Segítene valaki, hogyan tegyem vissza 6.x verziót a 7.x helyett hapac2-re? Downgrade-netinstall nem működik.

(De, az vagy)

fixy fix

7.1.5 changelog:
*) route - fixed "table" menu emptying after RouterOS upgrade;

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Volt kernel falióra a frissítés óta? Fel merjem rakni a 7.1.5-öt?

Igen....

Nem, még nem. Én feltettem már ezt is..

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

A downgrade és netinstall is azt csinálta, hogy restart után nem volt fent az új firmware. A netinstall pár másodperc (8-10) múlva kiírta az ablakban a MAC után, hogy: ready. ... és ezt bárhányszor megcsinálta.

Megoldódott, jó kis trükközés kellett.

(De, az vagy)

Sziasztok!

Új probléma ütötte fel a fejét nálam. Eddig a VPN kapcsolatnál egy esetleges PPPOE újratárcsázás esetén szépen újraépült a kapcsolat. Most wireguard esetén elég nehézkesen jön fel a távoli eszköz. Mi lehet ennek az oka?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

ha dyndns-re kapcsolódsz, akkor pl egy IP váltás okozhat problémát, mert a WG nem követi azt le

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

7.1.5-re frissítés óta semilyen L2TP nem tud csatlakozni, látszik a próbálkozás, aztán elhal.
7.1.3-ra frissítéskor is ez volt, de akkor újraindítottam a routert és ez megoldotta, most viszont jó lenne downtime nélkül megoldani.

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Nem tapasztaltam ilyet. A vps-ben lévő CHR-nél sem. Az 5009 csak kliens, de az is harap.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Közben én is megtaláltam a problémát. Van is egy elég egyszerű megoldás, ami le majd vissza kapcsolja a wireguard peert egy esetleges ip váltás utáni elérhetetlenség esetén. Viszont valamiért a routerem nem tudja pingelni a másik routert. A rajta logó eszközök szépen pingelik a másik hálózat összes elemét, de a Router nem. Mi lehet a hiba, hol keressem?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

itt a CCR1009 se szerver, se kliensként nem akar menni, se Windows irányába, se Mikrotik felé. múltkor restart utána magához tért, de valószínűleg most is ez lesz majd este.

még egy ok a WG-re váltás mellett

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Közben megtaláltam a ping hiba okát. Valamiért a router el dropolta a másik router felől érkező csomagokat. Amint a wireguard1 13.255.255.0/30 tartománya bekerült a whitelist-be már megy is a ping és a mikor a netwach nem látja a túloldali routert le majd visszakapcsolja az adott WG peert. Szóval probléma megoldva, de miért dobja el a tűzfal a router felől érkező csomagot a routeren lévő eszközökét meg nem?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

WG - egy interface, több port.
szerver oldal
/interface wireguard
add listen-port=16720 mtu=1420 name=wireguard-s19
/interface wireguard peers
add allowed-address=10.17.1.2/32 comment=client1 endpoint-address=xxxxxxxxxxx.sn.mynetname.net endpoint-port=16720 interface=wireguard-s19 persistent-keepalive=30s public-key=\
"YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY"
add allowed-address=10.17.1.3/32 comment=client2 endpoint-address=12.34.56.78 endpoint-port=16723 interface=wireguard-s19 persistent-keepalive=30s public-key=\
"wwwwwwwwwwwwwwwwwwwwwwwwww"
add allowed-address=10.17.1.4/32 comment=client3 endpoint-address=zzzzzzzzzzzzz.sn.mynetname.net endpoint-port=11095 interface=wireguard-s19 persistent-keepalive=30s public-key=\
"vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv"

/ip/route
add disabled=no dst-address=192.168.100.0/24 gateway=10.17.1.4 scope=10

kliens (10.17.1.4)
/interface wireguard
add listen-port=11095 mtu=1420 name=wireguard-carto
/interface wireguard peers
add endpoint-address=12.34.56.79 endpoint-port=16720 interface=wireguard-carto persistent-keepalive=30s public-key=\
"aaaaaaaaaaaaaaaaaaaaaaaaaaaa"
/ip/route
add disabled=no distance=1 dst-address=192.168.1.0/24 gateway=10.17.1.1 pref-src=0.0.0.0 routing-table=main scope=30 \
suppress-hw-offload=no target-scope=10

és mégsem tudom elérni a szerver oldaláról csak a routereket, az alattuk lévő hálózatot nem, azoknál ugyanez megvan visszafelé.
egész addig működött, míg csak egy peer volt, de akkor az allowed address 192.168.0.0/16 és 10.0.0.0/8 volt, így minden irányba működött minden.

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

megvan
szerveroldalon
Allowed address:
10.17.1.4/32 és 192.168.0.0/16

kliensoldalon
192.168.0.0/16 és 10.0.0.0/8

[ Szerkesztve ]

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Én teljesen elvesztettem a fonalat. Kérlek bennetek segítsetek nekem. A 13.0.2.0 azért van benn a listákban, mert néha telóról bemegyek vpn-en és hogy elérjek mindent. Vázolnám a helyzetet:

Wireguard szerver (hAP ac^2 13.0.1.1, PPPOE internet, xy.dyndns.org )
- wireguard1 peer:
- endpoint: xz.dyndns.org
- endpoint port: 13231
- allowed address: 13.0.3.0/24; 13.255.255.2/30
- wirgeuard2 peer:
- endpoint: xw.dyndns.org
- endpoint port: 13232
- allowed address: 13.0.4.0/24; 13.255.255.3/30

IP -> Addresses:
13.255.255.1/30 | 13.255.255.0 | wireguard1
13.255.255.1/30 | 13.255.255.0 | wireguard2

IP -> Routes:
- Static:
- 13.0.3.0/24 | wireguard1
- 13.0.4.0/24 | wireguard2
- Dynamic:
- 13.255.255.0/30 | wireguard1
- 13.255.255.0/30 | wireguard2

Wireguard kliens 1(hAP ac^2 13.0.3.1, PPPOE internet, xz.dyndns.org)
- wireguard1 peer:
- endpoint: xy.dyndns.org
- endpoint port: 13231
- allowed address: 13.0.1.0/24; 13.0.4.0/24; 13.0.2.0/24; 13.255.255.1/30

IP -> Addresses
- 13.255.255.2/30 | wireguard1

IP -> Routes
- Static:
- 13.0.1.0/24 | wireguard1
- 13.0.2.0/24 | wireguard1
- 13.0.4.0/24 | wireguard1
- Dynamic:
- 13.255.255.0/30 | wireguard1

Wireguard kliens 2(hAP ac^2 13.0.4.1, Yettel mobilnet bridge, xw.dyndns.org)
- wireguard1 peer:
-endpoint: xy.dyndns.org
-endpoint port: 13232
-allowed address: 13.0.1.0/24; 13.0.3.0/24; 13.255.255.1/30

IP -> Addresses:
- 13.255.255.3/30 | 13.255.255.0 | wireguard1

IP -> Routes:
- Static:
- 13.0.1.0/24 | wireguard1
- 13.0.2.0/24 | wireguard1
- 13.0.3.0/24 | wireguard1
- Dynamic:
- 13.255.255.0/30 | wireguard1

Így rendben van minden és a tűzfal szivat vagy valamit elrontottam? A lényeg hogy az összes a routereken logó eszköz tud minden minden irányban pingelni, viszont a routerek nem tudják egymást. Erre pedig szükségem lenne a wireguard szkripthez amikor IP váltás van. Előre is köszönök mindent.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Sok l2tp-t használok, nekem stabil, nem számít a sebesség, mert nem nagy a forgalom, nekem a wireguard tűnik egyelőre kínszenvedésnek, mert ehhez frissítenem kellene minden ügyfélnél a mikrotiket egy egyenlőre még nem atom stabil verzióra, ezt még nem merem..

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

eddig nekem is stabil volt, most használhatatlan.
downgradeltem a routert 7.1.3-ra, ugyanannyira használhatatlan maradt...
ötletem nincs mi baja van

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Sajnos beszerezhetetlen az RB4011/RB5009, tudtok esetleg valamit ajánlani hasonló tudással?
Ez lenne a igény: [link]

"Go to work, get married, have some kids, pay your taxes, pay your bills, watch your tv, follow fashion, act normal, obey the law, and repeat after me: I AM FREE"

Mi a fene történt?

Pont ugyanolyat nehéz lenne ajánlani, de a következő lépés szerintem valamelyik CCR, csak az újonnan sokkal drágább. Használtban vettem CCR1009-et teljesítményre hasonló mint az RB5009. Ha viszont újat vennék akkor CCR2004-16G-2S+ ez utóbbi feltételezhetően elég sokáig ki tudná szolgálni az igényeket. Mindkettő kapható, csak az ára...:
[link - CCR1009]
[link - CCR2004]

A félvezetőgyártásban már jó ideje hiány van, szinte mindenből, az elektronikai alkatrész árak megnégyszereződtek, a hiánycikkek pedig drasztikusan emelkedtek. Az összes népszerűbb Mikrotikből is hiány van már egy jó ideje - a drágábbak is inkább még raktárkészlet lehet, mert az kevésbé pörög - de várhatóan elfogynak majd azok is. A használt árak is mennek felfelé ennek megfelelően.

Sajna ez valóban nagy ugrás... Lehet elengedem az SFP+-t és veszek egy RB3011-et, gondolom erre a feladatra az is jó lesz - valamint még az kapható.

"Go to work, get married, have some kids, pay your taxes, pay your bills, watch your tv, follow fashion, act normal, obey the law, and repeat after me: I AM FREE"

Hát 3011-et biztosan nem vennék.
Esetleg ez: [link] ? A proci ugyanaz mint az RB4011-ben.

Uj CCR2004 routert lattatok? Hasznalhato halokartyakent is, 2db 25 gigas SFP portja van.

Mi a probléma vele?

Sajna kell USB a backup net miatt.

"Go to work, get married, have some kids, pay your taxes, pay your bills, watch your tv, follow fashion, act normal, obey the law, and repeat after me: I AM FREE"

- nincs vele semmi problema, nekem megjelenese ota megvan , 1G-at sym. neten log, nincs ra panaszom.
- ha be tudod szerezni batran, nem fogsz benne csalodni.

hg1dfb

Sikerült tegnap 7.1.5-re frissíteni. Eddig minden megy, ahogy kellene, viszont a statisztika (graphs) elmászott. Egy üres oldalt renderel helyette, linkek sincsenek, pedig korábban ott voltak és be van kapcsolva a logolás még mindig.

Másnak se megy?

Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!

Jól működik az RB3011, de a gyakorlatban, egy 20eFt alatt megkapható hAPac2 procija is erősebb (lehet, hogy nem mindenben, de nagy átlagban mindenképpen). Persze pl. több port van rajta, de ha a nyers ár/teljesítmény viszonyt nézem akkor elavult tipus. Hosszú távra pedig nem vennék olyan eszközt ami már egy ideje elavult, és ezért új telepítésre nem is ajánlanám senkinek sem.

A Mikrotik gyakorlatilag az újabb processzorokkal szerelt routerekkel, saját magának csinált konkurenciát, konkrétan a hAPac2 megjelenése miatt, sok régebbi típus tekinthető elavultnak, mert sokkal rosszabb a rájuk jellemző ár/teljesítmény viszony.
Véleményem szerint az RB5009 is hasonló - bár még nem terjedt el nagyon, de lényegesen olcsóbb mint mondjuk egy CCR1009, teljesítményre meg alig van különbség, sőt azokban a feladatokban, amelyek nem oszthatók fel hatékonyan több processzormagra, még jobb is.

[ Szerkesztve ]

RB5009 oda jo, ahol nem kell semmilyen komolyabb halozatos feladatot vegeznie, amugy meg megeszi a ccr. Ha csak egyszeru homenet router+switchnek hasznalod akkor valoban nem lesz sok kulonbseg.

Srácok valaki esetleg a korábbi bejegyzésemre ötlet, hogy miért nem tudom pingelni a másik oldalon lévő rotereket?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Kapcsold be a loggolast a drop szabalyokra es meglatod hol esik ki.

Aztán ha feloldottad a droppolást, fél Kansas ki be járhat a routeren.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Nem tudom a VPN mennyire home kategória, de pl. a PPTP és a wireguard esetében is hasonló sebességre képes a két eszköz. A wireguard pedig teljesen prociból megy, a titkosítás szoftveres. Ez alapján proc teljesítményre nem lehet nagy különbség. A PPTP-esetében is hasonló volt a sebesség, itt az RB509 volt erősebb kicsivel. [link]
Biztos lehet olyan feladatot találni amiben a CCR erősebb, és valószínűleg fordítva is, amiben meg az RB5009 jobb (pl. a nehezen felosztható feladatok szinte biztosan jobban mennek, mert 1 mag teljesítménye több mint 2x akkora).

Am i így elsőre feltűnik, hogy miért adsz azonos címet két különböző interfésznek:???
IP -> Addresses:
13.255.255.1/30 | 13.255.255.0 | wireguard1
13.255.255.1/30 | 13.255.255.0 | wireguard2
Aztán később ez szerepel:
IP -> Addresses
- 13.255.255.2/30 | wireguard1
Egy /30-as tartományban két használható IP lehet, a szerver és a kliens címe (a maradék kettő a broadcast, és a hálózati cím).
Tehát a két interfész nem is lehetne közös tartományban, ugyanolyan IP-je meg pláne nem lehetne. Ha meg egy interfészre menne több kliens akkor nem /30-as címtartomány kellene.
Ezen kívül már páran írták neked, és most én is:
A 13 kezdetű címek nem lokális [LAN] címek, normális hálózatban nem illik ilyet használni még akkor sem, ha egyébklént működik.
Tehát vagy a leírásod hibádzik valahol, és nem fedi a tényleges beállításokat, vagy ha mégis ilyen akkor nem csoda ha nem jól működik.

Felraktam én is, egyelőre megy minden, aminek mennie kell. Kernel falióra nem volt nálam sem.
Egyelőre úgy néz ki, hogy RB951, hAPac, cAPac is gond nélkül megy.

Wireguard kapcsolat: az egyik amit használok fix IP-re csatlakozik, ez szinte soha nem szokott megszakadni. Egy másik egy NAT mögött levő eszköz, ráadásul gyakran elmegy a tápja... Erre kellett netwatch script - 5 percenként pingel, ha megszakadt a kapcsolat, akkor letiltja az interfészt, vár 3 másodpercet, majd visszakapcsolja. Ez megoldotta problémát. Itt van párhuzamosan PPTP kapcsolat is, ami stabil, csak nincs oda irányítva semmilyen adatforgalom, de szükség esetén bármikor használatba vehető.

Többször szóba került, hogy miért használok ilyen IP címet. Akkor is és most is csak azt tudom írni, hogy minden működik szóval miért ne. Amint gondom lesz belőle átállok. Az egész beállítást ez alapján csináltam. Mivel a leírásban csak 1 szerver-klinens kapcsolat van így a másodikat magamtól csináltam. Szóval akkor az 1-es interface tételezzük fel jó. Mi legyen a másodiknak a címe/tartománya? Mert teljesen belekeveredtem.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

"minden működik szóval miért ne"
Teljesen igazad van. Az autód gumijait leereszted 1 barral, minden működik ugyanúgy, akkor miért ne?!

/30 -as hálóban négy cím van, te használod a 0,1,2,3 -t (ugye a 2 középső a hasznos), csak találsz még ilyet 255-ig..., de azért nem egymás után lévő 4 címet kell válassz, hanem sorban... tehát jó a 4,5,6,7 jó a 8,9,10,11 és így tovább.. és nem jó 18,19,20,21

Egyébként mennyire fájna a 13-t 10-re cserélni azokban az ip címekben?

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Most a wireguard címről beszélünk? Vagy az egész hálózatomról? Úgy kellene elképzelni a dolgot hogy

wireguard1 13.255.255.0/30
wireguard2 14.255.255.0/30?

Vagy hogyan? Komolyan elvesztem.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Miért jó az, hogy kell alá egy PC, egy saját készülékház és táp helyett?
Ha a PC lehal akkor mindjárt a router is megáll. Vagy valamit nem látok ebben amit kellene?

Na. Bekapcsoltam az egyik Miki switch-en a Multicast-Querier-t.
Cserébe. az egyik CRS326-24G-2S+ switch-re csatlakozó eszközök néha elérhetetlenné válnak.
Mondjuk PING-eled őket, és időnként, mondjuk 5-10 percenként, nem jön róluk válasz. Van, hogy csak néhány másodpercig, de van, hogy akár egy percig sem elérhetőek.
Belenéztem a LOG-okba, de nincs Interface Down/Up.
Bekapcsoltam ezeket is:
/system logging
add topics=igmp-proxy,info
add topics=igmp-proxy,debug
add topics=bridge,debug
add topics=bridge,info
Nem is volt ilyen jelzésű bejegyzés a LOG-ban.

/ip route rule
alatt miket tudok csinálni?
Bevallom őszintén, nem sok időt toltam még a kutatásba.

Szerintem te egy lassu CCR-en mertel, nem az 1.2GHz-esenl, mert ezen 800Mbit felett megy a wireguard meg natolva is nat nelkul pedig megvan a 900mbit is.(LAN-on tesztelve, smb fajl masolassal).

Az a nagy kulonbseg, hogy a ccr-ben networkinges a proci, azaz az osszes port prociba van bekotve es sok feladatot hardverbol helybol megold, emiatt gyorsabb tud lenni. Peldaul akarhany bridged lehet, mindegyik ugyan olyan gyors lesz, igy tetszoleges groupokba tudod a switch portokat osszehozni, mig a tobbi switch chipesen csak egyhez lesz hw offload. Igy ezt RB5009-en csak egy bridge-vel es layer2-es filteringgel tudod megoldani, de az elegge szukos, mert csak 256 elemet lehet a filter tablajaba rakni, ez a switch chip limitacioja.
Vagy peldaul a queue-kat is kb. ketszer gyorsabban kezeli.

Nezd ugy, hogy 2x25gbites halokartya helybol, aminek elegge olcso. Egy egyszeru 10gbites NIC is 100 dolcsirol indul boltban, ez meg 2x25 mindossze 200 dolcsiert.

Amugy arra jo, hogy ocska oprendszerrel is lehet jol tuzfalazni. Peldaul nyugodtan rakhatsz a gepre windowst, vagy az oprendszer tudta nelkul tudsz tunnelezni/vpnezni, ha megtorik a gepet a network meg vedett maradhat, stb., stb.. Vagy szinten oprendszer nelkul lehet failoverezni, load balancingolni a kartyaval. Eleg sok szituacio van amikor elonyos lehet egy ilyen felallas.

De ha azt nezzuk felaron kapsz egy CCR2xxx-es routert. Legtobb embernek csak az kell, hogy NAT-olja a WAN-t, majd filterezzen. Egy sokportos switch SFP+-os uplinkkel mehet bele ebbe es akkor nem kell azon fajjon a feje, hogy csak 16 portot kap maximum a CCR2004-ek melle.

[ Szerkesztve ]

A vegehez: Csak bele kell dugni egy PCIe riserbe es tapot adni neki. Vagy aki CHR-es gepet epit annak csak bele kell dugnia ezt a kartyat es olcson megvan a nagysebessegu interfesz es magas licence szint, ha nem akar CHR-re sokat kolteni.

[ Szerkesztve ]

Nálam nem okoz semmi hibát. CRS328 a központi switch és az RB5009-en van bekapcsolva a Multicast Querier