« Rev
@mikrotikclub   519
Fwd »


Moneron 🇷🇺
Это всё трындёжь. Если у прова нет таких данных — накатать письмецо в РКН. И данные — о, чудо — сразу же появятся.
Albert
Добрый вечер. Подскажите пожалуйста в одном вопросе. Прикрутил еще 1 удаленный офис по l2 к центральному офису. Но локальные имена отказывается резолвить. DNS указал следущие: Первым стоит днс центрального офиса. Второй днс провайдера.
Slava
Тоже пока не получилось победить, буду рад услышать помощь)
Kirill
Провайдер дал два канала, но они имеют один и тот же шлюз. Как можно разграничить трафик, чтобы один шел через один канал, а другой через другой? Например локалка и вайфай.
Alex
Друзья, добрый день ! Появилась задача использовать микротик как КЛИЕНТ SSH с авторизацией на удаленном сервере по ключам RSA Ключи на сервер сгенерил, пользователя на сервере и микротике создал. Для созданного пользователя (на микротике) импортировал приватный ключ. Казалось бы - должно взлететь. Ан нет ! При попытке поключения к SSH-серверу микротик упорно пытается авторизоваться по паролю. С ключами все ОК . Тот же Putty с виндовой машины с этим ключом на сервере авторизуется
Alex
Так как в микротиках я почти ноль, спрошу - где посмотреть дебаг SSH, чтобы понять , почему микротик не желает использовать авторизацию по ключам
Moneron 🇷🇺
Так как в микротиках я почти ноль, спрошу - где посмотреть дебаг SSH, чтобы понять , почему микротик не желает использовать авторизацию по ключам
Алексей, я недавно сам пытался раскурить эту тему. И вот что-то не осилил. Симптомы точно такие же. Ключ импортируется, но при попытке логина через system ssh сразу запрашивался пароль. Если у кого-то получилось – с удовольствием послушаю
Alex
Возможно, DSA помогут, попробуй
Пробовал :( то же самое
Pavel
Добрый вечер. Подскажите пожалуйста в одном вопросе. Прикрутил еще 1 удаленный офис по l2 к центральному офису. Но локальные имена отказывается резолвить. DNS указал следущие: Первым стоит днс центрального офиса. Второй днс провайдера.
зачем л2 . я делал так /ip firewall layer7-protocol add name=company.lan regexp=company.lan /ip firewall mangle add action=mark-connection chain=prerouting comment="DNS redirect" \ dst-address=192.168.101.1 dst-port=53 layer7-protocol=company.lan \ new-connection-mark=company.lan-fwd protocol=tcp add action=mark-connection chain=prerouting comment="DNS redirect" \ dst-address=192.168.101.1 dst-port=53 layer7-protocol=company.lan \ new-connection-mark=company.lan-fwd protocol=udp
Сергей
кто скажет чего это значит?
Сергей
Владлен
кто скажет чего это значит?
L - local. То есть, это маки самого микротика.
Дмитрий
wiki mikrotik не доступна. Не в курсе почему?
Moneron 🇷🇺
wiki mikrotik не доступна. Не в курсе почему?
Только проверил. Доступна
Moneron 🇷🇺
Если ип6 используете – иногда такое бывает
Дмитрий
Сейчас доступно
NIKOLYA
Друзья, есть у кого под рукой скипт, который меняет в статичном роуте шлюз при изменении такового на интерфейсе?
NIKOLYA
Шлюз на интерфейсе? Кхм, что-то новое. Просветите
у меня есть статичный маршрут с 0.0.0.0/0 на шлюз интерфейса, по которому получаю интернет, динамическое создание маршрута в dhcp-client меня не устраивает
Andrey
Убери с дхцп клиента создавать маршрут
NIKOLYA
сейчас то ручками я шлюз вписал, но если у прова меняется адресация и шлюз, то печаль беда
NIKOLYA
ну для эпичности, один микрот, 5 провайдеров и забераю по вифи) шутка конечно, но два провайдера в синхрон надо слепить
Nikolai
сейчас то ручками я шлюз вписал, но если у прова меняется адресация и шлюз, то печаль беда
Не беда. Начиная с 6.39-6.40 появился скрипт в dhcp-клиенте. Можно получать шлюз по умолчанию с dhcp указав ставить ему метрику 255, чтобы маршрут автоматом не использовалися. А уже в скрипте, полученный шлюз применять и/или перепрописывать куда надо.
NIKOLYA
в смысле? ... аля ростелеком, на интерфейсе пусто, на него накидыватся pppoe-client с логином и паролем
Anatoly
Коллеги добрый день. Кто возился с хотспотом. как ограничить авторизованных пользователей? и по какому принципу он отправляет в прозрачный прокси или через NAT - на основании галки в профиле пользователя ?
NIKOLYA
А что то есть подобное как dhcp-client script, только для pppoe-client? нужно при коннекте pppoe-client выполнять скрипт, зацикливать шедулер особо нет желания
NIKOLYA
где посмотреть не подскажете? знаю есть у сервера, у клиента не нашел
Tadas
Budit odinakovi ssid i parol 😀
Pavel
Все зависит от устройство оно само будет определять к какой сети лучше подключатся
Владислав
Классно!
Zhyhanov
Согласен, и на мум не плохо он выступал. Его Грушко прорекламил нормально
Andrey
URL будьте добры
Andrey
Спасибо!
Master
Вечер добрый коллеги. Есть у кого ссыль на добротное решение резервирования основного канала через 3G, при отключении интерфейса, кабеля, падения канала инета и т.д. ?
Oleg
На основном канале сделать маршрут с рекурсией, а 3G использовать с увеличенной административной дистанцией
Master
Трюк сработает при физическом отключении кабеля?
Oleg
при любом
Oleg
кабель, провайдер, маршрутизация у провайдера
Master
Ок, благодарю.
Alex
Друзья, подтвердите или опровергните: из скрипта можно послать команду по SSH ? Если скрипт запустить из терминала отрабатывает ОК, если запустить из шедулера - не работает . так и должно быть ?
Alex
вот здесь обсуждают, что никак нельзя https://forum.mikrotik.com/viewtopic.php?t=71262
😷Драничек
А Сергей - постоялец этого чата?
😷Драничек
Я их БЗ давно читаю, много проблем решила мне. Хотел выразить благодарость
Alex
Привет, Алексей! А ты разобрался, как по ключу авторизовываться?
Да. Дело было в том, что если запустить сессию ssh от админа , то неважно, что указываешь в /system ssh user= . Просит пароль полюбасу. Если же залогиниться на МТ нужным пользователем , то авторизуется по сертификату То есть указание пользователя в /System ssh не работает в случае сертификатов
Moneron 🇷🇺
Погоди, т.е. на МТ, С КОТОРОГО будем цепляться по ключу к другому МТ, нужно залогиниться с такого же юзернейма?
Moneron 🇷🇺
Мдя, это неудобненько...
Alex
В моем случае я цепляюсь на линукс , но не суть
Moneron 🇷🇺
Походу, низзя, блин
Moneron 🇷🇺
почитал эту ветку форума
Anibius
Заметил что начались проблемы с OVPN. Клиент постоянно пытается подключиться. Client 6.40.5 Server 6.40.4 16:52:28 ovpn,info TCP connection established from x.x.x.x 16:52:30 ovpn,info TCP connection established from x.x.x.x 16:52:33 ovpn,info TCP connection established from x.x.x.x 16:52:36 ovpn,info TCP connection established from x.x.x.x Ничего не менял. Обновил только клиента. Переделал заново ВСЕ сертификаты - проблема осталась. При отключении на сервере Require Clien Certificate соединение устанавливается,но так уже не интерсно. Кто-нибудь сталкивался?
Moneron 🇷🇺
Инфо-логгинг ни о чём не говорит. Включите дебаг
Anibius
Инфо-логгинг ни о чём не говорит. Включите дебаг
да и так понятно что они не могут подружиться.сделал как Вы сказали.ovpn,debug <x.x.x.x>: disconnected <TLS failed> получается что он большие ключи жевать не может?
Moneron 🇷🇺
Время и дата на роутерах совпадает?
Anibius
да конечно
Anibius
тип шифровния и профили я не менял.в этот раз сделал ключи только больше и все.
Anibius
сертификаты делал на windows через openvpn-install-2.4.4-I601 easy-rsa
Moneron 🇷🇺
А чем встроенная генерировалка не угодила?
Anibius
А чем встроенная генерировалка не угодила?
тем что я раз дедал в ней,и после экспорта и импорта на втором роутере так и не заработало.
Moneron 🇷🇺
Хм, я тестировал, работало. Значит, неправильно генерили
Anibius
Хм, я тестировал, работало. Значит, неправильно генерили
возможно и я жопарук,но зато когда руками делаешь можно использовать доп опции в openssl.cnf. получается DH_KEY_SIZE=2048 погоду испортило KEY_SIZE=4096
Anibius
переделал сертификаты.один сделал без keyusage совсем,и заработало.очень странно)
при этом я специально сделал CN одинаковым и так работать не должно,но завелось.KEY_SIZE=2048 с таким
Moneron 🇷🇺
Зачем скриптами нат костылять, если изначально можно написать его в сторону нужного интерфейса?
Moneron 🇷🇺
А какая разница? Вы не путайте НАТ и маршрутизацию. Они не имеют ничего общего.
Master
:) конец дня.... завтра попробую, спасибо
Ахмет
Погоди, т.е. на МТ, С КОТОРОГО будем цепляться по ключу к другому МТ, нужно залогиниться с такого же юзернейма?
это поведение ssh клиента линуксовогопо умолчанию. логинится с текущим именем пользователя. но в больших линуксах есть параметр -l (ssh -l user host) или можно делать так (ssh user@host) а тут вот низя без определенных костылей. Репорти
Moneron 🇷🇺
Речь о приватных ключах
FD
Лучше все же разные сделать типа ssid24 и просто ssid
Alex
Спасибо )
Maksim (InCorp)
Подскажите пожалуйста, где настроить Stateful Packeet inspection для UDP?
« Rev
@mikrotikclub   519
Fwd »