Sign In
Create Account
Mikrotik RouterOS - configuratii diverse, tricks, etc
3 votes
Last Updated: Dec 04 2023 10:57, Started by
Tyby
, Jul 11 2019 16:43
·
17
17
#91
Posted 28 April 2021 - 08:14
|
Problema cu ICMP-ul si 2.2.2.0/29 .. si nu numai ..da.. asa cum le-ai setat n-o sa poti folosi nici .0 nici .7.
Am avut de facut ceva similar, dar tinand cont ca n-a fost nevoie de IP public alocat direct pe vreun dispozitiv din spatele router-ului, am "furat" toate IP-urile pe-un bridge aproape cum ai facut si tu. Diferenta ca eu le-am alocat pe toate, dar cu /32  sa pot folosi si .0 si .7 adica in cazul tau pentru acel /29: (2.2.2.0 ... 2.2.2.7)add address=2.2.2.0 interface=bridge-29-loopback network=2.2.2.0 add address=2.2.2.1 interface=bridge-29-loopback network=2.2.2.1 add address=2.2.2.2 interface=bridge-29-loopback network=2.2.2.2 add address=2.2.2.3 interface=bridge-29-loopback network=2.2.2.3 add address=2.2.2.4 interface=bridge-29-loopback network=2.2.2.4 add address=2.2.2.5 interface=bridge-29-loopback network=2.2.2.5 add address=2.2.2.6 interface=bridge-29-loopback network=2.2.2.6 add address=2.2.2.7 interface=bridge-29-loopback network=2.2.2.7Daca ai dual wan trebuie sa ai grija pe unde pleaca dar altfel.. n-am avut probleme. N-am stiut sa fac altfel LE: Copy/paste err. Edited by Znevna, 28 April 2021 - 08:25. |
Back to top
#92
Posted 29 April 2021 - 15:57
|
Nu am dual WAN, nu m-a lasat ... inima.
Aveam probleme cu ping-ul catre toate IP-urile alocate, cred ca nu raspunde daca nu e corespondentul alive, sau invers. Revin dupa ce pun config-ul (ala). Sa vad cu timpul, ca ne omoara. De-aia le-am pus mai sus cu /29, ca initial au fost cu /32, si am modificat "la mana" dupa aia (din teste) etc. In practica am alocat direct 2.2.2.0/29 initial, dupa care am inceput fine tuning. Strict in situatia asta, nu am nevoie de IP public alocat direct, asa ca pot folosi fara probleme tot /32. |
#93
Posted 04 May 2021 - 16:32
|
Salut!
Are cineva rabdare si "placerea" de a imi explica cum sa imbunatatesc aceste reguli de firewal?
Spoiler
Am dezactivat deja servicile nefolosite, am schimbat porturi, user, mac, etc Multumesc - poate mai ajuta si pe altii postul asta
Edited by Adm, 04 May 2021 - 20:20.
|
#95
Posted 10 May 2021 - 09:39
|
Nimeni, nimic?
Rog un admin sa sterga ultimele mele trei postari pe acest topic (adica, inclusiv asta adica). Vad ca nu prezinta interes si nimeni nu recomanda nimic. |
#96
Posted 10 May 2021 - 09:50
|
bxxxx, invata sa ai putina rabdare, toti de aici facem treaba asta absolut voluntar.
Pentru a "analiza" un config de firewall si - mai mult - pentru a face recomandari pe baza acelui config, este nevoie de ceva timp si putina munca. Ia si tu in calcul ca au fost niste Sarbatori la mijloc, unii au fost plecati intr-o "mini vacanta", altii am muncit de ne-au sarit ochii ... C'mon! Edited by Tyby, 10 May 2021 - 09:51. |
#97
Posted 11 May 2021 - 19:04
|
bxxxx, am aruncat ochii pe firewall-ul ala (insa nu l-am reprodus, doar ochiometric), si nu mi-a sarit nimic in neregula in ochi. Ma rog, probabil ca lipseste parte din config (de ex /ip pool, ceva pe la /interface). Ca nu gasesc de unde sunt wlan3 si wlan4 (imi inchipui ca sunt interfete virtuale):
add bridge=Bridge_Wifi_IoT disabled=yes interface=wlan3 add bridge=Bridge_Wifi_IoT disabled=yes interface=wlan4 Mai incerc si maine sa ma uit la partea de VLAN-uri, ca la ora asta imi cam joaca ochii si chioraie matele Si, daca tot incepusem, am "furat" 5 minute si pentru distractia de mai jos:
[...] Aveam probleme cu ping-ul catre toate IP-urile alocate, cred ca nu raspunde daca nu e corespondentul alive, sau invers. Revin dupa ce pun config-ul (ala). Sa vad cu timpul, ca ne omoara. [...] Am reusit sa pun in fuga un config pe CCR-ul nou, si mi-am adus aminte care era problema cu ICMP-ul: IP-urile (pentru ca sunt alocate pe un loopback bridge) raspund la ping "as-is", si mie imi trebuie sa NU imi raspunda daca un IP din reteaua locala (ex. MTA-ul) nu este up. Parca nu as vrea sa scriptuiesc alocarea, nu imi place ideea, asa ca voi face un dst-nat pe ICMP (type 8?!) direct catre IP-ul local. Ne mai jucam, ca si maine este o zi. Seara linistita! Edited by Tyby, 11 May 2021 - 19:04. |
#98
Posted 11 May 2021 - 22:07
|
Wlan3 si wlan4 sunt virtuale intr-adevar, dezactivate. Erau Guest network-urile pe 2.4 si 5 GHz. Activ e doar 2.4 GHz pe wlan1 pe Mikrotik care e pt iot-uri. Restul wifi, e prin AP, si apoi trimis prin cablu in vlan70 sub ethernet2.
Routerul si restul echipamentelor de retea sunt inafara pool-ului de la ethernet2, in alta clasa de ip-uri fata de ethernet3, pe server dhcp separat in Bridge_Ethernet, pe ethernet2 sunt insa conectate si vlan-urile, dar alea nu sunt in Bridge_Ethernet, ci direct in ethernet2. Pe ethernet2 de fapt sunt un server dhcp pt echipamente tehnice si mai multe servere dhcp pt vlanuri, pt vpn-uri, etc, fiecare pe alt subnet fata de oricare celelalte. Multumesc, astept continuare Edited by bxxxx, 11 May 2021 - 22:08. |
#99
Posted 19 May 2021 - 15:19
|
Pentru ca am prins vreo 10 minute mai relaxate prin birou, si am avut ceva treaba prin rack, am dat peste un patch cord 10G. Si am facut niste teste de banda 10G intre cele 2 CCR-uri 1009 (cvasi-identice).
Mai intai m-am jucat cu un SFP+ DAC de 1m (un S+DA0001) intre cele doua routere. link 10G stabil, fara probleme. Nu mai stiu valorile, dar bune Apoi am lasat DAC-ul intre main-router-ul meu si un CRS305, si am conectat CCR-ul de test la CRS305 cu un patch cord Cat6, cu module SFP+ de la Mikrotik (S+RJ10). Link maxim de 5 Gbps pentru CCR-ul de test, viteza sustinuta la 4.5 - 4.8 Gbps (up, down), cu un combinat de 2.2 + 3 Gbps up & down. Dupa aia am inlocuit patchcord-ul Cat6 de 1m cu cel Cat6A de 0.5 m, si am dat iarasi drumul la test. Cu asta am facut ceva mai multe teste (despre Cat 6 stiam ca nu duce 10G prea bine la 1m+, despre DAC stiam ca tine 10G la 1m fara probleme, insa patch-urile Cat6A le-am aruncat in cos acu' vreo cativa ani la o comanda, dar niciodata nu am stat sa le testez. Pe CCR-ul de test (in medie): - 9.2 - 9.5 Gbps down - 5.0 Gbps up - 4 + 3.7 Gbps up & down Cand am testat pe main-router, statisticile au fost ceva mai mici (8 Gbps maxim up, 6 Gbps maxim down, 3.2 + 5 Gbps up & down) Totul in UDP, inTCP scad destul de drastic numerele. Ambele routere au stat cu CPU in 95-98% (cel de test), cu 100% constant (main router-ul), cu incarcare constanta mai mare la cel de-al doilea (cred ca explicatia este ca e ceva mai stufos configurat, fata de cel de tes (destul de chior), iar SFP+-ul este bagat in bridge, fata de celalalt, unde este "liber" de contract, are doar IP address, si atat). De aici si o groaza de pachete "scapate" la unele dintre teste. Un alt motiv posibil pentru "capping" poate fi dat de catre temperaturile modulelor SFP+ (in full s-au dus pana in 90 grade ambele) - CRS305-ul este un switch al dracului de fierbinte (ma rog, acum, pentru test, am si pus SFP+-urile unul langa altul, contrar recomandarii Mikrotik, ca mi-a fost lene sa reconfigurez toata cablaraia). Interesant este si traficul dinspre routerul de test si main router a mers mai greu limitat la max 6 Gbps, fata de invers, unde s-a intins pana la 9.5 Gbps. Probabil tot de configurarea main-router-ului tine si asta. Concluzia e cam asa: gigabit poate cam orice junghi in zilele noastre, cu orice scursura (aproape!) de Cat 5e mufat cum trebuie. Cand insa vrei sa sari putin calul, nu mai reusesti cu orice amarat de patch-cord Cat 6 (am avut la indemana niste Logilink-uri) sa sari de 5 Gbps, trebuie un Cat6A (scurtut!), un Cat7 (sau mai mult!), un DAC de 1 - 3 metri, sau - all the way - un patch FO bunisor. Data viitoare testam SFP+-uri.  Cateva poze jos. Am pus si graficul CPU  PS: Evident, trebuie si ceva procesor la capete, CRS305-ul in mod RouterOS NU duce mai multe de 1.5 Gbps nici mort
Attached Files
Edited by Tyby, 19 May 2021 - 16:07. |
#100
Posted 19 May 2021 - 15:30
|
cand zici temperatura modul spf+ banuiesc ca te referi la module rj45-to-spf+ (ca doar testezi pe cupru).
iar modulele astea se incalzesc de zici ca iau foc - fura curent in draci - indiferent de producator - vezi ca daca le folosesti intens risti sa se "sudeze" de port  iarasi, switch-urile 10Gbps, nu sunt facute sa duca atatea module d-astea convertoare - din cauza de curent asa ca mai bine cu DAC-uri sau module dedicate spf+ (sunt mult mai reci) 10 Gbps link ogo@gw:~$ show interfaces ethernet eth8 physical Settings for eth8: Auto-negotiation: off Speed: 10000Mb/s Duplex: Full Link detected: yes si sfp-ul dedicat ogo@gw:~$ show interfaces ethernet eth8 sfp connector=LC vendor=UBNT oui=00-00-00 part=UF-MM-10G rev= serial=FT20061608094 date=200616 temp=45.578 C voltage=3.34 V current=10.83 mA tx_power=0.49 mW rx_power=0.58 mW tx_fault=no rx_los=no Edited by ogo, 19 May 2021 - 15:32. |
|
#101
Posted 19 May 2021 - 16:04
|
ogo, stiu, LC-urile, DAC-urile optice si chiar si DAC-urile cupru sunt mult mai "reci", dar asta am avut la indemana. In CRS305 am un DAC 10G, un SFP gigabit, si un SFP+ 10g, si cam aia e limita lui. Il tin in rack pentru alimentarea redundanta.
Probabil, intr-un viitor apropiat, cand voi decide sa migrez "racii" mai viguros spre 10G, il voi inlocui cu un CRS317 (cu optiune CRS312, insa va avea aceeasi problema, 10G pe cupru majoritar - temperatura, zgomot, sudura etc, CRS317-le mi se pare mai flexibil. Om vedea ... |
#102
Posted 20 May 2021 - 15:09
|
Mi-a venit astazi primul hAP AC3, ma joc un pic cu el, trebuie sa configurez si sa-l trimit catre biroul din Iasi al unui client.
Am aruncat repede o configuratie minima pentru 2.4 & 5 GHz, si am dat niste teste sintetice. Pana acum nu sunt neaparat impresionat de wifi, in 5 GHz cred ca e sub AC (as zice si sub AC2, dar n-am apucat sa ma joc prea mult). Insa - curios - e ceva mai constant, cu / fara perete intre mine si el (tot undeva la 300 - 350 mbps, fata de AC2, care, langa router, se tinea pe la 500). 5 GHz NU a luat-o din prima (nu l-am vazut cu nici un device pana nu l-am trecut in eCee) Fata de AP-ul Asus din birou .. nu are rost sa discutam (si cred ca il am de vreo 5 ani, de cand a aparut). E drept ca a si costat cam cat doua hAP-uri AC3 ... (EXTREM de scump Ausul RP-AC68U, si atunci, si acum, mai ales ca - sa vezi si sa nu crezi - NU suporta AiMesh la banii aia - 250 USD , l-am luat pentru performanta, design si - mai ales - pentru faptul ca au infipt in el si un swith cu 5 porturi gigabit)!Vedem si ce o sa zica clientul. Langa router: - hAP AC2: 
2020-11-15 16.50.51.jpg 59.4K
32 downloads- hAP AC3:
2021-05-20 15.50.47.jpg 61.53K
33 downloadsLa birou - Asusul:
2021-05-20 15.44.18.jpg 61.42K
31 downloads- hAP AC2
2020-11-15 16.52.23.jpg 59.17K
33 downloads- hAP AC3
2021-05-20 15.45.24.jpg 61.01K
27 downloads- hAP AC
2020-11-15 16.53.31.jpg 60.38K
24 downloads(testele cu AC si AC2 sunt ceva mai vechi, mi-e lene sa le dau pedale acum am pus si aici rezultatele: https://forum.softpe...8#entry27136359) |
#103
Posted 25 May 2021 - 20:15
|
Cum fratele nostru albastru RDS tocmai m-a anuntat ca a uitat sa ma anunte (
) in urma cu 10 zile ca trebuie sa modific IP-urile de link ale unui client, si sa-i anunt cand am setat noile IP-uri, ca sa imi ruteze /29 pe unde trebuie, m-am apucat ceva mai devreme sa aranjez putin lucrurile (dupa ce, evident, am informat support-ul si commercial-ul ca va fi nevoie sa extinda deadline-ul cu 10 zile! ).Si, pe o conexiune de backup, chioara (IP static, cu o mascaradare simpla si vreo 3 porturi de management deschise, si alea cu restrictii), am gasit un 951G-2HnD antic (are mai bine de 8 ani), ruland ROS 6.47, cu un config de pe cand era el tanar. Si dau sa pregatesc /ip address pentru "portare", cand vad LAN IP pe doua interfete (acelasi IP - 192.168.x.253 ! ): pe ether2- master-local si wlan1. In conditiile in care wlan1 nu este utilizat, si este dezactivat de vreo 8 ani Evident, am zis ca m-am tampit eu si mi-am bagat destele aiurea in vreo noapte tarzie, asa ca am verificat interface eth si interface bridge, par ok, eth2-5 si wlan1 sunt in bridge-local. Am pus IP-ul de LAN pe bridge, am dezactivat al doilea IP "clona" de pe wlan1 si ... Si aici vine partea frumoasa: daca dezactivez IP-ul de LAN de pe wlan1 (192.168.x.253), dupa vreo 20 de secunde pierd conexiunea catre exterior de pe cele cateva echipamente care ies prin el. Repet, NU imediat, ci dupa vreo 20 de secunde. Daca dau enable la IP, atunci conexiunea se ridica IMEDIAT! Mai mult, daca dau enable la wlan1, se intampla acelasi lucru. Am luat config-ul de vreo cateva ori la mana, nu am gasit nimic, imi inchipui ca e un bug lipit de trecerea de la master-port la bridge hardware offloading la un moment dat (6.40 - 6.41 parca). Probabil ca il voi reseta si reface, ca nu e mare chin, sau il voi schimba cu totul, ca si-a mancat malaiul. Dar ... still
Edited by Tyby, 25 May 2021 - 20:16. |
#104
Posted 01 June 2021 - 15:52
|
L-am schimbat si am adus minunea la mine in birou, sa ma joc putin cu "dansul". Revin cu noutati, daca ii gasesc buba!
Intre timp am batut palma cu RDS-ul pentru un IP suplimentar (pentru management & stuff), si - aparent - il vor da printr-o conexiune pppoe suplimentara. Sunt tare curios cum se va descurca ROS-ul cu asta
|
#105
Posted 01 June 2021 - 18:22
|
Nu e imposibil, un exemplu pentru DHCP, dar se poate aplica si pentru PPPoE aceeasi solutie, folosind o interfata VRRP: https://forum.mikrot...t=93517#p466594
Mentionat aici: https://forum.mikrot...=153089#p755786 Mai ai de rezolvat routarea .. default routes etc, dar .. sunt sigur ca te descurci
Edited by Znevna, 01 June 2021 - 18:24. |
|
#106
Posted 01 June 2021 - 19:21
|
mda, am vazut topicele (
), nu ma coafeaza neaparat VRRP (prea multa munca), mai repede pun vreo cazatura de Mikrotik si il las pe ala de management.Cum probabilitatea de a primi IP-uri din aceeasi "clasa" (ppp), era mult mai comod sa cer un /29 (desi chiar nu am ce face cu 8 publice), sau sa imi dea direct 2 IP-uri pe WAN, dar ... contractele fara garantare sunt "decat" pppoe, si /29 nu se da prin pppoe, pppoe da un /32 etc. Vedem cum am inspiratia de moment, deocamdata astept credentials, si dupa mai vedem. |
#107
Posted 03 June 2021 - 18:48
|
Pe scurt, ca nu am avut timp: au venit credentials pentru noul pppoe de ieri, sunt corecte, am primit un IP din cu totul alta zona, ceea ce este foarte ok, insa tot nu ma ajuta sa fac ce vreau eu.
Evident ca routerul nu raspunde pe noul IP decat daca dau jos conexiunea pppoe veche, si nu mai raspunde atunci cand o ridic (normal de altfel, ruta default este cea prin pppoe-out-1, cealalta este inactiva atunci cand sunt ambele conexiuni up). Nu am stat sa-mi bat capul, dar e curios ca tine conexiunea pppoe-out-1 (cea veche) drept conexiune principala (ruta default prin ea), cu prioritate asupra celei secundare: dau jos conexiunea veche, se ridica IP-ul nou, ridic conexiunea veche, IP-ul nou cade (din exterior, evident). Daca dau jos sau ridic conexiunea noua, nu se intampla nimic cu IP-ul vechi (ramane tot ruta veche activa). Mai cercetam. Deocamdata le las configurate asa cum sunt, pe aceeasi interfata fizica, cu noua conexiune disabled, pana oi avea timp de ea ... To mangle or not to mangle ... PS: cel mai simplu si rapid este sa configurez un mikrotik mititel, doar pentru management & stuff, cu doua - trei servicii in spate, nu cu 25+ cat are cealalta, si nu mai am bataie de cap. Dar ... ma mananca. PPS: in plus, ONT-ul RDS-ului are un singur port gigabit, si nu-mi place ideea. Daca pun un switch chior gigabit in fata, ala nu are alimentare redundanta, si nu am facut nimic. PPPS: oricum nu am facut (inca) nimic referitor la alimentare redundanta, ca nici ONT-ul nu are asa ceva, asa ca degeaba am restul echipamentelor de core redundante. Am wip o solutie de failover pe ambele UPS-uri pentru echipamentele "mici", insa si acolo trebuie timp ... timp ... Sa aveti o seara linistita!
|
#108
Posted 12 June 2021 - 10:52
|
Recomandati sau nu un config de genul?
https://rickfreycons...4-free-version/ Ce zic cei ce se pricep? Ce sa iei, ce sa nu iei de acolo, ce iti poate fi de folos, ce e inutil pt un user normal? |
Anunturi
Bun venit pe Forumul Softpedia!
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users
-
- Change Theme
- English
- Mark Community Read
- Termene & conditii
- Confidentialitate
- Consimtamant
- Cookies
- Help
© 2001-2023 Softpedia. All rights reserved. Softpedia® and the Softpedia logo are registered trademarks of SoftNews Net SRL.
Ora implicita a Forumului Softpedia este ora standard a Romaniei (GMT+2). Mai multe informatii →
⚠ Postarile afisate pe Forumul Softpedia reprezinta o opinie subiectiva a membrilor care le-au publicat si nu a SoftNews Net SRL.