Sziasztok!

S2S VPN kialakításakor az IPsec-en belül hol tudom meghatározni az auth-method értékét pre-shared-key-re? A peers-be ilyet nem lehet megadni, akkor hol máshol? RouterOS 6.45.6-os szeretném.

Ha két Mikit akarsz összekötni, akkor használj pl IPIP-et (az IPSec egy pipa ilyenkor), egyébb esetben úgy rémlik, hogy a preshared key pőre IPSEC-kel nem nagyon müxik, vagy legalább is macerás. Mintha mostanában lett volna egyáltalán támogatva ilyesmi. Ajánlott az L2TP, vagy még inkább az OpenVPN.

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Ez alapján szeretném megvalósítani:
https://systemzone.net/mikrotik-site-to-site-vpn-configuration-with-ipsec/

De a peers fülön nem található az autentikációs metódus ahol ki tudnám választani a preshared keyt.

Egyébként csak az egyik router a mikrotik.

[ Szerkesztve ]

Az identity fülön találod, secret címszó alatt.

Köszi!

El vagy tévedve, szerintem.
IKE-kal kezdődik (1. fázis), IPSec a vége (2. fázis).
IKE a két router közti kapcsolat, IPSec meg a két hálózat közti kommunikáció, ha nagyon leegyszerűsítem.

Bevallom, sosem mélyedtem bele, mi meg egy VPN forgalomban, mert az OpenVPN és az SSTP is nekem tökéletesen ment, ahogy két Mikrotik között az IPIP is.
Pont annyira mélyedtem bele, hogy tudjam, mit kell kiengedni a tűzfalon.
Egyszer kellett mókolni, hogy menjen VPN Mikrotik és Zyxel router között, de nem akart működni, a Zyxel meg IKE VPN-nek nevezi az egyik támogatott VPN eljárását:
http://onesecurity.zyxel.com/img/uploads/Next-Gen_IKEv2_VPN_Server_Role_CR.pdf
https://support.zyxel.eu/hc/hu/articles/360001390714-Az-IKEv2-VPN-alag%C3%BAt-be%C3%A1ll%C3%ADt%C3%A1sa-a-Zyxel-IPSec-VPN-klienssel

[ Szerkesztve ]

Le az elipszilonos jével, éljen a "j" !!!

Ahogy gondolom IPIP-nél is, ha be van pipálva az IPSec, csak alapbeállítások mellett (ha nem pituszkáltuk az IPSec alapbeállításokat) az utóbbi két Mikrotik eszköz között pár kattintás, legalább is nekem így mindig működött. Míg Zyxel esetén még L2TP+ IPSec-cel is egy csomót kellett állítgani a Mikrotik oldalán Az IPSec szekcióban, mert ott egyáltalán lehetett. De pont ezért nem is szívem csücske az IPIP-en kívűl egy IPSec alapú eljárás sem.

Le az elipszilonos jével, éljen a "j" !!!

Sziasztok! Bedöglött az ASUS AC66U B1 routerem, és gondoltam a következőnek egy Mikrotiket vennék. Rendszergazdának tanulok, de egyenlőre csak Virtualbox-ban dolgoztam miktotik-el, élőben még nem. Azonban szeretnék elmerülni benne, nagyon kiváncsi volnék erre a rendszerre. Gigabites digi FTTH nethez keresnék egy megfelelő tipust, a 4db Gbit port és a Dual Band fontos lenne, már kritériumom nincs igazán. Egy hap ac2 -re érdemes lehet beruháznom?! Vagy mit tanácsolnátok nem túl hardcore otthoni és némi tanulós felhasználásra?

Köszi előre is minden tanácsot!

NeSaját tapasztalatból különszedném:
- RB4011iGS+ (ez hardveresen tudja a gigait sebességet, és stabil is)
- RBcAPGi-5acD2nD (ez meg wifiként stabil dual módban).
Nekem ez a kombó vált be a legjobban.
Ha olcsóbban szeretnéd megúszni, akkor szerintem ez:
- RB2011UiAS-2HnD-IN
ez még nagyon stabil volt wifi terén is, csak ez fasttrack-el tudta a gigabitet, így néhány funkió nem lehetett használni: pl queues, de itt egy gyors leírás:
https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack

[ Szerkesztve ]

Hát ez a 4011 árban elég húzós. Lehet ezt egyenlőre hanyagolom, és mivel az én céljaimra bőven elég volt az ASUS is nem az árát fogom visszakérni, hanem megvárom mig gariban kicserélik, és inkább veszek mellé kisérletező eszköznek valami egyszerűbb/ olcsóbb mikrotik-et..

[ Szerkesztve ]

Nekem RB3011UiAS-RM és RBcAPGi-5acD2nD kombó van. Ez a router tudja már hardweresen a gigabitet vagy kell neki a fastrack? Mert elég komoly vas van már a 3011-ben is.

Valóban húzós az ára, de azt is nézd mit kapsz érte. Én közel sem vagyok annyira belemélyülve a MikroTikben mint itt sokan, de hogy kategóriában visszafelé nem váltanék az biztos! Esetleg neked ez alternatívának jó lehet: https://mikrotik.com/product/RB962UiGS-5HacT2HnT Az első hap ac, nekem volt ilyen, jelenleg cimborámnál 500-as neten lóg, és köszöni szépen jól van. A Dual Wi-Fi-t tudja. Vagy ha tényleg csak barátkozni szeretnél akkor dual Wi-Fi nélkül ott a 951G. Ennél viszont szerintem el kell felejtened a gigás digi netet mert belefullad. De erről többet esetleg a többiek tudnak.

Az RB3011 tudja a gigabitet de nem mindegy milyen internet kapcsolatod van. Ha csak rout-ol, pl. Bridge módban van a HGW simán tudja, ha FTTH és PPPoE kapcsolatot kell építenie akkor nem tudja, akkor kellenek a Fasttrack és társai, de akkor is nyöszörög.

Az RB4011/HAP AC2 ami izomból kitolja akkor is ha PPPoE kapcsolatot kell felépítenie.

Jelenleg az SFP slotban egy réz modul van, de a config szerint ide később FTTH is jöhet amint ahogy te is írtad PPPoE kapcsolattal. Nem örülök neki hogy adott esetben egy gigás netet nem tudok kihasználni. Nagy feladatokat nem bízok a routerre, egyszerű a tűzfal is, később VPN lesz majd de az sem folyamatosan. Ami extra az is néha FTPS a NAS miatt és P2P.

Én is használtam réz modult, de nagyon melegedett ezért áttértem az optikára és DAC-ot használtam a rack-en belül. Ha az SFP-ben modul van figyelj rá, hogy az egyik switch chip sebessége feleződik a CPU felé, ezért ilyenkor azt ne használd, tegyél át mindent a másikba. A block diagram a Mikrotik oldalán segít!

Ha jól értem nálad az optika egy külső média konverterbe érkezik és onnan tovább a router LAN portjába? Megnézem a block diagramot, köszönöm. Bár igyekszem úgy variálni az itthoni eszközöket hogy a router switch chipje minél kevesebbet dolgozzon és a terhelés nagy részét egy CRS112 viszi. Tehát így lehet az is elég hogy ha a net beérkezik az SFP-n akárhogy, akkor tovább ugyanabból a switch-ből megyek át a CRS112-be és a pici forgalmaz generáló eszközök mehetnek akár a másik switch chipből is?! A réz modul valóban melegszik, de jelenleg nem foglalkoztat annyira.

[ Szerkesztve ]

Az RB3011-ben "véletlenül" normális switch chip van így egész rendes hálózatot ki lehet vele alakítani. Az RB4011-ben gyászos a switch, mondjuk tuadtosan csinálják, hogy a kis portszámú switcheik alól ne rúgják ki a lábat, nehogy egy eszközzel megold.

Az FTTH Magyarországon csak ONT-tal működik, nem tudod a szolgáltatói eszközt kihagyni.

Ha SFP-n érkezteted az ONT-ot akkor a másik swich chipet használd HW offload-dal, ne tegyél eszközt abba amelyik osztozik a sávszélességen az SFP-vel, vagy max nagyon kis sávszélesség igényű cuccokat.

Ügylet üzletpolitika ez. Érthető is. Nálunk jelenleg csak a UPC szolgáltat elég hitvány minőségben, gyakorlatilag hónapok óta max 300Mbps a letöltési sebességem az 500-as csomagban. Elintézik azzal hogy a garantált az 100Mbps. Menjenek a Pi**ába! Én panelban lakom, az utca másik oldalán kertesházas rész van, ott az oszlopokon pakolja az optikát a Telekom, a város egy részén már szolgáltatnak is. Nálunk jelenleg monopol helyzetben van a UPC, de remélem jön valaki vagy a Telekom vagy a Digi a közeljövőben FTTH-val. Hogy náluk működhet-e az hogy hoznak egy SFP modult a routerembe nem tudom. Az hogy milyen eszköz MAC címét viszik fel a szerverbe szinte mindegy, de lehet hogy tévedek. Már ha egyáltalán az általuk hozott Ubiquiti vagy Ultimode vagy más gyártmányú ONT-s SFP modult kezeli-e a routerem egyáltalán. A Cisco réz modullal remekül megértik egymást.

Az ONT csak az ő eszközükkel fog működni.

Igen, nem túl olcsó, de azt kapod amiért fizetsz. Akkor meg a 750 gr3 kellhet neked meg amit írtam AP. Mindenképp külön szedném.

Olvasom a hozzászólásod.
Ezek szerint nekem jobb lenne ha máshogy osztanám fel az interfészeket?
A router egy RB760iGS
Digi PPPoE az ether1-en jön be,
ether2 - szerver
ether3 - CSS106-5-1S switch--> PC,Xbox,Tv
ether4 - Wifi
ether5 - üres
sfp1 - jelenleg üres.

Most húzom be majd az optikát mert a tervem az, hogy a router-ether3 kapcsolatot kiváltom a router sfp1 - switch sfp1 kapcsolattal.
Érdemes lenne máshogy megvariálnom?
A switchben jelenleg ez a felosztás van:
ether 1 - uplink
ether 2 - PC
ether 3 - Xbox
ether 4 - TV
ether 5 - üres
sfp1 - jelenleg üres.

Block diagram:
https://i.mt.lv/cdn/rb_files/RB760iGS-dsw-180517144423.png

Köszönöm válaszotokat

Én is ezen vaciláltam jó ideig... Aztán végül egy Hex S mellett döntöttem, wifinek pedig egy TP-Link Archer c7-et használok.
hex-el tesztelgettem, aztán végül az sfp miatt döntöttem a nagytestvér mellett.
Az RB2011 nekem sosem tudott annyit mint a hex-ek.

Ennél a cuccnál nemigen látom értelmét az SFP-nek, simán használnám az egyik LAN portot a PPPoE-nek (Ether2!) és nem használnám az Ether4-et, a cuccokat meg felakasztanám az Ether 1,3,5-re.

Áthelyezésre kerül a nappaliban az "IT szekrény" az UTP-t nem toldanám, cuccom meg van az optikához. OM3 LC-LC meg két HP J4858B.

Ha akarod akkor nincs min gondolkodni :-)

Köszi.
Ez esetben is érvényes a tanácsod, hogy rakjam át ether 2-re a bejövő netet és 1,3,5-ön használjam a többit?

Nézd meg a blokkvázlatot, igen akkor is így érdemes.

Nyugodtan vedd meg a hAP AC2-t, otthoni internetre, tanulásra használható lesz, megy vele a gigabites net is. Ár/teljesítmlény viszonyra kimondottan jó.

Köszi, én is úgy gondolom hogy az én céljaimat ki fogja szolgálni kellőképpen.

Friss tapasztalatok. Kettő is van rögtön. Az egyik hogy lehetséges hogy átb@sztak a 6 pár MikroTik SFP modullal és mind hibás. A másik hogy kínomban rendeltem egy pár Ubi SFP modult=> https://www.wireless-bolt.hu/44455-sfp-modul-monomodus/658447-ubiquiti-sfp-modul-par-uf-sm-1g-s-single-1g- Ezzel kiderült az is -számomra- hogy MikroTik kompatibilis, és hogy amit eddig csináltam minden jó volt, ugyanis ezzel tökéletesen működik. Esetleg hallottatok már ilyenről hogy SFP modul hibás legyen vagy tönkremenjen? Esetleg volt hibás MikroTik széria vagy ezeket hamisítják esetleg?

[ Szerkesztve ]

Sziasztok!

Huawei E3372 típusú USB sticket szeretnék beállítani egy MikroTik routerre. A stick modem módban üzemel. Ha rádugom a MikroTikre, akkor fel is ismeri sima usb-s eszközként, viszont Telekomos SIM kártya behelyezésével nem képes csatlakozni az internetre. A SIM kártya hang hívást és 6Gb adatkeretet tartalmaz. Milyen beállításokat használjak az alábbi paramétrekenél?

Data/Info channel, APN, Phone, Dial Command?

Az alábbiakkal próbálkoztam:
Data channel: 1
Info channel: 0
APN: internet
Phone: *99#
Dial Command: ATDT

A status folyamatosan reseting linkbe van...

Ha az info channel-re 1-et állítok, a data channelre 0-t akkor a status link established a státusz, viszont internet továbbra sincs, nem kapok pulikus IP-t.

Nekem eddig nem volt DOA eszközöm. Amúgy sokféle SFP cuccal megy hibátlanul nem csak a Mikrotik saját (átcimkézett) cuccaival.

Lehet a firmware-t át kell flashelni a sticken(pl HiLink-kel meggyűlt a bajom másik eszköznél is). Biztos "internet" az APN telekomnálk is? Azt tudom, hogy telenornál működne, csak gyanús, hogy ugyanez megegyezne a Telekomnál is(nincs telekomos mobil előfizetésem).

"Got any other secret weapons?"

Ki tudnám próbálni Telenoros kártyával is. Telenor esetén milyen beállításokat használsz?

Interface-List résszel próbálkozok. Egy script segítségével szeretnék ide berakni interfészeket. Egészen konkrétan a "OpenVpn" listába raknám be az "<ovpn-UserName" nevű interfészeket:

/interface list member>
add list=OpenVpn interface=[/interface ovpn-server find where name ~"<ovpn-"]

Ha csak egy ilyen interfész van, akkor működik szépen.
De ha már kettő vagy több, akkor hibaüzenetet kapok:

input does not match any value of interface

Valamit elkoncentrálok?

Apn:internet.telekom
Data chanel:1
info chanel:2
Dial command: atdt

Megoldva ez alapján :

https://forum.mikrotik.com/viewtopic.php?t=146842

Sziasztok! Más is tapasztalta RBcAPGi-5acD2nD eszköznél, hogy frissített a 6.45.7-re és utána elérhetetlen volt az eszköz, illetve nem is működött, csak világított a power és az ethű1 led, de a wifi megszünt? Bár a problémát megoldotta a netinstall 6.44.6-ra, majd onnan már frissítette rendesen és a beállításokat sem felejtette el.

Online a NAT-olt, net a nem NAT-olt. Illetve elvileg az internet is megy, az én routerem mint ha alapból azzal menne, de most nem tudom, ha bekapcsolom, megnézem. A Telekomnál internet.telekom az APN, de ezt már más is megírta előtem. Publikus IP magentánál is van elvileg, ehhez az üfsz-t kell hívni és technikust kérni.

üdv, adika4444

Hiba mindenhol előfordulhat, de hogy egyszerre 6 (vagy legalább 3), az már érdekesebb.
Volt már szerencsém DoA-hoz is, meg használat közben megdöglött SFP-hez is.

Ez a problémám nekem is. A hibát elfogadom. De! Kipróbáltam a modulokat ugyanazon 1m-es LC-LC kábellel minden variációban ugyanazon beállítások mellett amivel most az Ubi modulok mennek tökéletesen. Volt CRS112 - 260GS és 260GS - 260GS is. Semmi eredmény. Minden modul látszik, minden modul jó jelszintekkel (kb -5dBm) és nincsen érdemi kommunikáció csak az optikai kapcsolat. Jelenleg nagy kérdőjelek vannak...

Vagy firmware...
6.42 előtt pl, csak trükközésekkel volt hajlandó linkelni az RB4011 meg a Mellanox ConnectX, mondjuk ott a router és a kártya nem szerették egymást, mert az SFP-k minden más kombinációban jól működtek.

Én már nem tudom... A 260GS Switcheken az elérhető 1.17 fw van, a CRS112-n a 6.45.7.

Kééész!
Működik minden.
Örül a fejem.
Ezeket az SFP-ket használtam fel végül:
AP-S85123-3CLM
Annyi, hogy hőfokot meg ilyesmit nem írkál vissza mint a HP-nál.

Vettem egy MikroTik RB750Gr3 routert, szeretnék megismerkedni a rendszerrel.
Kellene vegyek hozzá egy MikroTik AP-t, hogy legyen WiFi elérés is. Melyiket ajánlanátok ehhez? Amúgy így jobb ha külön van csatlakoztatva az AP, vagy vigyem vissza és vegyek egy WiFi-s routert? Az AP lehetőleg tudja az 5Ghz-et (a netem 300Mbit/s). Köszönöm!

[ Szerkesztve ]