De minek? A leírásod pont nem jó neki, mert adott gépekhez akar port forwardot, persze csak feltételezem, hogy mind a két wan felől.

Marcelldzso:
Ha visszaolvasol én már legalább 3x leírtam, hogy kell, sőt még a mangle szabályokat is betettem ide (igaz csak két wan esetén), amit több wan bekötésekor bővíteni kell..

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

valóban, afölött átsiklottam

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Megnézem köszönöm.
Pontosítom: a wireguardot szeretném, hogy csak wan2 fele válaszoljon.
magyarul wan2 irányból szeretnék bevpn-ezni a hálózatba.

De ha ezt a router csinálja, akkor ehhez nem kell semmi szerintem, mert a wan1 felől tiltod a wg portját, wan2-nél meg engeded. Ez nem port forward sztem. De majd a wg guruk segítenek, én még nem használom.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Sajnos ez nem lesz egyszeru menet, ha nem statikus routingot hasznalsz, hanem DHCP vagy PPPOE kapcsolatot a WAN2 porton, azaz a default gateway cimet valamilyen kapcsolat felepitese kozben kapod meg. Ekkor muszaj lesz scriptet hasznalnod es scriptbol felhuznod/frissitened egy masodik routing tablat - mivel ezekkel a protokolokkal csak a main routing tablaban allitja be a default gw-t - , aminek a default gw-jet beallitod a wan2 gw cimere, majd policy based routingot adsz meg a wan2 connectionokra, amiket a mangle tabla prerouting chainjeben kell connection markingolni mikor beesnek a wan2 interfeszen.

[ Szerkesztve ]

Ennek van így értelme, vagy minden AP -ra meg kellene adnom külön szabályokat?
A teraszon lévő AP- t ha csak a közös szabályba teszem akkor az udvar végén már eldobja az eszközöket ezért adtam meg neki külön egy -120--120 értékes szabályt. A lakásban lévő AP- k tartoznak az "any" -ba ott még szűkebre is szeretném majd venni a szabályt.

[ Szerkesztve ]

Igen, PPPoE a WAN2.
Azthittem egyszerűbb dolgom lesz ha egy eszköz kezeli a két netet.

Nekem úgy rémlik, hogy megadhatod a default route-ot az interface nevével is így nem kell szórakozni az IP címmel.

Ezt ki kell probalni, mert elvileg mast jelent a dolog, de lehet, hogy feature es tudja a trukkot.

[ Szerkesztve ]

A leírás szerint is ez az elvárt működés, de kipróbáltam és megy gond nélkül.

A leiras nem azt irja, amit te mondasz. Ha megnezed, akkor pl. egy lokalis halozatnal csak az interfesz neve van ott a routingban. Ez azt jelenti, hogy az adott halozathoz azon az interfeszen kell kimenni a csomagnak, ehhez a MAC cimet lookupolnia kell. Ha IP cim (is) van megadva az azt jelenti, hogy nem kell MAC cimet lookupolni, hanem a default gw-nek megadott ipcimu gep MAC addressere kell kuldeni. Ezert van az, hogy a csak interfesz neves route-nak 0 lesz a distance, mig az IP cimesnek mar 1, mert ott egy masik host-on keresztul tortenik a kommunikacio.

Persze lehet, hogy peldaul PPPoE-nel van olyan okos a rendszer, hogy rajon az egy pont-pont tunnel igy logikusan csak a tuloldal MAC cime van es emiatt nem fogja izgatni, hogy az if neve vagy cime van megadva, de erre mondtam, hogy ki kell probalni.

Viszont ha ez mukodik akkor Marcelldzsonak csak a scriptes reszet oldja meg, a tobbire meg szukseg lesz. A packet flow/routing decision ugy megy, hogy eloszor a celcimhez keres routing szabalyokat lehetoleg minel rovidebb eredo distancevel. Ha versenges van, akkor mukodestol fuggoen sorrendben vagy esetlegesen round robin rendszerben kivalasztja egyiket. Majd miutan megvan, hogy a default gw milyen cim lesz annak megfeleloen valaszt interfeszt. Tehat a logika forditott, mint ebben az esetben varnak, nekunk elobb kene interfeszt valasztani es az interfesz szerint routingot.

[ Szerkesztve ]

Itt PPPoE volt a kérdés és ppp interface-re igaz amit írtam! Nyilván fizikai interface-re nem fog működni! Abban igazad van, hogy hiányosan fogalmaztam, elnézést!

Igen a routing mark-ot be kell állítani, létrehozni egy másodlagos route table-t, valamint a routing rules-ban be kell állítani, hogy a mark alapján melyik táblát használja és kész is van.

[ Szerkesztve ]

Szia

itt találod: [link]

Lépj ki, lépj be, próbáld meg újra...

Köszi, holnap kipróbálom.
Bár mintha ezt már próbáltam volna.

Kipróbáltam, de nem értem el nagyobb sebességet, mint egyesítés nélkül.
Az egyik porton megy az adatforgalom 117 Mb/s-mal, a másikon pár kilobites forgalom van.

egyrészt 117MB mögött valszeg a diskek korlátja áll
másrészt LAG loadbalance a kapcsolatok szétkenéséről szól a csoportban lévő interfacek között nem pedig a csomagok szétkenéséről

[ Szerkesztve ]

És bennem olyan emlékek is vannak, mintha beállítás függő lenne : L2, L3, L4 vagy ezek valamilyen kombinációja alapján menjen a Load-Balancing.

NO-IP esetében még mindig frissítgetni kell időnként a HostName-ket?

Lehet, hogy ez nem mikrotikes kérdés, de hátha...

Van egy bridge és abba belefoglalt 10db port. A router különböző két másik portját szerettem volna külön-külön címmel használni. Ez nekem csak akkor sikerül, ha külön bridget hozok létre ezeknek a hálózatoknak. Ez így kell megcsinálni vagy valamit rosszul gondolok?

Háát, talán tűzfallal is meg lehet csinálni, de Bridge-el talán tisztább ,szárazabb, biztonságosabb érzés. Vagy ha kiveszed a portokat a bridgekből (amiket akár törölhetsz is, ha csak adott port használja és hozzárendelheted direktben az ethernet portokhoz, de asszem már jó ideje mindegy sebesség szempontból is, mert lekezeli a RouterOS)

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Értem.
Ha nem bridge-be foglalom az eth portot, hanem közvetlen a portot címzem, akkor a route-ban anricséble lesz a dinamikus szabály. Emiatt érdeklődtem, de nekem jó lesz a bridge.

Attol fugg milyen router, lehet meg lehet oldani a hw offloading elvesztese nelkul is layer 2 acl segitsegevel.

Az a baj, hogy ha a bridgeben tuzfalazol, akkor elkuld mindent a procinak es elveszted a switch chip adta sebessegelonyt.
Ha meg kulon bridget hozol letre, akkor arra a ket kulon portra veszted el a sebesseget, mert azokat atkuldi a procinak. Illetve az a forgalom is a procin megy at, ami a bridge1 es a masik ket port kozott zajlik.

[ Szerkesztve ]

Hmm. Még nem is néztem, milyen árazású a No-Ip

Próbálkozom, de valahogy még nincs eredményem.
Megnéznéd mit rontok el?
Létrehoztam egy routing táblát:
/routing table
add disabled=no fib name=wgrtab
Hozzáadtam egy default route szabályt a wan2 interface nevével:
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=wan2net routing-table=wgrtab suppress-hw-offload=no
Mangle táblában felvettem egy connection markot, hogy ami beesik a wan2-őn az legyen marked:
/ip firewall mangle
add action=mark-connection chain=prerouting in-interface=wan2net new-connection-mark=WAN2 passthrough=yes
Majd hozzáadtam egy Route Rule-t:
/ip firewall mangle
/routing rule 
add action=lookup disabled=no interface=wan2net table=wgrtab

Adj hozzá egy routing mark-ot és a route rule -t a mark alapján álítsd be melyik táblát használja.

Conn mark->add action=mark-connection chain=forward connection-mark=no-mark new-connection-mark=first in-interface=(Interface) passthrough=yes

RouteMark-> add action=mark-routing chain=prerouting connection-mark=first new-routing-mark=RouteMark

add action=lookup routing-mark=RouteMark table=new table

Én így csinálnám!

Kipróbáltam így is, viszont nem jó.

/ip firewall mangle
add action=mark-connection chain=forward in-interface=net2 new-connection-mark=connWAN2 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=connWAN2 in-interface=net2 new-routing-mark=wgtable passthrough=yes
Route tábla:
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=net2 pref-src=0.0.0.0 routing-table=wgtable scope=30 suppress-hw-offload=no target-scope=1
Routes:
/routing table
add disabled=no fib name=wgtable
/routing rule
add action=lookup disabled=no routing-mark=wgtable table=wgtable

Pingelem a másodlagos net WAN IP-jét de nem jön válasz.

[ Szerkesztve ]

Mivel a kapcsolatot bentrol kezdemenyezzuk kifele ezert a benti interfeszen kell markolni a csomagokat, hogy tudjuk merre kell tovabbkuldeni. Amit te csinaltal az pedig a wan interfeszen markolja a csomagot, aminek max akkor van ertelme, ha kintrol be lehet csatlakozni es mondjuk portforwardolsz. De alapbol nem ez kell neked.

Szoval inkabb igy:
/ip firewall mangle
add action=mark-connection chain=forward in-interface=wg new-connection-mark=connWAN2 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=connWAN2 in-interface=wg new-routing-mark=wgtable passthrough=yes

A tobbi sor az rendben van.

Nem jó.
Kintről szeretnék a wireguardra csatlakozni.
Mondjuk most már annak is örülnék ha legalább pingre válaszolna wan2-őn, de még azt sem sikerül elérni.
Pedig így csinálom ahogy mondjátok.
A connWAN2 egyébként megjelenik, szerintem bemegy a route táblába is, de jön létre a kapcsolat.

Hat. Lehet, hogy akkor nem artana, ha a teljes felepiteset es celjat elmondanad a halozatod ezen reszenek, mert meg azt is talalgatnunk kell, hogy mit is szeretnel valojaban.

Ha kintrol szeretnel csatlakozni es onnan szeretnel kintre valaszolni, akkor mangle sem szukseges, mivel mas IP cimed van a wan2 interfeszen, igy egy egyszeru policy based routing kell arra az ipcimre, amire bejott a csomag. Tehat a fib tablan kivul torolsz mindent amit eddig csinaltal, beleertve a tuzfalszabalyokat es csak ennyi kell:

/routing rule add src-address=<wan2ipcime> action=lookup-only-in-table table=<wan2routingtabla>
/ip route add dst-address=0.0.0.0/0 routing-table=<wan2routingtabla> gateway=<wan2interfesz> suppress-hw-offload=no

[ Szerkesztve ]

Sziasztok!

Két kérdés, mert elakadtam!
Vpn (PPTP, L2TP) hibám van! Azon kívül hogy a 40 Mbps sebesség 4 Mbps a feltöltés azon most nem agyalok.
Hiba!
Az SMB megosztásokat nem tudom elérni (sem ami jelszavas, sem ami publikus - jelszó nélküli). Pingre válaszol a NAS, de nevére nem. Már nincs ötletem!
Előre is köszi, ha van valakinek ötlete!
Norbi

IPhone 15 Pro Max, Iphone 13

nevére nem

IP címmel próbálod letallózni a samba megosztást?

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

dobpergéééés......
Kész!
Gondoltam, hogy rossz lesz a logikám. Legközelebb azthiszem rajzolok és akkor a jószándékú segítséget nem viszem el rossz irányba.
Köszönöm tényleg hálás vagyok, ma is tanultam valamit.

Persze! Ugyan úgy semmi!

IPhone 15 Pro Max, Iphone 13

Megvan! Szemem előtt volt és nem vettem észre. Nat!!!!!

IPhone 15 Pro Max, Iphone 13

Sorry! Mindig kicsúszok a szerk.időből!
VPN sebességre lehet valami megoldás? 355KB/s nem valami fényes. Ennek azért többet kellene tudni. Yettel a szolgáltató, SXT-LTE 6 -> RB3011 a sorrend. SXT nem tud passth. ezért minden natolva van.
Előtte egy TP-Link volt fent az SXT helyett, akkor 4-5000 KB/s-el másoltam.
Köszi ha valakinek lesz ötlete!

IPhone 15 Pro Max, Iphone 13

MTU mekkora a VPN interfészen?
próbáld lentebb venni, a WAN interfésznél kisebb értékre.

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Jelenleg 1450, 1400-on is ezt csinálta! Lejjebb nem vittem!

IPhone 15 Pro Max, Iphone 13

azért megpróbálhatod, nem kerül semmibe
nálam a WireGuard pl 1200-on táltosodott meg

Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data

Hát, sajnos nem jött össze! Többet megpróbáltam, de egyszer sem megy feljebb!

IPhone 15 Pro Max, Iphone 13

Nincs mit igazan. Amugy a mangle-t is lehet hasznalni, csak ilyenkor nem a forward chainbe kell rakni a connection markot, hanem az input chainbe, mivel a mikrotik belso(proci) interfesze fele megy a forgalom es forwardot sosem lat(nem interfeszek kozott iranyitja).

Azaz az alabbi abran nem az I pontbol L-be megyunk, hanem a J-be, onnan a LOCAL-IN-be. Es I es J kozott az INPUT van, amit kaptal eddig configot, pedig a FORWARD-ba rakta a szabalyt. Ezert nem mukodott.

[ Szerkesztve ]

Ha nem használsz Mangle-t, akkor honnan lesz Wan2RoutingTable ?

Létrehozod?

Aztán ha már kész van akkor meg tudod mondani, hogy adott feltétel teljesülése esetén melyik táblát használja.

Ahogy Audience is mutaja, vagy ahogy irtam ettol a szabalytol: /routing rule add src-address=<wan2ipcime> action=lookup-only-in-table table=<wan2routingtabla>

Ez forrascim alapjan hatarozza meg, hogy melyik tablaban kell keresnie a dest ip-hez tartozo routingokat.

Linux alatt ezt source-routing-nak hivjak. [link]

[ Szerkesztve ]

ezt a képet el is raktam. hasznos lesz később.

Erdemes inkabb a forras oldalt elrakni, mert sok egyeb abra es magyarazat van ott: https://help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS

[ Szerkesztve ]

Azt szeretném, hogy a belső hálózaton a kliensek használják a router dns cache listáját.
Ehhez elég, ha a dns névfeloldást a router belső címére állítom a kliensekben, vagy kell még redirect szabály (tcp/udp 53) is a router tűzfalban?

Redirect csak akkor kell, ha ki akarod kenyszeriteni, de amugy eleg csak a beallitas.