Mikrotik, Alix a jina mala reseni... Arduino, RaspberryPi, Mikrotik, Alix a jina mala reseni...

MARECEK --- --- 10:53:56 21.6.2016


[admin@MikroTik] > /ip dhcp-server network print
 # ADDRESS            GATEWAY         DNS-SERVER      WINS-SERVER     DOMAIN                                                                                                                        
 0 192.168.1.0/24     192.168.1.1     192.168.1.1    
 1 192.168.2.0/24     192.168.2.1     8.8.8.8

AQUARIUS --- --- 9:54:57 21.6.2016

1 odpověď

MARECEK: jak vypada

ip dhcp-server network print

MARECEK --- --- 19:59:56 20.6.2016

2 odpovědi

Prosim vas potreboval bych trochu poradit.....
Mam doma mikrotika co ma porty 1-4 na swich chipu a vsechny porty mam nastaveny jako soucast switche.
Na switchi mi jede normalni provoz (presnejc receno je tam povesenej velkej switch na kterym je vsechno) a mimo jine, tam jde tagovanej provoz z vlany, na ktery jede guestova wifina.
Netagovany provoz ma klasicky 192.168.1.0/24, dhcp server atd atd atd. a je v pohode.
Na eth1 coz je master port toho switche, jsem udelal vlan interface s id ty vlany, dal tomu vlan iface adresu 192.168.2.1/24, udelal dhcp server co jede na tomhle vlan interface a rozdava adresy s rozsahem 192.168.2.X, povolil na input chainu pristup adres z 192.168.2.X.
....ale proste neprojdu a nedostanu adresu....


[admin@MikroTik] /interface vlan> print
Flags: X - disabled, R - running, S - slave 
 #    NAME                                                                               MTU ARP        VLAN-ID INTERFACE                                                                           
 0 R  GUEST_VLAN                                                                        1500 enabled        200 ether1  

[admin@MikroTik] /ip dhcp-server> print
Flags: X - disabled, I - invalid 
 #   NAME                                            INTERFACE                                            RELAY           ADDRESS-POOL                                            LEASE-TIME ADD-ARP
 0   DHCP1                                           ether1                                                               dhcp_pool1                                              1w        
 1   DHCP2                                           GUEST_VLAN                                                           guest_pool                                              10m  

[admin@MikroTik] /ip address> print
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                                                                                                                                   
 0   192.168.1.1/24     192.168.1.0     ether1                                                                                                                                                                                                                                                                                                      
 3   192.168.2.1/24     192.168.2.0     GUEST_VLAN  

[admin@MikroTik] /interface ethernet switch port> print
Flags: I - invalid 
 #   NAME                                                                       SWITCH                                                                      VLAN-MODE VLAN-HEADER    DEFAULT-VLAN-ID
 0   ether1                                                                     switch1                                                                     fallback  leave-as-is               auto
 1   ether2                                                                     switch1                                                                     fallback  leave-as-is               auto
 2   ether3                                                                     switch1                                                                     fallback  leave-as-is               auto
 3   ether4                                                                     switch1                                                                     fallback  leave-as-is               auto
 4   switch1-cpu                                                                switch1                                                                     fallback  leave-as-is               auto

Zapomnel jsem na neco?

diky za radu!

CHOROBA --- --- 15:09:42 20.6.2016

CHINOXR: jo, setkal, problem vyresila vymena starejch HP switchu :/

LEXXA: sikovnej! ;)

LEXXA --- --- 14:55:14 20.6.2016

1 odpověď +1

JOINTER: ja uplne nepochopil jak ten safe mode funguje ale ano, to je presne ta situace kdy by se hodil. nicmene mne se nejak sesypala nand pamet na 800ce takze stejne jsem musel jet a delat instalaci pres netinstall.
CHOROBA: btw. kdyz jsem sundal NATy z policy-based tunelu tak se EoIP rozbehlo samo. pouziva to nativni routovani a aby to nebylo malo tak netflow funguje uzasne. ted mam prehled o tom co se mi deje na obou lokalitach a chodi mi dokonc emaily kdyz dostupnost klesne pod podepsanou SLA

CHINOXR --- --- 14:43:14 20.6.2016

1 odpověď

Zdravim , nesetkal se nekdo s problemem u RB750, ze vsechny eth jedou na 100MB misto 1GB (drive nam to tak behalo, zkouseli jsme vymenit kabely, switche jsou 1GB, zkouseli jsme i force 1GB na obou stranach ale to nam link uplne spadl, zkouseli jsme i jine napajeni) ... je mozne ze by pro vsechny eth platilo 100MB v pripade ze jeden z portu takovy link ma a nepustilo by to tedy ty zbyvajici na ten 1GB?

Dik za tipy

JOINTER --- --- 14:12:00 19.6.2016

1 odpověď

LEXXA: To delej ve Winboxu v safe modu, kdyz to podelas tak, ze se to odpoji, vrati se to zpatky. Teda pokud je to situace kdy pres tunel delas neco na druhy strane. Ja bych jel jen 60km ale i tak...

LEXXA --- --- 13:35:10 16.6.2016

1 odpověď

CHOROBA: pred tydnem se mi to povedlo. ale to jsem psal rychleji nez jsem myslel :)

CHOROBA --- --- 13:34:04 16.6.2016

1 odpověď

:0) tak rpistupy ti to snad neshodi

LEXXA --- --- 13:08:06 16.6.2016

CHOROBA: takze lze predpokladat, ze pokud vypnu nat z tunelu, kterej mi funguje se da ocekavat ze komunikace bude v cajku. tak to vecer zkusim a kdyz ne pojedu zas 200km to spravovat :)

CHOROBA --- --- 12:10:38 16.6.2016

2 odpovědi

tyve ja sem, nska votocenej ;)
dobre to mas

LEXXA --- --- 12:02:05 16.6.2016

CHOROBA: vzdyt to co pises nemuze fungovat.
sit1 - local_eoip - remote_eoip - seit2
routa na siti 1 bude sit2 via remote_eoip.
routa na siti 2 bude sit1 via local_eoip

CHOROBA --- --- 11:53:27 16.6.2016

1 odpověď

mam routu na kazdem mikrotiku, ktera odkazuje na vzdalenou sit a gw je definovana jako ip tunelu na druhe strane.
mam routu na kazdem mikrotiku, ktera odkazuje na vzdalenou sit a gw je definovana jako ip tunelu na PRVNI strane.

LEXXA --- --- 11:50:38 16.6.2016

CHOROBA: to je to. by melo jit. ale nechce se mu. mam routu na kazdem mikrotiku, ktera odkazuje na vzdalenou sit a gw je definovana jako ip tunelu na druhe strane.
mne nejde do hlavy jak rict tomu mikrotiku ze kdyz mu prijde request na eoip ip na ip z jeho vnitrniho range tak at me nesere na preposle to dal.

to jak to popsal policy-based tunel s natem funguje. ale jsou tam omezeni, ktere me serou.

CHOROBA --- --- 11:44:31 16.6.2016

1 odpověď

jo ten posledni odstavec sem asi nedocetl ;)
tak dej jenom routu ty vzdaleny site pres lokalni ip toho tunelu, by melo jit.
nejsem si jistej tim acceptem v NATu, nepamatuju si packet flow. esli je driv route nebo nat

LEXXA --- --- 11:17:01 16.6.2016

CHOROBA: tak to mam a nejede mi netflow. prave proto to chci podelat a hrnout to pres VTI, tohle a to ze jakmile budu mit neco fyzickeho ceho se muzu chytnout muzu markovat pakety a na zaklade toho stavet queue tak nejak hezcejc nez "dst-address=!ip mark neco"
jakmile se to zprovozni budu moct ric ze cokoliv co tece tim ifacem ma takovou a makovou prioritu a jedno kdo s kym komunikuje

CHOROBA --- --- 11:03:44 16.6.2016

172.16.6.3/24 =172.16.3.0/28 :) a vubec si to uprav jak to mas ty

CHOROBA --- --- 11:02:28 16.6.2016

1 odpověď

LEXXA: si nastav normalni tunnel bez VTI/Tun0 etc. a dej si deny v NAT tabulce uplne nahoru. IMHO jednodussi na propojeni dvou siti, kdyz nepotrebujes zadny dalsi site routovat

ip ipsec

0 address=62.168.x.x/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="hablabla" generate-policy=no policy-template-group=default exchange-mode=main
send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128 dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

1 src-address=172.16.1.0/24 src-port=any dst-address=172.16.3.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=46.234.x.x
sa-dst-address=62.168.x.x proposal=default priority=0

ip nat

1 chain=srcnat action=accept src-address=172.16.1.0/24 dst-address=172.16.6.3/24 log=no log-prefix=""

LEXXA --- --- 10:40:37 16.6.2016

1 odpověď

a zase ja. a tentokrat je to uz skutence moje absence predstavivosti a vseobecna demence.

mam 2 lokace.
otevru eoip tunel s ipsecem.

lokace 1
lan 172.16.1.0/28
eoip 172.16.2.1/30
route 172.16.3.0/28 via 172.16.2.2

lokace 2
lan 172.16.3.0/28
eoip 172.16.2.2/30
route 172.16.1.0/28 via 172.16.2.1

spojeni se navaze. mam dynamicky ipsec peer, mam dynamickou policy
z routeru si pingnu jak opacnou stranu eoip tuneli tak i lan ip routeru.
otazka je jak to vynatovat aby klienty na sebe videli.

ted mam p2p ipsec peer s politikama a natem a vse funguje jak ma ale radsi bych mel interface a routy (aby se mi jednoduseji a spolehliveji shapovat provoz a docela rad bych v lokaci1 rozbehal netflow pro oba routery).
vim ze je to nejaka naprosta hovadina jak zprovoznit 172.16.1.0/28 <-> 172.16.2.0/30 <-> 172.16.3.0/28 ale nemuzu za boha na to prijit.

LEXXA --- --- 10:49:56 14.6.2016

GHORMOON: jaksi nevim co na to rict. tohle jsem zkousel predevcirem a nejelo to. dnes dam jen enable a nazdar hotovo, dekuji.

Kliknutím sem můžete změnit nastavení reklam

přezdívka
heslo

pamatuj si mě
registrace
ztracené heslo?