ужос :) настроил так себе менджмент vlan, открыл там менеджмент доступ, а офисному влану его закрыл файрволом и думаешь такой, "от я молодец, посекурил менеджмент", а хрен там :)
Спасибо гляну ещё раз в vlanы. Тем более что сейчас есть на чем не спеша потренироваться :) Тогда я их пробовал сделать ещё на routeros 6, да и зуд запустить новую железку в работу побыстрее тоже мешал
Воу воу, полегче, у меня их всего три и конфигу я меняю не так часто :) тут вопрос времени конечно, пока мне дешевле бекапы. Соображение простое. Если что-то сдохнет то не факт что я куплю такую же точно железку, и все равно придется конфиг вручную подгонять. В микротах бекап нужен больше для того что бы на него откатить если что-то перемудрил или стёр. Вот сервера - другое дело, там все не сводиться к одной текстовой простыне и даже конфигу всего 4х своих серверов я храню в ансибле, это точно быстрее и надёжнее хранения бекапов, с них бекапяться только данные.
Это не совсем так. Firewall может работать на любом уровне, ничто не мешает ему указать блокировать MAC. Или вообще весь трафик на порту. Тем более что судя по https://wiki.wireshark.org/Protocols/mactelnet.md это вообще udp. А если посмотреть вот сюда http://lunatic.no/2010/06/dissecting-mikrotiks-mac-telnet-packets/ то ожидаемо видно что это обычный udp пакет и в поле ip dst у него вполне обычный бродкаст адрес. Так что в теории файрвол настроенный на блокировку udp или порта 20561 или src 255.255.255.255 должен работать. Другое дело что такие пакеты микротик может как-то по особому отрабатывать, например тупо до всех пользовательских правил.
Дьявол в деталях :) ресетнуть конфиг руками таки гораздо быстрее чем ждать пока safe mode отдуплится. WinBox тоже не мое, у меня в win тока Steam стоит. Что закрытый firewall это не проблема это прям так странно и неожиданно, за наводку спасибо, отключил mac-server нафик
Дело было давно, но насколько я помню настройка vlan в микротах после cisco мне показалась какой-то замороченой и непонятной. И если в свитче есть консольный порт то в hAP его нет и вся игра с vlan становится довольно нудной, с потерями доступа и перезагрузками. С бриджами все взлетело как хотелось и судя по мониторингу не сильно роутер напрягло. Пока расширение сети не планируется, да и есть ещё свободный порт что бы не возится с тегированным трафиком.
Цель графиков - показать как было до и после на одной и той же конфиге и на одних и тех же клиентах, но на разном железе :) так что подробности конфиги не особо важны
Свитч в свое время выбирался по простым параметрам. 24 гигабитных порта, микротик, можно забрать прям счас. В итоге в Ситилинке и был взят это девайс. На самом деле схема именно взрослая :) свитч на l2, роутер на l3. Бриджи на роутере сконфигурены исключительно что бы на отдельном порту брать от свитча нетегированный трафик, и роутить его. Тоесть от свитча в роутер идёт три пачкорда вместо одного транка. Ну да, не очень профессионально:) но порты свободные есть, все рядом, кабеля короткие, конфига проще, why not.
Лабы мне вообще не интересны, мне надо что бы все работало:) я 8 лет проработал в отделе который во время моего ухода в 2008 рулил сетью в которой было 1300 только cisco свитчей и роутеров, включая 6000 и 7500 серии. Наигрался по самое не хочу, а сейчас я немного другим занимаюсь.
чисто NAT не пробовал, но с PPPOE точно стабильно держалось на 100 мегабитах, ну и опять же, дело не только в скорости но и в более менее нормальном cli
600 мегабит тарифа хватит на фсе !:) Зачем делаю сам не очень понимаю, поставил когда-то посмотреть да так и оставил, по всем графикам в забиксе сеть и raspberry pi где стоит HA это не особо нагружает. Зато вот сейчас пригодилось, можно сделать вывод что апгрейд железа не зря.
Два роутера это у меня hw ha такой
да застыдили вы меня, перешел на роутере :)
а свитч изначально на них был, правда на switch chipe
ужос :) настроил так себе менджмент vlan, открыл там менеджмент доступ, а офисному влану его закрыл файрволом и думаешь такой, "от я молодец, посекурил менеджмент", а хрен там :)
погуглил я по диагонали и все выглядит как-то не очень, https://docs.ansible.com/ansible/latest/collections/community/routeros/command_module.html выглядит не очень пригодным для конфигурирования, в силу особенности CLI микрота, если дать два раза одну и ту же конфигурационную команду у второй будет ошибка - failure: already have such entry, ну и модификация так же не всегда работает, иногда строку надо сначала удалить, потом добавить c новыми параметрами. Есть https://docs.ansible.com/ansible/latest/collections/community/routeros/api_modify_module.htm но там надо пробовать, в path в Choices: вообще нет "interface wireguard" и непонятно, то ли оно не поддерживается вообще, то ли просто забыли упомянуть.
Спасибо гляну ещё раз в vlanы. Тем более что сейчас есть на чем не спеша потренироваться :) Тогда я их пробовал сделать ещё на routeros 6, да и зуд запустить новую железку в работу побыстрее тоже мешал
Воу воу, полегче, у меня их всего три и конфигу я меняю не так часто :) тут вопрос времени конечно, пока мне дешевле бекапы. Соображение простое. Если что-то сдохнет то не факт что я куплю такую же точно железку, и все равно придется конфиг вручную подгонять. В микротах бекап нужен больше для того что бы на него откатить если что-то перемудрил или стёр. Вот сервера - другое дело, там все не сводиться к одной текстовой простыне и даже конфигу всего 4х своих серверов я храню в ансибле, это точно быстрее и надёжнее хранения бекапов, с них бекапяться только данные.
Это не совсем так. Firewall может работать на любом уровне, ничто не мешает ему указать блокировать MAC. Или вообще весь трафик на порту. Тем более что судя по https://wiki.wireshark.org/Protocols/mactelnet.md это вообще udp. А если посмотреть вот сюда http://lunatic.no/2010/06/dissecting-mikrotiks-mac-telnet-packets/ то ожидаемо видно что это обычный udp пакет и в поле ip dst у него вполне обычный бродкаст адрес. Так что в теории файрвол настроенный на блокировку udp или порта 20561 или src 255.255.255.255 должен работать. Другое дело что такие пакеты микротик может как-то по особому отрабатывать, например тупо до всех пользовательских правил.
Дьявол в деталях :) ресетнуть конфиг руками таки гораздо быстрее чем ждать пока safe mode отдуплится. WinBox тоже не мое, у меня в win тока Steam стоит. Что закрытый firewall это не проблема это прям так странно и неожиданно, за наводку спасибо, отключил mac-server нафик
Какой-то он монструозный для трёх девайсов :) да ещё и на руби. Когда-то я пользовал RANCID, но там девайсов было за 5 десятков
О как. Я опирался на вот эту инфу
Дело было давно, но насколько я помню настройка vlan в микротах после cisco мне показалась какой-то замороченой и непонятной. И если в свитче есть консольный порт то в hAP его нет и вся игра с vlan становится довольно нудной, с потерями доступа и перезагрузками. С бриджами все взлетело как хотелось и судя по мониторингу не сильно роутер напрягло. Пока расширение сети не планируется, да и есть ещё свободный порт что бы не возится с тегированным трафиком.
Цель графиков - показать как было до и после на одной и той же конфиге и на одних и тех же клиентах, но на разном железе :) так что подробности конфиги не особо важны
Свитч в свое время выбирался по простым параметрам. 24 гигабитных порта, микротик, можно забрать прям счас. В итоге в Ситилинке и был взят это девайс. На самом деле схема именно взрослая :) свитч на l2, роутер на l3. Бриджи на роутере сконфигурены исключительно что бы на отдельном порту брать от свитча нетегированный трафик, и роутить его. Тоесть от свитча в роутер идёт три пачкорда вместо одного транка. Ну да, не очень профессионально:) но порты свободные есть, все рядом, кабеля короткие, конфига проще, why not.
Лабы мне вообще не интересны, мне надо что бы все работало:) я 8 лет проработал в отделе который во время моего ухода в 2008 рулил сетью в которой было 1300 только cisco свитчей и роутеров, включая 6000 и 7500 серии. Наигрался по самое не хочу, а сейчас я немного другим занимаюсь.
Это само собой, скрипт был просто показать идею.
кинетики умеют читать мысли, и создавать подсети на основе ясновидения ? :)
чисто NAT не пробовал, но с PPPOE точно стабильно держалось на 100 мегабитах, ну и опять же, дело не только в скорости но и в более менее нормальном cli
да идея тупенькая
в саратове с этим попроще, на 5 тока два моих роутера, один мтсный и один ростелека
Трудно сейчас что-то загадывать конечно, но следующий апгрейд хотелось бы на wi-fi 6. Хотя wpa 3 тоже прикольно.
600 мегабит тарифа хватит на фсе !:) Зачем делаю сам не очень понимаю, поставил когда-то посмотреть да так и оставил, по всем графикам в забиксе сеть и raspberry pi где стоит HA это не особо нагружает. Зато вот сейчас пригодилось, можно сделать вывод что апгрейд железа не зря.
ну я глянул нынешние, не предзаказные, цены 8 гиговая rock5s больше чем в два раза дороже orange 5
ценой ?:)