Mikrotik - pre zaciatocnikov

[mp3turbo]

VLAN v poriadku, na jednom routri a switchi to samozrejme moze bezat.
O APckach sa vyjadrit neviem, ale malo by to byt schopne (neviem ako presne pracuju Omady s nejakymi VLANkami a viacnasobnymi SSID).

Bezpecnost je riesena este aj tak, ze vsetky pripojene bezdrotove zariadenia su navzajom izolovane (nemozu komunikovat navzajom, napriek tomu ze su pripojene na jedno a to iste AP). Kazdy vyrobca to oznacuje inak.

[SKiLEX]

Hej to viem, ale to nechcem... Tu sa streamuje, prenasa, posiela, tlaci zo zariadenia na zariadenie, neviem si predstavit ze by mobil nevidel na notebook atd.

[zoom]

V doveryhodnej sieti to nechas vypnute, ale v Guest sieti mozes kludne zapnut izolaciu klientov. Jeden docasny guest klient nepotrebuje vidiet vedlajsieho klienta.

A ked budes rozmyslat nad segmentaciou siete, tak mozes uvazovat, ci neoddelis IoT zariadenia do samostatnej VLAN. Su to jednoduche krabicky, kde sa prilis nemysli na bezpecnost a ani tam nemas mnoho moznosti nastavenia. Dobry vstupny vektor utoku.

[mp3turbo]

urcite. Navyse, mnohe mydlove krabicky nepotrebuju pristup na internet... takze by som im ho zakazal absolutne. A samozrejme zakazat vytvaranie novych spojeni z mydlovej krabicky do internej siete pretoze zase neexistuje prilis vela situacii, kedy mydlo zahajuje komunikaciu - ono ma sediet na sieti a cakat, pokial sa pripoji niekto na neho.

[Klaboor]

Tak som teda zbuchal navod ohladom optiky priamo do routra. Je to velmi dlhe a aby to nezaniklo tak som to hodil do noveho vlakna. Tu to je.

[SKiLEX]

Mam momentalne ipv4 s verejnou statickou IP... Hostujem z tamad kopu veci(mensi web, ftp server s filmotekou cez ktoru streamujem filmy ked nie som doma, herne servery, VPN server, offsite backup server...)

Novy internet je orange ipv6 s ds-lite. Router je RB5009UG+S+IN...



Ako sa toto riesi?

[mp3turbo]

neviem ako ma Pomaranc spraveny tunel ipv6 -> ipv4

[SKiLEX]

Cez dual stack lite

[Klaboor]

Ak to mas na biznis, tak si zaplat verejnu staticku IP a dostanes iba IPv4 bez IPv6. Je to sluzba za ktoru budes platit mesacne a mas to vybavene, fungujes po starom. Zavolaj na expert linku, tam ti povedia viac.
Pokial to mas len na vlastnu spotrebu tak je cas sa naucit IPv6, je to buducnost. V dnesnej dobe AI najst informacie je len otazka chcenia. Mam rozbehane vsetko cez IPv6. Tam kde IPv6 konektivita nie je mi ju dotiahne VPN (tailscale). Jediny problem je ze IPV6 prefix je dynamicky. Nedeje sa to na dennej baze, ale treba s tym ratat. Odpovedou je bud DDNS alebo vlastny skript ktory ti bude menit DNS zaznamy a konfiguraciu. Zalezitost na dlhe vecere, ale vsetko sa da rozbehat a hlavne je to zdarma a vela sa naucis

[mp3turbo]

akurat som isiel napisat, ze s tymito dual stackmi nemam info, ale ze idealne asi nejaku vlastnu VPN na pevnu IPv4 - lebo pokial nemas zaplatene, tak ti to orange bude prehadzovat horedole nikdy nevies ako a kedy.

Oranžová pevna IP tusim stoji 99,- aktivacia co je absolutny nezmysel a potom mesacne nejaky chechták (alebo tri). Mesacna platba nie je ziadny problem, ale ten uvodny poplatok je ze uplny wotdafak.

[klf]

99 stoji IPv4, ked chces pevnu IP adresu tak sa jednorazovo plati za aktivaciu 32,-€ a mesacne nieco cez 8,-€.

[zoom]

Ako bolo napisane, treba si dat jednoducho IPv4 a hotovo. Pokial si aspon trochu znalejsi/narocnejsi uzivatel internetov, tak chces plnohodnotnu verejnu IPv4 adresu, aby si mal k dispozicii vsetky porty a nie nejaky DS-Lite zmetok.

Nepotrebujes staticku verejnu IP adresu (~8€ mesacne). Chces len prehodit z IPv6 na IPv4 za jednorazovy poplatok 101,48€ (tj. byvalych 99,-€ + zvysena DPH). V cenniku sa to vola "Zmena verejnej IP adresy z verzie IPv6 na IPv4". Vela penazi za taku vec? Mozno, ale chcem mat plnohodnotny internet. Treba si to dat, kym je ta moznost. Takze uz aj volat na infolinku.

[Klaboor]

Jaj pani bojite sa tych IPv6 jak cert kriza Pri IPv6 nemas NAT uz z podstaty protokolu. Dostavas verejny prefix, otvoris port na routri a ides, ale strach z neznameho prinuti cloveka platit, rozumiem.

[mp3turbo]

>> Tam kde IPv6 konektivita nie je mi ju dotiahne VPN (tailscale).

tailscale je zadarmo ? Tak preco budem platit XYZ ked mozem mat adekvatnu / lepsiu / jednoduchsiu / lacnejsiu / **** sluzbu priamo od firmy, ktora ma pripaja, a nemusim absolutne nic robit, s nicim spekulovat, nic ladit, udrzovat pri zivote, troubleshootovat ked sa volaco pototo a hlavne mat vypadok svojich sluzieb, ktore maju nesmierne vacsiu hodnotu nez cely doteraz vymenovany cirkus ?


>> Jediny problem je ze IPV6 prefix je dynamicky.

to zdaleka nie je jediny problem.



>> Odpovedou je bud DDNS alebo vlastny skript ktory ti bude menit DNS zaznamy a konfiguraciu.
>> Zalezitost na dlhe vecere, ale vsetko sa da rozbehat a hlavne je to zdarma a vela sa naucis

a teraz si zober, ze pan nie je informatik ale elektrikar, ze pan stavia vlastny dom plus firemne sidlo, ze pan ma na starosti zopar aut a okrajovo zamestnancov a business a realitu zivota. Este sme nezacali o rodine a dvoch detoch. Nie kazdy je ochotny, schopny atd stravit niekolko vecerov na to, aby zistil, ze jeho kamarati / sluzby / cokolvek nie su dostupne tak, ako ich potrebuje. Cas mnohych z nas je nesmierne daleko hodnotnejsi, nez nejake styri eura mesacne za sluzbu, ktoru chceme, potrebujeme, vyuzijeme blablabla.

To mas tak : nechapem, preco vsetci ludia nejazdia na Citroenoch. Take dobre auta to su... alebo preco vsetci nebyvaju v horach daleko od mesta, take krasne prostredie to je. A ked nasnezi, tak je to uplna rozpravka.

Ono je to komplikovane ako zivot samotny. Ano, rezistencia je blba vec. Ano, cely svet este nefunguje na ipv6 a ani zajtra fungovat nebude.

[SKiLEX]

1. Nechcem zaplatit ipv4(100€ + 8€ mesacne za dynamicku verejnu) lebo do domu vedie aj antik, akurat este nestihli na svojej strane spravit tu rozbocovaciu skrinku pre danu ulicu. To by sa malo zmenit v priebehu buduceho roka... A tam je verejna staticka ipv4 zadarmo(oficialne je dynamicka, neoficialne ju za 20rokov este nikomu nezmenili kym nerusil zmluvu)

2. Nic kriticke na tom nefunguje, nic co by nemohlo byt 1-2dni off... Ved to by bola samovrazda hostovat z domu

3. Hladam jednoduche riesenie ako pustit porty do sveta, ako mat vlastny FTP server...


Rozmyslam ze by som na inej nehnutelnosti s IPV4 pustil wireguard server, pripojim nan ten mikrotik a nastavim aby porty ktore chcem chodili takto obklukou...

Podla chatuGPT to je vec na 10 minut.

_____

Ja by som nemal problem sa s tym pohrat, ved na chate ked tam bol orange som to uz mal rozbehane cez ipv6 a ddns... Problem je ze vacsina domacnosti sa na ipv6 stale nepripoji. Vpodstate sa na to spomedzi slovakov pripojis len ty a ini pouzivatelia orangeu... To uz mozem rovno ist cez tailscale.