Комментарии 69
К слову, lanmart к концу января обещает начать поставки ax3 (не реклама), почти по такой же цене как ac3: https://www.lanmart.ru/mikrotik-hap-ax3.html
Трудно сейчас что-то загадывать конечно, но следующий апгрейд хотелось бы на wi-fi 6. Хотя wpa 3 тоже прикольно.
Следующий хотелось бы на WiFi 6E. Я вот привык к частному дому, а тут временно переместился в квартиру и обнаружил, что диапазон 5 ГГц загажен соседями похлеще 2,4 ГГц... И как ни меняй каналы - соседские точки тоже в автоматическом режиме подстраиваются под изменившуюся обстановку :)
Поставил пока Mikrotik RB3011 на пару с Unifi U6 Pro (AX3 найти в продаже не получилось, да и отдельная точка доступа по-любому предпочтительнее, а CAP с WiFi 6 у Mikrotik'а пока отсутствует в линейке), но 6 ГГц очень хочется. Но с 6E пока тоже ни одной адекватной железки не нашёл в наличии, подожду...
в саратове с этим попроще, на 5 тока два моих роутера, один мтсный и один ростелека
Эх... Сейчас вижу 40 сетей на 2,4 ГГц и 27 - на 5 ГГц. Из них 5 штук уже WiFi 6, кстати (провайдеры новым абонентам с тарифами выше 100 Мбит/с ставят по умолчанию). И это ещё район четырёх-пятиэтажек с относительно большими квартирами, что творится в многоэтажных человейниках со студиями - страшно представить :(
Не у всех, конечно, настолько сильный сигнал, чтобы мешать, но для этого и трёх ближайших соседей, вольготно занявших по 40 МГц каждый, хватает...
Так ax3 и есть wifi6 же.
По поводу вашего конфига. На сколько я знаю, то тока 1 бридж на микроте hw. Добавляешь второй и hw отваливается. Переходите на vlan. Тот же vlan filtering (и на crs125 кста) и все будет по красоте. Даже в switch chip лезть не придётся.
да застыдили вы меня, перешел на роутере :)
а свитч изначально на них был, правда на switch chipe
И ещё вопрос. А зачем вам старый роутер? Что мешает поднять мультиван на рекурсии на микроте?
А и wpa3 вроде тоже есть в микроте, wave2 вам в помощь. В ac3 он влезает.
Ну и ещё раз. В текущих версиях рос можно не лезть в свитч чип. Vlan filtering. Рос все сделает сама, и делается сильно проще. ) если есть свитч чип, то все будет работать хв, пока не доберёмся до "менеджмента".
Что-то дорогова-то за MIMO 2x2. Да, формально это WiFi6, но что там реализовано?
Даже MU-MIMO нет.
Другая идеология. Возможность реализовывать на soho железке то что на кинетика/асусах/етс просто не реализовать.
При чем здесь идеология?
Производитель устанавливает модуль беспроводной связи WiFi6, который работает даже хуже, чем WiFi5 на SOHO железе того же ценового диапазона. Очень некрасивый маркетинговый ход.
P.S.: в своих решениях часто использую связку mikrotik routerboard + AP другого вендора. Благо, PoE почти везде есть.
и я перешел таки на него :) но две недели назад
"Это плагин speedtest в home assistant который периодически замеряет скорость "
а зачем вы это делаете? тесты нужно только в моменты наладки канала. в случаях мониторинга он ведь создает паразитную нагрузку.
600 мегабит тарифа хватит на фсе !:) Зачем делаю сам не очень понимаю, поставил когда-то посмотреть да так и оставил, по всем графикам в забиксе сеть и raspberry pi где стоит HA это не особо нагружает. Зато вот сейчас пригодилось, можно сделать вывод что апгрейд железа не зря.
а я тут в опе мира вас люто ненавижу на Keenetic Runner 4G (KN-2210) RU :)
который они привели к порядку через 2.5 года и то при последнем обновлении сломали подсчет трафика по модему
зы ланмарт достойный магазин, много брал у них с хорошей доставкой и ценой
2 года назад я чуть не купил кинетик. но умные люди в комьюнити кинетика сказали "кинетик - это крутой корч который нужно постоянно проверять и тюнить, а асус это мерседес. Не хочешь пробелем - бери асус".
И я купил RT-AX92U. Это было одно из лучших устройств в то время в продаже. Ничего плохого не скажу вообще. Любые настройки. Все идеально работат с гигабитом и домашним сервером с разными сервисами за проксей и фаерволом.
Круто сделал
Молодец! Но тебя обманули. Не надо в кинетике ничего проверять и тюнить. А половина того, что автор статьи поднимал на своём замечательном микротике, в кинетике доступно прям сразу после первого включение модема.
кинетики умеют читать мысли, и создавать подсети на основе ясновидения ? :)
Но это все на что он способен. В контексте домохозяйки конечно кинетик топчег, но как только встаёт вопрос чуть больше чем просто в интернет и уже боль. Да есть кли, но все же очень куций функционал.
>Ну, что бы там git, авто коммиты и все по модному.
Статейку бы про это. А то у меня дедовский способ - на мейл бекап кидает.
У меня oxidized собирает конфиги с микротиков и комитит в мой git. В документации к oxidized подробно описано как настроить.
да идея тупенькая
cd device_config
for device in router1 router2 switch; do
ssh $device export show-sensitive=yes > $device.conf
done
git commit -am "$(date +%Y-%m-%d_%H-%M)"
Надо хотя бы первую строчку конфига, куда Микротик в качестве примечания дату экспорта пишет, обрезать, чтобы не засорять репозиторий коммитами, в которых ничего, кроме этой строчки, не поменялось.
Это само собой, скрипт был просто показать идею.
А совсем идеально бы перевернуть эту логику в обратную сторону и не [только] бэкапить конфиги Микротов, а, наоборот, настраивать эти самые Микроты не руками, а каким-нибудь Ansible. Но до такой степени просветлённости я ещё не дошёл, хотя 7 Микротиков, расположенные в 3 разных странах, имеющиеся на попечении в домашнем хозяйстве, активно намекают, что пора бы...
Воу воу, полегче, у меня их всего три и конфигу я меняю не так часто :) тут вопрос времени конечно, пока мне дешевле бекапы. Соображение простое. Если что-то сдохнет то не факт что я куплю такую же точно железку, и все равно придется конфиг вручную подгонять. В микротах бекап нужен больше для того что бы на него откатить если что-то перемудрил или стёр. Вот сервера - другое дело, там все не сводиться к одной текстовой простыне и даже конфигу всего 4х своих серверов я храню в ансибле, это точно быстрее и надёжнее хранения бекапов, с них бекапяться только данные.
Ну вот у меня есть полдюжины типовых скриптов на всех роутерах, и я уже подустал все правки в них вручную распространять по всем железкам. Плюс 5 из этих Микротов связаны в общую VPN-сеть (Wireguard), где у каждого в peer'ах прописаны все остальные. И вот на днях добавлять туда пятый, попробовав не перепутать, куда какой ключ копипастить, тоже было как-то не очень. А потом появится шестой... было бы приятнее просто добавлять строку в конфиг в одном месте и распространять необходимые правки на все остальные автоматом.
Пока тоже задача описать всё это в каком-то шаблонном виде кажется более трудоёмкой, чем ручная настройка. Но в долгосрочной перспективе и с т.зр. минимизации шансов сделать где-нибудь дурацкую опечатку - надо бы заняться. Если не весь конфиг с нуля так формировать, то хотя бы отдельные блоки.
погуглил я по диагонали и все выглядит как-то не очень, https://docs.ansible.com/ansible/latest/collections/community/routeros/command_module.html выглядит не очень пригодным для конфигурирования, в силу особенности CLI микрота, если дать два раза одну и ту же конфигурационную команду у второй будет ошибка - failure: already have such entry, ну и модификация так же не всегда работает, иногда строку надо сначала удалить, потом добавить c новыми параметрами. Есть https://docs.ansible.com/ansible/latest/collections/community/routeros/api_modify_module.htm но там надо пробовать, в path в Choices: вообще нет "interface wireguard" и непонятно, то ли оно не поддерживается вообще, то ли просто забыли упомянуть.
RT-N66U отлично прокачивает гигабит через ipoe с аппаратно-ускоренным nat. Насчет pppoe не уверен.
Бэкап с одного микротика даже на аналогичную модель лучше не разворачивать, не говоря про разные:) только через експорт конфиг и вдумчивый импорт, при этом при импорте надо полностью удалить конфу (reset - no default). При должной сноровке импорт можно делать менее вдумчиво и сразу применять при сбросе :)
Грац с обновкой, вяловяло смотрю на hap ax3 :)
Пару-тройку замечаний. Первое и самое интересное - а зачем в кейсе нужны именно целых три бриджа? Hardware offloading работает только на одном бридже, и имхо, правильней разрулить сеть на вланах, в бридже включаем VLAN filtering, на интерфейсы навешиваем вланы, изоляцию - фаерволом. По мере роста сети (или мере роста потребностей в портах/удобству/или прочим кейсам) протягиваем вланы транком на свитч и получаем подобие взрослой сети, где роутер занимается своими задачами, свитч своими.
Второе - циферки и графики без приведения основных моментов из конфига и показателей pps на интерфейсе как-то монопенисуально, потому что неинформативно. Например, один простой ключик connection-mark=no-mark в mangle в некоторых случаях может радикально изменить нагрузку на проц. Так же как и число пробегающих через интерфейс сетевых пакетиков.
Третье - если и брать микротиковский свитч, то уже серию crs3xx. Серия более функциональна, активно развивается и некоторых плюшек нет и не будет в более ранних сериях свитчей. Для домашней лабы, пощупать и набить руку (как на SwOS, так и на RoutesOS, там дуалбут) - самое оно.
Дело было давно, но насколько я помню настройка vlan в микротах после cisco мне показалась какой-то замороченой и непонятной. И если в свитче есть консольный порт то в hAP его нет и вся игра с vlan становится довольно нудной, с потерями доступа и перезагрузками. С бриджами все взлетело как хотелось и судя по мониторингу не сильно роутер напрягло. Пока расширение сети не планируется, да и есть ещё свободный порт что бы не возится с тегированным трафиком.
Цель графиков - показать как было до и после на одной и той же конфиге и на одних и тех же клиентах, но на разном железе :) так что подробности конфиги не особо важны
Свитч в свое время выбирался по простым параметрам. 24 гигабитных порта, микротик, можно забрать прям счас. В итоге в Ситилинке и был взят это девайс. На самом деле схема именно взрослая :) свитч на l2, роутер на l3. Бриджи на роутере сконфигурены исключительно что бы на отдельном порту брать от свитча нетегированный трафик, и роутить его. Тоесть от свитча в роутер идёт три пачкорда вместо одного транка. Ну да, не очень профессионально:) но порты свободные есть, все рядом, кабеля короткие, конфига проще, why not.
Лабы мне вообще не интересны, мне надо что бы все работало:) я 8 лет проработал в отделе который во время моего ухода в 2008 рулил сетью в которой было 1300 только cisco свитчей и роутеров, включая 6000 и 7500 серии. Наигрался по самое не хочу, а сейчас я немного другим занимаюсь.
Настройка vlan стала сейчас гораздо более удобной, так что если будет время — можно и перенастроить.
А насчёт консоли — у них есть забавная железяка https://mikrotik.com/product/woobm, которая позволяет получить сетевой доступ к консоли через usb роутера.
asus RT-N66U на DD-WRT немного беспокоил тем что обновлений не было мульен лет
Эм, прошивки на него продолжают стабильно выходить. Последняя от 3 января этого (нового 2023) года. https://download1.dd-wrt.com/dd-wrtv2/downloads/betas/2023/01-03-2023-r51154/broadcom_K3X/dd-wrt.v24-51154_NEWD-2_K3.x-big-RT-N66U.trx например.
Запутываюсь с порядком pool / address и удалением дефолтовой 192.168.88.0, снова теряю сетевой доступ, снова cбрасываю конфиг.
Можно было не сбрасывать - при работе с микротиком напрямую (находясь в его сегменте L2) можно работать с ним по MAC адресу через WinBox или mactelnet (и потеря IP, отсутствие IP на интерфейсе или закрытый firewall не являются в данном случае хоть сколько-нибудь заметной проблемой). В этом случае потерять доступ можно только накосячив со свитчем (но тут Safe Mode в помощь - если соединение было разорвано без выключения Safe Mode - роутер перезагрузится через 15 минут со старым рабочим конфигом).
Дьявол в деталях :) ресетнуть конфиг руками таки гораздо быстрее чем ждать пока safe mode отдуплится. WinBox тоже не мое, у меня в win тока Steam стоит. Что закрытый firewall это не проблема это прям так странно и неожиданно, за наводку спасибо, отключил mac-server нафик
WinBox тоже не мое, у меня в win тока Steam стоит.
Под Wine WinBox прекрасно работает, вот вообще без проблем. Главное чтобы на компе на интерфейсе в сторону микротика был IP адрес (любой), иначе WinBox не будет находить устройства по MAC адресу.
Что закрытый firewall это не проблема это прям так странно и неожиданно
Не удивительно на самом деле, firewall же закрывает доступ по IP.
Это не совсем так. Firewall может работать на любом уровне, ничто не мешает ему указать блокировать MAC. Или вообще весь трафик на порту. Тем более что судя по https://wiki.wireshark.org/Protocols/mactelnet.md это вообще udp. А если посмотреть вот сюда http://lunatic.no/2010/06/dissecting-mikrotiks-mac-telnet-packets/ то ожидаемо видно что это обычный udp пакет и в поле ip dst у него вполне обычный бродкаст адрес. Так что в теории файрвол настроенный на блокировку udp или порта 20561 или src 255.255.255.255 должен работать. Другое дело что такие пакеты микротик может как-то по особому отрабатывать, например тупо до всех пользовательских правил.
Другое дело что такие пакеты микротик может как-то по особому отрабатывать, например тупо до всех пользовательских правил.
Похоже на то.
Добавил для теста у себя на микроте правила:
```
/ip firewall filter add action=drop chain=input
/ip firewall filter add action=drop chain=input dst-port=20651 protocol=udp
/ip firewall filter add action=drop chain=input src-address=255.255.255.255
/ip firewall filter add action=drop chain=input src-mac-address=04:92:DO:OD:BE:EF
```
WinBox по IP с этими правилами не подключается (очевидно, рубится на первом же правиле), а по MAC - подключается и работает невзирая на блокировку порта, IP адреса источника и MAC-адреса компа.
Вообще это выглядит как потенциальная дыра в безопасности. Которая, похоже, прикрывается только вот так:
/tool/mac-server/set allowed-interface-list=none
/tool/mac-server/mac-winbox/set allowed-interface-list=none
Пошёл я ещё одну настройку по всем своим Микротикам разносить вручную...
ужос :) настроил так себе менджмент vlan, открыл там менеджмент доступ, а офисному влану его закрыл файрволом и думаешь такой, "от я молодец, посекурил менеджмент", а хрен там :)
По ip не будет и только с последним. Но по Mac будет доступен. Решается только в тулз/мак-сервер.
Вот, блин, где же этот комментарий был 5 дней назад, когда я на новом Микроте номера портов для SSH и Winbox в настройках services поменял, а в правилах firewall - нет :)
Я с такими же костылями "переезжал" с 751 на 951-й микротик.
Конфиг заливается? Да. Светодиоды работают? Ну как бы да. А что с портами? А они наоборот! eth5 <=> eth1, eth4 <=> eth2. На месте остался только eth3, но он и так посредине.
Естественно, при заливке конфигурации между сериями не поднимается ни PPPoE, ни часть правил фаервола (смотрят на другие порты).
Тоже пришлось всё чинить лапками.
Меньшее из зол на которые вы попались. Поговаривают что при заливке бинарника от др версии можно и окарпичиться (нетинстал спасёт).
Но тут 2 проблема кроется. Дело в том что при заливе бинарника от др модели могут появиться скрытые для глаз в гуе строки конфига. У меня вылезла проблема с фв, один раз была проблема с wifi и один раз с интерфейсом (фантомный pwd интерфейс от hap lite). С тех пор только экспорт конфига.
Есть возможность в лоб сравнить asus gt-ax6000 в режиме точки доступа с ax2, а так же lte18 ax. Так вот асус рвет уверенно их обоих, скорость wifi в трудных местах в два раза выше, а там где отваливаются клиенты от микротиков, у асус только проседает скорость. Но надо отметить что асус у меня us версия заказывал на амазон.
Не новость. Тем более ax2 - обрубок. Но тут есть второй вопрос, асус не может и в половину того что может микрот.
как роутер да, но как точка доступа wifi, асус с легкостью даст фору микроте, тот же aimesh не плох, аппаратно вообще здорово сделан дизайн платы.
Сейчас у меня работают в связке ax2 в качестве роутера с vpn серверами wireguard, sstp и отдельно в режиме точки доступа и коммутатора ax6000
Радиотракт у микротов не был сильной стороной. Ни в роутера, ни в тд. Да антенны и радио мосты у них вполне себе, но WiFi бытовой... Четау их вроде мал-мал хвалят и вроде как аудиенс. Но там ценники конь в рф.
Читау lte18 ax лежит в ящике в качестве роутера который можно брать в отпуск, ставить на полку в отеле, встроенный модем cat 18 и четыре антенны сделаны норм, но wifi внутри плох, две комбинированные внешние антены 2,4 и 5 гигагерц, уровень обычного кинетика
фотки внутренностей четау lte18 ax
сладкая парочка
@sergeygals Скажите как у Вас по вайфаю такая скорость получается?
Провайдер по кабелю отдаёт честные 500 мегабит.
может проблема в телефоне ? у меня телефон теоретически даже wifi 6 поддерживает и wifi построен на BCM4389
@sergeygalsдело в том что проверял и с ноутбука и 4 разных телефонов, и с компа где есть сетевой адаптер 5 ггц. Не может быть что на всех устройствах не поддерживается.
ну тогда, возможно, что диапазон зашумлен или соседними точкам на 5 или вообще какими-то помехами. у меня на 5 тока один видимый сосед.
можно попробовать поиграть с channel width в настройках, может не стоит давать цепляться на широкой полосе (хотя полоса по уже скорость тоже сама по себе замедлит)
еще стоит, наверное, глянуть /interface/wireless/registration-table print stat у меня у телефона и ноута так там. надо обратить внимание на rx-rate и tx-rate ну и signal-to-noise (по идее для 100% возможной скорости он не должен быть не меньше 42)
10 interface=wlan2 mac-address=LAPTOP ap=no wds=no bridge=no
rx-rate="866.6Mbps-80MHz/2S/SGI" tx-rate="866.6Mbps-80MHz/2S/SGI"
packets=9712623,11755270 bytes=3487016288,10948622366
frames=4876047,6651645
frame-bytes=3567670023,11030462278
hw-frames=5126901,6706336 hw-frame-bytes=4071730133,11298781877
tx-frames-timed-out=0 uptime=23h24m54s last-activity=10ms
signal-strength=-56dBm@24Mbps signal-to-noise=49dB
signal-strength-ch0=-57dBm signal-strength-ch1=-62dBm
strength-at-rates=-56dBm@6Mbps 10m32s50ms,-56dBm@12Mbps 2h55m11s490ms,-
56dBm@24Mbps 480ms
tx-ccq=87% p-throughput=700442
tx-rate-set="OFDM:6-54 BW:1x-4x SGI:1x-4x HT:0-15 VHTMCS:SS1=0-9,SS2=0-9"
11 interface=wlan2 mac-address=PHONE ap=no wds=no bridge=no
rx-rate="585Mbps-80MHz/2S" tx-rate="780Mbps-80MHz/2S/SGI"
packets=2310631,591010 bytes=2820533481,157481061
frames=1346317,461293
frame-bytes=2845364443,157800055 hw-frames=1776814,557762
hw-frame-bytes=3762108271,178612413 tx-frames-timed-out=0 uptime=21h10m10s
last-activity=1s660ms signal-strength=-54dBm@6Mbps signal-to-noise=51dB
signal-strength-ch0=-55dBm signal-strength-ch1=-64dBm
strength-at-rates=-54dBm@6Mbps 1s660ms tx-ccq=100% p-throughput=698401
tx-rate-set="OFDM:6-54 BW:1x-4x SGI:1x-4x HT:0-15 VHTMCS:SS1=0-9,SS2=0-9"
Переезд с Mikrotik hAP ac на hAP ac3