AQUARIUS: Jako cisco tak...15(? Sakra ja jsem starej)let zpatky

Mikrotik se vydal do novych vod... RouterOS enterprise Data Server

TOTAL: Na jakou poslední verzi? 6.x nebo 7.x? Mimochodem, včera vyšla 7.18, kolem crs3xx tam, pokud si správně vybavuju, pár změn je.

LEXXA: U tohoto jsem updatoval na posledni verzi, ale po ceste mam jeste dalsi. Na ty se podivam zitra (jen nemaji volne misto, tak budu zjistovat, jak updatovat ;) ). Je to sileny mix ;/


SUK: Zitra budu u toho, tak postnu ... diky moc za ochotu

Par CRS3neco jsem mel ted pujceny na akci, jelo mi tam Dante na separe VLAN pres 6 switchu (1x 150m 10G SM) a latence kolem 0.5ms, takze hadam, ze vylozene v krabicich problem nebude. Jsi ochotne postnout prislusnou cast konfiguraku?

TOTAL: Mrkni se na block diagram jestli mas jeden nebo dva swich chipy a jak jsou zapojene porty. teoreticky by to vsdit nemelo ale na me 4011 to vykazovalo jiste divne chovani.

A samozrejme predpokladam ze firmware jsi updatoval taky

LEXXA: Ano, jedina logika. V adresach mam pouze VLAN MGMT a adresu v ni. Jinak nic. Nemam zadna pravidla, jde mi jen a pouze o switch a prenos provozu pres VLANy. Ono to vse chodi, ale ... Zkousel jsem test BANDWIDTH test a vysledek me vydesil. Ale potom jsem zjistil, ze je softwarovy a vytezuje CPU. Protlacil pres optiku z jednoho prvku na druhy UDP cca 400mbps a TCP cca 80mbps. Samotne rozhrani mi ukazuje pri kopirovani 970mbps. Takze ten test je asi dost orientacni. Pokud to mam nastavene dobre a jede to nejlepe, jak muze (nejen pres CPU), tak dobre ... budu hledat priciny jinde (tech prvku v siti je vice).

TOTAL: To tag untag je jedina logika v tom switchi nebo mas i pravidla nad tim?

SUK: Mam tam jen jeden bridge a pod nim definovanou pouze MANAGEMENT VLANu. A uvnitr toho bridge definovane porty s VLAN ID (tag, untag).

TOTAL: mas tam jen jeden br a pres nej vsechny vlany/porty?

Nevite nahodou nekdo kdy a jak lze cekat statefull configuration u dhcpv6 na mikrotiku?
Potreboval bych ridit pridelovani dhcp options podle klientu a jaksi trosku selhavam kdyz klient zacne davat prednost ipv6.

Zdravim vespolek, mam dotaz. Prosim, kdyby nekdo vedel ....

Mikrotik me dlouhou dobu mijel, ale ted jsem se mu uz nevyhnul a rovnou s VLAN. Zprovoznil jsem VLAN mezi switchi (rada CRS3x). Vse mi funguje, ale sit ma zvlastni latence. Tak si rikam, jestli to jede pres SWITCH CHIP. Mam vytvoreny bridge, kde mam definovanou VLAN (management) a ve vlastnostech bridge mam pridane dalsi VLAN tag-untag. Vytizeni CPU je do 10%. To vypada v poradku, ale ty latence ... Jako by to jelo pres CPU, ale vytizeny neni. HW OFFLOADING je na portech zapnuty. Diky moc za podnety.

E2E4: Asi mi unika uzitecnost v tom usecasu...

TEAPACK: No psal jsem ze pokud nemas nejaky technicky duvod proc Wireguard ne... Pak musis vybrat to co je kompatibilni s tim zarizenim.
Ja mel dlouho VPN na urovni Linux vrstvy z Android telefonu (pouzito jako GPS tracker) a to umelo jen PPTP, takze jsem mel pro tohle zarizeni to.
Ale mel jsem pocit ze jde o propojeni 3 lokalit a vsude je MK, ale mozna jsem to spatne pochopil.

jako na L2 je treba mikrotik uplne skvelej, EOIP v ipsecu...jen nastavis psk a probridgujes site
TEAPACK: to bude asi ten TS problem, ze yti nesedej match policies

TEAPACK:
-udelas iface typu wireguard s listen portem ktery je dostupny z netu. definujes mu adresu (ja davam neco z /30)
- na druhem mikrotiku udelas to same a definujes tu druhou adresu z /30 rozsahu
-prvni iface ma public key, ten si poznamenas
-druhy iface ma public key, ten si poznamenas
-na prvnim mikrotiku udelas peer s vlastnostma verejne adresy druheho mikrotiku, portu a public key druheho mikrotiku, ze slusnosti dame keepalive na 25s. allowed address bude ta /30 sit a kazdy objekt za druhem mikrotiku ktery chces videt (ip, rozsah, sit, cokoliv)
-na druhem mikrotiku udelas to same akorat zrcadlene.
-nastavis routy (cilova sit druheho skrz /30 adresa co je na prvnim)

jestli mas advanced firewall s iface listama tak to tam povol jak to potrebujes a hotovo. obecne bych neresil kdo je repsonder a kdo initiator, sve tunely vytvarim ze kazdy je initiator a kdyz vodafone skytne kdo se prvni probere proste vola tomu druhemu.
v tyhle chvili mas l2 a l3 konektivitu a nemusis resis podivnosti v policy based ipsecu kde ti nektere pakety neprolezou a podobne.