-
PROHARDVER!
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#24599
Pizzafutar
aktív tag
Tamarel
#24598
Pizzafutar
aktív tag
válasz
Tamarel
#24598
üzenetére
A firewal-on nem módosítottam, maradt az eredeti, működő:
Flags: X - disabled, I - invalid; D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked
2 ;;; drop invalid
chain=input action=drop connection-state=invalid
3 ;;; accept ICMP
chain=input action=accept protocol=icmp
4 ;;; accept to local loopback (for CAPsMAN)
chain=input action=accept dst-address=127.0.0.1
5 ;;; drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN
6 ;;; accept in ipsec policy
chain=forward action=accept ipsec-policy=in,ipsec
7 ;;; accept out ipsec policy
chain=forward action=accept ipsec-policy=out,ipsec
8 ;;; fasttrack
chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related
9 ;;; accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked
10 ;;; drop invalid
chain=forward action=drop connection-state=invalid
11 ;;; drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN -
#24597
Pizzafutar
aktív tag
Pizzafutar
#24560
Pizzafutar
aktív tag
válasz
Pizzafutar
#24560
üzenetére
Két hete írtam a PCC témában, akkor nem volt időm vele többet foglakozni, most hétvégén viszont átköltöztem egy rb5009-re és beállítottam a PCC-t is. A tapasztalat az, hogy PCC-vel a weboldalak bizonytalanul jönnek be, összességébe a betöltési idő megnő.
Ez így nem túl megfogható, viszont a speedtest (Ookla, linux parancsor) konzekvensen rosszul működik PCC-vel, 'Cannot read' hibaüzenetek jelennek meg, de általában lefut:
$ speedtest
Speedtest by Ookla
[error] Error: [0] Cannot read:
Server: ZNET Telekom Zrt. - Budapest (id: 28951)
ISP: Magyar Telekom
Idle Latency: 1.98 ms (jitter: 0.18ms, low: 1.83ms, high: 2.13ms)
Download: 931.40 Mbps (data used: 453.8 MB)
7.10 ms (jitter: 0.64ms, low: 1.66ms, high: 12.86ms)
Upload: 325.92 Mbps (data used: 147.0 MB)
5.29 ms (jitter: 0.46ms, low: 4.05ms, high: 6.76ms)
Packet Loss: 0.0%PCC nélkül nincsenek ilyen hibaüzenetek.
Mangle szabályok:
# 1 With policy routing it is possible to force all traffic to the specific gateway, even if traffic is destined to the host (other that gateway) from the connected networks. This way routing loop will be generated and communications with those hosts will be impossible. To avoid this situation we need to allow usage of default routing table for traffic to connected networks.
/ip firewall mangle
add chain=prerouting action=accept dst-address=192.168.0.0/24 in-interface=bridge
add chain=prerouting action=accept dst-address=10.0.0.0/24 in-interface=bridge
# 2 First it is necessary to manage connection initiated from outside - replies must leave via same interface (from same Public IP) request came. We will mark all new incoming connections, to remember what was the interface.
add chain=input action=mark-connection connection-state=new in-interface=ether1 new-connection-mark=Telekom_conn
add chain=input action=mark-connection connection-state=new in-interface="Digi PPPoE" new-connection-mark=Digi_conn
# 3
add chain=output action=mark-connection connection-mark=no-mark connection-state=new new-connection-mark=Telekom_conn passthrough=yes per-connection-classifier=both-addresses:2/0
add chain=output action=mark-connection connection-mark=no-mark connection-state=new new-connection-mark=Digi_conn per-connection-classifier=both-addresses:2/1
# 4 Action mark-routing can be used only in mangle chain output and prerouting, but mangle chain prerouting is capturing all traffic that is going to the router itself. To avoid this we will use dst-address-type=!local. And with the help of the new PCC we will divide traffic into two groups based on source and destination addressees.
add chain=prerouting action=mark-connection connection-mark=no-mark connection-state=new dst-address-type=!local in-interface=bridge new-connection-mark=Telekom_conn per-connection-classifier=both-addresses:2/0
add chain=prerouting action=mark-connection connection-mark=no-mark connection-state=new dst-address-type=!local in-interface=bridge new-connection-mark=Digi_conn per-connection-classifier=both-addresses:2/1
# 5
add action=mark-routing chain=output connection-mark=Telekom_conn new-routing-mark=Telekom
add action=mark-routing chain=prerouting connection-mark=Telekom_conn in-interface=bridge new-routing-mark=Telekom
# 6 Then we need to mark all packets from those connections with a proper mark. As policy routing is required only for traffic going to the Internet, do not forget to specify in-interface option.
add action=mark-routing chain=output connection-mark=Digi_conn new-routing-mark=DIGI
add action=mark-routing chain=prerouting connection-mark=Digi_conn in-interface=bridge new-routing-mark=DIGI
Végül route table:
/ip/route> print
Flags: D - DYNAMIC; A - ACTIVE; c - CONNECT, s - STATIC; + - ECMP
Columns: DST-ADDRESS, GATEWAY, ROUTING-TABLE, DISTANCE
# DST-ADDRESS GATEWAY ROUTING-TABLE DISTANCE
0 s 0.0.0.0/0 10.0.0.1 main 2
1 As+ 0.0.0.0/0 192.168.0.1 main 1
2 As+ 0.0.0.0/0 192.168.0.1 main 1
3 As+ 0.0.0.0/0 10.0.0.1 main 1
DAc 10.0.0.1/32 Digi PPPoE main 0
DAc 192.168.0.0/24 ether1 main 0
DAc 192.168.1.0/24 bridge main 0
4 As 0.0.0.0/0 192.168.0.1 Telekom 1
5 As 0.0.0.0/0 10.0.0.1 DIGI 1
Mi lehet a gond? -
#24560
Pizzafutar
aktív tag
Pizzafutar
aktív tag
Sziasztok,
Két ISP-vel szeretnék megoldani egy PCC load balancing-ot a https://help.mikrotik.com/docs/spaces/ROS/pages/4390920/Load+Balancing oldalon leírtak szerint. (Tudom, ez csak connectionokat osztja el, de ezt most hagyjuk...)
Adott hozzá egy rb2011 router, egy Telekom koax internet és egy optikai Digi, a modem bridge módban.
Ha csak simán felkonfigurálom a két interfészt, beállítom mindkettőre a default route-ot egyenlő distance-al, illetve létrehozom a NAT szabályokat, a létrejött konfiguráció működik, valamelyik interfészen rendben megy a forgalom.
Ha azonban elkezdem megvalósítani a Per Connection Classifier leírásban leírtakat, már ott elakadok, hogy a digi esetében a 'check-gateway=ping' nem működik. A remote address 10.0.0.1, ami a pingre nem válaszol.
Csinált már valaki ilyesmit? -
#15312
Pizzafutar
aktív tag
Pizzafutar
aktív tag
Mi az aktuális helyzet, a Mikrotik támogatja a Cisco-féle DMVPN-t?
-
#3946
Pizzafutar
aktív tag
e90lci
#3943
Pizzafutar
aktív tag
Röviden, a HGW a 192.168.0.1, DMZ-nek beállítva 192.168.0.2, dupla nat. A HGW egyik portja bekötve a 2011UiAS-2HnD ether1 if-re, ami normál módon natolva van a default vlan-on. Ez eddig teljesen átlagos konfig.
Az extra, hogy a HGW másik portja rá van kötve az ether2 if-re, ami switch-elve van a 100-as vlan-ra.
A switch1 konfig igy néz ki:
port print
# NAME SWITCH VLAN-MODE VLAN-HEADER DEFAULT-VLAN-ID
1 ether1 switch1 disabled leave-as-is auto
2 ether2 switch1 secure always-strip 100
3 ether3-master switch1 secure always-strip 1
4 ether4 switch1 secure always-strip 1
5 ether5 switch1 secure add-if-missing 1
11 switch1-cpu switch1 secure always-strip 1vlan print
# SWITCH VLAN-ID PORTS
0 switch1 100 ether5 ether2
1 switch1 1 ether3-master ether4 ether5 switch1-cpuLátszik, hogy az ether5 trunk módban van, az 1-es def. vlan-on megy rajt a normál nat-olt ip forgalom, a 100-on pedig a switch-elt forgalom. Az ether5 másik végén egy cisco switch van, ahol az IPTV box portjára a 100-as vlan van kiengedve, a többire pedig a default vlan.
Ezen a módon az IPTV forgalma teljesen el van különítve a hálózat többi forgalmától. Persze ehhez egy managelhető switch is kell, esetemben egy Cisco SLM2008. -
#3942
Pizzafutar
aktív tag
e90lci
#3935
-
#2594
Pizzafutar
aktív tag
MtHq
#2592
-
#2591
Pizzafutar
aktív tag
Pizzafutar
aktív tag
Annyit változtattam a leírt konfiguráción, hogy a switch1 cpu portját is felvettem a 100-as vlan-ba (ports=ether5, switch1-cpu), valamint a vlan interfészt a bridge-re raktam (/interface vlan add name=vlan100 vlan-id=100 interface=bridge) az ether5 helyett. Így az első tesztek szerint működik.
Amit szeretnék megvalósítani: az IPTV forgalmat amennyire lehet elkülöníteni a többitől. Jelenleg adottak a következő eszközök:
T-Home HGW - MikroTik 2011 - Cisco 3008 switch - IPTV Box
A MikroTik és a Cisco switch közt trunk kapcsolat lenne, amelyben az IPTV Box forgalma külön VLAN-on menne a switch egyik portjához hozzárendelve.Az egyik megoldás az lehetne, hogy a MikroTik két porton csatlakozik a HGW-hez: az egyiket NAT-olja a szokott módon, a másikat pedig switch-eli a VLAN-ra. Előnye hogy a switch-en belül megoldható, viszont két összeköttetés kell a HGW és MikroTik közt. A kettő ugyan egymás mellett van, de ez nem tudom mennyire elegáns megoldás.
A második megoldás az lehetne, hogy létrehozni egy VLAN interfészt, a defaulthoz hasonlóan külön IP tartománnyal, NAT-al, DHCP-vel, és csak erre beállítani egy IGMP proxy-t. Majd ezt a forgalmat átvinni a trunk kapcsolaton Cisco switch-re. Ez az, ami eddig sehogy sem akart összejönni...
-
#2588
Pizzafutar
aktív tag
SimLockS
#2587
-
#2586
Pizzafutar
aktív tag
Pizzafutar
aktív tag
Egyszer már feldobtam a kérdést, de nem sikerült megoldanom a feladatot: szeretnék 802.1q vlan-t beállítani 2011UiAS-2HnD routeren. Az a célom, hogy az 5. porton menjen keresztül a normál forgalom és a 100-as vlan is - azt hiszem ezt hívják hibrid konfigurációnak.
Egy működő konfigot az alábbiakkal bővítettem ki:
/interface ethernet switch vlan
add ports=ether5 switch=switch1 vlan-id=100/interface ethernet switch port
set ether5 vlan-mode=check vlan-header=add-if-missing default-vlan-id=0/interface vlan
add name=vlan100 vlan-id=100 interface=ether5/ip address add address=192.168.2.1/24 interface=vlan001
Tesztelésként, az 5. portra rádugtam egy linuxot, amire felvettem a 100-as vlant fix IP címmel:
sudo modprobe 8021q
sudo vconfig add enp9s0 100
sudo ip addr add 192.168.2.2/24 broadcast 192.168.2.255 dev enp9s0.100
sudo ifconfig enp9s0.100 upA cél az lenne, hogy pingelhető legyen a routerről a linux nem tagolt interfésze a 192.168.1.xxx címen és a vlan interfész 192.168.2.2 fix IP címe is. Ez így nem sikerült.
Hogy lehet ezt megoldani, mi a hiba?
-
#2400
Pizzafutar
aktív tag
Pizzafutar
aktív tag
Szeretnék egy Mikrotik router és egy régi DD-WRT-s Linksys router közt 802.1Q taged VLAN-t létrehozni. Ez jelenleg két DD-WRT-vel működik (VLAN id=1 és 3), de az RB2011-es Mikrotiket valamiért nem sikerült beállítanom.
Ez lenne a konfig:
/interface ethernet switch vlan
add ports=ether5 switch=switch1 vlan-id=1
add ports=ether5 switch=switch1 vlan-id=3
/interface ethernet switch port
set ether5 vlan-mode=secure vlan-header=add-if-missing default-vlan-id=1
/interface vlan
add name=vlan1 vlan-id=1 interface=ether5
add name=vlan3 vlan-id=3 interface=ether5Mi lehet a probléma?
Új hozzászólás Aktív témák
Hirdetés
ekkold
- HP Spectre x360 Érintős Hajtogatós Laptop Tab 16" -60% i7-1360P 32/2TB Intel Arc A370M 4GB UHD OLED
- Szép! Lenovo Thinkpad T14s G2 Üzleti "Golyóálló" Laptop 14" -60% i5-1135G7 4Mag 16GB /512GB FHD IPS
- Samsung Q80T 55" QLED - 4K 120Hz VRR / FreeSync / HDMI 2.1
- ÚJ HP ENVY 17 Nagyképernyős "Kis Gamer" Laptop -45% 17,3" Brutál i7-13700H 16/1TB Iris Xe FHD IPS
- Legion Go 8APU1
- Bomba ár! Dell Latitude E6430 - i5-3GEN I 8GB I 320GB I HDMI I 14" HD I Cam I W10 I Garancia!
- Azonnali készpénzes AMD Radeon RX 6000 sorozat videokártya felvásárlás személyesen/csomagküldéssel
- Lenovo ThinkCentre M720s SFF / M920T tower -Számla, garancia, WIN11
- 129 - Lenovo Legion Pro 7 (16ARX8H) - AMD Ryzen 9 7945HX, RTX 4080
- AKCIÓ! "ÚJ" Microsoft Surface 5 13,5 notebook - i5 1235U 8GB RAM 256GB SSD Intel Iris Xe IGP 27% áfa
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest