Zobrazit příspěvky

disclaimer: nejsem zadnej reditel na mktiky, certifikace me teprva (brzo) cekaj, ber to s rezervou a pripadne prosim reditele pres mktiky o pripadnou napravu mych bludu, anachronismu a nepochopeni..

vychazel jsem z
https://mum.mikrotik.com/presentations/MY19/presentation_7008_1560543676.pdf

ma k tomu i video a matne si vzpominam ze jsem nejaky veci musel udelat jinak nez tam, samo nemam nikde presne diff..

ike/ipsec:
tohle si myslim ze by mohl bejt kamen urazu, ja mam

Kód: [Vybrat]

/ip ipsec identity add auth-method=digital-signature certificate="824 ike.domain.cz" comment=device@domain.cz generate-policy=port-strict match-by=certificate mode-config=cfg1 peer=ike-iphone policy-template-group=ike.domain.cz remote-certificate="824d device@domain.cz”

ale ty mas

Kód: [Vybrat]

remote-id=user-fqdn:kobe@domain.com

FW:

Kód: [Vybrat]

/ip firewall filter add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp

tohle mas IMHO navic, je to reseny uz prvnim pravidlem (a obecne nechces mit pravidla co delaji to samy)

ja mam naopak navic, nemam v tom nic napocitanyho ale vetsina klientu pouziva l2tp ipsec nebo sstp (doufam brzo prejit komplet na wireguard samo), ike mam hlavne na ios veci a jako fallback kdyz neco po ceste zere predchozi dve..

Kód: [Vybrat]

/ip firewall mangle add action=change-mss chain=forward comment=”IKE clamp TCP MSS from VPN to ANY" ipsec-policy=in,ipsec new-mss=1360 passthrough=yes protocol=tcp src-address=10.0.201.0/24 tcp-flags=syn tcp-mss=!0-1360

Kód: [Vybrat]

/ip firewall mangle add action=change-mss chain=forward comment="IKE clamp TCP MSS from ANY to VPN" dst-address=10.0.201.0/24 ipsec-policy=in,ipsec new-mss=1360 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=!0-1360

certy:
u klientskych certifikatu nemam trusted (coz myslim nevadi ale byt to tam nemusi)
a u vsech mam navic vyplneny country,state,locality, matne si vzpominam ze v navodu kterej jsem pouzival to bylo doporuceny ale ruku do ohne bych za to nedal.

u priznaku v uplne levym sloupci mam u serverovejch certu navic L, coz by melo bejt ze muzou podpisovat CRL (pravdepodobne uz se mi pak nechtelo pregenerovavat), ktery pak ale stejne nepouzivam (a ty to tam nemas):

Kód: [Vybrat]

/certificate settings set crl-download=no crl-use=no

if:
mam navic loopback if at mam kde mit adresu, ty ji tam mas asi pres ppp profile, ale ten se podle me na ike vubec nepouziva

Kód: [Vybrat]

/interface bridge add name=bridge-loopback
/ip address add address=10.0.201.1/24 interface=bridge-loopback network=10.0.201.0

a tohle bych dal taky pryc, zase ppp myslim nema s ike co delat

Kód: [Vybrat]

/ppp secret add name=vpn

debug packetu taky bohuzel uplne neumim cist, ale treba se nekdo okolojdouci chyti..

52

Sítě / Re:Windows se nespojí s MikroTik IKEv2 VPN

« kdy: 10. 08. 2022, 04:12:33 »

jeste jak mas udelany certy, autoritu server i klienty (mrknu na to pak najednou)

53

Sítě / Re:TP-Link TL-FC311[A|B]-2 WDM media converters

« kdy: 10. 08. 2022, 04:08:29 »

par ks kratkodobe ok (NDI na stadionu pres vikend na existujici infra), to samy v mm v par ks dlouhodobe (rok?). nevedel jsem o nich, ale taky jsem nemel zadnou flotilu a extremnju podminky..

54

Sítě / Re:Windows se nespojí s MikroTik IKEv2 VPN

« kdy: 09. 08. 2022, 16:40:45 »

mi to chodi, mam k tomu nejaky poznamky ale asi bych je musel trosku nadhezcit, tak sem zkus hodit co mas a ja udelam diff.

z mktika
hod sem relevantni casti

Kód: [Vybrat]

/export terse

(jedna vec je, co je v navodu a druha jestlis neudelal chybu/typo, samotnymu se mi to stalo Xkrat), pro jistotu bych si to co sem vypises zkusil nalejt do zpatky do cistyho CHR (1mbit demo nafurt zadax), nebo jestli v tom mktiku nic nemas tak do nej po factory resetu.

pust si debug, tohle ho prida zamutovanej a vypnutej packet, kterej muzes eventualne zapnout..

Kód: [Vybrat]

/system logging add disabled=yes topics=ipsec,!packet

pripadne si muzes z mktika udelat stream do wiresharka na linuxu, ale kdyz jsem to ladil tak jsem se s tim nejak popral i bez toho.

55

Hardware / Re:QNAP NAS - opětovné připojení disku s EXT4

« kdy: 08. 08. 2022, 16:58:57 »

rozhodne doporucuju se obratit na support qnapu, mam s nima ty nejlepsi zkusenosti (dlouhodobe). samo prvni faq
https://www.qnap.com/en/how-to/faq/article/what-should-i-do-if-i-accidentally-unplug-one-or-more-disks-from-my-qnap-nas

56

Studium a uplatnění / Re:placeni cas na onboard skoleni

« kdy: 30. 07. 2022, 14:24:49 »

nejsem zadnej korporatnik, ale jeste se mi nestalo, aby po mne klient chtel abych nekde byl zadarmo..

57

Bazar / Prodám 2x Dell Dock WD15

« kdy: 28. 07. 2022, 13:40:58 »

Nabízím 2x Dell Dock WD15, použitý ale plně funkční (otestováno kromě VGA, který už nemám kam zapíchnout). Zbavuju se jich, protože není doporučeno Dellem míchat modely a zbytek už mám na novějších. Ideálně osobní předání s vyzkoušením kousek od metra Opatov.
Cena k jednání 1000kč/ks + případně 500kč/ks za 130w adaptér k tomu?
pište na panpanika (a) gmail.com

58

Odkladiště / Re:Anonymné konto na Facebooku

« kdy: 28. 07. 2022, 09:14:42 »

neni ten rozdil spis v tom, ze na konci dne bud s nima hrajes nebo nehrajes. kdyz se s nima pokousis nehrat napul, tak to akorat konzumuje tvoje prostredky a oni nakonec stejne dostanou to co chtej. tzn bud ti to vadi natolik ze proste ty informace ozelis, anebo se s tim smiris a das na oplatku informace svoje.

59

Hardware / Re:Proxmark3 - klonování čipů pro domovní dveře

« kdy: 20. 07. 2022, 20:20:12 »

pamatuju si ze jsem cetl blog/clanek o tom jak i tam kde maj karty s kryptografii to nepouzivaj a nemuzu si vzpomenou kde.. napadl me jenda hrach a google me dovedl na brmwiki.. zrovna tohle jsem nemyslel ale evidentne se o to zajima, tipuju ze se tu objevi a treba mi i osvezi pamet s tim blogem
https://brmlab.cz/project/freakcard/start

60

Distribuce / Re:Nefunkční update nodejs v Debianu 11

« kdy: 20. 07. 2022, 18:30:45 »

ano, kdybys to potreboval priste vyctes to na intel ark..