Az normális, hogy a wg tunnelen nincs IPv4 átjáró?

Azt nem tudom, én mikrotik a <-> mikrotik között használom. Windowst még nem próbáltam.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

azért köszi, feladom

Beírtad a 192.168.9.1/24-et az engedélyezett címek közé? Illetve kell egy Route szabály is amivel a Routered eléri a 192.168.9.1/24 hálózatot wg1 interface-en keresztül

[ Szerkesztve ]

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Ne add fel.
Minden használt hálózatot adj hozzá minden oldalon.
Tehát pl.: 192.168.91.0/24

Az nem 192.168.91.0/24 akart lenni?

Azt írta hogy a Windowsos gép 192.168.9.1. Ebből gondoltam. Rosszul gondoltam?

[ Szerkesztve ]

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Mindent hozzáadtam

Mikoritk oldalon is? Tűzfaladban nem használsz valami blokkoló, feketelistázó szabályt? Engem az tréfált meg.

[ Szerkesztve ]

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Minden UDP-s szabályt kikapcsoltam

Sőt minden szabályt kikapcsoltam

[ Szerkesztve ]

Windows tűzfal esetleg? Egy próba erejéig? Amúgy a mikrotik hálózatról eléred a windowsost? Vagy egyik irányban sem jó.

[ Szerkesztve ]

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Mik.ról csak a 10.0.0.2 (win10 gép) tudom pingelni, az ő routerét nem (rb5009)

[ Szerkesztve ]

Ha van ott is mikrotik Router akkor nem próbálod meg azon a wg-t?

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Most megfordítottam, de ezen még a 10.0.0.1-et sem tudom pingelni, de a 5009-en sok szabály van.
Csak a 5009-esről megy ping a 10.0.0.2 felé

[ Szerkesztve ]

És még fekete listára is kerül a 10.0.0.2 az 5009-en

igazad volt, fekete listán volt. Már azelőtt oda került a 10.0.0.2 hogy a tűzfal szabályokat kitöröltem. Pingetni most sem tudom, de újra kipróbálhatok minden tipped.

Amúgy simán sem éred el a többi eszközt, próbáltál már távoli asztalt, vagy hasonlót? Mert én is tegnap előtt frissítettem fel minden eszközt, meg konfiguráltam be a főrouteren a WireGuard-ot és minden szépen megy, tehát fel tudok csatlakozni, van rajta internet is és távoli asztallal telefonnal fel is tudok lépni a belső hálózatban lévő gépre, azonban pingelni nem tudom, de a vicces az, hogy csak a Windows 10-es PC-t, ugyan azon a hálózaton lévő Mikrotik AP-kat tudom pingelni és mondom, a gép elérhető ha az egyéb szolgáltatásait nézem, legalább is a távoli asztalt, mert azt eleve úgy állítottam be, viszont az SMB sem működik a pinggel együtt, de csak WireGuard-al, ugyanis van már régebbi L2TP konfigurálva úgy, hogy a belső hálózatba dobjon be, tehát ugyan abba az IP tartományba és úgy is, hogy külön IP tartományba és érdekes mód, L2TP esetén mindkét esetben működik gond nélkül a ping és az SMB, mindegy hova rakja a telefont, csak WireGuard esetén szarakodik, pedig nem tér el másban annyira sem az alkalmazott IP tartomány, sem pedig a hozzá rendelt tűzfalszabályok, de végül is mindegy is, mert ha a számítógépen a tűzfalban kikapcsolom a Local Services (TCP/UDP) és az Incoming ICMP blokkolására vonatkozó szabályokat, akkor igazából működik a ping is és az SMB is, szóval ez Windows-os hülyeség, legalább is nálam, csak azt nem értem, a WireGuard-os hálózatot miért azonosítja másképp, na mindegy. Nálam ennyi volt a "probléma", igazából pár perc alatt rájöttem, csak kicsit szórakozni kellett, de akkor is bosszantó, majd ha lesz kicsit több időm, vagy a routerben módosítom a WireGuard-os hálózatot, vagy a Windows-on a tűzfalszabályokhoz berakom kivételbe.

Szerk.: Módosítottam a WireGuard-hoz tartozó IP címeket és a tartományt arra, amit L2TP esetén szoktam használni és a probléma megszűnt, kb. fél perc volt és így nem kell a Windows-al szarakodni.

[ Szerkesztve ]

Ja mindegy, most hogy teljesen visszaolvastam, látom hogy nálad nem ez a probléma, viszont eléggé érdekes, mert ha a WireGuard-ot is megfelelően beállítod meg a Mikrotik-et, akkor alapból látja egymást a két hálózat, nálam is csak a Windows 10-es PC nem látszott WireGuard-os eszközökről, mert alap esetben tényleg nem kellene semmilyen plusz beállítás, hogy a két hálózat lássa egymást.

Köszi az infót, ez így elég bizonytalannak tűnik.
Majd később, ha lesz időm, megint nekifutok.

Szerintem kellene, hogy legyen alapertelmezett atjaro. Ha allowed addressnek 0.0.0.0/0-at adsz meg ,hogy az internet is a wg tunnelen keresztul menjen, akkor felveszi automatikusan. Ha nem, akkor neked kell manualisan megadni az atjarot a configban.

Hali
Digi előfizetéssel FFTH Huawei dobozzal bridge módban elég sok szakadást tapasztaltam. Az a gyanúm a router azt érzékeli (terminating sessions: interface state changed), hogy a közte és a doboz közti link megszakadt, és aztán pár percig tart mire sikerül felépítenie a pppoe kapcsolatot.

Most közésjük raktam egy hw switch-et, azzal eddig nem volt szakadás.
Szakiktól kérdezném

1. Jól gondolom így is észre veszi a heti rendszeres bontást a keepalive tesztek miatt?
2. a fizikai switch-cset tudnám azzal helyettesíteni, hogy RouterOS szinten készítek egy bridge-et, és abba "bedugom" a fizikai interfészt, meg a pppoe interfészt?
2b. Jelenthet ez teljesítményben érdemi visszaesést?

[ Szerkesztve ]

Illetve van, csak meg kell nézni a route táblát. Ahogy Reggie0 is írta ha 0.0.0.0/0-t felveszed az elfogadott tartományok közé akkor hozzáadja a route-ot, 0-ra veszi a Metric-et így ezt használja:

No igen, de én itt sem látok gateway-t megadva. Gondolom az on link annyit jelent, hogy kitolja az interfészre szépen, a többit meg majd a wg intézi. Tudtommal ha pl két gépet kötök össze direktben, ott is azt szokás mondani, hogy nem lesz szükség alapértelmezett átjáróra.

Hogy hívják az éhes horgászt? Gyere Pista, kész a kaja!

Pedig ott van, a második sorban! A route table-hez hozzáadja a default gateway-t csak az interface-nél nem jelenik meg. A 0.0.0.0/0 azt jelenti, hogy minden forgalom az ott megadott gateway-en keresztül fog menni, itt 2 ilyen van de a kisebb Metric-ű (költségű) bejegyzést fogja használni. Ha a WireGuard-nál nem adsz meg 0.0.0.0/0-t elfogadott tartománynak akkor a route table-be csak azokat a címeket/tartományokat adja hozzá amiket használni fogsz rajta keresztül a többi megy az alapértelmezett átjárón. Ekkor a második sor nincs, az első sor pedig aktívvá válik mert Ő lesz a legkisebb Metric-ű bejegyzés.

Nem ide akartam.

[ Szerkesztve ]

Sziasztok!

Ezt találtam a routerem logjában. (ritkán szoktam nézegetni )
Mi ez? Nem igazán tudom értelmezni.
Valaki be akar jutni hozzám?
Ha igen, akkor hogyan tudnám ezt kivédeni?

Köszi előre is mindenki segítségét!

Olyan nincs, hogy valami nem sörnyitó ....

Attol fugg. A 46.107.69.215 nem a te cimed?

Nem. Telekomos előfizetésem van. 81.xxx.xxx.xxx az ip címem.

Olyan nincs, hogy valami nem sörnyitó ....

Akkor valaki probalkozott, de mar a protokolt sem talalta el. Az is lehet, hogy csak elgepelte az IP cimet.

IPSec-et hasznalod egyaltalan?

[ Szerkesztve ]

Nem, de igazából azt sem tudom, hogy mi azaz IPSec.

Olyan nincs, hogy valami nem sörnyitó ....

Akkor a bejovo 500-as es 4500-as UDP portokat tiltsd ki a filter input tablajaban.

Illetve ha nem is használsz VPN-t akkor kapcsold ki a VPN szervert.

Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800

Ok, köszi!

Olyan nincs, hogy valami nem sörnyitó ....

VPN-t használok.

Olyan nincs, hogy valami nem sörnyitó ....

Nálam is előfordulnak ilyen bejegyzések. Tiltás nélkül kedvet kapnak és nem nyugszanak.

Kivédeni csak a tűzfalszabállyal lehet (a sikertelen próbálkozás után). Ban listára teszed a címet és pl. egy hónapig az ip cím nem fog jelentkezni a logban.

Ezt esetleg részletesen leírnád, hogyan kell megcsinálni?

Olyan nincs, hogy valami nem sörnyitó ....

/ip firewall filter
add action=add-src-to-address-list address-list=vpnlogin \
    address-list-timeout=1m chain=input comment=\
    "L2TP - 1,0 min - vpnlogin list" dst-port=500,1701,4500 protocol=udp \
    src-address-list=!vpn1
add action=add-src-to-address-list address-list=vpn1 address-list-timeout=1h \
    chain=input comment="L2TP - 60min - vpn1 list" dst-port=500,1701,4500 \
    protocol=udp src-address-list=!vpn1
add action=add-src-to-address-list address-list=vpn-blacklist \
    address-list-timeout=12w6d5h59m chain=input comment=\
    "L2TP - 90d 05:59:00 - blakcklist" dst-port=500,1701,4500 protocol=udp \
    src-address-list=!vpnlogin

/ip firewall raw
add action=drop chain=prerouting comment="VPN BLACKLIST DROP (L2TP)" \
    in-interface=pppoe-WAN src-address-list=vpn-blacklist

Szerintem ezzel csökkenthető a próbálkozások száma. (Saját fabrikálás, biztos van ügyesebb megoldás is)

Sziasztok,

RB260GSP (CSS106-1G-4P-1S) SFP-jébe kellene rezet tennem, S-RJ01 bele való lenne de aranyárban mérik, használtan meg évente egyszer ha van.

Valaki tud esetleg Cisco, Ubi, akármi tuti működő alternatívát?

azt írják a Mikrotik helpek, hogy bármi jó ami SFP, de fórumokon meg azt olvasom, hogy azért az nem teljesen úgy van ...

[ Szerkesztve ]

Nagyon köszi!
Bár ez így nekem nem működik, gondolom én rontottam el valamit. A filterek közül most ugye nekem ezek a legutolsók, ez így jó kéne, hogy legyen?
Bocsi, hogy ilyen láma vagyok hozzá!

Olyan nincs, hogy valami nem sörnyitó ....

"műkedvelőként"
Nem tudom mi lehet ott a hiba?
Nálam a tiltólista összegyűjtés (vpn, port szkennelgetés, ssh disznólkodás) a legfontosabb drop szabályok után következnek. A prerouting-ban a dobásnál esetleg a bejövő interfész neve lehet más.

"A prerouting-ban a dobásnál esetleg a bejövő interfész neve lehet más."
Persze, azt átírtam a sajátomra. Majd este még próbálkozok vele.
Nagyon köszi minden esetre!

Olyan nincs, hogy valami nem sörnyitó ....

Sziasztok
Van egy WapR routerem illetve hozzá EC25E Lte modulom és Yettel korlátlan mobilnetet szeretnék egy TP link routernek átadni ami aztán elosztja a teljes házban minden eszközömnek. (Semmilyen szolgalato nem hajlando itt kabelt adni :( )
2 napja szenvedek az lte felélesztésével de sehoy sem jön össze.
1. Lefrissítettem a RouterOst a legfrissebbre, elvileg ennek natívan fel kellene ismerni ezt az LTE kartyat.
2. Ezután sikerült az interface-ek kózött látnom az LTE kártyát beállítottam a jó APN-t újraindítom a routert és eltűnik az interface-ek közül a kártya és az EC25 beugrik USb módba amiböl nem tudom visszahozni LTE módba.

Elvileg egy paranccsal vissza lehetne hozni lte módba a kártyát, de ahhoz channel 2-n kellene vele kommunikálnom, az enyém meg csak channel 0-n hajlandó, ami a debug mód.

Valakinek lenne kedve TeamVieweren bekonfigolni az eszközt nekem?
Nem ingyen .
Köszi !

Én is vettem ilyet és pont ezzel szívattam kollegámat kb. 2 hete. Lényeg: a modemben lévő FW nem jó.
Amit tehetsz:
1. Visszaviszed és kicserélteted "fehér címkésre". Ez kicsivel régebbi kiadás, de elsőre működik hibátlanul.
2. Visszaviszed és kérsz már frissített FW-s modemet. Ígérte az eladó, hogy valakit tud, aki tudja frissíteni...
3. Megpróbálkozol a modem FW frissítésével. Mikrotik alatt ez nem fog menni. Notebookba téve, linux alatt lehet frissíteni.
De az igazi megoldás a modemhez tartozó programozó board és azon keresztül frissíteni.
Ha magad akarod megoldani, akkor a miskolci SOS Elektronik-tól kaphatsz érdemi segítséget.

Sziasztok,

Adott egy RB4011 két WAN kapcsolattal.
Szeretnék a másodlagos WAN-on port forwardot engedélyezni úgy, hogy a válasz is arra menjen.
Hogyan tudom megjelölni a csomagokat?

Nincs szükségem fail-overre vagy bármi másra, pusztán annyit szeretnék elérni, hogy a 2-es neten bejövő csomagok arra is távozzanak ne a default route irányába.

Köszönöm!

A failover az sokkal egyszerűbb, mert ott csak egy magasabb distance értékkel rendelkező route-t kell adni. Amit te akarsz az sokkal bonyolultabb, hiszen itt él mindkét wan, de csak egy alapértelmezett átjáró lehet.
Mangle szabályok kellenek.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Igen a failover az menne is.
De WAN1-en nem mehet az a forgalom ami a WAN2 felé engedélyezve van.
Ez akár jó is lehet nekem?
https://logout.hu/bejegyzes/masterdeejay/mikrotik_dual_wan_failover_forwarding.html
Muszáj belenyúlnom a WAN1-be?Tényleg csak a WAN2 lenne a lényeg.

[ Szerkesztve ]

ajánlom magamat

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data