Keresés: - Mikrotik routerek - IT café Hozzászólások

Legfrissebb anyagok

IT café témák

PROHARDVER! témák

Mobilarena témák

GAMEPOD.hu témák

LOGOUT.hu témák

Keresés

Téma összefoglaló

Utoljára frissítve: 2021-08-17 20:43

IT café

Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Új hozzászólás Aktív témák

#16023 Fleto93 tag iceQ! #16021

Új Válasz 2022-01-12 13:09:50 #16023
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fleto93

tag

válasz iceQ! #16021 üzenetére

Nekem működik, mi a kérdés? Egyébként ugyanolyan konfiggal megy mint a desktop.
#16029 Fleto93 tag iceQ! #16024

Új Válasz 2022-01-12 17:02:08 #16029
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fleto93

tag

válasz iceQ! #16024 üzenetére

Remélem nem hagytam ki semmi relevánsat. Egyébként az itthoni hálózatom két másik helyre is csatlakozik a mikrotikon keresztül linux szerverekkel kommunikálva és azok a kapcsolatok is hibátlanul működnek (az egyik site dyndns-el van megoldva, oda kell egy netwatch script, hogy automatikusan újracsatlakozzon IP csere esetén).

[admin@MikroTik] > /interface/wireguard export hide-sensitive
# jan/12/2022 16:44:58 by RouterOS 7.1.1
# software id = SBPW-I6QN
#
# model = RB4011iGS+
# serial number = D4440D4E0521
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard-server
/interface wireguard peers
add allowed-address=192.168.9.2/32,fdf1:e8a1:8d3f:9::2/128 comment=desktop interface=wireguard-server public-key="xxx"
add allowed-address=192.168.9.3/32,fdf1:e8a1:8d3f:9::3/128 comment=mobile interface=wireguard-server public-key="xxx"

[admin@MikroTik] > /ip/address export hide-sensitive
# jan/12/2022 16:47:07 by RouterOS 7.1.1
# software id = SBPW-I6QN
#
# model = RB4011iGS+
# serial number = D4440D4E0521
/ip address
add address=192.168.9.1/24 interface=wireguard-server network=192.168.9.0

[admin@MikroTik] > /ip/firewall export hide-sensitive
# jan/12/2022 16:47:58 by RouterOS 7.1.1
# software id = SBPW-I6QN
#
# model = RB4011iGS+
# serial number = D4440D4E0521
/ip firewall filter
add action=accept chain=input comment="accept wireguard" dst-port=13231 protocol=udp
Mobil konfig (minden keresztül megy a VPN-en):
[Interface]
Address = 192.168.9.3/32, fdf1:e8a1:8d3f:9::3/128
PrivateKey = xxx
DNS = 192.168.9.1
[Peer]
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = wg.xxx.hu:13231
Desktop konfig (split tunnel):
[Interface]
Address = 192.168.9.2/32, fdf1:e8a1:8d3f:9::2/128
PrivateKey = xxx
DNS = 192.168.9.1
[Peer]
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 192.168.2.0/24, 192.168.5.0/24, 192.168.9.0/24, fdf1:e8a1:8d3f:9::0/64
Endpoint = wg.xxx.hu:13231
#16200 Fleto93 tag sanzi89 #16198

Új Válasz 2022-01-21 07:05:03 #16200
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fleto93

tag

válasz sanzi89 #16198 üzenetére

/caps-man configuration alatt multicast-helper=full esetleg? Nekem ez segített a Google Home minik nyűgjein.
#18434 Fleto93 tag vkp #18432

Új Válasz 2022-12-02 13:21:08 #18434
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fleto93

tag

válasz vkp #18432 üzenetére

Nem kell ehhez 4011, pl. hap ac2 is elég jól közelíti a gigabitet. Van itthon mindkettő, hap ac2-t csak AP-nak használom, de amikor teszteltem nem sokkal maradt el a 4011-től gigabites Telekom FTTH-n.
#20255 Fleto93 tag

Új Válasz 2023-08-08 16:43:51 #20255
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fleto93

tag

Sziasztok!
Újabb VLAN kérdés, nem fér nekem se a fejembe.
RB4011 a router, van egy D-LINK Poe managed switch, egy hapac, meg egy cap ac.
Van 3 VLAN-om, LAN: 1, CCTV: 5, GUEST: 10.
Ami jelenleg működik:
DLINK switch a routerre csatlakozik bondinggal.
DLINK switchen tudom megfelelően tagelni a portokat, így bizonyos portok 5-ös VLAN-on vannak, más portok 1-esen, és a CAP van rákötve, ezen keresztül jön 1-es, 5-ös, és 10-es forgalom is.
CAP szór 1-es és 10-es wifit, a kimenő ethernet portja pedig 5-ösnek van beállítva egy kamerának.
HAP a routerre van kötve közvetlenül, ethernet portjai 1-es VLAN, wifin pedig 1-es és 10-es is van.
Idáig minden szuper, klasszul el vannak szeparálva egymástól a hálózatok, 1-es működik normál netként, 10-es szeparált guest network, 5-ös pedig egy internet hozzáférés nélküli kamera alhálózat, amihez csak bizonyos eszközök férhetnek hozzá az 1-es hálóról.
Ott akadok el, hogy kifogytam a DLINK-en a szabad portokból, ezért a router szabad portjaiból szeretnék egyet 5-ös VLAN-ba állítani, minden más porton azt szeretném, hogy alapvetően 1-es VLAN-ba kerüljenek a rákötött dolgok, de engedjen be 5-ös és 10-es forgalmat is.

Akármilyen tutorialba kezdek mindig az a vége, hogy amikor bekapcsolon a bridge-en a vlan-filteringet a safe mode-nak kell megmentenie, mert kizárom magam az eszközből.
Tudna valaki segíteni, hogy merre induljak?
#20257 Fleto93 tag ekkold #20256

Új Válasz 2023-08-08 18:24:19 #20257
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fleto93

tag

válasz ekkold #20256 üzenetére

Ha jól értem ez abban segítene, hogy nem zárnám ki magam, de a konfigom változatlanul szar lenne?
Ugye az, hogy kizárom magam, az nem a probléma oka, hanem csak tünete.
#20258 Fleto93 tag Fleto93 #20257

Új Válasz 2023-08-08 18:41:08 #20258
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fleto93

tag

válasz Fleto93 #20257 üzenetére

Hozzáteszem, mert lehet hülyén fogalmaztam meg: mindig utolsó lépésként állítom be a vlan-filteringet, amikor már úgy gondolom, hogy "jól néz ki" a konfig, de ilyenkor ugye egyből kiderül, hogy mégse volt olyan sikeres a dolog
#20263 Fleto93 tag Tamarel #20262

Új Válasz 2023-08-09 10:04:46 #20263
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fleto93

tag

válasz Tamarel #20262 üzenetére

Több leírást is néztem, pl: [link]
Alább beteszem a mostani konfigot, gondolom az /interface bridge vlan
rész hibás, már vagy 20 különböző permutációt végigkattintgattam rá. Jelenleg a vlan-filtering ki is van kapcsolva, különben kizárom magam.
A cél:
- alapvetően minden port kerüljön a sima 1-es LAN-ban
- legyen lehetőség minden port felől 5-ös és 10-es forgalomnak is jönnie
- kivétel a 9-es port, ami kerüljön fixen az 5-ös VLAN-ba.
kikapcsolt VLAN filteringgel mindez működik is, kivéve a harmadik pontot.
Így néz ki most:
/interface vlan add interface=bridge name=CCTV-VLAN vlan-id=5 add interface=bridge name=GUEST-VLAN vlan-id=10 /interface bonding add mode=802.3ad name=bonding-nas slaves=ether4,ether5 transmit-hash-policy=layer-2-and-3 add mode=balance-xor name=bonding-switch slaves=ether2,ether3 /interface list add comment=defconf name=WAN add comment=defconf name=LAN add name=GUEST add name=CCTV /interface bridge port add bridge=bridge comment=defconf interface=ether6 add bridge=bridge comment=defconf interface=ether7 add bridge=bridge comment=defconf interface=ether8 add bridge=bridge comment=defconf interface=ether10 add bridge=bridge comment=defconf interface=sfp-sfpplus1 add bridge=bridge interface=bonding-switch add bridge=bridge interface=bonding-nas add bridge=bridge comment=defconf interface=ether9 /interface bridge vlan add bridge=bridge tagged=bridge,bonding-nas,bonding-switch,ether6,ether7,ether8,ether10 untagged=ether9 vlan-ids=5 add bridge=bridge tagged=bridge untagged=bonding-nas,bonding-switch,ether6,ether7,ether8,ether10 vlan-ids=1 add bridge=bridge tagged=bridge,bonding-nas,bonding-switch,ether6,ether7,ether8,ether10 vlan-ids=10 /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN add interface=pppoe-out1 list=WAN add interface=GUEST-VLAN list=GUEST add interface=CCTV-VLAN list=CCTV add interface=wireguard-server list=LAN

[ Szerkesztve ]
#20267 Fleto93 tag Tamarel #20265

Új Válasz 2023-08-09 10:46:32 #20267
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fleto93

tag

válasz Tamarel #20265 üzenetére

Első ránézésre a bridge beállításnál van keveredés, a tagged és untagged beállítás a portokra.

Ezt gondolom én is, de nem jöttem még rá, hogy mi a helyes megoldás
A másik zavar, hogy mindhárom vlan rá van engedve a router sima portjaira (6-7-8-10), amitől mit is vársz?
Az adott számítógép kezelje maga a vlan-okat (tagged) és legyen mindegyikben ip címe vagy össze legyen mosva a három (untagged) és csak simán több ip címe legyen, kiszámíthatatlan forgalmazással?

Ettől azt várnám (lehet hibásan), hogy ide kötök egy eszközt, akkor az alapból a sima LAN hálóba kerüljön, de legyen lehetősége magának is kezelni.
Erre legalább a bonding-nas és a 10-es portoknál van szükségem, mert a 10-es port pl. egy HAP AC, ami szór sima és GUEST (10-es VLAN) wifit is.
A bonding-nas pedig egy proxmox, a legtöbb container a sima LAN-ba tartozik belőle, de van rajta olyan container ami a CCTV (5-ös) VLAN-ra van állítva, mert egy DVR program fut rajta.
#20270 Fleto93 tag Tamarel #20269

Új Válasz 2023-08-09 11:37:30 #20270
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fleto93

tag

válasz Tamarel #20269 üzenetére

VLAN-onként külön subnet
LAN: 192.168.2.x
CCTV: 192.168.5.x
GUEST: 10.10.10.x
Csináltam egy ábrát, a piros keretes rész lenne ami újdonság lenne, minden más működik jelenleg is. Sima végponti eszközök nagyrészét lehagytam, de van belőlük vezetékes és vezeték nélküli is egy csomó, mindegyik a sima LAN-on (192.168.2.x subnet).

[ Szerkesztve ]
#20271 Fleto93 tag

Új Válasz 2023-08-09 15:46:37 #20271
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fleto93

tag

Redditen kaptam némi segítséget, úgy tűnik ez a helyes konfig:
a vlan-ids=1 sor volt hibás, töröltem, most a router felveszi dinamikusan helyes formában.

/interface vlan add interface=bridge name=CCTV-VLAN vlan-id=5 add interface=bridge name=GUEST-VLAN vlan-id=10 /interface bonding add mode=802.3ad name=bonding-nas slaves=ether4,ether5 transmit-hash-policy=layer-2-and-3 add mode=balance-xor name=bonding-switch slaves=ether2,ether3 /interface list add comment=defconf name=WAN add comment=defconf name=LAN add name=GUEST add name=CCTV /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /interface bridge port add bridge=bridge comment=defconf interface=ether6 add bridge=bridge comment=defconf interface=ether7 add bridge=bridge comment=defconf interface=ether8 add bridge=bridge comment=defconf interface=ether10 add bridge=bridge comment=defconf interface=sfp-sfpplus1 add bridge=bridge interface=bonding-switch add bridge=bridge interface=bonding-nas add bridge=bridge comment=defconf interface=ether9 pvid=5 /interface bridge vlan add bridge=bridge tagged=bridge,bonding-nas,bonding-switch,ether6,ether7,ether8,ether10 untagged=ether9 vlan-ids=5 add bridge=bridge tagged=bridge,bonding-nas,bonding-switch,ether6,ether7,ether8,ether10 vlan-ids=10 /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN add interface=pppoe-out1 list=WAN add interface=GUEST-VLAN list=GUEST add interface=CCTV-VLAN list=CCTV add interface=wireguard-server list=LAN
#20273 Fleto93 tag Tamarel #20272

Új Válasz 2023-08-09 16:13:19 #20273
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fleto93

tag

válasz Tamarel #20272 üzenetére

Szóval nálad még mindig zavarosak a portok:
- tagged a vlan a "trunk" portokon, vagyis ha többnek is el kell jutni oda (hálózati eszközök, nas)
- a számítógépek és telefonok meg csak egy vlanban + untagged beállítás, valamint a vlan-ok között routing
Nem nagyon látom a zavart benne. Illetve csak annyiban, hogy jelen felállásban az ether6-7-8 feleslegesen szerepel a két VLAN tagged listájában, de ez problémát nem okoz, és van annyi előnye, hogy ha mondjuk a hap ac-t átdugum átdugom másik portra, akkor ugyanúgy működik tovább.
Ettől az ide kötött eszközök alapból nem kerülnek be az 5 és 10 VLAN-okba, csak az 1-esbe.

[ Szerkesztve ]
#20398 Fleto93 tag Intelligencs #20397

Új Válasz 2023-09-06 01:17:39 #20398
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Fleto93

tag

válasz Intelligencs #20397 üzenetére

Nem muszáj lemondani a POE-ről, például a RB5009UPr+S+IN rendelkezik rendes POE kimenetekkel - ha a gyári honlapot böngészed akkor ez jól fel van tüntetve a specifikációnál. Persze ha csak egy eszköznek akarsz tápot adni vele akkor overkill.
RB4011 és a hex S valóban csak passzív POE-t tud.
VLAN természetesen megoldott ezeknél az eszközöknél.
A többi eszköznél kérdés, hogy mik az elvárások sebességben, és mennyire vagy árérzékeny.
A legolcsóbb gigabit közeli eszköz a hap ac2, hap ax széria már combosabb.
VPN-re szerintem a Wireguard nagyon jó választás Mikrotik eszközöknél. Kis tanulás után könnyen tanulható, erőforrás takarékos, natívan támogatott Mikrotiken.
Ubiquiti eszközökkel nincs tapasztalatom, itthon most cseréltem le a cap ac-t és a hap ac2 -t az AX-es verziókra, és egyelőre nagyon elégedett vagyok.