Vladimir Zhurkin

shilovav

Требуется найти роутер который получает интернет через WiFi и раздает интернет по WiFi

Все же желательно чтобы была еще своя локальная сеть за NAT, включая проводной интернет

Любой из тиков с wifi сможет вам это сделать. Но я бы сильно рекомендовал смотреть модели с двумя wifi, что бы на одном интерфейсе сделать клиента wifi с другого раздавать. Можно все это сделать и с одним wifi, но есть много всяких подводных камней и для начинающих, такой вариант я бы не рассматривал.

Будут вопросы, задавайте.

hEX S (RB760iGS) самое мощное устройство тут, если вам надо будет радовать в разные сети ну и аппаратное шифрование, если это так же надо будет.

Пропускная способность у Hes S и Poe около 2 гигабит (общая шина) , но Hex s при шифровании покажет скорость выше.

Я на стримах вскрывал все устройства и высказывал мнение о каждом из них.

Необходимо разделить сеть по VLAN (управление, VOIP, камеры, принтеры, бухгалтерия, компьютеры и серверы).
Вопрос стоит ли поставить еще один коммутатор типа D-Link DGS-1100-10/ME и существующие коммутаторы с Mikrotik подключить в него?
Хватить ли мощности RB750Gr3 под вышеперечисленные задачи?

увы но нет. Сам 750Gr3 имеет почти 2 гигабита внутренней коммутации, те по сути можно по 1 гигабиту в каждую сеть. Вам надо смотреть намного более мощное устройство , например 1100, он уже держит 7.5 гигабит.
Как другой вариант, вы покупаете нормальные коммутаторы и на них уже делаете маршрутизацию (L2+/L3)

Roc27

Реально ли это?

Да вполне реально. Вам надо будет из bridge убрать wifi интерфейс.
Далее настроить его как station pseudobridge или pseudobridge clone.
Только тут надо учитывать, что в clone wlan будет переподключатся каждый раз с MAC-ом того хоста, которому нужна передача. Поэтому не рекомендуется использовать для L2 (новы вроде и не планируете.) Причина, что по стандарту мы не может прогонять, несколько mac адресов.

mishanyahab Немного не понятно зачем вам Vlan ?
Второй момент непонятно,зачем вам правило в firewall Accept, когда нет запрещающих правил ?
ну и третий момент у вас не gw 0.0.0.0 по умолчанию

Рекомендую оставить конфигурацию по умолчанию и настраивать исходя из нее.

Myroslav Khovalko

Весь трафик идет через 1 роутер, падает линк, переключается на второй роутер, падает второй линк, включается LTE. Два свича - разные DHCP.Если падает первый роутер, втрой как основной. VRRP настроил, а вот как роуты прописать и резервирование - не получается

Вы почти правильно подумали. Но есть одно но, например представим, что у вас умер роутер. Вот прям взял и физически откинул ноги. Тогда у вас вообще не будет работать одна из половин сети.

Почему бы не сделать схему по другому ?

Вы делаете агрегацию между CRS328 ну или просто резервируете один канал для STP. Мы же делаем отказоустойчивую систему ?

Каждый роутер вы подключаете к 328 и между собой. Кольца не будет, так как используем STP.
Теперь мы резервируем 3 ip адреса.
первый роутер пусть будет 192.168.0.2 второй 192.168.0.3 общий 192.168.0.1 который будет в VRRP.
Клиенты будут обращаться к 192.168.0.1

Упал один роутер, ip 192.168.0.1 переместится на другой. Тут главное понимание, что роутер именно не доступен.
Так же помним, что если упал физически один роутер, то на втором не факт, что есть интернет.

Просто определитесь для себя, что вы делаете отказоустойчивым Роутер и сеть или интернет ?
Если надо все, то договоритесь еще о дополнительных проводах на другие роутеры. Тогда можно будет сделать переключении при сбои провайдера и при умирания одного из двух роутеров.

Chaynik_zakipel Я бы конечно рекомендовал вам настроить все и дальше на Cisco, но если такой вариации то:

1) вам в mikrotik , надо убрать два интерфейса из bridge



2) Прописать ip на нужных интерфейсах



Настроить DHCP для раздачи на этих интерфейсах .

Вам так же надо будет прописывать роутинг в ту сеть (где cisco) для этого нужен будет доступ к ней или эти две сетки будут за NAT.

в цепочки forward , разрешаете для нужного ip выход через WAN



в слд цепочку после этого , блокируйте всю сеть 101.x.x.x

В итоге при запросе выхода в интернет, с этого ip он попадет на правило разрешающие, все остальные попадут в запрещающие.

Как правильно организовать защищенный канал между двумя локальными сетями.
Каждая из сетей управляется роутером Mikrotik, сети соединены между собой через витую пару.
Какой протокол, доступный в Mikrotik лучше использовать:

Вариантов как это сделать много.
В вашем варианте между сетями поднимите ipip , он уже имеет ipsec и настраивается очень просто.

а так вообще для сетей есть 802.11x, но на тиках он реализован только для wifi.
Каждое устройство в сети, будет передавать шифрованные данные

Kenny00
Мы используем связку с ipip там где есть ip, там где их нет l2tp.
При бюджете , это все можно сделать отказоустойчивым до определенных приделов.
Что бы не было одной точки отказа.



Где то были тесты по скорости через разные варианты vpn, но правда на старых прошивках. Опять же , если есть необходимость в скорости.

FRANZEE

У нас много удаленных точек включая и скуд.
Используем там где есть прямой ip - ipip , там где нет l2tp с фразой ключем (без сертификата)

Используем 951 , хотя конечно есть и hex.



Пример на одном из участков.

Теперь про скорость , которая зависит от шифрование в том числе.
Вы упретесь в 30-40 Mbps. CPU уйдет в 100%. )
Если вас устраивает такой результат то в путь, если нет то однозначно только hex с поддержкой аппаратного шифрования.

Сделал замеры и да, в районе 30.

Есть хороший гайд

https://youtu.be/Np7rAwvAzq4

У самого сделать видео у меня руки лично не доходят.

Если коротко:

У tik есть несколько вариаций vlan.
Исторически можно было настроить через switch chip или программным методом.
При этом на коммутаторах 3xx серии все идет аппаратно.
Программный метод вынесен в зону bridge (напомню, что в 3xx серии он аппаратный)
Что бы понять те или иные возможности по vlan и остальному, надо смотреть wiki по tik.
При этом на 1xx/2xx серии нас ждет еще один вариант vlan (точнее меню)
Да это боль, увы и ах.

Теперь про быстро настроить, накидаю bridge вариант.



После того как все наметели, можно активировать в bridge vlan



Не рекомендую без понимание это делать удаленно, так как есть большой риск потерять управление железкой.

ну и создаем интерфейс vlan, если нам надо туда раздавать dhcp/dns или вообще что-то делать



Будет непонятно , спрашивайте.

PVID - простым языком, порт untaget по умолчанию. Те если вдруг там есть еще и taget , а устройство с той стороны не понимает, она получит сеть которую выставили.

Вы можете в логировании использовать прификсы. Например указать, что это за тик.
Дальше уже на основе этого разгребать логи.

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.231.0/24
add action=netmap chain=dstnat comment=Hikvision dst-port=554 in-interface=\
pppoe-out1 protocol=tcp to-addresses=192.168.231.197 to-ports=554
add action=netmap chain=dstnat comment=Synology in-interface=pppoe-out1 protocol=tcp \
to-addresses=192.168.231.200
add action=netmap chain=dstnat comment="Synology VPN" in-interface=pppoe-out1 \
protocol=udp to-addresses=192.168.231.200

Если вы прочитали, что netmap это улучшения версия проброски портов со знаменитой статьи хабр, то советую читать не статьи , а документацию.

netmap нужно для общение двух сетей с одинаковой адресацией.

Далее, если у вас порты или адрес совпадает, то не надо его указывать для переназначения. Если порт 554, то он и так будет перенаправлен на 554, зачем это делать два раза по сути ? То же самое с IP.

Выставлять камеру или другие такие вещи лицом в интернет я бы не стал, если вам конечно не все равно, что в один прекрасный момент на вас могут смотреть.
Лучше настроить VPN.

В остальном вроде стандартный конфиг, на сколько можно было быстро посмотреть глазами.

Дмитрий Как тут правильно заметили 2011 все же старая машина, хотя если правильно прикинуть вам ее все же может хватить правда надо учитывать особенности:

1) у вас там есть два switch chip, которые между собой работают через CPU.
https://i.mt.lv/cdn/rb_files/Block-RB2011UAS-2HnD.pdf

2) Максимальную скорость вы тут получите в районе 1400 без правил и при MTU 1500.

3) если у вас сеть 100 мегабит и вам надо держать два канала 100 мегабит и DHCP , то тогда да, сеть будет работать но очень медленно. Все же магистраль , между сетями надо делать хотя бы в 1 gb, а вот для этого , этого роутера уже не хватит.
Нет в теории можно расформировать bridge 1-на гигабитных интерфейсов, но мы упремся скорее всего в скорость в районе 500-600 мегабит (с учетом правил).

От себя я бы рекомендовал, можно собрать любую машину с двумя сетевыми картами и вам этого хватит за глаза (купить лиц отдельно)

ну или все же смотреть на 3011 хотя бы. С HEX s серией , то же не все так просто в плане портов. Смотрите блок схему портов, что бы наверняка и не думалась + можно сделать агрегацию портов , то это 1100. Внутренная скорость 7gb , 3 Группы портов.
Хорошая цена. Тестировал, разбирал - все тесты показывают заявленную производительность. Можно посмотреть у меня на youtube, если не жалко убить 1-2 часов времени.

Mikname Если я правильно понял.

Ваш коммутатор вы разбиваете на два VLAN, что бы в каждый завести своего провайдера.

Далее от каждого VLAN, вы можете использовать любое кол-во проводов, которые вам надо. Допустим все же по 2 провода от каждого провайдера. Итого 4.

Каждый провод вы подключаете к маршрутизатору и на них должен быть поднят stp протокол (RSTP) ну и на коммутаторе от которого приходят провода.
В результате, у вас будет один запасной провод от каждого провайдера.

Можно использовать и LAG/LACP (агрегация каналов) - но это так же желательно должен уметь вышестоящий роутер, хотя тик можно настроить и например в режиме отказоустойчивости. (иногда работает так себе)

Можно повысить градус безумия и пустить по 4 провода на два коммутатор.
На каждый роутер мы приводим провайдера по vlan и у нас единовременно работает только один роутер с stp иил lag. Если роутер падает, то скриптами или как уже заметили по vrrp поднимается все на втором.