Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Gyorskeresés
Legfrissebb anyagok
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
- Tudástár AMD Radeon undervolt/overclock
Általános témák
LOGOUT.hu témák
- [Re:] PLEX: multimédia az egész lakásban
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] [Adrian Mole:] Friss konfig, Win 11, gyere rám
- [Re:] Elektromos rásegítésű kerékpárok
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] [bitpork:] Fogyasztásra ítélve
- [Re:] Kempingezés és sátrazás
- [Re:] [HThomas:] Kia Ceed SW JD vs CD tapasztalatok
- [Re:] [FireFox1996:] 2024 tavaszi fórum peca
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Téma összefoglaló
Hozzászólások
Audience
aktív tag
Azt amikor összeraksz egy WG tunnel-t megcsinálod, anélkül nemigen megy semmi át rajta. A kérdés, ahogy én megértettem, az volt hogyan lehet korlátozni ki beszélget kivel nem a WG/Route beállítások.
jerry311
nagyúr
Jól értetted a kérdést, de hogy ki-kivel beszélgessen, azt le lehet korlátozni WG szinten is ebben az esetben. Ha csak az kell, hogy a két szerver elérje egymást, akkor elég csak azt az IP párost átengedni a WG-n.
Audience
aktív tag
Igazad van, az allowed ip beallitasaval is mukodik. Akkor van legalabb ketto, de ha a routing rule-okba beleturunk, 3 megoldasa is.
kress
aktív tag
Wireguard, udp 53-at szeretnek hasznalni, de ugy latom a router benyeli ami a net felol jon vagy valamit nagyon benezek.
A router sajat dns servere is fut, esetleg az zavarhat be valamit? A tuzfalon akkor is kene latszodnia nem?
Az alabbi fw log-al probalnam latni hogy jon a porton barmi is, de a lognak se hire-se hamva:
/ip firewall raw add action=log chain=prerouting dst-port=53 log=yes log-prefix="UDP 53 in" protocol=udp
amivel probalnam megrugni kivulrol:nc -z -v -u kulso-cimem 53
A fw rule az elso a sorban, raktam az input elejere is, de semmi. Mas porttal mukodik (123).
upd: vodafone router, modem modban, ott nem nagyon kene csinalnia semmit, minden mast at is enged
[ Szerkesztve ]
ekkold
Topikgazda
Lehet, hogy a szolgáltató szűri a bejövő DNS-t (53-as port)
Audience
aktív tag
Route-ok rendben vannak?
Allowed IP?
Firewall?
A DNS-t amit el akarsz érni tudod pingetni? Ha nem a traceroute mit mutat, merre megy a csomag?
ekkold
Topikgazda
Azt írta: "Mas porttal mukodik (123)."
E.Kaufmann
addikt
Lehet olyat csinálni 2 Mikrotik eszköz között, hogy az egyik "dekódolja" a szolgáltatótól felöli PPPoE kapcsolatot és továbbpasszolja a kicsomagolt forgalmat egy második Mikrotik routernek, ami már a tényleges IPv4/IPv6 router/tűzfal? Lényegében valami PPPoE/Ethernet L2 áthidalás kellene, minél kevesebb "overhead"-del.
Le az elipszilonos jével, éljen a "j" !!!
DMZ nem lenne jó?
E.Kaufmann
addikt
Ok, de milyen féle? Az lenne a cél, hogy a PPPoE-n kapott IP címet és IPv6 tartományt 1-az1-ben átpasszoljam a másik Mikrotik-nek. Annyi a nehezítés, hogy a két eszköz között Wifi kapcsolat lenne, de szerintem sokat nem bonyolít a helyzeten, csak ha már két eszköz kell (a kábelezés megspórolása végett), akkor kicsit tehermentesítsen az első router és a PPPoE-val már ne kelljen bajlódni a túloldalon.
Vagy legalább valami routing szabályt hogy lehetne "megfogalmazni", hogy ne a célcímet nézze, hanem ha az egyik interfészen valami bejön azt az ellenkező irányhoz tartozó interfészen dobja tovább, mindenféle NAT/VPN/ARP proxy meg egyéb varázslat nélkül?
[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
(#19361) E.Kaufmann válasza E.Kaufmann (#19360) üzenetére
E.Kaufmann
addikt
Lemaradtam a szerkeztésről, tehát minden ami PPPoE-n bejön (még ha elvileg az Input ágra kellene is érkeznie), azt dobja tovább az Ethernet porton (a túloldalon levő IP cím felé), ami meg Ethernet felöl jön azt meg dobja be a PPPoE alagútba.
Le az elipszilonos jével, éljen a "j" !!!
Audience
aktív tag
Szerintem rajzold le, nekem nem pontosan érthető mit szeretnél.
E.Kaufmann
addikt
ISP <--(PPPoE)--> R1(PPPoE kliens) <--(802.11ac)--> R2(DHCPv4/v6 kliens/tűzfal/NAT/stb...)
Le az elipszilonos jével, éljen a "j" !!!
Reggie0
félisten
PPPoE kimenete mar L3-ban van, azt nem tudod lerakni L2-re.
E.Kaufmann
addikt
Ok, de valahogy ezt az L3-t csak tovább lehet csatornázni/terelni.
Le az elipszilonos jével, éljen a "j" !!!
kress
aktív tag
ugy nez ki ez lesz, a szolgaltato szuri, az udp 52/54 megerkezik, az 53 nem
koszi a tippeket
Audience
aktív tag
Engem megzavart, hogy az eredeti post-ban azt írtad WireGuard-dal akarod használni, ott meg ha felépült a tunnel mindegy mit szűr a WAN portra a szolgáltató.
Audience
aktív tag
Egy EoIP-n átdobni az R2-nek és oda tenni a PPPoE klienst ki lehetne próbálni. De nem értem a koncepció mögött mi van.
Reggie0
félisten
A cel pont az volt, hogy az elso routeren legyen a PPPoE, a masodikon a routing.
Reggie0
félisten
A cimnek ott kell felveve lennie, ahol a PPPoE kliens fut. Persze tovabb lehet dobni, de akkor natolnia kell es dupla natod lesz.
[ Szerkesztve ]
Audience
aktív tag
Nyilván találgatás de szerintem azért mert a második router wifi-n csatlakozott az elsőhöz.
Audience
aktív tag
IPV6 -ot is írt, azt meg ha csak le nem maradtam valamiről még nem NAT-olja a ROS.
Reggie0
félisten
Is-is irta. Amugy tud NAT-olni IPv6-ot is a mikrotik 7.1 ota. [link]
[ Szerkesztve ]
Audience
aktív tag
Csak lemaradtam róla, köszönöm az infót!
kammler
senior tag
hét nekem udp-n egyáltalán nem megy, de még az openvpn se
Pilok
tag
Sziasztok!
Valaki mar jart ugy hoyg ROS 7.6 es 7.8 alatt IP alapjan nem lehet elerni az eszkozt? MAC alapjan elerheto, Pingre nem valaszol. WAN reszrol elerheto. hAP AC3 a dragam, rouer es capsmanager.
Illetve LAN reszre nem szorja a netet. Terminalbol kilat es elerheto.
Forward es masq. szabalyok rendben. DNS filter ki es bekapcsolva is ugyan az a hiba.
Sima alap konfig.
Ami meg erdekes 6.48.6 altt siman megy.
Valaszokat koszonom.
Reggie0
félisten
Megesik, konfig hiba lesz. Altalaban ilyenkor valami banalis elnezes az okozoja.
jerry311
nagyúr
Szolgáltató vagy a céges tűzfal?
Mert ez így erősen DNS-nek álcázott VPN-nek tűnik. Mi másért tenne az ember Wireguardot 53-as portra.
kress
aktív tag
csak sima otthoni miki voda neten, udp 53 elérésen keresztül, a biztonság kedvéért, szállodákban, mobilneten, publikus wifiken talán nagyobb eséllyel átjut mint az eredeti 51820 port 😃
de úgy néz ki a voda benyeli az 53at befelé, persze lehet a szolgáltatói router is talán, de modem modban van, ott nem nagyon van már beállítás rajta.
a legjobb lenne ha tcpén át tudná paszírozni valahogy a miki és a 80/443 szinte tuti nyerő lenne
user12
őstag
Sziasztok
Van egy érdekes jelenségem, melynek az okára nem nagyon tudok rájönni.
Adott egy Mikrotik L2TP szerver, ami annak rendje módja szerint be van állítva, működik, kliensek tudnak csatlakozni.
Adott egy céges hálózat, ahonnan random Windows kliens szintén fel tud csatlakozni az előbbi L2TP szerverre. Viszont ha ugyanitt elhelyezünk egy Mikrotik eszközt, ami kliensként szeretne csatlakozni a szerverre, na ő nem tud. Amint a Mikrotik csatlakozni próbál, a céges tűzfal (nem Mikrotik) logjában megjelenik a bejegyzés, miszerint blokkolja az L2TP hitelesítési kísérletet. Amikor a Win10, 7 csatlakozik, semmi nem jelenik a logban.
Valaki tudja, hogy miben más a Mikrotik L2TP kliens, mint a Windows beépített kliense??
[ Szerkesztve ]
Rendszergazda vagyok....ha röhögni lát, mentsen
123-as port?
Audience
aktív tag
Tedd 443-ra, bár az UDP miatt nem biztos az se...
kress
aktív tag
igen, 53, 123, 443 van, de az udp miatt a 443 inkább csak paraszt vakítás ügye 😃
Reggie0
félisten
Nekem ezert van 443 tcp-n egy openssl, azt mindig el lehet erni, ha az udp-t szuri a szolgaltato.
udp eseten a 123 viszonylag jo megoldas, az NTP nepszeru manapsag es van titkositott is belole.
[ Szerkesztve ]
Audience
aktív tag
Én is ezt csinálom, csak a mikrotik beépített SSTP VPN-jét használom.
ekkold
Topikgazda
Az NTP-t miért kell titkosítani?
kress
aktív tag
tippre hogy ne tudjanak belenyúlkálni
Reggie0
félisten
Pontosan. Illetve a packeteket is nehezebb manipulalni, ha nem tudni mi van benne.
jerry311
nagyúr
Már miért lenne parasztvakítás az UDP/443? Már lassan 10 éve, hogy a Google bedobta közösbe a QUIC-et, és ezzel együtt a webes forgalmat UDP/443-on, de ott van a DTLS is, ami szintén UDP/443...
Nem olyan ördögtől való az.
kress
aktív tag
Köszi, kiváncsi lennék ezek mennyire ismertek.
Aki céges stb. hálózatot managel szokta az udp 443-at engedni a tűzfalon kifelé?
ekkold
Topikgazda
Kipróbáltam a wireguardot a 123-as porton. Nem működik. Ha semmi mást nem változtatok meg , csak átrakom pl. 12300-ra akkor működik. Elképzelhető, hogy a szolgáltató (1000/300 DiGi optika) is szűri azt a portot, vagy más oka (is) lehet?
Próbáltam az NTP szervert és klienst is kikapcsolni a mikrotiken, de nálam akkor sem megy 123-as a porton a wg.
E.Kaufmann
addikt
Tényleg, amúgy mit csinál a RouterOS ha két szolgáltatás ugyanazt a portszámot kapja?
Az Invitel amúgy szűrte az NTP-t koaxos hálón, de ezt kerek perec meg is mondta egy ügyintéző nekem, mikor nem tudtam pontosidőt csiholni Windows-on, és hiába magyaráztam én nem üzemeltetni akarok NTP szervert, csak elérni egy távolit, de a végén addig leveleztünk, hogy elkezdett működni az időszinkron.
[ Szerkesztve ]
Le az elipszilonos jével, éljen a "j" !!!
jerry311
nagyúr
Tippelem ugyanazt amit bármelyik Linux: amelyik éppen előbb indul, az kapja a portot, a másik meg hibára fut.
ekkold
Topikgazda
Megpróbáltam helyben újra. Ha az NTP kliens be van kapcsolva. akkor nem egy a wg a 123-as porton. Ha kikapcsolom akkor sem... legalábbis addig nem, amíg a wg interfészt újra nem indítom (letilt majd engedélyez). Utána már megy itt helyben, távolról még nem tudtam kipróbálni... De mivel idő szinkronizálást is használok, valószínűleg a 123-as port marad arra a célra, amire való... Bár végülis az Ip Cloud is tud időt szinkronizálni. Szerintem erre visszatérek akkor, ha olyan helyen kell a VPN ahol más porton nem működik. Amúgy még szakemberek közül is, (számomra) meglepően, kevesen ismerik a wg-t.
ekkold
Topikgazda
Ja, és persze amikor megy a wg a 123-as porton, akkor meg az NTP nem működik... Egyébként nem értem, hogy az NTP klienshez miért nem elég ha a cél port a szerveren 123, tehát miért nem lehet a kliensen forrás port más.?
kress
aktív tag
wg-ben nincs külön kliens és szerver ha jól tudom.
nálam fwban van nat megadva, hogy ha a wan felöl jön valami az adott portokon, akkor redirecteli a wg portjára, az sztem nálad is kéne működjön, persze ha nem publikus time szerver akarsz lenni 😃
upd: félre értettem, azt hittem a wgre érted a kliens/szerver portot
[ Szerkesztve ]
Reggie0
félisten
De lehet, a kliensed barmilyen portrol csatlakozhat.
ekkold
Topikgazda
Akkor ezt hol lehet a mikrotik NTP kliensében átállítani?
Marcelldzso
tag
Ha a wifis eszközök nem látják a belső hálót csak a routert akkor hol érdemes keresni a hibát?
Client to client bepipálva, bridge a lan, ennek ellenére csak a routert látják a wifis eszközök.
capsman küldi ki a configot.
jerry311
nagyúr
Amúgy még szakemberek közül is, (számomra) meglepően, kevesen ismerik a wg-t.
Nem foglalkoznak vele, mert a hálózati eszközeik nem támogatják. Cisco, Checkpoint, Fortinet, Palo Alto, Meraki... Egyiken sincs wg.