Ok, dhcp letiltva és a pppoe scan is megtalálta. Megy szépen.

Köszönöm.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Sziasztok

Jelenleg PXE szervert szeretnék beüzemelni, ezzel kapcsolatban merült fel bennem az a kérdés, hogy a "Next server" opció és a DHCP 66 opció között mi a különbség? Ugyanígy a "Boot file name" és a DHCP 67 opció miben más?
Előre is köszönöm a segítséget!

[ Szerkesztve ]

Rendszergazda vagyok....ha röhögni lát, mentsen

2 Mikrotik eszköz között lenne egy viszonylag gyors (50-100mbit), de nem teljesen biztonságos kapcsolat, privát címeken látná egymást a két eszköz, de nem NATolva. Mit érdemes ilyen vonalon beállítani a két router között, hogy azért a lehető leggyorsabb legyen a kapcsolat?

Ha beállítok egy-két OVPN kapcsolatot pluszban (az egyik helynek van két internet kapcsolata), ami az interneten át kapcsolja össze a két eszközt, akkor OSPF-fel tudom őket backup vonalként használni? Tehát lenne ez a majdnem közvetlen vonal meg a vpn-ek és ha a közvetlen vonal valamiért megszakad, akkor a két VPN kapcsolat közül választana.

Le az elipszilonos jével, éljen a "j" !!!

az ospf multicastot használ, azt elég nehéz lesz áttuszkolni a mikrotik openvpn-en.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

most kicsit jobban belegondolva, nem vagyok biztos benne, hogy kell hozzá ospf.
elvileg ha felveszel egy default route-ot úgy, hogy az openvpn irányába mutasson és elég nagy legyen a költsége, akkor működhet az, hogy amikor a normál útvonal él, az ahhoz tartozó default route-ot használja, amikor meg megszakad, akkor meg az openvpn-est.

de ezt ki kellene próbálni, mert nem magától értetődő beállítás. vagy ospf helyett használhatsz bgp-t is.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Köszönöm. Azt kérdezném még, hogy két WAN esetén a hibatűrés és terheléselosztás csak a neten is megtalálható szkriptekkel oldható meg, vagy valamelyik routing protokol is hajlandó figyelni az internet kapcsolatokat és a kisebb költségű felé terelni kimenő forgalmat? A NAT mennyire zavarhat be?

Le az elipszilonos jével, éljen a "j" !!!

a routing protokollok bizonyos értelemben kliens-szerver alapúak, vagy legalábbis több router együttműködése kell hozzá. ha a szolgáltatód a feléd néző dróton nem támogat routing protokollokat, akkor eléggé meg vagy lőve. az ospf is úgy működik, hogy megkeresik a szomszédos routereket és azok összebeszélnek. a szolgáltatói router szinte biztosan nem fog ospf-t beszélni feléd.

feltéve, hogy a want jól értelmeztem

a nat szerintem semennyire sem zavar be.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Jól értelmezted. Egyelőre megpróbálom összelőni a két eszközt, addig meg marad a Draytek terheléselosztásra egy közös átjárónak a 2 WAN helyett. Amúgy se olyan egyszerű a felállás, vannak szolgáltatások kiengedve portátirányítással és van pár kényszerített útvonal, némelyik oldal háklis arra, hogy melyik ip címről mennénk fel rá.

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

"rábökök, de marad a current release, a frissebb verziót nem mutatja. Van még benne bőven bug, de jó lesz. Eddig sem volt ez sürgős, majd kész lesz, amikor kész lesz "

Már jó, az RC-re is frissítheted vele

Mi annak a legegyszerűbb módja, hogy az egyik porton a cimkézett és cimkézettlen forgalmat különböző portok fele kösse? Eez ilyen hibrid trönk lenne.

Le az elipszilonos jével, éljen a "j" !!!

Közben kezd összeállni egy kis tesztháló OSPF és OSPFv3-al, IPv4 és IPv6 hálózattal, amik között EoIP-en (IPSec) át tartanám a kapcsolatot, ugyanakkor a mikrotikes sebességteszt szerint (TCP, both) jó ha 30 mbit/s sebességre képes ez a csatorna. Elvileg a két eszköz (RB 3011 és 750Gr3) képesek az IPSec hardveres gyorsítására, de az RB3011 is jó magas 90% körüli CPU használatot jelez. van valami tuning tipp? Frissítettem mindkét eszközt a legutolsó current verzióra (v6.38.1).
Ami még érdekes, hogy ha EOIP nélkül nézek UDP tesztet akkor is vagy 200Mbit jön ki ésállandóan 200-300 körüli a Lost Packets, miközben közvetlenül össze vannak kötve. Vagy ez a teszt hibája?

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Ja még valami EoIP-el van valakinek tapasztalata mobilneten át? Mennyire biztonságos ezzel az IPSec opcióval és mennyire tűri az egyik oldalon a NAT-ot?

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Sziasztok!
Használ valaki L2TP/IPSEC párosítást VPN-re, androidos telefonról? Nálam a felállás a következő lenne:
otthon:
- DIGI net
- Huawei ONT bridge módban
- RB2011 (6.37.1) intéz minden nettel kapcsolatos dolgot, nagyjából működik is minden

távolról:
- telefon, android 5.1
- PC, windows 10

Az otthoni mikrotiken beállítottam egy L2TP/IPSEC VPN-t, ami távoli PC-ről próbálva működik is (A telefon és a PC ugyanazon a hálózaton vannak).
A teló azonban nem tud csatlakozni és a logban egy ilyen bejegyzés látszik, ami a telefontól jövő válaszra vonatkozik:
received control message with wrong tunnel id, ignoring, aztán pár message-dzsel később:
tunnel 19 received no replies, disconnecting

A neten keresgélve sok helyen van szó hasonló problémáról, de a Google is csak tervezi majd javítani pl. ezt a bug-ot, igazi megoldást nem találtam.
Valakinek van valami ötlete, merre érdemes elindulni? Vagy tud működő L2TP/IPSEC VPN-ről androidon? (hogy egyáltalán megoldható-e?)

Nekem win 10, android 4.2 működik, RB3011 Telekom optika, Huawei 8245H bridge módban. De első rúgásra ment... L2TP/IPSEC. Routeros 6.39RC20, de 6.38.1-el is ok.

[ Szerkesztve ]

Akár privátban el tudnád küldeni, hogy hoztad össze az L2TP-t? Egy halom különféle leírás van, amik közül párat próbáltam, de nem működtek még Windows klienssel sem. A PPTP persze azonnal összejött

Le az elipszilonos jével, éljen a "j" !!!

Ez alapján csináltam meg, működik Windowson és Macen is.

Köszi! Holnap kipróbálom. Mindenesetre reseteltem a routert, hátha a frissítés vagy valami félrekonfigolás miatt nem ment ma az L2TP. Ha meg holnap sem megy, akkor a fal helyett nekimegyek az SSTP-nek

Az nem lehet, hogy az EoIP zavar be? Bekapcsoltam az IPSec titkosítást és létrehozott dinamikus bejegyzéseket az IPSec beállításai alatt.

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Néztem a BrownB által javasolt leírást is, de úgy emlékszem, ez alapján csináltam.

Na, működik a VPN?

Még csak most értem be a munkahelyre
Kis türelmetlenke

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

BrownB leírása alapján már felcsatlakozott a Windows 10, IPhonom vagy Androidos telóm meg nincs csak egy Windowsos

Le az elipszilonos jével, éljen a "j" !!!

4500, 500, 1701-es port UDP, 50-es IPsec-esp engedélyezve? 4500-as lehet nem is kell, fejből nem tudom. Ja a tűzfalon ugye.

[ Szerkesztve ]

Én még csak labor szinten nézegettem, kikapcsolt tűzfallal.
Amúgy is túl követelőző vagy, ahhoz képest, hogy nem is te küldted a leírást

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Közben már mükszik két Mikrotik között is az l2tp

Le az elipszilonos jével, éljen a "j" !!!

Na, igen, csak közben észrevettem, ha bárhonnan felcsatlakozom L2TP-vel, bedöglik azon nyomban az EoIP. Ez mitől lehet?

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Hát, EoIP tapasztalatom az nincs. Log?

[ Szerkesztve ]

Semmi érdekes nincs benne, csak hogy az OSPF szerint a szomszéd háló elérhetetlen lett és szevasz. Elkezdtem inkább a RouterOS által generált tanúsítványokkal szórakozni (ahelyett, hogy külön RSA eszközökkel szórakoztam volna, ahogy a régebbi leírások mutatták), hogy beröffentsem az OpenVPN-t.
Létrehoztam egy újat, majd miután ráböktem a Sign gombra, már le is tudtam tölteni (Export, majd a Files menü alól le tudtam tölteni) és OpenVPN kliens alá bemásolni.
A másik RouterBoardnak nem kellett, az rá tudott cuppanni, de a Windows kliens pampogott CA nélkül. Úgy állítottam be a szervert, hogy ne kérjen kliens tanúsítványt.
A PPtP-nél még így is biztonságosabbnak tűnik, pedig nem ajánlják. Csak azt nem tudom, a kliens key és pem állományokat hogy lehet kinyerni a RouterOS alol.

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Sziasztok,

Mi lehet a gond, ha RB2011-el, csak 120-130M / 20M tudok mérni, miközben a kapcsolat tudja a 240M / 20M [így].

Ha eldobok minden beállítást és default config-al hagyom, akkor meg is van a 240M / 20M, de amint a kész rendszer van rajta a max 120-130 M lesz.
Hiába kísérleteztem, QoS, FW, nat és mangle szabályok letiltásával, akkor is ennyi a plafon. RouterOS naprakész.

Mit csinálok rosszul?

köszi

[ Szerkesztve ]

Mikrotik-Hu | -unofficial- | https://www.facebook.com/groups/mikrotikhu/

erősebbnek hiszed a routert, mint amilyen valójában.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A 2011-nek nem minden portja gigabites, csak a portok fele: [link]
Ezen túl a 2011 nem egy izmos jószág, kb pariban van egy közepes TP-linkkel, csak több portja van és jobb szoftvere. Valamint a gigabitet is csak úgy tudja az ábra alapján, hogy egy darab gigabites linket használ és az van egy switchel szétosztva, szóval az 1 gigabit megoszlik a portok között ha még a cpu-nak is dolgoznia kell a forgalmon.

bambano: jaja, én ezért nem adtam a 3011-nél alább, de még ennél is ki kell sakkozni az erőforrásokat.

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

nem hinném, hogy akár a 120-as mér sebességnél, akár a 240-es ígért sebességnél a gigabites port akadály lenne.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Az nem is, de ki tudja mit, hová dugott, mert a képből nem tudtam kisilabizálni.

Le az elipszilonos jével, éljen a "j" !!!

1-es port a WAN port, 5-ös a PC, látszik a képen.

mindenesetre köszönöm , és akkor beérem az Upload duplázásommal, ha már a DL irány kevés maradt.

Mikrotik-Hu | -unofficial- | https://www.facebook.com/groups/mikrotikhu/

Direktbe jön a net vagy PPPoE-n keresztül? Ha direktben, lehet megérné resetelni a konfigot és újrabeállítani a legfontosabbakat.

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Ezt már többször olvastam, hogy reset, majd ugyanazt beállítani ?!

Ez tényleg bejött már valakinek? Vagy csak gyorsabb, mert a sok elállított kis paramétert rosszabb visszaállítani?

Ha nem fog a fék a bringán, akkor először darabokra kell szedni az egész bicajt, majd újra összerakni?

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Utóbbi. Ki tudja mit állított el az ember, vagy esetleg a bugos webfig, vagy valamelyik beállítás által generált további beállítások. Tudom, a profik pontosan tudják mit csinálnak, és már kapásból parancssorból nyomatják.

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

akkor nem vagyok profi. Persze kinek mit jelent, mert ha ez azt jelenti, hogy mindent maximálisan kihasznál, jobban tud, akkor nagyon nem, de ha csak annyit, hogy jövedelme van belőle, nem csak hobbiból csinálja, akkor viszont mégis..

Van amit csak parancssorból lehetett beállítani, de sok mindent javítanak és már megy winbox-ból is.
Én 99% azt használom, de ez a webfig, meg quickset, ezt én kiirtanám, ez csak problémát okoz:
1. mert kevésbé kell érteni, de már be lehet állítani, a webfig sztem még mindig bugos, első amit tiltok az a 80-as portos hozzáférés
2. mert bármikor véletlen kinyitod és ráokézol a quickset, szétk..rja a konfigod.

Ez olyan mint a F1 autóban lenne egy safe automód, ami csak 150 km/h ig gyorsít fel, a kanyarokat 40-el veszi, viszont sofőr nélkül is megy..

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

direktbe, DHCP-n. Nem PPPoE.

A hozzászólások alapján megértettem, hogy ez a cucc, erre már kevés.

Mikrotik-Hu | -unofficial- | https://www.facebook.com/groups/mikrotikhu/

egyik oldalról nekem még soha nem jött be.
másik oldalról viszont vannak olyan beállítások, amiket a cli-ben alapértelmezetten nem ír ki, így könnyű elfelejteni, hogy utánanézz.

harmadik oldalról ócska windows user szokás

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ha már itt vagytok. az EoIP és az IPIP mennyire szeretik a mobilnetet?
De nem mobiltelefonnal gondoltam, hanem fix helyen telepített USB Stick-el tartalék kapcsolatnak, túloldalon meg már vezetékes kapcsolat lenne fix IP-vel.
Azt néztem, hogy még az IPIP is müxik OSPF-fel, v2-nél PtP-t be kellett kapcsolni az interface tipusánál, a v3 viszont kapásból arra vette (default beállításon point to point kapcsolatnak vette).

Azért próbálom ezt az OSPF-et mert tudom súlyozni a kapcsolatokat, hogyha megszakad a fő összeköttetés, majd visszaáll, az OSPF terelje vissza a forgalmat a fő útvonalra.De ha van ennek egyszerűbb módja, akkor ne titkoljátok
Amúgy erősen afelé hajlok, hogy lehet a kliensek távelérésére külön OpenVPN szerver lenne egy virtuális gépben. Legalább a két Mikrotik-et nem terhelem.

Le az elipszilonos jével, éljen a "j" !!!

Nekem még nem tiszta, hogy mit szeretnél, így nem is igen tudok hozzászólni.

Mobil hálózaton ami nem igen akar működni, illetve állítgatni kell az APN-t vodafone, telenor és valószínűleg tcomnál is.
Az openvpn stabil a mikrotiken, de csak tcp-n működik, pedig már több mint 5 éve én is felvéstem a whislistjükre, ezért a külön szerver tényleg jobb lehet.

Amikor különböző telephelyeket kell összekapcsolni (ahol a fő router mindenhol mikrotik), akkor remekül működik egyébként az sstp, klienseken nem kell állítani semmit. Ez nagy előny, mert "elég rosszul dokumentálom a dolgokat, abban bízva, hogy a zseni átlátja a káoszt", ami rendesen megszívatna, ha új klienst kell beállítani.

Ezt az OSPF-s dolgot így még nem csináltam, általában az egy szerver és több kliens viszonylatában, ha a szerver internete kiesik, akkor addig a kliensek se kommunikálnak. Nyilván megoldható, hogy több kliens egyben sstp szerver is legyen, és egymáshoz is betárcsázzanak, de ilyet még nem kért senki, ráadásnak pár router esetén, akkor sem használnék OSPF-t.

Nem tudom, hogy minek az EOIP, gondolom csak az OSPF miatt kell, de sok problémát tud okozni, összeakadt dhcp szerverek, átjárók, stb..

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Összefoglalva, van két telepehely, köztük egy harmadik fél által szolgáltatott wifi kapcsolat, úgyhogy valami titkosítás kellene a két telephely között. Ha valahol megszakad ez a wifi kapcsolat (két wifi kapcsolat, egy reléállomás egy általunk nem látogatható helyen), akkor meg legyen valami tartalék, de csak addig, amíg minden helyre nem áll, mert interneten át jóval lassabb az összeköttetés
Az OpenVPN-nel meg lehet ugye több remote direktívát adni, de nem lehet prioritást állítani, max véletlenszerűsíteni, ami szintén nem szerencsés.
Az OSPF segítene abban is elvileg, hogy ha visszatér a nagysebességű wlan kapcsolat, akkor megint azon át menjenek a csomagok, meg abban is, ha valami plusz eszköz miatt új alháló kellene, akkor elég csak az egyik oldalon létrehozni és nem kell a másikon is beállítani statikus útvonalakat.
Azt is meg akarom csinálni, hogy eddig csak IPv4 volt használatban, most legyen egy IPv6-os hálózat is, még ha nincs is IPv6-os netünk (és ha lesz is, a kliensek max proxy-n keresztül láthatják) , de azért ha már új gerinc lesz nem árt ha erre is fel van készítve. Fogtam egy /48-as unique local prefixet és onnan kiosztottam /64-es tartományokat a két oldalra a köztes hálókra.
Nem tudom, hogy sebességben gond-e ha beszélő neveken bridge-ket hozok létre (bridge-lan, bridge-wan, bridge-dmz), és ezekhez rendelek ip címeket és fizikai portokat/vpn csatornákat, hogy a portokat majd tetszőlegesen változtathassam, anélkül, hogy máshol is változtatni kelljen a beállításokon.

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

"Nem tudom, hogy sebességben gond-e ha beszélő neveken bridge-ket hozok létre": a portok nevét is tudod állítani, szóval ezért felesleges bridge-elni.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ok, de nem feltétlenül a portok nevét akarom állítani, hanem a szerepüket, csoportagságukat, valamint attól hogy két port nevét cserélem, attól máshol ahol hivatkoznak rájuk, ott is változik, tehát akkor már két-(több) helyen is át kell állítgatni.

Le az elipszilonos jével, éljen a "j" !!!

Azt nézegetem erősen, hogy ha jól értem, elvileg nem is kellene nekem IPIP vagy EoIP wifin kersztül, elég lenne valahogy csak puszta IPSec-cel titkosítani a forgalmat. Csak azt nem tudom, hogy kell ezt csinálni. Mert ugye az EoIP és IPIP esetén generálja az IPSec szabályokat, de nem tudom, kézzel hogy érdemes belőni. Nem akarok felesleges overhead-et, csak titkosítást.

Le az elipszilonos jével, éljen a "j" !!!

Sziasztok!

Nagyon örülök, hogy rátaláltam erre a fórumra!

Épp most készülök irodánkba (core router: CCR1009-8G-1S-PC ) tartalék net kialakítására.
Jelenleg 30/30-as bérelt vonal van. Sajnos/nem sajnos csak mobilnet jöhet szóba, így megörültem hogy más már használt itt RouterBOARD SXT-LTE -t. Egy 60/10-es mobilnet (Telenor) SIM fog belekerülni.
Kérdésem hogy hogyan célszerű szerintetek a kapcsolatot kialakítani a két eszköz között? Én első körben arra gondoltam, hogy PPOE szerverként menne az SXT-LTE és PPOE clientként kapcsolódna rá a CCR1009. De ez kicsit ágyúval verébre megoldásnak tűnik... Elegendő lehet összebrigrelni, stb. is, nem?

Végcél: Failover, (ha elmegy bérelt vonal, álljon át erre a netforgalom, és a VPN (Dinamikus DNS-el befgrissül a cím, mert publikus WAN IP-t ad a Telenor). "Béke időben" terhelés elosztás (pl. MAC alapján gépek dedikáltan csak ezt a netet használják, stb.)

Magával az eszközzel ti meg vagytok elégedve? Elsőkörben beltérben, ablakban kifelé használnánk, BP. 10. kerületében.

Köszönöm a válaszaitokat előre is.

rejtett up! :D

1. Minek kell két eszköz? Nincs belül LTE vétel? A CCR-nek van usb portja, igaz kell egy átalakító, de sztem az olcsóbb mint az SXT-LTE. Igaz, ehhez kell egy LTE stick is, de ezt szerintem ha nem kéred is adja a szolgáltató.

2. PPPOE kapcsolat teljesen felesleges, nem össze bridgeled őket (ha már két eszköz), hanem csak összekötöd. (lehet te ezt hívod bridgelésnek, de számomra inkább az, ha a két LAN oldalt kötném össze)

3. A CCR csinálja a routing, fail over, terheléselosztást, stb feladatokat, most hogy az eddigi wan mellé lesz még egy wan. (ez a második wan lehet egy usb stickes lte kapcsolat, vagy az SXT-LTE nat utáni routeolt út, vagy dupla nat.)

Az SXT-LTE (még nem volt ilyen a kezemben) leírás szerint egy spec SXT, amiben LTE modem van (wifi nincs), és olyan helyre való, ahol a telefonok már nem biztos kapnak jelet, ezt kültérre lehet rakni és azt utána egyéb eszközökkel megosztani.

A levél küldéssel lehet probléma a belső hálózaton, mert ha nincs jelszó hitelesítéses smtp, amit bárhonnan enged, akkor a váltás után a telenor smtp szerverére kellene átállni.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30