-
PROHARDVER!
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
ggg1
aktív tag
"Nekem nem okoz örömet, hogy nem tudsz valamit, de olybá tűnik a feladat túlmutat a tudásodon. Szerintem segítőkész voltam eddig is, de ha sértegetni próbálsz, akkor nem szólok hozzá többet."
Még egyszer leírom, hogy mindenki megértse: a feladat túlmutat a tudásomon, ezért jöttem ide segítséget kérni. Ha nem mutatna túl, nyilván nem kérdezném. Majd megértem, ha sikerült megcsinálni, és akkor már nem fog túlmutatni a tudásomon, így tanul az ember.
"Nekem nem okoz örömet, hogy nem tudsz valamit [...]"
Nyilván nem az okoz örömöt Nektek, hogy én nem tudok valamit, hanem az, hogy ezt minden válaszban az orrom alá lehet dörgölni. Gondolom, ha erre szükség van, akkor biztosan örömöt okoz.
A megjegyzésem nem csak Neked szólt, ezért volt többes számban, hanem a kollégának is, aki hasonlóan lelkesen kritizált."Szerintem segítőkész voltam eddig is, de ha sértegetni próbálsz, akkor nem szólok hozzá többet."
Távol álljon tőlem bármiféle sértegetés, nem az én stílusom,
és nagyon hálás vagyok a segítségedért!Az első megoldás lesz a nyerő! A doksi, amivel a vpn szervert csináltam, ugyanabba az alhálózatba tette a VPN poolt, mint a helyi háló, és bridge-et hozott létre, pontosabban azt írta, hogy az alap konfigban már lennie kell egy bridge-local interface-nek, és azon kell engedélyezni a proxy-arp-ot.
http://wiki.mav-it.hu/mikrotik/mikrotikHát nekem nem volt ilyen interface, és gyanítom, hogy még nem működik jól, továbbá ezek szerint elcsesztem azzal is, hogy azonos alhálózatban hoztam létre, de 3-4 éve, amikor ugyanezt az OpenWRT alatt csináltam, ott sikerült így is, hát gondoltam, majd csak sikerül itt is. De ha nem, nem. Megcsinálom a másik alhálózatot.
Sajnos a Mikrotikhez nagyon nem értek, ehhez az egész konfigurációs környezethez.
Kérnék szépen segítséget, hogy pontosan hogy kell véghezvinnem azt, amit az 1. pontban leírtál.
A 188-as alhálózat jó lesz. Csinálnom kell egy új interfészt ehhez?
Az a doksi vajon mért azonos címtartományban osztja ki a VPN poolt? -
ggg1
aktív tag
válasz
krealon
#3523
üzenetére
Szia!
Közben megtaláltam a válaszod a másik topicban, de jöjjünk csak át ide.
Igen, a bridge-ig már jó ideje eljutottam, és alapból próbáltam ilyet létrehozni, mert a leírás, amivel a VPN szervert csináltam, alapból létrehozott ilyet is. De ezek szerint ezt nem sikerült, ill. nem értettem meg pontosan ennek a konfigurációs lépéseit."De mielott nekvagsz, jo lenne, ha a halozati alapismereteket felfrissitened, nehogy siras legyen a vege."
Jó lenne, ha a magukat sokra tartó szakemberekben volna annyi szakmai alázat, hogy fölényeskedés nélkül is tudjanak másoknak segíteni.
-
ggg1
aktív tag
Hogy csinálnád?
Most már, hogy mindkettőtöknek meg volt az örömötök azzal, hogy elmondtátok, hogy mennyire nem értek hozzá, és mennyire keverem a fogalmakat, remélem, ezzel kielégültetek, és elmondjátok, hogy konkrétan hogy tudom ezt a legegyszerűbben megoldani tűzfalszabályok meg active directory nélkül.
Ha esetleg még valaki kedvet érezne hozzá, hogy elmondja, hogy nem értek hozzá, csak bátran, de ezt már én is tudom, ezért jöttem ide segítséget kérni.
További jó szórakozást,
és tisztelettel várom az építő javaslatokat. -
ggg1
aktív tag
Vagy a kliensek IP-inek is bele kell esni az alhálózatba, tehát ha a kliensek IP-i 248 alatt vannak, akkor nem lesz jó a /29, hanem mondjuk vegyem kicsit nagyobbra: mondjuk /28 vagy /27? A klienseket ugye nem kell elérni, azok csak kapják az IP-t. Csak a szervereket kell elérni, ami 248 fölött lesz!
-
ggg1
aktív tag
válasz
bambano
#3519
üzenetére
Szia!
Köszönöm szépen válaszod!
Semmiféle káosz nincs belőle, hogy több kliens egyszerre eléri a VPN-t, most ebben a pillanatban is 6 kollégám van a VPN-en 3 különböző telephelyről, és remekül dolgoznak a központban lévő fájlszerverről, csak épp amíg nyitva van a VPN, addig nem tudnak nyomtatni a helyi hálózati nyomtatóikra. Ennyi a gond. A VPN szuper.
Ha megtalálom azt a doksit, amivel egyszer beállítottam már ezt jól OpenWRT-n úgy, hogy a két azonos címtartomány egyszerre működött, majd bemásolom ide.
-
ggg1
aktív tag
Szia!
Egyszerűsíthető annyiban a dolog, hogy elég, ha a központban lévő szervereket érik el, ahol a Mikrotik van a VPN szerverrel.
Nem, a többi telephelyen nincs Mikrotik, és ráadásul nemcsak a telephelyekről kell tudni elérni a VPN-t, hanem bárhonnan, pl. ha a felhasználók otthon vannak, úgyhogy az nem járható, hogy a routerek közt valami tunnelt vagy bridge-et építenénk ki - ha erre gondoltál.
Most akkor ideiglenesen megpróbálom megoldani az alhálózatokra való bontással, amíg utánanézek, hogy mit csináltam anno a proxy-arp-vel, és hogy oldottam ezt meg az OpenWrt alatt, mert hogy ment, az biztos az említett címtartományok átmappelésével. Egyébként annyira nem lehetetlen a dolog, hogy a DD-WRT pl. alapból így működik. Ott két kattintás a menüben a PPTP VPN, és alapból működik a helyi és a távoli háló is, akkor is, ha ugyanabban az alhálóban vannak, de ugye a DD-WRT-t alapból hülyéknek csinálják, így ott nem kell ennyire érteni a Linux firewallhoz, csak úgy működik. :-)
Igen, tökéletesen értem, amit mondasz, hogy a Windows egyszerre csak az egyik interfészt kezeli, és eddig is értettem, hogy emiatt nem megy egyszerre a két LAN, csak éppen megoldható, hogy a két címtartományt úgy mappeljük egymásra, hogy a helyi címek is működjenek, meg a távoli hálózaton is. És ez még akkor is megy, ha IP cím ütközés volna. Olyankor a routing szabálynak megfelelően a helyi IP-n lévő eszköz fog látszani, és a távoli hálóban lévő eszköz meg nem.
No, ha ehhez a részhez nem ért senki, nem gond, majd megint utánaolvasok. Most meg jó lesz alhálózatokkal.
A központi szervereknek elég 8 IP cím, úgyhogy úgy döntöttem, az utolsó 8 IP címre átteszem a szervereket, és akkor csak annyi a feladat, hogy ezeket kell elérni mindenhonnan.
Kérdés: A VPN klienseknek abban az alhálózatban kell lenniük, amilyen maszkot fognak használni?
Tehát ha mondjuk a VPN poolt beállítom 192.168.1.230-192.168.1.245-re, a maszkot pedig 255.255.255.248-ra, akkor ugye 3 bit marad a végén, ezeket az állomásokat fogja látni a VPN távoli hálózatából, az az alatti IP-ket pedig a kliensek helyi hálójában? Ez elvileg egy /29-es alháló. Ez így jó?
A szervereket meg 248-tól fölfelé rakom.Azt hogy állítom be, hogy a klienseken lévő interfészek ezt a maszkot kapják meg a VPN szervertől? Vagy ehhez valamit a DHCP szerverben kell csinálni?
-
ggg1
aktív tag
Arra egyébként nincs szükség, hogy az a címtartomány, amit a VPN-be lépett gépek kapnak, az egy alhálózatba essen akármelyik fizikai hálózattal is, tehát a VPN IP címek lehetnek egy teljesen új tartomány.
És akkor ebbe a tartományba valahogy bele kéne irányítani azt a szervert, amit a távoli kliensek látni akarnak. De ez is valami routing szabály, nem?*
Most, ahogy így gondolkozok rajta, egyik címtartományt MAP-eltem a másikra.
De vajon hogy lehet ezt a Mikrotik-ben? -
ggg1
aktív tag
elírás javítva:
Igen, teljesen jól érted, a VPN-be belépő távoli kliens gépek helyi alhálózata és a VPN helyi alhálózata ugyanaz, ahogy írod, és miután a távoli kliens gépEK belépnek a VPN-be, utána a saját helyi hálózatukban nem látnak semmit. Viszont a teljes távoli hálózatot meg igen, ahol a VPN van. És arra volna szükség, hogy ne a VPN távoli hálózatát lássák, hanem a sajátjukat.
-
ggg1
aktív tag
Szia!
Nagyon köszönöm a válaszod!
Igen, teljesen jól érted, a VPN-be belépő távoli kliens gépek helyi alhálózata és a VPN helyi alhálózata ugyanaz, ahogy írod, és miután a távoli kliens gépbe belépnek, utána a saját helyi hálózatukban nem látnak semmit.
Igen, erre én is gondoltam, hogy a két hálózatot 2 külön alhálózatba kéne osztani, lehet, még úgy is működne, amellett, amit írtál, hogy mindkét helyen 255.255.0.0, és akkor az egyik háló 255.255.1.x, a másik meg 255.255.2.x, jól gondolom?
De sajnos mindkét telephelyen sok kliens gép van, és a gond leginkább a hálózati nyomtatók, amiket helyben nem érnek el a kliensek, amikor a VPN-be csatlakoznak. Ahhoz, hogy minden ilyen alhálózati beállítást minden eszközön megváltoztassak, eég nagy meló volna, ráadásul nem is csak 2 telephelyről van szó, csak leegyszerűsítettem a problémát. A legnagyobb gond, hogy a felhasználók mozognak a laptopjaikkal, és a laptopok tartalmazzák a hálózati nyomtatók IP eléréseit ugye. Minden telephelyen használják ugyanazokat a típusú nyomtatókat ugyanazon IP címen. Így volt a legegyszerűbb megoldani.
Tehát van mondjuk 30 ember, akik mozognak 4 telephely között a laptopokkal, és ahol vannak, ott nyomtatni akarnak az éppen helyben lévő hálózati nyomtatóra. Ez eddig ment, csak most VPN-en az éppen nem helyben lévő szervert is el akarják érni.Egyébként, amit írtam, a proxy-arp-t az OpenWrt online dok-ban olvastam, és volt még hozzá fél oldalnyi linuxos tűzfal-szabály is, ilyen IN meg OUT dolgok, amiket nem értettem teljesen, de beírtam az OpenWrt custom routing/firewall fájlba, és utána megoldotta ezt, tehát összekapcsolta valahogy a helyi és a távoli hálózatot, mikor élt a VPN kapcs, úgy, hogy mindkettő ugyanaz az alhálózat volt, és a kliensek elérték a helyi és a távoli IP címeket is. Sajnos ezt most nem tudom megcsinálni.
De amit írtál a végén, hogy ha csak egy távoli szervert akarnak elérni a kliensek, ami a VPN helyi hálózatában van, és ehhez nem kéne maszkokat módosítani, ez alatt mire gondoltál? A vpn poolt tudom módosítani. Akkor ezt hogy kéne megoldani?
Tehát nekem az ideális az volna, hogyha a kliens gépek mindent a saját helyi hálójukban látnának, a VPN távoli hálózatából pedig csak 1 vagy 2 IP címet érnének el, mikor belépnek a VPN-be.
-
ggg1
aktív tag
Sziasztok!
Segítséget szeretnék kérni vpn beállítással kapcsolatban.
Van egy pptp vpn szerver egy mikrotik routeren, ahová Windows kliensek jelentkeznek be, és a két hálózatnak, a vpn hálózatának, és a kliens gépek hálózatának azonos az IP cím tartománya, de IP ütközés nincs. A vpn-be lépett vendég gépek 192.168.1.240-254-ig kapnak címet, a helyi gépek ennél alacsonyabb tartományban vannak, és az a baj, hogyha a távoli gépek blépnek a vpn-be, akkor csak a távoli hálózat IP címeit látják, és a saját helyi hálózatukat nem. Tehát, ha van a helyi hálózatukban is egy szerver, vagy egy nyomtató, mondjuk 192.168.1.50, akkor azt már nem látják.Ilyet egyszer már sikerült megoldanom openwrt alatt, és azt hiszem, proxy-arp kellett hozzá, de már nem emlékszem rá, hogy pontosan mit csináltam, és most a Mikrotik alatt nem sikerül. Vagy kell valamit csinálni a kienseken is? A kliensek vpn kapcsolatában ki van kapcsolva, hogy ne használja a távoli átjárót, az rendben van, tehát a net a helyi hálózatról megy (wifi). A távoli vpn hálózatban csak egy szervert kell elérnie a klienseknek.
Kérem szépen ebben a segítséget. Előre is köszönöm!
Új hozzászólás Aktív témák
Hirdetés
ekkold- Napelem
- Debrecen és környéke adok-veszek-beszélgetek
- OLED TV topic
- Motorola Edge 60 és Edge 60 Pro - és a vas?
- Lakáshitel, lakásvásárlás
- OLED monitor topik
- Szeged és környéke adok-veszek-beszélgetek
- Milyen légkondit a lakásba?
- BestBuy topik
- bitpork: MOD Júni 28- Augusztus 2- szombat jelen állás szerint.
- További aktív témák...
- Samsung C27RG50FQU 27 Ívelt Gaming Monitor
- Xbox Series S + twin docking station (venom) + 2 db kontroller +1 db Ghost Cipher Special kontroller
- ÚJ AMD Ryzen 5 5600X BOX AM4 6/12 magos CPU - bontatlan
- L14 Gen5 14" FHD+ IPS Ultra 7 155U 16GB 512GB NVMe ujjlolv IR kam gar
- Kezdőknek legjobb választás: 4 GHz AMD 5400U, 4 mag / 8 szál barebone
- Jo Nesbo: LEOPÁRD (nem olvasott)
- Új FULL HD webkamera + Számla
- Xiaomi Redmi Note 13 256GB Kártyafüggetlen 1Év Garanciával
- LG 39GS95UE - 39" Ívelt OLED / QHD 2K / 240Hz & 0.03ms / 1300 Nits / NVIDIA G-Sync / AMD FreeSync
- Csere-Beszámítás! Gamer PC Számítógép! I5 12600KF / RTX 3070 / 32GB DDR4 / 512GB SSD
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest