SOs

Короче собрал лабу. Запустил BGP в main таблице. Заработало. С BGP в VRF надо разбираться.

Может так из-за того, что процесс BGP в VRF крутится? Но TCP SYN в этом VRF отправляются. ACKи тоже должны. ХЗ....

последняя 6,45,8 long-term   Настройки в принципе правильные? Я BGP на микротике первый раз готовлю. На циске просто заводится: указал соседа из своей AS и указал next-hop-self. Готово. Думал по аналогии настрою...

Так src и dst вроде правильно подставляет. Было none. Указал интерфейс, смотрящий на соседа. Та же картина. В дампе естественно те же scr dst.

Снял дамп с внутреннего интерфейса CE2. CE1 и CE2 перекидываются SYN пакетами и все. В conntrack та же картина. Telnet на CE1 и CE2 на 179 порт проходит.

Добрый день, Коллеги!Не поднимается iBGP на микротах. Схема стандартная: multihomed bgp с двумя клиентскими маршрутизаторами. Куда копать?Конфиг CE1: /routing bgp instance add as=XXX962 client-to-client-reflection=no name=BGP_PROCESS router-id=XX.XX.33.226 routing-table=VRF_ISP /routing bgp network add network=ZZ.ZZ.176.0/24 synchronize=no /routing bgp peer add instance=BGP_PROCESS name=ISP_PEER remote-address=XX.XX.33.225 remote-as=AAAAA ttl=default add instance=BGP_PROCESS name=IBGP_PEER nexthop-choice=force-self remote-address=ZZ.ZZ.176.252 remote-as=XXX962 ttl=default Конфиг CE2: /routing bgp instance add as=XXX962 client-to-client-reflection=no name=BGP_PROCESS router-id=YY.YY.147.7 routing-table=VRF_ISP /routing bgp network add network=ZZ.ZZ.176.0/24 synchronize=no /routing bgp peer add instance=BGP_PROCESS name=ISP_PEER remote-address=YY.YY.147.6 remote-as=BBBBB ttl=default add instance=BGP_PROCESS name=IBGP_PEER nexthop-choice=force-self remote-address=ZZ.ZZ.176.251 remote-as=XXX962 ttl=default С eBGP проблем нет. Маршрутизаторы по "внутренним" адресам ZZ.ZZ.176.251 и ZZ.ZZ.176.252 видят друг друга без проблем. Состояние IBGP_PEER постоянно висит в "connect".

@nkusnetsov Ты прав. Несмотря на настройку интерфейсов "ALL", создал новый лист и добавил VLAN14_MGMT и VLAN15_MGMT. Соединение по МАКу пошло. Поменял прошивку из ветки STABLE, поведение то-же. Не пойму тогда какая разница между первым и вторым конфигом. Настройка MAC-Telnet ни где не затрагивается. Только в первом случае надо интерфейсы указывать, во втором - нет. Чудеса какие-то.. Спасибо за подсказку!

Добрый день! Сижу, разбираюсь с настройкой VLANов на прошивке 6.42.10 коммутаторов CRS125. VLANа в лабе 2 - vlan14 и vlan15: Ether1 - транк Ether14 - access vlan14 Ether15 - access vlan15 Проблема (вернее вопрос) с получением доступа к RouterOS на SVI: Получается подключаться к SVI из Winbox по IP, но по MAC никак, хотя lldp отображает все верно в соответствии с VLANом порта подключения. Это фича такая или у меня лыжи? Конфиг следующий: # jan/02/1970 00:52:38 by RouterOS 6.42.10 # model = CRS125-24G-1S /interface bridge add name=BR_MAIN protocol-mode=none /interface vlan add interface=BR_MAIN name=VLAN14_MGMT vlan-id=14 add interface=BR_MAIN name=VLAN15_MGMT vlan-id=15 /interface ethernet switch set forward-unknown-vlan=no /interface bridge port add bridge=BR_MAIN interface=ether1 add bridge=BR_MAIN interface=ether2 add bridge=BR_MAIN interface=ether3 add bridge=BR_MAIN interface=ether4 add bridge=BR_MAIN interface=ether5 add bridge=BR_MAIN interface=ether6 add bridge=BR_MAIN interface=ether7 add bridge=BR_MAIN interface=ether8 add bridge=BR_MAIN interface=ether9 add bridge=BR_MAIN interface=ether10 add bridge=BR_MAIN interface=ether11 add bridge=BR_MAIN interface=ether12 add bridge=BR_MAIN interface=ether13 add bridge=BR_MAIN interface=ether14 add bridge=BR_MAIN interface=ether15 add bridge=BR_MAIN interface=ether16 add bridge=BR_MAIN interface=ether17 add bridge=BR_MAIN interface=ether18 add bridge=BR_MAIN interface=ether19 add bridge=BR_MAIN interface=ether20 add bridge=BR_MAIN interface=ether21 add bridge=BR_MAIN interface=ether22 add bridge=BR_MAIN interface=ether23 add bridge=BR_MAIN interface=ether24 add bridge=BR_MAIN interface=sfp1 /interface ethernet switch egress-vlan-translation add new-customer-vid=0 ports=ether14,ether15 /interface ethernet switch ingress-vlan-translation add new-customer-vid=14 ports=ether14 add new-customer-vid=15 ports=ether15 /interface ethernet switch vlan add ports=ether1,ether14,switch1-cpu vlan-id=14 add ports=ether1,ether15,switch1-cpu vlan-id=15 /ip address add address=192.168.14.1/24 interface=VLAN14_MGMT network=192.168.14.0 add address=192.168.15.1/24 interface=VLAN15_MGMT network=192.168.15.0 Теги вроде ходят как надо, hw-offload поддерживается, но подключаться можно только по IP. Ради и интереса вбил синтаксис от CRS3xx. hw-offload выключился, но подключение к управлению пошло и по IP и по MAC успешно. # jan/02/1970 00:09:36 by RouterOS 6.42.10 # model = CRS125-24G-1S /interface bridge add name=BR_MAIN protocol-mode=none vlan-filtering=yes /interface vlan add interface=BR_MAIN name=VLAN14_MGMT vlan-id=14 add interface=BR_MAIN name=VLAN15_MGMT vlan-id=15 /interface bridge port add bridge=BR_MAIN interface=ether1 add bridge=BR_MAIN interface=ether2 add bridge=BR_MAIN interface=ether3 add bridge=BR_MAIN interface=ether4 add bridge=BR_MAIN interface=ether5 add bridge=BR_MAIN interface=ether6 add bridge=BR_MAIN interface=ether7 add bridge=BR_MAIN interface=ether8 add bridge=BR_MAIN interface=ether9 add bridge=BR_MAIN interface=ether10 add bridge=BR_MAIN interface=ether11 add bridge=BR_MAIN interface=ether12 add bridge=BR_MAIN interface=ether13 add bridge=BR_MAIN interface=ether14 pvid=14 add bridge=BR_MAIN interface=ether15 pvid=15 add bridge=BR_MAIN interface=ether16 add bridge=BR_MAIN interface=ether17 add bridge=BR_MAIN interface=ether18 add bridge=BR_MAIN interface=ether19 add bridge=BR_MAIN interface=ether20 add bridge=BR_MAIN interface=ether21 add bridge=BR_MAIN interface=ether22 add bridge=BR_MAIN interface=ether23 add bridge=BR_MAIN interface=ether24 add bridge=BR_MAIN interface=sfp1 /interface bridge vlan add bridge=BR_MAIN tagged=ether1,BR_MAIN untagged=ether14 vlan-ids=14 add bridge=BR_MAIN tagged=ether1,BR_MAIN untagged=ether15 vlan-ids=15 /ip address add address=192.168.14.1/24 interface=VLAN14_MGMT network=192.168.14.0 add address=192.168.15.1/24 interface=VLAN15_MGMT network=192.168.15.0 Что не так делаю в первом случае, Коллеги?

- Попробовал aes-128, разницы никакой - Поставил свитч между Микротиками, раскидал шифрование по физическим интерфейсам (eth1 и eth2, в соответствии со внутренней блок схемой). Туннеля оставил 2, по 1 на инт-с. Скорость осталась та же. - Поменял алгоритм балансировки на БОНД инт-се на XOR с хэшем до L4, скорость поднялась до 315 Мб/с полезного трафика (340 Мб/с на интерфейсе марш-ра). Нагрузка на проц почти не поменялась, но стала равномернее. - Перевел все на 1 физический интерфейс, Поменял на AES-256 - Скорость осталась прежняя ~ 310 Мб/с. Проц так же нагружается равномерно. - Удалил бонд, перевел все на один туннель. Скорость та же , проц также. Я ХЗ что было. Похоже все дело было в балансировщике БОНДа. Но до цифры 450 Мб/с все-равно далеко. [admin@MT_1] > export # jan/02/1970 00:11:34 by RouterOS 6.42.9 # # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface ethernet set [ find default-name=ether1 ] comment=WAN_PORT set [ find default-name=ether2 ] comment=LAN_SW set [ find default-name=ether3 ] comment=LAN_SW set [ find default-name=ether4 ] comment=LAN_SW set [ find default-name=ether5 ] comment=LAN_SW /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.1 mac-address=02:E9:7D:E6:D1:5D name=eoip-tunnel1 remote-address=1.1.1.2 tunnel-id=1 /interface list add name=IF_LAN_SW /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc /interface bridge port add bridge=BR_LAN interface=eoip-tunnel1 add bridge=BR_LAN interface=IF_LAN_SW /interface list member add interface=ether3 list=IF_LAN_SW add interface=ether4 list=IF_LAN_SW add interface=ether5 list=IF_LAN_SW add interface=ether2 list=IF_LAN_SW /ip address add address=1.1.1.1/24 interface=ether1 network=1.1.1.0 add address=1.1.2.1/24 interface=ether1 network=1.1.2.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system identity set name=MT_1 /system routerboard settings set silent-boot=no [admin@MT_1] > [admin@MT_2] > export # jan/02/1970 00:37:31 by RouterOS 6.42.9 # # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface ethernet set [ find default-name=ether1 ] comment=WAN_PORT set [ find default-name=ether2 ] comment=LAN_SW set [ find default-name=ether3 ] comment=LAN_SW set [ find default-name=ether4 ] comment=LAN_SW set [ find default-name=ether5 ] comment=LAN_SW /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.2 mac-address=02:E9:7D:E6:D1:5D name=eoip-tunnel1 remote-address=1.1.1.1 tunnel-id=1 /interface list add name=IF_LAN_SW /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc /interface bridge port add bridge=BR_LAN interface=eoip-tunnel1 add bridge=BR_LAN interface=IF_LAN_SW /interface list member add interface=ether3 list=IF_LAN_SW add interface=ether4 list=IF_LAN_SW add interface=ether5 list=IF_LAN_SW add interface=ether2 list=IF_LAN_SW /ip address add address=1.1.1.2/24 interface=ether1 network=1.1.1.0 add address=1.1.2.2/24 interface=ether1 network=1.1.2.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system identity set name=MT_2 /system routerboard settings set silent-boot=no [admin@MT_2] >

Добрый день! Никак не пойму как "раскачать" шифрование на RB750Gr3 на полную. Макс - 230 Мб/с и почти вся нагрузка на одном ядре (т.е. 2х виртуальных, как понимаю аналог HT). Схема: ПК - MT1 - MT2 - ПК Оба ПК в одной сети, т.е. шифруем прозрачно для ПК. Делал и через L2TP/IpSec и через EOIP/IPSec, и через несколько EOIP/IPSec в BONDе (так несколько SA, вроде должно нагрузку "размазывать" по ядрам). Всегда одинаково - 230 Мб/с, ~50% CPU, и почти вся нагрузка на одном ядре. Как получить рекламные 450 Мб/с или как "размазать" нагрузку по ядрам? Конфиг МТ1 с несколькими EOIP/IPSec в BONDе: [admin@MikroTik] > export # jan/06/1970 00:34:51 by RouterOS 6.42.9 # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface bridge port add bridge=BR_LAN interface=bonding1 add bridge=BR_LAN interface=IF_LIST_LAN /interface ethernet set [ find default-name=ether1 ] comment=WAN set [ find default-name=ether2 ] comment=LAN /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel1 remote-address=1.1.1.2 tunnel-id=1 add allow-fast-path=no ipsec-secret=test2 local-address=1.1.2.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel2 remote-address=1.1.2.2 tunnel-id=2 add allow-fast-path=no ipsec-secret=test3 local-address=1.1.3.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel3 remote-address=1.1.3.2 tunnel-id=3 add allow-fast-path=no ipsec-secret=test4 local-address=1.1.4.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel4 remote-address=1.1.4.2 tunnel-id=4 /interface bonding add mtu=1400 name=bonding1 slaves=eoip-tunnel1,eoip-tunnel2,eoip-tunnel3,eoip-tunnel4 /interface list add name=IF_LIST_LAN /interface list member add interface=ether2 list=IF_LIST_LAN add interface=ether3 list=IF_LIST_LAN add interface=ether4 list=IF_LIST_LAN add interface=ether5 list=IF_LIST_LAN /ip address add address=1.1.1.1/24 interface=ether1 network=1.1.1.0 add address=1.1.2.1/24 interface=ether1 network=1.1.2.0 add address=1.1.3.1/24 interface=ether1 network=1.1.3.0 add address=1.1.4.1/24 interface=ether1 network=1.1.4.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system routerboard settings set silent-boot=no [admin@MikroTik] > Конфиг МТ2 с несколькими EOIP/IPSec в BONDе: [admin@MikroTik] > export # jan/06/1970 00:31:28 by RouterOS 6.42.9 # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface bridge port add bridge=BR_LAN interface=bonding1 add bridge=BR_LAN interface=IF_LIST_LAN /interface ethernet set [ find default-name=ether1 ] comment=WAN set [ find default-name=ether2 ] comment=LAN /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel1 remote-address=1.1.1.1 tunnel-id=1 add allow-fast-path=no ipsec-secret=test2 local-address=1.1.2.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel2 remote-address=1.1.2.1 tunnel-id=2 add allow-fast-path=no ipsec-secret=test3 local-address=1.1.3.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel3 remote-address=1.1.3.1 tunnel-id=3 add allow-fast-path=no ipsec-secret=test4 local-address=1.1.4.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel4 remote-address=1.1.4.1 tunnel-id=4 /interface bonding add mtu=1400 name=bonding1 slaves=eoip-tunnel1,eoip-tunnel2,eoip-tunnel3,eoip-tunnel4 /interface list add name=IF_LIST_LAN /interface list member add interface=ether2 list=IF_LIST_LAN add interface=ether3 list=IF_LIST_LAN add interface=ether4 list=IF_LIST_LAN add interface=ether5 list=IF_LIST_LAN /ip address add address=1.1.1.2/24 interface=ether1 network=1.1.1.0 add address=1.1.2.2/24 interface=ether1 network=1.1.2.0 add address=1.1.3.2/24 interface=ether1 network=1.1.3.0 add address=1.1.4.2/24 interface=ether1 network=1.1.4.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system routerboard settings set silent-boot=no [admin@MikroTik] >

Добрый день! Никогда не щупал настройку репитера на микротике, а под рукой нет моделей с радио. Можете подсказать: в режиме репитера микротик умеет "отбивать" слабых клиентов?

Купим PI /24 + AS. Юр. лицо, безнал. Цены, пожалуйста, в личку.

Переделал. Работает. Спасибо! Думал получится и разные интерфейсы нагородить. Ясно. Буду оперировать в настройках сетями, а не интерфейсами.

А куда повесить 2 внешних IP из разных сетей ? Для пояснения: [1111@CCR1036_12G_4S] > /int vlan print Flags: X - disabled, R - running, S - slave # NAME MTU ARP VLAN-ID INTERFACE ... 2 R VLAN100 1500 enabled 100 ether1 3 R VLAN101_WIFI_GW 1500 enabled 101 ether1 4 R VLAN102_KSPD_GW 1500 enabled 102 ether1 [1111@CCR1036_12G_4S] /interface bridge> print Flags: X - disabled, R - running ... 5 R name="BR_WAN" mtu=auto actual-mtu=1500 l2mtu=1576 arp=enabled arp-timeout=auto protocol-mode=none fast-forward=yes priority=0x8000 auto-mac=yes max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m [1111@CCR1036_12G_4S] /interface bridge port> print Flags: X - disabled, I - inactive, D - dynamic # INTERFACE BRIDGE PRIORITY PATH-COST HORIZON ... 4 VLAN100 BR_WAN 0x80 10 none ... 6 VLAN101_WIFI_GW BR_WAN 0x80 10 none 7 VLAN102_KSPD_GW BR_WAN 0x80 10 none

Добрый день! Пните в нужном направлении! Есть роутер "на палке". На него приходит пров протегированный VLAN100, который отдает мне в одном броадкаст домене 2 внешние сети. Думаю, как правильно повесить по IP из каждой сети. Подобрал, что интерфейс VLAN можно использовать наподобие лупбеков Пробовал создавать VLAN'ы с указанием "родительского" VLAN100 интерфейса. Работет, но глючно, иногда пропадает пинг. Рабочее решение на данный момент см. схему. Работает, но меня смущает, что в NAT, Firewall и т.д. нельзя использовать интерфейсы VLAN101 и VLAN102. Пишет, что они "slaves" и требует применить настройки на бридж. Приходится ставить интерфейсом "бридж" и все работает, благо настройки для инт-сов vlan101 и vlan102 идентичные. Можно ли собрать подобныую схему как-то по другому? Чтобь можно было полноценно рулить интерфейсами VLAN101 и VLAN102 ?

nkusnetsov Все это делал. Не помогает. Если вешать трансляцию на порт eth1 (от ISP), то трафик управления ломается до ЦПУ, если Ingress трансляция, либо после ЦПУ, если egress. Накидал для себя https://www.irwx.ru/mikrotik-vlan-crs-lab-2/ в более приближенной к реальной схеме, если кому интересно.

nkusnetsov Все верно. Это /interface ethernet switch ingress-vlan-translation add customer-vid=10 new-customer-vid=20 ports=ether1 /interface ethernet switch ingress-vlan-translation add customer-vid=20 new-customer-vid=10 ports=ether1 пробовал сразу. Управление ломается. Порты по ВЛАНам конечно раскидал. Повторюсь, получилось объединить трафик через выделении отдельных портов в разных ВЛАНах и перемычкой между ними. На этих отдельных портах и перебиваю тэги. В целом ясно, Коллеги. Спасибо всем кто откликнулся!

Здесь договорные ограничения. VLAN10 - договор №1, VLAN20 - договор №2, и все это приходит по одному проводу в определенную точку. Можно конечно все на софтовом бридже собрать и не париться пока скорости небольшие, но интересно понять - возможно ли такое сделать на чипе.

Добрый день! Есть такая схема: "Коммутатор на палочке" )) Требуется чтобы PC1 и PC2 начали общаться и был доступен IP для управления. Посоветуйте, как сделать перебивку тэгов без потери управления. Собрал данную схему с доп. перемычкой на отдельных портах CRS125, где и перебиваю теги. Как сделать такое на одном проводе, не затрагивая трафик управления не соображу. Заранее спасибо!

Нашел Cisco Aironet AIR-AP1832I-R-K9C Cisco Aironet AIR-AP1852E-R-K9C Cisco Aironet AIR-AP1852I-R-K9C

Добрый день! Есть один клинический случай, у которого в наличии около 50к рублей и жгучее желание поиметь дома ТД Cisco Aironet с поддержкой AC Wave2. Не спрашивайте зачем... Другие надписи кроме CISCO на корпусе ТД его не интересуют. Я не силен в Wifi от циски. Можете посоветовать какую-нибудь модель, применимую дома. С управлением через WEB интерфейс ну и т.п. Спасибо!

https://www.irwx.ru/mikrotik-vlan-soho-lab-1/

В мангле поставьте перебивку mss на 1360 входящего/исходящего tcp трафика (шоб наверняка 8). На туннелях MTU 1400. Везде все одинаково.

wld, ищи цискины курсы. Там база.

Попробуйте MTU, MSS поиграться на туннельных инт-сах. Поставьте "с запасом" 1400 и 1360. Про винду не скажу, но тот же FTP должен разгоняться.