Ответы пользователя по тегу Mikrotik
  • Зачем добавляют vlan интерфейс в Бирдж (bridge) в микротике?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    У тика сейчас есть два метода создание vlan.
    Один через switch-chip, другой через bridge.
    Через bridge как уже писали аппаратно умеет только 3xx линейка.

    Вопрос теперь зачем, ну за тем, что это больше похожа на работу и реализацию vlan у других брендов.
    Более подробно луше посмотреть тут

    https://www.youtube.com/watch?v=Np7rAwvAzq4
    Ответ написан
  • Какую железку взять вместо Mikrotik для организации L2tp / VPN сервера?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    MAXXL,

    ну не знаю по поводу "в любой реализации". Использовал SoftEther VPN - там такой проблемы не было. Вместо него стали использовать MIKROTIK - проблема появилась.


    Ну так вы бы хотя бы попробовали бы найти корни и почему это так.
    Проблема реализации у всех одна, кто-то ее обходит тем или иным образом.

    Вся суть проблемы написанно тут , лучше прочитать, там же есть костыльные решени.
    https://forum.mikrotik.com/viewtopic.php?f=2&t=132823

    На одном из проектов ушли в сторону SSTP на Windows Server , работает везде и была привязка в AD.
    Поставили за тот же тик и все давольны, работает на всех устройствах.
    Дополнительно ничего не надо ставить.
    Как вариант , поставить Radios сервер, тогда на SSTP в тики можно делать eap и клиенты ios, os x, буду работать.
    Ответ написан
  • Низкая скорость L2TP на Микротик RB951G-2HND. Как максимально увеличить скорость без шифрования?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Увы вам надо менять 951 на , что то более мощное.
    Шифрование идет через CPU и вы упираетесь в его лимиты.
    Самый простой вариант, это сделать замену на hex серию.
    Смотрите так же на то, какой тип шифрование вам нужен и поддерживает ли данный тик ее.
    (можно найти на сайте mikrotik)
    Ответ написан
  • Как настроить mikrotik на 10G?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Столько людей и никто не может дать правильный ответ, куда катится мир ?

    Настройки на интерфейсах установлены в автоподборе скорости. Измерение скорости показывает максимум 1 гигабит.
    Как только пробуешь выставить только 10G, соединение падает.


    alokey alokey Автор вопроса
    Wexter, через bandwidth test от устройства до устройства


    Уже эти вещи , должны вас были заставить задуматься о том, что явно вы делаете , что-то не то.

    Как только пробуешь выставить только 10G, соединение падает.

    Правильно, так как 326 резко становится плохо.

    Уж не знаю, забыли ли вы или просто не знаете или знаете но не можете применить в жизни знания, но есть определенные но:

    1) Switch у нас работает в L2
    2) Тестирование скорости у вас происходит в L3
    3) Если вы посмотрите на сайте mikrotik для crs326, то увидите, что шина на CPU 1 gb.

    Из этого следует очень простой вывод, что у вас crs326 может быть только как транзит для трафика.

    я не поленился и собрал из говна и палок, что нашел дома тестовый стенд и сделал тесты

    Вот так выглядил стенд

    IMG_20190722_013419.jpg

    Вот тут на 1009 видна скорость интерфейса

    IMG_20190722_013431.jpg

    Вот вам 326 передающий на 1009 трафик на скорости 8.5
    Так как у меня всего 9 устройств нашлось, поэтому такая скорость. Еще надо понимать , что тики отдают не 1gb, а в районе 940 без активных потерь. Можно было бы еще конечно поискать и по отключать устройства, но честно мне уже было лень. Идеально было бы найти еще один 1009 но увы.

    unknown.png

    Нагрузка на стороне 1009

    unknown.png

    Поэтому смело подключайте 1009 с 326 и у вас точно там будет 10gb. Ну или по крайне мере 8.5 :)

    Надеюсь помог и прояснил для вас ситуацию.

    P.S. И да откройте для себя Traffic generation

    Тут я где то пытаюсь о нем как-то рассказать

    https://youtu.be/51x2GgQiP7c?t=6494

    Может даже чуть раньше.
    Ответ написан
  • Роутер с питанием PoE и USB для модема?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Я бы рекомендовал взять
    https://mikrotik.com/product/wap_lte_kit и нет в необходимости использовать Usb.
    С usb модемами могут быть периодические разные приключения, начиная от нехватки питания , периодически зависания и другие веселости. Бывает правда когда все работает хорошо, но если можно этого избежать, зачем брать раздельные вещи ?

    Точка уличная, питание по POE есть. Сразу говорю, что рекомендую при питании от POE брать другой БП с большим запасом мощности. Со временем БП , а точнее кондеры имеют свойство сохнуть , да и на значительных расстояниях могут на штатном появится проблемы.

    У меня по нему планируется обзор, но вот когда это будет - вопрос еще тот.
    Ответ написан
  • RBD52G или RB951G-2HnD?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Мощнее конечно же Hap AC2 и в плане процессора и в плане шифрование.
    Switch chip стоит такой же как и в 951.

    Что лично мне не понравилось. Софт тач + система охлаждения вообще не о чем, пластик на два / три раза разобрать если надо будет.

    С учетом того, что тиковцы ставит на приделе разумности радиаторы, то все это ощутимо греется.
    Работать будет конечно, но если будет вдруг жаркая зона, то такое себе.

    Можно на youtube у меня посмотреть вскрытие и болтологию , хотя некоторым такой формат не нравится :)
    Ответ написан
  • Надо сделать так чтоб люди переходящие по адрсу допустим vk.com попадали по другой ссылке или же на ****.local или же по ip. Как это реализовать?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    У вас тут стоят несколько задач.

    1) вам надо перехватывать DNS запросы, это на 7 уровне модели OSI
    2) вам надо выдать другой DNS ответ.

    В рамках mikrotik, это делать мягко говоря не очень удобно, можно это сделать на других днс серверах
    dnsmasq, unbound (хотя там то же не очень удобно) или bind, где вы можете все запросы переслать через view конструкции.

    Пример перехвата днс и отправка на другой днс

    /ip firewall layer7-protocol add name=mycompany.ru regexp=mycompany.ru

    /ip firewall mangle add chain=prerouting dst-address=172.16.100.1 layer7-protocol=mycompany.ru action=mark-connection new-connection-mark=mycompany.ru-forward protocol=tcp dst-port=53

    /ip firewall mangle add chain=prerouting dst-address=172.16.100.1 layer7-protocol=mycompany.ru action=mark-connection new-connection-mark=mycompany.ru-forward protocol=udp dst-port=53

    /ip firewall nat add action=dst-nat chain=dstnat connection-mark=mycompany.ru-forward to-addresses=10.100.100.2

    /ip firewall nat add action=masquerade chain=srcnat connection-mark=mycompany.ru-forward


    Можно оставить тик, но будет больше мороки как мне кажется.
    Ответ написан
  • Почему Mikrotik hEX S не может запитать hAP ac2 через PoE?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    @super-guest

    Советую поставить чуть более мощный БП на те же 24 вольта, как вариант он не может выдать мощность.

    Второй вариант обновить firmware в устройстве hex s.

    Если это не поможет, стучите в support, такая проблема в общем не только у вас была

    https://forum.mikrotik.com/viewtopic.php?t=138036

    P.S. Сам я увы отдал hap ac2 , а так можно было его проверить с Hex s.
    Ответ написан
  • Широковещательный запрос в vpn?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    netsend можно вроде послать на конкретный ip ?
    Другой момент, что начиная с win vista его нет и предлагаться использовать альтернативу MSG
    https://ab57.ru/cmdlist/msg.html или лучше https://winsent.ru/rus/messenger/
    www.winmessenger.com/rus/index.php

    а так Попробуйте отследить по запросом, идет ли в другую сеть по 138/139 порту (не помню точно).
    При правильно настроенном wins (хотя , что там можно неправильно настроить ?) должно работать.
    Ответ написан
  • Камеры Hiwatch через Mikrotik PoE как зайти удаленно?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Bugor123 https://hi.watch/faq/1

    ответ на сайте производителя

    Работа с облаком и настройки удаленного доступа
    Удаленный доступ на камеры и регистраторы Hikvision и HiWatch можно реализовать следующими способами.

    1) Если используется белый (публичный) статический IP, то на роутере настраиваете проброс портов 80 554 и 8000 (uPnP рекомендуем отключить)

    2) Если используется серый IP, то единственный способ настроить доступ - p2p сервис Ezviz, возможен удаленный просмотр и удаленный просмотр архива. Запись в облако не происходит.

    Инструкция по настройке p2p сервиса Hik-connect / EZVIZ / Guarding vision

    Личный кабинет Hik-connect



    Российские адреса серверов:

    dev.rus.hik-connectru.com

    litedev.rus.hik-connectru.com

    Для домофонии - litedev.ezvizru.com
    Ответ написан
  • Как узнать какой пользователь воткнул кабел в роутер лан?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Я думаю , что по предыдущиму вопросу, тут вопрос сам по себе отпал, но все равно отпишу.

    :local varIP  192.168.240.253
    :if ([:len [/ip firewall address-list find address=$varIP]]>"0" ) do={
    :log info ("$varIP: found");
    } else={
    :log info ("$varIP:  not found");
    }


    P.S. Конечно не мое собачье дело, но я бы рекомендовал все же приобрести управляемые коммутаторы l2 (не web smart ) и использовать их функционал , для таких целей.
    Ответ написан
  • Падение интернета и странное поведение MikroTik Router RB750Gr3. Причины?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Ну начну с того, что использовать default адресацию , такое себе решение само по себе.
    На тему,что произошло, сейчас будет больше гадание на кофейной гуще, но как вариант каким-то загадочным образом у вас mac адрес VM совпал с mac Mikrotik. TTL 255 обычно у Windows машины , и скорее всего вы подняли VM именно на ней или то, что дает TTL 255.

    Сообщений тут и не будет, так как, что бы что-то получить, надо что-то настроить.
    Меняйте адресацию, на что-то другое если пока еще есть возможность, проявите намного фантазии.
    Раздавайте адресацию по DHCP указав add arp for leases , а в bridge replay-only .
    На роуторе сделайте связность arp и ip в arp list для шлюза и то что статикой. Ну и в непонятной ситуации делайте дамп wareshark
    Ответ написан
  • Какая оптимальная точка доступа для моей ситуации?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    ...DHCP-сервер... — дом №1 (port №1 — Wi-Fi — port №2) — дом 2 (port №1 — Wi-Fi — port №2) — ...


    На мой взгляд не очень хорошая идея.
    Если таким каскадом все делать, то любой обрыв , отключит всех остальных.
    Ну и скорость с пингами , будет размазана .

    Если разницы нет, то, при одинаковой стоимости, какую всё-таки посоветуете брать? ХАП т.к. больше портов?


    Я бы советовал сесть еще раз и все взвесить. Лучше, если к каждому дому, будет идти свой кабель.
    Другой вариант, докинуть до дальнего дома кабель, поставить еще один роутер и уже от него кидать дальше.
    Если будите брать Много роутеров, возможно имеет смысл сделать сразу и POE.
    Все зависит в итоге и от кол-во ТД , и домов и расстояния между ними.
    Что-то такое прям универсальное и оптимальное рекомендовать без четкого понимания что и как сложно.
    Ответ написан
  • Чем Mikrotik hAP ac² лучше cAP ac?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Я делал обзор и про hapac2 и про cap ac. Правда это обзор, больше бла бла бла и разборка внутренностей.

    Но все же к делу.

    Железо у них идентичное , разница только в кол-ве памяти 128 в hap ac2 и 256 в cap ac (не всегда) ну и кол-во портов.
    Еще мне у hap ac 2 не понравилась система охлаждения, считайте ее там вообще нет и модное soft touch покрытие, которые скорее всего очень быстро облезнит .

    Если вы хотите нормальное покрытие wifi и есть возможность расположить ТД относительно центра комнаты , то я бы брал CAP ac (в общем то у меня они так и стоят) Две ТД в режиме capsman / бесшовный роуминг и hex s в качестве центрального роутера, покрывает все задачи. Осталось только повесит уличный вариант basebox 2, так как я не очень большой любитель выкручивать мощность wifi на всю катушку.

    Так же учитывайте перекрытие в доме, например пенофол , отлично переотражает сигнал wifi.
    Ответ написан
  • Как правильно есть или нету в Mikrotik?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Ну достаточно посмотреть скриптинг на странице mikrotik, его хватает вполне.

    Вот пример if else

    {
    :local myBool true;
    :if ($myBool = false) do={ :put "value is false" } else={ :put "value is true" }
    }

    https://wiki.mikrotik.com/wiki/Manual%3AScripting
    Если значение нет , то выводим что значение ложное иначе выводим, значение истина.
    Ответ написан
  • Почему dns дает ответы им?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Так как запросы поступают и по 53/tcp .

    Заблокировал правилом drop c интерфейса провайдера.

    Вообще, что за глупость блокировать только избранные вещи ?

    Почему у вас вообще нет общего drop на Input .
    Если не понимаете пока , как и что работает, используйте конфигурацию по умолчанию.
    Ответ написан
  • Как защитить Mikrotik от внешних переборов pptp, ipsec?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Георгий Измайлов Все же я бы отказался от pptp, если конечно это возможно.
    Настройка l2tp+ipsec не так сложна.

    Но в любом из вариантов, можно блокировать многие вещи.
    Сделайте любой популярный порт ловушку, главное, что бы не пересекалось с рабочими.
    Например у меня есть роутеры, которые только раздают интернет и у них нет открытых портов вообще.
    Я поставил порты ловушки на 80,22,443,3389,5080 и все что вы еще хотите.
    Если будут запросы на эти порты, то запрос попадает в blacklist и запросы с этих блокируется на определенное время. У меня же собирается все в одну БД и я там дальше делаю обработки на более сложных условиях.

    Для VPN есть несколько вариантов дополнительно, это проверять кол-во авторизаций
    вот пример для l2tp

    https://hd.zp.ua/zashhita-routera-mikrotik-ot-brut...

    и есть разные варианты для pptp

    spvd.ru/page/mikrotik-simple-bruteforce-prevention

    Так как уже давно не использую pptp, то остальные вариант предлагаю поискать самому.
    Ответ написан
  • Много ли 2000 arp записей в бридже на mikrotik?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Владислав Татаринцев для mikrotik ccr-1036 2000 записей , это вообще не о чем.
    Если вы конечно не запихнули все в одну L2 сеть.
    Все операции там идут через CPU.
    Вот на 1100 и более младших, там уже 2000 host записей на группу портов.
    В итоге такие вещи надо просто осматривать при покупки или спросить у менеджеров/у тех поддержки тика или где-то еще. :)
    Ответ написан