LEXXA: Ano, jedina logika. V adresach mam pouze VLAN MGMT a adresu v ni. Jinak nic. Nemam zadna pravidla, jde mi jen a pouze o switch a prenos provozu pres VLANy. Ono to vse chodi, ale ... Zkousel jsem test BANDWIDTH test a vysledek me vydesil. Ale potom jsem zjistil, ze je softwarovy a vytezuje CPU. Protlacil pres optiku z jednoho prvku na druhy UDP cca 400mbps a TCP cca 80mbps. Samotne rozhrani mi ukazuje pri kopirovani 970mbps. Takze ten test je asi dost orientacni. Pokud to mam nastavene dobre a jede to nejlepe, jak muze (nejen pres CPU), tak dobre ... budu hledat priciny jinde (tech prvku v siti je vice).

TOTAL: To tag untag je jedina logika v tom switchi nebo mas i pravidla nad tim?

SUK: Mam tam jen jeden bridge a pod nim definovanou pouze MANAGEMENT VLANu. A uvnitr toho bridge definovane porty s VLAN ID (tag, untag).

TOTAL: mas tam jen jeden br a pres nej vsechny vlany/porty?

Nevite nahodou nekdo kdy a jak lze cekat statefull configuration u dhcpv6 na mikrotiku?
Potreboval bych ridit pridelovani dhcp options podle klientu a jaksi trosku selhavam kdyz klient zacne davat prednost ipv6.

Zdravim vespolek, mam dotaz. Prosim, kdyby nekdo vedel ....

Mikrotik me dlouhou dobu mijel, ale ted jsem se mu uz nevyhnul a rovnou s VLAN. Zprovoznil jsem VLAN mezi switchi (rada CRS3x). Vse mi funguje, ale sit ma zvlastni latence. Tak si rikam, jestli to jede pres SWITCH CHIP. Mam vytvoreny bridge, kde mam definovanou VLAN (management) a ve vlastnostech bridge mam pridane dalsi VLAN tag-untag. Vytizeni CPU je do 10%. To vypada v poradku, ale ty latence ... Jako by to jelo pres CPU, ale vytizeny neni. HW OFFLOADING je na portech zapnuty. Diky moc za podnety.

E2E4: Asi mi unika uzitecnost v tom usecasu...

TEAPACK: No psal jsem ze pokud nemas nejaky technicky duvod proc Wireguard ne... Pak musis vybrat to co je kompatibilni s tim zarizenim.
Ja mel dlouho VPN na urovni Linux vrstvy z Android telefonu (pouzito jako GPS tracker) a to umelo jen PPTP, takze jsem mel pro tohle zarizeni to.
Ale mel jsem pocit ze jde o propojeni 3 lokalit a vsude je MK, ale mozna jsem to spatne pochopil.

jako na L2 je treba mikrotik uplne skvelej, EOIP v ipsecu...jen nastavis psk a probridgujes site
TEAPACK: to bude asi ten TS problem, ze yti nesedej match policies

TEAPACK:
-udelas iface typu wireguard s listen portem ktery je dostupny z netu. definujes mu adresu (ja davam neco z /30)
- na druhem mikrotiku udelas to same a definujes tu druhou adresu z /30 rozsahu
-prvni iface ma public key, ten si poznamenas
-druhy iface ma public key, ten si poznamenas
-na prvnim mikrotiku udelas peer s vlastnostma verejne adresy druheho mikrotiku, portu a public key druheho mikrotiku, ze slusnosti dame keepalive na 25s. allowed address bude ta /30 sit a kazdy objekt za druhem mikrotiku ktery chces videt (ip, rozsah, sit, cokoliv)
-na druhem mikrotiku udelas to same akorat zrcadlene.
-nastavis routy (cilova sit druheho skrz /30 adresa co je na prvnim)

jestli mas advanced firewall s iface listama tak to tam povol jak to potrebujes a hotovo. obecne bych neresil kdo je repsonder a kdo initiator, sve tunely vytvarim ze kazdy je initiator a kdyz vodafone skytne kdo se prvni probere proste vola tomu druhemu.
v tyhle chvili mas l2 a l3 konektivitu a nemusis resis podivnosti v policy based ipsecu kde ti nektere pakety neprolezou a podobne.

Jo a Wireguard ma i docela fajn klienta pro Windows, takovy jednoduchy a samo se to pripoji i po rebootu.

TEAPACK: L2TP bez IPSEC bylo easy nastavit, co se pamatuju. Ale nebylo to pak sifrovany. Na Wireguard jsem nasel nejaky navod.
Jedina drobnost je, ze je potreba v konfiguraci definovat range ktere ma VPN pustit zkrz. Plus je, ze nejsou potreba zadny protokoly jako GRE u PPTP a pro IPSEC tusim je potreba dokonce povolit dva porty.

CHOROBA: teď mi došlo, že na jednom místě mám sice interní IP routeru .0.1 a na druhém .1.1, ale celková síť prvního je od .0.0/20 jen na .1.0/24 nemá přiřazený žádný pool ani network... druhá strana nemá tak složitou síť, tak má jenom .1.1/24

LEXXA: na terminál obou se dostanu vždycky =)

JOINTER: mám všude mikrotiky a nejsem zaujatý proti ničemu, takže se nebráním, ale IPSec mi přišlo jako výrazně jednodušší než L2TP, které jsem taky nikdy nedotáhnul do fungujícího stavu...
naštěstí jsem zatím měl všude počítač s rozumným terminálem a nastavené schválené IP pro vzdálené připojení, takže to občas bylo trochu jako v Inception, ale vždycky jsem to zvládnul...