Mikrotik - pre zaciatocnikov

[Bono83]

On sa nenastavi sam, je tam defaultne nahrata taka konfiguracia. Vsetky mikrotik to tak maju.

[mp3turbo]

ano, jasne, to je len sposob ako to bolo vyjadrene. Snazia sa to robit user-friendly vzhladom na klientelu, ktora nie je minimalne CCIE certifikovana...

suhlasim s tym, ze nie je to "sam sa nastavi", povedal by som v pasivne-trpnom rode "je to nastavene", vid veta hore, proste kazde zariadenie ma nejaku default konfiguraciu. Mne osobne sa strasne paci, ze uz po rokoch rokucich nemaju na vsetkych produktoch "standartne heslo" - na krabicke mas vytahovaci štítok a tam je napisane. Kazde ine. Velka komplikacia z hladiska jednoduchosti, ale vyborny prinos zo vsetkych ostatnych hladisk. Ako administrator, ktoremu sa skomplikoval zivot, vitam takuto vec a tlieskam. Cudne. Ked mam nastavit jeden-dva-tri mikrotiky doma/v beznej firme, tak to nie je ziadny pruser ; ked mam nastavit 40 mikrotikov, tak uz tomu musim rozumiet a tento "nestandartne heslo" faktor nie je podstatny.

Tymto sposobom mozeme dlho pokracovat, napriklad aj firewallove pravidla "sa sami nastavia" respektive "su nastavene". By default tak, aby sa na masinku nemohlo pripojit zvonku, len z vnutornych portov - ach ano, ako mame standartne nadefinovanu wifinu ? Velmi vitam, ze nemaju 192.168.1.1 alebo 192.168.0.1 ako 95% vyrobcov na svete, to je fakt debilina. Nechapem, preco majoritnych 20 vyrobcov pokryvajucich 95% trhu nedokaze mat kazdy svoj "vlastny" segment tak ako si MIkrotik vybral 192.168.88.x

Vratim sa naspat : ano, upozornenie by nebolo zle : hej, Voloďa, ides zmenit IPcku a zda sa, ze na tento segment/VLAN mas naviazany dhcp server, je to v pohode ?

To znie velmi jasne a jednoducho a super, ze... lenze pruser je, ze dosledkov nejakej zmeny moze byt 10 a ten system nemoze spravit upozornenie vzdy na vsetko. Zmenis IPcku, co takto kvantum firewallovych pravidiel ? No lebo su na ten sietovy segment naviazane. Co takto routovanie na dvesto inych zariadeniach v tvojej sieti ? Aha, to mikrotik nema ako vediet (mam na mikrotiku 192.168.240.1/22 a teraz podme ma upozornit na vsetko co sa v sieti moze diat ; neriesim pripady kedy clovek na mikrotiku pouziva dynamicke routovania BGP, OSPF alebo podobne). Podme ma upozornit na obmedzenie rychlosti pre nejake ipcky/segment. Podme ma upozornit na mangling, NAT, podme ma upozornit na clenstvo v nejakom address liste (/ip firewall address-list) a na to naviazane procesovanie, napriklad firewall pravidla a... aha, to som uz vlastne spomenul, len teraz to zacina odznovu v uplne inej konkláve.

Ozaj, co ked presuniem firewall pravidlo 34 pred firewall pravidlo 23 ?

Kto dorozmyslal az sem, mam takyto strucny zaver : neda sa upozornit na vsetko, co suvisi s kazdou jednou zmenou.

[SKiLEX]

Kedze polke veci co si napisal absolutne nerozumiem, tak dakujem za strucny zaver Moje znalosti koncia pri VLANoch, s niecim zlozitejsim sa stretnem tak raz za pol rok takze to radsej outsourcujem na znalejsich

[shiro]

No, na Firewall pravidlach som sa par krat kvalitne popalil, ci na Synology, ci na Mikrotiku...takze bacha na to. Najlepsie je, ked si odfajcis pristup a musis ist na lokalitu osobne.

ach ano, ako mame standartne nadefinovanu wifinu ? Velmi vitam, ze nemaju 192.168.1.1 alebo 192.168.0.1 ako 95% vyrobcov na svete, to je fakt debilina. Nechapem, preco majoritnych 20 vyrobcov pokryvajucich 95% trhu nedokaze mat kazdy svoj "vlastny" segment tak ako si MIkrotik vybral 192.168.88.x

lebo sak "kazdy doma pouziva tento rozsah", lebo default a ovecky sa s tym neseru, lebo nevedia/nemusia. 192.168.0.xxx my ass
Potom to tak aj vyzera.

[mp3turbo]

>> Najlepsie je, ked si odfajcis pristup a musis ist na lokalitu osobne.

jednoduche a definitivne riesenie aj pre taketo pripady : CTRL-X vyvola Safe Mod : ked sa odje...pojíš v dosledku zmien, tak sa VSETKY akcie spravene po stlaceni CTRL-X znuluju a budes sa moct znovu pripojit. Jednoduche ako facka a netrva to ani pol sekundu.

Ked chces vykonane zmeny "zapisat" natrvalo, znovu stlacis CTRL-X, cim vypnes safe mod. Nespominam si, ze by som jedinykrat niekam cestoval kvoli Mikrotiku a to s nimi masivne robim od verzii 2.1, na legendarnej hacknutej 2.9.27 (vydanej v 2006) nejeden garazovy provider vtedy bezal v masovom meritku.

Fiha, to mame uz cez 20 rokov. To som pekna vykopavka - zachvilu mi pridelia CME, číslo muzealneho exponatu

[SKiLEX]

Napada vam sposob akym spojit 20 internetovych kablov ktore zhoreli na par desiatok centimetrov dlhom useku?

Je na to nieco lepsie ako dat na obe strany keystony a prepojit to hotovymi patch kablami?

Nasiel som este taketo spojovacie boxy, ale neviem si ich predstavit pouzit 20 az 40 (podla toho ci tu vyhoretu cast nebude treba nahradit novym kuskom kabla). https://www.solarix.cz/cat_tree.jsp?bpa ... C3%AD+boxy

A nasiel som aj taketo original spojky https://www.solarix.cz/product.jsp?artno=13180100 ale tie sa nedaju velmi zohnat.

[zoom]

Dlhodobo ma caka nieco podobne, ked mi premotivovany montaznik klimy prerezal v stene TP kabel, lebo na Slovensku je tazke chodit s detektorom kablov, ked je to gro instalacie vasej firmy a kym som mojim premeral stenu v prvej a druhej izbe, tak v tretej sa uz rezalo. Zo skusenosti mozem povedat, ze UY2 spojky su nefunkcna haraburda. Taktiez vynecham ciganske "riesenia" ako tie spajacie plastove krabicky (rozmerovo velke, nemotorne a hnusne), alebo letovanie jednotlivych kablikov.

Pre moje pouzitie (spojit dva konce takmer uplne pri sebe a zamurovat do steny) som ako najlepsie riesenie nasiel kovove inline spojky - uzky profil (akoze su len o trochu hrubsie ako kabel), kovove (zachovanie tienenia), idealne na ne dat zmrstovacku s lepidlom a sup do sadry do steny. Musia vydrzat minimalne tolko co cely dom. Nevyhodou bude zlozita montaz, uz vidim to sranie sa s tymi kablikmi v tej sablone. Pre tvoje pouzitie asi i nicom, lebo musis na jeden kabel pouzit 2ks a vyrobis nerozoberatelny spoj. To uz mas asi lepsie tie keystony.

Samozrejme to treba robit rozumne. Ak je moznost, tak by som od zhoreneho miesta az do najblizsieho konca vymenil kabelaz, akoze poslednych 5-10 metrov, ak sa da, tak novy kabel. Na jednej strane nadpojit so zhorenym koncom (umozni to dat novy kabel blizsie a pouzit napr. tie kovove spojky) a na druhej strane nanovo nakrimpovat do patch panelu alebo kam.

[Danix64]

Ahojte, potrebujem pomoct s MikroTikmi.
Cely den neviem prist na to. Nie som sietar, ale tak 6-8 rokov dozadu ked som si kupil prvy MikroTik, tak som si vtedy vela veci postudoval a nastavil a od vtedy to funguje a velmi som do toho nesahal ... a za ten cas som aj dost toho zabudol, naposledy asi pred 5 rokmi som s tym nieco robil

Use case je riesenie 4G/3G internetu v odlahlej lokalite (na chatke).
Mam taketo zapojenie, vid ASCII obrazok nizsie.

Kód: Vybrať všetko

                  Internet            
┌───────────────┐   4G/3G             
│ MikroTik LTE  ◄─ ─ ─┘               
│  (RBLHGR)     │                     
│ - router      │                     
│ - DHCP server │                     
└────┬──────────┘                     
     │                                
┌─┬──▼─┬────────┐                     
│ │Eth1│        │                     
│ └────┘        │                     
│ MikroTik mAP  │                     
│   (mAP2nD)    │                     
│ - bridge      │                     
│ ┌────┐        │           wifi      
│ │Eth2│   WiFi─┼ ─ ─ ─ ──► klienti   
└─┴─┬──┴────────┘      (mobil, laptop)
    │                                 
┌───▼──────────────┐                  
│ obycajny switch  │                  
└──────────────────┘                  

1.) MikroTik LTE je antena s PoE napajanim a ma SIM kartu. Skoro vsetko v konfiguracii som nechal defaultne. Cize funguje ako router, ma DHCP a prideluje IPcky ...
2.) Mikrotik mAP je malicky WiFi router s 2x Eth portami. Nastavil som ho cez Quick set ako bridge, kedze uz dlhu dobu viem, ze mat 2 routre v jednej sieti nie je dobre (snad to este stale plati).

Zariadenie pripojene do sieti - teda priamo na mAP (cez Wi-Fi) maju zda sa vsetko OK. Pingy do vsadial funguju, internet bavi.
ALE PROBLEM mam ten, ze samotny Mikrotik mAP akosi nedociahne na internet, neviem ho aktualizovat cez admin webove rozhranie. Cez terminal som skusal ping 8.8.8.8 a ide, ale ping 1.1.1.1 nejde, ani vela inych ping [domena] nefunguje.
Mam urobit export konfigu a hodit ho tu?

scr 2025-05-03 at 10.43.18.png

Preco ?!

scr 2025-05-03 at 22.40.42.png

.

na MikroTik LTE mam najnovsiu stable verziu:
7.18.2

scr 2025-05-03 at 22.58.03.png

Co sa tyka IPciek, ak to pomoze, tak tu je suhrn:

MikroTik LTE - router
- 192.168.188.1 - jeho IPcka
- 255.255.255.0 (/24) - netmask
- DHCP server zapnuty, rozsah: 192.168.188.2-192.168.188.254
- NAT zapnute

MikroTik mAP (Wi-Fi APcko)
- mode: bridge
- Bridge: Address Acquisition: automatic
- Bridge: Address Source: [ Any, ▯ Ethernet, ▯ WLAN]
- 192.168.188.2 - jeho IPcka
- 255.255.255.0 (/24) - netmask
- 192.168.188.1 - Gateway

Kód: Vybrať všetko

[admin@MikroTik:mAP] > ip/arp/print  

Flags: D - DYNAMIC; C - COMPLETE
Columns: ADDRESS, MAC-ADDRESS, INTERFACE

#    ADDRESS          MAC-ADDRESS        INTERFACE
0 DC 192.168.188.1    18:FD:74:58:1E:94  bridge   
1 DC 192.168.188.252  2A:27:BF:0C:8A:DC  bridge   
2 D  159.148.147.251                     ether1   

Kód: Vybrať všetko

[admin@MikroTik:mAP] > ip/address/print  
Flags: X - DISABLED, D - DYNAMIC
#   ADDRESS           NETWORK        INTERFACE
;;; defconf
0 X 192.168.88.1/24   192.168.88.0   bridge   
1 D 192.168.188.2/24  192.168.188.0  bridge 

Kód: Vybrať všetko

[admin@MikroTik:mAP] > interface/print  
Flags: R - RUNNING; S - SLAVE
Columns: NAME, TYPE, ACTUAL-MTU, L2MTU, MAX-L2MTU, MAC-ADDRESS
#    NAME       TYPE    ACTUAL-MTU  L2MTU  MAX-L2MTU  MAC-ADDRESS      
;;; WAN
0 RS ether1     ether         1500   1598       2028  CC:2D:E0:92:A1:1B
;;; LAN
1 RS ether2     ether         1500   1598       2028  CC:2D:E0:92:A1:1C
2    pwr-line1  ether         1500   1598       2028  CC:2D:E0:92:A1:1D
3 RS wlan1      wlan          1500   1600       2290  CC:2D:E0:92:A1:1E
4 R  bridge     bridge        1500   1598             CC:2D:E0:92:A1:1E

DHCP klinet, server:

Kód: Vybrať všetko

[admin@MikroTik:mAP] > ip/dhcp-client/print  
Columns: INTERFACE, USE-PEER-DNS, ADD-DEFAULT-ROUTE, STATUS, ADDRESS
# INTERFACE  USE-PEER-DNS  ADD-DEFAULT-ROUTE  STATUS  ADDRESS         
;;; defconf
0 bridge     yes           yes                bound   192.168.188.2/24

[admin@MikroTik:mAP] >  
[admin@MikroTik:mAP] > ip/dhcp-server/print  
Flags: X - DISABLED
Columns: NAME, INTERFACE, ADDRESS-POOL, LEASE-TIME, ADD-ARP
#   NAME     INTERFACE  ADDRESS-POOL  LEASE-TIME  ADD-ARP
0 X defconf  bridge     dhcp          10m         yes    

[zoom]

Ako vyzeraju tieto prikazy na mAP?

• interface/bridge/port/print (ci mas ozaj vsetky porty v bridgi)
• interface/bridge/settings/print (ci mas vypnuty IP firewall na bridgi)
• ip/dns/print (ci mAP resolvuje DNS cez prvy Mikrotik)
• ip/route/print (ci tam nie je vysvetlenie, preco niektora IP ide a niektora nie)

Na prvy pohlad nevidim nic, co by bolo vyslovene zle. Je divne, ze ti ide pingnut 8.8.8.8, ale 1.1.1.1 uz nie, inak to celkom vyzeralo na problem s DNS.
Skusal si z mAP postupne pingovat zariadenia? Akoze nechat pingovat 192.168.188.1 (LTE krabicu) a pozriet, ci ti to netimeoutuje po 100-1000 pingoch. To by mohlo vysvetlit, preco raz pingnes IP adresu na nete a inokedy nie.

Inak taka otazka - aj ked asi nemas niekde na chate ohromny traffic na sieti, tak preco tlacis vsetok LAN traffic cez bridge na mAP, aj ked bude HW offloadovany? Preco nepresunut "obycajny switch" hned za LTE Mikrotik a mAP bude pripojene jednym kablom do toho switchu a bude fungovat len ako pripojenie pre WiFi zariadenia? Minimalne by som to vyskusal v ramci troubleshootingu. Z mojho pohladu to ma len vyhody a ziadne nevyhody:

• O jeden komponent v sietovej ceste pre VSETKY zariadenia menej (menej nachylne na pokazenie ci chyby v software).
• Nebudes uplne zbytocne limitovany 100Mbit portami na mAP.
• Pri restarte mAP nepridu LAN zariadenia o internet.
• Nemusis riesit, ci mas spravne nastavene bridgovanie (mimo wlan1 a ether1 interface), ci vsetok traffic spravne tecie cez mAP, ci hento, ci tamto.
• Zbytocne nezatazujes CPU na tej malej krabicke (aj ked samozrejme 2x100Mbit full-duplex to zvladne pri fast-path bridgovani).
• Pripadna buduca vymena mAP prebehne ovela jednoduchsie a s mensim pripadnym dopadom na siet.

[mp3turbo]

so vsetkym co napisal Zoom suhlas.


"kedze uz dlhu dobu viem, ze mat 2 routre v jednej sieti nie je dobre (snad to este stale plati)."

nikdy to neplatilo a nikdy platit nebude - tieto myslienky okamzite odsud na zanik. Navzdy vymazat z kotrby a nikdy sa tam nemali vyskytnut.
Cely internet funguje vyhradne preto a takym sposobom, ze su stovky tisic routrov pospajane do nejakej "siete".


Trosku ma prekvapila pritomnost verejnej adresy 159.148.147.251 v poziadavkach na ARP na ether1 na mAP. Tato adresa je priamo Mikrotik updatovaci server - pokial ju nemas povolenu vo firewalloch (neviem z akej priciny by to bolo zakazane), tak ti update z command lajny neprejde. Tu je problem s tvojim updatom, i ked zatial neviem preco. Na zakladny nastrel potrebujeme :

/ip firewall filter print
/ip firewall mangle print
/ip firewall nat print
/ip firewall address-list print
/ip route print [pisal aj zoom nadomnou hore]
/ip dns print [pisal aj zoom nadomnou hore]
/ip address print

z obidvoch masin, pri aktivnom LTE pripojeni. Predpokladam ze nejake post-routingy alebo pre-routingy nemas. Zvlastne je, ako pises, ze pingy na vela domen nefunguju - nedava to nejaky jasny indikator odkial fuka vietor. Keby sa niektore stranky neotvarali, keby nejake protokoly / aplikacie nefungovali, tak by som podozrieval maximalnu velkost paketov, ktore vedia preliezt cez LTE spojenie - to ale nie je pripad pingu.


Pre otestovanie update skus na obidvoch zariadeniach doplnit takuto vec :
/ip firewall filter add chain=input action=accept src-address=159.148.147.251 comment=mikrotik-update-server

a na mAP toto :
/ip firewall filter add chain=input action=accept src-address=192.168.188.0/24 comment=skusame-mikrotik-update

ak ti to prejde, po uspesnom update mozes tieto pravidla veselo zakazat alebo vymazat.


Poznamka : pri update Mikrotik softu sa v default konfiguracii NESPRAVI update firmware na Routerboard zariadeniach, to je v command lajne :
/system routerboard upgrade
a dalsi reboot. Aky firmware ti bezi na zariadeniach a ci mozes upgradovat zistis takto :

/system routerboard print

routerboard: yes
board-name: hEX
model: RB750Gr3
serial-number: 6F380622CA7E
firmware-type: mt7621L
factory-firmware: 3.34
current-firmware: 7.19rc1
upgrade-firmware: 7.19rc1

posledne dva riadky su dolezite. Da sa nastavit automaticke upgradovanie nielen Mikrotik softu, ale aj Routerboard firmware :
/system routerboard settings set auto-upgrade=yes
ale ajtak sa dvom rebootom nevyhnes, zatial to chalani nemaju spravene idealne. Prvy reboot software, po nom sa automaticky updatne firmware a druhy update firmware.

[Danix64]

Dakujem @zoom za odpoved a za konstruktivnu kritiku. Zrejme som sa velmi nezamyslal nad zapojenim , uplne suhlasim dat rovno switch za Mikrotik LTE a potom mAP pripojit na switch. Idem to urcite este dnes vyskusat!

Ako vyzeraju tieto prikazy na mAP?

• interface/bridge/port/print (ci mas ozaj vsetky porty v bridgi)
• interface/bridge/settings/print (ci mas vypnuty IP firewall na bridgi)
• ip/dns/print (ci mAP resolvuje DNS cez prvy Mikrotik)
• ip/route/print (ci tam nie je vysvetlenie, preco niektora IP ide a niektora nie)

Tu je moj vypis tych prikazov:
(zapojenie je este v povodnom stave: LTE -> mAP -> switch)

scr 2025-05-04 at 12.41.52.png

Dakujem @mp3turbo !

nikdy to neplatilo a nikdy platit nebude - tieto myslienky okamzite odsud na zanik. Navzdy vymazat z kotrby a nikdy sa tam nemali vyskytnut.
Cely internet funguje vyhradne preto a takym sposobom, ze su stovky tisic routrov pospajane do nejakej "siete".

- Ospravedlnujem sa, zle som sa vyjadril, myslel som to tak, ze mat v jednej lokalnej sieti (LAN) viac NAT ze to asi nie je moc dobry napad
- ak ani to uz neplati, tak to vymazem zo svojej kotrby a budem mysliet na tvoju odpoved
- ano, viem, ze cely internet je postaveny vyhradne na prepojenych obrovskeho mnozstva routrov

Na zakladny nastrel potrebujeme :

/ip firewall filter print
/ip firewall mangle print
/ip firewall nat print
/ip firewall address-list print
/ip route print [pisal aj zoom nadomnou hore]
/ip dns print [pisal aj zoom nadomnou hore]
/ip address print

scr 2025-05-04 at 12.51.17.png

Upgrade:

Poznamka : pri update Mikrotik softu sa v default konfiguracii NESPRAVI update firmware na Routerboard zariadeniach, to je v command lajne :
/system routerboard upgrade
a dalsi reboot. Aky firmware ti bezi na zariadeniach a ci mozes upgradovat zistis takto :

- dakujem, ano o tomto mam vedomost. Moj postup na upgrade vyzera nasledovne. Prihlasim sa cez web. rozhranie, v system > packages ak je k dispozicii aktualizacia, tak dam urobit upgrade, urobi sa restart a potom idem do system > routerboard a tam dam upgrade firmware a potom dam manualne restart.
- viem, je to manualny proces, kus zdlhavy, ale robim to raz za mesiac cca.

[Danix64]

Pre otestovanie update skus na obidvoch zariadeniach doplnit takuto vec :
/ip firewall filter add chain=input action=accept src-address=159.148.147.251 comment=mikrotik-update-server

a na mAP toto :
/ip firewall filter add chain=input action=accept src-address=192.168.188.0/24 comment=skusame-mikrotik-update

ak ti to prejde, po uspesnom update mozes tieto pravidla veselo zakazat alebo vymazat.

prave som to skusal. Ono to pridalo to pravidlo na koniec. Skusal som to pravidlo presunut vyssie (pred drop pravidla) ale ani tak to nefunguje.

scr 2025-05-04 at 13.48.12.png

tak vyzera /ip/firewall/export na LTE:

scr 2025-05-04 at 13.53.42.png

[zoom]

Helou, nestudoval som to este cele, musim lietat a akurat ist nieco v rodine vybavit, pozriem sa na to az neskor vecer. Kazdopadne 2 veci na uplny zaciatok, aby som potom mal viac dat:

1) Nezda sa mi tvoja routovacia tabulka (ip/route/print). Normalne v zakladnom nastaveni by tam mali byt dynamicke zaznamy (oznacene "D"), ktore si RouterOS sam prida na zaklade inych nastaveni a nemozes ich menit. Potom je tam jeden zaznam 0.0.0.0/0, ktory obsiahne vsetky IP adresy, ktore nie su na tvojej sieti - v zmysle: vsetky IP adresy, co nepoznas zo svojej siete, routuj na gateway.

Ty tam mas dva tie 0.0.0.0/0 zaznamy, pricom jeden je staticky ("S") = rucne vytvoreny. Ten staticky zaznam skus Disablovat. Samozrejme, ak si remotne, tak si vo WinBoxe zapni Safe Mode, kebyze ta nahodou odpoji. Editovat routes na velku vzdialenost je vzdy zazitok. Tieto dva zaznamy by odpovedali spravaniu pingov, ze jeden paket akoby prejde a dalsi uz nie = jeden ide cez jeden route, druhy z nejakeho dovodu uz cez iny. V tych route flagoch male "d" znamena, ze tu info ziskal cez DHCP, tak to by som ponechal ako hlavne.

2) Mozno este predtym, nez toto vyssie zmenis, skusil by som forcnut ping na konkretny interface: ping 1.1.1.1 interface ether1
Toto bude napevno posielat pingy cez ether1 (podla logov je to WAN interface na tvojom mAP). Mozes takto skujsit aj iny interface (aj virtualny, ako bridge, VPN tunel a podobne). Ale tie (zrejme) chybne routes vyssie su asi nadradene tomuto...? Neviem presne.

[Danix64]

Ty tam mas dva tie 0.0.0.0/0 zaznamy, pricom jeden je staticky ("S") = rucne vytvoreny. Ten staticky zaznam skus Disablovat. Samozrejme, ak si remotne, tak si vo WinBoxe zapni Safe Mode, kebyze ta nahodou odpoji.

oh, pomohlo! Medzitym som pred chvilou prepojil cely setup fyzicky (mam ho doma). Cize uz to nie je LTE -> mAP -> switch, ale LTE -> switch -> mAP a update mAP stale nesiel dokym som nezmazal z /ip/routes ten staticky zaznam
Dakujem velmi pekne za vas cas @zoom a @mp3turbo
Idem prave upgradovat mAP zo 7.11. na 7.12.1 a potom ma to pusti na 7.18

[mp3turbo]

tak tak, tato routovacia polozka tam nemala co robit, preto "moje" pravidlo nemohlo fungovat.
Tiez nemam v tomto momente prilis vela moznosti, ale pozriem na tie FW pravidla lebo su nejake zaujimavo kostrbate.