Mikrotik_Делимся опытом, помогаем друг другу

[Valentin.net 1]

Ребята, у меня тож есть вопрос по МТ. RB750 умеет кормится через PoE? В настройках нашел, но включать стремно   Как то раз врубил PoE passtrough на нанос М2, в результате сгорел проц, да так, что ремонту не подлежала.   Замкнуло дорожки, как мне сказали. Теперь боюсь

[FoFan 1]

Ребята, у меня тож есть вопрос по МТ. RB750 умеет кормится через PoE? В настройках нашел, но включать стремно   Как то раз врубил PoE passtrough на нанос М2, в результате сгорел проц, да так, что ремонту не подлежала.   Замкнуло дорожки, как мне сказали. Теперь боюсь

Электропитание: PoE: 9..28 V DC on Ethernet port1 (только Passive POE выводы +4,5 и -7,8,

не поддерживает 802.3af)

jack:9..28 V DC

[BlackVS 35]

DDOSить могут любой адрес. Было бы желание.

Положить микротик в полку можно на уровне фаервола на легко, всё зависит от полноты налитого стакана количества запросов к микроту.

100%. ТСу - если грубо, то у каждой железки есть свой предел пропускной. И если ддос атака равна или больше этого предела, железка уходит в 100%-ую нагрузку. Но даже если у железки запас прочности - то есть предел в виде пропускной полосы wan - атакующие при нынешних условиях вполне и 1г могут забить. В результате лаги и дропы и "тормознутый почему-то интернет". Можно пытаться на уровне провайдера блокирнуть лишние порты либо не светить свой ип и свои порты в мир и надеяться на лучшее. Да, icmp тоже блокирнуть.

[BlackVS 35]

Ребята, у меня тож есть вопрос по МТ. RB750 умеет кормится через PoE? В настройках нашел, но включать стремно   Как то раз врубил PoE passtrough на нанос М2, в результате сгорел проц, да так, что ремонту не подлежала.   Замкнуло дорожки, как мне сказали. Теперь боюсь

У них своё PoE - берёте родной микротиковский Poe инжектор и вперёд.

[H_U_L_K 281]

Эм, раз уж тема о микротиках, то  стоит ли на rb2011 переезжать с 6.31 на 6.39.2?

Не будет ли тут "эффекта apple", в котором в новых прошивках старые девайсы заставляют тупить.

[BlackVS 35]

Эм, раз уж тема о микротиках, то стоит ли на rb2011 переезжать с 6.31 на 6.39.2?

Не будет ли тут "эффекта apple", в котором в новых прошивках старые девайсы заставляют тупить.

У знакомого стоит последняя прошивка - жалоб не было. Не понравится - сделаете downgrade обратно на 6.31

PS: эффект эппл? Я надеялся, что у них такого нет (у меня просто на андроиде точно такой же эффект и думал уйти на яблоко при следующем апгрейде). Видать это просто "эффект нового на старом" %) И ещё один способ заставлять покупать новое.

Відредаговано 2017-07-24 04:40:15 BlackVS

[H_U_L_K 281]

Та я вряд ли замечу разницу "невооруженным глазом".

Инета 200 мбит. Больше напрягает тормознутость встроенного usb порта, который больше 3.5 мбайт/сек не пропускает (упираемся в 100% загрузку проца).

Уже подумывал сменить rb2011 на rb3011, но там юсб тоже не айс, 8-10 мбайт/сек.

 

А мне бекапить периодически надо будет гигов под 700, пока что.

А это более 4-х часов 100% загрузки процессора.

[kostikbel 0]

Та я вряд ли замечу разницу "невооруженным глазом".

Инета 200 мбит. Больше напрягает тормознутость встроенного usb порта, который больше 3.5 мбайт/сек не пропускает (упираемся в 100% загрузку проца).

Уже подумывал сменить rb2011 на rb3011, но там юсб тоже не айс, 8-10 мбайт/сек.

 

А мне бекапить периодически надо будет гигов под 700, пока что.

А это более 4-х часов 100% загрузки процессора.

У rb3011 два процессора, каждый побыстрее чем mips в 2011.  Но идея заливать 700Gb через такой mikrotik все равно не пройдет.

 

У 1100AHx4 dude edition есть несколько SATA и M.2 портов.

[H_U_L_K 281]

Для домашнего использования это нифига не бюджетно)) проще однодисковый nas купить.

[blogpatik 0]

Підскажіть будь ласка, Web Proxy в мікротіку вміє блокувати сайти, які працюють на https протоколі? 

 

Потрібно заблокувати ютуб, рутуб, фейсбук для прикладу, а всі солідні сайти працюють по https протоколу... 

 

Можливо є інше рішення як заблокувати список сайтів?

[Dimkers 1 599]

Юзайте Layer7

[blogpatik 0]

Юзайте Layer7

Кажуть він сильно процесор грузить... дякую, почитаю на цю тему

[Dimkers 1 599]

НУ тогда блочьте по диапазонам IP(AS).

[blogpatik 0]

НУ тогда блочьте по диапазонам IP(AS).

Значить WebProxy https не блокує, раз ви мені таке радите... жаль... для чого він тоді взагалі потрібний з таким функціоналом   

[Dimkers 1 599]

Ну.... вы разобрались бы вначале в разнице http и https. И тогда бы вы поняли, что микрот не сможет(пока не сможет), делать чудо под названием "человек по середине". Сквид ставьте и извращайтесь.

[foreverok 95]

 

НУ тогда блочьте по диапазонам IP(AS).

Значить WebProxy https не блокує, раз ви мені таке радите... жаль... для чого він тоді взагалі потрібний з таким функціоналом   

 

Поищите здесь на форме тему о блокировке vk ok и тд. Там много говна информации по вашему вопросу. 

[al777 0]

Подскажите, пожалуйста.

Есть маленькая сеть на сером pppoe. Стоит задача получать от аплинка ещё 1 белый ip и передавать в ту же сеть тем же конкретному абону тоже по pppoe. На выходных буду упражняться.

Как я представляю, нужно второй реальный ip прописать в адресах на новом пппое, на самой учетке пппое, в маршруты чтотнужотдобавить?

Как это сделать правильно, возможна платная помощь по удалёнке на макете. Заранее спасибо. Всем приятных длинных выходных!

[BlackVS 35]

Вопрос, как отнесется провайдер к тому, если маки для серого и белого будут отличаться?

Если никак - то трафик, идущий с клиентского, просто отправляете как есть в pppoe провайдера (скорее всего он и так уйдет ибо обычно включен deafult route в pppoe клиенте, только тогда маскарадинг отключить именно для этого трафика).

а входящий трафик из pppoe провайдера на белый ип - форвардните на клиентский pppoe (обычный роут).

 

Если разные маки нежелательны %) - тогда второй вопрос - клиент хочет физически у себя иметь белый или же выходить в инет через белый ип? Не одно и то же.

Если второе - белый ип прописываете у себя, дальше пара правил dst-nat/src-nat.

Відредаговано 2017-10-13 07:17:21 BlackVS

[al777 0]

Провайдер видит только маки, к которым он прибивает белын ip из /24 подсети. Один забрал я микротиком с ether1, дальше маскарадинг (вернее новый нат для статики, не помню на слух, глянуть не могу), серые ip через рррое, на учётки пппое простые очередях на каждого.

Теперь необходимо получить белый ip от провайдера и отдать через несколько простых коммутаторов желательно тоже по рррое. Надеюсь и на эту учётку навесить simple queue чтоб группировать по пропускной способности удаленных каналов.

Раньше на вход ставил смарт свич и вланом соединял с провайдером далекого абонента мимо микротика, скорость резалась 10 Мбит физической пропускной способностью конечного оборудования) теперь это надо шейпить, видеть статистику хотя бы по графику очереди, и ставить умный свич для 1 абонента затратно.

Прошу совета и помощи

П.с. чем забрать второй реальный ip от провайдера? В принципе железный вариант поставить простой свич и два шнурка в микротик, но уверен есть более изысканные способы. Пытался через виртуальный интерфейс на ether1, на на нем dhcp client ничего не получал(

Відредаговано 2017-10-13 10:13:58 al777

[BlackVS 35]

То есть получается провайдер должен быть в одном l2 сегменте с интерфейсом, к которому прибит белый ип?

[BlackVS 35]

Пытался через виртуальный интерфейс на ether1, на на нем dhcp client ничего не получал(

 

Virtual Ethernet немного не для этого.

Народ извратился через VRRP, чтобы повесить несколько DHCP клиентов на один wan порт без лишних шнурков-свичей.

https://forum.mikrotik.com/viewtopic.php?f=2&t=93517&hilit=It%27s+definitely+not+a+proper+solution

 

И похоже - ничего лучше не смогли придумать, хот я и давно было:

https://forum.mikrotik.com/viewtopic.php?t=60453

 

А так - либо свич спереди и несколько портов в свич, либо бридж на роутере, в который опять несколько ethernet портов.

 

О, а если EOIP туннель Lan R1 - Wan R2 и в бридж с wan R1...

https://wiki.mikrotik.com/wiki/Manual:Interface/EoIP

По идее получится то же самое, что wan2 и Wan1 в одном бридже?

Відредаговано 2017-10-13 13:50:03 BlackVS

[al777 0]

Чуть позже отвечу детально.

По сути:

1. про один сегмент- так ребром никто не ставил, это более как вариант. Очень глобально то скорее да, но наоборот, моего абона можно из дебрь вытащить к провайдеру на один уровень. Напрашиваются вланы, но как шейпить? Вланы сделать микротиком тоже думал, ввиду просто, но не получилось.

2. Vrrp и эту статью видел, значит буду ещё раз пробовать. Как тогда отдать полученный по дхцп адрес абону в пппое?

3. еоип вообще не курил ни разу...

 

4. Попробую не на урок, а тупо бриджа Ми-8 что скажете? С ИксБита- а вот чтоб на одном ether1 принять 2 ip мне нужно создать два! бриджа в которых только ether1, на каждом запустить dhcp client или в ручную вбить ip, в общем с бридж1 и бридж2 работать как с ether1. Я правильно понимаю? Если да, то осталось только передать ip по рррое...

[BlackVS 35]

>>3. еоип вообще не курил ни разу...

 

Это типа бриджа (ethernet туннель) для разнесенных сетей.

[al777 0]

с несколькими бриджами я разбежался))

 

Так, VRRP адреса то получил, но с на этом все( с ними ни натить не получается, ничего. Подскажите как дальше с ними быть?

 

Свич конечно вариант, но боюсь это пластырь, так как ни скорость контролировать, ни расшириться потом.

 

Мне VRRP как-то по душе, но дальше готовить не получается... Прошу помочь, очень срочно требуют.. платно тоже вариант

 

EOIP же пожразумевает микротик на стороне абонента.. т.е. 500 грн порт)

Тогда уже вланы нужно, но со всоим Хуавеем я еще не сдружился(

Відредаговано 2017-10-14 20:19:07 al777

[BlackVS 35]

С VRRP лично не игрался, увы. Я просто думал, что R2 тоже микротик. Может уже спрашивали - а почему провайдер просто не может выдать на один и тот же мак сразу несколько серых-белых ип? Тогда просто пронатили б....

PS: есть пара свободных железок, попробую собрать тестовый стенд и поиграться с VRRP.

Відредаговано 2017-10-15 04:23:53 BlackVS