[Sammelthread] MikroTik Geräte

Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ein Lüfter dürfte beim Mikrotik CS309 schwierig werden, außerdem war das auch ein Grund für den Mikrotik CS309 :rolleyes2:
 
Konkret krass:
Vorher:__________________________________Nachher:
Unbenannt.png
Unbenannt2.png

Das erste mal seit langem, dass die Noctuas im CRS328 LAUTLOS laufen (ca. 1000 U/min).

//Edith:
Das FS-Modul hat sofort 10G Autonego mit dem S+RJ10 v2.16 im Keller gemacht.
Ist War glaube CISCO-kodiert bestellt.

//Edith2:
Also, das Modul ist ein Unterschied wie Tag und Nacht, ich kann jetzt wieder das leise Säuseln meines Arbeitsnotebooks hören oder das Rauschen der Heizung.
Wahnsinn.
Kann ich allen leidgeplagten S+RJ10-Besitzern nur ans Herz legen.

//Edith3:
Seit heute Mittag auch keine Linkdowns mehr.
Temp dauerhaft auf 47 °C, auch bei Last auf dem Backbone.
Lag wohl doch an den 75 °C oder am Mikrotik-Modul...

//Edith4:
Das S+RJ10 steht jetzt im Marktplatz.
 
Zuletzt bearbeitet:
Hallo zusammen,

wollte mal wissen ob und wie ihr regelmäßig die Konfiguration eurer RouterOS Geräte macht ? Da ich die Tage erst meinen Hex S zerschossen habe und ich kein Backup hatte, dachte ich mir es wäre mal Zeit.

Ich hab versucht es mit https://github.com/beeyev/Mikrotik-RouterOS-automatic-backup-and-update zu machen, aber wenn schon der Testmailversand nicht klappt (Error sending e-mail <backup>: timeout occured) (gmail als Versandserver)..muss man hier noch mehr konfigurieren als die Anleitung zeigt ?


Gruß

Lucky
 
Zuletzt bearbeitet:
Ich hab mir ein Powershell Script geschrieben (seid gnädig.. Powershell ist nicht meine Welt :ROFLMAO:)

Code: 
$mikrotik_ips = @('192.168.11.1', '192.168.11.2', '192.168.11.3')
$mikrotik_username = 'backupuser'
$backup_path = "C:\Backups\Mikrotiks"
$date = Get-Date -Format "yyyy-MM-dd"

cd $backup_path

foreach ($mikrotik_ip in $mikrotik_ips) {
    ssh.exe $mikrotik_username@$mikrotik_ip "/export file=backup_export"
    if ($LASTEXITCODE -eq "0") {
        ssh.exe $mikrotik_username@$mikrotik_ip "/system backup save dont-encrypt=yes name=backup"
        scp.exe $mikrotik_username@${mikrotik_ip}:/backup_export.rsc $backup_path
        scp.exe $mikrotik_username@${mikrotik_ip}:/backup.backup $backup_path
        $mikrotik_devname = Select-String -Path .\backup_export.rsc -Pattern "^set name=(.*)$" -All | Select -Expand Matches | Select -Expand Groups | Where Name -eq 1 | Select -Expand Value
        New-Item -ItemType Directory -Force -Path  $backup_path\\$mikrotik_devname
        $export_path = "$backup_path\\$mikrotik_devname\\${mikrotik_devname}_export_$date.rsc"
        $backupfile_path = "$backup_path\\$mikrotik_devname\\${mikrotik_devname}_$date.backup"
        if (Test-Path $export_path) {
            Remove-Item "$export_path"
        }
        if (Test-Path $backupfile_path) {
            Remove-Item "$backupfile_path"
        }
        Move-Item -Path $backup_path\\backup_export.rsc -Destination "$export_path"
        Move-Item -Path $backup_path\\backup.backup -Destination "$backupfile_path"
    }
}

Es erstellt einmal das Backup per Export und einmal über die Backupfunktion. Er erstellt dann im $backup_path einen Ordner mit dem Device Name, also sicherstellen, dass die Geräte verschiedene Namen haben.
Die Authentifizierung läuft per SSH Key.
 
Mhmja gut, ich hab halt eine Windows-VM auf meinem Server dauerhaft laufen für Veeam Backup & Replication. Der hauts dann automatisch auch noch auf mein Offsite-Backup :)

Aber du kannst ja unter Windows auch Aufgaben erstellen, die beim Hochfahren nachgeholt werden, wenn der PC währenddessen nicht an war (vorausgesetzt natürlich, du hast Windows auf deinem "Main-PC")
 
Luckysh0t schrieb:
Ich hab versucht es mit https://github.com/beeyev/Mikrotik-RouterOS-automatic-backup-and-update zu machen, aber wenn schon der Testmailversand nicht klappt (Error sending e-mail <backup>: timeout occured) (gmail als Versandserver)..muss man hier noch mehr konfigurieren als die Anleitung zeigt ?
Zum Vergrößern anklicken....

Ich mache es genau damit. Funktioniert bei mir problemlos. GMail könnte aber das Problem sein, da musst du evtl. den Zugriff durch unsichere Apps zulassen.

Auf dem MT hast du "Tools->E-Mail konfiguriert"?
 
jonofe schrieb:
Ich mache es genau damit. Funktioniert bei mir problemlos. GMail könnte aber das Problem sein, da musst du evtl. den Zugriff durch unsichere Apps zulassen.
Zum Vergrößern anklicken....
Das habe ich, da checkmk und duplicati den gleichen Account erfolgreich nutzen.
jonofe schrieb:
Auf dem MT hast du "Tools->E-Mail konfiguriert"?
Zum Vergrößern anklicken....
Genau, mit smtp.google.com, Port 587 und Start TLS, From/User ist die adresse@gmail.com

Zur not schaue ich mir mal @shavenne Skript mal an - da ich auch eine Windows VM auf meinem PVE laufen habe.
 
Gerne, nutzen wir seit gefühlten Ewigkeiten bei den Dorffunkern zusammen mit LibreNMSv3.
 
Nachdem ich keine Daten über das LTE Passthrough VLAN ins Inet routen konnte (das weiß der Geier), lokal aber grundsätzlich problemlos funktioniert, kam gleich der nächste Dämpfer.
Das LTE IF hat hier über VF verschiedene öffentliche IPv4 Adressen, die aber scheinbar geNATet sind, und für "von außen erreichbare Dienste" - in meinem Fall Wireguard nicht brauchbar sind.

Also Plan B und die Kiste über ein ZeroTier Subnet koppeln und darüber Wireguard fahren. Das klappt auch problemlos. Nur ist es mit dem Routing am WG Tunnel-Ende Schluss - kein weitere Teilnehmer erreichbar.

ZeroTier kennt nur sein Subnetz, keine weiteren statischen Routen.
Wireguard Endpoint liegt auf der ZeroTier Managed IP, und in der Wireguard Client Konfig wird mit "AllowedIPs" das zu routende Subnet angegeben. Clientseitig wird die Route richtig gesetzt, da ich den Router mit seiner internen IP erreiche.
Das LTE IF wird NAT/srcnat/maskiert, Firewall Rules beschränken sich INPUT auf den WG Port via ZT IF, FORWARD wird alles erlaubt.

Das Wireguard IF will von dem Subnetz, in dem der Rest der Clients hängt, nix wissen. Eine manuelle statische Route auf das Subnetz über das Wiregard IF brachte keinen Erfolg. Irgendwie stehe ich auf dem Schlauch.
Der Screenshot zeigt alle dynamischen Routen.

Router IP im vlan100_mgnt ist 192.168.1.70
WG IF ist 192.168.99.1/24
ZT IF ist 10.147.19.59/24
 

Anhänge

  • route.png
    route.png
    10 KB · Aufrufe: 91
Sagt mal, was redet ihr hier eigentlich die ganze Zeit?! :d
Ich hatte überlegt, bspw. den CRS326 zu kaufen, dort mein NAS mittels 10GBit anzubinden und von diesem Switch aus meine anderen Switche anzusteuern, welche dann alle zusammen im Haus verteilen.
Anstöpseln, parametrieren, fertig... Das war meine Theorie.
 
hominidae schrieb:
...was ist Dein Problem?
Zum Vergrößern anklicken....
Kein Problem. Hatte direkt gefragt, um was es in den letzten Seiten hier im Thread ging.

... kann ja sein, dass man "hacken" muss, um diese Geräte für einen sauberen Betrieb auszulegen. Von daher mein letzter Satz.

Lies meinen Post gelegenlich noch mal.
 
...ich habe Deinen Post sehr genau gelesen....deshalb hatte ich gefragt.

Master Luke schrieb:
Anstöpseln, parametrieren, fertig... Das war meine Theorie.
Zum Vergrößern anklicken....
genau so läuft es auch....das hat mit den letzten Seiten hier nix zu tun....

Master Luke schrieb:
Ich hatte überlegt, bspw. den CRS326 zu kaufen, dort mein NAS mittels 10GBit anzubinden und von diesem Switch aus meine anderen Switche anzusteuern, welche dann alle zusammen im Haus verteilen.
Zum Vergrößern anklicken....
wenn das Deine Anforderungen sind, hast Du meine Antwort, die passt.
Wenn nicht, dann musst Du Deinen ausführlichen Post wohl mal überarbeiten.
 
Gut, dann danke für dein Antwort.
 
...meine Empfehlung wäre das NAS mit ner SFP+ Karte zu bestücken.
Kommt Dich preiswerter, kein Risiko das ein 10G-T Transceiver im CRS326 zu heisss...so wird damit wird das "einfach anstöpseln" schon gelingen.
 
Habe momentan jeweils 1 Mellanox im NAS und eine im PC.... wollte nun das Haus nicht nur mit 2x1GBit (LA), sondern ebenfalls mit 10Gbit anbinden.
Daher die Überlegung.
 
....dann passt das ja. Mellanox habe ich auch im NAS und PCs....der CRS326 ist dann allerdings erstmal voll....geht schneller als man denkt.
Willst Du auch die Sub-Switche per 10G verbinden brauchst Du was anderes, zusätzlich (ich habe zwei CSS610 als Satellit...mit den fs.com oder MT 10G-T Tranceivern laufen die gut, auch über cat5e.
Im CRS326 und den Mellanox laufen sogar diese günstigen DACs aus Amazonien (vor 6 Monaten hat die 1m Version noch unter 10EUR gekostet o_O)
 
Hat jemand Lust auf die neuen 2x25 GbE-PCIe-Karten von Mikrotik ?

mikrotik.com

CCR2004-1G-2XS-PCIe | MikroTik

A smart PCIe network interface card that adds full-fledged router capabilities to your servers. The smart and easy way to create 25 Gigabit networks if you want to save space in your server room!
mikrotik.com mikrotik.com

Ich finde die ja an sich interessant für so eine Direktverbindung zwischen Workstation und NAS, aber die Stromangaben hier sind hoffentlich nicht nur leicht übertrieben - 22W max + SFP scheint mir sehr hoch.

Momentan habe ich noch zwei OS2-LC-Kabel frei... Andere Überlegung wäre hier eine Mellanox CX3 mit SFP28 + LC SFP, kommt preislich aber mit gebrauchten Karten in diesselbe Richtung... Hmm... oder einfach mal vernünftig sein... :d
 
hominidae schrieb:
Willst Du auch die Sub-Switche per 10G verbinden brauchst Du was anderes, zusätzlich (ich habe zwei CSS610 als Satellit...mit den fs.com oder MT 10G-T Tranceivern laufen die gut, auch über cat5e.
Im CRS326 und den Mellanox laufen sogar diese günstigen DACs aus Amazonien.
Zum Vergrößern anklicken....

Um jetzt nicht weiter ins OT abzudriften:
Das ist dann etwas kompliziert. Aktuell habe ich als Core-Switch einen HPE 1920-48g und daran 2x HPE 1820-24G. Die Ports sind >2/3 belegt. Da das Setup sehr gut läuft, ist das für mich ein größerer Aufwand, die Switche durchzutauschen. Auf der anderen Seite kann ich sagen, dass aktuell alles superduper mit 1Gbit läuft (einige Geräte sogar nur mit 100mbit) D.h. also, von bspw. einem CRS326 weiter 10GBit zu verteilen, ist aktuell sogar unnötig. ;) Basteltrieb und so. :)
 
Ich habe nach dieser Anleitung hier ein Wireguard Interface erstellt:

Aber ich bekomme keine Verbindung hin. Muss ich in der Firewall und/oder NAT etwas freigeben?
 
MisterY schrieb:
Aber ich bekomme keine Verbindung hin. Muss ich in der Firewall und/oder NAT etwas freigeben?
Zum Vergrößern anklicken....
Ja, natürlich....der Dummbatz in dem Video hat wohl keine Firewall Regeln aktiviert :rolleyes2:
Aber, dass mag als kleine Entschuldigung gelten, er kann ja auch nicht wissen, wie Deine Regeln aussehen....
Du brauchst:
  • Eine ACCEPT auf den wg-Port in der Input chain.
  • Ein ACCEPT für Traffic aus dem WG-Interface in der forward chain (so wie DU es brauchst).
 
Danke dir. Das funktioniert nun. Bis auf: ich kann nicht mit winbox auf den Router zugreifen.

Ich habe ein ACCEPT auf input chain dst. port des wg-interface (protokoll UDP)
Dann ein ACCEPT auf forward chain, in-interface = wg-interface; out-interface-list = WAN
Und dann ein accept auf input chain (tcp), dst. port des wg-interface; in-interface = wg.

Ich bekomme als Fehlermeldung, dass Benutzername und/oder Passwort falsch wären. Mit einem separaten wg-server funktioniert es aber.

Edit: Fehler lag an brain.exe :fresse2: Man sollte dem User dann aber auch Zugriff über die wg-adresse erlauben.
 
MisterY schrieb:
Danke dir. Das funktioniert nun. Bis auf: ich kann nicht mit winbox auf den Router zugreifen.

Ich habe ein ACCEPT auf input chain dst. port des wg-interface (protokoll UDP)
Zum Vergrößern anklicken....
Damit kannst Du den Tunnel aufbauen....

MisterY schrieb:
Dann ein ACCEPT auf forward chain, in-interface = wg-interface; out-interface-list = WAN
Und dann ein accept auf input chain (tcp), dst. port des wg-interface; in-interface = wg.
Zum Vergrößern anklicken....
...Du hast evtl. einen Denkfehler (wenn Deine FW sstadardmässig aufgebaut ist, mit LAN/MGMT/WAN-Interface-Lists

Das, was im wg-Interface passiert ist nicht WAN, sondern doch LAN (oder MGMT, wenn Du VLANs dafür hast)
Packe doch einfach das wg-interface in LAN (bzw. MGMT) bei der Interface-LIST
...und die beiden Rules oben brauchst Du dann nicht mehr.

MisterY schrieb:
Edit: Fehler lag an brain.exe :fresse2: Man sollte dem User dann aber auch Zugriff über die wg-adresse erlauben.
Zum Vergrößern anklicken....
Genau, wenn Du in /ip/services eine Liste von Adressen hast, die zulässig sind....dann natürlich da auch noch mal.
 
Hmm das habe ich so aus dem MT-Forum :unsure: funktioniert soweit ja auch. Aber ist das ein Sicherheitsrisiko?
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh