[ mmix @ 30.10.2019. 16:57 ] @
Kao nastavak teme Preporuka za 5Ghz router/switch | interne antene

Povezao sam MT na postojeci ruter preko porta 1, svoj laptop sam nakacio na port 5 i sve je proradilo iz cuga, imam gbps lanac do ONT-a, speedtest pokazuje 248/48, tako da ono, byebye 100mbps ogranicenju.

Medjutim, ovo sve radi zato sto po defaultu MT zapravo radi kao ruter, i ima neki default bridge koji rutira sa 192.168.88.0/24 na 192.168.1.0/24 koristeci DHCP client adresu koju je dobio od glavnog rutera (192.168.1.40). To medjutim nije ono sto ja hocu, necu dve mreze i rutiranje, hocu cisti layer 2 bridge i da se sve vidi kao jedna mreza.

Kad u fastconfig prebacim iz rutiranja u bridge, i dam mu staticku adresu 192.168.1.2 dobijem u principu to sto hocu, reconfig na laptopu mi da IP adresu sa glavnog rutera i internet radi i MT se ponasa kao pure bridge. Medjutim ja vise ne mogu da pridjem konfiguraciji. Ne radi adresa 192.168.1.2, jer ruter izgleda ne slusa na njoj, adresa 192.168.88.1 ne radi jer svi paketi za nju ocigledno budu poslati na gateway jer su van 192.168.1.0/24. Pomazemo samo reset konfgiuracije pri cemu se vrati nazad na routing.

Nesto propustam, a ne mogu da nadjem sta, kako daposle prebacivanja u bridge mode mogu i dalje da pristupim ruteru?

Btw, ovo je verovatno samo prvo od mnogo pitanja
[ Predrag Supurovic @ 30.10.2019. 17:09 ] @
Podesi na mikrotiku DHCP klijent da i on povuče IP adresu )mada je to verovatno podešeno)

Možeš i da instaliraš na račuanr Winbox pa se njim da mu pristupiš po MAC adresi. Odeš na opciju Neghbourhood i tu bi trebalo da se pojavi ruter čak i ako nema IP.
[ mmix @ 30.10.2019. 17:17 ] @
Ja sam mu podesio umesto dinamcke da koristi staticku adresu, 192.168.1.2 je na njemu, i kad pogledam listu adresa na glavnom ruteru vidim tu adresu zakacenu za LAN2 port (gde sam ga i ubo). Medjutim, kad ukucam tu adresu u browser, dobijem timeout. Mogu i da ga pingujem, ali sama webcfg aplikacija na ruteru izgleda nije bindovana za taj IP
[ optix @ 30.10.2019. 19:29 ] @
Ja bih uradio sledece:

- Instaliraj na racunaru Winbox - samo zato sto on moze da se poveze na MT i bez IP adrese na njemu, preko fizicke MAC adrese. Posle mozes da ga izbrises ako neces da ga koristis, mada je ok alat. Kabl od racunara mora da bude u istom VLAN-u kao i bilo koji port na MT-u (ako vec nije direktno zakacen na njega). Ako ne mozes da pridjes po IP adresi, idi na Neighbors gde ce ga pronaci posle par sekundi.

- Kad se povezes, idi na System > Reset configuraiton. Odaberi opciju "No default configuration" i "Do not backup" pa > Reset configuration. Sacekaj da se podigne i onda mu pridji ponovo iz Winbox-a preko MAC adrese.

- Cim se ulogujes ponovo, prvo na sta ides je (ignorisi ako bude bio neki auto-setup ili sl.. bespotrebno je) > Bridge, kliknes na plavi +, upises ime tog default bridge-a npr. 'bridge-default' ili 'bridge-vlan1' i kazes OK (nikakve druge opcije nisu potrebne sad).

- Isto u Bridge prozoru, predes na tab "Ports", plavi +, izaberes interface Ether1, izaberes bridge 'bridge-default', OK. Ponovis za sve Ether interfejse.

- Iz levog menija ides na IP > Addresses, plavi +, dodas adresu (recimo ta 192.168.1.2/24 ako se ne dodeljuje DHCP-om negde) izaberes ponovo interface 'bridge-default'. Sad mozes da se ulogujes na ruter i preko IP adrese.

Ako ti je u nekom momentu pukao Winbox dok si bio uglogovan preko MAC adrese.. desava se, samo se uloguj opet.

Posle toga dodaj staticku default rutu ka drugom ruteru (IP>Routes).

Servise kao sto su web gui, ssh i sl podesavas na IP>Services - oni slusaju na svim adresama koje su dodeljene MT-u. Korisne stvari koje jos mozes da podesis na pocetku su i DNS (IP>DNS) NTP (System>NTP) i sl.

Onda mozes da predjes na taj VPN i sl. Ne zaboravi da ce ti biti potrebno i NAT pravilo za saobracaj preko VPN-a, jer ce adresa biti bind-ovana na ruteru a ne na TV-u..

Kada budes dodavao WIFI, wireless interface podesavas kao Mode 'AP-bridge' i dodajes ih u isti onaj default bridge u bridge ports prozoru. Slobodno mozes da konfigurises isti SSID i password kao i na prvom ruteru, klijent ce sam da se nakaci na onaj sa jacim signalom.





[Ovu poruku je menjao optix dana 30.10.2019. u 20:57 GMT+1]
[ mmix @ 30.10.2019. 19:42 ] @
Zasto dodajem rutu? Zar nece bridge raditi kao layer2 switch (tj automatski lopatati sve pakete na osnovu mac listi?)

Drugo, zar ne bi morao vec sada da mi se javlja na .1.2? posto je defintivno bindovao taj IP i mogu da ga pingujem?

Ok, sad sam morao da iskljucim MT za veceras, probacu ujutro pa javljam
[ optix @ 30.10.2019. 19:44 ] @
Hoce, naravno.
Rutu dodajes da bi kasnije mogao da pristupis tom VPN-u, radis upgrade firmware-a i sl.

Ne javlja se na .1.2 verovatno zbog nekog filrewall pravila na default konfiguraciji koje onemgucava web pristup iz non-default mreze (192.168.88.0/24). To moze da bude ili u Firewall pravilima, ili u podesavanjiama za www servis (deo 'available from'). Nazalost, ili na srecu ne podesavam MT bas svaki dan od 0, pa ne znam te neke stvari napamet
[ mmix @ 30.10.2019. 19:47 ] @
A mislis to je lokalna ruta za sam MT? Da bi sam ruter mogao na net?

Ok.
[ optix @ 30.10.2019. 20:06 ] @
Citat:
A mislis to je lokalna ruta za sam MT? Da bi sam ruter mogao na net?


Da.
[ mmix @ 30.10.2019. 20:24 ] @
Zanmiljivo mi je da to mora da se stavi, al opet kad se prisetim u IP adersama nisam video gateway.
[ Predrag Supurovic @ 31.10.2019. 00:38 ] @
Ma ne mora to ništa. Samo sve staviš u bridž i brižu dodeliš IP adresu u lokalnom ip opsegu.

[ mmix @ 31.10.2019. 12:22 ] @
Ok, to sam uradio, i bridge radi, sad kucam sa porta sa microtika, dobio sam DHCP info zakomp od glavnog rutera i to radi. medjutim:

1. IP Route sa sama napravila, dynamic => Dst. Address 192.168.1.0/24 Gateway: main-bridge reachable, Pref. Source 192.168.1.2
1a. Da li je to ta ruta o kojoj pricamo? da mi microtik mogao na net
2. bez obzira na tu rutu, sam mikrotik ne moze na net, kao prvo bunio se da ne moze da uradi DNS resolve, sto pretpostavljam da je ok jer radim staticku IP adresu 192.168.1.2
3. Kad mu postavim DNS na 192.168.1.1, uradi name resolve ali mu je onda network unreachable.
4. Tek kad mu dodam rutu static => Dst. Address 0.0.0.0/0 Gateway: 192.168.1.1 main-bridge reachable, tek onda je uspeo da proveri update.

jesam to sve uradio kako treba, ili sam nesto

Zasto postoji ta dinamicka ruta uopste?
[ bachi @ 31.10.2019. 12:41 ] @
Čim je neki mrežni uređaj u nekom subnetu, podrazumeva se da ima rutu ka tom subnetu.

Idi na windows mašini kucaj route print i videćeš ovako nešto: 192.168.0.0 255.255.255.0 On-link 192.168.0.3
[ mmix @ 31.10.2019. 13:50 ] @
Aha, ok. moram da se naviknem na te implicitne stvari. Meni je uvek dta default ruta delovala kao nesto implicitno vezano za IP adresu/mask, nesto sto ne mora ni da se napise :) jer u cemu bi bila poenta nemati


Sad se zezam sa WiFi. Poksazuje mi dva hardverska interfejsa (2.4 i 5Ghz) i trenutno su mi disabled. Mogu da ih enablujem, ali sad razmisljam, kako cu onda da napravim jos jedan Wifi net za tv. Tj kako jedan hardverski interfejs da mi opsluzuje dve mreze, jedna u osnovnom bridfu druga u VLAN-u
[ bachi @ 31.10.2019. 13:57 ] @
Jedan SSID ti je klasičan master AP, a za ostale SSIDove praviš new pa virtual AP. Taj virtualni AP može da ima drugačiji vid autorizacije, drugačiju lozinku, da ga bridguješ sa vlanom ili da bude interfejs za sebe, itd...

https://www.youtube.com/watch?v=XJlSnpTrbyg

Imaj u vidu da su 2,4 i 5GHZ u potpunosti odvojene dve kartice i tako ih mikrotik i tretira. Pa tako posebno praviš SSIDove za 2,4GHz mrežu, a posebno za 5GHz mrežu. Posle ih bridžuješ sve đuture sa odgovarajućim vlanom.

Za obe frekvencije SSID može da bude isti, normalni klijenti će uvek preferirati 5GHz ako je signal kvalitetan a prelaziti na 2,4 samo ako je 5GHz signal loš.

Ako imaš nenormalan klijent, onda razdvoj nazive ssiova, tipa MMX_2,4 i MMX_5
[ Predrag Supurovic @ 31.10.2019. 14:05 ] @
Zato sam ti rekao da namestiš DHCP klijenta na Mikrotiku jer bi ti on sve to autoamtski podesio. Ako dodeljuješ IP adresu ručno onda moraš i sve ostalo ručno da podesiš.
[ mmix @ 31.10.2019. 15:31 ] @
Kako da izmerim realnu brzinu wifi konekcije? Jel ima neki bench u MTu?

[ optix @ 31.10.2019. 16:30 ] @
Posto ispod tvog nick-a pise "OS: Linux" mozes recimo da:

Povezes jedan komp kablom na MT, drugi komp nakacis WIFI-em na MT.

Na prvom kazes
iperf3 -s


Na drugom
iperf3 -c ip.prvog.kompa


Onda mozes da obrnes smer i sl. pogledaj opcije iperf-a, ima ih dosta.




@broker
Kaze da ima DHCP na drugom ruteru, tako da su mu dva onda nepotrebna.






[Ovu poruku je menjao optix dana 31.10.2019. u 17:47 GMT+1]
[ bachi @ 01.11.2019. 07:57 ] @
Peđa je napisao DHCP klijenta da aktivira na Mikrotiku, ne server.

Na taj način će MT pokupiti IP parametre od glavnog rutera i onda ne mora da se zeza oko ručnog podešavanja IP, gatewaya, dnsova, default rute, itd...

Na glavnom ruteru eventualno uradi DHCP rezervaciju kako bi MT uvek dobijao istu ip adresu.
[ optix @ 01.11.2019. 09:37 ] @
Ups, pogresno procitah - pomislih automatski na server, izvinjavam se.
[ mmix @ 01.11.2019. 10:29 ] @
Ne, DHCP mi nije opcija, ne volim da se petljam sa rezervacijam i mac adresama, staticki mi radi ok. imam ceo /24 range izdeljen po funkciji i .1 do .9 su mi rezervisani za infrastrukturu. Jedino sto me je malo zbunilo kod MT je sto su sve te opcije razudjene toliko, al sad se vec uhodavam.

@optix, samo moja radna masina je Linux :) ostale masine po kuci su nazlaost jos windows. ALi svejedno, vidim da iperf3 ima i za Windows, probacu.
[ Predrag Supurovic @ 01.11.2019. 11:58 ] @
Citat:
mmix: Ne, DHCP mi nije opcija, ne volim da se petljam sa rezervacijam i mac adresama, staticki mi radi ok.


Pa odbor ukusi su različiti. Neko voli komfor a neko sado-mazo :)

[ mmix @ 01.11.2019. 12:24 ] @
Svodi mi se na isto. Granted, na MTu je dodle staticke IP malo kompleksniji proces nego na Winu. Ali nije toliko kompllikovanije. DHCP me je bio u uvek ostao instrument za end masine, ne za infrastrukturu. Ne vidim neku vecu razliku u cimanju izmedju pravljenja static route na IP adresu i pravljenja DHCP rezervacije na MAC adresi (narocito sad kad interfejima mozes da menjas mac adrese po zelji). Stvar ukusa, pretpostavljam.

[ bachi @ 01.11.2019. 13:46 ] @
Ma dobro, stvar ukusa.

Ja sve druge mrežne uređaje postavljam da kupe mrežne parametre od DHCP servera u slučaju da mi dune da promenim subnet, ili jednostavno iz nekog razloga želim da taj uređaj dobija drugu ip adresu ili dns ili šta god, da ne moram svaki ponaosob da podešavam. Kad imaš 2 uređaja u mreži, manje više je to nebitno.
[ nkrgovic @ 01.11.2019. 15:18 ] @
Citat:
bachi: Ja sve druge mrežne uređaje postavljam da kupe mrežne parametre od DHCP servera u slučaju da mi dune da promenim subnet, ili jednostavno iz nekog razloga želim da taj uređaj dobija drugu ip adresu ili dns ili šta god, da ne moram svaki ponaosob da podešavam. Kad imaš 2 uređaja u mreži, manje više je to nebitno.

This!

Takodje, onda imas spisak svih koriscenih IP i MAC adresa na jednom mestu - ovo je, zapravo, najbitnije.
[ mmix @ 01.11.2019. 18:47 ] @
Pa ako radis rezervaciju IP adresa onda svejedno moras svaku da promenis ako promenis subnet, zar ne?

Nije kod mene bas tako jednostavno, imam i neke masine koje mi drze razne servise, nazovimo ih inhouse serverima. Oni su mi svi na statickim adresama u opsegu izvan DHCP range-a. Onda mogu i da busim port-forward rupe za njih. Promena subneta meni ionako nije smislen posao zbog svih stvari koje moram da promenim.

Sto se tice liste mac adresa, ne vidim zasto bih se logovao na ruter za to. sudo nmap -sn 192.168.1.0/24 ftw
[ bachi @ 01.11.2019. 19:09 ] @
Da, ali menjam na jednom mestu, a ne na svakom ruteru.

Ali dobro, ko kako voli.
[ optix @ 01.11.2019. 19:24 ] @
Koliko cesto menjas adrese na ruterima?
[ Predrag Supurovic @ 01.11.2019. 19:53 ] @

Ljudi, ne vredi objašnjavati mu.

On je linuxaš - naviklo to na sado-mazo :) Navikao da se pati i njemu je to normlano stanje :)

Ne razume on uopšte o čemu mi pričamo :)
[ Branimir Maksimovic @ 01.11.2019. 19:54 ] @
Mislim da je mmix skoro presao na Linux...
[ mmix @ 01.11.2019. 20:05 ] @
Haha, da, skoro.

Ali nema to veze sa Linux vs Windows. DHCP je point of failure. Nije nesto sto se kvari svaki dan, niti cu mozda ikad doziveti da se pokvari i zakoci, ali je point of failure i moj mozak mi ne dozvoljava da ga stavljam na mission critical masine :) Mozda se ja jos nisam dovoljno vukao po raznim NOCovima, ali za sada sta sam video DHCP je samo da se skinu sa k-ca radne stanice i plebs, svi serveri i infrastruktura su static configured i podaci se cuvaju u CMDB bazama. Vrhuna cautoamtizacije je tu integracija servera i networking opreme sa CMDBom i remote management.
[ optix @ 01.11.2019. 20:27 ] @
^

To (point-of-failure) je i jedan od, mada ne jedini, razlog sto neces ni u jednoj ozbiljnoj mrezi videti infrastructure rutere koji imaju interfejse podesene DHCP-om. Cak se ni IPv6 ne ostavlja na auto-configure, vec se 'rucno' podesavaju i point-to-point linkovi. Ako i postoji potreba menjati adrese na interfejsima cesto, to ce se raditi nekim automation alatom, preko posebne management mreze. Pricam kao neko ko je u poslednjih 15 godina radio od mreza sa 3 rutera, do mreza sa 3000+ rutera :)

DHCP ima svoje primene. Klijentski uredjaji, radne stanice, male kucne mreze i sl..


U tvom slucaju je objektivno prilicno svejedno, niti sta posebno dobijas niti gubis. :)

[Ovu poruku je menjao optix dana 01.11.2019. u 21:52 GMT+1]
[ nkrgovic @ 01.11.2019. 20:43 ] @
Citat:
optix
To (point-of-failure) je i jedan od, mada ne jedini, razlog sto neces ni u jednoj ozbiljnoj mrezi videti infrastructure rutere koji imaju interfejse podesene DHCP-om. Cak se ni IPv6 ne ostavlja na auto-configure, vec se 'rucno' podesavaju i point-to-point linkovi. Ako i postoji potreba menjati cesto adrese na interfejsima cesto, to ce se raditi nekim automation alatom, preko posebne management mreze. Pricam kao neko ko je u poslednjih 15 godina radio od mreza sa 3 rutera, do mreza sa 3000+ rutera :)

Moze malo pojasnjenje, zasto je DHCP point of failure, a npr. Puppet ili Chef server nije? Ili, ako i oni jesu, koji to automation alat je prihvatljiv? Pri tom:

- Kad pukne bilo koji od njih, nista ne prestaje da radi, samo se nove stvari ne desavaju
- Mogu da rade kao VM, koji ima HA mehanizam koji ga restartuje za par minuta (i to je worst-case)
- Elegantno se pravi monitoring, koji dize alerting ako padne

Iz moje prakse AWS svim EC2 instancama dodeljuje adresu preko DHCP-a, Azure isto... ima bas dosta primera gde se koristi DHCP. Pri tom, apsolutno nema problema da se u DHCP-u fixira adresa prema MAC adresi, kao sto nema problema da se napise skripta koja za novi VM doda MAC iz nekog pool-a, upuca u DHCP par MAC/IP, privision-uje VM kroz ansible ili terraform ili stagod vec....

Kapiram ja da je staticko podesavanje "trajnije" i manje podlozno otkazima, ali meni je uvek bolje nesto sto je moguce automatizovati rekonfigurisati sa centralne lokacije. Ja bi pre, na konfiguraciji sa 3000 uredjaja (a kamoli sa 3000 rutera i ko zna koliko uredjaja) ocekivao brdo ljudskih gresaka, preklapanja, konflikata.... Jedan jedini config, jedan jedini fajl, koji je uredan, koji stoji u git-u je, po meni, mnogo laksi za rad. Svaka izmena kao MR, ako dvojica rade u isto vreme dobijes conflict jos u git-u a ne "na terenu", sve se resava odma, mogu i testovi da se prave ako bas treba....
[ optix @ 01.11.2019. 22:16 ] @
Sa napomenom da sam prvenstveno pricao o isp/carrier/telco mrezama sa tolikim brojem rutera, posto, ipak, ne znam koja druga mreza ih ima u tom broju - a da nisu recimo virutal ruteri u nekakvom cloud-u sto je potputno drugi slucaj gde DHCP naravno ima simisla:

Citat:
nkrgovic:
Moze malo pojasnjenje, zasto je DHCP point of failure, a npr. Puppet ili Chef server nije? Ili, ako i oni jesu, koji to automation alat je prihvatljiv? Pri tom:

- Kad pukne bilo koji od njih, nista ne prestaje da radi, samo se nove stvari ne desavaju


Upravo si ovde naveo jedan od primera. Kada automation alat pukne, da - ne desavaju se nove stvari, ni pozitivne ni negativne. Kada DHCP-om dodeljena adresa postane expired, a DHCP server iz bilo kog razloga nije dostupan, sta se desava?

Drugo, ja sam implicitno pretpostavio taj slucaj (cesta promena adresa na interfejsima) koji bi mogao da se elegantije i bolje resi automation alatom. Dodatno i zato sto bi takva promena na ruteru bila trenutna, zajedno sa jos svim izmenama koje bi bilo potrebno obaviti na njemu, recimo na ruting protokolima koji takodje jako zavise od podesenih IP adresa, a ne bi se cekao DHCP discovery-offer-request-acknowledge proces, i uopste problem kako inicirati promenu na svim zeljenim uredjajima gde nije istekao expire a zelimo da se promena obavi u nekom kracem roku...
Ali, promena adresa na interfejsima na, recimo pomenutim infrastructure ruterima, ne da nije cesta stvar.. nego je verovatnije da ce taj ruter zavrsiti svoj visegodisnji radni i funkcionalni vek i biti zamenjen drugim, koji ce imati te iste adrese :)
Security? IP Access liste na ruterima koji cesto menjaju IP adrese?! Dodatni, eksponencijalni, nivo kompleksnosti za promenu, da ne spominjem - kojim protokolom ce te Access liste da se izmene?
Security #2 - sta se desava ako se u takvoj mrezi pojavi nezeljeni (bilo tudji, bilo sopstveni - pogresno namesteni) DHCP server? Siguran sam da se vecina sys. admina barem jednom u karijeri susrela sa ovim pa su krenuli da citaju o DHCP snooping i slicnim mehanizmima koji nisu svemoguci, i samo dodaju na kompleksnost konfiguracije..

Trece, DHCP je Layer2 protokol, i sa svim ogranicenjima koje jedan takav protokol donosi, zamisli koja bi gimnastika bila potrebna namestitil da to radi uopste (iako teorijski nije nemoguce) a tek da radi pouzdano u mrezi od, nek bude 30 a ne 3000+ rutera, od kojih 95% linkova nisu multipoint linkovi ka bilo kakvoj L2 mrezi, nego cisti L3 point-to-point linkovi. Neko je pomenuo "sado-mazo"? :D

Cetvrto, DHCP je IPv4, za IPv6 treba ti DHCPv6, ok jos jedan protokol u stacku za odrzavanje.. Mnoge (velike) mreze koriste IS-IS, koji DHCP ce da konfigurise ISO adrese (?) itd..

I tako u nedogled :) Jednostavno DHCP nije alat koji je zamisljen za svaki slucaj gde je potrebno dodeliti adresu.

Automation alatom se ne unosi implicitno nikakva dodata bojazan od ljudske greske u konfiguraciji u poredjenju sa DHCP-om - pod uslovom da se IP adrese ne vade iz malog mozga bilo kog sys/network admina koji je tog dana ustao na levu nogu i nije popio svoju kafu, nego stoje u nekakvoj centralnoj bazi (otprilike bas kako je mmix pomenuo) - koju bi opet bilo kakav iole krsteno dizajniran DHCP servis morao da ima, ako ni zbog cega drugog zato sto pomenutno HA resenje (sa vise DHCP servera) mora da ima centralizovane podtake o tome, osim ako necemo da se vec dodeljene adrese random dodeljuju novim klijentima :)
Ansible se recimo cesto koristi u networking svetu.. :)


Kao sto rekoh, sve se ovo odnosi na rutere u nekim velikim mrezama tipa koji sam pomenuo na pocetku. Pa i u takvim, DHCP moze da ima smisla za dodelu adresa, na primer, krajnjim korisnicima (recimo na DOCSIS cable mrezi) koji nisu mission critical deo mreze.

Kucne mreze, racunari, IOT uredjaji, enterprise domeni, cloud VM/VR masine - samo napred sa DHCP-om naravno, ali bih ja i tu izbegavao DHCP na ruterima :)

[ Predrag Supurovic @ 02.11.2019. 03:33 ] @
Mi, ovaj, pričamo o slučaju kućne mreže gde silom prilika imaju dva rutera, od kojih je verovatno jedan pod kontrolom ISP tako da se na njegovu konfiguraciju ne možeš osloniti.

Za sitne mreže meni je DHCP nezamenljiv. nešto stne iznmeđu dva rutera stalo je. Da li imaju statične ili adrese dodeljene preko DHCP svejedno je. Kada se DHCP koristi čak je lakše detektovati problem, bar ako koristiš Mikrotik. prsoto, ako nemaš knekciju ka nekom delu mreže prvo pogledaš u DHCP da vidiš da li je ruter prekokgoa je ta mreža povezana povukao IP adresu, ako jeste, znači fiziki lnk radi i problem je negde dalje, ako ga nema na DHCP tu je problem.

Doduše, da bi pristupio Mikrotiku IP adresa ti i ne treba tako da i to možda i to iam uticaja ma noj pristup. Navikao sam da ako sumnjam da neki link ne radi prosto otkačim kabal, ubodem laptop i bez ikakvog podešavanja IP na laptopu mogu da pristupim ruteru tako da mi nije bitno da ruter mora da ima IP adresu.

Radio sam i ja tako, sve sa statičkim IP adresama i rutama. Smatrao sam da najveću kontroluimam kada sve ručnonamesti. Međutim, kad god mi mreža naraste, ima više rutera, to postane noćna mora za podešavanje i održavanje, naročito ako neki ruter postavljen ko zna gde, teško dostupno - crkne.

Kada sam prešao na dinamičko dodeljivanje IP adresa i dinamičko rutiranje, svanulo mi je. Čak sam imao situacije da sam cele mreže morao da prekonfigurišem i menjam IP adrese i pošto je sve bilo dinamički podešeno to je prolazilo prilično jednostavno i brzo i bez glavobolja i sve sa jednog mesta. Fizički moramo da budem negde samo ako je ruter crkao pa mora da se zameni a često ni tad jer mogu vrlo lako dapripremim ruter i da ga dam nekm drugom da ga zameni jer će svu bitnu konfiguraciju ruter sam da povuče od mreže čim se zakači.

Još nijednom nisam imao problem zbog primene DHCP, a sa statičkim adresiranjem sam ih imao gomilu.
[ Branimir Maksimovic @ 02.11.2019. 08:15 ] @
Sve u svemu ako se ne koristi DHCP, treba imati neku zamenu. Rucno postavljanje ip adresa je pain, ako ima mnogo uradjaja.
Svakako da ako imas 5-6 servera mozes rucno da podesis ip adrese na njima, ni to nije sporno.
Sto se tice ipv6 nikad ja nisam postavljao, tako da kako se podesava lan za ipv6, nemam pojma.
[ nkrgovic @ 02.11.2019. 09:25 ] @
Citat:
optix:
Upravo si ovde naveo jedan od primera. Kada automation alat pukne, da - ne desavaju se nove stvari, ni pozitivne ni negativne. Kada DHCP-om dodeljena adresa postane expired, a DHCP server iz bilo kog razloga nije dostupan, sta se desava?

Drugo, ja sam implicitno pretpostavio taj slucaj (cesta promena adresa na interfejsima) koji bi mogao da se elegantije i bolje resi automation alatom. Dodatno i zato sto bi takva promena na ruteru bila trenutna, zajedno sa jos svim izmenama koje bi bilo potrebno obaviti na njemu, recimo na ruting protokolima koji takodje jako zavise od podesenih IP adresa, a ne bi se cekao DHCP discovery-offer-request-acknowledge proces, i uopste problem kako inicirati promenu na svim zeljenim uredjajima gde nije istekao expire a zelimo da se promena obavi u nekom kracem roku...
Ali, promena adresa na interfejsima na, recimo pomenutim infrastructure ruterima, ne da nije cesta stvar.. nego je verovatnije da ce taj ruter zavrsiti svoj visegodisnji radni i funkcionalni vek i biti zamenjen drugim, koji ce imati te iste adrese :)
Security? IP Access liste na ruterima koji cesto menjaju IP adrese?! Dodatni, eksponencijalni, nivo kompleksnosti za promenu, da ne spominjem - kojim protokolom ce te Access liste da se izmene?
Security #2 - sta se desava ako se u takvoj mrezi pojavi nezeljeni (bilo tudji, bilo sopstveni - pogresno namesteni) DHCP server? Siguran sam da se vecina sys. admina barem jednom u karijeri susrela sa ovim pa su krenuli da citaju o DHCP snooping i slicnim mehanizmima koji nisu svemoguci, i samo dodaju na kompleksnost konfiguracije..

Trece, DHCP je Layer2 protokol, i sa svim ogranicenjima koje jedan takav protokol donosi, zamisli koja bi gimnastika bila potrebna namestitil da to radi uopste (iako teorijski nije nemoguce) a tek da radi pouzdano u mrezi od, nek bude 30 a ne 3000+ rutera, od kojih 95% linkova nisu multipoint linkovi ka bilo kakvoj L2 mrezi, nego cisti L3 point-to-point linkovi. Neko je pomenuo "sado-mazo"? :D

OK, kapiram za rutere. Kapiram i apsolutno se slazem da za interfejse koji gledaju ka spolja i koji logicno nemaju L2 mrezu da ne mogu da imaju DHCP - to je jedini razuman nacin.

Sve sto ja hocu da kazem je: Ili automatizacija, ili DHCP, u zavisnosti od lokacije i dostupnosti DHCP mreze. Da se razumemo, ja jako gotivim ceo pristup sa automatizacijom, stavise ja na privatnom cloud okruzenju bi radije video automatizaciju 100% nego automatizaciju+DHCP . Puppet all the way jeste odlicno resenje i da, ima prednosti u odnosu na DHCP koje si naveo, plus, sa moje tacke gledista, glavna prednost ako predjes na automatizaciju je da imas sve u jednom config alatu. Zapravo, ja isto ne bi imao DHCP plus automatizaciju, osim ako ne podesavam i DHCP kroz taj automation - cisto da bi mi konfiguraciona baza bila kompletna i na jednom mestu.

Sve sto ja zelim reci je: Rucno dodeljivanje statickih adresa je JAKO LOSE resenje. Za male mreze DHCP je dovoljan. Za dosta mesta DHCP je ziva zgoda (cloud za krajnje korisnike). Gde moze da se ide na full automatizaciju i gde imas dedicated IT staff koji sve odrzava kao configuration as code - automatizacija je bolja. Naravno da je za radne stanice DHCP jedini izbor, necu da spustam puppet agent na svaki desktop, plus DHCP je mnogo laksi za v.d. admina :) . Samo ne staticke, rucno dodeljenje adrese.

Staticke adrese zahtevaju JAKO mnogo truda i podlozne su greskama. Ne samo ono sto si naveo, tipa promena adrese a stara konfiguracija nekih drugih protokola - cak i banalne stvari tipa duplo koriscena adresa prave ogroman problem. Zato sam ja protiv rucno dodeljenih adresa, ili bar svodjenja istih na jednocifren broj.
[ mmix @ 02.11.2019. 09:29 ] @
Ok, mi zaista pricamo o kucnoj mrezi Mozda malo komplikovanijoj od average kucne mreze, ali i dalje kucna mreza. Ali stvar je u principu, ne lagodnosti, ako se nesto radi, radi se kako valja, dal 10 ili 1000 masina. Ja sam na staticke adrese upravo presao jer mi je DHCP bio nocna mora za rad sa severima, vise sam se njim i njegovom konfiguracijom bavio nego drugim stvarima. Morao da dizem zasebne inhouse DNS servere i AD server, da mi oni stalno rade da bi infrastruktura radila. Opet point of failure, samo jos veci. Ovako mi je mreza lean and clean i jedini point of failure mi je switch cip.

Al da se vratimo na temu doslo je vreme da kreiram VLAN

Ideja je, za pocetak

1. Da bude na svom IP range-u, 192.168.2.0/24, moze i manji ali da ne komplikujem
2. Da ima svoj DHCP, konfigursan za pool na 2.0 i da podesen DNS na 192.168.1.1
3. Da ima svoj VPN link
4. Da rutira na taj VPN link
5. Da ima zaseban WiFi sa svojim SSIDom i security podesavanjima

[ Branimir Maksimovic @ 02.11.2019. 09:39 ] @

heh, na Ausu za vpn je lako, ali za vlan malo teze, jedino sto ima guest network pa mu to dodje kao poor man vlan :P
pretpostavljam za tako nesto bih morao da kupim miktorik :P
[ optix @ 02.11.2019. 12:20 ] @
@mmix

Par napomena, smernica:

- VLAN na mikrotiku je novi bridge. Napravis novi bridge sa imenom npr. 'bridge-vpn' ili 'bridge-vlan2' i dodajes fizicke i virtuelne (wifi) interfejse u taj novi bridge. Adresu .2.1 i DHCP server vezujes takodje za novi bridge. Obrati paznju da je ovo dovoljna konfiguracija za VLAN ako ti nije potrebno da imas 802.1q tagovanje VLAN-a na bilo kom interfejsu. Ako jeste, onda ides u sekciju Interface>VLAN kreiras vlan tag koji ti je potreban na nekom interface-u, i njega posle vezujes sa nekim bridge-om.

- Da (VLAN) ima "svoj" VPN i da rutira na taj VPN nije bas tako trivijalno. VLAN je L2 domen, rutiranje je L3 funkcija. Da bi VPN i rutiranje bilo u tom VLAN-u, bridge-u zapravo, potpuno odvojeno od glavnog VLAN-a potrebna ti je nova routing instanca tj. VRF koji ce da drzi rute odvojeno od glavne ruting tabele.
Druga opcija da se postigne nesto "slicno" bi bio source-based policy-routing. Ostaje jedna, glavna ruting tablela, medjutim polisom usmeravas saobracaj na osnovu source adrese (mreza i uredjaji iz opsega 192.168.2.0/24) na VPN konekciju.

Na osnovu onoga sto si do sada u ovoj i onoj pretodnoj temi rekao da zelis da postignes sa mikrotik-om i TV-om koji treba da pridje remote streaming serveru, idalje mislim da ti je najelegantnije resenje da kada kreiras VPN, dodas staticku rutu za IP ili subnet u kojoj se streaming server nalazi iza VPN-a. Na TV-u jedino sto treba da izmenis je da mu je default gateway adresa Mikrotika, ili - da na glavnom ruteru takodje dodas tu istu staticku rutu za streaming server da gadja Mikrotik. Onda ne moras da menjas nista na TV-u koji ce moci da prilazi i streaming serveru i Netflix-u npr. bez ikakvih izmena bilo cega, u bilo kom trenutku.

- Za zaseban WIFI SSID nije problem, kao sto ti je bachi vec napisao, kreiras virtuelni WIFI interfejs nad jednim od dva (2.4 ili 5GHz interfejsa) sa svojim podesavanjima, taj virutelni wifi interfejs uclanjujes onda u bridge (VLAN) koji zelis.





[Ovu poruku je menjao optix dana 02.11.2019. u 13:34 GMT+1]
[ mmix @ 02.11.2019. 13:05 ] @
Kako da znam dal mi treba tagovanje? Na taj VLAN ce se kaciti samo TV preko WiFia

[ optix @ 02.11.2019. 13:09 ] @
Nije ti potrebno.

Tagovanje je potrebno onda kada imas vise od jednog vlan-a na nekom interfejsu (tzv. trunk).
[ mmix @ 02.11.2019. 13:21 ] @
Aha, ok, ne treba mi.

A sad nesto gledam, ako taj novi bridge ima samo VPN i wifi interfejs, zasto mi je problem ako postoji drugi bridge? Zar ne mogu da napravim rutu tipa: src: 192.168.2.0/0 dst: 0.0.0.0/0 gate: vpnintf ? Kontam da bi mi onda i mode dugme bilo jednostavno, samo bi skripta menjala gateway?
[ optix @ 02.11.2019. 13:55 ] @
Da bi usmerio saobracaj preko VPN konekcije, potrebno ti je rutiranje i NAT - osim ako se ne radi o nekom cistom L2 tunelu end-to-end, sto bi me malo zacudilo. Samim tim dodavanje VPN interface-a u bridge nema mnogo smisla. Zato sam ti rekao da kada zavrsis sa osnovnim stavrima pokusas da podignes VPN tunel i vidis koji protokol mozes da koristis i kakve parametre ces dobiti.

Kada dodajes rutu, mozes da definises samo destination mrezu (!), ne i source mrezu. Za source-based routing potreban je routing policy.

Da budem iskren, nisam siguran zasto izbegavas resenje koje sam ti predlozio sa statickom rutom za streaming-server, i idalje zelis neku skriptu koja bi menjala (koji?) gateway.. Osim ako ne zelis da otezavas sebi, ili imas jos neke zahteve koje nisi rekao.

[ mmix @ 02.11.2019. 14:01 ] @
Pa ucim pride A i nisam siguran za taj VPN kako radi. A i ako uspem da ovo uradim, planiram i da uradim nesto slicno zsa netflix-om (da ne duzim dalje)

Sad cu da problam da podignem VPN, pa da vidim. Javljam.
[ mmix @ 02.11.2019. 17:27 ] @
I btw, ne moze station mode za wifi interface. To me je sad bas namucilo, station mode je izgleda client mode (kad se MT kaci na postojecu wifi mrezu). Tek kad sam prmenio mode u "ap bridge" je proradilo.


Medjutim, imam vrlo los stats sa wifi-em. :( Uopste ne mogu da postignem neke pristojne brzine. I brzina varira, cesto trokira. Dal je moguce da je neispravan MT?


[ bachi @ 02.11.2019. 17:47 ] @
Pa koliko vidim, širina kanala ti je 20MHz. Povećaj to na 40 ili na 80.
[ optix @ 02.11.2019. 18:06 ] @
Da, station mode je client za wifi, ap-bridge je da bude access point.

Stavi Channel Width (Wireless tab) da bude: 20/40/80MHz Ceee npr, za 2.4 GHz interfejs stavi 20/40 Ce.
[ mmix @ 02.11.2019. 18:57 ] @
TO je povecalo Tx/Rx, ali u prakticnom testu i dalje je katastrofa. Najoblje sto sam dobio je 199, ali tek na kraju testa, do tad se vuklo sve polako. Upload i dalje katastrofa






[ optix @ 02.11.2019. 19:06 ] @
Pa.. to je odlican rezultat ako ti je Internet link 200/20. No, posto nisi rekao koji link je u pitanju...

Uradi neki lokalni test izmedju dva kompa, jedan na kablu drugi na wifi-u a ne speedtest.net. Makar i file transfer ako ne iperf.
Gledaj da je wifi klijent naravno u blizini i direktnoj optickoj vidljivosti sa mikrotikom..
[ mmix @ 02.11.2019. 19:10 ] @
sorry, 250/50 optika. kad radim sped test preko ether dobijam 250/50 +/- par procenata i to gruva stabilno kroz ceo test



[ mmix @ 02.11.2019. 19:18 ] @
Uh, sad sam povezao laptop na Wifi, dobio iz cuga stabilnih 245/48... Izgleda da meni wifi na desktopu nije dobar, dal oprema dal ubuntu drajver.

Sad cu da probam iperf3 test, a sutra cu da dualbootujem na win particiju da vidim dal je hardver ili drajver.
Po specifikaciji ploce ima: Wi-Fi 802.11 a/b/g/n/ac 3x3, up to 1300Mbps transfer speed
Supports dual band frequency 2.4/5 GHz


U svakom slucaju izgleda da nije problem to MT-a


[Ovu poruku je menjao mmix dana 02.11.2019. u 20:49 GMT+1]
[ mmix @ 02.11.2019. 19:35 ] @
izgleda da tranfer medju boxovima nije mnogo iznad... Laptop je idle rezimo povezan na rx/tx oko 720, ali kad ipref krene, spusti se na 585/585, ali svejedno ne dostize te brzine.

primetio sam da dobijem i u proseku od 100 do 160 retries.

Code:
mmix@BlackWolf:~/Downloads$ iperf3 -c 192.168.1.62
Connecting to host 192.168.1.62, port 5201
[  5] local 192.168.1.51 port 38562 connected to 192.168.1.62 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  26.4 MBytes   221 Mbits/sec   16    192 KBytes       
[  5]   1.00-2.00   sec  32.5 MBytes   272 Mbits/sec    0    210 KBytes       
[  5]   2.00-3.00   sec  30.9 MBytes   259 Mbits/sec   12    207 KBytes       
[  5]   3.00-4.00   sec  31.1 MBytes   261 Mbits/sec   22    114 KBytes       
[  5]   4.00-5.00   sec  30.1 MBytes   252 Mbits/sec    6    185 KBytes       
[  5]   5.00-6.00   sec  32.3 MBytes   271 Mbits/sec    6    211 KBytes       
[  5]   6.00-7.00   sec  30.8 MBytes   258 Mbits/sec   12    210 KBytes       
[  5]   7.00-8.00   sec  31.2 MBytes   262 Mbits/sec   11    135 KBytes       
[  5]   8.00-9.00   sec  27.9 MBytes   234 Mbits/sec   12    133 KBytes       
[  5]   9.00-10.00  sec  29.0 MBytes   243 Mbits/sec   16    147 KBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec   302 MBytes   253 Mbits/sec  113             sender
[  5]   0.00-10.00  sec   301 MBytes   253 Mbits/sec                  receiver
[ mmix @ 02.11.2019. 19:53 ] @
eth na eth ubija, skoro pun 1gbps, stukao je 1GB za 10 sekundi. Znaci nije da mu fali nesto sa procesorske strane

Code:
mmix@BlackWolf:~/Downloads$ iperf3 -c 192.168.1.64
Connecting to host 192.168.1.64, port 5201
[  5] local 192.168.1.51 port 60190 connected to 192.168.1.64 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec   112 MBytes   940 Mbits/sec    0    222 KBytes       
[  5]   1.00-2.00   sec   112 MBytes   938 Mbits/sec    0    222 KBytes       
[  5]   2.00-3.00   sec   108 MBytes   908 Mbits/sec    0    222 KBytes       
[  5]   3.00-4.00   sec   111 MBytes   933 Mbits/sec    0    222 KBytes       
[  5]   4.00-5.00   sec   111 MBytes   934 Mbits/sec    0    222 KBytes       
[  5]   5.00-6.00   sec   112 MBytes   936 Mbits/sec    0    222 KBytes       
[  5]   6.00-7.00   sec   112 MBytes   936 Mbits/sec    0    222 KBytes       
[  5]   7.00-8.00   sec   111 MBytes   933 Mbits/sec    0    222 KBytes       
[  5]   8.00-9.00   sec   112 MBytes   943 Mbits/sec    0    222 KBytes       
[  5]   9.00-10.00  sec   110 MBytes   921 Mbits/sec    0    222 KBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  1.09 GBytes   932 Mbits/sec    0             sender
[  5]   0.00-10.00  sec  1.08 GBytes   932 Mbits/sec                  receiver
[ mmix @ 02.11.2019. 20:33 ] @
OK, dualbootovao sam u win10 particiju, wifi se povezao na 866/866, medjutim iperf javlja iste rezultate kao kad je laptop na wifi (appx 250mbps).

Sa jedne strane, ocigledno je ovo problems sa Broadcom wifi drajverom za Ubuntu.
Sa druge strane, sa dve antene je potvrdjena brzina od 250mbps, sto je imho malo za 2x2 link. ruter i oba kompa su u dierktnoj liniji vidljivosti i udaljenost je 1m i 2m respektivno.

[ optix @ 02.11.2019. 22:27 ] @
WiFi (802.11) je u sustini half-duplex, shared medium. Bez da ulazim previse u detalje, to otprilike znaci da zbog razno-raznih protokola koji se koriste da bi se obezbedila komunikacija svim primo/predajnicima u etru (cak i ako ih ima samo 2) i overhead-a, mozes da ucekujes max do nekih 55-60% brzine od deklarisanog "air-rate"-a (ono sto vidis kao TX/RX brzinu) pod idealnim uslovima.

Drugim recima, za air-rate od 867Mb/s mozes da ocekujes do oko 480Mb/s transfer speed-a. Ja kada sam se igrao sa ac2, bio je u stanju da izvuce toliko. Pod uslovom da je samo jedan WiFi klijent zakacen na njega, i da testiras transfer ka necemu sto je povezano dalje eth. kablom.

Prati na MT-u konstantno TX/RX rate za tog klijenta dok radis transfer. Na osnovu rezultata deluje mi da u smeru u kome vrsis transfer ipak nije uspeo da se poveze na 867Mb/s (?).
[ mmix @ 02.11.2019. 23:14 ] @
Mislim da jeste, ajd probacu. Ja se samo plasim da on nesto nije povezao (tj da ja nisam nesto pogesno napravio) da sve pakete salje na gateway. Simtomaticno mi je da mi je wifi brzina = brzini mog linka.


Elem, da nastavimo dalje.

1. Uspeo sam da napravim guest network.

Napravio sam virtuelni wifi interfejs kao slave wifi-5g interfejsa, napravio DHCP za range 10.0.0.0/24 i zakacio za wlan-guest interfejs i dao interfejsu adresu 10.0.0.1
Ubacio sam network 10.0.0.0/24 sa gateway-em 10.0.0.1 i DNS sam stavio googlove (8.8.8.8, etc)
Napravio sam masquarade NAT sa 10.0.0.0/24 na main-bridge, u firewall sam ubacio drop za sve sa 10.0.0.0/24 na 192.168.1.0/24 (izolacija od mog LANa)

I to radi :) yeay for me :) Kad se konektujem internet radi ali svi pokusaji da se otvori nesto na kucnoj mrezi timeout-uju. Zanimljivo mi je da sam sve to uspeo da uradim direktno bez bridge-a.



2. OpenVPN nisam uspeo da namestim, nisam nasao gde mogu da ubacim sertifikat. Na kraju sam napravio L2TP i on je proradio, imam vpn interfejs koji radi

Medjutim, moj pokusaj da napravim slicnu pricu kao za guest network nije upalio. Pokusao sam da ga NATujem da sve sa mreze 10.0.1.0/24 salje na vpn interfejs i nije proradio :( Nisam ni siguran kako VPN client dodeljuje adrese i kako tacno da NATujem, trebace mi mala pomoc oko ovoga. Dakle za pocetak bih samo da napravim wifi mrezu koja ide direktno na vpn, tako da kad se konektujes na wifi dobijas net kroz VPN.



[Ovu poruku je menjao mmix dana 03.11.2019. u 00:34 GMT+1]
[ mmix @ 03.11.2019. 15:17 ] @
Hehe, ipak sam morao da napravim bridge :) da bi mogao i 5gh i 2.4Ghz virtuelni interfejs da stavim u gest network :)

Dajte neke savete za ovaj VPN :)
[ optix @ 03.11.2019. 15:38 ] @
Citat:
Napravio sam masquarade NAT sa 10.0.0.0/24 na main-bridge, u firewall sam ubacio drop za sve sa 10.0.0.0/24 na 192.168.1.0/24 (izolacija od mog LANa)


Nije mi jasno sta si ovde pokusao da napravis. Zbog cega NAT u lokalnoj mrezi? Kakva tacno izolacija ti treba i zbog cega?
Ako si napravio 'drop' pravilo u firewall-u za mrezu 192.168.1.0/24 sa mreze 10.0.0.0/24, kako ocekujes da ti otvori nesto na kucnoj mrezi (pretpostavljam da je "kucna mreza" 192...) ?

Citat:

Medjutim, moj pokusaj da napravim slicnu pricu kao za guest network nije upalio. Pokusao sam da ga NATujem da sve sa mreze 10.0.1.0/24 salje na vpn interfejs i nije proradio :( Nisam ni siguran kako VPN client dodeljuje adrese i kako tacno da NATujem, trebace mi mala pomoc oko ovoga. Dakle za pocetak bih samo da napravim wifi mrezu koja ide direktno na vpn, tako da kad se konektujes na wifi dobijas net kroz VPN.


VPN klijent dobija adresu od VPN servera. Nat za VPN pravis tako sto dodas 'src-nat' NAT pravilo za 'out-inetrface'="ime VPN interfejsa" sa action=masquerade. Ova tri parametra su dovoljna.
Da bi ti taj VPN uopste forward-ovao neki saobracaj potrebno je da imas rutu preko njega. Da li si oznacio "Add default route" u VPN konekciji, ili je mozda imas i bez toga (pogledaj ruting tabelu kada si nakacen na VPN)?
Izolacija posebne wifi mreze da koristi rutu od VPN-a je moguca, kao sto sam ti napomenuo, sa source-based policy-routing ili VRF. Ti trenutno nemas nikakvu izolaciju..

[ bachi @ 03.11.2019. 15:54 ] @
Ako se ne varam, pokraj masquarade treba kroz firewall mangle da uradiš connection-mark za saobraćaj koji potiče sa subneta od tog izolovanog wifija gde ti je TV, a onda pod routes da dodaš default statičku rutu sa vpn interfejsom i tim connection markom što si pod mangle stavio.

Evo: https://wiki.mikrotik.com/wiki/Policy_Base_Routing ovde je baš ono što ti treba.
[ mmix @ 03.11.2019. 16:02 ] @
Citat:
optix:
Citat:
Napravio sam masquarade NAT sa 10.0.0.0/24 na main-bridge, u firewall sam ubacio drop za sve sa 10.0.0.0/24 na 192.168.1.0/24 (izolacija od mog LANa)

Nije mi jasno sta si ovde pokusao da napravis. Zbog cega NAT u lokalnoj mrezi? Kakva tacno izolacija ti treba i zbog cega?
Ako si napravio 'drop' pravilo u firewall-u za mrezu 192.168.1.0/24 sa mreze 10.0.0.0/24, kako ocekujes da ti otvori nesto na kucnoj mrezi (pretpostavljam da je "kucna mreza" 192...) ?


U tome je i poenta. Gosti kad dodju dobiju svoji wifi password, konektuju se i mogu na internet, ali ne vide nista sa moje mreze. Ne da ne ocekujem da otvore nesto sa lokalne mreze, nego namerno to ne dozvoljavam :)
[ Branimir Maksimovic @ 03.11.2019. 16:07 ] @
Mnogo si se namucio za ono sto na Asusu imas na klik :P
[ bachi @ 03.11.2019. 16:14 ] @
Na Asus možeš da namestiš da određeni vlan ide preko određenog gatewaya napolje?
[ mmix @ 03.11.2019. 16:34 ] @
Mislim da misli na guest network :)
[ Predrag Supurovic @ 03.11.2019. 23:51 ] @
Citat:
mmix:
Hehe, ipak sam morao da napravim bridge :) da bi mogao i 5gh i 2.4Ghz virtuelni interfejs da stavim u gest network :)


Ako se radi o guest pristupu onda ti verovatno treba izolacija korisnika a gde ćeš bolje nego da za guest wifi odvojiš poseban ip opseg i taj saobraćaj rutiraš tako da u firewall-u možeš sve da iskontrolišeš (Mikrotik može neto od toga da radi i u bridžu ali meni je to nekako uvek bilo kontraintuitivno pa se tiem nisam nikad ni bavio).

Dakle, 5gh guest wifi jedan subnet, 2.5 ghz guest wifi drugi subnet, tvojalokalna mreža treći subnet. Izrutiraš, blokiraš konekcije ka tvojoj internoj mreži u ruteru, uključiš još i izolaciju korisnika na samom wifi i miran si.

Pored toga, wifi ne voli bridžovane mreže. Previše tu paketa nepotrebno bude ponavljano i slato onima kojima uopšte nisu ni potrebni. U kućnim mrežama to nije problem jer je svakako malo uređaja na mreži, ali čisto da znaš.

[ Branimir Maksimovic @ 04.11.2019. 04:21 ] @
Citat:
bachi:
Na Asus možeš da namestiš da određeni vlan ide preko određenog gatewaya napolje?


Ne mozes vlan na asusu, nego sam mislio na simple guest network (poor man vlan), to imas samo ukljucis ;)

[ bachi @ 04.11.2019. 07:44 ] @
Da, to može, sad smo se razumeli.

U suštini, Asus, TP-Link, D-Link, Netis, Cudy i slični ti omogućavaju mnogo stvari iz domena kućnog umrežavanja da uradiš sa lakoćom. Ali šta god naprednije da poželiš - jednostavno ne može. Nekad to rešiš sa OpenWRT ako je uređaj podržan, ali u tom smislu je Mikrotik keva, jer šta god da si zamislio - može. Jeste da ćeš krv da propišaš i to na levo uvo dok to ne provališ kako radi, ali može. :)

Jedino što me stvarno nervira kod Mikrotika jeste što ima očajnu podršku za OpenVPN koji je faktički neupotrebljiv i prosto mi je neverovatno da tek sad posle 10 i kusur godina uvode podršku za UDP, ali i dalje nije kompletno kompatibilan sa zvaničnim OpenVPNom.

Zato Mmix na primer hteo ne hteo mora da fura L2TP VPN za TV, a neki VPN provajderi nude samo OpenVPN i poneki Wireguard.
[ optix @ 04.11.2019. 13:45 ] @
@mmix

Cisto iz radoznalosti, jesi dobio varijantu ac2 sa 256MB ili 128MB rama? (System>Resources)

[ mmix @ 04.11.2019. 13:51 ] @
128mb. oba. 4core ARMv7 na 716Mhz cpu
[ mmix @ 04.11.2019. 14:18 ] @
Citat:
Predrag Supurovic:
Pored toga, wifi ne voli bridžovane mreže. Previše tu paketa nepotrebno bude ponavljano i slato onima kojima uopšte nisu ni potrebni. U kućnim mrežama to nije problem jer je svakako malo uređaja na mreži, ali čisto da znaš.


Jel moze malo vise detalja (ili link) o ovome. Ja sve nesto igram na kartu inteligentnih bridgeva da se to ne bi desavalo. Sad mi deluje na osnovu tvog posta da sam u zabludi. Sta se zapravo multiplicira preko bridge-a sem broadcasta?
[ Predrag Supurovic @ 04.11.2019. 14:58 ] @
Dok je wifi community WIRELESS.UZICE.NET bio aktulean, pojavio nam se problem nestabilnosti cele mreže. ZAgušenja su se pojavljivala bez ikakvih pravila.

Razlog je bio što je cela mreža bila bridžovana. Prosto kako koji uređaj u mreži slao neki paket on je bio ponavljan kroz celu mrežu.

Stvar je rešena kada je mreža podeljena u sabnetove i rutirana. Progledali smo.
[ mmix @ 04.11.2019. 15:06 ] @
Zar nije posao switcha da sprecava takve stvari? Da gradi mac tabele po portovima i ne broadcastuje sve paket svuda?
[ optix @ 04.11.2019. 15:36 ] @
Svi paketi naravno da ne, ali broadcast, unknown-unicast i multicast da - tzv. BUM traffic.

Nemas srece za 256MB al ko sto rekoh, neces ni osetiti da ti je potrebno.
[ mmix @ 04.11.2019. 15:39 ] @
Da li to onda znaci da bi trebalo da i kucni wifi izdvojim na poseban range i rutiram?
[ optix @ 04.11.2019. 15:51 ] @
Ne moras da se opterecujes osim ako nemas znacajnu kolicinu broadcast ili multicast saobracaja u mrezi..

Ako imas multicast saobracaja, onda ces morati da se pozabavis zanimljivom tematikom zvanom - multicast rutiranje
[ mmix @ 04.11.2019. 17:31 ] @
Pa nemam, imam multicast IPTV receiver, ali on je iza CiscoVPN rutera, koji je 24/7 povezan preko vpnc za centralu tako da se njegov saobracaj na mojoj mrezi ne vidi kao multicast, on ima svoj switch i ether konekciju sa risiverom.
[ bachi @ 04.11.2019. 17:37 ] @
Ne traumirajte Miljana. :D

Sve je ok sa bridgeom u kućnim i malim mrežama, nema da brineš.
[ mmix @ 04.11.2019. 18:30 ] @
Re: WiFi merenje.

Ok, pratio sam konekciju dok je trajao iPerf3, i drzi stabilno 780Mbps, ponekad skoci na 866 ali drzi.

Medjutim saobracaj sa masinom ne preliazi 300 i kusur Mbps. Nije mi uospte jasno zasto... Kad pratim graf na wlan-5ghz interfejsu vidim te iste brzine kao iz iperf.

Kad je laptop client, onda je brzina jos manja, prosek je 250mbps.



Code:

mmix@BlackWolf:~$ iperf3 -c 192.168.1.62 -t 30
Connecting to host 192.168.1.62, port 5201
[  5] local 192.168.1.51 port 54452 connected to 192.168.1.62 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  32.9 MBytes   276 Mbits/sec    0    212 KBytes       
[  5]   1.00-2.00   sec  32.5 MBytes   273 Mbits/sec   33    148 KBytes       
[  5]   2.00-3.00   sec  33.9 MBytes   284 Mbits/sec    0    211 KBytes       
[  5]   3.00-4.00   sec  32.9 MBytes   276 Mbits/sec   18    168 KBytes       
[  5]   4.00-5.00   sec  35.2 MBytes   296 Mbits/sec    0    211 KBytes       
[  5]   5.00-6.00   sec  32.8 MBytes   275 Mbits/sec    6    210 KBytes       
[  5]   6.00-7.00   sec  36.9 MBytes   310 Mbits/sec    0    211 KBytes       
[  5]   7.00-8.00   sec  32.0 MBytes   269 Mbits/sec   42    211 KBytes       
[  5]   8.00-9.00   sec  34.9 MBytes   292 Mbits/sec   10    185 KBytes       
[  5]   9.00-10.00  sec  30.4 MBytes   255 Mbits/sec   25    167 KBytes       
[  5]  10.00-11.00  sec  34.1 MBytes   286 Mbits/sec    5    190 KBytes       
[  5]  11.00-12.00  sec  34.6 MBytes   290 Mbits/sec    8    210 KBytes       
[  5]  12.00-13.00  sec  29.5 MBytes   247 Mbits/sec   30    161 KBytes       
[  5]  13.00-14.00  sec  30.8 MBytes   259 Mbits/sec    0    210 KBytes       
[  5]  14.00-15.00  sec  34.1 MBytes   286 Mbits/sec   11    210 KBytes       
[  5]  15.00-16.00  sec  34.1 MBytes   286 Mbits/sec    2    211 KBytes       
[  5]  16.00-17.00  sec  34.4 MBytes   288 Mbits/sec    0    211 KBytes       
[  5]  17.00-18.00  sec  31.6 MBytes   265 Mbits/sec   24    211 KBytes       
[  5]  18.00-19.00  sec  31.3 MBytes   263 Mbits/sec    0    211 KBytes       
[  5]  19.00-20.00  sec  26.8 MBytes   225 Mbits/sec   28    182 KBytes       
[  5]  20.00-21.00  sec  30.4 MBytes   255 Mbits/sec    0    211 KBytes       
[  5]  21.00-22.00  sec  29.7 MBytes   249 Mbits/sec    0    211 KBytes       
[  5]  22.00-23.00  sec  35.2 MBytes   295 Mbits/sec    0    211 KBytes       
[  5]  23.00-24.00  sec  35.4 MBytes   297 Mbits/sec    0    211 KBytes       
[  5]  24.00-25.00  sec  33.8 MBytes   284 Mbits/sec    8    197 KBytes       
[  5]  25.00-26.00  sec  32.8 MBytes   275 Mbits/sec   16    150 KBytes       
[  5]  26.00-27.00  sec  34.1 MBytes   286 Mbits/sec    0    211 KBytes       
[  5]  27.00-28.00  sec  35.3 MBytes   297 Mbits/sec    0    211 KBytes       
[  5]  28.00-29.00  sec  30.9 MBytes   260 Mbits/sec   10    210 KBytes       
[  5]  29.00-30.00  sec  34.1 MBytes   285 Mbits/sec    0    210 KBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-30.00  sec   987 MBytes   276 Mbits/sec  276             sender
[  5]   0.00-30.00  sec   986 MBytes   276 Mbits/sec                  receiver
[ optix @ 04.11.2019. 19:57 ] @
Da, jeste to manje nego sto bi trebalo da bude.


Iskopao sam moj ac2... evo rezultata sa njega:

Code:

Sirius: optix$ ./iperf3 -c 10.10.10.4
Connecting to host 10.10.10.4, port 5201
[  4] local 10.10.10.11 port 49811 connected to 10.10.10.4 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec  57.3 MBytes   481 Mbits/sec
[  4]   1.00-2.00   sec  58.6 MBytes   492 Mbits/sec
[  4]   2.00-3.00   sec  58.5 MBytes   491 Mbits/sec
[  4]   3.00-4.00   sec  59.4 MBytes   499 Mbits/sec
[  4]   4.00-5.00   sec  59.2 MBytes   497 Mbits/sec
[  4]   5.00-6.00   sec  60.2 MBytes   505 Mbits/sec
[  4]   6.00-7.00   sec  60.2 MBytes   505 Mbits/sec
[  4]   7.00-8.00   sec  59.3 MBytes   497 Mbits/sec
[  4]   8.00-9.00   sec  60.3 MBytes   506 Mbits/sec
[  4]   9.00-10.00  sec  59.4 MBytes   498 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-10.00  sec   593 MBytes   497 Mbits/sec                  sender
[  4]   0.00-10.00  sec   593 MBytes   497 Mbits/sec                  receiver

iperf Done.


Za to vreme parametri signala su:







Vidi u wireless registracijama kakvo je stanje kod tebe za tog klijenta. TX/RX signal, SNR, CCQ.

Pretpostavljam da nemas nijedan drugi wifi klijent zakacen na AP dok radis test?
Da li je masina koja je zakacena kablom, zakacena dikretno na MT, ili ide preko drugog rutera/switch-a?
Pogledaj da li imas greske na tom interfejsu koji je zakacen kablom na MT. (TX/RX stats)




Probaj i sa zamenom wifi kanala na 5GHz interfejsu.
[ mmix @ 04.11.2019. 21:21 ] @
Signal je -48, nema drugih klijenata. Nema gresaka na eth.

Probacu sutra da obrnem, da wifi klijent bude broadcom win10, a laptop na eth. Da vidim dal ima razlike, da ne bude da je do Killer wifi-a u laptopu.
[ bachi @ 05.11.2019. 07:34 ] @
Probaj i sa promenom kanala. Koristi non-DFS kanale, dakle 36, 40, 44, 48, 149, 153, 157, 161

Počni od najnižih, jer neki retardirani klijenti ne vide dalje od 48.
[ mmix @ 05.11.2019. 19:19 ] @
Iz nekog razloga MicroTik uopste ne barata sa kanalima, samo frekvencijama.
[ mmix @ 05.11.2019. 20:24 ] @
Btw, uspeo sam da napravim WiFi-VPN mrezu na 192.168.3.0/24 :) Preko mangle kao sto je bachi preporucio.

Mislim da moze i preko VRF ali ovo radi :)

Sad jos da osmislim skriptu koja ce da seta izmedju rutiranja na lokalnu i VPN mrezu :)



[ mmix @ 05.11.2019. 20:41 ] @
Ako nekom zatreba. Tu gde su tri tackice sam samo obrisao security info


Code:

/interface bridge
add name=bridge-tv

/interface wireless security-profiles
add name=sec-tv authentication-types=wpa-psk,wpa2-psk ...

/interface wireless
add name=wlan-tv master-interface=wlan-5ghz security-profile=sec-tv ssid=MitroTV 

/ip pool
add name=pool-tv ranges=192.168.3.2-192.168.3.254

/ip dhcp-server
add address-pool=pool-tv disabled=no interface=bridge-tv lease-time=1w3d name=dhcp-tv

/interface l2tp-client
add name=vpn-nj allow=mschap1,mschap2 ...

/interface bridge port
add bridge=bridge-tv interface=wlan-tv

/ip address
add address=192.168.3.1/24 interface=bridge-tv network=192.168.3.0

/ip dhcp-server network
add address=192.168.3.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.3.1

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=mark-vpn passthrough=yes src-address=192.168.3.0/24

/ip firewall nat
add action=masquerade chain=srcnat out-interface=vpn-nj src-address=192.168.3.0/24

/ip route
add distance=1 gateway=vpn-nj routing-mark=mark-vpn
[ mmix @ 06.11.2019. 10:13 ] @
Hehe, ponadao sam se da cu moci da namestim led neki da mi pokazuje kad je ukljucen VPN Medjutim jedini konfigurabilni led na ac2 je user-led a on je pozadi

[ optix @ 06.11.2019. 11:54 ] @
"Prava" strana uredjaja je uvek ona gde su interfejsi..
[ mmix @ 06.11.2019. 14:00 ] @
Sto su mu onda eth activity leds sa pogresne strane
[ optix @ 06.11.2019. 14:10 ] @
Sta da ti kazem, los hardverski dizajn svakako.. zato mi i stoji u fioci uglavnom
[ npero @ 07.11.2019. 11:56 ] @
Moze da se resi ako neces da ga otvaras i lemis po njemu,USB neki rele 5V ako ne koristis USB, u ovo doba Arduina i slicnog ih ima koliko volis, skripta koja proveri kada je VPN uspostavljen prekine vrati napajanje na usb /system routerboard usb power-reset ...., mozda mirni kontakt povezes pa prekidas u nekim intervalima da se pali gasi pa primer.
Ostalo vec dalje sta smislis, ovo samo ideja, koristim slicno USB ali za druge namene.
[ mmix @ 07.11.2019. 12:10 ] @
rpavo da ti kazem, vise sam razmisljao o nekom "led light pipe" sa 2x 90 pregibima, samo da bacim led svetlo od pozadi na vrh rutera, to mi je dovoljno
[ mmix @ 07.11.2019. 14:09 ] @
Ok, probao sam da obrnem, laptop na ether, Win10 broadcom driver na wifi.

Konekcija drzi stablino 866Mbps-80MHz/2S/SGI na TX i Rx.

Medjutim kad pokrenem test, dobijam Rx/Tx brzine od samo 280/260Mbps, isto kao kad je laptop wifi. Sve vreme tokom testa, MT je prijavljivao da je konekcija 866.



Nesto tu ne stima, i ne mogu uospte da provalim sta. Nema ni suma, ja sam bukvalno jedini u ulici sa 5Ghz mrezom.

[ mmix @ 07.11.2019. 15:53 ] @
Citat:
mmix:
rpavo da ti kazem, vise sam razmisljao o nekom "led light pipe" sa 2x 90 pregibima, samo da bacim led svetlo od pozadi na vrh rutera, to mi je dovoljno


Na ovako nesto sam mislio samo da ga skratim i fiksiram :)

https://www.ebay.de/itm/GD1451...ght-Pipe-flexibel/133058809211
[ Zlatni_bg @ 08.11.2019. 02:21 ] @
Citat:
mmix:
Ok, probao sam da obrnem, laptop na ether, Win10 broadcom driver na wifi.

Konekcija drzi stablino 866Mbps-80MHz/2S/SGI na TX i Rx.

Medjutim kad pokrenem test, dobijam Rx/Tx brzine od samo 280/260Mbps, isto kao kad je laptop wifi. Sve vreme tokom testa, MT je prijavljivao da je konekcija 866.



Nesto tu ne stima, i ne mogu uospte da provalim sta. Nema ni suma, ja sam bukvalno jedini u ulici sa 5Ghz mrezom.



To je ono sto sam te pitao, slicna situacija je meni sa Asus rt i Intel WiFi karticom 2x2. Kako si merio brzinu? Ja izvlacim 400 dole, 200-240 gore.
[ Zlatni_bg @ 11.11.2019. 13:12 ] @
Hmmmmm...

Kada cepam HTML5 test za brzinu koji drzim na lokalnom serveru, izvlacim ~400/~250 Mb/s. Prebacivao neke vece fajlove sa HDDa na laptop i brzina transfera je bila oko 75MB/s, to bi trebalo da je preko 600Mb/s. Mozda smo i ti i ja jednostavno samo lose testirali brzinu? :) Inace, taj HDD bas mi je 2.5" pa mislim da ni ne moze brze da se cita s njega. Zgurao sam ih previse u ITX build pa su neki morali 2.5" da budu.
[ mmix @ 13.11.2019. 09:32 ] @
Brzinu sam merio sa iperf3. Sto je efektivno ekvivalentno virtuelnom file transferu (dakle brzina HDDa nije faktor).