1. Здраво и добредојдовте на форумот на IT.mk.

    Доколку сеуште не сте дел од најголемата заедница на ИТ професионалци и ентузијасти во Македонија, можете бесплатно да се - процесот нема да ви одземе повеќе од 2-3 минути, а за полесна регистрација овозможивме и регистрирање со Facebook и Steam.
    Сокриј

Препорака за Mikrotik

Дискусија во форумот 'LAN // WAN // MAN // PAN // CAN' започната од ARMac, 8 Април 2019.

  1. ARMac

    ARMac
    Орган

    5,722
    6,193
    2 oктомври 2010
    Машко
    Курајбер
    Знам дека на форумов има луѓе што работат со микротик, па ми треба совет кој рутер да го земам, а да не одам преку 500 спецификации.

    Еве што треба да може да прави.

    - 100 мегабита на WAN (и да има енкрипција на VPN, да бутка барем 90 сосе оверхед)
    - Пожелно да има Dual-Tripple WAN и LB, примарно ради failover, пожелно LB.
    - OpenVPN нормално, да има бриџ мод, да може tap0 да креира, не tun.
    - Да подржува ACL
    - Незнам дали имаат IPTABLES подршка за натирање, ако да обавезно да има, ако не што има на негово место.
    - би било пожелно свичуваните порти да се L3 (ова зависи од цената)
    - Да може да се постават различни порти во различни VLAN
    - PoE е дискутабилно, не е морално но би било убаво
    - Да има обавезно опширно додавање статични рути, интерконекција со гејтвеи на страната на VPN клиентите. Два и повеќе.

    Пожелно да го има кај нас, ако не ќе го порачам.

    Не сум работел на микротик до сега, ова би ми било старт така да не ги разбирам Router OS Level што точно значат (треба да гуглам).

    LAN портите немора да се гигабитни, доволно е 100 fd

    Едит - WiFi не е важно, не мора ни да има.
     
  2. HardCorec

    HardCorec
    Unbeatable

    3,050
    4,139
    4 ноември 2013
    Машко
    Ај прво ѕирни го RouterOS па ако ти одговара тогаш ке бараме рутер.
     
    На ARMac и krema им се допаѓа ова.
  3. ARMac

    ARMac
    Орган

    5,722
    6,193
    2 oктомври 2010
    Машко
    Курајбер
    Да топ, скоро се што ми треба.

    Прашања

    - Дали Switch>Vlan>Switch1 се однесува на сите порти или поедино можат да се конфигурираат. Пошто на демото не дава. Претпоставувам работи комплетно со виртуелни интерфејси, а портовите се само портови. Би требало да е така.
    - Гледам нема IPTABLES, него негов ама овде вика дека можат листите да се „преведат“. Дали можат да се видат преку терминал. На пример Print route. Терминалот на демото е многу спор ми глави, после првиот сетап ќе го работам исклучиво преку SSH така да ова е важно.
    - Исто како предходното, за ACL. Гледам команда /interface dev_name
    - Дали може како на циско рутери startup conf и running conf да се различни работи, односно да правиш измени на running config и на крај кога си сигурен да направиш cp run-conf startup-conf, нормално со различни команди на микротикот?

    Последно прашање овој RouterOS како на демово го добиваш на секој микротик или има ограничувања?

    Ако ми текне нешто ќе пишам. WAN брзината не мора да е над 100 мегабита.
     
  4. HardCorec

    HardCorec
    Unbeatable

    3,050
    4,139
    4 ноември 2013
    Машко
    1. Да, Vlanите си ги додаваш на кој порт сакаш и истите може да ги бриџуваш или... не знам што мислиш да правиш со нив, важно не си ограничен.
    2. ip address print во терминал на микротикот ти ги листа адресите, ip route print ти ги листа рутерите, ip pool print ти ги листа пуловите... и на било што да сакаш да листаш или да додадеш преку терминал само куцаш команда и тераш (командите ги имаш на гугл или ке прашаш тука па ке ти одговориме).
    3. ip firewall address list, тука додаваш адреси на кој сакаш да имаш контрола па ги ограничуваш (барем јас така ги работам).
    4. Не сум пробал, но во моментов што ми текнува... дека можеш да си направиш бекап conf фајлови па да правиш restore... значи бекап и ристор можеш да правиш и преку терминал.
     
    На ARMac му/ѝ се допаѓа ова.
  5. krema

    krema
    Professor

    8,373
    8,000
    24 Јуни 2009
    Машко
    Не му кажа најважното дека RouterOS треба да си го купи за да има привилегии. :D
    j/k
     
    На HardCorec му/ѝ се допаѓа ова.
  6. HardCorec

    HardCorec
    Unbeatable

    3,050
    4,139
    4 ноември 2013
    Машко
    Заборавив :D

    btw секој микротик си доаѓа со некоја од лиценциве... зависи каков уред купуваш... во принцип тие од средна класа доаѓаат со L4... поскапите со L5 и L6.

    [​IMG]
     
    На krema му/ѝ се допаѓа ова.
  7. ARMac

    ARMac
    Орган

    5,722
    6,193
    2 oктомври 2010
    Машко
    Курајбер
    Ок фала. Морам овој рутер да го ставам на место на застарениот Cisco 1841 кој моментално протнува само 35 Mbps. Ова сакам до крај на месецов да го завршам.

    Ќе разгледам на овернет новата страна што како, ако заглавам со прашање ќе пишам. Ценовно реално не сум нешто ограничен, ама не сакам да се потрошам :)

    Според сликава L4 ми одговара, затоа што јас и уште двајца ќе ги работиме тие тунелирања и слично, бројките не ми го пречекоруваат обемот ни од далеку.
     
  8. HardCorec

    HardCorec
    Unbeatable

    3,050
    4,139
    4 ноември 2013
    Машко
    Претпоставувам дека рутерот не ти е за дома, така?
     
  9. ARMac

    ARMac
    Орган

    5,722
    6,193
    2 oктомври 2010
    Машко
    Курајбер
    За дома е. Ама и фирма е дома. А ако ми се погоди ќе го ставам и во фирма фирма на место на 1941
     
  10. krema

    krema
    Professor

    8,373
    8,000
    24 Јуни 2009
    Машко
    @ARMac е институција брат. :)
     
    На ARMac и HardCorec им се допаѓа ова.
  11. HardCorec

    HardCorec
    Unbeatable

    3,050
    4,139
    4 ноември 2013
    Машко
    Мислам дека ми се моташе некој микротик по дома, да го избарам па ако го најдам можам да ти го пратам да си поиграш малце со него па после тоа купувај што мислиш.

    @krema не сум знаел бе :D (буџован? :p)
     
    На ARMac и krema им се допаѓа ова.
  12. ARMac

    ARMac
    Орган

    5,722
    6,193
    2 oктомври 2010
    Машко
    Курајбер
    Не бе да не го тупиме, решен сум да земам. Еве гледав на овернет, овие 3 ми паднаа во око. Првите 2 се со Dual Core 880 Mhz, 256 mb ram, последниот е доста послаб. Така да би одел со првиот, ако нема нешто што незнам, па со вториот и на крај со третиот ако морам.

    RB750Gr3 - hEX
    RB760iGS - hEX S
    RB750UPr2 - hEX Lite

    Претпоставувам ова се новите hap. Ќе го поминам следниот месец со теретење и real-life usage, па после систематски ќе ги мењам кај што ми требаат.
     
  13. HardCorec

    HardCorec
    Unbeatable

    3,050
    4,139
    4 ноември 2013
    Машко
    Не фрлај пари, истиот уред ке ти го дадам, за цена ке ја наредиме.... е сега ако толку па сакаш од овернет да го земаш... земај брат :D
     
  14. ARMac

    ARMac
    Орган

    5,722
    6,193
    2 oктомври 2010
    Машко
    Курајбер
    Не бе, немам некои посебни чувства кон овернет :)

    Кој го имаш пиши си цена ќе се договориме. За мене кога зимам не е проблем, за фирма веќе ми треба профактура.
     
  15. HardCorec

    HardCorec
    Unbeatable

    3,050
    4,139
    4 ноември 2013
    Машко
    Ај штом сум дома ке проверам која серија беше па ке ти пишам.
     
  16. dimsa

    dimsa
    Gaining Experience

    250
    274
    9 Јануари 2015
    Најдобро е да тестираш како што посочува членот. Колку што знам хардверската енкрипција е само за IPSec додека OVPN е софтверски (т.е главниот процесор енкриптира) така што тие 90мбпс може да не бидат баш достижни.
     
  17. ARMac

    ARMac
    Орган

    5,722
    6,193
    2 oктомври 2010
    Машко
    Курајбер
    Се договоривме. Зимам уред да се обучам со оперативниот, ако треба и појак ке земам понатаму. Не се скапи воопшто.

    Важни се можностите за процесорите ќе се најде решение. Моментално openvpn ми е на посебен сервер енкрипцијата ја врши еден стар Phenom II, рака да не е итно да се префрли на рутерот.

    Исто и ipsec би ми завршил работа, мада ovpn ми е позгоден.
     
  18. I.Cage

    I.Cage
    Intern

    16
    11
    13 Јуни 2018
    Машко
    Една реченица од мене.
    Ја би ти советувал да земеш RB750Gr3 - hEX или RB760iGS. Ако планираш да имплементираш IPsec/L2TP_IPsec
    Затоа што и двата се "acceleration" зависно колку ти треба во твојот случај.

    IPsec VS OpenVPN

    L2TP-IPSec
    -Предности-
    - udp:500, ESP /50, udp:1701
    - Користи UDP
    - Побрз од OVPN
    - Хардверска поддршка

    -Недостатоци-
    - Портата лесно може да се блокира и тунелот да биде нефункционален
    - L2TP-IPSec Secret, MikroTik воведе:
    *) ike2 - show weak pre-shared-key warning; (6.44)



    - OpenVPN -
    -Предности-
    - Може да се заобиколат заштитните ѕидови
    - Open source
    - Нат пријателски

    -Недостатоци-
    - protocol TCP
    - Треба софтвер од трета страна
    - Потребни сертификати
     
    На bxxxn му/ѝ се допаѓа ова.
  19. ARMac

    ARMac
    Орган

    5,722
    6,193
    2 oктомври 2010
    Машко
    Курајбер
    Ќе ја наредиме. Планот ми е на локациите во Скопје кај што сум задолжен полека да ги менувам cisco уредите поради тоа што последниот го чекав скоро 3 месеци.

    Некаде не е можно затоа што имам VRT рутери, кои се менаџираат со unified comm. manager. И да сакам да ги сменам со микротик неможам.

    Инаку си грешка дека OVPN работи само преку TCP, работи и преку UDP и тоа подобро. Сертификатите не се недостатоци него предност. Барем во мојов случај каде клиентите се знаат дека се рутери на друга локација.

    Ако прават проблеми микротик рутерите со енкрипција или блокирања, не е проблем да се подигнат посебни сервери за таа намена ќе видиме.

    Незнам како да се изразам да не испаднам арогантен :) едноставно се ефтини, па можам да си дозволам и две класи подобри ако ми требаат со буџетот што ми е одвоен за еден нов 4331 кој кошта 3 до 4 иљади евра, ќе ги сменам на сите локации со најдобрите микротикови.

    Сега за почеток се договоривме со @HardCorec и ми испрати човекот по форумска цена постар модел, да го имплементирам за сефте на домашна мрежа. Ако тргне ќе пазариме не е тоа проблем.

    Инаку IPSEC ike го користев директно на cisco уредите до пред некое време, ама конфигурациите на PIX и ASA се секогаш ike config pull (ISAKMP), па треба и за нив клиент, а го укинаа.
     
    На HardCorec му/ѝ се допаѓа ова.
  20. I.Cage

    I.Cage
    Intern

    16
    11
    13 Јуни 2018
    Машко
    OpenVPN користи UDP тоа да, и сите вендори кои го подржуваат.
    Aко сакаш со MikroTik да имплементираш OpenVPN,ќе користи САМО TCP. ;)

    OpenVPN - MikroTik Wiki
     
    На ARMac и HardCorec им се допаѓа ова.
  21. ARMac

    ARMac
    Орган

    5,722
    6,193
    2 oктомври 2010
    Машко
    Курајбер

    Ааааа сега те разбрав. Фала за инфо, ми треба UDP така да најверојатно ќе ги оставам постоечките сервери. Само да се тргнам или да минимизирам isakmp отров е клиентот за виндовс, а и веќе стар.
     
Слични теми
  1. gremlin
    Одговори:
    9
    Прегледи:
    839
  2. DrMTR
    Одговори:
    2
    Прегледи:
    836
  3. DrMTR
    Одговори:
    5
    Прегледи:
    632
  4. DrMTR
    Одговори:
    5
    Прегледи:
    797
  5. D
    Одговори:
    0
    Прегледи:
    1,260
Вчитување...

Сподели

Вчитување...