Mikrotik, Alix a jina mala reseni... Arduino, RaspberryPi, Mikrotik, Alix a jina mala reseni...

MARECEK --- --- 19:59:56 20.6.2016

Prosim vas potreboval bych trochu poradit.....
Mam doma mikrotika co ma porty 1-4 na swich chipu a vsechny porty mam nastaveny jako soucast switche.
Na switchi mi jede normalni provoz (presnejc receno je tam povesenej velkej switch na kterym je vsechno) a mimo jine, tam jde tagovanej provoz z vlany, na ktery jede guestova wifina.
Netagovany provoz ma klasicky 192.168.1.0/24, dhcp server atd atd atd. a je v pohode.
Na eth1 coz je master port toho switche, jsem udelal vlan interface s id ty vlany, dal tomu vlan iface adresu 192.168.2.1/24, udelal dhcp server co jede na tomhle vlan interface a rozdava adresy s rozsahem 192.168.2.X, povolil na input chainu pristup adres z 192.168.2.X.
....ale proste neprojdu a nedostanu adresu....


[admin@MikroTik] /interface vlan> print
Flags: X - disabled, R - running, S - slave 
 #    NAME                                                                               MTU ARP        VLAN-ID INTERFACE                                                                           
 0 R  GUEST_VLAN                                                                        1500 enabled        200 ether1  

[admin@MikroTik] /ip dhcp-server> print
Flags: X - disabled, I - invalid 
 #   NAME                                            INTERFACE                                            RELAY           ADDRESS-POOL                                            LEASE-TIME ADD-ARP
 0   DHCP1                                           ether1                                                               dhcp_pool1                                              1w        
 1   DHCP2                                           GUEST_VLAN                                                           guest_pool                                              10m  

[admin@MikroTik] /ip address> print
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                                                                                                                                   
 0   192.168.1.1/24     192.168.1.0     ether1                                                                                                                                                                                                                                                                                                      
 3   192.168.2.1/24     192.168.2.0     GUEST_VLAN  

[admin@MikroTik] /interface ethernet switch port> print
Flags: I - invalid 
 #   NAME                                                                       SWITCH                                                                      VLAN-MODE VLAN-HEADER    DEFAULT-VLAN-ID
 0   ether1                                                                     switch1                                                                     fallback  leave-as-is               auto
 1   ether2                                                                     switch1                                                                     fallback  leave-as-is               auto
 2   ether3                                                                     switch1                                                                     fallback  leave-as-is               auto
 3   ether4                                                                     switch1                                                                     fallback  leave-as-is               auto
 4   switch1-cpu                                                                switch1                                                                     fallback  leave-as-is               auto

Zapomnel jsem na neco?

diky za radu!

CHOROBA --- --- 15:09:42 20.6.2016

CHINOXR: jo, setkal, problem vyresila vymena starejch HP switchu :/

LEXXA: sikovnej! ;)

LEXXA --- --- 14:55:14 20.6.2016

1 odpověď +1

JOINTER: ja uplne nepochopil jak ten safe mode funguje ale ano, to je presne ta situace kdy by se hodil. nicmene mne se nejak sesypala nand pamet na 800ce takze stejne jsem musel jet a delat instalaci pres netinstall.
CHOROBA: btw. kdyz jsem sundal NATy z policy-based tunelu tak se EoIP rozbehlo samo. pouziva to nativni routovani a aby to nebylo malo tak netflow funguje uzasne. ted mam prehled o tom co se mi deje na obou lokalitach a chodi mi dokonc emaily kdyz dostupnost klesne pod podepsanou SLA

CHINOXR --- --- 14:43:14 20.6.2016

1 odpověď

Zdravim , nesetkal se nekdo s problemem u RB750, ze vsechny eth jedou na 100MB misto 1GB (drive nam to tak behalo, zkouseli jsme vymenit kabely, switche jsou 1GB, zkouseli jsme i force 1GB na obou stranach ale to nam link uplne spadl, zkouseli jsme i jine napajeni) ... je mozne ze by pro vsechny eth platilo 100MB v pripade ze jeden z portu takovy link ma a nepustilo by to tedy ty zbyvajici na ten 1GB?

Dik za tipy

JOINTER --- --- 14:12:00 19.6.2016

1 odpověď

LEXXA: To delej ve Winboxu v safe modu, kdyz to podelas tak, ze se to odpoji, vrati se to zpatky. Teda pokud je to situace kdy pres tunel delas neco na druhy strane. Ja bych jel jen 60km ale i tak...

LEXXA --- --- 13:35:10 16.6.2016

1 odpověď

CHOROBA: pred tydnem se mi to povedlo. ale to jsem psal rychleji nez jsem myslel :)

CHOROBA --- --- 13:34:04 16.6.2016

1 odpověď

:0) tak rpistupy ti to snad neshodi

LEXXA --- --- 13:08:06 16.6.2016

CHOROBA: takze lze predpokladat, ze pokud vypnu nat z tunelu, kterej mi funguje se da ocekavat ze komunikace bude v cajku. tak to vecer zkusim a kdyz ne pojedu zas 200km to spravovat :)

CHOROBA --- --- 12:10:38 16.6.2016

2 odpovědi

tyve ja sem, nska votocenej ;)
dobre to mas

LEXXA --- --- 12:02:05 16.6.2016

CHOROBA: vzdyt to co pises nemuze fungovat.
sit1 - local_eoip - remote_eoip - seit2
routa na siti 1 bude sit2 via remote_eoip.
routa na siti 2 bude sit1 via local_eoip

CHOROBA --- --- 11:53:27 16.6.2016

1 odpověď

mam routu na kazdem mikrotiku, ktera odkazuje na vzdalenou sit a gw je definovana jako ip tunelu na druhe strane.
mam routu na kazdem mikrotiku, ktera odkazuje na vzdalenou sit a gw je definovana jako ip tunelu na PRVNI strane.

LEXXA --- --- 11:50:38 16.6.2016

CHOROBA: to je to. by melo jit. ale nechce se mu. mam routu na kazdem mikrotiku, ktera odkazuje na vzdalenou sit a gw je definovana jako ip tunelu na druhe strane.
mne nejde do hlavy jak rict tomu mikrotiku ze kdyz mu prijde request na eoip ip na ip z jeho vnitrniho range tak at me nesere na preposle to dal.

to jak to popsal policy-based tunel s natem funguje. ale jsou tam omezeni, ktere me serou.

CHOROBA --- --- 11:44:31 16.6.2016

1 odpověď

jo ten posledni odstavec sem asi nedocetl ;)
tak dej jenom routu ty vzdaleny site pres lokalni ip toho tunelu, by melo jit.
nejsem si jistej tim acceptem v NATu, nepamatuju si packet flow. esli je driv route nebo nat

LEXXA --- --- 11:17:01 16.6.2016

CHOROBA: tak to mam a nejede mi netflow. prave proto to chci podelat a hrnout to pres VTI, tohle a to ze jakmile budu mit neco fyzickeho ceho se muzu chytnout muzu markovat pakety a na zaklade toho stavet queue tak nejak hezcejc nez "dst-address=!ip mark neco"
jakmile se to zprovozni budu moct ric ze cokoliv co tece tim ifacem ma takovou a makovou prioritu a jedno kdo s kym komunikuje

CHOROBA --- --- 11:03:44 16.6.2016

172.16.6.3/24 =172.16.3.0/28 :) a vubec si to uprav jak to mas ty

CHOROBA --- --- 11:02:28 16.6.2016

1 odpověď

LEXXA: si nastav normalni tunnel bez VTI/Tun0 etc. a dej si deny v NAT tabulce uplne nahoru. IMHO jednodussi na propojeni dvou siti, kdyz nepotrebujes zadny dalsi site routovat

ip ipsec

0 address=62.168.x.x/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="hablabla" generate-policy=no policy-template-group=default exchange-mode=main
send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128 dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

1 src-address=172.16.1.0/24 src-port=any dst-address=172.16.3.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=46.234.x.x
sa-dst-address=62.168.x.x proposal=default priority=0

ip nat

1 chain=srcnat action=accept src-address=172.16.1.0/24 dst-address=172.16.6.3/24 log=no log-prefix=""

LEXXA --- --- 10:40:37 16.6.2016

1 odpověď

a zase ja. a tentokrat je to uz skutence moje absence predstavivosti a vseobecna demence.

mam 2 lokace.
otevru eoip tunel s ipsecem.

lokace 1
lan 172.16.1.0/28
eoip 172.16.2.1/30
route 172.16.3.0/28 via 172.16.2.2

lokace 2
lan 172.16.3.0/28
eoip 172.16.2.2/30
route 172.16.1.0/28 via 172.16.2.1

spojeni se navaze. mam dynamicky ipsec peer, mam dynamickou policy
z routeru si pingnu jak opacnou stranu eoip tuneli tak i lan ip routeru.
otazka je jak to vynatovat aby klienty na sebe videli.

ted mam p2p ipsec peer s politikama a natem a vse funguje jak ma ale radsi bych mel interface a routy (aby se mi jednoduseji a spolehliveji shapovat provoz a docela rad bych v lokaci1 rozbehal netflow pro oba routery).
vim ze je to nejaka naprosta hovadina jak zprovoznit 172.16.1.0/28 <-> 172.16.2.0/30 <-> 172.16.3.0/28 ale nemuzu za boha na to prijit.

LEXXA --- --- 10:49:56 14.6.2016

GHORMOON: jaksi nevim co na to rict. tohle jsem zkousel predevcirem a nejelo to. dnes dam jen enable a nazdar hotovo, dekuji.

GHORMOON --- --- 10:47:23 14.6.2016

1 odpověď

LEXXA: ano, ten jede wan link dal jako limit na in interface, aby ti to pravidlo nezabiralo z lokalniho bridge ;)

LEXXA --- --- 10:46:54 14.6.2016

1 odpověď

GHORMOON: nemam ale ja mam jen jeden WAN link

GHORMOON --- --- 10:46:10 14.6.2016

1 odpověď

LEXXA: mas tam omezene in interface nebo nejaky podobny pravidlo na tom portforwardu?

LEXXA --- --- 10:44:52 14.6.2016

1 odpověď

potreboval bych poradit.
mam mikrotik jako domaci router, dst-nat resim pres masquerade.
chci udelat port forward zvenci dovnitr na danou IP na tcp/443
vse funguje do okamziku kdy jiny klient v siti jde na https stranku. pak ten paket jde dle port forward pravidla na muj web server.
za boha nemuzu prijit na to jak tyhle dve veci skloubit dohromady

MARECEK --- --- 9:27:45 6.6.2016

MARECEK: Nakonec jsem to splacal nejak takhle:


:local routingmark;
:local pvpniface;
:local addresslist;
:set routingmark "vpn";
:set pvpniface "PureVPN_pptp"
:set addresslist "TO_VPN"

:if ([/ip route find routing-mark=$routingmark] != "") do {:log warning "PureVPN route exists - OK"} else {/ip route add dst-address="0.0.0.0/0" gateway=$pvpniface routing-mark=$routingmark comment=PureVPN_static check-gateway=ping;
:log warning "PureVPN route does not exists - NOK"};

:if ([/ip firewall nat find out-interface=$pvpniface action=masquerade] != "") do {:log warning "PureVPN NAT exists - OK"} else {/ip firewall nat add chain=srcnat out-interface=$pvpniface action=masquerade;
:log warning "PureVPN NAT does not exists - NOK"};

:if ([/ip firewall mangle find comment="PureVPN_mangle"] != "") do {:log warning "PureVPN MARK exists - OK"} else {/ip firewall mangle add chain=prerouting src-address-list=$addresslist action=mark-routing new-routing-mark=$routingmark comment="PureVPN_mangle" passthrough=yes;
:log warning "PureVPN MARK does not exists - NOK"};

Otazkou ale stale zustava jak to spustit po pripojeni ty vpn - poustet to treba kazdou pulhodinu pro pripad ze po 3 dnech se restartne vpn mi prijde takovy divny...

MARECEK --- --- 20:21:54 5.6.2016

1 odpověď

Muzu nekoho poprosit jestli by mi pomoh s naprosto jednoduchym scriptem pro mikrotika?
Mam pptp klienta ale stava se ze mi to spojeni spadne a mikrotik ho hned navaze znovu. Problem s tim je, ze v tu chvili mi zmizi mangle prvidlo na oznacovani paketu co chci pres tu vpn posialt, zmizi mi maskarada a zmizi mi gateway...
Napadlo me, ze bych mohl mit script co by se spustil pri navazani toho pptp spojeni - umi to? Jak by takovy script co mi znova nahodi ty 3 veci vypadal?
Omlouvam se ze se ptam ja debil ale mikrotika mam ted zase po par letech a scripty jsem jeste moc nestudoval...

diky!

DICK85 --- --- 13:32:23 1.6.2016

CHILDINTIME: Máme je nasazené v třech logistických halách. Jako AP pro čtečky a mobilní tiskárny.

DICK85 --- --- 13:31:24 1.6.2016

CHOROBA: Díky
VLASTIS: Díky

AQUARIUS --- --- 8:53:47 1.6.2016

VLASTIS: teoreticky by mel taky podobne fungovat Zero handoff rezim u unifi

CHILDINTIME --- --- 20:23:18 31.5.2016

1 odpověď

a mate s mikrotik capsman nekdo nejake vetsi zkusenosti? jinak z levnejsich reseni s kontrolerem je myslim docela dobry ubnt unify, ale uplne 'enterprise' to taky neni. Capsman budu nejspis testovat.

CHOROBA --- --- 15:00:43 31.5.2016

VLASTIS: presne tak.

VLASTIS --- --- 14:06:33 31.5.2016

3 odpovědi

CHOROBA: DICK85: moje zkusenost je taková, že je lepší na skladové hospodářství používat kontrolerem řízené řešení - aplikace pro HHT většinou nepřekousnou výpadek delší jak vteřinu (verim, ze dobře napsaná aplikace s tm problém nemá..

Roaming zařízení je promárné řešen na úrovni klienta (moc nedoporucuju agresivni mod)
AP mu jsou pro lepsi rozhodovani poslat informaci o obsazenosti/vytížení jednotlivých AP

Pro skladové hospodařství může být dobré řešení Ruckus a jeho smartcell(nebo jiny TM), kdy se množina AP tváří jako jedno AP a client ze svého pohledu vůbec neroamuje

Kliknutím sem můžete změnit nastavení reklam

přezdívka
heslo

pamatuj si mě
registrace
ztracené heslo?