-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
syler123
veterán
Sziasztok!
A Routeros-al még csak most ismerkedek (korábban itt volt is vita az amatőr kérdésem miatt (elnézést ezért, csak nincs "kezdőknek" topic)), ennek ellenére mivel csak virtualizálva próbálgatom, így nem mindent tudok kipróbálni.
Pont a lényeget nem, a dual wan-t.
Addig jutottam, hogy a wan port működjön, mint dhcp client, tehát megkapja az ip-t, + legyen dhcp serverem ami kiszolgálja a klienseket.
Ahhoz, hogy weboldalak menjenek, 3 port-ot tettem nat rule-ba (53, 80, 443)-at. Az action itt masqerade. Ez eddig oké gondolom, mivelhogy működik.
A route részhez nem nyúltam, azokat a tűzfal szabályok alapján létrehozta az os gondolom én.
Ugyanitt megtehetem azt, hogy egy xy portot beállítok egy másik out interface-re, masquerade-el, így működhet a dolog? Tehát ilyenkor a 53, 80, 443 wan1-en megy, az xy pedig a wan2-őn? Nem kavarnak be egymásnak?[ Szerkesztve ]
-
bacus
őstag
válasz syler123 #16754 üzenetére
ha jók a mangle szabályok !! (amit én már itt többször postoltam, stb), akkor így. Ez ugye dst-nat, azaz a kérés eleve megmondja, honnan jön, melyik wan felől, a választ is arra a wanra kell tedd. Mangle szabály szerint nem fog működni viszont..
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
syler123
veterán
Ehhez visszaolvasok.
De pont ezaz amit nem értek, egy dst nat szabályhoz, amiben megadok mindent a cél port-tól kezdve a kimenő interface-ig, miért kellene mangle szabály? Nyilván, aki használ mikrotiket, ez biztosan egyértelmű, meg előbb utóbb biztos kitalálom, de ezt nem értem.
Vagy ilyenkor a válasz, pl a kms szervertől már nem ugyanazon az interface-en jönne vissza?
Pfsense-ben ez olyan egyszerűen megvan oldva, hogy nemigaz...[ Szerkesztve ]
-
Audience
aktív tag
válasz syler123 #16759 üzenetére
Amikor masquerading-ot használsz, akkor ha az adott interface-en hagyja el a csomag a router-t megcsinálja a címfordítást. De a csomag mindig az alapértelmezett átjáró felé megy amiből csak egy lehet!
Tehát csinálsz két route táblát és megmondod, hogy melyik csomag melyik route táblát használja. A két táblában eltérő alapértelmezett átjárót tudsz megadni. Ehhez mangle rule-kell. Amikor a csomag eljut a megfelelő interface-re ott már dolgozni fog a NAT és megcsinálja a címfordítást.[ Szerkesztve ]
-
-
Lenry
félisten
válasz yodee_ #16766 üzenetére
nem lehet, fix IP kell hozzá, meg olyan előfizetés, ami egyáltalán engedi az email szolgáltatást.
én azt tervezem, hogy bérelek valahol egy VPS-t[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
bacus
őstag
Miért jobb, mint megvenni egy szolgáltatást? évi 5e forintért? A vps alsó hangon 2x ennyi és még csak nem is elég általában az alapcsomag.. Nem lebeszélni akarok senkit, de én 20 éve üzemeltetem a saját mail szerverem és még a mai napig elgondolkozom rajta, hogy van e jobb megoldás... (meg 15 domainre már azért komolyabb összeg lenne)
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
Ablakos
őstag
Iszonyú lassú a laptopom sebessége a routerrel. rx/tx rate szinte maximum, amit tud a laptop, de a sebesség mérés tragikus. (Egy nagyobb fájl másolása idegőrlő, ahogy a Btest is mutatja ) (tcp packets/ direction both)Mi okozhat ilyen vacak átvitelt? (interferencia nincs a falu végén, a WapAC kb 2 méterre akadály nélkül)
-
amargo
addikt
válasz yodee_ #16774 üzenetére
Mármint? Céges adatokat kell megadni. Nekem egy account-om még azure-on keresztül van, de van egy private is, amihez végül is szintén céges adatokat adtam meg.
A sendgrid tömeges email küldésre van, nem mondom, hogy ez a legjobb megoldás erre a problémára (van pár maradi ISP (pl.: freemail), akik "blokkolják/spam-nak jelölik meg" azt pedig csak a fizetős csomagban tudod kivédeni), de én évek óta használom erre a célra is..[ Szerkesztve ]
“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”
-
amargo
addikt
válasz yodee_ #16776 üzenetére
Ez egy szolgáltató, azaz valamilyen olyan email címet, aminek a postaládáját eléred. Nekem gmail-es van és gmail-es céges is.
Az előre le írom, ahhoz, hogy verificálni tud majd a kilétedet, ahhoz pl kell egy domain. Nálam pl úgy van megcsinálni, hogy a céges info-s cím nevében küldöm ki innen a leveleket (ehhez persze verification kell).“The workdays are long and the weekend is short? Make a turn! Bike every day, bike to work too!”
-
Horvi
őstag
Sziasztok,
Ismét wireguard témában fordulnék hozzátok. A site to site megoldás jól működik, most megpróbálnék mobil klienssel csatlakozni.
Csináltam új interfacet illetve adtam hozzá peert.(nem vagyok benne biztos hogy szükséges-e új interface vagy sem):[MikroTik BP] > interface/wireguard/export hide-sensitive
/interface wireguard
add comment="Phone connections" listen-port=15000 mtu=1420 name=wireguard2
/interface wireguard peers
add allowed-address=10.11.11.2/32 comment="mobile" endpoint-port=15000 \
interface=wireguard2 persistent-keepalive=1m
[MikroTik BP] > /ip/address export hide-sensitive
/ip address
add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0
add address=10.11.11.1/24 interface=wireguard2 network=10.11.11.0
[MikroTik BP] > /ip/firewall export hide-sensitive
/ip firewall address-list
add action=accept chain=input comment="WG rule Mobile1" dst-port=15000 \
protocol=udp
Illetve ezt állítottam be a telón a kliensben:[Interface]
Address = 10.11.11.2/32
PrivateKey = xxx
DNS = 8.8.8.8
[Peer]
PublicKey = xxx
AllowedIPs = 0.0.0.0/0
Endpoint = mikrotik.mynetname.net:15000
A probléma az, hogy ugyan csatlakozik a kliens legalább is az appban azt látom de winboxban amikor nézem a peert akkor a last handshake nem mutat semmit.
Illetve a másik gond az, hogy a netet sem értem el ha kapcsolódva vagyok a wg szerverhez.Tippre hiányzik valami route vagy tűzfal szabály de egyelőre nincs ötletem.
Minden tippet szívesen fogadok.
Köszi!
Hello darkness, my old friend...
-
bacus
őstag
válasz Reggie0 #16779 üzenetére
Akkor ez pont 24x akkora költség, mint egy szolgáltatónál megrendelni egy éves levelező csomagot...
Lenry: nem akartam reklámot csinálni, sok ügyfelemet ide küldtem, elégedettek velük.
https://integrity.hu/mailszolgaltatas/Évi 5e forint.., nem havi 10e, ráadásnak itt többen össze is foghatnának, akik csak log küldözgetésre használják, azoknak bőven sok, és évi 1000 Ft már lassan nevetségesen olcsó is lenne.
[ Szerkesztve ]
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
válasz Reggie0 #16784 üzenetére
A kolléga azt állítja, hogy már a handshake sem látszódik, így én nem a routingra gyanakodnék elsősorban.
A kérdezőnek:
Általában nem szükséges új interface, bár a hozzászólásodban idézett konfigban nem látszik a site to site része a konfignak, így elképzelhető, hogy van valami speciális setup, ami miatt indokolt. Nekem pl azért van 2 interfacere leválasztva a kettő, mert szerettem volna az egyik interfacen korlátozni a LAN elérhetőségét.
A tesztelés idejére legalább javaslok egy PersistentKeepalive beállítást a mobilos oldalon, így tudod nézegetni, hogy rendben van-e a handshake bizonyos időközönként.
Amire pedig tippelni tudok, az az, hogyha handshake sincs, akkor vagy tűzfal, vagy a kulcsok rosszak. Első körben megnézném, hogy a tűzfalnál nő-e a wg countere. Ha igen, akkor hogy a kulcsok rendben vannak-e.
Ha ezek egyike se válik be, akkor kiszedném router oldalon a "persistent-keepalive=1m" settinget. Road warrior setupban én ezt a mobilra szoktam hagyni, hiszen ő kapcsolódik IP-hez, a routerben nem is adtál meg endpoint addresst, az mit keepaliveoljon? Meg állandóan tegye ezt? Elég mobil oldalon megtenni, az meg pontosan tudni fogja, hogy kinek megy a keepalive és tényleg csak akkor, amikor kezdeményezel wireguard kapcsolatot mobil oldalon. Viszont el tudom képzelni, hogy ez összezavarja a mikrotik lelkét.
[ Szerkesztve ]
Hogy hívják az éhes horgászt? Gyere Pista, kész a kaja!
-
Horvi
őstag
válasz Reggie0 #16784 üzenetére
Nem adtam hozzá plus masquerade szabályt csak ami az alap konfigban van:
1 chain=srcnat action=masquerade src-address=192.168.0.0/16 out-interface=pppoe-digi
log=no log-prefix=""
Akkor ha jól gondolom ide kéne felvenni egy szabályt és a src addressnek megadni a wg networkjét? A wg interface ebben a szabályban gondolom a bejövő interface lenne kimenőnek meg ugyanúgy a digit kéne megadni?Hello darkness, my old friend...
-
Horvi
őstag
válasz Mr Dini #16793 üzenetére
Köszi szépen ott a pont. Az egyik kulcsot elírtam
Egy olyan kérdésem lenne még, hogy ugyanarra az interface-re kapcsolódhat több peer?(gondolom más port legyen)
Illetve ha a wg networkje a 10.11.11.0/24 és van egy pihole konténerem 192.168.10.30-as címmel és azt szeretném, hogy a wg-re csatlakozott kliensek ezt tudják használni DNS kiszolgálónak akkor azt, hogy tudom megoldani?
Köszi!Hello darkness, my old friend...
-
Nem tudom hányszor fog még előjönni ez a kérdés, de leírtam többször részletesebben, hogy igen, lehet egy wireguard interfacen több peer is, csak arra kell figyelni, hogy a peereknél az allowed address precízen meg legyen adva. Pl ha 10.11.11.2/32 az IP, amit adni akarsz a mobilnak, akkor ezt ne csak a kliens konfig fájlba írd be, hanen a wg peer allowed-addresses mezőjébe is: 10.11.11.2/32. De ahogy látom, ezt már kitöltötted, szóval ha figyelsz arra, hogy minden peernél szerepeljen, akkor menni fog.
A pihole kérdésre meg... Nekem az volt a tapasztalat, hogy wg fronton még masquerade se kell, elérik egymást szépen a különböző hálózatok. Próbáld meg csak úgy elérni, esélyes, hogy menni fog. Ha nem, akkor meg a piholeos masinára lenne érdemes ránézni, hogy mire van bindolva a pihole, illetve hogy fogja-e tűzfal a forgalmat.
Hogy hívják az éhes horgászt? Gyere Pista, kész a kaja!
-
Horvi
őstag
válasz Mr Dini #16795 üzenetére
Köszi szépen kipróbáltam és ment a dolog. Végül az lett, hogy volt egy wg interface a site to site kapcsolatnak illetve csináltam egy külön wg interfacet a mobilos kapcsolatoknak(itt csináltam több peert).
Hát a masquerade az kellett anélkül nem látott ki a netre, viszont a piholet még nem próbáltam azt majd ma megnézem mert az a másik mikrotikes hálózat alatt van.
Hello darkness, my old friend...
-
yodee_
őstag
válasz amargo #16778 üzenetére
Pár átgonolkodott nap után, és sok segítség után természetesen, sikerült beüzemelni a sendgrid smtp megoldását. Aki esetleg hasonlón gonodolkodik jelezze és megpróbálom leírni. Illetve ha már ennyire belemerültem a dologba, megcsináltam egy olyan megoldást is amely az elkészült backup és export fájlokat feltölti google drive-ba is.
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
Új hozzászólás Aktív témák
- Sony MILC fényképezőgépcsalád
- Kerékpárosok, bringások ide!
- DIGI Mobil
- Mibe tegyem a megtakarításaimat?
- ubyegon2: Airfryer XL XXL forrólevegős sütő gyakorlati tanácsok, ötletek, receptek
- Magisk
- A fociról könnyedén, egy baráti társaságban
- PlayStation 5
- A pápa egyre jobban tart a romlott AI veszélyeitől
- Nyaralás topik
- További aktív témák...
- Cseréltesse le régi elavult rendszerét!
- FET-es Dual-Mono dupla toroid tápos végerősítő/végfok. Gyakorlatilag 2 monoblokk egy házban! 2x75W!
- Eladó több darab HP 400 G4 I3 7. gen számítógép Windows11, 250 gb SSD, 8gb ddr4 ram 6 hó gari!
- Gigabyte GA-B150-HD3P hibás alaplap + i3 6100
- Playstation 5 ( ps5 ) kontroller