Mikrotik - za početnika

[Cuky]

Dvaput je dvaput, a fata je fata 😃

[alengrosevic]

OpenVPN upute:

Evo ako će netko slučajno trebati, step by step kako podesiti open VPN da radi na Miktrotiku. I čak radi vrlo pristojno na običnom HEX-u:

1. Bridge
2. + (add new)
3. ime - "vpn_bridge"
4. IP - adresses
5. + (add new)
6. 10.10.251.1/24 i vezati na "vpn_bridge"
7. IP - Pool
8. + - "vpn_pool"
9. dodati adresses npr 10.10.251.101-10.10.251.199
10. System - certificates
11. + name - "opnvpn-CA" (key-cert-sign, crl-sign, validity 3650 days common name "openvpn-CA")
12. + name - "opnvpn-server" (digital signature, key encipherment, tls server) common name "openvpn-server" validity 3650 days
13. + name "opnvpn-client" (digital signature, key encipherment, tls client) common name "ovpn-client" validity 3650 days
14. desni klik na opnvpn-CA "sign" - sign
15. desni klik na "opnvpn-server" sign (sign with opnvpn-CA) - sign
16. properties od opnvpn-servera i zaklikati "trusted certificate"
17. desni klik na "opnvpn-client" sign (sign with opnvpn-CA) - sign
18. Export client certifikata u PEM oblliku (obavezno staviti lozinku)
19. Export CA certifikata
20. podesiti Open VPN server na željeni port (1194), default proile se odabere openvpn-profile i certifikat openvpn-server.
21. IP - Firewall - + - Chain "input" - protocol (6,tcp), dest port 1194 (ili željeni podešeni gore), action "accept"
22. PPP profiles - Name "ovpn-profile", local address 10.10.251.1, remote address je "vpn_pool"
23. PPP OVPN Servers, +, Name "ovpn-server1", port 1194 (ili željeni", tcp, Certificate "ovpn-server", ostaviti zaklikano Require ClientCertificate, zaklikati samo sha256 i "aes 256 cbc", "Redirect Gateway" na "def-conf"
24. PPP - Secrets, Ime, Password, Service ovpn, Profile "ovpn-profile"
25. PPP - OVPN Servers i odabrati server. Kad se otvori prozor na desnoj strani kliknuti na "export .ovpn". Pod IP adresu upisati vanjsku IP adresu ili DynDNS servis, CA certifikat, Client certifikat i Client key (dobiveno na exportu certifikata, Files na routeru)
26. Files - odabrati ovpn file i downloadati ga na PC.
27. Downloadati OpenVPN connect i učitati downloadani file
29. za DynDNS se koristi Mikrotik DNS rješenje, piše na početnoj strani pod Quick settings npr "nestoxyz.sn.mynetname.net"

Napomena, za open VPN GUI dodati liniju u ovpn conf file:
cipher AES-256-CBC
compat-mode 2.4.0

Za openVpn connect ne treba ništa dodavati

[OuttaControl]

Upute kako aktivirati BackToHome VPN
1. Skinuti BackToHome aplikaciju na mob
2. Ukljuciti je i pritisnuti Create New
3. Unjeti podatke za ulogirati se u router preko BTH i pritisnuti ok
Prvi put da je nesto na mikrotiku jednostavno

I meni cudo dobro radi, top topova.

[Nick7]

Dost' jednostavno je i za Wireguard... na hEX-u ide cca 200Mbit/s brzina (limit HW-a).

[alengrosevic]

Citiraj:

Autor zbuzanic

ok, jučer sam nabrzakao pokušao sve prebaciti na svoj MT, naletio sam negdje da bi mogao biti problem oko autonegotiationa, danas ću se detaljno pozabaviti pa javim rezultate, čitao sam da je možda i prašina uletila, to je moguće, tavan je prašnjav...jel mogu kako bez alata počistiti konektor? nemam baš iskustva s optikom

ps. složio konačno sve bez huaweia i speedporta, samo mikrotik i zyxel spf. Složim tutorial pa stavim na web za smrtnike poput mene.

Evo i uputa, jučer sam to posložio za 20-tak minuta, djelovalo je puno "strašnije" čitajući po forumu i ostalim stranicama što je potrebno napraviti:

https://www.zvonimir-buzanic.from.hr...el-pmg3000-sfp

Kolega zahvaljujem na detaljnim uputama. Slijedio sam ih i uspio sam podesiti sve i radi odlično.
Zadovoljan sam što sam maknuo ONT, još da RB5009 ima model sa AX wirelessom, to bi bilo taman

Edit: riješeno. Trebalo je staviti lan brzinu na SFP-u na 1 gb

[veve]

Netko pokušavao podesiti novi CAPsMAN?
Odradio konfiguraciju na masteru (router, koji nema wlan na sebi), spojio AP na njega, SSID se vidi, spaja se uređaj i dobiva IP, ali nemam net.
Pretpostavljam da mi neka ruta fali?
S tim da je wireless na posebnom vlanu i dhcpu.

EDIT:
Riješeno tako da sam dodao novi masquerade na bridgu i sada radi

[OuttaControl]

Upravo sam skuzio da mi mikrotik hap ac2 gusi WAN iz nekog razloga.
Dakle net brzina cca 750 mbps direkt sa TCL ht routera
Brzina na kompu spojenim lanom 400tinjak - gubi 300
Brzina lokalnog speed testa laptop<>komp lanom na mikrotiku 990 mbps
Prebacim WAN u TP link router, da preskocim Mikrotika, Ustekam komp u tp linka, brzina 730 mbps, dakle ok,

Probao sam mjenjati portove, nista znacajno se nije dogodilo, ocito je neki problem sa mikrotikom ima ko ideje sta gledat, prema routeru kaze uplink 1G full duplex

Tokom wan speed testa CPU usage na mikrotiku bude 50% dok na lokalnom oko 10% moja pretpostavka je da negdje nesto on radi sa paketima.

[c-shadow]

Provjeri da li ti je onaj fasttrack uključen.
Ovo što veliš:

Code:

 Brzina lokalnog speed testa laptop<>komp lanom na mikrotiku 990 mbps

Ako si oba uštekao na LAN portove na mtiku, onda nisi testirao routing nego samo switching što ide vjerojatno full speed.
Tebe muči WAN-LAN brzina, a to je CPU osjetljivo ako ne radi fasttrack (= softverski offloading paketa).

S fasttrackom morao bi routati do cca 1000/500.
Vjerojatno ili ti nešto nije dobro podešeno ili imaš bottleneck negdje.Ako gledaš CPU zauzeće, odi u Tools pa Profile gdje se vidi točno po svakoj jezgri. Inače ti kod downloada ili uploada zauzme 1-2 jezgre na 100%, ostale ne rade ništa i kao prosjek vidiš 25% CPU usage, a ustvari je zabijen do jaja
I ako si se igrao s QOS i sl., nije taj router za to

[OuttaControl]

Uopce mi nije bilo pravila za fasttrack pa mi je chatgpt dao pretpostavlajm da je ok ovo:

Code:

/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="FASTTRACK LAN<->WAN"
add chain=forward action=accept connection-state=established,related comment="Accept established/related"
add chain=forward action=drop connection-state=invalid comment="Drop invalid"

Firewall je na routeru TCLa pa pretpostavljam da je to ok, sad su brzine ocekivane

Bio je load jedne jezgre 100% kao sta si reka

[c-shadow]

Taj fasttrack je najbolje uključiti kroz Winbox, automatski se postavi sve što treba u ispravnom redoslijedu firewall pravila.
Ovo preko GPTa naoko izgleda ok, ali ovisi kako je ostalo složeno, ja se ne bih pouzdao u firewall na HTovom routeru.
Pretpostavljam da nemaš opciju da se taj HT router prebaci u bridge pa da sve ostalo odradiš na tiku?

[OuttaControl]

Cak ima dva tipa bridgea, bridge mode i ethernet bridge. Nemam niti ideju koja je razlika.

Ma sad mi je sve ok imam iskon speedport ko failover, imam ovaj TCL 5G ko main net i to mi sve funkcionira. 750 mbps, nije lose, jedno mi push notifikacije stekaju od kad sam presao na tcl-a to me jedino mozda natjera na bridge

Nekako vise virujen tcomu nego sebi+chatgpt posto sam lezerno ostavio tika jednom dok sam cackao nesto i hakiralo ga je u 2 sata mrtvo ladno srecom sam primjetio relativno brzo

[zwizard1]

Pitanje...
Postoji li mogućnost spajanja Mikrotika na EDUROAM mrežu?
Prije par godina sam pokušavao, ali sada kako vrijeme ide i nove verzije ruter os možda se nešto promjenilo.
Sin mi doslovno živi u dvorištu faks-a cca 100m pa da mu olakšam studiranje točnije da manje troši na internet . Ima li pomoći tj da li je netko uspio

[Mac_F]

OpenWRT sigurno može, bar je mogao prije 15-ak godina
Trebao bi moći i Mtik, ako se dobro sjećam to je PEAP-MSCHAPv2

[jp_rv]

trebao bi moći, u v7 mislim da postoji eap-passthru.
ima i jedan topic na njihovom forumu na sličnu temu, iako nije eduroam
https://forum.mikrotik.com/t/eap-pea...h-v7/162453/12

[zwizard1]

Da znam za to... probao i ne ide.

[jp_rv]

ye bi ga.
usb kablić van kroz prozor, usb wifi stick i teraj, kao u dobra (pra)stara vremena.
teoretski to će radit. ako ne, još uvijek se nađu za kupit male direkcionalne antenice.
međutim, uz svu dobru volju, takav setup teško da će bit neko sretno rješenje.

[Astra]

Dakle, imam omnitik 5 AC i 2 x SXT SQ i pokusavam ih upogoniti da omnica je spojena na ruter i salje ovim dvama net lijepo. Ne znam sta grijesim ali nemogu vise. Ima li netko gotovu konfiguraciju ili reci sta krivo radim? Ili neki easy tutorial provjereni?

[jp_rv]

to je valjda najjednostavniji konfig.

omnitik napravi bridge, i baci sve portove u bridge.

wifi si podesi po želji, mod ap-bridge.

i svaki sxt isto tako novi bridge i sve portove u bridge, a wifi stavi kao station-bridge.



imaš tutoriale na stranici od mikrotika ili još bolje na youtubu.

ako si nekim slučajem kupio sxt sq AX, to je zajeb i to ne radi baš. trebaju ti sxt sq ac.

[The AC]

Jp_rv kaj još nisu popeglali station bridge na novim ax proizvodima?

[jp_rv]

samo između ax uređaja.

station-bridge ne radi između starijih protokola i ax-a.



taj ax je čudna biljka. zamijenio sam stari link koji mi je na ac-u imao signal oko -55, i gurao oko 250mbita, i stavio sam ax kartice i sad imam signal oko -68/-70 na istoj frekvenciji sa istim antenama. jedino šta sad ide oko 400-450mbita.

i ubili su superchannel. uglavnom ne kupujem više mikrotik. sad je preskup a nema nikakav benefit nad ubiquitijem.

[domy_os]

Definitivno. Na AX3 ne mogu dobiti nikako više od 220 Mbps, znači cca 25 MB/s, makar antenu stavio 2 m od njega da ga direktno gleda. Preko najjeftinijeg Netgeara WAX210 s jednim 25 cm debelim zidom između dobijem 50-60 MB/s. U oba slučaja isti laptop s Intel AX211 karticom.

[jp_rv]

ja pričam za outdoor ptp linku.

ovo za po doma mi je išlo max 600mbita na 160mhz kanalu, to je limit samog chipseta. prodaju uređaje koji po protokolu mogu preko 1gbit na wifi, a onda chipset to limitira.

mislim da sam bio na cca 2 metra od routera, i onda je išlo 600.
imam i arubu 515, bez jebemti zakuca link na ~950mbita koliko ide kroz fizički lan port. moguće da bi išlo i više, ali nemam infrastrukturu za više.

[Astra]

Uzeo sam SQ AX. Jbg. Tezi nacin da naucimo da nece radit. Nema veze. Gomilamo zalihu SXT-ova. Zanimljivo kolega JP da si ti iz Istre ko i ja, mogao sam tebe za to angažirati vjerojatno bi bio bolje prosao i jeftinije

[jp_rv]

mogao si :P javi se u inbox i reci di si i šta kaniš pa ti možda mogu riješit. možda to šta radiš nije ni tehnički moguće, a možda je sitnica. pošalji mi screenshotove konfiga na omnitiku i na sxt-ovima.

[OuttaControl]

Cek sta SQ AX nije u mogucnosti poslati net preko realno 500mbps p2p u "idealnim" uvjetima?

[jp_rv]

nije. 600 je hard limit u kućnim uvjetima čak i pri 2400mbit sync rate-om. nemere. shit chipset.
ali 400 će veselo poslat u ne baš idealnim uvjetima. tu se ponaša bolje nego ac. 500 možda nategneš sa jako dobrim signalom. definitivno je skok u odnosu na ac.

[OuttaControl]

A dobro ajde, realno u pravilu i nije potrebno vise od 400 u vecini normalnih situacija, no iznenadilo me(neugodno)

[jp_rv]

ne ide ni ubiquiti na ax-u više od 600. doduše njima je to već u analima, airmax nije mogao preko 120, airmax ac nije mogao preko 300, ltu JE mogao skoro 800, ali onda sad sa ax-om opet ne ide.
govorim o 5ghz. na 60g i mikrotik i ubiquiti gura 1gbit.
ps evo razlika:
dakle ac, ovo gura oko 330mbita:



dok ovo gura oko 450.



oba linka su na 80mhz. probao sam 160 ali ne ide, padne signal, ili imam smetnju neznam, ali sync ostane isti i propusnost je ista ili zagrebe na 500 i padne.
nek to ovako radi zauvijek, ja zadovoljan.