|
03.01.2021., 02:23 | #1 |
Premium
Datum registracije: Feb 2007
Lokacija: Istra
Postovi: 2,987
|
Mikrotik direkt na HT ONT + VLANovi
speedport (bridge mode)--> mikrotik (pppoe). Speedport mora ostati radi fiksne tel. linije. -->
Problem: bridge mode i pppoe rade ispravno, ali modem/router ISPa (HT) povremeno radi nestabilno. Rješenje: mikrotika spojiti direkt na ONT, a speedporta na jedan od portova mikrotika. Znači bez ikakvog dodatnog switcha. Nova konfiguracija: ONT Raisecom--> eth1 mikrotik hap ac2, eth2-4 LAN uređaji, eth5 --> WAN port Speedšrota VLAN IDevi za HT, našao negdje tu na forumu, meni trebaju samo 100 i 101: 100 Internet 1500 MaxTv 101 VoIp 103 Acs - nadzor modema Potvrđeno snifanjem prometa (torch) da se javljaju IDevi 100,101,103. Složio sam i zasad radi, ovako: - ether1 interface je zaseban, na njemu su dignuta 2 VLANa s nazivima vlan100-internet i vlan101-voip i pripadnim IDevima. - pppoe klijent je dignut na novi interface vlan100-internet. Mora biti tako, inače ne radi ako ostane na čistom eth1 kao što je dosad bilo. Internet je proradio odmah, za VOIP se trebalo malo i pomučiti - eth 2-4 su u default bridgeu s nazivom bridge1 i tu se priključuju LAN uređaji na kabel. - eth 5 je u zasebnom bridge-voip zajedno s interfaceom vlan101-voip - na tom bridgeu uključiti vlan-filtering=yes i postaviti ga da je isto na VLAN 101. Ovo je automatski dodalo na "Bridge VLANs" tabu kombinaciju da je 101 untagged na eth5 i onom iz prve točke vlan101-voip. To me patilo prilično dugo jer mikrotik dokumentacija je loša, a "filtering" ustvari uopće ne radi kako bi pomislio iz naziva. Bez te opcije, kao da dropa sve vlan IDeve i ništa ne prolazi van na eth5. Naravno da je to skoro pa nemoguće testirati jer onaj njegov torch uredno prikazuje da se vlan ID 101, 103 pojavljuju i na eth1 i na izlazu eth5, to nisam skužio kako i zašto. Kad se to uključi, tek onda cijeli bridge postane svjestan vlan tagova i krene ih valjda prenositi između interfacea koji su mu pridruženi. Obzirom da dosta konfuzno ovo sve skupa zvuči, dajem na kraju export bitnih dijelova iz mikrotika. Pitanja: 1. Da li se ovo moglo nekako jednostavnije? Naročito dio oko pppoe i bridge komplikacija na kraju. 2. Ima li kakav problem u ovoj konfiguraciji koji ja ne vidim? Zasad sve radi, palio/gasio speedšrota višekratno i svaki put je uredno proradio telefon. 3. Što je sa VLAN ID 103? Ja taj očito nisam propustio, testirao sam na način da preko portala HTa promijenim nešto u konfiguraciji, npr. uključim wlan i speedšrot nije odreagirao. Što je ok, to znači da ne vidi više HTov ACS. Da li tu riskiram kakve probleme oko toga? Code:
# jan/02/2021 20:18:31 by RouterOS 6.47.4 # model = RBD52G-5HacD2HnD /interface bridge add fast-forward=no name=bridge-guest protocol-mode=none add name=bridge-voip pvid=101 vlan-filtering=yes add name=bridge1 .. /interface vlan add interface=ether1 name=vlan100-internet vlan-id=100 add interface=ether1 name=vlan101-voip vlan-id=101 /interface pppoe-client add add-default-route=yes disabled=no interface=vlan100-internet name=pppoe \ use-peer-dns=yes user=someone@htnet-dsl /interface list add name=WAN add name=LAN .. /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=wlan2 add bridge=bridge1 interface=wlan1 add bridge=bridge-voip interface=ether5 pvid=101 add bridge=bridge-voip interface=vlan101-voip pvid=101 /interface bridge settings set use-ip-firewall=yes /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add interface=ether1 list=WAN add interface=bridge1 list=LAN add interface=pppoe list=WAN .. /ip dhcp-server network add address=192.168.1.0/24 comment="DNS for DHCP wlan devices" \ dns-server=192.168.1.101 gateway=192.168.1.1 netmask=24 To ćemo drugom prilikom Ima netko da se dobro kuži u mikrotik VLANove da mi pogleda konfiguraciju da li je dobro složena?
Problemi, nedostatci, security rupe i sl.? Svaki je savjet dobrodošao :-) Zanimljiv ovaj mikrotik, tu je sve po shemi "zašto bi bilo jednostavno kad može komplicirano". VLANovi se valjda na 3 mjesta mogu podešavati, na switchu, na interfaceu, na bridge,... skužio po dokumentaciji da su nešto mijenjali od 2018 i da sad preferiraju da sve ide preko bridgea, a to pokazuje i default konfiguracija na routeru koja obavezno gurne (skoro) sve portove u bridge. Za nekoga poput mene koji prvi put radi VLANove, dosta je konfuzno kad ne znaš kojim bi putem krenuo Nažalost, ovakve kombinacije teško naći baš za copy/paste na mikrotik siteu i forumu. Nešto smo načeli u temi za Speedport, ali nekako je isti sad sporedan u ovoj priči. Ako mod misli da pripada tamo, molim da premjesti. Stara konfiguracija: ONT-->speedport (bridge mode)--> mikrotik (pppoe). Speedport mora ostati radi fiksne tel. linije. Problem: bridge mode i pppoe rade ispravno, ali modem/router ISPa (HT) povremeno radi nestabilno. Rješenje: mikrotika spojiti direkt na ONT, a speedporta na jedan od portova mikrotika. Znači bez ikakvog dodatnog switcha. Nova konfiguracija: ONT Raisecom--> eth1 mikrotik hap ac2, eth2-4 LAN uređaji, eth5 --> WAN port Speedšrota VLAN IDevi za HT, našao negdje tu na forumu, meni trebaju samo 100 i 101: 100 Internet 1500 MaxTv 101 VoIp 103 Acs - nadzor modema Potvrđeno snifanjem prometa (torch) da se javljaju IDevi 100,101,103. Složio sam i zasad radi, ovako: - ether1 interface je zaseban, na njemu su dignuta 2 VLANa s nazivima vlan100-internet i vlan101-voip i pripadnim IDevima. - pppoe klijent je dignut na novi interface vlan100-internet. Mora biti tako, inače ne radi ako ostane na čistom eth1 kao što je dosad bilo. Internet je proradio odmah, za VOIP se trebalo malo i pomučiti - eth 2-4 su u default bridgeu s nazivom bridge1 i tu se priključuju LAN uređaji na kabel. - eth 5 je u zasebnom bridge-voip zajedno s interfaceom vlan101-voip - na tom bridgeu uključiti vlan-filtering=yes i postaviti ga da je isto na VLAN 101. Ovo je automatski dodalo na "Bridge VLANs" tabu kombinaciju da je 101 untagged na eth5 i onom iz prve točke vlan101-voip. To me patilo prilično dugo jer mikrotik dokumentacija je loša, a "filtering" ustvari uopće ne radi kako bi pomislio iz naziva. Bez te opcije, kao da dropa sve vlan IDeve i ništa ne prolazi van na eth5. Naravno da je to skoro pa nemoguće testirati jer onaj njegov torch uredno prikazuje da se vlan ID 101, 103 pojavljuju i na eth1 i na izlazu eth5, to nisam skužio kako i zašto. Kad se to uključi, tek onda cijeli bridge postane svjestan vlan tagova i krene ih valjda prenositi između interfacea koji su mu pridruženi. Obzirom da dosta konfuzno ovo sve skupa zvuči, dajem na kraju export bitnih dijelova iz mikrotika. Pitanja: 1. Da li se ovo moglo nekako jednostavnije? Naročito dio oko pppoe i bridge komplikacija na kraju. 2. Ima li kakav problem u ovoj konfiguraciji koji ja ne vidim? Zasad sve radi, palio/gasio speedšrota višekratno i svaki put je uredno proradio telefon. 3. Što je sa VLAN ID 103? Ja taj očito nisam propustio, testirao sam na način da preko portala HTa promijenim nešto u konfiguraciji, npr. uključim wlan i speedšrot nije odreagirao. Što je ok, to znači da ne vidi više HTov ACS. Da li tu riskiram kakve probleme oko toga? Code:
# jan/02/2021 20:18:31 by RouterOS 6.47.4 # model = RBD52G-5HacD2HnD /interface bridge add fast-forward=no name=bridge-guest protocol-mode=none add name=bridge-voip pvid=101 vlan-filtering=yes add name=bridge1 .. /interface vlan add interface=ether1 name=vlan100-internet vlan-id=100 add interface=ether1 name=vlan101-voip vlan-id=101 /interface pppoe-client add add-default-route=yes disabled=no interface=vlan100-internet name=pppoe \ use-peer-dns=yes user=someone@htnet-dsl /interface list add name=WAN add name=LAN .. /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=wlan2 add bridge=bridge1 interface=wlan1 add bridge=bridge-voip interface=ether5 pvid=101 add bridge=bridge-voip interface=vlan101-voip pvid=101 /interface bridge settings set use-ip-firewall=yes /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add interface=ether1 list=WAN add interface=bridge1 list=LAN add interface=pppoe list=WAN .. /ip dhcp-server network add address=192.168.1.0/24 comment="DNS for DHCP wlan devices" \ dns-server=192.168.1.101 gateway=192.168.1.1 netmask=24 To ćemo drugom prilikom |
03.01.2021., 13:30 | #2 |
Premium
Datum registracije: Nov 2006
Lokacija: HR
Postovi: 4,518
|
ja bi ti samo dodao .. pošto imas dignut pppoe na mikrotiku moraš ga zaštit, updejtat na zadnji sw stable ili long channel i firewall slozit .. jer sranja sa interneta vole mikrotik odmah ti zrokaju 53 port dns, i čak stari sw ima propuste i postane zombie a idealni firewall list nema nigdje popis, ja sam svog bacio iza modema nehotično (magic net) i nema povratka .. čitaj >>> nedaju pppoe više mada ništa mi ne fali .. osim reboota konekcije u 3 ujutro .. al i to sam rješio pametnim prekidačem struje |
|
|
Oglas
|
|
03.01.2021., 14:55 | #3 |
Premium
Datum registracije: Feb 2007
Lokacija: Istra
Postovi: 2,987
|
Odnedavno sam na mikrotiku i nekako se plašim tih updatea. Došao je s ROS 6.44 i odmah sam pokrenuo update i sam je otišao na 6.47.4, poslije sam skužio da je to ustvari stable, a ne LTS. Možda bih bio sigurniji s LTSom. Ako se pogleda malo reakcije na mikrotik forumu na svaku objavu novog fw, to izgleda prilično katastrofično, podjeća ne ma stari xiaomi forum i žalopojke nakon svakog novog ROM updatea Što se tiče sigurnosti, tu pazim, svi viška servisi i portovi su zatvoreni. Tako da ne planiram biti DNS server na portu 53 za cijeli internet Idealni FW list niti ne postoji, to si svatko mora sam složiti. Svojeg sam popeglao na staroj instalaciji prije VLANa i ok je, log s tika se šalje i na jedan komp u LAN (rsyslog) tako da se i tamo može kontrolirati. Ali da, slažem se da je firewall lako zeznuti na mikrotiku. Na standardnim home routerima imaš kvačicu firewall da/ne, a na tiku si stvarno treba dati truda i pročitati dosta tekstova, srećom to je prilično prožvakana tema na mikrotik forumu. Ma ja sam isto bio zadovoljan sa Speedportom prvih mjesc i pol, onda je povukao neki update s ACSa i nakon toga na random, svakih par dana problemi, a to ne želim. Za ova pitanja gore sam još uvijek zainteresiran ako netko ima kakvih sugestija ili kritika, samo dajte Mogu uvijek ići s time na mikrotik forum, možda se i tamo nađe kakva dodatna informacija. |
03.01.2021., 15:23 | #4 |
Moderator
Datum registracije: Sep 2006
Lokacija: St
Postovi: 22,510
|
Ja sam svojevremeno slagao i prikupljao info po ovom > http://klseet.com/index.php?option=c...d=50&Itemid=48 Trenutno mi RB750G služi kao switch, morao bi ga ponovo probati složiti ... Ima uputa za fw tj. sigurnost, NTP Client i Server, ... Predlažem da ovom svom Lan prebaciš u 192.168.2.x mrežu, tako će biti u drugom mrežnom segmentu i različit od Speedšrota. Za neko fw pravilo bitno ti je gdje je na listi (od gore pa na dole). Možeš si dodati custom DNS - ove po potrebi (8.8.8.8 i 1.1.1.1). Na brzinu pogledao šta si do sada složio i izgleda ok (radi) Svakako si spremaj konfig na komp pod različitim imenom pa se lako vratiš ako nešto zezneš mijenjajući. Remote managment (VLAN ID 103) ti nije nužan, vjerojatno će i Speedšrot bolje raditi bez njega, e sad, neka stoji tako dok ne bude nekog blema. Još nešto, prati malo kako ide re - connect nakon 24H, tu je znalo biti blema kod Tika na HT optici. Za sada toliko |
03.01.2021., 15:52 | #5 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,015
|
ja sam neko vrijeme imao tika kao pppoe gateway na dsl-u, naravno da nisam pratio fw update-ove i slično jer - tko to normalan radi? i onda su me haknuli i ostao sam bez pristupa mikrotiku. tu moja priča o tiku odnosno ROS-u kao gatewayu završava. od onda sam se isti dan prebacio na openwrt, i od tada problema nema. i sada sam na openwrt-u sa LTE-om. pusti speedporta ovako, samo sa vlanom za voip. bolje će mu bit i neće se resetirati random. a za pristup gui-ju od speedporta, mada ti to ne treba većinu vremena, ili upali wifi pa se spoji na njega kad ti treba (kao da je i dalje standalone router), ili mu daj neku ip iz tvog subneta, ugasi mu dhcp, i spoji ga kabelom natrag u tvoju mrežu (tako radim ja sa dsl modemom). jednostavnije je tako nego se yebat sa postavkama firewalla. kad koristiš pppoe, onda mislim da niti ne možeš kroz firewall to složit, jer tvoj wan port nema ip adresu, već samo pppoe dobije javnu ip. edit - nikky možeš si openwrt dignut na hexa. |
03.01.2021., 15:58 | #7 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,015
|
kako će tik znat koja je IP od speedporta, i koju ip mora po wan portu pustit dalje? |
03.01.2021., 16:09 | #9 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,015
|
bo, meni to nikad nije šljakalo, iako se nisam puno ni trudio. bilo mi je neopisivo lakše/brže dodatni kabel šibnut u switch i u modem. |
03.01.2021., 16:11 | #10 |
jedan i jedini :D
Datum registracije: Sep 2005
Lokacija: novi zagreb
Postovi: 4,921
|
Ja tako oduvijek radim, bas zato da ne moram ostavljat na spidsrotu wifi upaljen ili da se kacim kablom. |
|
|
Oglas
|
|
03.01.2021., 16:27 | #11 |
Moderator
Datum registracije: Sep 2006
Lokacija: St
Postovi: 22,510
|
@jp_rv U mene je prva verzija RB750G (kakav je na slici sa linka gore), ako me uhvati voljni momenat x probam ponovo sa Tikom ili možda OpenWRT. Ovo za počirit u Speedšrota bi moglo sa odg. fw rule ili - Tik na 192.168.1.1, Speedšrot Lan na 192.168.1.2 i da je ta adresa slobodna u mreži, ugasiti njegov DHCP Server - jedan Lan kabel Tik Lan4 - Speedšrot Lan2 - sa kompa (unutar kućne mreže) na 192.168.1.2 će ga dobiti |
03.01.2021., 16:38 | #12 | ||||||
Premium
Datum registracije: Feb 2007
Lokacija: Istra
Postovi: 2,987
|
WAN port spidšrota. -->
Pitanje je sada da li speedšrot može dobiti nekakvu IP adresu na toj za njega WAN strani? Citiraj:
Citiraj:
Router je na 192.168.1.1 nekako po inerciji jer mi tako već dugo pa mi se nije dalo to sve prebacivati u drugi subnet (fiksni IPevi u LANu isl.) Citiraj:
DNS ne radi mikrotik, većina kanti u lokalnom LANu i wlanu idu na lokalni DNS server (pihole koji se vrti na serveru). Na taj način riješim ukućanima reklame, porn za klince itd. Citiraj:
Kod mene radilo od prvog dana ispravno i bez problema. Samo je Speedšrot bio taj koji je zafrkavao u cijeloj priči. Citiraj:
Ovo je must read za sve koji imaju mikrotika: https://help.mikrotik.com/docs/displ...ng+your+router Razumijem što si prešao na Openwrt, s time sam se igrao na više preflashanih routera i fakat je jednostavniji od routerosa. Citiraj:
Što se tiče pristupa do speedšrota, to sam normalno imao dok je on bio prije tika - stavio sam mu adresu u drugi subnet, firewall rule i pristupao. Probolem je kod spidšrota što nakon reboota uvijek defaultira na 192.168.1.1 E sad je iza mikrotika i spojen je tik eth5 --> WAN port spidšrota. Pitanje je sada da li speedšrot može dobiti nekakvu IP adresu na toj za njega WAN strani? |
||||||
03.01.2021., 17:08 | #13 |
Moderator
Datum registracije: Sep 2006
Lokacija: St
Postovi: 22,510
|
Samo zadnja rečenica, normalno da na svom WAN portu dobiva odg. IP od konekcije za VoIp (IMS), bez toga nebi radila ta usluga. Nego, za počiriti u Speedšrot, nešto mi se mota po sivim stanicama da se može / moglo iz vani (znači kroz njegov WAN port), mislim da nije web nego telnet ili nešto slično ... |
20.01.2021., 22:25 | #14 |
Premium
Datum registracije: Feb 2007
Lokacija: Istra
Postovi: 2,987
|
Nakon 17 dana stabilnog rada, uz normalnu iniciranu promjenu IPa u 04:00, danas u 14:32 opet mikrotik registrira interface ether1 link down, 2 minute sam bez interneta dok se pppoe nije ponovno digao. Ovog puta Speedšrota više ne mogu kriviti za taj problem, mikrotik je direktno u ONT uštekan. Sad mi preostaje još samo: 1. mikrotik nešto zeza 2. ONT 3. POE adapter (original RBGPOE) na koji je mikrotik spojen - taman preko eth1 To su sve opcije. Malo mi je točka 3. sumnjiva.... ili da routera napojim preko ispravljača ili da pppoe preselim na neki drugi port. Nažalost, baš je na tom eth1 koji jedini ima POE IN. Zanimljivost, svaki put otkad su u 12.mj. počela ta pucanja veze, bilo je popodne oko 14-15h. Izvor struje izvana ne bi bio jer je sve na UPSu i nema zabilježenih padova napona. Malo mi je sumnjiv taj POE adapter. Ne znam koliko na tome može pasti napon do routera, ali ima nekih 3-4m kabela, to ne bi smjelo utjecati, a i valjda bi bio stalno nestabilan, a ne svakih par tjedana. |
21.01.2021., 00:20 | #15 |
Premium
Datum registracije: Sep 2007
Lokacija: Čakovec
Postovi: 3,742
|
imam tik spojen direknto u ONT. Imao sam HAP AC2 2 komada i sad RB750GL. Spojen je samo na net. Nisam posebno konfigurirao firewall već sam samo pogasio sve pristupe tiku osim preko winboxa lokalno. Imao sam AC2 modele spojene preko PoE Gbit original adaptera. Nika problema nisam s konekcijom imao, dobiva uredno nove ip adrese bez prekida u radu praktički (obično u 4 ujutro). Eh da, iskon je u ptanju. Radio sam na dev i na stable, isto mi je radio. Tik sam ostavio za PPoE konekciju i rutanje dok je za wifi zadužen Unifi AC Pro. I to mi radi fantastično. |
|
|
Oglas
|
|
Uređivanje | |
|
|