-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
allnickused
tag
-
allnickused
tag
válasz allnickused #16851 üzenetére
A downgrade és netinstall is azt csinálta, hogy restart után nem volt fent az új firmware. A netinstall pár másodperc (8-10) múlva kiírta az ablakban a MAC után, hogy: ready. ... és ezt bárhányszor megcsinálta.
Megoldódott, jó kis trükközés kellett.
(De, az vagy)
-
yodee_
őstag
Sziasztok!
Új probléma ütötte fel a fejét nálam. Eddig a VPN kapcsolatnál egy esetleges PPPOE újratárcsázás esetén szépen újraépült a kapcsolat. Most wireguard esetén elég nehézkesen jön fel a távoli eszköz. Mi lehet ennek az oka?
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
-
Kenderice
senior tag
Én most is eszem a nyáron készült koviubit.
Csomót eltettem a múlt nyáron.
Félbarna kenyeret szoktam használni.
Kapor szemre, de 10 deka megvan (tele vele a kert). Uborka is saját, Perez F1 fajta.
Egy liter langyos víz, egy EK só.
Tetejére 2 közepes szelet félbarna kenyér.
Két napig kint a napon. Ha kánikula van akkor csak egy napig, ha felhős-hűvösebb az idő akkor 2-3 nap is lehet.
Utána egy napig árnyékban.
Ha kész, levét leszűröm, visszaöntöm rá és még egy nap a hűtőben.
Télire meg úgy teszem el, hogy a leszűrt levet felforralom és lehűlés után öntöm rá. Jól lezárva el lehet tenni hónapokig -
Lenry
félisten
válasz yodee_ #16858 üzenetére
ha dyndns-re kapcsolódsz, akkor pl egy IP váltás okozhat problémát, mert a WG nem követi azt le
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
Lenry
félisten
7.1.5-re frissítés óta semilyen L2TP nem tud csatlakozni, látszik a próbálkozás, aztán elhal.
7.1.3-ra frissítéskor is ez volt, de akkor újraindítottam a routert és ez megoldotta, most viszont jó lenne downtime nélkül megoldani.Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
yodee_
őstag
Közben én is megtaláltam a problémát. Van is egy elég egyszerű megoldás, ami le majd vissza kapcsolja a wireguard peert egy esetleges ip váltás utáni elérhetetlenség esetén. Viszont valamiért a routerem nem tudja pingelni a másik routert. A rajta logó eszközök szépen pingelik a másik hálózat összes elemét, de a Router nem. Mi lehet a hiba, hol keressem?
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
-
Lenry
félisten
itt a CCR1009 se szerver, se kliensként nem akar menni, se Windows irányába, se Mikrotik felé. múltkor restart utána magához tért, de valószínűleg most is ez lesz majd este.
még egy ok a WG-re váltás mellett
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
yodee_
őstag
Közben megtaláltam a ping hiba okát. Valamiért a router el dropolta a másik router felől érkező csomagokat. Amint a wireguard1 13.255.255.0/30 tartománya bekerült a whitelist-be már megy is a ping és a mikor a netwach nem látja a túloldali routert le majd visszakapcsolja az adott WG peert. Szóval probléma megoldva, de miért dobja el a tűzfal a router felől érkező csomagot a routeren lévő eszközökét meg nem?
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
-
Lenry
félisten
WG - egy interface, több port.
szerver oldal/interface wireguard
add listen-port=16720 mtu=1420 name=wireguard-s19/interface wireguard peers
add allowed-address=10.17.1.2/32 comment=client1 endpoint-address=xxxxxxxxxxx.sn.mynetname.net endpoint-port=16720 interface=wireguard-s19 persistent-keepalive=30s public-key=\
"YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY"
add allowed-address=10.17.1.3/32 comment=client2 endpoint-address=12.34.56.78 endpoint-port=16723 interface=wireguard-s19 persistent-keepalive=30s public-key=\
"wwwwwwwwwwwwwwwwwwwwwwwwww"
add allowed-address=10.17.1.4/32 comment=client3 endpoint-address=zzzzzzzzzzzzz.sn.mynetname.net endpoint-port=11095 interface=wireguard-s19 persistent-keepalive=30s public-key=\
"vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv"/ip/route
add disabled=no dst-address=192.168.100.0/24 gateway=10.17.1.4 scope=10kliens (10.17.1.4)
/interface wireguard
add listen-port=11095 mtu=1420 name=wireguard-carto
/interface wireguard peers
add endpoint-address=12.34.56.79 endpoint-port=16720 interface=wireguard-carto persistent-keepalive=30s public-key=\
"aaaaaaaaaaaaaaaaaaaaaaaaaaaa"
/ip/route
add disabled=no distance=1 dst-address=192.168.1.0/24 gateway=10.17.1.1 pref-src=0.0.0.0 routing-table=main scope=30 \
suppress-hw-offload=no target-scope=10és mégsem tudom elérni a szerver oldaláról csak a routereket, az alattuk lévő hálózatot nem, azoknál ugyanez megvan visszafelé.
egész addig működött, míg csak egy peer volt, de akkor az allowed address 192.168.0.0/16 és 10.0.0.0/8 volt, így minden irányba működött minden.[ Szerkesztve ]
Gvella Glan! | There are two types of people: Those who can extrapolate from incomplete data
-
yodee_
őstag
Én teljesen elvesztettem a fonalat. Kérlek bennetek segítsetek nekem. A 13.0.2.0 azért van benn a listákban, mert néha telóról bemegyek vpn-en és hogy elérjek mindent. Vázolnám a helyzetet:
Wireguard szerver (hAP ac^2 13.0.1.1, PPPOE internet, xy.dyndns.org )
- wireguard1 peer:
- endpoint: xz.dyndns.org
- endpoint port: 13231
- allowed address: 13.0.3.0/24; 13.255.255.2/30
- wirgeuard2 peer:
- endpoint: xw.dyndns.org
- endpoint port: 13232
- allowed address: 13.0.4.0/24; 13.255.255.3/30IP -> Addresses:
13.255.255.1/30 | 13.255.255.0 | wireguard1
13.255.255.1/30 | 13.255.255.0 | wireguard2IP -> Routes:
- Static:
- 13.0.3.0/24 | wireguard1
- 13.0.4.0/24 | wireguard2
- Dynamic:
- 13.255.255.0/30 | wireguard1
- 13.255.255.0/30 | wireguard2Wireguard kliens 1(hAP ac^2 13.0.3.1, PPPOE internet, xz.dyndns.org)
- wireguard1 peer:
- endpoint: xy.dyndns.org
- endpoint port: 13231
- allowed address: 13.0.1.0/24; 13.0.4.0/24; 13.0.2.0/24; 13.255.255.1/30IP -> Addresses
- 13.255.255.2/30 | wireguard1IP -> Routes
- Static:
- 13.0.1.0/24 | wireguard1
- 13.0.2.0/24 | wireguard1
- 13.0.4.0/24 | wireguard1
- Dynamic:
- 13.255.255.0/30 | wireguard1Wireguard kliens 2(hAP ac^2 13.0.4.1, Yettel mobilnet bridge, xw.dyndns.org)
- wireguard1 peer:
-endpoint: xy.dyndns.org
-endpoint port: 13232
-allowed address: 13.0.1.0/24; 13.0.3.0/24; 13.255.255.1/30IP -> Addresses:
- 13.255.255.3/30 | 13.255.255.0 | wireguard1IP -> Routes:
- Static:
- 13.0.1.0/24 | wireguard1
- 13.0.2.0/24 | wireguard1
- 13.0.3.0/24 | wireguard1
- Dynamic:
- 13.255.255.0/30 | wireguard1Így rendben van minden és a tűzfal szivat vagy valamit elrontottam? A lényeg hogy az összes a routereken logó eszköz tud minden minden irányban pingelni, viszont a routerek nem tudják egymást. Erre pedig szükségem lenne a wireguard szkripthez amikor IP váltás van. Előre is köszönök mindent.
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
-
bacus
őstag
Sok l2tp-t használok, nekem stabil, nem számít a sebesség, mert nem nagy a forgalom, nekem a wireguard tűnik egyelőre kínszenvedésnek, mert ehhez frissítenem kellene minden ügyfélnél a mikrotiket egy egyenlőre még nem atom stabil verzióra, ezt még nem merem..
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
LógaGéza
addikt
Sajnos beszerezhetetlen az RB4011/RB5009, tudtok esetleg valamit ajánlani hasonló tudással?
Ez lenne a igény: [link]"Go to work, get married, have some kids, pay your taxes, pay your bills, watch your tv, follow fashion, act normal, obey the law, and repeat after me: I AM FREE"
-
ekkold
Topikgazda
válasz LógaGéza #16872 üzenetére
Pont ugyanolyat nehéz lenne ajánlani, de a következő lépés szerintem valamelyik CCR, csak az újonnan sokkal drágább. Használtban vettem CCR1009-et teljesítményre hasonló mint az RB5009. Ha viszont újat vennék akkor CCR2004-16G-2S+ ez utóbbi feltételezhetően elég sokáig ki tudná szolgálni az igényeket. Mindkettő kapható, csak az ára...:
[link - CCR1009]
[link - CCR2004] -
ekkold
Topikgazda
válasz Zwodkassy #16873 üzenetére
A félvezetőgyártásban már jó ideje hiány van, szinte mindenből, az elektronikai alkatrész árak megnégyszereződtek, a hiánycikkek pedig drasztikusan emelkedtek. Az összes népszerűbb Mikrotikből is hiány van már egy jó ideje - a drágábbak is inkább még raktárkészlet lehet, mert az kevésbé pörög - de várhatóan elfogynak majd azok is. A használt árak is mennek felfelé ennek megfelelően.
-
LógaGéza
addikt
válasz ekkold #16874 üzenetére
Sajna ez valóban nagy ugrás... Lehet elengedem az SFP+-t és veszek egy RB3011-et, gondolom erre a feladatra az is jó lesz - valamint még az kapható.
"Go to work, get married, have some kids, pay your taxes, pay your bills, watch your tv, follow fashion, act normal, obey the law, and repeat after me: I AM FREE"
-
Sikerült tegnap 7.1.5-re frissíteni. Eddig minden megy, ahogy kellene, viszont a statisztika (graphs) elmászott. Egy üres oldalt renderel helyette, linkek sincsenek, pedig korábban ott voltak és be van kapcsolva a logolás még mindig.
Másnak se megy?
Hogy hívják az éhes horgászt? Gyere Pista, kész a kaja!
-
ekkold
Topikgazda
válasz LógaGéza #16879 üzenetére
Jól működik az RB3011, de a gyakorlatban, egy 20eFt alatt megkapható hAPac2 procija is erősebb (lehet, hogy nem mindenben, de nagy átlagban mindenképpen). Persze pl. több port van rajta, de ha a nyers ár/teljesítmény viszonyt nézem akkor elavult tipus. Hosszú távra pedig nem vennék olyan eszközt ami már egy ideje elavult, és ezért új telepítésre nem is ajánlanám senkinek sem.
A Mikrotik gyakorlatilag az újabb processzorokkal szerelt routerekkel, saját magának csinált konkurenciát, konkrétan a hAPac2 megjelenése miatt, sok régebbi típus tekinthető elavultnak, mert sokkal rosszabb a rájuk jellemző ár/teljesítmény viszony.
Véleményem szerint az RB5009 is hasonló - bár még nem terjedt el nagyon, de lényegesen olcsóbb mint mondjuk egy CCR1009, teljesítményre meg alig van különbség, sőt azokban a feladatokban, amelyek nem oszthatók fel hatékonyan több processzormagra, még jobb is.[ Szerkesztve ]
-
ekkold
Topikgazda
válasz Reggie0 #16883 üzenetére
Nem tudom a VPN mennyire home kategória, de pl. a PPTP és a wireguard esetében is hasonló sebességre képes a két eszköz. A wireguard pedig teljesen prociból megy, a titkosítás szoftveres. Ez alapján proc teljesítményre nem lehet nagy különbség. A PPTP-esetében is hasonló volt a sebesség, itt az RB509 volt erősebb kicsivel. [link]
Biztos lehet olyan feladatot találni amiben a CCR erősebb, és valószínűleg fordítva is, amiben meg az RB5009 jobb (pl. a nehezen felosztható feladatok szinte biztosan jobban mennek, mert 1 mag teljesítménye több mint 2x akkora). -
ekkold
Topikgazda
válasz yodee_ #16869 üzenetére
Am i így elsőre feltűnik, hogy miért adsz azonos címet két különböző interfésznek:???
IP -> Addresses:
13.255.255.1/30 | 13.255.255.0 | wireguard1
13.255.255.1/30 | 13.255.255.0 | wireguard2
Aztán később ez szerepel:
IP -> Addresses
- 13.255.255.2/30 | wireguard1
Egy /30-as tartományban két használható IP lehet, a szerver és a kliens címe (a maradék kettő a broadcast, és a hálózati cím).
Tehát a két interfész nem is lehetne közös tartományban, ugyanolyan IP-je meg pláne nem lehetne. Ha meg egy interfészre menne több kliens akkor nem /30-as címtartomány kellene.
Ezen kívül már páran írták neked, és most én is:
A 13 kezdetű címek nem lokális [LAN] címek, normális hálózatban nem illik ilyet használni még akkor sem, ha egyébklént működik.
Tehát vagy a leírásod hibádzik valahol, és nem fedi a tényleges beállításokat, vagy ha mégis ilyen akkor nem csoda ha nem jól működik. -
ekkold
Topikgazda
válasz yodee_ #16869 üzenetére
Wireguard kapcsolat: az egyik amit használok fix IP-re csatlakozik, ez szinte soha nem szokott megszakadni. Egy másik egy NAT mögött levő eszköz, ráadásul gyakran elmegy a tápja... Erre kellett netwatch script - 5 percenként pingel, ha megszakadt a kapcsolat, akkor letiltja az interfészt, vár 3 másodpercet, majd visszakapcsolja. Ez megoldotta problémát. Itt van párhuzamosan PPTP kapcsolat is, ami stabil, csak nincs oda irányítva semmilyen adatforgalom, de szükség esetén bármikor használatba vehető.
-
yodee_
őstag
válasz ekkold #16890 üzenetére
Többször szóba került, hogy miért használok ilyen IP címet. Akkor is és most is csak azt tudom írni, hogy minden működik szóval miért ne. Amint gondom lesz belőle átállok. Az egész beállítást ez alapján csináltam. Mivel a leírásban csak 1 szerver-klinens kapcsolat van így a másodikat magamtól csináltam. Szóval akkor az 1-es interface tételezzük fel jó. Mi legyen a másodiknak a címe/tartománya? Mert teljesen belekeveredtem.
Honor Magic 6 Pro | Lenovo Thinkpad X280 | Lenovo Thinkcentre M800
-
bacus
őstag
válasz yodee_ #16891 üzenetére
"minden működik szóval miért ne"
Teljesen igazad van. Az autód gumijait leereszted 1 barral, minden működik ugyanúgy, akkor miért ne?!/30 -as hálóban négy cím van, te használod a 0,1,2,3 -t (ugye a 2 középső a hasznos), csak találsz még ilyet 255-ig..., de azért nem egymás után lévő 4 címet kell válassz, hanem sorban... tehát jó a 4,5,6,7 jó a 8,9,10,11 és így tovább.. és nem jó 18,19,20,21
Egyébként mennyire fájna a 13-t 10-re cserélni azokban az ip címekben?
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
-
senior tag
válasz Audience #16837 üzenetére
Na. Bekapcsoltam az egyik Miki switch-en a Multicast-Querier-t.
Cserébe. az egyik CRS326-24G-2S+ switch-re csatlakozó eszközök néha elérhetetlenné válnak.
Mondjuk PING-eled őket, és időnként, mondjuk 5-10 percenként, nem jön róluk válasz. Van, hogy csak néhány másodpercig, de van, hogy akár egy percig sem elérhetőek.
Belenéztem a LOG-okba, de nincs Interface Down/Up.
Bekapcsoltam ezeket is:
/system logging
add topics=igmp-proxy,info
add topics=igmp-proxy,debug
add topics=bridge,debug
add topics=bridge,info
Nem is volt ilyen jelzésű bejegyzés a LOG-ban. -
senior tag
/ip route rule
alatt miket tudok csinálni?
Bevallom őszintén, nem sok időt toltam még a kutatásba. -
Reggie0
félisten
válasz ekkold #16102 üzenetére
Szerintem te egy lassu CCR-en mertel, nem az 1.2GHz-esenl, mert ezen 800Mbit felett megy a wireguard meg natolva is nat nelkul pedig megvan a 900mbit is.(LAN-on tesztelve, smb fajl masolassal).
Az a nagy kulonbseg, hogy a ccr-ben networkinges a proci, azaz az osszes port prociba van bekotve es sok feladatot hardverbol helybol megold, emiatt gyorsabb tud lenni. Peldaul akarhany bridged lehet, mindegyik ugyan olyan gyors lesz, igy tetszoleges groupokba tudod a switch portokat osszehozni, mig a tobbi switch chipesen csak egyhez lesz hw offload. Igy ezt RB5009-en csak egy bridge-vel es layer2-es filteringgel tudod megoldani, de az elegge szukos, mert csak 256 elemet lehet a filter tablajaba rakni, ez a switch chip limitacioja.
Vagy peldaul a queue-kat is kb. ketszer gyorsabban kezeli. -
Reggie0
félisten
válasz ekkold #16894 üzenetére
Nezd ugy, hogy 2x25gbites halokartya helybol, aminek elegge olcso. Egy egyszeru 10gbites NIC is 100 dolcsirol indul boltban, ez meg 2x25 mindossze 200 dolcsiert.
Amugy arra jo, hogy ocska oprendszerrel is lehet jol tuzfalazni. Peldaul nyugodtan rakhatsz a gepre windowst, vagy az oprendszer tudta nelkul tudsz tunnelezni/vpnezni, ha megtorik a gepet a network meg vedett maradhat, stb., stb.. Vagy szinten oprendszer nelkul lehet failoverezni, load balancingolni a kartyaval. Eleg sok szituacio van amikor elonyos lehet egy ilyen felallas.
De ha azt nezzuk felaron kapsz egy CCR2xxx-es routert. Legtobb embernek csak az kell, hogy NAT-olja a WAN-t, majd filterezzen. Egy sokportos switch SFP+-os uplinkkel mehet bele ebbe es akkor nem kell azon fajjon a feje, hogy csak 16 portot kap maximum a CCR2004-ek melle.
[ Szerkesztve ]
-
Reggie0
félisten