» »

Usmerjevalnik Mikrotik

Usmerjevalnik Mikrotik

«
1
2 3

amadej85 ::

Za bolj zahtevno domačo / poslovno rabo bi potrebovali router ker ta od telekoma je bolj tko tko... Imamo okrog 50 naprav, večina jih je preko dostopne točke mikrotik. Televizorji, kamere, Nas, računalniki, telefoni,...

Gledam te zadeve:
https://anni.si/usmerjevalniki-stikala-...
https://anni.si/usmerjevalniki-stikala-...
https://anni.si/usmerjevalniki-stikala-...

Kaj bi priporočali?

DamijanD ::

Poldi112 ::

Odvisno od količine in tipa prometa. A če ti osnovni od telekoma zadostuje, potem bo verjento vsak Mikrotik zadostoval.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Karen ::

4011 kot je napisal Damijan je ok, ce ga kdo zna ukrotiti.

Gapi ::

Še en glas za 4011.
No person is rich enough,to buy back his past.

Fsegula62 ::

Tudi sam imam RB4011iGS okoli 60 naprav 3 ločene mreže ;) Zadeva teče gladko.
FiLiPiNKO (Fsegula62) | IT storitve www.linkomp.si | LinKomp |
Kontakt Discord - FiLiPiNKO#7826 | Na voljo za pomoč vsem. |
" Zapomnite si geslo za Google račun in privarčujte 5€! :) "

Vuli ::

bi bil že RB2011 dovolj oz RB3011
|Gb x570 Pro|R9 5900x|64GB DDR4 RAM G.Skill V@ 3600 cl16|6800XT Merc319 Black|

link_up ::

Single AP? bo dovolj? Max expected distance?
In and Out

amadej85 ::

Poldi112 je izjavil:

Odvisno od količine in tipa prometa. A če ti osnovni od telekoma zadostuje, potem bo verjento vsak Mikrotik zadostoval.

Glede na to, da ta od telekoma ne zadostuje, iščem nekaj boljšega..

Daniel ::

Ne kupuj 2011, zadeva je absolutno zastarela in danes celo dražja, kot je bila 10 let nazaj.

V poštev pride 4011 (ki mu gonilniki za wave2 sicer onemogočijo 2 ghz wifi, tako, da je to bolj tako tako)

Audience
https://www.techtrade.si/brezzicni-usme...

Med cenejšimi pa Hap Ac3.

Če rabiš zgolj zmogljivost brez Wifi pa model 5009, ampak so težave z dobavljivostjo.

amadej85 ::

Daniel je izjavil:

Ne kupuj 2011, zadeva je absolutno zastarela in danes celo dražja, kot je bila 10 let nazaj.

V poštev pride 4011 (ki mu gonilniki za wave2 sicer onemogočijo 2 ghz wifi, tako, da je to bolj tako tako)

Audience
https://www.techtrade.si/brezzicni-usme...

Med cenejšimi pa Hap Ac3.

Če rabiš zgolj zmogljivost brez Wifi pa model 5009, ampak so težave z dobavljivostjo.


Jaz imam svoje wifi dostopne točke, zato ne potrebujem routerja z wi-fi. Potrebujem en kvalitetni ruter gigabitni, da mi bo celotno omrežje laufalo.

p0ki ::

Pfsense
"As far back as I can remember, I always wanted to be a gangster"

Daniel ::

amadej85 je izjavil:

Daniel je izjavil:

Ne kupuj 2011, zadeva je absolutno zastarela in danes celo dražja, kot je bila 10 let nazaj.

V poštev pride 4011 (ki mu gonilniki za wave2 sicer onemogočijo 2 ghz wifi, tako, da je to bolj tako tako)

Audience
https://www.techtrade.si/brezzicni-usme...

Med cenejšimi pa Hap Ac3.

Če rabiš zgolj zmogljivost brez Wifi pa model 5009, ampak so težave z dobavljivostjo.


Jaz imam svoje wifi dostopne točke, zato ne potrebujem routerja z wi-fi. Potrebujem en kvalitetni ruter gigabitni, da mi bo celotno omrežje laufalo.


5009 ali kot že omenjeno pfsense. S slednjim sicer nimam nobenih izkušenj.

DamijanD ::

Daniel je izjavil:


V poštev pride 4011 (ki mu gonilniki za wave2 sicer onemogočijo 2 ghz wifi, tako, da je to bolj tako tako)

A lahko malo več o tem problemu?

Daniel ::

https://help.mikrotik.com/docs/display/...


** The 2.4GHz wireless interface on the RB4011iGS+5HacQ2HnD is not compatible with the wifiwave2 package. It will not be usable with the package installed.

AmokRun ::

Če ne rabiš wifi-ja bi moral biti hEX S povsem dovolj, če ga kje dobiš.
https://mikrotik.com/product/hex_s

Daniel ::

Če bo čez peljal VLANe od Telekomove IPTV bi vseeno priporočal nekaj kar je vsaj 4 jedrni ARM. Imel sem 2011, ki je sicer 1 jedrni MIPS z 600 mhz, pa je IPTV kockal, ko je šel čez Mikrotik. Hap AC2 pa dela brez problema.

DamijanD ::

A se na Mikrotiku splača routerOS upgradat iz 6 na 7 ? (specifično za RB4011iGS+5HacQ2HnD) Če imam prav je wifiwave2 opcijski paket a ne?

Poldi112 ::

Daniel je izjavil:

Če bo čez peljal VLANe od Telekomove IPTV bi vseeno priporočal nekaj kar je vsaj 4 jedrni ARM. Imel sem 2011, ki je sicer 1 jedrni MIPS z 600 mhz, pa je IPTV kockal, ko je šel čez Mikrotik. Hap AC2 pa dela brez problema.


Meni na CRS-125, ki ima prav tako 1 jedrni MIPS CPU z 600MHz, dela BP (T-2 IPTV imam v svojem VLAN-u).

Je pa tudi res, da če VLAN-e narobe nastaviš (da tagiranje izvaja CPU namesto switch), lahko zabiješ CPU.

DamijanD je izjavil:

A se na Mikrotiku splača routerOS upgradat iz 6 na 7 ? (specifično za RB4011iGS+5HacQ2HnD) Če imam prav je wifiwave2 opcijski paket a ne?


Glede na to, da gre za razvojno verzijo, osebno ne bi, razen če potrebuješ kaj, česar verzija 6 ne omogoča.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

Poldi112 ::

amadej85 je izjavil:

Poldi112 je izjavil:

Odvisno od količine in tipa prometa. A če ti osnovni od telekoma zadostuje, potem bo verjento vsak Mikrotik zadostoval.

Glede na to, da ta od telekoma ne zadostuje, iščem nekaj boljšega..


Malo ponesrečeno sem zapisal. Hotel sem reči, da glede na to, kaj uporabljaš sedaj, bi moral vsak Mikrotik zadostovati.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Daniel ::

DamijanD je izjavil:

A se na Mikrotiku splača routerOS upgradat iz 6 na 7 ? (specifično za RB4011iGS+5HacQ2HnD) Če imam prav je wifiwave2 opcijski paket a ne?


Konkretno za 4011 zaradi Wave2 paketa ne, ker le ta onemogoči 2 GhZ Wifi na 4011. Če ne boš nameščal Wave2 pa lahko, pridobiš nekaj uporabnih funkcij, kot je Wireguard, Zerotier in varnostne posodobitve.

Poldi112 je izjavil:

Daniel je izjavil:

Če bo čez peljal VLANe od Telekomove IPTV bi vseeno priporočal nekaj kar je vsaj 4 jedrni ARM. Imel sem 2011, ki je sicer 1 jedrni MIPS z 600 mhz, pa je IPTV kockal, ko je šel čez Mikrotik. Hap AC2 pa dela brez problema.


Meni na CRS-125, ki ima prav tako 1 jedrni MIPS CPU z 600MHz, dela BP (T-2 IPTV imam v svojem VLAN-u).

Je pa tudi res, da če VLAN-e narobe nastaviš (da tagiranje izvaja CPU namesto switch), lahko zabiješ CPU.

DamijanD je izjavil:

A se na Mikrotiku splača routerOS upgradat iz 6 na 7 ? (specifično za RB4011iGS+5HacQ2HnD) Če imam prav je wifiwave2 opcijski paket a ne?


Glede na to, da gre za razvojno verzijo, osebno ne bi, razen če potrebuješ kaj, česar verzija 6 ne omogoča.


Ja saj, v vsem tem času mi še ni uspelo ugotoviti kako nastaviti te VLANe direkt na Switch, zato jih nastavljamo direkt pod Interfaces. Lažje za nastaviti ampak procesorsko požrešno na starih napravah.

Zgodovina sprememb…

  • spremenil: Daniel ()

murrieta ::

amadej85 je izjavil:

Za bolj zahtevno domačo / poslovno rabo bi potrebovali router ker ta od telekoma je bolj tko tko... Imamo okrog 50 naprav, večina jih je preko dostopne točke mikrotik. Televizorji, kamere, Nas, računalniki, telefoni,...

Gledam te zadeve:
https://anni.si/usmerjevalniki-stikala-...
https://anni.si/usmerjevalniki-stikala-...
https://anni.si/usmerjevalniki-stikala-...

Kaj bi priporočali?


Pazi, Mikrotiki so zakon. Ampak, daj si pojdi malo dokumentacijo pogledati, recimo kako odpre port skozi nat (ne "how to" ampak dokumentacijo), ce ne bos razumel, te cakajo tezave. Ni router, kjer bos poklikal nek "wizard" in bo zadeva avtomagicno delovala na nekih defaultih.

Naprej, pomembno je, kaksno cipovje ima zadeva ugrajeno, ker so doloceni featurji hardwarski in drugi softwarski. Razmisli katere funkcionalnosti bos rabil in kateri chipset bos rabil, nato preveri kateri routerji ga imajo:

https://wiki.mikrotik.com/wiki/Manual:S...

(ja, na tem nivoju se moras z njihovimi routerji ukvarjat, razmisli, ali se ti da... za vecino ljudi je bolje, da nabavijo kaksna jajca od Asusa, pa ne me razumeti narobe, gonim ze cetrti mikrotikov router in sem ekstra zadovolen z njimi, ampak zelo dvomim, da ga je tipicen "racunalnicar" sposoben spodobno skonfigurirat)

Zgodovina sprememb…

  • spremenilo: murrieta ()

brbr21 ::

Gud point. MT so precej ferrariji, če veš kaj delaš, če ne hitro ugriznejo. Zaradi neznanja oz. nabiranja različnih youtube navodil narediš luknjo v konfiguracijo prej kot rečeš keks.
Zato, če si povprečni janez kupiš Asus ali podobna jajca oz. cenovno ugoden Mikrotik HW plus obvezno storitev postavitve/vzdrževanja sistema.

DIY tudi gre, samo vložek ni zanemarljiv.

Za tvoje potrebe (brez WiFi), kot so ti že predlagali Hex S (pred koncem leta ga boš težko našel). Če ne potrebuješ SFP (optike), potem vzemi Hex, ki je dobavljiv.

murrieta ::

brbr21 je izjavil:

Gud point. MT so precej ferrariji, če veš kaj delaš, če ne hitro ugriznejo. Zaradi neznanja oz. nabiranja različnih youtube navodil narediš luknjo v konfiguracijo prej kot rečeš keks.
Zato, če si povprečni janez kupiš Asus ali podobna jajca oz. cenovno ugoden Mikrotik HW plus obvezno storitev postavitve/vzdrževanja sistema.

DIY tudi gre, samo vložek ni zanemarljiv.

Za tvoje potrebe (brez WiFi), kot so ti že predlagali Hex S (pred koncem leta ga boš težko našel). Če ne potrebuješ SFP (optike), potem vzemi Hex, ki je dobavljiv.


Mhm, in ne kupovati wifija na routerjih, ker tipicno mesto ki so sticisca za kable niso najbolj optimalna mesta za wifi antene (nad mikrovalovko naprimer :)))

SPF lahko uporabis tudi kot se en ethernet port.

Zgodovina sprememb…

  • spremenilo: murrieta ()

DamijanD ::

Daniel je izjavil:

DamijanD je izjavil:

A se na Mikrotiku splača routerOS upgradat iz 6 na 7 ? (specifično za RB4011iGS+5HacQ2HnD) Če imam prav je wifiwave2 opcijski paket a ne?


Konkretno za 4011 zaradi Wave2 paketa ne, ker le ta onemogoči 2 GhZ Wifi na 4011. Če ne boš nameščal Wave2 pa lahko, pridobiš nekaj uporabnih funkcij, kot je Wireguard, Zerotier in varnostne posodobitve.


Daniel in ostali mojstri:
Torej, če NE namestim wave2 mi bosta na 4011 na v7 delala oba wifija (2 in 5) (če prav razumem je to opcija, a ne)
Wireguard je je podprt šele od v7 dalje, a ne?
A lahko pričakujem kakšno sranje, če grem naredit update ali je to dokaj safe opcija? Oz. ali se splača it v upgrade - dejansko trenutno na v6 pogrešam samo WireGuard.

Daniel ::

Jaz imam vse na 7.4 in ni nobenih težav. Če ne namestiš Wave2 bosta oba Wifi vmesnika delala BP.

Ta teden bo tudi uradna predstavitev prvih AX naprav Hap AX2 in mislim da Chateu v Ax različici.

Vuli ::

|Gb x570 Pro|R9 5900x|64GB DDR4 RAM G.Skill V@ 3600 cl16|6800XT Merc319 Black|

DamijanD ::

Upgrade iz v6 na v7 je šel brez težav. Vse je ostalo pravilno skonfigurirano.

Daniel ::

Odlično. Sedaj pa kar lepo konfiguriraj naprej.

Obstaja tudi Zerotier na ARM variantah Mikrotika.

DamijanD ::

Mi je uspelo postavit Wireguarda. Mam pa nekaj vprašanj:
- zakaj ima VPN svoj nabor IPjev. Zakaj se preprosto ne da naredit tako, da ko se povežeš z VPNjem, da dobiš nek IP iz DHCPja LANa?
- če hočeš omejiti dostop preko VPNja samo do enega lokalnega IPja (recimo NASa), potem se to naredi v firewall filtrih, a ne?

Daniel ::

Zatadi routinga, da ne prihaja do konfliktov v omrežjih, sploh če uporabljaš več VPN povezav naenkrat lahko hitro pride do kakih težav, če moraš kakšen paketek usmeriti v drugo podomrežje in bi ta IP bil v tvoji lokalni mreži. Na samo delovanje pa drugi IP tako ali tako nima vpliva. Ko v /IP/Routes vpišeš IPje remote subnetov (in IP preko katere VPN povezave je le ta dosegljiv, dobiš praktično delovanje kot navaden LAN)

Kakšen bolj tehnični odgovor pa bo morda podal kdo, ki se v te zadeve še bolj razume.

Da, v Firewallu se da nastaviti marsikaj. Recimo nastaviš drop za vse povezave na določen IP iz določenega ranga IPjev razen za enega in podobno.

Zgodovina sprememb…

  • spremenil: Daniel ()

DamijanD ::

Kaj moram zdaj naredit, če hočem omejiti dostop VPNja do točno določenega IPja:
trenutno imam tole:

Torej dovolim vse iz wireguarda 192.168.89.0.
Zdaj bi pa rad omejil samo dostop do enega lokalnega IPja - recimo 192.168.88.200. Če v to address tega accept rula napišem ta IP, mi ne omeji dostopa samo do tega IPja.

steev ::

Z input omejis dostop do routerja. Forward je tisto kar rabis ti.
:|

DamijanD ::

Sem dodal rule: da dropam vse kar ima destination 109

In načeloma deluje razen enega IPja - dostop do 88.1 (torej ruterja) je omogočen, mi pa to onemogoči dostop do 88.10 in 88.125 (testiral sem samo z 88.1 88.10 in 88.125)

V bistvu je to zame že dovolj dobro, samo ne razumem zakaj je tako, da routerja lahko vseeno pridem

Zgodovina sprememb…

  • spremenilo: DamijanD ()

m3dv3d ::

Pozdravljeni,

potreboval bi malo pomoči pri konfiguraciji RB2011UiAS-RM z RouterOS 6.48.6. Telekomov TV BOX želim postaviti za Mikrotika in imam težave s hkratnim delovanjem live TVja in internetnih storitev na BOXu.

Telekomovo optiko zaključujem na njihovem routerju, prav tako PPPoE. Na njihovem routerju imam nato skonfiguriran gateway 192.168.1.1/24, DHCP server ima range 192.168.1.100-253. Potem pa imam potegnjen kabel v ether1 port na mojem Mikrotiku. Iz Mikrotika pa imam nato potegnjen kabel iz ether5 v Telekomov BOX.

Na Mikrotiku imam bridge z vlan filtriranjem, v katerega sem dodal vse porte. Po ether1 dobim od Telekomovega routerja tagiran promet za IPTV (VLAN3999) in netagiran promet iz 192.168.1.0/24 segmenta, ki ga na Mikrotiku pospravim v vlan 666. Na vlan 666 obesim interface WAN_VLAN_666 s statičnim IPjem 192.168.1.2/24. Default routa na Mikrotiku kaže na 192.168.1.1.

Na mikrotiku imam definiran še Guest segment v vlanu 20. Interface v tem segmentu je GUEST_VLAN_20 s statičnim IPjem 192.168.20.1/24, tukaj laufa tudi DHCP server. Poleg tega imam še Trusted in Mgmt segment, ki za IPTV mislim, da nista pomembna. Vse te segmente NATam v WAN_VLAN_666 segment.

Po portu ether5, kamor imam priklopljen Telekomov BOX, spustim netagiran segment 20 za internet in tagiran segment 3999 za IPTV.

Situacija:

1. Če BOX vklopim direktno v Telekomov router, delujejo tako internetne storitve (voyo, moj telekom, vreme) kot tudi live TV. V diagnostiki na boxu vidim:
Vlan: 10.x.y.z (povezava je vzpostavljena: eth0.3999)
Lokalno omrežje: 192.168.1.119 (povezava je vzpostavljena: Ethernet)
Internetno omrežje: v redu (povedava vzpostavljena)

2. Če je BOX za Mikrotikom in če po ether5 spustim samo netagiran segment 20, potem na BOXu delujejo internetne storitve (voyo, moj telekom, vreme). Slike in zvoka ni, kar je logično ker multicast za IPTV pride po segmentu 3999. V diagnostiki na boxu vidim:
Lokalno omrežje: 192.168.20.254 (povezava je vzpostavljena: Ethernet)
Internetno omrežje: v redu (povedava vzpostavljena)

3. Če je BOX za Mikrotikom in če po ether5 spustim netagiran segment 20 in še tagiran segment 3999. Potem pa deluje live TV, internetne storitve pa ne. V diagnostiki na boxu vidim:
Vlan: 10.x.y.z (Ne)
Lokalno omrežje: 192.168.20.254 (povezava je vzpostavljena: Ethernet)
Internetno omrežje: Ne

Ima kdo kakšno idejo kaj se dogaja? Hvala!

Cela konfiguracija:
/interface bridge
add frame-types=admit-only-vlan-tagged name=BR1 protocol-mode=none vlan-filtering=yes
/interface ethernet
set [ find default-name=ether2 ] disabled=yes
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
/interface vlan
add interface=BR1 name=GUEST_VLAN_20 vlan-id=20
add interface=BR1 name=IPTV_VLAN_3999 vlan-id=3999
add interface=BR1 name=MGMT_VLAN_99 vlan-id=99
add interface=BR1 name=TRUSTED_VLAN_10 vlan-id=10
add interface=BR1 name=WAN_VLAN_666 vlan-id=666
/interface list
add name=MGMT
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool4 ranges=192.168.20.100-192.168.20.254
add name=dhcp_pool5 ranges=192.168.10.100-192.168.10.254
add name=dhcp_pool6 ranges=192.168.99.100-192.168.99.254
/ip dhcp-server
add address-pool=dhcp_pool4 disabled=no interface=GUEST_VLAN_20 name=dhcp3
add address-pool=dhcp_pool5 disabled=no interface=TRUSTED_VLAN_10 name=dhcp2
add address-pool=dhcp_pool6 disabled=no interface=MGMT_VLAN_99 name=dhcp1
/interface bridge port
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=ether6 pvid=99
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=ether7 pvid=10
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=ether8 pvid=10
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=ether9 pvid=20
add bridge=BR1 frame-types=admit-only-vlan-tagged ingress-filtering=yes interface=ether10
add bridge=BR1 interface=ether1 pvid=666
add bridge=BR1 interface=ether5 pvid=20
/ip neighbor discovery-settings
set discover-interface-list=MGMT
/interface bridge vlan
add bridge=BR1 tagged=BR1,ether10 vlan-ids=10
add bridge=BR1 tagged=BR1,ether10 vlan-ids=20
add bridge=BR1 tagged=BR1,ether10 vlan-ids=99
add bridge=BR1 tagged=BR1 vlan-ids=666
add bridge=BR1 tagged=BR1,ether1,ether5 vlan-ids=3999
/interface list member
add interface=MGMT_VLAN_99 list=MGMT
add interface=WAN_VLAN_666 list=WAN
/ip address
add address=192.168.10.1/24 interface=TRUSTED_VLAN_10 network=192.168.10.0
add address=192.168.20.1/24 interface=GUEST_VLAN_20 network=192.168.20.0
add address=192.168.1.2/24 interface=WAN_VLAN_666 network=192.168.1.0
add address=192.168.99.1/24 interface=MGMT_VLAN_99 network=192.168.99.0
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1
add address=192.168.20.0/24 gateway=192.168.20.1
add address=192.168.99.0/24 gateway=192.168.99.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid disabled=yes
add action=accept chain=input in-interface-list=MGMT
add action=drop chain=input disabled=yes
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid disabled=yes
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new disabled=yes in-interface-list=WAN
add action=accept chain=forward connection-state=new in-interface=MGMT_VLAN_99 out-interface-list=WAN
add action=accept chain=forward connection-state=new in-interface=TRUSTED_VLAN_10 out-interface-list=WAN
add action=accept chain=forward connection-state=new in-interface=GUEST_VLAN_20 out-interface-list=WAN
add action=drop chain=forward disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip route
add distance=1 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh address=192.168.99.0/24
set api disabled=yes
set winbox address=192.168.99.0/24
set api-ssl disabled=yes
/lcd
set enabled=no
/system clock
set time-zone-name=Europe/Ljubljana
/system identity
set name=Router
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=MGMT
/tool mac-server mac-winbox
set allowed-interface-list=MGMT
/tool romon
set enabled=yes

Zgodovina sprememb…

  • spremenilo: m3dv3d ()

Daniel ::

3. Če je BOX za Mikrotikom in če po ether5 spustim netagiran segment 20 in še tagiran segment 3999. Potem pa deluje live TV, internetne storitve pa ne. V diagnostiki na boxu vidim:
Vlan: 10.x.y.z (Ne)
Lokalno omrežje: 192.168.20.254 (povezava je vzpostavljena: Ethernet)
Internetno omrežje: Ne


A ti IPTV sploh dela dobro čez 2011? Ker kolikor sem testiral je rado kockalo zaradi švoh procesorja, če je bilo več TVjev. Sicer pa me čudi, da ti pod točko 3 dela live tv, če tam piše "Vlan: 10.x.y.z (Ne)" Očitno ti sicer tale tagiran vlan 20 povzroča neke težave. Če takrat, ko je zadeva konfigurirana kot pod točko 3 na ta port priklopiš katero drugo napravo ti internet na njej takrat deluje ali ne?

mzakelj ::

Še en glas za 4011 ali malo poglej za 5xx serijo.. Še močnejša. Meni 4011 goni 4x tv na t2 in 1000/100 linija. Je pa res da sem omejil računalnike ker drugače pojedo vso linijo in tv-ji ne delujejo. Tako da če boš konfiguriral pusti ene 10mb na tv ostalo pa za net...

Daniel je izjavil:

3. Če je BOX za Mikrotikom in če po ether5 spustim netagiran segment 20 in še tagiran segment 3999. Potem pa deluje live TV, internetne storitve pa ne. V diagnostiki na boxu vidim:
Vlan: 10.x.y.z (Ne)
Lokalno omrežje: 192.168.20.254 (povezava je vzpostavljena: Ethernet)
Internetno omrežje: Ne


A ti IPTV sploh dela dobro čez 2011? Ker kolikor sem testiral je rado kockalo zaradi švoh procesorja, če je bilo več TVjev. Sicer pa me čudi, da ti pod točko 3 dela live tv, če tam piše "Vlan: 10.x.y.z (Ne)" Očitno ti sicer tale tagiran vlan 20 povzroča neke težave. Če takrat, ko je zadeva konfigurirana kot pod točko 3 na ta port priklopiš katero drugo napravo ti internet na njej takrat deluje ali ne?


Na siol naredi dva bridga :
enega za net, drugega za tv.
Dodaš vlan3999 na eth0 ali sfp odvisno kam imaš wan priklopljen.
vlan 3999 dodaš v bridge tv
nato dodaš še en vlan 3999 in ga pripneš na port na katerega imaš tv. Tako boš dobil trunk port katerega rabi neo box.
Nato še ta vlan vrži v grupo bridge tv.. Sam trunk port pa normalno v bridge za net.
Lahko pa seveda narediš en trunk port in potem to delaš preko switcha. Odvisno kako imaš urejeno doma..
Če bi potreboval kak 24 giga mk port switch imam čisto novega doma in ga sedaj uporabljam za polico da gor leži 4011...

Nato bi moralo delati.

Zgodovina sprememb…

  • spremenilo: mzakelj ()

Daniel ::

mzakelj je izjavil:

Še en glas za 4011 ali malo poglej za 5xx serijo.. Še močnejša. Meni 4011 goni 4x tv na t2 in 1000/100 linija. Je pa res da sem omejil računalnike ker drugače pojedo vso linijo in tv-ji ne delujejo. Tako da če boš konfiguriral pusti ene 10mb na tv ostalo pa za net...

Daniel je izjavil:

3. Če je BOX za Mikrotikom in če po ether5 spustim netagiran segment 20 in še tagiran segment 3999. Potem pa deluje live TV, internetne storitve pa ne. V diagnostiki na boxu vidim:
Vlan: 10.x.y.z (Ne)
Lokalno omrežje: 192.168.20.254 (povezava je vzpostavljena: Ethernet)
Internetno omrežje: Ne


A ti IPTV sploh dela dobro čez 2011? Ker kolikor sem testiral je rado kockalo zaradi švoh procesorja, če je bilo več TVjev. Sicer pa me čudi, da ti pod točko 3 dela live tv, če tam piše "Vlan: 10.x.y.z (Ne)" Očitno ti sicer tale tagiran vlan 20 povzroča neke težave. Če takrat, ko je zadeva konfigurirana kot pod točko 3 na ta port priklopiš katero drugo napravo ti internet na njej takrat deluje ali ne?


Na siol naredi dva bridga :
enega za net, drugega za tv.
Dodaš vlan3999 na eth0 ali sfp odvisno kam imaš wan priklopljen.
vlan 3999 dodaš v bridge tv
nato dodaš še en vlan 3999 in ga pripneš na port na katerega imaš tv. Tako boš dobil trunk port katerega rabi neo box.
Nato še ta vlan vrži v grupo bridge tv.. Sam trunk port pa normalno v bridge za net.
Lahko pa seveda narediš en trunk port in potem to delaš preko switcha. Odvisno kako imaš urejeno doma..
Če bi potreboval kak 24 giga mk port switch imam čisto novega doma in ga sedaj uporabljam za polico da gor leži 4011...

Nato bi moralo delati.


Zanimivo, sam imam Hap Ac3 in če do konca zafilam linijo, kar je sicer skoraj nemogoče, tv boxi še zmeraj normalno delajo (Telemach 932/128).

Mislim sicer, da on to osnovno konfiguracijo pozna. Problem je nekje v tem, da on uporablja še VLAN filtering.

m3dv3d ::

Zaenkrat mi na 2011 ena televizija nič ne kocka. Sicer pa hvala za predloge, ko bo 2011 prešvoh bom pogledal močnejšo opremo.

Na Mikrotiku sem si skonfiguriral sniffanje paketov in streaming v Wireshark. Situacija je bila naslednja:

Situacija 2: Samo netagiran vlan 20

1. BOX prosi za podatke DHCP server.
2. Odzove se DHCP server, ki teče na mojem vlan 20 (192.168.20.1) in BOXu ponudi IP naslov 192.168.20.254/24 z gatewayom 192.168.20.1 in DNS serverji 192.168.20.1,1.1.1.1 in 8.8.8.8.
3. BOX sprejme ponujen IP naslov.
4. BOX pošlje broadcast ARP povpraševanje za MAC naslov za IP 192.168.20.1 in prejme odgovor od mojega routerja. Tu je verjetno želel MAC naslov na katerega naj pošlje DNS paket.
5. BOX pošlje DNS povpraševanje za domeno time.siol.tv na 192.168.20.1 in prejme odgovor, nek javni Telekomov IP.
6. BOX pošlje povpraševanje za točen čas na time.siol.tv in dobi odgovor.
7. V nadaljevanju BOX pošlje povpraševanje za več *.siol.tv poddomen in potem iz teh serverjev preko HTTP(S) prenese
neke slikce, preveri za posodobitve itd...
8. Zatakne se pri resolvanju vlan.siol.tv, zgleda je ta domena resolvable samo interno iz vlana 3999.
9. BOX popinga server dms.siol.tv, to stori takrat ko odprem diagnostiko, zgleda tako preverja
če je Internetno omrežje okej.

Kar se tiče multicasta BOX ves čas iz svojega IP 192.168.20.254 pošilja SSDP M-SEARCH, kasneje pa tudi NOTIFY pakete na neke multicast naslove. Poleg tega vidim tudi IGMPv2 promet, ki ga BOX pošilja iz 192.168.20.254 na neke multicast naslove. Multicast prometa od drugje (odgovorov) kot iz BOXa ni.
Pojavi se tudi IGMPv2 promet iz 10.0.0.1 na neke multicast naslove, ki sovpada z menjavo kanala na TVju. Ta 10.0.0.1 je verjetno nek placeholder, ker BOX ni dobil IPja iz vlana 3999.

Situacija 3: Netagiran vlan 20 in tagiran 3999

1. (netagiran) BOX prosi za podatke DHCP server
2. (netagiran) Odzove se DHCP server, ki teče na mojem vlan 20 (192.168.20.1) in BOXu ponudi IP naslov 192.168.20.254/24 z gatewayom 192.168.20.1 in DNS serverji 192.168.20.1,1.1.1.1 in 8.8.8.8
3. (netagiran) BOX sprejme ponujen IP naslov
4. (netagiran) BOX pošlje broadcast ARP povpraševanje za MAC naslov za IP 192.168.20.1 in prejme odgovor od mojega routerja
5. (netagiran) BOX pošlje DNS povpraševanje za domeno time.siol.tv na 192.168.20.1
(DNS server, katerega MAC je ugotavljal v 4. koraku) in prejme odgovor, nek javni Telekomov IP.
6. (netagiran) BOX pošlje povpraševanje za točen čas (NTP) na ta IP od time.siol.tv in dobi odgovor. Internet torej dela.
Do tukaj je vse enako kot če ni tagiranega 3999...

7. (tagiran) BOX prosi za podatke DHCP server
8. (tagiran) Odzove se Telekomov DHCP server, ki teče v vlan3999 in BOXu ponudi
IP naslov 10.x.y.z/21 z gatewayom 10.x.y.1 in DNS serverji iz drugega subneta.
9.(tagiran) BOX pošlje ARP request in hoče ugotovit MAC naslov od gatewaya in NE PREJME odgovora.

Ker BOX ne dobi MAC naslova od gatewaya v vlanu 3999 tudi ne more dostopati do internih DNS serverjev, ki imajo zgleda prioriteto pred DNS serverji iz netagiranega segmenta. BOX ves čas poskuša dobiti MAC naslov default gatwaya in ponavlja s pošiljanjem ARP povpraševanja.

Ko odprem diagnostiko ne vidim ping paketov, verjetno zato, ker ne BOX more do teh internih DNSjev, da bi resolval dms.siol.tv. Zato tudi piše da nima internetnega dostopa, čeprav je BOX na začetku uspešno dostopal do time.siol.tv.

Glede multicasta pa live TV deluje, verjetno ima BOX pocachane nekje sezname IPjev za multicast.
Namesto iz 10.0.0.1 je sedaj pri IGMPv2 uporabljen dejanski IP od tagiranega interfaca.
Še vedno sicer vidim nek IGMPv2 promet od BOXa po netagiranem segmentu. IGMPv2 promet še vedno ustreza
menjavi kanala na TVju.
Še vedno je SSDP promet po netagiranem segmentu. Največ pa je seveda UDP multicast prihajajočih paketov za IPTV.

Če povzamem, na prvi pogled mi zgleda kot, da se ARP odgovor default gatewaya v segmentu 3999 izgubi, nisem pa prepričan, če to zaradi mojih vlanov. DHCP promet in slika sta šla po tagiranem brez problema.

PS. Ja če v ether5 vklopim PC mi dela internet v obeh situacijah.

Zgodovina sprememb…

  • spremenilo: m3dv3d ()

Senitel ::

m3dv3d ::

Senitel je izjavil:

Proxy-ARP?
Also: Other devices with a built-in switch chip.


To z hardware offloadingom za VLANe sem videl ja, samo želim najprej delujočo verzijo tako kot imam sedaj.

Segment 3999 se na mojem mikrotiku nič ne routa, ubistvu je samo podaljšan L2 network od Telekoma. Če na IPTV_VLAN_3999 vklopim Proxy ARP, potem BOX na ARP request za default gateway na tagiranem segmentu dobi MAC naslov vlan interfaca na mojem bridgu. Zadeva se premakne naprej, BOX začne pošiljati te DNS poizvedbe, ampak ne dobi odgovora, kar je logično, saj ta moj vlan interface nima IP naslova in ne zna posredovati DNS requestov naprej.

p0f ::

Samo mimogrede, mogoce vam prav pride:

https://www.micu.eu/adblock-script/

Senitel ::

m3dv3d je izjavil:

Segment 3999 se na mojem mikrotiku nič ne routa, ubistvu je samo podaljšan L2 network od Telekoma. Če na IPTV_VLAN_3999 vklopim Proxy ARP, potem BOX na ARP request za default gateway na tagiranem segmentu dobi MAC naslov vlan interfaca na mojem bridgu. Zadeva se premakne naprej, BOX začne pošiljati te DNS poizvedbe, ampak ne dobi odgovora, kar je logično, saj ta moj vlan interface nima IP naslova in ne zna posredovati DNS requestov naprej.

Aja točno, imaš vse spakirano po VLAN-ih. Potem local-proxy-arp.

m3dv3d ::

Senitel je izjavil:

m3dv3d je izjavil:

Segment 3999 se na mojem mikrotiku nič ne routa, ubistvu je samo podaljšan L2 network od Telekoma. Če na IPTV_VLAN_3999 vklopim Proxy ARP, potem BOX na ARP request za default gateway na tagiranem segmentu dobi MAC naslov vlan interfaca na mojem bridgu. Zadeva se premakne naprej, BOX začne pošiljati te DNS poizvedbe, ampak ne dobi odgovora, kar je logično, saj ta moj vlan interface nima IP naslova in ne zna posredovati DNS requestov naprej.

Aja točno, imaš vse spakirano po VLAN-ih. Potem local-proxy-arp.


Lahko malo razložiš zakaj misliš, da mi manjka local-proxy-arp?
Če razumem pravilno bi ta local proxy arp uporabil na routerju, ko bi imel spodaj switch z private VLANi, da bi promet tekel čez router.

Tukaj v mojem primeru, pa iz ISP routerja dobim tagiran segment, ki ga na mojem mikrotiku na L2 nivoju samo potegnem do BOXa in na mikrotiku nimam nobenih L3 zadev za ta segment. ARP request iz BOXa leti po celem L2 segmentu right in odgovoriti bi moral ta gateway, ki je tudi v tem segmentu. Sem kaj zgrešil?

Senitel ::

Kolikor berem config nimaš samo switchanja. 3999 pelješ na ether1, ether5 in BR1 (CPU) kjer je VLAN interface (IPTV_VLAN_3999) in by default odgovarja na ARP requeste. V bistvu bi bilo boljše pobrisat IPTV_VLAN_3999 interface in 3999 samo switchat med ehter1 in ether5 ter ne komplicirat z local-proxy-arp.

m3dv3d ::

Evo pa mi je le uspelo!

Zgleda ima Telekom implementiran port security in si zapomnijo preko katerega porta na tem njihovem routerju pride določen BOX v njihovo omrežje (gleda se MAC naslov BOXa). Tako, da rešitev je bila, da sem uplink kabel do Mikrotika na Telekomovem routerju prestavil na tisti port, na katerem je bil BOX že prej.

Senitel je izjavil:

Kolikor berem config nimaš samo switchanja. 3999 pelješ na ether1, ether5 in BR1 (CPU) kjer je VLAN interface (IPTV_VLAN_3999) in by default odgovarja na ARP requeste. V bistvu bi bilo boljše pobrisat IPTV_VLAN_3999 interface in 3999 samo switchat med ehter1 in ether5 ter ne komplicirat z local-proxy-arp.


Ja tako imam ja, IPTV_VLAN_3999 interface sem imel zato, da sem lažje tshootal in ga bom sedaj pobrisal. Čeprav meni ta interface ni nič odgovarjal na ARP requeste. Odgovarjati je začel takrat ko sem nastavil arp proxy, prej je bil tiho.
Odgovarjati bi po mojem začel, če bi imel na ta interface obešen IP naslov, ki bi bil nekje nastavljen za default gateway in bi paket letel v drugo omrežje, drugače pa mislim da ne.

Sem pa ugotovil, da ta packet sniffer s streamingom na Mikrotiku dela bolj tako tako, včasih zgreši kakšen VLAN tag, tudi če snifaš direktno na tagiranem interfacu.

zmelkoow ::

Pozdravljeni!
Malo bom ugrabil temo; ali ima kdo mogoče primer ovpn datoteke, ki bi vsebovala tudi certifikate zaradi lažje namestitve na android / ios naprave za dostop do Mikrotik OpenVPN serverja...
Hvala

starfotr ::

Uporabi Wireguard. Na ROS 7 je omogočen.

zmelkoow ::

Kako stabilne so testing / development verzije ROS?

Surstromming ::

zmelkoow je izjavil:

Pozdravljeni!
Malo bom ugrabil temo; ali ima kdo mogoče primer ovpn datoteke, ki bi vsebovala tudi certifikate zaradi lažje namestitve na android / ios naprave za dostop do Mikrotik OpenVPN serverja...
Hvala


Seveda, pa se private key, dobis na pm.
«
1
2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Telekom Neo in Asus router (strani: 1 2 )

Oddelek: Omrežja in internet
7622205 (10561) Ghost007
»

Domači VPN (strani: 1 2 3 )

Oddelek: Omrežja in internet
12724819 (10667) Daniel
»

Domača mreža hardware

Oddelek: Omrežja in internet
172260 (558) Invictus
»

Amis TV komunikator za usmerjevalnikom (strani: 1 2 )

Oddelek: Omrežja in internet
6113736 (9404) Master_Yoda
»

Mikrotik RB2011UiAS-2HnD-IN na Amisu, bizarno počasen internet. (strani: 1 2 )

Oddelek: Omrežja in internet
9012367 (9647) Invictus

Več podobnih tem