Hogyan lehetséges az, hogy egy action=accept input firewall rule counter-je növekszik (elfogadja a csomagokat), de ennek ellenére az összes ping timeout-os lesz?
Ide töltöttem föl róla egy videót: https://www.youtube.com/watch?v=dWtVSEqPvDs
Eredetileg a hivatalos MikroTik fórumon kérdeztem meg itt: https://forum.mikrotik.com/viewtopic.php?p=914314#p914314 de az utóbbi egy hónapban semmiféle értelmes válasz nem érkezett rá.
- 2194 megtekintés
Hozzászólások
Dobj rá egy log actiont. Elmondja mi baja. Mangle témából nem vagyok rutinos. Gyanítom valamerre elkóricál a csomag végül. A log ilyenkor sokat segít.
- A hozzászóláshoz be kell jelentkezni
Elkóricál? :-) Ez nem segít. :-)
- A hozzászóláshoz be kell jelentkezni
Tipikus hiba szokott lenni, hogy a ping eljut a routerig, de a válasz már nem jut vissza oda ahonnan indították. Szóval ahonnan pingetsz az viszont tudod pingetni a routerből ?
Fedora 41, Thinkpad x280
- A hozzászóláshoz be kell jelentkezni
Esetleg egy "/ip route print" hasznos lenne.
- A hozzászóláshoz be kell jelentkezni
Az a bizonyos accept rule a válasz csomagra vonatkozik. A válasz visszatért, és az accept rule elfogadta. Szóval nem routing hiba.
Egyébként az ip route print önmagában nem hasznos, mivel ez egy ipsec tunnelen megy ki, és azon is jön vissza. De ez mind nem számít, mivel a válasz visszajön. Akárhol nézem a csomagokat, a kifelé menő része is jó meg a visszatérő része is. Szóval a route nem rossz.
- A hozzászóláshoz be kell jelentkezni
Side note: a packet sniffer nem jelzi ki a visszatérő csomagokat, de föl lettem világosítva arról, hogy ez azért van, mert a bridge-ben hw=yes van beállítva. Ettől függetlenül a csomag megérkezik, ezt a filter rule counter bizonyítja. A counter figyelése helyett persze lehetne log action-t is használni, de ez tökmindegy. A lényeg hogy a csomag megérkezik, és az accept rule lefut rá. Mégis timeout.
- A hozzászóláshoz be kell jelentkezni
Ha valakinek nem lenne még teljesen világos: a ping parancs és az accept filter ugyan azon a router-en van! A filter rule az icmp response-ra vonatkozik.
- A hozzászóláshoz be kell jelentkezni
Csak hogy teljes legyen a kép:
/tool sniffer
set filter-ip-address=192.168.19.254/32,192.168.14.254/32 filter-ip-protocol=icmp
startMásik terminálból:
ping 192.168.19.254 count=1és végül a sniffer ezt fogta:
[gandalf@router.lacinet] /tool sniffer packet> /tool sniffer packet
[gandalf@router.lacinet] /tool sniffer packet> print detail
0 time=2.815 num=1 direction=rx src-mac=00:01:5C:AB:A6:45 dst-mac=B8:69:F4:09:BE:F9 interface=ether5-wan
src-address=192.168.19.254 dst-address=192.168.14.254 protocol=ip ip-protocol=icmp size=70 cpu=0 fp=no ip-packet-size=56
ip-header-size=20 dscp=0 identification=16593 fragment-offset=0 ttl=64
Szóval a kimenő csomag nem látszódik benne (állítólag a hw offload miatt), de a bejövő az igen. A csomag visszaérkezik, és az input chain-ben az accept rule elfogadja. Ezek szerint a routing jó (máskülönben nem jönne vissza a válasz), és a firewall is jó (máskülönben az accept rule counter-je nem növekedne). Ennek ellenére timeout lesz belőle.
A korábban említett hivatalos MikroTik-es fórumban sindy azt írta, hogy ezt esetleg akkor tudná elképzelni, ha valami miatt az ICMP csomag ID mezője megváltozott volna (a kiküldött és bejövő között). De ez csak azt tudná megmagyarázni, hogy az ICMP miért nem működik. Viszont ez a probléma nem csak ICMP-re áll, hanem mindenre. (UDP/53 DNS, TCP/22 ssh stb.)
Szóval nem értem mi van.
- A hozzászóláshoz be kell jelentkezni
Honnan tudod, hogy az a csomag tényleg az icmp reply?
- A hozzászóláshoz be kell jelentkezni
Megnéztem raw packet snifferrel is.
- A hozzászóláshoz be kell jelentkezni
Egyébként meg mégis mi más lenne? Kiküldök egy ICMP request-et, és ami bejön arról tudjuk hogy ICMP, és arról a címről jön... Igazad van nem írtam bele a type-ot, de közben raw packet-et is néztünk. (Közben a másik fórum is beindult, egy hónap után.)
Ez a kimenő:
08 55 31 E7 F3 6B 00 01 5C AB A6 45 08 00 45 00 00 38 61 3A 00 00 FF 01 B6 3D C0 A8 0E FE C0 A8 13 FE 08 00 D0 11 98 00 2D 05 AD DD AF AA 03 8C 8D 5A 31 90 19 E8 A6 C2 A9 01 A7 69 6C AB FD 11 D6 17 09 10 E8 ED
Ez a bejövő:
B8 69 F4 09 BE F9 00 01 5C AB A6 45 08 00 45 00 00 38 40 C8 00 00 40 01 95 B0 C0 A8 13 FE C0 A8 0E FE 00 00 D8 11 98 00 2D 05 AD DD AF AA 03 8C 8D 5A 31 90 19 E8 A6 C2 A9 01 A7 69 6C AB FD 11 D6 17 09 10 E8 ED
Ide https://hpd.gasmi.net/ beilleszted őket és látod hogy a kimenő az ICMP request a bejövő az ICMP reply, egyezik az id és a sequence number is.
- A hozzászóláshoz be kell jelentkezni
Az hogy lehet, hogy mindkettő forrás MAC címe ugyanaz?
- A hozzászóláshoz be kell jelentkezni
Fogalmam sincs, ezt eddig nem vettem észre. Valószínűleg ahhoz van köze, hogy ez egy IPSEC-ből kicsomagolt csomag, és a valóságban soha nem lett belőle ethernet frame. Gondolom a RouterOS generálta (de ez csak egy sejtés)
- A hozzászóláshoz be kell jelentkezni
Nem csak filter táblák léteznek. Nézd meg a mangle/NAT táblákat is hogy ott mi történik a csomaggal.
Fejből nem vágom a mikrotik packet flowt, de van rá gyönyörű gráf, nézd meg mi lehet az inout chain és a userspace között még.
Valamint - amint már sokan írták - tegyél rá logot és nézd meg mit logol le.
Közben látom hogy elég bonyolult routingod is van, különösen az ipsec miatt. Nézd meg az rp_filtert is, hátha nem arról jön a csomag amerről várja.
- A hozzászóláshoz be kell jelentkezni
> Nem csak filter táblák léteznek. Nézd meg a mangle/NAT táblákat is hogy ott mi történik a csomaggal.
Semmi nem történik vele. Ha megnézed a RouterOS packet flow diagramot ( https://wiki.mikrotik.com/wiki/Manual:Packet_Flow#Routing_Diagram ) akkor azt látod, hogy a dst-nat van a prerouting-ban az scr-nat pedig a postrouting-ban. Namost nekem dst nat szabályom az nincs, az src-nat -ba meg már nem jut el az ICMP reply, mivel a postrouting-ba se jut el. (A routing processz routing decision rész nem a forward hanem az input chain felé irányítja, és onnan már sosem megy bele a postroutingba, tehát az src-nat -ba se.)
Az eredetileg küldött videón meg az látszódik, hogy a szokásos TCP MTU clamp mangle rule-okon felül csak az az egy szál mangle rule van ami action=passthrough, és az is csak azért hogy lehessen látni hogy beérkezett-e a válasz csomag. És hát igen, beérkezik.
- A hozzászóláshoz be kell jelentkezni
Reverse path filteringed van? Ha van akkor egy teszt erejéig kapcsold ki, nézd meg segít-e.
Amit szintén nem tudok kibogozni az adataidból hogy az icmp reply ipsec tunnellen át érkezik-e, és ha igen akkor a külső vagy a belső packetet fogja meg az input accept szabályod? Mert ha a külsőt akkor az mégegyszer visszamegy preroutingba.
A másik pedig hogy az input fw rule után még jön a queuing, ami bár nem tűzfal de szintén lehetősége van eldobálni packetet. Nincs esetleg valamilyen simple queue vagy queue tree beállításod ami hibás lehet?
- A hozzászóláshoz be kell jelentkezni
Reverse path filtering nincs bekapcsolva. (rp-filter). Eredetileg be volt, de ha kikapcsolom akkor se működik.
>Amit szintén nem tudok kibogozni az adataidból hogy az icmp reply ipsec tunnellen át érkezik-e
IGEN
> és ha igen akkor a külső vagy a belső packetet fogja meg az input accept szabályod?
BELSŐT, az ipsec tunnel WAN kapcsolaton keresztül van fölépítve, az összes 192.168.0.0/16 cím belső cím. A ping forrás oldala a 192.168.14.0/24 hálózaton van, ami az ottani management vlan. A cél oldala meg a 192.168.19.0/24 hálózaton ami szintén az ottani management vlan.
Egyébként kicsomagolás előtt ez a rule nem tudná megfogni, mert kicsomagolás előtt ez nem egy icmp csomag hanem egy ipsec csomag...
- A hozzászóláshoz be kell jelentkezni
Egy nagyon halvány ötlet: ha egy interfészre bejön egy csomag, de nem megy tovább az alkalmazás socketjére, akkor talán az a baja, hogy rossz interfészre megy, és eldobja a kernel, nem? Kizárásos alapon, olyan sok helyen már nem veszhet el az a csomag.
- A hozzászóláshoz be kell jelentkezni
Konkrétan így jön be az IPSEC csomag:
1. physical interface in ether5-wan (protocol=ipsec, a cél címe most még a router WAN címe)
2. in interface bridge port? -> no
3. mpls present -> no
4. ip4 traffic -> yes
5. decapsulate? -> yes
ekkor megy be a routing-ba:
6. prerouting
7. routing decision
8. input
9. ipsec policy = yes
10. ipsec descryption - itt lesz IPSEC-ből ICMP csomag, ez a routing-on belül marad (RouterOS-ben az IPSEC nem használ interface-t!)
11. prerouting chain - most már ICMP csomagként, ez az első hely ahol a cél címe 192.168.19.254, itt megy rá a példa mangle rule-ra
12. routing recision (itt rájön hogy a saját címe)
13. input chain - és itt megy rá a példa input rule-ra
Ezek után itt KELLENE folytatnia:
14. ipsec policy=no
15. itt távozik a "J" kimeneten a routing-ból
16. decapsulate? = no
17. local-in interface
18. router processes
A tizenharmadik pontig 100% hogy így van, mert a rule counter-ből látszódik, hogy odaért. A tizennegyedik ponttól kezdve semmit nem látunk, de az már a routin UTÁN van, szerintem ezen a ponton már semmiféle logging meg filtering nem segít.
- A hozzászóláshoz be kell jelentkezni
Próbáld meg a pinget különböző interfészekről indítani.
- A hozzászóláshoz be kell jelentkezni
Ezt hogy képzelted? A ping-nél nem lehet forrás interface-t megadni, csak forrás címet.
- A hozzászóláshoz be kell jelentkezni
https://wiki.mikrotik.com/wiki/Manual:Tools/Ping
interface (string; Default: ) Which interface to use (required when pinging IPv6 address)
De az src-address is segíthet.
- A hozzászóláshoz be kell jelentkezni
Hát itt konkrétan nekem az interface az az "ipsec" nevű bridge, de a csomag soha nem jut el arra az interface-re. Ez azért van, mert az IPSEC implementáció RouterOS-ben egyáltalán nem használ interface-eket. A csomag még azelőtt enkapszulálva lesz mielőtt elérné az interface-t. Egyébként meg azt már többször írtam hogy a csomag elmegy, és a válasz vissza is érkezik. Szóval ez zsákutca.
- A hozzászóláshoz be kell jelentkezni
mielőtt zsákutcának érzed, azelőtt -kérlek- próbáld már ki a pinget úgy, a forrás címet definiálod olyan módon, hogy az a policy-nak megfeleljen. Köszi!
- A hozzászóláshoz be kell jelentkezni
Az ötös pont az nincs, azt elírtam.
- A hozzászóláshoz be kell jelentkezni
Mondjuk LEHET, hogy nem teljesen értetted meg a kérdést. A problémás kommunikáció két mikrotik router között van. Szóval nincs olyan hogy "az alkalmazás socket-je". Olyan se lehet hogy "rossz interface-re megy", mivel a filter counter bizonyítja hogy az input chain-be ment, és onnan csak a local-in nevű interface-re tud menni, sehová máshová. ( https://wiki.mikrotik.com/wiki/Manual:Packet_Flow )
- A hozzászóláshoz be kell jelentkezni
Laptopot ugyanerre a kábelre rádugva gondolom tudod pingelni. Ha nem tetted eddig, érdemes meggyőződni róla.
Lehet hogy egy /export (xxxxx-re cserélve a bizalmas részeket) sokat segítene a fórumolvasóknak a tippelgetésben.
- A hozzászóláshoz be kell jelentkezni
A másik fórumból ki lehet olvasni de beküldhetem ide is... Ami a "laptopos" kérdésedet illeti: ha a helyi hálóból, router-en kívülről (pl. 192.168.14.100 -ról) próbálom meg elérni a távoli router-t (192.168.19.254), akkor az sikerül. Az is az ipsec tunnel-en megy át, de ott a válasz nem input chain-be megy, hanem forward-ba. NAT szabályok arra se futnak le.
Szóval igen, az működik! Minden megy ami forward-ot használ, és semmi nem megy ami input-ot használ. De ez csak erre az egy ipsec tunnel-re igaz. Van fölépítve teljesen azonos módon másik 2 tunnel, és azoknál nincs ilyen hiba.
Ráadásul néha (naponta néhány percre) elő szokott fordulni, hogy ez is működik. Mindenféle config módosítás nélkül egyszercsak elkezd működni, és néhány percig használható. Utána megint elromlik. Próbáltam router-eket újraindítani, de úgy tűnik hogy semmi köze nincs az újraindítás időpontjához. (Ha újraindítom az nem javítja meg.)
- A hozzászóláshoz be kell jelentkezni
Mindenféle config módosítás nélkül egyszercsak elkezd működni, és néhány percig használható.
ARP tábla mit mondd ? Ilyet akkor láttam, ha IP ütközés, mac utközés stb fordult elő a hálózaton. Fentebbi sniffer csomagnál is mondták, hogy egyforma a forrás mac stb.
Elképzelhető, hogy valami már az alapoknál nem klappol, bár a hálózati topologia, és a konfigok nélkül találgatás lesz, de abból jó sok :D
Fedora 41, Thinkpad x280
- A hozzászóláshoz be kell jelentkezni
MAC cím ütközés csak L2 hálózaton belül fordulhatna elő. Itt nem erről van szó. Az összes IPSEC csomag jól működik, a dekapszuláció is jó. Egyedül az nem jó, hogy a router-nek szóló dekapszulált IP csomagok "elvesznek". De a dekapszulált IP csomagoknak nincs is MAC címe. Szerintem a packet sniffer csak azért rakott bele forrás MAC címet, mert anélkül nem tudna raw ethernet frame-eket dump-olni.
- A hozzászóláshoz be kell jelentkezni
A két router között egyik irányból se megy a ping ?
Fedora 41, Thinkpad x280
- A hozzászóláshoz be kell jelentkezni
Egyik irányból se megy. De ha nem router-router között nézem, akkor megy.
Ezek mennek:
* gép -> LAN -> router1 -> (IPSEC) -> router2
* gép -> LAN -> router2 -> (IPSEC) -> router1
* gép -> LAN -> router1 -> (IPSEC) -> router2 -> LAN -> gép
* gép -> LAN -> router2 -> (IPSEC) -> router1 -> LAN -> gép
Kizárólag ez nem megy:
* router1 -> (IPSEC) -> router2
* router2 -> (IPSEC) -> router1
- A hozzászóláshoz be kell jelentkezni
Ja és itt SEHOL nincs NAT-olás!
- A hozzászóláshoz be kell jelentkezni
csak kérdem, hogy a routerX -> (IPSEC) -> routerY viszonylatban úgy pingelsz, h simán kiadod a ping parancsot a cél megadásával,vagy
definiálod az src-ip -t is, mégpedig úgy, hogy az a policy-ban meghatározott hálózaton belül legyen?
Mert előbbi eset NEM JÓ (több soron le van írva minden manualban, az a default gw-n szeretne kimenni, nem a policy használatával, teljesen jogosan).
Ha a 2. esetben megfelelően definiálod az src ip-t (és "jó" dst ip-t pingelsz) - és megy a ping, akkor minden frankó, csak Te nem tudtad használni.
- A hozzászóláshoz be kell jelentkezni
> Ha a 2. esetben megfelelően definiálod az src ip-t (és "jó" dst ip-t pingelsz) - és megy a ping, akkor minden frankó, csak Te nem tudtad használni.
Mondod ezt Te látatlanban úgy, hogy el se olvastad a konfigokat. :-D
Te biztos nagyon okos vagy, de a tények ismerete nélkül egész biztos nem fogsz tudni segíteni.
1. A forrás cím ( pref-src ) a /ip route -ban van megadva. De ezt meg is nézhetted volna, mert már elküldtem az egész konfigot. De erre nem vetted a fáradságot.
2. Ha nem lenne megadva a pref-src se a route-ban se a ping parancsban, akkor se a default gw-n akarna kimenni, mert erre a célra van létrehozva egy külön blackhole bridge a konfigban. De természetesen ezt se nézted meg.
3. Ezek után ideírod hogy "le van írva a manualban hogy a default gw-n szeretne kimenni". Anélkül hogy legalább egy linket küldenél arra a konkrét manual-ra amire hivatkozol. De amúgy ilyet nem írnak le semmiféle manual-ban, mert az a route táblázattól (is) függ hogy melyik csomag hol akar kimenni.
Összefoglalva:
* nem olvastad el a hibajelenség leírását amiből már világosan látszódik, hogy a csomag nem csak hogy elment, hanem már a válasz is visszajött (tehát a route nem lehet rossz)
* nem nézted meg a konfigot amit küldtem, különös tekintettel a pref-src beállításra, de mégis azt állítod hogy az a hiba
* és a végén azt állítod, hogy "Te nem tudtad használni".
- A hozzászóláshoz be kell jelentkezni
szuperül levezetted, hogy én vagyok a hülye.
Azért kérlek, megtennél annyit, hogy kiadod a megfelelő parancsot, majd megosztod velünk ezt és az eredményét is?
- A hozzászóláshoz be kell jelentkezni
Nem személyeskedtem. Csak a tényeket írtam le.
Ha számodra nem elég bizonyíték az, hogy a válasz csomag visszaérkezett (hex dump-pal bizonyítva), és még mindig azt hiszed hogy a route a rossz, akkor tőled nem várok segítséget.
- A hozzászóláshoz be kell jelentkezni
Azért, ha szépen megkérlek, mégis kipróbálnád a pinget azon módon, ahogy írtam?
- A hozzászóláshoz be kell jelentkezni
Én is ugyanezt írtam: https://hup.hu/comment/2746590#comment-2746590
- A hozzászóláshoz be kell jelentkezni
reméljük, emberünk hajlandó lesz kipróbálni a pinget úgy, ahogy azt kell IPsec tunnel esetén (ne csak a cél IP legyen a tunnel remote oldalán belül, hanem a forrás IP is legyen a tunnel-ben. (local oldali)
https://www.informaticar.net/how-to-establish-site-to-site-vpn-with-mik…
Még egy fontos dolog, ami kell az IPSec site2site-hoz: (lásd fenti link) mindkét oldalon a NAT szabályok közé kell egy ACCEPT "kivételt" tenni, érdemes "legfelülre". Persze, lehet, hogy ott van, csak én siklottam át felette - bocs, de nem fogom más hosszú konfigját elemezgetni, pláne ingyen.
- A hozzászóláshoz be kell jelentkezni
Tessék, itt van az első router ahonnan a ping indul:
# jan/16/2022 12:46:02 by RouterOS 6.48.5
# software id = R847-LG5N
#
# model = RBD52G-5HacD2HnD
# serial number = *************
/caps-man channel
add band=2ghz-onlyn extension-channel=XX frequency="" name=channels-2.4 \
secondary-frequency="" tx-power=-10
add band=5ghz-onlyac extension-channel=XXXX frequency="" name=channels-5 \
secondary-frequency="" skip-dfs-channels=yes tx-power=15
add band=2ghz-onlyn extension-channel=XX frequency=2412 name=c24-1 tx-power=\
-10
add band=2ghz-onlyn extension-channel=XX frequency=2437 name=c24-6 tx-power=\
-10
add band=2ghz-onlyn extension-channel=XX frequency=2462 name=c24-11 tx-power=\
-10
/caps-man datapath
add local-forwarding=yes name=datapath-blue vlan-id=10 vlan-mode=use-tag
add local-forwarding=yes name=datapath-green vlan-id=20 vlan-mode=use-tag
add local-forwarding=yes name=datapath-red vlan-id=30 vlan-mode=use-tag
add local-forwarding=yes name=datapath-cyan vlan-id=40 vlan-mode=use-tag
add local-forwarding=yes name=datapath-base vlan-id=99 vlan-mode=use-tag
/interface bridge
add frame-types=admit-only-vlan-tagged ingress-filtering=yes name=BR1 \
vlan-filtering=yes
add name=ipsec protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] name=ether1-trunk
set [ find default-name=ether2 ] name=ether2-gray
set [ find default-name=ether3 ] name=ether3-gray
set [ find default-name=ether4 ] name=ether4-lte
set [ find default-name=ether5 ] name=ether5-wan
/interface wireless
# managed by CAPsMAN
# channel: 2437/20-Ce/gn(-13dBm), SSID: base, local forwarding
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
amsdu-limit=4096 band=2ghz-onlyn basic-rates-a/g=12Mbps basic-rates-b="" \
country=hungary disabled=no distance=indoors frequency=2437 mode=\
ap-bridge rate-set=configured ssid=lacinet_24 station-roaming=enabled \
supported-rates-a/g=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps \
supported-rates-b="" tx-power-mode=all-rates-fixed wireless-protocol=\
802.11 wps-mode=disabled
# managed by CAPsMAN
# channel: 5300/20-eeCe/ac/DP(12dBm), SSID: base, local forwarding
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode \
amsdu-limit=4096 band=5ghz-onlyac basic-rates-a/g=12Mbps,36Mbps,48Mbps \
channel-width=20/40mhz-Ce country=hungary disabled=no distance=indoors \
mode=ap-bridge ssid=lacinet_5 station-roaming=enabled \
supported-rates-a/g=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps \
tx-power-mode=all-rates-fixed wireless-protocol=802.11 wps-mode=disabled
/interface vlan
add interface=BR1 name=BASE_VLAN vlan-id=99
add interface=BR1 name=BLUE_VLAN vlan-id=10
add interface=BR1 name=CYAN_VLAN vlan-id=40
add interface=BR1 name=GREEN_VLAN vlan-id=20
add interface=BR1 name=HALL_VLAN vlan-id=200
add interface=BR1 name=RED_VLAN vlan-id=30
/caps-man rates
add basic=12Mbps name=rates-2.4 supported=\
12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
add basic=12Mbps name=rates-5 supported=\
12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm name=\
security-blue
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm name=\
security-green
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm name=\
security-cyan
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm name=\
security-red
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm name=\
security-base
/caps-man configuration
add channel=channels-5 country=hungary datapath=datapath-blue installation=\
any name=caps-blue-5 rates=rates-5 security=security-blue ssid=blue
add channel=channels-2.4 country=hungary datapath=datapath-blue installation=\
any name=caps-blue-2.4 rates=rates-2.4 security=security-blue ssid=blue
add channel=channels-2.4 country=hungary datapath=datapath-green \
installation=any name=caps-green-2.4 rates=rates-2.4 security=\
security-green ssid=green
add channel=channels-5 country=hungary datapath=datapath-green installation=\
any name=caps-green-5 rates=rates-5 security=security-green ssid=green
add channel=channels-5 country=hungary datapath=datapath-red installation=any \
name=caps-red-5 rates=rates-5 security=security-red ssid=red
add channel=channels-2.4 country=hungary datapath=datapath-red installation=\
any name=caps-red-2.4 rates=rates-2.4 security=security-red ssid=red
add channel=channels-2.4 country=hungary datapath=datapath-cyan installation=\
any name=caps-cyan-2.4 rates=rates-2.4 security=security-cyan ssid=cyan
add channel=channels-5 country=hungary datapath=datapath-cyan installation=\
any name=caps-cyan-5 rates=rates-5 security=security-cyan ssid=cyan
add channel=channels-2.4 country=hungary datapath=datapath-base hide-ssid=yes \
installation=any name=caps-base-2.4 rates=rates-2.4 security=\
security-base ssid=base
add channel=channels-5 country=hungary datapath=datapath-base hide-ssid=yes \
installation=any name=caps-base-5 rates=rates-5 security=security-base \
ssid=base
/caps-man interface
add channel=c24-11 configuration=caps-base-2.4 disabled=no l2mtu=2026 \
mac-address=48:8F:5A:A1:AB:30 master-interface=none name=orange.lacinet-1 \
radio-mac=48:8F:5A:A1:AB:30 radio-name=488F5AA1AB30
add configuration=caps-blue-2.4 disabled=no l2mtu=1600 mac-address=\
4A:8F:5A:A1:AB:30 master-interface=orange.lacinet-1 name=\
orange.lacinet-1-1 radio-mac=00:00:00:00:00:00 radio-name=4A8F5AA1AB30
add configuration=caps-green-2.4 disabled=no l2mtu=1600 mac-address=\
4A:8F:5A:A1:AB:31 master-interface=orange.lacinet-1 name=\
orange.lacinet-1-2 radio-mac=00:00:00:00:00:00 radio-name=4A8F5AA1AB31
add configuration=caps-red-2.4 disabled=no l2mtu=1600 mac-address=\
4A:8F:5A:A1:AB:32 master-interface=orange.lacinet-1 name=\
orange.lacinet-1-3 radio-mac=00:00:00:00:00:00 radio-name=4A8F5AA1AB32
add configuration=caps-cyan-2.4 disabled=no l2mtu=1600 mac-address=\
4A:8F:5A:A1:AB:33 master-interface=orange.lacinet-1 name=\
orange.lacinet-1-4 radio-mac=00:00:00:00:00:00 radio-name=4A8F5AA1AB33
add channel.extension-channel=XXXX channel.frequency=5200 comment=ch40 \
configuration=caps-base-5 disabled=no l2mtu=1600 mac-address=\
48:8F:5A:A1:AB:31 master-interface=none name=orange.lacinet-2 radio-mac=\
48:8F:5A:A1:AB:31 radio-name=488F5AA1AB31
add configuration=caps-blue-5 disabled=no l2mtu=1600 mac-address=\
4A:8F:5A:A1:AB:34 master-interface=orange.lacinet-2 name=\
orange.lacinet-2-1 radio-mac=00:00:00:00:00:00 radio-name=4A8F5AA1AB34
add configuration=caps-green-5 disabled=no l2mtu=1600 mac-address=\
4A:8F:5A:A1:AB:35 master-interface=orange.lacinet-2 name=\
orange.lacinet-2-2 radio-mac=00:00:00:00:00:00 radio-name=4A8F5AA1AB35
add configuration=caps-red-5 disabled=no l2mtu=1600 mac-address=\
4A:8F:5A:A1:AB:36 master-interface=orange.lacinet-2 name=\
orange.lacinet-2-3 radio-mac=00:00:00:00:00:00 radio-name=4A8F5AA1AB36
add configuration=caps-cyan-5 disabled=no l2mtu=1600 mac-address=\
4A:8F:5A:A1:AB:37 master-interface=orange.lacinet-2 name=\
orange.lacinet-2-4 radio-mac=00:00:00:00:00:00 radio-name=4A8F5AA1AB37
add channel=c24-6 configuration=caps-base-2.4 disabled=no l2mtu=1600 \
mac-address=B8:69:F4:09:BE:FA master-interface=none name=router.lacinet-1 \
radio-mac=B8:69:F4:09:BE:FA radio-name=B869F409BEFA
add configuration=caps-blue-2.4 disabled=no l2mtu=1600 mac-address=\
BA:69:F4:09:BE:FA master-interface=router.lacinet-1 name=\
router.lacinet-1-1 radio-mac=00:00:00:00:00:00 radio-name=BA69F409BEFA
add configuration=caps-green-2.4 disabled=no l2mtu=1600 mac-address=\
BA:69:F4:09:BE:FB master-interface=router.lacinet-1 name=\
router.lacinet-1-2 radio-mac=00:00:00:00:00:00 radio-name=BA69F409BEFB
add configuration=caps-red-2.4 disabled=no l2mtu=1600 mac-address=\
BA:69:F4:09:BE:FC master-interface=router.lacinet-1 name=\
router.lacinet-1-3 radio-mac=00:00:00:00:00:00 radio-name=BA69F409BEFC
add configuration=caps-cyan-2.4 disabled=no l2mtu=1600 mac-address=\
BA:69:F4:09:BE:FD master-interface=router.lacinet-1 name=\
router.lacinet-1-4 radio-mac=00:00:00:00:00:00 radio-name=BA69F409BEFD
add channel=channels-5 channel.extension-channel=XXXX channel.frequency=5300 \
comment=ch40 configuration=caps-base-5 disabled=no l2mtu=1600 \
mac-address=B8:69:F4:09:BE:FB master-interface=none name=router.lacinet-2 \
radio-mac=B8:69:F4:09:BE:FB radio-name=B869F409BEFB
add configuration=caps-blue-5 disabled=no l2mtu=1600 mac-address=\
BA:69:F4:09:BE:FE master-interface=router.lacinet-2 name=\
router.lacinet-2-1 radio-mac=00:00:00:00:00:00 radio-name=BA69F409BEFE
add configuration=caps-green-5 disabled=no l2mtu=1600 mac-address=\
BA:69:F4:09:BE:FF master-interface=router.lacinet-2 name=\
router.lacinet-2-2 radio-mac=00:00:00:00:00:00 radio-name=BA69F409BEFF
add configuration=caps-red-5 disabled=no l2mtu=1600 mac-address=\
BA:69:F4:09:BF:00 master-interface=router.lacinet-2 name=\
router.lacinet-2-3 radio-mac=00:00:00:00:00:00 radio-name=BA69F409BF00
add configuration=caps-cyan-5 disabled=no l2mtu=1600 mac-address=\
BA:69:F4:09:BF:01 master-interface=router.lacinet-2 name=\
router.lacinet-2-4 radio-mac=00:00:00:00:00:00 radio-name=BA69F409BF01
/interface list
add name=WAN
add name=VLAN
add name=BASE
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
supplicant-identity=MikroTik
/ip dhcp-server option
add code=119 name=domain-search-option value="'lacinet.'"
/ip ipsec policy group
add name=group-viszfuvar
add name=group-kavicsbanya
add name=group-office
add name=group-magzatom
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048 enc-algorithm=aes-256 name=\
profile_l2tp
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
hash-algorithm=sha256 name=profile-s2s-ros proposal-check=strict
/ip ipsec peer
add comment="IKE2 default" exchange-mode=ike2 name=peer_ike2 passive=yes \
profile=profile-s2s-ros send-initial-contact=no
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 comment=\
"For l2tp-server" enc-algorithms=aes-256-cbc pfs-group=modp2048
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=proposal-s2s-ros \
pfs-group=modp2048
/ip pool
add name=BLUE_POOL ranges=10.14.10.100-10.14.10.200
add name=GREEN_POOL ranges=10.14.20.100-10.14.20.200
add name=RED_POOL ranges=10.14.30.100-10.14.30.200
add name=BASE_POOL ranges=192.168.14.100-192.168.14.200
add name=CYAN_POOL ranges=10.14.40.100-10.14.40.200
/ip dhcp-server
add address-pool=BLUE_POOL disabled=no interface=BLUE_VLAN lease-script=\
onDhcpLease name=BLUE_DHCP
add address-pool=GREEN_POOL disabled=no interface=GREEN_VLAN name=GREEN_DHCP
add address-pool=RED_POOL disabled=no interface=RED_VLAN name=RED_DHCP
add address-pool=BASE_POOL disabled=no interface=BASE_VLAN name=BASE_DHCP
add address-pool=CYAN_POOL disabled=no interface=CYAN_VLAN name=CYAN_DHCP
/ppp profile
add dns-server=10.14.200.1,1.1.1.3 local-address=10.14.200.1 name=l2tp_vpn
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes upgrade-policy=\
suggest-same-version
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=BASE_VLAN
/caps-man provisioning
add action=create-enabled hw-supported-modes=ac master-configuration=\
caps-base-5 name-format=identity slave-configurations=\
caps-blue-5,caps-green-5,caps-red-5,caps-cyan-5
add action=create-enabled master-configuration=caps-base-2.4 name-format=\
identity slave-configurations=\
caps-blue-2.4,caps-green-2.4,caps-red-2.4,caps-cyan-2.4
/interface bridge port
add bridge=BR1 frame-types=admit-only-vlan-tagged ingress-filtering=yes \
interface=ether1-trunk
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged \
ingress-filtering=yes interface=ether2-gray pvid=99
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged \
ingress-filtering=yes interface=ether3-gray pvid=99
/ip neighbor discovery-settings
set discover-interface-list=BASE
/interface bridge vlan
add bridge=BR1 comment=Base tagged=BR1,ether1-trunk untagged=\
ether2-gray,ether3-gray vlan-ids=99
add bridge=BR1 comment=Cyan/IOT tagged=BR1,ether1-trunk vlan-ids=40
add bridge=BR1 comment=Blue tagged=BR1,ether1-trunk vlan-ids=10
add bridge=BR1 comment=Green/Guest tagged=BR1,ether1-trunk vlan-ids=20
add bridge=BR1 comment=Red tagged=BR1,ether1-trunk vlan-ids=30
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp_vpn enabled=yes use-ipsec=\
required
/interface list member
add interface=ether5-wan list=WAN
add interface=BLUE_VLAN list=VLAN
add interface=GREEN_VLAN list=VLAN
add interface=RED_VLAN list=VLAN
add interface=BASE_VLAN list=BASE
add interface=CYAN_VLAN list=VLAN
add interface=ether4-lte list=WAN
/interface wireless cap
#
set bridge=BR1 certificate=request discovery-interfaces=BASE_VLAN enabled=yes \
interfaces=wlan1,wlan2
/ip address
add address=192.168.14.254/24 interface=BASE_VLAN network=192.168.14.0
add address=10.14.10.1/24 interface=BLUE_VLAN network=10.14.10.0
add address=10.14.20.1/24 interface=GREEN_VLAN network=10.14.20.0
add address=10.14.30.1/24 interface=RED_VLAN network=10.14.30.0
add address=10.14.40.1/24 interface=CYAN_VLAN network=10.14.40.0
add address=10.14.200.1/24 interface=HALL_VLAN network=10.14.200.0
add address=10.14.100.2/24 interface=ether4-lte network=10.14.100.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=2m
/ip dhcp-client
add disabled=no interface=ether5-wan
/ip dhcp-server lease
add address=10.14.10.105 client-id=1:80:e8:2c:e:ef:d2 mac-address=\
80:E8:2C:0E:EF:D2 server=BLUE_DHCP
add address=10.14.10.10 client-id=1:ac:12:3:3c:c:c6 mac-address=\
AC:12:03:3C:0C:C6 server=BLUE_DHCP
add address=192.168.14.101 comment=brocade mac-address=00:27:F8:98:F7:60 \
server=BASE_DHCP
add address=192.168.14.100 client-id=1:4:d9:f5:f7:79:a7 mac-address=\
04:D9:F5:F7:79:A7 server=BASE_DHCP
add address=192.168.14.201 client-id=\
ff:e2:34:3f:3e:0:2:0:0:ab:11:81:6e:af:75:4d:19:27:61 mac-address=\
08:00:27:30:C8:89 server=BASE_DHCP
add address=192.168.14.202 client-id=\
ff:e2:34:3f:3e:0:2:0:0:ab:11:f9:f8:2a:df:10:8c:52:0 mac-address=\
08:00:27:CB:B4:BE server=BASE_DHCP
add address=192.168.14.203 client-id=\
ff:e2:34:3f:3e:0:2:0:0:ab:11:4:79:e:30:c2:fc:ea:75 mac-address=\
08:00:27:7B:36:DB server=BASE_DHCP
add address=192.168.14.205 client-id=\
ff:e2:34:3f:3e:0:2:0:0:ab:11:ea:d4:c5:c8:e3:a4:72:73 mac-address=\
08:00:27:48:6E:15 server=BASE_DHCP
add address=192.168.14.204 client-id=\
ff:e2:34:3f:3e:0:2:0:0:ab:11:de:60:b5:f7:9c:52:91:67 mac-address=\
08:00:27:C6:DA:2E server=BASE_DHCP
/ip dhcp-server network
add address=10.14.10.0/24 dns-server=192.168.14.254 domain=lacinet. gateway=\
10.14.10.1
add address=10.14.20.0/24 dns-server=192.168.14.254 domain=pubnet. gateway=\
10.14.20.1
add address=10.14.30.0/24 dns-server=192.168.14.254 gateway=10.14.30.1
add address=10.14.40.0/24 dns-server=192.168.14.254 gateway=10.14.40.1
add address=192.168.14.0/24 dns-server=192.168.14.254 gateway=192.168.14.254
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.14.254 name=router.lacinet
add address=192.168.14.253 name=poe-switch.lacinet
add address=192.168.14.252 name=orange.lacinet
add address=10.14.100.1 name=lte.lacinet
add forward-to=192.168.5.254 regexp=".*\\.visznet" type=FWD
add comment=visznet forward-to=192.168.5.254 regexp=\
".*\\.5\\.168\\.192.\\in-addr\\.arpa" type=FWD
add forward-to=192.168.18.254 regexp=".*\\.kavicsnet" type=FWD
add comment=kavicsbanya-base forward-to=192.168.18.254 regexp=\
".*\\.18\\.168\\.192.\\in-addr\\.arpa" type=FWD
add forward-to=192.168.13.254 regexp=".*\\.sznet" type=FWD
add comment=sznet-base forward-to=192.168.13.254 regexp=\
".*\\.13\\.168\\.192.\\in-addr\\.arpa" type=FWD
add forward-to=192.168.19.254 regexp=".*\\.magnet" type=FWD
add comment=magzatom-base forward-to=192.168.19.254 regexp=\
".*\\.19\\.168\\.192.\\in-addr\\.arpa" type=FWD
add comment=magzatom-vlan forward-to=192.168.19.254 regexp=\
".*\\.19\\.10.\\in-addr\\.arpa" type=FWD
add address=10.14.200.101 name=forgach.lacinet
add address=10.14.200.102 name=erika.lacinet
add address=10.14.200.103 name=tony-i7.lacinet
add address=10.14.200.1 name=hall.lacinet
add address=10.14.10.105 name=htpc.lacinet
add address=10.14.200.105 name=kardirex.lacinet
add address=10.14.200.106 name=szek.lacinet
add address=10.14.200.107 name=stonemining.lacinet
add address=10.14.200.108 name=edit.lacinet
add address=10.14.200.109 name=szucsnorbi.lacinet
add address=10.14.200.111 name=nyergesati.lacinet
add address=10.14.200.110 name=ghbackup.lacinet
add address=192.168.14.101 name=brocade.lacinet
add address=192.168.14.100 name=laci-ryzen9.lacinet
add address=10.14.200.113 comment=bukkszenterzsebet name=backup.lacinet
add address=192.168.14.201 name=coc01.lacinet
add address=192.168.14.202 name=coc02.lacinet
add address=192.168.14.203 name=coc03.lacinet
add address=192.168.14.204 name=coc04.lacinet
add address=192.168.14.205 name=coc05.lacinet
add address=192.168.14.104 name=gw.lacinet
add address=10.14.200.112 name=silyegabi.lacinet
add address=10.14.10.105 comment=#DHCP name=htpc.lacinet. ttl=10m
add address=10.14.10.124 comment=#DHCP name=M2101K6G.lacinet. ttl=10m
/ip firewall filter
add action=accept chain=input comment=\
"Allow IKEv2 500, IKEv2 NAT-T 4500, L2TP 1701" port=500,4500,1701 \
protocol=udp
add action=accept chain=input comment=\
"Allow IPSEC/ESP (also used below L2TP/UDP)" protocol=ipsec-esp
add action=accept chain=input comment="Accept established,related,untracked" \
connection-state=established,related,untracked
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=accept chain=input comment="Input from BASE mgmt" \
in-interface-list=BASE
add action=jump chain=input comment="SSH input, with brute force protection" \
dst-port=22 in-interface=!RED_VLAN jump-target=input_ssh protocol=tcp
add action=jump chain=input comment="Input from VLAN" in-interface-list=VLAN \
jump-target=input_from_vlan
add action=jump chain=input jump-target=input_from_l2tp src-address=\
10.14.200.0/24
add action=accept chain=input comment="Required by CAPsMAN" dst-address-type=\
local src-address-type=local
add action=drop chain=input comment=Drop
add action=drop chain=input_ssh comment="drop ssh brute forcers" \
src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input_ssh connection-state=new \
src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input_ssh connection-state=new \
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input_ssh connection-state=new \
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input_ssh connection-state=new
add action=accept chain=input_from_vlan comment="Local DNS UDP" dst-port=53 \
protocol=udp
add action=accept chain=input_from_vlan comment="Local DNS TCP" dst-port=53 \
protocol=tcp
add action=accept chain=input_from_vlan comment="Local NTP UDP" dst-port=123 \
protocol=udp
add action=accept chain=input_from_vlan comment="DHCP 67 UDP" dst-port=67 \
protocol=udp
add action=accept chain=input_from_vlan comment="DHCP 68 UDP" dst-port=68 \
protocol=udp
add action=reject chain=input_from_vlan in-interface=RED_VLAN reject-with=\
icmp-admin-prohibited
add action=drop chain=input_from_vlan comment=Drop
add action=accept chain=forward comment=\
"Accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="Drop invalid" connection-state=invalid
add action=jump chain=forward jump-target=from_htpc src-address=10.14.10.105
add action=reject chain=from_htpc comment=\
"Reject HTPC->Any when we are on LTE" out-interface=ether4-lte \
reject-with=icmp-admin-prohibited
add action=accept chain=from_htpc comment="kalihomok slave/vnc htpc->forgach" \
dst-address=10.14.200.101 dst-port=5432,5900 protocol=tcp
add action=accept chain=from_htpc comment=\
"kavicsbanya slave/vnc htpc->borika-pc" dst-address=192.168.18.199 \
dst-port=5432,5900 protocol=tcp
add action=accept chain=from_htpc comment="htpc->visznet full access" \
dst-address=192.168.5.0/24
add action=accept chain=from_htpc comment=\
"stonemining slave/vnc htpc->stonemining" dst-address=10.14.200.107 \
dst-port=5432,5900 protocol=tcp
add action=accept chain=forward comment="l2tp laci-vivobook -> any" \
src-address=10.14.200.104
add action=reject chain=forward comment="Commonly hacked ports" \
connection-state=new dst-port=21,23,25,110,135,1433 protocol=tcp \
reject-with=icmp-admin-prohibited
add action=reject chain=forward comment="Reject RED->Internet" \
connection-state=new in-interface=RED_VLAN out-interface-list=WAN \
reject-with=icmp-admin-prohibited
add action=accept chain=forward comment="Allow VLAN->Internet" \
connection-state=new in-interface-list=VLAN out-interface-list=WAN
add action=accept chain=forward comment="Allow BASE->Internet" \
connection-state=new in-interface-list=BASE out-interface-list=WAN
add action=accept chain=forward comment="BASE->VLAN src-nated" \
connection-state=new in-interface-list=BASE out-interface-list=VLAN
add action=accept chain=forward comment=\
"BASE->10.14.x.x includes BASE->L2TP and BASE->LTE" connection-state=new \
dst-address=10.14.0.0/16 in-interface-list=BASE
add action=reject chain=forward comment=\
"After accept rules - net-unreach when ipsec is down" out-interface=ipsec \
reject-with=icmp-network-unreachable
add action=drop chain=forward comment="Drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new disabled=yes \
in-interface-list=WAN
add action=drop chain=forward comment=Drop
add action=accept chain=input_ssh
add action=accept chain=input_from_l2tp comment="DNS from l2tp client (tcp)" \
dst-port=53 protocol=tcp
add action=accept chain=input_from_l2tp comment="DNS from l2tp client (udp)" \
dst-port=53 protocol=udp
add action=accept chain=input_from_l2tp comment="NTP from l2tp client (udp)" \
dst-port=123 protocol=udp
add action=reject chain=input_from_l2tp reject-with=icmp-admin-prohibited
add action=return chain=from_htpc
/ip firewall mangle
add action=change-mss chain=forward comment=\
"IKE2: Clamp TCP MSS for in,ipsec" ipsec-policy=in,ipsec new-mss=1360 \
passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=!0-1360
add action=change-mss chain=forward comment=\
"IKE2: Clamp TCP MSS for out,ipsec" ipsec-policy=out,ipsec new-mss=1360 \
passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=!0-1360
add action=passthrough chain=prerouting comment=x dst-address=192.168.14.0/24 \
protocol=icmp src-address=192.168.19.254
/ip firewall nat
add action=jump chain=srcnat comment="Src-Nat l2tp laci-vivobook-> any" \
jump-target=srcnat_laci_l2tp src-address=10.14.200.104
add action=src-nat chain=srcnat comment="Src-Nat BASE->BLUE" out-interface=\
BLUE_VLAN src-address=192.168.14.0/24 to-addresses=10.14.10.1
add action=src-nat chain=srcnat comment="Src-Nat BASE->RED" out-interface=\
RED_VLAN src-address=192.168.14.0/24 to-addresses=10.14.30.1
add action=src-nat chain=srcnat comment="Src-Nat BASE->CYAN" out-interface=\
CYAN_VLAN src-address=192.168.14.0/24 to-addresses=10.14.40.1
add action=src-nat chain=srcnat comment="Src-Nat BASE->HALL" dst-address=\
10.14.200.0/24 src-address=192.168.14.0/24 to-addresses=10.14.200.1
add action=src-nat chain=srcnat comment="Src-Nat BASE->LTE-mgmt" \
out-interface=ether4-lte src-address=192.168.14.0/24 to-addresses=\
10.14.100.2
add action=src-nat chain=srcnat_laci_l2tp comment=\
"Src-Nat l2tp laci-vivbook->ipsec" out-interface=ipsec to-addresses=\
192.168.14.254
add action=src-nat chain=srcnat_laci_l2tp comment=\
"Src-Nat l2tp laci-vivobook->l2tp (inter-l2tp)" dst-address=\
10.14.200.0/24 to-addresses=10.14.200.1
add action=dst-nat chain=dstnat comment=\
"postgres kali-homok slave backup.router1.test.com->lacinet->forgach-vpn" \
dst-port=54321 in-interface=ether5-wan protocol=tcp src-address=\
1.2.3.4 to-addresses=10.14.10.105 to-ports=5432
add action=src-nat chain=srcnat comment=\
"stonemining slave/vnc htpc->stonemining" dst-address=10.14.200.107 \
dst-port=5432,5900 protocol=tcp src-address=10.14.10.105 to-addresses=\
10.14.200.1
add action=src-nat chain=srcnat comment="kalihomok slave/vnc htpc->forgach" \
dst-address=10.14.200.101 dst-port=5432,5900 protocol=tcp src-address=\
10.14.10.105 to-addresses=10.14.200.1
add action=src-nat chain=srcnat comment="kavicsbanya slave htpc->borika-pc" \
dst-address=192.168.18.199 dst-port=5432,5900 protocol=tcp src-address=\
10.14.10.105 to-addresses=192.168.14.254
add action=src-nat chain=srcnat comment="Src-Nat htpc->visznet all" \
dst-address=192.168.5.0/24 src-address=10.14.10.105 to-addresses=\
192.168.14.254
add action=masquerade chain=srcnat comment="Default masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=src-nat chain=srcnat_laci_l2tp comment=\
"Src-Nat l2tp laci-vivobook->blue" dst-address=10.14.10.0/24 \
to-addresses=10.14.10.1
/ip ipsec identity
add auth-method=digital-signature certificate=laci.router1.test.com comment=\
office.partner1.test.com generate-policy=port-strict match-by=certificate \
my-id=fqdn:laci.router1.test.com peer=peer_ike2 policy-template-group=\
group-viszfuvar remote-certificate=office.partner1.test.com remote-id=\
fqdn:office.partner1.test.com
add auth-method=digital-signature certificate=laci.router1.test.com comment=\
office.router1.test.com generate-policy=port-strict match-by=certificate my-id=\
fqdn:laci.router1.test.com peer=peer_ike2 policy-template-group=group-office \
remote-certificate=office.router1.test.com remote-id=fqdn:office.router1.test.com
add auth-method=digital-signature certificate=laci.router1.test.com comment=\
kavicsbanya.partner2.test.com generate-policy=port-strict match-by=certificate \
my-id=fqdn:laci.router1.test.com peer=peer_ike2 policy-template-group=\
group-kavicsbanya remote-certificate=kavicsbanya.partner2.test.com remote-id=\
fqdn:kavicsbanya.partner2.test.com
add auth-method=digital-signature certificate=laci.router1.test.com comment=\
office.partner3.magnet.com generate-policy=port-strict match-by=certificate \
my-id=fqdn:laci.router1.test.com peer=peer_ike2 policy-template-group=\
group-magzatom remote-certificate=office.partner3.magnet.com remote-id=\
fqdn:office.partner3.magnet.com
/ip ipsec policy
set 0 comment="For l2tp-server"
add comment=office.partner1.test.com dst-address=192.168.5.0/24 group=\
group-viszfuvar proposal=proposal-s2s-ros src-address=192.168.14.0/24 \
template=yes
add comment=office.router1.test.com dst-address=192.168.13.0/24 group=group-office \
proposal=proposal-s2s-ros src-address=192.168.14.0/24 template=yes
add comment=kavicsbanya.router1.test.com dst-address=192.168.18.0/24 group=\
group-kavicsbanya proposal=proposal-s2s-ros src-address=192.168.14.0/24 \
template=yes
add comment=office.partner3.magnet.com dst-address=192.168.19.0/24 group=\
group-magzatom proposal=proposal-s2s-ros src-address=192.168.14.0/24 \
template=yes
add comment=office.partner3.magnet.com-vlan dst-address=10.19.0.0/16 group=\
group-magzatom proposal=proposal-s2s-ros src-address=192.168.14.0/24 \
template=yes
/ip route
add comment="EKKE Telekom Mobil/LTE" disabled=yes distance=2 gateway=\
10.14.100.1
add comment="Prevent package leak RFC1918 class A" distance=1 dst-address=\
10.0.0.0/8 type=unreachable
add comment="VPN to magnet-vlan" distance=1 dst-address=10.19.0.0/16 gateway=\
ipsec pref-src=192.168.14.254
add comment="Prevent package leak RFC1918 class B" distance=1 dst-address=\
172.16.0.0/12 type=unreachable
add comment="Prevent package leak RFC1918 class C" distance=1 dst-address=\
192.168.0.0/16 type=unreachable
add comment="VPN to visznet" distance=1 dst-address=192.168.5.0/24 gateway=\
ipsec pref-src=192.168.14.254
add comment="VPN to sznet" distance=1 dst-address=192.168.13.0/24 gateway=\
ipsec pref-src=192.168.14.254
add comment="VPN to kavicsnet" distance=1 dst-address=192.168.18.0/24 \
gateway=ipsec pref-src=192.168.14.254
add comment="VPN to magnet-base" distance=1 dst-address=192.168.19.0/24 \
gateway=ipsec pref-src=192.168.14.254
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set winbox address=192.168.14.0/24
set api-ssl disabled=yes
/ip ssh
set host-key-size=4096 strong-crypto=yes
/ppp secret
add name=forgach profile=l2tp_vpn remote-address=10.14.200.101 service=l2tp
add name=erika profile=l2tp_vpn remote-address=10.14.200.102 service=l2tp
add name=tony_i7 profile=l2tp_vpn remote-address=10.14.200.103 service=l2tp
add name=laci-vivobook profile=l2tp_vpn remote-address=10.14.200.104 service=\
l2tp
add name=kardirex profile=l2tp_vpn remote-address=10.14.200.105 service=l2tp
add name=szek profile=l2tp_vpn remote-address=10.14.200.106 service=l2tp
add name=stonemining profile=l2tp_vpn remote-address=10.14.200.107 service=\
l2tp
add name=edit profile=l2tp_vpn remote-address=10.14.200.108 service=l2tp
add name=szucsnorbi profile=l2tp_vpn remote-address=10.14.200.109 service=\
l2tp
add name=ghbackup profile=l2tp_vpn remote-address=10.14.200.110
add name=nyergesati profile=l2tp_vpn remote-address=10.14.200.111
add name=silyegabi profile=l2tp_vpn remote-address=10.14.200.112
add name=backupmesshu profile=l2tp_vpn remote-address=10.14.200.113
/routing filter
add chain=dynamic-in set-check-gateway=ping
/system clock
set time-zone-name=Europe/Budapest
/system identity
set name=router.lacinet
/system logging
add topics=wireless
/system ntp client
set enabled=yes server-dns-names=0.hu.pool.ntp.org,1.hu.pool.ntp.org
/system package update
set channel=long-term
/system scheduler
add interval=1d name=e-mail-backup on-event=e-mail-backup policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=jan/01/1970 start-time=20:00:00
/system script
add dont-require-permissions=no name=onDhcpLease owner=gandalf policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="\
\n\
\n\
\n:local DHCPtag\
\n:set DHCPtag \"#DHCP\"\
\n\
\n:if ( [ :len \$leaseActIP ] <= 0 ) do={ :error \"empty lease address\" }\
\n\
\n:if ( \$leaseBound = 1 ) do=\\\
\n{\
\n :local ttl\
\n :local domain\
\n :local hostname\
\n :local fqdn\
\n :local leaseId\
\n :local comment\
\n\
\n /ip dhcp-server\
\n :set ttl [ get [ find name=\$leaseServerName ] lease-time ]\
\n network \
\n :set domain [ get [ find \$leaseActIP in address ] domain ]\
\n \
\n .. lease\
\n :set leaseId [ find address=\$leaseActIP ]\
\n\
\n# Check for multiple active leases for the same IP address. It's weird a\
nd it shouldn't be, but just in case.\
\n\
\n :if ( [ :len \$leaseId ] != 1) do=\\\
\n {\
\n :log info \"DHCP2DNS: not registering domain name for address \$lease\
ActIP because of multiple active leases for \$leaseActIP\"\
\n :error \"multiple active leases for \$leaseActIP\"\
\n } \
\n\
\n :set hostname [ get \$leaseId host-name ]\
\n :set comment [ get \$leaseId comment ]\
\n /\
\n\
\n :if ( [ :len \$hostname ] <= 0 ) do={ :set hostname \$comment }\
\n\
\n :if ( [ :len \$hostname ] <= 0 ) do=\\\
\n {\
\n :log error \"DHCP2DNS: not registering domain name for address \$lea\
seActIP because of empty lease host-name or comment\"\
\n :error \"empty lease host-name or comment\"\
\n }\
\n :if ( [ :len \$domain ] <= 0 ) do=\\\
\n {\
\n :log error \"DHCP2DNS: not registering domain name for address \$lea\
seActIP because of empty network domain name\"\
\n :error \"empty network domain name\"\
\n }\
\n\
\n :set fqdn \"\$hostname.\$domain\"\
\n \
\n /ip dns static\
\n :if ( [ :len [ find name=\$fqdn and address=\$leaseActIP and disabled=\
no ] ] = 0 ) do=\\\
\n {\
\n :log info \"DHCP2DNS: registering static domain name \$fqdn for addr\
ess \$leaseActIP with ttl \$ttl\"\
\n add address=\$leaseActIP name=\$fqdn ttl=\$ttl comment=\$DHCPtag dis\
abled=no\
\n } else=\\\
\n {\
\n :log error \"DHCP2DNS: not registering domain name \$fqdn for addres\
s \$leaseActIP because of existing active static DNS entry with this name \
or address\" \
\n }\
\n /\
\n} \\\
\nelse=\\\
\n{\
\n /ip dns static\
\n :local dnsDhcpId \
\n :set dnsDhcpId [ find address=\$leaseActIP and comment=\$DHCPtag ]\
\n\
\n :if ( [ :len \$dnsDhcpId ] > 0 ) do=\\\
\n {\
\n :log info \"DHCP2DNS: removing static domain name(s) for address \$l\
easeActIP\"\
\n remove \$dnsDhcpId\
\n }\
\n /\
\n}\
\n\
\n"
add dont-require-permissions=no name=e-mail-backup owner=gandalf policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="/\
system backup save encryption=aes-sha256 name=\"email.backup\" password=\"\
********\";/tool e-mail send to=\"gandalf@router1.test.com\" subject=([/system id\
entity get name].\" (system=\".[/system package get system value-name=vers\
ion].\") backup\") file=email.backup;:log info \"Backup e-mail sent.\"; "
/tool bandwidth-server
set enabled=no
/tool e-mail
set address=mail.router1.test.com from=\
"MikroTik Hontalan router.lacinet <mikrotik@router1.test.com>" port=465 start-tls=\
tls-only user=mikrotik@router1.test.com
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=BASE
/tool mac-server ping
set enabled=no
/tool sniffer
set filter-ip-protocol=icmp
Ez meg a cél ahová a ping megy:
# jan/16/2022 12:47:40 by RouterOS 6.48.5
# software id = BGJQ-V2CF
#
# model = RBD52G-5HacD2HnD
# serial number = *************
/caps-man channel
add band=2ghz-onlyn extension-channel=XX frequency="" name=channels-2.4 \
secondary-frequency="" tx-power=-10
add band=5ghz-onlyac extension-channel=XXXX frequency="" name=channels-5 \
secondary-frequency="" skip-dfs-channels=yes
/caps-man datapath
add local-forwarding=yes name=datapath-blue vlan-id=10 vlan-mode=use-tag
add local-forwarding=yes name=datapath-green vlan-id=20 vlan-mode=use-tag
add local-forwarding=yes name=datapath-red vlan-id=30 vlan-mode=use-tag
add local-forwarding=yes name=datapath-base vlan-id=99 vlan-mode=use-tag
/interface bridge
add frame-types=admit-only-vlan-tagged ingress-filtering=yes name=BR1 \
vlan-filtering=yes
add name=ipsec protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] name=ether1-sw01
set [ find default-name=ether2 ] name=ether2-lte
set [ find default-name=ether3 ] name=ether3-blue
set [ find default-name=ether4 ] name=ether4-blue
set [ find default-name=ether5 ] name=ether5-wan
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(-13dBm), SSID: magzatom_base, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
# managed by CAPsMAN
# channel: 5180/20-Ceee/ac/P(20dBm), SSID: magzatom_base, local forwarding
set [ find default-name=wlan2 ] disabled=no ssid=MikroTik
/interface vlan
add interface=BR1 name=BASE_VLAN vlan-id=99
add interface=BR1 name=BLUE_VLAN vlan-id=10
add interface=BR1 name=GREEN_VLAN vlan-id=20
add interface=BR1 name=HALL_VLAN vlan-id=200
add interface=BR1 name=RED_VLAN vlan-id=30
/caps-man rates
add basic=12Mbps name=rates-2.4 supported=\
12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
add basic=12Mbps name=rates-5 supported=\
12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=security-blue
add authentication-types=wpa2-psk encryption=aes-ccm name=security-green
add authentication-types=wpa2-psk encryption=aes-ccm name=security-red
add authentication-types=wpa2-psk encryption=aes-ccm name=security-base
/caps-man configuration
add channel=channels-5 country=hungary datapath=datapath-blue installation=\
any name=caps-blue-5 rates=rates-5 security=security-blue ssid=\
magzatom-privat
add channel=channels-2.4 country=hungary datapath=datapath-blue installation=\
any name=caps-blue-2.4 rates=rates-2.4 security=security-blue ssid=\
magzatom-privat
add channel=channels-2.4 country=hungary datapath=datapath-green \
installation=any name=caps-green-2.4 rates=rates-2.4 security=\
security-green ssid=magzatom-vendeg
add channel=channels-5 country=hungary datapath=datapath-green installation=\
any name=caps-green-5 rates=rates-5 security=security-green ssid=\
magzatom-vendeg
add channel=channels-2.4 country=hungary datapath=datapath-base hide-ssid=yes \
installation=any name=caps-base-2.4 rates=rates-2.4 security=\
security-base ssid=magzatom_base
add channel=channels-5 country=hungary datapath=datapath-base hide-ssid=yes \
installation=any name=caps-base-5 rates=rates-5 security=security-base \
ssid=magzatom_base
add channel=channels-2.4 country=hungary datapath=datapath-red hide-ssid=yes \
installation=any name=caps-red-2.4 rates=rates-2.4 security=security-red \
ssid=magzatom_red
add channel=channels-5 country=hungary datapath=datapath-red hide-ssid=yes \
installation=any name=caps-red-5 rates=rates-5 security=security-red \
ssid=magzatom_red
/caps-man interface
add configuration=caps-base-2.4 disabled=no l2mtu=1600 mac-address=\
08:55:31:E7:F3:6C master-interface=none name=r01.magnet-1 radio-mac=\
08:55:31:E7:F3:6C radio-name=085531E7F36C
add configuration=caps-blue-2.4 disabled=no l2mtu=1600 mac-address=\
0A:55:31:E7:F3:6C master-interface=r01.magnet-1 name=r01.magnet-1-1 \
radio-mac=00:00:00:00:00:00 radio-name=0A5531E7F36C
add configuration=caps-green-2.4 disabled=no l2mtu=1600 mac-address=\
0A:55:31:E7:F3:6D master-interface=r01.magnet-1 name=r01.magnet-1-2 \
radio-mac=00:00:00:00:00:00 radio-name=0A5531E7F36D
add configuration=caps-red-2.4 disabled=no l2mtu=1600 mac-address=\
0A:55:31:E7:F3:6E master-interface=r01.magnet-1 name=r01.magnet-1-3 \
radio-mac=00:00:00:00:00:00 radio-name=0A5531E7F36E
add configuration=caps-base-5 disabled=no l2mtu=1600 mac-address=\
08:55:31:E7:F3:6D master-interface=none name=r01.magnet-2 radio-mac=\
08:55:31:E7:F3:6D radio-name=085531E7F36D
add configuration=caps-blue-5 disabled=no l2mtu=1600 mac-address=\
0A:55:31:E7:F3:6F master-interface=r01.magnet-2 name=r01.magnet-2-1 \
radio-mac=00:00:00:00:00:00 radio-name=0A5531E7F36F
add configuration=caps-green-5 disabled=no l2mtu=1600 mac-address=\
0A:55:31:E7:F3:70 master-interface=r01.magnet-2 name=r01.magnet-2-2 \
radio-mac=00:00:00:00:00:00 radio-name=0A5531E7F370
add configuration=caps-red-5 disabled=no l2mtu=1600 mac-address=\
0A:55:31:E7:F3:71 master-interface=r01.magnet-2 name=r01.magnet-2-3 \
radio-mac=00:00:00:00:00:00 radio-name=0A5531E7F371
add configuration=caps-base-2.4 disabled=no l2mtu=1600 mac-address=\
08:55:31:E7:E1:93 master-interface=none name=r02.magnet-1 radio-mac=\
08:55:31:E7:E1:93 radio-name=085531E7E193
add configuration=caps-blue-2.4 disabled=no l2mtu=1600 mac-address=\
0A:55:31:E7:E1:93 master-interface=r02.magnet-1 name=r02.magnet-1-1 \
radio-mac=00:00:00:00:00:00 radio-name=0A5531E7E193
add configuration=caps-green-2.4 disabled=no l2mtu=1600 mac-address=\
0A:55:31:E7:E1:94 master-interface=r02.magnet-1 name=r02.magnet-1-2 \
radio-mac=00:00:00:00:00:00 radio-name=0A5531E7E194
add configuration=caps-red-2.4 disabled=no l2mtu=1600 mac-address=\
0A:55:31:E7:E1:95 master-interface=r02.magnet-1 name=r02.magnet-1-3 \
radio-mac=00:00:00:00:00:00 radio-name=0A5531E7E195
add configuration=caps-base-5 disabled=no l2mtu=1600 mac-address=\
08:55:31:E7:E1:94 master-interface=none name=r02.magnet-2 radio-mac=\
08:55:31:E7:E1:94 radio-name=085531E7E194
add configuration=caps-blue-5 disabled=no l2mtu=1600 mac-address=\
0A:55:31:E7:E1:96 master-interface=r02.magnet-2 name=r02.magnet-2-1 \
radio-mac=00:00:00:00:00:00 radio-name=0A5531E7E196
add configuration=caps-green-5 disabled=no l2mtu=1600 mac-address=\
0A:55:31:E7:E1:97 master-interface=r02.magnet-2 name=r02.magnet-2-2 \
radio-mac=00:00:00:00:00:00 radio-name=0A5531E7E197
add configuration=caps-red-5 disabled=no l2mtu=1600 mac-address=\
0A:55:31:E7:E1:98 master-interface=r02.magnet-2 name=r02.magnet-2-3 \
radio-mac=00:00:00:00:00:00 radio-name=0A5531E7E198
/interface list
add name=WAN
add name=VLAN
add name=BASE
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=119 name=domain-search-option value="'magnet.'"
/ip ipsec policy group
add name=group-lacinet
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048 enc-algorithm=aes-256 name=\
profile_l2tp
add dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha256 name=\
profile-s2s-ros proposal-check=strict
/ip ipsec peer
add address=92f20943ba88.sn.mynetname.net exchange-mode=ike2 name=\
laci.router1.test.com profile=profile-s2s-ros
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 comment=\
"For l2tp-server" enc-algorithms=aes-256-cbc pfs-group=modp2048
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=4h name=\
proposal-s2s-ros pfs-group=modp2048
/ip pool
add name=BLUE_POOL ranges=10.19.10.100-10.19.10.200
add name=GREEN_POOL ranges=10.19.20.100-10.19.20.200
add name=RED_POOL ranges=10.19.30.100-10.19.30.200
add name=BASE_POOL ranges=192.168.19.100-192.168.19.200
/ip dhcp-server
add address-pool=BLUE_POOL disabled=no interface=BLUE_VLAN lease-script=\
onDhcpLease name=BLUE_DHCP
add address-pool=GREEN_POOL disabled=no interface=GREEN_VLAN name=GREEN_DHCP
add address-pool=RED_POOL disabled=no interface=RED_VLAN name=RED_DHCP
add address-pool=BASE_POOL disabled=no interface=BASE_VLAN name=BASE_DHCP
/ppp profile
add dns-server=10.19.200.1,1.1.1.3 local-address=10.19.200.1 name=l2tp_vpn
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes upgrade-policy=\
suggest-same-version
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=BASE_VLAN
/caps-man provisioning
add action=create-enabled hw-supported-modes=ac master-configuration=\
caps-base-5 name-format=identity slave-configurations=\
caps-blue-5,caps-green-5,caps-red-5
add action=create-enabled master-configuration=caps-base-2.4 name-format=\
identity slave-configurations=caps-blue-2.4,caps-green-2.4,caps-red-2.4
/interface bridge port
add bridge=BR1 frame-types=admit-only-vlan-tagged ingress-filtering=yes \
interface=ether1-sw01
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged \
ingress-filtering=yes interface=ether3-blue pvid=10
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged \
ingress-filtering=yes interface=ether4-blue pvid=10
/ip neighbor discovery-settings
set discover-interface-list=BASE
/interface bridge vlan
add bridge=BR1 tagged=BR1,ether1-sw01 untagged=ether3-blue,ether4-blue \
vlan-ids=10
add bridge=BR1 tagged=BR1,ether1-sw01 vlan-ids=20
add bridge=BR1 tagged=BR1,ether1-sw01 vlan-ids=30
add bridge=BR1 tagged=BR1,ether1-sw01 vlan-ids=99
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp_vpn enabled=yes use-ipsec=\
required
/interface list member
add interface=ether5-wan list=WAN
add interface=BASE_VLAN list=VLAN
add interface=BLUE_VLAN list=VLAN
add interface=GREEN_VLAN list=VLAN
add interface=RED_VLAN list=VLAN
add interface=BASE_VLAN list=BASE
add interface=ether2-lte list=WAN
/interface wireless cap
#
set bridge=BR1 certificate=request discovery-interfaces=BASE_VLAN enabled=yes \
interfaces=wlan1,wlan2
/ip address
add address=192.168.19.254/24 interface=BASE_VLAN network=192.168.19.0
add address=10.19.10.1/24 interface=BLUE_VLAN network=10.19.10.0
add address=10.19.20.1/24 interface=GREEN_VLAN network=10.19.20.0
add address=10.19.30.1/24 interface=RED_VLAN network=10.19.30.0
add address=10.19.200.1/24 interface=HALL_VLAN network=10.19.200.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=2m
/ip dhcp-client
add disabled=no interface=ether5-wan use-peer-dns=no
add default-route-distance=2 disabled=no interface=ether2-lte use-peer-dns=no
/ip dhcp-server lease
add address=10.19.10.198 client-id=1:74:fe:48:57:68:ae comment=\
"Nyugati Samsung Ultrahang, +smb share" mac-address=74:FE:48:57:68:AE \
server=BLUE_DHCP
add address=10.19.10.194 client-id=1:40:b0:76:5b:be:f8 comment=\
"Keleti vizsgalo desktop gep" mac-address=40:B0:76:5B:BE:F8 server=\
BLUE_DHCP
add address=10.19.30.10 client-id=1:ec:c8:9c:b9:9c:e5 comment="HkVision NVR" \
mac-address=EC:C8:9C:B9:9C:E5 server=RED_DHCP
add address=10.19.10.192 client-id=1:dc:a6:32:c8:1c:e6 comment=Babyscreen \
mac-address=DC:A6:32:C8:1C:E6 server=BLUE_DHCP
add address=10.19.10.190 client-id=1:0:17:c8:a6:90:55 comment=\
"KyoceraP6230CDN lezer" mac-address=00:17:C8:A6:90:55 server=BLUE_DHCP
add address=10.19.10.101 client-id=\
ff:b6:22:f:eb:0:2:0:0:ab:11:13:66:88:18:da:5e:fe:33 mac-address=\
98:90:96:CE:6F:92 server=BLUE_DHCP
add address=10.19.30.101 client-id=1:2c:a5:9c:fa:c4:5c mac-address=\
2C:A5:9C:FA:C4:5C server=RED_DHCP
add address=10.19.30.102 client-id=1:4c:f5:dc:5e:ff:37 mac-address=\
4C:F5:DC:5E:FF:37 server=RED_DHCP
/ip dhcp-server network
add address=10.19.10.0/24 dns-server=192.168.19.254 domain=magnet. gateway=\
10.19.10.1
add address=10.19.20.0/24 dns-server=192.168.19.254 gateway=10.19.20.1
add address=10.19.30.0/24 dns-server=192.168.19.254 gateway=10.19.30.1
add address=192.168.19.0/24 dns-server=192.168.19.254 gateway=192.168.19.254
/ip dns
set allow-remote-requests=yes servers=1.1.1.3,1.0.0.3
/ip dns static
add address=192.168.19.254 name=r01.magnet
add address=192.168.19.253 name=r02.magnet
add address=192.168.19.252 name=r03.magnet
add address=192.168.19.244 name=sw01.magnet
add address=192.168.19.243 name=sw02.magnet
add address=192.168.19.242 name=sw03.magnet
add address=192.168.19.241 name=sw04.magnet
add address=10.19.30.10 name=nvr.magnet
add address=10.19.100.254 name=lte.magnet
add address=10.19.200.101 comment="L2TP Brigi Laptop" name=brigi.magnet
add address=10.19.200.103 comment="L2TP Brigi-oled laptop" name=\
brigi-oled.magnet
add address=10.19.200.102 comment="L2TP ViktorNAS" name=viktornas.magnet
add address=10.19.200.1 comment="L2TP hall" name=hall.magnet
add address=10.19.30.101 name=cam-folyoso.magnet
add address=10.19.30.102 name=cam-varo.magnet
add address=10.19.10.194 comment=#DHCP name=keleti-vizsgalo.magnet. ttl=10m
add address=10.19.10.106 comment=#DHCP name=DESKTOP-V210M8R.magnet. ttl=10m
add address=10.19.10.101 comment=#DHCP name=nas.magnet. ttl=10m
/ip firewall filter
add action=accept chain=input comment=\
"Allow UDP 500,4500,1701 for IKE, IPSEC/ESP and L2TP" port=1701,500,4500 \
protocol=udp
add action=accept chain=input comment="Allow IPSEC/ESP" protocol=ipsec-esp
add action=accept chain=input comment="Accept established,related,untracked" \
connection-state=established,related,untracked
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=accept chain=input comment="CAPsMAN and CAP" dst-address-type=\
local src-address-type=local
add action=accept chain=input comment="Input from BASE mgmt" \
in-interface-list=BASE
add action=jump chain=input comment="SSH input, with brute force protection" \
dst-port=22 jump-target=input_ssh protocol=tcp
add action=jump chain=input comment="Input from VLAN" in-interface-list=VLAN \
jump-target=input_from_vlan
add action=jump chain=input comment="Input from L2TP client" jump-target=\
input_from_l2tp src-address=10.19.200.0/24
add action=accept chain=input comment="DNS from lacinet udp" dst-port=53 \
protocol=udp src-address=192.168.14.0/24
add action=accept chain=input comment="DNS from lacinet tcp" dst-port=53 \
protocol=tcp src-address=192.168.14.0/24
add action=drop chain=input comment=Drop
add action=drop chain=input_ssh comment="drop ssh brute forcers" \
src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input_ssh connection-state=new \
src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input_ssh connection-state=new \
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input_ssh connection-state=new \
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input_ssh connection-state=new
add action=accept chain=input_ssh comment="allow ssh from anywhere"
add action=drop chain=input_ssh comment=Drop
add action=accept chain=input_from_vlan comment="Local DNS UDP" dst-port=53 \
protocol=udp
add action=accept chain=input_from_vlan comment="Local DNS TCP" dst-port=53 \
protocol=tcp
add action=accept chain=input_from_vlan comment="Local NTP UDP" dst-port=123 \
protocol=udp
add action=accept chain=input_from_vlan comment="DHCP 67 UDP" dst-port=67 \
protocol=udp
add action=accept chain=input_from_vlan comment="DHCP 68 UDP" dst-port=68 \
protocol=udp
add action=drop chain=input_from_vlan comment=Drop
add action=accept chain=forward comment="Accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment=\
"Accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="Drop invalid" connection-state=invalid
add action=reject chain=forward comment=\
"Reply with network-unreachable when IPSEC tunnel is down" out-interface=\
ipsec reject-with=icmp-network-unreachable
add action=accept chain=forward comment="Allow VLAN->Internet" \
connection-state=new in-interface-list=VLAN out-interface-list=WAN
add action=accept chain=forward comment="Allow BASE->Internet" \
connection-state=new in-interface-list=BASE out-interface-list=WAN
add action=accept chain=forward comment="Allow BASE->VLAN" connection-state=\
new in-interface-list=BASE out-interface-list=VLAN
add action=accept chain=forward comment="l2tp brigi-laptop->any" src-address=\
10.19.200.101
add action=accept chain=forward comment="l2tp brigi-oled->any" src-address=\
10.19.200.103
add action=accept chain=forward comment=\
"l2tp viktornas.magnet->nas.magnet syncthing" dst-address=10.19.10.101 \
dst-port=22000,22 protocol=tcp src-address=10.19.200.102
add action=accept chain=forward comment=\
"l2tp nas.magnet->viktornas.magnet syncthing" dst-address=10.19.200.102 \
dst-port=22000,22 protocol=tcp src-address=10.19.10.101
add action=accept chain=forward comment="ICMP between VLANs and HALL" \
disabled=yes dst-address=10.19.0.0/16 protocol=icmp src-address=\
10.19.0.0/16
add action=drop chain=forward comment="Drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment=Drop
add action=drop chain=input_ssh comment="drop ssh brute forcers" \
src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input_ssh connection-state=new \
src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input_ssh connection-state=new \
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input_ssh connection-state=new \
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input_ssh connection-state=new
add action=accept chain=input_ssh comment="allow ssh from anywhere"
add action=drop chain=input_ssh comment=Drop
add action=accept chain=input_from_l2tp comment="DNS from l2tp client (tcp)" \
dst-port=53 protocol=tcp
add action=accept chain=input_from_l2tp comment="DNS from l2tp client (udp)" \
dst-port=53 protocol=udp
add action=accept chain=input_from_l2tp comment="NTP from l2tp client (udp)" \
dst-port=123 protocol=udp
add action=reject chain=input_from_l2tp reject-with=icmp-admin-prohibited
/ip firewall mangle
add action=change-mss chain=forward comment=\
"IKE2: Clamp TCP MSS for in,ipsec" ipsec-policy=in,ipsec new-mss=1360 \
passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=!0-1360
add action=change-mss chain=forward comment=\
"IKE2: Clamp TCP MSS for out,ipsec" ipsec-policy=out,ipsec new-mss=1360 \
passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=!0-1360
/ip firewall nat
add action=masquerade chain=srcnat comment="Default masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=src-nat chain=srcnat comment="scr-nat lacinet->RED" out-interface=\
RED_VLAN src-address=192.168.14.0/24 to-addresses=10.19.30.1
add action=src-nat chain=srcnat comment="Src-Nat base-lacinet->base-magnet" \
out-interface=BASE_VLAN src-address=192.168.14.0/24 to-addresses=\
192.168.19.254
add action=src-nat chain=srcnat comment="Src-Nat base-lacinet->hall-magnet" \
dst-address=10.19.200.0/24 src-address=192.168.14.0/24 to-addresses=\
10.19.200.1
add action=src-nat chain=srcnat comment="l2tp brigi-oled->magnet-blue" \
dst-address=10.19.10.0/24 src-address=10.19.200.103 to-addresses=\
10.19.10.1
add action=src-nat chain=srcnat comment="Src-Nat l2tp viktornas->nas" \
dst-address=10.19.10.101 src-address=10.19.200.102 to-addresses=\
10.19.200.1
/ip ipsec identity
add auth-method=digital-signature certificate=office.partner3.magnet.com my-id=\
fqdn:office.partner3.magnet.com peer=laci.router1.test.com policy-template-group=\
group-lacinet remote-id=fqdn:laci.router1.test.com
/ip ipsec policy
set 0 comment="For l2tp-server" dst-address=0.0.0.0/0 src-address=0.0.0.0/0
add dst-address=192.168.14.0/24 peer=laci.router1.test.com proposal=proposal-s2s-ros \
src-address=192.168.19.0/24 tunnel=yes
add dst-address=192.168.14.0/24 peer=laci.router1.test.com proposal=proposal-s2s-ros \
src-address=10.19.0.0/16 tunnel=yes
/ip route
add comment="Prevent package leak RFC1918 class A" distance=1 dst-address=\
10.0.0.0/8 type=unreachable
add comment="Prevent package leak RFC1918 class B" distance=1 dst-address=\
172.16.0.0/12 type=unreachable
add comment="Prevent package leak RFC1918 class C" distance=1 dst-address=\
192.168.0.0/16 type=unreachable
add comment="VPN to lacinet" distance=1 dst-address=192.168.14.0/24 gateway=\
ipsec pref-src=192.168.19.254
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set winbox address=192.168.19.0/24
set api-ssl disabled=yes
/ip ssh
set strong-crypto=yes
/ppp secret
add name=brigi profile=l2tp_vpn remote-address=10.19.200.101 service=l2tp
add name=viktornas profile=l2tp_vpn remote-address=10.19.200.102 service=l2tp
add name=brigi-oled profile=l2tp_vpn remote-address=10.19.200.103 service=\
l2tp
/routing filter
add chain=dynamic-in set-check-gateway=ping
/system clock
set time-zone-name=Europe/Budapest
/system identity
set name=r01.magnet
/system logging
add topics=l2tp
add topics=ipsec
/system ntp client
set enabled=yes server-dns-names=0.hu.pool.ntp.org,1.hu.pool.ntp.org
/system package update
set channel=long-term
/system scheduler
add interval=1d name=e-mail-backup on-event=e-mail-backup policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=jan/01/1970 start-time=20:00:00
/system script
add dont-require-permissions=no name=onDhcpLease owner=gandalf policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="\
\n\
\n\
\n:local DHCPtag\
\n:set DHCPtag \"#DHCP\"\
\n\
\n:if ( [ :len \$leaseActIP ] <= 0 ) do={ :error \"empty lease address\" }\
\n\
\n:if ( \$leaseBound = 1 ) do=\\\
\n{\
\n :local ttl\
\n :local domain\
\n :local hostname\
\n :local fqdn\
\n :local leaseId\
\n :local comment\
\n\
\n /ip dhcp-server\
\n :set ttl [ get [ find name=\$leaseServerName ] lease-time ]\
\n network \
\n :set domain [ get [ find \$leaseActIP in address ] domain ]\
\n \
\n .. lease\
\n :set leaseId [ find address=\$leaseActIP ]\
\n\
\n# Check for multiple active leases for the same IP address. It's weird a\
nd it shouldn't be, but just in case.\
\n\
\n :if ( [ :len \$leaseId ] != 1) do=\\\
\n {\
\n :log info \"DHCP2DNS: not registering domain name for address \$lease\
ActIP because of multiple active leases for \$leaseActIP\"\
\n :error \"multiple active leases for \$leaseActIP\"\
\n } \
\n\
\n :set hostname [ get \$leaseId host-name ]\
\n :set comment [ get \$leaseId comment ]\
\n /\
\n\
\n :if ( [ :len \$hostname ] <= 0 ) do={ :set hostname \$comment }\
\n\
\n :if ( [ :len \$hostname ] <= 0 ) do=\\\
\n {\
\n :log error \"DHCP2DNS: not registering domain name for address \$lea\
seActIP because of empty lease host-name or comment\"\
\n :error \"empty lease host-name or comment\"\
\n }\
\n :if ( [ :len \$domain ] <= 0 ) do=\\\
\n {\
\n :log error \"DHCP2DNS: not registering domain name for address \$lea\
seActIP because of empty network domain name\"\
\n :error \"empty network domain name\"\
\n }\
\n\
\n :set fqdn \"\$hostname.\$domain\"\
\n \
\n /ip dns static\
\n :if ( [ :len [ find name=\$fqdn and address=\$leaseActIP and disabled=\
no ] ] = 0 ) do=\\\
\n {\
\n :log info \"DHCP2DNS: registering static domain name \$fqdn for addr\
ess \$leaseActIP with ttl \$ttl\"\
\n add address=\$leaseActIP name=\$fqdn ttl=\$ttl comment=\$DHCPtag dis\
abled=no\
\n } else=\\\
\n {\
\n :log error \"DHCP2DNS: not registering domain name \$fqdn for addres\
s \$leaseActIP because of existing active static DNS entry with this name \
or address\" \
\n }\
\n /\
\n} \\\
\nelse=\\\
\n{\
\n /ip dns static\
\n :local dnsDhcpId \
\n :set dnsDhcpId [ find address=\$leaseActIP and comment=\$DHCPtag ]\
\n\
\n :if ( [ :len \$dnsDhcpId ] > 0 ) do=\\\
\n {\
\n :log info \"DHCP2DNS: removing static domain name(s) for address \$l\
easeActIP\"\
\n remove \$dnsDhcpId\
\n }\
\n /\
\n}\
\n\
\n"
add dont-require-permissions=no name=e-mail-backup owner=gandalf policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="/\
system backup save encryption=aes-sha256 name=\"email.backup\" password=\"\
***********\";/tool e-mail send to=\"gandalf@router1.test.com\" subject=([/system id\
entity get name].\" (system=\".[/system package get system value-name=vers\
ion].\") backup\") file=email.backup;:log info \"Backup e-mail sent.\"; "
/tool bandwidth-server
set enabled=no
/tool e-mail
set address=mail.router1.test.com from="Mikrotik r01.magnet <mikrotik@router1.test.com>" port=\
465 start-tls=tls-only user=mikrotik@router1.test.com
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=BASE
/tool mac-server ping
set enabled=no
/tool sniffer
set filter-ip-protocol=udp filter-port=dns- A hozzászóláshoz be kell jelentkezni
Bug report lett belőle. Ez most már 99% hogy egy routeros bug.
- A hozzászóláshoz be kell jelentkezni
Nem lenne rendkívüli... sw downgrade/upgrade-et még senki nem javasolta?
- A hozzászóláshoz be kell jelentkezni
Long-term branch-et használok, jelenleg nincs újabb verzió. Downgrade is szóba jöhet, de csakis bug reporttal együtt. Ez végülis LTS verzió, ha hibája van akkor javítsák ki.
- A hozzászóláshoz be kell jelentkezni
:D Én is ezt hittem, aztán valaki - aki több száz mikotiket üzemeltet - felvilágosított, hogy az LTS verzióba jó eséllyel nem kerülnek újabb bugok, de az is ugyanolyan bugos, mint a nem LTS.
De nagyon kiváncsi vagyok, hogy mire jutsz, kérlek számolj majd be!
- A hozzászóláshoz be kell jelentkezni
Nos rendben, akkor most upgrade-elek stable-ra és megnézem úgy is.
- A hozzászóláshoz be kell jelentkezni
6.49.3 verzióval is rossz. testing és development branch-el nem vagyok hajlandó megnézni, mert ezek éles rendszerek.
- A hozzászóláshoz be kell jelentkezni
stable a 7.1.3 :)
Egyébként érzésem szerint az ipsec és policy routingja kavar be. Utálom, hogy nem device & route alapú.
Ha áttérsz 7.x-re, akkor a Wireguard barátod lesz. Az wg interfészt hoz létre Linuxon is, így Mikrotiken is és mehetnek rá a statikus és dinamikus route szabályok.
- A hozzászóláshoz be kell jelentkezni
Most már csak abban bízhatok, hogy a MikroTik support mond valami értelmes választ. De arra valószínűleg napokat kell várni, vagy talán heteket is.
- A hozzászóláshoz be kell jelentkezni
És gondolod, hogy akkor csak neked jött elő a világon egyedül?
De, ha tényleg meg akarsz róla győződni, hogy sw bug-e, akkor lépegess végig a V6 frissítéseken!
Most 6.49.3 a legfrissebb stabil a V6-os szériából, benne egy rakás IPSEC javítással, nem mellesleg nekem a .48-nál még olyan alapszintű dolgok sem működtek rendesen, mint az Activity-led, és a tápfeszültség érzékelés.
- A hozzászóláshoz be kell jelentkezni
Olvasgatva a mikrotik fórumokat simán el tudom képzelni, hogy bug. Nekünk egy verzió CHR-en hetente crashelt egyet, már eszközt is cseréltünk, verzió downgrade megoldotta.
- A hozzászóláshoz be kell jelentkezni
Nem gondolom hogy csak nekem jött elő. Miért gondolnék ilyet?
A 6.49.3 az a stable branch, a neve nagyon megtévesztő. A hivatalos stabil branch nem a stable nevű, hanem a long-term.
- A hozzászóláshoz be kell jelentkezni
Azért, mert a mikrotik fórumon nemnagyon láttam hogy más is jelezné, általában az ilyen szintű bugokról többen is issue-t szoktak nyitni, de lehet, hogy csak én kerestem felszínesen, vagy nem használ senki ipsec-et.
Ami a verziót illeti:
Ízlések, és pofonok, bárki szabadon választhat, de egy valamit tudjál:
Ez nem CISCO.
(Sem cégméretben, sem kapacitásban, sem tudásban, sem árban)
Itt, az efféle makacskodással kizárólag magát szívatja az ember!
Ha jó napjuk van, és a zsigeri visszautasítás helyett egyáltalán befogadják a reportoodat, akkor sem fogják (99%-ban) a longterm verzióba beletenni.
Oké, lehet azt mondani, hogy a "stable" nem a stabil, de akkor a "long-term" viszont egy leplombált pillanatfelvétel a múltról.
Sőt, fordult már elő olyan is, hogy, nemhogy a "jobban tesztelt"-nek nevezhető V6 stable-be nem akarták beletenni, hanem rögvest közölték, hogy már csak a v7.x-ben lesz benne.
Viszont, ha "stable"-t használsz, akkor jó esély van arra, hogy a 2-5 havonta, (a "teszt"-ágról át-) érkező frissítésekben benne lesz a kérésed, ha az valóban bug és javították.
- A hozzászóláshoz be kell jelentkezni
Nem makacskodom. Ha a stable-val jó lenne, akkor azzal használnám. De azzal se jó. :-(
- A hozzászóláshoz be kell jelentkezni
Mindenesetre, bejelentettem a hibát. Ennél többet nem nagyon tudok tenni.
- A hozzászóláshoz be kell jelentkezni
A kifejezést arra értettem, hogy "Long-term branch-et használok, jelenleg nincs újabb verzió. Downgrade is szóba jöhet, de csakis bug reporttal együtt. Ez végülis LTS verzió, ha hibája van akkor javítsák ki.", de ha félreértettem, bocsi.
Éles rendszeren én sem javasolom a V7.x/testing ágakkal való kísérletezést, max akkor, ha van fölös MT eszközöd, azokon, de egyébként megtetted amit lehetett, most náluk pattog a labda.
- A hozzászóláshoz be kell jelentkezni
Igen ezt úgy értettem, hogy stable-ra szívesen átmennék, de ettől függetlenül valahogy az LTS-be bele kellene kerülnie az összes javításnak. De lehet hogy álomvilágban élek. :) Nem tudtam erről, hogy az "LTS" az valójában csak egy snapshot, ami az összes bugot tartalmazza. :-)
- A hozzászóláshoz be kell jelentkezni
Gyorsan válaszoltak, de abban nincs köszönet:
Hello,
I suspect the issue is with routing/bridging configuration. Your current setup is kind of a mess. I would suggest removing the gateway=ipsec routes which are not valid in the first place. And if you require the traffic to be sent directly out of the router, NAT should be used instead to change the source address. There are a lot of things to go wrong in your current configuration.
Szerintem meg se nézte rendesen. Azt írja hogy a gateway=ipsec route-ok "not valid"-ok, ami egy komplett hülyeség. Az a része meg hogy "And if you require the traffic to be sent directly out of the router" arra utal, hogy el se olvasta hogy mi a kérdés. :-(
- A hozzászóláshoz be kell jelentkezni
Szerintem nem fogok neki válaszolni. Nagyon erősen azt érzem, hogy ha ennyit volt vele képes foglalkozni, akkor ezután se fogja rendesen megnézni. :-(
- A hozzászóláshoz be kell jelentkezni
Pedig sajnos legnagyobb részben egészen biztosan igaza van, a konfigod tényleg elég "kind of a mess". Raktam már össze pár hasonlót megoldást, de bőven nem volt egyik sem ennyire kacifántos/nyakatekert. A legjobb tényleg előlről lenne összerakni ezt, a lehető legegyszerűbb megoldásokkal (mellőzném ezt az egész source address-es koncepciót is, pl.). 99%, hogy a konfigodban van a hiba, de ezt segítő szándékkal mondom, csak félek tőle, hgy nagyon rápörögtél erre, hogy "márpedig a Mikrotikben van a hiba".
- A hozzászóláshoz be kell jelentkezni
továbbra is várjuk a fentiek alapján ( https://hup.hu/comment/2747265#comment-2747265 ), hogy a Mikrotik-ben van-e a hiba.
Ha nekem van igazam (és a Mikrotik -jelen esetben- azt csinálja amit kell), akkor azt egy egyszerű ping utasítás igazolná...
- A hozzászóláshoz be kell jelentkezni
100% hogy nincs "igazad" mivel a packet dump igazolta, hogy pontosan az volt a forrás cím aminek lennie kellett. Ha kézzel megadom az src-address -t akkor az nem változtat semmin. Az interface-be meg tökmindegy hogy mit írok, mert a router nem használ interface-eket ipsec-hez. Konkrétan az ipsec konfigurációban nincs sehol egyetlen property sem ahol interface-t lehetne megadni. (De szerintem ezt már írtam.) Teljesen irreleváns, hogy milyen interface-t választ a routing, mert ha a csomag enkapszulációja megtörténik, akkor az mindig az interface -re való továbbítás előtt történik.
A minősíthetetlen viselkedésed ellenére úgy gondolom, hogy ha itt eredményt akarok látni, akkor félre kell tenni az érzelmeket. Szakmai szempontból nézve csak a tények számítanak, az érzelgősség meg nem egy ilyen fórumra való.
Ezért mégis lefuttatom azokat a teszteket, amiket kértél. (Csak nem most azonnal, mert most épp nem férek hozzá a router-ekhez. De hamarosan küldöm.) Csak remélem, hogy utána is változatlan lendülettel próbálsz majd segíteni, és kitalálni hogy mi a baj. :-)
Amit még itt nem írtam le, és érdekes lehet, az a következő:
* Néha működik a két router közötti kommunikáció. Ez nagyon ritkán fordul elő. Naponta néhány percig szokott ilyen lenni, de előfordul hogy fél óráig jó. Utána megint elromlik. Amikor nem működik, az néha úgy nyilvánul meg, hogy 50% packet loss (minden második-harmadik csomag elveszik), de az esetek nagy részében inkább az jellemző, hogy vagy 100% packet loss, vagy 0% packet loss.
* Nincs összefüggés az ipsec tunnel-el felépülési időpontja és a hibák előfordulása között. Ha reboot-olom mindkét router-t, akkor se javul meg tőle. Néha olyan is van, hogy a router-ek napok óta nem voltak újraindítva, és hirtelen elkezd működni (néhány percre)
* Olyan viszont SOHA nem fordul elő, hogy a forward chain ne működne. Tehát a 192.168.14.0/24 alhálózaton belül levő gépről megbízhatóan MINDIG el tudom érni az összes többi gépet a 192.168.19.0/24 hálózaton, ide értve a 192.168.19.254 -en levő router-t is. Olyan is sikerült már elcsípnem, hogy egy 192.168.14.100 című gépről folyamatosan ping-eltem a 192.168.19.254-et, és ezzel párhuzamosan a 192.168.14.254 router-ről is pingeltem a 192.168.19.254-et, és azt láttam hogy a router->router kommunikáció kihagy/elveszít csomagokat, miközben a belső LAN-on levő gép -> router kommunikáció 100%-os volt folyamatosan.
- A hozzászóláshoz be kell jelentkezni
SO_BINDTODEVICE
Ha a ping parancs ezt használja, akkor nem elég a jó IP cím. Az lehet, hogy az ipsec nem használ interfészt (mondjuk ez is gyanús), de egyébként a hálózati forgalom interfészhez kötött. Ha a ping random rossz interfészre kötődik, pont az lenne a tünet, hogy jó interfész esetén megjön a válasz, rossz interfész esetén meg eldobja a kernel a csomagot az utolsó pillanatban, mert az alkalmazás nem látja.
Pl. nekem linuxon: ping -Ienp0s31f6 8.8.8.8 esetén nem jön válasz, és netstat -us kimenetén látszik, hogy ICMP csomagok dobódnak el.
- A hozzászóláshoz be kell jelentkezni
> Az lehet, hogy az ipsec nem használ interfészt (mondjuk ez is gyanús)
Te nem vagy benne biztos, és ezért találod gyanúsnak. Ez egyébként számomra se volt logikus (mert más OS-eken általában interface-hez van kötve). Anno én is csodálkoztam rajta, amikor az interface-ek hiányát konkrétan leírva láttam egy MikroTik-es előadáson. De utánanéztem és kiderült hogy ez így van. A ipsec konfigurációban sehol nincsenek interface-ek.
> de egyébként a hálózati forgalom interfészhez kötött
A node-ok közötti hálózati forgalom az igen, és valóban hálózati interface-en megy ki az IPSEC csomag. De az ICMP az ebben a konkrét példában közvetlenül sehol nem megy ki. Csak az ipsec belsejében, de az meg külön van route-olva.
> Ha a ping random rossz interfészre kötődik, pont az lenne a tünet, hogy jó interfész esetén megjön a válasz, rossz interfész esetén meg eldobja a kernel a csomagot az utolsó pillanatban, mert az alkalmazás nem látja.
De nem kötődik random interface-re, emiatt a route miatt:
add comment="VPN to magnet-base" distance=1 dst-address=192.168.19.0/24 gateway=ipsec pref-src=192.168.14.254
Pontosan ugyan ez a route van használva a forward-olt csomagokra és a router-ből kiküldött csomagokra is. Láthatod hogy benne van az interface, és a pref-src is. Az pedig egy tény, hogy ezek a csomagok soha nem érik el az ipsec nevű bridge interface-t, mert mielőtt odaérnének, be vannak csomagolva ipsec-be. Az egy teljes képtelenség, hogy ez random rossz interface-t használ. Ez a statikus route a legspecifikusabb az adott célcímre, nem használhat másikat.
Ezért írtam wpeople kollegának hogy a ping parancsban a pref-src kézi megadása ezen semmit nem változtat.
De esküszöm csinálok egy videót erről, hogy kizárjam a csalás gyanúját is. :-)
- A hozzászóláshoz be kell jelentkezni
Tessék itt a videó: https://www.youtube.com/watch?v=Mrm2VhZB-iM
Az src-address és az interface megadása semmit nem változtat rajta. Ugyanúgy timeout.
- A hozzászóláshoz be kell jelentkezni
nos, linkeltem fentebb egy tutorialt.
Én a helyedben azt csinálnám, hogy a két routert visszacsupaszítanám alap konfigra (internet uplink beállítása, belső hálózat beállítása) amint ez megy, utána
beállítanám a site2site IPSec tunnelt, mindkét oldalon beállítva a firewall/nat-ba, első sorba, hogy azon csomagok amik forrása local, dst pedig a remote hálózat, az ACCEPT.
A tunnel vagy elindul magától, vagy akkor ha A router belső lábáról (értsd: src-ip=local_belső_ip) pingeled a túloldali belső ipcímet.
Az "rendeltetésszerű" hogy a forráscím megadása nélkül NEM a tunnel-en keresztül akar menni a csomag.
Megkockáztatom, hogy a routingban definiált preferred address sem fog ezen változtatni, hiszen ott akkor lenne matching ha routingot igénybe véve menne a csomag, az IPSec tunnel pedig (szerintem) még a routing előtt kerül feldolgozásra.
- A hozzászóláshoz be kell jelentkezni
Szia!
Eszközöd ( hap ac2 ) és a bemásolt konfigurációk alapján, rossz a konfigod:
/interface bridge
add frame-types=admit-only-vlan-tagged ingress-filtering=yes name=BR1 \
vlan-filtering=yes
/interface vlan
add interface=BR1 name=BASE_VLAN vlan-id=99
add interface=BR1 name=BLUE_VLAN vlan-id=10
add interface=BR1 name=GREEN_VLAN vlan-id=20
add interface=BR1 name=HALL_VLAN vlan-id=200
add interface=BR1 name=RED_VLAN vlan-id=30Ezt a fajta "bridge-vlan" -t nem tudja az eszközöd ( más kérdés, hogy miért fogadja el ezt a konfigurációt ):
https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features
https://help.mikrotik.com/docs/display/ROS/Bridge#Bridge-BridgeHardware…
Helyette így tudod átírni ( Switch-mode helyett Router-mode ):
interface:
ether1-trunk
ether2-gray
ether3-gray
ether4-lte
ether5-wan
vlan
BLUE_VLAN vlan-id=10
GREEN_VLAN vlan-id=20
RED_VLAN vlan-id=30
BASE_VLAN vlan-id=99
HALL_VLAN vlan-id=200
/interface bridge
add frame-types=admit-only-vlan-tagged ingress-filtering=yes name=BRTRUNK \
vlan-filtering=yes
/interface bridge
add frame-types=admit-only-untagged-and-priority-tagged name=BLUE_VLAN \
vlan-filtering=no
/interface bridge
add frame-types=admit-only-untagged-and-priority-tagged name=GREEN_VLAN \
vlan-filtering=no
/interface bridge
add frame-types=admit-only-untagged-and-priority-tagged name=RED_VLAN \
vlan-filtering=no
/interface bridge
add frame-types=admit-only-untagged-and-priority-tagged name=BASE_VLAN \
vlan-filtering=no
/interface bridge
add frame-types=admit-only-untagged-and-priority-tagged name=HALL_VLAN \
vlan-filtering=no
/interface vlan
add interface=ether1-trunk name=ether1-trunk.10 vlan-id=10
/interface vlan
add interface=ether1-trunk name=ether1-trunk.20 vlan-id=20
/interface vlan
add interface=ether1-trunk name=ether1-trunk.30 vlan-id=30
/interface vlan
add interface=ether1-trunk name=ether1-trunk.99 vlan-id=99
/interface vlan
add interface=ether1-trunk name=ether1-trunk.200 vlan-id=200
/interface bridge port
add interface=ether1-trunk bridge=BRTRUNK pvid=1
/interface bridge port
add interface=ether1-trunk.10 bridge=BLUE_VLAN pvid=10
/interface bridge port
add interface=ether1-trunk.20 bridge=GREEN_VLAN pvid=20
/interface bridge port
add interface=ether1-trunk.30 bridge=RED_VLAN pvid=30
/interface bridge port
add interface=ether1-trunk.99 bridge=BASE_VLAN pvid=99
/interface bridge port
add interface=ether1-trunk.200 bridge=HALL_VLAN pvid=200Ezek után még bele kell tenned az adott interfészt az adott bridge-be
pl.: ha "ether5-wan" a 10-es vlan
/interface bridge port
add interface=ether5-wan bridge=BLUE_VLAN pvid=10
- A hozzászóláshoz be kell jelentkezni
Szerintem valamit elnéztél. A HAP AC2 valóban nem tudja a vlan filtering-et switch chip-ből, hardware-es támogatással. Ebben igazad van. Viszont az én konfigom NEM a switch chip-et használja erre, hanem a CPU-t.
Ha van vlan támogatás és hardware offload a switch chip-ben, akkor azt a /interface ethernet switch vlan menüpont alatt kell konfigurálni, és a portokat a /interface ethernet switch port menü alatt.
De én NEM EZT használom, hanem a CPU based megoldást, amit a /interface bridge alatt kell konfigurálni.
Egyébként is, én már csak tudom hogy ez így működik, mert használom. :-)
- A hozzászóláshoz be kell jelentkezni
Most néztem még jobban amit írtál. Te minden vlan-nak külön bridge-t hoztál létre, és nem kapcsoltad be a vlan filteringet. Sokan csinálnak ilyet, de ez elhibázott, semmire se jó. A bridge lényege az, hogy layer 2 szegmenseket kössön össze transzparens módon. A vlan lényege meg az, hogy elszeparálja őket. Egyetlen bridge tetszőleges számú layer 2 hálózatot össze tud kötni. Ennek a kettőnek (szeparalas és összekötés) együtt csak akkor van értelme, ha a vlan-ok között kizárólag routing -ot (layer 3) használsz, layer 2 szinten pedig elkülöníted őket.
Az általad javasolt konfiguráció kizárólag azért működik, mert olyan bridge-t hoztál létre benne, amiben nincs bekapcsolva a vlan filtering. Így persze úgy tűnhet hogy működik, mert a csomagok eljutnak az egyik layer 2 hálózatból a másikba. Viszont vlan filtering hiányában semmi nem szeparálja el őket. Ha pedig nincsenek elszeparálva, akkor teljesen értelmetlen a vlan-ok használata. (Ha nem akarunk szeparálni akkor nincs szükség vlan-ra.) A vlan-nak akkor van értelme, ha a különböző vlan-ok között kizárólag routing-on keresztül (layer 3) mennek át a csomagok.
Ha bekapcsolod a vlan filteringet az általad javasolt konfigban, akkor egyből működésképtelen lesz az egész. Ha meg nem kapcsolod be, akkor meg semmi értelme a vlan-oknak, mert bármelyik port be tud fogadni és ki tud küldeni bármilyen csomagot. Konkrétan az "admit only vlan tagged" beállítás nem csinál az égvilágon semmit se addig, amíg a vlan filtering ki van kapcsolva. Hatástalan beállítás. De te mégis odairtad, mert azt gondoltad hogy az csinál valamit. Ebből is látszik, hogy nem érted mit írtál le. Ennyi erővel bele tehetnéd az összes portot egyetlen bridge-be, vlan-ok nélkül. Pont ugyan ezt lehet vele elérni, 5 sor kóddal. :-(
Ezt egyáltalán nem bántásból mondtam, és kioktatni se akarok senkit. Ha félre tudod tenni az érzéseket, és tárgyilagosan próbálsz hozzáállni, akkor kérlek olvasd el ezt - ez javasolt olvasnivaló mindenkinek, aki azt gondolja, hogy vlan-onként külön bridget-t létrehozni jó ötlet: https://forum.mikrotik.com/viewtopic.php?t=143620
- A hozzászóláshoz be kell jelentkezni
A bridge lényege az, hogy layer 2 szegmenseket kössön össze transzparens módon. A vlan lényege meg az, hogy elszeparálja őket. Egyetlen bridge tetszőleges számú layer 2 hálózatot össze tud kötni. Ennek a kettőnek (szeparalas és összekötés) együtt csak akkor van értelme, ha a vlan-ok között kizárólag routing -ot (layer 3) használsz, layer 2 szinten pedig elkülöníted őket.
Per definíció igen, de ismét emlékeztetnélek arra, hogy most Mikrotik-en vagyunk.
Nem is olyan régen még (emlékeim szerint, kb V6.48.x/2018-ig, de javítsatok ki), még az olyan "egyszerű" felépítésű MT eszközök sem voltak képesek kezelni a bridge_vlan_filtering-et, mint a CCR-ek, ahol full CPU-ból történik minden, és nincs előtt elvetemült switch-chip.
Bizony, akkor minden olyan esetben VLAN-onként külön BR-t kellett létrehozni ahol egynél több, vagy egy trunk-on kívüli interface-t akartál beletenni a VLAN-ba.
Éppen ezért a külön bridge nem hiba, csak egy megszokás.
Nem véletlen akkoriban még én is egy különálló (sőt, más márkájú) SW-t használtam a VLAN-ok bridge-lésére, mert a sok vlan-bridge egyszerűen annyira lefogta a CCR teljesítményét, hogy nem lehetett mást tenni, mint nyersben rátenni az egyik fizikai interfészre trunk-ként, és a CCR-rel csak route-oltatni közöttük.
Ha, meg azt akarod, hogy valaki érdemben segítsen neked, és átnézze a kissé zsúfolt configodat, akkor ilyeneket meg ne írjál le:
"De te mégis odairtad, mert azt gondoltad hogy az csinál valamit. Ebből is látszik, hogy nem érted mit írtál le. "
mert segítség helyett ignorálni fognak az emberek.
Ha nem tetszik, akkor átugrod, vagy azután, hogy megemlíted, hogy szerinted nem jó, megállsz, és nem folytatod a mondatot.
Végezetül maradjunk annyiban, hogy Mikrotiknál örülj, ha az alap dolgok, per definíció (mikrotik definíció) szerint működnek.
Értem én, hogy menő dolog lenne meghágni az elméletet, de mint látod nem megy.
Számomra több dolog sem világos, hogy miért gondoltad, hogy az működni fog, ezért én is azt mondom, hogy szedd szét az egészet, és építsd föl újra, hogy közben megpróbálsz minél kevésbé eltérni a Mikrotik alapkoncepcióktól, akár úgy, hogy lépésenként külön-külön kipróbálod az egyes elemeket, akkor látszódni fog, hogy hol romlik el. Ha éles a rendszer és nem akarsz hozzányúlni, akkor pedig azt javaslom, hogy szerezz be valamit gyakorló-példánynak, vagy, akárcsak RouterOS virtuális gép formájában.
Nem mellesleg a megosztott videóid között találtam egy, több mint egy évvel ezelőtti ipsec hibáról szólót, lehetséges, hogy ez azóta nem megy?
- A hozzászóláshoz be kell jelentkezni
> Nem is olyan régen még (emlékeim szerint, kb V6.48.x/2018-ig, de javítsatok ki), még az olyan "egyszerű" felépítésű MT eszközök sem voltak képesek kezelni a bridge_vlan_filtering-et, mint a CCR-ek, ahol full CPU-ból történik minden, és nincs előtt elvetemült switch-chip.
Akkor most ki vagy javítva. A HAP AC2 simán tudott 2018-ban bridge vlan filtering-et.
> Bizony, akkor minden olyan esetben VLAN-onként külön BR-t kellett létrehozni ahol egynél több, vagy egy trunk-on kívüli interface-t akartál beletenni a VLAN-ba.
Ezt elképzelhetőnek tartom. De a mostani kérdés nem egy régi CCR-ről szólt, hanem egy 2022-es HAP AC2-ről, és a sok bridge-es konfiguráció 2022-ben nem követendő példa.
> Ha, meg azt akarod, hogy valaki érdemben segítsen neked, és átnézze a kissé zsúfolt configodat, akkor ilyeneket meg ne írjál le:
"De te mégis odairtad, mert azt gondoltad hogy az csinál valamit. Ebből is látszik, hogy nem érted mit írtál le. "
mert segítség helyett ignorálni fognak az emberek.
Ezt nem "valakinek" és "az embereknek" írtam, hanem konkrétan neked. Nem sértődtem meg, és nem akartam mások érzelmeit megsérteni. Bocsánatot kérek, ha ezt magadra vetted. Egyáltalán nem azért jöttem ide, hogy másokat sértegessek. Viszont amit írtam erről, abban 100%-ig biztos vagyok: ha nincs bekapcsolva a vlan filtering, akkor a frame-types beállításnak semmi hatása nincs. Ráadásul Te ezt a frame-types- ot a bridge interface-re állítottad be mindenhol, amit nem adtál hozzá port-ként a bridge-hez. A frame-types-ot elsősorban a bridge port-ra kell beállítani, de ott neked nincs ilyen beállítás.
Elfogadom, hogy az általad leírt bridge és vlan konfig működhet. De jelen állás szerint nem ez a követendő példa. A hivatalos dokumentációjában https://help.mikrotik.com/docs/display/ROS/Basic+VLAN+switching is a portokra teszik a frame-types -ot, és ott sincs egyetlen egy példa sem, amiben több bridge lenne. A másik link amit küldtem, https://forum.mikrotik.com/viewtopic.php?t=143620 egy kvázi félhivatalos VLAN tutorial ami annyira népszerű, hogy sticky topic lett belőle, és abban sem fogsz találni egyetlen egy egy konfig példát sem, amiben több bridge van fölvéve egy eszközön. Ez egyértelművé teszi azt, hogy mi a követendő példa.
Ennek ellenére persze mondhatod azt, hogy szerinted hülyeség amit csináltam. Állíthatod azt is hogy rossz. Akkor maradjunk annyiban, hogy nem egyezik a véleményünk. :-)
- A hozzászóláshoz be kell jelentkezni
nem hiszem, h érdemes volna vitatkozni a bridging szokásokról, pláne CCR vs hAP viszonylatban.
Vannak eszközök, amikben nincsen switch chip (pl CCR széria) és vannak eszközök amikben van(nak) switch chip(ek). Ezeket vagy bridge/vlan filtering részen belül lehet rábírni HW offload-ed vlan-ozásra (wirespeed) vagy máshol.
Azt, hogy milyen funckiót tud a HW offload-olni és miket nem, megint switch chipje válogatja
"amiben több bridge van fölvéve egy eszközön" - CRS eszközökön legalábbis egyetlen bridge tud HW offload-ot, több bridge lehet - bár hozzáteszem, h nekem már akkor is volt gondom CRS-el ha volt egy másik bridge - hozzárendelt portok nélkül... Lehet, h qrvanagy találmány ROS-on keresztül programozni a Marvel chip-et, de ha megcsúszik az információ valahol, igen érdekes dolgok tudnak előfordulni...
- A hozzászóláshoz be kell jelentkezni
Ez tényleg így van, az HAP AC2-ben levő switch chip is csak akkor tud hw offload-ot, ha egyetlen egy bridge van létrehozva. Ha már kettőt csinálsz, akkor nem megy. De ebben a konkrét konfigban ez nem számít, mert az eszközök nagy része külön switch-en van, ami egyetlen trunk porton van összekötve a router-rel. Ráadásul az inter-vlan kommunikáció is szinte nulla.
- A hozzászóláshoz be kell jelentkezni
Nekem?
Nem tudtam, hogy debtamas88-nak hívnak..
Nehezen venném magamra, ha egyszer nem nekem írtad.
De azért utánanéztem a kedvedért:
https://mum.mikrotik.com/presentations/EU19/presentation_6567_155237748…
A vlan-filteringet 2018-09-10/V6.43 óta tudja a RouterOS, és mondjuk olyan V6.45 óta rendben is működik, mint ahogy olyan sincs, hogy régi, meg új CCR, meg HAPAC2, csak CCR van, meg HAPAC2, és RouterOS. Talán az egyetlen dolog, ami régi, az a ROS LTS.
De, ami a konkrétumokat illeti:
Nyilván én is tudom, hogy a vlan-filtering hogyan működik, éppen ezért ezt nem is vitattam, csak a hangnemet vitattam.
Ámbátor kitartok azon állításom mellett is, hogy, ha az MT ipsec moduljában ilyen szintű hibák lennének, akkor annak kellene nyoma legyen az MT fórumon, nagyobb számú felhasználói visszajelzés formájában.
- A hozzászóláshoz be kell jelentkezni
Rendben, elnézést kérek mindenkitől akit megbántottam. Nem volt szándékos.
Az még mindig nem világos, hogy mi okozza ezt. A hivatalos mikrotik fórumon is kielemezték már ezt a konfigot, és a végén Sindy (aki ott egy gurunak számít) azt mondta, hogy küldjek be bug report-ot.
Én örülnék a legjobban, ha kiderülne hogy ez nem egy RouterOS bug, hanem én konfiguráltam félre valamit. Számomra elég nehezen elképzelhető, hogy egy rossz konfiguráció olyat okozzon, hogy "néha működik de általában nem". Persze ettől még lehet hogy ez konfigurációs hiba, viszont nincs rá bizonyíték. Eddig még senki nem tudta megmondani, hogy pontosan hol van elrontva.
Azt is meg tudom érteni, ha valakinek ez a konfiguráció túl komplex, túl hosszú stb. A felépítéséről nem nagyon lehet objektív véleményt mondani a felhasználás módja, az igények és a működési környezet ismerete nélkül. A "töröld ki az egészet és kezd újra" típusú válasz számomra azért nem segít túl sokat, mert ha újrakezdeném, akkor is kb. ugyanígy építeném föl, és valószínűleg ugyan ez a hiba újra előjönne.
Az segítene igazán, ha valaki meg tudná mondani, hogy hol van félrekonfigurálva. Amíg ez nem történik meg, addig legfeljebb valószínűségeket lehet mondani arról, hogy ez OS hiba vagy konfig hiba. Addig semmi nem biztos.
- A hozzászóláshoz be kell jelentkezni
> mert ha újrakezdeném, akkor is kb. ugyanígy építeném föl, és valószínűleg ugyan ez a hiba újra előjönne
De legalább pontosan tudnád, hogy mitől romlik el, és akkor már a supportnak is tudod mutatni az egyszerű reprót.
- A hozzászóláshoz be kell jelentkezni
> De legalább pontosan tudnád, hogy mitől romlik el, és akkor már a supportnak is tudod mutatni az egyszerű reprót.
Szerintem meg nem tudnám. Ez egy olyan hiba, ami nem "valamitől elromlott", hanem "sosem működött". Tehát a konfig újraépítés közben nem lenne egy konkrét lépés "amitől elromlik".
- A hozzászóláshoz be kell jelentkezni
Félreérted.
Ha van egy lecsupaszított konfigod, amikor már megy a tunnel és még megy a ping (feltételezzük, hogy ez egy alap konfiggal tuti menne), ezután elkezded a konfigod többi részét visszatenni, akkor látnád, melyik lépésben romlik el (feltételezzük, hogy a konfigod valamelyik része az, amitől elromlik).
- A hozzászóláshoz be kell jelentkezni
Rossz a feltételezés. A ping router-router között sosem ment.
- A hozzászóláshoz be kell jelentkezni
Ugye ez úgy van, hogy először létrehozod a bridge-t meg a vlan-okat. Ha ez készen van, akkor tudsz ipsec alagutat csinálni (mert amíg nincsenek meg a vlan interface-ek, addig címek sincsenek amire policy-t lehetne fölírni). Szóval először meg KELL csinálni a vlan-okat mindkét oldalon, és UTÁNA lehet felépíteni a tunnel-t. De a tunnel-en keresztül a router-router közötti ping, VLAN-on levő címekkel soha nem ment. Ezért a "kezd újra az elejéről" sajnos nem jó.
- A hozzászóláshoz be kell jelentkezni
először összerakod a site2site vpn-t, megnézed, h pingel-e (fog) majd utána soronként visszarakod a konfigod többi részét, mindegyik után ping-elve egyet, majd kiderül, hol romlik el...
- A hozzászóláshoz be kell jelentkezni
A sit2site vpn mindkét oldalon vlan-okat köt össze. Emiatt először létre kell hozni a vlan-okat, és a közöttük lévő VPN-t csak utána lehet. És nem, nem lehet pingelni rögtön a site2site vpn felállítása után se. Szóval nem tudom értelmezni azt a részt, hogy "utána soronként visszarakod". Nincsenek olyan sorok, amiknek a berakasa után elromlik. Ez nem elromlik, hanem a kezdetektől fogva rossz.
Kivéve persze azt az esetet (erre tegnap jöttem rá), amikor a tunnel két vlan-okon és bridge-eken kívüli címekre van létrehozva. De ez nem oldja meg az eredeti problémát, hanem csak megkerüli. Ettől még nem fogom tudni, hogy az eredeti konfiggal mi a baj.
- A hozzászóláshoz be kell jelentkezni
Közben találtam egy workaround-ot ami működik. Ha a VPN tunnel mindkét oldalán fölveszek egy-egy olyan címet, ami VLAN-on kívül van, akkor működik.
Példa, responder oldalon:
/ip address
add address=10.14.201.1/24 network=10.14.201.0 interface=ipsec comment=X
/ip route
add comment="VPN to magnet-X" distance=1 dst-address=10.19.201.0/24 gateway=ipsec pref-src=10.14.201.1
/ip ipsec policy
add comment=office.magzatom.hu-X dst-address=10.19.0.0/16 group=group-magzatom proposal=proposal-s2s-ros src-address=\
10.14.201.0/24 template=yes
/ip dns static
# Az FWD DNS bejegyzések módosítása *.magnet , ".*\.19\.168\.192.\in-addr\.arpa" and ".*\.19\.10.\in-addr\.arpa"
set 7,8,9 forward-to=10.19.201.1Initiator oldalon:
add address=10.19.201.1/24 network=10.19.201.0 interface=ipsec comment=X
/ip route
add comment="VPN to lacinet-X" distance=1 dst-address=10.14.201.0/24 gateway=ipsec pref-src=10.19.201.1
/ip ipsec policy
add dst-address=10.14.201.0/24 peer=laci.mess.hu proposal=proposal-s2s-ros src-address=10.19.0.0/16 tunnel=yes
/ip firewall filter
add chain=input action=accept protocol=udp dst-port=53 src-address=10.14.201.0/24 place-before=5 comment=XEzeken a címeken keresztül a két router eléri egymást, DNS is megy. Ha például egy saját LAN-ban levő gépen csinálon traceroute-ot:
C:\Users\nagyl>tracert nvr.magnet
Tracing route to nvr.magnet [10.19.30.10]
over a maximum of 30 hops:
1 1 ms 1 ms 1 ms router.lacinet [192.168.14.254]
2 39 ms 38 ms 39 ms r01.magnet [192.168.19.254]
3 46 ms 49 ms 57 ms nvr.magnet [10.19.30.10]
Trace complete.Egyrészt az "nvr.magnet" resolve-ozik a 10.19.30.10 -re, másrészt a traceroute kimenetében minden sorhoz van egy hostname, tehát a reverse DNS is működik.
Ami az érdekesség ebben, hogy a router-router kommunikáció a következő címek között működik:
- ha a responder oldalon van VLAN és az initiator oldalon nincs VLAN, akkor működik mindkét irányba
- ha a responder oldalon nincs VLAN és az initiator oldalon nincs VLAN, akkor működik mindkét irányba
- ha a responder oldalon van VLAN és az initiator oldalon van VLAN, akkor általában nem működik egyik irányba se, de néha (random módon) működik mindkét irányba
Azt még mindig nem tudom, hogy mi okozza a hibát. Bár az most már elég valószínű, hogy VLAN-okkal kapcsolatos.
- Én továbbra is azt tartom valószínűnek, hogy ez egy bug. Azért, mert ha egy konfigurációs hiba lenne, akkor az nagyjából kizárná a "néha mégis működik" jelenséget.
- De továbbra is nyitott vagyok minden észrevételre. Ha valaki mond egy konkrét dolgot amit meg kellene változtatnom és kipróbálnom, akkor azt meg fogom tenni.
- Kivéve a "kezd újra az elejéről" dolgot. Mivel nem tudom hogy mi okozza, és mivel pontosan ugyan így építeném föl ha újrakezdeném, ezért a hiba is pontosan ugyan így előjönne. Ezért ez a "kezd újra az elejéről" nem segít.
Ez mostantól kezdve nekem low priority, mert találtam egy workaround-ot.
- A hozzászóláshoz be kell jelentkezni
Szerintem a workaroundot kuldd el a multkori topicodba a Mikrotiknek a forumon, hogy ra tudjanak mutatni a kulonbsegre, mert tovabbra is azt gondolom, a konfig a hibas, nem a Tik.
- A hozzászóláshoz be kell jelentkezni
Beküldtem, meglátjuk lesz-e válasz. Ha lesz, és kiderül hogy mégis config hiba, akkor nagyon kíváncsi leszek arra hogy milyen konfig tud ilyen "általában nem megy de néha mégis" jelenségekt okozni.
- A hozzászóláshoz be kell jelentkezni
Szép találat. Gratulálok hozzá.
Tanulságos. Mondjuk a policy based routing továbbra sem kedvencem, ahol lehet ott inkább WireGuard (ROS 7 is ismeri). Ennek van interfésze, így mehet rá a végponti ip cím és a routing.
- A hozzászóláshoz be kell jelentkezni
Igen, nos ezen az eszközön (HAP AC2) nem lehet telepíteni ROS 7-et.
- A hozzászóláshoz be kell jelentkezni
Miért nem lehet? Nekem az elődjén (hap ac) is 7.1.3 van és jól működik.
- A hozzászóláshoz be kell jelentkezni
Simán felmegy.
board-name: hAP ac^2
model: RBD52G-5HacD2HnD
serial-number: xxxxxxxxxxxxxx
firmware-type: ipq4000L
factory-firmware: 6.43.10
current-firmware: 7.1.3
upgrade-firmware: 7.1.3
[admin@pppoe-router-ac2] >
- A hozzászóláshoz be kell jelentkezni
Akkor talán szerencséd van, és olyan verziód van amiben 256MB memória van. Vannak időszakok amikor nem tudnak beszerezni 128MB-os memória modult, és olyankor 256MB-ossal szerelik őket. De hivatalosan (és az eszközök nagy részénél) 128MB memória van benne, és arra nem lehet ROS 7-et telepíteni. Legalábbis, hivatalosan nem támogatott.
- A hozzászóláshoz be kell jelentkezni
[admin@pppoe-router-ac2] > /system/resource/print
uptime: 1w6d17h20m30s
version: 7.1.3 (stable)
build-time: Feb/11/2022 19:20:55
factory-software: 6.43.10
free-memory: 55.3MiB
total-memory: 128.0MiB
...
board-name: hAP ac^2
- A hozzászóláshoz be kell jelentkezni
256MB RAM az a wave2 csomagnak kell (extra). Így csak az eddig ismert klasszikus WiFi csomag van alatta.
De ettől a ROS 7.1 alap WiFi csomaggal és sok egyébbel felmegy rá. Sőt a legkisebb hAP lite-ra is felment itthon a ROS 7.1.
- A hozzászóláshoz be kell jelentkezni
Nahát! Akkor ezt ki kell próbálnom. :-) Biztos a wave2-vel kevertem.
Mennyire stabil a v7? Érdemes prod környezetben használni?
- A hozzászóláshoz be kell jelentkezni
(ha jól tudom a v7 még nem támogatja a capsmant....)
"The only valid measurement of code quality: WTFs/min"
- A hozzászóláshoz be kell jelentkezni
Támogatja, bár nekem azzal konkrétan instabil volt a wifi hap ac-n.
- A hozzászóláshoz be kell jelentkezni
Ez gond lesz, mert mindkét oldalon van CAPsMAN is. Pedig már kezdtem örülni. :-(
Rendeltem még egy HAP AC2-őt, kipróbálom rajta a RouterOS 7-et. Lehet az lesz a vége, hogy CAPsMAN helyett kézzel beállítom minden AP-n külön külön az SSID-t. Összesen 2-3 AP van minden site-on, szóval lehet hogy jobban járok wireguard-dal, és CAPsMAN nélkül, mint IKEv2/IPSEC-cel és CAPsMAN-nel.
- A hozzászóláshoz be kell jelentkezni
Próbáld azért ki capsman-nel, lehet, hogy nálad nem jön elő. (ráadásul másik hardver én sima hap ac-n használtam)
Nálam az volt a jelenség, hogy mondjuk fél óránként/óránként/x időnként egyszerűen megállt a forgalom. Nem szakadt le a kliens, de nem ment forgalom, se local, se az internet felé. Aztán kb 1-2 perc várakozás után újra ment tovább. (vagy ha kézzel elbontottad, visszakapcsolódtál, akkor általában megjavult)
Logokban semmi, még debug szinten sem.
- A hozzászóláshoz be kell jelentkezni
Ez úgy gondolom, ráillik a Mikrotik-féle "improved system stability" changelog bejegyzésre.
- A hozzászóláshoz be kell jelentkezni
Kockáztattam. Frissítettem mindkét oldalt v7 -re. Töröltem az IKEv2/IPSEC alagutakat, csináltam helyette wireguard-ot. Bár még most használtam először, de a konfigja sokkal egyszerűbb. Elsőre működik minden, úgy ahogy kell. Nagyon tetszik, hogy normál route-okat és címeket használ, és van interface-je. Őszintén szólva, az interface nélküli IPSEC, amiben kell hogy legyen route, de soha nem éri el a route célban megadott interface-t, mindig is túl bonyolultnak és körülményesnek tűnt.
Egyelőre a CAPsMAN is működik, még nem tapasztaltam problémát. Kopp kopp. :-)
- A hozzászóláshoz be kell jelentkezni
Két nap használat után, a CAPsMAN még mindig stabil.
- A hozzászóláshoz be kell jelentkezni
Manager és kliens is? Vagy csak az egyik? ROS7 verziója?
- A hozzászóláshoz be kell jelentkezni
Pedig a 7.1.1-ben volt utoljára capsman bejegyzés:
*) capsman - improved system stability when processing CAP packet by Mangle;
7.1.3-ban is rossz még?
- A hozzászóláshoz be kell jelentkezni
Nem tudom, kidobtam és átálltam ubi-ra. A wireguard többet ért, mint a wifi-je, nem akartam v6-ra visszaállni.
De másnak meg nem volt vele baja 7.0-n sem, szóval nem biztos, hogy az én tapasztalatom releváns.
De túl sok időt csesztem el vele és meguntam.
- A hozzászóláshoz be kell jelentkezni
Akkor ezek szerint HAP AC2-re fölmegy a wireguard is? OpenVPN szerver hw támogatással? Esetleg fq_codel és cake? Ezeket nagyon ki akartam próbálni.
- A hozzászóláshoz be kell jelentkezni
Default benne van (elso pillanattol kezdve hasznalom, es atomstabilnak is tapasztalom a 7-es agat is. OpenVPN-t Tiken nem hasznalok, ahhoz nem tudok hozzaszolni.
- A hozzászóláshoz be kell jelentkezni
OpenVPN végre tudja az UDP módot, bár az otthoni HAP AC2-n a Wireguard győzőtt, mert kevésbé kínozza telefon/tablet akksit a VPN forgalmának titkosítása/bontása.
- A hozzászóláshoz be kell jelentkezni
Nekem is van a legkisebb hAP lite on 7.1.3, szóval nem tudod, honnan szedted a fenti infódat.
Fedora 41, Thinkpad x280
- A hozzászóláshoz be kell jelentkezni
.
- A hozzászóláshoz be kell jelentkezni
Nos, újabb meglepetés ért. a VLAN-okon kívül fölvett címekkel stabilan működött a kapcsolat, több mint egy napig. Ma reggel már ez se működik. Ugyan az a jelenség: az összes csomagra visszaérkezik a válasz, és a firewall accept rule-t eléri, utána mégis timeout lesz. Halál komolyan, több mint egy napig működött hibátlanul, és most meg nem megy.
- A hozzászóláshoz be kell jelentkezni