JOPS: Co to je za screenshot (z ceho?) IP address: to ip adresa LAN rozhrani, kde bezi dhcp server?

JOPS: tyvoe co to je za nesmysl :-o

LEXXA:

KUTNY:

neco exotickeho :) okolo tohohle routeru chodim po spickach :) tam se bojim na cokoliv kliknout :)

ale nejakej jemnej problem tam je. Ale nemuzu rict presne v cem. Natvrdo jsem do Nintenda flaknul volnou IP, plus DNS server meho poskytovatele (ten samej co mam v routeru) a jede to v pohode. Nevim proc si tu IP ze serveru nevezme.

a z ceho jsem tak trochu nervozni, tak je DHCP Server Range - 192.168.1.10-192.168.88.240 (viz obrazek)

zkousim misto 192.168.88.240 dat hodnotu 192.168.1.240 a ani prd. Vzdycky se mi to vrati na 88.

JOPS: Na mikrotiku muzes v natrojichc pustit "packet capture" a podivat se, zda to co odchazi od konzole do Inetu opusti mikrotik a zda z Internetu prijde odpoved a projde mikrotikem ke konzoli.

Jeste bych na MT vyplnu FW service port podporu

ip firewall service-port print

Predklad adres mas napsany jako masq nebo nat (chain=srcnat action=src-nat )?

JOPS: dns? routy? nemas tam neco exotickeho?

hoj lidi, verim, ze me budete schopni postouchnout.

k Vanocum jsem dostal Nintendo Switch.

Mam do baraku optiku a po baraku to taham kabelem, nebo neco pomoci WiFi. Router mam Mikrotik

kdyz chci pripojit Nintendo, vidim obe site (2,4GHz a 5GHz) zadam heslo. Dam pripojit a prijde mi, ze se k routeru pripoji, ale neni schopne se to dostat na net.

vyskoci tahle obrazovka, prvni fajfku mam zelene a misto druhe fajfky mezi routerem a internetem je KRIZEK






tak jsem sel k sousedovi, ten mam to same pripojeni, ale jinej router a tam jsem se dostal na net na prvni dobrou....

Wifi mi na vsech ostatnich zarizenich jede v pohode. Mobily, tablety. Jediny co si rikam, zda tam neni nekde limit na pocet pripojenych zarizeni....

TLOUDEV: super, dekuji moc.

LEXXA: IMHO by v podstate mohly byt stejne, jelikoz jsou to ruzne tabulky, ale ciste kvuli prehlednosti pridavam ke konexim "_conn" suffix

TLOUDEV: uz jsem doma. dekuji. jen posledni otazka. conn mark a packet mark musi byt odlisne? vsude v navodech nachazim ze znacka paketu je stejna (mozna proto me to zmatlo)

..a to packet pravidlo - si vsimni - ma podminku connection-mark=.... cili omarkujes pouze packety nalezici tomu spojeni. tyto packetmarks jsou pak zakladem pro HTB (resp. queue tree)

LEXXA: ehm...
presne naopak. passthrough urcuje, zda paket bude pokracovat do dalsich pravidel, cili o connmark das passthrough yes a u packetmark das passthrough no, abys eliminoval zbyla mangle pravidla.

0 chain=prerouting action=mark-connection new-connection-mark=vpn_conn passthrough=yes protocol=tcp src-address=X.X.X.X in-interface=QOS-BRIDGE src-port=7000 in-bridge-port=EXT

1 chain=prerouting action=mark-packet new-packet-mark=forvpn passthrough=no in-interface=QOS-BRIDGE connection-mark=vpn_conn in-bridge-port=EXT

TLOUDEV: takze udelam pravidlo 1 kde definuji spojeni a markuji bez passthrough. pak pravidlo 2 kde markuji pakety ktery maji danou connection mark s passthrough?

(shodou okolnosti jsem to same resil asi pred mesicem, takze jsem to celkem musel nastudovat)

LEXXA: hele uplne jesem nepochopil, kde se ukryva ta otazka - spis mi to prijde jako konstatovani. ohledne tutorialu si vsimni, ze oznaci nejprve spojeni s parametrem passthrough, a pote samotne pakety nalezici spojeni. v zasade je oznaceni spojeni kvuli oznaceni paketu. (connmark vs packetmark). do front jdou pakety - nikoli spojeni. je na tom neco nejasneho? klidne se ptej ;-)

mam takovou otazku.
uplne nerozumim frontam a "nejak jsem to nastavil"
ve firewall mangle jsem oznacoval pakety podle nejakych kriterii a pak jsem udelal queue tree. slapalo to snad nejak a snad dobre (mam definovane priority a nedefinoval jsem rychlost)
vcera je popadl amok a misto oznacovani paketu jsem ty same pravidla preklikal aby oznacovaly spojeni.
problem je v tom ze uz nevim jak presvedcit frontu aby zasahla protoze tam se ocekava oznaceny paket.
snazil jsem se googlit ale vsechny tutorialy tak nejak oznacuji pakety a to je vse.

za radu budu vdecny

AHARAZ: Dík za kopanec.

Jasně, že to celou dobu funguje, bohajeho já sem takovej kretén.
Mám tady vedle sebe hozenej jen ten MT k němu starý wla jako klienta pro připojení wifiny z mobilu a nějakej DSL modem kde sem píchlej do lan portu a využívám ho jen jako AP, na který se připojuju s bookem když chci nastavovat MK. Je pravda že tam na lan de nastavit jen IP a maska, nikoliv brána, to mě v tu chvíli vůbec nedocvaklo.

PISTA1:
Ja pouzivam na pobocky OVPN a SSTP pro cestujici Windows, protože mi vyslo pred lety jako nejmene problematicke. A tahle se chova spatne nastaveni firewallu a nebo routovani.

Jeste by mohl byt problem v tom ze APcko .200 nevi kde je brana... Coz tedy APcko v bridge modu vedet nemusi k tomu, aby plnilo svoji funkci, ale pak nebude odpovídat na ping do jiné site... Ale perdpokladam zes zkousel ping i na něco jiného za Mikrotikem.
A tedy mit maskaradu jinam, nez do internetu nemá smysl, protoze se pak schova cela sit při routovani "uvnitr".

TLOUDEV: Povolený ICMP pro wan mám na svým RB kvuli tomu abych si moh pingnout z netu, tady postrádá smysl. Ty vrchní pravidla sem překopíroval z netu abych vůbec rozjel tunel. Tohle bylo u toho ale nemá to na nic vliv takže to mám vyplý.

AHARAZ: 1,2 To sem zkoušel a nemá to na to vliv.

Sem to teď zkoušel smazat a nastavit to celý znova, samodřejmě že nic.

Já jen doprd... fakt nechápu z jakýho důvodu to jednostraně nefunguje, když sou na obou MT absolutně stejný nastavaní a pravidla.

PISTA1:
1. maskaradu si dej jen na iface do internetu. protoze jinak ti to skreje tu vnitrni sit za mikrotik i pro vpnku - teda pokud to na obrazku byl skutecne ping z nejakho pc a ne primo z mikrotiku
2. pravidlo pro forward si udelej i z druhe strany tj z 192.168.10/24 na 192.168.20.1

PISTA1: v tech pravidlech nevidim zadne input pravidlo pro sit 2. input accept icmp mas jen pro 1 wan. ale je fakt, ze nevim, jaka je default input policy. navrch tam mas na inputu globalni pravidlo jump-target ppp, ale chain ppp nevidim.

sem to vzal ze zoufalství do práce, jestli to náhodou nedělá připojení přes sdílenou wifi z mobilu a co myslíte, nedělá :(