Zakup routera MikroTik hAP ac2

Wepnij się bezpośrednio komputerem do ONTa (modem) i wtedy sprawdź jak wygląda sytuacja.

Niestety nie mogę, to byłaby pierwsza rzecz jaką bym zrobił ale ONT jest w takim miejscu, że za nic nie dam rady wpiąć go do komputera a sam w sobie wifi nie ma to byłaby pierwsza rzecz jaką bym zrobił ale sam sobie nie poradzę.

A nie możesz użyć dłuższego przewodu sieciowego?

Sam sobie nie poradzę a nie ma mi kto pomóc, nie chce mi się o tym pisać.

Więc zagmatwany panel MT powinien sprawiać ci frajdę, a jeśli nie to zwrot w ciągu 14 dni i problem rozwiązany :stuck_out_tongue_winking_eye:

Dokumentacja jest w internecie, więc nie powinno być tak źle.

Witajcie ponownie

Wracam do tematu mikrotika. Wpadł mi w ręce taki oto mikrotik: RB3011UiAS-RM no i go męczę, żeby skonfigurować. Generalnie dużą część już zrobiłem ale nie wiem jak sobie poradzić z konfiguracją masquerade. Opiszę jak to wszystko mniej więcej wygląda:

  1. Do LAN1 podpięty będzie ONT od dostawcy
  2. Utworzyłem bridge o nazwie Bridge-LAN z portów od LAN2 do LAN10
  3. skonfigurowałem serwer DHCP dla bridge
  4. skonfigurowałem klienta PPPoE podając dane od dostawcy, nazwałem go PPPoE-WAN i zaznaczyłem opcję Dial On Demand i Add default Route

Teraz pytanie - jak powinna wyglądać masquerade? Co mam dodać w pozycji dstnat i srcnat skoro IP mam przydzielane od ISP poprzez PPPoE?

Druga kwestia, bo to dla mnie nie jasne - czy w bridgu powinienem uwzględnić port Ether1-WAN czy nie? Założyłem, że nie - ale może się mylę?

No i na koniec - ma ktoś może jakiś sprawdzony firewall? Jak będę miał wzór będzie mi go łatwiej modyfikować, będę chciał przekierować kilka portów a ciężko coś rzeźbić od zera.

Mnie to wygląda na złe ustawienia MTU lub faktycznie dostawca leci w ciula i ma ustawioną kolejkę, która na kilka sekund pozwala wysycić Ci łącze, a potem ciach. Te symetryki w domu to jeden wielki pic na wodę. Nie po to dostawcy tną upload, aby go teraz ot tak sobie dawać, dla klientów indywidualnych się nie opłaca, gdy jedną rurą, może puścić upload 100 klientów, zamiast tylko jednego. Inaczej jest z firmami, ale w łączach biznesowych symetryk nie kosztuje 100 - 200zł, a 1000 zł i więcej, w zależności od lokalizacji firmy - im większe zadupie, tym drożej.

  1. To jest port fizyczny, który przypinasz do portu logiczngo w klincie PPPoE;
  2. Interfejs PPPoE nazywasz, np. pppoe-WAN;
  3. Maskaradę robisz tak (odpal sobie terminal w Winbox lub wyklikaj z informacji w poleceniu):

/ip firewall nat add chain=src-nat action=masquerade out-interface=pppoe-WAN

To wszystko.

Bridge jest tylko dla LAN. Wiele osób popełnia ten błąd i WAN dodaje do bridge. Bridge traktujesz jako switch dla Twojego LAN. Jeśli masz za MT switcha dodatkowo, bridge jest zbędny, ale jeśli masz tylko MT, to bridge jest Twoim switchem dla hostów.

Firewall, który odseparuje ruch z Internetu do MT.

/ip firewall filter
add chain=input action=drop protocol=udp dst-port=53 in-interface=pppoe-WAN comment="Odrzucanie zapytań DNS"
add chain=input action=accept in-interface=pppoe-WAN connection-state=established,related comment="Zezwolenie na ruch z polaczen nawiązanych i powiazanych"
add chain=input action=drop in-interface=pppoe-WAN connection-state=invalid comment="Odzrcuanie uszkodzonych pakietow"
add chain=input action=drop in-interface=pppoe-WAN comment="Odrzucanie pakietow nie pasujacych do regul wyzej"

add chain=forward action=accept in-interface=pppoe-WAN connection-state=established,related comment="Zezwolenie na ruch z polaczen nawiązanych i powiazanych"
add chain=forward action=drop in-interface=pppoe-WAN connection-state=invalid comment="Odzrucanie uszkodzonych pakietow"
add chain=forward action=drop in-interface=pppoe-WAN comment="Odrzucanie pakietow nie pasujacych do regul wyzej"

To są reguły wyjściowe, potem możesz zezwalać na ruch powyżej reguł established, related. Możesz je wkleić w terminal. Możesz to sobie podejrzeć w Winbox jak to wygląda w konfiguracji w GUI.

Średnie wykorzystanie uploadu to w najlepszym przypadku 5-10% downloadu u klientów indywidualnych, i to przy taryfach symetrycznych. Koszt więc dla ISP żaden.

Przepraszam za literówki i z góry ale piszę z telefonu najwyżej potem wyedytuję
. Odnośnie samego tematu mikrotika coś skonfigurowałem niewłaściwie bo netu nie ma więcej komputery nie uzyskują adresu IP z DHCP będę jeszcze walczył Jedyne co działa to działa internet po stronie routera przez PPPoE da się pingować hosty w opcji terminal przez winBox

Co do tych twierdzeń o uploadzie to powiem tak dlaczego zakładacie że jest to łącze indywidualne jest to łącze na firmę i nie chcę tutaj podawać kwoty Ale zapewniam was że mówimy tutaj o kwocie znacznie przekraczającej 200 zł netto miesięcznie i też znacznie przekraczającej 2000 za instalacje także Uwierzcie To nie tak że płacę 30 zł i wymagam żeby mi kawę robiło płacę trochę więcej patrząc na przeciętną cenę internetu w Polsce dużo więcej :slight_smile:

Tyle, że ISP musi Ci zarezerwować te 100Mb/s i nikt inny teoretycznie z niego skorzysta, bo jest tylko Twój. Dlatego ISP dają 10% uplodu względem downloadu, bo tą samą rurą puszczą 10 klientów z uploadem 10Mb/s przy 100Mb/s downloadu.

Skoro to łącze biznesowe, to składasz reklamację i po temacie. Zwłaszcza jeśli łącze kosztuj nie set, a tysiące złotych. Jeśli jeszcze masz do tego SLA, to w ogóle bym się nie yebal z ISP.

Wracając do tmatu. W Winbox odpal terminal i wklej tu wynik polecenia.

export

Zobaczymy co tam masz nie tak :wink:

Absolutnie. Nikt tak nie robi :wink:
W tym sensie branża ISP nie różni się znacząco od hotelowej czy lotniczej.
Bez oversellingu koszt zwykłych łącz konsumenckich zatrzymałby się na kilku-set zł, a prędkości ~10-20 Mbps.
A i nie ma potrzeby zmieniać tej praktyki, bo w praktyce utylizacja łącz konsumenckich wynosi średnio kilka procent względem nominalnej max. przepustowości.

Overbooking to normalna rzecz. W każdym razie to podlega i tak reklamacji, przy łączach biznesowych szczególnie :wink:

Walczyłem sam jeszcze no i DHCP niby działa, znaczy laptop dostał IP ale netu nie ma i nie da się połączyć z mikrotikiem po IP więc zarzucam config, pewnie jakaś głupota:

Cytat
[admin@MikroTik] > export

jan/02/1970 01:31:35 by RouterOS 6.45.6

software id = 3RAI-F436

model = RouterBOARD 3011UiAS

serial number = xxxxxxxxxxxxxx

/interface bridge
add name=bridge1 protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment=WAN name=ether1-WAN
set [ find default-name=ether2 ] comment=Marek-PC name=ether2-Marek-PC
set [ find default-name=ether3 ] comment=NAS name=ether3-NAS
set [ find default-name=ether4 ] comment=BOX name=ether4-BOX
set [ find default-name=ether5 ] comment=switch name=ether5-switch
set [ find default-name=ether10 ] comment=WI-FI name=ether10-wifi
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-WAN name=pppoe-WAN
password=haslo user=user
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add comment=“DHCP Pool” name=dhcp_pool ranges=192.168.1.20-192.168.1.99
/ip dhcp-server
add address-pool=dhcp_pool disabled=no interface=bridge1 lease-time=6h name=
server1
/interface bridge port
add bridge=bridge1 interface=ether2-Marek-PC
add bridge=bridge1 interface=ether3-NAS
add bridge=bridge1 interface=ether4-BOX
add bridge=bridge1 interface=ether5-switch
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10-wifi
/ip address
add address=192.168.1.100 interface=bridge1 network=255.255.255.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.1.100
netmask=24
/ip firewall filter
add action=drop chain=input comment=“Odrzucanie zapyta\F1 DNS” dst-port=53
in-interface=pppoe-WAN protocol=udp
add action=accept chain=input comment=
“Zezwolenie na ruch z polaczen nawi\B9zanych i powiazanych”
connection-state=established,related in-interface=pppoe-WAN
add action=drop chain=input comment=“Odzrcuanie uszkodzonych pakietow”
connection-state=invalid in-interface=pppoe-WAN
add action=drop chain=input comment=
“Odrzucanie pakietow nie pasujacych do regul wyzej” in-interface=pppoe-WAN
add action=accept chain=forward comment=
“Zezwolenie na ruch z polaczen nawi\B9zanych i powiazanych”
connection-state=established,related in-interface=pppoe-WAN
add action=drop chain=forward comment=“Odzrucanie uszkodzonych pakietow”
connection-state=invalid in-interface=pppoe-WAN
add action=drop chain=forward comment=
“Odrzucanie pakietow nie pasujacych do regul wyzej” in-interface=pppoe-WAN
/ip firewall nat
add action=masquerade chain=src-nat out-interface=pppoe-WAN
/system script
add dont-require-permissions=no name=script1 owner=admin policy=
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="/ip
_firewall filter\r
\nadd chain=input action=drop protocol=udp dst-port=53 in-interface=pppoe-WA
N comment=“Odrzucanie zapyta\F1 DNS”\r
\nadd chain=input action=accept in-interface=pppoe-WAN connection-state=esta
blished,related comment=“Zezwolenie na ruch z polaczen nawi\B9zanych i powi
azanych”\r
\nadd chain=input action=drop in-interface=pppoe-WAN connection-state=invali
d comment=“Odzrcuanie uszkodzonych pakietow”\r
\nadd chain=input action=drop in-interface=pppoe-WAN comment=“Odrzucanie pa
kietow nie pasujacych do regul wyzej”\r
\n\r
\nadd chain=forward action=accept in-interface=pppoe-WAN connection-state=es
tablished,related comment=“Zezwolenie na ruch z polaczen nawi\B9zanych i po
wiazanych”\r
\nadd chain=forward action=drop in-interface=pppoe-WAN connection-state=inva
lid comment=“Odzrucanie uszkodzonych pakietow”\r
\nadd chain=forward action=drop in-interface=pppoe-WAN comment=“Odrzucanie
pakietow nie pasujacych do regul wyzej”"
[admin@MikroTik]

Generalnie jest okej, ale brakuje mi tu konfiguracji DNS w serwerze DHCP i pewnie nie masz włączonych opcji ip.

Masz babola w konfiguracji IP MT na interfejsie bridge, powinno być tak:

/ip address add interface=bridge1 address=192.168.1.100/24 network=192.168.1.0

Dziwnę, że zaakceptował taką konfigurację.

W network podałeś maskę. Gdy podasz MT adres 192.168.1.100/24, network samo się uzupełni po klieknięciu Apply.

Wejdź w IP>DNS. Zaznacz opcję allow from remote requests, ustaw DNSy lub zostaw te dynamicznie pobrane od ISP. W IP>DHCP Server>Network w polu DNS wskaż adres MT jako serwer DNS zamiast DNSów Googla. Mikrotikowy DNS cacheuje zapytania DNS i możesz go używać w sieci lokalnej do rozwiązywania nazw, np. serwer.plikow.

Wejdź w IP>Settings i zaznacz wszystkie opcje.

W firewall filter patrz na reguły drop, jeśli licznik rośnie w szybkim tempie, to brakuje jakiejś reguły accept. Jednak reguły, które podałem pozwalają wyjść, ale nie wejść. Możesz je na chwilę wyłączyć (krzyżykiem). Sprawdź czy w NAT na maskaradzie rośnie licznik.

DNSy konfigutowałem na poziomie DHCP, to za mzło? pomijając to - na laptopie i tak miałem ustawione DNSy z palca na 8.8.8.8 i 8.8.4.4 i dalej nie było netu, po za tym nie szły pingi z końcówki (nawet na IP) ani nie dało się połączyć z routerem po IP tylko po MACu

Edytowałem post. Zmiany:

  1. Popraw adres IP Mikrotika na bridge1;
  2. Zamiast DNS Google, wskaż MT jako serwer DNS.

Poprawiłem wg. wskazań i efekt jest taki, że mogę połączyć się z mikrotikiem po IP i po stronie mikrotika działa net, zarówno pingowanie IP np. ping 8.8.8.8 działa jak i ping wp.pl też ale komputer nadal nie ma netu z MT. Sytuacja wygląda tak, że ONT podpięty jest do ether1 a laptop do ether2. Poniżej podaję ponownie wyciąg z export:

EDYCJA: Działa - jako src Address podałem adres sieci 192.168.1.0 i ruszyło od ręki. Teraz jeszcze muszę się nauczyć przekierowania portów.

Przy maskaradzie zawsze podaje się out interfejs, bo adres może być zmienny. Poza tym, jeśli masz kilka podsieci, wystarczy tylko jedna maskarada, a nie na każdą podsieć. Można podać adres podsieci, ale tak się nie powinno robić. Coś nadal jest nie tak skoro przy out interfejs nie lecą pakiety przez NAT.

RouterOS bazuje na kernelu Linux i jego filtrze pakietow :wink: