Nem láttam erre utaló jelet. A logot figyeltem pár órán keresztül amíg ezzel foglalkoztam és csak a saját próbálkozásaim kerültek az ipsec/l2tp logba.

Attól függetlenül, ezt kipróbálom: [link]

De minek van ugyanahoz a peer-hez 8 policy?

Passz. Ezt kérdezem én is. Csak így megy. Destination addressek frissülnek ahogy valaki csatlakozik. Nem értem...

Sziasztok,

Bagatel egyszerű kérdés. Van egy Mikrotik hálózat a házban, 1 router, 2 AP.-tal.
Pontos típusok:

Mikrotik RB962UiGS-5HacT2HnT router
Mikrotik RBwAPG-5HacT2HnD-BE AC AP
Mikrotik RBwAP2nD 2,4 Ghz AP

Szükségem volt LAN bővítésre, vettem egy TP-Link TL-SG-05 switch-et hozzá, rádugom a router-re, de egyszerűen nincs rajta net. Szükséges a felületén engedélyezni? ..én azt hittem plug ang play. Vagy mi lehet a probléma?
Egyébként a 2 AP-n (az egyik AC-s, másik csak 2,4 GHz-es) a 2,4-es hálózat kezdetek óta "nem jó". Mind az AC-s verzión, mind a sima 2,4-es AP-n....
Nagyon lassú, nagyon sokszor nem is csatlakozik rá semmilyen eszköz, vagy ha csatlakozik eldobja. Őszintén szólva, nem ismerem a rendszert. Ha esetleg itt valaki van aki teamview-eren rá tudna nézni és rendben tudná rakni, hajlandó lennék fizetni érte. Légyszi aki érez némi kompteneciát magában e téren, keressen meg priviben.

Köszönöm!

"Kinek a pap, kinek a wlan" :-) • A forum arra hivatott, hogy a kérdéseiteket ott tegyétek fel, s ne privát üzenet formájában felém! Köszönöm!

Biztos jól van az beállítva?
Policy 1 van, Active peers és installed SAs ahol meg kellene jelenjen aki csatlakozott.

Lehet, hogy az Identities-> Peer-nél kellene a Generate Policy-t bekapcsolni? No-t van, ezen kívül port override és port strict van.

Active peers-be és az Installed SAs-ba bekerülnek a rekordok automatikusan.

Ide raktam fel a screenshotokat hátha észreveszel valamit. [link]

Biztos vagyok benne, hogy valami nincs jól beállítva. Csak annyit tudok, hogy végre működik

Szia

A portra ahova rádugtad a Tp-link switch-et, ott volt csatlakoztatva korábban valami eszköz? Az működött rendesen?
A link rendben van? A switchen a bal oldali zöld lednek kellene villogni.

Rendszergazda vagyok....ha röhögni lát, mentsen

Ebben pl be van kapcsolva.
Amúgy, melyik leírást követted? Vagy csak úgy magadtól?

Az a gond, hogy pár évvel ezelőtt állítottam be valamilyen leírás alapján. Aztán hol ment, hol nem ment. Kapott szoftverfrissítéseket. Legjobb lenne, ha ki tudnám resetelni ezeket a beállításokat és újrakezdhetném, de a router többi beállításához meg nem akarok hozzányúlni, mert azok kellenek.

Csináltam egy exportot, szerintem stimmel az általad linkelt tutoriallal a beállításom, annyi a különbség, hogy vagy egy csomo policym.

Valamelyik nap bemegyek és kipróbálom ezek a policy-k nélkül, hátha csak az volt a gond, hogy a Generate Policy ki volt kapcsolva.

VPN-en keresztül most nem merem kockáztatni a policy törlést

/ppp profile add change-tcp-mss=yes dns-server=1.1.1.1 local-address=192.168.88.1 name=profile1 only-one=no remote-address=dhcp use-encryption=yes use-upnp=no
/ppp profile set *FFFFFFFE remote-address=*2

/interface l2tp-server server set authentication=mschap1,mschap2 default-profile=profile1 enabled=yes keepalive-timeout=15 mrru=1614

/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
add dst-address=79.***.***.253/32 peer=peer1 src-address=82.***.***.5/32
add dst-address=79.***.***.253/32 peer=peer1 src-address=82.***.***.5/32
add dst-address=79.***.***.253/32 peer=peer1 src-address=82.***.***.5/32
add dst-address=84.***.***.16/32 peer=peer1 src-address=82.***.***.5/32
add dst-address=79.***.***.253/32 peer=peer1 src-address=82.***.***.5/32
add dst-address=79.***.***.253/32 peer=peer1 src-address=82.***.***.5/32
add dst-address=79.***.***.253/32 peer=peer1 src-address=82.***.***.5/32
add dst-address=79.***.***.253/32 peer=peer1 src-address=82.***.***.5/32

/ip ipsec peer add name=peer1 passive=yes

/ip ipsec identity add generate-policy=port-strict peer=peer1 secret=***

/ip ipsec proposal set [ find default=yes ] auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm,3des" lifetime=8h pfs-group=none

Jó lehet.
Ez ma jött: https://mindenamimikrotik.hu/vpn-ek/ hátha hasznos.

Kalapos Laci jól felszedett pár kilót , mióta utoljára láttam.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

A jóólét...

Jó rég találkoztam én is vele 😊

Volt csatlakoztatva igen, és működött is hibátlanul.

Most kipróbáltam, a router másik portjára dugtam a TP-Link switch-et, de ott sem kapt netet...

A switch-en 2 led van, egy Power (nyilván áram alatt van, az folyamatosn világít) és a portonként vannak még led-ek. Nyilván ha csatlakoztatva van kábel az is világít, szinte folyamatosan, néha néha pislákol csak egyet.

"Kinek a pap, kinek a wlan" :-) • A forum arra hivatott, hogy a kérdéseiteket ott tegyétek fel, s ne privát üzenet formájában felém! Köszönöm!

Köszönöm a segítséget. Benyomtam az Identities -> Peer -> Generate Policy -> port strict. Töröltem a Policies-ből azokat az extra sorokat és simán működik. Automatikusan kerülnek a Policies-be a rekordok csatlakozás esetén.

esetleg másik eszköz mögött, a mikrotik nélkül nem tudod kipróbálni? Ha jól látom ez egy nem-menedzselhető switch, tehát mennie kéne...

Ezek szerint a kábeles kapcsolat rendben van

- kap IP címet a switch-en lévő eszköz?
- a router elérhető (lehet pingelni, be lehet lépni a konfigurációs felületre)?

Esetleg még arra tudok gondolni, hogy a switch-re csatlakoztatott eszközök hurkot okoznak és a Mikrotik letiltja a portot. Tehát ha a fentiekre nem a válasz, azt még ki lehet próbálni, hogy a switch-be csak azt az egy kábelt csatlakoztatod, ami a routerhez megy és mellé bedugsz egy számítógépet és megnézed, hogy úgy van-e netkapcsolat.

Rendszergazda vagyok....ha röhögni lát, mentsen

Sziasztok!

Egy kis segítségre lenne szükségem vpn ügyben. A cél, hogy a családtagok biztonságosan elérjék az otthoni nas-t bárhol legyenek.
Próbáltam magam egy hap ac2-ön beállítani a l2tp/ipsec-t, de eddig nem sikerült nem nagyon akar összejönni. Még csak tanulom a mikrotik világát.
Azokhoz fordulnék kérésemmel, akiknél már működik a l2tp/ipsec, és érdekelne, hogy ők milyen leírást vagy videó(youtube) alapján csinálták, esetleg annak a linkjét megosztani velem.

Segítséget előre is köszönöm.

Az l2tp/ipsec-től talán egyszerűbb beállítani tcp-s openvpn-t, csak ne feletsd el az enable-t bepipálni és portot nyitni neki.

"Got any other secret weapons?"

Szerintem a pár hsz-el korábban linkelt leírás jó lesz neked: [link]
Nálam annyival van kiegészítve, hogy DHCP oszt ip-t így:

Router ipje: 192.168.88.1
IP Pool neve: dhcp (remote-address értéke az első parancsomnál)

/ppp profile add change-tcp-mss=yes dns-server=1.1.1.1 local-address=192.168.88.1 name=profile1 only-one=no remote-address=dhcp use-encryption=yes use-upnp=no
/interface l2tp-server server set authentication=mschap1,mschap2 default-profile=profile1 enabled=yes keepalive-timeout=15 mrru=1614
/interface pptp-server server set authentication=mschap1 default-profile=profile1

[ Szerkesztve ]

Nekem hiányos ez a manual. Tudom nincs abszolút, de pl. hallgat az l2tp -> use ipsec beállításról. Android telefonom yes beállítással nem is kapcsolódik csak a required-re.

Itt van magyarul pár VPN beállítás, hivatalos Mikrotik oktatótól, pár bejegyzést kellett volna csak visszaolvasni.

Ha rám hallgatsz SSTP-t állíts be! A port nyitva van a legtöbb tűzfalon és van kliens minden OS-re.

Köszömöm mindenkinek a segítséget.
Holnap talán megint lesz egy kis időm vele foglalkozni.

Jaja ezek jó kis vidik, meg érthetően el is magyarázza a dolgokat. Bár ahogy néztem annyira nem barátja az openvpn-nek mikin

Hello darkness, my old friend...

Sziasztok. Lenne egy olyan problémám amire talán itt tudjátok a megoldást. Adott egy Win Server 2012 R2 ezen létre van hozva egy vpn server. Teljesen jól működik ahol nem Mikrotik a router a kliens gépeknél. Nekem itthon Mikrotik routerem van és az istennek sem akar a kliens gépem mögüle csatlakozni a vpn serverhez. Állandóan GRE protokoll hibával megáll a kapcsolódás.

[ Szerkesztve ]

Nézd meg, hogy milyen VPN van a cégednél. Keresd meg, hogy az a VPN milyen portokat használ a működéséhez. Ellenőrizd le, hogy a routereden engedélyezve van(nak)-e az(ok) a port(ok).

Nem mobil neten át próbálod? A Telenor pl. tiltja a GRE-t.

ez nem így van. Mind a 3 nagy szolgáltatónak van olyan APN-je, ami engedi a GRE-t és van olyan (általában az az alapértelmezett, lakossági, stb), aminél tiltva van.

telenornál az "online" - tiltja, mig a "net" engedélyezi.

a vodafonét és a telekomét is kellett már pptp vpn-re birnom, szóval ott is meg lehet keresni melyikkel működik és melyikkel nem. (aki biztosat tud, beírhatná ide, hogy legalább egy helyen meglegyen)
A digi netjéről nem tudok semmit, próbáltam, de nem emlékszem a beállításaira és a pptp vpn sem próbáltam ki.

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Köszi a válaszokat. A beállítás az aminek lennie kell, most állítottam be az alapértelmezett portra, sima pptp, alap windows titkosítással. Megy is mindennel mindenhol csak nálam nem. Való igaz, hogy telenor-os mobilnetem van kettő is. Arról nem tudtam, hogy tiltják a vpn-t egyes szolgáltatók ami azért elég vicces révén, hogy pont otthoni munkára találták ki persze minek is lehessen elérni a benti gépeket Megnézem a Mikrotikban a kártyámat milyen mert épített routerem van (routerboard + LTE) még a régi korlátlan telenoros mobilnettel.

[ Szerkesztve ]

Megnéztem és tényleg, a routerben "online" kapcsolatú a kártyám. Nem lehet aktiváltatni ezen is vagy esélytelen ne is szóljak hátha még a korlátlan mobilnetemet is lenyúlják

Az a vicces, hogy a telekomos mobilnetet ha megosztom az otthoni pc-vel akkor megy a vpn.
Eléggé szolgáltató függő az egész akkor. Jó lenne ha lenne egy ilyen összefoglaló mert a neten ilyennel sehol nem találkoztam ezért új nekem ez az infó is.

[ Szerkesztve ]

ird át és nézd meg. A "net" APN használatát sokszor aktiválják, de nem szólnak.
Próbáld ki, hátha megy az nálad.

A korlátlan netnél (ha csak nem a régi hello data, amit kifejezetten nem routerbe szántak, sőt), nincs értelme tiltani az apn-t. Ennek az értelme, hogy akadályozzák a vpn illetve voip szolgáltatásokat, ezzel kikerülve az ő fizetős szolgáltatásukat, illetve a forgalmat amit büntetnek azt akadályozzák

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Igazad van, így kerek. A legtöbb család által használt eszközben és előfizetésben azonban a NAT -olt, korlátozott APN van beállítva, így mielőtt szétberhel mindent, gondoltam rákérdezek.

Több körben próbáltam már aktiváltatni lakossági előfizetésnél, de sosem sikerült.

Sajnos már próbáltam, nem megy korlátozva van itt is.

nem tudom, nekem nincs tapasztalatom lakossági telenoros előfizetés net apn aktiválással, üzletinél alapból volt mindig.

Közben megnéztem vodafonnál a két apn:
internet.vodafone.net
standardnet.vodafone.net (szerintem itt megy a pptp)

Itt is csak az egyiknél megy a pptp vpn.

[ Szerkesztve ]

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Ráadásul az internet.vodafone.net tömörített, a másik nem.

telekomnál az APN internet.telekom , nem tudom, hogy most van e másik régen volt még wnw, meg sima internet de ezek már lehet nem működnek egyáltalán. Tizen éve nincs telekom (akkor még w900 kártyám)

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Telenor online beállítással nekem megy a l2tp-vpn. (kártyás lakossági)

Digi internet APN, azon is megy az alagut. Egyedül a belsőhálózaton a névfeloldás nem megy, de nem érdekel, ip címmel minden elérhető.

Az L2TP igen, a PPTP nem.

De ha a cégnél Windws server oprendszeren megy a VPN, akkor azon nem kellene problémát okozz beállítani egy SSTP-s VPN-t, ami kb. ugyanaz, mint a HTTPS, ami biztosan megy a mobilneteden.

Minden éjszaka próbálkozik egy ip cím l2tp-re.

Log:
02:20:45 ipsec,error 216.218.206.74 failed to get valid proposal. 
02:20:45 ipsec,error 216.218.206.74 failed to pre-process ph1 packet (side: 1, status 1). 
02:20:45 ipsec,error 216.218.206.74 phase1 negotiation

Most kézzel felvettem a tiltottak közé, de hátha más is kedvet kap a játékra. Nehezít, hogy csak naponta egyszeri, nem lehet tűzfalban rate limitre szűrni.

Van valakinek jó script-je, ami az ilyen próbálkozást feketelistázza?

[ Szerkesztve ]

Mikrotikről írtam egy kis cikket, ilyesmiről is szó van benne. [link]
Ha a próbálkozó nem lép be megfelelő jelszóval 90 másodpercen belül, akkor feketelistára kerül az IP-je. Így gyakorlatilag csak néhány próbálkozásra futja, admin/admin és hasonló komolyságú jelszavakat tud csak kipróbálni. Az IP pedig egyetlen sikertelen próbálkozás miatt is feketelistára kerül - ha a 90 mp-en belül nem lép be.

[ Szerkesztve ]

Most ránéztem a log-ra, és nálam is elég sok próbálkozás van PPTP-re és L2TP-re is. Valami automata lehet, mert ugyanazokat a userneveket próbálgatja mindig, így kb esélye sincs. Ráadásul a jelszó nálam egy teljes magyar mondat...

Apple TV problémára talált már megoldást valaki?

Mar 25 05:25:33 192.168.1.1 interface,info ether9 link up (speed 1G, full duplex)
Mar 25 05:25:34 192.168.1.1 interface,info ether9 link down
Mar 25 05:25:38 192.168.1.1 interface,info ether9 link up (speed 1G, full duplex)
Mar 25 05:25:55 192.168.1.1 interface,info ether9 link down
Mar 25 05:25:59 192.168.1.1 interface,info ether9 link up (speed 1G, full duplex)
Mar 25 05:26:01 192.168.1.1 interface,info ether9 link down
Mar 25 05:26:05 192.168.1.1 interface,info ether9 link up (speed 1G, full duplex)

Köszi! Ezt a scriptet én is ki fogom próbálni.

Egy gyakorlati kérdés. Felviszem a System -> Scripts-be ezt a scriptet mondjuk "script1" néven. Ezt, hogyan tudom használni a két másik mezőben? Sima textarea-k és nem egyértelmű mit írjak bele. csak egy sorba azt hogy "script1"?

Csatoltam képet, hogy néz ki: [link]

[ Szerkesztve ]

igen

Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30