CHOROBA: tam ja chytim uplnu kulovy tak ze predpokladam ze z nejakyho duvodu ta vlana nedorazi do toho interfacu - coz je jeste vetsi zahada....
Tak ze me napada - vlan mode mam nastaveny na fallback coz mi prislo takovy nejvic friendly - je to ok?
Kdyz nevidim ani paket, znamena to ze to tam vubec neprijde (tzn. ze to nedela treba firewall)...?
Jaky je rozdil mezi:

[admin@MikroTik] /interface ethernet switch vlan> print
Flags: X - disabled, I - invalid 
 #   SWITCH                                                                                       VLAN-ID PORTS                                                                                     
 0   switch1                                                                                          200 ether1              


[admin@MikroTik] /interface vlan> print
Flags: X - disabled, R - running, S - slave 
 #    NAME                                                                               MTU ARP        VLAN-ID INTERFACE                                                                           
 0 R  GUEST_VLAN                                                                        1500 enabled        200 ether1                                                                              
 1 R  ;;; IPTV
      vlan_tv                                                                           1500 enabled        949 ether8  

Kde v pripade switche chci tu vlanu definovat??

dik

MARECEK: si pust v mikrotiku na ty vlan 200 packet capture, uvidis aspon, esli ti nejakej dhcp request dorazi, se ti [ak bude lip hledat wtf

AQUARIUS:

[admin@MikroTik] > /ip dhcp-server network print
 # ADDRESS            GATEWAY         DNS-SERVER      WINS-SERVER     DOMAIN                                                                                                                        
 0 192.168.1.0/24     192.168.1.1     192.168.1.1    
 1 192.168.2.0/24     192.168.2.1     8.8.8.8      

MARECEK: jak vypada

ip dhcp-server network print

?

Prosim vas potreboval bych trochu poradit.....
Mam doma mikrotika co ma porty 1-4 na swich chipu a vsechny porty mam nastaveny jako soucast switche.
Na switchi mi jede normalni provoz (presnejc receno je tam povesenej velkej switch na kterym je vsechno) a mimo jine, tam jde tagovanej provoz z vlany, na ktery jede guestova wifina.
Netagovany provoz ma klasicky 192.168.1.0/24, dhcp server atd atd atd. a je v pohode.
Na eth1 coz je master port toho switche, jsem udelal vlan interface s id ty vlany, dal tomu vlan iface adresu 192.168.2.1/24, udelal dhcp server co jede na tomhle vlan interface a rozdava adresy s rozsahem 192.168.2.X, povolil na input chainu pristup adres z 192.168.2.X.
....ale proste neprojdu a nedostanu adresu....

[admin@MikroTik] /interface vlan> print
Flags: X - disabled, R - running, S - slave 
 #    NAME                                                                               MTU ARP        VLAN-ID INTERFACE                                                                           
 0 R  GUEST_VLAN                                                                        1500 enabled        200 ether1  

[admin@MikroTik] /ip dhcp-server> print
Flags: X - disabled, I - invalid 
 #   NAME                                            INTERFACE                                            RELAY           ADDRESS-POOL                                            LEASE-TIME ADD-ARP
 0   DHCP1                                           ether1                                                               dhcp_pool1                                              1w        
 1   DHCP2                                           GUEST_VLAN                                                           guest_pool                                              10m  

[admin@MikroTik] /ip address> print
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                                                                                                                                   
 0   192.168.1.1/24     192.168.1.0     ether1                                                                                                                                                                                                                                                                                                      
 3   192.168.2.1/24     192.168.2.0     GUEST_VLAN  

[admin@MikroTik] /interface ethernet switch port> print
Flags: I - invalid 
 #   NAME                                                                       SWITCH                                                                      VLAN-MODE VLAN-HEADER    DEFAULT-VLAN-ID
 0   ether1                                                                     switch1                                                                     fallback  leave-as-is               auto
 1   ether2                                                                     switch1                                                                     fallback  leave-as-is               auto
 2   ether3                                                                     switch1                                                                     fallback  leave-as-is               auto
 3   ether4                                                                     switch1                                                                     fallback  leave-as-is               auto
 4   switch1-cpu                                                                switch1                                                                     fallback  leave-as-is               auto

Zapomnel jsem na neco?

diky za radu!

Zdravim , nesetkal se nekdo s problemem u RB750, ze vsechny eth jedou na 100MB misto 1GB (drive nam to tak behalo, zkouseli jsme vymenit kabely, switche jsou 1GB, zkouseli jsme i force 1GB na obou stranach ale to nam link uplne spadl, zkouseli jsme i jine napajeni) ... je mozne ze by pro vsechny eth platilo 100MB v pripade ze jeden z portu takovy link ma a nepustilo by to tedy ty zbyvajici na ten 1GB?

Dik za tipy

LEXXA: To delej ve Winboxu v safe modu, kdyz to podelas tak, ze se to odpoji, vrati se to zpatky. Teda pokud je to situace kdy pres tunel delas neco na druhy strane. Ja bych jel jen 60km ale i tak...

CHOROBA: pred tydnem se mi to povedlo. ale to jsem psal rychleji nez jsem myslel :)

:0) tak rpistupy ti to snad neshodi

CHOROBA: takze lze predpokladat, ze pokud vypnu nat z tunelu, kterej mi funguje se da ocekavat ze komunikace bude v cajku. tak to vecer zkusim a kdyz ne pojedu zas 200km to spravovat :)

tyve ja sem, nska votocenej ;)
dobre to mas

CHOROBA: vzdyt to co pises nemuze fungovat.
sit1 - local_eoip - remote_eoip - seit2
routa na siti 1 bude sit2 via remote_eoip.
routa na siti 2 bude sit1 via local_eoip

mam routu na kazdem mikrotiku, ktera odkazuje na vzdalenou sit a gw je definovana jako ip tunelu na druhe strane.
mam routu na kazdem mikrotiku, ktera odkazuje na vzdalenou sit a gw je definovana jako ip tunelu na PRVNI strane.

CHOROBA: to je to. by melo jit. ale nechce se mu. mam routu na kazdem mikrotiku, ktera odkazuje na vzdalenou sit a gw je definovana jako ip tunelu na druhe strane.
mne nejde do hlavy jak rict tomu mikrotiku ze kdyz mu prijde request na eoip ip na ip z jeho vnitrniho range tak at me nesere na preposle to dal.

to jak to popsal policy-based tunel s natem funguje. ale jsou tam omezeni, ktere me serou.

jo ten posledni odstavec sem asi nedocetl ;)
tak dej jenom routu ty vzdaleny site pres lokalni ip toho tunelu, by melo jit.
nejsem si jistej tim acceptem v NATu, nepamatuju si packet flow. esli je driv route nebo nat

CHOROBA: tak to mam a nejede mi netflow. prave proto to chci podelat a hrnout to pres VTI, tohle a to ze jakmile budu mit neco fyzickeho ceho se muzu chytnout muzu markovat pakety a na zaklade toho stavet queue tak nejak hezcejc nez "dst-address=!ip mark neco"
jakmile se to zprovozni budu moct ric ze cokoliv co tece tim ifacem ma takovou a makovou prioritu a jedno kdo s kym komunikuje

172.16.6.3/24 =172.16.3.0/28 :) a vubec si to uprav jak to mas ty

LEXXA: si nastav normalni tunnel bez VTI/Tun0 etc. a dej si deny v NAT tabulce uplne nahoru. IMHO jednodussi na propojeni dvou siti, kdyz nepotrebujes zadny dalsi site routovat

ip ipsec

0 address=62.168.x.x/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="hablabla" generate-policy=no policy-template-group=default exchange-mode=main
send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128 dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

1 src-address=172.16.1.0/24 src-port=any dst-address=172.16.3.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=46.234.x.x
sa-dst-address=62.168.x.x proposal=default priority=0

ip nat

1 chain=srcnat action=accept src-address=172.16.1.0/24 dst-address=172.16.6.3/24 log=no log-prefix=""