Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Fofan 25. 05. 2018, 02:16:26
-
Ahoj,
může někdo poradit, co znamená port ETH1 a ETH10? Manuál o zapojení neexistuje, tak ani nevím kam připojit kabel který vede od poskytovatele připojení :( Díky za pomoc.
https://www.czc.cz/mikrotik-rb2011uias-2hnd-in/141392/produkt (https://www.czc.cz/mikrotik-rb2011uias-2hnd-in/141392/produkt)
-
Ten switch bude téměř určitě managovatelný s vlany, takže záleží na konfiguraci. Viz /interface bridge port print.
-
Manuál existuje. Viz třeba http://www.wifihw.cz/default.asp?cls=stoitem&stiid=2634.
Pro jistotu shrnu: mít adresu na interfejsu k poskytovateli (dhcp, staticky), pak buď natovat za ip adresu interfejsu nebo routovat. V "ip firewall conn" je vidět, zda to žije, vysíláš a přijímáš, tj. že to máš dobře nastavený.
-
Kabel od ISP přijde do ETH1.
-
Manuál existuje: https://mikrotik.com/product/RB2011UiAS-2HnD-IN#fndtn-downloads
Ale jeslti ti jde o ten symbol zástrčky a žluté orámování nad ETH10 tak to znamneé že tenhle port má PoE (Power of Ethernet) výstup. Tzn, že z něj můžeš napájet další síťové zařízení. A POE nápis nad ETH1 znamená že to je PoE vstup (pasivní), tzn že zařízení může být napájeno po LAN společně s daty.
Další věc k tomu zařízení, je potřeba is uvědomit že to má 2 switch chipy, které jsou vzájemně propojené přes procesor, takže komunikace mezi nimi je značně zpomalená, takže pokud by jsi chtěl tohle zařízení využít jako "domácí" router s tím že do jednoho portu připojíš vstup a do dalších svoje zařízení, tak se Ti to může projevit na rychlosti. Tady je blokové zapojení: https://i.mt.lv/routerboard/files/Block-RB2011UAS-2HnD.pdf
Tím nechci říct že je to špatné zařízení, ale je spíš určené pro routonvání mezi dvěmi sítěmi než z toho udělat domácí router se switchem, na to se mnohlem lépe hodí: CRS109 (https://mikrotik.com/product/CRS109-8G-1S-2HnD-IN) nebo CRS125 (https://mikrotik.com/product/CRS125-24G-1S-2HnD-IN) v případě potřeby více portů. Taky to není žádná výkonová hitparáda ale na takové to "domací NATovaní", VPN klienta a nějaká FW to "stačí", to CRS109tku sám mám doma a stačí mi.
Kabel od ISP přijde do ETH1.
To je blbost, respektive tento mikrotik je plně konfigurovatelný, takže kabel od ISP může přijít do naprosto libovolného portu, vše záleží jen na konfoguraci.
-
Tohle není zařízení pro neznalé domácí uživatele, který podle obrázků zapojí kabel od ISP. K tomuhle potřebujete někoho, kdo rozumí sítím a bude vědět, jak to nakonfigurovat. Žádný manuál o zapojení k tomu existovat nemůže, protože funkci každého toho portu je možné nakonfigurovat, takže zapojení má každý jiné. (Manuály k produktu samozřejmě existují.) ETH0 až ETH10 jsou ethernetové porty, označené jsou takto proto, abyste poznal, který je který podle konfigurace routeru. Kabel od poskytovatele připojení pak zapojíte do toho portu, který vám někdo nakonfiguruje jako WAN nebo uplink, tedy jako port, přes který je dostupný internet.
Jinak pro domácí uživatele existují mnohem levnější zařízení, která nemají prakticky žádné možnosti konfigurace, takže se opravdu zapojují podle obrázků.
-
To je blbost, respektive tento mikrotik je plně konfigurovatelný, takže kabel od ISP může přijít do naprosto libovolného portu, vše záleží jen na konfoguraci.
Defaultně je ta konfigurace na ETH1. Konec hlášení.
-
Tohle není zařízení pro neznalé domácí uživatele, který podle obrázků zapojí kabel od ISP. K tomuhle potřebujete někoho, kdo rozumí sítím a bude vědět, jak to nakonfigurovat. ....
Tak úplně nesouhlasím.
Ano, MK je určen pro zkušenější uživatele, ale pokud vím, je tam i jakýsi Panel (QuickSet), kde jde jednoduše nechat udělat z MK domácí router s Wifi jen zadáním pár hodnot. Interní skripty provedou nastavení za Vás. Nic moc, ale je to funkční.
A ano, lze od ISP zapojit kamkoliv, ale MK standardně předpokládá ETH1 jak vstup a zbývající ETH standardně Bridguje - výchozí skript. A nasadí DHCP klienta na ETH1 a DHCP server na Bridge.
Takže bych tazateli odpověděl asi toto:
- Zapojit MK a PC stanadarním LAN a pomocí programu WinBox (ze stránek mikroitk.com se přihlásit /admin bez hesla a spustit iniciační skript.
- Spustit QuickSet - a hlavně změnit heslo admin! Donastavit např. Wifi klíč ...
- Do LAN2 až LAN10 (kamkoliv) dát ostatní PC/NTB v síti. To je LAN a je tam DHCP. Vyzkoušet Wifi.
Pokud bude nějaký problém, pak na Youtube je řada videonávodů, případně lze požádat o pomoc někoho znalejšího, případně na www.mikrotik.cz si koupit podporu/nastavení.
A pokud je budoucí fanda, nezaškodí si zaplatit 2denní školení v Praze.
Možností je .... a nebo jak psal kolega, koupit nějaký obyčejná TP LINK a tam to pojede prakticky ihned samo.
-
Možností je .... a nebo jak psal kolega, koupit nějaký obyčejná TP LINK a tam to pojede prakticky ihned samo.
Tak na tuhle radu bych byl hodně opatrnej :-) Ne specificky kvůli TP-Linku, ale kvůli SOHO segmentu obecně :-)
Nejčerstvější čtení viz https://www.root.cz/clanky/malware-vpnfilter-na-pul-milionu-routeru-linksys-mikrotik-netgear-a-tp-link/ ale historicky těch problémů už byly desítky.
Stručně a jednoduše, komu jsou jeho data drahá, si i domů pořizuje nikoli ošizenou a neudržovatelnou "levnou jako smetí" časovanou bombu, nýbrž svědomitě aktualizovaný a správně nakonfigurovaný Mikrotik, Open/DD-WRT, Cisco, Ubiquiti (ano, průsery měli taky, ale všechny se týkaly v danou dobu tragicky zastaralých firmwarů), nebo něco z této nebo vyšší ligy.
-
Mám RB2011 s WiFi a nakonec to i pro ten NAS dostačuje, je třeba si zapnout fasttrack/fastpath a jede to 105 MB/s.
-
Stručně a jednoduše, komu jsou jeho data drahá, si i domů pořizuje nikoli ošizenou a neudržovatelnou "levnou jako smetí" časovanou bombu, nýbrž svědomitě aktualizovaný a správně nakonfigurovaný Mikrotik, Open/DD-WRT, Cisco, Ubiquiti (ano, průsery měli taky, ale všechny se týkaly v danou dobu tragicky zastaralých firmwarů), nebo něco z této nebo vyšší ligy.
Problém je v tom „správně nakonfigurovaný“. To neumí zdaleka každý.
-
Problém je v tom „správně nakonfigurovaný“. To neumí zdaleka každý.
Co Turris?
-
Lacina:
Řešit výkonnost tohoto routeru u člověka, který ani neví, jak jej nastavit, a doporučovat mu výkonnější modely, nedává smysl. Na domácí žvýkání je 2011 dostačující.
Jak psal Bobo, stačí z vašeho počítače drát do eth2, zapnout, prohlížečem do 192.168.88.1, hned první položkou je Quick setup, který nastaví (jestliže už není) router jako klasické čínokrabky pro blbečky, tj. et1 = WAN, eth2-10 = LAN (1 souvislý segment).
Pak je možno začít experimentovat s nastavením (po měsíci to začnete chápat), přitom je vhodné pracovat výhradně v režimu Safe, aby nebylo nutné pořád dokola resetovat router do firemního nastavení.
Doporučovat nějaký podělaný TP-Link mi rovněž nepřijde vhodné, to už je 10x lepší ten Mikrotik.
-
[...]kvůli SOHO segmentu obecně :-)
Nejčerstvější čtení viz https://www.root.cz/clanky/malware-vpnfilter-na-pul-milionu-routeru-linksys-mikrotik-netgear-a-tp-link/ [...]svědomitě aktualizovaný a správně nakonfigurovaný Mikrotik[...]
Asi ti uniklo ze odkaz je i o problemu s Milrotikem ;-) obecne je o povolenem wembin do internetu, o ponechani vychoziho hesla a/nebo ponechani telnetu... tedu spravne nakonfigurovany plati pro kazdy router... btw:jinak SOHO + Lede/OpenWRT je tuplem o necem jinem...
-
V posledni dobe se tady objevuje nejak moc rada 2011 v ruznych variacich. Tezko rict proc to nekdo kupuje za soucasnou cenu, kdyz vyrobce uz nabizi levnejsi krabicky s vetsim vykonem a funkcema...
Lacina:
...........
Doporučovat nějaký podělaný TP-Link mi rovněž nepřijde vhodné, to už je 10x lepší ten Mikrotik.
TP-Link ano pokud se tam da nahrat neco jako OpenWRT apod. Mam hodne spatne zkusenosti s TP-Link obecne a jejich dodavanym firmware + otresna podpora. Jeste horsi je Edimax a Tenda...
Asus je na tom o poznani lepe alespon dle subjektivnich zkusenosti...
.....svědomitě aktualizovaný a správně nakonfigurovaný Mikrotik, Open/DD-WRT, Cisco, Ubiquiti (ano, průsery měli taky, ale všechny se týkaly v danou dobu tragicky zastaralých firmwarů)....
Problém je v tom „správně nakonfigurovaný“. To neumí zdaleka každý.
Mikrotik je dobra hracka v pomeru cena/vykon. Nerekl bych, ze je jen pro technicky zdatnejsi. Jejich soucasne quick set nastaveni je dobry zaklad pro obycejneho uzivatele. Stejne tak funkce automatickych updatu, ktere u Mikrotiku vychazeji casto a dlouhodobe. Take z meho pohledu rychlost jejich reakci na objevene slabiny patri k tomu lepsimu prumeru. Pokud se v tom bude chtit uzivatel hrabat a zkouset uz je to na jeho vlastni uvazeni/riziko.
Mozna to opravdu nakonec dopadne tak, ze poskytovatel napidne spravu zarizeni zakaznika vcetne zabezpeceni a konfigurace vnitrni site bud za poplatek nebo v ramci ceny dane sluzby. Verim, ze se najde hodne lidi, kterym to bude vyhovovat.
-
[...]kvůli SOHO segmentu obecně :-)
Nejčerstvější čtení viz https://www.root.cz/clanky/malware-vpnfilter-na-pul-milionu-routeru-linksys-mikrotik-netgear-a-tp-link/ [...]svědomitě aktualizovaný a správně nakonfigurovaný Mikrotik[...]
Asi ti uniklo ze odkaz je i o problemu s Milrotikem ;-) obecne je o povolenem wembin do internetu, o ponechani vychoziho hesla a/nebo ponechani telnetu... tedu spravne nakonfigurovany plati pro kazdy router... btw:jinak SOHO + Lede/OpenWRT je tuplem o necem jinem...
To mi samozřejmě NE_uniklo. Ale ten MTIK, stejně jako Ubiquiti a xx-WRT (tedy samozřejmě i Turris) ty díry nenechávají otevřené ROKY na stovkách tisíc prodaných zařízení. To ale asi uniklo tobě.
-
@MasoxCZ to je samej unik ;-) kdyz nekdo necha vychozi jmeno/heslo, necha vychozi telnet a zapne remote z netu tak muze mit jakej chce router a je to pruser, u SOHO routeru kdyz toto neudela a tedy take ho spravne nakonfiguruje tak 99% zranitelnosti padaji, kdyz navic nahrani origo FW pomoci LEDE/OpenWRT tak je za vodou a ma vice moznosti nez nejakej uzavrenej polosilenej RouterOS ;-)
-
Kecy, jakejkoliv nee, jsou výrobci, co se u nich musí přímo povolit, že máš přístup, jinak tam jdeš jen přes konsoli.
-
[...]kvůli SOHO segmentu obecně :-)
Nejčerstvější čtení viz https://www.root.cz/clanky/malware-vpnfilter-na-pul-milionu-routeru-linksys-mikrotik-netgear-a-tp-link/ [...]svědomitě aktualizovaný a správně nakonfigurovaný Mikrotik[...]
Asi ti uniklo ze odkaz je i o problemu s Milrotikem ;-) obecne je o povolenem wembin do internetu, o ponechani vychoziho hesla a/nebo ponechani telnetu... tedu spravne nakonfigurovany plati pro kazdy router... btw:jinak SOHO + Lede/OpenWRT je tuplem o necem jinem...
Ta chyba byla opravena v breznu 2017 v ROS 6.8.35 https://forum.mikrotik.com/viewtopic.php?f=21&t=134776
K jejimu zneuziti bylo potreba nechat otevrenou web service volne. Pokud clovek pouzil quickset a nehrabal se v tom tak to mel od zacatku chranene. Navic MK krabicky pro SOHO maji ve vychozim nastaveni prednastaveno eth1 automaticky jako WAN, tudiz konfiguraci musi uzivatel udelat pripojenim kabelu na eth2 a hned v uvodu na nej vyskoci quickset. Pokud se na to citi a udela si to nastaveni po svem pak bohuzel... Dodavany manual je strucny a jasny vcetne upozorneni na zmenu hesla.
"Any RouterOS version with firewall on the www port from untrusted networks was always safe. The original vunlerability that was fixed in march 2017 was only affecting you, if the www port 80 (webfig) was open to untrusted networks."
......kdyz nekdo necha vychozi jmeno/heslo, necha vychozi telnet a zapne remote z netu tak muze mit jakej chce router a je to pruser, u SOHO routeru kdyz toto neudela a tedy take ho spravne nakonfiguruje tak 99% zranitelnosti padaji....
Jo krome tech, kdy programator "omylem" zapomene na hardcoded pristup apod.
..... kdyz navic nahrani origo FW pomoci LEDE/OpenWRT tak je za vodou a ma vice moznosti nez nejakej uzavrenej polosilenej RouterOS ;-)
Dostane vice moznosti a vice funkci coz mu zaroven dovoli i vice toho zk****t takze uplne stejny problem jako s ROS. Jistou vyhodu bude mit v tom, ze LEDE/OpenWRT vyda zaplatu pravdepodobne drive nez vyrobce pro svuj ofiko firmware. Otazka je, zda vubec bude nekdy zaplatovat, spousta lidi to moc neresi. Dokud krabice jede, nesahaji na to...
Kecy, jakejkoliv nee, jsou výrobci, co se u nich musí přímo povolit, že máš přístup, jinak tam jdeš jen přes konsoli.
Bohuzel tohle nejsou zarizeni pro domaci uzivatele.
-
Lacina:
Řešit výkonnost tohoto routeru u člověka, který ani neví, jak jej nastavit, a doporučovat mu výkonnější modely, nedává smysl. Na domácí žvýkání je 2011 dostačující.
Vzhledem k otmu že cena toho CRS109 se pohybuje okolo 3tis, tak je mnohem výhodnější vzít to, u jen z toho důvodu že když bude chctít připojit více než 5 portů, tak ta RB2011 má ty Switch chipy propojené přes CPU, takže se markatně sníží propustnost jak mezi nimi tak celého routru. Dělší problémy které to mžůe způsobit u takového zapojení je "kombinace" 1Gbit a 100Mbit switch chipů, pak se stávalo že když přicházela komunikace z toho 1Gbit do 100Mbit tak začal při větším zatížení CPUčka dropovat pakety.
Prostě celkově tohle zařízení principiálně není jak již bylo zmíněno výše pro začátečníky a když si ho kupuju tak musím vědět proč a jaká má omezení...
A co se týká malwaru a pod, tak tím trpí prakticky všechny routry, mikrotik nevyjímaje a že se s nima roztrhl poslední dobou pytel...
-
Zapojit MK a PC stanadarním LAN a pomocí programu WinBox (ze stránek mikroitk.com se přihlásit /admin bez hesla a spustit iniciační skript.
Mám taky MT ale nikdy jsem žádný instalační script nenašel, můžeš to upřesnit co je to za script a kde se pouští?
-
....spustit iniciační skript.
Mám taky MT ale nikdy jsem žádný instalační script nenašel, můžeš to upřesnit co je to za script a kde se pouští?
Pokud koupis novy MT nebo jej vyresetujes do tovarniho nastaveni pak dle typu zarizeni ma svuj default script od vyrobce a podle nej provede zakladni nastaveni.Nemusis to tedy delat manualne nebot se to spousti automaticky (pokud teda neudelas reset s volbou no-defaults).
Quickset je uz potom jen wizard kde vyberes mod a vyplnis kolonky. https://wiki.mikrotik.com/wiki/Manual:Quickset
Default script si pro sve konkretni MT muzes nechat vyjet pres terminal prikazem /system default-configuration print vice info na https://wiki.mikrotik.com/wiki/Manual:Default_Configurations
Dodatecne scripty resici napriklad automaticke zabanovani IP ze ktere byl x krat proveden neuspesny pokus o prihlaseni treba na SSH najdes na webu Mikrotiku https://wiki.mikrotik.com/wiki/Scripts a jejich diskusnim foru.
*Nekteri ISP, kteri davaji zakaznikovi svuj MT si pomoci netinstall nahravaji vlastni init script, kterym nahradi vyrobcem dodavany.
-
V posledni dobe se tady objevuje nejak moc rada 2011 v ruznych variacich. Tezko rict proc to nekdo kupuje za soucasnou cenu, kdyz vyrobce uz nabizi levnejsi krabicky s vetsim vykonem a funkcema...
Počet dír. Dnes už tak výhodný není, ale před pár lety nic podobného za ty peníze nebylo.
TP-Link ano pokud se tam da nahrat neco jako OpenWRT apod...
Ne každý se chce srát s OpenWrt. Mně osobně nevyhovuje.
-
Vzhledem k otmu že cena toho CRS109 se pohybuje okolo 3tis, tak je mnohem výhodnější vzít to, u jen z toho důvodu že když bude chctít připojit více než 5 portů, tak ta RB2011 má ty Switch chipy propojené přes CPU, takže se markatně sníží propustnost jak mezi nimi tak celého routru.
Vzhledem k tomu, že čipy přepínačů mají pouze omezené možnosti filtrování a směrování, musí většina provozu stejně přes CPU. Mimoto pořád nevíme, na co to tazatel chce, takže nemá smysl protřepávat, zda se mu vyplatí router za 2 nebo 3 tisíce. (Mimochodem proč se CRS jmenuje Switch, když to má opět v sobě ROS a routuje?)
Dělší problémy které to mžůe způsobit u takového zapojení je "kombinace" 1Gbit a 100Mbit switch chipů, pak se stávalo že když přicházela komunikace z toho 1Gbit do 100Mbit tak začal při větším zatížení CPUčka dropovat pakety.
Na tohle bych uvítal odkaz.