Sziasztok!
OpenWRT (Linux) alatt a dnsmasq a DHCP-n kiosztott IP-ket bejegyzi a helyi LAN-ba, így név szerint lehet elérni
az eszközöket, mindenféle trükk nélkül.
Van ilyen a RouterOS-ben?
Vagy valami megoldás erre?
Köszönöm!
BIX stat alapján átálltak a másik portjukra. Tud valaki részleteket?
Sziasztok!
20:28:37 pppoe,info PPPoE connection established from 94:83:C4:1F:X:Y
20:28:37 pppoe,ppp,error <c0b8>: user <my-id>@t-online.hu authentication failed
20:28:42 pppoe,info PPPoE connection established from 94:83:C4:1F:X:Y
20:28:42 pppoe,ppp,error <c0b9>: user <ny-id>@t-online.hu authentication failed
20:28:48 pppoe,info PPPoE connection established from 94:83:C4:1F:X:Y
20:28:48 pppoe,ppp,error <c0ba>: user <my-id>@t-online.hu authentication failed
20:28:53 pppoe,info PPPoE connection established from 94:83:C4:1F:X:Y
20:28:53 pppoe,ppp,error <c0bb>: user <my-id>@t-online.hu authentication failed
20:28:58 pppoe,info PPPoE connection established from 94:83:C4:1F:X:Y
20:28:59 pppoe,ppp,error <c0bc>: user <my-id>@t-online.hu authentication failed
...
Ebből kilóra van a log-ban!
pppoe-out1 interfész megy:
| Last Link Down Time | Feb/18/2024 19:01:30 | |
| Last Link Up Time | Feb/18/2024 19:01:41 | |
| Link Downs | 5 | |
| Uptime | 2d 01:31:22 |
Mi lehet itt a baj?
Köszönöm!
[rattila@DHMTr] > ping ipv6.google.com
invalid value for argument address:
invalid value of mac-address, mac address required
invalid value for argument ipv6-address
failure: dns name exists, but no appropriate record
[rattila@DHMTr] > ping index.hu
SEQ HOST SIZE TTL TIME STATUS
0 194.143.245.39 56 58 3ms
1 194.143.245.39 56 58 3ms
2 194.143.245.39 56 58 3ms
sent=3 received=3 packet-loss=0% min-rtt=3ms avg-rtt=3ms max-rtt=3ms
Az index.hu-nak van IPv6-os címe is ...
Hogyan lehet IPv6-os címet pingetni?
Köszönöm!
Sziasztok!
Mit kell beállítani, hogy pl. a 192.168.1.1-es címről be lehessen SSH-zni a routerbe?
LAN porton megy az SSH, a 192.168.1.1-et meg tudom pinget.
Csináltam tűzfal szabályt, ami az input-ban a legelső szabály és csak TCP+22-es port van beállítva accept-re, de nem
mozdul a számláló és nem megy az SSH.
Köszönöm!
Sziasztok!
Csak elméleti szinten kíváncsiskodok h. ki hogy szervezi az IP ACL-jeit. Igazából rossz és jó megoldás nincs szerintem, inkább az a kérdés h. hogy logikus. Szóval ebben kérném segítségeteket, véleményeteket.
Kifejtem. Tételezzük fel, van egy 3 VLAN-os hálózatom, ahol egy L3 switch a router a hálózatok között. Nyilván nem szeretném h. minden elérjen mindent, ezt ACL-ekkel remekül lehet szabályozni. Igaz h. nem stateful firewall, de az legyen a hostok úri hóbortja a szegmentációs réteg alatt.
Ki hogyan definiálja az acl groupokat, benne az acleket? Pl. vlan1 ingress 'allow-10-10-10-x' vagy esetleg 'allow-web' szemantika alapján? Tehát inkább szolgáltatás? Vagy inkább forrás network/cím alapján készítünk groupokat?
Nyilvánvalóan ugyanez a kérdés az egress-re is érvényes, de maradjunk annyiban az egyszerűség kedvéért h. most csak ingress és IP filtert kezelünk.
Köszi a válaszokat!
Bocsánat a hosszú szövegért - szeretném ha világos lenne a helyzet.
Van nekem két OPNsense tűzfalam HA rendszerbe összefogva.
Mindkettőn a LAN interface-en vannak VLAN interface-ek.
Mindkettőn megy a DHCP és válaszolnak is mindketten a kérésre.
Itt jön a csavar:
A két válasz teljesen megegyezik kivéve a netmaskot. Az egyik 255.0.0.0 a másik 255.255.255.0-t mond.
Az utóbbi a helyes.
Emiatt a kliens attól függően, hogy melyiket hallja előbb hol jó lesz hol nem.
Amit eddig csináltam:
Ellenőriztem az összes interface-en a netmaskokat a GUI-ban - OK és egyforma
Megnéztem a konzolon az interface-ek netmaskját ifconfiggal - OK és egyforma
Megnéztem a DHCP lapon, hogy mit fog hirdetni - OK és egyforma
Lementettem mindkét konfigot xml-be és diffeltem - OK és egyforma (kivéve ahol különbözőnek kell lenni)
Csináltam friss ropogós VLAN interface-t azon is ugyanez a helyzet.
Bár nem logikus, hogy segítene, de megnéztem, ha cserélek master és slave között akkor nem költözik át a hülyeség a másikra.
Konkrétabb információ:
A Master a rossz.
Master Slave
LAN IP 10.0.0.11 10.0.0.12
LAN mask 255.0.0.0 255.0.0.0
VLAN IP 172.20.1.2 172.20.1.3
VLAN mask 255.255.255.0 255.255.255.0
Vannak még interface-ek a szinkronizáláshoz és az egyes interface-eknek van CARP címe is.
Ezek jók.
A wireshark ezt látja a kliensen:
Kimegy egy DHCP request amire jön két ACK a két géptől:
Első:
Dhcp Server Identidier (Option 54): 172.20.1.2
Netmask (Option 1): 255.0.0.0
Második:
Dhcp Server Identidier (Option 54): 172.20.1.3
Netmask (Option 1): 255.255.255.0
Ami gyanús és nem értem, hogy a két szerver más lease time-ot ad meg
(a master rövidebbet a slave hosszabbat).
Megnézve a két képen a lease létezi, de más kezdeti és végidőpontokkal.
A lease táblának nem kellene szintén szinkronizálódni a HA-ban?
A helyzet a következő:
van 1 ilyen URL:
Dolby Vision streams | Dolby Developer
Innen akarnám letölteni a sample videókat. De egyiket se engedi: amint kopizom az URL-t, és másik browser tab-ban meg akarom nyitni, mindig ilyen hibaüzenetet kapok:
403 ERROR
Bad request. We can't connect to the server for this app or website at this time. There might be too much traffic or a configuration error. Try again later, or contact the app or website owner.
If you provide content to customers through CloudFront, you can find steps to troubleshoot and help prevent this error by reviewing the CloudFront documentation.
Generated by cloudfront (CloudFront) Request ID:
Több alkalommal is próbáltam, de nem adja a fájlokat sosem. Ötletem sincs mi lehet a hiba.
Létezik h. a kopi link vmi javascriptes anti-hotlinking szarságot csinál a háttérben, amit vmi adblocker megfog nálam, ezért nem lesz érvényes az URL? Mert ugyanazon a LAN-on 2 desktop gép egyikén sem megy, de ugyanezen LAN-on egy androidon meg elindult.
Sziasztok,
Használtam már párszor mikrotik eszközöket, viszont ebbe beletört a bicskám. A tünet a következő: Megnyitok egy oldalt és vagy betölt elsőre vagy sem, néha egyáltalán, több frissítés után sem, néha egy reload megoldja. Kb egy hete el vagyok ezzel akadva és nem jövök rá, hogy mi lehet a baj. Tudtok esetleg segíteni? Nagyjából minden fórumot átolvastam, kértem segítseget a hivatalos discordjukon is, ahol az MTU-ra gyanakodtak, de az sem oldotta meg.
A setup a következő: ISP modem (Vodafone, a brige mód nem opció sajnos, TG3442DE típusú csodadoboz) ---> hAP ax² RouterOS 7.13.3 ---> 1 Pc, pár laptop, mobil és tablet.
Próbáltam MTU-t csökkenteni, MSS clampelni, de amikor azt hiszem meg van oldva a hiba, akkor egyszer csak megint ebbe ütközök. Általában ez a böngésző baja: DNS_PROBE_FINISHED_NXDOMAIN. Ether1-be megy a net, állítólag elég azon belőni az mtu-t, de próbáltam levinni minden interfacen 1460-ra. Az MTU-t ezzel számoltam ki: ping 4.2.2.4 -l 1432 -f
Csatolok egy konfigot, belőttem egy nextDNS-t de azt kikapcsolva is van sajnos baj...
Nagyon köszi előre is minden olvasást, tanácsot,
B
edit: elütések
UPDATE: Vodától kértem ipv4-et, most stabil default configgal is. Köszi mindenkinek a segítseget!
/interface ethernet
set [ find default-name=ether1 ] l2mtu=1560 mtu=1460 poe-out=off
set [ find default-name=ether2 ] l2mtu=1560
set [ find default-name=ether3 ] l2mtu=1560
set [ find default-name=ether4 ] advertise=1G-baseT-half,1G-baseT-full l2mtu=1560
set [ find default-name=ether5 ] l2mtu=1560
/interface wifi
set [ find default-name=wifi1 ] channel.band=5ghz-ax .frequency=5180,5260,5500 .skip-dfs-channels=10min-cac .width=20/40/80mhz configuration.mode=ap .ssid=MikroTik-B73075 \
disabled=no security.authentication-types=wpa2-psk,wpa3-psk .ft=yes .ft-over-ds=yes
set [ find default-name=wifi2 ] channel.band=2ghz-ax .frequency=2300-7300 .skip-dfs-channels=10min-cac .width=20/40mhz comment="1560 L2MTU" configuration.mode=ap .ssid=\
MikroTik-B73075 disabled=no security.authentication-types=wpa2-psk,wpa3-psk .ft=yes .ft-over-ds=yes
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge lease-time=10m name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wifi1
add bridge=bridge comment=defconf interface=wifi2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip cloud
set update-time=no
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes use-doh-server=https://dns.nextdns.io/6ba475 verify-doh-cert=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
add address=45.90.28.0 name=dns.nextdns.io
add address=45.90.30.0 name=dns.nextdns.io
add address=2a07:a8c0:: name=dns.nextdns.io type=AAAA
add address=2a07:a8c1:: name=dns.nextdns.io type=AAAA
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward comment="drop access to clients behind NAT from WAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1
/ip firewall mangle
add action=change-mss chain=forward new-mss=1420 out-interface=ether1 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1421-65535
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set irc disabled=no
set rtsp disabled=no
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh port=2200
set api disabled=yes
set winbox address=192.168.88.0/24
/ip ssh
set strong-crypto=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Budapest
/system note
set show-at-login=no
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Másnál is előfordul, hogy a Google visszadobja a ertesites@kozpontirendszer.gov.hu címről jövő leveleket, hogy nincs benne valid Message-ID?
status=bounced (host gmail-smtp-in.l.google.com[64.233.184.26] said: 550-5.7.1 [173.249.0.195] Messages missing a valid Message-ID header are not 550-5.7.1 accepted.Update: Forward rule saját domain-es címről @gmail.com címre, ha bárhonnan máshonnak küldök teszt-levelet, az átmegy gond nélkül.