LINUX.ORG.RU

3
Всего сообщений: 45

Mikrotik. Срок поддержки оборудования

Всем привет.

Почитал сайт микротика, но до конца не вкурил. При покупке маршрутизатора, ключ для RouterOS уже какбы встроен. Не ясен момент срока поддержки.

Как долго поддерживаются их железки? При выходе новой версии RouterOS (мажорной) возможны ли обновления? Или как обычно - полгодика обновления приходят, а потом тыква\openwrt (в лучшем случае)?

Или все также, как у всех и проще связаться с туполинком+openwrt?

 , ,

gutaper ()

VPN для связи офисов

Всем доброго времени суток. Насоветуйте решение для связи между собой офисов (центральный офис + штук 10 филиалов). Желательно обеспечить еще и связь между филиалами, чтобы трафик не проходил через центральный офис, что-то наподобие dmvpn. Использоваться будет routeros. Хотелось бы услышать, как это сделать грамотнее всего.

 ,

bsdfun ()

Маршрутизатор для офиса 40 рабочих мест. Хватит ли Mirotik RB951G-2HnD

Может у кого есть опыт. Есть офис в 40 машин. Канал в мир 50Мбит. Роутер предполагается использовать для организации VPN (site to site) ну и доступа пользователей в инет. Хочу использовать данный микротик. Причина - он уже есть. Прикинул, по идее, все должно работать без проблем. Но, решил, на всякий поинтересоваться. Пойдет, или лучше посмотреть на, что-то более производительное…

 ,

AndrK189100 ()

Mikrotik RB2011UiAS-2HnD-IN и Web-Proxy

Поясняю как могу. Предыстория, на работу провели скоростной инет. Настроили роутер все хорошо. НО на всех рабочих местах необходимо в настройках обозревателя прописать ip и порт прокси сервера, думаю ладно фиг с ним. Купим оборудование Mikrotik RB2011UiAS-2HnD-IN там все это есть. Статику вбил, которую необходимо. Применил в свойствах обозревателя настройки прокси, все ок. Работает инет. Иду в веб прокси микротик прописываю ip и порт. Сохраняю. Убираю настройки с компа инета нет. Как можно реализовать в данной системе, чтобы не прописывать на каждом компе ip и порт прокси, и чтобы он делал все сам. То есть подключили новый комп и все ок, он в инете. Web proxy находиться за пределами лвс.

PS я чайник в роутере Микротик.

 , ,

wolodyawggu ()

Подскажите про VLAN в RouterOS

Покурил официальную вики и немножко кукухой поехал.

Я так понимаю, на свежих прошивках есть поддержка виланов на свитч-чипе. С этим вроде всё ясно, даже стенд завёлся предсказуемо. А вот чуть дальше я прямо в путанице.

Вот допустим у меня схема: микрот и ниже него по иерархии свитч, который дальше сетку по виланам раскидывает. Как мне корректно на микроте трафик маркировать? Точнее не так. Как это делать с максимальной производительностью?

Условно скажем, что я хочу три сети, каждая со своим dhcp-сервером и своим виланом. Для удобства условимся, что железка — 2011.

 , ,

Dispetcher14 ()

IGMP-proxy на Микротике не работает

Приветствую.

Сменил дома роутер с китайской мыльницы на микротик. Сейчас пробую настроить на нём получение мультикаста от провайдера. В принципе все настройки что на нём нужно прописать - прописал, влан создал, igmp proxy настроил. Но входящего трафика нет.

Посмотрел что куда шлётся: при попытке посмотреть какой-либо канал с моего компа шлётся IGMP Join v2, а вот микротик, с интерфейса подключённого к провайдеру, уже пересылает IGMP Join v3. Вот спрашивается какого фига? Ну и понятное дело я ничего не получаю, т.к. провайдер ничего не знает ни про какие IGMP v3.

Может кто-то сталкивался и знает где какую галочку снять/поставить или что прописать в терминал? Я перерыл в микроте всё что связано с IGMP - ничего похожего по смыслу не нашёл

RouterOS - v6.43.15

 , , ,

Toten_Kopf ()

VLAN + Mikrotik + Dell Powerconnect

В общем встала задача: надо воткнуть в локалку комп, так чтобы люди снаружи могли к нему подключаться на определенных портах (port forwarding). К тому же, этот комп должен быть полностью изолирован от других участников сети.

На свою голову решил это сделать с помощью VLAN (а можно как то по другому?), прикладываю диаграмму моей изначальной задумки. Разумеется ничего не работает еще на стадии пинга из микротика на адрес собственно компа.

Диаграмма: https://imgur.com/nhbx4er

Собственно вопросы:

1. На стороне микротика где надо VLAN создавать? На бридже или на самом интерфейсе куда провод воткнут? 2. На делле я создал группу vlan 20, и обозначил 8ой порт. Следует ли еще и порт 1 добавлять?

Заранее благодарю.

 , , , ,

alex07 ()

Mikrotik. Альтернативный маршрут по умолчанию

Здравствуйте!

Наш почтовик сидит за фаерволом и работает.

Но вот что я вычснил. Отправляет он писма по маршруту по умолчанию, а принимает по адресу, который прописан в DNS.

Проблема в том, что постовик не проходит проверку по реверс DNS.

В общем хочу в лоб решить эту проблему:

4 провайдера, нужно ходить по маршруту предоставляемому провайдером y.y.y.y в качестве маршрута по умолчанию если источник x.x.x.x.

Маршрутизатор на RouterOS.

Подскажите.

 ,

Shulman ()

MikroTik RB2011 и OpenWRT. Стоит ли?

Короче, есть Wi-Fi-роутер MikroTik RB2011. Для него вышла OpenWRT. Стоит ли шить?

 , ,

Deleted ()

Откат изменений ansible

Добрый день.

Как можно сделать так, чтобы ansible накатил изменения в mikrotik и если пропала связь роутером, восстановился из бэкапа.

Это вообще возможно ?)

 ,

beren ()

Ansible и Routeros

Добрый день.

Хочу добавить в ansible mikrotik.

В /etc/ansible/host

[Mikrotiks]
Test1 ansible_host=xx.xx.xx.xx ansible_user=mlns-net-kvs ansible_ssh_private_key_file=/root/.ssh/id_rsa

Если выполняю комманду ansible all -m raw -a «/system routerboard print», то ничего не происходит.

В подробном выводе:

ansible 2.7.0
  config file = /etc/ansible/ansible.cfg
  configured module search path = [u'/root/.ansible/plugins/modules', u'/usr/share/ansible/plugins/modules']
  ansible python module location = /usr/lib/python2.7/site-packages/ansible
  executable location = /usr/bin/ansible
  python version = 2.7.5 (default, Apr 11 2018, 07:36:10) [GCC 4.8.5 20150623 (Red Hat 4.8.5-28)]
Using /etc/ansible/ansible.cfg as config file
setting up inventory plugins
Parsed /etc/ansible/hosts inventory source with ini plugin
Loading callback plugin minimal of type stdout, v2.0 from /usr/lib/python2.7/site-packages/ansible/plugins/callback/minimal.pyc
META: ran handlers
<xx.xx.xx.xx> ESTABLISH SSH CONNECTION FOR USER: mlns-net-kvs
<xx.xx.xx.x> SSH: ansible.cfg set ssh_args: (-C)(-o)(ControlMaster=auto)(-o)(ControlPersist=60s)

<xx.xx.xx.xx> SSH: ANSIBLE_PRIVATE_KEY_FILE/private_key_file/ansible_ssh_private_key_file set: (-o)(IdentityFile="/root/.ssh/id_rsa")
<xx.xx.xx.x> SSH: ansible_password/ansible_ssh_pass not set: (-o)(KbdInteractiveAuthentication=no)(-o)(PreferredAuthentications=gssapi-with-mic,gssapi-keyex,hostbased,publickey)(-o)(PasswordAuthentication=no)
<xx.xx.xx.x> SSH: ANSIBLE_REMOTE_USER/remote_user/ansible_user/user/-u set: (-o)(User=mlns-net-kvs)
<xx.xx.xx.xx> SSH: ANSIBLE_TIMEOUT/timeout set: (-o)(ConnectTimeout=10)
<xx.xx.xx.31> SSH: found only ControlPersist; added ControlPath: (-o)(ControlPath=/root/.ansible/cp/64fcf1120a)
<xx.xx.xx.xx> SSH: EXEC ssh -vvv -C -o ControlMaster=auto -o ControlPersist=60s -o 'IdentityFile="/root/.ssh/id_rsa"' -o KbdInteractiveAuthentication=no -o PreferredAuthentications=gssapi-with-mic,gssapi-keyex,hostbased,publickey -o PasswordAuthentication=no -o User=mlns-net-kvs -o ConnectTimeout=10 -o ControlPath=/root/.ansible/cp/64fcf1120a -tt xx.xx.xx.xx '/system routerboard print'

По ssh подключаюсь mikrotik.

В чём может быть проблема

 ,

beren ()

mikrotik routerOS встраивание в трафик html кода в head на роутере

день добрый форумчане. объясните. есть роутер mikrotik. можно ли как то встраивать html код в трафик проходящий через мой роутер?

 , , , ,

mr_zeppelin ()

RB260GSP или RB750GR3 в роли свитча

Привет, интересует ваш опыт и мнение.
К примеру нужно накидать коммутаторов по кабинетам.
Прайс на устройства ~одинаковый, в том числе за счет PoE-инжектора и SFP у свитча. Выигрывает ли свитч против роутера из сабжа, в своём прямом предназначении?
Из 260GSP привлекает PoE in/out
Из hEX R3 привлекает ROS
В данном случае SFP нафиг не нужен и никогда не понадобится, а вот PoE-out может оказаться полезным в будущем, например еще один коммутатор подцепить.
С другой стороны роутер штука более универсальная, и мало ли где выручит...
Возможно свитч будет лучше выполнять свою роль в плане производительности и какбэ правильнее тут использовать железку которая для того и сделана?
Допускаю что вопрос просто тупой и я что-то упускаю, но тем не менее он заставил меня притормозить и пораскинуть
Что бы вы взяли и почему?

 , , ,

BleakBeast ()

Кто умеет в логи routeros, что происходит?

На всякий случай -
X.X.X.X - мой белый IP
yy:yy:yy:yy:yy:yy - MAC шлюза провайдера
Лог не подряд, а только то, что интересует:

( читать дальше... )

 ,

BleakBeast ()

Несколько подсетей на одном WLAN интерфейсе (Mikrotik)

Всем привет!

Есть Mikrotik у него есть две WiFi сети: WIFI-LAN и WIFI-GUEST

WIFI-LAN с внутренними сервисами, выдает IP из подсети 10.0.0.0\24

WIFI-GUEST изолирована, выдает IP из подсети 10.6.0.0\24

Так получилась что на одном из устройстве, подключенном к WIFI-LAN есть виртуалка, которую я хотел загнать в гостевую сеть.

WIFI-LAN вместе с ethernet1,2,3,4 объединены BRIDGE-LAN

WIFI-GUEST объединен с WAN в BRIDGE-GUEST

Пробовал вешать VLAN-GUEST на физ интерфейс WIFI-LAN, и объединить его с BRIDGE-GUEST, назначить по MAC статический IP 10.6.0.x, но ничего не вышло

 , , ,

mfhunruh ()

🤯 IKEv2 mikrotik

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Groups

На сервере сделано:

/certificate 
add common-name=ca name=ca 
sign ca ca-crl-host=192.168.0.89 
add common-name=192.168.0.89 subject-alt-name=IP:192.168.0.89 key-usage=tls-server name=server1 
sign server1 ca=ca

/ip pool add name=rw-pool ranges=192.168.77.2-192.168.77.254 
/ip ipsec proposal 
add name=rw-proposal pfs-group=none 
/ip ipsec mode-conf 
add name=rw-conf system-dns=yes address-pool=rw-pool address-prefix=32 
/ip ipsec policy 
group add name=rw-policies 
add template=yes dst-address=192.168.77.0/24 group=rw-policies proposal=rw-proposal 

/ip ipsec peer 
add auth-method=rsa-signature certificate=server1 generate-policy=port-strict \ 
mode-config=rw-conf passive=yes remote-certificate=none exchange-mode=ike2 \ 
policy-template-group=rw-policies 

/certificate 
add common-name=RouterOS_client name=RouterOS_client key-usage=tls-client 
sign RouterOS_client ca=ca 
export-certificate RouterOS_client export-passphrase=1234567890 type=pkcs12

На клиенте сделано:

/certificate import file-name=cert_export_RouterOS_client.p12 passphrase=1234567890 

/put [/certificate get [find common-name=RouterOS_client] name] 

/ip ipsec peer 
add address=192.168.0.89 auth-method=rsa-signature certificate=cert_export_RouterOS_client.p12_0 \ 
mode-config=request-only exchange-mode=ike2 generate-policy=port-strict 

/ip ipsec 
remote-peers print 
installed-sa print 

/certificate 
add common-name=Windows_client name=Windows_client key-usage=tls-client 
sign Windows_client ca=ca 
export-certificate Windows_client export-passphrase=1234567890 type=pkcs12

Соединение устанавливается,

/ip ipsec> remote-peers print 
Flags: R - responder, N - natt-peer 
# ID STATE 
0 192.168.0.89 established 

Но как пустить весь трафик на клиенте через сервер? В политиках не разбираюсь совсем..

 , , , ,

linuxorguru ()

Где достать тарелки для микротика-ldf-5?

Пришли мне тут mikrotik ldf 5. Но что то я упустил из виду, что тарелки найти будет не просто. Пишут про них, что телевизионная триколорТВ и подобные работают. Но, новая железная тарелка отдельно от радиопотрохов не продаётся. В своём городе всё излазил, ни-че-го. Какие варианты сообщество предложит?

И да, имеет ли смысл накатить опенврт?(ну там мощность передатчика повыше поддать?)

 ,

burato ()

🤯 IKEv2 Проблема на клиентах

Добрый день!

Попытался настроить сервер Strongswan на работу c IKEv2 вместо L2TP/IPsec. Но есть две проблемы, помогите с решением, плиз 😞

1. Как сейчас весь трафик с клиентских портов заворачивать в туннель IKEv2? Раньше делал маскарад на выходной интерфейс l2tp-out, но теперь его там нет 🙁

2. Интернета нет на клиентах iOS и macOS (даже без MikroTik)

( читать дальше... )

/etc/ipsec.conf

( читать дальше... )

/etc/sysctl.conf

( читать дальше... )

iptables

( читать дальше... )

 , , , ,

linuxorguru ()

🤯 Переход c L2TP/IPsec на IKEv2 / Каша в голове

Добрый день!

Сейчас использую L2TP/IPsec с Debian & Strongswan на сервере и RouterOS & iOS на клиентах - все работает замечательно. Но ужасно раздражает включать туннель каждый раз в настройках при подключении на iOS. Узнал про возможность создать профиль для поддержки On Demand на iOS или профилировать Always-on VPN через Apple Configurator. Но нет возможности сложить все мысли в кучу, чтобы приступить к задуманному.

1. На чем проще поднимать IKEv2 сервер? Strongswan или Cloud Hosted Router? Cloud Hosted Router поддерживает AES, но по факту пишут и обратное.

2. Не могу понять, какая авторизация нужна для On Demand или Always-on VPN на iOS. Логин-пароль или по сертификату?

3. Если нужен сертификат, то нужна регистрация домена VPS? Let's Encrypt работает просто по IP?

Дайте толчок к реализации задуманного, чувствую переход с L2TP на IKE будет очень болезненным Спасибо за помощь заранее 🤗

 , , , ,

linuxorguru ()

Маршрутизатор на виртуальной машине

Всем привет. Прошу советов в настройке, похоже делаю что-то не так. Есть компьютер, в нём две сетевые карты и Debian 8. На Debian установлен VirtualBox с RouterOS.

/etc/network/interfaces:

### PCI NETWORK CARD - WAN ###
auto eth2
allow-hotplug eth2
iface eth2 inet manual
pre-up ifconfig $IFACE up
post-down ifconfig $IFACE down

### MOTHERBOARD NETWORK CARD - LAN ###
auto eth1
allow-hotplug eth1
iface eth1 inet manual
pre-up ifconfig $IFACE up
post-down ifconfig $IFACE down

### VIRTUAL INTERFACE - LAN ###
auto virt0
allow-hotplug virt0
iface virt0 inet dhcp

virt0 из пакета uml-utilities. В VirtualBox все три интерфейса подключены как bridge adapter. В RouterOS интерфейсы названы соответствующе, eth1 и virt0 объединены в бридж. Роутер настроен, в общем, всё хорошо, маршрутизирует с eth2 в eth1. Но в virt0 пакеты не ходят, хотя ip получает. Пробовал прописывать статику - тоже пакеты не ходят. Почему это не работает?

 , ,

tommytnt ()