellenére mivel csak virtualizálva próbálgatom, így nem mindent tudok kipróbálni.
Pont a lényeget nem, a dual wan-t.
Addig jutottam, hogy a wan port működjön, mint dhcp client, tehát megkapja az ip-t, + legyen dhcp serverem ami kiszolgálja a klienseket.
Ahhoz, hogy weboldalak menjenek, 3 port-ot tettem nat rule-ba (53, 80, 443)-at. Az action itt masqerade. Ez eddig oké gondolom, mivelhogy működik.
A route részhez nem nyúltam, azokat a tűzfal szabályok alapján létrehozta az os gondolom én.
Ugyanitt megtehetem azt, hogy egy xy portot beállítok egy másik out interface-re, masquerade-el, így működhet a dolog? Tehát ilyenkor a 53, 80, 443 wan1-en megy, az xy pedig a wan2-őn? Nem kavarnak be egymásnak?

[ Szerkesztve ]

azóta 7.1.3 van
most 12 nap uptime után van 567MB szabad memória a CCR1009-en

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Azt akartam írni. köszi

Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS

ha jók a mangle szabályok !! (amit én már itt többször postoltam, stb), akkor így. Ez ugye dst-nat, azaz a kérés eleve megmondja, honnan jön, melyik wan felől, a választ is arra a wanra kell tedd. Mangle szabály szerint nem fog működni viszont..

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Köszi!

Lenry, a Winbox-ban látszódik minden.
Tényleg bugos, mert a korábbi l2tp sessionok route-jait se törölte.
Na mindegy, majd alakul, remélhetőleg

Rendszergazda vagyok....ha röhögni lát, mentsen

Ehhez visszaolvasok.

De pont ezaz amit nem értek, egy dst nat szabályhoz, amiben megadok mindent a cél port-tól kezdve a kimenő interface-ig, miért kellene mangle szabály? Nyilván, aki használ mikrotiket, ez biztosan egyértelmű, meg előbb utóbb biztos kitalálom, de ezt nem értem.
Vagy ilyenkor a válasz, pl a kms szervertől már nem ugyanazon az interface-en jönne vissza?
Pfsense-ben ez olyan egyszerűen megvan oldva, hogy nemigaz...

[ Szerkesztve ]

Amikor masquerading-ot használsz, akkor ha az adott interface-en hagyja el a csomag a router-t megcsinálja a címfordítást. De a csomag mindig az alapértelmezett átjáró felé megy amiből csak egy lehet!
Tehát csinálsz két route táblát és megmondod, hogy melyik csomag melyik route táblát használja. A két táblában eltérő alapértelmezett átjárót tudsz megadni. Ehhez mangle rule-kell. Amikor a csomag eljut a megfelelő interface-re ott már dolgozni fog a NAT és megcsinálja a címfordítást.

[ Szerkesztve ]

Nem tudom ki milyen email címmel használja a routern az email funkciót, de aki gmail-el az május 30 után mire vált?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Telegram bot sokkal jobb

Köszi! Ez az, amit nem értettem, így már világos.

nabammeg
csak kénytelen leszek mostmár saját mailszervert csinálni

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Nálam sendgrid-el van használva, napi 100 email-ig van ingyenes csomagjuk.

“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”

Méret korlát mekkora? Az Ubuntus szerverről is jön backup és 15 mega körül van.

Lenry : Én is régóta agyalok rajta de nem álltam neki... Lehet egyeltalán dyndns címmel?

[ Szerkesztve ]

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Van, de ezek alapján is jó leszel még: [link]

“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”

nem lehet, fix IP kell hozzá, meg olyan előfizetés, ami egyáltalán engedi az email szolgáltatást.
én azt tervezem, hogy bérelek valahol egy VPS-t

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Valahogy sejtettem.... Viszont akkor nem értem miért van a dyndns host beállítások között MX opció.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Valamelyik felhőszolgáltatónál beraksz egy linux VM-et és adsz neki fix IP-t. Nem igazán drága.

Technikailag meg tudod csinálni de el fogják dobálni a leveleidet!

Miért jobb, mint megvenni egy szolgáltatást? évi 5e forintért? A vps alsó hangon 2x ennyi és még csak nem is elég általában az alapcsomag.. Nem lebeszélni akarok senkit, de én 20 éve üzemeltetem a saját mail szerverem és még a mai napig elgondolkozom rajta, hogy van e jobb megoldás... (meg 15 domainre már azért komolyabb összeg lenne)

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Iszonyú lassú a laptopom sebessége a routerrel. rx/tx rate szinte maximum, amit tud a laptop, de a sebesség mérés tragikus. (Egy nagyobb fájl másolása idegőrlő, ahogy a Btest is mutatja ) (tcp packets/ direction both)

Mi okozhat ilyen vacak átvitelt? (interferencia nincs a falu végén, a WapAC kb 2 méterre akadály nélkül)

Hogyan lehet regisztrálni? Ha jól látom nem olyan egyszerű.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Mármint? Céges adatokat kell megadni. Nekem egy account-om még azure-on keresztül van, de van egy private is, amihez végül is szintén céges adatokat adtam meg.
A sendgrid tömeges email küldésre van, nem mondom, hogy ez a legjobb megoldás erre a problémára (van pár maradi ISP (pl.: freemail), akik "blokkolják/spam-nak jelölik meg" azt pedig csak a fizetős csomagban tudod kivédeni), de én évek óta használom erre a célra is..

[ Szerkesztve ]

“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”

Regisztrációnál kér egy email címet. Ott mit adok még domain-nek? Xyz@micsoda?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Mi nem eleg az alap csomagban?
Havi 10k-ert mar 2G ram 10G ssd-t adnak 2 eves elofizu mellett.

[ Szerkesztve ]

Igazándiból ott elég ha csak egy Mail Relay fut, nem kell semmit felpakolni. Ahhoz meg elég szerény gép is megfelelő.

Igazabol, ha a mail szerver fut ott, ahhoz is eleg szereny gep kell.

Sziasztok,
Ismét wireguard témában fordulnék hozzátok. A site to site megoldás jól működik, most megpróbálnék mobil klienssel csatlakozni.
Csináltam új interfacet illetve adtam hozzá peert.(nem vagyok benne biztos hogy szükséges-e új interface vagy sem):

[MikroTik BP] > interface/wireguard/export hide-sensitive 
/interface wireguard
add comment="Phone connections" listen-port=15000 mtu=1420 name=wireguard2
/interface wireguard peers
add allowed-address=10.11.11.2/32 comment="mobile" endpoint-port=15000 \
    interface=wireguard2 persistent-keepalive=1m
    
[MikroTik BP] > /ip/address export hide-sensitive
/ip address
add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0
add address=10.11.11.1/24 interface=wireguard2 network=10.11.11.0
[MikroTik BP] > /ip/firewall export hide-sensitive
/ip firewall address-list
add action=accept chain=input comment="WG rule Mobile1" dst-port=15000 \
    protocol=udp

Illetve ezt állítottam be a telón a kliensben:

[Interface]
Address = 10.11.11.2/32
PrivateKey = xxx
DNS = 8.8.8.8
[Peer]
PublicKey = xxx
AllowedIPs = 0.0.0.0/0
Endpoint = mikrotik.mynetname.net:15000

A probléma az, hogy ugyan csatlakozik a kliens legalább is az appban azt látom de winboxban amikor nézem a peert akkor a last handshake nem mutat semmit.
Illetve a másik gond az, hogy a netet sem értem el ha kapcsolódva vagyok a wg szerverhez.

Tippre hiányzik valami route vagy tűzfal szabály de egyelőre nincs ötletem.

Minden tippet szívesen fogadok.

Köszi!

Hello darkness, my old friend...

Miért jobb, mint megvenni egy szolgáltatást?

mert még semennyire nem néztem utána, de ha tudsz ajánlani valamit, szívesen veszem

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Masquerade engedve van az uj interfeszre es a kliens ip cimere?

Akkor ez pont 24x akkora költség, mint egy szolgáltatónál megrendelni egy éves levelező csomagot...

Lenry: nem akartam reklámot csinálni, sok ügyfelemet ide küldtem, elégedettek velük.
https://integrity.hu/mailszolgaltatas/

Évi 5e forint.., nem havi 10e, ráadásnak itt többen össze is foghatnának, akik csak log küldözgetésre használják, azoknak bőven sok, és évi 1000 Ft már lassan nevetségesen olcsó is lenne.

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

A kolléga azt állítja, hogy már a handshake sem látszódik, így én nem a routingra gyanakodnék elsősorban.

A kérdezőnek:

Általában nem szükséges új interface, bár a hozzászólásodban idézett konfigban nem látszik a site to site része a konfignak, így elképzelhető, hogy van valami speciális setup, ami miatt indokolt. Nekem pl azért van 2 interfacere leválasztva a kettő, mert szerettem volna az egyik interfacen korlátozni a LAN elérhetőségét.

A tesztelés idejére legalább javaslok egy PersistentKeepalive beállítást a mobilos oldalon, így tudod nézegetni, hogy rendben van-e a handshake bizonyos időközönként.

Amire pedig tippelni tudok, az az, hogyha handshake sincs, akkor vagy tűzfal, vagy a kulcsok rosszak. Első körben megnézném, hogy a tűzfalnál nő-e a wg countere. Ha igen, akkor hogy a kulcsok rendben vannak-e.

Ha ezek egyike se válik be, akkor kiszedném router oldalon a "persistent-keepalive=1m" settinget. Road warrior setupban én ezt a mobilra szoktam hagyni, hiszen ő kapcsolódik IP-hez, a routerben nem is adtál meg endpoint addresst, az mit keepaliveoljon? Meg állandóan tegye ezt? Elég mobil oldalon megtenni, az meg pontosan tudni fogja, hogy kinek megy a keepalive és tényleg csak akkor, amikor kezdeményezel wireguard kapcsolatot mobil oldalon. Viszont el tudom képzelni, hogy ez összezavarja a mikrotik lelkét.

[ Szerkesztve ]

Hogy hívják az éhes horgászt? Gyere Pista, kész a kaja!

Tulajdonképpen a legeslegkisebb csomag is elég, ha CHR-t raksz oda és csak beforwardolod a saját (akár dinamikus ip-s szerveredre), de még ez is 2x annyiba kerül.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Bocs, elirtam. Evi 10k-ert. Brutto.

A legeslegkisebb csomag amit en hasznalok az 15ezer 2 evre.

[ Szerkesztve ]

Akkor árban nincs akkora különbség, de még ha így is van, ha CSAK ezért kell, hogy logokat küldözgess, akkor nem ajánlom, hogy levelező szervert csináljon valaki.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Nem adtam hozzá plus masquerade szabályt csak ami az alap konfigban van:
 1    chain=srcnat action=masquerade src-address=192.168.0.0/16 out-interface=pppoe-digi 
      log=no log-prefix="" 

Akkor ha jól gondolom ide kéne felvenni egy szabályt és a src addressnek megadni a wg networkjét? A wg interface ebben a szabályban gondolom a bejövő interface lenne kimenőnek meg ugyanúgy a digit kéne megadni?

Hello darkness, my old friend...

Igen. A kimeno interface igy rendben van.

Hozzáadtam a szabályt de valamiért így sem akarja az igazat:
 2    chain=srcnat action=masquerade src-address=10.11.11.0/24 
      out-interface=pppoe-digi log=no log-prefix=""

Hello darkness, my old friend...

Akkor ajánlom figyelmedbe a kommentemet: [link]

Hogy hívják az éhes horgászt? Gyere Pista, kész a kaja!

Köszi szépen ott a pont. Az egyik kulcsot elírtam

Egy olyan kérdésem lenne még, hogy ugyanarra az interface-re kapcsolódhat több peer?(gondolom más port legyen)

Illetve ha a wg networkje a 10.11.11.0/24 és van egy pihole konténerem 192.168.10.30-as címmel és azt szeretném, hogy a wg-re csatlakozott kliensek ezt tudják használni DNS kiszolgálónak akkor azt, hogy tudom megoldani?
Köszi!

Hello darkness, my old friend...

Nem tudom hányszor fog még előjönni ez a kérdés, de leírtam többször részletesebben, hogy igen, lehet egy wireguard interfacen több peer is, csak arra kell figyelni, hogy a peereknél az allowed address precízen meg legyen adva. Pl ha 10.11.11.2/32 az IP, amit adni akarsz a mobilnak, akkor ezt ne csak a kliens konfig fájlba írd be, hanen a wg peer allowed-addresses mezőjébe is: 10.11.11.2/32. De ahogy látom, ezt már kitöltötted, szóval ha figyelsz arra, hogy minden peernél szerepeljen, akkor menni fog.

A pihole kérdésre meg... Nekem az volt a tapasztalat, hogy wg fronton még masquerade se kell, elérik egymást szépen a különböző hálózatok. Próbáld meg csak úgy elérni, esélyes, hogy menni fog. Ha nem, akkor meg a piholeos masinára lenne érdemes ránézni, hogy mire van bindolva a pihole, illetve hogy fogja-e tűzfal a forgalmat.

Hogy hívják az éhes horgászt? Gyere Pista, kész a kaja!

Köszi szépen kipróbáltam és ment a dolog. Végül az lett, hogy volt egy wg interface a site to site kapcsolatnak illetve csináltam egy külön wg interfacet a mobilos kapcsolatoknak(itt csináltam több peert).

Hát a masquerade az kellett anélkül nem látott ki a netre, viszont a piholet még nem próbáltam azt majd ma megnézem mert az a másik mikrotikes hálózat alatt van.

Hello darkness, my old friend...

Update a dologhoz. A pihole gond nélkül működik, nem kellett semmi plusz routing vagy szabály. A masquerade kell, hogy a netet tudjam használni.

Hello darkness, my old friend...

Pár átgonolkodott nap után, és sok segítség után természetesen, sikerült beüzemelni a sendgrid smtp megoldását. Aki esetleg hasonlón gonodolkodik jelezze és megpróbálom leírni. Illetve ha már ennyire belemerültem a dologba, megcsináltam egy olyan megoldást is amely az elkészült backup és export fájlokat feltölti google drive-ba is.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Szia! Én is hasonlóban gondolkodom, google drive megoldás is jól hangzik, engem érdekel.

3dfx, gone but never forgotten...