Vladimir Zhurkin

@super-guest

Советую поставить чуть более мощный БП на те же 24 вольта, как вариант он не может выдать мощность.

Второй вариант обновить firmware в устройстве hex s.

Если это не поможет, стучите в support, такая проблема в общем не только у вас была

https://forum.mikrotik.com/viewtopic.php?t=138036

P.S. Сам я увы отдал hap ac2 , а так можно было его проверить с Hex s.

Если я планирую разбивать сеть на VLAN, то нужно ли мне для каждого VLAN создавать зоны DNS или можно как-то создать одну общую?

Нет не нужно, если мы под зонами DNS подразумеваем имя *.firma.loc
Если речь про сервер ДНС, то можно использовать так же 1 сервер днс или поставить дополнительные кеширующие, тут уже зависит от структуры.

Ну а если речь про под домены в AD, то обычно это надо только для другого подразделения, который будет обслуживаться другими людьми, но которые должны быть в единой структуре.

Ну начну с того, что использовать default адресацию , такое себе решение само по себе.
На тему,что произошло, сейчас будет больше гадание на кофейной гуще, но как вариант каким-то загадочным образом у вас mac адрес VM совпал с mac Mikrotik. TTL 255 обычно у Windows машины , и скорее всего вы подняли VM именно на ней или то, что дает TTL 255.

Сообщений тут и не будет, так как, что бы что-то получить, надо что-то настроить.
Меняйте адресацию, на что-то другое если пока еще есть возможность, проявите намного фантазии.
Раздавайте адресацию по DHCP указав add arp for leases , а в bridge replay-only .
На роуторе сделайте связность arp и ip в arp list для шлюза и то что статикой. Ну и в непонятной ситуации делайте дамп wareshark

...DHCP-сервер... — дом №1 (port №1 — Wi-Fi — port №2) — дом 2 (port №1 — Wi-Fi — port №2) — ...

На мой взгляд не очень хорошая идея.
Если таким каскадом все делать, то любой обрыв , отключит всех остальных.
Ну и скорость с пингами , будет размазана .

Если разницы нет, то, при одинаковой стоимости, какую всё-таки посоветуете брать? ХАП т.к. больше портов?

Я бы советовал сесть еще раз и все взвесить. Лучше, если к каждому дому, будет идти свой кабель.
Другой вариант, докинуть до дальнего дома кабель, поставить еще один роутер и уже от него кидать дальше.
Если будите брать Много роутеров, возможно имеет смысл сделать сразу и POE.
Все зависит в итоге и от кол-во ТД , и домов и расстояния между ними.
Что-то такое прям универсальное и оптимальное рекомендовать без четкого понимания что и как сложно.

Я делал обзор и про hapac2 и про cap ac. Правда это обзор, больше бла бла бла и разборка внутренностей.

Но все же к делу.

Железо у них идентичное , разница только в кол-ве памяти 128 в hap ac2 и 256 в cap ac (не всегда) ну и кол-во портов.
Еще мне у hap ac 2 не понравилась система охлаждения, считайте ее там вообще нет и модное soft touch покрытие, которые скорее всего очень быстро облезнит .

Если вы хотите нормальное покрытие wifi и есть возможность расположить ТД относительно центра комнаты , то я бы брал CAP ac (в общем то у меня они так и стоят) Две ТД в режиме capsman / бесшовный роуминг и hex s в качестве центрального роутера, покрывает все задачи. Осталось только повесит уличный вариант basebox 2, так как я не очень большой любитель выкручивать мощность wifi на всю катушку.

Так же учитывайте перекрытие в доме, например пенофол , отлично переотражает сигнал wifi.

Георгий Измайлов Все же я бы отказался от pptp, если конечно это возможно.
Настройка l2tp+ipsec не так сложна.

Но в любом из вариантов, можно блокировать многие вещи.
Сделайте любой популярный порт ловушку, главное, что бы не пересекалось с рабочими.
Например у меня есть роутеры, которые только раздают интернет и у них нет открытых портов вообще.
Я поставил порты ловушки на 80,22,443,3389,5080 и все что вы еще хотите.
Если будут запросы на эти порты, то запрос попадает в blacklist и запросы с этих блокируется на определенное время. У меня же собирается все в одну БД и я там дальше делаю обработки на более сложных условиях.

Для VPN есть несколько вариантов дополнительно, это проверять кол-во авторизаций
вот пример для l2tp

https://hd.zp.ua/zashhita-routera-mikrotik-ot-brut...

и есть разные варианты для pptp

spvd.ru/page/mikrotik-simple-bruteforce-prevention

Так как уже давно не использую pptp, то остальные вариант предлагаю поискать самому.

hEX S (RB760iGS) самое мощное устройство тут, если вам надо будет радовать в разные сети ну и аппаратное шифрование, если это так же надо будет.

Пропускная способность у Hes S и Poe около 2 гигабит (общая шина) , но Hex s при шифровании покажет скорость выше.

Я на стримах вскрывал все устройства и высказывал мнение о каждом из них.

Как правильно организовать защищенный канал между двумя локальными сетями.
Каждая из сетей управляется роутером Mikrotik, сети соединены между собой через витую пару.
Какой протокол, доступный в Mikrotik лучше использовать:

Вариантов как это сделать много.
В вашем варианте между сетями поднимите ipip , он уже имеет ipsec и настраивается очень просто.

а так вообще для сетей есть 802.11x, но на тиках он реализован только для wifi.
Каждое устройство в сети, будет передавать шифрованные данные

Kenny00
Мы используем связку с ipip там где есть ip, там где их нет l2tp.
При бюджете , это все можно сделать отказоустойчивым до определенных приделов.
Что бы не было одной точки отказа.



Где то были тесты по скорости через разные варианты vpn, но правда на старых прошивках. Опять же , если есть необходимость в скорости.

В общем и целом проблем не вижу. Главное , что бы у вас было в голове вот такая таблица

https://i.mt.lv/routerboard/files/RB750Gr3-esw2-16...

Если скорость интернета не 1gb, то рекомендую два порта под wan перевести в режим 100.
Между ними и switch будет 1gb канал (но условно там будет 200).
switch между собой будет уже как нормальный switch и отдать его дальше.
Так как у вас особых изысков нет, то и маркировать пакеты да же не надо.
Настройки в NAT для каждой сети, свой выход.

Если уж смотреть на производительность, то смотреть кол-во пакетов в секунду.
Сердце tplink это Atheros AR7241
В mikrotik был в Mikrotik RB751U-2HnD , который сейчас снят с производство.
https://mikrotik.com/product/RB751G-2HnD
Тут можно посмотреть на производительность в пакетах в рамках mikrotik устройства для этого процессора.
Потом посмотрите тот-же 2011
https://mikrotik.com/product/RB2011UiAS-IN

Можно увидеть, что 2011 действительно слегка мощнее 751. (условно в два раза)
Но! У 2011 есть отдельный switch чип, который занимается трафиком и не идет через процессор.
Точнее там часть портов разделена.
https://i.mt.lv/routerboard/files/RB2011UiAS-16062...

Поэтому, что там хотел сказать человек в итоге - можно гадать.
Мое мнение, если вам нужно для офиса, то надо отталкиваться от задач.
Я бы смотрел в сторону 3011 , как более нового и действительно мощного.
Если вам такая мощность не нужна, то вполне можно взять hex который умеет аппаратное шифрование для VPN (если надо) . Вот тут он точно сделает tplink :)

На тему wifi, я предпочитаю два разных устройства , а не комбайн.

Я правильно понимаю, что для этого мне нужен роутер с 3 портами и иначе никак? Если приобрести маршрутизатор MIKROTIK RB3011UIAS-RM, то там же можно такую схему настроить?

Да все верно. 3 порта у вас будут заняты.
Только есть один момент, скорость между сетками у вас будет 1gb.
Второй момент, что 3011 имеет сразу два switch и вы можете обе сетки раскидать по разным switch chip.

Ну или как выше предложили, использовать vlan, хотя я думаю если вы не планируете расширяться, то можно их не использовать.
Будите использовать, то делайте vlan через switch chip.

Есть Mikrotik с 2-мя Bridge с в которых находятся сети, LAN и Video, с одинаковой адресацией 192.168.2.1/24
Нужно сделать так что бы трафик из Video не мог из нее выбраться, но из LAN можно было по 80 порту попадать на DVR в сети Video.

Хотелось бы увидеть конфигурацию.

Но допустим у вас два bridge, один из них будет работать через CPU.
Можно было бы очень просто настроить роутинг между ними, но у вас одинаковая адресация.
Я бы конечно очень сильно советовал сменить на другое, особенно там где dhcp, это было бы проще.
Если вдруг это невозможно, то вам для хождение из одной сети в другоую надо использовать netmap.

Вот пример, что есть два офиса:

1 офис
/ip firewall nat
add action=netmap chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.0.0/24\
to-addresses=192.168.1.0/24
add action=netmap chain=dstnat dst-address=192.168.1.0/24 src-address=192.168.2.0/24\
to-addresses=192.168.0.0/24

2 офис

/ip firewall nat
add action=netmap chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.0.0/24\
to-addresses=192.168.2.0/24
add action=netmap chain=dstnat dst-address=192.168.2.0/24 src-address=192.168.1.0/24\
to-addresses=192.168.0.0/24

Теперь ходим из офиса-1 в офис-2 по адресам 192.168.2.х, а из офиса-2 в офис-1 по адресам 192.168.1.х

По другому увы не как, чудес не бывает.

Видимо решение проблемы в том, что надо было выставить в настройках bonding1 на микротике mode не balance rr, а 802.3ad, но может кто-нибудь что-нибудь ещё добавит. Вроде всё работает, но есть новая проблемка - смотрю порты на микротике и вижу, что трафик-то идёт только по одному порту (к HP пока ни одного клиента не подключено, к слову). Если этот порт заdisabl'ить то при пинговании HP видно, что пинг на секунду таки пропадает, пока происходит перестройка на второй порт. Это оно так и должно быть? Вроде же должно всё без потерь работать?

Да вам нужен 802.3ad
Если у вас один клиент, то распределение идет по mac адресу на первый интерфейс.

Другой момент , что 125 не умеет аппаратный bonding и будет все через CPU. Switch и CPU имеют link 1 gb.
Смысла делать активный bonding на 1gb - ноль.
https://i.mt.lv/routerboard/files/CRS125-24G-1S-16...

Аппаратная реализация только на SwOS и только на 3 серии.

Для вас будет актуально , только если скорость портов снизить до 100 или использовать как backup.

Да уж огород.

hap ac мы та и оставляет в качестве роутера.
wap можно вообще сбросить все настройки и не делать по умолчанию.
В итоге потом самому руками прописать получение ip по eth и создать bridge-local для
eth+wlan1+wlan2 если он там есть.

Тогда wap и все клиенты wifi будут получать ip по dhcp с роутера hap ac.
Потом на hap ac можно настроить capsman , что бы был бесшовный роуминг wifi. Почему бы и нет ?
Про capsman я писал тут - Как настроить CAPsMAN на устройстве Mikrotik RB2011UiAS-RM и двух Mikrotik RB cAP2n?
Только в вашем варианте, надо добавить еще и сам hap ac в capsman.

Теперь по поводу synology.
Самое простое наверно будет прописать маршруты двух сетей на роуторе провайдера и на роуторе hap ac.
Хотя конечно было бы лучшим вариантом прокинуть кабель от synology до hap ac.

Гигабитный POE свитч Mikrotik RB260GSP, в который, в свою очередь, подключены:

Вот тут я немного не понял. У вас все воткнуто в 260 ? те и роутер от провайдера ?
или только роутер от провайдера и уже потом в hap ac, а hap ac на ТД ?

Тогда я бы поменял местами hap ac и 260.

На текущий момент у вас в сети получается аж три nat :) Красота !

P.S. Если что , могу помочь удаленно все сделать. Делать на 15 минут не особо спешно :)

От провайдера кабель, есть несколько статических IP адресов с привязкой по mac и они выдаются по DHCP. Какое оборудование это умеет и какие есть варианты такой настройки?

Вам надо все же уточнить у провайдера, как он вам будет делать привязку второго ip адреса.
Можно ли его будет повесить на интерфейс с одним устройством. Если да, то в общем проблем нет.

Например, через микротик можно это настроить?
через сервер или виртуальные машины?

Можно , через любое устройство, что умеет и позволяет поставить второй,третий.1+n ip.

просто через тупой свитч, но этот слишком очевидный.

Тупой switch, вам просто раскидает широковищательный трафик провайдера и вы сможете воткнуть в две сетевые карты, это да. Поэтому еще раз, уточните у провайдера.

т.е должны быть разные мак адреса, чтоб к ним привязать ip адреса, как это сделать?
возможно ли теоретически к одному маку два ip привязать, как это работает?)

На mikrotik можно поднять несколько vlan и поменять mac-adress
https://wiki.mikrotik.com/wiki/Change_MAC_address_...

Есть сервер pptp на микротике

Рекомендую перейти на l2tp, так как банально pptp имеет дырки, что мы в общем и видим. Вас ddos-ят.
Второй момент настройки правила, которые будут отбрасывать такие соединение.
Вам вам на примере rdp

https://spw.ru/forum/threads/perebor-portov.548/

Защита от сканирования
https://wiki.mikrotik.com/wiki/Drop_port_scanners

Что это за D? откуда они берутся? Раньше не было.

Это означает, что есть попытка соединение. Это правило создается динамически, те не руками.
Так как там можно и руками создать.