Mikrotik - pre zaciatocnikov

[d3Xter]

do 5min, ak chce aby sa LANy medzi sebou videli potrebuje inter vlan routing, tj moutnut to do routovacej tabulky, potom sa vsetko vzdy vidi > potrebuje ACL alebo FW
alternativa je vrf > ebgp global-vrf > policy-map > acl alebo fw

[mp3turbo]

co uz je horise nez 5 minut inak presne tym ... skoro som napisal smerom... sme sa vydali. Samostatna VLAN a hotovo.
Routing je v Mikrotiku povoleny standartne. Vytvorit samostatnu siet, mozno by som ozelel VLAN, aby v nej vyfasovali kamery adresy tak treba DHCP co by trebalo vzdy a vsade a potom jedno pekne firewallove pravidielko, ktore tej sieti zakaze chodit hocikde. Fakt sa to da stihnut za minutu ked si na pretekoch a vies co robis, pod 5 minut urcite aj vratane vycikania (ano samozrejme zase treba vediet co robis).

"ked mas dostatok" : fyzickych portov. Ethernetov na mikrotiku. Ak mas kamery pripojene radiom, takisto v pohode : vytvorit si VIRTUALNE AP so samostatnym SSID, sifrovanim, pripojit na neho len kamery a mas to samostatny logicky interface, s ktorym pracujes uplne rovnako akoby bol fyzicky. Jedina podmienka a naviazanie na fyzicky svet je, ze musi pouzivat rovnaku frekvenciu ako fyzicky interface, na ktorom je vytvoreny.

[SKiLEX]

Jaj no ja som to robil presne tak ze som na to vyhradil samostatny port na ktorom bolo nasko/NVR

Vpodstate som robil 3 vlanky
10 kde boli kamery a ta mala pristup iba do 10 a do 100
100 kde bolo nvr/nasko a ta mala pristup vsade cize do 10 do 100 aj do 1000
1000 kde bola normalna LAN siet v domacnosti a ta mala pristup iba do 1000

[Danix64]

Necham si poradit. Kedze sme doaproximovali ku rieseniu VLAN, tak si idem o tom naštudovať viac, aby som vedel co nastavujem.
Hej a VLAN musi byt nejak naviazaný na fyzicky Eth port?
Lebo Mikrotik LTE ma iba 1 kus Eth port (interfejsy su: lte, eth1)

[zoom]

VLAN identifikator je cisielko, ktore je pridane do ethernetoveho packetu putujuceho po sieti. Toto cisielko prida sietove zariadenie (managovatelny switch napriklad) na zaklade roznych nastaveni ako napriklad fyzicky port na switchi, kam paket prisiel (ked tam mas nastalo pripojene konkretne zariadenie), zdrojova MAC adresa ci IP/subnet adresa pocitaca, rozna kombinacia rychto nastaveni, alebo aj podla protokolu. Ked uz mas takto otagovany paket, tak moze cestovat volne sietou - aj pakety s roznymi VLAN ID cez rovnaky port na switchi. Takze je to len o nastaveniach a co zvladne dany switch. Pozor si treba davat na posielanie otagovanych packetov cez hlupy nemanagovany switch. Kvoli velkosti packetu to moze fungovat, nemusi, sam neviem, nemam skusenost.

[Danix64]

Pozor si treba davat na posielanie otagovanych packetov cez hlupy nemanagovany switch. Kvoli velkosti packetu to moze fungovat, nemusi, sam neviem, nemam skusenost.

ako by sa to dalo vyskusat / otestovat ?

pripajam aktualne zapojienie:

Kód: Vybrať všetko

┌───────────────┐ Internet 4G/3G        
│ MikroTik LTE  ◄─ ─ ─┘                 
│  (RBLHGR)     │                       
│ - router      │                       
│ - DHCP server │                       
└───┬───────────┘    ┌──────────┐     ↙️ kamery   
    │100M            │  PoE     ┼──Cam1 
┌───▼───────┐        │  switch  ┼──Cam2 
│           │ 1G     │          ┼──Cam3 
│switch    1┼───────►│          ┼──Cam4 
│obycajny  2│        └──────────┘       
│          3│   100M                    
│          4┼───────► RPi Zero 2        
│           │                           
│           │        ┌──────────────┐   
│           │        │ MikroTik mAP │   
│           │   100M │   (mAP2nD)   │   
│          5┼───────►│1             │   
│           │        │2         WiFi┼ ─┐
│           │        │      & bridge│  │
└───────────┘        └──────────────┘  │
                                  wifi ▼
                                 klienti

[SKiLEX]

Investoval by som 30€ do nejakeho toho zyxelu GS1200

[Danix64]

Alebo za 39 Eur Mikrotik switch? https://www.alza.sk/mikrotik-css106-5g-1s-d7774772.htm
Ale paci sa mi, ze Zyxel je kovovy. Asi na nom bude jednoduchsie nastavit VLANy, nie? Ale aj tak bude treba na Mikrotiku vo firewalle nastavit pravidlo pre VLAN, nie? Je to standard, nie? Ze bude vediet Mikrotik rozpoznat pakety pre VLAN zo Zyxelu?

[mp3turbo]

ani netreba testovat, 802.3ac standard pred skoro styridsiatimi rokmi zvysil maximalnu velkost fyzickeho paketu na 1522 bajtov. Tam sa automaticky rata s VLAN taggingom - pokial ho nepouzivame, vlastne prenasame o styri bajty a priblizne 0.26% menej efektivne, nez by sme teoreticky mohli.

Aby som to prelozil do slovenciny : kazdy switch s tym bude fungovat.

[Danix64]

taaak a Zyxel GS1200 mam doma, vecer sa podelim o skusenosti ako sa mi podarilo/nepodarilo spravit VLANy
- ma uz najnovsi fw, inac otrasne gui ako z roku 1999

[Hexaris]

Tie vase slohove prace ach jo … chcel som jednu vec preco trapite cpu fw pravidlama a nepouzivate jump/return? Z toho co som preklikal tak pomaly pravidla na kazde zariadenie mate.
Inak pre zaciatok co dost pomaha je port isolation/private vlan.

[mp3turbo]

lebo niektore veci sa nedaju popisat tromi slovami.

[seep]

Caute chalani, ktore vonkajsie AP do mikrotik siete si vybrat? Svokor to potrebuje do zahrady, aby aj na druhom konci mal wifi. , Najradsej s POE. Toto moze byt? MIKROTIK RB911G-2HPnD-12S

[mp3turbo]

aka velka je zahrada v zmysle siroka a dlha ? 120 stupnov rozptyl bude stacit ?

hento co si linkoval je len 2.4ghz zariadenie, s adekvatnym vykonom - aku priepustnost ocakava ?
chce na dalekom konci sediet so siestimi ludmi, opekat bárbíque a vsetci naraz pozerat 4K videa cize treba 100 Mbit realnej priepustnosti nonstop ?

[seep]

cca 20x50m a na druhom konci je pieskovisko pre deti, tak ked tam sedi nech moze kukat youtube.