mikrotik gateway, pa malo pomoc oko konfiguracije

[jp_rv]

nismo se dugo culi.
u jednoj prosloj temi, zaboravih kojoj, ste mi rekli "sta qrac linksys, kupi si mikrotik".
s obzirom da mi linksys ima koju godinu (deceniju?) i barely izgurava trenutnu vdsl brzinu, uzeo sam mikrotik.

e sad, snaći ću se za ono osnovno, pppoe, port forwardi, ddns.

ono šta bi htio napraviti je dual-wan sa load balancingom.
wan1 je moj vdsl 30/5 (pppoe), wan2 je 20/2 (static ip).

uzeo sam onaj 941 hap lite, koji ima samo 4 porta.
kako da to izvedem?

i da li je to uopće izvedivo?

[madox]

Naravno da je izvedivo...
Imas gomilu primjera kako sloziti PCC load balancing with failover.
Ako sta zapne pitaj.

[jp_rv]

počnimo s time da mi treba pristup onome šta je "iza" wan porta. u protivnom cijela procedura pada u vodu.

za pristupiti mreži koja je iza wan porta se pišu romani, skripte za firewall su na razini ilijade. i onda totalni nonsens je da nesmiju biti u istom subnetu.

meni je sva mreža switchana, i onda mogu bilo gdje u mrezi bacit gateway i to radi (zanemarimo da je trenutno gateway blizu modema).

kako je stvar radila do sada - iz modema ide kabel u lan port, i onda mali kablić mi spaja lan i wan portove na gatewayu, i to tako radi već 9 godina, sad će 10. ali mi taj pristup uzima 3 porta. na novom mikrotiku mi ostaje samo 1 port onda za "još nešto". to "još nešto" može bit dodatni wan2, i kod njega mi ne treba da mogu pristupiti opremi "iza" wan porta.
ako se može kroz firewall rješiti da imam pristup onome šta je iza wan porta, ali da je to u istom subnetu, volio bih da netko linka skriptu.

čak mi nije nužan load balancing (ali ako može, jel...). za wan2, bi bilo dovoljno odvojiti u vlan njega i jedan virtualni wlan. ne smeta ako su mreže fizički odvojene, jer su bile odvojene i do sada. samo bi htio da to sad radi jedan uređaj. probao sam na opremi koju imam to izvesti, ali nije baš stabilno radilo.

znači da ukratko "skiciram" trenutno stanje mreže:
mreža 1: sve živo na switchu, iz zyxel vdsl modema ide po 1 kabel u switch , i 1 u linksys (na lan port - pa iz lan u wan kako bi dizao pppoe).

mreža 2: iz ap-a ide u openwrt router na wan port, i točka.

ja bi samo da mikrotik zamijeni oba routera. to mogu i dalje ostati 2 odvojene mreže, ali na istom uređaju. da se rješim gužve.

zvuči izvedivo nadam se?

[Nikky]

Ako se ne varam na Tiku imaš 4 Lan porta:
- Lan1 > WAN1
- Lan2 > WAN2
- Lan3 + Lan4 > bridge - Lan strana

Taj "prvi" switch prebaci na Lan3 Tika kao produžetak da imaš dovoljno portova.

Za početak a obzirom da hoćeš napraviti navedenu "ilijadu" koraci bi otprilike bili:
- spremit default config mada nije nužno jer ga dobiješ ako odradiš factory default
- makneš konfig da bude skroz glup
- po nekoj uputi složiš dual wan + lan kako gore piše
- na wan1 ide pppoe a na wan2 static ip, tako si gore naveo
- sad bi se trebao igrati sa "ilijadom" i fw rules da ti proradi taj prolaz u hebeni router prije
- bitno ti je postići da jedan odr. pc (čitaj tvoj "glavni" sa fiksnom ip adresom) može TO viditi
- kasnije ide dodavanje / nadograđivanje "pameti" Tika od NTP Client / Server, dodavanje fw rules da spriječiš DoS i/ili DNS attack, ...

[jp_rv]

koja će ovo litanija bit.

znači ajmo prvo četveronoške da to ikako proradi sa jednim wan-om, pa ćemo polako dalje.

zapinjem na početku. eth1 mi je wan, eth2-3-4 su lan.
eth1 je sad dhcp client , eth2 je spojen moj komp (čisto da ne ubijem net svima dok ovo radim). i sad, eth1 dobije ip preko dhcp-a, i zna koji je gateway. tu priča staje.

idem na dns, dodajem dns. idem na dhcp server, dodajem pool, dodajem dns.
komp dobije ip/gateway/dns kako spada, ali ne resolvaju se adrese. mogu pingat 8.8.8.8 ali ne mogu ništa otvorit.
znači problem je u mikrotiku.

e sad - gdje?

Code:

 [admin@MikroTik] > /ip address print detail
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; defconf
     address=192.168.2.10/24 network=192.168.2.0 interface=ether2-master 
     actual-interface=bridge 

 1 D address=192.168.2.237/24 network=192.168.2.0 interface=ether1 
     actual-interface=ether1

Code:

[admin@MikroTik] > /ip route print detail
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 0 ADS  dst-address=0.0.0.0/0 gateway=192.168.2.1 
        gateway-status=192.168.2.1 reachable via  ether1 distance=1 scope=30 
        target-scope=10 vrf-interface=ether1 

 1 ADC  dst-address=192.168.2.0/24 pref-src=192.168.2.10 gateway=bridge,ether1 
        gateway-status=bridge reachable,ether1 unreachable distance=0 scope=10

Code:

 [admin@MikroTik] > /interface print detail
Flags: D - dynamic, X - disabled, R - running, S - slave 
 0     name="ether1" default-name="ether1" type="ether" mtu=1500 actual-mtu=1500 
       l2mtu=1598 max-l2mtu=2028 mac-address=6C:3B:6B:1E:20
       last-link-down-time=dec/01/2016 13:16:58 
       last-link-up-time=dec/01/2016 13:09:45 link-downs=1 

 1  RS name="ether2-master" default-name="ether2" type="eth
       actual-mtu=1500 l2mtu=1598 max-l2mtu=2028 mac-addres
       fast-path=yes last-link-up-time=dec/01/2016 13:09:45

 2  RS name="ether3" default-name="ether3" type="ether" mtu
       l2mtu=1598 max-l2mtu=2028 mac-address=6C:3B:6B:1E:20
       last-link-up-time=dec/01/2016 13:17:00 link-downs=0 

 3   S name="ether4" default-name="ether4" type="ether" mtu
       l2mtu=1598 max-l2mtu=2028 mac-address=6C:3B:6B:1E:20
       link-downs=0 

 4   S name="wlan1" default-name="wlan1" type="wlan" mtu=15
       l2mtu=1600 max-l2mtu=2290 mac-address=6C:3B:6B:1E:20
       link-downs=0 

 5  R  ;;; defconf

edit

ok da dobro, nesmiju bit u istom subnetu. yebo ih subnet. promijenio dhcp pool na 192.168.3.0/24 sad radi iz prve.

eh sad sok i nevjerica, mogu uredno pristupit i "routeru iza". ali nije isti subnet. zaista cu morat modem prebacit u drugi subnet.

[Nikky]

Neka bude litanija, nešto ćemo naučiti.
Trenutno možeš ping - ati ali nisi osposobio vezu između wan i lan strane.
Jedno od rješenja (recimo standardno) je preko NAT - a.
To bi otprilike bilo IP > Firewall > NAT > New > Chain:srcnat ... nađi punu uputu ...

EDIT: Pa jel ti radi pristup "routeru iza", radi, onda ne čačkaj i slaži dalje
EDIT2: Radi jer trenutno vrata od kuće (čitaj Firewall) držiš otvorenim i sve može proći, kada staviš std. sigurnosna pravila onda više neće prolaziti pa će trebati dodati izričitu iznimku.

[jp_rv]

radi. ali radi samo ako nisu u istom subnetu. šta mi stvara malo glavobolju oko kabliranja. sad kad je sve u istom subnetu mi je ujedno svaki uređaj switch, modem je switch, gateway je switch, i switch je swtich :P
dobro snaći ću se po pitanju toga.

razmišljam da ovo napravim future-proof idiot-proof. vratiti pppoe na modem, a mikrotik da bude dhcp client. na modemu staviti IP od mikrotika u dmz i amen.

eth1 je wan1
eth 2 je lan 1
eth3 je wan 2
eth 4 je lan 2.

probat cu.

sad idem prebacivati port forwarde na mtk.

pod future proof sam htio reć - provideri svako malo mijenjaju modeme, a ja ne kanim zivit ovdje za vjeke vjekova. ovako kad provider zamijeni modem iz bilo kojeg razloga, jednostavno se upikne novi umjesto staroga i ćao bez da moram hakiravat modem da ga prebacim u bridge, trazenja pppoe login-a i ostalog.

je to pametna ideja, ili da pustim pppoe na gatewayu?

[Nikky]

Ne valja ti poso
PortForward i ostale tričarije rade samo na onom uređaju koji drži PPPoE konekciju.
Isto tako trebaš izbjeći dupli NAT.
Drugim riječima ISP - ov šroteks mora biti u Bridge mode, PPPoE i PortForward dižeš na Tiku.

[jp_rv]

Citiraj:

Autor Nikky

Ne valja ti poso
PortForward i ostale tričarije rade samo na onom uređaju koji drži PPPoE konekciju.
Isto tako trebaš izbjeći dupli NAT.
Drugim riječima ISP - ov šroteks mora biti u Bridge mode, PPPoE i PortForward dižeš na Tiku.

ma čekaj. si siguran?
ako u modemu stavim ip od gateway-a pod DMZ, ta ip adresa ima sve portove otvorene prema netu, i radim klasičan port forward.

Code:

The LAN client in the Demilitarized Zone (DMZ) is no longer behind this device and therefore can run any Internet applications, such as video conferencing and Internet gaming without restrictions.

to čak i zyxel kaže.

[Nikky]

OK, ako Tik / gateway staviš u DMZ onda će raditi PF na njemu.
Ja samo kažem da bi onako bilo po knjizi i kasnije samo u Tiku mijenjaš šta ti treba.

[jp_rv]

sve to stoji, ali mikrotik nije bas (nije uopce) user friendly. ajde ti mojim starcima preko telefona idi objasnjavat sta da rade kad im budu uvalili novi modem. mislim za sad nije bed, dok sam tu cu stavit na pppoe, ali morat ce to na nekakvu dumb automatiku prije nego se maknem odavde. šta je problem jer je mreža velika, i pokriva 4 kuće, a prvih 10 ip adresa su sve routeri u kaskadi, nek se jednom nešto desi i sve dalje je mrtvo

ajde barem su mikrotici realiable uređaji pa će to bit po sistemu podesi i zaboravi.

još da rješim kabliranje u svom stanu, da bude sve na jednom mjestu a ne razbacano, i to će bit to.

ovo sad sam rješio i našao i nekakvu ddns skriptu koja bi trebala radit.
poslije ću probat osposobit wan2, i onda čekat idealan trenutak za zamijenit uređaje.
ako zapnem ćete me čut

[jp_rv]

edit
screw prosli post, sve radi.

bridge 1 ide van preko wan1
bridge 2 ide van preko wan2

nema komunikacije između lanova.
wlan 1 je na bridge 1
wlan 2 je na bridge 2

jedino - mogu mikrotiku pristupit preko wan-ova. i mogu ih pingat preko wan-ova.
to je OK za wan1, ali zelim onesposobit za wan2.
neka ideja kako?

[jp_rv]

rješeno i to, treba se igrat s firewallom.

nego - neovisno o n standardu, wireless je nerealno spor. sa prastarim linksysom sam vukao oko 18-19mbita.
sa ovim - isto toliko. tj ajde 21-22.
đaba on meni piše registration 72mbit kad neide toliko. niti na drugom laptopu koji ima 2 antenice (ili 3, bo), piše registration 180/150mbit, a vuče jedva 25-26.

i rebootao sam ga, ali ne ide.

[Nikky]

Na temu WiFi signala u tom MiktoTik 941 hap lite

Kakav intezitet signala i transfer rate ostvaruješ kada si sa lapom u istoj prostoriji ?
Jesi manualno postavio "slobodni" radni kanal ?

Vjerojatno imaš "loš rezultat" zbog jeftine konstrukcije sa pcb / lata antenama.
Pretpostavljam da ti je "frka" dirati novi uređaj (garancija), ali odg. modifikacija sa vanjskim antenama je jedno od rješenja.
Vidi:
http://forum.mikrotik.com/viewtopic.php?t=106818
http://forum.mikrotik.com/viewtopic.php?t=97980
ovaj potonji link sa slikama izvedbe, mogao je i malo "nježnije" izvesti.

[jp_rv]

a na slobodnom / nepreklapajucem kanalu je. ali 20mhz, jer imam ch6 zauzet sa full jakim signalom od susjede (morat cu sacekat reboot njenog routera jer povremeno šeta, ako se ja parkiram na 6, njen ce se maknut prije ili kasnije).

neznam kako forsirat mikrotik da ipak ode na 40mhz, jer po inssideru - nije nikad. ako se ja npr maknem na ch1, router od susjede skoči na ch6+11.

uglavnom , loše. očekivao sam 30+mbita propusnosti. osobito s lapom koji podržava 150mbita (glavni ima 1x1 i ide max 72mbit).

a za signal, jak je, ali brzine nema.

ove modifikacije mogu napravit... 2 pigtaila i 2 antenice naručim s ebaya... i malo se poigrat s lemilicom.

edit
malo sam se prošetao tabletom okolo, i linksys jasno i gladno i vidljivo pobjeđuje iako je na zauzetom kanalu.
prvi test je na terasi, drugi test u stanu pored mog na istom katu, svaki put u istom polozaju. u oba slucaja je linksys malo udaljeniji, tj u sobi dalje, iza jos jednog zida, a mikrotik je u hodniku. uzeti u obzir na mikrotik ima output power na 1000mW (30dBm), a linksysu sam smanjio na 10mW jer mi je pored glave.

signal u sobi: linksys u sobi, mikrotik vrata dalje.


signal na terasi:


i sad speedtestovi:
2 na terasi, 2 u drugom stanu, tim redom.





i sad u drugom stanu - dijeli nas 1 zid do mikrotika, 2 zida do linksysa.





i da ne bude zabune - linksys kao šta rekoh, na 10mW

[Nikky]

Obzirom na tako "čistu" situaciju sa kanalima, probaj za svoje koristiti 3. ili 4. odnosno 7. ili 8. kanal.

[jp_rv]

ma kakvi, nemere. hocu rec, ne ide brze od tih 26-27mbita u lanu. cak sam procitao te neke manje-poznate detalje oko wifi n mreže, koji bi trebali pomoci u povecanju brzine, ali ne ide neovisno o njima.
npr
-isključivo wpa2 aes enkripcija (tkip i wpa su "stari").
-upaljen wmm (bez njega ne ide iznad 54mbit)
-isključivo 20mhz n mod (40mhz da minimalno poveća brzinu ali pada domet).

trenutno mi mtk i dalje stoji sa strane jer čekam da mi sti