-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Ejelhar
senior tag
válasz Ablakos #13774 üzenetére
Szvsz azért nem okay, mert nincs nyitva a 990-es port.
https://www.speedguide.net/port.php?port=990 -
Ejelhar
senior tag
válasz adika4444 #13936 üzenetére
A kérdésem, hogy ez .... megvalósítható lehetőleg egy LAN kábellel a Sagem és az MT közt?
Ahogy én átgondoltam, egy kábel menne mondjuk a LAN1-be az MT-n ...
2-es meg a 10-es VLAN portja lenne, és oda menne még egy kábel a Sagem-bőlÉn már az elejét sem értem, ottan lemaradtam
Most az ISP cumójából egy vagy két kábel megy a Mikrotikbe?ps. megvalósítható lenne egy kábellel is, ha a Telekom cumója is tudja mijaza VLAN és rá is vehető erre (trunk port), de elég szkeptikus vagyok, valszeg nemleges választ kapok tőled.
vagy ha egy kábelen kell mindenképpen, akkor kell még egy eszköz közvetlenül a Sagen után ami kezeli a VLAN-okat.
[ Szerkesztve ]
-
Ejelhar
senior tag
válasz adika4444 #13938 üzenetére
A cél az lenne, hogy NAT-oljon a MikroTik a Sagem-re kötve, miközben mondjuk a 10-es VLAN-ban elérhető a Sagem hálózata, mint egy switch.
Szerintem ezt minden további nélkül, forrás IP-hez vagy/és kimeneti interface-hez kötöd az srcNAT-ot(vagy masquerade-t, ha nincs a Telekomos DHCP szerveren IP lefoglalva).
Azon agyalok még, hogy ha csinálok egy portot a 10-es VLAN-nak, és arra állítok be egy címet (tehát a 10-es VLAN-ra), akkor vajon arra tudok-e NAT-olni
Minden további nélkül, mondjuk megmondod, hogy adott VLAN, vagy interface esetében szabad NAT-olni.
mert akkor viszont menne egy kábellel, csak a WAN-nak kinevezett port a 10-es VLAN-ban lenne, onnan lenne IP-je amire NAT-olok.
Hát erről én megint lemaradtam. Úgy tűnik nagyon más szemantikai mezőkön operálunk.
-
Ejelhar
senior tag
válasz adika4444 #13941 üzenetére
Akár egy olcsó, 40 dolláros Mikrotik switchel is összehozható a Sagen utáni VLAN és trunk port, például:
https://mikrotik.com/product/RB260GS#fndtn-specificationsEzek a switchek gyári állapotban RouterOS-el indulnak ugyan, de a System menüben átválthatóak SwOS-re, szerintem érdemes is.
Hardware-ből kezelik a VLAN-okat (switch chip), de muszáj is, mert a CPU harmatgyenge, ez tényleg nem router.
A RouterOS csak megtévesztésből indul el rajta. -
Ejelhar
senior tag
válasz adika4444 #13944 üzenetére
Akkor viszont még VLAN sem kell szerintem.
Elég bridgelni és tűzfalazni.Én így csinálnám:
a hapac2 ether1-en fogadja a Sagen internetet.
hapac2 ether2 porton jön a Sagen IPTV.Csinálunk két bridge-t.
Mondjuk bridge-NET és bridge-IPTV néven.A bridge-IPTV igazán egyszerű, belerakjuk a az ether2 portot és mondjuk az ether3 portot.
Ezzel kész is, igazából ez így egy két portos switch, az ether3 mehet tovább a régi Asus routerre, ami az IPTV-t osztja el ha jól vettem le eddig.A bridge-NET tagjai lennének a maradék ethernet portok és a WIFI, tehát az ether4, ether5, wlan1, wlan2.
fel kéne húzni egy IP címet a bridge-NET interface-re, majd erre a hálóra egy DHCP szervert.A tűzfal NAT lapján megszabni, hogy ha a forrás IP a bridge-NET tartomyánba esik és a kimenő interface az a ether1, akkor srcNAT vagy masquerade mehet.
Ha nagyon szigorúak vagyunk, akkor a tűzfal filter lapján letiltjuk a forwardot, ha a bridge-IPTV a forrás interface és a cél interface az ether1 vagy a a bridge-LAN.Még egy "DHCP Client"-re is szükségünk van, ezt az ether1 interface-re konfigoljuk.
-
Ejelhar
senior tag
válasz mZoleee #13943 üzenetére
Szvsz elég a TCP 445 port ide, bár mélyen igaza van Adika4444-nek, nagyon rossz ötlet SMB-t kiengedni a világba.
Nézegetem egy Syno-t most, hogy hátha annál is korlátozva a forrás IP-k köre e szervizre, ahogy például a Windowsoknál (azoknál csak a helyi háló jöhet), de nem találtam ilyen beállítást. Persze attól még lehet
-
Ejelhar
senior tag
válasz adika4444 #13950 üzenetére
Szia,
nagyon sokat kellet volna irkálni és nem lehetetlen, hogy még így is kimarad valami, ezért úgy döntöttem ez így egyszerűbb, egy működő konfig ehhez (WIFI-vel most nem törődünk):/interface bridge
add arp=local-proxy-arp name=bridge-LAN vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-IPTV
/interface vlan
add interface=bridge-LAN name=vlan10 vlan-id=10
/ip pool
add name=LAN-POOL ranges=172.16.191.20-172.16.191.199
/ip dhcp-server
add address-pool=LAN-POOL disabled=no interface=bridge-LAN name=DHCP-LAN
/interface bridge port
add bridge=bridge-LAN interface=ether3 multicast-router=disabled
add bridge=bridge-LAN interface=ether4 multicast-router=disabled
add bridge=bridge-LAN interface=ether5 multicast-router=disabled
add bridge=bridge-LAN interface=ether2-IPTV multicast-router=disabled pvid=10
/interface bridge settings
set use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=bridge-LAN tagged=ether3,ether4,ether5,bridge-LAN untagged=\
ether2-IPTV vlan-ids=10
/ip address
add address=172.16.191.254/24 interface=bridge-LAN network=172.16.191.0
/ip dhcp-client
add disabled=no interface=ether1-WAN
/ip dhcp-server network
add address=172.16.191.0/24 dns-server=172.16.191.254 domain=hex.local \
gateway=172.16.191.254 netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN src-address=\
172.16.191.0/24
/system clock
set time-zone-name=Europe/Budapest
/system identity
set name=DDS-hEX
/system ntp client
set enabled=yes primary-ntp=162.159.200.1 secondary-ntp=193.225.118.163
[ Szerkesztve ]
-
Ejelhar
senior tag
válasz Zwodkassy #13961 üzenetére
A #13953 hsz-em ilyen konfigot mutat. Ott a 10-es VLAN untagged az ether2 porton, tagged az ether3,ether4,ether5 porton.
Amúgy bridge-be is vannak, és az 1-es VLAN felhúzva az egész bridge-re.
Amúgy én nem szoktam tökölődni ha tutira csak 1 trunk port kell, interface-hez tárítom a VLAN-okat és kész is.
Ha már viszont access port is kell, több trunk, vagy/és a bővítési lehetőség, akkor muszáj bridge-be szervezni.Hardware gyorsításod viszont nem lesz, ahogy nézegetem a routered speckóját. De nem is kell, elég combos az a CPU, bőven bírni fogja, sőt.
-
Ejelhar
senior tag
válasz Zwodkassy #13974 üzenetére
Igen, több fajta módon is meg lehet csinálni, de mindegyik egy kicsit körülményes.
Vagy hát a fene tudja, lehet mi vagyunk túl merevek, csak az elegáns ami Ciscotól jönps. bridge VLAN-oknál egy ici-picit becsapós a WinBox.
A bridge VLANs tabon csak akkor mutatja a tagged, untaged interface-ket, ha azok linkelnek is.
(a "current" mezők nem a konfigra utalnak, hanem az az 'éppen most' állapotot tükrözik) -
Ejelhar
senior tag
válasz Reggie0 #13970 üzenetére
Köszi.
Mint írtam én csak akkor használom, ha tutira egy trunk port kell és nem is lesz több, access port sem.
Bár hát ... ez is olyan, hogy változhat idővel, fel is hagytam vele (kivéve mikor más routerek -nem Mikrotik- konfigját hozom át és mereven ragaszkodunk az adott kialakításhoz, ha az amúgy hülyeség is).
A switch chip -RouterOS esetében- eleve nem szimpatikus erre nekem.
Úgyhogy marad a bridge ha VLAN-ozunk, flexibilis megoldás, egyszerűen bővíthető ha kell, messze ez a legjobb választás szvsz.[ Szerkesztve ]
-
Ejelhar
senior tag
válasz Reggie0 #13979 üzenetére
Okay, csak hát SwOS alatt garantált, hogy ez még működik is, méghozzá jól.
RouterOS esetében meg olyan mint a kutya vacsorája: ha van, akkor örülünk neki és kb. ennyi.
De én nem erőltetném, főleg a mostani hardware felhozatal és árak mellett.Persze megvan ennek a fordítottja is, én már jártam úgy, hogy kaszát kapát eldobni, egy elfüstölt táp okán azonnal eszközt kell cserélni. Igen ám, de éppen csak CRS volt kéznél.
Nos, az IPsec kapcsolattal megspékelt performancia adatait ennek a rendszernek csak halálon napján fogom publikálni, mert különben ti fel fogtok jelenteni emberiesség elleni bűncselekményért.
Mondjuk talán jogos is lenne, tényleg sok ez egy érző szívű embernek. -
Ejelhar
senior tag
válasz Zwodkassy #13983 üzenetére
Készítünk egy VLAN-t mondjuk a 10-est, a neve legyen vlan10, és ezt hozzárendeljük a már létező bridge-hez.
Ez utóbbi neve mondjuk bridge-LAN./interface vlan
add interface=bridge-LAN name=vlan10 vlan-id=10
Adunk neki IP címet.
/ip address
add address=192.168.2.254/24 interface=vlan10 network=192.168.2.0
A firewallnak megmondjuk, hogy ezt a hálót is szabad NAT-olni internet irányban.
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN src-address=\
192.168.2.0/24
A bridge interface-n beállítjuk, hogy -mondjuk- az ether5 portján tagelve küldje tovább a 10-es VLAN-t.
/interface bridge vlan
add bridge=bridge-LAN tagged=ether2,bridge-LAN vlan-ids=10
Rávesszük a bridge-t a VLAN-ok kezelésére:
/interface bridge
add arp=local-proxy-arp name=bridge-LAN vlan-filtering=yes
Opcionális, egy DHCP szervert felhúzunk a vlan10 interface-re. -
Ejelhar
senior tag
válasz user12 #13984 üzenetére
Szia,
1.) Nem, felesleges.
Azért az, mert már van ilyenünk, a tagged interface-ekhez magát a bridge-t is hozzáadtuk, a VLAN 10 taggelve, de mivel a default PVID ezeken a portokon és magán a bridge-en is az 1-es, ezért az is ott vigyorog, az untagged.2.) NAT-nál -ahogy a példa konfigban alant- a feltételeknél a forrás subnet szerepel.
Az meg nem az IPTV tartománya./ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN src-address=\
172.16.191.0/24
[ Szerkesztve ]
-
Ejelhar
senior tag
válasz user12 #13987 üzenetére
Ha bekapcsolva a vlan filtering a bridge-n, akkor annak VLANs lapján meghatározott módon viselkedik.
A hivatkozott konfigban az ether2 PVID-je 10-esre változtatva és a VLANs lapon untagged interface-ek közé besorolva. Magyarán ez egy access port, native VLAN-ja pedig a 10-es.A 3-5 portokon tagged a VLAN 10, illetve -mivel ezek PVID-je nincs változtatva- az alapértelmezett VLAN 1 is elérhető és az untagged.
Ez utóbbit meg sem kell szabni, a bridge ezt dinamikusan hozzárendeli.És van még maga a vlan10 nevű interface, ezt a bridge portok közé fel sem kell venni, az untagged.
[ Szerkesztve ]
-
-
Ejelhar
senior tag
válasz Zwodkassy #13995 üzenetére
Szép magyar szóval: vizualizálom a problémát.
Néha tényleg többet ér egy kép, mint ezer szó.Alant egy próbakonfigról készült kép (egy -nem Mikrotik- router kiváltását szimulálom).
Van egy bridge, a hozzárendelt portok: ether2,3,4,5
az ether2 az trunk,
az ether3 szintén,
az ether4 is, de ezen egy harmadik irányba szintén tagelve továbbzavarjuk az összes VLAN-t.
az ether5 az acces port.A tagged, untagged oszlopok a VLAN-okhoz rendelt portokat listázzák, ahogy a konfigban megszabtuk.
A "Current tagged" és "Current untagged" oszlopok az 'éppen most' állapotot mutatják. Mint látszik itt már nem listázza az ether5 portot, mivel azon jelenleg nincs link.Az utolsó sor a default VLAN-t, az 1-est listázza, amit dinamikusan rendel hozzá a bridge (a portok és saját maga PVID-je alapján)
Az ether5 access port melyik VLAN-ba is kerül pontosan? A port PVID-je alapján dönti azt el:
-
Ejelhar
senior tag
A router userek jelszavait nem, viszont minden egyéb pl. PPPoE vagy PPP Secrets, IPsec igen.
Én az export/import módszert preferálom.
Exportálom file-ba a forrás routerről,
a cél routernek egy factory reset, de nem legyen default configja, azt nem kérjük,
import a cél routeren.Ha nagyon eltérő a két vas, akkor pedig cél routeren terminálba másolom sorba a parancsokat és nézem megeszi e, természetesen ha szükséges menet közben módosítok a beírtakon.
-
Ejelhar
senior tag
válasz devil-k #14013 üzenetére
Kezdésnek ez okay, ha viszont elakadsz majd segítünk itt.
Majd többen összerakjuk, mert mindenkinek van a fejében olyan, ami a többiekében nincs.
Pl. nekem van ötletem hogyan használd ki a 2 Gbps sebességedet, viszont még az életben nem láttam ilyen Telekomos cumót ami tudja.
Ha egy-egy 1 Gbites interface-e ezt ki tudja adni, akkor -elég combos- Mikrotikkel ezt ki is tudjuk hajtani. -
Ejelhar
senior tag
Szvsz ilyen esetben amit írtál (RDP elérés) bőven jó az OpenVPN.
Nem egy sebességbajnok, viszont egy publikus címről több kapcsolat vagy kettős NAT mögül is működik (egy UDP vagy TCP port kell neki csak ennyivel beéri).L2TP igényel helper protokollt (GRE), de NAT mögül ezek szétverik egymást.
Home usereknek lehet kiadni, jól is működik míg egy publikus IP címről csak egy user kapcsolódik.Az IPsec nagyon jó, nem kell elfelejteni, sőt.
-
Ejelhar
senior tag
válasz devil-k #14021 üzenetére
Nem fog tetszeni
Nekem csak 1 Gbites Digi kapcsolatom van, erre ilyet vettem:
https://mikrotik.com/product/CCR1009-7G-1C-PCEz egy ideig elég lesz neked is, Mikrotiknél a vas átlagos teherbírását úgy lehet kiszámolni:
-termék "Test Results" lapja
- összeadjuk mit tud 1518, 512, 64 byte-on majd hárommal elosztjuk.Így közelítőleg meg tudjuk saccolni mire is elég az adott vas.
ps. de például nem tudjuk hogyan mehet nálad tovább a LAN-hoz és milyen switchbe.
Például fénykábellel szeretnéd (erre ez kevés, mert csak SFP portja van, akkor muszáj a nagyobb tesót megvenni az 1 Gbps korlát miatt)Ha viszont a switched több ethernet portot is össze tud fogni (EtherChannel, vagy Linuxos terminológiában bonding) és még szabad UTP kábel is van hozzá, akkor meg nem gond.
Maradhat amit ajánlottam, mert a CPU biztos bírja, pusztán az interface miatt nem kell feljebb lépni.[ Szerkesztve ]
-
Ejelhar
senior tag
válasz devil-k #14023 üzenetére
Nincs sajnos, ezeknél a CPU a drága, az interface már csak aprópénz.
Még egy ilyen is jó lenne neked szvsz, olcsóbb és ez sem jön zavarba ha sokat kell számolni:
https://mikrotik.com/product/rb4011igs_rm#fndtn-specificationsps. bár azon gondokodom, hogy végül is nálad nincs cifrázva, más eszköz is NAT-ol, vagyis csak a terhelésmegosztásról kéne gondoskodnia.
Lehet, ezt jóval olcsóbban is meg lehetne úszni. Annyira olcsó, hogy egy próbát megér:
https://mikrotik.com/product/hex_sEz csak jelölné a csomagokat és route-olna, lehet ez is elég lenne ide.
(nem tudom, soha nem csináltam még ilyet)[ Szerkesztve ]
-
Ejelhar
senior tag
válasz devil-k #14025 üzenetére
Az jutott eszembe, talán neked nem is kéne router a rendszerbe, ha nincs különleges oka.
A Telekom végződés és a switch között milyen és hány fizikai réteg van kiépítve nálad?
Router nélkül olcsóbban megúsznád. Például egy ilyennel:
https://mikrotik.com/product/crs305_1g_4s_inHa maga a fizikai réteg korlátoz a maximális sebesség kihajtásában a Telekom végződés és a switch között.
Bár a 10 Gbps tudó GBIC-eket a Mikrotikhez sem aprópénzért árulják. -
Ejelhar
senior tag
válasz Beniii06 #14026 üzenetére
Van erről tapasztalat Mikrotik relációban?
Mondjuk például egy ilyen valami Mikrotikbe:
https://mikrotik.com/product/s_rj10#fndtn-downloadsAkkor mi a pálya?
ps. én még az életben nem vonszoltam 1 Gbps-nél nagyon adatfolyamot egy etherneten keresztül Mikrotikbe, ezért kérdezem. Nálam ez totál vakfoltra esik.
-
Ejelhar
senior tag
válasz devil-k #14031 üzenetére
Semmi vész.
Szóval ... a routeren keresztül mindenki kijut az Internetre a belső hálóról, de ezt a szolgáltatók eszközei is biztosítják.
A sok csatlakozási lehetőséget viszont nem. Vagyis switch kell neked és valszeg egy WIFI AP is, de router meg nem biztos. Én most itt tartok, de lehet, hogy rosszul gondolom.Amit még nem tudunk az az: milyen lehetőség van összekapcsolni nálad a Telekom végződést és a switchet.
-
Ejelhar
senior tag
válasz devil-k #14031 üzenetére
Utánlövés
Ezt a kérdést pedig végképp nem értem:
"A Telekom végződés és a switch között milyen és hány fizikai réteg van kiépítve nálad?"
Szóval arra vagyok kíváncsi miből gazdálkodhatunk.
Magyarán bejön optikával a Telekom, azt egy eszközben végződteti.
Annak kimenetei meg rádughatóak valami eszközökre, na de mire és hogyan?Szóval miből gazdálkodhatunk? UTP kábelek behúzva oda, rendelkezésre állnak?
Vagy csak egy-kettő megy onnan tovább és azokon kell majd végigzavarni a teljes forgalmat?
Vagy fordítva, az égvilágon minden szoba/helység ott végződtetve ahova a Telekom cumója is kerül? -
Ejelhar
senior tag
válasz devil-k #14037 üzenetére
No, ez végül is jó hír, már ha a költségeket nézzük.
Mert nem kell nagyon cifrázni.a.) a legolcsóbb
Két darab hót buta és ezért olcsó switch.
Egyet az internetre, egyet az IPTV-re, külön-külön.
Elosztjuk két különálló eszközzel a TV-t és az internetet és készen is vagyunk.Korlátja a maximum 1 Gbps net, ez nem fog tudni többet mint amit egy ethernet interface-n ki tud hajtani.
b.) ugyanez, de elé teszünk egy routert amire két UTP csatlakozás jön be a Telekom eszközéről, ez már képes kihajtani a 2 Gbps-t, ha elég combos CPU-val rendelkezik
Mikrotik fronton ilyen a:
https://mikrotik.com/product/rb4011igs_rmViszont kell az alanti is hozzá, a "c" opció, mivel az eszközök felé is ki kell tudni hajtani a két Gbps-t, ergo azokon is össze kell fogni két darab 1 Gbps ethernet portot, nem csupán internet irányban.
c.) mint a fenti, de a switch az csak egy, viszont management-elhető (ezért szétvágható internetre és IPTV-re, egy eszközön belül szeparáljuk el a két különálló hálózatot), ha más nem indokolja, akkor talán felesleges költeni erre.
d.) mint a b vagy a c pont, de egy porton fogadja a Telekom végződést, kell hozzá egy ilyen:
https://mikrotik.com/product/s_rj10#fndtn-downloadsNincs tapasztalatunk róla, elvileg működni kell. A pótlólagos eszköz okán ez a legdrágább megoldás.
De -esetünkben- gyakorlati előnye nincs.[ Szerkesztve ]
-
Ejelhar
senior tag
válasz devil-k #14039 üzenetére
Jogos, kicsit zavaros lett mer siettem és ezért kapkodtam mikor írtam.
- Azért kell a legolcsóbb megoldásban két switch, mert azok nem menedzselhetőek, ergo nem tudjuk izolálni vagy VLAN-ozni a portokat, mindenki lát mindenkit.
Tehát ugyan olcsó, viszont kell belőle kettő, egy az IPTV-re, egy meg a LAN-ra.
Az 1 Gbites korlát természetesen itt marad.- Nem felesleges, ez hülyeség tőlem.
Sőt, a második megoldás költséghatékony és ki is tudná hajtani a 2 Gbitet.
Vagyis arra gondoltam a routernek lenne két WAN portja, ezen a terhelésmegosztás aktív.
Szintén két porton csatlakozna a menedzselhető switchbe, méghozzá egy olyanba, ami képes két portját összefogni egyetlen logikai 2 Gbites csatlakozásként.- A harmadik megoldás csak annyiban tér el a fentitől, hogy a router és a switch egy-egy 10G-s SFP+ modullal csatlakozna egymáshoz, vagyis itt felesleges a link aggregáció, bonding, EtherChannel vagy nevezzük bárhogy.
Egyúttal ez a legdrágább megoldás a pótlólagos SFP+ modulok miatt. -
Ejelhar
senior tag
válasz devil-k #14045 üzenetére
Szerintem felesleges most routert venned, viszont egy jobb fajta menedzselhető switchet igen, bővítési lehetőséggel.
Vagyis a Telekom végződésből switchbe menne az internet és az IPTV egy-egy darab 1 Gbites portra.
Itt izolálnád a két hálót, ne lássanak át egymásba és szétosztanád végpontonak. Egyelőre az internet az 1 Gbites lenne.Esetleg annyi cifrázással vennél switchet, hogy legyen rajta SFP+ csati, ezzel nyitva hagynánk a későbbi bővítési lehetőséget a 2 Gbit csatlakoztatására. Még modult sem kéne venni bele most, felesleges, majd akkor elég lesz, mikor az átállás mellett döntesz.
Ez így nem zárná ki a későbbi bővítés lehetőségét, átállást 2 Gbitre, vagy/és routert közbeiktatni ha szükséges.
Illetve a megmaradt aprópénzt -lehet- elköltöd AP-kre, de az úgyis csak menet közben fog eldőlni.Szvsz az 1 Gbit szerintem bőven elég ha az jó fajta, és a Telekom az igen, megbízható.
Vagy máshogy, én egy 50 Mbites Invitech bérelt vonallal is kiegyezek, de az 500 Mbites UPC-től meg a hajam is hullik.
A sebességnél fontosabb a stabilitás, megbízhatóság, minőség. -
Ejelhar
senior tag
válasz Reggie0 #14050 üzenetére
Igazad van, de maga a LAN úgy egészében ki tudja hajtani a 2 Gbitet.
Vagy ha nagyon akarom -bár a példám bevallottan erőltetett, nem életszerű- még egyetlen PC is mondjuk, szintén két darab 1 Gbites aggregált ethernet csatlakozással.
Bár az se egy sessionon belül, de ha mondjuk indít két darab FTP csatlakozást, akkor már igen. -
Ejelhar
senior tag
-
Ejelhar
senior tag
válasz Reggie0 #14055 üzenetére
Nem is ez a cél (nézd meg az előzményeket), a Telekom NAT-ol, ez a switch csak tényleg switch funkciókat fog ellátni.
Én magam nem is szeretem befogni a switcheket router funkciókra, rögtön váltok rajtuk SwOS-re. Az meg ugye eleve csak a hardware-ből támogatott funkciókat ajánlja fel. -
Ejelhar
senior tag
válasz Mr Dini #14054 üzenetére
Szvsz mutasd meg a konfigodat, úgy nem kell találgatnunk.
paracssorból: /export compact file=filenév
Majd a tartalmát ide másolod. De !!!!
Szerkesztés után. A PPPoE userneved és jelszavad benne lesz, ezt kimaszkolod.
Illetve ha van PPP vagy PPTP user, vagy IPsec eléréshez megosztott kulcs, azok is.
Vagy ha használsz DDNS scriptet, akkor userneved jelszavad, a regisztrál host szintén látható/olvasható.
Szóval mindenképpen átnézés után másold csak.ps. Szerintem használj Winboxot, sokkal jobb mint a web felület.
-
Ejelhar
senior tag
válasz Mr Dini #14067 üzenetére
web felületen is teljesen okay, nem szűkebb mint a Winbox, csak -szerintem- jellege miatt a Winboxba jobban lehet konfigolni.
Mert ott egyszerre több ablakot láthatsz egyszerre, ergo jobban végig tudsz gondolni egy folyamatot, mert a szükséges infó szem előtt vannak.Türelem, majd ha nem beta állapotban lesz az új RouterOS, akkor lesz csak, addig mintha nem is lenne.
IPsec-el lehet a legtöbbet kihozni a Mikrotik vasakból, második helyen a GRE tunnel over IPsec. Ezekkel kell beérned egyelőre, illetve L2TP vagy OpenVPN is van.Stabil kiadású 7-es RouterOS wireguarddal meg még nincs
[ Szerkesztve ]
-
Ejelhar
senior tag
válasz devil-k #14069 üzenetére
Okay, leírom érthetően tőlem telhetően.
Ugye a helyzet, 2 Gbps-es Internet, vezetékes háló kiépítve mindenhova és egy végponton végződtetve, ahova az ONT is kerül.
Oda egy switch mindenképpen kell, de router nem feltétlenül.- de a switch akkor legyen bővíthető, de első nekifutásra az a legolcsóbb, ha csak 1 Gbps kapcsolattal kezdünk.
Jó az az eszköz szerintem erre a célra amit linkeltél.
Ezeknek van hardware gyorsításuk switch funkciókra, attól nem is jönnek zavarba. Viszont a CPU gyenge, az szinte csak arra való, hogy web felületen elérjük és konfigoljuk.A Mikrotik switchek gyári állapotban RouterOS-el indulnak, viszont át lehet váltani őket SwOS-re és szerintem érdemes is. Mer utóbbi esetben már csak olyan funkciók elérhetőek, amikre hardware-ből képes az eszköz.
Például nekem van egy 6 portos kis Mikrotik switch a TV alatt, optikán összekötve a routeremmel és rajta lógnak mindenféle kütyük (mikroPC, Androidos Box, medialejátszók)
Na most, nincs szükségem link aggregációra, tehát nem akarok összefogni több ethernet portot a nagyobb sebesség miatt, minden cumónak elég az 1 Gbps.
De, SwOS-el nem is tudnám, mert az ugyan ismeri ezt:
https://wiki.mikrotik.com/wiki/SwOS/CSS326#LAG
viszont hardware-re válogatja, az én switchemen meg sem jelenik ez a lap.
Ha rajta hagyom a RouterOS-t, akkor viszont meg tudnám csinálni vele, csak sok értelme nem lenne.
Mert a CPU-t használná ehhez, az viszont ebben olyan gyenge, hogy még az 1 Gbps-t se tudnám kihajtani vele.Egyébként nem kell ide feltétlenül Mikrotik switch, ha más gyártó terméke szimpatikusabb, akkor ugyanilyen szempontrendszer mentén nyugodt szívvel mást veszel.
- második lépcsőben a későbbiekben felhúzhatod 2 Gbps-re az ONT felé a kapcsolatot, egy SFP+ modullal.
https://mikrotik.com/product/s_rj10De nem szabad elfelejteni, hogy ezt csak több eszközzel tudod kihasználni, ugye a végpontok továbbra is 1 Gbps-el csatlakoznak, sőt, nem is tudnak nagyobbat, se a switch ethernet portjai, sem az eszközeid.
- a későbbekben még mindig tudod ezt egy routerrel bővíteni, ha annak szükségét érzed.
De a NAT-olást, DHCP-t, port forwardot addig rábízod a szolgáltató eszközére. -
Ejelhar
senior tag
válasz devil-k #14077 üzenetére
Router
Teljesen rendben, nem látom okát, hogy ennél neked feljebb kéne menned. A rendszeredet ez ki tudja szolgálni, még úgy is ha később cifrázod erőforrás terhelő feladatokkal (pl. CPU faló VPN szerver a rokonoknak/barátoknak, hogy mondjuk elérjék a NAS-od és onnan tudjanak nézni filmeket)Switch
Itt arra kell szerintem figyelni az elégséges portszámon kívül:SFP+ portja is legyen, a későbbi bővíthetőség miatt, már ha érdekes az egy porton átvihető 1 Gbps-nél nagyobb sebesség (a linkelt TP-Link esetében én pl. nem látom ezt).
Ez egy kicsit öv alatti, szóval egy sima SFTP port úgy 1-1,25 Gbps-t tud, de specifikációja szerint fogadhat/kezelhet akár 10 Gbps modulokat is.
Igen, ez eddig jól hangzik, viszont a kimenete korlátozott, a rendszer felé néző része akkor sem fog ennél többet tudni, magyarán egy SFP aljzatba dugott 10 Gbps képes SFP+ modul minden további nélkül működik/működhet, de csak maximum 1-1.25 Gbps sebességgel.Kábel
CAT6a az teljesen okay, az úgy már nagyon rendben.
Amire érdemes figyelni: van az úgy, hogy a kevesebb a több, nem feltételnül érdemes mind a két végét leföldelni (az árnyékolás is bekötni), mert esetlegesen földhurok alakulhat ki.Mesh
Én se, főleg mert nem értek hozzá. Ez még egy külön kört megérdemel, de úgy gondolom nem kell feltalálni a spanyol viaszt, home kategóriában (az utóbbi feljebb is pozicionálható) Asus vagy Ubiquiti neked is bőven jó lesz.
Azok valszeg nem véletlenül vannak agyondicsérve. -
Ejelhar
senior tag
válasz tonermagus #14100 üzenetére
Az a gond, hogy a Mikrotik OpenVPN szerver nem teljes értékű, nem olyan mint egy Linuxos/Windowsos telepítés.
Például nem implementálták a routingot, vagyis mikor összeáll a kapcsolat, akkor nem csupán a tunnel IP címét küldi a szerver, hanem például azokat a subnetworkoket is amit a TUN/TAP interfacen keresztül lehet elérni.
Nos, ez RouterOS alatt nincs, de semmi vész, mert kliens oldalon lehet pótolni.
Tegyük fel, a változók:
LAN subnet nálad: 172.17.35.0/24
domain: tonermagus.local
DNS: 172.17.35.11akkor a valami.ovpn fileba kliens oldalon:
route 172.17.35.0 255.255.255.0 vpn_gateway
dhcp-option DOMAIN tonermagus.local
dhcp-option DNS 172.17.35.11 -
Ejelhar
senior tag
válasz Zwodkassy #14262 üzenetére
Szvsz SwOS esetében a "Forwarding" lapon. Egy X port egyáltalán ne legyen benne a csapatban, hiába ugyanabban a VLAN-ban tanyázik.
Bár -szerintem- ha ennél több kell, mert szofisztikáltabb módon szeretnél szűrni, az már layer 3 oldalon kéne, vagyis majd a router intézi.
Új hozzászólás Aktív témák
- nVidia tulajok OFF topikja
- AMD GPU-k jövője - amit tudni vélünk
- Konzolokról KULTURÁLT módon
- Energiaital topic
- PlayStation 5
- Xiaomi Pad 6 - kiapadhatatlan jóság
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- Kerékpárosok, bringások ide!
- Napelem
- The Witcher 3 REDkit - Megjelenési dátumot kapott a modszerkesztő
- További aktív témák...
- ThinkPad T15 Gen 2i 27% 15.6" FHD IPS i7-1165G7 16GB 512GB NVMe ujjlolv IR kam gar
- PS5 Csomag Csak Egyben, Áron,.Alul, Eladó!!
- HP Elitebook 850 G3 (6.gen i7, 256 ssd, 8 GB, FHD) AkciÓÓ!
- HP Probook 450 G3 (6.gen i5, 256 ssd, 8 GB, FHD) AkciÓÓ!
- Beszámítás/Garancia/Full panorámás Gamer : Core I9 12900K/32GB/RTX 3090 24GB/850W/512Gb SSD/2TB HDD/
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen