Mikrotik RouterOS - configuratii diverse, tricks, etc

Poti sa mergi intr-o locatie cu Open WiFi si sa sniff-uiesti traficul de acolo sa vezi daca prezinta vreun pericol ceea ce gasesti, sau nu.
Dar nu prea are legatura treaba asta cu acest topic (argumentarea de ce unii administratori si nu numai, nu vor sa se conecteze direct la retele fara criptare).
Poti deschide un topic nou si discutam acolo daca e ceva de discutat.

Edited by Znevna, 07 August 2022 - 21:50.

Pai tocmai, se pare ca nu prea e nimic de discutat...

Are cineva un exemplu functional despre cum trebuie configurat OSPF in ROS7 ca sa schimbe rute cu un OSPF in ROS6 ?

De vreo doua zile imi bat capul si inca nu ii dau de capat de ce nu merge intre ROS6 si ROS7 cu toate ca intre ROS6 si ROS6 merge.

Vreau sa-mi schimbe intre cele doua instante rutele care sint "connected" si "static"


Instanta din ROS7 este in status "full"

[admin@MikroTik] > routing ospf/neighbor/print
Flags: V - virtual; D - dynamic
0 D instance=v2-instance-1 area=backbone_v2 address=172.17.254.106 priority=1
	 router-id=192.168.254.254 dr=0.0.0.0 bdr=0.0.0.0 state="Full"
	 state-changes=6 adjacency=10m48s timeout=39s
[admin@MikroTik] >

Edited by cralin, 17 August 2022 - 13:28.

Ramai la ROS 6 daca nu vrei dureri de cap.

Din pacate, daca ramin pe ROS6 (chiar daca deocamdata nu am sa am batai de cap) nu ma ajuta cu nimic in "aventura" mea de a ma prinde cum se configureaza OSPF-ul ala in ROS7 ca sa faca ce vreau sa faca.

Mai devreme sau mai tirziu tot va trebui sa upgradez niste jucarele de la ROS6 la ROS7 iar citeva din jucarelele alea au configurate instante de OSPF.

Interesant este ca

• Rutele se propaga intre
  
  • ROS6 <==> ROS6
    
  • ROS7 <==> ROS7
• Rutele NU se propaga intre
  
  • ROS6 <==> ROS7

In toate cele 3 combinatii, instantele OSPF ajung in state "full" (deci stiu una de cealalta) dar inca nu imi dau seama de ce nu se propaga rutele intre intata de pe ROS6 si instanta de pe ROS7.

Edited by cralin, 17 August 2022 - 22:20.

Pina la urma i-am dat de capat si acuma instanta din ROS7 schimba rute cu instanta din ROS6  

Urmatoarele post-uri m-au ajutat sa inteleg unde este problema si cum se poate rezolva:
https://forum.mikrot...=188428#p951984
https://forum.mikrot...=188428#p952010

Aici si configuratia din device-urile mele de test:

R1 -> RouterOS 6.49.6
R2 -> RouterOS 7.4.1

[admin@R1] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS		 NETWORK		 INTERFACE																
0 10.0.0.1/24	 10.0.0.0	 ether1																	
1 192.168.10.1/24 192.168.10.0 bridge1																
2 D 172.17.254.106/32 172.17.254.105 l2tp-in__gw.hAP-ac2	

[admin@R1] > /routing ospf export
/routing ospf instance set [ find default=yes ] redistribute-connected=as-type-1 redistribute-static=as-type-2 router-id=192.168.10.1
/routing ospf interface add cost=17104 interface=l2tp-in__gw.hAP-ac2 network-type=ptmp
/routing ospf network add area=backbone network=172.17.254.104/30

[admin@R1] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#	 DST-ADDRESS	 PREF-SRC	 GATEWAY		 DISTANCE
0 ADo 1.1.1.1/32						 172.17.254.105		 110
1 ADC 10.0.0.0/24	 10.0.0.1	 ether1				 0
2 ADC 172.17.254.105/32 172.17.254.106 l2tp-in__gw.hAP...	 0
3 Do 172.17.254.105/32				 172.17.254.105		 110
4 ADC 192.168.10.0/24 192.168.10.1 bridge1				 0
5 ADo 192.168.20.0/24				 172.17.254.105		 110

[admin@R2] > /ip/address/print
Flags: D - DYNAMIC
Columns: ADDRESS, NETWORK, INTERFACE
# ADDRESS		 NETWORK		 INTERFACE
0 10.0.0.2/24	 10.0.0.0	 ether1	
1 192.168.20.1/24 192.168.20.0 bridge1	
2 D 172.17.254.105/32 172.17.254.106 l2tp__gw3.vpn

[admin@R2] > /routing/ospf/export
/routing ospf instance add disabled=no name=v2-instance-1 redistribute=connected,static router-id=192.168.20.1
/routing ospf area add disabled=no instance=v2-instance-1 name=backbone_v2
/routing ospf interface-template add area=backbone_v2 disabled=no interfaces=l2tp__gw3.vpn type=ptmp-broadcast

[admin@R2] > /ip/route/print
Flags: D - DYNAMIC; A - ACTIVE; c, s, o, y - COPY
Columns: DST-ADDRESS, GATEWAY, DISTANCE
#	 DST-ADDRESS	 GATEWAY					 DISTANCE
0 As 1.1.1.1/32		 192.168.20.100					 1
D o 10.0.0.0/24	 172.17.254.106%l2tp__gw3.vpn	 110
DAc 10.0.0.0/24	 ether1							 0
D o 172.17.254.106/32 172.17.254.106%l2tp__gw3.vpn	 110
DAc 172.17.254.106/32 l2tp__gw3.vpn					 0
DAo 192.168.10.0/24 172.17.254.106%l2tp__gw3.vpn	 110
DAc 192.168.20.0/24 bridge1							 0

Edited by cralin, 19 August 2022 - 00:09.

A mai configurat cineva OpenVPN ca si client de pe CCR peste PPP (RDS ca tot romanu)? Scopul e sa scot un anumit IP intern prin VPN.

VPN-ul o sa fie cu alte ip-uri fațã de cele din lan.

Edited by NikoroB, 20 September 2022 - 07:16.

Da, expected.

Ma uitam la ceva solutii cu mangle, cu tabela de rutare separata, etc . Am citit variate scenarii plauzibile pe forum la mikrotik, dar poate ati mai facut careva din voi si aveti niste notite simple. De asemenea, e ok daca pot sa scot si un subnet intreg pe interfata de ovpn care sa plece dupa pe default route pe RDS.

Pai pur si simplu apoi rutezi dintr-un subnet in altul. Dar de fapt care-i nevoia ta?

/offtopic

NikoroB, on 20 septembrie 2022 - 07:16, said:

Cred ca voiai sa zici alt subnet (ca oricum alte ip-uri vor fi) dar nici asta cu alt subnet nu e obligatoriu  - de ex pt l2tp ipsec (server), ip-ul cllientului poate fi din acelasi subnet - bineinteles sa nu fie vreun overlap cu ip-urile deja distribuite via dhcp sau/si cele fixe (daca exista).

Am folosit aceeasi terminologie ca a userului. Evident ca m-am referit ca o sa fie un subnet diferit fațã de cel din lan .

Nevoia mea e sa scot tot traficul de pe un endpoint (accept si un intreg subnet daca influenteaza in vreun fel complexitatea configuratiei) prin openvpn (provider comercial: CyberGhost). Nu pot face rutare statica pt ca se tot schimba IP-ul alocat pe interfata de CyberGhost. Exemplu: acum sunt pe 10.12.15.0/24, iar peste cateva minute, la un reconnect al interfetei, se schimba. Exemplu: 10.12.17.0/24

Tutorialul de aici e foarte bun si simplu. E ce ma intereseaza, dar asta doar daca ai un gateway fix: https://superuser.co...-web-sites-only

Si nici nu stiu ce pools de IPs din 10.0.0.0/8 mai foloseste cyberghost. As putea face o ruta care sa cuprinda mai multe, dar doar cu trial and error. Nu am gasit pana acum ceva prin documentatie pe la ei.

Alte idei?

Ruben56, on 20 septembrie 2022 - 12:52, said:

La gateway in loc sa treci adresa ip completeaza cu numele interfetei openvpn . Vezi daca merge asa .

Edited by marchand, 20 September 2022 - 15:35.

Nn sint convins ca o sa-i mearga.
https://wiki.mikroti...ce_as_a_gateway

merge, merge! A fost o idee excelenta de altfel. Intre timp am gasit si tutorialul asta ([ https://www.youtube-nocookie.com/embed/e-HA9XLbuBo?feature=oembed - Pentru incarcare in pagina (embed) Click aici ]) care e identic in principiu cu link-ul ce l-am pus mai sus.

Singura chestia, la mangle rule pui Src. Address List, nu Dst. Address List. E logic.

Mersi si spor la treburi!

Interesant tutorial.
Eu am setat prin PPTP ca un pool să se conecteze prin el. Am ales PPTP pentru că m-am gândit că OpenVPN ar încărca procesorul prea mult.
Nu știam de faza cu fasstrack din firewall. O să încerc atunci când voi ajunge la țară.

Oare DNS-urile vor face legătura tot prin VPN sau pe langă?