UWAGA! W 14:30 błędnie podałem, że trzeba włączyć Use IP firewall dla bridge. W rzeczywistości będzie działać bez tego, a włączenie tego znacząco spowolni forwardowanie na bridge. Zmylił mnie bardzo długi czas od dodania reguły, do kiedy zacznie ona działać i myśałem, że problem jest w braku włączonego firewalla na bridge. On jest potrzebny jedynie jak chcecie filtrować ruch bezpośredni pomiędzy urządzeniami podpiętymi do tego samego bridge albo stosować dla nich kolejki.
Dokładnie. Tutaj i tak zachodził routing, więc nie było potrzeby włączania filtrowania na bridge (gdzie de facto jest switching, przy którym faktycznie trzeba włączyć IP Firewall dla bridge, jeśli cchemy użyć Firewall dla ruchu w L2).
Izolować użytkowników można na bardzo wielu poziomach. Mikrotik ma całkiem fajne narzędzia które pozwalają na odizolować klientów - jeden od drugiego ale nie wszystkie w filmie oczywiście wymieniłeś. Nie trzeba do tego używać VLANów - można użyć funkcjonalności przełącznika wbudowanego w większość Routerboardów - wchodzimy w Switch / Port Isolation. Tutaj możemy zdefiniować opcją Forward To - gdzie ruch z danego portu ma trafiać - dzieki temu możemy odizolować sobie warstwę 2 na przełączniku bez użycia VLANów. Oczywiście ma to swoje ograniczenia ale czasami się przydaje. Jeśli nasza konfiguracja jest bardziej skomplikowana to możemy używać izolacji pomiędzy portami już w samym mostku - po dodaniu portu do mostka ustawiamy wpis "Horizon" w celu odizolowania portów. Jeśli porty mają ten sam numer Horizon - nie będą się między sobą widzieć. Jest to przydatne przede wszystkim w nadmiarowych tunelach gdzie nie chcemy powodować pętli. Ważna rzecz i moim zdaniem błąd w twojej konfiguracji - jeśli tworzysz mostek to rozsądnie jest nie włączać bez potrzeby protokołu RSTP. Tak wiem - zabezpiecza to przed pętlą (choć nie do końca) - ale żeby to dobrze działało trzeba to robić pełną świadomością który przełącznik w naszej sieci będzie tzw. root-switchem. W przeciwnym wypadku kiedy nasz główny przełącznik nie będzie root-switchem mogą dziać się naprawdę dziwne rzeczy. To tak na marginesie. Spotkałem się z bardzo wieloma przypadkami gdzie włączony RSTP na routerze powodował konflikt z jakimś switchem lub urządzeniem. Opcją o większych możliwościach jest poszatkowanie sieci albo VLANami - ale tutaj też musimy zmierzyć się jak w każdym wypadku izolacją per-VLAN-routing już na wyższej warstwie - zamiast tony regułek dla sieci IOT (tak żeby nie miała dostępu do czegokolwiek - jest po prostu redystrybucja błędnej bramy lub jej nie ustawiania w serwerze DHCP).
21:36 - lepiej zablokować na Firewallu. Bo to że wyłączymy NAT'a, - faktycznei odetnie internet -ale pakiety nadal będą wychodzić łączem internetowym niepotrzebnie zaśmiecając go pakietami :)
Kilka tygodni temu bawiłem się w GNS3 VLAN-ami na wirtualnych Mikrotikach. Zastanawiałem się czemu mogą się ze sobą komunikować choć na logikę nie powinny. Chyba dałeś mi na to odpowiedź. Dzięki
Siemka ! Rub takie materiały. Jak najwięcej takie praktyczne dla mniejszych firm, domów. Bo jak słyszę cisco to krew mnie zalewa. Może warto jakąś ankietę zrobić
Myślę, że warto też robić takie filmy. Wiadomo, że poradniki na co dzień są mniej ciekawe od zwykłych vlogów gdzie pokazujesz działanie sieci w praktyce, gdzieś na działce czy coś. Natomiast przyjdzie czas, że i z poradników nazbiera się wyświetleń, jak ktoś coś będzie potrzebował zrobić :)
Selekcjonowanie maskarady w ten sposób bez koegzystującej reguły fw skutkuje bezsensownymi pakietami po stronie ISP (pakiety z sieci iot będą routowane bez maskarady toteż trafią tam z ich wewnętrznymi adresami ip), ruch powinien być wycięty na firewallu.
Dziękuję, kolejny fajny film! Moim zdaniem, lepiej robić taką konfigurację nie na bridge a VLAN'ach. Większość tanich mikrotików ma tylko jednego Switch Chip'a więc kiedy Tworzysz nowe bridge obsługuje je sam CPU a to powoduje, że po prostu mocno spada przepustowość sieci.
Nie wydaje mi się, bo jeśli chcesz wyciąć ruch między VLAN-ami to i tak musisz włączyć firewalla dla bridge i dodatkowo dla VLAN-ów. W sumie to ciekawy case kiedy i czy by była większa wydajność w takiej sytuacji. Może kiedyś przetestuję.
@@TechGlobuztestowałem u siebie szukając rozwiązania problemu niskiej przepustowości między podsieciami i właśnie segmentacja za pomocą kilku Bridge okazała się przyczyną. Sprawdź w wolnej chwili bo mi podział za pomocą VLAN pomógł na hEX'ie.. Włączenie firewalla i bridge rzeczywiście obciąży CPU ale po co jeszcze procek męczyć zwykłym przełączaniem skoro jest od tego dedykowany Swich Chip, który sam(bez udziały CPU) przełącza też VLAN ale tylko dla jednego Bridge (tego który ma przypisany HW Offloading). Jeśli nabierzesz ochoty na takie testy na różnych modelach MT nagraj proszę bo ciekaw jestem czy będzie tak samo na innych urządzeniach :) Pozdrawiam
MImo tego , że temat jest o separacji sieci, to ja bym chciał zapytać czy jest możliwa integracja np. dwóch sieci Mikrotikowych (w tzw. sieć domową na potrzeby strumieniowania video Netflix itp). Czyli mamy dwie sieci w dwóch miejscach w kraju, rodzice i dzieci mieszkające osobno. Czy da się te sieci zintegrować (VPN, VLan-y), żeby od strony operatora było to widoczne ja jedna sieć. Te same SSID i co tam jeszcze trzeba).Nie chodzi wcale do zdalny dostęp z Internetu do domu, tylko cos bardziej wyrafinowanego. Chętnie postawie kawę prowadzącemu kanał TechGlobuz jeśli zrobi taka prezentację, albo przynajmniej okresli ramy techniczne tego co trzeba zrobić. Albo też powie, że tego sie nie da zrobić. Czekam na opinie.
Tak jak poprzednicy , bardzo fajny merytoryczny materiał i cała seria o mikrotiku. Chciałbym również zaproponować temat na któryś z odcinków, mianowicie DDNS i dodatkowo z wersją za podwójnym NAT-em czyli wtedy gdy interfejs WAN nie posiada adresu zewnętrznego. Informacyjnie jeżeli ktoś szuka dobrego serwera do DDNS-a to proponuję OVH, wykupujemy domenę, i możemy w tej domenie zaparkować ile chcemy subdomen z możliwością automatycznej aktualizacji adresów IP, bez żadnych kosztów. Wszystko co musimy opłacać to roczny abonament za utrzymanie domeny.
Fajne filmiki. Mam 2 szt. AP które rozgłaszają sieć Wi-Fi domową i IoT. Pytanie teraz jak ustawić VLANy ? Nie mogę przypisać VLAN do portu na switchu, ale czy mogę przypisać sieć Wi-Fi do VLAN1, domową do VLAN2 i trunkiem puścić na port ETH do switcha i tam roztrunkować ?
@@TechGlobuzzałóżmy że "Ty" wybierasz (budżet jest i lubisz mikrotika) Chcesz zrobić segmentację (max 7 vlanow) 1 serwer mssql, nas, drukarka, monitoring wizyjny , 5 komputerów w biurze i internet . Co wybierasz? 🙂 (mam dylemat ponieważ mikrotika lubię i raczej dobrze znam ale z drugiej strony koledzy bardziej "zaawansowani" (jednak utemowcy) mówią że jak firma to UTM i koniec. Co o tym sądzisz?
@@user-ry5is3oi5t Nigdy nie ma jednoznacznej odpowiedzi. Znam małe firmy, które mają kilkudziesięciu pracowników i wszystko leci na Mikrotiku. UTM to korpo, a nie firma. Małe firmy rządzą się swoimi prawami (koszty, oszczędności). Samo UTM jest nieco przereklamowane, bo co to ma, czego nie ma Mikrotik? Jak masz farta, to wykryje ci podejrzany ruch w sieci, ale i tak nic nie podsłuchasz, jak na urządzeniach klienckich nie zainstalujesz swoich certyfikatów, bo teraz wszystko i tak leci przez https.
@@TechGlobuz no trochę tak, a co do tego czego nie ma mt to głównie ips i av. PS brakuje odcinka o stackowaniu switchy 😅... Sub. Dzięki za odp. Pozdrawiam
Dla mnie większa przejrzystość. Jak bym chciał podpiąć virtual AP do VLAN-a, to trzeba bawić się w VLAN filtering. Malo to czytelne i intuicyjne. Do tego kiedyś z Mikrotiku tego nie było (weszło w wersji 6.41) i mam takie przyzwyczajenia. W wydajności różnicy nie powinno być w takim przypadku. Różnica wydajności może być (a i to nie na każdym sprzęcie), jak nie potrzebujesz vitual AP.
Świetny materiał! Czy było gdzieś może wcześniej poruszane zagadnienie ograniczania dostępu, a dokładniej izolacji ruchu z różnych wirtualnych AP za pomocą VLAN?
Nie było, ale właściwie to żadna filozofia. VLAN-y są do tego niepotrzebne. W przykładzie, który teraz jest występuje vitual AP i jak wytniesz ruch między bridge/VLAN-ami, to będzie izolacja. O VLAN-ach chyba zrobię osobny odcinek, bo mam wrażenie, że wiele osób nie rozumie tego zagadnienia, albo myli to z tym, co jest na urządzeniach innych producentów.
@@TechGlobuz Bardziej mi chodziło o przybliżenie dla innych tematu, gdy mamy różne podsieci, np. z różnych wirtualnych AP, ale także, gdy chcemy np. w domu wydzielić podsieci: domową, "home office", IoT, kamery + roboty sprzątające, etc. i to wydzielenie zrealizować właśnie za pomocą VLAN'ów. A do tego zastosować pokazane w Twoim materiale sposoby uzyskiwania selektywnego dostępu, np. z sieci "home office" do domowej, ale w drugą stronę już nie, z sieci domowej do sieci IoT, etc. Tak jak to pokazałeś.
Hejka. Zastanawiałem się czy nie poprosić dostawcy o dodatkowe adresy IP do sieci i mam pytanie - jak wyroutowac na mikrotiku taką podsieć, żeby w sieci lokalnej urządzenia fizycznie miały zewnętrzne adresy?
Na mikrotiku tego nie robiłem, ale na wszystkich innych routerach musisz dać Proxy ARP jeżeli IP nie są routowane do ciebie, a później po prostu dajesz adres z sieci mikrotikowi na LAN i komputerom reszte adresow w tej samej podsieci co LAN mikrotika
Jak od dostawcy dostajesz przyłączeniówkę, to niczego nie musisz routować. De facto wystarczy, że rozdzielisz switchem to co leci od dostawcy i wtedy ustawiasz indywidualnie bramę i adres IP na każdym urządzeniu.
14:30 to nie prawda, use ip firewall powoduje że zarzynasz tego mikrotika ponieważ cały ruch wewnątrz bridga leci wówczas przez firewall. Wyłącz sobie tę opcję i zobacz że same regułki w firewallu normalnie działają i filtrują ruch pomiędzy bridgami.
Dzięki za komentarz. Sprawdziłem packet flow diagram i faktycznie powinno wycinać na forwardzie w routingu bez włączonego use IP firewall for bridge. Wziąłem więc Mikrotika, sprawdzam i kuźwa faktycznie działa na wyłączonym firewall na bridge. Cholerstwo tak długo przeładowuje tabelę firewalla, że musiałem uznać, że nie działa przez to że firewall nie jest włączony na bridge. Zaraz piszę komentarz pod filmem i przypinam, żeby nie wprowadzać ludzi w błąd.
@@TechGlobuz nic się nie przeładowuje, na początku wpadłeś w pułapkę reguły forward accept established. Dla testów wyłącz tą regułę i wtedy sobie zmieniaj, wszystkie zmiany dzieją się natentychmiast.
@@bodzik5507 Znowu siadłem do testów i właśnie nie. Jak nie ma żadnej innej reguły, oprócz tej dropującej i ją włączam, to jest to samo, ale dlatego, że połączenie zostało dalej w tabeli connection tracking i chwilę trwa zanim się wyczyści (trzeba przerwać pinga na jakiś czas i poczekać aż minie timeout). Jak się je stamtąd wywali ręcznie, to reguła działa od strzała.
@@TechGlobuz puszczam pinga z A do B, ping leci, włączam regułkę dropa w firewalu, request time out, wyłączam regułkę ping powraca i tak to powinno działać. Pewnie coś wcześniej kombinowałeś i masz namieszane w konfiguracji.
@@bodzik5507 Powinno działać, ale nie działa. Nic nie mam namieszane. Sprawdzałem i NAT przypadkiem nie łapie tego ruchu. Po prostu ROS nie czyści trackingu po zmianie reguły firewalla, a przy wyłączonym trackingu firewall na forwardzie nie działa (co jest logiczne). W sumie to bardzo wartościowa dyskusja, bo dużo się nauczyłem :)
please tell us how to connect multiple remote clients to the same wireguard server? I have several clients without a Dedicated address (they are all for the nat provider). Only one microtick has a real address. I want to connect several remote clients to it and have them see each other. how to do it?
Can you make a video about it? When I make several peers, I make a mistake somewhere. The problem is that one feast only works, the other does not. In addition, both pens do not see each other. For example, the main pir (where my microtik has a dedicated ip address) is 10.0.0.1 and several clients. Let it be 10.0.0.2 and 3. So the problem is that only one of them is working and connecting. The other one responds to the pings with timeout.
Dziwi mnie to, że seria o mikrotiku słabo się ogląda, ale statystyki nie kłamią. Moim zdaniem te filmy są na prawdę ogromnym źródłem przydatnej wiedzy dla uczących się sys adminów jak i dla zwykłych użytkowników, którzy chcą być bardziej świadomi co się u nich w sieci dzieje. Sam jakiś czas temu miałem ogromne problemy aby zastosować znelezioną w internetach wiedzę gdyż przypadek był mocno specyficzny i zastosowanie prostych rozwiązań wiązało się z dużymi ograniczeniami. Po tym jak cały projekt udało się zamknąć Ty zacząłeś wrzucać te filmy :) pzdr ixi
UWAGA! W 14:30 błędnie podałem, że trzeba włączyć Use IP firewall dla bridge. W rzeczywistości będzie działać bez tego, a włączenie tego znacząco spowolni forwardowanie na bridge. Zmylił mnie bardzo długi czas od dodania reguły, do kiedy zacznie ona działać i myśałem, że problem jest w braku włączonego firewalla na bridge. On jest potrzebny jedynie jak chcecie filtrować ruch bezpośredni pomiędzy urządzeniami podpiętymi do tego samego bridge albo stosować dla nich kolejki.
Dokładnie. Tutaj i tak zachodził routing, więc nie było potrzeby włączania filtrowania na bridge (gdzie de facto jest switching, przy którym faktycznie trzeba włączyć IP Firewall dla bridge, jeśli cchemy użyć Firewall dla ruchu w L2).
Aby szybciej sprawdzac reguly firewall polecam z korzystania z tablicy connection tracking ;)
Super materiał. Materiały o Mikrotiku są fajne i ciekawe. Jestem za większą ilością materiałów o MT. Pozdrawiam.
Baaardzo brakowało takiego odcinka, dzięki! :)
Dziękujemy.
Ja w zasadzie to oglądam głównie z powodu mikrotika
Izolować użytkowników można na bardzo wielu poziomach. Mikrotik ma całkiem fajne narzędzia które pozwalają na odizolować klientów - jeden od drugiego ale nie wszystkie w filmie oczywiście wymieniłeś. Nie trzeba do tego używać VLANów - można użyć funkcjonalności przełącznika wbudowanego w większość Routerboardów - wchodzimy w Switch / Port Isolation. Tutaj możemy zdefiniować opcją Forward To - gdzie ruch z danego portu ma trafiać - dzieki temu możemy odizolować sobie warstwę 2 na przełączniku bez użycia VLANów. Oczywiście ma to swoje ograniczenia ale czasami się przydaje. Jeśli nasza konfiguracja jest bardziej skomplikowana to możemy używać izolacji pomiędzy portami już w samym mostku - po dodaniu portu do mostka ustawiamy wpis "Horizon" w celu odizolowania portów. Jeśli porty mają ten sam numer Horizon - nie będą się między sobą widzieć. Jest to przydatne przede wszystkim w nadmiarowych tunelach gdzie nie chcemy powodować pętli.
Ważna rzecz i moim zdaniem błąd w twojej konfiguracji - jeśli tworzysz mostek to rozsądnie jest nie włączać bez potrzeby protokołu RSTP. Tak wiem - zabezpiecza to przed pętlą (choć nie do końca) - ale żeby to dobrze działało trzeba to robić pełną świadomością który przełącznik w naszej sieci będzie tzw. root-switchem. W przeciwnym wypadku kiedy nasz główny przełącznik nie będzie root-switchem mogą dziać się naprawdę dziwne rzeczy. To tak na marginesie. Spotkałem się z bardzo wieloma przypadkami gdzie włączony RSTP na routerze powodował konflikt z jakimś switchem lub urządzeniem.
Opcją o większych możliwościach jest poszatkowanie sieci albo VLANami - ale tutaj też musimy zmierzyć się jak w każdym wypadku izolacją per-VLAN-routing już na wyższej warstwie - zamiast tony regułek dla sieci IOT (tak żeby nie miała dostępu do czegokolwiek - jest po prostu redystrybucja błędnej bramy lub jej nie ustawiania w serwerze DHCP).
Super dzięki 😀
21:36 - lepiej zablokować na Firewallu. Bo to że wyłączymy NAT'a, - faktycznei odetnie internet -ale pakiety nadal będą wychodzić łączem internetowym niepotrzebnie zaśmiecając go pakietami :)
Dzięki za materiał. Wspaniała robota a o mikrotiku nigdy dość.
Kilka tygodni temu bawiłem się w GNS3 VLAN-ami na wirtualnych Mikrotikach. Zastanawiałem się czemu mogą się ze sobą komunikować choć na logikę nie powinny. Chyba dałeś mi na to odpowiedź. Dzięki
Thanks!
Świetna robota!
Siemka ! Rub takie materiały. Jak najwięcej takie praktyczne dla mniejszych firm, domów. Bo jak słyszę cisco to krew mnie zalewa. Może warto jakąś ankietę zrobić
Dokladnie, podbijam z ta ankieta, jestem bardzo ciekaw wynikow.
Myślę, że warto też robić takie filmy. Wiadomo, że poradniki na co dzień są mniej ciekawe od zwykłych vlogów gdzie pokazujesz działanie sieci w praktyce, gdzieś na działce czy coś. Natomiast przyjdzie czas, że i z poradników nazbiera się wyświetleń, jak ktoś coś będzie potrzebował zrobić :)
Dziękujemy.
❤Więcej Mikrotika!! 😊
Selekcjonowanie maskarady w ten sposób bez koegzystującej reguły fw skutkuje bezsensownymi pakietami po stronie ISP (pakiety z sieci iot będą routowane bez maskarady toteż trafią tam z ich wewnętrznymi adresami ip), ruch powinien być wycięty na firewallu.
W ten, czyli w jaki?
Dziękuję, kolejny fajny film! Moim zdaniem, lepiej robić taką konfigurację nie na bridge a VLAN'ach. Większość tanich mikrotików ma tylko jednego Switch Chip'a więc kiedy Tworzysz nowe bridge obsługuje je sam CPU a to powoduje, że po prostu mocno spada przepustowość sieci.
Nie wydaje mi się, bo jeśli chcesz wyciąć ruch między VLAN-ami to i tak musisz włączyć firewalla dla bridge i dodatkowo dla VLAN-ów. W sumie to ciekawy case kiedy i czy by była większa wydajność w takiej sytuacji. Może kiedyś przetestuję.
@@TechGlobuztestowałem u siebie szukając rozwiązania problemu niskiej przepustowości między podsieciami i właśnie segmentacja za pomocą kilku Bridge okazała się przyczyną. Sprawdź w wolnej chwili bo mi podział za pomocą VLAN pomógł na hEX'ie.. Włączenie firewalla i bridge rzeczywiście obciąży CPU ale po co jeszcze procek męczyć zwykłym przełączaniem skoro jest od tego dedykowany Swich Chip, który sam(bez udziały CPU) przełącza też VLAN ale tylko dla jednego Bridge (tego który ma przypisany HW Offloading). Jeśli nabierzesz ochoty na takie testy na różnych modelach MT nagraj proszę bo ciekaw jestem czy będzie tak samo na innych urządzeniach :) Pozdrawiam
MImo tego , że temat jest o separacji sieci, to ja bym chciał zapytać czy jest możliwa integracja np. dwóch sieci Mikrotikowych (w tzw. sieć domową na potrzeby strumieniowania video Netflix itp). Czyli mamy dwie sieci w dwóch miejscach w kraju, rodzice i dzieci mieszkające osobno. Czy da się te sieci zintegrować (VPN, VLan-y), żeby od strony operatora było to widoczne ja jedna sieć. Te same SSID i co tam jeszcze trzeba).Nie chodzi wcale do zdalny dostęp z Internetu do domu, tylko cos bardziej wyrafinowanego. Chętnie postawie kawę prowadzącemu kanał TechGlobuz jeśli zrobi taka prezentację, albo przynajmniej okresli ramy techniczne tego co trzeba zrobić. Albo też powie, że tego sie nie da zrobić. Czekam na opinie.
Tak jak poprzednicy , bardzo fajny merytoryczny materiał i cała seria o mikrotiku. Chciałbym również zaproponować temat na któryś z odcinków, mianowicie DDNS i dodatkowo z wersją za podwójnym NAT-em czyli wtedy gdy interfejs WAN nie posiada adresu zewnętrznego. Informacyjnie jeżeli ktoś szuka dobrego serwera do DDNS-a to proponuję OVH, wykupujemy domenę, i możemy w tej domenie zaparkować ile chcemy subdomen z możliwością automatycznej aktualizacji adresów IP, bez żadnych kosztów. Wszystko co musimy opłacać to roczny abonament za utrzymanie domeny.
Będzie na pewno. Sam mam w OVH w jednej lokalizacji i działa to bardzo dobrze.
Fajne filmiki. Mam 2 szt. AP które rozgłaszają sieć Wi-Fi domową i IoT. Pytanie teraz jak ustawić VLANy ? Nie mogę przypisać VLAN do portu na switchu, ale czy mogę przypisać sieć Wi-Fi do VLAN1, domową do VLAN2 i trunkiem puścić na port ETH do switcha i tam roztrunkować ?
Jak wykonać izolację klientów danej podsieci jeśli mam np. WiFI dla gości i nie chce aby się nawzajem widzieli?
thxs
Czy uważasz że do niedużej firmy mikrotik (np ccr2004) jako urządzenie brzegowe jest dobrym wyborem? A może od razu lepiej iść w UTMy?
Jak zwykle odpowiedź brzmi: to zależy. Zależy od budżetu, od potrzeb, od wiedzy i doświadczenia administratora.
@@TechGlobuzzałóżmy że "Ty" wybierasz (budżet jest i lubisz mikrotika) Chcesz zrobić segmentację (max 7 vlanow) 1 serwer mssql, nas, drukarka, monitoring wizyjny , 5 komputerów w biurze i internet . Co wybierasz? 🙂 (mam dylemat ponieważ mikrotika lubię i raczej dobrze znam ale z drugiej strony koledzy bardziej "zaawansowani" (jednak utemowcy) mówią że jak firma to UTM i koniec. Co o tym sądzisz?
@@user-ry5is3oi5t Nigdy nie ma jednoznacznej odpowiedzi. Znam małe firmy, które mają kilkudziesięciu pracowników i wszystko leci na Mikrotiku. UTM to korpo, a nie firma. Małe firmy rządzą się swoimi prawami (koszty, oszczędności). Samo UTM jest nieco przereklamowane, bo co to ma, czego nie ma Mikrotik? Jak masz farta, to wykryje ci podejrzany ruch w sieci, ale i tak nic nie podsłuchasz, jak na urządzeniach klienckich nie zainstalujesz swoich certyfikatów, bo teraz wszystko i tak leci przez https.
@@TechGlobuz no trochę tak, a co do tego czego nie ma mt to głównie ips i av. PS brakuje odcinka o stackowaniu switchy 😅... Sub. Dzięki za odp. Pozdrawiam
Sieci zawsze robię na vlanach. Metoda " bridgowa" ma jakieś zalety w stosunku do vlanow.?
Dla mnie większa przejrzystość. Jak bym chciał podpiąć virtual AP do VLAN-a, to trzeba bawić się w VLAN filtering. Malo to czytelne i intuicyjne. Do tego kiedyś z Mikrotiku tego nie było (weszło w wersji 6.41) i mam takie przyzwyczajenia. W wydajności różnicy nie powinno być w takim przypadku. Różnica wydajności może być (a i to nie na każdym sprzęcie), jak nie potrzebujesz vitual AP.
Świetny materiał!
Czy było gdzieś może wcześniej poruszane zagadnienie ograniczania dostępu, a dokładniej izolacji ruchu z różnych wirtualnych AP za pomocą VLAN?
Nie było, ale właściwie to żadna filozofia. VLAN-y są do tego niepotrzebne. W przykładzie, który teraz jest występuje vitual AP i jak wytniesz ruch między bridge/VLAN-ami, to będzie izolacja. O VLAN-ach chyba zrobię osobny odcinek, bo mam wrażenie, że wiele osób nie rozumie tego zagadnienia, albo myli to z tym, co jest na urządzeniach innych producentów.
@@TechGlobuz Bardziej mi chodziło o przybliżenie dla innych tematu, gdy mamy różne podsieci, np. z różnych wirtualnych AP, ale także, gdy chcemy np. w domu wydzielić podsieci: domową, "home office", IoT, kamery + roboty sprzątające, etc. i to wydzielenie zrealizować właśnie za pomocą VLAN'ów. A do tego zastosować pokazane w Twoim materiale sposoby uzyskiwania selektywnego dostępu, np. z sieci "home office" do domowej, ale w drugą stronę już nie, z sieci domowej do sieci IoT, etc. Tak jak to pokazałeś.
Hejka. Zastanawiałem się czy nie poprosić dostawcy o dodatkowe adresy IP do sieci i mam pytanie - jak wyroutowac na mikrotiku taką podsieć, żeby w sieci lokalnej urządzenia fizycznie miały zewnętrzne adresy?
Na mikrotiku tego nie robiłem, ale na wszystkich innych routerach musisz dać Proxy ARP jeżeli IP nie są routowane do ciebie, a później po prostu dajesz adres z sieci mikrotikowi na LAN i komputerom reszte adresow w tej samej podsieci co LAN mikrotika
Jak od dostawcy dostajesz przyłączeniówkę, to niczego nie musisz routować. De facto wystarczy, że rozdzielisz switchem to co leci od dostawcy i wtedy ustawiasz indywidualnie bramę i adres IP na każdym urządzeniu.
14:30 to nie prawda, use ip firewall powoduje że zarzynasz tego mikrotika ponieważ cały ruch wewnątrz bridga leci wówczas przez firewall. Wyłącz sobie tę opcję i zobacz że same regułki w firewallu normalnie działają i filtrują ruch pomiędzy bridgami.
Dzięki za komentarz. Sprawdziłem packet flow diagram i faktycznie powinno wycinać na forwardzie w routingu bez włączonego use IP firewall for bridge. Wziąłem więc Mikrotika, sprawdzam i kuźwa faktycznie działa na wyłączonym firewall na bridge. Cholerstwo tak długo przeładowuje tabelę firewalla, że musiałem uznać, że nie działa przez to że firewall nie jest włączony na bridge. Zaraz piszę komentarz pod filmem i przypinam, żeby nie wprowadzać ludzi w błąd.
@@TechGlobuz nic się nie przeładowuje, na początku wpadłeś w pułapkę reguły forward accept established. Dla testów wyłącz tą regułę i wtedy sobie zmieniaj, wszystkie zmiany dzieją się natentychmiast.
@@bodzik5507 Znowu siadłem do testów i właśnie nie. Jak nie ma żadnej innej reguły, oprócz tej dropującej i ją włączam, to jest to samo, ale dlatego, że połączenie zostało dalej w tabeli connection tracking i chwilę trwa zanim się wyczyści (trzeba przerwać pinga na jakiś czas i poczekać aż minie timeout). Jak się je stamtąd wywali ręcznie, to reguła działa od strzała.
@@TechGlobuz puszczam pinga z A do B, ping leci, włączam regułkę dropa w firewalu, request time out, wyłączam regułkę ping powraca i tak to powinno działać. Pewnie coś wcześniej kombinowałeś i masz namieszane w konfiguracji.
@@bodzik5507 Powinno działać, ale nie działa. Nic nie mam namieszane. Sprawdzałem i NAT przypadkiem nie łapie tego ruchu. Po prostu ROS nie czyści trackingu po zmianie reguły firewalla, a przy wyłączonym trackingu firewall na forwardzie nie działa (co jest logiczne). W sumie to bardzo wartościowa dyskusja, bo dużo się nauczyłem :)
please tell us how to connect multiple remote clients to the same wireguard server? I have several clients without a Dedicated address (they are all for the nat provider). Only one microtick has a real address. I want to connect several remote clients to it and have them see each other. how to do it?
Can you make a video about it? When I make several peers, I make a mistake somewhere. The problem is that one feast only works, the other does not. In addition, both pens do not see each other. For example, the main pir (where my microtik has a dedicated ip address) is 10.0.0.1 and several clients. Let it be 10.0.0.2 and 3. So the problem is that only one of them is working and connecting. The other one responds to the pings with timeout.
czy jest mozliwosc żeby po wireguard dostac sie do sieci VLAN? mam jeden komputer zdalny i chciałbym przez tunel wg miec dostęp do niego.
Trzeba dodać wpisy sieci Wireguard i odpowiedniego VLAN do "Inteface-Interface List" jako LAN (Bridge). Tak u mnie jest i działa
Świetny materiał. Link do kawy nie działa:(.
Da się na mikrotiku zablokować dostęp do stron na FB dla jednego adresu?
Sprawdzałem, to link powinien działać. Da się zablokować FB, ale to już po L7 trzeba żeby było skuteczne.
@@TechGlobuz możesz nagrać taki film?
kawa postawiona ;)
A czy w mikrotik jest 802.1X ?
Google gryzie? Pierwszy wynik po wpisaniu "802.1X Mikrotik" daje odpowiedź :)
Dziwi mnie to, że seria o mikrotiku słabo się ogląda, ale statystyki nie kłamią. Moim zdaniem te filmy są na prawdę ogromnym źródłem przydatnej wiedzy dla uczących się sys adminów jak i dla zwykłych użytkowników, którzy chcą być bardziej świadomi co się u nich w sieci dzieje. Sam jakiś czas temu miałem ogromne problemy aby zastosować znelezioną w internetach wiedzę gdyż przypadek był mocno specyficzny i zastosowanie prostych rozwiązań wiązało się z dużymi ograniczeniami. Po tym jak cały projekt udało się zamknąć Ty zacząłeś wrzucać te filmy :)
pzdr ixi
świetny materiał -
Dziękujemy.