jeves

Добрый день, коллеги, есть задача обеспечить основной канал по воздуху для десяти сотрудников, web-серфинг , почта, rdp- ничего тяжелого. Может поделится кто-то готовым решением, желательно чтобы не усб модем был, а pciE. сейчас использую связку NOBIKOM A-20-Huawei E392/E398-пигтейл-роутер vigor fly. Предпочтительно оборудование микротик.

thdonatello , спасибо. sa-src-address, sa-dst-address у меня обнолялось, поэтому отсутствовало в конфиге. я сделал как тут https://major.io/2015/05/27/adventures-with-gre-and-ipsec-on-mikrotik-routers/ использовал GRE over ipsec . Сейчас все нормально. Можно вообще не париться с политиками Ipsec, пирами и прочим, при создании gre туннеля указать опция ipsec secret и он сам динамически создает всё.

а что никто из вас трафик не шифрует? и так всё секьюрно по L2tp шарашит?

Доброго времени суток, уважаемые форумчане! есть задача зашифровать данные туннелем ipsec между двумя подсетями за натом. wan адреса обоих роутеров белые. Lan адреса висят на бриджах. собственно вот конфиг версии пакетов на обоих роутерах 6.34.4 модели одинаковые routerboard: yes model: 951G-2HnD firmware-type: ar9344 factory-firmware: 3.17 current-firmware: 3.30 # apr/01/2016 20:55:23 by RouterOS 6.34.4 # /ip ipsec mode-config set (unknown) name=request-only send-dns=yes /ip ipsec policy group set group5 name=group5 /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=\ aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024 /ip ipsec peer add address=BBBB auth-method=pre-shared-key dh-group=modp1024 \ disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=\ aes-128,3des exchange-mode=main generate-policy=no hash-algorithm=sha1 \ lifebytes=0 lifetime=1d local-address=:: nat-traversal=no passive=no \ policy-template-group=group5 port=500 proposal-check=obey secret=1234 \ send-initial-contact=yes /ip ipsec policy set 0 disabled=yes dst-address=::/0 group=group5 proposal=default protocol=\ all src-address=::/0 template=yes add disabled=no dst-address=192.168.30.0/24 group=group5 proposal=default \ protocol=all src-address=192.168.88.0/24 template=yes # apr/01/2016 20:56:49 by RouterOS 6.34.4 /ip ipsec mode-config set (unknown) name=request-only send-dns=yes /ip ipsec policy group set default name=default /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=\ aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024 /ip ipsec peer add address=AAAA auth-method=pre-shared-key dh-group=modp1024 \ disabled=no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=\ aes-128,3des exchange-mode=main generate-policy=no hash-algorithm=sha1 \ lifebytes=0 lifetime=1d local-address=:: nat-traversal=no passive=no \ policy-template-group=default port=500 proposal-check=obey secret=1234 \ send-initial-contact=yes /ip ipsec policy set 0 disabled=no dst-address=192.168.88.0/24 group=default proposal=default \ protocol=all src-address=192.168.30.0/24 template=yes на обоих роутерах происходит согласование первой фазы,далее INSTALLED-SA не появляются. ПРикрепил скрин дебага. На обоих роутерах картинка дебаггинга одинакова. пробовал на нескольких моделях. Буду очень благодарен за помощь.

разобрался самостоятельно, всё-то и надо было повесить очередь на vlan интерфейс на контроллере

Добрый день, уважаемые коллеги! До сих пор рулил очередями(simple queues) прямо на контроллере без включенной опции Local forwarding. А все точки были включены в свои бриджи. ОТдельный бридж для гостей, отдельный для сотрудников, отдельный для мобильных устройств. Все прекрасно работает. Сейчас реализовал на стенде vlan-ы для SSIDов корпоративный,гостевой и мобильники. Собственно говоря вопрос, как реализовать на контроллере ограничение по скорости когда трафиком управляют сами точки доступа (включена опция local forwarding).Неужели на каждой точке доступа свою очередь делать? Прикрепил файл со схемой.

премного благодарен за подробный ответ. а если упрятать 951 в корпус от rf elements это на покрытии местности сильно скажется? и еще видел как в каком то обзоре у модели 951G-2hnd вторую антенну разгибали, как вы к этому относитесь?

У одного и того же вендора могут быть и смарты и ноуты, как тогда быть? И по поводу 951UI-2hnd которую вы рекомендовали не ясно почему она предпочтительнее rb912 с двумя антеннами по 4dbi каждая.

Вадимм, скорее всего автор имел ввиду проблему с Path MTU Discovery у йоты , путем принудительной настройки MSS. Дайте линк в студию, любопытно поглядеть.

я понимаю когда можно несколько конфигураций в капсмане назначить и в зависимости от стандарта клиента A/b/g/n назначать параметры. а вот как заставить контроллер отличить ноут от смартфона я в упор не пойму? мы же в ACL назначаем общие параметры для всех -120... -90 запретить подключение, а если сильнее сигнал то разрешаем и какие тут еще варианты по дифференциации клиентов? создавать маски по макам вендоров?

Не совсем понял 1)зачем нужен второй SSID 2) как Capsman будет отличать ноутбучных клиентов от прочих? 3) планирую установить в гостиницу связку RF Elements StationBox InSpot +routerboard 912uag-2hpnd-out и не знаю какие антенны выбрать - по две антенны super-power-supply-3-x-6dbi-2.4ghz-5ghz-wifi-rp-sma на каждую AP, подключенные пигтейлами либо RF elements Omni Antenna 2.4/5 GHz 2/3dBi без пигтейлов и тоже по две антенны на каждую AP .по рассчетам Ekahau потребуется 12 точек доступа

Добрый день , многоуважаемые коллеги, появилась нужда вынести сервер на колокейшн. В качестве гипервизора обычно использую XENserver 6.5. Для роутинга routerboard. Вопрос в том можно ли терминировать подключение к провайдеру на гостевой routerOS , чтобы не рулить маршрутизацией на xen-e? За размещение аппаратного микротика провайдер запросил ежемесячно денежку. То есть задача в том, чтобы назначить внешний IP адрес на гостевую router OS, а остальным виртуалкам назначить внутренние адреса и спрятать за натом микротика. Возможно ли так сделать и насколько стабильно работать будет такая схема или все-таки лучше поставить железку? похоже что надо сбриджевать интерфейс xen с карточкой микротика.