Mikrotik, отдельная тема по этому оборудованию |
Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 6721-й день
![]() |
Шановні користувачі! Запрошуємо вас до офіційного телеграм-канала 0day Community. Тут ви зможете поспілкуватися одне з одним та дізнатися про останні новини щодо роботи ресурса, поставити запитання до адміністрації, тощо. Перейти до телеграм-канала можна відсканувавши QR-код або натиснувши на посилання: @zeroday_ua |
Mikrotik, отдельная тема по этому оборудованию |
mussy |
Пост
#1
|
Репутация: ![]() ![]() Постоялец ![]() ![]() ![]() Группа: Пользователи Сообщений: 1 409 С нами с: 31-January 08 ![]() |
Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.
Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ? Сообщение отредактировал Spectral - Jul 15 2020, 22:50 |
![]() ![]() |
imenno |
Пост
#61
|
Репутация: ![]() ![]() Мистер Равлик ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 16 192 С нами с: 24-March 06 ![]() |
ребята, подскажите мануалы что и где почитать, дабы организовать следующее, думаю, это все банально и просто и есть уже инструкции
![]() По схеме как-то так набросал. На данный момент только один провайдер и все напрямую подключаются на ВинСервер. Цель добавить провайдеров, так как текущий подводит периодически, и скрыть домашниый ИП, дабы на другой ИП сервера подключались и был постоянный один ИП для RDP клиентов при смене провайдера в случае аварии на одном и переключении на другой. Может что-то не так назвал, то поправьте ![]() ![]() Сообщение отредактировал imenno - Nov 17 2019, 16:27 |
nerve |
Пост
#62
|
Репутация: ![]() ![]() Постоялец ![]() ![]() ![]() Группа: Пользователи Сообщений: 1 753 С нами с: 5-January 07 ![]() |
|
imenno |
Пост
#63
|
Репутация: ![]() ![]() Мистер Равлик ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 16 192 С нами с: 24-March 06 ![]() |
план захвата клиентами рдп через впс и интернет по впн до миркотика сервера 1с. вот какие ассоциации эта картинка вызвала и стиль речи)) почему клиентам не сделать впн подключения до микротика и не городить звездолеты? У части провайдеров нет внешнего ИП и провайдер может переключиться в случае отвала первого, будет и адрес другой уже. Потому нужно как-то так, где ип постоянный и потом переадресация по туннелю на микротик и далее на сервер. Сообщение отредактировал imenno - Nov 18 2019, 11:35 |
mak_v_ |
Пост
#64
|
Репутация: ![]() ![]() Скорострел ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 7 452 С нами с: 4-December 11 ![]() |
магия...
1) Поднимаете на впн на впс 2) на микротике впн-клиент, который будет коннектится к впн-верверу (впс) по доступному провайдеру 3) клиенты впн коннектятся к vps и получают маршрут до вашего 1ц |
Alexis |
![]()
Пост
#65
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 430 С нами с: 26-March 07 ![]() |
магия... 1) Поднимаете на впн на впс 2) на микротике впн-клиент, который будет коннектится к впн-верверу (впс) по доступному провайдеру 3) клиенты впн коннектятся к vps и получают маршрут до вашего 1ц ![]() ![]() Еще как вариант. 1) Ставим 2-й микротик VPS 2) на микротике впн-клиент 962, который будет коннектится к микротик - VPS 3) клиенты впн коннектятся к микротикe - VPS Сообщение отредактировал Alexis - Nov 18 2019, 12:37 |
gonivo |
Пост
#66
|
Репутация: ![]() ![]() Cтаршой ![]() ![]() Группа: Пользователи Сообщений: 954 С нами с: 25-June 06 ![]() |
ребята, подскажите мануалы что и где почитать, дабы организовать следующее, думаю, это все банально и просто и есть уже инструкции ![]() По схеме как-то так набросал. На данный момент только один провайдер и все напрямую подключаются на ВинСервер. Цель добавить провайдеров, так как текущий подводит периодически, и скрыть домашниый ИП, дабы на другой ИП сервера подключались и был постоянный один ИП для RDP клиентов при смене провайдера в случае аварии на одном и переключении на другой. Может что-то не так назвал, то поправьте ![]() ![]() Скрипт переключения на резервный пров: :local gt1 prov1; :local opt; :local g; :set g [ping 8.8.8.8 interval=00:00:00.350 count=20]; :set opt [/ip r get value-name=distance number=[/ip r find comment=$gt1]]; :if (($g>14) and ($opt=15)) do={/ip r set numbers=[/ip r find comment=$gt1] distance=10; :log info "$gt1 UP";}; :if (($g<8) and ($opt=10)) do={/ip r set numbers=[/ip r find comment=$gt1] distance=15; :log info "$gt1 DOWN";}; /ip route создать 2 маршрута по умолчанию, основного с коментом prov1 и distance=10, и резерв с distance=12. ВПН придется подымать на серваке и коннектиться микротиком. На лане в микротике повесить нат а на серваке добавить маршрут подсети в которой 1с на айпи впн клиента микротика. В теории както так. |
Console |
Пост
#67
|
Репутация: ![]() ![]() ultra active user ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 11 280 С нами с: 23-March 08 ![]() |
А тут поймал себя на топографическом кретинизме...
Есть микротик, белый адрес, за ним сервер(за nat), серверу нужно иногда ходить на smtp для отправки от туда почты( есть сервер почты, есть порт 25).... вроде все просто... И тут я жестко туплю... 1. маскарад есть 2. правило на выпуск трафика есть 3. по логу правило срабатывает... Но сервис никак не может подключиться и отправить почту... по логу отправляется SYN, но в конекшенах на фаерволе нет соединения.. ![]() UP.... рядом такое же правило на ICMP, работает... Сообщение отредактировал Console - Jan 27 2020, 17:52 |
mak_v_ |
Пост
#68
|
Репутация: ![]() ![]() Скорострел ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 7 452 С нами с: 4-December 11 ![]() |
ну раз syn ушел, то syn+ack должен вернуться. Если его нет на внешнем, то вероятная причина - блокировка "по пути следования"
|
Console |
Пост
#69
|
Репутация: ![]() ![]() ultra active user ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 11 280 С нами с: 23-March 08 ![]() |
Да действительно, провайдер блокировал транзитный вариант, порешал..
|
Alekssander |
Пост
#70
|
Репутация: ![]() ![]() WALKER ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 2 078 С нами с: 8-October 07 ![]() |
Приветствую.
Подскажите плиз по очередям. Есть MikroTik RB2011UiAS-2HnD-IN. Создал + два виртуальных Вай-Фая. Создал общую очередь на 20мбит(наша скорость от прова) Потом создал на каждый виртуальный свою очередь с ограничением скорости. Но работало как-то кривао. На данный момент все очереди удалил, потому как один из виртуальных давал скорость выше чем физический. Находил разные мануалы. Пытался воедино слепить, но получилась каша... |
gonivo |
Пост
#71
|
Репутация: ![]() ![]() Cтаршой ![]() ![]() Группа: Пользователи Сообщений: 954 С нами с: 25-June 06 ![]() |
Приветствую. Подскажите плиз по очередям. Есть MikroTik RB2011UiAS-2HnD-IN. Создал + два виртуальных Вай-Фая. Создал общую очередь на 20мбит(наша скорость от прова) Потом создал на каждый виртуальный свою очередь с ограничением скорости. Но работало как-то кривао. На данный момент все очереди удалил, потому как один из виртуальных давал скорость выше чем физический. Находил разные мануалы. Пытался воедино слепить, но получилась каша... А не проще ли на каждый виртуальный вайфай выделить отдельную подсеть, а потом в Simple Queues прописать шейперы на каждую подсеть? |
Alekssander |
Пост
#72
|
Репутация: ![]() ![]() WALKER ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 2 078 С нами с: 8-October 07 ![]() |
|
gonivo |
Пост
#73
|
Репутация: ![]() ![]() Cтаршой ![]() ![]() Группа: Пользователи Сообщений: 954 С нами с: 25-June 06 ![]() |
Это Limit Max и Limit At для каждой очереди нужно сделать? Или зачем тогда общая очередь?
Сообщение отредактировал gonivo - Feb 16 2020, 2:52 |
Alekssander |
Пост
#74
|
Репутация: ![]() ![]() WALKER ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 2 078 С нами с: 8-October 07 ![]() |
Это Limit Max и Limit At для каждой очереди нужно сделать? Или зачем тогда общая очередь? Насколько я понял, общая скорость нужна для ограничения виртуальным. Общая суммированная ограниченная скорость должна совпадать с общей. Типа общая 50, значит все виртуальные например 30+10+10=50 Я уже не помню как было красиво написано в мануалах, которые находил. Как-то так. |
gonivo |
Пост
#75
|
Репутация: ![]() ![]() Cтаршой ![]() ![]() Группа: Пользователи Сообщений: 954 С нами с: 25-June 06 ![]() |
Насколько я понял, общая скорость нужна для ограничения виртуальным. Общая суммированная ограниченная скорость должна совпадать с общей. Типа общая 50, значит все виртуальные например 30+10+10=50 Я уже не помню как было красиво написано в мануалах, которые находил. Как-то так. Там скорее всего описано динамическое шейпирование, когда к примеру 2 пользователя по 30мбит а общий канал 40. для 2-х независимых скоростей (20+20) общая очередь не нужна. |
Alekssander |
Пост
#76
|
Репутация: ![]() ![]() WALKER ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 2 078 С нами с: 8-October 07 ![]() |
Там скорее всего описано динамическое шейпирование, когда к примеру 2 пользователя по 30мбит а общий канал 40. для 2-х независимых скоростей (20+20) общая очередь не нужна. Так я как раз хочу ограничить скорость виртуальной точке. Чтобы физическая имела постоянную скорость и виртуальная не забрала на себя трафик. |
gonivo |
Пост
#77
|
Репутация: ![]() ![]() Cтаршой ![]() ![]() Группа: Пользователи Сообщений: 954 С нами с: 25-June 06 ![]() |
Так я как раз хочу ограничить скорость виртуальной точке. Чтобы физическая имела постоянную скорость и виртуальная не забрала на себя трафик. Так одного правила на подсеть виртуальной хватит Чтото в духе: /que si add name="queue22" target=192.168.10.0/24 parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=50M/50M |
Alekssander |
Пост
#78
|
Репутация: ![]() ![]() WALKER ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 2 078 С нами с: 8-October 07 ![]() |
Так одного правила на подсеть виртуальной хватит Чтото в духе: /que si add name="queue22" target=192.168.10.0/24 parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=50M/50M Я так понимаю max-limit (target-upload/target download) ставлю желаемую скорость. Burst Limit / Burst Threshold не нужно указыать? В Target лучше указать подсеть? Или выбрать интерфейс/бридж? В терминале не силён. Что-то так понимаю про маркировку пакетов? В Адвансед вкладка Queue Type - pcq-download-default / pcq-upload-default соответственно советовали ставить такие значения. И для локалки, и для физического Вай-Фая можно не указывать очереди? |
gonivo |
Пост
#79
|
Репутация: ![]() ![]() Cтаршой ![]() ![]() Группа: Пользователи Сообщений: 954 С нами с: 25-June 06 ![]() |
Я так понимаю max-limit (target-upload/target download) ставлю желаемую скорость. Burst Limit / Burst Threshold не нужно указыать? В Target лучше указать подсеть? Или выбрать интерфейс/бридж? В терминале не силён. Что-то так понимаю про маркировку пакетов? В Адвансед вкладка Queue Type - pcq-download-default / pcq-upload-default соответственно советовали ставить такие значения. И для локалки, и для физического Вай-Фая можно не указывать очереди? Burst Limit / Burst Threshold не указывать. Да, в Target подсеть. Маркировка для Simple Queues не обязательна. А в данном случае и не нужна. В Адвансед вкладка Queue Type - default-small/default-small (kind pfifo). Желательно в queue types default-small queue size 500. "И для локалки, и для физического Вай-Фая можно не указывать очереди?" - interface queues - там пофиг, можешь указать чтото с pfifo. Если будешь иметь час та натхнення, почитаешь что такое pcq. это не совсем обычный тип очереди и ее нужно саму конфигать. Сообщение отредактировал gonivo - Feb 17 2020, 19:30 |
Alekssander |
Пост
#80
|
Репутация: ![]() ![]() WALKER ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 2 078 С нами с: 8-October 07 ![]() |
Может баян, может все, кто в теме знают, но я с Микротиком можно сказать знакомлюсь.
Настраивал две точки Mikrotik wAP ac (RBwAPG-5HacT2HnD). Будет связь между офисом и складом. Почитал про фирменный протокол nv2. Решил протестить. Пока в офисе. Между точками несколько гипсокартонных стен. При включении Wireless Protocol - 802.11 пинг был от 10 до 1200мс. При чём скорость постоянно прыгала. И практически любые помехи влияли. При включении Wireless Protocol - nv2 пинг стал 2-4мс. Помехи практически не влияли. Пинг стабильный. Может кому пригодится. Я например не знал и данный функционал меня очень обрадовал. |
![]() ![]() |
![]() |
Упрощённая версия | Сейчас: 9th August 2024 - 10:14 |
Сайт не розміщує електронні версії творів, а займається лише колекціонуванням та каталогізацією посилань, що публікуються нашими користувачами. Якщо Ви є правовласником якоїсь частини опублікованого матеріалу та не бажаєте, щоб посилання на нього знаходилось в нашому каталозі, зв’яжіться з нами і ми видалимо його. Файли для обміну надані користувачами сайту і адміністрація не несе відповідальності за їх вміст. |