mam chut Mikrotika vyhodit oknom....

Všetko o sieťach, nastaveniach, problémoch ...
Používateľov profilový obrázok
molnart
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 6993
Dátum registrácie: Ut 19. Jún, 2012, 23:03
Bydlisko: Bratislava/Samorin

mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa molnart »

Tak som potreboval do rodiny dokupit dalsi router a nechal som sa ovplyvnit prispevkami niektorych uzivatelov tu a namiesto nejakeho osvedceneho tomato routra som isiel do miktiku (RB951). do konca som si bol sebou taky isty ze namiesto osvedcenej alzy som to objednal o 16 eur lacnejsie z eshopu mimo BA, reku urcite nebudem mat dovod ho vracat...

ake bolo moje prekvapenie ked som vsetko zapojil, spustil router, a komp mi nenacital ip adresu, do konca ani nova wifi siet sa mi nezobrazila.. WTF??? po polhodinovovm skusani som si spomenul ze jedno zariadenie v sieti ma nakonfiguranu pevnu ip adresu, tak si hovorim urcite sa to bije ze je to v inom subnete, tak som pre istotu zacal odznova s odpojenim vsetkeho (aj ked som predpokladal ze mikrotik sa s tym vyrovna, no co uz).

ok, pokus dva, vsetko nabehlo, internet funguje, tak ideme nahodit nejaky normalny subnet, nie ten debilny 192.168.88.0. Tak si to zmenim na stranke quickconfig, a prestane mi fungovat net :furious2: tak googlim, nachadzam toto http://networkingforintegrators.com/201 ... hcp-range/, kontrolujem nastavenia, vsetko sedi, ale stale net nejde....

tak idem restart konfiguracii a step by step podla toho navodu. po prvom kroku sa mi strati pripojenie k routru a dalej sa nedostanem, cele sa to zatuhne, musim dat reset. popisovane pripojenie cez mac adresu vo winboxe ktovie preco nejde....

Nejsom uplny amater co sa tyka sieti, na tomato routroch mam nastane scripty na zalohovanie configu, staticke ip adresy, port forwarding apod. veci, bezi mi tam vpn server, ale pripada mi ze toto vsetko nakonfirgurovat na mikrotiku bude trvat vecnost (viem, profici to robia cez telnet predpripravenymi scriptami) a neviem si predstavit ako budem nastavovat 3g modem ako zdroj netu... nechapem ako mozete tieto routre odporucat v podstate amaterom...

zatial mam za sebou prejebany vecer konfiguraciou routra (nakoniec som aj tak zapojil spat ten stary),a vyzera to tak ze mam pred sebou pekny vikend plny nervov...
Spoiler: ukázať
PC: CPU: Intel Core i5 12600K with Silentium Fortis 5 ARGB MB: MSI Tomahawk Z690 DDR4 RAM: 2x 16GB G.Skill Ripjaws V 4400-19 DDR4 GPU: GigaByte Eagle GeForce RTX 3060 Ti OC HDD: Samsung 970 1GB GB PSU: Corsair RMx (2018) 650W Case: Fractal Meshify 2 Compact Monitor: Philips 272B7QPJEB OS: Win 11 64-bit
Notebook: HP EliteBook 840 G6 Core i5 8265U, 16 GB RAM, 512 GB SSD
Server: HP Microserver Gen8 Xeon E3-1265Lv2, 16GB ECC DDR3 OS: PVE + OMV + OPNsense
Phone: Samsung Galaxy A52s
Tablet: iPad Pro 11 (2018)
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12262
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa mp3turbo »

mikrotik sa s tym vyrovnal, tvoja ostatna siet uz nie.

quickconfig a web box su kraviny, cely hardcore sa robi cez telnet

adresu si nemal zmenit ale pridat - cize by si mal DVE alebo viacere naraz, 192.168.88.1 co je default by si pouzil pre riesenie problemov co si vyrobil

neviem aka je default konfiguracia a nikdy ma to netrapilo, predpokladam ze internet ti prestal chodit lebo problem v /ip firewall nat (zrejme tam niekde bola pouzita povodna adresa a nie generic "maškaráda", nadlho vysvetlovanie)

cely problem spociva v tvojej neskusenosti a nezohratosti s mikrotikom, platforme samotnej nic nie je. Tym nemyslim nic zle, poznas ma do tej miery aby si to vedel ohodnotit - to je proste len obycajne konstatovanie bez akehokolvek negativneho osobneho oného. Analogia : auto soferovat vie kazdy z nas, vsetky osobaky na svete nerobia problem, ale keby bezneho cloveka posadili do kamionu s 18 kvaltami, malymi velkymi rychlostami a splittermi prevodov a nalozili 70 ton za chrbat, tiez by si mal problem sa odlepit. Takisto by s dvojnapravovym privesom zacuvat hore kopcom. To je cele. Takto si to ukazme : https://www.youtube.com/watch?v=8lEYaTvvq4g trufas si na to ? Ja som vyrastal na Liaz 100 a podobne, takze medziplyn pouzivam este aj na osobaku... ale pre nesofera kamionu je to proste nezvladnutelne a nepochopitelne, pritom je to uplne jednoduche. Poznamka : henten fesak si to neskutocne skomplikoval lebo to tak proste chcel, jednu paku ma namiesto obycajneho prepinaca velke/male prevody a druhu namiesto flippera polovicky alebo cele prevody - ma to spravene totalne neprakticky a drbnuto, jedna ruka musi byt furt na volante co v jeho pripade nehrozi. Ale to teraz neriesime.

Bud sa radis k ludom co rozumeju sietam a popri tom aspon trosicku linuxovej filozofii alebo sa radis k amaterom - nemozes tie dve mnoziny prelinat. Flexibilita a bohata funkcionalita proste prinasaju komplexitu v ovladani - ktore auto sa jednoduchsie ovlada, Skoda Favorit s tromi gombikmi a dvomi prepinacmi dohromady alebo Mercedes S ktory ma tisic gombikom a desat palubnych pocitacov ? S konfiguraciou ti poradim len detailne popis aku mas siet, a co presne chces nastavit.



Co sa tyka 3g modemov, tu mas zadarmo moj knowledge :



- modem Chujawej E220 mam prednastaveny na T-Mobile kde bol kupeny, nastastie nie locknuty. Do /interface ppp-client kde sa nachadzaju tieto USBckove modemy a ich 3G/EDGE pripojenia som musel nastavit "modem init string" ktory zabezpeci vyber ineho providera namiesto T-Mobile:


/interface ppp-client set 3Gmobilephone modem-init="AT+COPS=1,2,\"23106\""


AT+COPS je prikaz na vyber mobilneho operatora, 23106 je siet O2 (23102 eurotel ; 23101 pomaranc), lomitko uvodzovka je symbolicky zapis uvodzoviek v tom init retazci nakolko do modemu samotneho je treba poslat prikaz AT+COPS=1,2,"23106" ktory znamena prva jednicka ze manualny vyber siete, dvojka ze zadam nazov siete tak ako vysiela do vzduchu v numerickom tvare, potom samotny retazec avsak ten musi byt v uvodzovkach.

Nad tymto som penil asi dve hodiny tak dufam ze vam tie hodiny usetrim pri buducom nasadzovani.



- ak 3g spojenie padne, nadviaze sa automaticky znovu, v konfiguracii je standartne "dial-on-demand=yes". Vypadok je circa 15-20 sekund

- vyberiem modem z usb portu zaziva, vrazim naspat, mikrotik ho po par sekundach automaticky pripoji na 3G

- zoznam podporovanych modemov je neskutocne velky a stale sa rozsiruje. Aj ked konkretne zariadenie co mas nie je napisane v zozname, vobec to neznamena ze nebude chodit - toto je primitivna emulacia standardu podobne ako boli stare seriove modemy

- aj tie ktore priamo nie su podporovane sa samozrejme daju ovladat, su to proste nejake standartne AT prikazy. Treba si vybrat tzv. data channel (datovy kanal na GSM, pouziva sa 0, 1 alebo 2), APN (identifikator siete kam sa pripojit, nieco ako SSID pri wirelesskach, O2 pouziva o2internet), pin (da sa zadat do konfiguracie, ja som vypol kontrolu pinu softom dodanym priamo k modemu takze idem direkt bez security), init string a dial string (init je standartne prazdny a netreba ho, dial je ATDT).




A takto to vyzera cele:



[admin@MikroTik] /interface ppp-client> /system resource usb print
# DEVICE VENDOR NAME SPEED
0 2:1 RB400 EHCI 480 Mbps
1 1:1 RB400 OHCI 12 Mbps
2 1:5 HUAWEI Technologies HUAWEI Mobile 12 Mbps






[admin@MikroTik] /interface ppp-client> /interface ppp-client print
Flags: X - disabled, R - running
0 R name="3G" max-mtu=1500 max-mru=1500 mrru=disabled port=usb2 data-channel=0 info-channel=0 apn="o2internet" pin="" user=""
password="" profile=default phone="" dial-command="ATDT" modem-init="AT+COPS=1,2,"23106"" null-modem=no
dial-on-demand=yes add-default-route=yes use-peer-dns=yes keepalive-timeout=30 allow=pap,chap,mschap1,mschap2






[admin@MikroTik] /interface ppp-client> /interface ppp-client monitor 0
status: connected
uptime: 30s
idle-time: 0s
mtu: 1500
mru: 1500




[admin@MikroTik] /interface ppp-client> /ip addr print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 I 192.168.0.3/24 192.168.0.0 ether1 <--- nevsimajte si, zakazal som ethernet
1 1.1.1.1/24 1.1.1.0 wlan1 <--- cez wifi mam pripojeny notebook
2 D 46.34.242.69/32 10.112.112.133 3G <------ vytvorene automaticky po spojeni, prideluje v tomto konkretnom pripade O2






[admin@MikroTik] /interface ppp-client> /ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 10.112.112.133 1
1 ADC 1.1.1.0/24 1.1.1.1 wlan1 0
2 ADC 10.112.112.133/32 46.34.242.69 3G 0
[admin@MikroTik] /interface ppp-client>


Z prikladu je vynechany dns forwarding, NAT/masquerate vnutornej siete bez coho internet chodit nebude. Akakolvek bezpecnost, port forwarding, multiple interfaces, multihoming, vpn...

No, ved na tom nic nie je az tak zlozite, ze nie ?
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Používateľov profilový obrázok
Pepeb007xx
Sponzor fóra silver
Sponzor fóra silver
Príspevky: 3024
Dátum registrácie: St 16. Mar, 2011, 18:22
Bydlisko: NM

Re: mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa Pepeb007xx »

mikrotik je zlozite zariadenie,neodporuca sa ludom,ktori sa v tomto smere vobec nerozumeju..

btw ak si ho kupoval cez net tak do 7mich dni ho mozes bez problemov vratit,cize..
MB Asus B550-F CPU AMD Ryzen 7 5800X3D @4,4GHz CPU AIO Fracal Desing Lumen S36 GPU Sapphire NITRO+ AMD Radeon RX 7900 XTX Vapor-X 24G RAM Patriot 64GB DDR4 SSD Samsung 990 PRO 2 TB PSU Corsair RM850x Case Fractal Design North Chalk White TG Clear Monitor Samsung 32''U32H850 OS Win 11PRO64SK Repro Edifier S880DB
NAS Synology DS218play Noctua 20TB WD Red Surveillance Reolink RLN16-410 8TB UPS EATON Ellipse ECO800
Router Mikrotik hAP ac³ MESH 2×Asus RT-AX55 TV Philips 65OLED806 SoundBar Samsung HW-Q950A 11.1.4
Retro handheld Anbernic RG556 + Samsung PRO Ultimate 512GB GamePad Xbox wireless controller

#grammarnazi #parfumslover Steam Pepeb007xx #DotA2 pretaktovanie klan: PC.SK Battle.net pepeb007xx#2925 #diablo4
Používateľov profilový obrázok
Chris
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 5238
Dátum registrácie: Pi 13. Jan, 2006, 02:00
Bydlisko: Bratislava

Re: mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa Chris »

stare zlate DD-WRT :laugh:
Master of PaloAlto NGFWs, Cisco ASAs
Používateľov profilový obrázok
shiro
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8732
Dátum registrácie: Št 21. Dec, 2006, 02:00
Bydlisko: Banska Bystrica

Re: mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa shiro »

presne, mikrotik nieje pre laikov, tiez niesom blby, ale s prvotnym konfigom RB951G-2HnD som sa vytrapil tak na dve hodky, jak som nadaval...
Da sa tam nastavit doslova vsetko, no treba aj rata s tym, ze clovek tam musi mysliet doslova na vsetko...napr. ked si odfajcis interface, tak defakto vypnes dany LAN port, alebo ked i robis DHCP, tak musis nielen naklepat rozsah IPcok, co to bude pridelovat, ale aj vytvorit a spustit dhcp server...a podobne veci, ktore ine routery robia v pozadi automaticky.
Ryzen 7 3700X | SilentiumPC Fera 3 | Asrock X570M Pro4 | Patriot Viper 4 Blackout 16GB DDR4-3600 CL17 | Gainward RTX4060 Ti Pegasus 8GB | Samsung 970evo Plus 250GB NVMe | Corsair MP510 1TB NVMe | Samsung 980 Pro 2TB NVMe | Corsair RM550x | 32" Samsung ViewFinity S60UA | 3x Noctua NF-S12B redux 1200 PWM
Xiaomi Mi 9 Lite 64GB
Používateľov profilový obrázok
molnart
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 6993
Dátum registrácie: Ut 19. Jún, 2012, 23:03
Bydlisko: Bratislava/Samorin

Re: mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa molnart »

mp3turbo napísal:auto soferovat vie kazdy z nas, vsetky osobaky na svete nerobia problem, ale keby bezneho cloveka posadili do kamionu s 18 kvaltami, malymi velkymi rychlostami a splittermi prevodov a nalozili 70 ton za chrbat, tiez by si mal problem sa odlepit.
no ved prave si pripadam ze som si kupil ten kamion na jazdenie do prace
Caprissone napísal:btw ak si ho kupoval cez net tak do 7mich dni ho mozes bez problemov vratit,cize..
ja viem, len som to kupil z eshopu mimo mojho okolia, a balit to, pisat list, ist na postu, to sa mi nechce...

na druhej strane chcem sa nieco aj naucit, takze uplne to nevzdavam
mp3turbo napísal:S konfiguraciou ti poradim len detailne popis aku mas siet, a co presne chces nastavit.
no mam jeden modem od UPC (predpokladam ze prispieva k mojim problemom s nefunkcnym netom, lebo moc nema rad zmeny MAC adries zariadeni za nim). potom mam moj sucasny router ktory chcem nahradit miktotikom. za tym routrom je switch a za tym switchom su dalsie dva, zapojene za seba. t.j. zo switchu 1 ide kabel do switchu 2 a zo switchu 2 do switchu 3. po poslednom vypadku elektriny (u nas celkom caste) zariadenia za switchom prestali chytat IP adresu z DHCP, tak maju nastavenu fixnu.

moj ciel je nastavit vsetko co mam na sucasnom routri, takze:
- IP subnet na 192.168.2.x (som na to zvyknuty)
- nastavit staticke IP adresy a port forwardingy (toto asi zvladnem)
- nastavit dynamicke dns aby som sa na router dostal aj zvonka (na toto som v nastaveniach zatial nenatrafil)
- nastavit OpenVPN server kde som chcel pouzit uz moje existujuce keye a certifikaty
- nastavit monitoring WAN-> LAN prenosov aby som videl historiu co, kam a kedy stahuje (nieco podobne ako na tomto obrazku https://www.dropbox.com/s/8k7n0n55ffuuo ... ansfer.png
- logy navstivenych webstranok
- mini ftp server
Spoiler: ukázať
PC: CPU: Intel Core i5 12600K with Silentium Fortis 5 ARGB MB: MSI Tomahawk Z690 DDR4 RAM: 2x 16GB G.Skill Ripjaws V 4400-19 DDR4 GPU: GigaByte Eagle GeForce RTX 3060 Ti OC HDD: Samsung 970 1GB GB PSU: Corsair RMx (2018) 650W Case: Fractal Meshify 2 Compact Monitor: Philips 272B7QPJEB OS: Win 11 64-bit
Notebook: HP EliteBook 840 G6 Core i5 8265U, 16 GB RAM, 512 GB SSD
Server: HP Microserver Gen8 Xeon E3-1265Lv2, 16GB ECC DDR3 OS: PVE + OMV + OPNsense
Phone: Samsung Galaxy A52s
Tablet: iPad Pro 11 (2018)
Používateľov profilový obrázok
molnart
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 6993
Dátum registrácie: Ut 19. Jún, 2012, 23:03
Bydlisko: Bratislava/Samorin

Re: mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa molnart »

no momentalne mi net funguje, ale neviem nastavit dhcp.

ak dobre chapem mal by som ho nastavit na interface ether2 (ether1 je WAN ktora je DHCP klientom). mam nastaveny address pool, ale DHCP server sa mi stale zobrazuje ako invalid.

inac je to normalne na nie home routroch, ze vsetko musis zadat cez ip adresu? adresy time serverov velmi v hlave nenosim, rovnako ako adresu googlu pre vyskusanie pingu apod.
Spoiler: ukázať
PC: CPU: Intel Core i5 12600K with Silentium Fortis 5 ARGB MB: MSI Tomahawk Z690 DDR4 RAM: 2x 16GB G.Skill Ripjaws V 4400-19 DDR4 GPU: GigaByte Eagle GeForce RTX 3060 Ti OC HDD: Samsung 970 1GB GB PSU: Corsair RMx (2018) 650W Case: Fractal Meshify 2 Compact Monitor: Philips 272B7QPJEB OS: Win 11 64-bit
Notebook: HP EliteBook 840 G6 Core i5 8265U, 16 GB RAM, 512 GB SSD
Server: HP Microserver Gen8 Xeon E3-1265Lv2, 16GB ECC DDR3 OS: PVE + OMV + OPNsense
Phone: Samsung Galaxy A52s
Tablet: iPad Pro 11 (2018)
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12262
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa mp3turbo »

>> no ved prave si pripadam ze som si kupil ten kamion na jazdenie do prace

to veru hej.




dolezite IPcky : DNS 8.8.8.8 a 8.8.7.7 (dns cluster googlu, funguje vzdy a vsade bez debaty). Mozes ich aj pingat. Vyborne vyskusanie...

/ping 8.8.8.8
uz lepsie a krajsie sa to fakt neda.



DHCP server : neviem preco by mal byt invalid, daj print detail - ked nadefinujes DHCP, zostane by default zakazany cize:

/ip dhcp-server
add name=dhcpserver interface=ether2 address-pool=mojrozsah192-168-2 [hovoris ze adresny rozsah si uz mal spraveny takze neriesim]
print
a ma pred sebou X cize treba urobit "enable dhcpserver"


vsetko nemusis davat cez IP adresy ale zopar veci ano. Niekomu to vyhovuje, niekomu menej, ja som na tej spravnej strane barikady lebo ja si aj telefonne cisla pamatam z hlavy a zoznam pouzivam fakt minimalne. Jo kazdy mame nejaku chybu.

statistiky prenesenych dat : spravis si /queue simple (pre kazdu IP zvlast ak to chces mat granulovane a zda sa mi ze chces) s neobmedzenou prenosovou rychlostou a potom "/tool graphing queue". Budes mat k dispozicii celkovu zataz kazdeho interface, cpu, memory a kazdu queue zvlast co si nadefinujes automaticky vidis v hentych grafoch takze kazdeho cloveka uvidis. Treba povolit /ip service enable www (aby si sa dostal na web interface ak si ho uz zakazal podla mojej rady hore) a prudko doporucujem v /ip firewall filter pridat pravidla kde povolis pristup len opravnenym IPckam a vsetko ostatne dropnes, nieco na sposob:

/ip firewall filter add src-address=192.168.2.88/32 dst-port=80 chain=input action=accept protocol=tcp comment=pristup-na-web-interface-mikrotiku [slovensky : povol zdrojovej adrese 192.168.2.88 a len tejto jednej jedinej pristup na mna, mikrotik, na port 80 protokolom tcp]
/ip firewall filter add dst-port=80 chain=input action=drop protocol=tcp comment=zakaz-pristup-na-web-interface-mikrotiku-vsetkym ostatnym

doporucujem v /ip neighbor discovery vypnut discovery na vsetkych interfaceoch (to je sklonovanie podla vzoru Orangeu)
a dalej v /ip service disabnut vsetko okrem ssh, www a winboxu (osobne nepouzivam tu windowsovu hracku, mne to nesedi, cmdline je cmdline)



port forwarding :

[admin@cotadotoho] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic
0 ;;; pristup-na-internet
chain=srcnat action=masquerade out-interface=pppoe-out1 [klasika, co odchadza von cez interface pppoe-out1, prosim ta zmaskaraduj a tym zabezpec celej vnutornej sieti pristup do toteho internéta]

1 ;;; test mikrotik
chain=dstnat action=dst-nat to-addresses=192.168.3.167 to-ports=22 protocol=tcp dst-address=A.B.C.D dst-port=8099

2 ;;; Cimprcampr web
chain=dstnat action=dst-nat to-addresses=192.168.3.249 to-ports=80 protocol=tcp dst-address=A.B.C.D dst-port=8080

3 ;;; Cimprcampr FTP
chain=dstnat action=dst-nat to-addresses=192.168.3.249 to-ports=21 protocol=tcp dst-address=A.B.C.D dst-port=8021


priklady pravidiel ... cislo1 : cokolvek pride na verejnu adresu A.B.C.D na verejny port 8099, prehod dovnutra v sieti na 192.168.3.167 a port 22.
cislo2 : cokolvek pride na verejnu IPcku A.B.C.D port 8080, prehod do vnutornej siete na 192.168.3.249 a jeho port 80
cislo3 : cokolvek pride na verejnu IPcku A.B.C.D port 8021, prehod do vnutornej siete na 192.168.3.249 a jeho port 21

podla tohoto to velmi jednoducho okopirujes a prerobis na svoj obraz.


Dynamicke DNS : udaj presne ktory pouzivas - existuje kvantum skriptov co maju chlapci odladene a vyskusane. Ja mam vyhradne pevne IPcky takze taketo veci ma nevzrusovali prilis moc.

Open VPN a existujuce certifikaty : krasne zdokumentovane, je to nadlho - precitaj navod.

Logy navstivenych webstranok : tu je problem, NAND Pamate, ich vydrz, velmi obmedzena kapacita atd, to by som na Mikrotiku proste nerobil. Zapnes transparentne proxy, presmerujes logy niekam inam... navod je krasne spraveny na mikrotikackej wikipedii.

miniftp server : mozes definovat viacerych uzivatelov cez /user add [meno/heslo], avsak nie je mi zname ze by mikrotik podporoval strukturovane adresare, pristupova prava do nich a podobne. Toto preskumaj prosim, na FTP mam tiez bohuzial ine plnohodnotne hracky : v mikrotiku pouzivam FTP vyhradne za ucelom upgrade mikrotika samotneho a tam mi jediny uzivatel staci. Pozor, ak zakazes v /ip service tak ako som to hore napisal, zakazes samozrejme aj ftp. Znovu by som v /ip firewall filter spravil address-list a v nom zoznam povolenych adries ktore mozu pristupovat na ftp nech sa ti tam kadejake sproste decka a roboty nesnazia prebit.

Akekolvek otazky, nehanbi sa.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12262
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa mp3turbo »

update : prilis som zjednodusil konfiguraciu toho graphingu.

Su tam tri oddiely, interface, queue a resource. Kazdy z nich ma by default zakazany pristup, takze musis:

/tool graphing interface add allow-address=0.0.0.0/0 interface=all
/tool graphing queue add allow-address=0.0.0.0/0 queue=all
/tool graphing resource add allow-address=0.0.0.0/0

to prve da pristup kazdej adrese (0.0.0.0/0 znamena vsetky mozne aj nemozne adresy na svete, doporucujem hore limitovat pristup cez firewall na mikrotikovy port 80 a nie tu v graphingu - jednoducho preto, aby si to mal nahromade a nie rozhadzane horedole, rovnako ako sa pri Windows serveroch limituju pristupy na sietove share cez prava suboroveho systemu a nie cez prava sharingu samotneho) na grafy interfejsov, to druhe queue a to posledne je tiez jasne.

Na to aby si do toho grafu dostal nejaku queue, musis ju mat definovanu a tam som to tiez "trosku" zjednodusil - na jej definovanie potrebujes v linuxovej terminologii "omanglovať paket nejakým markom" a nasledne vybrat takto oznacene pakety ktore do danej queue maju patrit. Cize :

/ip firewall mangle add chain=forward action=accept src-address=192.168.2.2/32 comment=oznacovanie-paketov-z-192-168-2-2 new-packet-mark=192-168-2-2
/ip firewall mangle add chain=forward action=accept src-address=192.168.2.3/32 comment=oznacovanie-paketov-z-192-168-2-3 new-packet-mark=192-168-2-3
/ip firewall mangle add chain=forward action=accept src-address=192.168.2.4/32 comment=oznacovanie-paketov-z-192-168-2-4 new-packet-mark=192-168-2-4

... atd kolko potrebujes, Kazda adresa samostatne lebo ich chces vidiet samostatne. Kazdy paket prichadzajuci zo zdrojovej adresy 192.168.2.2 (prvy riadok) a iba tejto (subnet maska /32, cisco CIDR format) prechadzajuci cez router (chain=forward, cize nesmerujuci z routra samotneho von co by bol chain=output pripadne nesmerujuci "do routra" = na router = snaha o pripojenie na mikrotik co by bol chain=input) dostane znacku 192-168-2-2, atd kazdy riadok samostatne.

/queue simple add name=192-168-2-2 target=ether2 packet-marks=192-168-2-2 name=192-168-2-2
/queue simple add name=192-168-2-3 target=ether2 packet-marks=192-168-2-2 name=192-168-2-3
/queue simple add name=192-168-2-4 target=ether2 packet-marks=192-168-2-2 name=192-168-2-4
... atd kolko potrebujes. Kazda adresa samostatne. Do queue ktora sa bude volat 192-168-2-2 chceme aby vstupil iba paket so znackou 192-168-2-2 atd.

Samozrejme si mozes vytvarat aj rozlicne grupy pouzitim sietoveho rozsahu a subnet masky, napriklad 192.168.2.128/26 ti vytvori jeden spolocny graf pre vsetky adresy 192.168.2.128 az 192.168.2.192 vratane pretoze dana subnet maska /26 (=255.255.255.192) to takto definuje. Pouziva sa to najcastejsie pre "grafovanie" konkretnych zakaznikov alebo oddeleni vo firme a podobne - vydelis pre nich nejaky konkretny subnet a namalujes grafy. Jedinym riadkom. Mydlove krabicky takuto vec nevedia skoro ziadna. Ked mas stovku zakaznikov...


Jo, to je ta flexibilita a funkcionalita ktora prinasa komplexitu. Tiez nejazdim na trucku s navesom alebo na lokomotive do roboty ale zase ten mikrotik raz nakonfigurujes a uz sa to potom gula, co o trucku/lokomotive a kazdodennom jazdeni neplati az tak uplne. A hlavne tie mikrotiky chodia immrvere mrte mrte megabetonfest spolahlivo, zopar strojov sme mali kde odisli harddisky a proste to fungovalo dalej lebo vsetko ma natiahnute v RAMke a az po reboote padol na papulu. Domaci bazmeg od Orangeu na 250Mbit linke vypinam a zapinam kazdy tyzden, prestava tomu chodit dnsko, robi cirkusy s wirelesskou a podobne, keby som tomu poriadne prilozil tak ta krabicka vytiecie rovno na mieste - nic nehovorim o tom ze cez ethernet [!!!] mam pingy na six rozskackane jak splasena koza od 2ms a nie menej [!!!!], bezne 12 az 16ms az po 20ms [co ti uplne yebe moja? na optike dva hopy ?!???!!!??!]. Nahradis mikrotikom, baaaaaam <1ms od pondelka do nedele bez mihnutia okom. Skus sa na niecom takom hrat hry alebo robit voip, tunely s udp alebo nieco citlive na "jitter". S Mikrotikom mam 5ms pingy Bratislava-Kosice co samozrejme je sposobene fyzickou vzdialenostou a poctom routrov po ceste ; do Viedne 2ms nepriestrelne.

Mna osobne ta funkcionalita proste bavi, chytila ma za srdce a potrebujem ju. Predovsetkym ale potrebujem ten vykon co sme doteraz nepreberali - mikrotik spustim na intel x86 platforme s pci-e 3.0 zbernicami na 10Gbit kartach (ano, zivotne ich potrebujem), dokaze to krasne robit sifrovane vpnky s realnym vykonom kdezto hentie male mydlove krabicky s trojwattovymi zdrojmi dokazu asi tak 12Mbit/s vo vpnke a to neviem ci som nahodou neprehnal a samozrejme o AES256 nepoculi ani z vedlajsieho okresu... na vhodnom hardware to nepretazis bez toho aby si o tom nevedel co sa zase o mydlovych krabickach neda povedat a mohol by som ukrutne dlho pokracovat ale to je jedno a dochadza mi cas aj dych.

Je to uplne presne to iste ako Windows 2000 a jeho funkcionalita v porovnani s Windows 2012 R2. Jeden z nich je jednoduchsi, jeden z nich ma vacsiu funkcionalitu a v dosledku toho je daleko zlozitejsi.

Daj vediet s cim treba pomoct.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Používateľov profilový obrázok
newmi
Moderátor
Moderátor
Príspevky: 7701
Dátum registrácie: Ut 23. Jan, 2007, 08:00
Bydlisko: Trnava

Re: mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa newmi »

kamarat nedavno kupil tiez mikrotik a cely vecer zabil tym ako rozchodit DHCP a to robi prosimpekne bakalarku so zameranim na IT, aj je IT zdatny. Nadaval jak chora vrana :D Ale ked to konecne rozchodil, tak to len chvalil ako to pekne rychlo ide, ma net 100/100 a ze oproti staremu routeru nebe a dudy :laugh:
myPC CPU:i5 3350P, MB:Gigabyte B75M D3H, RAM:8GB Kingston 1600MHz cl9, VGA:MSI R9 270 Gaming DVD-RW:LG H12NR, HDD:Toshiba 1TB, SSD:Toshiba HG2 256GB, LCD:LG W2220P-BF, Case: SilentiumPC Gladius M35,PSU:Seasonic M12II 520W, Router: Mikrotik hAP ac2 myPhone: Google Pixel 4a myStation: Playstation 3 myHeadphones: Sennheiser HD 438
Používateľov profilový obrázok
Pepeb007xx
Sponzor fóra silver
Sponzor fóra silver
Príspevky: 3024
Dátum registrácie: St 16. Mar, 2011, 18:22
Bydlisko: NM

Re: mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa Pepeb007xx »

predsa len tieto zariadenia nie su robene pre idealny UI ale skor pre dokonale customizovanie siete..

prvykrat som mal tiez nervy pri 133 ked som ho nevedel zresetovat :D ale ked som na to prisiel tak som sa citil ako pan!
MB Asus B550-F CPU AMD Ryzen 7 5800X3D @4,4GHz CPU AIO Fracal Desing Lumen S36 GPU Sapphire NITRO+ AMD Radeon RX 7900 XTX Vapor-X 24G RAM Patriot 64GB DDR4 SSD Samsung 990 PRO 2 TB PSU Corsair RM850x Case Fractal Design North Chalk White TG Clear Monitor Samsung 32''U32H850 OS Win 11PRO64SK Repro Edifier S880DB
NAS Synology DS218play Noctua 20TB WD Red Surveillance Reolink RLN16-410 8TB UPS EATON Ellipse ECO800
Router Mikrotik hAP ac³ MESH 2×Asus RT-AX55 TV Philips 65OLED806 SoundBar Samsung HW-Q950A 11.1.4
Retro handheld Anbernic RG556 + Samsung PRO Ultimate 512GB GamePad Xbox wireless controller

#grammarnazi #parfumslover Steam Pepeb007xx #DotA2 pretaktovanie klan: PC.SK Battle.net pepeb007xx#2925 #diablo4
Používateľov profilový obrázok
Chris
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 5238
Dátum registrácie: Pi 13. Jan, 2006, 02:00
Bydlisko: Bratislava

Re: mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa Chris »

uvazujem tiez vymenit DIR-825 s DD-WRT za mikrotik, alebo vyskusat Openwrt
Master of PaloAlto NGFWs, Cisco ASAs
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12262
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa mp3turbo »

nic to neni, smelo do toho

hovorim ja uzivatel mikrotikov uz od verzie asi 2.4 :)
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Používateľov profilový obrázok
molnart
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 6993
Dátum registrácie: Ut 19. Jún, 2012, 23:03
Bydlisko: Bratislava/Samorin

Re: mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa molnart »

no momentalne som na nom uspesne rozchodil aby isiel 3G, takze cez vikend to putuje ku svokre ako wireless access point pre 3g modem. s ostatnymi vecami som sa ani nehral, lebo som zistil ze som omylom kupil 100 Mbit verziu, co je mi na doma malo :facepalm: ale mozno tomu este pridem na chut, ked budem potrebovat dalsi router, to nastavovanie cez telnet sa mi paci, citim sa pritom tak geekovsky sexi :hysterical:
Spoiler: ukázať
PC: CPU: Intel Core i5 12600K with Silentium Fortis 5 ARGB MB: MSI Tomahawk Z690 DDR4 RAM: 2x 16GB G.Skill Ripjaws V 4400-19 DDR4 GPU: GigaByte Eagle GeForce RTX 3060 Ti OC HDD: Samsung 970 1GB GB PSU: Corsair RMx (2018) 650W Case: Fractal Meshify 2 Compact Monitor: Philips 272B7QPJEB OS: Win 11 64-bit
Notebook: HP EliteBook 840 G6 Core i5 8265U, 16 GB RAM, 512 GB SSD
Server: HP Microserver Gen8 Xeon E3-1265Lv2, 16GB ECC DDR3 OS: PVE + OMV + OPNsense
Phone: Samsung Galaxy A52s
Tablet: iPad Pro 11 (2018)
Používateľov profilový obrázok
Chris
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 5238
Dátum registrácie: Pi 13. Jan, 2006, 02:00
Bydlisko: Bratislava

Re: mam chut Mikrotika vyhodit oknom....

Príspevok od používateľa Chris »

Configuracia cez telnet/ssh mi pride ovela rychlejsia a presnejsia ak vies co robis
Master of PaloAlto NGFWs, Cisco ASAs

Návrat na "Siete"