Příspěvky

1

Sítě / Re:Mikrotik - IPsec routing

« kdy: 21. 11. 2023, 22:30:44 »

Dle https://help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS by IPsec policy měl vstupovat do hry až po routingu.

2

Hardware / Re:Dvoudiskový NAS s dlouhou podporou

« kdy: 19. 10. 2023, 11:08:58 »

Synology všechny modely.

Ako majiteľ synology, ktorému skončila podpora po piatich rokoch si dovolím tvrdiť, že synology uvedeným kritériám nevyhovuje.

Záleží, čemu říkáte ukončená podpora. Dle stránek Synology má stále podporu i domácí DS211j (tj. model starý přes 10 let), pouze má limitovanou podporu - tj. pouze bezpečnostní záplaty.

3

Sítě / Re:Konfigurace pro MikroTik nefunguje po aktualizaci

« kdy: 02. 10. 2023, 13:51:17 »

Především prosíme o úplnou konfiguraci, tato není úplná. A pokud ano, chybí tam spousta věcí.

4

Sítě / Re:Mikrotik wifi stationbridge s LTE a NATem

« kdy: 18. 08. 2023, 17:48:34 »

Pokud v tom máš ROS7, tak korektně funguje stav, že fyzický wlan1 dáš jako to APčko (ap bridge) pro svoje věci a nad něj dáš virtual v režimu station a ten napojíš na toho souseda. Tohle šlape OK.

A připojí se to i po změně kanálu sousedova AP? Myslím, že tohle jsem zkoušel (ještě v ROS6) a po prvním přeladění se Mikrotik už nepřipojil, protože čekal na původním kanále.

5

Sítě / Re:Mikrotik wifi stationbridge s LTE a NATem

« kdy: 18. 08. 2023, 13:46:12 »

S dovolením se vmáčknu s pár komentáři.

• Řešení dvou WAN je celkem komplexní záležitost, ale u Vás to naštěstí zjednodušuje fakt, že potřebujete řešit pouze odchozí směr.
  Méně sofistikovaně se to dá řešit dvěma výchozími routami, primární bude mít menší distanci než sekundární a na primární routě povolíte Check Gateway. Když se nedopingne na gateway, routa se zneplatní a bude platit sekundární s větší distancí. Toto řešení ale nepostihne výpadek internetu u souseda, zareaguje pouze na výpadek wifi.
  Sofistikovanější řešení je použití funkce Netwatch, kde si zvolíte vůči které (veřejné) adrese budete "živost" konektivity ověřovat, způsob (simple - pouhý ping -> dojde/nedojde, icmp - sofistikovanější s procentuální ztrátovostí atd..) a do Up a Down skriptu narvete jednoduché zakázání / povolené záložní routy, případně změnu její distance. Nesmíte zapomenout svázat testovanou IP s primární konektivitou separátní routou.

Jde to i bez netwatch přes rekurzivní routu

Zajímavý tip. Vyzkouším. Zajímá mne, jak se to bude chovat s dynamickými IP na WANu.

6

Sítě / Re:Mikrotik wifi stationbridge s LTE a NATem

« kdy: 18. 08. 2023, 13:42:58 »

• Použití jednoho rádia pro kombinované účely (Station a AP) má své úskalí - Pokud se primární hardwarové rádio v režimu Station nepřipojí k síti (AP), pak ani nevysílá virtuální "rádio" jako AP. Tj. nedokáže-li se připojit k sousedově WiFi nebude ani vysílat svou vlastní WiFi

Neznám a tak jen spekuluji, ale nedá se to obejít pomocí disable-running-check=yes na wireless master interface? (parametr dostupný pouze z CLI)

Toto jsem nezkoušel, pokud je to vlastnost ROS, pak by to mohlo pomoci. Ale obávám se, že to je prostě vlastnost rádia. Umí pracovat jen na jedné frekvenci - tu, na které se připojí k sousedovu AP. Podle mne se neumí připojit na jedné frekvenci a vysílat vlastní SSID na druhé. Myslím, že parametr disable-running-check slouží spíše pro jiné účely (aby nevypadly routy, DHCP aj. funkce citlivé na aktivní síťové rozhraní).

7

Sítě / Re:Mikrotik wifi stationbridge s LTE a NATem

« kdy: 18. 08. 2023, 13:38:44 »

• Použití jednoho rádia pro kombinované účely (Station a AP) má své úskalí - Pokud se primární hardwarové rádio v režimu Station nepřipojí k síti (AP), pak ani nevysílá virtuální "rádio" jako AP. Tj. nedokáže-li se připojit k sousedově WiFi nebude ani vysílat svou vlastní WiFi

Ani když se napevno nastaví kanál na ten co používa to sousedovo AP? To mi přijde jako zvláštní omezení. Jestli by pak nestálo za to tam flashnout OpenWRT.

Bohužel v režimu Station ignoruje nastavenou frekvenci (dle dokumentace) a vždy hledá zadané SSID.

8

Sítě / Re:Mikrotik wifi stationbridge s LTE a NATem

« kdy: 18. 08. 2023, 10:19:30 »

Škoda, že pisatel nesáhl po vybavenější wAP AC LTE, protože ta je dual-band / radio a má 2x RJ45 a navíc je výkonnější a s arm cpu, který je (a bude) podporovanější ze strany Mikrotiku.

9

Sítě / Re:Mikrotik wifi stationbridge s LTE a NATem

« kdy: 17. 08. 2023, 17:59:18 »

S dovolením se vmáčknu s pár komentáři.

• Použití jednoho rádia pro kombinované účely (Station a AP) má své úskalí - Pokud se primární hardwarové rádio v režimu Station nepřipojí k síti (AP), pak ani nevysílá virtuální "rádio" jako AP. Tj. nedokáže-li se připojit k sousedově WiFi nebude ani vysílat svou vlastní WiFi
• Řešení dvou WAN je celkem komplexní záležitost, ale u Vás to naštěstí zjednodušuje fakt, že potřebujete řešit pouze odchozí směr.
  Méně sofistikovaně se to dá řešit dvěma výchozími routami, primární bude mít menší distanci než sekundární a na primární routě povolíte Check Gateway. Když se nedopingne na gateway, routa se zneplatní a bude platit sekundární s větší distancí. Toto řešení ale nepostihne výpadek internetu u souseda, zareaguje pouze na výpadek wifi.
  Sofistikovanější řešení je použití funkce Netwatch, kde si zvolíte vůči které (veřejné) adrese budete "živost" konektivity ověřovat, způsob (simple - pouhý ping -> dojde/nedojde, icmp - sofistikovanější s procentuální ztrátovostí atd..) a do Up a Down skriptu narvete jednoduché zakázání / povolené záložní routy, případně změnu její distance. Nesmíte zapomenout svázat testovanou IP s primární konektivitou separátní routou.

10

Sítě / Re:Doporučte GSM modem s ethernetem

« kdy: 10. 08. 2023, 22:43:33 »

LTE modem v režimu bridge neseženeš a pokud ano, pak za něho dáš ranec peněz.

Mikrotik to u vybraných modelů umí (LTE Passthrough), zrovna včera jsem to testoval. Ale asi to není jednoduché nastavit. Nevím, čemu říkáte "ranec" u ceny. Do 5tis to seženete v pohodě, méně výkonné i levněji.

11

Sítě / Re:Pomalý upload internetu při vypnutém NAS

« kdy: 09. 08. 2023, 23:26:01 »

Vyzkoušel jsem na všech portech mikrotiku dát Full Duplex 1Gb při zapnutém NAS a přestal jít net úplně. Musel jsem přes Wifi se dostat na správu mikrotiku a znovu jsem aktivoval "Auto Negotiation" a zase net naběhl.
Zajímavé je, že při zapnutém NAS jde vidět, že je tam 100Mb a nejde to ani natvrdo dat 1Gb. Kabel je OK, vyzkoušený.
Tak co dál.

To je divné, mám totožnou topologii sítě (hAP AX2 a Synology přímo do něj), NAS spí a interface stále slinkován na 1Gbit. Navíc mne na vašem obrázku zaráží, že Synology hlásí (Link Partner Advertising), že umí pouze 100Mbit. Zkoušel jste jiný port na Mikrotiku? I když to spíše vypadá na problém s NAS.

12

Sítě / Re:Router s USB portem pro sdílení internetu z iPhone

« kdy: 07. 08. 2023, 15:29:33 »

Řeším nyní podobnou situaci. Bohužel, LTE modemy, které jsem zkoušel (hotové zařízení Huawei např.) nedávají to samé co telefon. Telefon má pravděpodobně lépe udělanou anténu a pravděpodobně podporuje více "protokolů" než ty modemy, protože stejná síť na stejném místě a přes telefon frčí lépe (2 až 3x rychleji) než přes ten LTE router. Ještě mě napadá, že může být rozdíl mezi tarfními firemními daty a 100GB předplacenkou .... ale nevím, to musím vyzkoušet ješte. Nicméně budu také řešit teď USB tethering do nějakého routeru (asi OpenWRT vyzkouším).

Prý někteří operátoři uměle zpomalují data, která tečou tranzitně přes LTE klientské zařízení, detekují to pomocí TTL. Viz video od Mikrotiku, kde to zmiňují a samozřejmě jak se tomu vyhnout: https://www.youtube.com/watch?v=JB9aYqTNwlM

13

Sítě / Re:Router s USB portem pro sdílení internetu z iPhone

« kdy: 05. 08. 2023, 22:16:00 »

A co to vzít trochu za jiný konec - pořídit LTE router s vlastní SIM, LAN a WiFi? LAN připojíte do WANu oživované sítě, na wifi si připojíte iphone. Nemusíte řešit podporu tetheringu, pouze druhou SIM do toho LTE routeru.
Na tento scénář najdete určitě více LTE routerů, mimo jiné i zmíněný Mikrotik (nový hAP AX Lite LTE6, Chateau LTE, wAP AC LTE, záměrně píšu pouze o ARM zařízeních s lepší podporou funkcí).

14

Sítě / Re:Mikrotik - VPN s IPv4 + IPv6

« kdy: 12. 06. 2023, 11:55:43 »

Tak teraz neviem... neposles mi tvoju konfiguraciu? Nastavujes SSTP alebo L2TP/IPsec?
Na IPv6 firewalle som mal pocas testovania vsetky pravidla vypnute.
Asi mam niekde nejaku velku "botu" lebo mi to nefunguje ani na wireguarde (tam este odhliadnuc od toho, ze dvaja naraz pripojeni klienti nefunguju zrejme kvoli bugu v routeros). Verziu mam 7.9.2

V podstatě mám konfiguraci velice podobnou. Já používám pouze jeden /56 prefix od Metronetu, ten se pak rozkouskuje na /64 prefixy pro LAN a pro jednotlivé PPP rozhraní. Když si dám vypsat aktuální prefixy po připojení VPN (používám statický ppp interface):
 

Kód: [Vybrat]

 0  D prefix=xxxx00::/64 6to4-interface=none interface=br1_LAN on-link=yes 
      autonomous=yes valid-lifetime=1h5m preferred-lifetime=1h 

1  D prefix=xxxx1a::/64 6to4-interface=none interface=sstp_VPN on-link=yes 
      autonomous=yes valid-lifetime=4w2d preferred-lifetime=1w 

A relevantní konfigurace:

Kód: [Vybrat]

/interface sstp-server
add name=sstp_VPN user=vpn

/ppp profile
add address-list=vpn_users interface-list=vpn local-address=xxx name=vpn \
    remote-address=pool_LAN remote-ipv6-prefix-pool=pool_ipv6

/interface sstp-server server
set authentication=mschap2 certificate=xxx default-profile=vpn \
    enabled=yes

/ipv6 address
add address=::1 from-pool=pool_ipv6 interface=br1_LAN

/ipv6 dhcp-client
add interface=pppoe_WAN pool-name=pool_ipv6 request=prefix 

/ipv6 firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input connection-state=new dst-port=546 \
    in-interface=pppoe_WAN protocol=udp src-port=547
add action=accept chain=input connection-state=new in-interface=br1_LAN \
    src-address-list=ipv6_prefix
add action=drop chain=input protocol=!icmpv6
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward connection-state=new in-interface=br1_LAN \
    out-interface=pppoe_WAN src-address-list=ipv6_prefix
add action=accept chain=forward connection-state=new in-interface=sstp_VPN \
    out-interface=pppoe_WAN src-address-list=ipv6_prefix
add action=reject chain=forward reject-with=icmp-admin-prohibited

/ipv6 nd
set [ find default=yes ] advertise-dns=no disabled=yes
add interface=br1_LAN mtu=1480
add interface=sstp_VPN mtu=1480

/ppp secret
add name=xxx profile=vpn

15

Sítě / Re:Port forwarding bez DNAT

« kdy: 08. 06. 2023, 11:13:55 »

Tuším o co vám jde, sám to občas používám. Na Mikrotiku je na to ve firewallu action=route v chainu prerouting tabulky mangle, jak to mají implementované v linuxu pod tím netuším. Ale v linuxu bych to (kdysi dávno) řešil přes označení paketů (route mark) a pak přes vlastní routovací tabulku. Tím docílíte toho, že vám označené pakety pošle router kam potřebujete bez modifikace adres / portů.
Odpověď k PS: Pokus si na tom stroji dáte jako sekundární IP tu veřejnou (jako máte na routeru), pak binding 0.0.0.0:80 bude zpracovávat i pakety s veřejnou dstIP přeposlané z routeru.