Miałem możliwość kilka razy prostować sieć, a także poruszać się w sieci której był bałagan, gdzie nikt nie wie jak prowadzone są kable z pomieszczenia do pomieszczenia. Czasem udawało się robić dobre opisy, a czasem człowiek nawet nie zdążył opisać bo sieć ma działać natychmiast. Sam wychodzę z założenia że opisy nie powinny być tylko na urządzeniach, ale także na kablach w kilku miejscach na całej długości, aby nie było pytań czy coś jest telefonem, lanem, czy kablem prądowym podobnym do skrętki.
Tak bardzo rozumiem. Jakiś czas temu miałem wątpliwą przyjemność obsługiwania takiej sieci. Największy problem jaki zawsze mam z tego typu przypadkami to sytuacje typu "ale to na jutro musi działać" czy "no, ale tyle pieniędzy na zakup sprzętu nie mamy". But the lan is roling :P Dzięki za film
Dzięki za filmik. MikroTik ma bardzo fajne narzędzie Dude, które pomaga w tego typu problemach. Zabawy trochę z tym jest ale raz wykonana mapa sieci odzwierciedla jej stan fizyczny. Włożony trud w jej wykonanie szybko zaprocentuje. Pzdr
Meh, ja to mam problem. 3 miejsca koncentracji switchy (serwerownia, magazyn i switchownia), 0 dokumentacji co do czego podłączone, wszędzie spaghetti na switchach i jeszcze pętla w LAN z konfliktami adresów (adresy przypisane ręcznie na sprzęcie w zakresie DHCP). Większość zrobiona na unify i kilka switchy hp, kamer nie wliczam. Jeszcze pododawane w niewiadomych miejscach POE injectory (o ile to one powodują negocjację na FE) z przed modernizacji (niedokończone przez poprzednią ekipę). Mapa od unify odpada bo błędnie pokazuje, a i brak budżetu na dokupienie brakujących switchy. P.S. Jest to w miarę duży zabytkowy budynek gdzie już nogi bolą jak się lata tyle po schodach do tych miejsc
Tak jak jeden z komentujących wskazał często do identyfikacji hosta na porcie można wykorzystać Neighbor (zwłaszcza dla urządzeń sieciowych) albo wręcz tablice ARP w której także mamy zapisane poprzez który port dany host dochodzi do naszego routera
Widzę że masz podobny problem jaki miałem w szkole ale daliśmy radę 8 vlan i 6 podsieci odseparowanych od siebie i do tego serwer domen . A jak sprawdzić bezpośredniość połączenia robisz rebot rutera po drugiej stronie i widzisz czy link znika na porcie.😊
Też opcja z tym restartem. Problem jedynie w tym, że tam siedzą cały czas klienci hotelu i biuro, więc bezkarnie nie mogę restartować inaczej niż w późnych godzinach nocnych ;)
A są jakieś narzędzia, które automatycznie zrobią wizualizację sieci jak wszystko to jeden wielki bridge? Jak masz routing np. po OSPF, to nawet LibreNMS zwizualizuje. Tutaj nie wiem jak to ugryźć.
Czy jest bezpośrednio podłączony można pingować zdalne urządzenie, puścić reboot i obserwować czy port na MT zmienia stan. Oprócz tego dobry tester z wbudowanym lokalizatorem sygnału i LED pingiem na porcie
Ja tam się nie znam. Mam swich 16 portowy ,kilka urządzen ubi ,I jeden mt. Raz nie opisałem kabli w swichu . Potem zajęło mi kilka godzin zanim doszedłem do czego jest każdy kabel. A to mam tylko swoje w domu.
A nie prościej wejść w ARP i zobaczyć pod jakim ether jest przypisany IP ? Zawsze można wyczyścić tablice ARP i poczekać chwilę i jeszcze raz sprawdzić.
To tak nie zadziała. Jak to jest switch, to na takim CRS125 widzę w ARP tylko jeden wpis (bramę). Oczywiście jak puszczę IP scana po wszystkich IP, to ARP się wypełni, ale jako interface wszędzie jest vlan100_zarzadzanie (w tym konkretnym przypadku).
@@TechGlobuz na routerze patrzę w ARP I widać że np na ether8 i tam jest switch. To łącze się na switcha i tam w ARP patrzę i po nitce do kłębka powinno zadziałać czy się mylę?
@@TechGlobuz Na routerach MT tabela w IP ARP podaje fizyczny port, nie tylko bridge, więc może masz ukrytą tą kolumnę, bo to jest w osobnej kolumnie. Oczywiście może być trzeba spingować lub ip scan wcześniej, ale podaje fizyczny port na pewno. Nie raz tego używałem w ten sposób.
@@qbpm Screena tu niestety nie wstawię, ale na CRS125 nie widać tego. Pokazuje interface VLAN, który jest zdefiniowany na bridge i tyle. Nie wykluczam, że jakby było podpięte bezpośrednio do portów (nie przez VLAN), to by pokazało.
Czasem faktycznie przydatne, ale nie każde urządzenie to ma (Unifi nie ma). Do tego zauważyłem, że w Mikrotiku potrafi czasem pokazywać bzdury. Są też urządzenia, które potrafią to wyciąć po drodze (np. switche zarządzane TP-Link).
12:00 w tym przypadku ta reguła robi dokładnie nic. zmień sobie accept na drop i spróbuj. Prawda że nadal działa? :) strasznie kombinujesz z torchem podczas gdy w narzędziu ping masz możliwość wyboru interfejsu, prosto i bezboleśnie.
W tym konkretnym przypadku ta reguła powodowała, że ping poza sieć (np. do DNS google) z czegoś co nie było na liście LAN, ale mogło być NAT-owane, przechodził dalej. Jak widzisz reguła drop która dropuje wszytko co nie jest z LAN jest PO tej regule, więc ping przejdzie, ale normalny ruch już nie. Co do ping to pokaż mi to jak zrobić to na VLAN-ie dodanym do bridge. Odpowiedź: nie da się. Tutaj zarządzanie jest po VLAN-ach, więc zostaje torch.
Jak robiłem u siebie VLAN-y na Mikrotikach za nic nie mogłem dojść jak po zaznaczeniu VLAN filtering umożliwić jakiś ruch między VLAN-ami np. żebym mógł sprawdzić co jest z IoT. Wtedy przestałem używać tej funkcji i zrobiłem to w firewallu tak jak Ty to pokazałeś. Która metoda jest lepsza/bardziej prawidłowa i czy jest możliwość dopuszczenia ruchu w 1 opcji?
VLAN filtering tak ma, że blokuje ruch między VLAN-ami. Generalnie to służy on do tego, żeby używać go na switchach, a nie na routerach, choć pewnie jakoś da się użyć. Zależy to głównie od urządzenia, bo w MT co urządzenie, to potrafi być inaczej.
Mam pytanie do autora bo chciałbym to strasznie zrozumiec co w zasadziej daje domyslny mikrotikowy firewall , widzialem tam przepuszczenie regul establish i new przed jakimi typami atakow to ma w zasadzie bronic? Rozumiem przykrycie portow mgmt ewentualnie blokade routingu goscie / pracownicy ale po co tu stanowy firewall?
Bez tego firewalla masz otwarty port winboxa, www, ssh, nawet telnet. Ogólnie wszystkie usługi, jakie ma Mikrotik są wystawione na publika. Oczywiście jeśli nie zablokujesz tego inaczej. W każdym razie dobrą praktyką (zalecaną przez Mikrotika) jest stosowanie domyślnego firewalla na wszystkim wpiętym do internetu. Co więcej realnie każdy domowy, konsumencki router ma pod maską identyczne albo zbliżone reguły firewalla. Po prostu ich nie widzisz.
Do identyfikacji urządzeń podpiętych do switcha używam zakładki Bridge/hosts, wiersz z flagą DI to MAC mojego portu na switchu a flaga DE oznacza MAC urządzenia podpiętego to tego portu. Prosto i szybko.
![Jak działa karta SIM ?[RS Elektronika] #258](/img/n.gif)
@TechGlobuz - w 11:40+ widać porty które wcześniej były ukryte. Proponuje a przyszłość odznaczyć kolumnę portów z widoku.
Pięknie to ogarnąłeś. Szkoda ze nie ma takich filmów o ubi.
Miałem możliwość kilka razy prostować sieć, a także poruszać się w sieci której był bałagan, gdzie nikt nie wie jak prowadzone są kable z pomieszczenia do pomieszczenia. Czasem udawało się robić dobre opisy, a czasem człowiek nawet nie zdążył opisać bo sieć ma działać natychmiast. Sam wychodzę z założenia że opisy nie powinny być tylko na urządzeniach, ale także na kablach w kilku miejscach na całej długości, aby nie było pytań czy coś jest telefonem, lanem, czy kablem prądowym podobnym do skrętki.
Witam.
Dzięki za takie filmy.
Więcej filmów z błędów i serwisu.
;)
Zdrowia i powodzenia...
Pozdro.
Przemo (1979)
Tak bardzo rozumiem. Jakiś czas temu miałem wątpliwą przyjemność obsługiwania takiej sieci. Największy problem jaki zawsze mam z tego typu przypadkami to sytuacje typu "ale to na jutro musi działać" czy "no, ale tyle pieniędzy na zakup sprzętu nie mamy". But the lan is roling :P Dzięki za film
Na takich klientów jest prosta odpowiedź ( to nie piekarnia )
Dzięki za film
Dzięki za filmik. MikroTik ma bardzo fajne narzędzie Dude, które pomaga w tego typu problemach. Zabawy trochę z tym jest ale raz wykonana mapa sieci odzwierciedla jej stan fizyczny. Włożony trud w jej wykonanie szybko zaprocentuje. Pzdr
Meh, ja to mam problem. 3 miejsca koncentracji switchy (serwerownia, magazyn i switchownia), 0 dokumentacji co do czego podłączone, wszędzie spaghetti na switchach i jeszcze pętla w LAN z konfliktami adresów (adresy przypisane ręcznie na sprzęcie w zakresie DHCP). Większość zrobiona na unify i kilka switchy hp, kamer nie wliczam. Jeszcze pododawane w niewiadomych miejscach POE injectory (o ile to one powodują negocjację na FE) z przed modernizacji (niedokończone przez poprzednią ekipę). Mapa od unify odpada bo błędnie pokazuje, a i brak budżetu na dokupienie brakujących switchy.
P.S. Jest to w miarę duży zabytkowy budynek gdzie już nogi bolą jak się lata tyle po schodach do tych miejsc
Tak jak jeden z komentujących wskazał często do identyfikacji hosta na porcie można wykorzystać Neighbor (zwłaszcza dla urządzeń sieciowych) albo wręcz tablice ARP w której także mamy zapisane poprzez który port dany host dochodzi do naszego routera
Widzę że masz podobny problem jaki miałem w szkole ale daliśmy radę 8 vlan i 6 podsieci odseparowanych od siebie i do tego serwer domen . A jak sprawdzić bezpośredniość połączenia robisz rebot rutera po drugiej stronie i widzisz czy link znika na porcie.😊
Też opcja z tym restartem. Problem jedynie w tym, że tam siedzą cały czas klienci hotelu i biuro, więc bezkarnie nie mogę restartować inaczej niż w późnych godzinach nocnych ;)
Fajne metody do wykorzystania. A czy nie mogłeś skożystać z hakieś wizualizacji sieci? Pozostał by tylko problem fizycznych połączeń odpowiedników etc
A są jakieś narzędzia, które automatycznie zrobią wizualizację sieci jak wszystko to jeden wielki bridge? Jak masz routing np. po OSPF, to nawet LibreNMS zwizualizuje. Tutaj nie wiem jak to ugryźć.
Czy jest bezpośrednio podłączony można pingować zdalne urządzenie, puścić reboot i obserwować czy port na MT zmienia stan. Oprócz tego dobry tester z wbudowanym lokalizatorem sygnału i LED pingiem na porcie
Ja tam się nie znam. Mam swich 16 portowy ,kilka urządzen ubi ,I jeden mt. Raz nie opisałem kabli w swichu . Potem zajęło mi kilka godzin zanim doszedłem do czego jest każdy kabel. A to mam tylko swoje w domu.
A nie prościej wejść w ARP i zobaczyć pod jakim ether jest przypisany IP ? Zawsze można wyczyścić tablice ARP i poczekać chwilę i jeszcze raz sprawdzić.
To tak nie zadziała. Jak to jest switch, to na takim CRS125 widzę w ARP tylko jeden wpis (bramę). Oczywiście jak puszczę IP scana po wszystkich IP, to ARP się wypełni, ale jako interface wszędzie jest vlan100_zarzadzanie (w tym konkretnym przypadku).
@@TechGlobuz na routerze patrzę w ARP I widać że np na ether8 i tam jest switch. To łącze się na switcha i tam w ARP patrzę i po nitce do kłębka powinno zadziałać czy się mylę?
@@TechGlobuz Na routerach MT tabela w IP ARP podaje fizyczny port, nie tylko bridge, więc może masz ukrytą tą kolumnę, bo to jest w osobnej kolumnie. Oczywiście może być trzeba spingować lub ip scan wcześniej, ale podaje fizyczny port na pewno. Nie raz tego używałem w ten sposób.
@@qbpm Screena tu niestety nie wstawię, ale na CRS125 nie widać tego. Pokazuje interface VLAN, który jest zdefiniowany na bridge i tyle. Nie wykluczam, że jakby było podpięte bezpośrednio do portów (nie przez VLAN), to by pokazało.
@@TechGlobuz Faktycznie, masz rację, sprawdziłem i przy VLANach w Bridge nie widać fizycznego portu w ARP.
Ciekawą opcją jest też wykorzystanie lldp/Neighbor discovery. Często pomaga w lokalizacji urządzeń na danym porcie.
Czasem faktycznie przydatne, ale nie każde urządzenie to ma (Unifi nie ma). Do tego zauważyłem, że w Mikrotiku potrafi czasem pokazywać bzdury. Są też urządzenia, które potrafią to wyciąć po drodze (np. switche zarządzane TP-Link).
12:00 w tym przypadku ta reguła robi dokładnie nic. zmień sobie accept na drop i spróbuj. Prawda że nadal działa? :) strasznie kombinujesz z torchem podczas gdy w narzędziu ping masz możliwość wyboru interfejsu, prosto i bezboleśnie.
W tym konkretnym przypadku ta reguła powodowała, że ping poza sieć (np. do DNS google) z czegoś co nie było na liście LAN, ale mogło być NAT-owane, przechodził dalej. Jak widzisz reguła drop która dropuje wszytko co nie jest z LAN jest PO tej regule, więc ping przejdzie, ale normalny ruch już nie.
Co do ping to pokaż mi to jak zrobić to na VLAN-ie dodanym do bridge. Odpowiedź: nie da się. Tutaj zarządzanie jest po VLAN-ach, więc zostaje torch.
Jak robiłem u siebie VLAN-y na Mikrotikach za nic nie mogłem dojść jak po zaznaczeniu VLAN filtering umożliwić jakiś ruch między VLAN-ami np. żebym mógł sprawdzić co jest z IoT. Wtedy przestałem używać tej funkcji i zrobiłem to w firewallu tak jak Ty to pokazałeś. Która metoda jest lepsza/bardziej prawidłowa i czy jest możliwość dopuszczenia ruchu w 1 opcji?
VLAN filtering tak ma, że blokuje ruch między VLAN-ami. Generalnie to służy on do tego, żeby używać go na switchach, a nie na routerach, choć pewnie jakoś da się użyć. Zależy to głównie od urządzenia, bo w MT co urządzenie, to potrafi być inaczej.
Czy powstanie jakiś discord lub cos tego typu gdzie ludzie mogą dzielić się wiedzą i wspólnie rozwiązywać problemy? :)
Od lat jest forum trzepak.pl
The Dude na mikrotika zrobi nam szkielet, z podaniem portu na switchu
Pomysł na: pihole na mikrotik
Poszlo zapytanie z linkiem
Mam pytanie do autora bo chciałbym to strasznie zrozumiec co w zasadziej daje domyslny mikrotikowy firewall , widzialem tam przepuszczenie regul establish i new przed jakimi typami atakow to ma w zasadzie bronic? Rozumiem przykrycie portow mgmt ewentualnie blokade routingu goscie / pracownicy ale po co tu stanowy firewall?
Bez tego firewalla masz otwarty port winboxa, www, ssh, nawet telnet. Ogólnie wszystkie usługi, jakie ma Mikrotik są wystawione na publika. Oczywiście jeśli nie zablokujesz tego inaczej. W każdym razie dobrą praktyką (zalecaną przez Mikrotika) jest stosowanie domyślnego firewalla na wszystkim wpiętym do internetu. Co więcej realnie każdy domowy, konsumencki router ma pod maską identyczne albo zbliżone reguły firewalla. Po prostu ich nie widzisz.
Ja bym vlana gości nie dodawał do LAN tylko zrobił dziurkę na dostęp do DNSa albo na DHCP serwerze dla gości ustawił DNS na zewnętrzne.
Dlaczego?
Do identyfikacji urządzeń podpiętych do switcha używam zakładki Bridge/hosts, wiersz z flagą DI to MAC mojego portu na switchu a flaga DE oznacza MAC urządzenia podpiętego to tego portu. Prosto i szybko.
Dzięki :) Działa pięknie. Na to nie wpadłem, a to jest najszybsza metoda, o ile znasz MAC urządzenia (choć znalezienie MAC to nie jest problem).
Sam miałem identyczny problem w domu. Ping szedł a internetu brak.