MikroTik RBD52G-5HacD2HnD-TC hAP ac²

Poti sa iei un SFP gpon, problema e cum il autentifici cu OLT-ul si sa "nimeresti" VLAN-ul de internet.

Deci teoretic nimic nu este imposibil, dar ai nevoie de ceva ajutor din interior.

Am citit fugitiv toate cele 4 pagini, sper ca nu ma repet dupa cineva. RBD52G-5HacD2HnD-TC hAP ac² am vrut ca sa-l achizitionez si eu acum cateva luni, insa am amanat pentru ca pe forumul Miktorik au fost multe plangeri cu performanta foarte slaba pe wifi. Se pare ca abia acum exista un RC (release candidate) de firmware ce imbunatareste substantial performanta lui RBD52G-5HacD2HnD-TC hAP ac². Daca tu ai instalat ultimul update oficial inca nu beneficiezi de imbunatarile respective pe wifi, trebuie ori sa activezi canalele de update "beta" ori sa mai astepti putin pana ce se va lansa un firmware oficial.

Multumesc mult. Am gasit topicul de pe forum mikrotik. Se pare ca sunt probleme chiar mau grave, ceea ce explica cumva pretul redus al routerului....cat dai, atata face

Edited by sonnydellmarco, 06 July 2018 - 20:44.

https://wifimag.ro/m...2uigs-5hact2hnt
Asta... si ai scapat de orice problema.il am de 3 luni si jumatate... nicio problema.
Fiindca astea sunt echipamente nu routere "a la E-Mag"!

Offf ... of, mai mai ...

Haideti sa lasam un pic partea tehnica si sa privim imaginea de ansamblu!

RouterOS (sistemul de operare din spatele device-urilor Mikrotik) este un sistem de operare bazat pe un kernel de linux (un 3.5.x parca, cel putin la origine). Acest fapt confera device-urilor Mikrotik o flexibilitate si adaptabilitate de invidiat.

Insa ... exista un insa: cei de la Mikrotik dezvolta cateva linii diferite de produse (routere wireless sau nu, switch-uri, CPE-uri, AP-uri, kit-uri de link wifi etc). Mare parte din functionalitate se pastreaza, cel putin intre clase apropiate, insa tot e bine sa alegi intelept echipamentul, in functie de nevoile reale pe care le ai. De ex.: este de preferat sa folosesti un router (ex CCR) pentru routare si un switch (ex CRS) pentru partea de switching, chiar daca ambele pot fi utilizate.

De ce? Pentru ca - pur si simplu - sunt construite pentru functii primare diferite, pe hardware diferite (CPU, ASIC-uri etc).

Revenind: nu comparati asa zisele routere de 100 RON din comert (sau chiar mai scumpe) cu device-uri dedicate (gen Mikrotik, Ubiquiti, Cisco etc), pentru ca nu sunt gandite nici macar pe aceleasi zone  de marketing, nu au acelasi target.

Luati de exemplu si doar simplul fapt ca administrare / configurarea unui router Mikrotik nu este totusi la indemana oricui, si ati eliminat deja macar 50-60 % din potentialul target. Adaugati si faptul ca deviceurile din gama UniFi au nevoie de un controller (software / hardware) pentru configurare / implementare / administrare, si ati mai eliminat inca 50-60% dintre cei ramasi. Si ramanem cu 20-25% (poate!) dispusi sa isi asume o curba de invatare si un efort ceva mai ridicat doar pentru a avea o pool de echipamente mai de Doamne-Ajuta.

Asta cu toate ca o combinatie de CCR entry-level (sau chiar RB) (Mikrotik) cu 2-3 AP-url AC-LR (Ubiquiti) si - eventual - un uCK (UniFi Cloud Key Controller) isi gasesc cu greu rival in piata consummer pentru majoritatea aplicatiilor on-site mai pretentioase. Iar controlul este exceptional!

Revenind la Mikrotik: simplul fapt ca se bazeaza pe un kernel linux sperie din start o masa suficienta de posibili utilizatori. Si da, chiar daca exista o interfata grafica de configurare (doua chiar, daca pui si Winbox-ul la socoteala), lucrurile nu sunt chiar asa simple (cei care au fost nevoiti sa faca un PPPoE RDS pe un Mikrotik in urma cu 4-5 ani stiu despre ce vorbesc, nu ca acum ar fi cu mult mai directa configurarea globala a RouterOS-ului, insa pe atunci chiar erau unele chestii challenging! ).

Pe de alta parte ... am o galeata destul de buna de Mikrotik-uri (single sau in combinatie cu alte echipamente, si atunci sunt - de obicei - Ubiquiti pentru partea de acces clienti) raspandite peste tot prin tara. Unele legate in PPPoE, altele in infrastructura directa, ethernet sau fibra / SFP. Si nu ma solicita niciodata! Evident, fac update-uri pe ele, mai adaug cate un blacklist, mai verific cate un log, insa - in rest - is fac treaba cu brio. De ani de zile. Si tin servere, utilizatori, accese etc in spate. Cred ca pot spune ca niciodata nu m-a solicitat vreun Mikrotik sa ajung in vreo locatie pentru ca s-ar fi blocat / resetat / etc.

Acum, referitor la hAP AC2: am vreo doua puse la clienti, in birouri prin tara, fara pretentii deosebite (sub 5-10 clienti). Nu s-au plans niciunul pana acum (e drept ca am tinut update-urile la zi, data fiind discutia cu performanta WiFi).

In birou am de cativa ani un hAP AC ca router principal (nevoile mele sunt modeste ), conectat direct la mediaconvertor-ul gigabit (da, imi intra fibra in birou, si nu, nu e RDS / nu e PPPoE). Duce in 800-900 mbits (Speedtest, nu sunt pretentios, cum ziceam), cu 20+ reguli in filter si 35-40 reguli in NAT, plus vreo 300 de IP-uri in address-list. Performanta e decenta pentru 120 EUR cat am dat pe el (desi cred ca tot pe-acolo e si acum). Am testat vs. hAP AC2 la un moment dat, si nu m-a convins AC2, am ramas pe mai batranul AC. E drept ca AC2 era abia iesit pe piata, si nici nu am avut timp sa ma "dau" cu el. Insa atat timp cat AC-ul imi ofera mai mult decat am nevoie ...

Sa nu mai zic ca mai am inca vreo 4 batrane bucati de RB951G-2HnD care isi fac treaba cu brio prin diverse locatii de prin tara...

Edited by Tyby, 17 December 2018 - 08:57.

@ogo:

[admin@MikroTik] > ip firewall filter print all
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
	 chain=forward action=passthrough
1 ;;; Blocare device internet
	 chain=forward action=drop dst-address-list=192.168.0.0/24
	 src-mac-address=xx:xx:xx:xx:xx:xx log=no log-prefix=""
2 ;;; defconf: accept established,related,untracked
	 chain=input action=accept connection-state=established,related,untracked
3 ;;; defconf: drop invalid
	 chain=input action=drop connection-state=invalid
4 ;;; defconf: accept ICMP
	 chain=input action=accept protocol=icmp
5 ;;; defconf: drop all not coming from LAN
	 chain=input action=drop in-interface-list=!LAN
6 ;;; defconf: accept in ipsec policy
	 chain=forward action=accept ipsec-policy=in,ipsec

Ideea e ca abia acum incep sa ma ating de firewall...si nu reusesc sa blochez accesul la internet. Regula 1 ar fi cea introdusa de mine.
Vezi vreo problema aici? Ceva fac gresit daca nu pot sa blochez clientul....

Edited by joystick, 15 December 2018 - 15:41.

ce subnet ai?

ip address> print

mac-ul ala n-are cum sa fie xx:xx:xx:xx:xx:xx

LE
Exemplu:
subnetul tau: 192.168.1.0/24
unde vrei sa blochezi accesul la internet pt device-ul cu mac: 00:25:90:e2:0f:85
dar sa ai access la el din lan-ul tau

/ip firewall filter add chain=forward src-mac-address=00:25:90:e2:0f:85 dst-address=!192.168.1.0/24 action=drop

LE2
vezi "!" din fata subnetului. asta inseamna ca se blocheza accesul mac-ului respectiv la orice mai putin spre subnetul care urmeaza dupa "!"

Tu ai blocat mac-ul ala sa nu acceseze reteaua ta

Edited by ogo, 15 December 2018 - 16:15.

Xx l-am pus eu ca sa maschez mac-ul pe forum.
Deci ar trebui sa pun si "!".
Deci acum nu mai pot accesa nimic din retea? Totusi... Routerul il pot accesa. De amorul testelor an facut regula ptr calculatorul principal.

In rest sunt ok regulile implicite?

Cred ca sunt regulile minime pt chain input/forward.
Nu ai nicio regula de nat/masquarade - ceva de genul:
/ip firewall nat add chain=srcnat out-interface=Interfata-ta-pppoe action=masquerade
Cred ca exista un safe mode in WinBox sa nu iti tai accesul singur *cred*. Sau nu ai subnetul ala setat.

1 ;;; Blocare device internet
	 chain=forward action=drop dst-address-list=192.168.0.0/24
	 src-mac-address=!40:8D:5C:56:73:1A log=no log-prefix=""

Merge si netul si LAN-ul .

Credeam ca pe Mikrotik e mai greu sa faci sa mearga, nu sa faci sa nu ami mearga )


LE: taran Destinatia trebuia blocata!

1 ;;; Blocare device internet
	 chain=forward action=drop dst-address-list=!192.168.0.0/24
	 src-mac-address=40:8D:5C:56:73:1A log=no log-prefix=""

Multumesc mult. Raman dator!

Edited by joystick, 15 December 2018 - 21:50.

Ca sa nu deschid topic nou pentru un simplu sfat, vreau sa va dau un LINK pentru cei care nu stiu cum sa configureze basic un router MikroTik (indiferent modelul) pentru conectare PPPoE la RDS sau orice alt provider cu acest protocol:
Sa va fie de folos - este valabil pentru marea majoritate a routerelor MikroTik, enjoy:
http://www.academia-...oe-routerboard/

Edited by Tehnicianul090370, 16 December 2018 - 13:12.

Mulțumim, insa ce face mai exact:

/ip firewall nat add chain=srcnat out-interface=pppoe-out1 action=masquerade

Face network address translation. One-to-many:
ai doar un ip public si 10 clienti => nu se poate. Ai nevoie de masquarade. “Ascunzi” sub acelasi ip public N clienti ce au adrese private folosindu-te de rfc1918 a.i. toti clientii tai vor avea o adresa privata din unul din cele 3 blocuri: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 ce se vor putea conecta la internet prin interfata pppoeX.
Nu uita ca ai nevoie si un server de dhcp ca sa nu stai sa setezi manual la fiecare client in parte ip-uirile.
Parca era un quick setup pt dhcp de genul:

ip dhcp-server> setup

Alegi interfata/tele pe care vrei sa fie activ (gen eth2 sau ether2 cum e in routeros parca) , subnetul (address space de genul 192.168.0.0/24), gateway 192.168.0.1, dhcp pool-ul (ce address range vor luat clientii tai) 192.168.0.100-192.168.0.200, serverul de dns si lease time-ul.
Ia da un paste la

ip dhcp-server print

Edited by ogo, 16 December 2018 - 16:28.

Cam asa ar trebui sa arate o configuratie basic-basic a unui router mikrotik home / small business (am scos configuratia bridge-urilor, fasttrack etc - ar trebui sa fie deja setate - de preferinta sa porniti de la o configuratie default a routerului, nu recomand stergerea scriptului la prima pornire, sunt sanse mari sa pierdeti conexiunea cu echipamentul daca nu stiti ce faceti).

(PS: IP-ul default la Mikrotik este 192.16.88.1/24)

Lista de mai jos:
- un PPPoE gen RDS (ca banuiesc ca sunteti multi cu asa ceva).
- WiFi security profiles (de obicei dezactivez / sterg default-urile, si creez unele personalizate, din motive de siguranta / usurinta in urmarire)
- WiFi SSIDs (2.4 si 5 GHz) - folosesc SSID-uri diferite pentru cele doua radio disponibile
- DHCP server pool and setup (ATENTIE: default vine cu pool in zona 192.168.88.0/24!)
- DNS allow-remote-requests (DNS forwarder setup)
- exemple address-list
- deschidere port WinBox catre o lista de adrese "safe" - e o intreaga discutie aici, dar exista aceasta posibilitate, si astfel se implementeaza
- setari basic firewall, cu deschidere ICMP (ping) si blocare TCP 25 outbound, cu exceptia serverelor utilizate (este o regula care - cel putin pana nu demult - era un must have pentru orice router, pentru blocarea conexiunilor unor computere infectate; intre timp lucrurile au mai evoluat, insa regula ramane! )
- setari mascaradare (NAT) pentru acces internet
- o regula de port forward catre un server din reteaua interna (in acest caz un DVR Dahua, cu portul 37777 deschis pentru aplicatiile client). Este facuta SI mascaradarea portului pentru reteaua locala (NAT loopback / hairpin nat)!

/interface pppoe-client
add add-default-route=yes default-route-distance=0 disabled=no interface=ether1-gateway keepalive-timeout=60 name=pppoe-out1 password=PPPOE_PASSWD \
use-peer-dns=yes user=PPPOE_USER

/interface wireless security-profiles
add authentication-types=wpa2-psk mode=dynamic-keys name=mySecProfile supplicant-identity=hro-Mik wpa-pre-shared-key=PSKAUTHKEY wpa2-pre-shared-key=PSKAUTHKEY

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce country=romania disabled=no distance=indoors frequency=auto mode=ap-bridge \
security-profile=mySecProfile ssid=mySSID-2ghz wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=romania disabled=no distance=indoors frequency=auto mode=ap-bridge \
security-profile=mySecProfile ssid=mySSID-2ghz wireless-protocol=802.11

/ip pool
add name=dhcp ranges=192.168.x.101-192.168.x.199

/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=bridge-local name=default

/ip dhcp-server network
add address=192.168.x.0/24 comment="DHCPs configuration" gateway=192.168.x.254 netmask=24

/ip dns
set allow-remote-requests=yes servers=192.168.0.250

/ip firewall address-list
add address=x.x.x.x comment="client remote offices - Brasov" list=remote-offices
add address=y.y.y.y comment="client remote offices - Cluj" list=remote-offices
add address=n.n.n.n comment="primary MTA" list=allowed-MTA-list
add address=o.o.o.o comment="secondary MTA" list=allowed-MTA-list

/ip firewall filter
add chain=forward comment="Accept established and related packets" connection-state=established,related
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="Winbox accept from remote-offices" dst-port=8291 protocol=tcp src-address-list=remote-offices
add action=accept chain=forward comment="Accept SMTP to allowed-MTA-list" dst-address-list=allowed-MTA-list dst-port=25 protocol=tcp src-address=192.168.x.0/24
add action=drop chain=forward comment="DROP SMTP to others" dst-port=25 protocol=tcp src-address=192.168.x.0/24

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=ANY-TO-DVR dst-address=192.168.x.2xx dst-port=37777 out-interface=bridge-local protocol=tcp src-address=192.168.x.0/24
add action=dst-nat chain=dstnat dst-port=37777 protocol=tcp to-addresses=192.168.x.2xx

Sunt mult mai multe chestii care se pot face pornind de la configuratia de mai sus, si TOATE sunt accesibile inclusiv din interfata grafica, doar ca nu sunt la fel de clare / explicite ca la un internet-gateway chior / ordinar.

Succes!

Sper

PS: Joystick, la tine e o problema de definire a destinatiei (ar fi trebuit sa ai dst-address in loc de dst-address-list - daca vrei sa folosesti referire la o clasa de adrese, si sa o negi (!) .

Edited by Tyby, 17 December 2018 - 10:33.

Foarte buna postarea! Multumesc.

O intrebare poate stupida. Cand fac upgrade la soft, e musai sa fac si la fw? Logica mea spune ca da, am descoperit asta recent, nici nu stiam ca sunt doua tipuri de upgrade RouterOS/Routerboard.

Edited by JohnnyUSA, 17 December 2018 - 12:06.

E de peferat sa faci ambele upgrade-uri. PE RAND!

Exista un link cu info cum sa configurez pe portul USB de la router Mikrotikhap AC lite a unui modem Huawei E3372 ?

Il citeste si il afiseaza ca si modem LTE - vizibil in meniu de configurare - LTE AP-.
Dupa aplicarea acestei setari  nu functioneaza conenxiunea la internet , iar router-ul nu mai aloca IP .

Daca sunt necesare pot sa atasez printscreen-uri .
Multumesc

Edited by eful2007, 17 December 2018 - 13:27.

ar trebui un config, sa vedem ce si cum.

Pana una-alta:

https://www.google.c...iw=1600&bih=763