[Sammelthread] MikroTik Geräte

Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Naja, das ist eigentlich ein Standardkabel. Auch vor 10 Jahren musste die TAE-Dose ans Modem angeschlossen werden. Ob da nun 4- 6- oder 8-polige Westernstecker verwendet werden, hängt eben vom Hersteller ab. Wichtig ist nur, dass die PIN Belegung passt, aber die kann man am TAE-Stecker ja notfalls ändern.

Der DSL-Support scheint in der Tat schon recht nah zu sein, auf manchen Geräten mit manchen Versionen gibt/gab es ja sogar schon ein "/interface dsl" mit VCI/VPI Parametern: Mikrotik VDSL / DSL Modem? - Page 3 - MikroTik
Mal sehen, was sich hardwaremäßig dann noch tut. Wenn es schon so weit ist, hätte ich wahrscheinlich noch auf die MT Hardware gewartet. Privat werde ich das Interface zwar nicht mehr testen, weil Anfang des Jahres Glasfaser FTTH eingeblasen wird (leider ebenfalls Fremdrouter nötig auf Grund irgendeines Zeitschlitzverfahrens), aber ich werde das Interface mal im Hinterkopf behalten.

Edit: Ich sehe gerade, dass Du Deinen Link mittlerweile auch auf den /interface dsl Post geändert hast, damit ist mein Link natürlich überflüssig :)
 
Zuletzt bearbeitet:
Anstelle von EoIP sollte man VPLS/MPLS verwenden. Wenn das übers Internet gehen soll legt man einfach einen GRE Tunnel zwischen die Endpunkte.
 
Naja, das ist eigentlich ein Standardkabel. Auch vor 10 Jahren musste die TAE-Dose ans Modem angeschlossen werden. Ob da nun 4- 6- oder 8-polige Westernstecker verwendet werden, hängt eben vom Hersteller ab. Wichtig ist nur, dass die PIN Belegung passt, aber die kann man am TAE-Stecker ja notfalls ändern.

Auch wieder wahr.
 
Zuletzt bearbeitet:
Anstelle von EoIP sollte man VPLS/MPLS verwenden. Wenn das übers Internet gehen soll legt man einfach einen GRE Tunnel zwischen die Endpunkte.
Das ist sicher die beste Variante, wenn man keine emulierte Layer2 Verbindung braucht. In manchen Fällen brauche ich die aber. Und zu meiner Schande muss ich gestehen, dass ich noch keine MPLS Erfahrungen gemacht habe. Werde ich bei Gelegenheit mal nachholen.
Hast Du das erfolgreich mit MikroTik in Betrieb?
 
Zuletzt bearbeitet:
Hast Du das erfolgreich mit MikroTik in Betrieb?
Ich hab hier z.B. ein Netz aus ca. 300 Mikrotikdevices und div. Richtfunkstrecken dazwischen. Das Netz ist voll geroutet mit OSPF. Über dieses Netz werden mit Hilfe von VPLS/MPLS Layer 2 Tunnel gelegt durch die PPPoE Daten zum Kunden gehen.
Um bestimmte externe Standorte ohne Routing mit an den VoIP Server zu hängen verwende ich GRE Tunnel über das Internet. In diese wird dann VLS/MPLS reingequetscht und schon habe ich einen Layer2 Tunnel zwischen Telefon und VoIP Server.
 
Hört sich gut an. Werde mir das mal näher ansehen und mich nochmal melden, wenn ich Fragen habe :)
 
@Opticum: EoIP-Tunnel sind nicht mega performant, evtl. erzielst Du z.B. über L2TP/IPsec mehr Durchsatz. Hast Du Deinen EoIP-Tunnel IPsec verschlüsselt? Habe ich noch nie getestet, geht aber wohl seit 6.30.

Ist am schnellsten. L2TP/IPsec wird nur benötigt falls man an den beiden Endpunkten keine feste IPv4/IPv6 hat. Verschlüsselung brauche ich nicht, ist nur öffentlicher Traffic.

- - - Updated - - -

Anstelle von EoIP sollte man VPLS/MPLS verwenden. Wenn das übers Internet gehen soll legt man einfach einen GRE Tunnel zwischen die Endpunkte.

Ich hatte das Problem das ich durch einen GRE Tunnel kein IP41 für Tunnelbroker sauber durchbekommen habe (die Ursache ist mir immer noch nicht klar, mit MTU habe ich rumprobiert). Mit EoIP und einem Transfernetz klappt es problemlos.

VPLS/MPLS hab ich noch keine Erfahrung mit, wäre sicher interessant sich damit zu beschäftigen. Hast du ein ELI5 was die Vor-Nachteile sind? :-) (merci)
 
...
Bin schon gespannt, ob das an meinem FTTB-Anschluss (Profil 30a ohne Vectoring) funktioniert...

Schade, das Modem synct leider nicht an meinem VDSL-Anschluss :heuldoch:

Mangels Diagnosemöglichkeiten war es das dann schon mit dem tollen neuen Spielzeug.

EDIT: Falls es jemanden interessiert: Die Leistungsaufnahme erhöht sich durch das Modem um ca. 2-2,5W. Bei meinem hAP ac also von ca. 4,5 auf ca. 6,5-7W.
 
Zuletzt bearbeitet:
Hast Du auf Deinem Router mit der aktuellen Firmware "/interface dsl"?
 
Mein hAP ac ist noch auf einem älteren Softwarestand, da gibt es (noch) kein "/interface dsl". Ein Upgrade ist z. Zt. auch nicht geplant.
 
Schade! Hab mich beim Durchlesen schon geärgert, weil ich mir grade einen wAP ac zugelegt habe, nachdem mein WLAN tendenziell nicht mehr mit meinem neuen 100er-VDSL (100/30) mithalten kann. Mit nem hAP ac und dem SFP hätt ich gleich die Fritz mit wegwerfen können, aber es geht ja nun leider nicht. Mal beobachten, geil wärs schon :)

Ich hätte ne Frage zum wAP ac bzw. der Netzwerkerei allgemein. Der hängt sinnvollerweise am Gigabitport der Fritz 7362SL. Bei Autonegotiation wackelt die Verbindung zwischen 100 und 1000, beide Seiten advertisen korrekterweise 10/100/1000 Half und Full. Bei 100Mbit läuft alles normal, Ping kommt durch, SMB-Transfers rödeln halt mit normaler Geschwindigkeit durch. Auf forced 1000 Mbit hab ich 1/4 bis 1/3 Paketverlust, Transfers stoppen, RDP ist praktisch unbenutzbar, gelegentlich geht der Link down und kommt sofort wieder. Speedtest(.net) liegt dann bei sowas wie 3Mbit up und 8 Mbit down. LAN-Kabel gewechselt, Buchse der Fritz gewechselt, Verhalten im 2,4/5GHz-Netz identisch. Ping auf die Fritz im wAP selbst macht das gleiche,

332 of 427 packets received 22 % packet loss Min: 0 ms Avg: 0 ms Max: 0 ms

Wo fang ich jetzt an, den Fehler zu suchen? Der wAP hat keinen zweiten Port, und bei der Fritz machts keinen Unterschied. An nen Rechner hängen und dort direkt Datentransfers versuchen? Oder trägt das Netzteil Störungen über die dann für Daten mitgenutzten Adern rein? Verwendet wird das mitgelieferte Netzteil und der Injektor, der direkt am wAP hängt. Zur Fritz sinds dann noch drei Meter Kabel, das sollten beide Seiten ja grade noch schaffen...
 
Wie sind die denn miteinander verbunden? Mal Kabel gewechselt?
 
Das sind die besagten drei Meter (Cat6-Patchkkabel vom Reichelt), und ja, natürlich schon getauscht.
 
Packet snffer auf dem Mikrotik laufen lassen. Bei sinnvollen Filtern (z.b. icmp, externe IP) sieht man fast immer, wo der Hase im Pfeffer begraben ist.
 
Oookay, also ich sehe, wenn keine Antwort kommt...

Code:
Time (s)	Interface	Direction	Src. Address	Src. Port	Dst. Address	Dst. Port	Protocol	IP Protocol	Size
13.196	ether1	tx	192.168.0.131		192.168.0.1		2048 (ip)	1 (icmp)	680
13.196	ether1	rx	192.168.0.1		192.168.0.131		2048 (ip)	1 (icmp)	680
14.201	ether1	tx	192.168.0.131		192.168.0.1		2048 (ip)	1 (icmp)	680
14.201	ether1	rx	192.168.0.1		192.168.0.131		2048 (ip)	1 (icmp)	680
15.2	ether1	tx	192.168.0.131		192.168.0.1		2048 (ip)	1 (icmp)	680
15.2	ether1	rx	192.168.0.1		192.168.0.131		2048 (ip)	1 (icmp)	680
[B]16.203	ether1	tx	192.168.0.131		192.168.0.1		2048 (ip)	1 (icmp)	680[/B]
17.255	ether1	tx	192.168.0.131		192.168.0.1		2048 (ip)	1 (icmp)	680
17.256	ether1	rx	192.168.0.1		192.168.0.131		2048 (ip)	1 (icmp)	680
[B]18.247	ether1	tx	192.168.0.131		192.168.0.1		2048 (ip)	1 (icmp)	680[/B]
19.355	ether1	tx	192.168.0.131		192.168.0.1		2048 (ip)	1 (icmp)	680
19.355	ether1	rx	192.168.0.1		192.168.0.131		2048 (ip)	1 (icmp)	680

Fritz-seitig: (anderer Zeitraum, aber auch mit Aussetzern laut Mikrotik-Ping)
fbping.png

Auffällig finde ich, dass bei der FB die Zeitstempel nicht im Sekundentakt hochgehen, sondern hin und wieder 1,5s Abstand sind, z.B. bei 38->51 oder 55->62. Wenn man jetzt Absolut-Zeitstempel hätte, könnte man ja glatt gucken, ob die Fritz da was verbummelt, oder ob der Reply nicht im Mikrotik ankommt.

Bei Timeout 4999ms im Mikrotik-Ping (Maximalwert) krieg ich übrigens ne Warnmeldung "Couldn't continue - object doesn't exist (4)" beim ersten verschusselten Paket. 2000ms läuft, ändert aber nichts an den Verlusten.


Der cable-test spuckt übrigens folgendes aus, wenn bei forced 1Gb keine Verbindung zustande kommt:
Cable Pairs
shorted/21
shorted/22
open/19
open/18

(hab da grade ein drittes Kabel mit 20m dran, mit den 3m-Kabeln kommt halt /3 bis /4).
shorted wechselt sich mit unknown ab. open bleibt open.

Gerät läuft grade mit nem Universalnetzteil auf 15 statt 24V, aus ner anderen Steckdose. Laut Gerätestatus kommen noch etwas über 13,5V an, was bei den 20m Kabel und damit 40m Leitungslänge jetzt nicht soo übel klingt. Momentane Hypothese: PoE-Injektor hat einen weg. Hab leider keinen Ersatz da, und hey, wir haben ja jetzt ein extralanges Oster-Wochenende, an dem ich nicht arbeiten muss (...und in der IT mal einen abgreifen könnte). Schon toll, wenn so ein AP gar keine DC-Buchse mehr hat, sondern auf PoE angewiesen ist :wall:
 
Zuletzt bearbeitet:
So, mal ne Nacht in Frankfurt im RZ und auf der AB verbracht.
Seit gestern Nacht massive Probleme mit unserem primären Corerouter (CCR1036-12G-4S) gehabt. Begonnen hat das ganze am 3.4. aber da hatte ich es noch auf ein anderes Problem geschoben. Heute Reboots am laufenden Band. Mal ne halbe Stunde alles gut, mal im Minutentakt. Beim baugleichen Sekundärrouter keine Auffälligkeiten. Auf dem vorgeschalteten Switchcluster könnte ich auch eine exponentielle Steigerung der Ausfälle sehen.
Im Log nach Reboot nur "unexpected Reboot without shutdown, probably missing power" oder so. Remote Syslog auch keine Inhalte. Sekundärrouter mehrere Tage Standalone betreiben auch keine Option weil einige Konfiguration gefehlt hatte, die ich remote nicht nachziehen wollte. Außerdem fehlt aktuell noch die Switch Redundanz serverseitig, d.h. die Server (Web, Radius, Datenbank, voip etc) wären ebenfalls nicht erreichbar gewesen.

Verdacht war eine Hostinfektion (wer keine Mikrotik Mail bekommen hat und es auch im Forum nicht gesehen hat, sollte das dringend mal ansehen).

Also gegen vier missmutig Auto beladen (u.a.) die zukünftige Switchredundanz :) ), daheim Frau und Hund versorgt und ab nach FRA.

Naja, nach vielen vielen Experimenten vermutet, dass entweder der Router im Eimer ist oder sich die mögliche Infektion auch durch ein netinstall nicht beheben lässt. Sekundärrouter zu dem Zeitpunkt aktiv, aber ohne Serveranbindung und mit unvollständiger Konfiguration. Also begonnen, die Migration zu planen (gar nicht so leicht, Backup/Restore ändert auch die MAC Adressen, was die Reeinbindung von Primär erschwert hätte, Export beinhaltet aber keine Zertifikate) und irgendwann auch Primärrouter durch Sekundärrouter ersetzt.
Dann Primärrouter aus dem Rack genommen und im RZ noch bissl experimentiert, aber es wurde immer schlimmer, Reboot noch bevor er hochkam. Also mit Werkzeug bewaffnet zu ner Tasse Kaffe in die "Kundenlounge" mitgenommen. Werkzeug war gar nicht notwendig, eingesteckt und das Ding pfeift und würgt ohne Ende. Deckel mal angenommen und eindeutig das Netzteil im Eimer.

Naja, war jetzt ca vier Jahre im Einsatz, trotzdem ärgert einen ein 30€ Netzteil in einem (damals) 1500€ Gerät natürlich. Die neueren Modelle haben zum Glück endlich zwei PSUs.

So, das war nun doch etwas mehr, als ich eigentlich schreiben wollte. Zum wegtun ist er noch zu schade, also werde ich wohl mal ein neues NT organisieren und erneut berichten.
 
Oh Mann. Sowas braucht auch kein Mensch. Schöner Erfahrungsbericht ... ich denke die meisten hier kennen solche Nächte :)
 
Sicherheitslücke(n) in RouterOS. Nachdem Du meines Wissens nur SwitchOS verwendest, für Dich wahrscheinlich uninteressant:

Betreff: MikroTik: URGENT security advisory
Datum: Fri, 30 Mar 2018 04:29:53 +0300
Von: MikroTik <no-reply@mikrotik.com>
Antwort an: MikroTik <no-reply@mikrotik.com>
An: mich


Hello,

It has come to our attention that a rogue botnet is currently scanning random public IP addresses to find open Winbox (8291) and WWW (80) ports, to exploit a vulnerability in the RouterOS www server that was patched more than a year ago (in RouterOS v6.38.5, march 2017).

Since all RouterOS devices offer free upgrades with just two clicks, we urge you to upgrade your devices with the "Check for updates" button, if you haven't done so within the last year.

More information can be found here: Urgent security advisory - MikroTik

Best regards,
MikroTik

Edit: In der Mail war nur die Rede von einer Webserver Sicherheitslücke, die bereits letzten März gepatcht wurde, im Thread ist noch die Rede von einer SMB Sicherheitslücke.
Normalerweise sollte der betroffene Router von beidem geschützt sein, der zeitliche Zusammenhang ließ mich nur stutzig werden.
 
Zuletzt bearbeitet:
Fals noch Relevant und bisher nicht beachtet. Mit dem Update 2.7 vom CSS326-24G-2S+ habe ich das Problem wie von mika2004 beschrieben nicht.
Da ich jetzt eine 10 Gbit Karte in meinen Server eingebaut habe, und das noch im Hinterkopf hatte, dachte ich mir ich gebe das mal hier kund.

Von 1Gbit zu 10Gbit habe ich 115 MB/s, von 10Gbit zu 1Gbit habe ich 90 MB/s.Allerdings habe ich noch keine optimierungen gemacht wie z.B Jumbo Frames, da stellt sich mir eh die Frage ob das was bringt, wenn die Clients mit max 1 Gbit angebunden sind..
 
Das ist bekannt, das hatte mir der Mikrotik-Support so mitgeteilt bzw überhaupt erst nach meinem Ticket gefixed. Dennoch ist die performance immer noch schlechter als zu v2.3
 
Hallo zusammen,

da sich mein UBNT USG plötzlich verabschiedet hat, bin ich auf der Suche nach einem neuen Router.
Angeschlossen an ein Kabelmodem im Bridge-Mode.

Da ich jetz was neues brauche, dachte ich mir ich schaue mir mal die MT Geräte an.
Nachdem ich mir die einzelnen Router angeschaut habe, komm eich zum Schluss dass der MikroTik CRS112-8P-4S-IN ganz gut passt.
POE ist jedenfalls etwas, was mir zugute kommt mit meinen AP von UBNT, etc.

Jetzt stellt sich mir die Frage in wie weit Router OS gewisse Grundkonfigurationen schon hat.
Mein USG hatte z.B Dropregeln bez der WAN Schnittstelle schon als feste Regel eingetragen.
Der Mikrotik ist da ja eher sehr frei und muss (?)/kann dahingehend konfiguriert werden, da will ich mir nicht den Teufel ins Haus holen und Tür und Tor offen lassen..da ich in dem Bereich der IT doch eher etwas unerfahren bin.

Ich werde mir auch mal RouterOS als VM anschauen um mich da schon etwas einzuarbeiten - gibt es als 24 Std Laufzeitdemo.

Gruß

Lucky
 
Die Initialkonfiguration ist ähnlich wie Du beschreibst. NAT für das ausgehende Interface und Drops für eingehend aus dem Internet. In Standardkonfiguration ist der Router erstmal "sicher".
 
Also bist du dir sicher mit der Wahl? Der CRS112 ist eher ein Switch als ein Router und mit seinen 400MHz 1core sehr schwach auf der Brust.
 
Also ich glaube beides in einem mit PoE at/af wirst du nicht bei mikrotik bekommen. Also würde ich ein HEX(-S) + Switch nehmen

Falls du fürs Routing nur NAT und ein paar FW Regel hast sollte das ganze sogar bei der CPU 400MHz Switch gehen, also so vll bis 100-200Mbit. Aber an vpn,qos oder ids wird da sicher nix.
 
Achja, ich war so auf die HW fixiert, das ich gar nicht die weiteren Features beschrieben habe.
Ich nutzte mit dem USG IPS und einen VPN Server für Unterwegs.
Dass lief eigentlich ohne Probleme, sodass ich schon wieder zu einem USG neige, aber die Auswahl der CRS von MT hatte mich gereizt ^^
Eventuell die Suche nach der Eierlegende WoMi Sau.
 
Wie gesagt der HEX ist von der HW super, vom Preis auch. Habe den zwar nicht aber einen Router mit gleicher CPU.
Da bist du mir Router und Switch immer noch unter 200€, und kannst alles machen.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh