-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Formaster
addikt
Sziasztok!
Adott egy Mikrotik RB4011iGS. A szolgáltató részéről elérhető a 10gbps kapcsolat, azonban a szolga routeren 1db 2.5gbps + 4 db 1gbps port van. Szeretnék legalább 2-3gbps-et kihasználni, ha megoldható lenne, router cserél nélkül, mert elégedett vagyok a mostanival, azonban max gigabittel tudnám bridgelni a szolgáltatóival. A szerverembe mehetne SFP kártya a mikrotikkel összekötve.
Össze tudom úgy bondolni a Mikrotikkel, hogy több a szolgaboxra csatlakozva több gigabites portot egyként használjak?
[ Szerkesztve ]
-
Formaster
addikt
válasz Formaster #11265 üzenetére
Közben rájöttem, hogy fordítva ülök a lovon. Szóval egyszerűbb lenne, ha a már ezer éve megvett 4x1Gbps kártyámat beüzemelném végre és a Mikrotik menne a szolga routerre egy SFP to RJ45-el. A szerveremben pedig bondolnék 2-3 gigabites portot a kártyán. Van köztünk olyan, aki segítene nekem ebben a projektben?
[ Szerkesztve ]
-
Formaster
addikt
válasz bambano #11269 üzenetére
Igen, ezt figyelembe vettem rendeléskor és a tabella szerint választottam a gyári Mikrotik S+RJ10 modult
(#11278) mrzed: Köszi a részletes felvilágosítást, a melegedésre nem is gondoltam. Pontosan nem tudom melyik verziót sikerült rendelnem, annyit találtam a dokumentációban, hogy Based on Marvell 88X3310P. Mivel a routerem egyetlen SFP modult képes fogadni, így nem tudok sokat variálni, ráadásul passzív hűtéses, ezért kissé aggódok.
Abban bízok, hogy max 2.5 gigán terhelve nem fog annyira elszállni a hőfok Szolgáltatói oldalról annyit, hogy külföld. Az első verziót elvetném, mert egyszerűbb lesz a szervert bondolni, amihez már alapból vettem korábban egy 4x1-es Dell PCI-e foglalatos kártyát.
Azonban nem NAS-ról van szó, hanem Ubuntu a környezet. Ha ezen belül bondolok, akkor kapok egy teljesen külön pl Bond0 elnevezésű hálózati csatolót, majd a Mikrotikben is bondolom az ethernet aljzatokat, akkor azt nem fogom tudni egyben kihasználni? (még a load balancing mode-ot kell tanulmányoznom)
szerk: úgy látom már 2019/Q2-től rev3-nál tartanak, nagyon remélem, hogy nem rev1-et kapok raktárról.
[ Szerkesztve ]
-
Formaster
addikt
válasz bambano #11292 üzenetére
Köszi! Vannak még alapvető hiányosságaim, pl nem teljesen értem az egyes módok közötti külömbséget. Nyilván a Backup egyértelmű de, hogy miben más a RoundRobin, mint a 802.3ad az nem teljesen világos.
Illetve az sem, hogy minden esetben kell-e a router oldalon is bondolni, vagy pl csak a 802.3ad igényli. Úgy gondon logikusnak, hogy mindkét oldalról bondolva kell lennie.
-
Formaster
addikt
Köszi. Érdekes, azt gondoltam volna, hogy a routernek is tudnia kell róla, hogy bondolva vannak az adott ethernet csatlakozások.
Tegyük fel akkor Mode 0 RR-ben üzemel a 4 slotos kártya. A routerben mind a 4 ethernet port azonos MAC és IP címmel lesz fent?
Még pontosan nem tudom melyik módot válasszam, van income-ing és outgoing forgalom is, sok szálon. Nem teljesen értem melyik jobb loadbalance szempontjából, melyiknek nagyobb a hibatűrése, egyáltalán milyen hibákkal kell számolni.
-
Formaster
addikt
Nem tudok rájönni hol a probléma. Beraktam az SFP+ modult, az interfészeknél a WAN-t SFP+ ra állítom és nem kapok netet, a szolgáltatói box sem látja csatlakoztatott eszközként.
-
Formaster
addikt
Működik szépen. A link sebesség is meglesz, mihelyt megérkezik az új szolgabox, amin van 2.5gbps port. Hőfok egyenlőre rendben, SFP+ 54 celsiust mutat. Egyenlőre még nincs terhelve, de úgy gondolom mivel érzékeli, hogy 1 méteres kábelen fut, nem is fogja feleslegesen erőltetni magát.
Step 2 - bond. Ez még várat magára, ma már sanszos, hogy nem lesz időm.
-
Formaster
addikt
Továbbra sem tudok választani a bond módok közül.
- mode=0 (Round-robin): van load balance, hibatűrés, jó is lenne.
- mode=3 (broadcast): szintén van load balance, hibatűrés
- mode=6 (balance-alb): állítólag elég populáris, ha jól értem bejövő és kimenő kapcsolatokat is balanszolja a portok között és elosztja a terhelést egyenlő arányban.
A mode=4 (802.3ad) szabványos aggregation lenne, tudja a router is, de baromira nem látom át, mi a negatív és a pozitív oldala.Reggel neki ugranék, van egy szabad délelőttöm, de sötétben tapogatózok.
szerk: több helyen azt olvasom, hogy érdemesebb a szabványos 802.3ad -t választani, ez nyújtja a legnagyobb stabilitást és biztonságot.
Csinált már valaki ilyet? Ebben az esetben, ha jól értem a router oldalon is bondolnom kell az adott portokat 802.3ad -módba.
[ Szerkesztve ]
-
Formaster
addikt
válasz Formaster #11351 üzenetére
Találtam egy elég alapos leírást, tehát ha a 802.3ad-t választom, akkor először is a portokat bondolom router oldalon.
Azután viszont elakadtam, mert nálam a Link detected: no.Ez mitől lehet? Lehet, hogy a Intel PRO/1000VT nem támogatja a 802.3ad-t? Sehol nem találom az adatlapját.Hülye vagyok még nincs is feldugva kábel
[ Szerkesztve ]
-
Formaster
addikt
Ubuntuban sikeresen konfigoltam az aggregationt, létre is jött a bond0 interface. Ki tudnátok igazítani hol akadhat el router oldalon? Leírom miket csináltam, illetve mi a hibajelenség.
A hibajelenség: a gép megkapja a címet, pingelhető is. Azonban nem érem el SSH-n az új címen, csak a régin, ezt még nem lőttem le. Ami a leginkább furcsa, hogy fut egy alkalmazás a szerveren, amit kintről szintén nem érek el, nem forwaldol a régi címre sem, pedig ott nem állítottam semmit. Szerintem a hálózatoknál kutyultam össze valamit router oldalon.
Amit csináltam: Routerben összekapcsoltam a 7,8,9 portot 802.03ad módban, layer 2-3 hash-el, ARP enabled, elnevezés bonding1.
A bonding1 bekerült a bridge-be a portokhoz. Interface-hez szintén felvettem. Az Interface List-be szintén beraktam LAN-ként. Létrehoztam még egy második Network-ot. A jelenlegi hálózat a 192.168.88.0-ról indul, a router az 1-es. Ehhez vettem fel a bonding1 interface-hez egy teljesen új hálózatot, ami a 192.168.100.0 network, és az Address a 192.168.100.1.
Szerintem itt rontottam el valamit, de azért mellékelek egy screent a kliensről is.
-
Formaster
addikt
válasz Formaster #11386 üzenetére
Annyit még, hogy a bondhoz fűződő külön networkot egy tutorialban láttam. Ez mennyire kötelező? Mert én nem ragaszkodnék hozzá. Van értelme megpróbálni a jelenlegi networkön? (tudom, hogy egyszerűbb lenne próbálgatni, de ha nem muszáj nem akarok kockáztatni, hogy ismét nem lesz elérhető a gép kintről)
-
Formaster
addikt
Sikerült összehoznom a 802.03ad bondot. Tudnátok segíteni, hogyan tudom tesztelni, hogy valóban megvan-e a teljes sávszél? Azt mondtátok is, hogy egyszerre 1 portot fog használni, tehát sem speedtest-el, sem belső hálón nem tudom tesztelni, mert más eszköz nincs bondolva.
A mikrotik routerrel tudom, hogy lehet Bandwidth testet csinálni, de sehogy nem tudom összehozni, hiába ütöm be a kliens gép címét, ssh jelszót, can't connectet dob. Gondolom hiányzik még valami ubuntu oldalról.
Egyenlőre a load balancet sem látom megvalósulni, mert ugyan páran csatlakoznak a szerverhez, mégis szinte a teljes terhelés (kb 50-80Mbit) egy porton megy át, a többin csak ilyen random bitek mennek. Azt gondoltam a load balance mindig a kiegyenlítésre törekszik.
-
Formaster
addikt
Köszi, érdekes és értékes infók hangzanak el. Ha jól értem, nálam ott lesz a probléma, hogy van egy portforwardom az adott bond interface-re és ezt egy flow-ként kezeli, tehát nem bontja szét azon belül a ethernet portokra. Valamilyen módon van lehetőségem ezt a terhelést elosztani? Sajnos a kliens oldalon csak egy bizonyos portot tudok használni. Mivel több ügyfél csatlakozik a szerverhez, azt gondoltam, hogy ezeket külön flowként kezeli majd és automatikus eloszlik a terhelés, de sajnos még nem vagyok sínen. Ezer hálám adnám, ha valaki ki tudna oktatni
-
Formaster
addikt
Ezúton is szeretnék köszönetet mondani az AccessPoint Kft csapatának, a segítségükkel sikerült mindent tökéletesen beállítani. Segítőkész, korrekt team. Nyugati színvonalú cég, rugalmasak, ugyan a szolgáltatás fül a weboldalukon üres, mégis azonnal kaptam tőlük segítséget távoli asztal kapcsolattal. Csak így tovább fiúk! Ha valakinek útválasztó kell, mindenképp ajánlani tudom őket!
-
Formaster
addikt
válasz E.Kaufmann #11410 üzenetére
Nem reklámozni akarom őket. Az LACP-t konfigurálták nekem, kb azonnal, majd még pénzt sem akartak elfogadni (azóta is bombázom őket email-ben, hogy adjanak egy iban-t)
Szóval ennyit megérdemelnek, ha már itt a PH-n nem túlzottan segítőkész a community mostanában. Szerintem akár ebben, akár az Ubuntu topikban van egy tucat ember, aki annyit tudott volna böffenteni, hogy próbálj meg Layer 3+4-re is felmenni. Tisztelet a kívételnek és aki akár 2 karakter erejéig koptatta a billentyűzetét az én problémám miatt. Sajnos úgy érzem, egyre inkább olyanokkal segítőkész a PH közösség nagy része, aki az adott topikban topiklakó, letett valamit az asztalra stb. Jómagam is topikgazda vagyok, ezért sosem értettem meg ezt. A fórum egy olyan hely, ahol adok-kapok. Lehet, hogy ebben a témában én senkinek nem tudok adni semmit, de holnap, ha belátogat az autóápolás topikba, önzetlenül válaszolok minden kérdésére.
Maradok tisztelettel és kihangsúlyozom, köszönet mindenkinek, akiben egy lehelletnyi szándék is volt.
-
Formaster
addikt
válasz Gyurka6 #11412 üzenetére
Kifizettem volna, most is utalni szeretnék nekik. Igaz 15p alatt megoldották, de senki se dolgozzon ingyen és lehet, hogy én még 1 hetet ültem volna felette mire rájövök, hogy mi a probléma. Ha fizethetnék, vagy 100€-t mondtak volna, akkor is leírnám, hogy profin, rugalmasan megoldották (ebéd időben) egy, a sarokról betelefonáló problémáját.
-
Formaster
addikt
válasz Zwodkassy #11418 üzenetére
Na akkor lehet, hogy én tettem fel rosszul a kérdést Bonding alá talán több dolgot vehetünk, LACP, LAG. De minden esetre két dolog hibázott. Router oldalon Layer 2+3-ban volt a hash policy, Ubuntu oldalon nem is volt konfigolva, ki tudja milyen módban ment. Mindkettő layer 3-4-be lett rakva és tökéletesen eloszlik a forgalom. Szerencsére a router processzora is megbírkozik vele.
-
Formaster
addikt
válasz Zwodkassy #11424 üzenetére
Windows alatt én sem tudom merre kellene induljak, de így visszanézve Linux alatt elég logikus minden. A hash policy-t még mindig nem értem teljesen, hiába magyarázták el Hálózatban nem vagyok túlságosan otthon, de valahol el kell kezdeni. A lényeg, hogy layer 3-4-alatt hibátlan minden.
-
Formaster
addikt
Egy kis eligazítást szeretnék kérni, ha valaki járt már hasonló csizmában. Csináltam a NAS-omra egy Pihole DNS szervert. A Mikrotik routerben hozzáadtam a DNS-nél a NAS címét, "Allow Remote Access" bepipálva, cache méretet is növeltem. Működik ideig óráig, majd minden reggel arra kelek fel, hogy már nem csatlakozik a Pihole-hoz. Ilyenkor kitörlöm a NAS címét + Apply, majd visszaírom és ismét csatlakozik. Természetesen statikus címe van. Hol rontom el?
Azt látom, hogy a DCHP/Networks alatt is hozzá lehetne adni a hálózathoz DNS Servert, de nem gondolnám, hogy itt is szükséges lenne, mert enélkül is működik, csak nem értem miért áll le egy idő után a kapcsolat.
-
Formaster
addikt
válasz Adamo_sx #11490 üzenetére
Érdekes, logban nem látok semmit a leállás időszakában. Nálam a verify-doh-cert hiányzik, illetve a dynamic-servernek a szolgáltatói routert állítja be automatikusan.
servers: 192.168.88.95
dynamic-servers: 192.168.1.1
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 2d
cache-used: 76KiB
-
Formaster
addikt
válasz Adamo_sx #11493 üzenetére
A szolgáltatói router csak neted ad, igaz azon nem lehet kikapcsolni a DNS-t, de ettől még szépen átveszi a Pihole-Mikrotik a DNS szerver funkciót. Onnantól, hogy bedobja az "unable to resolve host" logot, nem is csatlakozik rá a Mikrotik kliensként, mintha ott járna le a kapcsolat időtartama, bár ilyen nem lehet elvileg.
Mikrotikben kikapcsolom-bekapcsolom a NAS-ra mutató DNS-t és újra csatlakozik.
-
Formaster
addikt
válasz Zwodkassy #11496 üzenetére
Igen. A Pihole az Adguardos címeket, de szerintem nem itt lesz a baj. Mikor leáll a kapcsolat, akkor a DNS-t veszi tovább valahonnan, gondolom a szolga boxról, mert elérem a weboldalakat, csak a szűrés szűnik meg, nem a Pihole-on keresztül megy tovább.
bambano: Valami hasonlóra tippelek én is, de a DHCP 10 óránként jár le (ez kb 4-6-onként megszakad), az IP statikus, szóval nem teljesen értem merre tovább.
-
Formaster
addikt
Nekem is elkelne egy kis port kiigazítás. Sehogy nem tudom az UDP-t működésre bírni, szerintem a Rules-t kissé összekutyultam
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; defconf: accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked
2 ;;; defconf: drop invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""
3 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp
4 ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN
5 ;;; defconf: accept in ipsec policy
chain=forward action=accept ipsec-policy=in,ipsec
6 ;;; defconf: accept out ipsec policy
chain=forward action=accept ipsec-policy=out,ipsec
7 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection connection-state=established,related
8 ;;; defconf: accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked
9 X ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid log=no log-prefix=""
10 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN
-
Formaster
addikt
-
Formaster
addikt
válasz Formaster #11534 üzenetére
Nem akarom tele spammelni a topikot, de azóta sem oldódott meg a NAT problémám. Kicsit kifejtem, hátha valakinek van bármi elképzelése.
Szóval a problémám egy game NAT type-ja, hiába forwardolom a portokat, a NAT Moderate marad, minden imám ellenére sem lesz Open. Kicsit beleolvasva a témába, több mikrotik topik is hemzseg a hibától, de bármelyik megoldást keresem, problem unsolved.
Szóval, adott egy szolga box, DMZ irányít minden portkérést a Mikrotikre. Mikrotikben NAT-oltam a portokat a statikus IP-re, a TCP-sek működnek is, de UDP az süket, csomagok sincsenek.
UPnP-t engedélyeztem, ilyenkor a szükséges UDP portot hozzáadja, ezt a WAN-os interface-re kapcsoltam, próbáltam Internal/External beállítással is, semmi. External-nál az ISP Box által osztott mikrotik IP-t írja Dst. Addressnek, to Address pedig a PC címe.
Gondoltam Firewall Filter probléma lesz, másnál meg is oldotta a problémát, így hozzáadtam az alábbi sort, de hiába.
/ip firewall filter add chain=forward action=accept connection-nat-state=dstnat protocol=udp dst-address=ip.of.your.PC dst-port=3074,27014-27050
Egyesek szerint dupla NAT-olással sehogy sem lesz Open NAT-om, mások szerint DMZ-vel ennek mennie kellene. A többi portnál sem okoz ez gondot. Port ütközés nincsen. Ami furcsa, hogy ha én nyitottam manuálisan egy NAT-ot a PC-re, akkor ha UPnP rakom, miért csinál egy ugyan olyan ismét.
Szerintem továbbra is a Firewall Filterben rejtőzik a problémám gyökere, de nem tudok rájönni, mi hiányzik, vagy tiltja le, miközben a TCP gond nélkül átmegy. Ha valaki ellátna pár tanáccsal, nagyon hálás lennék!
-
Formaster
addikt
válasz Zwodkassy #11536 üzenetére
NAT részben természetesen definiáltam és ha a PING nem is kellene számoljon, de az adott program indításakor igen. Ha UPnP-t bekapcsolom, akkor is hozzáadja NAT-ot, de csomagok nem mennek, ezért gondolom, hogy a Filter-nél akad el. Az utolsó hsz-nél ahogy írtam, hozzá is adtam a Rule-t a Filters-hez, kifejezetten erre szabva, mégsem Forwardolja UPD-n a portot.
szerk:
Ezt a két fület nem értem, leginkább azt nem miért szerepel a Mangle alatt 3x ugyanaz a dummy.[ Szerkesztve ]
-
Formaster
addikt
válasz allnickused #11539 üzenetére
Valóban, már jojózik a szemem. A ps4 portok mások, mint PC-n, nálam az UDP miatt nem Open a NAT. Hiába van forwardolva, a 3074-eset UPnP-n ismét hozzáadja, de hiába adja hozzá, csomag nem megy át rajta. Ezért gondolom, hogy valami Filter részen akad el, de miért csak ez a game. Vagy valahol a dupla NAT-olással akad el, már ha DMZ-nél lehet dupla NAT-nak nevezni.
-
Formaster
addikt
válasz allnickused #11541 üzenetére
Letiltottam minden tűzfal szabályt, kivéve a portforward accepteket, mert van a hálózaton eszköz, ami folyamatosan elérhető kell legyen. Nem segített. Sajnos az elérhetőség miatt nem tudok resetelni.
Még ezt találtam ami problémás lehet:Az ether2 -re az említett PC csatlakozik. Fogalmam sincs miért sikerült anno így, de működik minden a hálózaton és a múltkor átraktam Bridge-re, azzal elszállt minden kommunikáció. Az sfp Interface értelem szerűen a bejövő WAN, ami az ISP boxon az 1.123-as címet kapja, erre irányul minden DMZ-ben. A 88.1 a belső hálózatom címe, de hogy ez miért lett anno ether2 kérlek ne kérdezzétek
-
Formaster
addikt
Jó lenne valakit bevonni, akár fizetnék is érte, szerintem a Filters-t is át kéne nézni és ezzel itt valami tuti nincs rendben. A DMZ nem kiiktatható a szolgabox miatt, de ez mennyire számít dupla NAT-nak? Minden portot átad a Mikrotiknek.
Zwodkassy: Nagyon nem akart helyreállni, csak winboxon keresztül tudtam elérni a routert, semmi más nem kommunikált a hálózaton.
[ Szerkesztve ]
-
Formaster
addikt
válasz Beniii06 #11553 üzenetére
Külföld és ez a box nem tud bridge módot, illetve sajátot sem engednek felkonfigolni. Marad a DMZ, de ez az egyetlen alkalmazás ahol gondot okoz, ennél is csak az UDP nem megy át, a TCP portok rendben vannak. Számtalan más eszköz van fent, NAS, Pi, stb, amiknél minden jól megy. Ettől függetlenül szerintem mégis a Mikrotikben lesz a megoldás.
-
Formaster
addikt
Sajnos csak ennyit, amit a Technische Daten alatt ír. Igen, most hogy mondod gyanús, nem-e valami másra tartja fent a szolga box az adott UDP portokat, pl iptv vagy telefon-ra
-
Formaster
addikt
Üdv skacok! Pontosan hogyan kell alhálózatot létrehozni routerOS-ben? A mikrotik alá kerülő router nem tud access point módot.
-
Formaster
addikt
válasz ekkold #13248 üzenetére
Köszönöm szépen! Ez lett volna a kérdés, csak kissé hiányos az ismeretem. Gyakorlatilag így switchként működik a második router, ha jól sejtem.Sajnos nem jó így a felállás. Egy Netduma gaming routert szeretnék a PC elé kötni, de mindenképp a Mikrotik és a gép közé.
Ez a netduma cucc képes lenne szelektálni jobb és rosszabb szerverek között, de sajnos így ebben az üzemmódban nem talál egy szervert sem.
Szerintem kellene ennek egy teljesen külön alhálózatot csinálnom, de nem tudom pontosan mi a menete a mikrotiken.
[ Szerkesztve ]
-
Formaster
addikt
Sziasztok! Az alábbi hivatalos mikrotik útmutatót követve beállítottam a tűzfal szabályokat ddos és flood támadások ellen. Az amatőr kérdésem, hogy ez csak a routert védi, vagy minden azon átmenő forgalmat szűr? Például, ha a router mögötti szerveren egy weboldal fut, akkor annak a támadásait is?
-
Formaster
addikt
Sziasztok, a mikrotik routerem áramszünet óta nem áll fel. Felvillan az összes portjelző LED, majd csak a táp visszajelző ég. Tudok valahogy a service porton console porton keresztül Debuggingolni, vagy bármilyen infót kinyerni belőle?
Attól tartok firmware sérülés, aminek nem örülnék, nagyon komplikált config volt rajta. Ettől függetlenül lehetséges a fw frissítés?
-
Formaster
addikt
válasz Formaster #18229 üzenetére
Megtaláltam ezt a leírást a netinstallhoz, úgy fest be is kapcsol az etherboot mód, kb 1 percig működik is, amit jelez az ETH1-es led. De sajnos a leírás szerinti IP-kkel nem találja az eszközt, pedig nekem is 192.168.88.1 volt az átjáró címe. Próbáltam EHT2-ben is, de akkor fel sem villan a led.
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Alpha Laptopszerviz Kft.
Város: Pécs