Mikrotik, отдельная тема по этому оборудованию Опции

[mussy]

Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.

Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ?

Сообщение отредактировал Spectral - Jul 15 2020, 22:50

[Console]

а есть где-то гайд как настроить несколько провайдеров на одновременную работу, микротик 962. Или хотя бы на переподключение, при отвале первого и так по очереди. По лану оба подключены и третий это 4г свисток.

_https://weblance.com.ua/263-mikrotik-advanced-failover-avtomaticheskoe-pereklyuchenie-mezhdu-osnovnym-kanalom-i-3g-proverka-osnovnogo-internet-kanala-i-otpravka-sms-uvedomleniy-iz-mikrotik.html

Вот к примеру гугл выдал, + вопрос еще какой сценарий.

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Логично было бы предположить, что, в случае ограничений на 1 файл, можно попробовать как то работать с несколькими файлами.

Мм.. тут скорее скрипт другой нужен если я правильно понимаю, он открывает фаел вычитывает все, заагоняет в переменную "контент" и потом с нее уже делает список в микротике. Так тратится меньше ресурсов и быстрей скрипт выполняется. А что бы обойти проблему нужен костыль, он лезит в фаел читает строку, проверяет на наличие в списке микротика, нету, добавляет, запускает цикл по новой, есть в списке читает следующую строкую. Таким образом в переменной будет не весь список, а только один адрес..

Но как говорится на словах все это хорошо, осталось сделать
Походу проще использовать python + API routeOS

P.S. вчера вечером поковырял и получилось, код правда програмистам показывать не зя, батхерт будет

Рядом с скриптом должен быть ipaddress.txt с ip адресами построчно(нужно убрать закоменченые строки)
Должен быть user с правами работы через api
Включен сервис api (прописывал аксес лист на свой адрес)
Ну в общем он сыроват, минусы:
- логин и пароль в открытом виде
- практически не обработаны ексепшены
- ошибка в логике пропуска уже добавленого ip адерса.(утром еще раз глянул и осознал)
- повторяющиеся куски кода
- ручная подгрузка файла с ransomwaretracker.abuse.ch/blocklist/
- долбонуто названые переменные..
- нужно детальней изучить уровень необходимых разрешений у юзера, ибо тестил на отдельном с полными правами

Есть еще над чем порабоать...

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

CODE Format

import routeros_api

def rb4011():
    """ Grab ip from mikrotik """
    connection = routeros_api.RouterOsApiPool('you_ip', username='you_user', password='you_password', port=you_port)
    api = connection.get_api()
    list_address = api.get_resource('/ip/firewall/address-list')
    old_list = list_address.get(list='10M')
    results = [item['address'] for item in old_list]
    connection.disconnect()
    return results


def ip_list():
    """ Grab ip from .txt """
    new_1 = []
    with open('ipaddress.txt') as ip_table:
        my_list = ip_table.read().splitlines()
    for line in my_list:
        new_1.append(line)
    return new_1


deploy_ip = set(rb4011() + ip_list())
print(deploy_ip)

lines = deploy_ip
with open('deploy_ip.txt', "w") as file:
    file.writelines("%s\n" % line for line in lines)

send = routeros_api.RouterOsApiPool('you_ip', username='you_user', password='you_password', port=you_port)
api = send.get_api()
list_address = api.get_resource('/ip/firewall/address-list')
with open("deploy_ip.txt", "r") as file:
    try:
        my_list = file.read().splitlines()
        for line in my_list:
            list_address.add(address=line, list="10M")
        send.disconnect()
    except:
        print('Failure: already have such entry ' + line)
        pass

Сообщение отредактировал Console - May 6 2019, 12:16

[mussy]

Ребята, такой вопрос.
Хочу использовать Mikrotik исключительно для моста между двумя офисами. Как наилучшим образом это сделать?
Хочу использовать EOIP +IPsec.

Рабочую схему с подключением нескольких VMware виртуалок в разных датацентрах с помощью Mikrotik CHR уже давно применяю. А вот с реальной сетью что-то торможу с реализацией.

Правильно ли я понимаю, что мне нужно следующее:
1. запросить у провайдера обоих офисов дополнительные статические IP (которые будет только для того, чтобы Mikrotik1 видел Mikrotik2)
2. настроить один LAN Mikrotik`а на IP провайдера, и еще один LAN на IP внутренней сети.

Перед Микротиком будет стоять основной роутер, как мне подключить основной роутер и микротик?

Сообщение отредактировал mussy - Jul 22 2019, 11:05

[YaAllex]

2. настроить один LAN Mikrotik`а на IP провайдера, и еще один LAN на IP внутренней сети.*

Перед Микротиком будет стоять основной роутер, как мне подключить основной роутер и микротик? **

* Разверните ваш пункт 2, пожалуйста, - что вы собираетесь делать? Может вечер понедельника влияет, но мозги аж закипают от пункта 2.

**У вас в сети несколько активных маршрутизаторов?

[mussy]

* Разверните ваш пункт 2, пожалуйста, - что вы собираетесь делать? Может вечер понедельника влияет, но мозги аж закипают от пункта 2.

**У вас в сети несколько активных маршрутизаторов?

нужно установить в удаленных офисах эти микротики, две штуки. Сетевое оборудование там какое-то есть. К нему у меня доступа нет.
Соответсвенно схема будет такой

Провайдер -> Роутер Офис1 -> Свитч -> пользовательские ПК

Микротик я не могу поставить перед роутером. Но мне нужно чтобы от провайдера я получил какой-то белый IP (EOIP вроде по другому работать не будет) + мне нужно, чтобы пользовательские ПК видели Офис2, где схема такая же.
~~~
Или же будет проще, если Провайдера втыкнуть в Микротик и офисный роутер уже к Микротику? А на микротике пропускать весь трафик типа как DMZ на роутер? Но я тогда не знаю насколько это безопасно для EOIP интерфейса будет

Сообщение отредактировал mussy - Jul 22 2019, 20:59

[YaAllex]

Микротик я не могу поставить перед роутером. Но мне нужно чтобы от провайдера я получил какой-то белый IP (EOIP вроде по другому работать не будет) + мне нужно, чтобы пользовательские ПК видели Офис2, где схема такая же.
~~~
Или же будет проще, если Провайдера втыкнуть в Микротик и офисный роутер уже к Микротику? А на микротике пропускать весь трафик типа как DMZ на роутер? Но я тогда не знаю насколько это безопасно для EOIP интерфейса будет

EoIP - микротиковский проприетарный туннельный протокол точка-точка, те вам понадобятся:
1 )static ip на обоих железках, которые хотите соединить.
2) два микротика или умеющие работать с EoIP линукс-маршрутизатора.

По поводу, должен стоять микротик за другим маршрутизатором - решайте сами( там возня с натом будет, а вот сможете ли побороть )

[Console]

Вопрос, куплен MikroTik hAP lite RB941-2nD-TC
И вот такая картинка по работе с Wi-Fi, я понимаю что там 150 линк, почему на загрузке такой провал...
Из того что пробовал:
-различные прошивки (беты, стабильные, лонг, пару разных версий)
-убирал пароль на подключение
-менял каналы
Подключался:
-Lenovo ThinkPad e580
-Redmi Not 7
-MacBook Air 13" Early 2015 A1466

По RJ-45 ок проблем нету, да и если бы +- даулоуд с аплодом были в пределах 60 вопросов не было..
Кто что может посоветовать?
Точка нужна для подключение пары телефонов, ноубука, как бы вроде и так работает, но явно полова..

[gonivo]

Посканируйте частоты Wireless -> freq usage, частоту подберите почищще. Проверьте все ли галки chain во вкладке HT отмечены. В Band поставьте only-N, channel width любая 20/40.
Перед сканом частот поставьте advanced mode - country - debug, откроются все частоты. Только потом с умом выбирайте, там будут и неподдерживаемые обычным железом.
Что не нравиться в микротиках - нельзя поставить 40 мгц онли.

Сообщение отредактировал gonivo - Jul 24 2019, 22:58

[gonivo]

Микротик я не могу поставить перед роутером.

Можете. Микротик умеет объединять 2 порта бриджом или свичом если есть аппаратная поддрежка. Потом на бридж прописываете 2-й белый айпи от прова, вешаете EOIP tun и объединяете его с портом смотрящим в локалку вторым бриджом. Но осторожнее с дхцп в офисах, оно будет раздавать айпи и через туннели.

Сообщение отредактировал gonivo - Jul 24 2019, 23:09

[Fanta]

Всім хелоу!
раз тут топік про мікроти то спитаю і я
Потрібен свіч на 16-24 гігабітні порти.
Глянув ціни на циску - пічаль
Як у мікротіка з свічами - є норм моделі? Ніколи не юзав сабж. Варто дивитися в сторону мікротіків в ролі свіча ?

[Tiger]

Всім хелоу!
раз тут топік про мікроти то спитаю і я
Потрібен свіч на 16-24 гігабітні порти.
Глянув ціни на циску - пічаль
Як у мікротіка з свічами - є норм моделі? Ніколи не юзав сабж. Варто дивитися в сторону мікротіків в ролі свіча ?

Какая задача? Свитч какого уровня? Access или для серверного окружения?
Микротики используем 10Gb CRS3ХХ года 2-3 - пока никаких проблем не возникало. Только рекомендую не загружать SwOS а остаться на RouterOS и настроить обязательно hardware offload (включается на уровне портов и бридж групп).

Сообщение отредактировал Tiger - Aug 7 2019, 9:11

[Fanta]

Какая задача? Свитч какого уровня? Access или для серверного окружения?
Микротики используем 10Gb CRS3ХХ года 2-3 - пока никаких проблем не возникало. Только рекомендую не загружать SwOS а остаться на RouterOS и настроить обязательно hardware offload (включается на уровне портов и бридж групп).

потрібен управляєми Л2 свіч для аксесса.
Зараз стоять 2 звичайні "тупарі" які час від часу глючать. Потрібно замінити їх на "шось нормальне"

[Tiger]

потрібен управляєми Л2 свіч для аксесса.
Зараз стоять 2 звичайні "тупарі" які час від часу глючать. Потрібно замінити їх на "шось нормальне"

Обычный Микротик будет за глаза. Например CRS125-24G-1S-IN. Или CRS326-24G-2S+RM если блоки питание надо задублировать.
При их цене можно вообще не париться с гарантией и просто купить 1 "запасную". Всё равно будет дешевле раз в 15 чем Cisco 2960 самая простая.

Сообщение отредактировал Tiger - Aug 7 2019, 13:29

[Vitaliy_y]

CRS125-24G-1S-IN за глаза, трудится 10 штук без всяких заморочек, правда есть немного тараканов по vlan но они решаемы вдумчивым чтивом мануала.

[Fanta]

CRS125-24G-1S-IN за глаза, трудится 10 штук без всяких заморочек, правда есть немного тараканов по vlan но они решаемы вдумчивым чтивом мануала.

і як сабж "тримає" гігабіт? Планується приблизно 10 портів де буде йти багато трафіку (бекапи в основному). Утлізація буде по максимуму на цих портах.
ЦПУ/ОЗУ вистачає девайсу?

[Tiger]

і як сабж "тримає" гігабіт? Планується приблизно 10 портів де буде йти багато трафіку (бекапи в основному). Утлізація буде по максимуму на цих портах.
ЦПУ/ОЗУ вистачає девайсу?

Если включить hardware offload получаем 98-99% утилизации всех портов в синтетике. Коммутатору RAM не нужна для пропускания трафика, она для загрузки ОС\конфигурации. CPU не участвует так же, если включен hardware offload.

[Tiger]

Народ, а как лучше настроить информирование по E-mail о том что девайс покинул зону Wi-Fi?
Мониторить DHCP сервер и Lease на предмет есть там запись о конкретном МАС или нет, если нет - отправлять письмо. Но вот как скрипт написать что-то не могу додумать.
ЗЫ. Отправлять по SNMP\Syslog в PRTG\Splunk не предлагать, это домашний роутер

[mak_v_]

Дергать лог на предмет "disonnected" и слать, не?

[Tiger]

Дергать лог на предмет "disonnected" и слать, не?

Так тоже вариант, только не понимаю что где писать то? Типо в самом Микротике в вкладке скрипты создать скрипт, который смотрит лог на предмет совпадения строки и отправляет?

Блин всё проще оказалось.
DHCP - Leases - Make Static - Netwatch - Create rule ping

Сообщение отредактировал Tiger - Aug 21 2019, 16:57

[Fanta]

Блин всё проще оказалось.
DHCP - Leases - Make Static - Netwatch - Create rule ping

рівно до тих пір поки та сторона "приймає" пінг ))

[Tiger]

рівно до тих пір поки та сторона "приймає" пінг ))

Само собой. Но "та сторона" мною и настраивается, поэтому проблем не будет