Na Mikrotik eth1 sam dodao (xxx.xxx.xxx.234) i probao da pingujem gateway (xxx.xxx.xxx.233) sa tog interfejsa i nista se ne desava. UTP kabl koji spaja eth1 i Fiber konverter je 100% ispravan.
Takodje sam probao taj isti kabl iz Fiber konverter-a da stavim direktno u racunar i podesim
IP: xxx.xxx.xxx.234
255.255.255.252
gateway: xxx.xxx.xxx.233
8.8.8.8
Zvao sam tehnicku podrsku i oni su bili jako drski, kazu da nije do njih vec do nas. Navodno oni pristupaju ruteru iz daljine, sto mi je bilo nelogicno jer sam ja ugasio mikrotik...
Da li je do mene ili do njih?
[ djricky @ 01.06.2017. 09:58 ] @
Do njih
[ bmarkovic06 @ 01.06.2017. 10:07 ] @
Mislim da oni /30 za ptp vezu guraju kroz firewall pa je moguce da je blokiran icmp. Jel ti sve ostalo radi iz mreze ili...?
[ npero @ 01.06.2017. 11:58 ] @
Da /30 ti je za peer link pre njima tu ponekad stave firewall i pise to u onome sto je dobijeno od njih.
Moguce da je do tebe u zadnjih par meseci sam podesio par komada MT (negde i resao to da ide /29 opseg ne kroz peer adresu) svugde je radilo ali stavi opeg taj /29 da se vidi prema napolje tu ti je sigurno sve pusteno ovaj peer prema njima /30 moguce da filtriraju pa ne radi bas sve a to su ti inace i rekli bar kazu svima kojima sam ja podesavao u zadnjih par meseci.
Imam sutra jednu ovakvu konfiguraciju da uradim pa cemo videti :) za sada nije bilo problema sa njima.
[ djricky @ 01.06.2017. 12:04 ] @
ajme meni... podesi kako su ti rekli, stavi taj /30 na interfejs koji si namenio da bude wan link
pusti ping do def.gw i vidi da li se nesto pojavljuje u ARP tabeli, ako nema, zovi telekom i reci im da nema...
[ bmarkovic06 @ 01.06.2017. 12:17 ] @
Dobice on arp zapis verovatno sa njihovom mac adresom al dzaba kad oni dropuju icmp request.
Sad cu sednem za jedan link da vidim pa javljam.
edit: Problem je kod njih. Sad sam pingovao njihovu stranu u ptp i prolazi ping, 1ms, znaci ne dropuju icmp.
[ djricky @ 01.06.2017. 13:21 ] @
ma nema razloga da dropuju icmp, zasto bi to radili... imas peer mrezu, na koju je rutiran dodatni opseg, i to je to.
[ notebookFun @ 01.06.2017. 16:37 ] @
Nije radio ni ARP ping. Pa naravno da sam podesio /30 cim sam napisao 255.255.255.252 :)
Danas su me zvali sa lokacije i kazu da radi sa ovim parametrima na njihovom laptopu i da treba podesiti VLAN na 3150...pa cu sutra probati.
Ovi iz telekoma su pravo neljubazni, ne znam sto nisu odmah napisali da treba VLAN.
Od parametara sam dobio samo ovo na mail.
WAN: xxx.xxx.xxx.234/30
IP: xxx.xxx.xxx.64/29
Probao sam ping sa drugog neta (spolja) na gateway (xxx.xxx.xxx.233) i prolazi.
[ npero @ 01.06.2017. 19:12 ] @
Meni su prosledili mail za podesavanje sto treba da radi sutra nije samo to sto ti kazes pise i VLAN i pise da se ne koristi peer adresa nego dodeljni WAN opseg.
Ne znam kako si ti dobio taj, radio sam do sada sigurno 5-6 podesavanja za optiku od Telekoma posalju u mail sve podatke, cak preporucju i njihove DNS server da se koriste drugi deo maila.
Taj mail je jako cudan, da ti nije neko iz menadzmenta samo prosledio delimican mail proveri sa tvojima u firmi ?
[ mikrotik13 @ 14.11.2019. 09:21 ] @
Treba mi pomoć kako da Mikrotik (rb951ui-2hnd) prebacim na telekomovu optiku (ruter je HUAWEI AR160 1F)?
[ optix @ 14.11.2019. 12:20 ] @
Sto bi rekao jedan moj kolega: "Uzmes i prebacis."
Nije najjasnije ni da li hoces postojeci Huawei koji trenutno radi na telekom optici zamenis sa Mirkotik-om, ili obrnutno, a tek - koji tacno problem imas.. :-)
[ Branimir Maksimovic @ 15.11.2019. 04:08 ] @
Jel to ont?
[ mikrotik13 @ 16.11.2019. 09:43 ] @
Imamo Mikrotik koji radi preko sbb-a, sada smo uzeli Telekomovu optiku.
E sad treba da Mikrotik prebacim na tu optiku.
Sinoc sam probao i ne ide nesto.
Pratio sam ovde podesavanje https://www.youtube.com/watch?v=qblGSHxPduE ali ne ide.
Jel ima neko da bi mi pomogao? Ili preko teamwiera da se zakaci da pogleda.
[ Predrag Supurovic @ 16.11.2019. 12:45 ] @
Uzmi i dva mikrotika. Jedan zakači na optiku i podesi njegov WAN da radi u IP opsegu koji si dobio za povezivanje, a onda na lan interfejsu podesi IP oseg koji si dobio za svoj prikljjučak i na njega poveži drugi Mikrotik koji će na svom WAN da se poveće na prvi a koji će na svom LAN interefejsu imati LAN i lokane ip adrese za celu mrežu.
Možeš ovo i sa jednim da uradiš ako na njemu podigneš virtualnu mašinu sa dodatnim router OS.
[ sarmudin @ 19.11.2019. 19:21 ] @
zašto 2, zašto virtualna mašina?
1-2 rute i sve se da rješit sa jednim
[ eki_yu @ 20.11.2019. 06:42 ] @
Proveri koje IP treba da koristis.
/30 subnet ima 4 IP adrese, od kojih su 2 upotrebljive, i tipicno bi trebalo da ovako izgleda:
x.x.x.233 - Subnet IP
x.x.x.234 - IP kod provajdera
x.x.x.235 - IP tvog uredjaja
x.x.x.236 - Broadcast adresa
Ako je cilj imati uređen sistem koji je lak za održavanje onda se stave dva rutera.
Implementirao sam sve tri varijante: jedan ruter, jedan ruter i jedan na virtuelnoj mašini i dva rutera i samo ovaj prvi nikom ne bih preopručio ako radi nešto ozbiljno.
Jedan ruter i jedan na virtuelnoj mašini je ok. Sve je jasno i pregledno i lako za održavanje.
Moja preporuka je ipak uvek dva rutera. Em je sve jasno i pregledno em ako jedan crkne, ne pukne ti sve.
[ zivanicd @ 20.12.2019. 11:57 ] @
Telekom je u zadnje vreme krenuo da taguje saoracaj kroz WAN... verovatno nedostaje da se formira vlan i da se propusti saobracaj kroz taj vlan.
[ bachi @ 20.12.2019. 12:07 ] @
Daju li tu informaciju uopšte koji je vlan?
[ bmarkovic06 @ 20.12.2019. 12:15 ] @
Citat:
bachi: Daju li tu informaciju uopšte koji je vlan?
Daju naravno, podesis vlan kod sebe i na taj vlan stavljas ptp adresu koju ti daju. Kroz tu adresu ti dalje oglasavaju opseg adresa ukoliko ga dobijes
[ Joja82 @ 30.01.2020. 09:26 ] @
Da ne otpocinjem novu temu, posto je problem relativno slican.
Naime, uzeli smo FiberBiz internet, doneli su nam Huawei hg8245q2 uredjaj, i zatrazeno im je da ga prebace u bridge mode, jer iza njega imam mikrotik koji ce da napravi vezu.
Medjutim, vec danima ne uspevaju iz Telekoma da ga postave u Bridge mode i da to radi. 5 puta su mi otvarali nalog da ga prebace u bridge mode, oni ga prebace i tada internet radi, ali cim se resetuje on se vrati u Router mode.
Da li je jos neko imao ovaj probelm sa Telekomom i da li je uspeo da ga resi?
Prosto mi je nevrovatno da oni ne mogu da ga podese da radi kako treba u bridge modu. Imam utisak kao da ne snime konfiguraciju kao startup ili tome slicno.
Da li neko zna da li od njih mogu da trazim da podese da veza bude p2p i daju mi neki /30 adresu i da to tako resimo?
Ovo je postalo vec frustrirajuce i traje skoro pa 3 nedelje mucenje sa njima.
[ npero @ 30.01.2020. 09:57 ] @
Resetujes mu podesavanja ili samo rebootujes uredjaj kada se vrati u ruter mod ?
[ bmarkovic06 @ 30.01.2020. 10:29 ] @
Jel to ONU uredjaj? Mislim jel ide optika direkt u njega, ili imas neki konverter pre?
Ako je u pitanju ONU onda verovatno OLT preko OMCI vrati stara podesavanja po restartu. Ti si tu nemocan, oni moraju da ti prebace uredjaj u bridge ili da ih zamolis da ti daju najobicniji bridge ONU sa 1GE i 1 PON portom (nesto poput HG8310)
[ Joja82 @ 30.01.2020. 10:44 ] @
@npero, ne resetujem podesavanja samo uredjaj ugasim i upalim i on se vrati u router mode.
@bmarkovic06 Mislim da je ovo ONT uredjaj HUAWEI EchoLife HG8245Q2
Shvatam da sam nemocan i da oni to moraju. probacu da ih zamolim za obican ONU uredjaj mislim da bi to bilo resenje problema.
[ Milan Kragujevic @ 30.01.2020. 15:56 ] @
Verovatno setuju bridž direktno na uređaju tako što se uloguju na shell ili web ui preko TR069 interfejsa, ali pri paljenju ONT skine konfiguraciju sa TFTP servera gde je routing mode. Telekom nema nikakve druge optičke CPE uređaje osim HG8245 i neki ZTE za Mirijevo, tako da to nije neko rešenje.
E Milane to sam i sam nekoliko puta pokusavao da resim bas sa tim username-om i password-om. Ali se meni isto tako posle setivanja vrati na routed mode.
Sto je najgore ja kad ga stavim u bridge mode tada mi ne radi net. Samo kada ga oni stave u bridge, i to dok se ne resetuje uredjaj.
[ bmarkovic06 @ 30.01.2020. 21:46 ] @
Citat:
Milan Kragujevic:
Verovatno setuju bridž direktno na uređaju tako što se uloguju na shell ili web ui preko TR069 interfejsa, ali pri paljenju ONT skine konfiguraciju sa TFTP servera gde je routing mode. Telekom nema nikakve druge optičke CPE uređaje osim HG8245 i neki ZTE za Mirijevo, tako da to nije neko rešenje.
Mjok,
login preko ssh ili na web nije moguc za postavke PON porta ili ti nacina rada uredjaja, tu dobijas samo user postavke za wifi itd (osim preko ssh gde login credentials neces dobiti nikad), sve ostalo se obavlja preko OMCI a ne preko tr069.
[ Milan Kragujevic @ 31.01.2020. 07:20 ] @
OMCI obavlja istu funkciju kao TR069, remote management i CPE autoconfiguration. Kredencijale za SSH imaš na mom sajtu, a preko web interfejsa je moguće pormeniti uređaj u bridge mode što je potvrdio Joja82.
[ bmarkovic06 @ 05.02.2020. 12:59 ] @
Izvinjavam se sto sam off topic, ali da ne otvaram temu bezveze.
Da li neko ima da proda L4 licencu za routerboard?
[ Joja82 @ 06.02.2020. 10:59 ] @
Citat:
Milan Kragujevic:
OMCI obavlja istu funkciju kao TR069, remote management i CPE autoconfiguration. Kredencijale za SSH imaš na mom sajtu, a preko web interfejsa je moguće pormeniti uređaj u bridge mode što je potvrdio Joja82.
Da preko WEB-a je moguce promeniti mode u Bridge mode, ali dzabe kada to posle restarta se vraca u Router mode.
Inace, jos uvek cekam da rese problem, jos uvek nije resen. :) Toliko su azurni da nemam reci.
[ sdurut @ 06.02.2020. 11:29 ] @
Da li si probao da resetujes uređaj na fabrička podešavanja. Kad se prvi put priključi ONT na optiku on povuče novi firmware. Config fajl starog firmwarea nije kompatibilan sa novim. Tako da ONT nija baš u vinklu i čudno se ponaša. Reset na fabrička podešavanja rešava moge čudne simptome ONT-a. Ako imaš ONT koji je bio za područije BiH koje je Telekom prebacio u Srbiju onda tek tu nastupa papazjanija.
[ Joja82 @ 28.02.2020. 10:39 ] @
Pozdrav svim, smo da jvim da je problem resen.
Iz Lelekoma su doneli onaj drugi manji uredjaj i od tada je sve proradilo kako je i trebalo.
Tako da je verovatno problem bio u onom HUAWEI vecem uredjaju.
[Ovu poruku je menjao Joja82 dana 28.02.2020. u 11:57 GMT+1]
[ v21208 @ 07.03.2021. 09:50 ] @
Pozdrav svima,
Da oživim ovu temu...
Da li je neko uspeo da poveže Mikrotik i MTS-ov ruter Nokia G-240W-C u bridge modu? Kroz ovaj ruter prolazi i fiksna linija, pa je potrebno podesiti i VLAN konekciju, i tu sam se nažalost zaglavio. Pokušao sam da sledim uputstvo iz ovog tutorijala (https://youtu.be/rGH62uhouGg), ali nije prošlo.
Takođe treba da izvučeš user i pass za pppoe iz modema.
[ v21208 @ 07.03.2021. 18:22 ] @
Stavio sam 100 (prepisao iz modema), izvukao i ubacio i username i password.
Međutim, u video tutorijalu se nigde ne spominje dodela javnog opsega IP adresa. Da li je to neophodno, ili će, ako ne podesim IP adrese, Mikrotik automatski "osmatrati" ceo opseg?
[ bmarkovic06 @ 08.03.2021. 10:15 ] @
Cim unosis username i pass pretpostavljam da si pravio pppoe konekciju?
Ako je tako od pppoe servera ces dobiti adresu, gateway, dns itd... Nemas potrebe nista ti rucno da unosis.
[ v21208 @ 08.03.2021. 10:30 ] @
Da, da, napravio sam pppoe konekciju, ali nisam uspeo da se konektujem :(
[ bmarkovic06 @ 10.03.2021. 15:56 ] @
Netacan user i pass ili nemas uopste vezu ka pppoe serveru kroz vlan.
Da bi bio siguran da sa druge strane vidis pppoe server probaj da uradis na mikroitku pppoe scan preko tog VLAN-a i ako u listi pronadje neki Pppoe server onda su ti user i pass pogresni.
[ gilopile @ 10.03.2021. 16:31 ] @
Pogledaj u MT log da li je prosla pppoe autentifikacija.
[ rajkosto @ 10.07.2021. 05:04 ] @
ovo izgleda trenutno nije moguce sa Nokia G-240W-C ONT ruterom
dok su predhodni Huawei ONT ruteri imali za svaku WAN konfiguraciju opciju na koje LAN portove hoces da se bridguju, na Nokiji moze samo globalno za svaki LAN port da se izabere Bridged ili Routed mode, ali ne na sta se konkretno bridguje.
Ta podesavanja se izgleda sada dobijaju preko OMCI tokom blinkanja GPON AUTH lampice, jer na primer, ako stavim sva 4 LAN porta u BRIDGE mod, i povezem kablove na njih, oni ce biti ukljuceni dokle god ne prodje AUTH, a posle ce se LAN1 i LAN4 iskljuciti (kao da je pokvaren kabl, ako restartujes ONT opet ce se ukljuciti dok ne prodje AUTH), dok ce LAN2 i LAN3 biti bridgovani na IPTV mrezu (IP opseg 10.94.128.1+, ne odgovara ni jednom od 3 WAN settinga, niti VOIP IP rangeu). Zato je default podesavanje ovog rutera ako se vrati na fabricko da su LAN1 i LAN4 u Routed modu, a LAN2 i LAN3 u bridge, moze se promeniti da svi budu u Routed ako vam ne treba IPTV, ali se ne moze promeniti na sta se svaki od njih bridguje, tako da ce u tom modu samo LAN2 i LAN3 raditi, i to samo se kaciti na IPTV mrezu). Menjanje porta iz Routed u Bridge mode samo promeni config opciju "isTr069Domain" u True za taj "EthPort.x". Menjanje WLAN SSID iz Routed moda u Bridge mode setuje X_ASB_COM_InMgtDomain = 1 i X_ASB_COM_routeMode = 1 za taj SSID (default oba je 2 za Routed mode)
Nikako nisam uspeo da pristupim ovim internim VLAN-ovima na GPON mrezi preko ethernet portova na ovom ONT-u, tako da nema veze sta cukate u mikrotik ako je povezan na njega, mora Nokia da bude PPPoE client, nikako drugacije.
Naravno, ako neko provali kako da promeni na koje servise se bridguju pojedini LAN portovi, neka se javi ovde, onda bi sve radilo kao i na starijim HG ONT ruterima. Ne mogu da predjem na cist ONT modem jer mi treba ovaj wifi i telefonski servis, a bilo bi lepo da mi pravi ruter bude ruter i uspostavlja PPPoE konekciju umesto Nokie.
(probao sam ja da buljam i preko SSH-a editovanjem pa reimportovanjem konfiguracije, ali nema tamo nista korisno osim ako necete da gledate ifconfig (bez menjanja, samo list) i veoma detaljne logove (za OMCI, SIP, itd), mnogo vise linija nego u http interfejsu)
[Ovu poruku je menjao rajkosto dana 10.07.2021. u 09:04 GMT+1]
[Ovu poruku je menjao rajkosto dana 10.07.2021. u 09:15 GMT+1]
[ petar84 @ 09.12.2023. 14:22 ] @
Pitanje,
Da li za svaki blok opsega koju su dali iz Telekoma treba da se pravi vlan ili samo za onaj ka njima?
Povezao sam prvi mikrotik sa media konverterom i podesio vlan i adrese ka njima i to radi.
Drugi port mikrotika sam konfigurisao da bude gateway za drugi mikrotik koji sam veza za njega, i kada probam usa laptopom koji je vezan za drugi mikrotik on izlazi sa IP adresom prvog mikrotika tj onom ip adresom koja je za peer ka telekomu a treba da izadje sa tom od drugog mikrotika. Rute su dodate, probao sam sa src-nat ali sve bezuspesno.
[ Milan Kragujevic @ 09.12.2023. 14:35 ] @
Postavi
/export compact hide-sensitive
Celu konfiguraciju prvog mikrotika i drugog. Po zelji cenzurisi ip adrese, i obavezno cenzurisi lozinke.
[ petar84 @ 09.12.2023. 16:26 ] @
Nazalost nemam sada pristup, tek od ponedeljka. U principu je podeseno ovako:
MT1: interfejs 1 - vlan i wan ip od telekoma za peer
U firewall-u nema nista, u nat je podesana maskarada na vlan ip od telekoma.
Defult ruta 0.0.0.0/0 ide na telekom gateway.
Interfejs 2 - Javna ip iz blok adresa koje su nam dodeljene x.y.z.1/27
MT2: interfejs 1 - x.y.z.2/27, firewall isto nista, nat maskarada na interfejs 1, ruta 0.0.0.0/0 na x.y.z.1
Interfejs 2 lokalna mreza 192.168.0.0/24.
Laptop kada zakacim na MT2 moze da pinguje, moze da surfuje ali umesto da izlazi sa x.y.z.2 adresom koja je podesena na MT2 izlazi sa wan ip.
Pokusao sam da sto bolje opisem bez exporta.
Citao sam da bi mogao uredjaj koji je vezan za MT2 da izlazi sa njegovom javnom IP (x.y.z.2) potrebno u nat dodati src-nat source address x.y.z.2 srcnat x.y.z.2 na MT1 (prvom mikrotiku koji je vlan-om i wan ip spojen sa telekomom), ali nisam uspeo da dobijem to. Kad to stavim onda laptop koji je zakacen na MT2 nema izlaz napolje, a counter-i za to pravilo se uvecavaju.
Vidim da su ljudi uspevali da dobiju ono sto i meni treba samo mi nije jasno tacno kako su podesili.
[ Milan Kragujevic @ 09.12.2023. 16:39 ] @
U osnovi, ako zelis da podesis kako je Telekom to zamislio da treba da se podesava, onda to ovako radis:
p.s. za padobrance: WAN i LAN su telekomova terminologija i oznacavaju dva bloka ip adresa koje telekom daje --- da mi ne kmecite ovde nepotrebno oko wan i lan definicija, cela prica je samo za telekomov univerzum
p.p.s za padobrance i one sa jeftinijim ulaznicama: prica je za "fiberpro" ne za GPON, ovde ne postoji ONT
1. "WAN" IP adresu stavis na vlan-interfejs
2. Dodelis LAN blok na bridge ili stavec
3. Svim "downstream" uredjajima dodeljujes jednu od adresa iz LAN bloka sa networkom podesenim na to sto je telekom dao za LAN blok, a gateway je IP adresa koja je stavljena na bridge
Ovde ce svaki uredjaj izlaziti na net bez maskarade.
Kako si ti podesio, tebi ne radi jer "primarni" mikrotik nakacen na telekom optiku rewrituje svim paketima source IP na onu iz WAN bloka. Tome i sluzi maskarada, to je ako taj mikrotik dodeljuje privatne IP adrese, jer da bi telekomov ruter znao da vrati saobracaj tebi, mora da iz njegove perspektive bude source IP sa paketa ona koja je njemu logicna i vidljiva, tj iz WAN bloka.
Dakle ako bi drugim uredjajiam davao 192.168.88.0/24 IP adrese, telekom ruter ne bi mogao to da izrutira, i dropovao bi saobracaj. Maskarada ce tome da rewrituje source IP, i to je onda OK.
ALI, posto si ti dobio javni LAN blok, ti onda slobodno mozes da ugasis maskaradu ----- ILI da modifikujes rule tako da hvata samo neki saobracaj u privatnom IP opsegu, zato sto ce telekomov ruter znati uredno da izrutira saobracaj nazad do tvog rutera prema WAN IP-ju tvog rutera.
I jos jedna stvar:
ako hoces da pilicaris, mozes da umesto da stvarno dodeljujes IP adrese iz LAN bloka, da umesto toga radis 1:1 translaciju privatnih IP na javne IP. to je korisno ako si dobio JEDNU IP adresu, tj /30 blok, zato sto ces moci da koristi CETIRI IP adrese iz tog bloka, tj network i broadcast ip su iskoristive.
Tu se dodeljuje npr. 192.168.88.2, i radi src-nat na 79.101.66.0; 192.168.88.3 na 79.101.66.1, 192.168.88.4 na 79.101.66.2, i najzad 192.168.88.5 na 79.101.66.3
A maskarada ISPOD toga moze da ide, i onda ce 192.168.88.6-254 dobijati izlaz preko WAN IP adrese, i time si stvorio cak PET IP adrese od 2 bloka /30.
Ali, to koristiti samo ako ti nije problem da te kolege ogovaraju i ismevaju
[ petar84 @ 09.12.2023. 17:01 ] @
Dakle, ako na prvom mikrotiku ugasim maksaradu, a na drugom ostavim ili da na oba gasim?
Jer da bi telekom znao gde da vrati trebalo bi da bar na drugom onda imam ukljucenu maskaradu, zar ne?
[ DynDNS @ 09.12.2023. 17:05 ] @
Telekom terminologija za wan i lan :
WAN = PE-CE
LAN = CE
Pusti nam email Telekoma koji si dobio u vezi podešavanja IP parametara.
[ petar84 @ 09.12.2023. 17:12 ] @
Od telekoma (ip adrese izmenjene naravno)
Servis podešavate po VLAN 3163:
VLAN: 3163
IPv4 adrese:
WAN blok: 1.1.1.48/30
Telekom port: 1.1.1.49
Vaš port: 1.1.1.50
Subnet mask: 255.255.255.252
LAN blok: 2.2.2.0/27
Subnet mask: 255.255.255.224
[ DynDNS @ 09.12.2023. 17:25 ] @
Imaš 29 javnih IP adresa za računare.
Telekom je dodao statiku na PE ruter za tvoje javne ip adrese.
Za ovo što si postavio kao e-mail telekma nema potrebe za natovanjem/maskaradom.
I dovoljan ti je jedan CE odnosno mtik.
[ petar84 @ 09.12.2023. 17:31 ] @
Probacu bez nat/maskarade mada se secam da ako nisam stavio maskaradu na vlan da nisam mogao nista da pingujem.
[ DynDNS @ 09.12.2023. 17:53 ] @
Resetuj mikrotik na stanje bez konfiguracije.
Kreiraj vlan interfejs ka telekomu sa ip adresom 1.1.1.50/30
Dodaj staticku rutu ka telekomu 0.0.0.0/0 next-hop 1.1.1.49
Kreiraj interfejs ka tvojoj mrezi sa adresom 2.2.2.1/27
To je sve.
Doatno mozes da aktiviras firewall i ostale opcije na mikrotiku u zavisnosti od potreba tvoje mreze.
[ petar84 @ 09.12.2023. 20:20 ] @
Na zalost nece.
Pokusao sam kao sto ste rekli:
Setovao prvi mikrotik vlan interfejs ka telekomu uspesno - ping sa tog mikrotika prolazi do 8.8.8.8
Dodelio drugom interfejsu IP adresu iz LAN bloka i na taj interfejs nakacio drugi mikrotik u interfejs (port 1) setovao da ima ip adresu iz LAN blokarazlicitu naravno od one koja je na prvom mikrotiku.
Nat i maskarade uopste nisam palio - ping sa drugog Mikrotika ka 8.8.8.8 nece.
[ DynDNS @ 09.12.2023. 20:38 ] @
Jesi dodao difoltnu rutu na drugom mikrotiku ?
[ petar84 @ 09.12.2023. 20:42 ] @
Na prvom default ruta 0.0.0.0/0 ka telekomu
Na drugo default ruta 0.0.0.0/0 ka ip adresi podesenoj na interfejsu prvog mikrotika
[ DynDNS @ 09.12.2023. 20:44 ] @
Daj traceroute do 8.8.8.8 sa drugog mikrotika
[ petar84 @ 09.12.2023. 21:05 ] @
Traceroute sa drugog mikrotika se zavrsava na njegovom gateway-u.
Ajde da uprostim moracu da pisem javne IP pa sta mi bog da :)
Prvi mikrotik:
Interfejs 1 - napravljen vlan 212.200.231.50/30 default ruta 0.0.0.0/0 gateway 212.200.231.49
Bez nat/maskarade traceroute ka 8.8.8.8
1. 212.200.231.49
2. 212.200.183.178
3. 79.101.106.2
4. 209.85.250.89
5. 142.251.228.27
6. 8.8.8.8
Drugi interfejs (port 2) podesena IP adresa iz LAN bloka 91.150.87.1/27
Drugi Mikrotik:
Prvi interfejs (port 1) dodeljen IP adresa iz LAN bloka 91.150.88.2/27
Defultna ruta 0.0.0.0/0 na gateway 91.150.87.1
Nema nat i maskarade, trace route ka 8.8.8.8:
1. 91.150.87.1
2. *
3. *
4.
I tako dalje.
Ukoliko upalim maskaradu na prvom mikrotiku (chain: srcnat; out interface:vlan; action: masquerade) i na drugom isto upalim maskaradu za interfejs 1 onda mogu da pingujem i uradi trace route identicno ka sa prvog mikrotika. Problem je sto onda taj drugi mikrotik izlazi sa istom javnom kao i prvi 212.200…. A treba sa 91.150.87.2
[ DynDNS @ 09.12.2023. 21:10 ] @
Telekom nija dodao statički rutu na PE ruteru u vrf-u za tvoj lan blok 91.150.87.0/27.
Probaj Ping ka 8.8.8.8 sa prvog mikrotika ali kao source stavi IP adresu interfejsa 91.150.87.1
[ petar84 @ 09.12.2023. 21:15 ] @
Problem je sto je ovo sve bilo pdeseno na ciscu (na od strane mene) i radilo.
Cisco je otegao papke, i zamoljen sam da prebacim na mikrotik. Pristup cisco uredjaju nemam cak i da uspem da ga osposobim da vidim sta i kako je podeseno. Tako da pretposstavljam da sa telekomove strane je ipak mozda (kazem samo mozda) sve podeseno.
[ petar84 @ 09.12.2023. 21:17 ] @
Citat:
DynDNS:
Telekom nija dodao statički rutu na PE ruteru u vrf-u za tvoj lan blok 91.150.87.0/27.
Probaj Ping ka 8.8.8.8 sa prvog mikrotika ali kao source stavi IP adresu interfejsa 91.150.87.1
Time out
[ DynDNS @ 09.12.2023. 21:25 ] @
PS C:\Users\User> ping 91.150.88.1
Pinging 91.150.88.1 with 32 bytes of data:
Reply from 91.150.88.1: bytes=32 time=13ms TTL=248
Reply from 91.150.88.1: bytes=32 time=13ms TTL=248
Reply from 91.150.88.1: bytes=32 time=11ms TTL=248
Reply from 91.150.88.1: bytes=32 time=13ms TTL=248
Ping statistics for 91.150.88.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 11ms, Maximum = 13ms, Average = 12ms
PS C:\Users\User> ping 91.150.88.2
Pinging 91.150.88.2 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 91.150.88.2:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
PS C:\Users\User>
Nesto nisi odradio kako treba
[ DynDNS @ 09.12.2023. 21:29 ] @
Greska je post iznad.
Pogledaj koju ip adresu ima neki host koji je u lan bloku.
[ petar84 @ 10.12.2023. 09:46 ] @
Dobro jutro.
Cisto da javim, nista nisam uspeo sinoc. Ostavljam za ponedeljak pa cu nastaviti.
Cuo sam se i sa telekomovom podrskom i receno mi je da je sa njihove strane zaista sve podeseno, ali da oni nemaju iskustva (mnogo) sa MT i kako se ovo podesava na istim.
Inace ping sa prvog mikrotika ka 8.8.8.8 sa src IP 91.150.87.1 prolazi onog momenta kada se upali maskarada.
Spolja ne moze da se pinguje ni jedan host koji je konfigurisan sa IP adresom iz LAN bloka (91.150.87.0/27).
[ Milan Kragujevic @ 10.12.2023. 10:19 ] @
Samo da pitam, da li nisi nigde na ruterima pomesao 91.150.87.0 i 91.150.88.0 ? Posto sam video u gornjem postu da spominjes oba.
Ovo kako ti je objasnjeno od strane @DynDNS bi moralo da radi.
Maskarada brise source IP, i to ti ne znaci nista jer onda gubis sve te IP adrese koje si dobio.
Postavlja se pitanje, da li ti negde gresis u konfiguraciji, ili je greska na strani Telekoma.
Ali, posto je ovo jako jednostavno da se podesi po datim instrukcijama, vec sada postoji mogucnost da Telekom te IP adrese ne rutira kako treba.
Kada kazes da si "na port" dodao IP adrese na prvom mikrotiku, da li je taj port u bridge ili nije? Ako jeste, dodaj IP adrese LAN bloka na bridge. Neka prvi mikrotik ima IP adresu 91.150.87.1/27 na bridge, a drugi na svom portu ka prvom, neka ima 91.150.87.2/27.
Prvi treba da ima default rutu, kao sto si i podesio, ka 212.200.231.49 IP adresi, tj. "nas port" iz mejla, i da ima dodeljenu /30 adresu "vas port" 212.200.231.50 na vlan interfejsu. Drugi mikrotik treba da ima default rutu ka 91.150.87.1.
Drugi mikoritk mora da moze da pinguje i 212.200.231.50 i 91.150.87.1, tako da proveri to. I mora naravno da moze da pinguje i 212.200.231.49.
[ petar84 @ 10.12.2023. 10:30 ] @
Ne ne. Samo 91.150.87.0/27
Verujem i ja da mora po ovim instrukcijama da radi.
Sutra cu opet biti tamo pa cu opet sve od 0 da probam.
[ DynDNS @ 10.12.2023. 10:31 ] @
Bilo bi dobro da nam postaviš konfiguraciju predhodnog rutera cisca.
Ili koji servis je tvoja firma zakupila.
Od strane Telekoma postoje dva tipa servisa za poslovne korisnike.
Jedan je L3VPN gde se statički oglašava javni lan opseg.
Drugi je L3VPN eBGP.
U oba slučaja se zbog zaštite koristi PE-CE /30.
Nema smisla koristiti maskaradu sa javne na javnu plus plaćati javni opseg.
[ petar84 @ 10.12.2023. 16:10 ] @
Koliko su mi objasnili po secanju i pretrazi mail-ova sa bivsim zaposlenima koji su to sve konfigurisali mnogo godina ranije na cisco uredjaju ovo je BGP peering.
Da odgovorim i na prethodno - cisco je nazalost crkao i nisam u mogucnosti da izvucem bilo sta iz njega, pa cak i kad bi ga osposobili jer niko nema pristupne parametre za isti.
[ DynDNS @ 10.12.2023. 17:22 ] @
Zatraži od Telekoma da ti pošalje sve parametre kako bi setovao ruter na svojoj strani.
Proguglaj malo "mikrotik eBGP PE-CE konfiguration".
Na tvojoj strani je CE
[ bachi @ 10.12.2023. 18:39 ] @
Ali koja gamad sa tom pričom kako oni nemaju iskustva sa Mikrotikom...
A najčešće se on i koristi na strani korisnika i teško im da sastave uputstvo za najčešće korišćene rutere i da ga pošalju krajnjem korisniku.
Mi ćemo uskoro na jednoj lokaciji uzeti njihovu fiber pro optiku i tražio sam klasično jednu ip adesu i ništa više i ne može, ne daju, mora blok IP adresa...
I sad ću uzeti opciju sa njihovom opremom pa ću naš ruter kačiti iza njihove opreme.
[ Milan Kragujevic @ 10.12.2023. 18:41 ] @
Telekom u osnovi insistira da ili sam sve podesavas, ili da platis managed ce uslugu i da ti onda oni postave svoj huawei ruter i da ti oni kontrolisu mrezu.
A ta opcija, osim sto se placa, je problematicna jer onda za svaku promenu moras da saljes mejl, i da cekas par dana da je realizuju.
[ bmarkovic06 @ 10.12.2023. 19:02 ] @
Evo ovako, gresis u postavkama.
Od telekoma si dobio jedan /30 gde je jedna ip sa njigove druga sa tvoje strane i to je p2p izmedju vas. Kroz tvoju IP oni su oglasili blok /27.
Nema potrebe da IP opseg koji si dobio vezes za drugi ili bilo koji interfejs.
Ono sto je pozeljno da uradis jeste da uradis blackhole tog bloka IP adresa (zbog ttl petlji koje mogu da nastanu jer IP adrese nisu zavrsile nigde pa ce njihov PE ruter da ima petlje), znaci: ip route add distance=5 dst-address=x.x.x.x/27 type=blackhole
Zatim, greska koju si napravio je maskarada na VLAN interfejs gde ti je p2p ka telekomu. Ne treba to da radis ako ne planiras da radis NAT kroz gateway IP a i pozeljno je da ne radis kako slucajno nebi popio ban citavog /30 pa tako izgubio kompletan pristup internetu. Sve sto je potrebno je rute ka 0.0.0.0/0 sa telekom IP adresom iz opsega /30
Ako npr planiras da koristis neku od IP adresa iz opsega /27 kao staticku IP ili NAT IP adresu onda dodajes NAT pravila na sledeci nacin. Npr ako zelis da ti privatni opseg unutar tvoje mreze sa opsegom npr 192.168.55.0/24 izlazi kroz neku IP iz /27 opsega onda radis:
ip firewall nat add action=src-nat chain=srcnat out-interface="taj vlan za p2p sa telekomom" src-address=192.168.55.0/24 to-addresses=91.150.87.1, i tako ce ti svi racunari iz opsega 55/.0/24 izlaziti kroz tu javnu IP.
Ne zaboravi da na ovaj nacin mozes da koristis i IP adresu mreze kao i broadcast ip adresu iz opsega /27 bez problema.
Ako sada zelis da uradis port forward npr, onda ga radis na klasican nacin samo u dst-address stavljas tu IP koju zelis da ti radi fw na privatni opseg.
[ Milan Kragujevic @ 10.12.2023. 19:11 ] @
Za kraj imam samo da dodam,
[ dragansar @ 10.12.2023. 19:56 ] @
@notebookFun
Procitao sam tvoj prvi post, a ostale mi je mrsko citati :) Telekom ti je podesio adrese bas kako i treba da ih podesi...naravno ako je podesio ispravno :)
Ti bi trebalo da podesis na svom MT u tu P2P vezu /30 i da imas izlaz na net preko tog gateway a koji su ti dali, obicno prva IP iz opsega...naravno def ruta na njih tu na tu adresu.
Ostalo ako su izrutirali i taj opseg na tebe /27 ( ili koji napisah)
to znaci da su oni napravili staticku rutu koja zavrsava na toj IP tvojoj iz ovog /30 opsega. A ti ako npr kod sebe stavis neki IP na loopback interfejs kod sebe ( napravi bridge interfejs i njemu stavi IP) taj bi trebao biti dostupan na internetu jer je rutiran prema tebi.
Ako bi htio da koristis ostale adrese iz opsega, onda jednu adresu iz tog /27 stavi kod sebe na neki interfejs a ostalima sa ostakom tog opsega dajes ostale adrese a njima je gateway ovaj tvoj MT.
Ako sam fulio temu oprosti :)
[ bachi @ 16.08.2024. 13:22 ] @
Danas sam povezivao Mikrotik na Telekomovu optiku i napravio sam da računari iz lan mreže koriste iP adresu iz Telekomovog "LAN" bloka, ali kako da napravim da sam ruter koristi ip iz Telekomovog lan bloka umesto šti koristi iz WAN bloka?
Ruter je uredno i vpn klijent.
[ DynDNS @ 16.08.2024. 13:34 ] @
Šta želiš da postigneš ?
[ Milan Kragujevic @ 16.08.2024. 13:34 ] @
Pa ruter ima dve IP adrese, jednu iz WAN bloka /30-ticu, i jednu iz LAN bloka koja je prva koja nije network adresa iz bloka ma koliki blok bio.
Ako si mislio da saobraćaj sa rutera izlazi sa LAN IP adrese a ne sa WAN /30-tice, pošto je po defaultu gateway iz WAN bloka samim tim će i izlaz na net sa samog rutera da ide sa izlaznom IP adresom iz WAN bloka, ali sve što treba da uradiš je da staviš firewall pravilo da radi src-nat na željenu IP adresu iz LAN bloka, i to pravilo napravi tako da ne hvata saobraćaj iz bridge-a i po portovima, samim tim će sam ruter da izlazi na net preko LAN adrese.
Telekomov ruter će da prihvati sve što je tebi dodeljeno kao legitimnu IP adresu, dakle možeš slobodno da se src-natuješ na to što su ti dodelili. Ne možeš na tuđe naravno hehe
[ bachi @ 16.08.2024. 18:47 ] @
Telekom je počeo da jajari u poslednje vreme, pa ne daje više toliko široke blokove ip adresa.
Dodelio nam je WAN blok /31 i LAN blok /32, odnosno samo jednu ip adresu.
Ja sam napravio loopback interfejsa na mikrotiku (prazan bridge) i na njega asocirao tu /32 adresu.
LAN mreža mi je na bridge interfejsu u kome su svi fizički portovi (sem ether1), 192.168.3.0/24 vlan 10 (imam i 10.168.3.0/24 wifi za goste vlan 20) i za te adrese sam stavio src-nat da ide na tu jednu IP adresu iz telekomovog LAN bloka.
I to lepo radi, kada odem na whatismyip, računarima iz LAN i wifi za goste stoji IP adresa.
Međutim, kada preko samog rutera iniciram wireguard konekciju ka vpn serveru u centrali, ta vpn konekcija ide preko telekomovog WAN IP bloka.
Mislim, ništa strašno, VPN radi normalno punom brzinom i stabilno, ali eto čisto me kopka kako da izvedem da i sam ruter ide preko IP adrese od Telekomovog LAN bloka.
Evo config fajla.
Citat:
# 2024-08-16 19:30:40 by RouterOS 7.15.1
# software id = *
#
# model = RB2011iL
# serial number = *
/interface bridge
add name=bridge1 port-cost-mode=short protocol-mode=none
add name=bridge2 port-cost-mode=short protocol-mode=none
add comment="Telekom LAN blok" mtu=1500 name=internet protocol-mode=none
/interface ethernet
set [ find default-name=ether4 ] comment="Link ka magacinu potrosnog"
set [ find default-name=ether9 ] comment=\
"*"
set [ find default-name=ether10 ] comment="*\
*\9*" poe-out=forced-on
/interface wireguard
add listen-port=13231 mtu=1380 name=firma
/interface vlan
add comment="LAN za zaposlene i pristup mrezi firme" interface=bridge1 \
name=vlan10 vlan-id=10
add comment="LAN za goste i wifi za zaposlene" interface=bridge1 name=vlan20 \
vlan-id=20
add comment="Telekom WAN blok" interface=ether1 name=vlan1200 vlan-id=1200
/interface ethernet switch port
set 0 default-vlan-id=0 vlan-mode=fallback
set 1 default-vlan-id=10 vlan-header=add-if-missing vlan-mode=secure
set 2 default-vlan-id=10 vlan-header=add-if-missing vlan-mode=secure
set 3 default-vlan-id=10 vlan-header=add-if-missing vlan-mode=secure
set 4 default-vlan-id=10 vlan-header=add-if-missing vlan-mode=secure
set 5 default-vlan-id=10 vlan-header=add-if-missing vlan-mode=secure
set 6 default-vlan-id=10 vlan-header=always-strip vlan-mode=secure
set 7 default-vlan-id=10 vlan-header=always-strip vlan-mode=secure
set 8 default-vlan-id=10 vlan-header=add-if-missing vlan-mode=secure
set 9 default-vlan-id=10 vlan-header=add-if-missing vlan-mode=secure
set 10 default-vlan-id=0 vlan-header=add-if-missing vlan-mode=secure
set 11 vlan-header=add-if-missing
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=WiFi
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=119 name="domain search" value=0xfirma
add code=46 name="netbios node type" value=0x08
add code=67 name=boot value="'boot\\x64\\wdsmgfw.efi'"
add code=66 name=tftp value="'192.168.0.254'"
add code=60 name=pxeclient value="'pxeclient'"
/ip dhcp-server option sets
add name=vlan10 options="domain search,netbios node type,boot,tftp,pxeclient"
/ip pool
add name=vlan10 ranges=192.168.3.2-192.168.3.60
add name=vlan20 ranges=10.168.3.100-10.168.3.200
/ip dhcp-server
add address-pool=vlan10 dhcp-option-set=vlan10 interface=vlan10 lease-time=\
4w2d name=vlan10
add address-pool=vlan20 interface=vlan20 lease-time=1h name=vlan20
/ip smb users
set [ find default=yes ] disabled=yes
/port
set 0 name=serial0
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge port
add bridge=bridge1 ingress-filtering=no interface=ether2 internal-path-cost=\
10 path-cost=10
add bridge=bridge1 ingress-filtering=no interface=ether3 internal-path-cost=\
10 path-cost=10
add bridge=bridge1 ingress-filtering=no interface=ether4 internal-path-cost=\
10 path-cost=10
add bridge=bridge1 ingress-filtering=no interface=ether5 internal-path-cost=\
10 path-cost=10
add bridge=bridge2 ingress-filtering=no interface=ether6 internal-path-cost=\
10 path-cost=10
add bridge=bridge2 ingress-filtering=no interface=ether7 internal-path-cost=\
10 path-cost=10
add bridge=bridge2 ingress-filtering=no interface=ether8 internal-path-cost=\
10 path-cost=10
add bridge=bridge2 ingress-filtering=no interface=ether9 internal-path-cost=\
10 path-cost=10
add bridge=bridge2 ingress-filtering=no interface=ether10 internal-path-cost=\
10 path-cost=10
/ip firewall connection tracking
set udp-timeout=10s
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface ethernet switch vlan
add independent-learning=no ports=ether2,ether3,ether4,ether5,switch1-cpu \
switch=switch1 vlan-id=10
add ports=ether6,ether7,ether8,ether9,ether10 switch=switch2 vlan-id=10
add independent-learning=no ports=ether2,ether3,ether4,ether5,switch1-cpu \
switch=switch1 vlan-id=20
add ports=ether6,ether7,ether8,ether9,ether10 switch=switch2 vlan-id=20
/interface list member
add comment=defconf interface=vlan10 list=LAN
add interface=vlan20 list=WiFi
add interface=firma list=LAN
add interface=ether1 list=WAN
add interface=vlan1200 list=WAN
add interface=internet list=WAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=\
* \
endpoint-address=vpn.firma.com endpoint-port=10011 interface=\
firma name=peer2 persistent-keepalive=25s preshared-key=\
"*=" public-key=\
"*="
/ip address
add address=192.168.3.1/26 interface=vlan10 network=192.168.3.0
add address=10.168.3.1/24 interface=vlan20 network=10.168.3.0
add address=10.10.8.8 interface=firma network=10.10.8.1
add address=212.200.xxx.yyy/31 interface=vlan1200 network=212.200.xxx.yyy - Telekom WAN blok IP
add address=79.101.xx.yy interface=internet network=79.101.xx.yy - Telekom LAN blok IP
/ip dhcp-server lease
****
/ip dhcp-server network
add address=10.168.3.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.168.3.1
add address=192.168.3.0/26 dns-server=192.168.0.254 domain=firma.co.yu \
gateway=192.168.3.1 next-server=192.168.0.254 ntp-server=192.168.0.254 \
wins-server=192.168.0.254
/ip dns
set servers=212.200.190.166,212.200.191.166 /ip firewall address-list
add address=192.168.3.0/24 list=NAT
add address=10.168.3.0/24 list=NAT
/ip firewall filter
add action=drop chain=forward in-interface-list=LAN out-interface-list=WiFi
add action=drop chain=forward in-interface-list=WiFi out-interface-list=LAN
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
/ip firewall nat add action=src-nat chain=srcnat out-interface=vlan1200 src-address-list=NAT \
to-addresses=79.101.xx.yy
/ip route
add disabled=no distance=200 dst-address=192.168.0.0/18 gateway=firma \
routing-table=main suppress-hw-offload=no
add disabled=no distance=200 dst-address=10.10.8.0/21 gateway=firma \
pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
add disabled=no distance=200 dst-address=192.168.255.0/24 gateway=firma \
pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
add disabled=no distance=200 dst-address=192.0.2.0/24 gateway=firma \
pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
add disabled=no distance=10 dst-address=0.0.0.0/0 gateway=212.200.xxx.yyy \
routing-table=main suppress-hw-offload=no
/ip smb shares
set [ find default=yes ] directory=/pub
/ip socks
set version=5
/routing bfd configuration
add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5
/system clock
set time-zone-name=Europe/Belgrade
/system identity
set name=*
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=none
/tool mac-server ping
set enabled=no
[Ovu poruku je menjao bachi dana 16.08.2024. u 19:58 GMT+1]
[ DynDNS @ 16.08.2024. 19:26 ] @
Nikada mi neće biti jasno zašto Telekom troši javne IP adrese za pe-ce.
[ djricky @ 16.08.2024. 19:35 ] @
info iz prve ruke:
jednom davno je neko, za koga se mislilo da je jako pametan, rekao da to tako treba... u medjuvremenu se ispostavilo da je covek debil, ali se nazalost procedure u Telekomu jako tesko menjaju... i ovo sto se koriste /31 i /32, a ne dva puta po /30 je izgurano na misice... bila je prava mala pobuna u EOM-u kad su prvi put hteli da promene ovi iz razvoja... gospodu je mrzelo da ponovo uce da subnetuju... pa su morali da im naprave automatizovani output iz TIS-a koji oni samo copy/paste u mail za klijenta...
[ DynDNS @ 16.08.2024. 19:48 ] @
Ludilo.
To sa /32 je ok ako korisnik to želi.
Ali bez potrebe stavljati javnu na pe-ce je ludilo.
SBB na primer za pe-ce koristi privatne IP adrese.
Tako je u svim državnim službama.
[Ovu poruku je menjao DynDNS dana 16.08.2024. u 21:05 GMT+1]
[ djricky @ 16.08.2024. 19:55 ] @
dok sam ja radio u SBB-u nije tako bilo...
koristio se jedan /30 za WAN blok, i to je to... ako je neko zeleo, i potkrepio dokazima da mu bas treba, mogao je da dobije rutirano jos jedan /30, ili u retkim slucajevima /29, /28, itd...
sumnjam da se i sada praktikuje rfc1918 za pe-ce jer kvari traceroute spolja, a na PTR-ove se u SBB-u gleda kao u ikone, i moraju biti 100% tacni
[ Milan Kragujevic @ 16.08.2024. 20:07 ] @
SBB je jednoj firmi za koju radim IKT konsalting dao /30 blok na optici, aktuelno ove godine.
Telekom je meni poslednje tipa ove godine dao dva puta /30 blok, plus sam ja zakupio još kasnije. Ali i dalje su davali u februaru/martu ove godine /30 puta 2 za fiberpro.
@bachi
Ne mogu sad da ti pošaljem šta tačno da ubaciš na ruter da ti radi kako zamišljaš ali u osnovi output chain srcnat na ip adresu iz WAN bloka i tjt.
Ubi me posao sa svih strana. Kad se razbistrim sutra prekosutra poslaću ti u DM tačnu kobasicu da pejstuješ.
takođe zašto bre koristiš ROS 7 u produkciji lol
[ djricky @ 16.08.2024. 20:12 ] @
Citat:
Milan Kragujevic: takođe zašto bre koristiš ROS 7 u produkciji lol
zbog wireguard-a za pocetak
koristim ga i ja u produkciji na vise lokacija, nesto CCR, nesto CHR... radi sve normalno...
Back To Home is a convenience feature, that configures your device for secure VPN access from anywhere in the world to your router and your network, even if your router does not have a public IP address, is behind NAT or Firewall.
[ Milan Kragujevic @ 16.08.2024. 20:49 ] @
ja imam svoj vpn tako da mi to ne treba. meni treba da ruter radi i da radi po presedanima koji su postavljeni još dok sam ja bio u prvom razredu osnovne škole od strane raspalih letonaca
[ dragansar @ 16.08.2024. 20:59 ] @
Ja ga koristim na puno mjesta, puno i u ISP infrastrukturama gdje ima svega i svacega...i sa oprezom prelazim na nekim mjestima na V7, i do sad je sve oke...zato i pitam zasto ga ne koristiti :)
[ Milan Kragujevic @ 16.08.2024. 21:00 ] @
Pa napisao sam, predrasude zbog lošeg iskustva tokom 2020. godine sa mikrotik hap ac2.
[ dragansar @ 16.08.2024. 21:18 ] @
Ja sam davno digao ruke od Mikrotik AP-ova :)
[ Milan Kragujevic @ 16.08.2024. 21:21 ] @
I ja sam nakon "divnog" iskustva sa ROS 7. Sad furam samo ROS 6 na hardveru koji još može da to podrži, a za WiFi ne korisnik tikove nego consumer grade smeće ili openwrt sa normalnim (dakle non-mt76) drajverima.
[ bachi @ 17.08.2024. 09:38 ] @
Milane, može kobaja od komande kad stigneš, biću krajem sledeće nedelje ponovo na toj lokaciji, ništa hitno.
SBB za optiku daje jedan /30 blok i to je to.
Telekom komplikuje sa WAN i LAN blokovima, ali tako kako je.
Na većini lokacija bih bio srećan kada bi mi WAN interfejs rutera dobio putem DHCP-a jednu javnu ip adresu...
v7 za Mikrotik je stabilan, koristim ga duže vreme i zaista nisam imao problema.
A ponajviše sam počeo zbog wireguarda.
Ovaj Mikrotikov RB2011 ima drevni CPU na 600MHz i WG radi brzinom od 50Mb/s.
Takođe podrška za wave2 wifi... HW layer3 na određenim ruterima i svičevima...
Ako si poslednji put imao iskustvo sa v7 2020. godine, vreme je da mu daš novu šansu.
[ Cyberghost @ 26.11.2024. 12:21 ] @
Drugari evo nogvog slucaju
Moji pristupni podaci
WAN blok: 62.101.139.188/31 <<< VAZNO, bice promene
Telekom port: 62.101.139.188
Vaš port: 62.101.139.189
VLAN: 1201
LAN blok:
79.101.38.19/32
Podesn VLAN, port na mikrotiku i ruta da koristi Telekom port kao gateway ali nije dostupan.
U Kontaktu sa Telekom podrskom utvrde da se mikrotik "lose" ponasa kad mu je blok /31 pa promeni mi blok na /29
Odmah sve proradi stim da ja imam 1 mikrotik i podesavanje Firewall na sledeci nacin
i tu nastaje problem oko VPN-a.
evo pravila
Code:
chain: srcnat
Out interface: vlan1201
action: srcnat na 79.101.38.19
nema masquerade, net radi, radne stanice rade sve sljaka.
Medjutim,
ne radi mi VPN ka mikrotik i ne radi mi pristup na winbox-u spolja.
Winbox spolja sam podesio klasicnim NAT pravilom ali VPN koji je do promene ADSL-> Optika radio sada ne radi.
Ovo mi je vec next level kako radne stance imaju net bez masquerade a da za pristup na LAN i dalje trebaju NAT pravila!
Ima li leka ovde za VPN? Filter Rules su podesena da propsutaju propisane portove
Uradio sam na NAT-u Accept za UDP 500,1701,1723,4500 i za GRE protokol ali ni da pipne
[ djricky @ 26.11.2024. 12:32 ] @
daj sanitizovan export compact...
[ bachi @ 26.11.2024. 12:41 ] @
Citat:
Cyberghost:
Drugari evo nogvog slucaju
Moji pristupni podaci
WAN blok: 62.101.139.188/31 <<< VAZNO, bice promene
Telekom port: 62.101.139.188
Vaš port: 62.101.139.189
VLAN: 1201
LAN blok:
79.101.38.19/32
Podesn VLAN, port na mikrotiku i ruta da koristi Telekom port kao gateway ali nije dostupan.
U Kontaktu sa Telekom podrskom utvrde da se mikrotik "lose" ponasa kad mu je blok /31 pa promeni mi blok na /29
Odmah sve proradi stim da ja imam 1 mikrotik i podesavanje Firewall na sledeci nacin
i tu nastaje problem oko VPN-a.
evo pravila
Code:
chain: srcnat
Out interface: vlan1201
action: srcnat na 79.101.38.19
nema masquerade, net radi, radne stanice rade sve sljaka.
Medjutim,
ne radi mi VPN ka mikrotik i ne radi mi pristup na winbox-u spolja.
Winbox spolja sam podesio klasicnim NAT pravilom ali VPN koji je do promene ADSL-> Optika radio sada ne radi.
Ovo mi je vec next level kako radne stance imaju net bez masquerade a da za pristup na LAN i dalje trebaju NAT pravila!
Ima li leka ovde za VPN? Filter Rules su podesena da propsutaju propisane portove
Uradio sam na NAT-u Accept za UDP 500,1701,1723,4500 i za GRE protokol ali ni da pipne
Probaj VPN-u da pristupiš preko 62.101.139.189 ip adrese i vidi da li ti tako radi.
Takođe, za vpn koji je na mikrotik ruteru praviš input pravila na firewallu.
[ Cyberghost @ 26.11.2024. 12:49 ] @
Citat:
bachi: Probaj VPN-u da pristupiš preko 62.101.139.189 ip adrese i vidi da li ti tako radi.
Takođe, za vpn koji je na mikrotik ruteru praviš input pravila na firewallu.
MISLIM, kralju!!!!
Proslo sa IP adresom kako si naveo, to je u stvari IP koji oni zovu VAS PORT
U sustini mi onda i ne treba mapiranje Javne IP na LAN opserg, kao da se oni rasipaju malo sa ovim IP4 adresama?
Hvala
[ bachi @ 26.11.2024. 12:53 ] @
Treba ti srcnat pravilo kako bi računari koji su iza Mikrotika mogli preko njega da izlaze na net (koristeći 79.101.38.19 adresu). Bez tog pravila ne bi mogli na net.
A sam ruter za input i output chain, tj saobraćaj koristi 62.101.139.189.
Iskreno nemam pojma kako ga naterati da i on koristi 79. to ni kod sebe nisam uspeo, ali mi nije ni bitno.
[ zorzonor @ 22.12.2024. 18:05 ] @
Citat:
Cyberghost:
Drugari evo nogvog slucaju
Moji pristupni podaci
WAN blok: 62.101.139.188/31 <<< VAZNO, bice promene
Telekom port: 62.101.139.188
Vaš port: 62.101.139.189
VLAN: 1201
LAN blok:
79.101.38.19/32
Podesn VLAN, port na mikrotiku i ruta da koristi Telekom port kao gateway ali nije dostupan.
U Kontaktu sa Telekom podrskom utvrde da se mikrotik "lose" ponasa kad mu je blok /31 pa promeni mi blok na /29
Odmah sve proradi stim da ja imam 1 mikrotik i podesavanje Firewall na sledeci nacin
i tu nastaje problem oko VPN-a.
evo pravila
Code:
chain: srcnat
Out interface: vlan1201
action: srcnat na 79.101.38.19
nema masquerade, net radi, radne stanice rade sve sljaka.
Medjutim,
ne radi mi VPN ka mikrotik i ne radi mi pristup na winbox-u spolja.
Winbox spolja sam podesio klasicnim NAT pravilom ali VPN koji je do promene ADSL-> Optika radio sada ne radi.
Ovo mi je vec next level kako radne stance imaju net bez masquerade a da za pristup na LAN i dalje trebaju NAT pravila!
Ima li leka ovde za VPN? Filter Rules su podesena da propsutaju propisane portove
Uradio sam na NAT-u Accept za UDP 500,1701,1723,4500 i za GRE protokol ali ni da pipne
Izgleda da imam problem, slican onome sto ste opisali - dodeljen mi je WAN blok /31 i vlan1201
Pre nego sto pocnem da jurim Telekom podrsku (nisam optimista) molio bih Vas za pojasnjenje Vaseg posta:
Kada podesim Telekom port kao gateway, on nije dostupan, kako ste i Vi naveli.
Ako sam dobro razumeo, Vi ste zahtevali od telekoma da Vam da blok /29 i tek tada je sve proradilo?
[ Cyberghost @ 22.12.2024. 18:32 ] @
Podesavanke koje sam inicijalno uradio je kod Telekoma pokazalo da me vide i pinguju ali ja nisam imao izlaz na net.
Tehnicar (biz korisnik pa preko menadzera prodaje dobili direktno vezu bez zvanicnog pozivanja).
Lik je usao kod mene na komp(imao backup internet) i pogledao podesavanja mikrotika i rekao Milrotik ima problem sa tim opsegom koji je dodeljen i promenio kod Telekoma i na Mikrotik i proradilo.
Pre ovog slucaja sam podesavao na PC isto kao sto su dali i sve je eadilo ali sada nisam imao kada da se igram i isao odmah na mikrotik.
[ bachi @ 22.12.2024. 18:45 ] @
Ja imam /31 blok i sasvim sve normalno radi.
IP/Address pa idi na +.
IP adress je tvoja adresa iz wan ip bloka, na primer 212.200.100.2/31, a pod network stavljaš telekomovu adresu iz wan ip bloka, na primer 212.200.100.1 (ne stavljaš /31)..
Intefejs je vlan interfejs sa brojem koji si dobio od telekoma.
vlan praviš na interface ether1 (odnosno onaj interfejs na koji ti dolazim telekom), a ne na ceo bridge.
Zaitm pod ip/routes dodaješ statičku rutu ka 0.0.0.0/0, a gateway je ip adresa telekomova iz wan ip bloka, u ovom slučaju 212.200.100.1
[ zorzonor @ 22.12.2024. 21:22 ] @
Hvala na odgovorima.
Uradio sam tacno ono sto je bachi napisao. Ali kada sam pod ip/routes dodao staticku rutu ka 0.0.0.0/0, gateway je ip adresa telekoma iz wan ip bloka, dobijam da je ureachable, odnosno nedostupna ruta. Naravno, ne mogu ni da pingujem (sa mikrotika) njihovu WAN adresu.
Radim sa ROS 6.49.17, mozda je to problem, a bachi, koliko vidim eadi sa ROS 7?
Na kom ROS je Cyberghost?
[Ovu poruku je menjao zorzonor dana 22.12.2024. u 22:32 GMT+1]
[ Cyberghost @ 22.12.2024. 21:31 ] @
Isto sam ja imao dok telekom nije promenio opseg
[ zorzonor @ 22.12.2024. 21:34 ] @
Cyberghost, koji ROS koristis?
[ djricky @ 22.12.2024. 21:42 ] @
probaj bez vlana, meni se desilo pre 15 dana da su poslali konfig sa vlan 1201, a ustvari je bio cist access port bez vlana...
[Ovu poruku je menjao djricky dana 22.12.2024. u 23:04 GMT+1]
[ zorzonor @ 22.12.2024. 22:24 ] @
Nasao sam u cemu je bio problem. VLAN ipak mora da bude prisutan u mom slucaju.
Dokle god sam za adresu vlan interfejsa navodio 1.1.1.1/31 nije funkcinisalo, vec sam morao da upisem:
add address=1.1.1.1 interface="Telekom internet" network=1.1.1.0
pri cemu su 1.1.1.1 moja ip adresa iz WAN opsega, 1.1.1.0 njihova, a "Telekom internet" - VLAN. Naravno prave adrese sam zamenio alijasima, ali smisao je tu.
Proradilo, mogu da pingujem spoljnje adrese, rizolvuje DNS, MT je dostupan spolja....
Ostaje mi da se bavim LAN delom, ali to je vec lakse.
Hvala svima na sugestijama i pomoci.
[ djricky @ 22.12.2024. 22:32 ] @
nista ne razumem gde si gresio, ali ako tebi radi, super...
