Mikrotik pro lamu

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Do fóra se už nepřihlásíte přezdívkou, je potřeba e-mail. Hned teď se podívejte, jakou e-mailovou adresu tady používáte a zapište si ji: odkaz Uživatelský panel v hlavičce –> záložka Profil. (Podrobnosti)

Odeslat příspěvekod Martan_Fox 3. 11. 2021 14:41

Zdravím, bohužel bych rád napsal že jsem super síťař ale opak je pravdou. Jsem před rozdhodnutím koupit nový router do racku ale vůbec nemám šajna. Moje představa byla můj nynější router Asus hodit do racku a ještě starší TP- link dát do bridge pro rozšíření wifi. Pak mě došlo že skrz plechy toho racku toho asi moc neprotlačím a tak se mě zalíbila myšlenka si koupit jen ethernet router a později na to hodit AP od Ubiquiti. Jelikož se v tom nevyznám tak zatím nechci za to dávat randál, prostě se chci ten Os od Mikrotiku nejdřív na nějakém stroji naučit a pak případně koupit něco lepšího.

Mám v merku 1. MikroTik RouterBOARD RB2011iL-IN a 2.Mikrotik RB1200 Routerboard, 10×GLAN. Ten druhej bohužel o tom jsem se vůbec nic nedozvěděl z jejich stránek takže je to asi passé.
K tomu 1, chápu správně že z portu 10 kde je poe - out můžu napájet anténu a hodit si tam vlastně wan?

Mám pak ještě D-link switch 8x1Gb takže o porty zatím nouze nebude.
Ten 1 router by byl za cca 800 možná i míň, proto mě přijde jako vyhozené prachy kupovat za cca 300 malej router, jen abych se na něm něco naučil.
Díky za názory.
Martan_Fox
Junior

Odeslat příspěvekod soban 3. 11. 2021 18:11

Jsou dva přístupy:

Jako router mikrotik a za něj switch.....

MikroTik RouterBOARD RB750Gr3 https://www.tsbohemia.cz/mikrotik-route ... 53990.html

A za něja jakýkoliv switch.

Výhoda, levný router a levný switch dle potřeby.

Ty RB2011 nebrat málo výkonný to je lepší ten RB750Gr3 + 1G switch. A RB1200 jsem nenašel.

Když tak aspoň ty RB3011.... nebo RB4011.....
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod Martan_Fox 3. 11. 2021 23:35

Co ta moje domněnka s poe portem?

Ok a router a switch v jednom?

https://mikrotik.com/product/CRS125-24G-1S-2HnD-IN

Krom teda toho že když se to pokazí, tak nepojede vůbec nic, čili 2 zařízení by nejela. Když teda nezmiňuji to že to má pouhých 600 MHz procák.
Martan_Fox
Junior

Odeslat příspěvekod JirkaVejrazka 4. 11. 2021 18:12

Ja jsem RB2011 doma mel, vykonu pro beznou domacnost ma podle me dost. Jen pozor na to ze polovina portu je pouze 100Mbit.

Portem c. 10 muzes napajet externi zarizeni (typicky neco na strese) - sam jsem to tak take mel.

Pak jsem ten rotuter vymenil za Mikrotik CRS, protoze mi nestacily porty, potreboval jsem vic PoE portu a nebavilo me porad resit, co potrebuju pripojit go 1Gbit portu a kde staci 100Mbit.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod Martan_Fox 4. 11. 2021 19:01

[quote="JirkaVejrazka"] No vida, no zatím to vypadá že ten RB2011 vyhraji na Aukru pokud tam už nikdo nepřihodí, o těch portech vím, ale vzhledem k tomu že na aktuálním Asus nemám ani jeden Gb port to vlastně beru jako luxus.
Martan_Fox
Junior

Odeslat příspěvekod vladimir 5. 11. 2021 10:19

[OT]Proč přihazuješ průběžně? Tím jenom ostatním dáš na vědomí, že máš zájem a vyprovokuješ je k příhozům. Nejlepší je přihodit 30 vteřin před koncem aukce tolik, kolik jsi ochotný maximálně dát, aby už nikdo nestačil zareagovat. Ve skutečnosti zaplatíš o korunu více, než druhá nejvyšší nabídka. V nejhorším případě zaplatíš své maximum nebo aukci prohraješ.

https://napoveda.aukro.cz/jak-nakoupit- ... ukro-aukci
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Martan_Fox 5. 11. 2021 19:31

Ano to máš samo pravdu, ale vzhledem k tomu že tam přihazuje dalších 9 lidí, tak je to asi dost bezpředmětný.
Martan_Fox
Junior

Odeslat příspěvekod Martan_Fox 23. 11. 2021 12:34

Tak jsem nakonec koupil Mikrotik hEX S. Za 800 plus poštu. Byl novej a už mě nebavilo pořád hlídat aukce. K tomu jsem úspěšně vyhrál switch 3com 24x,bohužel není v defaultu a nemám zatím kabel ke konzoli takže do něj jsem se ještě nedostal. Jinak router přišel včera a mám anténu na portu 5 jak bylo v plánu. Zatím dost tápu v nastavení ale včera jsem to už rozchodil a připojil ten můj router Asus jako bridge. Jen tam mám na tom Mikrotiku někde botu, protože mě to dává ip z antény.
Martan_Fox
Junior

Odeslat příspěvekod Cyperpunk2077 23. 11. 2021 13:34

To přihazování je na člověku, ale vládimír má pravdu. 20 vteřin před koncem jsem přihodil a aukci skutečně vyhrál, ale je dobré mít na paměti, že aukce má jisté limit a nelze přihodit nad aukční limit. Pokud někdo přihazoval před váma a měl příhozu více tak aukční limit je překonán. Je možné, že se to změnilo za tu dobu, co jsem přihazoval r. 2006
Good Morning America
Cyperpunk2077
BAN Živě.cz
Uživatelský avatar

Odeslat příspěvekod Martan_Fox 23. 11. 2021 14:08

No ono už teď je fajn že si člověk něco nastaví kolik je ochoten za to dát a systém pak automaticky přihazuje, a ano poučen jsem tohle dělal těsně před koncem.
Martan_Fox
Junior

Odeslat příspěvekod Kysa 31. 1. 2022 20:49

Martan_Fox píše:Tak jsem nakonec koupil Mikrotik hEX S. Za 800 plus poštu. Byl novej a už mě nebavilo pořád hlídat aukce. K tomu jsem úspěšně vyhrál switch 3com 24x,bohužel není v defaultu a nemám zatím kabel ke konzoli takže do něj jsem se ještě nedostal. Jinak router přišel včera a mám anténu na portu 5 jak bylo v plánu. Zatím dost tápu v nastavení ale včera jsem to už rozchodil a připojil ten můj router Asus jako bridge. Jen tam mám na tom Mikrotiku někde botu, protože mě to dává ip z antény.

Skus se trochu víc rozepsat.Jak nastavuješ? Winbox nebo web? Nastavuješ přes Webfig (quick setup) nebo vše ručně? A hlavně, co máš nastaveno?
Kysa
Mírně pokročilý

Odeslat příspěvekod Martan_Fox 1. 2. 2022 18:45

No připojuji se přes winbox, zásadně , občas i přes appku, ale spíš jen okrajově než že bych tam chtěl něco nastavovat. Zaznamenal jsem docela zvláštní chování, když jsem zkoušel wireguard... Po aktivaci wireguardu, se mě tak cca 5m nešlo přihlásit, nevím proč, prostě špatný user a heslo, což jsem samo použil to kterým se normálka přihlašuji, proč wireguard? protože jsem chtěl vzdálený přístup do Home Assistant, ale to jsem vyřešil přes zerotier addon na Odroidu kde ten HA běží a wireguard na miku zase deaktivoval a dál neřešil.

Co mě ovšem dodnes není jasný, proč se přes winbox nemůžu přihlásit přes ip ale jen přes Mac adresu?

Nastavoval jsem i quick ale tak cca 2x a pokaždý to smazal, čili vše ručně teď a mám nastaven dhcp server, adress list, nějakej základní fw a nějaké static ip, který mě tedy přijdou stupidní - to nastavení, proč si třeba nemůžu přejmenovat zařízení jednoduše? Nebo jsem lama a nepřišel jsem na to?

Dík za reakce.
Martan_Fox
Junior

Odeslat příspěvekod soban 1. 2. 2022 19:10

Název u DHCP si můžeš dát do popisu. V kolonce je to co zahlásí to zařízení, takže v zařízení nastavit správný název.
Proč nejde připojení přes IP bude firewall.
A kde jsi nastavoval IP routeru?
Rychlý setup ji nastavuje na ether2 tak ji zkontroluj, osobně ji tam mažu a nastavují na bridge. Tak to zkoukni.
Jinak pokud se potřebuješ na něco zeptat tak napiš.
Jinak já na Linuxu používám winbox a nebo konzoli, www není moc přívětivé.
soban
Pokročilý

Odeslat příspěvekod Kysa 1. 2. 2022 20:36

Nepřihlašuješ se náhodou přes wireguard? Ve výchozím FW je blokace připojení, pokud jde od jinud než z LAN.
Pojmenování zařízení musíš řešit na tom konkrétním zařízení (jak už psal Soban), já používám popis v komentáři (Ctrl + M)
Ještě mě napadá, to přiřazování dhcp od antény, Jaký port máš nastavený jako WAN? WAN bývá standardně port 1, ostatní jsou v bridge jako LAN. Zkontroluj si to pro jistotu.
Kysa
Mírně pokročilý

Odeslat příspěvekod Martan_Fox 5. 2. 2022 00:56

Tak přes wireguard se neprihlasuji, jsem psal že jsem to zkoušel ale neuspěl. Nevím kde bych měl ve fw nastavené to přihlášení? Mám tam asi celý 3 pravidla.
Wan mám na 5 portu, jelikož tím napájím anténu od isp rovnou.
Martan_Fox
Junior

Odeslat příspěvekod soban 5. 2. 2022 08:18

Máš tedy tu IP nastavenou na jakém portu?
soban
Pokročilý

Odeslat příspěvekod Martan_Fox 5. 2. 2022 15:04

Teď uplně nevím na jaký port se ptáš?
Martan_Fox
Junior

Odeslat příspěvekod soban 5. 2. 2022 17:20

Zadej v terminálu a skontroluj " /ip/address> print"

Dostaneš výstup:

Kód: Vybrat vše
/ip/address> print
Flags: D - DYNAMIC
Columns: ADDRESS, NETWORK, INTERFACE
#   ADDRESS          NETWORK       INTERFACE   
;;; LAN
0   192.168.1.1/24   192.168.1.0   bridge     
1 D 78.aa.yy.xxx/32  10.69.232.11  pppoe-optika
2 D 192.168.1.3/32   192.168.10.3  Bezrucova 
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod Martan_Fox 5. 2. 2022 18:12

No moc jsi mě neodpověděl :)

No asi na 5 pokus ale nakonec to prošlo. :)

0 192.168.0.1/24 192.168.0.0 BRIDGE
1 10.0.0.1/24 10.0.0.0 sfp1
2 D 192.168.88.253/24 192.168.88.0 WAN
3 X 192.168.10.100/24 192.168.10.0 H3_Mikro_Wireguard
Martan_Fox
Junior

Odeslat příspěvekod soban 6. 2. 2022 03:03

Tak a už se k tomu dostáváme......

Takže pokud vidím tak na wan dostáváš IP 192.168.88.253 ? To se připojuješ někam k jinému mikrotiku? Protože mikrotiky mají default 192.168.88.0/24?

Jinak PC v tvé síti dostávají IP z rozsahu 192.168.0.0/24 ?

A ping na 192.168.0.1 funguje s PC a připojení winboxem na 192.168.0.1 nefunguje?

Jinak můžeš sem pokud nemáš strach hodit celou konfiguraci......

V terminálu zadáš "/ export" ovšem pozor vypíše to i hesla takže pokud to budeš sem dávat veřejně tak hesla přepiš - smaž než to vložíš!!!

Jinak výpis jenom firewallu "/ip firewall filter export" a výpis co máš v nat tabulce "/ip firewall nat export"

PS. Když jseš v konzoli a potřebuješ napovědět co tam napsat tak zmáčkni klávesu Tab a vypíše to nápovědu viz:

Kód: Vybrat vše
[petr] > /
caps-man     console  file       ip    log   partitions  ppp    radius   snmp           system  user  blink   import    ping  redo
certificate  disk     interface  ipv6  mpls  port        queue  routing  special-login  tool    beep  export  password  quit  undo
[petr] > / ip
address  cloud        dhcp-relay   dns       hotspot  kid-control  packing  proxy  service   smb    ssh   traffic-flow  vrf   
arp      dhcp-client  dhcp-server  firewall  ipsec    neighbor     pool     route  settings  socks  tftp  upnp          export
[petr] > / ip addres
add  comment  disable  edit  enable  export  find  print  remove  reset  set
[petr] > / ip addres print
Flags: D - DYNAMIC
Columns: ADDRESS, NETWORK, INTERFACE
#   ADDRESS          NETWORK       INTERFACE   
;;; LAN
0   192.168.1.1/24   192.168.1.0   bridge     
1 D 78.80.94.103/32  10.69.232.11  pppoe-optika
2 D 192.168.1.3/32   192.168.10.3  Bezrucova   
[petr] >


Jinak print vypíše hodnoty a export vygeneruje příkazy pro vložení té aktuální konfigurace když ji chceš vložit do jiného mikrotiku a nebo si ji zálohovat.....

Jinak nápověda: https://wiki.mikrotik.com/wiki/Manual:Console
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod Martan_Fox 6. 2. 2022 16:30

No je to divný, ale teď jsem se přes ip připojil, předtím to nešlo, nevím co jsem tam změnil.
Každopádně to už jde.Předtím to psalo že neni povolen nějaký režim.

Ano anténa je mikrotik, dokud jsem to neměl nastavený a bylo to v defaultu tak jsem ji viděl
v neighbors.

Ano tenhle rozsah tam mám, ale budu to ještě překopávat.
Chci si tam časem nastavit Vlany, je lepší je nastavit tu v mikrotiku nebo to nechat na switchi?

K těm příkazům v konzoli, přišel jsem na to, resp vím že je to z linuxu tak jsem ten Tab dal a
ono se ten příkaz dokončil automaticky, když jsem ho napsal celej tak byl červenej, což jsem pochopil
že je blbě.

V exportu jsem heslo nenašel tak snad to bude ok.
Tak snad se poměješ. :)

Kód: Vybrat vše
# feb/06/2022 15:00:51 by RouterOS 7.1.1
# software id = RDDM-V4AN
#
# model = RB760iGS
# serial number =********
/interface bridge
add name=BRIDGE
/interface ethernet
set [ find default-name=ether5 ] name=WAN
/interface sstp-client
add comment="Remote Winbox connection for Home_hEX S" connect-to=vpn3.remotewinbox.com name=RemoteWinboxVPN3 user=I4bZfSLfzlZ1SVR
/interface wireguard
add disabled=yes listen-port=13231 mtu=1420 name=H3_Mikro_Wireguard
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip firewall layer7-protocol
add name="Block FB" regexp="^.+(facebook.com).*\$"
add name=seznam regexp=www.seznam.cz
/ip kid-control
add fri=0s-1d mon=0s-1d name=system-dummy sat=0s-1d sun=0s-1d thu=0s-1d tue=0s-1d tur-fri=0s-1d tur-mon=0s-1d tur-sat=0s-1d tur-sun=0s-1d tur-thu=0s-1d tur-tue=0s-1d \
    tur-wed=0s-1d wed=0s-1d
/ip pool
add name=dhcp_pool1 ranges=192.168.0.2-192.168.0.254
add name=dhcp_pool2 ranges=192.168.0.2-192.168.0.254
add name=dhcp_pool3 ranges=192.168.0.2-192.168.0.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool1 interface=BRIDGE name=dhcp1
/port
set 0 name=serial0
/routing bgp template
set default as=65530 disabled=no name=default output.network=bgp-networks
/routing ospf instance
add name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/user group
set read policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff,!sensitive,!api,!romon,!dude,!tikapp,!rest-api
set write policy=local,read,write,winbox,sensitive,!telnet,!ssh,!ftp,!reboot,!policy,!test,!password,!web,!sniff,!api,!romon,!dude,!tikapp,!rest-api
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp,rest-api
/interface bridge port
add bridge=BRIDGE ingress-filtering=no interface=ether1
add bridge=BRIDGE ingress-filtering=no interface=ether2
add bridge=BRIDGE ingress-filtering=no interface=ether3
add bridge=BRIDGE ingress-filtering=no interface=ether4
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface detect-internet
set detect-interface-list=all internet-interface-list=all lan-interface-list=all wan-interface-list=all
/interface wireguard peers
add allowed-address=192.168.10.100/24 disabled=yes interface=H3_Mikro_Wireguard public-key="3NGwi6qwShs606msXDzSdX3voRuaQ+LfOiwMrkeZLyg="
/ip address
add address=192.168.0.1/24 interface=BRIDGE network=192.168.0.0
add address=10.0.0.1/24 interface=sfp1 network=10.0.0.0
add address=192.168.10.100/24 disabled=yes interface=H3_Mikro_Wireguard network=192.168.10.0
/ip arp
add address=192.168.0.1 interface=BRIDGE
add address=192.168.0.20 interface=BRIDGE mac-address=B8:27:EB:FF:C9:7E
/ip dhcp-server lease
add address=192.168.0.55 client-id=1:64:90:c1:a:3d:9 mac-address=64:90:C1:0A:3D:09 server=dhcp1
add address=192.168.0.125 client-id=1:c8:5b:76:d1:8b:bd mac-address=C8:5B:76:D1:8B:BD server=dhcp1
add address=192.168.0.50 client-id=1:5c:e5:c:6b:81:90 mac-address=5C:E5:0C:6B:81:90 server=dhcp1
add address=192.168.0.126 client-id=1:f4:8c:50:9d:35:b9 mac-address=F4:8C:50:9D:35:B9 server=dhcp1
add address=192.168.0.51 mac-address=CC:50:E3:1C:9D:5B server=dhcp1
add address=192.168.0.131 client-id=1:70:c9:4e:d6:c1:ad mac-address=70:C9:4E:D6:C1:AD server=dhcp1
add address=192.168.0.132 client-id=1:e0:dc:ff:24:e3:7 mac-address=E0:DC:FF:24:E3:07 server=dhcp1
add address=192.168.0.127 client-id=1:7c:3:ab:2a:5c:ec mac-address=7C:03:AB:2A:5C:EC server=dhcp1
add address=192.168.0.40 mac-address=44:07:0B:C6:AB:19 server=dhcp1
add address=192.168.0.130 client-id=1:8c:16:45:2d:db:1d mac-address=8C:16:45:2D:DB:1D server=dhcp1
add address=192.168.0.30 client-id=1:4:92:26:67:c3:24 mac-address=04:92:26:67:C3:24 server=dhcp1
add address=192.168.0.38 client-id=1:0:1e:6:42:27:84 mac-address=00:1E:06:42:27:84 server=dhcp1
add address=192.168.0.20 client-id=ff:f6:4a:84:1e:0:2:0:0:ab:11:b0:48:5d:9e:f1:8:f2:61 mac-address=B8:27:EB:FF:C9:7E server=dhcp1
add address=192.168.0.10 client-id=1:70:85:c2:5:58:e4 mac-address=70:85:C2:05:58:E4 server=dhcp1
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.20,192.168.0.2,8.8.8.8 gateway=192.168.0.1
/ip dns
set servers=192.168.0.20
/ip dns static
add address=192.168.0.20 name=pi-hole
add address=192.168.0.38 name=HA.local
/ip firewall filter
add action=accept chain=forward dst-port=80 protocol=tcp
add action=accept chain=forward disabled=yes dst-port=8123 protocol=tcp
add action=accept chain=forward dst-port=51820 protocol=udp
add action=drop chain=forward disabled=yes layer7-protocol="Block FB" src-address=192.168.0.0/24
add action=accept chain=input disabled=yes dst-port=13231 in-interface=WAN protocol=udp
add action=accept chain=input comment="Allow Remote Winbox" disabled=yes in-interface=RemoteWinboxVPN3
add action=drop chain=input disabled=yes dst-port=53 in-interface=WAN log=yes log-prefix=DNS_z_Netu protocol=tcp
add action=drop chain=input disabled=yes dst-port=53 in-interface=WAN log=yes log-prefix=DNS_z_Netu protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=" " disabled=yes dst-address=37.221.243.254 dst-port=80 protocol=tcp to-addresses=192.168.0.38 to-ports=80
add action=dst-nat chain=dstnat disabled=yes dst-address=37.221.243.254 dst-port=51820 log=yes protocol=udp to-addresses=192.168.0.38 to-ports=51820
/ip firewall service-port
set ftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh port=2222
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Prague
Martan_Fox
Junior

Odeslat příspěvekod soban 6. 2. 2022 18:18

Tak není to tak strašné.....

Jinak firewall je nefunkční návod s příkladem zde: https://help.mikrotik.com/docs/display/ ... t+Firewall

Ale jednoduší pro tebe smaž komplet pravidla a zadej:

Kód: Vybrat vše
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface list member
add interface=BRIDGE list=LAN
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=WAN
add interface=wlan1 list=LAN
add interface=wlan2 list=LAN
/ip firewall raw
add action=accept chain=prerouting comment="defconf: enable for transparent firewall" disabled=yes
add action=drop chain=prerouting comment="defconf: drop bad UDP" port=0 protocol=udp
add action=jump chain=prerouting comment="defconf: jump to ICMP chain" jump-target=icmp4 protocol=icmp
add action=jump chain=prerouting comment="defconf: jump to TCP chain" jump-target=bad_tcp protocol=tcp
add action=drop chain=bad_tcp comment="defconf: TCP flag filter" protocol=tcp tcp-flags=!fin,!syn,!rst,!ack
add action=drop chain=bad_tcp comment=defconf protocol=tcp tcp-flags=fin,syn
add action=drop chain=bad_tcp comment=defconf protocol=tcp tcp-flags=fin,rst
add action=drop chain=bad_tcp comment=defconf protocol=tcp tcp-flags=fin,!ack
add action=drop chain=bad_tcp comment=defconf protocol=tcp tcp-flags=fin,urg
add action=drop chain=bad_tcp comment=defconf protocol=tcp tcp-flags=syn,rst
add action=drop chain=bad_tcp comment=defconf protocol=tcp tcp-flags=rst,urg
add action=drop chain=bad_tcp comment="defconf: TCP port 0 drop" port=0 protocol=tcp
add action=accept chain=icmp4 comment="defconf: echo reply" icmp-options=0:0 limit=5,10:packet protocol=icmp
add action=accept chain=icmp4 comment="defconf: net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp4 comment="defconf: host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp4 comment="defconf: protocol unreachable" icmp-options=3:2 protocol=icmp
add action=accept chain=icmp4 comment="defconf: port unreachable" icmp-options=3:3 protocol=icmp
add action=accept chain=icmp4 comment="defconf: fragmentation needed" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp4 comment="defconf: echo" icmp-options=8:0 limit=5,10:packet protocol=icmp
add action=accept chain=icmp4 comment="defconf: time exceeded " icmp-options=11:0-255 protocol=icmp
add action=drop chain=icmp4 comment="defconf: drop other icmp" protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Povoleno icmp filtrovano v RAW" protocol=icmp
add action=drop chain=input comment="invalid drop" connection-state=invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN log-prefix="droop neni z LAN"
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="Povoleno icmp filtrov\E1no v RAW" protocol=icmp
add action=drop chain=forward comment="invalid drop" connection-state=invalid
add action=drop chain=forward disabled=yes layer7-protocol="Block FB" src-address=192.168.0.0/24
add action=drop chain=forward comment="Neni z LAN" in-interface-list=!LAN



Doufám že jsem se nikde nesekl....
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod Martan_Fox 6. 2. 2022 19:30

Wlany asi můžu vynechat ne? Když tam wifi neni. �
Martan_Fox
Junior

Odeslat příspěvekod soban 6. 2. 2022 20:50

Jasně.....

Důležité je aby jednotlevé interface byly správně zařazeny do LAN a WAN a pak ve firewallu se to používá aby z LAN vše prošlo a z WAN se dělal NAT a fungoval firewall.

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

Nat budeme dělat pouze na WAN rozhraní......

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Povoleno icmp filtrovano v RAW" protocol=icmp
add action=drop chain=input comment="invalid drop" connection-state=invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN log-prefix="droop neni z LAN"
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="Povoleno icmp filtrov\E1no v RAW" protocol=icmp
add action=drop chain=forward comment="invalid drop" connection-state=invalid
add action=drop chain=forward disabled=yes layer7-protocol="Block FB" src-address=192.168.0.0/24
add action=drop chain=forward comment="Neni z LAN" in-interface-list=!LAN

Co prošlo ve firewallu až na konec a nebylo povoleno a není z LAN (čili bude odjinud) zahodíme.
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod Martan_Fox 7. 2. 2022 11:04

Super díky moc.
Jinak jak jsi se někde tady smál ve vedlejším tématu že to není internet, my platíme 32/5? Včera to nejelo takže asi tak 0,5 - 2,0 mb.
Jde nějak pěkně a jednoduše otestovat lan přes mikrotik?
Martan_Fox
Junior

Odeslat příspěvekod soban 7. 2. 2022 13:46

Proti druhému Mikrotiku můžeš měřit rychlost. (Na tom druhém to musí být povoleno, klidně ti na zkoušku pustím na svůj, kdyžtak napiš.)

A pak akorát ping,traceroute atd...
soban
Pokročilý

Odeslat příspěvekod Martan_Fox 7. 2. 2022 13:54

Hm ne myslel jsem v rámci lokální sítě, to zrovna mohu testovat přes prohlížeč na speed testu, nebo mnou oblíbený rychlost.cz.
Martan_Fox
Junior

Odeslat příspěvekod JirkaVejrazka 7. 2. 2022 14:29

Co bys na LAN chtel testovat? Linkove rychlosti vidis pro kazdy interface. Jestli chces testovat, prenasej data mezi dvema zarizenimi v siti a Mikrotik ti pak ukaze, jakou rychlosti data putuji. Jenom tak nejak nevim, k cemu ti to bude. Pro vetsinu situaci v domacnosti neni LAN tim uzkym hrdlem pri datovych prenosech.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod Martan_Fox 7. 2. 2022 17:07

Tak třebas jsem testoval filmy na 4k tv a sekalo se to, ukázalo se že úzkým hrdlem v tomhle případě byl rj45 konektor na tv kde je nejspíš jen 100mb. Zřejmě to navrhoval nějaký chytrák! ;-)
Martan_Fox
Junior

Odeslat příspěvekod JirkaVejrazka 7. 2. 2022 17:18

Na to nepotrebujes nic testovat, staci si precist specifikaci televize.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod Martan_Fox 7. 2. 2022 18:16

No bohužel s touhle informací se ůplně neprezentují!
Takže tu informaci dohledáš max v manuálu.
Martan_Fox
Junior

Odeslat příspěvekod eviljack 7. 2. 2022 18:25

Nj, musíš se víc zajímat, než to koupíš. Taky to lze brát tak, že drtivá většina televizí má (asi) jenom 100Mbit, takže kdyby měla některá 1Gbit, tak se tím určitě pochlubit nezapomenou :)
Harman Kardon 6500 + WTX Microstreamer / HifiBerry DAC2 Pro + Heco Aurora 700
Yamaha RX-V765 + Heco Metas 500 set + Heco Krypton Subwoofer
Projektor Benq W1090
Asustor AS6102T
eviljack
Junior

Odeslat příspěvekod Martan_Fox 8. 2. 2022 17:16

No je to pro mě nepochopitelný prostě. Stála mě jen asi 800, takže jsem moc nezkoumal a popravdě by mě to ani nenapadlo, že tam někdo strčí fast konektor a ne 1Gb.

1. Zásadní dotaz, dost už odbočuji od pův. Tématu ale dali by jste obyč kabel co se vede k běžné zásuvce myslím že je to cyky 3x1,5, k napájení celého racku nebo něco lepšího?
Bude z toho bráno veškeré napájení racku, zatím nic moc ale do budoucna by se to mohlo rozšířit o nějaký žravější server nebo něco podobného.
Teď zatím mikrotik, 2x ap, nějaké raspi, server ala eko server v podobě pc a 24 switch. Do budoucna určo kamery.
A jaký tam pak hodit jistič vůbec nemám představu.
Vycházím z návštěvy velkého racku v malé firmě tam to bylo rozvedený z 400v zásuvky.
Martan_Fox
Junior

Odeslat příspěvekod soban 8. 2. 2022 19:21

Pro světla se normálně používá 1,5 mm2 a 10A jistič, na zásuvky 2,5mm2 a 16A jistič.

Takže co tam chceš vše mít, pokud je to fakt velký rack tak určitě 2,5mm2 a 16A jistič (předpokládám že hlavní jistič do bytu máš 25A)
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod Martan_Fox 12. 2. 2022 09:08

No tak popojedem, asi 3 den si tu hraji se starým unifi AP LR. Pokaždé když ho odpojím ze sítě nebo od napájení, musím ho znova adaptovat, protože prostě adopt failed. WTF takhle je to normalní nebo něco dělám blbě? Jako asus zapojím do zásuvky a jede tam co přestal, ale unifi neéééé to se musí v rukavičkách! :shock: :-\ :roll:
Martan_Fox
Junior

Odeslat příspěvekod soban 12. 2. 2022 12:56

Unifi neznám takže neporadím.....

Nevím co znamená adaptovat.... pokud to zařízení neumí uložit svou konfiguraci tak je asi jasné že pak v síti musíš mít nějaké řízení toho AP co je bude řídit...
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod Martan_Fox 12. 2. 2022 15:57

Hm teď si mě přivedl na myšlenku, pokud vlastně neběží controller který mám pod win na ntb a já ho vypnu tak ap ztratí, ne neztratí, v posteli jsem to ještě testoval, no čili nejspíš před nějakým odpojením od sítě nebo elektřiny musí controller běžet, jinak nevím. Je to starší ap a controller už píše že je to mimo podporu už. Nejdřív to vypadalo že to ani nepůjde adaptovat, nakonec se povedlo, ale jen doufám že to takhle není sraní s každým ap. Mám ještě jedno, s tim to bohužel vypadá hůř, tam nesvítí ani ledka.
Adaptace = přidání do systému. Bohužel z 80% mě napíše že adaptace selhala. Takže musím vzít telefon tam dát zahodit ap, protože to v prohlížeči na win neuděláš.
Btw v mikrotiku je to vtipný, on mu nabízí ip adresu a on ho pořád odmítá, prostě dokud ho správně nepřidáš, tak odmítá adresu.

Edit: 18:39.

No dnes jsem odjel kolem 9 ráno, teď koukám do logu a nevím proč, ale v 1 hodinu se rozhodl že adresu přijme a začal fungovat, tak fakt nevím co si myslet :D
Martan_Fox
Junior

Odeslat příspěvekod Martan_Fox 18. 2. 2022 08:53

Update : Koukám a nestačím se divit.
Kdysi jsem přidal rozsah právě na to unifi 192.168.1.0 /24 - ten co používám je 0.1 na konci.

Wlan si bere starý rozsah, ale kabel pořád nemá přistup k netu, tak si říkám že co se děje a on si zobnul z nového rozsahu, nechápu proč a hlavně se mě nedaří se toho zbavit. Zkusím restart obou zařízení, jinak už nevím. V adresses jsem to zakázal, v dhcp taky a pak jsem to našel ještě v arp tabulce kterou jsem taky umazal. Pořád si to pamatuje.

Edit1 : A co je právě ještě divnější, že to není vidět v leases! :roll:
Martan_Fox
Junior

Odeslat příspěvekod JirkaVejrazka 18. 2. 2022 09:42

To trochu vypada, ze mas v siti nejaky dalsi DHCP server...
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod Martan_Fox 19. 2. 2022 22:45

NN jen jsem idiot a nechal si statickou zaplou, i když jsem si jistej že jsem ji vypnul. :-D
Martan_Fox
Junior

Odeslat příspěvekod Martan_Fox 30. 3. 2022 21:36

Tak novinka, dnes u nás nešel proud, skoro celý den. Vrátím se domů a nejel net. Tak koukám, vrtám, pořád nic. Prostě Mk odmítal akceptovat že má napájet anténu nebo co, nebo zmizela routa? Nevím každopádně to pořád nejede. Teď píšu zase ze starého zapojení ala Aušus jako hlavni router a mk jsem vypnul, prostě jsem asi zkrátka lama a nezasložím si ho :) To jsem tam nahrál i config co jsem sem dával. Sobane, myslíš že bych ti mohl někdy ohledně mk nastavení zavolat?
Martan_Fox
Junior


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků