Mikrotik RouterOS - configuratii diverse, tricks, etc

Pai fix acelasi certificat merge de pe telefon Android (ikev2)
Si aceleasi setari la peer (wireguard): gen 0.0.0.0/0, endpoint:port

Ca sa elimin eventuale probleme de isp/operator gsm, am scos si sim-ul din tel si l-am bagat in laptop.

Edited by kretzu77, 27 July 2023 - 12:05.

Știe cineva la ce se referă TX Queue Drops?

Ai preluat setari bulk de la model mai vechi pe model nou? Sau restore la un config cu setari pe Queue de care ai uitat?
Daca ai TXQ Drops cred ca ai setata Queue default la ceva valoare mica;
si/sau in Queue/Interface Queue ai altceva decat no-queue si only-hardware-queue pe undeva

Eu la interfetele facute de mine (bridge, pppoe, wireguard) am numai no-queue si la cele harware (ether1 ...., sfpplus) am numai only-hardware-queue

Edited by kretzu77, 03 August 2023 - 23:48.

ti se intampla in speedtest-e?
"impingi" mai mult decat poate uplink-ul tau?
vb de L2 sau L3 ? (switch sau router)

De asta ziceam.

kretzu77, on 03 august 2023 - 23:46, said:

da, am făcut restore, dar nu am modificat queue înainte.

ogo, on 04 august 2023 - 00:34, said:

în switch pare a fi.
am undeva pe 850 Mbps maxim, dar folosesc mult wi-fi, deci fizic nu ating viteza maximă.

M-am pricopsit si eu cu un hAP AX2 zilele astea. Tin sa precizez ca nu am mai folosit vreun produs MikroTik pana acum si am reusit sa-l "instalez" cat de cat usor. Am conexiune Digi, pe fir e totul ok, in jur de 940Mbps download cu 500 upload, cat e in contract.

Problema este pe partea wireless. Range-ul este bun, acopera cu succes casa unde locuiesc. Problema in schimb este viteza. Am separat retelele de 2.4 si 5, iar pe cea din urma, scot pana in 400Mbps download si aproximativ la fel pe upload. Inafara de country si Skip DFS Channels nu am mai facut nicio schimbare pe partea de wireless. Se mai pot "adjusta" cumva setarile sa scot o viteza mai buna?

Multumesc!

Old, on 09 august 2023 - 21:08, said:

Am aceeași problemă cu un MikroTik hap ax³ (C53UiG+5HPaxD2HPaxD).

Edited by Ravy, 09 August 2023 - 23:03.

Mikrotik e cam praf pe wifi in general (AP-uri). F stabile si uiti de ele, dar la viteza .....

Stie cineva daca router-ul MikroTik Chateau LTE are serviciul de "SMS Forward via Email"?

Eu stiu ca pe orice MTik LTE poti face asemenea script.

salut, urmeaza sa comand un mikrotik ax2 zilele astea si am o nelamurire legata de firewall: acesta trebuie configurat manual cu ceva filtre inainte de a conecta routerul la internet ca sa nu fiu expus, sau e suficient asa cum e "out of the box"?

configuratia retelei din care urmeaza sa faca parte routerul ar fi asta: autentificare pppoe in mikrotik, server dhcp pentru clienti wired/wireless, guest network (aici partial cam stiu ce am de facut).

multumesc.

Edited by baicristi, 04 September 2023 - 13:12.

AC2 vine configurat cu un firewall default și suficient ca bază - presupun că și ax este la fel (fiind urmașul ac)...

Vine configurat ok cat sa te protejeze (e inchis suficient de bine). E bine sa il "aranjezi" putin dupa, dar asta e alta discutie.

Poate sa explice cineva mai elaborat la wave2 - inter-networking - network type?
Ma intereseaza o retea wifi care sa fi o combinatie intre guest si non-guest, adica cateva device-uri "marcate" sa poata vedea si sa poata comunica < -> cu toate celelalte device-uri; iar cele ne-marcate sa poata comunica doar cu device-urile "marcate" in mod direct, iar altfel cu celelalte doar prin internet.

Use-case: ceva de genul "Alexa" sa poata descoperi si comunica cu orice IoT, iar orice IoT sa poata comunica doar cu "Alexa" sau cu internetul.
La ei pe wiki am gasit asta: "private-with-guest - same as private, but guest accounts are available;" - cum ar trebui sa procedez daca acest tip e ceea ce imi trebuie pt ce vreau, daca nu acest tip, cum fac asta?

Eu as implementa cam asa:

• VLAN-uri ca sa faci 2 retele virtuale/logice separate una de alta
  
• reguli de firewall ca sa controlezi tipul si directia traficului dintre cele doua retele virtuale/logice.
  
• conectezi jucarelele tale in reteaua corecta.

Edited by cralin, 04 December 2023 - 10:58.

De vreo citeva zile ma zdrobesc (fara succes) sa-mi dau seama daca ma lovesc de un bug in wireguard-ul de pe Mikrotik sau imi scapa ceva la configurarea Tik-urilor.


Aceasta este diagrama retelei:
 Screenshot from 2024-01-18 00-09-53.png   28.16K   25 downloads

Intre R0 si R1 este configurat un site-to-site tunel asa cum este descris aici.
Pe fiecare Mikrotik mai este configurata o instanta OSPF care are setat cost=100 pentru interfata wg_R[01] si cost=200 pentru interfata ether2

De pe Linux-1:

• ping la 192.168.1.1 primeste raspuns
  
• ping la adresa IP asignata la Linux-2 primeste raspuns
  
• ping la 8.8.8.8 primeste raspuns
  
• traceroute la 192.168.1.1 arata ca pachetele trec prin wg__R[01] atunci cind este activ tunelul si prin ether2 atunci cind nu este activ.

De pe Linux-2:

• ping la 192.168.0.1 primeste raspuns
  
• ping la adresa IP asignata la Linux-1 primeste raspuns
  
• ping la 8.8.8.8 primeste raspuns
  
• traceroute la 192.168.0.1 arata ca pachetele trec prin wg__R[01] atunci cind este activ tunelul si prin ether2 atunci cind nu este activ.

Daca traficul dintre R0 si R1 trece prin interfetele wg__R[01]:

• de pe Linux-1 unele pagini web se incarca fara probleme (eg. https://www.google.com) iar altele nu se incarca deloc (eg. https://www.vodafone.ro)
  
• de pe Linux-2 aceleasi pagini web (https://www.google.com si https://www.vodafone.ro) se incarca fara probleme.

Daca traficul dintre R0 si R1 nu trece prin interfetele wg__R[01] ci merge prin ether2 atunci atit de pe Linux-1 cit si de pe Linux-2 paginile web (https://www.google.com si https://www.vodafone.ro) se incarca fara probleme.

Configuratia de pe R0:

[admin@R0] > export terse show-sensitive
# 2024-01-18 00:00:26 by RouterOS 7.13.2
# software id =
#
/interface bridge add name=bridge1
/interface ethernet set [ find default-name=ether4 ] disabled=yes
/interface wireguard add listen-port=20001 mtu=1420 name=wg__R1 private-key="WE1yo39DunVIe4TQOSX0Kp7nm/rkLtP/Cp781tzRJXc="
/interface list add name=WAN
/interface list add name=LAN
/ip pool add name=dhcp ranges=192.168.0.100-192.168.0.200
/ip dhcp-server add address-pool=dhcp interface=bridge1 name=dhcp1
/port set 0 name=serial0
/routing ospf instance add disabled=no name=v2_instance-1 originate-default=if-installed redistribute=connected,static router-id=192.168.0.
1
/routing ospf area add disabled=no instance=v2_instance-1 name=v2_backbone
/interface bridge port add bridge=bridge1 interface=ether3
/interface bridge port add bridge=bridge1 interface=ether4
/interface list member add interface=ether1 list=WAN
/interface list member add interface=bridge1 list=LAN
/interface wireguard peers add allowed-address=0.0.0.0/0 endpoint-address=10.0.0.2 endpoint-port=20001 interface=wg__R1 persistent-keepaliv
e=10s public-key="yVc0AC6syk8I2LbYJ7hPXBvaIV97jN72WF1jEuYIpwg="
/ip address add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
/ip address add address=10.0.0.1/30 interface=ether2 network=10.0.0.0
/ip address add address=172.16.0.1/30 interface=wg__R1 network=172.16.0.0
/ip dhcp-client add interface=ether1
/ip dhcp-server network add address=0.0.0.0/24 dns-server=0.0.0.0 gateway=0.0.0.0 netmask=24
/ip dhcp-server network add address=192.168.0.0/24 dns-server=8.8.8.8 gateway=192.168.0.1 netmask=24
/ip dns set servers=8.8.8.8
/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN
/routing ospf interface-template add area=v2_backbone cost=100 disabled=no interfaces=wg__R1
/routing ospf interface-template add area=v2_backbone cost=200 disabled=no interfaces=ether2
/system identity set name=R0
/system note set show-at-login=no
/tool romon set enabled=yes

Configuratia de pe R1:

[admin@R1] > export terse show-sensitive
# 2024-01-17 23:56:36 by RouterOS 7.13.2
# software id =
#
/interface bridge add name=bridge1
/interface ethernet set [ find default-name=ether4 ] disabled=yes
/interface wireguard add listen-port=20001 mtu=1420 name=wg__R0 private-key="QNQX5AyAobmeRjFO+GGEQZh8CqwhoEDnjNLVN9CYam4="
/interface list add name=WAN
/interface list add name=LAN
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik
/ip pool add name=dhcp ranges=192.168.1.100-192.168.1.200
/ip dhcp-server add address-pool=dhcp interface=bridge1 name=dhcp1
/port set 0 name=serial0
/routing ospf instance add disabled=no name=v2_instance-1 originate-default=if-installed redistribute=connected,static router-id=192.168.0.2
/routing ospf area add disabled=no instance=v2_instance-1 name=v2_backbone
/interface bridge port add bridge=bridge1 interface=ether3
/interface bridge port add bridge=bridge1 interface=ether4
/interface list member add interface=ether1 list=WAN
/interface list member add interface=bridge1 list=LAN
/interface wireguard peers add allowed-address=0.0.0.0/0 endpoint-address=10.0.0.1 endpoint-port=20001 interface=wg__R0 persistent-keepalive=10s public-key="fMOJ11q0I78A3ruUKTWh7COMji9C7XtnY0uZQZum000="
/ip address add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
/ip address add address=10.0.0.2/30 interface=ether2 network=10.0.0.0
/ip address add address=172.16.0.2/30 interface=wg__R0 network=172.16.0.0
/ip dhcp-client add interface=ether1
/ip dhcp-server network add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1 netmask=24
/ip dns set servers=8.8.8.8
/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN
/routing ospf interface-template add area=v2_backbone cost=200 disabled=no interfaces=ether2
/routing ospf interface-template add area=v2_backbone cost=100 disabled=no interfaces=wg__R0
/system identity set name=R1
/system note set show-at-login=no
/tool romon set enabled=yes

Intrebarea ar fi:
Vedeti ceva ce lipseste din configuratia Mikrotik-urilor (sau poate ceva ce e prea mult) care ar putea sa explice de ce unele pagini nu se incarca atunci cind traficul trece prin tunelul wireguard ?

Edited by cralin, 18 January 2024 - 02:23.

MTU pe fast-forward…
Poti incerca ca o valoare mai mica (1400 de ex).

Daca te referi la "fast-track connection", singura regula de firewall care o am in configuratie este asta:

/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN

nu am regula cu fast-track