Mikrotik, отдельная тема по этому оборудованию Опции

[mussy]

Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.

Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ?

Сообщение отредактировал Spectral - Jul 15 2020, 22:50

[imenno]

ребята, подскажите мануалы что и где почитать, дабы организовать следующее, думаю, это все банально и просто и есть уже инструкции В локалке микротика ВинСервер с 1С, на микротике несколько провайдеров для резерва, где-то есть статика, где-то нет, мобильный к примеру, но не так важно. Между микротиком и удаленым сервером vps тунель vpn и на удаленный все подключаются клиенты рдп и далее организовать переадресацию на WinServer с 1С.
По схеме как-то так набросал. На данный момент только один провайдер и все напрямую подключаются на ВинСервер. Цель добавить провайдеров, так как текущий подводит периодически, и скрыть домашниый ИП, дабы на другой ИП сервера подключались и был постоянный один ИП для RDP клиентов при смене провайдера в случае аварии на одном и переключении на другой. Может что-то не так назвал, то поправьте


Сообщение отредактировал imenno - Nov 17 2019, 16:27

[nerve]

По схеме как-то так набросал.

план захвата клиентами рдп через впс и интернет по впн до миркотика сервера 1с.
вот какие ассоциации эта картинка вызвала и стиль речи))
почему клиентам не сделать впн подключения до микротика и не городить звездолеты?

[imenno]

план захвата клиентами рдп через впс и интернет по впн до миркотика сервера 1с.
вот какие ассоциации эта картинка вызвала и стиль речи))
почему клиентам не сделать впн подключения до микротика и не городить звездолеты?

У части провайдеров нет внешнего ИП и провайдер может переключиться в случае отвала первого, будет и адрес другой уже. Потому нужно как-то так, где ип постоянный и потом переадресация по туннелю на микротик и далее на сервер.

Сообщение отредактировал imenno - Nov 18 2019, 11:35

[mak_v_]

магия...
1) Поднимаете на впн на впс
2) на микротике впн-клиент, который будет коннектится к впн-верверу (впс) по доступному провайдеру
3) клиенты впн коннектятся к vps и получают маршрут до вашего 1ц

[Alexis]

магия...
1) Поднимаете на впн на впс
2) на микротике впн-клиент, который будет коннектится к впн-верверу (впс) по доступному провайдеру
3) клиенты впн коннектятся к vps и получают маршрут до вашего 1ц

Еще как вариант.
1) Ставим 2-й микротик VPS
2) на микротике впн-клиент 962, который будет коннектится к микротик - VPS
3) клиенты впн коннектятся к микротикe - VPS

Сообщение отредактировал Alexis - Nov 18 2019, 12:37

[gonivo]

ребята, подскажите мануалы что и где почитать, дабы организовать следующее, думаю, это все банально и просто и есть уже инструкции В локалке микротика ВинСервер с 1С, на микротике несколько провайдеров для резерва, где-то есть статика, где-то нет, мобильный к примеру, но не так важно. Между микротиком и удаленым сервером vps тунель vpn и на удаленный все подключаются клиенты рдп и далее организовать переадресацию на WinServer с 1С.
По схеме как-то так набросал. На данный момент только один провайдер и все напрямую подключаются на ВинСервер. Цель добавить провайдеров, так как текущий подводит периодически, и скрыть домашниый ИП, дабы на другой ИП сервера подключались и был постоянный один ИП для RDP клиентов при смене провайдера в случае аварии на одном и переключении на другой. Может что-то не так назвал, то поправьте

Скрипт переключения на резервный пров:
:local gt1 prov1;

:local opt;
:local g;
:set g [ping 8.8.8.8 interval=00:00:00.350 count=20];
:set opt [/ip r get value-name=distance number=[/ip r find comment=$gt1]];
:if (($g>14) and ($opt=15)) do={/ip r set numbers=[/ip r find comment=$gt1] distance=10;
:log info "$gt1 UP";};
:if (($g<8) and ($opt=10)) do={/ip r set numbers=[/ip r find comment=$gt1] distance=15;
:log info "$gt1 DOWN";};

/ip route создать 2 маршрута по умолчанию, основного с коментом prov1 и distance=10, и резерв с distance=12.
ВПН придется подымать на серваке и коннектиться микротиком. На лане в микротике повесить нат а на серваке добавить маршрут подсети в которой 1с на айпи впн клиента микротика. В теории както так.

[Console]

А тут поймал себя на топографическом кретинизме...

Есть микротик, белый адрес, за ним сервер(за nat), серверу нужно иногда ходить на smtp для отправки от туда почты( есть сервер почты, есть порт 25).... вроде все просто...
И тут я жестко туплю...
1. маскарад есть
2. правило на выпуск трафика есть
3. по логу правило срабатывает...

Но сервис никак не может подключиться и отправить почту... по логу отправляется SYN, но в конекшенах на фаерволе нет соединения..


UP.... рядом такое же правило на ICMP, работает...

Сообщение отредактировал Console - Jan 27 2020, 17:52

[mak_v_]

ну раз syn ушел, то syn+ack должен вернуться. Если его нет на внешнем, то вероятная причина - блокировка "по пути следования"

[Console]

Да действительно, провайдер блокировал транзитный вариант, порешал..

[Alekssander]

Приветствую.
Подскажите плиз по очередям.
Есть MikroTik RB2011UiAS-2HnD-IN.
Создал + два виртуальных Вай-Фая. Создал общую очередь на 20мбит(наша скорость от прова)
Потом создал на каждый виртуальный свою очередь с ограничением скорости. Но работало как-то кривао.
На данный момент все очереди удалил, потому как один из виртуальных давал скорость выше чем физический.
Находил разные мануалы. Пытался воедино слепить, но получилась каша...

[gonivo]

Приветствую.
Подскажите плиз по очередям.
Есть MikroTik RB2011UiAS-2HnD-IN.
Создал + два виртуальных Вай-Фая. Создал общую очередь на 20мбит(наша скорость от прова)
Потом создал на каждый виртуальный свою очередь с ограничением скорости. Но работало как-то кривао.
На данный момент все очереди удалил, потому как один из виртуальных давал скорость выше чем физический.
Находил разные мануалы. Пытался воедино слепить, но получилась каша...

А не проще ли на каждый виртуальный вайфай выделить отдельную подсеть, а потом в Simple Queues прописать шейперы на каждую подсеть?

[Alekssander]

А не проще ли на каждый виртуальный вайфай выделить отдельную подсеть, а потом в Simple Queues прописать шейперы на каждую подсеть?

Так собственно под каждый виртуальный Вай-Фай и создается подсеть. Только вот с очередями беда. Толком не получилось сделать.

[gonivo]

Это Limit Max и Limit At для каждой очереди нужно сделать? Или зачем тогда общая очередь?

Сообщение отредактировал gonivo - Feb 16 2020, 2:52

[Alekssander]

Это Limit Max и Limit At для каждой очереди нужно сделать? Или зачем тогда общая очередь?

Насколько я понял, общая скорость нужна для ограничения виртуальным. Общая суммированная ограниченная скорость должна совпадать с общей. Типа общая 50, значит все виртуальные например 30+10+10=50
Я уже не помню как было красиво написано в мануалах, которые находил. Как-то так.

[gonivo]

Насколько я понял, общая скорость нужна для ограничения виртуальным. Общая суммированная ограниченная скорость должна совпадать с общей. Типа общая 50, значит все виртуальные например 30+10+10=50
Я уже не помню как было красиво написано в мануалах, которые находил. Как-то так.

Там скорее всего описано динамическое шейпирование, когда к примеру 2 пользователя по 30мбит а общий канал 40.
для 2-х независимых скоростей (20+20) общая очередь не нужна.

[Alekssander]

Там скорее всего описано динамическое шейпирование, когда к примеру 2 пользователя по 30мбит а общий канал 40.
для 2-х независимых скоростей (20+20) общая очередь не нужна.

Так я как раз хочу ограничить скорость виртуальной точке. Чтобы физическая имела постоянную скорость и виртуальная не забрала на себя трафик.

[gonivo]

Так я как раз хочу ограничить скорость виртуальной точке. Чтобы физическая имела постоянную скорость и виртуальная не забрала на себя трафик.

Так одного правила на подсеть виртуальной хватит
Чтото в духе:
/que si add name="queue22" target=192.168.10.0/24 parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=50M/50M

[Alekssander]

Так одного правила на подсеть виртуальной хватит
Чтото в духе:
/que si add name="queue22" target=192.168.10.0/24 parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=50M/50M

Я так понимаю max-limit (target-upload/target download) ставлю желаемую скорость.
Burst Limit / Burst Threshold не нужно указыать?
В Target лучше указать подсеть? Или выбрать интерфейс/бридж?
В терминале не силён. Что-то так понимаю про маркировку пакетов?
В Адвансед вкладка Queue Type - pcq-download-default / pcq-upload-default соответственно советовали ставить такие значения.
И для локалки, и для физического Вай-Фая можно не указывать очереди?

[gonivo]

Я так понимаю max-limit (target-upload/target download) ставлю желаемую скорость.
Burst Limit / Burst Threshold не нужно указыать?
В Target лучше указать подсеть? Или выбрать интерфейс/бридж?
В терминале не силён. Что-то так понимаю про маркировку пакетов?
В Адвансед вкладка Queue Type - pcq-download-default / pcq-upload-default соответственно советовали ставить такие значения.
И для локалки, и для физического Вай-Фая можно не указывать очереди?

Burst Limit / Burst Threshold не указывать.
Да, в Target подсеть.
Маркировка для Simple Queues не обязательна. А в данном случае и не нужна.
В Адвансед вкладка Queue Type - default-small/default-small (kind pfifo). Желательно в queue types default-small queue size 500.
"И для локалки, и для физического Вай-Фая можно не указывать очереди?" - interface queues - там пофиг, можешь указать чтото с pfifo.
Если будешь иметь час та натхнення, почитаешь что такое pcq. это не совсем обычный тип очереди и ее нужно саму конфигать.

Сообщение отредактировал gonivo - Feb 17 2020, 19:30

[Alekssander]

Может баян, может все, кто в теме знают, но я с Микротиком можно сказать знакомлюсь.
Настраивал две точки Mikrotik wAP ac (RBwAPG-5HacT2HnD). Будет связь между офисом и складом.
Почитал про фирменный протокол nv2. Решил протестить. Пока в офисе. Между точками несколько гипсокартонных стен.
При включении Wireless Protocol - 802.11 пинг был от 10 до 1200мс. При чём скорость постоянно прыгала. И практически любые помехи влияли. При включении Wireless Protocol - nv2 пинг стал 2-4мс. Помехи практически не влияли. Пинг стабильный.
Может кому пригодится. Я например не знал и данный функционал меня очень обрадовал.