• Mikrotik адрес на VLAN vs адрес на интерфейсе?

    @Grustnui
    У микротика ну очень специфическая настройка VLAN'ов по сравнению с другим оборудованием.
    Есть 2 пути настройки - первый через бриджи под каждый VLAN и сабинтерфейсы для перехвата тегированного трафика.(похоже именно так вы и пытались сделать) А второй через VLAN filtering. Традиционно первый путь - чисто программный, не задействует чип коммутатора даже если он есть. В настоящий момент они рекомендуют настраивать через VLAN Filtering. Если есть возможность задействовать чип коммутации микротик сам его задействует ( меню Switch) , если нет, то будет использована программная обработка. Про него читать тут https://wiki.mikrotik.com/wiki/Manual:Interface/Br... Настоятельно рекомендую использовать именно этот способ настройки VLAN. Но тут выбор Ваш. Дальше по Вашему вопросу. Access Port на микротике ? или на другом оборудовании подключенном к микротику ? В общем случае если идти по первому пути то 1) нужно создать новый бридж 2) добавить на транк порт VLAN ( cабинтерфейс) с VLAN id 16 3) Добавить в созданный в п1 бридж созданный в п2 VLAN интерфейс. Внимание ! В настройках бриджа по умолчанию включен RSTP добавление VLAN интерфейса в бридж может привести к перестроению топологии, а если с другой стороны настроено что-то типа bpdu guard это может вообще привести к автоматическому отключению порта на коммутаторе в который включен микротик. Будьте осторожны ! ну и 4) Добавить на бридж созданный в п1 нужный вам ip. По всем вопросам можете обращаться в телеграм
    Ответ написан
    Комментировать
  • Как сделать паралельное "keepalive" резервиврование двох VPN:EoIP по IPsec в одном bridge на mikrotik c 2WAN?

    @Grustnui
    Igor_kov, а вы точно уверены что оно Вам таким образом надо ? Во первых, вы почти организовали кольцо. 2EoIP туннеля в 2 бриджа, это всё равно соединить 2 простых свитча, 2 мя патчкордами. Спасло Вас 2 вещи, 1) у Вас не поднялся второй интерфейс. 2) У микротика по умолчанию на бридже включен RSTP(если вы его сами не выключили). Далее по тексту, г-н poisons совершенно правильно вас отправил читать про переключение каналов без скриптов. Это просто работает. Далее прошу Вас, еще подумайте, а надо ли вам объединять офисы по L2 ? Вы понимаете, что весь broadcast траффик будет гулять по 2м офисам сразу ?. А что будет если завтра надо будет добавить еще один филиал ?. Сложнее настраивать файрволы и прочеее для ограничения доступа между офисами. В общем случае если нет приложений и оборудования, для работы которого необходимо, чтобы они находились в одном broadcast домене. Нет никакого смысла обьединять офисы по L2, пожалуйста рассмотрите вариант с L3.
    Теперь на тему как дебажить: 1) Переделать переключение каналов как указано выше. Далее выкинуть EoIP из бриджей. Чтобы исключить влияние RSTP. Отключить IPSEC. B посмотреть поднялись ли оба туннеля с включенным KeepAlive. (см статус должен быть R). Вам уже написали Выше, скорее всего, проблема в том, что роутер зверушка глупая, и отправляет свои пакеты в соответствии с таблицей маршрутизации. В итоге получается следующая история пусть гл офис 3.3.3.3. Основной провайдер в филиале 1.1.1.1 резевный - 2.2.2.2. Роутеру сказано организуй туннель между 3.3.3.3 и 2.2.2.2 роутер что делает: формирует EoIP пакет, и отправляет его.... тадам в соотвествии с таблицой маршрутизации. А у нас кто основной правайдер ? 1.1.1.1 В итоге запрос на установку соединения туннеля с 2.2.2.2-3.3.3.3 прилетел через другой канал 1.1.1.1. D В общем случае это не то, что мы хотели, но туннель поднялся бы если бы не.... вторая проблема: посылает 3.3.3.3 запрос на установку соединения на 2.2.2.2. Ок пакет пришел мы что то с ним сделали и отвечаем... внимание в соответсвии с таблицой маршрутизации где написано что ? если работает 1й провайдер отвечать с 1.1.1.1. В итоге головной офис ждет ответ от 2.2.2.2 на запрос а получает ответ от 1.1.1.1. И его отбрасывает. Итого вам нужно сделать грубо говоря две вещи 1) чтобы роутер отвечал с того интерфейса, на который получил запрос, 2) EoIP соединения из филлиала с 2.2.2.2-3.3.3.3 должны уходить таки через интерфейс 2.2.2.2 :) Решается это все с помощью mangl'о магии.
    Ответ написан
    Комментировать
  • Как настроить vlan'ы на Mikrotik RB951G-2HnD?

    @Grustnui
    Судя по всему, у вас Таки Ether3 уже часть какого-то бриджа.

    Еще раз давайте проговорим логику. ( в моём варианте 4й порт транк 3й - 10 влан Untaged)
    1 ) Создаем бридж под VLAN:
    /interface bridge
    add fast-forward=no name=br_vlan_10

    2) На "транк" интерфейсе создаем сабинтерфейс влана
    /interface vlan
    add interface=ether4 name=Eth4_vlan_10 vlan-id=10

    3) В бридж созданный в п.1 добавляем сабинтерфейс, и порт где оно должно быть untaged
    /interface bridge port
    add bridge=br_vlan_10 interface=Eth4_vlan_10 trusted=yes
    add bridge=br_vlan_10 interface=ether3 trusted=yes

    Вроде бы всё :)
    Это самый простой вариант, с недавних пор 6.41.2 если не ошибаюсь сделали другой вариант работы VLAN и бриджами. Но старый по прежнему доступен и работает. Посмотрите вот эти 2 видео https://www.youtube.com/watch?v=wq6KVWOFhNI (новый вариант работы с VLAN), https://www.youtube.com/watch?v=Np7rAwvAzq4(старый вариант)

    Внимание: Работу с VLAN на Вашем лучше реализовывать через Switch чип. (См первое видео)
    Ответ написан
    Комментировать
  • Использование второго ISP для проброса за нат Микротик?

    @Grustnui
    Уважаемый q-q. Нехорошо так говорить, но, пожалуйста подучите мат часть. И экспериментируйте не на своём офисе, а на тестовой среде:)

    Я конечно могу ошибаться, но, по сути, вы сделали round robin между 2мя шлюзами. Причем очень неудачным образом. У вас пакеты в случайном порядке будут бегать через разные шлюзы без учета установленных соединений. Что получилось дальше: изначально, к примеру, соединение с google.com прилетело с ip 10.10.10.10, а следующий пакет с ушел с ip 20.20.20.20, от чего гугл слегка прифигел. Отсюда и лаги интернета. Верните как было :)

    По теме как решить Ваш вопрос.
    Чтобы мы лучше понимали друг друга.
    1) Пусть IP от основного провайдера, который используется для SSTP 10.10.10.10
    2) Для проброса портов мы хотим использовать второй провайдер: 20.20.20.20
    3) ip адрес железяки в локалке к которой хотим пробрасывать порты: 1.1.1.2

    Первая часть - очевидная пробрасываем все что приходит например на локальный ip:

    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=20.20.20.20 dst-port=80 protocol=\
    tcp to-addresses=1.1.1.2 to-ports=80
    add action=dst-nat chain=dstnat dst-address=20.20.20.20 dst-port=443 protocol=\
    tcp to-addresses=1.1.1.2 to-ports=443

    Но внезапно не работает :) Почему, да потому, что у вас получается так, что клиент посылает запрос на ip 20.20.20.20, а ответ приходит с ip 10.10.10.10 и клиент его просто отбрасывает, ибо у 10.10.10.10 он ничего не спрашивал. Другими словами наша задача сделать так, чтобы ответы от сервера тоже уходили с ip 20.20.20.20, но тут мы сталкиваемся со следующей проблемой, роутер по умолчанию не смотрит на адрес источника, когда принимает решение о маршрутизации пакета он смотрит только на адрес назначения!. Для решения этой проблемы придумана такая штука как Policy Based Routing. В микротике его можно реализовать кучей способов. Наиболее гибгий с использованием Mangle. Наиболее простой с использованием routing rules.

    Для начала нам надо создать 2ю таблицу маршрутизации, назовём её ""2nd ISP" а в ней маршрут по умолчанию где шлюз 20.20.20.20 является основным, делается это предельно просто:

    /ip route add distance=1 gateway=20.20.20.20 routing-mark="2nd ISP"

    Теперь нам надо объяснить микротику, что трафик от условного веб сервера нам нужно пустить именно по этой таблице маршрутизации. Делается это с помощью routing rules.

    /ip route rule add dst-address=0.0.0.0/0 src-address=1.1.1.2/32 table="2nd ISP"

    Теперь оно должно прекрасно работать снаружи. Отдельно обращаю Ваше внимание, что я не знаю всей вашей топологии и использование влоб тех скриптов, что я написал может привести к тому что у вас что-то отвалится. Например что 1.1.1.2 не будет доступен из второго офиса. Также советую обратить внимание на статью https://habr.com/post/313342/ там немного другой случай, но теоретическая база одна :)

    P.S. Если будут вопросы, готов ответить на них в Telegram
    Ответ написан
    1 комментарий
  • Как реализовать загрузку конфигурации Mikrotik в зависимости от статуса wathdog?

    @Grustnui
    Вот тут описано управление конфигурациями микротика, но мне кажется, Вам надо смотреть в строну скриптов, и netwatch. Даже на тостере и на хабре неоднократно описывалось, как мониторить каналы и переключаться между ними. (намример тут ) Чаще всего само "переключение", сводиться к изменению основного шлюза или его метрики в Вашем случае всё чуть сложнее, в том месте скрипта где меняются метрики вам нужно будет вставить свои действия.
    Чтобы не мучиться с синтаксисом команд микротика, можно запустить Winbox открыть в нём терминал и написать /export, вы увидите свою конфигурацию в текстовом виде.
    Ответ написан
    4 комментария
  • Mikrotik tagged vlan?

    @Grustnui
    Итак пусть тегированный трафик приходит на Eth1
    1) Создадим vlan 100 на Eth1
    /interface vlan add interface=ether1 l2mtu=1576 name=Eth1_Vlan_100 vlan-id=100

    2) Создаем бридж для 100го влана, на всякий пожарный отключаем на время тестов STP на бридже
    /interface brigde add name=Vlan_100 protocol-mode=none

    3) Добавляем в бридж необходимые интерфейсы

    /interface bridge port
    add bridge=Vlan_100 interface=Eth1_Vlan_100
    add bridge=Vlan_100 interface=ether4

    Обращаю внимание, что если микротику нужен ip адрес в 100м влане, то назначать его стоит на бридж Vlan_100.

    Возможные проблемы - проверьте не указан ли на интерфейсах ether1,ether4 masterport. Если да то уберите его от туда. ( /interface ethernet print см колонку masterport )
    Ответ написан
    1 комментарий
  • Автоподключение резервного канала интернета. Есть замена микротику?

    @Grustnui
    Про баг с DHCP - если трафик через роутер относительно небольшой, то можно попробовать собрать бридж без использования возможностей чипа коммутации и проверить как оно всё работает.
    Заместо
    /interface ethernet
    set [ find default-name=ether1 ] name=ether1-fiberisp
    set [ find default-name=ether2 ] name=ether2-radioisp
    set [ find default-name=ether3 ] name=ether3-master-local
    set [ find default-name=ether4 ] master-port=ether3-master-local name=ether4-slave-local
    set [ find default-name=ether5 ] master-port=ether3-master-local name=ether5-slave-local

    /interface bridge port
    add bridge=bridge-local interface=ether3-master-local
    add bridge=bridge-local interface=wlan1


    Можно попробовать что нить вида:
    /interface ethernet
    set [ find default-name=ether1 ] name=ether1-fiberisp
    set [ find default-name=ether2 ] name=ether2-radioisp
    set [ find default-name=ether3 ] name=ether3-master-local
    set [ find default-name=ether4 ] name=ether4-slave-local
    set [ find default-name=ether5 ] name=ether5-slave-local

    /interface bridge port
    add bridge=bridge-local interface=ether3-master-local
    add bridge=bridge-local interface=wlan1
    add bridge=bridge-local interface=ether4-slave-local
    add bridge=bridge-local interface=ether5-slave-local

    Менее производительно но более прозрачно.

    Далее идем в настройки беспроводной сети и проверяем режим работы : должно быть ap-bridge
    /interface wireless export
    # aug/06/2015 15:51:23 by RouterOS 6.29.1
    /interface wireless
    set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no \
    distance=indoors l2mtu=1600 mode=ap-bridge

    Чтобы исключить глупые случайности советую на время проверки вытащить патчи 3-4-5 из роутера а в 3й например воткнуть свой компьютер.

    Далее про переключения - как уже было сказано выше попробуйте в явной виде задать distance = 1 для первого маршрута. Также хочу отметить, что и без всяких скриптов нетвочей и прочего можно проверять check-gateway'ем не только шлюз по умолчанию, но и любые другие ip.

    Дока на английском тут

    Пример реализации из моего рабочего конфига : для проверки доступности используются DNS Яндекса (77.88.X.X)
    /ip route
    add check-gateway=ping comment="Main MTS Gateway" distance=2 gateway=77.88.8.1
    add check-gateway=ping comment="Main Megafon Gateway" distance=3 gateway=77.88.8.8
    add comment="fake gateway MTS" distance=1 dst-address=77.88.8.1/32 gateway=93.187.180.XXX scope=10
    add comment="fake gateway Megafon" distance=1 dst-address=77.88.8.8/32 gateway=79.171.12.XXX scope=10

    Если не получится: напишите как с вами связаться. Попробую помочь.
    Ответ написан
    1 комментарий
  • Mikrotik! Как перенаправить исходящий трафик по определнному порту на другой шлюз?

    @Grustnui
    Опишу чуть более подробнее как сделать то что написал Руслан Федосеев.
    Пусть почтовик - 192.168.88.20.
    Микротик А - 192.168.88.1.
    Микротик B - 192.168.88.10.

    Пометим все соединения с почтового сервера наружу на 25й порт.

    /ip firewall mangle
    add action=mark-routing chain=prerouting dst-port=25 dst-address=!192.168.88.0/24 new-routing-mark=\
    "SMTP Server" protocol=tcp src-address=192.168.88.20

    Можно для экономии ресурсов пометить сначала соединение, а потом для пакетов соединения уже менять таблицу маршрутизации. В таком случае роутер будет проверять не все проходящие через него пакеты, а будет смотреть сначала на метку соединения, и если соединение помечено, то для всех его пакетов поставиться метка что они должны попасть в другую таблицу маршрутизации.

    /ip firewall mangle
    add action=mark-connection chain=prerouting dst-address=!192.168.88.0/24 \
    dst-port=25 new-connection-mark=SMTP_Connect protocol=tcp src-address=\
    192.168.88.20
    add action=mark-routing chain=prerouting connection-mark=SMTP_Connect \
    new-routing-mark="SMTP Server" src-address=192.168.88.20

    Создадим еще одну таблицу маршрутизации SMTP Server и укажем для неё шлюз по умолчанию Микротик B
    /ip route
    add distance=1 gateway=192.168.88.10 routing-mark="SMTP Server"

    По идее трафик через 25й порт должен ходить через B.
    Ответ написан
    Комментировать
  • Как восстановить удаленный доступ к cisco 3750 без перезагрузки устройства?

    @Grustnui Автор вопроса
    Таки это был глюк циски. После перезагрузки в ночи всё нормализовалось
    Ответ написан
    Комментировать
  • Перенаправление с внешнего на внутренний IP адрес через Mikrotik RB951G-2HnD?

    @Grustnui
    На первый взгляд всё правильно, попробуйте вместо действия dst-nat поставить netmap.
    Ответ написан
    Комментировать
  • Какой mikrotic выбрать?

    @Grustnui
    Всё просто, вам нужно выбрать любой микротик с аппаратной поддержкой шифрования. Она есть только у "старших" моделей, а их производительности с гарантией хватит на все остальные ваши задачи.
    Ответ написан
    Комментировать
  • Как настроить VPN клиент на микротик, только для одного порта и при этом иметь VPN-сервер на самом микротике?

    @Grustnui
    Хочу добавить что на младших микротиках не очень мощный процессор и нету поддержки аппаратного шифрования, в результате скорость по vpn будет 2-5 мбит в зависимости от шифрования и модели.
    Ответ написан
    Комментировать