Azt amikor összeraksz egy WG tunnel-t megcsinálod, anélkül nemigen megy semmi át rajta. A kérdés, ahogy én megértettem, az volt hogyan lehet korlátozni ki beszélget kivel nem a WG/Route beállítások.

Jól értetted a kérdést, de hogy ki-kivel beszélgessen, azt le lehet korlátozni WG szinten is ebben az esetben. Ha csak az kell, hogy a két szerver elérje egymást, akkor elég csak azt az IP párost átengedni a WG-n.

Igazad van, az allowed ip beallitasaval is mukodik. Akkor van legalabb ketto, de ha a routing rule-okba beleturunk, 3 megoldasa is.

Wireguard, udp 53-at szeretnek hasznalni, de ugy latom a router benyeli ami a net felol jon vagy valamit nagyon benezek.
A router sajat dns servere is fut, esetleg az zavarhat be valamit? A tuzfalon akkor is kene latszodnia nem?
Az alabbi fw log-al probalnam latni hogy jon a porton barmi is, de a lognak se hire-se hamva:

/ip firewall raw add action=log chain=prerouting dst-port=53 log=yes log-prefix="UDP 53 in" protocol=udp

amivel probalnam megrugni kivulrol:
nc -z -v -u kulso-cimem 53

A fw rule az elso a sorban, raktam az input elejere is, de semmi. Mas porttal mukodik (123).

upd: vodafone router, modem modban, ott nem nagyon kene csinalnia semmit, minden mast at is enged

[ Szerkesztve ]

Lehet, hogy a szolgáltató szűri a bejövő DNS-t (53-as port)

Route-ok rendben vannak?
Allowed IP?
Firewall?

A DNS-t amit el akarsz érni tudod pingetni? Ha nem a traceroute mit mutat, merre megy a csomag?

Azt írta: "Mas porttal mukodik (123)."

Lehet olyat csinálni 2 Mikrotik eszköz között, hogy az egyik "dekódolja" a szolgáltatótól felöli PPPoE kapcsolatot és továbbpasszolja a kicsomagolt forgalmat egy második Mikrotik routernek, ami már a tényleges IPv4/IPv6 router/tűzfal? Lényegében valami PPPoE/Ethernet L2 áthidalás kellene, minél kevesebb "overhead"-del.

Le az elipszilonos jével, éljen a "j" !!!

DMZ nem lenne jó?

Ok, de milyen féle? Az lenne a cél, hogy a PPPoE-n kapott IP címet és IPv6 tartományt 1-az1-ben átpasszoljam a másik Mikrotik-nek. Annyi a nehezítés, hogy a két eszköz között Wifi kapcsolat lenne, de szerintem sokat nem bonyolít a helyzeten, csak ha már két eszköz kell (a kábelezés megspórolása végett), akkor kicsit tehermentesítsen az első router és a PPPoE-val már ne kelljen bajlódni a túloldalon.

Vagy legalább valami routing szabályt hogy lehetne "megfogalmazni", hogy ne a célcímet nézze, hanem ha az egyik interfészen valami bejön azt az ellenkező irányhoz tartozó interfészen dobja tovább, mindenféle NAT/VPN/ARP proxy meg egyéb varázslat nélkül?

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Lemaradtam a szerkeztésről, tehát minden ami PPPoE-n bejön (még ha elvileg az Input ágra kellene is érkeznie), azt dobja tovább az Ethernet porton (a túloldalon levő IP cím felé), ami meg Ethernet felöl jön azt meg dobja be a PPPoE alagútba.

Le az elipszilonos jével, éljen a "j" !!!

Szerintem rajzold le, nekem nem pontosan érthető mit szeretnél.

ISP <--(PPPoE)--> R1(PPPoE kliens) <--(802.11ac)--> R2(DHCPv4/v6 kliens/tűzfal/NAT/stb...)

Le az elipszilonos jével, éljen a "j" !!!

PPPoE kimenete mar L3-ban van, azt nem tudod lerakni L2-re.

Ok, de valahogy ezt az L3-t csak tovább lehet csatornázni/terelni.

Le az elipszilonos jével, éljen a "j" !!!

Engem megzavart, hogy az eredeti post-ban azt írtad WireGuard-dal akarod használni, ott meg ha felépült a tunnel mindegy mit szűr a WAN portra a szolgáltató.

Egy EoIP-n átdobni az R2-nek és oda tenni a PPPoE klienst ki lehetne próbálni. De nem értem a koncepció mögött mi van.

A cel pont az volt, hogy az elso routeren legyen a PPPoE, a masodikon a routing.

A cimnek ott kell felveve lennie, ahol a PPPoE kliens fut. Persze tovabb lehet dobni, de akkor natolnia kell es dupla natod lesz.

[ Szerkesztve ]

Nyilván találgatás de szerintem azért mert a második router wifi-n csatlakozott az elsőhöz.

IPV6 -ot is írt, azt meg ha csak le nem maradtam valamiről még nem NAT-olja a ROS.

Is-is irta. Amugy tud NAT-olni IPv6-ot is a mikrotik 7.1 ota. [link]

[ Szerkesztve ]

Csak lemaradtam róla, köszönöm az infót!

hét nekem udp-n egyáltalán nem megy, de még az openvpn se

Sziasztok!

Valaki mar jart ugy hoyg ROS 7.6 es 7.8 alatt IP alapjan nem lehet elerni az eszkozt? MAC alapjan elerheto, Pingre nem valaszol. WAN reszrol elerheto. hAP AC3 a dragam, rouer es capsmanager.

Illetve LAN reszre nem szorja a netet. Terminalbol kilat es elerheto.
Forward es masq. szabalyok rendben. DNS filter ki es bekapcsolva is ugyan az a hiba.
Sima alap konfig.

Ami meg erdekes 6.48.6 altt siman megy.

Valaszokat koszonom.

Megesik, konfig hiba lesz. Altalaban ilyenkor valami banalis elnezes az okozoja.

Sziasztok
Van egy érdekes jelenségem, melynek az okára nem nagyon tudok rájönni.
Adott egy Mikrotik L2TP szerver, ami annak rendje módja szerint be van állítva, működik, kliensek tudnak csatlakozni.
Adott egy céges hálózat, ahonnan random Windows kliens szintén fel tud csatlakozni az előbbi L2TP szerverre. Viszont ha ugyanitt elhelyezünk egy Mikrotik eszközt, ami kliensként szeretne csatlakozni a szerverre, na ő nem tud. Amint a Mikrotik csatlakozni próbál, a céges tűzfal (nem Mikrotik) logjában megjelenik a bejegyzés, miszerint blokkolja az L2TP hitelesítési kísérletet. Amikor a Win10, 7 csatlakozik, semmi nem jelenik a logban.
Valaki tudja, hogy miben más a Mikrotik L2TP kliens, mint a Windows beépített kliense??

[ Szerkesztve ]

Rendszergazda vagyok....ha röhögni lát, mentsen

123-as port?

Tedd 443-ra, bár az UDP miatt nem biztos az se...

Nekem ezert van 443 tcp-n egy openssl, azt mindig el lehet erni, ha az udp-t szuri a szolgaltato.

udp eseten a 123 viszonylag jo megoldas, az NTP nepszeru manapsag es van titkositott is belole.

[ Szerkesztve ]

Én is ezt csinálom, csak a mikrotik beépített SSTP VPN-jét használom.

Az NTP-t miért kell titkosítani?

Köszi, kiváncsi lennék ezek mennyire ismertek.

Aki céges stb. hálózatot managel szokta az udp 443-at engedni a tűzfalon kifelé?

Kipróbáltam a wireguardot a 123-as porton. Nem működik. Ha semmi mást nem változtatok meg , csak átrakom pl. 12300-ra akkor működik. Elképzelhető, hogy a szolgáltató (1000/300 DiGi optika) is szűri azt a portot, vagy más oka (is) lehet?
Próbáltam az NTP szervert és klienst is kikapcsolni a mikrotiken, de nálam akkor sem megy 123-as a porton a wg.

Tényleg, amúgy mit csinál a RouterOS ha két szolgáltatás ugyanazt a portszámot kapja?

Az Invitel amúgy szűrte az NTP-t koaxos hálón, de ezt kerek perec meg is mondta egy ügyintéző nekem, mikor nem tudtam pontosidőt csiholni Windows-on, és hiába magyaráztam én nem üzemeltetni akarok NTP szervert, csak elérni egy távolit, de a végén addig leveleztünk, hogy elkezdett működni az időszinkron.

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Tippelem ugyanazt amit bármelyik Linux: amelyik éppen előbb indul, az kapja a portot, a másik meg hibára fut.

Megpróbáltam helyben újra. Ha az NTP kliens be van kapcsolva. akkor nem egy a wg a 123-as porton. Ha kikapcsolom akkor sem... legalábbis addig nem, amíg a wg interfészt újra nem indítom (letilt majd engedélyez). Utána már megy itt helyben, távolról még nem tudtam kipróbálni... De mivel idő szinkronizálást is használok, valószínűleg a 123-as port marad arra a célra, amire való... Bár végülis az Ip Cloud is tud időt szinkronizálni. Szerintem erre visszatérek akkor, ha olyan helyen kell a VPN ahol más porton nem működik. Amúgy még szakemberek közül is, (számomra) meglepően, kevesen ismerik a wg-t.

Ja, és persze amikor megy a wg a 123-as porton, akkor meg az NTP nem működik... Egyébként nem értem, hogy az NTP klienshez miért nem elég ha a cél port a szerveren 123, tehát miért nem lehet a kliensen forrás port más.?

wg-ben nincs külön kliens és szerver ha jól tudom.
nálam fwban van nat megadva, hogy ha a wan felöl jön valami az adott portokon, akkor redirecteli a wg portjára, az sztem nálad is kéne működjön, persze ha nem publikus time szerver akarsz lenni 😃

upd: félre értettem, azt hittem a wgre érted a kliens/szerver portot

[ Szerkesztve ]

De lehet, a kliensed barmilyen portrol csatlakozhat.

Akkor ezt hol lehet a mikrotik NTP kliensében átállítani?

Ha a wifis eszközök nem látják a belső hálót csak a routert akkor hol érdemes keresni a hibát?
Client to client bepipálva, bridge a lan, ennek ellenére csak a routert látják a wifis eszközök.
capsman küldi ki a configot.

Amúgy még szakemberek közül is, (számomra) meglepően, kevesen ismerik a wg-t.

Nem foglalkoznak vele, mert a hálózati eszközeik nem támogatják. Cisco, Checkpoint, Fortinet, Palo Alto, Meraki... Egyiken sincs wg.