Country szűrésem van, azaz vannak olyan dolgok amelyet csak magyar címeken lehet elérni, bár botok így is csesztetik de nem annyit mintha az egész világ felé nyitva lennének.

Vintage Story PH szervere újra fut!

Én már egy ideje egy CHR-en ami Synology-n fut feltettem egy pihole-t, kíváncsiságból. El is felejtettem, hogy ott van, gond nélkül megy már egy ideje.

Sziasztok,

500M DIGI net optika, Huawei HG8121H bridge-be átrakva
400M van nagyon max kihasználva
routing szabályok alapvetően tiltóak
kbmax 50 gépes iroda,
1G-s intranet
kb 10 VLAN -al
kb 10 állandó kapcsolatú OpenVPN kliens (irodai jellegű forgalom)

+ újdonság hogy legyen mobilinternet backup ha a DIGI megpusztul

OPNsense alól ki akar pusztulni a hardware, milyen Mikrotik-et javasoltok helyette?

mennyire lenne nagy bűn CRS326-ot használni? (kiütne egy öreg VLAN-ozós smart switch-et meg az OPNSense 1U-s ősöreg Dell szerverét)

[ Szerkesztve ]

cap ax
https://www.youtube.com/watch?v=o-wYVPYhOU0

6 GHz rádió és 2.5 G ethernet uplink nélkül
Wifi terén van kb 2 év lemaradásuk minden eszközüknél.

Hiába nem szereted, - mondta a Macska - itt mindenki bolond. Én is bolond vagyok. Te is bolond vagy. Honnan gondolja, hogy én bolond vagyok? - kérdezte Alice. Ha nem volnál bolond, - válaszolt a Macska - nem jöttél volna ide.

Háát igen. Asus AP (AX53U) - asztali PC között is szobán belül ha 80 MByte/s-al másolok NAS-ról AX-es wifin, az már naggggyon jó. De még nagyobb wifi sebességnél sincs sok haszna, az pont arra jó, hogy stabilan ki lehessen venni gigabitből a maxot.

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Hat irtak is, hogy wifi 6, szoval nyilvanvalo, hogy nem wifi 6e.

Az a vicc, hogy 1 fodem es lepcsohazon keresztul 60MB/s megy nekem 4 chain-es ac1566-al.

7.8as szoftver, másik (wireguard) vpn szerver, kábelen, 1000 / 300as digin:

[ Szerkesztve ]

Halli
Két router közt vacillálok hap ac3 és a hap ax2
Teljesítményben az utóbbi jobb, viszont nekem fontos a wifi is. Az elsőnek van 2 db külső antennája ehhez. Mennyit számít ez wifi lefedettség terén?
Van valami tapasztalat erről hogy a belső antennás mikrotikek ezzek az újabbak között mennyire és mire jók?
Köszi

Nekem csak kettő, ahogy az AX-es mikikben.

Le az elipszilonos jével, éljen a "j" !!!

Ok.

Amúgy is ideje kitalálnom, hogy hogyan használjam az ipv6-ot anélkül, hogy közvetlenül kilátszódnának az eszközeim az internetre (darabszám és direkt címezhetőség).

Mármint a telekom NAT-olt V6-ot ad (mert hogy én otthon magamnak NAT-olok és van-e értelme vagy nincs, más kérdés)
Még jó, hogy Digis lettem/maradtam

Amúgy működik Mikrotik 7.8-al a prefix translation is, csak src/dst-NAT helyett netmap-ot kell beállítani és tartományt adni. DHCP kliensben betettem egy scriptet, ami befrissíti a szolgáltatói tartományt a szabályban.

Ja a 7.9-ben meg megjelent egy ilyen, ami segíthet prefix cserénél (idézet a fórumából):
*) ipv6 - send out RA packet with "preferred-lifetime" set to "0" when IPv6 address is deactivated;
- I hope this not only happens when the address is deactivated but also every time the address is changed, like when a new address from a pool is assigned.
-Yes it does.I have tested it successfully in my lab, changed the globally assigned prefix, router sends out RA with 0 to clients for old prefix.
Long story, but finally, no workaround scripts necessary anymore, Thanks Mikrotik!

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Nem NAT-ol v6-on a Telekom. Értelme sem lenne az persze lehet, hogy szűrik a bejövő kapcsolatokat, de ezt is kétlem, révén perpill is működik rendben a távoli elérés.

A prefixcserés dolog örömteli, már csak suffix-re alkalmazható tűzfalszabály és IPv6 offload kellene. Nem állnak, csak lassan vacakolnak, 2030-ra talán a RouterOS is birtokában lesz ezeknek a képességeknek

Szerk: Az is kérdés, a ROS7.9-be érkező újítás vajon letudja-e kezelni a PPPoE újraépülést ami új IPv6 prefix-et ad DIGI és Telekom esetében, viszont ehhez a DHCPv6 klienst újra kell indítani.

[ Szerkesztve ]

üdv, adika4444

- csupasz sebesség 941 Mbps
- wireguard 830 Mbps
- speed.cloudflare.com 882 Mbps

Connected via IPv6
Server location: Budapest
Your network: Digi TV (AS20845)
Your IP address:

Pont úgy, mint nagyobb cégek a publikus IPv4 tartományukat:
Ott egy jól beállított tűzfal és kész.

Amúgy meg, a modern támadások úgyis arra mennek rá, hogy valamire kattintasz, nem a tűzfalat hekkelik kívülről.
Nyilván ha valaki tárva nyitva hagyja az ajtót, akkor lehet megtalálja egy script kiddie.

Mesterséges intelligencia írt egy Mikrtotik alap tűzfal szabályt.

"Természetesen fontos megjegyezni, hogy a biztonságos tűzfalbeállítások kialakítása a hálózat és az alkalmazások specifikus igényeitől függ. Azonban általános ajánlásokat és egy példa konfigurációt adhatok a Mikrotik RouterOS tűzfal filterének beállításához.
Az alábbi példa a következő szabályokat tartalmazza:
Engedélyezzük a loopback kapcsolatokat.Engedélyezzük a kimenő ICMP forgalmat.Blokkoljuk a bejövő és kimenő SSH kapcsolatokat azon kívül, hogy az adminisztrátori IP-címekről jönnek.Blokkoljuk a bejövő SMB kapcsolatokat.Blokkoljuk az összes bejövő forgalmat, amely nem engedélyezett kivételekkel érkezik."

/ip firewall filter
add chain=input connection-state=established,related action=accept comment="Allow established connections"
add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
add chain=input in-interface=lo action=accept comment="Allow loopback traffic"
add chain=input protocol=icmp action=accept comment="Allow outbound ICMP"
add chain=input protocol=tcp dst-port=22 src-address-list=admin action=accept comment="Allow SSH from admin IP"
add chain=input protocol=tcp dst-port=22 action=drop comment="Drop all other SSH traffic"
add chain=input protocol=tcp dst-port=445 action=drop comment="Block incoming SMB connections"
add chain=input action=drop comment="Drop all other incoming traffic"
add chain=forward connection-state=established,related action=accept comment="Allow established connections"
add chain=forward connection-state=invalid action=drop comment="Drop invalid connections"
add chain=forward action=drop comment="Drop all other forwarded traffic"
add chain=output action=accept comment="Allow all outgoing traffic"

Ez a konfiguráció az alábbi módon működik:
Az első szabály engedélyezi az összes már meglévő, kapcsolatban álló (established) és kapcsolódó (related) forgalmat.A második szabály eldob minden érvénytelen (invalid) kapcsolatot.A harmadik szabály engedélyezi a loopback kapcsolatokat.A negyedik szabály engedélyezi a kimenő ICMP forgalmat.Az ötödik szabály engedélyezi az SSH kapcsolatokat az adminisztrátori IP-címekről.A hatodik szabály elutasítja az összes többi SSH kapcsolatot.A hetedik szabály elutasítja az összes bejövő SMB kapcsolatot.A nyolcadik szabály elutasít minden más bejövő forgalmat.

[ Szerkesztve ]

Ipv6-ra is tud?

Gyurka

Az IPV6 NAT-olás témával nekem egy nagy gondom van, mégpedig az, hogy ha UlA címet kapnak az eszközök, azt nem tudom rábírni, hogy DGW-ként használják, tehát force-olni kell az IPv6 kapcsolatot.
#19277XENISETE
Erőforráshasználat miatt jobb, ha a forward szabályok elől vannak, révén legtöbbet routol a router, tehát kisebb az input-output jellegű forgalom.

üdv, adika4444

A biztonságos IPv6 tűzfalbeállítások kialakítása hasonló az IPv4 tűzfalbeállításokhoz, azonban az IPv6 tűzfalaknak figyelembe kell venniük az IPv6 egyedi jellemzőit és az IPv6 hálózatok működési módját.
Az alábbi példa az IPv6 tűzfal filterének beállítására összpontosít, és a következő szabályokat tartalmazza:
Engedélyezzük a loopback kapcsolatokat.Engedélyezzük a kimenő ICMPv6 forgalmat.Engedélyezzük a bejövő ICMPv6 forgalmat, de csak bizonyos típusokat (pl. ICMPv6 Echo Request).Blokkoljuk a bejövő és kimenő SSH kapcsolatokat azon kívül, hogy az adminisztrátori IP-címekről jönnek.Blokkoljuk az összes bejövő IPv6 forgalmat, amely nem engedélyezett kivételekkel érkezik.

/ipv6 firewall filter
add chain=input connection-state=established,related action=accept comment="Allow established connections"
add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
add chain=input in-interface=lo action=accept comment="Allow loopback traffic"
add chain=input protocol=icmpv6 icmp-options=echo-request action=accept comment="Allow inbound ICMPv6 Echo Request"
add chain=input protocol=icmpv6 action=drop comment="Block all other inbound ICMPv6"
add chain=input protocol=tcp dst-port=22 src-address-list=admin action=accept comment="Allow SSH from admin IP"
add chain=input protocol=tcp dst-port=22 action=drop comment="Drop all other SSH traffic"
add chain=input action=drop comment="Drop all other incoming IPv6 traffic"
add chain=forward connection-state=established,related action=accept comment="Allow established connections"
add chain=forward connection-state=invalid action=drop comment="Drop invalid connections"
add chain=forward action=drop comment="Drop all other forwarded IPv6 traffic"
add chain=output action=accept comment="Allow all outgoing IPv6 traffic"

Ez a konfiguráció az alábbi módon működik:
Az első szabály engedélyezi az összes már meglévő, kapcsolatban álló (established) és kapcsolódó (related) IPv6 forgalmat.A második szabály eldob minden érvénytelen (invalid) IPv6 kapcsolatot.A harmadik szabály engedélyezi a loopback IPv6 kapcsolatokat.A negyedik szabály engedélyezi a kimenő ICMPv6 forgalmat.Az ötödik szabály engedélyezi a bizonyos típusú bejövő ICMPv6 forgalmat (pl. ICMPv6 Echo Request).Az hatodik szabály elutasítja az összes többi

Az alábbiakban bemutatom, hogyan lehet beállítani az IPv6-t a Mikrotik RouterOS operációs rendszeren a Magyar Telekom internet szolgáltató által biztosított IPv6 címmel.
Lépjen be a Mikrotik eszközbe a webes felületén keresztül vagy a Winbox program segítségével.
A bal oldali menüben válassza ki az "IP" menüpontot, majd válassza a "DHCP Client" lehetőséget.
Kattintson az "Add new" gombra a jobb felső sarokban.
A megjelenő ablakban az "Interface" mezőben válassza ki a WAN interfészét, ahol az internet szolgáltatóval kapcsolódik. Ezt általában a PPPoE kapcsolat jelöli, amelyet a Telekom kínál.
Az "Use Peer DNS" opció legyen bekapcsolva, amely azt jelenti, hogy a router automatikusan használja a Telekom által biztosított DNS szervert.
Az "Add Default Route" opció is legyen bekapcsolva, amely biztosítja, hogy a router IPv6 forgalmát a megfelelő irányba továbbítsa.
A "Request Address" opció bekapcsolásával a Telekom automatikusan kiosztja az IPv6 címet az eszköznek.
Kattintson az "OK" gombra a beállítások mentéséhez.
A beállítások elmentése után az IPv6 címét a "IP > Addresses" menüpont alatt találja meg.
Ellenőrizze, hogy az IPv6 címe elérhető-e az interneten keresztül. Ehhez használja a "ping" parancsot egy IPv6 címre vagy egy domain névre, például a Google IPv6 címére: "ping ipv6.google.com".
Ezzel beállította az IPv6 internetkapcsolatot a Mikrotik RouterOS eszközön a Magyar Telekom szolgáltatóval.

[ Szerkesztve ]

Köszi, kipróbálom, az etedeti szabály 30 körül van.

Gyurka

őőő hát ezeket az AI írta. szóval ... Én csak be másoltam, mint érdekesség. Meg hogy hova fejlődik a világ. stb...

[ Szerkesztve ]

sziasztok,
van egy wireguard kliensnek konfigurált mikrotik, ami a rajta lógó kliensek forgalmát átküldi a tunnelen ( 0.0.0.0/0 -> wg-interface),
meg persze van statikus szabály a tunnel működéséhez is (remote_végpont_ip -> default_gw).
a remote server ip-je nem kőbevésett, az esetleges változást is szeretném lekövetni, azaz remote_végpont_ip -> default_gw szabályt módosítgatni ha változik az ip.
ahogy ismerkedek a routerrel, látom, hogy van a netwatch és a scheduler amivel lehet ilyet csinálni (scripteket futtatni eseménykor), de hátha van más mód, is ami esetleg pont ilyesmire van csak nem vettem észre? (szóval valami fqdn routingot keresek-csinálnék)

[ Szerkesztve ]

Maganak a wireguardnak csak ip-t lehet adni, fqdn-t nem, viszont a felepult kapcsolatban tudja kovetni az ip valtozast.

A default gw cime miert valtozik?

[ Szerkesztve ]

nem a def gw változik, a nyíl csak azt jelenti hogy az a cím azon az interfacen megy.
hogy érted, hogy követi az ip változást?
(a peer-ben feloldja az fqdn-t az endpoint_addresnél)
az van a fejemben, hogy a kliensen kell egy külön route az endpont_addresshez (ez lenne a remote_endpoint_ip az előző hozzászólásomban), ha egyébként a 0.0.0.0/0 a wg_interfacen keresztül megy.
nem így van? most sajnos nem tudom kipróbálni, de csak így sikerült összehozni, igaz zöldfülű voltam mindkettőhoz (mikrotik/wireguard)

Hat, nekem vps-en keresztul van fix ip-je az itthoni routeremnek, azt egy titkositas nelkuli openvpn viszi at. A wireguard szerver igy az itthoni routerem. Amikor a laptoppal hazajovok, akkor egy ido utan rajon, hogy mas az IP-je a szervernek es atugrik a belsohalos cimere teljesen magatol. Szoval, ha a szerver eleri a klienst akkor le tud frissulni az IP, mert megkapja a szervertol jovo csomagban, hogy mi az uj, a "session" meg ugyanaz. Legalabbis linux alatt, mikrotiken lehet nem tudja.

Ha feloldja mar az jo, amikor megjelent routeros-ben valamiert nalam nem ment.

Mar ertem mire gondolsz, a remote public ip eleresehez valoban kell kulon route, de ezt VRF-el, route rule-val vagy packet mark-al is meg lehet oldani es akkor nem kell script.

[ Szerkesztve ]

Ha mind a két oldal dinamikus ip, akkor csak idő kérdése, hogy szétessen a tunnel. Mind a két oldalon scheduler-t használok a frissítéshez.

köszi mindkettőtök válaszát.
@Reggie0 - ezek a vrf, route rule, packet mark tudják az ip változását valahogy észlelni és kezelni?

[ Szerkesztve ]

Az IP valtozast nem tudja erzekelni, csak azt tudja, hogy kulon routing tablat tart fent, igy a LAN default route nem utkozik a WG default route-vel.

aha, értem, köszi. itt most nekem nem is kell 2 default gw, minden megy át a tunnelen, az endpoint meg kap egy külön route-ot. aztán majd netwatch vagy schedulerrel updatelek, még meg kell néznem pontosan hogy is működnek.

@Tamarel - esetleg átdobnád, hogy néz ki nálad a scheduler script?
köszi

Én úgy emlékszem csak egyszer oldja fel a nevet. Ha van sima net felé is default route-od, a scriptnek annyi dolga van, hogy megpróbál átnézni a wireguardon. Ha nem sikerül, letilt, újra engedélyez, örül. Úgy emlékszem... Ehhez viszont kell a 2 default route.

igen, az lehet, hogy csak az elején oldja fel a nevet.
a 2 default route-os megoldást is értem és köszönöm, elegáns.
de végül ehhez is kell a netwatch az interface billegtetéséhez, ami nem gond, csak kíváncsi voltam van-e esetleg valami gyári megoldás, ne találjam fel újra a kereket.

[ Szerkesztve ]

Én csináltam egy script-et netwatch ha nem látja a WireGuard HUB-ot aminek nincs fix IP-je akkor letiltja a WireGuard interface-t, üríti a DNS cache-t és újra engedélyezi. Kell neki késleltetés mert meg kell várni amíg frissül a DNS bejegyzés.

A megadott FQDN-t egyszer oldja fel és késöbb már a megkapott IP-ből dolgozik, hiába frissül a DNS bejegyzésed.

[ Szerkesztve ]

Elegánsabb, ha a ddns feloldását hasonlítja össze a wireguard interface ip-vel és frissíti, ha kell.

Meg elegansabb: havi egy ezres egy VPS, es azon lehet mast is garazdalkodni

DNS TTL sem számít? Pedig illene neki.