Ильясла
По идее, чем длиннее линия, тем сильнее греться будет модуль.
кабельтест показывает 54м, но кабель хороший, провайдер продает 500мегабит.Попробую радиатор налепить, хорошая идея.ну вот это вот, это первое уг от компании микротик которое я купил, причем оно какбы не совсем дешевое, остальное все работает как ему положено, покупал сфпшки на оптику, все работают как надо и не греются как этот несчастный гигабитный модуль

ant_firefly
А вы можете поделиться как вы этого добились ?

Я сам не проверял, но когда то мне на такой вопрос прислали такие ссылки :

https://forum.mikrotik.com/viewtopic.php?t=132984
https://forum.mikrotik.com/viewtopic.php?t=132823#

Проблема с L2TP/IPsec за одним NATом есть для windows клиентов, возможно для android (сам не проверял).
Для iOS / macOS такой проблемы нет, т.к. там исходящий порт L2TP случайный используется, а не 1701, как на windows.

seack
Надо виндовый комп в комплекте с микротиком использовать. Хоть даже с виртуальным на этом же компе. И соурснатить исходящий порт на какой-нибудь случайный

JayK
Возможно они рассчитывали, что модули будут использоваться в серверных, или по крайней мере, в девайсах, оснащённых вытяжными вентиляторами, и таким образом будут охлаждаться. Но тем не менее - это косяк, конечно. Ладно, у вас модули греются. А вот у меня на топовом в своё время RB493G на порту USB питание не предусмотрено и не разведено

Ильясла
Возможно они рассчитывали, что модули будут использоваться в серверных, или по крайней мере, в девайсах, оснащённых вытяжными вентиляторами
А для S+RJ10 они даже картинки выложили, чтобы их впритык друг к другу не устанавливали.

Ильясла
Надо виндовый комп в комплекте с микротиком использовать. Хоть даже с виртуальным на этом же компе. И соурснатить исходящий порт на какой-нибудь случайный

Так не получится, надо менять порт у L2TP пакета, который сам уже зашифрован IPsec-ом.
Менять можно исходящий адрес на стороне сервера в зависимости от исходящего IPsec порта, он у каждого клиента будет разный.

Но с IKEv2 лучше получается, а еще есть такие плюсы, как меньший оверхед из-за отсутствия L2TP - там только IPsec, и возможность передачи маршрутов на клиента. В последней версии вроде даже починили выдачу маршрутов на PPPoE интернете, надо будет проверить.

Dusk
Наклеивали мы радиаторы на мосфеты, на SoC-и, наклеим и на SFP

Ильясла
А вот у меня на топовом в своё время RB493G на порту USB питание не предусмотрено и не разведено
ну так для них же специальный Y образный кабель для юсб был, чтобы питание подавать

Ильясла
Очень странно, ведь вторая партиция содержала рабочие конфиг и комплект файлов.
Думаю, надо сообщить в техподдержку, тикет создать. Или на оф. форуме привлечь внимание.
Может, он сообщал о второй, но загрузился таки опять с первой?


Не а) именно со второй.
Что бы создать тикет, нужны были подробности, а было не до них. Инет стоял у людей. При чем, перекрутил в голове все. Ну как так - с рабочей партиции, а проверка производилась даже с рестартом, скинул конфиг на вторую парт, а та показала фик. Лично посмотреть не удалось. Лишь спросил того помощника, когда уже роутер был в ступоре - вторая партиция с буквой A и R. Все именно так.
Пока обхожусь полным копированием всей партиции на вторую, но сильно теперь уверен и в этом подходе. Просто стараюсь не рисковать с маршрутами и прочими. Да и, в общем-то, настроил все. Осталось допилить QoS. Не идет маркировка chain=forward пакетов для локальных адресов, хоть тресни, но это уже другая история.

Где то слышал что новая ROS умеет сохранять один бэкап в облако к микротику, это правда? Как юзать?

JayK
Да, начиная с версии 6.44. Wiki

Dusk
6.44. Wiki
Прикольно, работает, осталось придумать как енто применить

/system backup cloud remove-file number=0


Опа, а это че в логах? 192.168.100.1 это адрес роутера, пользователь админ удален, как понимать? Зачем он сам в себя от имени админа ломится и что такое KEX

JayK
KEX
Key EXchange

Про IKEv2:
настроил, работает
Но есть вопросы:
1. в IPSec mode config парметр Split Include: не могу понять, как он работает. Поясните пожалуйста. Я пока не стал его заполнять и всё что есть в IP->Route у клиента работает.
2. если был опыт подписи сертификата для VPN у авторизованного СА - поделитесь пожалуйста через кого делали.
3. В мануалах по настройке создается bridge-loopback. Я попробовал с ним и без него. В первом случае трафик от клиентов идет на бридж и потом уходит дальше, во втором сразу дальше. Нужен ли он, бридж ? Возможно для правил ?
4. не разобрался как соединить со вторым микротиком, site-to-site. Надо какой-то интерфейс сделать ?
Заранее спасибо!

Нужна срочная помощь зала

Есть сеть на базе Cisco: роутер, раздающий интернет и телефонию, к нему прицеплен switch 2960. Соответственно, есть 2 vlan 20 и 21 для данных и для телефонии, на портах прописаны обычный и войс вилан, как обычно.
Теперь понадобилось поставить телефон в помещение, куда невозможно пробросить провод. Для этой задачи закупили 2 Mikrotik 2011. Тот Mikrotik, который проводом прицеплен к центральному свичу Cisco раздает интернет по wi-fi вместе с другими точками доступа (тоже Mikrotik) и к нему по Wi-Fi цепляется второй такой-же и вот к нему надо подключить цисковский телефон.
На Cisco всё просто. Пользовательский порт вот такой:
Порт, который смотрит в роутер еще проще:

А вот что мне надо прописать на двух микротиках? В тот, который раздает сейчас wi-fi сейчас прицеплено 2 телефона (на схеме не показано) и создан такой конфиг:Телефоны, ранее прицепленные к нему работают. Но я не уверен, а нужно ли было городить там этот огород с виланами и бриджами? Оно работает, но времени на эксперименты у меня нет совсем. Там все стоят и через плечо дышат в монитор: "ну когда заработает уже?"
Теперь вот надо добавить еще телефон через wi-fi мост.
Я так и не понял, как организовывать на Mikrotik порты access и trunk в терминологии Cisco. И тем более непонятно, как на нём обозначить Voice vlan на порту? И нужно ли вообще это делать в этой ситуации? Схему на скорую руку прилагаю.

Michael_Y_K
И тем более непонятно, как на нём обозначить Voice vlan на порту?
ИМХО, никак. Просто в настройках телефона сконфигурировать нужный VLAN руками.
То же самое говорят - https://forum.nag.ru/index.php?/topic/150650-voice-v…-telefonov-cisco/

Добавление от 05.03.2020 00:11:

Michael_Y_K
Или включить комп и IP-телефон раздельно в разные порты, сконфигурированные в соотв. сегменты/сети

Прошу совет!
Между офисом и складом оптика. В офисе интернет на складе сервер видеонаблюдения. Маршрутизатор и DHCP в офисе. Везде DHCP-make static. Вся система связи на Микротик.
Посоветуйте простое решение, чтобы в случае пропадания связи между офисом и складом, обеспечить работоспособность системы видеонаблюдения.

Michael_Y_K
Для этой задачи закупили 2 Mikrotik 2011.
Странный выбор, они же громоздкие и дорогие, и с 2 аппаратныыми свитчами внутри еще плюс к этому, что иногда добавляет.

Michael_Y_K
Я так и не понял, как организовывать на Mikrotik порты access и trunk в терминологии Cisco.
так как в микротике отсутствует понятие войс вилана (пока что) , то конфигурировать надо сл. образом , порт в транковый режим, в транке 1 вилан тот который войсовый , и рабочий порт в режиме натив вилана. Возможно на самом телефонном аппрете (на цисках к примеру это приходилось делать) необходимо руками прописать административный вилан(войс вилан)

IgaX
Речь же шла об автонастройке voice vlan на телефоне через CDP от коммутатора (по крайней мере я отвечал именно на это).

EsTaF
Не идет маркировка chain=forward пакетов для локальных адресов
Если в одном сегменте L3, то и не будет. Пакеты форвардятся либо через программный бридж либо через аппаратный свитч, смотря как настроено.

chum!
Ну второй линк офис-склад поднять. Можно на складе DHCP Proxy включить или вторичный DHCP с нужным диапазоном. На линии связи тогда заблокируете ненужный траффик DHCP.

ant_firefly
3. Лупбэк нужен, чтобы получить доступ между самими (пограничными) микротиками внутри туннеля.
4. ?
В последних версиях ROS заметно изменился интерфейс раздела IPSEC.

Ильясла
3. Лупбэк нужен, чтобы получить доступ между самими (пограничными) микротиками внутри туннеля.
4. ?
Спасибо!
сайт ту сайт разобрался как сделать

Отправили к вам из соседней темы.

Хочу настроить балансировку двух каналов (200МБит и 300МБит), но не знаю, как лучше это сделать. Прошу помощи.
В общем, в квартиру заходит один кабель, который в тамбуре (корридоре) начинается розеткой RJ-45, в которую могу воткнуть либо одного, либо второго провайдера. В квартире этот кабель заходит в роутер HAP AC2, к которому подключена приставка IPTV и остальное оборудование в квартире: НАС, свитч. На этом же роутере настроен DHCP. В данный момент ТВ приставка находится в одном бридже с ВАН портом.
Хочу купить еще один HAP AC2, запитать его из квартиры POE инжектором и настроить на нем балансировку каналов. В таком случае на тамбурном роутере будет настроена только балансировка, а весь остальной функционал останется под управлением квартирного микротика. Так можно? Или это костыли? Будет ли это работать вообще?

А если в тамбуре установить один роутер, все настроить на нем, а в квартире оставить только свитч? Тогда можно обойтись одним роутером, но свитч все равно нужно покупать. С другой стороны хороший свитч по стоимости сравним с новым микротиком.

Посоветуйте как лучше сделать? Дополнительные кабели заводить в квартиру не хочу: все кабели при ремонте уложены в штробах.

В идеале: объединение двух каналов с увеличением пропускной способности. В реальности: одновременная работа двух провайдеров.

KuJIbKA
Скорость при доступе к обычным ресурсам (сайтам) не увеличится, потому что единичные коннекты "разорвать" и пустить по обоим провайдерам никак не получится по определению. Скачивание торрентов, наоборот, станет заметно веселее (множественные коннекты, которые можно распределить по обоим провайдерам).
Ну или у вас там народу толпа будет - тогда тоже интернет станет повеселее за счёт распределения нагрузки.