я конечно без MTCWE, но дистанция совсем ерундовая для любой направленной антенны.
https://i.mt.lv/routerboard/files/antenas-160404123306.pdf
подойдет любой девайс за 59$
но лучше конечно послушать эфир и выбрать менее засранную частоту (2,4 или 5ГГц)
с оговоркой, что все эти антенны кроме последних трех, прекрасно ловят помехи с любой стороны (конструктив такой).
и если на крыше уже есть другие антенны, нужны лишние телодвижения.
Юрий
Юрий
100метров действительно очень мало, на такой дистанции можно и без прямой видимости поднимать :)) хоть и не стоит.
mr_stasevich
Приветствую! Начальство поставил хитрую для меня задачу. Есть тик crs210, на него приходит 3 vlan. На каждом влане висит по ip камере. Сетки в вланах разные. Надо дать доступ человек из первого влана только к камерам в других вланах
Artur
vsevolod
Приветствую! Начальство поставил хитрую для меня задачу. Есть тик crs210, на него приходит 3 vlan. На каждом влане висит по ip камере. Сетки в вланах разные. Надо дать доступ человек из первого влана только к камерам в других вланах
айпишники камер в адрес-лист. И правило в фаерволе для этого человека на форвард все дроп кроме этого адрес-листа
mr_stasevich
Каждый может смотреть чужие камеры но свои не может?
Не. Если коротко, то из одного влана надо дать доступ в другой влан к одному ip. Сетки разные
mr_stasevich
айпишники камер в адрес-лист. И правило в фаерволе для этого человека на форвард все дроп кроме этого адрес-листа
Дык камеры в разных вланах с разными сетками вида: 10.11.224.х и 192.168.0.х
vsevolod
Дык камеры в разных вланах с разными сетками вида: 10.11.224.х и 192.168.0.х
на этих виланах на crs повесить адреса из этих сетей. И как ранее говорил айпишники первой и второй камеры в адрес лист какой-нибудь, cams например. И фаерволом разрешить доступ только к ним с нужных адресов. То что они в разных сетях ничего страшного
Artur
Как писал Всеволод, твой crs210 должен иметь доступ ко всем vlan, можно через файрвол и прописать разрешенные маршруты, а можно порты пробросить
Допустим
192.168.0.10 - Комп
192.168.0.2 - CRS210
10.11.224.44 - Камера (Порты 16002-16008)
Прописать в crs210
192.168.0.2 - Порты 16002-16008 = отправить к 10.11.224.44
Artur
это мое мнение, не факт что адекватное
mr_stasevich
vsevolod
А если вланы приходят транком ? Пофигу?
да, просто виланы на нужный интерфейс навесить и все
Max
подскажите так как с swichOS не имел дел что лучше оставить на crs326-24g-2s роутер ос или свич ос для свизки с циско 3560 с кучей вланов так что бы могли смотреть в реальном времени ошибки, статистику, и прочее?
Innokentiy
в свос вы получите меньшую функциональность и меньше статистики
Юрий
не надо получать разрешение на 60G,70G
а регистрировать надо
Lak
не надо получать разрешение на 60G,70G
а регистрировать надо
Как проходит регистрация? Ни разу не делал
Max
в свос вы получите меньшую функциональность и меньше статистики
спасибо но если пользоваться будут люди которые винбокс даже в галаза не видели?
Юрий
ЭМС в ГРЧЦ порядка 40к, ежеквартальная плата - копейки (порядка 250 рублей)
я честно говоря думал регистрация бесплатная, но вот тут меня переубедили
Innokentiy
спасибо но если пользоваться будут люди которые винбокс даже в галаза не видели?
вот именно для них и сделана свос, чтобы не лезли сальными корявками куда не надо
Юрий
я сам никогда не делал ;)
Юрий
В общем надо спрашивать.
Innokentiy
спасибо но если пользоваться будут люди которые винбокс даже в галаза не видели?
Innokentiy
пнятненько
Innokentiy
велкам
Илья
всем привет.
Илья
есть такое правило: /ip firewall nat
add action=dst-nat chain=dstnat dst-address-list=!crb_trust_negbal_list dst-port=1-65535 protocol=tcp src-address-list=crb_negbal_list to-addresses=192.168.88.88 to-ports=4990
Илья
оно dstнатит все сайты которые не разрешены на заглушку
Илья
вопрос такой, какое правило добавить, что бы допустим таких списков было два или три?
Moneron 🇷🇺
Вариант 1. Добавить два или три правила на разные списки.
Вариант 2. Создать ещё один список из двух или трёх других, и дстнатить его
Bulakhovskiy
ребята хелп. не получается завернуть трафик для определенного хоста в тунель.
Bulakhovskiy
такое ощущение , что рубится на сервере. но что именно рубит что то понять не могу +(
Nikolai
Схему сети + адреса откуда-куда заворачивать
Bulakhovskiy
Разобрался ночью...)
Nikolai
Бывает. Особо ночью. У меня клиент умудрился как-то в ночь ростелекомовчкий терминал окирпичить, пытаясь его в бридж переключить 😄
Причем, методом тыка мышкой в интерфейсе.
Bulakhovskiy
Завернуть это в принципе не сложно.
Raul
Здравствуйте! Проблема с OSPF. ROS 6.40.4\5. После настройки OSPF между офисом и филиалами, у меня каждые пол часа вылетает ошибка в лог(discarding packet locally originated src address адрес микротика на туннеле, на котором вылетает это сообщение), почитал в интернете, написали забить и не париться. При этом все нормально работает.
С филиалов строится по три l2tp туннеля на центральный mirktoik(для резервирования), на туннелях в OSPF выставлен дистанс 10,20,30.
С чем может быть связана такая ошибка?
Raul
Kirill
Здравствуйте! Проблема с OSPF. ROS 6.40.4\5. После настройки OSPF между офисом и филиалами, у меня каждые пол часа вылетает ошибка в лог(discarding packet locally originated src address адрес микротика на туннеле, на котором вылетает это сообщение), почитал в интернете, написали забить и не париться. При этом все нормально работает.
С филиалов строится по три l2tp туннеля на центральный mirktoik(для резервирования), на туннелях в OSPF выставлен дистанс 10,20,30.
С чем может быть связана такая ошибка?
Либо вы описали одной сетью несколько интерфейсов, либо используете одинаковые ип адреса для разных туннелей
Юрий
А зачем три l2tp ? У вас 3 разных провайдера ?
Raul
Точно дистанс? Может кост?
прошу прощения, ошибся, кост, не дистанс. Спасибо, за ответ, у меня одной сетью описываются все три l2tp тунеля.
Raul
А зачем три l2tp ? У вас 3 разных провайдера ?
да, 3 раных провайдера, сделал это резервирования
Raul
Либо вы описали одной сетью несколько интерфейсов, либо используете одинаковые ип адреса для разных туннелей
Если Вас не затруднит, можете глянуть кофиг? https://pastebin.com/N8268hRQ
Юрий
Я могу ошибаться, но получается у тебя 3 l2tp интерфейса из одинаковой сети. Я думаю микрот в филиале ругается на то что ему прилетают одинаковые пакеты от центрального микрота с разных интерфейсов.
Kirill
Если Вас не затруднит, можете глянуть кофиг? https://pastebin.com/N8268hRQ
Используете статику для туннелей по которым строите транспорт для ospf. И не дублируете адреса. А также каждую отдельную сеть необходимо описать в нетворкс, а не описывать одной большой сетью
Юрий
Может провайдер в филиале динамически ip назначает
Raul
Я могу ошибаться, но получается у тебя 3 l2tp интерфейса из одинаковой сети. Я думаю микрот в филиале ругается на то что ему прилетают одинаковые пакеты от центрального микрота с разных интерфейсов.
да, все правильно. все 3 l2tp получают адреса из одной сети
Kirill
Статику для туннелей надо использовать
Raul
Kirill
Либо 30 либо 32
Kirill
Лучше 30
Юрий
А сколько филиалов ?
Raul
21
Юрий
В общем случае резервирование делается так
Kirill
Чем лучше?
Из собственного опыта, для совместимости, и для удобства документации и работы с фильтрами.
Юрий
2-3 микрота в центре, на каждом l2tp server. И каждый и филиальный микрот цепляется до 3 разных микротов в центре
Юрий
Есть видео на Ютубе с МУМ на эту тему
Юрий
В твоем случае можно 3 l2tp сервера сделать на центральном с разными сетями
Юрий
Такие вещи надо в будни спрашивать ) сейчас выходные и писать и проверять неудобно
Raul
2-3 микрота в центре, на каждом l2tp server. И каждый и филиальный микрот цепляется до 3 разных микротов в центре
оно? https://mum.mikrotik.com/presentations/BY14/yura.pdf
Raul
спасибо за ответы и советы) хороших выходных.
Юрий
Да оно
Владлен
И иногда так хочется вломить тому, кто подобную ересь накручивает.
Владлен
Настроили без адресов, заработало, а как туннель упал - так лапки к верху, с вопросом "Как это траблшутить?"
Владлен
Или: "Трассировка на лупбеке заткнулась, алярма!"
Moneron 🇷🇺
И иногда так хочется вломить тому, кто подобную ересь накручивает.
Чего вдруг ересь? Stateless-туннели без адресов спокойно могут доставлять пакеты, если указывать их интерфейс в качестве гейтвея в роутах. Работает? Работает. Значит, не ересь. А вот если оспф захотим натянуть поверх этого дела – тогда да, адреса нужны. А в ппп-туннелях без адресов никуда.
Владлен
Чего вдруг ересь? Stateless-туннели без адресов спокойно могут доставлять пакеты, если указывать их интерфейс в качестве гейтвея в роутах. Работает? Работает. Значит, не ересь. А вот если оспф захотим натянуть поверх этого дела – тогда да, адреса нужны. А в ппп-туннелях без адресов никуда.
Я не про может\не может работать, а про сложность траблшутинга при отстутствии адресов.
Владлен
Можно все филиалы eoip соеденить. Но вы не найдете источник траблы за такое же время, как при наличии адресов в туннелях.
Владлен
Вы, когда сетку делаете, конфигурите ее так, что бы работало и легко поднималось при появлении проблем? Или делаете так, что бы вот прямо сейчас сделать, а потом, когда обвалится, хоть потоп?
Anonymous
Господа, у меня интернет дома будет из городской локалки через pptp это мне нужно его настроить, сделать маршрутом по умолчанию и мой бридж на роутере nat в этот интерфейс, а потом добавить статические маршруты для локалки городской. Примерно так?
Anonymous
А то купил микротик, смотрю на его управление, как будто пульт от звездолёта :-)
Владлен
А то купил микротик, смотрю на его управление, как будто пульт от звездолёта :-)
А зачем вы его тогда купили?
Anonymous
А выбор небольшой был, хотелось чтобы умел псевдошейпить трафик, у нас в регионе интернет неприлично дорогой и мало. Но в целом почти разобрался, но сейчас будет провайдер, который немного старомодно раздает интернет, через vpn похоже я все верно понял, что мне потребуется. У вас на всякий случай спросил.