Vladimir Zhurkin

Микротик только что выбесил так, что 15 минут телефон в метре от него не мог подключится. при этом такой же айфон работает в его сети

Вот с него и начинаем. Часов в 18/19 , когда самый пик людей запускаем в консоли

/interface wireless spectral-history wireless_interface_name и показываем нам результат, а не тот спектр , который по сути не о чем.

Дальше после того , как примерно будет понятно какие зоны у нас в печали , запускаете

/interface wireless spectral-scan wireless_interface_name добавив show-interference=yes
Там будут указанны и виды помех

bluetooth-headset — bluetooth стереогарнитура (наушники);
bluetooth-stereo — передача аудио по bluetooth;
cordless-phone — радиотелефон;
microwave-oven — микроволновая печь;
«cwa» помехи
video-bridge — видеоконференция;
wifi — Wi-Fi устройства.

Так же на тики можно помониторить нормально, на какой частоте больше всего качают.
Так как из вашего графика не очень это понятно.
Просто если да же будет очень много народа на определенных частотах, но они по сути всегда ничего не делают, то лучше уйти туда, чем там где мало - но качают постоянно.

Ну и далее тик можно настроить на работу в очень плохих условиях.
Вообще вам надо было не плодить кучу разных вендеров, а купить еще 2 тика и сделать бесшовный роуминг, снизив частоту (да да именно снизив, а не выкрутив) Тогда бы вы перестали ловить помехи или сократили их.
То, что у вас он вблизи не ловит, говорит о том, что канал шумный и возможно вы выкрутили децебелы на максимум и тик орет так, что сам себя плохо слышит , что орет.



Попробуйте указать так. long то же можно попробовать.
Снизить уровень сигнала до 17.



попробовать указать data rates 1 и 2 мегабита и убрать с более высоких скоростей.

Но в итоге тут нет волшебной кнопки, сделать хорошо. Только вот так вот пытаться анализом понять, что вообще происходит и какой М мешает.

про 5 . Так как на этой частоте длинна волны меньше, то и затухание идут быстрее.

Возьмем популярные частоты 2,4 ГГц (длина волны 12,5 см) и 5 ГГц (длина волны 6 см). Мы видим подтверждение правила на примере прохождения лесного массива. Стандартные размеры листьев, стволов, веток деревьев, в среднем будут меньше, чем 12,5 см, но больше, чем 6 см. Поэтому сигнал WiFi 5 ГГц диапазона при прохождении через густую листву “потеряется” практически полностью, в то время как 2,4 ГГц справится лучше.

Если ничего не изменилось то

delete veto files = yes
veto files = /*.zip/*.rar/*.7z/*.mp3/*.ogg/*.avi/*.mp4/*

delete veto files = yes указывает smb удалять файлы перечисленных форматов.

Думаю больше найдете прочитав документацию.

https://www.samba.org/samba/docs/using_samba/ch08.html

Вам надо убрать символ & и все , что после -

Для этого можно воспользоватся sed sed -e 's|.*&||; s|-.*|| '



Дальше по разному можно подойти к вопросу, можно использовать find .

find . -name "&*" -a -name "*IMAP" | sed -e 's|.*&||; s|-.*|| '

найти как из base64 и все остальное я думаю найдете сами.
В итоге , можно будет все объединить в один код.

P.S. Это все примеры, прежде чем пробовать создайте отдельный тестовый стенд и сделайте резервную копию ваших данных. Это не готовое решение.

P.P.S.

заменил минус на 2 равно

Проморгал условие, думал надо убрать. Но в общем примеры по sed я думаю и так найдете как заменить, а не удалить.

Ну начну с того, что использовать default адресацию , такое себе решение само по себе.
На тему,что произошло, сейчас будет больше гадание на кофейной гуще, но как вариант каким-то загадочным образом у вас mac адрес VM совпал с mac Mikrotik. TTL 255 обычно у Windows машины , и скорее всего вы подняли VM именно на ней или то, что дает TTL 255.

Сообщений тут и не будет, так как, что бы что-то получить, надо что-то настроить.
Меняйте адресацию, на что-то другое если пока еще есть возможность, проявите намного фантазии.
Раздавайте адресацию по DHCP указав add arp for leases , а в bridge replay-only .
На роуторе сделайте связность arp и ip в arp list для шлюза и то что статикой. Ну и в непонятной ситуации делайте дамп wareshark

...DHCP-сервер... — дом №1 (port №1 — Wi-Fi — port №2) — дом 2 (port №1 — Wi-Fi — port №2) — ...

На мой взгляд не очень хорошая идея.
Если таким каскадом все делать, то любой обрыв , отключит всех остальных.
Ну и скорость с пингами , будет размазана .

Если разницы нет, то, при одинаковой стоимости, какую всё-таки посоветуете брать? ХАП т.к. больше портов?

Я бы советовал сесть еще раз и все взвесить. Лучше, если к каждому дому, будет идти свой кабель.
Другой вариант, докинуть до дальнего дома кабель, поставить еще один роутер и уже от него кидать дальше.
Если будите брать Много роутеров, возможно имеет смысл сделать сразу и POE.
Все зависит в итоге и от кол-во ТД , и домов и расстояния между ними.
Что-то такое прям универсальное и оптимальное рекомендовать без четкого понимания что и как сложно.

Я делал обзор и про hapac2 и про cap ac. Правда это обзор, больше бла бла бла и разборка внутренностей.

Но все же к делу.

Железо у них идентичное , разница только в кол-ве памяти 128 в hap ac2 и 256 в cap ac (не всегда) ну и кол-во портов.
Еще мне у hap ac 2 не понравилась система охлаждения, считайте ее там вообще нет и модное soft touch покрытие, которые скорее всего очень быстро облезнит .

Если вы хотите нормальное покрытие wifi и есть возможность расположить ТД относительно центра комнаты , то я бы брал CAP ac (в общем то у меня они так и стоят) Две ТД в режиме capsman / бесшовный роуминг и hex s в качестве центрального роутера, покрывает все задачи. Осталось только повесит уличный вариант basebox 2, так как я не очень большой любитель выкручивать мощность wifi на всю катушку.

Так же учитывайте перекрытие в доме, например пенофол , отлично переотражает сигнал wifi.

Так как запросы поступают и по 53/tcp .

Заблокировал правилом drop c интерфейса провайдера.

Вообще, что за глупость блокировать только избранные вещи ?

Почему у вас вообще нет общего drop на Input .
Если не понимаете пока , как и что работает, используйте конфигурацию по умолчанию.

Георгий Измайлов Все же я бы отказался от pptp, если конечно это возможно.
Настройка l2tp+ipsec не так сложна.

Но в любом из вариантов, можно блокировать многие вещи.
Сделайте любой популярный порт ловушку, главное, что бы не пересекалось с рабочими.
Например у меня есть роутеры, которые только раздают интернет и у них нет открытых портов вообще.
Я поставил порты ловушки на 80,22,443,3389,5080 и все что вы еще хотите.
Если будут запросы на эти порты, то запрос попадает в blacklist и запросы с этих блокируется на определенное время. У меня же собирается все в одну БД и я там дальше делаю обработки на более сложных условиях.

Для VPN есть несколько вариантов дополнительно, это проверять кол-во авторизаций
вот пример для l2tp

https://hd.zp.ua/zashhita-routera-mikrotik-ot-brut...

и есть разные варианты для pptp

spvd.ru/page/mikrotik-simple-bruteforce-prevention

Так как уже давно не использую pptp, то остальные вариант предлагаю поискать самому.

Владислав Татаринцев для mikrotik ccr-1036 2000 записей , это вообще не о чем.
Если вы конечно не запихнули все в одну L2 сеть.
Все операции там идут через CPU.
Вот на 1100 и более младших, там уже 2000 host записей на группу портов.
В итоге такие вещи надо просто осматривать при покупки или спросить у менеджеров/у тех поддержки тика или где-то еще. :)

shilovav

Требуется найти роутер который получает интернет через WiFi и раздает интернет по WiFi

Все же желательно чтобы была еще своя локальная сеть за NAT, включая проводной интернет

Любой из тиков с wifi сможет вам это сделать. Но я бы сильно рекомендовал смотреть модели с двумя wifi, что бы на одном интерфейсе сделать клиента wifi с другого раздавать. Можно все это сделать и с одним wifi, но есть много всяких подводных камней и для начинающих, такой вариант я бы не рассматривал.

Будут вопросы, задавайте.

hEX S (RB760iGS) самое мощное устройство тут, если вам надо будет радовать в разные сети ну и аппаратное шифрование, если это так же надо будет.

Пропускная способность у Hes S и Poe около 2 гигабит (общая шина) , но Hex s при шифровании покажет скорость выше.

Я на стримах вскрывал все устройства и высказывал мнение о каждом из них.

Необходимо разделить сеть по VLAN (управление, VOIP, камеры, принтеры, бухгалтерия, компьютеры и серверы).
Вопрос стоит ли поставить еще один коммутатор типа D-Link DGS-1100-10/ME и существующие коммутаторы с Mikrotik подключить в него?
Хватить ли мощности RB750Gr3 под вышеперечисленные задачи?

увы но нет. Сам 750Gr3 имеет почти 2 гигабита внутренней коммутации, те по сути можно по 1 гигабиту в каждую сеть. Вам надо смотреть намного более мощное устройство , например 1100, он уже держит 7.5 гигабит.
Как другой вариант, вы покупаете нормальные коммутаторы и на них уже делаете маршрутизацию (L2+/L3)

Roc27

Реально ли это?

Да вполне реально. Вам надо будет из bridge убрать wifi интерфейс.
Далее настроить его как station pseudobridge или pseudobridge clone.
Только тут надо учитывать, что в clone wlan будет переподключатся каждый раз с MAC-ом того хоста, которому нужна передача. Поэтому не рекомендуется использовать для L2 (новы вроде и не планируете.) Причина, что по стандарту мы не может прогонять, несколько mac адресов.

mishanyahab Немного не понятно зачем вам Vlan ?
Второй момент непонятно,зачем вам правило в firewall Accept, когда нет запрещающих правил ?
ну и третий момент у вас не gw 0.0.0.0 по умолчанию

Рекомендую оставить конфигурацию по умолчанию и настраивать исходя из нее.

Myroslav Khovalko

Весь трафик идет через 1 роутер, падает линк, переключается на второй роутер, падает второй линк, включается LTE. Два свича - разные DHCP.Если падает первый роутер, втрой как основной. VRRP настроил, а вот как роуты прописать и резервирование - не получается

Вы почти правильно подумали. Но есть одно но, например представим, что у вас умер роутер. Вот прям взял и физически откинул ноги. Тогда у вас вообще не будет работать одна из половин сети.

Почему бы не сделать схему по другому ?

Вы делаете агрегацию между CRS328 ну или просто резервируете один канал для STP. Мы же делаем отказоустойчивую систему ?

Каждый роутер вы подключаете к 328 и между собой. Кольца не будет, так как используем STP.
Теперь мы резервируем 3 ip адреса.
первый роутер пусть будет 192.168.0.2 второй 192.168.0.3 общий 192.168.0.1 который будет в VRRP.
Клиенты будут обращаться к 192.168.0.1

Упал один роутер, ip 192.168.0.1 переместится на другой. Тут главное понимание, что роутер именно не доступен.
Так же помним, что если упал физически один роутер, то на втором не факт, что есть интернет.

Просто определитесь для себя, что вы делаете отказоустойчивым Роутер и сеть или интернет ?
Если надо все, то договоритесь еще о дополнительных проводах на другие роутеры. Тогда можно будет сделать переключении при сбои провайдера и при умирания одного из двух роутеров.