• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
    • přihlásit
    registrace
    ztracené heslo?
    SHORTYMikrotik, Alix a jina mala reseni... Arduino, RaspberryPi, Mikrotik, Alix a jina mala reseni...
    TEAPACK
    TEAPACK --- ---
    2 odpovědi
    CHOROBA: teď mi došlo, že na jednom místě mám sice interní IP routeru .0.1 a na druhém .1.1, ale celková síť prvního je od .0.0/20 jen na .1.0/24 nemá přiřazený žádný pool ani network... druhá strana nemá tak složitou síť, tak má jenom .1.1/24
    TEAPACK
    TEAPACK --- ---
    1 odpověď
    LEXXA: na terminál obou se dostanu vždycky =)
    TEAPACK
    TEAPACK --- ---
    1 odpověď
    JOINTER: mám všude mikrotiky a nejsem zaujatý proti ničemu, takže se nebráním, ale IPSec mi přišlo jako výrazně jednodušší než L2TP, které jsem taky nikdy nedotáhnul do fungujícího stavu...
    naštěstí jsem zatím měl všude počítač s rozumným terminálem a nastavené schválené IP pro vzdálené připojení, takže to občas bylo trochu jako v Inception, ale vždycky jsem to zvládnul...
    LEXXA
    LEXXA --- ---
    1 odpověď+1
    TEAPACK: Vecer ti to sepisu. Vesmes je to easy kdyz mas obe krabice dostupne. Pak je to copy paste.
    JOINTER
    JOINTER --- ---
    1 odpověď
    TEAPACK: Ja se s tim kdysi sral podobne, dlouho jsem mel PPTP, pak jsem zkousel L2TP a dneska mam Wireguard. Hodne silne doporucuju ten, pokud nemas nejaky technicky duvod proc to nelze.
    TEAPACK
    TEAPACK --- ---
    1 odpověď
    LEXXA: a máš nějaký rozumný návod, podle kterého to můžu zkusit rozjet? O:)
    TEAPACK
    TEAPACK --- ---
    CHOROBA: TS_UNACCEPTABLE ... 
    28	Jan/07/2025 15:21:37	memory	ipsec	init child for policy: 192.168.3.0/24 <=> 192.168.1.0/24	
29	Jan/07/2025 15:21:37	memory	ipsec	init child continue	
30	Jan/07/2025 15:21:37	memory	ipsec	offering proto: 3	
31	Jan/07/2025 15:21:37	memory	ipsec	proposal #1	
32	Jan/07/2025 15:21:37	memory	ipsec	enc: aes256-cbc	
33	Jan/07/2025 15:21:37	memory	ipsec	auth: sha256	
34	Jan/07/2025 15:21:37	memory	ipsec	dh: modp1536	
35	Jan/07/2025 15:21:37	memory	ipsec	adding payload: NONCE	
38	Jan/07/2025 15:21:37	memory	ipsec	adding payload: KE	
47	Jan/07/2025 15:21:37	memory	ipsec	adding payload: SA	
51	Jan/07/2025 15:21:37	memory	ipsec	initiator selector: 192.168.3.0/24 	
52	Jan/07/2025 15:21:37	memory	ipsec	adding payload: TS_I	
55	Jan/07/2025 15:21:37	memory	ipsec	responder selector: 192.168.1.0/24 	
56	Jan/07/2025 15:21:37	memory	ipsec	adding payload: TS_R	
59	Jan/07/2025 15:21:37	memory	ipsec	<- ike2 request, exchange: CREATE_CHILD_SA:77 ***.***.***.107[4500] 03807...
74	Jan/07/2025 15:21:37	memory	ipsec	adding payload: ENC	
112	Jan/07/2025 15:21:37	memory	ipsec	-> ike2 reply, exchange: CREATE_CHILD_SA:77 ***.***.***.107[4500] 03807....
113	Jan/07/2025 15:21:37	memory	ipsec	payload seen: ENC (228 bytes)	
114	Jan/07/2025 15:21:37	memory	ipsec	processing payload: ENC	
121	Jan/07/2025 15:21:37	memory	ipsec	payload seen: NOTIFY (8 bytes)	
122	Jan/07/2025 15:21:37	memory	ipsec	create child: initiator finish	
123	Jan/07/2025 15:21:37	memory	ipsec	processing payloads: NOTIFY	
124	Jan/07/2025 15:21:37	memory	ipsec	notify: TS_UNACCEPTABLE	
125	Jan/07/2025 15:21:37	memory	ipsec	got error: TS_UNACCEPTABLE	
126	Jan/07/2025 15:21:42	memory	ipsec	ph2 possible after ph1 creation
    LEXXA
    LEXXA --- ---
    1 odpověď+5
    CHOROBA: Ti nevim. Od doby co jsem pochopil wireguard tak ho taham vsude, i na zachod :)
    CHOROBA
    CHOROBA --- ---
    3 odpovědi
    confgi mi pripada vcelku ok. se mrkni co to pise v logu
    LEXXA: protoze to funguje ;)
    TEAPACK
    TEAPACK --- ---
    LEXXA: protože mi to přišlo jako vhodné řešení pro propojení dvou až tří míst kvůli pravidelnému monitoringu - logování spotřeb z elektroměrů, teploty v topných okruzích atp...
    LEXXA
    LEXXA --- ---
    2 odpovědi
    TEAPACK: Moc jsem to nezkoumal priznam se ale nez se pustime do slozitejsiho loveni paketu se tak nesmele zeptam, proc ipsec?
    TEAPACK
    TEAPACK --- ---
    2 odpovědi
    CHOROBA: zatím je to 1:1, ale plánuju přidat ještě třetí bod a navíc jeden (kde teď sedím) může být připojený přes 2 providery, takže u něj budu muset přidat i druhou adresu... teda, až to rozchodím aspoň 1:1 ...

    /ip ipsec profile
add dh-group=modp1536 enc-algorithm=aes-256 hash-algorithm=sha256 name=\
    Pb_main
/ip ipsec peer
add address=***.***.***.107/32 comment="Tunel LvG" \
    exchange-mode=ike2 name=peer_LG profile=Pb_main \
    send-initial-contact=no
/ip ipsec proposal
set [ find default=yes ] disabled=yes
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc name=prop_LB \
    pfs-group=modp1536
/ip pool
add name=dhcp ranges=192.168.0.224/27

/ip settings
set send-redirects=no

/ip address
add address=192.168.0.1/20 comment=defconf interface=bridge network=\
    192.168.0.0
add address=***.***.***.69/28 interface=p1_G network=***.***.***.64
add address=***.***.***.20/24 interface=p2_A network=***.***.***.0
/ip dhcp-client
add comment=defconf interface=p1_G

/ip dhcp-server network
add address=192.168.0.224/27 comment="wifi & unbound" gateway=192.168.0.1 \
    netmask=27
add address=192.168.2.0/23 gateway=192.168.0.1 netmask=23
add address=192.168.10.0/24 comment="RFVE Ip Pool" gateway=192.168.0.1 \
    netmask=24

/ip dns
set allow-remote-requests=yes servers=8.8.4.4

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
/ip firewall nat
add action=accept chain=srcnat comment="Tunel LB" dst-address=\
    192.168.1.0/25 log=yes src-address=192.168.3.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none log-prefix=GOut out-interface-list=WAN

/ip ipsec identity
add peer=peer_LG
/ip ipsec policy
add dst-address=192.168.1.0/24 peer=peer_LG proposal=prop_LB \
    src-address=192.168.3.0/24 tunnel=yes
/ip route
add distance=1 gateway=***.***.***.65
add distance=2 gateway=***.***.***.254

/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/system clock
set time-zone-name=Europe/Prague
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
    CHOROBA
    CHOROBA --- ---
    1 odpověď
    a mas 1:1 nat, nebo porty? hod config spis
    TEAPACK
    TEAPACK --- ---
    Nastavoval jste někdo IPSec pro routery za NATem?
    Mám 2 routery, kde každý je natovaný přímo na veřejku a potřebuju mezi nima udělat tunel. nastavil jsem si IPSec, policy, peery atp. pravidlo na NATu a v active-peers vidím routery navzájem.

    Jakmile zkusím PINGnout z jedné sítě do druhé, tak counter v NATu zůstává na nule a v active peers druhý router zmizí.

    Tušíte, co hledat?
    RAINBOF
    RAINBOF --- ---
    PISKVOR: talze reseni to nema. Protože ten log kam se divam totiz loguje i pokusy coz je před tim bez je bloknut. Vyresil jsem rozdelenim na blokovane zaznamy a zbytek. Blokovane loguju jinam a rotouju sólo.
    VITEX
    VITEX --- ---
    +6
    Pi modder successfully adds M.2 slot to Pi 500 | Jeff Geerling
    https://www.jeffgeerling.com/blog/2024/pi-modder-successfully-adds-m2-slot-pi-500
    PISKVOR
    PISKVOR --- ---
    1 odpověď
    RAINBOF: V appce Unifi se proklikáš ke konkrétnímu klientovi a dáš Block. Radius ti radí, protože bez něj je vždycky možnost, že tam vleze přes nějaký non-unifi AP
    RAINBOF
    RAINBOF --- ---
    CHOROBA: to jsem uz zkusil a nema to efekt.
    CHOROBA
    CHOROBA --- ---
    1 odpověď
    https://help.ui.com/hc/en-us/articles/18565355579799-MAC-Address-Restricting
    RAINBOF
    RAINBOF --- ---
    1 odpověď
    mam otazecku na unify, nevite jak zablokovat mac nejakeho vadneho zarizeni rovnou na APcku ? Podle unify bych mel mit jejich radius abych to mohl delat ale me to prijde jako overkill. problem totiz je je ze mi to vytrari hodne logu.
    Kliknutím sem můžete změnit nastavení reklam