• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
    • přihlásit
    registrace
    ztracené heslo?
    SHORTYMikrotik, Alix a jina mala reseni... Arduino, RaspberryPi, Mikrotik, Alix a jina mala reseni...
    CHOROBA
    CHOROBA --- ---
    1 odpověď
    jo ten posledni odstavec sem asi nedocetl ;)
    tak dej jenom routu ty vzdaleny site pres lokalni ip toho tunelu, by melo jit.
    nejsem si jistej tim acceptem v NATu, nepamatuju si packet flow. esli je driv route nebo nat
    LEXXA
    LEXXA --- ---
    CHOROBA: tak to mam a nejede mi netflow. prave proto to chci podelat a hrnout to pres VTI, tohle a to ze jakmile budu mit neco fyzickeho ceho se muzu chytnout muzu markovat pakety a na zaklade toho stavet queue tak nejak hezcejc nez "dst-address=!ip mark neco"
    jakmile se to zprovozni budu moct ric ze cokoliv co tece tim ifacem ma takovou a makovou prioritu a jedno kdo s kym komunikuje
    CHOROBA
    CHOROBA --- ---
    172.16.6.3/24 =172.16.3.0/28 :) a vubec si to uprav jak to mas ty
    CHOROBA
    CHOROBA --- ---
    1 odpověď
    LEXXA: si nastav normalni tunnel bez VTI/Tun0 etc. a dej si deny v NAT tabulce uplne nahoru. IMHO jednodussi na propojeni dvou siti, kdyz nepotrebujes zadny dalsi site routovat

    ip ipsec

    0 address=62.168.x.x/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="hablabla" generate-policy=no policy-template-group=default exchange-mode=main
    send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128 dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

    1 src-address=172.16.1.0/24 src-port=any dst-address=172.16.3.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=46.234.x.x
    sa-dst-address=62.168.x.x proposal=default priority=0

    ip nat

    1 chain=srcnat action=accept src-address=172.16.1.0/24 dst-address=172.16.6.3/24 log=no log-prefix=""
    LEXXA
    LEXXA --- ---
    1 odpověď
    a zase ja. a tentokrat je to uz skutence moje absence predstavivosti a vseobecna demence.

    mam 2 lokace.
    otevru eoip tunel s ipsecem.

    lokace 1
    lan 172.16.1.0/28
    eoip 172.16.2.1/30
    route 172.16.3.0/28 via 172.16.2.2

    lokace 2
    lan 172.16.3.0/28
    eoip 172.16.2.2/30
    route 172.16.1.0/28 via 172.16.2.1

    spojeni se navaze. mam dynamicky ipsec peer, mam dynamickou policy
    z routeru si pingnu jak opacnou stranu eoip tuneli tak i lan ip routeru.
    otazka je jak to vynatovat aby klienty na sebe videli.


    ted mam p2p ipsec peer s politikama a natem a vse funguje jak ma ale radsi bych mel interface a routy (aby se mi jednoduseji a spolehliveji shapovat provoz a docela rad bych v lokaci1 rozbehal netflow pro oba routery).
    vim ze je to nejaka naprosta hovadina jak zprovoznit 172.16.1.0/28 <-> 172.16.2.0/30 <-> 172.16.3.0/28 ale nemuzu za boha na to prijit.
    LEXXA
    LEXXA --- ---
    GHORMOON: jaksi nevim co na to rict. tohle jsem zkousel predevcirem a nejelo to. dnes dam jen enable a nazdar hotovo, dekuji.
    GHORMOON
    GHORMOON --- ---
    1 odpověď
    LEXXA: ano, ten jede wan link dal jako limit na in interface, aby ti to pravidlo nezabiralo z lokalniho bridge ;)
    LEXXA
    LEXXA --- ---
    1 odpověď
    GHORMOON: nemam ale ja mam jen jeden WAN link
    GHORMOON
    GHORMOON --- ---
    1 odpověď
    LEXXA: mas tam omezene in interface nebo nejaky podobny pravidlo na tom portforwardu?
    LEXXA
    LEXXA --- ---
    1 odpověď
    potreboval bych poradit.
    mam mikrotik jako domaci router, dst-nat resim pres masquerade.
    chci udelat port forward zvenci dovnitr na danou IP na tcp/443
    vse funguje do okamziku kdy jiny klient v siti jde na https stranku. pak ten paket jde dle port forward pravidla na muj web server.
    za boha nemuzu prijit na to jak tyhle dve veci skloubit dohromady
    MARECEK
    MARECEK --- ---
    +1
    MARECEK: Nakonec jsem to splacal nejak takhle:
    
:local routingmark;
:local pvpniface;
:local addresslist;
:set routingmark "vpn";
:set pvpniface "PureVPN_pptp"
:set addresslist "TO_VPN"

:if ([/ip route find routing-mark=$routingmark] != "") do {:log warning "PureVPN route exists - OK"} else {/ip route add dst-address="0.0.0.0/0" gateway=$pvpniface routing-mark=$routingmark comment=PureVPN_static check-gateway=ping;
:log warning "PureVPN route does not exists - NOK"};

:if ([/ip firewall nat find out-interface=$pvpniface action=masquerade] != "") do {:log warning "PureVPN NAT exists - OK"} else {/ip firewall nat add chain=srcnat out-interface=$pvpniface action=masquerade;
:log warning "PureVPN NAT does not exists - NOK"};

:if ([/ip firewall mangle find comment="PureVPN_mangle"] != "") do {:log warning "PureVPN MARK exists - OK"} else {/ip firewall mangle add chain=prerouting src-address-list=$addresslist action=mark-routing new-routing-mark=$routingmark comment="PureVPN_mangle" passthrough=yes;
:log warning "PureVPN MARK does not exists - NOK"};



    Otazkou ale stale zustava jak to spustit po pripojeni ty vpn - poustet to treba kazdou pulhodinu pro pripad ze po 3 dnech se restartne vpn mi prijde takovy divny...
    MARECEK
    MARECEK --- ---
    1 odpověď
    Muzu nekoho poprosit jestli by mi pomoh s naprosto jednoduchym scriptem pro mikrotika?
    Mam pptp klienta ale stava se ze mi to spojeni spadne a mikrotik ho hned navaze znovu. Problem s tim je, ze v tu chvili mi zmizi mangle prvidlo na oznacovani paketu co chci pres tu vpn posialt, zmizi mi maskarada a zmizi mi gateway...
    Napadlo me, ze bych mohl mit script co by se spustil pri navazani toho pptp spojeni - umi to? Jak by takovy script co mi znova nahodi ty 3 veci vypadal?
    Omlouvam se ze se ptam ja debil ale mikrotika mam ted zase po par letech a scripty jsem jeste moc nestudoval...

    diky!
    DICK85
    DICK85 --- ---
    CHILDINTIME: Máme je nasazené v třech logistických halách. Jako AP pro čtečky a mobilní tiskárny.
    DICK85
    DICK85 --- ---
    CHOROBA: Díky
    VLASTIS: Díky
    AQUARIUS
    AQUARIUS --- ---
    VLASTIS: teoreticky by mel taky podobne fungovat Zero handoff rezim u unifi
    CHILDINTIME
    CHILDINTIME --- ---
    1 odpověď
    a mate s mikrotik capsman nekdo nejake vetsi zkusenosti? jinak z levnejsich reseni s kontrolerem je myslim docela dobry ubnt unify, ale uplne 'enterprise' to taky neni. Capsman budu nejspis testovat.
    CHOROBA
    CHOROBA --- ---
    VLASTIS: presne tak.
    VLASTIS
    VLASTIS --- ---
    3 odpovědi
    CHOROBA: DICK85: moje zkusenost je taková, že je lepší na skladové hospodářství používat kontrolerem řízené řešení - aplikace pro HHT většinou nepřekousnou výpadek delší jak vteřinu (verim, ze dobře napsaná aplikace s tm problém nemá..

    Roaming zařízení je promárné řešen na úrovni klienta (moc nedoporucuju agresivni mod)
    AP mu jsou pro lepsi rozhodovani poslat informaci o obsazenosti/vytížení jednotlivých AP

    Pro skladové hospodařství může být dobré řešení Ruckus a jeho smartcell(nebo jiny TM), kdy se množina AP tváří jako jedno AP a client ze svého pohledu vůbec neroamuje
    CHOROBA
    CHOROBA --- ---
    2 odpovědi
    rychlejsi roaming bejva vetsinou zalezitosti kontroleru APcek. otazka esli ti v tomdle nejak hodne pomuze capsman od Mikrotiku, nebo budes potrebovat lepsi accesspointy rizeny poradnym kontrolerem.(ruckus, aruba,cisco.....)
    DICK85
    DICK85 --- ---
    1 odpověď
    Ahoj, řeším problém: ve skladu mám wifi pokrytí pro mobilní čtečky a mobilní tiskárny řešení pomocí cAP-2n.
    Lze docílit toho aby si jednotlivé prvky předávali zařízení nějak inteligentně. Nastavení je takové že dle síly signálu ho jeden prvek drží a až překročí hranici chytáho další prvek. Notifikace je přes mac- A při každém přepojení mi vznikne krátký výpadek a čas od času mi to položí aplikaci ve čtečce a nedá se načítat. Nelze nějak docíli toho že si nejdřív prvky domluvej předání?
    Díky
    Kliknutím sem můžete změnit nastavení reklam