Mikrotik_Делимся опытом, помогаем друг другу

[Kiano 615]

Только что, fastersilent сказал:

Это при условии что он лацп нормально скушает. Там де 1гб порты

Та там же 10гб порт сфп+

[fastersilent 45]

1 минуту назад, Kiano сказал:

Та там же 10гб порт сфп+

Тю, точно. С другой железякой спутал 😅

[jora1x 0]

1 час назад, Ondp сказал:

Да что-то мне эти бриджи не нравятся(( Этож будет все упиратся в один процессор или нет?)

 

Кроме пустых окон винбокса есть еще какието проблемы о которых мы не знаем?

Упор в один проц не в курсе, но в ядра не будет упираться. Не только пустые окна, трафик не правильно фрагминтируется, mss не работает, соответственно жди трабл с неожиданных сторон, такие как открытие некоторых сайтов.

Дубляну с другого форума

 

Может кому пригодится.

Разобрались с пустым winbox когда заходишь на ван-порт, дело было как и предполагалось с L2MTU так как он был пуст и предположительно проблема с фрагментацией пакетов. Всякие попытки в мангле  с MSS не дали нужного результата.

Решили попробовать так:

 Создали bridge_wan, закинули в него wan интерфейс сетевой x520-da2, сразу к бриджу привязали админ-мак от wan интерфейса. Появилось l2mtu 65535 на бридже, далее накинули vlan на bridge_wan, и у  vlan появился m2mtu от бриджа. Всё сразу нормально заработало.

[tkapluk 897]

1 час назад, fastersilent сказал:

ахах :)) Хотел бы я на него посмотреть как он 2г трафика вывезет :)))

ну цена вопроса для посмотреть копеечная: 

https://www.olx.ua/d/obyavlenie/mikrotik-rb4011igs-rm-IDNRRUb.html

 

 

2 часа назад, fastersilent сказал:

Приходит время когда нужно взрослеть

минимально взрослое решение: Juniper MX5

[Kiano 615]

2 часа назад, tkapluk сказал:

ну цена вопроса для посмотреть копеечная: 

https://www.olx.ua/d/obyavlenie/mikrotik-rb4011igs-rm-IDNRRUb.html

 

 

минимально взрослое решение: Juniper MX5

Ну джун этот - старое железо уже.

 

[Туйон 1 218]

Сейчас годик ещё и откатают 7 ветку микротика.

И проблемы с BGP станут намного дешевле и проще.

[tkapluk 897]

1 час назад, Kiano сказал:

Ну джун этот - старое железо уже.

 

Тем не менее с поставленной задачей справится без проблем.  Дальше там цены вообще в космос уходят для таких сетей... 

 

1 час назад, Туйон сказал:

Сейчас годик ещё и откатают 7 ветку микротика.

И проблемы с BGP станут намного дешевле и проще.

ага, а 1072 уже убила циску 😂

[virtus 30]

В 10.02.2022 в 20:35, Zlobar сказал:

 

Аби для вас не стали несподіванкою ребути CCR2004

Читати стіну плачу, наприклад, тут: https://forum.mikrotik.com/viewtopic.php?t=164578

Мабуть уже решили 

[DVSGROUP 127]

Особых проблем с CCR2004 не наблюдал. Быть может ребуты есть, когда ядра забиваются в полку.

[prototip 284]

Да только вот одна незадача, CCR2004  как то микротик пишет only V7 version ROS... А  траблы там начинаются по мере загрузки ядер , поэтому скриншот с 6 веткой софта и загрузкой в 0%  это ни о чем как для CCR2004.  Саппорт  тихо жует сопли и никакого внятного ответа по спорадическим перезагрузкам нет, есть мнение о проблемной архитектуре железа CCR2004 в общем, сможет ли в таком случае решить этот вопрос микротайк отдельно ? Сильно сомневаюсь.

[virtus 30]

Кто какие шейпера использует на абонов в микроте, simple queues на каждого абона или mangle через address list ?

[olsasha 25]

Очередя нужно использовать только simple queues по 1 правилу на 1 пользователя. CCR2004 также работает на 6-й версии ROS правда там будет доступна не вся оперативная память.

[virtus 30]

2 часа назад, olsasha сказал:

Очередя нужно использовать только simple queues по 1 правилу на 1 пользователя. CCR2004 также работает на 6-й версии ROS правда там будет доступна не вся оперативная память.

Почему не mangle через address list ? Чем лучше по 1 правилу на 1 пользователя ?

[olsasha 25]

Потому-что через simple queues будет распределение по ядрам CPU.

[H_U_L_K 277]

Приветствую.

Дабы не плодить тему спрошу тут, мало ли...

Имееться виртуалка с виндой в локальной сети, имеет ип адрес локальной сети.

Надо на микротике закрыть ей доступ в инет, но в тот же момент оставить возможность подключения по рдп по нестандартному порту (это правило должно быть отключаемым).

То есть доступ через микротик к этому ип закрыт, и от него в инет доступ закрыт.

Если надо доступ то захожу на микротик, включаю разрешающее правило на порт и захожу на виртуалку.

Но затык случился на прописывании правила запрета доступа в инет.

 

В фаерволе (сори, пишу текстом. а не командой)

chain - forward, src.adres - ип сервера, in.interface - lan bridge, out.interface.list - wan, action - drop

  - и это не работает. Пробовал разные вариации - не помогает. В виртуалке захожу на сайты спокойно.

DNS адрес в локалке - микротик.

 

Подозреваю что это связано с правилом NATа к доступу к инету через srcnat, а не маскарад (так же есть hairpin).

Но в любом же случае запрос должен проходить через правило фаервола.

Другой мысли нет.

 

Может кто подскажет куда копать то?

Відредаговано 2024-06-27 05:40:59 H_U_L_K

[SavPasha 13]

19 часов назад, H_U_L_K сказав:

Приветствую.

Дабы не плодить тему спрошу тут, мало ли...

Имееться виртуалка с виндой в локальной сети, имеет ип адрес локальной сети.

Надо на микротике закрыть ей доступ в инет, но в тот же момент оставить возможность подключения по рдп по нестандартному порту (это правило должно быть отключаемым).

То есть доступ через микротик к этому ип закрыт, и от него в инет доступ закрыт.

Если надо доступ то захожу на микротик, включаю разрешающее правило на порт и захожу на виртуалку.

Но затык случился на прописывании правила запрета доступа в инет.

 

В фаерволе (сори, пишу текстом. а не командой)

chain - forward, src.adres - ип сервера, in.interface - lan bridge, out.interface.list - wan, action - drop

  - и это не работает. Пробовал разные вариации - не помогает. В виртуалке захожу на сайты спокойно.

DNS адрес в локалке - микротик.

 

Подозреваю что это связано с правилом NATа к доступу к инету через srcnat, а не маскарад (так же есть hairpin).

Но в любом же случае запрос должен проходить через правило фаервола.

Другой мысли нет.

 

Может кто подскажет куда копать то?

 

/ip firewall nat;
 add action=masquerade chain=srcnat dst-address=%SRV-IP% dst-port=%SRV-PORT% protocol=tcp;
 add action=dst-nat chain=dstnat dst-address=%PUB-IP% dst-port=%PUB-PORT% protocol=tcp to-addresses=%SRV-IP% to-ports=%SRV-PORT%;
/

 

Можуть бути нюанси. В даних 2-х правилах запити на сервер мають прийти від імені MikroTik, якщо у вас єдина ІР, яка дивиться в сторону сервера, і немає ніяких фільтрів в сторону сервера. Цих 2 провела мають бути в пріоритеті у верху, щоб вони не пере сікались із іншими правилами. Вмикати і вимикати потрібно цих 2 правила. Якщо шлюзом серверу є цей-ж MikroTik то 1-ше правило може мати інший вигляд, якщо на сервері необхідно бачити ІР-адресу, з якої заходять на СЕРВЕР. Також враховуйте, якщо з'єднання буде встановлене то при деактивації цих правил з'єднання не буде розірване поки не відсудиться перепід'єднання (останнє твердження не точне і потребує перевірки)

 

Якщо все ж таки хочете керувати одним правилом доступ до сервера то потрібно ще добавити в таблицю ФІЛЬТР наступне правило (теж у сам верх)

/ip firewall filter;
 add action=drop chain=forward dst-address=%SRV-IP% dst-port=%SRV-PORT% protocol=tcp;
/

І достатньо буде вмикати/вимикати це правило заборони.

Відредаговано 2024-06-27 16:21:13 SavPasha

[H_U_L_K 277]

Всё оказалось проще.

Сделал правило в NAT. Поставил его перед правилом srcnat для доступа к интернету из локальной сети. 

chain - srcnat, src.adress - ИП сервера, out interface - порт с доступом в интернет, action - accept.

Итого - пинг проходит в локальной сети и на микротик, и всё. Что собственно и требовалось.

Единственный нюанс что правило не в фаерволе, а в НАТе. Странно что в фаерволе ничего не заработало.