Цялата активност

Пробвах да си спра fast track и fast path защото ми бяха пуснати, за сега не виждам да помага това в случая.

Да повдигна малко темата с ново питане, конфига ми mangle е следния: /ip firewall mangle add action=accept chain=prerouting comment="mai e izlishno" disabled=yes in-interface=ether1 add action=accept chain=prerouting comment="mai e izlishno" disabled=yes in-interface=ether2 add action=mark-connection chain=prerouting comment="Connection mark for traffic initiated from WAN 1 towards ROS" connection-mark=\ no-mark connection-state=new in-interface=ether1 new-connection-mark=wan1_conn passthrough=yes add action=mark-connection chain=prerouting comment="Connection mark for traffic initiated from WAN 2 towards ROS" connection-mark=\ no-mark connection-state=new in-interface=ether2 new-connection-mark=wan2_conn passthrough=yes add action=mark-routing chain=output comment="Routing mark for traffic initiated from the router itself wan1" connection-mark=\ wan1_conn new-routing-mark=to_wan1 passthrough=no add action=mark-routing chain=output comment="Routing mark for traffic initiated from the router itself wan2" connection-mark=\ wan2_conn new-routing-mark=to_wan2 passthrough=no add action=mark-connection chain=prerouting comment="load banance 5.0" connection-state=new dst-address-type=!local \ new-connection-mark=wan1_conn passthrough=yes per-connection-classifier=both-addresses-and-ports:2/0 src-address=192.168.5.0/24 add action=mark-connection chain=prerouting comment="load banance 10.0" connection-state=new disabled=yes dst-address-type=!local \ new-connection-mark=wan1_conn passthrough=yes per-connection-classifier=both-addresses-and-ports:2/0 src-address=192.168.10.0/24 add action=mark-connection chain=prerouting comment="load banance 5.0" connection-state=new dst-address-type=!local \ new-connection-mark=wan2_conn passthrough=yes per-connection-classifier=both-addresses-and-ports:2/1 src-address=192.168.5.0/24 add action=mark-connection chain=prerouting comment="load banance 10.0" connection-state=new disabled=yes dst-address-type=!local \ new-connection-mark=wan2_conn passthrough=yes per-connection-classifier=both-addresses-and-ports:2/1 src-address=192.168.10.0/24 add action=mark-routing chain=prerouting comment="load banance 5.0" connection-mark=wan1_conn connection-state=new new-routing-mark=\ to_wan1 passthrough=yes src-address=192.168.5.0/24 add action=mark-routing chain=prerouting comment="load banance 10.0" connection-mark=wan1_conn connection-state=new disabled=yes \ new-routing-mark=to_wan1 passthrough=yes src-address=192.168.10.0/24 add action=mark-routing chain=prerouting comment="load banance 5.0" connection-mark=wan2_conn connection-state=new new-routing-mark=\ to_wan2 passthrough=yes src-address=192.168.5.0/24 add action=mark-routing chain=prerouting comment="load banance 10.0" connection-mark=wan2_conn connection-state=new disabled=yes \ new-routing-mark=to_wan2 passthrough=yes src-address=192.168.10.0/24 /routing table add disabled=no fib name=to_wan1 add disabled=no fib name=to_wan2 /ip dhcp-client add comment=WAN1 interface=ether1 script="{\r\ \n :local rmark \"to_wan1\"\r\ \n :local count [/ip route print count-only where comment=\"to_wan1\"]\r\ \n :if (\$bound=1) do={\r\ \n :if (\$count = 0) do={\r\ \n /ip route add distance=1 gateway=\$\"gateway-address\" check-gateway=ping routing-mark=to_wan1 comment=\"to_wan1\ \"\r\ \n /ip route add distance=1 gateway=\$\"gateway-address\" check-gateway=ping comment=\"to_wan1\"\r\ \n } else={\r\ \n :if (\$count = 1) do={\r\ \n :local test [/ip route find where comment=\"to_wan1\"]\r\ \n :if ([/ip route get \$test gateway] != \$\"gateway-address\") do={\r\ \n /ip route set \$test gateway=\$\"gateway-address\"\r\ \n }\r\ \n } else={\r\ \n :error \"Multiple routes found\"\r\ \n }\r\ \n }\r\ \n } else={\r\ \n /ip route remove [find comment=\"to_wan1\"]\r\ \n }\r\ \n }\r\ \n\r\ \n" use-peer-dns=no use-peer-ntp=no # Interface not active add comment="for backup from rsd mobile" default-route-distance=5 interface=wlan1 use-peer-ntp=no add comment=WAN2 interface=ether2 script="{\r\ \n :local rmark \"to_wan2\"\r\ \n :local count [/ip route print count-only where comment=\"to_wan2\"]\r\ \n :if (\$bound=1) do={\r\ \n :if (\$count = 0) do={\r\ \n /ip route add distance=1 gateway=\$\"gateway-address\" check-gateway=ping routing-mark=to_wan2 comment=\"to_wan2\ \"\r\ \n /ip route add distance=1 gateway=\$\"gateway-address\" check-gateway=ping comment=\"to_wan2\"\r\ \n } else={\r\ \n :if (\$count = 1) do={\r\ \n :local test [/ip route find where comment=\"to_wan2\"]\r\ \n :if ([/ip route get \$test gateway] != \$\"gateway-address\") do={\r\ \n /ip route set \$test gateway=\$\"gateway-address\"\r\ \n }\r\ \n } else={\r\ \n :error \"Multiple routes found\"\r\ \n }\r\ \n }\r\ \n } else={\r\ \n /ip route remove [find comment=\"to_wan2\"]\r\ \n }\r\ \n }\r\ \n\r\ \n" use-peer-dns=no use-peer-ntp=no По някаква причина повечето трафик ми минава през ether2 който трябва да ми е бекъп, как да коригирам нещата за да си минава повечето през ether1 където е основната връзка. Даже като следя връзките понякога ми бърка маркировката че е през wan1_con a трафика си минава през wan2 което е ether 2 бекъпа ми. Добавих и dhcp клиент конфизите, 2-та доставчика са с динамично раздавани публични адреси. Другото питане, как мога определен хост от мрежата да го накарам да минава единствено през единия доставчик? От тази тема съм се ориентирал за конфига без нещата за капс ман: PCC

Да проблема ми беше в NAT-a

Здравейте, продавам меден UTP LAN кабел Bitner-цена 100лв с ДДС за кутия 305 метра. 0898242357

NAT-ваш на грешен интерфейс вероятно

то и аз това намеквах дано има някакво значение намека

Защо да не е актуална. Не са толкова променени основните неща. Аз много бих искал да излезе 2ра част.

Изглежда, че я има все още Въпреки, че няма как да е супер актуална след толкова време. Иначе цената е по две спрямо първоначалната...

Пробвал съм и това, спирам всички правила и промяна няма. П.С. дори съм пробвал изрично да разреша 161 порт и като правя snmwalk веднага ми отчита пакетите, но Забикса не го прихваща. При пускане от Забикса: snmpwalk -v 2c -c public 192.168.3.2 И на отдалечения Микротик R3: Обаче после Микротика R3 връща SNMP на WG интерфейса 10.8.7.1 на R1 зад който е и Забикса 192.168.1.60 и не знам след това какво се случва. Освен ще пускам и WireShark на хоста на който е сървъра. R1:

Ако има изградена и работеща връзка между мрежите и устройствата в тях,вероятно проблема е във някое правило за филтрация,или НАТ.

Не разбрах точно въпроса, но това е схемата R1: 192.168.1.1 (WG: 10.8.7.1) R2: 192.168.2.1 (WG: 10.8.7.2) R3: 192.168.3.1 (WG: 10.8.7.3) От всякъде имам пинг, дали ще пускам пинга от локалния на Микротиците или от WG от всичко до всичко имам пинг.

А достъп през WG интерфейса имаш ли до услугата, или е ограничен до друга мрежа?

Продаден !

Малко късно виждам, но може да е полезно на някой. В Datapath на capsman-a използвай vlan-mode=use tag /caps-man datapath add bridge=bridge1 name=datapath1-vlan40 vlan-id=40 vlan-mode=use-tag

Здравейте, имам проблем с SNMP през WireGuard, пуснал съм си в домашната мрежа Zabbix сървър и имам 5-6 Микротици в локалната мрежа и ги прихваща без проблеми, обаче на двете ми отдалечени точки, които са през WG не ми ги прихваща сървъра. Пинг от Zabbix-a към рутерите и обратно си имам. Пробвах и чрез snmpwalk от Линукс на настолния ми компютър, но пак не ги виждам. Мисля, че проблема е нещо в самият тунел, но не знам точно къде. Тунела е пуснат между Микротици .

Не съм имал проблеми с изключване на интерфейсите, но като цяло си реших проблемите глобално на лаптопчето като минах на Линукс

Избягвам да ползвам продукт/технология с който влизам в зависимости и някакви ограничения. Няма стандартизиран протокол за връзка,конторла на мрежата , както и сигурността не са под собствен контрол ...

Защо не си пусна ZeroTier там натове, публични/частни и такива не ти влияят.

Продава се MikroTik CRS326-24S+2Q+RM цена 700лв. НОВ. Не е използван отворен за тестове. Може и факура по ДДС ако е необходима. За връзка пишете на лично или на нула осем 94 девет5 седем 5 17

И другия ъпдейти KB5045935 и KB5046633 оправи че следва гасене на лан/безжична картата при активиране. най вероятно тез VPN ще си намерят нов конкурент през Майкрософт.

Наложи ми се да достъпвам отдалечено видеонаблюдението във един обект.На отдалечената локация се ползва PPPoE,като на клиента се раздават динамични частни адреси ( има опция за статичен публичен адрес като се доплащало такса 6лв./м.). DDNS не работи коректно, репортва си частния адрес на WAN порта, клиентския рутер се маскира от доставчика и отвън няма достъп, изобщо красота Флашнах едно старо D-link рутерче със OpenWRT, понеже имат много добра софтуерна поддръжка на протоколи и прложения и реших да ползвам Wireguard ( за пръв път) клиент на отдалечената локация. Инсталират се kmod-wireguard,wireguard-tools, и luci-proto-wireguard, за управление през уеб интерфейс. Ключовете се генерират и вземат от сървъра,въвеждат се в съотетените им полета,указва се Endpoint адреса на пиъра и порта за връзката ( Persistent Keep Alive = 25 за връзка през НАТ). Така изглежда конфиг файла на WRT клиента: config interface 'wg' option proto 'wireguard' option private_key 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX' list addresses '10.10.0.3/24' #адреса на WG клиента config wireguard_wg option endpoint_host 'IP адреса сървъра' option endpoint_port '51820' option persistent_keepalive '25' option public_key 'YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY' list allowed_ips '0.0.0.0/0' От моята страна за връзка стой един Дебиан на който инсталирах Wireguard сървъра. Там се създават/описват и ключовете за клиентите. Така изглежда конфига на WG интерфейса. root@pve:/etc/wireguard# cat wg0.conf [Interface] Address = 10.10.0.1/24 # адреса на WG сървъра SaveConfig = true ListenPort = 51820 # port за връзка PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXX # Server private key [Peer] PublicKey = YYYYYYYYYYYYYYYYYYYYYYYY # Wireguard client public key AllowedIPs = 10.10.0.3/24 # адреса на WG клиента Със комадата wg show се вижда статуса на тунела : root@pve:/etc/wireguard# wg show interface: wg0 public key: ААААААААААААААААААААААААА private key: (hidden) listening port: 51820 peer: BBBBBBBBBBBBBBBBBBBBBBBBBBB endpoint: 78.108.245.138:41771 allowed ips: 10.10.0.0/24 latest handshake: 1 minute, 35 seconds ago transfer: 411.18 MiB received, 16.92 MiB sent root@OpenWrt:/etc/config# wg show interface: wg public key: CCCCCCCCCCCCCCCCCCCCCCCCCCC private key: (hidden) listening port: 41771 peer: DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD endpoint: 151.237.71.222:51820 allowed ips: 0.0.0.0/0 latest handshake: 33 seconds ago transfer: 16.94 MiB received, 412.09 MiB sent persistent keepalive: every 25 seconds До тук добре,вече има изграден тунел и видимост. root@pve:/etc/wireguard# ping 10.10.0.3 PING 10.10.0.3 (10.10.0.3) 56(84) bytes of data. 64 bytes from 10.10.0.3: icmp_seq=1 ttl=64 time=21.7 ms 64 bytes from 10.10.0.3: icmp_seq=2 ttl=64 time=19.5 ms 64 bytes from 10.10.0.3: icmp_seq=3 ttl=64 time=19.9 ms root@OpenWrt:/etc/config# ping 10.10.0.1 PING 10.10.0.1 (10.10.0.1): 56 data bytes 64 bytes from 10.10.0.1: seq=0 ttl=64 time=19.331 ms 64 bytes from 10.10.0.1: seq=1 ttl=64 time=17.144 ms 64 bytes from 10.10.0.1: seq=2 ttl=64 time=20.880 ms Не ми се занимаваше да добавям мрежи, рутирам и т.н реших да си пусна L2 етернет през WG тунела за да достъпвам устройствата локално когатo ми се наложи. В случая ползвах gretap, има си го в линукс ядрата както и пакети за WRT . Настройките от страна на WRT могат да се сетват и през панела ( след инсталациа на luci-proto-gre). config interface 'eogre' option proto 'gretap' option peeraddr '10.10.0.1' option ipaddr '10.10.0.3' option network 'lan' От страната на дебиана си ги вдигнах на ръка без да ги добавям засега в конфизите и си добавих интертфейса във локания бридж. ip link add grelan type gretap local 10.10.0.1 remote 10.10.0.3 ip link set grelan up ip link set grelan mtu 1500 brctl addif vmbr0 grelan Понеже в отдалечената локация всичко в локалната мрежа е настроено на DHCP ,се наложи да спра DHCP сървъра на OpenWRT рутерчето и за момента всичко там си взема адреси от Дебиана и излиза през моята мрежа, докато си свърша задачките там. Пуснах няколко теста за скорост,няма лаг или особен товар ,но не мога да преценя колко реално товари тунела ,устройствата са слаби за някакви по сериозни трафици.

Абсолютно си прав и аз така мисля,но за съжаление съм сравнително малка фирма с ограничени възможности, а и съм сигурен че ако сега се обединим няколко фирми с подходящите адвокати може и да постигнем нещо ,мойте възможности са до тук разговарям с 5-6 колеги ,но колкото повече се съберем ще има по голяма тежест....поне така мисля? Пък и сега е момента докато е каша и при тях!

Плащаш поради няколко основни причини.. защото нямаме държава, защото някой хора подариха б т к на чужди интереси, защото сме разделени и т.н. Ако трябва да сме честни те нямат нищо на много места. Сега съвсем друг е въпроса как са "уредили" нещата документално? Не е лошо да се консултираш с адвокат и то не един, от личен опит смея да твърдя че и там има хора които не си знаят материята както трябва. Ерп тата също на много места нямат нищо но искат пари което до колкото ми е известно с точните адвокати пада в канала.

Не схванах ироничния въпрос? Да ползвам ,канална мрежа и все повече се чудя за какво плащам , всмисъл по кадастър те нямат нишо, нямат нищов градчето и се чудя как да ги чеша?

До момента вие ползвахте каналната мрежа на б т к ?