-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Horvi
őstag
válasz Reggie0 #15607 üzenetére
Hozzáadtam ezeket mindkét oldalon de így sem jó. Elvégeztem egy kísérletet saját gépről a 192.168.10.15-s címről.
Tudtam pingelni a saját GW-t 192.168.10.1(nyílván ment )
Lehetett pingelni az itthoni router wireguard ipjét is a 10.10.10.2-t
Lehetett pingelni a remote router wireguard ipjét is a 10.10.10.1-t.
Viszont a remote oldali router GW címét a 192.168.1.1-et már nem.Viszont ha mikrotikből indítok pinget az nem működik mindig timeoutot dob.
Hello darkness, my old friend...
-
Horvi
őstag
válasz Reggie0 #15618 üzenetére
Az egy jó kör lesz akkor úgy érzem mivel még nem csináltam ilyet de próbálkozok majd.
Rosszul emlékszem, hogy /ip/firewall/filter add src-address= résznél meg lehetett adni dyndns címet is? Mert most próbáltam és sír miatta, hogy rendes IP-t vár.Egyelőre most úgy áll a dolog, hogy a ping hol megy hol nem:
[MikroTik] > ping 10.10.10.1 src-address=10.10.10.2
SEQ HOST SIZE TTL TIME STATUS
0 10.10.10.1 timeout
1 10.10.10.1 timeout
2 10.10.10.1 timeout
sent=3 received=0 packet-loss=100%
[MikroTik] > ping 10.10.10.1 interface=wireguard1
SEQ HOST SIZE TTL TIME STATUS
0 10.10.10.1 timeout
1 10.10.10.1 timeout
2 10.10.10.1 timeout
sent=3 received=0 packet-loss=100%
[MikroTik] > ping 10.10.10.1 src-address=192.168.10.1
SEQ HOST SIZE TTL TIME STATUS
0 10.10.10.1 56 64 5ms413us
1 10.10.10.1 56 64 5ms707us
2 10.10.10.1 56 64 8ms953us
sent=3 received=3 packet-loss=0% min-rtt=5ms413us avg-rtt=6ms691us
max-rtt=8ms953usA másik oldalról is így néz ki a ping(ping 10.10.10.2 src-address=192.168.1.1)
Szóval számomra úgy tűnik, hogy ott a wireguard interface címénél akad el a dolog.Hello darkness, my old friend...
-
Horvi
őstag
válasz Reggie0 #15620 üzenetére
Értem köszi. Akkor a leírás alapján hozzáadott input chain szabályom nem volt jó ott valami tök random IP volt ami nem egyezett a publikus címmel. Csináltam address listet mindkét routeren és azt adtam hozzá az input chain-hez.
Sajnos egyelőre így sem jó de nyomozom tovább. Hátha megtalálom hol veszik el a csomag.Hello darkness, my old friend...
-
Horvi
őstag
válasz Reggie0 #15622 üzenetére
Csak gondoltam kijavítom ha már észrevettem a dolgot, nehogy később ezen bukjak el
Most azt próbálom, hogy az itthoni mikrotik 10.10.10.2-es wg címéről pingelem a remote network 192.168.1.20-as címét és a remote mikrotiken nézem torch-al, hogy mi a helyzet a wg interfacen. Úgy tűnik, hogy a csomag átmegy:[ Szerkesztve ]
Hello darkness, my old friend...
-
Horvi
őstag
válasz Reggie0 #15624 üzenetére
Itt most arra gondolsz, hogy a remote oldalon meg kéne nézni, hogy az ottani wg címről elérhető-e a 192.168.1.20-as cím?
Ha a pingnél a 192.168.1.20-as címet pingelem a bridge interfaceről akkor jó. Ha ugyanezt a címet pingelem a wireguard interfaceről úgy már nem működik.Hello darkness, my old friend...
-
Horvi
őstag
válasz Reggie0 #15626 üzenetére
Csak most volt időm újra foglalkozni a dologgal. Ugye odáig jutottam a dologgal, hogy a torchal néztem a forgalmat és bejött a wg interfacen. A javaslatodra megnéztem a bridgen is a forgalmat és ott már nem láttam olyan csomagot ami a pinget indító IP címről származna.
Ha jól értem ezek szerint valamiért nem jó a forwarding és nem kerül át a csomag a bridge-re és onnan tovább a célba.Hello darkness, my old friend...
-
őstag
-
Horvi
őstag
válasz Reggie0 #15691 üzenetére
Na úgy néz ki megvan mi a gond, vagy is legalább is részben.
Van egy olyan szabály ekkold leírásában, hogy blacklistet hoz létre és a port scannereket meg a különböző behatolókat hozzáadja aztán a végén eldobja azokat a csomagokat. Úgy látszik, hogy a wireguard csomagok is felkerülnek a blacklistre és eldobja őket. Egyelőre még nem tudom miért kerülnek fel rá.
Ha kikapcsolom a "drop blacklist members" szabályt akkor egyből megy a ping.
Még próbálom kibogozni a dolgot de lassan a végére ér a nyomozás úgy érzem.[ Szerkesztve ]
Hello darkness, my old friend...
-
sanzi89
addikt
válasz Reggie0 #15748 üzenetére
Szóval egy gyárilag L3-mas eszközre tudok venni L4-es licenszt?
Még konkrétabban egy Mikrotik SXTsq Lite2-ra tudok CAPsMAN-t varázsolni?
Bár ennek meg 60° a sugárzási szöge, szóval a fenti feladatra, hogy egy kültéri általános AP-t csináljak belőle lehet nem is lenne jó, hiába a 2 vs 10 dBi-s antenna.
Azért a plusz 45 dollár már tétel ezen a szinten, de köszi az infót!
[ Szerkesztve ]
"Mindent azért kell tudni mert kérdezik, nem azért mert hasznos."
-
ekkold
Topikgazda
válasz Reggie0 #15765 üzenetére
Nincs nyitva az 53-as portom. Ezen kívül az 53-as portja jövő csomagok forráscíme automatikusan megy a feketelistára, onnantól pedig az adott forráscím számára semmilyen port nincs nyitva. Egyetlen kivétel lehet: ha fent vagy a fehérlistámon, de azon csak 3db cím van - tehát ahhoz ismernünk kellene egymást...
Tehát pl. a 80-as és a 443-as port nyitva van. De ha megnézed, hogy az 53-as, vagy éppen a 21-es port nyitva van-e, onnantól pl. már a 80-as is zárva lesz.[ Szerkesztve ]
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
ekkold
Topikgazda
válasz Reggie0 #15931 üzenetére
Azért a router konkrét típusától (ill az erőforrásoktól) is függhet, hogy mekkorára hagyja növekedni az ember ezt a listát.
Akár olyat is lehetne csinálni, hogy nagyon hosszú timeouttal kerül fel minden IP, de egy "takarító script" időnként letöröl a régiek közül annyit, hogy mondjuk csak a 200 legfrissebb maradjon meg.Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
yumme
csendes tag
válasz Reggie0 #15967 üzenetére
"- procibol megy a networking
- nincs switch chip"itt arra gondolsz, hogy RB5009 1x10G+8x1G az nem fér ki a 10G-n?
és hogy CCR1009-nél meg minden be van húzva a procihoz?Nem azért rakták RB5009-be a switch chip-et hogy valamit segítsen a dolgokon? vagy csak ezért mert RB5009-es procija valójában egy általános célú proci (SOC) és nem egy célhardware mint CCR1009 estében?
[ Szerkesztve ]
-
ekkold
Topikgazda
válasz Reggie0 #15993 üzenetére
Igen ezt az openvpn tudja, a PPTP és az L2TP csak adott porton megy. Régebben sokat kísérleteztem azzal, hogy áthelyezzem másik portra ez utóbbi kettőt, és nem sikerült stabilan működő megoldást készíteni. Viszont mióta bekerült a wireguard a mikrotikbe, rendszeresen használom, és eddig jók a tapasztalataim vele. Bár tagadhatatlan, hogy lenne még mit fejleszteni rajta - de végülis stabil, gyors, megbízható, és bármely porton használható.
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
őstag
-
őstag
-
őstag
-
ekkold
Topikgazda
válasz Reggie0 #16048 üzenetére
Vettem egy használt [CCR1009-7G-1C-PC] routert, majd ha rá tudok szánni egy kis időt tesztelem egy kicsit (esetleg magánban: mennyit érhet egy ilyen használt router?). Elvileg 9x1000MHz-es. Ez TILE TLR4-00980 processzor teljesítményben hogy viszonyul az RB5009 ARM64 4x1400MHz teljesítményéhez? Jelenleg az RB5009-et használom itthon élesben.
Megtetszett, hogy ez a CCR passzív hűtésű, és ezért teljesen hangtalan.[ Szerkesztve ]
Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
ekkold
Topikgazda
válasz Reggie0 #16075 üzenetére
Kisérleteztem egy kicsit. PPTP-vel, majd Wireguard-al kapcsolódtam helyben az RB5009-hez , majd a CCR1009-hez. A sebességet a speedtest.net-hez kapcsolódva mértem, böngészőben. Ez annyiból "igazságtalan", hogy a routereknek NAT-olni is kellett a mérés közben, ill az RB5009-nek a PPPOE-t és a tűzfalszabályokat is kezelnie kellett közben, és a fasttrack is aktív volt.
A kliens mindegyik mérésnél asztali PC volt.
Letöltési sebességek, speedtest.net-el mérve:
PPTP RB5009:608Mbps CCR1009: 540Mbps
Wireguard: RB5009:557Mbps CCR1009: 598MbpsTehát ezzel a méréssel a két router teljesítménye igencsak hasonló.
Érdekes, hogy a kisebb routereken a wireguard jóval gyorsabb mint a PPTP, ezeken viszont nem jelentős a különbség.
Mivel korábban felvetettem válaszolok magamnak RB5009 vs CCR1009
RB5009
- új modell, modern processzor,
- kevesebb maggal tudja ugyanazt a teljesítményt, a nem osztható feladatokban jobb lehet
- kevesebb energiafogyasztás (valószínűleg)
- 2,5Gbps rezes port
- fizikailag kicsi méret
CCR1009:
- profi/ipari kivitelű fém ház,
- profi hőcsöves hűtés (nyilvánvaló hogy ez iparibb kivitel, az RB5009 a teljesítménye ellenére inkább soho/home router)
- kiforrott, nagy teljesítményű 9 magos processzor típus,
- minden port közvetlenül a processzorhoz "huzalozva", nincsenek switch chipből eredő korlátok
- soros konzol
- fizikailag ez is kicsi, de az RB 05u magasságához képest ez 1u magas
- iparibb kivitelre jellemzően több dolog monitorozható, pl. CPU hőmérséklet, belső hőmérséklet, tápfeszültség, áram és teljesítmény felvétel,Eladó: https://www.hobbielektronika.hu/apro/apro_159350.html
-
őstag
-
-
bacus
őstag
válasz Reggie0 #16177 üzenetére
Pont a ros erőforrás igénytelensége miatt szeretném, egy rendes linuxhoz több memória, háttértár kell, ezért a havi díja is jóval magasabb.
Kizárólag a fix IP cím a fontos, új ügyfeleknek szeretnék elérési pontot csinálni (új vpn, web szerver, pl), amit azután beforwardolok a meglévő szervereimre. Nem szeretném ha ütközés lenne a mostani portokkal. A havi 1500 Ft sokkal olcsóbb, mint ha az internet szolgáltatómtól tudnék még egy fix IP címet kérni. (amit szerintem nem is lehet - telekom vagy digi optika)
15 éve ajánlgatták, hogy megvehetnék egy 256 címből álló tartományt, nem is volt megfizethetetlenül drága, csak akkoriban nem tudtam elképzelni sem, minek kellene ez nekem, mit kezdjek vele. Ejj, ha vissza tekerhetném az idő kerekét..
Audience: egyszer már ajánlotta valaki - tesztként nekifutottam, de elakadtam valahol, még a saját magánfiókomban próbáltam, azóta is küldi a 0 EUR-ról a számlát, meg az egyéb leveleit, hogy pl lejárt a hozzá csatolt bankkártyám, stb. Nekem az azure bonyolult volt és a 10 dollár meg drágább is (pont 2x annyi jelenleg), mint a megrendelt (de még nem működő) szolgáltatás. Ha ez beindulna, nyilván utána már nem kell állandóan telepítgetni, csak fizetni a díjat, vélhetőleg elég lenne, de az indulás itt sem megy simán.
A cégemnek nincs bankkártyája és nem is szeretném hogy legyen.Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
bacus
őstag
válasz Reggie0 #16180 üzenetére
Lemondtam a szolgáltatást (rackoo.net), nem tudom ajánlani. Egyszemélyes vállalkozás, család, kft, főiskola diploma írás mellett nincs ideje.
Mai válaszából kiderült, hogy scsi diskre volt állítva a disk típusa amit a mikrotik nem támogatott, átállította IDE diskre, ettől ugyan működött, de nem CHR licenszet telepített, hanem egy x86-os változatot. Ennek a free licensze (amit külön kell igényelni), nem ugyanaz, mint a CHR free licensze. Minden bootoláskor a lemezről akart bootolni, console indít, majd boot menü, átállítani honnan bootoljon, stb, elegem lett. Ez nem szolgáltatás.Viszont kicsit tovább kutatva (vps4you.hu) találtam ezt, ahol 5 perc alatt a legfrissebb CHR ketyegett. Van 3 nap demo, amikor kipróbálhatod.
Ez kb ugyanaz, mint amit te vettél az ATW.nél. Nekem a mikrotik egyszerűbb, mint ugyanezt egy linuxon konfigurálni, évi bruttó 10e forint körüli összegért kényelmesebb lesz az életem.A mikrotik tanfolyamaim miatt egyébként is van 4 licenszem, most egyet felhasználok ha a sebesség is szempont lesz.
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
-
bacus
őstag
válasz Reggie0 #16182 üzenetére
Egyenlőre egy dolgot találtam, amit nem is értek. l2tp ipsec a CHR és bármelyik mikrotik között nem megy, ami azért érthetetlen, mert az itthoni routerrel sem megy, miközben a mögötte lévő notebookról meg igen. (nem egyszerre).
Próbáltam fordítva is, azaz hogy a CHR a kliens, de pont ugyan ez a helyzet.
Elvileg nincs limitáció, de mégsem megy. IPSEC-t kikapcsolva az l2tp tökéletesen működik.
Igen, sajnos ez is egyéni vállalkozás, írtam egy support jegyet, de semmi válasz fél nap után sem Itt a számlázás lesz érdekes, mert utalni egy kft részére kell, nem az EV részére.
[ Szerkesztve ]
Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30
Új hozzászólás Aktív témák
- OTP Bank topic
- Kerékpárosok, bringások ide!
- BestBuy topik
- Milyen asztali médialejátszót?
- Xiaomi smart home / Xiaomi okos otthon
- World of Tanks - MMO
- sziku69: Fűzzük össze a szavakat :)
- Vodafone otthoni szolgáltatások (TV, internet, telefon)
- Kedvenc zene a mai napra
- Székesfehérvár és környéke adok-veszek-beszélgetek
- További aktív témák...
- IBM Lenovo ThinkPad 20V 4.5A 65 és 90W gyári töltő
- HP laptop töltő, eredeti, 65W
- 4GB DDR3 PC3 PC3L 1600MHz 1333MHz RAM memória LAPTOP -ba eladó
- Dell Optiplex 7070 SFF: Az igazi kis erőgép: i7 8700, 32GB RAM, 512GB SSD, 2xDP+HDMI+USB-C, Win11Pro
- Dell Optiplex 7070 SFF:A tökéletes irodai/otthoni PC:i5 8500,16GB RAM,256GB SSD,2xDP+HDMI+USB-C,Win
Állásajánlatok
Cég: Alpha Laptopszerviz Kft.
Város: Pécs
Cég: Ozeki Kft.
Város: Debrecen