Do njih

Mislim da oni /30 za ptp vezu guraju kroz firewall pa je moguce da je blokiran icmp. Jel ti sve ostalo radi iz mreze ili...?

Da /30 ti je za peer link pre njima tu ponekad stave firewall i pise to u onome sto je dobijeno od njih.

Moguce da je do tebe u zadnjih par meseci sam podesio par komada MT (negde i resao to da ide /29 opseg ne kroz peer adresu) svugde je radilo ali stavi opeg taj /29 da se vidi prema napolje tu ti je sigurno sve pusteno ovaj peer prema njima /30 moguce da filtriraju pa ne radi bas sve a to su ti inace i rekli bar kazu svima kojima sam ja podesavao u zadnjih par meseci.

Imam sutra jednu ovakvu konfiguraciju da uradim pa cemo videti :) za sada nije bilo problema sa njima.

ajme meni... podesi kako su ti rekli, stavi taj /30 na interfejs koji si namenio da bude wan link

pusti ping do def.gw i vidi da li se nesto pojavljuje u ARP tabeli, ako nema, zovi telekom i reci im da nema...

Dobice on arp zapis verovatno sa njihovom mac adresom al dzaba kad oni dropuju icmp request.

Sad cu sednem za jedan link da vidim pa javljam.

edit: Problem je kod njih. Sad sam pingovao njihovu stranu u ptp i prolazi ping, 1ms, znaci ne dropuju icmp.

ma nema razloga da dropuju icmp, zasto bi to radili... imas peer mrezu, na koju je rutiran dodatni opseg, i to je to.

Nije radio ni ARP ping. Pa naravno da sam podesio /30 cim sam napisao 255.255.255.252 :)

Danas su me zvali sa lokacije i kazu da radi sa ovim parametrima na njihovom laptopu i da treba podesiti VLAN na 3150...pa cu sutra probati.
Ovi iz telekoma su pravo neljubazni, ne znam sto nisu odmah napisali da treba VLAN.
Od parametara sam dobio samo ovo na mail.

WAN: xxx.xxx.xxx.234/30
IP: xxx.xxx.xxx.64/29

Probao sam ping sa drugog neta (spolja) na gateway (xxx.xxx.xxx.233) i prolazi.

Meni su prosledili mail za podesavanje sto treba da radi sutra nije samo to sto ti kazes pise i VLAN i pise da se ne koristi peer adresa nego dodeljni WAN opseg.

Ne znam kako si ti dobio taj, radio sam do sada sigurno 5-6 podesavanja za optiku od Telekoma posalju u mail sve podatke, cak preporucju i njihove DNS server da se koriste drugi deo maila.

Taj mail je jako cudan, da ti nije neko iz menadzmenta samo prosledio delimican mail proveri sa tvojima u firmi ?

Treba mi pomoć kako da Mikrotik (rb951ui-2hnd) prebacim na telekomovu optiku (ruter je HUAWEI AR160 1F)?

Sto bi rekao jedan moj kolega: "Uzmes i prebacis."

Nije najjasnije ni da li hoces postojeci Huawei koji trenutno radi na telekom optici zamenis sa Mirkotik-om, ili obrnutno, a tek - koji tacno problem imas.. :-)

Jel to ont?

Imamo Mikrotik koji radi preko sbb-a, sada smo uzeli Telekomovu optiku.
E sad treba da Mikrotik prebacim na tu optiku.
Sinoc sam probao i ne ide nesto.
Pratio sam ovde podesavanje https://www.youtube.com/watch?v=qblGSHxPduE ali ne ide.
Jel ima neko da bi mi pomogao? Ili preko teamwiera da se zakaci da pogleda.

Uzmi i dva mikrotika. Jedan zakači na optiku i podesi njegov WAN da radi u IP opsegu koji si dobio za povezivanje, a onda na lan interfejsu podesi IP oseg koji si dobio za svoj prikljjučak i na njega poveži drugi Mikrotik koji će na svom WAN da se poveće na prvi a koji će na svom LAN interefejsu imati LAN i lokane ip adrese za celu mrežu.

Možeš ovo i sa jednim da uradiš ako na njemu podigneš virtualnu mašinu sa dodatnim router OS.

zašto 2, zašto virtualna mašina?

1-2 rute i sve se da rješit sa jednim

Proveri koje IP treba da koristis.

/30 subnet ima 4 IP adrese, od kojih su 2 upotrebljive, i tipicno bi trebalo da ovako izgleda:

x.x.x.233 - Subnet IP
x.x.x.234 - IP kod provajdera
x.x.x.235 - IP tvog uredjaja
x.x.x.236 - Broadcast adresa

Mozda ti ovo pomogne:
https://www.calculator.net/ip-subnet-calculator.html

Može ako je cilj pokazati da može.

Ako je cilj imati uređen sistem koji je lak za održavanje onda se stave dva rutera.

Implementirao sam sve tri varijante: jedan ruter, jedan ruter i jedan na virtuelnoj mašini i dva rutera i samo ovaj prvi nikom ne bih preopručio ako radi nešto ozbiljno.

Jedan ruter i jedan na virtuelnoj mašini je ok. Sve je jasno i pregledno i lako za održavanje.

Moja preporuka je ipak uvek dva rutera. Em je sve jasno i pregledno em ako jedan crkne, ne pukne ti sve.

Telekom je u zadnje vreme krenuo da taguje saoracaj kroz WAN... verovatno nedostaje da se formira vlan i da se propusti saobracaj kroz taj vlan.

Daju li tu informaciju uopšte koji je vlan?

Daju naravno, podesis vlan kod sebe i na taj vlan stavljas ptp adresu koju ti daju. Kroz tu adresu ti dalje oglasavaju opseg adresa ukoliko ga dobijes

Da ne otpocinjem novu temu, posto je problem relativno slican.

Naime, uzeli smo FiberBiz internet, doneli su nam Huawei hg8245q2 uredjaj, i zatrazeno im je da ga prebace u bridge mode, jer iza njega imam mikrotik koji ce da napravi vezu.

Medjutim, vec danima ne uspevaju iz Telekoma da ga postave u Bridge mode i da to radi. 5 puta su mi otvarali nalog da ga prebace u bridge mode, oni ga prebace i tada internet radi, ali cim se resetuje on se vrati u Router mode.

Da li je jos neko imao ovaj probelm sa Telekomom i da li je uspeo da ga resi?

Prosto mi je nevrovatno da oni ne mogu da ga podese da radi kako treba u bridge modu. Imam utisak kao da ne snime konfiguraciju kao startup ili tome slicno.

Da li neko zna da li od njih mogu da trazim da podese da veza bude p2p i daju mi neki /30 adresu i da to tako resimo?
Ovo je postalo vec frustrirajuce i traje skoro pa 3 nedelje mucenje sa njima.

Resetujes mu podesavanja ili samo rebootujes uredjaj kada se vrati u ruter mod ?

Jel to ONU uredjaj? Mislim jel ide optika direkt u njega, ili imas neki konverter pre?

Ako je u pitanju ONU onda verovatno OLT preko OMCI vrati stara podesavanja po restartu. Ti si tu nemocan, oni moraju da ti prebace uredjaj u bridge ili da ih zamolis da ti daju najobicniji bridge ONU sa 1GE i 1 PON portom (nesto poput HG8310)

@npero, ne resetujem podesavanja samo uredjaj ugasim i upalim i on se vrati u router mode.

@bmarkovic06 Mislim da je ovo ONT uredjaj HUAWEI EchoLife HG8245Q2
Shvatam da sam nemocan i da oni to moraju. probacu da ih zamolim za obican ONU uredjaj mislim da bi to bilo resenje problema.

Verovatno setuju bridž direktno na uređaju tako što se uloguju na shell ili web ui preko TR069 interfejsa, ali pri paljenju ONT skine konfiguraciju sa TFTP servera gde je routing mode. Telekom nema nikakve druge optičke CPE uređaje osim HG8245 i neki ZTE za Mirijevo, tako da to nije neko rešenje.

@Joja82 Probaj ručno da ga podesiš na Bridge mode, iz web interfejsa, ovo su kredencijali: https://milankragujevic.com/hu...ont-lozinka-za-admin-nalog-mts

E Milane to sam i sam nekoliko puta pokusavao da resim bas sa tim username-om i password-om. Ali se meni isto tako posle setivanja vrati na routed mode.
Sto je najgore ja kad ga stavim u bridge mode tada mi ne radi net. Samo kada ga oni stave u bridge, i to dok se ne resetuje uredjaj.

Mjok,

login preko ssh ili na web nije moguc za postavke PON porta ili ti nacina rada uredjaja, tu dobijas samo user postavke za wifi itd (osim preko ssh gde login credentials neces dobiti nikad), sve ostalo se obavlja preko OMCI a ne preko tr069.

OMCI obavlja istu funkciju kao TR069, remote management i CPE autoconfiguration. Kredencijale za SSH imaš na mom sajtu, a preko web interfejsa je moguće pormeniti uređaj u bridge mode što je potvrdio Joja82.

Izvinjavam se sto sam off topic, ali da ne otvaram temu bezveze.

Da li neko ima da proda L4 licencu za routerboard?

Da preko WEB-a je moguce promeniti mode u Bridge mode, ali dzabe kada to posle restarta se vraca u Router mode.

Inace, jos uvek cekam da rese problem, jos uvek nije resen. :) Toliko su azurni da nemam reci.

Da li si probao da resetujes uređaj na fabrička podešavanja. Kad se prvi put priključi ONT na optiku on povuče novi firmware. Config fajl starog firmwarea nije kompatibilan sa novim. Tako da ONT nija baš u vinklu i čudno se ponaša. Reset na fabrička podešavanja rešava moge čudne simptome ONT-a. Ako imaš ONT koji je bio za područije BiH koje je Telekom prebacio u Srbiju onda tek tu nastupa papazjanija.

Pozdrav svim, smo da jvim da je problem resen.

Iz Lelekoma su doneli onaj drugi manji uredjaj i od tada je sve proradilo kako je i trebalo.

Tako da je verovatno problem bio u onom HUAWEI vecem uredjaju.



_{[Ovu poruku je menjao Joja82 dana 28.02.2020. u 11:57 GMT+1]}

Pozdrav svima,
Da oživim ovu temu...

Da li je neko uspeo da poveže Mikrotik i MTS-ov ruter Nokia G-240W-C u bridge modu? Kroz ovaj ruter prolazi i fiksna linija, pa je potrebno podesiti i VLAN konekciju, i tu sam se nažalost zaglavio. Pokušao sam da sledim uputstvo iz ovog tutorijala (https://youtu.be/rGH62uhouGg), ali nije prošlo.

Inače, ako nekome treba, admin pristup za ovaj uređaj imate u ovom dokumentu (za verzije u svim državama, pa i za Srbiju ;):
https://git.lsd.cat/g/nokia-ke...ml/preconfiguration_global.xml
(ctrl+f za pretragu, pa kucajte SRBJ)

Nisam se susretao sa ovim ruterom.
Gledajući XML za pppoe VLAN je 100, a u video tutorijalu VLAN je 200

<VLANIDMark t="string" ml="12" v="100" dburi="X_CT-COM_WANGponLinkConfig.VLANIDMark"/>

Takođe treba da izvučeš user i pass za pppoe iz modema.

Stavio sam 100 (prepisao iz modema), izvukao i ubacio i username i password.
Međutim, u video tutorijalu se nigde ne spominje dodela javnog opsega IP adresa. Da li je to neophodno, ili će, ako ne podesim IP adrese, Mikrotik automatski "osmatrati" ceo opseg?

Cim unosis username i pass pretpostavljam da si pravio pppoe konekciju?

Ako je tako od pppoe servera ces dobiti adresu, gateway, dns itd... Nemas potrebe nista ti rucno da unosis.

Da, da, napravio sam pppoe konekciju, ali nisam uspeo da se konektujem :(

Netacan user i pass ili nemas uopste vezu ka pppoe serveru kroz vlan.

Da bi bio siguran da sa druge strane vidis pppoe server probaj da uradis na mikroitku pppoe scan preko tog VLAN-a i ako u listi pronadje neki Pppoe server onda su ti user i pass pogresni.

Pogledaj u MT log da li je prosla pppoe autentifikacija.

ovo izgleda trenutno nije moguce sa Nokia G-240W-C ONT ruterom
dok su predhodni Huawei ONT ruteri imali za svaku WAN konfiguraciju opciju na koje LAN portove hoces da se bridguju, na Nokiji moze samo globalno za svaki LAN port da se izabere Bridged ili Routed mode, ali ne na sta se konkretno bridguje.
Ta podesavanja se izgleda sada dobijaju preko OMCI tokom blinkanja GPON AUTH lampice, jer na primer, ako stavim sva 4 LAN porta u BRIDGE mod, i povezem kablove na njih, oni ce biti ukljuceni dokle god ne prodje AUTH, a posle ce se LAN1 i LAN4 iskljuciti (kao da je pokvaren kabl, ako restartujes ONT opet ce se ukljuciti dok ne prodje AUTH), dok ce LAN2 i LAN3 biti bridgovani na IPTV mrezu (IP opseg 10.94.128.1+, ne odgovara ni jednom od 3 WAN settinga, niti VOIP IP rangeu). Zato je default podesavanje ovog rutera ako se vrati na fabricko da su LAN1 i LAN4 u Routed modu, a LAN2 i LAN3 u bridge, moze se promeniti da svi budu u Routed ako vam ne treba IPTV, ali se ne moze promeniti na sta se svaki od njih bridguje, tako da ce u tom modu samo LAN2 i LAN3 raditi, i to samo se kaciti na IPTV mrezu). Menjanje porta iz Routed u Bridge mode samo promeni config opciju "isTr069Domain" u True za taj "EthPort.x". Menjanje WLAN SSID iz Routed moda u Bridge mode setuje X_ASB_COM_InMgtDomain = 1 i X_ASB_COM_routeMode = 1 za taj SSID (default oba je 2 za Routed mode)
Nikako nisam uspeo da pristupim ovim internim VLAN-ovima na GPON mrezi preko ethernet portova na ovom ONT-u, tako da nema veze sta cukate u mikrotik ako je povezan na njega, mora Nokia da bude PPPoE client, nikako drugacije.
Naravno, ako neko provali kako da promeni na koje servise se bridguju pojedini LAN portovi, neka se javi ovde, onda bi sve radilo kao i na starijim HG ONT ruterima. Ne mogu da predjem na cist ONT modem jer mi treba ovaj wifi i telefonski servis, a bilo bi lepo da mi pravi ruter bude ruter i uspostavlja PPPoE konekciju umesto Nokie.
(probao sam ja da buljam i preko SSH-a editovanjem pa reimportovanjem konfiguracije, ali nema tamo nista korisno osim ako necete da gledate ifconfig (bez menjanja, samo list) i veoma detaljne logove (za OMCI, SIP, itd), mnogo vise linija nego u http interfejsu)

<sub>[Ovu poruku je menjao rajkosto dana 10.07.2021. u 09:04 GMT+1]

[Ovu poruku je menjao rajkosto dana 10.07.2021. u 09:15 GMT+1]</sub>

Pitanje,

Da li za svaki blok opsega koju su dali iz Telekoma treba da se pravi vlan ili samo za onaj ka njima?

Povezao sam prvi mikrotik sa media konverterom i podesio vlan i adrese ka njima i to radi.

Drugi port mikrotika sam konfigurisao da bude gateway za drugi mikrotik koji sam veza za njega, i kada probam usa laptopom koji je vezan za drugi mikrotik on izlazi sa IP adresom prvog mikrotika tj onom ip adresom koja je za peer ka telekomu a treba da izadje sa tom od drugog mikrotika. Rute su dodate, probao sam sa src-nat ali sve bezuspesno.

Postavi

/export compact hide-sensitive

Celu konfiguraciju prvog mikrotika i drugog. Po zelji cenzurisi ip adrese, i obavezno cenzurisi lozinke.

Nazalost nemam sada pristup, tek od ponedeljka. U principu je podeseno ovako:

MT1: interfejs 1 - vlan i wan ip od telekoma za peer
U firewall-u nema nista, u nat je podesana maskarada na vlan ip od telekoma.
Defult ruta 0.0.0.0/0 ide na telekom gateway.

Interfejs 2 - Javna ip iz blok adresa koje su nam dodeljene x.y.z.1/27

MT2: interfejs 1 - x.y.z.2/27, firewall isto nista, nat maskarada na interfejs 1, ruta 0.0.0.0/0 na x.y.z.1
Interfejs 2 lokalna mreza 192.168.0.0/24.

Laptop kada zakacim na MT2 moze da pinguje, moze da surfuje ali umesto da izlazi sa x.y.z.2 adresom koja je podesena na MT2 izlazi sa wan ip.

Pokusao sam da sto bolje opisem bez exporta.

Citao sam da bi mogao uredjaj koji je vezan za MT2 da izlazi sa njegovom javnom IP (x.y.z.2) potrebno u nat dodati src-nat source address x.y.z.2 srcnat x.y.z.2 na MT1 (prvom mikrotiku koji je vlan-om i wan ip spojen sa telekomom), ali nisam uspeo da dobijem to. Kad to stavim onda laptop koji je zakacen na MT2 nema izlaz napolje, a counter-i za to pravilo se uvecavaju.

Vidim da su ljudi uspevali da dobiju ono sto i meni treba samo mi nije jasno tacno kako su podesili.

U osnovi, ako zelis da podesis kako je Telekom to zamislio da treba da se podesava, onda to ovako radis:

p.s. za padobrance: WAN i LAN su telekomova terminologija i oznacavaju dva bloka ip adresa koje telekom daje --- da mi ne kmecite ovde nepotrebno oko wan i lan definicija, cela prica je samo za telekomov univerzum
p.p.s za padobrance i one sa jeftinijim ulaznicama: prica je za "fiberpro" ne za GPON, ovde ne postoji ONT

1. "WAN" IP adresu stavis na vlan-interfejs
2. Dodelis LAN blok na bridge ili stavec
3. Svim "downstream" uredjajima dodeljujes jednu od adresa iz LAN bloka sa networkom podesenim na to sto je telekom dao za LAN blok, a gateway je IP adresa koja je stavljena na bridge

Ovde ce svaki uredjaj izlaziti na net bez maskarade.

Kako si ti podesio, tebi ne radi jer "primarni" mikrotik nakacen na telekom optiku rewrituje svim paketima source IP na onu iz WAN bloka. Tome i sluzi maskarada, to je ako taj mikrotik dodeljuje privatne IP adrese, jer da bi telekomov ruter znao da vrati saobracaj tebi, mora da iz njegove perspektive bude source IP sa paketa ona koja je njemu logicna i vidljiva, tj iz WAN bloka.

Dakle ako bi drugim uredjajiam davao 192.168.88.0/24 IP adrese, telekom ruter ne bi mogao to da izrutira, i dropovao bi saobracaj. Maskarada ce tome da rewrituje source IP, i to je onda OK.

ALI, posto si ti dobio javni LAN blok, ti onda slobodno mozes da ugasis maskaradu ----- ILI da modifikujes rule tako da hvata samo neki saobracaj u privatnom IP opsegu, zato sto ce telekomov ruter znati uredno da izrutira saobracaj nazad do tvog rutera prema WAN IP-ju tvog rutera.

I jos jedna stvar:

ako hoces da pilicaris, mozes da umesto da stvarno dodeljujes IP adrese iz LAN bloka, da umesto toga radis 1:1 translaciju privatnih IP na javne IP. to je korisno ako si dobio JEDNU IP adresu, tj /30 blok, zato sto ces moci da koristi CETIRI IP adrese iz tog bloka, tj network i broadcast ip su iskoristive.

Tu se dodeljuje npr. 192.168.88.2, i radi src-nat na 79.101.66.0; 192.168.88.3 na 79.101.66.1, 192.168.88.4 na 79.101.66.2, i najzad 192.168.88.5 na 79.101.66.3

A maskarada ISPOD toga moze da ide, i onda ce 192.168.88.6-254 dobijati izlaz preko WAN IP adrese, i time si stvorio cak PET IP adrese od 2 bloka /30.

Ali, to koristiti samo ako ti nije problem da te kolege ogovaraju i ismevaju

Dakle, ako na prvom mikrotiku ugasim maksaradu, a na drugom ostavim ili da na oba gasim?

Jer da bi telekom znao gde da vrati trebalo bi da bar na drugom onda imam ukljucenu maskaradu, zar ne?

Telekom terminologija za wan i lan :

WAN = PE-CE
LAN = CE

Pusti nam email Telekoma koji si dobio u vezi podešavanja IP parametara.

Od telekoma (ip adrese izmenjene naravno)

Servis podešavate po VLAN 3163:

VLAN: 3163

IPv4 adrese:

WAN blok: 1.1.1.48/30

Telekom port: 1.1.1.49

Vaš port: 1.1.1.50

Subnet mask: 255.255.255.252



LAN blok: 2.2.2.0/27

Subnet mask: 255.255.255.224

Imaš 29 javnih IP adresa za računare.
Telekom je dodao statiku na PE ruter za tvoje javne ip adrese.

Za ovo što si postavio kao e-mail telekma nema potrebe za natovanjem/maskaradom.
I dovoljan ti je jedan CE odnosno mtik.

Probacu bez nat/maskarade mada se secam da ako nisam stavio maskaradu na vlan da nisam mogao nista da pingujem.

Resetuj mikrotik na stanje bez konfiguracije.

Kreiraj vlan interfejs ka telekomu sa ip adresom 1.1.1.50/30
Dodaj staticku rutu ka telekomu 0.0.0.0/0 next-hop 1.1.1.49

Kreiraj interfejs ka tvojoj mrezi sa adresom 2.2.2.1/27

To je sve.

Doatno mozes da aktiviras firewall i ostale opcije na mikrotiku u zavisnosti od potreba tvoje mreze.

Na zalost nece.

Pokusao sam kao sto ste rekli:
Setovao prvi mikrotik vlan interfejs ka telekomu uspesno - ping sa tog mikrotika prolazi do 8.8.8.8
Dodelio drugom interfejsu IP adresu iz LAN bloka i na taj interfejs nakacio drugi mikrotik u interfejs (port 1) setovao da ima ip adresu iz LAN blokarazlicitu naravno od one koja je na prvom mikrotiku.

Nat i maskarade uopste nisam palio - ping sa drugog Mikrotika ka 8.8.8.8 nece.

Jesi dodao difoltnu rutu na drugom mikrotiku ?

Na prvom default ruta 0.0.0.0/0 ka telekomu

Na drugo default ruta 0.0.0.0/0 ka ip adresi podesenoj na interfejsu prvog mikrotika

Daj traceroute do 8.8.8.8 sa drugog mikrotika

Traceroute sa drugog mikrotika se zavrsava na njegovom gateway-u.

Ajde da uprostim moracu da pisem javne IP pa sta mi bog da :)

Prvi mikrotik:
Interfejs 1 - napravljen vlan 212.200.231.50/30 default ruta 0.0.0.0/0 gateway 212.200.231.49
Bez nat/maskarade traceroute ka 8.8.8.8
1. 212.200.231.49
2. 212.200.183.178
3. 79.101.106.2
4. 209.85.250.89
5. 142.251.228.27
6. 8.8.8.8

Drugi interfejs (port 2) podesena IP adresa iz LAN bloka 91.150.87.1/27

Drugi Mikrotik:
Prvi interfejs (port 1) dodeljen IP adresa iz LAN bloka 91.150.88.2/27
Defultna ruta 0.0.0.0/0 na gateway 91.150.87.1
Nema nat i maskarade, trace route ka 8.8.8.8:
1. 91.150.87.1
2. *
3. *
4.

I tako dalje.

Ukoliko upalim maskaradu na prvom mikrotiku (chain: srcnat; out interface:vlan; action: masquerade) i na drugom isto upalim maskaradu za interfejs 1 onda mogu da pingujem i uradi trace route identicno ka sa prvog mikrotika. Problem je sto onda taj drugi mikrotik izlazi sa istom javnom kao i prvi 212.200…. A treba sa 91.150.87.2

Telekom nija dodao statički rutu na PE ruteru u vrf-u za tvoj lan blok 91.150.87.0/27.

Probaj Ping ka 8.8.8.8 sa prvog mikrotika ali kao source stavi IP adresu interfejsa 91.150.87.1

Problem je sto je ovo sve bilo pdeseno na ciscu (na od strane mene) i radilo.

Cisco je otegao papke, i zamoljen sam da prebacim na mikrotik. Pristup cisco uredjaju nemam cak i da uspem da ga osposobim da vidim sta i kako je podeseno. Tako da pretposstavljam da sa telekomove strane je ipak mozda (kazem samo mozda) sve podeseno.

Time out

PS C:\Users\User> ping 91.150.88.1

Pinging 91.150.88.1 with 32 bytes of data:
Reply from 91.150.88.1: bytes=32 time=13ms TTL=248
Reply from 91.150.88.1: bytes=32 time=13ms TTL=248
Reply from 91.150.88.1: bytes=32 time=11ms TTL=248
Reply from 91.150.88.1: bytes=32 time=13ms TTL=248

Ping statistics for 91.150.88.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 11ms, Maximum = 13ms, Average = 12ms


PS C:\Users\User> ping 91.150.88.2

Pinging 91.150.88.2 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 91.150.88.2:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
PS C:\Users\User>


Nesto nisi odradio kako treba

Greska je post iznad.

Pogledaj koju ip adresu ima neki host koji je u lan bloku.

Dobro jutro.

Cisto da javim, nista nisam uspeo sinoc. Ostavljam za ponedeljak pa cu nastaviti.

Cuo sam se i sa telekomovom podrskom i receno mi je da je sa njihove strane zaista sve podeseno, ali da oni nemaju iskustva (mnogo) sa MT i kako se ovo podesava na istim.

Inace ping sa prvog mikrotika ka 8.8.8.8 sa src IP 91.150.87.1 prolazi onog momenta kada se upali maskarada.

Spolja ne moze da se pinguje ni jedan host koji je konfigurisan sa IP adresom iz LAN bloka (91.150.87.0/27).

Samo da pitam, da li nisi nigde na ruterima pomesao 91.150.87.0 i 91.150.88.0 ? Posto sam video u gornjem postu da spominjes oba.

Ovo kako ti je objasnjeno od strane @DynDNS bi moralo da radi.

Maskarada brise source IP, i to ti ne znaci nista jer onda gubis sve te IP adrese koje si dobio.

Postavlja se pitanje, da li ti negde gresis u konfiguraciji, ili je greska na strani Telekoma.

Ali, posto je ovo jako jednostavno da se podesi po datim instrukcijama, vec sada postoji mogucnost da Telekom te IP adrese ne rutira kako treba.

Kada kazes da si "na port" dodao IP adrese na prvom mikrotiku, da li je taj port u bridge ili nije? Ako jeste, dodaj IP adrese LAN bloka na bridge. Neka prvi mikrotik ima IP adresu 91.150.87.1/27 na bridge, a drugi na svom portu ka prvom, neka ima 91.150.87.2/27.

Prvi treba da ima default rutu, kao sto si i podesio, ka 212.200.231.49 IP adresi, tj. "nas port" iz mejla, i da ima dodeljenu /30 adresu "vas port" 212.200.231.50 na vlan interfejsu. Drugi mikrotik treba da ima default rutu ka 91.150.87.1.

Drugi mikoritk mora da moze da pinguje i 212.200.231.50 i 91.150.87.1, tako da proveri to. I mora naravno da moze da pinguje i 212.200.231.49.

Ne ne. Samo 91.150.87.0/27

Verujem i ja da mora po ovim instrukcijama da radi.

Sutra cu opet biti tamo pa cu opet sve od 0 da probam.

Bilo bi dobro da nam postaviš konfiguraciju predhodnog rutera cisca.
Ili koji servis je tvoja firma zakupila.

Od strane Telekoma postoje dva tipa servisa za poslovne korisnike.

Jedan je L3VPN gde se statički oglašava javni lan opseg.
Drugi je L3VPN eBGP.

U oba slučaja se zbog zaštite koristi PE-CE /30.

Nema smisla koristiti maskaradu sa javne na javnu plus plaćati javni opseg.

Koliko su mi objasnili po secanju i pretrazi mail-ova sa bivsim zaposlenima koji su to sve konfigurisali mnogo godina ranije na cisco uredjaju ovo je BGP peering.

Da odgovorim i na prethodno - cisco je nazalost crkao i nisam u mogucnosti da izvucem bilo sta iz njega, pa cak i kad bi ga osposobili jer niko nema pristupne parametre za isti.

Zatraži od Telekoma da ti pošalje sve parametre kako bi setovao ruter na svojoj strani.

Proguglaj malo "mikrotik eBGP PE-CE konfiguration".

Na tvojoj strani je CE

Ali koja gamad sa tom pričom kako oni nemaju iskustva sa Mikrotikom...

A najčešće se on i koristi na strani korisnika i teško im da sastave uputstvo za najčešće korišćene rutere i da ga pošalju krajnjem korisniku.

Mi ćemo uskoro na jednoj lokaciji uzeti njihovu fiber pro optiku i tražio sam klasično jednu ip adesu i ništa više i ne može, ne daju, mora blok IP adresa...

I sad ću uzeti opciju sa njihovom opremom pa ću naš ruter kačiti iza njihove opreme.

Telekom u osnovi insistira da ili sam sve podesavas, ili da platis managed ce uslugu i da ti onda oni postave svoj huawei ruter i da ti oni kontrolisu mrezu.

A ta opcija, osim sto se placa, je problematicna jer onda za svaku promenu moras da saljes mejl, i da cekas par dana da je realizuju.

Evo ovako, gresis u postavkama.

Od telekoma si dobio jedan /30 gde je jedna ip sa njigove druga sa tvoje strane i to je p2p izmedju vas. Kroz tvoju IP oni su oglasili blok /27.

Nema potrebe da IP opseg koji si dobio vezes za drugi ili bilo koji interfejs.

Ono sto je pozeljno da uradis jeste da uradis blackhole tog bloka IP adresa (zbog ttl petlji koje mogu da nastanu jer IP adrese nisu zavrsile nigde pa ce njihov PE ruter da ima petlje), znaci: ip route add distance=5 dst-address=x.x.x.x/27 type=blackhole

Zatim, greska koju si napravio je maskarada na VLAN interfejs gde ti je p2p ka telekomu. Ne treba to da radis ako ne planiras da radis NAT kroz gateway IP a i pozeljno je da ne radis kako slucajno nebi popio ban citavog /30 pa tako izgubio kompletan pristup internetu. Sve sto je potrebno je rute ka 0.0.0.0/0 sa telekom IP adresom iz opsega /30

Ako npr planiras da koristis neku od IP adresa iz opsega /27 kao staticku IP ili NAT IP adresu onda dodajes NAT pravila na sledeci nacin. Npr ako zelis da ti privatni opseg unutar tvoje mreze sa opsegom npr 192.168.55.0/24 izlazi kroz neku IP iz /27 opsega onda radis:

ip firewall nat add action=src-nat chain=srcnat out-interface="taj vlan za p2p sa telekomom" src-address=192.168.55.0/24 to-addresses=91.150.87.1, i tako ce ti svi racunari iz opsega 55/.0/24 izlaziti kroz tu javnu IP.

Ne zaboravi da na ovaj nacin mozes da koristis i IP adresu mreze kao i broadcast ip adresu iz opsega /27 bez problema.

Ako sada zelis da uradis port forward npr, onda ga radis na klasican nacin samo u dst-address stavljas tu IP koju zelis da ti radi fw na privatni opseg.

Za kraj imam samo da dodam,

@notebookFun
Procitao sam tvoj prvi post, a ostale mi je mrsko citati :) Telekom ti je podesio adrese bas kako i treba da ih podesi...naravno ako je podesio ispravno :)
Ti bi trebalo da podesis na svom MT u tu P2P vezu /30 i da imas izlaz na net preko tog gateway a koji su ti dali, obicno prva IP iz opsega...naravno def ruta na njih tu na tu adresu.

Ostalo ako su izrutirali i taj opseg na tebe /27 ( ili koji napisah)
to znaci da su oni napravili staticku rutu koja zavrsava na toj IP tvojoj iz ovog /30 opsega. A ti ako npr kod sebe stavis neki IP na loopback interfejs kod sebe ( napravi bridge interfejs i njemu stavi IP) taj bi trebao biti dostupan na internetu jer je rutiran prema tebi.
Ako bi htio da koristis ostale adrese iz opsega, onda jednu adresu iz tog /27 stavi kod sebe na neki interfejs a ostalima sa ostakom tog opsega dajes ostale adrese a njima je gateway ovaj tvoj MT.

Ako sam fulio temu oprosti :)