Příspěvky

16

Sítě / Re:Mikrotik - VPN s IPv4 + IPv6

« kdy: 07. 06. 2023, 13:57:00 »

Moja testovacia konfiguracia. Snad som nic nevynechal:

Kód: [Vybrat]

...

Díky, zahloubal jsem se a nakonec mám IPv6 přes VPN funkční (neměl jsem v ND povolený VPN interface). Z nějakého důvodu mi v prohlížeči neprojdou testy na https://www.test-ipv6.cz/ (IPv6 v pořádku detekuje, ale z nějakého důvodu se browser nepřipojí). Přitom ipv6 ping (ping facebook.com -6) i např. telnet (telnet [2a03:2880:f13d:83:face:b00c:0:25de] 80) projde.

Čili je to funkční na Mikrotiku. Neblokuje ti to jen ipv6 firewall na mtiku?

17

Sítě / Re:Mikrotik - VPN s IPv4 + IPv6

« kdy: 05. 06. 2023, 15:49:59 »

Co je to za klienta? Já jsem se o totéž několikrát pokoušel ve Windows a IPv6 se mi nikdy nepodařila přes PPP (L2TP nebo SSTP) vpn na Windows dostat. Koncept sítě mám cca stejný a kýžený stav cca také.

Windows 11. IPv6 adresu dostane ale ako som pisal vyssie, vidi len po vpn server.
Skusil som teraz Android 12 v mobile a ten IPv6 nedostane pre istotu vobec, ani link local.

Můžeš mi prosím nasdílet relevantní konfiguraci na mikrotiku? Ať nastavím na mikrotiku co chci, IPv6 na Win 11 přes SSTP ani L2TP/ipsec nedostanu. IPv6 v lokální síti a do internetu mi funguje bez problémů. Jakmile dostanu veřejnou IPv6 na Windows 11, můžu zkoušet prostup do internetu.

18

Sítě / Re:Mikrotik - VPN s IPv4 + IPv6

« kdy: 05. 06. 2023, 12:10:25 »

Co je to za klienta? Já jsem se o totéž několikrát pokoušel ve Windows a IPv6 se mi nikdy nepodařila přes PPP (L2TP nebo SSTP) vpn na Windows dostat. Koncept sítě mám cca stejný a kýžený stav cca také.

19

Sítě / Re:Návrh domacej siete

« kdy: 24. 05. 2023, 13:30:44 »

...
    4)
        (1Gbit)       
        * UPC (bridge)
        * Router: Mikrotik RB2011iL-IN (10p) (~2500 Kč)
        * Switch: 8P ( 600 kč) (LAN_NETWORK)
        * Switch: 8P ( 600 kč) (CAMERA_NVR)
        -----------------------
        3700 kč
...
       

Mikrotik RB2011 je celkem starý a pomalý, je možné, že narazíte na výkonnostní strop (zejména u pps). Na rychlou VPN a podobné náročnější věci zapomeňte. Stejný výkon procesoru má i switch Mikrotik CRS326-24G-2S+RM, kterým byste vyřešil vše v jednom včetně podpory VLAN. Cena je ale o pár stovek vyšší.

20

Sítě / Re:Poraďte konfigurovatelný gigabitový router

« kdy: 27. 02. 2023, 13:06:42 »

Co se týče Mikrotiku - pokud nemáte velké nároky na propustnost WiFI (nepíšete), pak bych asi nejvíce doporučoval routery s ARM procesory:
- hAP AC2: nejlevnější gigabitový, HW akcelerovaný IPsec, při správné konfiguraci i wirespeed podpora VLAN. Dle testů zvládne přenést Gbit i pro 512kB pakety. Podpora OpenWRT.
- hAP AX2: nástupce předchozího, prozatím se ladí podpora v FW, zatím nevím o podpoře v OpenWRT.
- RB4011 nebo RB5009: výkonnější, bez WiFi (RB4011 se dělá i s WiFi), SFP+ port, stav v OpenWRT neznám.

21

Sítě / Re:Ethernet přes koaxiální kabel

« kdy: 03. 02. 2023, 01:29:05 »

Ještě upozorním na jeden fakt u řešení "wifi-over-koax", tazatel to chce pro rozšíření sítě, tj. za WiFi klientem bude jeho síť pokračovat minimálně dalším zařízením. Standardní WiFi klient je koncipovaný tak, že je koncovým prvkem sítě a chce-li síť dále rozšiřovat musí podporovat buď nějakou formu ohnutí standardu - client bridge / pseudo bridge nebo WDS nebo routovat další síť za sebou. Nevím, jaké má na toto tazatel požadavky - zda by mu to vadilo či nikoliv.

22

Sítě / Re:Jak na DNS v interní síti

« kdy: 31. 01. 2023, 09:55:20 »

Pokud vám stačí DNS Mikrotiku, můžete naskriptovat synchronizaci konfigurace mezi sebou. Záleží, jestli DNS editujete ručně, nebo jej plníte dynamicky např. skriptem z DHCP.

23

Sítě / Re:Ethernet přes koaxiální kabel

« kdy: 30. 01. 2023, 23:03:55 »

Aktuálně má ASM promo: https://www.asm.cz/cs/novinky/10861-ethernet-po-coaxu-v-asm-umime-mnoha-zpusoby
Rád bych někdy vyzkoušel převodníky od dahuy: LR1002-1EC + LR1002-1ET. Je to napájené přes PoE. Sice je to pro kamery, ale nevidím důvod proč by to nemohlo fungovat obecně pro ethernet. Info: https://www.asm.cz/cs/194344-konvertor-dahua-lr1002-1ec

24

Distribuce / Re:Jak permanentně nastavit jinou MAC

« kdy: 18. 12. 2022, 10:38:55 »

Ahoj, co to zkusit obráceně - MAC adresu změnit ve widlích? Většinou je taková volba v ovladačích.
Např: https://www.groovypost.com/howto/change-mac-address-windows-10-why/

25

Nabízím zakázku / Re:VPN instalace

« kdy: 12. 12. 2022, 10:52:46 »

Jedna věc je si to nechat postavit, druhá věc je to udržovat / rozšiřovat. Napadají mne další otázky k požadavku:
- Jak je řešené připojení do VPN na straně klienta (PLC)? Je tam nějaký router (co podporuje za VPN protokoly), nebo to snad bude řešit samotné PLC?
- Je dostačující např. jen SSH tunel pro jeden port nebo bude třeba přístup na "celé IP" (více různých portů) či dokonce síť?
- Jaké technologie v souvislosti se sítí / VPN ovládáte? Pro budoucí správu, rozšiřování atd.

Díval jsem se zběžně na VPS u Hukot.net a dokonce u nejnižšího tarifu (VPS-L01G) nepodporují obdobné VPN ("Personal VPN ready: No"). Jaké máte představy nákladů na provoz?

Pracuji s Mikrotikem, napadli mne dvě řešení:
1) Nainstalovat virtuální CHR Mikrotik na VPS (jednorázové pořízení licence, pravidelná platba za VPS)
2) Mikrotik od verze ROS 7 podporuje ZeroTier, ten je do 25 klientů zdarma a teoreticky není nutné ani VPS pro centralizaci. Vyžadovalo by to ale mít u zákazníků kompatibilní routery (Mikrotik z podporou ZT) a je tu závislost na službě třetí strany (ZeroTier).

26

Sítě / Re:Jaký PoE 5-port 1Gbit switch ?

« kdy: 11. 11. 2022, 16:54:02 »

Kolik potřebuješ PoE out portů s jakým výkonem 100Mbit nebo 1Gbit?

27

Sítě / Re:Doporučte firewall pro malou firmu

« kdy: 18. 10. 2022, 22:21:32 »

Jednak tazatel už teď provozuje router na normálním Linuxu a nebude se tak muset učit další OS a nepořídí si tím vendor lockin, jednak na RouterOS chybí základní nástroje pro diagnostiku sítě, pro začátek třeba tcpdump - neexistuje nic ekvivalentního "tcpdump -ni eth0 port 53" spuštěného přes SSH, musíte si zařídit přímou síťovou viditelnost, nastavit sniffer, filtry a přeposílat si to.

Naopak, já si Mikrotik cením právě kvůli diagnostice. Mám čerstvou zkušenost s UDM-Pro a to je teprve peklo.
Mimochodem, "/tool/sniffer/quick interface=eth0 ip-protocol=udp port=53" je na Mikrotiku to, co si myslíte že neumí. Samozřejmě volnost linuxu nedostanete, ale základní nástroje pro diagnostiku tam jsou.

28

Sítě / Re:Mikrotik klonovani nastaveni

« kdy: 02. 09. 2022, 17:11:22 »

Pokud se do Mikrotiku připojíte z mobilní aplikace, určitě to zvládnete i přes Winbox např. z notebooku. Teoreticky by to mohlo jít i přes MAC adresu ve Winboxu i přes ty switche.

Osobne odporucam konfiguraciu mikrotikov exportovat cez konzolu a prikaz

Kód: [Vybrat]

export file=backup

a nasledne si tento subor stiahnut, otvorit v notepade ci inom textovom editore a cez crtl+c a ctrl+v vlozit
vsetko do konzoli na ne nakofigurovanom mikrotiku.

...

Pozor ve verzi ROS 7.x je potřeba ještě parametr show-sensitive jinak budete smutně překvapen při restore (osobní zkušenost).

29

Hardware / Re:Hardware pro virtualizaci a domácí router

« kdy: 14. 08. 2022, 14:21:31 »

A co zabrousit do Atomů?:
https://smicro.cz/asrock-c3758d4i-4l nebo s 10Gbitem:
https://smicro.cz/asrock-c3758d4u-2tp
případně se tam rozhlídněte po dalších kouscích, mají i s Epicama.

30

Sítě / Re:Více bran při víc IP, ale jedna MAC

« kdy: 18. 07. 2022, 15:57:36 »

Napadá mne prasárna typu:
- podvržení sekundární MAC adresy pomocí arpreply v ebtables
- označení a zpracování paketů jdoucí na tuto falešnou MAC adresu (packetmark a následně routingmark a adekvátní routovací tabulku)

Samozřejmě to předpokládá, aby byl fyzický interface součástí bridge. Omlouvám se za názvosloví, FW na linuxu jsem nestavěl již několik (>10) let. Na Mtiku bych to mohl zkusit odsimulovat. Samozřejmě je to neefektivní prasárna. Ale mohlo by to fungovat.