Mikrotik - za početnika

[yossariane]

Citiraj:

Autor kiki86

ako se spajas preko ppoe onda ne ides na dhcp client opciju, nego u winboxu u ppp pa stisnes na + i dole na dnu pppoe client opcija. U prozoru koji se otvori stavis od wana interfejs koji ti je, i u dial out tabu upises username i pass koji su ti dali i obavezno stavi add default route.

Sve to već postoji i ja nemam problema sa internetom .

Citiraj:

Autor Nikky

Koji je ISP ?
Dali znaš koji su Vlan - ovi obzirom koje usluge imaš (Internet, IpTv, VoIp) ?

Predlažem da kreneš iz početka, to znači load default config ili "prazni" konfig,
u drugom slučaju imaš nešto malo više posla za definiranje na Lan strani.

Bitno je da ether1 bude slobodan kao gateway, ether2 + ostali Lan portovi + oba WiFi radija da su bridge.
Nakon toga slijedi ovaj primjer za UniFi > https://www.mikrotik.com.my/setup-for-unifi/
samo ćeš prilagoditi za tvog operatera (umjesto Vlan=500 ti ćeš staviti xxxx svog operatera), ostalo će ti vrlo vjerojatno odgovarati.
Kada izađeš na Internet sa Tik - om onda idu dalje specijali kao Firewall, NTP, ...

Alternativni vodič > https://klseet.com/networking/mikrot...p-revisit-2021

Ma sve je to postavljeno kako treba. Ima jedan VLAN preko koga ide internet i Grandstream telefon i to radi, samo DHCP client se ne želi spojiti
na mrežu. Zapravo neznam ni gdje bi se trebao spojiti. ether1 je gateway, port 2,3,4,5 i dva wifija su u bridgeu.

[dadoremix]

pa jer ti NE TREBA
ont ima fiksni ip .. i bok

[yossariane]

Citiraj:

Autor jp_rv

rune provideri (možda ne svi) nemaju tagirani promet, nego nativni. nema tu klasične 3play usluge, već ide sve kroz "internet" pa nije ni potrebno više vlanova, kao šta nema ni acs-a.
opet, možda ne svi, znam za *neke*.

U ptavu si sve ide kroz jedan VLAN

Citiraj:

ovo uz svu i tvoju i našu dobru volju neće proraditi bez da zoveš providera i zatražiš da te spoje.
s druge strane, ne vidim zašto to radiš kad nećeš dobit javnu adresu ionako, tako da možeš ostavit njihov router i svog mikrotika zakačit iza toga.

Da zovem provajdera i pitam što? Ovo isto pitanje što sam i ovdje postavio?? Ne postoji njhov router već direktno iz ONT-a u moj Mikrotik. Javnu adresu imam.

Citiraj:

Autor dadoremix

pa jer ti NE TREBA
ont ima fiksni ip .. i bok

Uopće mi nije jasno što želiš reći. Sorry

[kiki86]

Sta pokusavas sa dhcp clientom onda postic? Ja to recimo koristim za dobit vanjski ip od bridganog routera od a1. Ja nemam pppoe podatke.

[dadoremix]

ma ništa .. njega muči jer dhcp client ne dobiva lokalnu adresu od ont-a
a ima upisanu fiksnu + rutu i sve radi

čak ako je vlan u igri, mislim da nit ne treba ip adresu u rangu onta
osim ako baš želiš dirat postavke u samom ontu


dakle, briši taj client dhcp i ajmo dalje
dužan si rundu ekipi

[yossariane]

Citiraj:

Autor dadoremix

dakle, briši taj client dhcp i ajmo dalje
dužan si rundu ekipi

Sad mi nije stvarno jasno. Prije ako bi izbrisao DHCP cliant izgubio bi internet. Sad sam ga izbrisao i začudo sve ZA SAD radi. Bumo vidli u budućnosti. Imao sam jedan odgovor na mikrotik forumu da isključim
"detect internet" ali nije pomagalo. Sad sam to pouključivao i poisključivao i
radi.
Imate svi virtualno piće, da vas znam platio bih i pravo bez problema

[kiki86]

"prije" je bilo dok nisi imao pppoe konekciju slozenu mozda? Dok ti nije isp router bio u bridge? U tom slucaju je mikrotik kao dhcp klijent dobivao ip od isp routera dok je na njemu bio dhcp server aktivan.

[yossariane]

Citiraj:

Autor kiki86

"prije" je bilo dok nisi imao pppoe konekciju slozenu mozda? Dok ti nije isp router bio u bridge? U tom slucaju je mikrotik kao dhcp klijent dobivao ip od isp routera dok je na njemu bio dhcp server aktivan.

nope. Prije je bilo jutros i bio sam u potpuno istoj situaciji. Promjenu sa uključ/isključ "detect internet" sam napravio prije pola sata. Valjda je to.

Nemam ISP ruter, stalno ponavljam

[creatin]

Mikrotiku ti ponekad treba malo vremena dok ne proguta postavke pogotovo ako cackas po postavkama za net ili mijenjas modove. Kako ti radi wifi na tom ax3u?

[Nikky]

Opet ne znamo o kojem se ISP - u radi.

Ako Internet konekcija radi preko Vlan + a + PPPoE onda DHCP Client ne treba na WAN interface.

Ne treba > može trebati jedino ako se želi pristup modemu / routeru za vidjeti status,
to kod tebe nije slučaj + pristup statusu modema / routera se može riješiti i na druge načine.

[yossariane]

Citiraj:

Autor creatin

Kako ti radi wifi na tom ax3u?

U org. postavkama ništa posebno u uspordbi sa TP-link AX50. Tu su li-la.
Ali prebacio sam ga na USA i sada imam 20 dBm bolju konekciju. Nisam još sve isprobao, vidjet ću kad uhvatim vremena. Brzine i to.

Citiraj:

Autor Nikky

Opet ne znamo o kojem se ISP - u radi.

Ako Internet konekcija radi preko Vlan + a + PPPoE onda DHCP Client ne treba na WAN interface.

Ne treba > može trebati jedino ako se želi pristup modemu / routeru za vidjeti status,
to kod tebe nije slučaj + pristup statusu modema / routera se može riješiti i na druge načine.

Jedini problem je detect internet. Za sad je uključen jedino "WAN Internet na WAN i LAN na LAN ostala dva su na none. Ako ih uključim na all izgubim internet. Moram vidjeti kako je to bilo u orginalnim postavkama.

[yossariane]

Citiraj:

Autor Nikky

Opet ne znamo o kojem se ISP - u radi.

U orginalnom postu je navedeno da se radi o Fibernet-u.

[tskarda]

Citiraj:

Autor yossariane

Nemam ISP ruter, stalno ponavljam

Pratim ovu temu jer mi je zanimljiva no ja sam isto bio shvatio da imaš ONT - modem kojeg ISP isporučuju. Ti si vjerovatno mislio na splice box?

[yossariane]

Citiraj:

Autor tskarda

Pratim ovu temu jer mi je zanimljiva no ja sam isto bio shvatio da imaš ONT - modem kojeg ISP isporučuju. Ti si vjerovatno mislio na splice box?

Izvini , ja nisam ONT smatrao modemom. Neznanje, isprika svima na zbunjivanju.
Znači modem je: INNBOX G21 NT GPON

[yossariane]

detect internet sam stavio sve na dynamic i sve je tip/top
osim što se mob app žali da nema internete. Bilo koja promjena ne mjenja detekciju.
Čemu to uopće služi i koliko je to važno u mom slučaju

[dadoremix]

To detect internet vise razj.... config nego korisno

Stavi kako si imao i ne diraj
Wifi ne radi?
Stavi wlan u bridge
Maskarada ok slozena ?

[yossariane]

Citiraj:

To detect internet vise razj.... config nego korisno

Stavio sve na none i sve OK.
WIFi radi, VLAN u bridgeu, Maskarada složena. Sve je to od početka tip/top
Složio sam i container sa piholom, tip/top radi. Winbox i Dude u wine radi.
Hvala, sad razmišljam o nekim dodatnim postavkama.

[c-shadow]

Samo si firewall provjeri da ne bi bilo poslije nismo znali :-)
Default config je prilično ok, samo se moraš poigrati s pravilima ovisi kako su kod tebe sad složeni wan i lan strana.

[yossariane]

Citiraj:

Autor c-shadow

Samo si firewall provjeri da ne bi bilo poslije nismo znali :-)
Default config je prilično ok, samo se moraš poigrati s pravilima ovisi kako su kod tebe sad složeni wan i lan strana.

Firewall ima default config,

Code:

/ip/firewall> export
# 2023-09-12 10:12:54 by RouterOS 7.11
# software id = 2Q2C-PP2H
#
# model = C53UiG+5HPaxD2HPaxD
# serial number = HEQ096F3685
/ip firewall address-list
add address=192.168.5.10-192.168.5.30 list=allowed_to_router
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related \
    hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat src-address=192.168.0.0/24
add action=dst-nat chain=dstnat comment=Container dst-address=192.168.5.5 dst-port=888 protocol=tcp to-addresses=\
    192.168.10.2 to-ports=80
/ip firewall service-port
set tftp disabled=yes
set h323 disabled=yes

Što misliš da bi trebalo dodati? Tek trebam ići proučavati što staviti u firewall. Ima li koja dobra stranica onako for dummys za poštimati firewall. Znam za wiki ali me je... terminologija, novi sam u ovim vodama

[yossariane]

Mislim posložiti firewall prema ovoj stranici
https://help.mikrotik.com/docs/displ...anced+Firewall
Samo iPv4 jer sam 6 isključio

[jp_rv]

Citiraj:

Autor yossariane

Stavio sve na none i sve OK.
WIFi radi, VLAN u bridgeu, Maskarada složena. Sve je to od početka tip/top
Složio sam i container sa piholom, tip/top radi. Winbox i Dude u wine radi.
Hvala, sad razmišljam o nekim dodatnim postavkama.

kakav vlan ti je u bridge-u? tvoj konfig nema vlan-ove nigdje i nisu potrebni.

navedi mi pliz, koji IP imaš na wan interfejsu? odnosno, koji rang?

ako je to 192.168.x.x/24 to je subnet od gpon routera.

ako je 10.x.x.x to je cgnat.

ako je nešto drugo /31 ili /32 onda imaš pravu javnu ip.



za situacije pod 1 i 2 ne moraš se mučiti sa firewall rule-ovima.

[yossariane]

Citiraj:

Autor jp_rv

kakav vlan ti je u bridge-u? tvoj konfig nema vlan-ove nigdje i nisu potrebni.

Koliko ja znam ppoe mi je u vlan-u
range bi trebao biti (ako je to remote address) 10.x.x.x.
To bi trebalo značiti da sam iza cgnat-a. Kad pogledam meni je stalno ista adresa. Moguće da se je to promjnilo kod promjene routera. Prije su mi rekli da imama privatnu adresu.
Provjeriti ću to sa ISP-om

Citiraj:

navedi mi pliz, koji IP imaš na wan interfejsu? odnosno, koji rang?

Gdje to vidjeti? Misliš address list? Koji kod da upišem u termiinal?

Citiraj:

ako je to 192.168.x.x/24 to je subnet od gpon routera.

ako je 10.x.x.x to je cgnat.

ako je nešto drugo /31 ili /32 onda imaš pravu javnu ip.

za situacije pod 1 i 2 ne moraš se mučiti sa firewall rule-ovima.

Firewall nikad ne škodi Nije to nikakva muka

[jp_rv]

Citiraj:

Autor yossariane

Koliko ja znam ppoe mi je u vlan-u
range bi trebao biti (ako je to remote address) 10.x.x.x.

pppoe ti nije u vlanu jer ti gpon router skida vlan tag. bio bi u vlan-u da si nakačen na običan ONT.

i u nikakav bridge ti wan konekcija ne smije ići. bridge je lokalno, wan je konekcija za sebe i u 99% potreba nije u nikakvom bridge-u s ničim.

Citiraj:

Autor yossariane

To bi trebalo značiti da sam iza cgnat-a. Kad pogledam meni je stalno ista adresa. Moguće da se je to promjnilo kod promjene routera. Prije su mi rekli da imama privatnu adresu.
Provjeriti ću to sa ISP-om

vidiš u ip/addresses kad si spojen na net i/ili u ppp/interface pppoe statusu.

i ps- ti nisi MIJENJAO router, ti si DODAO router. tebi je gpon ont= router. i ne možeš ga mijenjati jer ti je zakačen na optičku nit.

Citiraj:

Autor yossariane

Gdje to vidjeti? Misliš address list? Koji kod da upišem u termiinal?

wan ip NIJE ona koju upišeš ti,nego ona koju dobiješ preko pppoe. nalazi se gore kako sam naveo, na oba mjesta bi trebao to vidjeti. vidiš remote i vidiš local adresu.

ako imaš privatnu adresu kako si naveo malo prije da su ti rekli, i ako je ona u 10.x.x.x rangu, to je cgnat.
i onda se opet vraćamo na početak priče tj da ju zatvorimo - ako koristiš pppoe za spajanje, automatski ti ne treba dhcp client, jer on nema odakle pokupiti ip - ti ip dobiješ preko pppoe konekcije.

[yossariane]

Citiraj:

Autor jp_rv

pppoe ti nije u vlanu jer ti gpon router skida vlan tag. bio bi u vlan-u da si nakačen na običan ONT.

i u nikakav bridge ti wan konekcija ne smije ići. bridge je lokalno, wan je konekcija za sebe i u 99% potreba nije u nikakvom bridge-u s ničim.

vidiš u ip/addresses kad si spojen na net i/ili u ppp/pppoe statusu.

i ps- ti nisi MIJENJAO router, ti si DODAO router. tebi je gpon ont= router. i ne možeš ga mijenjati jer ti je zakačen na optičku nit.

wan ip NIJE ona koju upišeš ti,nego ona koju dobiješ preko pppoe.

Sad si mi sve pomješao, kako sam novi još ne baratam terminologijom.
Jesili ovo tražio, znači li ti to što

Code:

/ip/address> print  
Flags: D - DYNAMIC
Columns: ADDRESS, NETWORK, INTERFACE
#   ADDRESS                  NETWORK       INTERFACE 
0   192.168.5.5/24          192.168.5.0   bridge    
1   192.168.10.1/24        192.168.10.0  dokers    
2 D 185.xxx.xxx.xxx/32    10.x.x.x      pppoe-out1

Kad otvorim ppoe imam activ service VLAN : VLANxxx koji je isti kao i VLAN ID

[jp_rv]

ajde screenshotaj winbox interface ekran. po ovome šta kažeš, goniš pppoe na nekom vlan interfejsu. to su ti iz fenice-a rekli da tako podesiš?

ako da - onda su oni lan portove innboxa tagirali sa tim vlanom da tebi pppoe "izađe" dalje, a na netagiranim portovima ostavili dhcp za iptv/voip, jer si rekao da ti grandstream ata radi. čak i taj dio nije toliko bitan dok radi.



ok evo vidiš raspetljavamo stvari nakon 2 stranice postova umjesto da si u startu bacio export cijelog mikrotika i da ne moramo ko djeca u školi vući te za jezik da napišeš koji komadić informacija više. i ovako si jako štur na bilo kakvoj konkretnoj informaciji i skrivaš to ko da je neznam, blago nekakvo, a ne glupi mikrotik konfig.



ovo dole di kaže da je adresa:
Dinamic, iz ranga 185.x.x.x šta je javni rang i da je /32, i da si ju dobio preko pppoe interfejsa. znači nemaš cgnat i nemaš privatnu adresu.

složi si malo bolji firewall onda i ugasi nebotrebne servise da ne bude probijanja passworda i napada na mikrotik




2 D 185.xxx.xxx.xxx/32 10.x.x.x pppoe-out1

[yossariane]

Citiraj:

Autor jp_rv

ajde screenshotaj winbox interface ekran. po ovome šta kažeš, goniš pppoe na nekom vlan interfejsu. to su ti iz fenice-a rekli da tako podesiš?

Evo ga. Zanemari Archer i MIWiFi, to su neke probe[IMG][/IMG]

Citiraj:

ako da - onda su oni lan portove innboxa tagirali sa tim vlanom da tebi pppoe "izađe" dalje, a na netagiranim portovima ostavili dhcp za iptv/voip, jer si rekao da ti grandstream ata radi. čak i taj dio nije toliko bitan dok radi.

Tako mi je postavljeno od ISP-a

Citiraj:

ok evo vidiš raspetljavamo stvari nakon 2 stranice postova umjesto da si u startu bacio export cijelog mikrotika i da ne moramo ko djeca u školi vući te za jezik da napišeš koji komadić informacija više. i ovako si jako štur na bilo kakvoj konkretnoj informaciji i skrivaš to ko da je neznam, blago nekakvo, a ne glupi mikrotik konfig.

Pa poslao sam u postu ip/export. Da si pitao cijeli export poslao bi i to. Znao sam dobiti zle jezike na forumu ako bi poslao veći post, zato sad racionalizirram

Citiraj:

ovo dole di kaže da je adresa:
Dinamic, iz ranga 185.x.x.x šta je javni rang i da je /32, i da si ju dobio preko pppoe interfejsa. znači nemaš cgnat i nemaš privatnu adresu.

složi si malo bolji firewall onda i ugasi nebotrebne servise da ne bude probijanja passworda i napada na mikrotik

2 D 185.xxx.xxx.xxx/32 10.x.x.x pppoe-out1

Znači imam javnu adresu van cgnata kako je i prije bilo nqa archeru

Jeli dosta složit firewall kao na ovoj stranici
https://help.mikrotik.com/docs/displ...anced+Firewall
pasusi: Protect the Device i Protect the Clients
može komentar na firewall export

[spiderhr]

Huh... Odakle da počnem.

Nego zamislio sam ovako mrežu složiti (IP su samo za primjer).

Mislim odvojiti kamere od svih računala da su na drugom IP-u radi pristupa izvana.

Routeri su svi Mikrotik, Jedan odmah iza ISP modema a druga dva spojena a prvi Mikrotik.

Sad lokalno bi htio da mogu vidjeti kamere kada ukucam njihov IP u browser, da to tako sada radi jer su svi u istom rangeu (npr. 10.0.0.x).

Ne znam kako to napraviti na Mikroticima. Neka ideja ili smjernica za neki tutorial na netu?

Jasno mi je da određenom portu moram reći da bude 10.10.0.x na svim Mikroticima. Kamere su spojene LAN kablom.

Naravno da će kasnije i HomeLab biti u svojem IP rangeu.

Svi Mikrotici imaju 5 portova.

Modeli (prva dva su gigabitni):


Slika je primjer kako bi htio:

[dadoremix]

slozis VLAN i deri
mozes ti imat koliko želiš subneta

slagao sam prošle godine sa 4 mreze .. morao bi se malo podsjetit, a imas YT pun uputa kako
i onda firewall .tko kamo smije .. jer po defaulto, svi mogu svugdje ..

[jp_rv]

pa ne moraš ništa. daj kamerama drugi range, i na glavnom mikrotiku dodaj ip adresu iz tog range-a na bridge. maskerada ti je ionako već upaljena.

najnormalnije češ pristupat iz range-a u range.

jedino na ovaj način nemožeš imati 2 authoritative dhcp servera dignuto.

ili jedan autoritative i drugi kao static lease only, ili samo jedan i gotovo, kamerama daj fiksne ipjeve , nije da ih imaš 140, imaš ih 3-4 vjerojatno.

[medo]

Ne moraju kamere imati svoj VLAN ni svoj IP range. Složi destination NAT (dst-nat) s nekog ludog porta tipa 12345 na lan_iport od kamere and that’s it. Ponoviš za sve ostale kamere samo drugi port za svaku kameru.

Ako ćeš ipak na drugi VLAN s drugim rangeom onda dobro prouči kako radi switch chip na 750 modelu. Može biti komplicirano i za iskusne mrežaše koji to prvi puta rade na Mikrotiku.