• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
    • přihlásit
    registrace
    ztracené heslo?
    SHORTYMikrotik, Alix a jina mala reseni... Arduino, RaspberryPi, Mikrotik, Alix a jina mala reseni...

    OS

    imedialinux.com
    Voyage Linux
    RouterOS/

    Platformy

    PC Engines
    Mikrotik

    Prislusenstvi

    ...

    Reseni

    router, prehravac, ap, monitorovatko, filestorage
    rozbalit záhlaví
    TEAPACK
    TEAPACK --- ---
    1 odpověď
    LEXXA: na terminál obou se dostanu vždycky =)
    LEXXA
    LEXXA --- ---
    1 odpověď+1
    TEAPACK: Vecer ti to sepisu. Vesmes je to easy kdyz mas obe krabice dostupne. Pak je to copy paste.
    JOINTER
    JOINTER --- ---
    1 odpověď
    TEAPACK: Ja se s tim kdysi sral podobne, dlouho jsem mel PPTP, pak jsem zkousel L2TP a dneska mam Wireguard. Hodne silne doporucuju ten, pokud nemas nejaky technicky duvod proc to nelze.
    TEAPACK
    TEAPACK --- ---
    1 odpověď
    LEXXA: a máš nějaký rozumný návod, podle kterého to můžu zkusit rozjet? O:)
    TEAPACK
    TEAPACK --- ---
    CHOROBA: TS_UNACCEPTABLE ... 
    28	Jan/07/2025 15:21:37	memory	ipsec	init child for policy: 192.168.3.0/24 <=> 192.168.1.0/24	
29	Jan/07/2025 15:21:37	memory	ipsec	init child continue	
30	Jan/07/2025 15:21:37	memory	ipsec	offering proto: 3	
31	Jan/07/2025 15:21:37	memory	ipsec	proposal #1	
32	Jan/07/2025 15:21:37	memory	ipsec	enc: aes256-cbc	
33	Jan/07/2025 15:21:37	memory	ipsec	auth: sha256	
34	Jan/07/2025 15:21:37	memory	ipsec	dh: modp1536	
35	Jan/07/2025 15:21:37	memory	ipsec	adding payload: NONCE	
38	Jan/07/2025 15:21:37	memory	ipsec	adding payload: KE	
47	Jan/07/2025 15:21:37	memory	ipsec	adding payload: SA	
51	Jan/07/2025 15:21:37	memory	ipsec	initiator selector: 192.168.3.0/24 	
52	Jan/07/2025 15:21:37	memory	ipsec	adding payload: TS_I	
55	Jan/07/2025 15:21:37	memory	ipsec	responder selector: 192.168.1.0/24 	
56	Jan/07/2025 15:21:37	memory	ipsec	adding payload: TS_R	
59	Jan/07/2025 15:21:37	memory	ipsec	<- ike2 request, exchange: CREATE_CHILD_SA:77 ***.***.***.107[4500] 03807...
74	Jan/07/2025 15:21:37	memory	ipsec	adding payload: ENC	
112	Jan/07/2025 15:21:37	memory	ipsec	-> ike2 reply, exchange: CREATE_CHILD_SA:77 ***.***.***.107[4500] 03807....
113	Jan/07/2025 15:21:37	memory	ipsec	payload seen: ENC (228 bytes)	
114	Jan/07/2025 15:21:37	memory	ipsec	processing payload: ENC	
121	Jan/07/2025 15:21:37	memory	ipsec	payload seen: NOTIFY (8 bytes)	
122	Jan/07/2025 15:21:37	memory	ipsec	create child: initiator finish	
123	Jan/07/2025 15:21:37	memory	ipsec	processing payloads: NOTIFY	
124	Jan/07/2025 15:21:37	memory	ipsec	notify: TS_UNACCEPTABLE	
125	Jan/07/2025 15:21:37	memory	ipsec	got error: TS_UNACCEPTABLE	
126	Jan/07/2025 15:21:42	memory	ipsec	ph2 possible after ph1 creation
    LEXXA
    LEXXA --- ---
    1 odpověď+5
    CHOROBA: Ti nevim. Od doby co jsem pochopil wireguard tak ho taham vsude, i na zachod :)
    CHOROBA
    CHOROBA --- ---
    3 odpovědi
    confgi mi pripada vcelku ok. se mrkni co to pise v logu
    LEXXA: protoze to funguje ;)
    TEAPACK
    TEAPACK --- ---
    LEXXA: protože mi to přišlo jako vhodné řešení pro propojení dvou až tří míst kvůli pravidelnému monitoringu - logování spotřeb z elektroměrů, teploty v topných okruzích atp...
    LEXXA
    LEXXA --- ---
    2 odpovědi
    TEAPACK: Moc jsem to nezkoumal priznam se ale nez se pustime do slozitejsiho loveni paketu se tak nesmele zeptam, proc ipsec?
    TEAPACK
    TEAPACK --- ---
    2 odpovědi
    CHOROBA: zatím je to 1:1, ale plánuju přidat ještě třetí bod a navíc jeden (kde teď sedím) může být připojený přes 2 providery, takže u něj budu muset přidat i druhou adresu... teda, až to rozchodím aspoň 1:1 ...

    /ip ipsec profile
add dh-group=modp1536 enc-algorithm=aes-256 hash-algorithm=sha256 name=\
    Pb_main
/ip ipsec peer
add address=***.***.***.107/32 comment="Tunel LvG" \
    exchange-mode=ike2 name=peer_LG profile=Pb_main \
    send-initial-contact=no
/ip ipsec proposal
set [ find default=yes ] disabled=yes
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=prop_LB \
    pfs-group=modp1536
/ip pool
add name=dhcp ranges=192.168.0.224/27

/ip settings
set send-redirects=no

/ip address
add address=192.168.0.1/20 comment=defconf interface=bridge network=\
    192.168.0.0
add address=***.***.***.69/28 interface=p1_G network=***.***.***.64
add address=***.***.***.20/24 interface=p2_A network=***.***.***.0
/ip dhcp-client
add comment=defconf interface=p1_G

/ip dhcp-server network
add address=192.168.0.224/27 comment="wifi & unbound" gateway=192.168.0.1 \
    netmask=27
add address=192.168.2.0/23 gateway=192.168.0.1 netmask=23
add address=192.168.10.0/24 comment="RFVE Ip Pool" gateway=192.168.0.1 \
    netmask=24

/ip dns
set allow-remote-requests=yes servers=8.8.4.4

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
/ip firewall nat
add action=accept chain=srcnat comment="Tunel LB" dst-address=\
    192.168.1.0/25 log=yes src-address=192.168.3.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none log-prefix=GOut out-interface-list=WAN

/ip ipsec identity
add peer=peer_LG
/ip ipsec policy
add dst-address=192.168.1.0/24 peer=peer_LG proposal=prop_LB \
    src-address=192.168.3.0/24 tunnel=yes
/ip route
add distance=1 gateway=***.***.***.65
add distance=2 gateway=***.***.***.254

/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/system clock
set time-zone-name=Europe/Prague
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
    CHOROBA
    CHOROBA --- ---
    1 odpověď
    a mas 1:1 nat, nebo porty? hod config spis
    TEAPACK
    TEAPACK --- ---
    Nastavoval jste někdo IPSec pro routery za NATem?
    Mám 2 routery, kde každý je natovaný přímo na veřejku a potřebuju mezi nima udělat tunel. nastavil jsem si IPSec, policy, peery atp. pravidlo na NATu a v active-peers vidím routery navzájem.

    Jakmile zkusím PINGnout z jedné sítě do druhé, tak counter v NATu zůstává na nule a v active peers druhý router zmizí.

    Tušíte, co hledat?
    RAINBOF
    RAINBOF --- ---
    PISKVOR: talze reseni to nema. Protože ten log kam se divam totiz loguje i pokusy coz je před tim bez je bloknut. Vyresil jsem rozdelenim na blokovane zaznamy a zbytek. Blokovane loguju jinam a rotouju sólo.
    VITEX
    VITEX --- ---
    +6
    Pi modder successfully adds M.2 slot to Pi 500 | Jeff Geerling
    https://www.jeffgeerling.com/blog/2024/pi-modder-successfully-adds-m2-slot-pi-500
    PISKVOR
    PISKVOR --- ---
    1 odpověď
    RAINBOF: V appce Unifi se proklikáš ke konkrétnímu klientovi a dáš Block. Radius ti radí, protože bez něj je vždycky možnost, že tam vleze přes nějaký non-unifi AP
    RAINBOF
    RAINBOF --- ---
    CHOROBA: to jsem uz zkusil a nema to efekt.
    CHOROBA
    CHOROBA --- ---
    1 odpověď
    https://help.ui.com/hc/en-us/articles/18565355579799-MAC-Address-Restricting
    RAINBOF
    RAINBOF --- ---
    1 odpověď
    mam otazecku na unify, nevite jak zablokovat mac nejakeho vadneho zarizeni rovnou na APcku ? Podle unify bych mel mit jejich radius abych to mohl delat ale me to prijde jako overkill. problem totiz je je ze mi to vytrari hodne logu.
    VITEX
    VITEX --- ---
    +3
    Backportoval jsem Debian 12 balíčky zabbix 7.0.4 pro armhf - http://repo.vitexsoftware.cz/pool/backports/z/zabbix/
    CHOROBA
    CHOROBA --- ---
    LEXXA: nejde ;) nahlas bug.
    LEXXA
    LEXXA --- ---
    1 odpověď
    Heledte s tim winboxem.
    Muzete mi prosim potvrdit jeden asi nejspis mozna bug.
    Linux, wayland, gnome
    Ip/firewall/raw
    Jste schopni mysi pretahovat a menit poradi pravidel?
    Na widlich mi to slape bez problemu
    Ale zase muj linux je divnej a vykresluje si exoticke aplky vseljak..
    Kliknutím sem můžete změnit nastavení reklam