Vladimir Zhurkin

У тика сейчас есть два метода создание vlan.
Один через switch-chip, другой через bridge.
Через bridge как уже писали аппаратно умеет только 3xx линейка.

Вопрос теперь зачем, ну за тем, что это больше похожа на работу и реализацию vlan у других брендов.
Более подробно луше посмотреть тут

https://www.youtube.com/watch?v=Np7rAwvAzq4

MAXXL,

ну не знаю по поводу "в любой реализации". Использовал SoftEther VPN - там такой проблемы не было. Вместо него стали использовать MIKROTIK - проблема появилась.

Ну так вы бы хотя бы попробовали бы найти корни и почему это так.
Проблема реализации у всех одна, кто-то ее обходит тем или иным образом.

Вся суть проблемы написанно тут , лучше прочитать, там же есть костыльные решени.
https://forum.mikrotik.com/viewtopic.php?f=2&t=132823

На одном из проектов ушли в сторону SSTP на Windows Server , работает везде и была привязка в AD.
Поставили за тот же тик и все давольны, работает на всех устройствах.
Дополнительно ничего не надо ставить.
Как вариант , поставить Radios сервер, тогда на SSTP в тики можно делать eap и клиенты ios, os x, буду работать.

Странно, что ответа так и нет

https://wiki.mikrotik.com/wiki/Manual%3AIP/SSH

Увы вам надо менять 951 на , что то более мощное.
Шифрование идет через CPU и вы упираетесь в его лимиты.
Самый простой вариант, это сделать замену на hex серию.
Смотрите так же на то, какой тип шифрование вам нужен и поддерживает ли данный тик ее.
(можно найти на сайте mikrotik)

Столько людей и никто не может дать правильный ответ, куда катится мир ?

Настройки на интерфейсах установлены в автоподборе скорости. Измерение скорости показывает максимум 1 гигабит.
Как только пробуешь выставить только 10G, соединение падает.

alokey alokey Автор вопроса
Wexter, через bandwidth test от устройства до устройства

Уже эти вещи , должны вас были заставить задуматься о том, что явно вы делаете , что-то не то.

Как только пробуешь выставить только 10G, соединение падает.

Правильно, так как 326 резко становится плохо.

Уж не знаю, забыли ли вы или просто не знаете или знаете но не можете применить в жизни знания, но есть определенные но:

1) Switch у нас работает в L2
2) Тестирование скорости у вас происходит в L3
3) Если вы посмотрите на сайте mikrotik для crs326, то увидите, что шина на CPU 1 gb.

Из этого следует очень простой вывод, что у вас crs326 может быть только как транзит для трафика.

я не поленился и собрал из говна и палок, что нашел дома тестовый стенд и сделал тесты

Вот так выглядил стенд



Вот тут на 1009 видна скорость интерфейса



Вот вам 326 передающий на 1009 трафик на скорости 8.5
Так как у меня всего 9 устройств нашлось, поэтому такая скорость. Еще надо понимать , что тики отдают не 1gb, а в районе 940 без активных потерь. Можно было бы еще конечно поискать и по отключать устройства, но честно мне уже было лень. Идеально было бы найти еще один 1009 но увы.



Нагрузка на стороне 1009



Поэтому смело подключайте 1009 с 326 и у вас точно там будет 10gb. Ну или по крайне мере 8.5 :)

Надеюсь помог и прояснил для вас ситуацию.

P.S. И да откройте для себя Traffic generation

Тут я где то пытаюсь о нем как-то рассказать

https://youtu.be/51x2GgQiP7c?t=6494

Может даже чуть раньше.

Я бы рекомендовал взять
https://mikrotik.com/product/wap_lte_kit и нет в необходимости использовать Usb.
С usb модемами могут быть периодические разные приключения, начиная от нехватки питания , периодически зависания и другие веселости. Бывает правда когда все работает хорошо, но если можно этого избежать, зачем брать раздельные вещи ?

Точка уличная, питание по POE есть. Сразу говорю, что рекомендую при питании от POE брать другой БП с большим запасом мощности. Со временем БП , а точнее кондеры имеют свойство сохнуть , да и на значительных расстояниях могут на штатном появится проблемы.

У меня по нему планируется обзор, но вот когда это будет - вопрос еще тот.

У вас тут стоят несколько задач.

1) вам надо перехватывать DNS запросы, это на 7 уровне модели OSI
2) вам надо выдать другой DNS ответ.

В рамках mikrotik, это делать мягко говоря не очень удобно, можно это сделать на других днс серверах
dnsmasq, unbound (хотя там то же не очень удобно) или bind, где вы можете все запросы переслать через view конструкции.

Пример перехвата днс и отправка на другой днс

/ip firewall layer7-protocol add name=mycompany.ru regexp=mycompany.ru

/ip firewall mangle add chain=prerouting dst-address=172.16.100.1 layer7-protocol=mycompany.ru action=mark-connection new-connection-mark=mycompany.ru-forward protocol=tcp dst-port=53

/ip firewall mangle add chain=prerouting dst-address=172.16.100.1 layer7-protocol=mycompany.ru action=mark-connection new-connection-mark=mycompany.ru-forward protocol=udp dst-port=53

/ip firewall nat add action=dst-nat chain=dstnat connection-mark=mycompany.ru-forward to-addresses=10.100.100.2

/ip firewall nat add action=masquerade chain=srcnat connection-mark=mycompany.ru-forward

Можно оставить тик, но будет больше мороки как мне кажется.

@super-guest

Советую поставить чуть более мощный БП на те же 24 вольта, как вариант он не может выдать мощность.

Второй вариант обновить firmware в устройстве hex s.

Если это не поможет, стучите в support, такая проблема в общем не только у вас была

https://forum.mikrotik.com/viewtopic.php?t=138036

P.S. Сам я увы отдал hap ac2 , а так можно было его проверить с Hex s.

netsend можно вроде послать на конкретный ip ?
Другой момент, что начиная с win vista его нет и предлагаться использовать альтернативу MSG
https://ab57.ru/cmdlist/msg.html или лучше https://winsent.ru/rus/messenger/
www.winmessenger.com/rus/index.php

а так Попробуйте отследить по запросом, идет ли в другую сеть по 138/139 порту (не помню точно).
При правильно настроенном wins (хотя , что там можно неправильно настроить ?) должно работать.

Easy way to handle IPsec Tunnel Status on RouterOS\Mikrotik using SNMP

https://github.com/gitpel/routeros-ipsec-snmp

Bugor123 https://hi.watch/faq/1

ответ на сайте производителя

Работа с облаком и настройки удаленного доступа
Удаленный доступ на камеры и регистраторы Hikvision и HiWatch можно реализовать следующими способами.

1) Если используется белый (публичный) статический IP, то на роутере настраиваете проброс портов 80 554 и 8000 (uPnP рекомендуем отключить)

2) Если используется серый IP, то единственный способ настроить доступ - p2p сервис Ezviz, возможен удаленный просмотр и удаленный просмотр архива. Запись в облако не происходит.

Инструкция по настройке p2p сервиса Hik-connect / EZVIZ / Guarding vision

Личный кабинет Hik-connect



Российские адреса серверов:

dev.rus.hik-connectru.com

litedev.rus.hik-connectru.com

Для домофонии - litedev.ezvizru.com

Ну начну с того, что использовать default адресацию , такое себе решение само по себе.
На тему,что произошло, сейчас будет больше гадание на кофейной гуще, но как вариант каким-то загадочным образом у вас mac адрес VM совпал с mac Mikrotik. TTL 255 обычно у Windows машины , и скорее всего вы подняли VM именно на ней или то, что дает TTL 255.

Сообщений тут и не будет, так как, что бы что-то получить, надо что-то настроить.
Меняйте адресацию, на что-то другое если пока еще есть возможность, проявите намного фантазии.
Раздавайте адресацию по DHCP указав add arp for leases , а в bridge replay-only .
На роуторе сделайте связность arp и ip в arp list для шлюза и то что статикой. Ну и в непонятной ситуации делайте дамп wareshark

...DHCP-сервер... — дом №1 (port №1 — Wi-Fi — port №2) — дом 2 (port №1 — Wi-Fi — port №2) — ...

На мой взгляд не очень хорошая идея.
Если таким каскадом все делать, то любой обрыв , отключит всех остальных.
Ну и скорость с пингами , будет размазана .

Если разницы нет, то, при одинаковой стоимости, какую всё-таки посоветуете брать? ХАП т.к. больше портов?

Я бы советовал сесть еще раз и все взвесить. Лучше, если к каждому дому, будет идти свой кабель.
Другой вариант, докинуть до дальнего дома кабель, поставить еще один роутер и уже от него кидать дальше.
Если будите брать Много роутеров, возможно имеет смысл сделать сразу и POE.
Все зависит в итоге и от кол-во ТД , и домов и расстояния между ними.
Что-то такое прям универсальное и оптимальное рекомендовать без четкого понимания что и как сложно.

Я делал обзор и про hapac2 и про cap ac. Правда это обзор, больше бла бла бла и разборка внутренностей.

Но все же к делу.

Железо у них идентичное , разница только в кол-ве памяти 128 в hap ac2 и 256 в cap ac (не всегда) ну и кол-во портов.
Еще мне у hap ac 2 не понравилась система охлаждения, считайте ее там вообще нет и модное soft touch покрытие, которые скорее всего очень быстро облезнит .

Если вы хотите нормальное покрытие wifi и есть возможность расположить ТД относительно центра комнаты , то я бы брал CAP ac (в общем то у меня они так и стоят) Две ТД в режиме capsman / бесшовный роуминг и hex s в качестве центрального роутера, покрывает все задачи. Осталось только повесит уличный вариант basebox 2, так как я не очень большой любитель выкручивать мощность wifi на всю катушку.

Так же учитывайте перекрытие в доме, например пенофол , отлично переотражает сигнал wifi.

Так как запросы поступают и по 53/tcp .

Заблокировал правилом drop c интерфейса провайдера.

Вообще, что за глупость блокировать только избранные вещи ?

Почему у вас вообще нет общего drop на Input .
Если не понимаете пока , как и что работает, используйте конфигурацию по умолчанию.

Георгий Измайлов Все же я бы отказался от pptp, если конечно это возможно.
Настройка l2tp+ipsec не так сложна.

Но в любом из вариантов, можно блокировать многие вещи.
Сделайте любой популярный порт ловушку, главное, что бы не пересекалось с рабочими.
Например у меня есть роутеры, которые только раздают интернет и у них нет открытых портов вообще.
Я поставил порты ловушки на 80,22,443,3389,5080 и все что вы еще хотите.
Если будут запросы на эти порты, то запрос попадает в blacklist и запросы с этих блокируется на определенное время. У меня же собирается все в одну БД и я там дальше делаю обработки на более сложных условиях.

Для VPN есть несколько вариантов дополнительно, это проверять кол-во авторизаций
вот пример для l2tp

https://hd.zp.ua/zashhita-routera-mikrotik-ot-brut...

и есть разные варианты для pptp

spvd.ru/page/mikrotik-simple-bruteforce-prevention

Так как уже давно не использую pptp, то остальные вариант предлагаю поискать самому.

Владислав Татаринцев для mikrotik ccr-1036 2000 записей , это вообще не о чем.
Если вы конечно не запихнули все в одну L2 сеть.
Все операции там идут через CPU.
Вот на 1100 и более младших, там уже 2000 host записей на группу портов.
В итоге такие вещи надо просто осматривать при покупки или спросить у менеджеров/у тех поддержки тика или где-то еще. :)