-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
DarkByte
addikt
Lehet buta kérdés, de ez a 7.x-es firmware mikor kerül a stable branch-re mondjuk egy hAP ac3-nál? Mert nekem ezeket továbbra is a testing alá teszi a System>Packages alatt. Főleg hogy már 7.1-es minor verziószámoknál járunk furálom ezt.
Nem sietek sehova, stabilitás a lényeg, csak kíváncsi vagyok.[ Szerkesztve ]
-
Lenry
félisten
válasz DarkByte #16401 üzenetére
a 7.1 megjelenése óta az a stabil.
6.49.1-nél lett egy upgrade branch (hogy aki nem akar, annak ne frissüljön rOS7-re a routere, hanem 6-on tudjon maradni)
ha átváltasz, akkor frissül rOS7-re és utána az lesz a stable[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
őstag
Kijött a 7.1.2:
interface - fixed minor memory leak when interface or connected route is changed
Ők is találtak itt leaket.[ Szerkesztve ]
Tegnap még működött...
-
yumme
csendes tag
Sziasztok
van egy WAN <-> RB5009 <-> CRS326 <-> RB260GSP
különböző portjaikra rá lesznek dugdosva mindenfélék amiket 5-10db VLAN-ba kellene terelni. A különböző VLAN-beli cuccok se nem tudhatnak egymásról se nem következtethetnek arra hogy van másik VLAN.
RB5009 <-> CRS326 <-> RB260GSP között lennének a VLAN-ok trunk-ölve a többi port csak untagged-et fogadna és felcímkézné előre meghatározott VLAN id-vel
vannak még UNIFI AP-k szintén 4-5 VLAN-al (SSID-vel) CRS326-be és RB260GSP-be is trunk-ölve
van egy managament VLAN amin belül minden eszközt el kell tudni érni konfig ügyileg
némelyik VLAN kilát a netre, némelyik nem, némelyik tartalomszűrten kapna csak netet
+ a feketeleves: pl VLAN1-ből VLAN2-be el lehessen érni eszköz eszközt, de fordítva nem kezdeményezhet
Instant problémám: Hova kellene tenni a DHCP server-eket?
csak tippelek hogy a CRS326-ra
[ Szerkesztve ]
-
iceQ!
addikt
Ez az RC-nek a LOG-jában olvastam, ha tényleg megoldást jelent akkor feltelepítem én is, mivel nálam is a CAPs manageren volt csak gond. A többi eszközön nem volt ML.
Amiből lekvárt lehet főzni abból pálinkát is! A csavargó embert nem lehet munkára fogni! Samsung S23 Ultra Dual SIM | Notebook: HP Omen | Car: Volkswagen Passat B6 1.9 PD TDi BLS
-
ekkold
Topikgazda
Már feltettem a 7.1.2-t ezekre: RB5009, RB951, cAPac, hAPac
Eddig gond nélkül teszi a dolgát mindegyik, a frissítés is problémamentes volt. -
yodee_
őstag
Úgy néz ki meg van a tökéltes megoldás. Ez a szkript három féle próbálkozás esetén már az első után is bannol. Eddig szépen teszi a dolgát:
:local logMessage ""
:local logIp ""
:local message1 " phase1 negotiation failed."
:local message2 "phase1 negotiation failed due to time up "
:local message3 " failed to get valid proposal "
/log
:foreach i in=[find where message~$message1 or message~$message2 or message~$message3 ] do={
:set logMessage [get $i message]
:if ($logMessage~$message1) do={
:set logIp [:toip [:pick $logMessage 0 [:find $logMessage " "]]]
:if ([:len [/ip fire addr find where address=$logIp]] < 1) do={
/ip fire addr add address=$logIp list=blacklist timeout=7d
:log info message="|-------> IP blocked: $logIp because IPSEC negotiation failed <-------|"
}
}
:if ($logMessage~$message2) do={
:set logIp [:toip [:pick [:pick $logMessage ([:find $logMessage ">"]+1) [:len $logMessage]] 0 [:find [:pick $logMessage ([:find $logMessage ">"]+1) [:len $logMessage]] "["]]]
:if ([:len [/ip fire addr find where address=$logIp]] < 1) do={
/ip fire addr add address=$logIp list=blacklist timeout=7d
:log info message="|-------> IP blocked: $logIp because IPSEC negotiation failed due to time up <-------|"
}
}
:if ($logMessage~$message3) do={
:set logIp [:toip [:pick $logMessage ([:find $logMessage "from"]+5) [:len $logMessage]]]
:if ([:len [/ip fire addr find where address=$logIp]] < 1) do={
/ip fire addr add address=$logIp list=blacklist timeout=7d
:log info message="|-------> IP blocked: $logIp because L2TP failed to get valid proposal <-------|"
}
}
}
Negyed óránként futtatom.
[ Szerkesztve ]
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
-
ekkold
Topikgazda
válasz yodee_ #16413 üzenetére
Biztos, hogy érdemes azonnal tiltani? Néha látok olyat a logban, hogy egy barátom hAPac^2 routere csak másodszorra tud valamiért kapcsolódni hozzám - ilyen esetben pedig feketelistára kerülne...
Mondjuk ha majd frissít 7-es routerOs-re, akkor kihajítom az L2TP-t, és amit csak lehet wireguard-ra cserélek. -
Beniii06
őstag
válasz lionhearted #16403 üzenetére
Nem baj, eddig se volt memory leak, csak mi találtuk ki, mi nem értünk hozzá, így működik, nincs is ilyen hiba.
Ilyenkor hová tűnnek az ilyen típusú hozzászólások?
"Got any other secret weapons?"
-
ekkold
Topikgazda
válasz Statikus #16421 üzenetére
Így elsőre ezek jutnak eszembe:
- Nincs fix port, tetszés szerinti UDP porton mehet (az openvpn-hez hasonlóan), ez fokozza a biztonságát.
- Nagyon nehezen (vagy jelenlegi ismereteink szerint nem) törhető, a nyilvános-privát kulcspáros megoldás nagyon megbízható. A tapasztalatok szerint nem nagyon próbálkoznak feltörni sem.
- Gyorsabb. Mikrotiken is.
- Tud roamingolni (ebben még vannak problémák mikrotiken)
- Szinte minden oprendszerre van kliens
- Semmilyen extra protokoll nem kell hozzá, csak egyetlen UDP port
- NAT mögött is működik
- Egyszerűen konfigurálható -
válasz ekkold #16422 üzenetére
A listát még kiegészíteném a számomra két legnagyobb előnnyel:
- UDP és ha jön egy olyan csomag, amit nem tud decryptelni, akkor arra egész egyszerűen nem válaszol. Egy port scannernek esélye sincs kiszúrnia, hogy neked Wireguard fut azon a bizonyos porton. Így tök nyugodtan ki tudom engedni a wg-t a nagyvilágba, mert jó eséllyel (egy nem standard porton) alig fog kapni brute forcet.
- "Stateless" modell. Nem egy adott kiépített kapcsolaton áll az egész, ami ha megszakad, mert pl dinamikus IP van otthon és az pont változik, akkor mehet az újracsatlakozás és jó eséllyel minden VPN-en létrehozott kapcsolat megszakad, hanem a wg-nek csak az számít, hogy amilyen csomagokat ő tud decryptelni, arra válaszol. Ha épp változott az IP, de közben folyamatosan küldte az változott IP-jű peer a tartalmat, akkor ő szépen folyamatosan válaszol rá. Emiatt kell minden peernek külön kulcs, mert az alapján dönt, hova routoljon, de ez egy marha nagy előny.
- Borzasztó modern a crypto háttere. Emiatt tud olyan gyors lenni egy openvpn-hez képest például.Persze a stateless modellnek van átka is, például, hogy outbound address-t nem nagyon lehet megadni, ha több IP/interface van a gépben, kénytelen az ember a routinggal szórakozni, de ez sem olyan nagy trauma szerintem.
Hogy hívják az éhes horgászt? Gyere Pista, kész a kaja!
-
ekkold
Topikgazda
válasz yodee_ #16416 üzenetére
Miért lenne értelme váltanom wireguard-ra?
- Pl. nem kellene ilyen tűzfal scriptekkel bajlódni, mint amit beraktál.
- Az egész fixportos ipsec-es megoldást ki lehetne hajítani, és akkor nem is lenne mit hackelni...
- Az l2tp/ipsec által használt portokra érkező csomagok forráscíme kapásból mehetne a feketelistára, minden különösebb trükközést mellőzve.
- Van fehérlistád: elegendő a fehérlista számára kinyitni a megfelelő portot. Az alkalmi elérésekhez meg lehetne pl. kopogtatással a fehérlistára felkerülni. (Ez mondjuk most is feleslegessé tenné a scriptes megoldást.)[ Szerkesztve ]
-
ekkold
Topikgazda
válasz Reggie0 #16426 üzenetére
Tulajdonképpen valóban, de még ha találna is kulcsot, amivel megszólítja az eszközt, akkor sem tudná a választ dekódolni, mivel ahhoz a másik fél kulcsa is kellene.
Amíg az ipsec-re naponta több próbálkozás is van, addig a wireguardra gyakorlatilag nincs egy se.
[ Szerkesztve ]
-
yodee_
őstag
válasz ekkold #16425 üzenetére
Az IPSe sebességére nem kehet panaszom, fel-le egyaránt meg van a 180 mbit. Ennél többet lehetne kisajtolni ebből a vasból? Most pont azon gondolkodom, hogy az összes próbálkozást az ipsec portokon drop-olom kivéve a fehérlistásokat. Erre még nem jöttem rá hogyan kell.
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
-
ekkold
Topikgazda
válasz yodee_ #16428 üzenetére
Azt hiszem a sebességen kívül (egyébként: igen, valószínűleg több is menne) elég sok további indok le lett itt írva.
Ha a fehérlistára felveszel engedélyező szabályt, akkor minden további drop-olható. Vagy akár egy sima drop szabályba is betehető kivételként a fehérlista. Több megoldás is van.
-
yodee_
őstag
válasz ekkold #16431 üzenetére
Rendben, ha időm engedi kipróbálom! Köszönöm! Jelenleg van egy szabályom ami drop-olja az udp 450, 500, 4500 portokon érkező kérelmeket. Itt a sources list-be beállítom a whitelist-et nem opcióval? Vagy hogyan tudom kivitelezni_?
[ Szerkesztve ]
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
-
DeniL
tag
Sziasztok,
Engem sajnos este a ROS7.1.2 megszivatott.
RB5009 a manager, egy HAP AC2 és egy CAP AC XL a két CAP-em mellette.
Először a managert frissítettem, be be van pipálva nála, hogy követelje meg a kliensektől a hasonló FW verziót, amivel eddig nem volt gondom. (Pl. ROS 7.1 -> 7.1.1-re).Most is lefrissült a manager és vártam a csodát, de nem jött el.
Frissült az RB5009, amit elértem Dydnns-en keresztül mobilról az appjában, de a CAP-ek nem jöttek fel.
Végignéztem, az általam vélt alapokat (cap manager engedélyezve, CAP interfészek engedélyezve, cap-ek látja, rádiókat látja, DHCP szerver fut, bridge-be vannak az interfészek, neightborsként látja az eszközöket) és hát amatőrként nem sokra jutottam.
Naívan újraindítottam kézzel a két CAP-et, de semmi, nem szórtak SSID-kat, így nem tudtam csatlakozni a hálózatomhoz
Kénytelen voltam kábelesen elballagni az RB5009-ig és a fura az volt, hogy miután lanon voltam, ráléptem a két CAP-re, kézzel frissítettem őket 7.1.2-re, hirtelen minden megjavult.Valamiért, amíg a manager már 7.1.2-n volt, de a CAP-k maradtak 7.1.1 alatt, megszűntek a CAP-ek mint funkció létezni.
Hogyan lehet ezt a későbbiekben elkerülni?
Nincs a CAPSMAN vezérelt CAP-eknek valami fallback módja, ha a kontroller nem érhető el, akkor legalább valami fallback SSID sugározzon amire rá tudok jelentkezni?Előre is köszi!
-
őstag
Szia!
Gondolom nem elírás, hanem tényleg cAP-ok (nem cAP ac-k), amik MIPSBE architektúrásak. Frissíteni egyszerű módon csak azonos architektúrát tud a manager.
Ha többet szeretnél egyszerre, akkor le kell tölteni a csomagokat a managerre, beállítani a helyet, és onnan kiajánlani a többieknek. Default csak a saját csomagját tudja (ezért az architektúra megkötés).
[ Szerkesztve ]
Tegnap még működött...
-
bacus
őstag
válasz ekkold #16422 üzenetére
"- Egyszerűen konfigurálható"
Szerintem ez nem igaz. Az az egyszerűen konfigurálható, amit egy átlag alatti felhasználó is meg tud csinálni. Az l2tp ilyen, le tudom írni neki, hova kattintson, 10ből 9 simán megcsinálja, 1 meg olvasni se tud, kihagy pontokat, annak minden gond
A másik, hogy ez inkább site2site vpn, bár még nem teszteltem, hogy lehet win kliens és mikrotik között beállítani, biztos sikerülne, de annál jobbat, hogy megadok 4 adatot és az ügyfél fel tud csatlakozni, minden mást én állítok be a mikrotik szerveren, ennél jobbat én még nem tudok, persze én speciális eset vagyok, mert 500 kliens van.., teljesen random ügyfelek, hálózati tudásuk abszolút nulla.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
Ha az a szempont, hogy könnyű legyen a usereknek, úgy oldanám meg, mint a mullvad vpn. Van egy konfig generátor weboldal, az kliens oldalt generál egy privát kulcsot a peernek, a hozzá tartozó publikus kulcsot pedig elküldi a szervernek, ami szépen be tudja rakni a wireguard peerek közé. A user meg csak annyit lát, hogy kattint egyet és letöltődik a konfig, ami megy is. Igaz, hogy ehhez is kell egy saját microservice, de szerintem sokkal egyszerűbb user szemléletből, mint mondjuk egy openvpn-t összerakni...
Hogy hívják az éhes horgászt? Gyere Pista, kész a kaja!
-
bacus
őstag
válasz Mr Dini #16441 üzenetére
Lehet, de a beépített vpn-n használatánál nem könnyebb. Pl, eleve telepítenie kell egy wireguardot. Nem tudom ki-mivel keresi a kenyerét, de én 90%-ban ügyfeleim "támogatásával". Van saját "teamviewer" szerű szoftverünk, de azt is le kell tölteni, és ez, hogy letölteni egy oldalról egy programot, amit nem kell telepíteni csak futtatni, ez bizony már néha komoly probléma.
Van több hangfelvételem, ahol az első 20-30 perc csak ezzel telik, hogy töltse le pl. az anydesk-t és indítsa el. A hangfelvétel magamnak készül, hogy visszahallgatva tanuljak belőle.., pl hogy halkabban tépjem a hajam, kevesebbet káromkodjak, ne üvöltözzek .
Mindegy, ki fogom próbálni előbb utóbb a wireguardot, de még csak itthoni környezetben van 7-es ROS, ezt még élesben nem használom.
[ Szerkesztve ]
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
senior tag
válasz ekkold #16425 üzenetére
Én egy helyen úgy láttam PpTp-t vagy L2Tp-t, hogy csak egyetlen egy (nyílván ez lehet több is) külső címet fogadott el. Minden más kuka. Azt mondták, ez így bőven elég. Site-to-Site megoldás volt.
Végülis működő képes lehet :-)
Én még nem próbáltam (mertem) így, csak is magyar IPv4 címekre (GeoIP) korlátoztam az ilyen kapcsolataimat. -
Vektor77
tag
Sziasztok, egy SXT AP-t szeretnék PoE switchel megtáplálni és gondolkodóba estem a feszültségek láttán. A 802.3af szabványú switchem 53,5V feszültséget ad ki, viszont az SXT 10-28V-ig kéri a feszkót. Vajon összedughatom őket?
-
DeniL
tag
válasz lionhearted #16436 üzenetére
Szia,
Nem, CAP alatt a CAPSMAN tagjait értem, ami jelenleg ARM alapúak (hap ac2 és cap ac xl).
Új hozzászólás Aktív témák
- AKCIÓ Új Dobozos Macbook Pro dokkoló új ára 70.000 forint
- ThinkPad Hybrid USB -C USB -A Dock 40AF Új ára 80.000 Forint Ingyen szállítás
- Xiaomi Redmi Note 9s 128/6 GB 34.9E !!!
- Új Hp Pavilion 15-eh Fémházas Szuper Laptop 15,6" -30% AMD Ryzen 7 5700U 8Mag 16/1TB FHD MATT
- ATI RADEON RX 480 -8 gb DDR5 256 bit videokártya