[Sammelthread] MikroTik Geräte

Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Stelle als erstes bitte mal detect-internet auf Liste WAN um (aktuell all-interfaces).
Wenn das nicht hilft, schalte detect-internet bitte mal ganz ab.
 
crazyk schrieb:
Hallo,
kann mir wer auf die Sprünge helfen...

ich möchte mit dem mikrotik mit Port1 an eine Fritzbox (192.168.2.1), der Mikrotik soll dann zb auf Port5 ein neues Netz ausstrahlen (zb (192.168.178.x) und den gesamten traffik routen.

nach was muss ich suchen?
Zum Vergrößern anklicken....
Hört sich ziemlich genau nach meiner Konfig an.
In der FB kannst du den Mikrotik auf DMZ stellen ("exposed Host"), dann bekommt der den gesamten Traffic drauf geballert.
Im Mikrotik stellst dir einen DHCP CLient für ether1 ein und einen DHCP Server für die bridge1 (in der sollten alle anderen Interfaces [mindestens dein ether5] bis auf ether1 landen).
 
@martingo Vielen Dank für die Hilfe und das Angebot, grade läuft es.
Mit erstmal nur dem HexS lief es dann, bis auf das mein SFP port am HexS nicht geht (bzw nicht richtig).
Mit dem CRS auf SwOS auch, hier konnte ich Ihn auch pingen usw... (ohne Package Sniffer). Nach Reset über den Button läuft er nun als Switch auch auf ROS (nicht das ich das schon mal gemacht hatte) und lässt sich auch Anstandslos pingen.
Vll probiere ich es morgen nochmal aus den CRS als Router zu konfigureiren und schicke den HexS zurück. Den SFP Port würde ich schon gerne nutzen, scheint aber wohl ein bekanntes Problem zu sein.
 
So Anfaenge sind gemacht, Mellanox Connectx-3, DAC Kabel und nen CSS326, dann mal das Webiface etc anschauen... Wenns behagt wirds nen CRS309 als Mainswitch, DAC auf SFP vom Unifi US24 fuer Kleinkram wie IPMI/WAN und Co.

CSS326 dann in die jeweiligen Zimmer via Glas, oder halt CRS326 falls SwOS nicht taugt. Bin gespannt :d
 
Zuletzt bearbeitet:
Dass Du mit dem CRS sowohl ROS als auch Swiss hättest testen können, ist klar, oder?
Beitrag automatisch zusammengeführt:

Stueckchen schrieb:
@martingo Vielen Dank für die Hilfe und das Angebot, grade läuft es.
Mit erstmal nur dem HexS lief es dann, bis auf das mein SFP port am HexS nicht geht (bzw nicht richtig).
Mit dem CRS auf SwOS auch, hier konnte ich Ihn auch pingen usw... (ohne Package Sniffer). Nach Reset über den Button läuft er nun als Switch auch auf ROS (nicht das ich das schon mal gemacht hatte) und lässt sich auch Anstandslos pingen.
Vll probiere ich es morgen nochmal aus den CRS als Router zu konfigureiren und schicke den HexS zurück. Den SFP Port würde ich schon gerne nutzen, scheint aber wohl ein bekanntes Problem zu sein.
Zum Vergrößern anklicken....
Was meinst Du mit SFP als bekanntes Problem? Meine SFP+ Ports laufen tadellos.
Bevor Du den HexS zurückschickst: was soll Dein Router denn leisten? Wenn er nur Internet mit nem 16er DSL routen soll, wirst Du keine Probleme haben.
Wenn Du aber lokal zwischen unterschiedlichen Netzen routen willst, weil Du Server von Clients trennen oder mit VLANs arbeiten willst, ist der CRS zu schwach auf der Brust. Gleiches gilt für VPN-Verbindungen.
Beides kann der hEX S deutlich besser.
 
Zuletzt bearbeitet:
@martingo: Der CRS und die SFP+ ports am CRS laufen jetzt super. Keine Ahnung was da los war. Vll war der doch nicht richtig resettet oder so.

Den CRS als Router wollte ich ja nur als Backup ausprobieren bzw. weil ich dachte erst die Fehler kommen vom HexS und nicht vom CRS.

Das der HexS besser ist ist mir klar, daher habe ich ihn ja auch gekauft, grade auch wegen AES in HW. Nur geht der SFP Port des HexS nicht und den Fehler findet man auch im Internet. Grade brauch ich den Port nicht, aber er sollte schon gehen, vll gibt es doch mal Glasfaser.
 
Was heißt geht nicht? Meiner geht. Hast Du Links dazu?
Ist halt nur ein normaler SFP Port, kein +, daher nur 1.25GBit und SFP Module vorausgesetzt.
 
Geht nicht heist: Er sieht das DAC-Kabel (FiberStore 0.5m) , sagt aber NO Link, auch leuchtet die LED nicht.

Das es nur ein SFP Port ist also quasi Gigabit, aber SFP -> SFP+ mit 1G Geschwindigket geht angeblich. Es ist hier auch egal ob ich den HexS zum CRS verbinde oder mit einer Mellanox Nic.

Link hier: https://forum.mikrotik.com/viewtopic.php?t=137139
 
Mal aus und wieder angemacht (den Switch) nachdem das Kabel gesteckt war?
 
@Stueckchen FW der Mellanox aktuell? Nicht das es nachher nur nen FW Bug war.

@martingo CSS326 is da, 0 Stress kann alles was ich wolle in Verbindung mit ner CX-3, ungewohnt wie schnell SwOS booted, wenn man vorher nur Unifi Kram hatte, Update ist auch instant durch 2.11 atm installiert.

Grad den CRS309 bestellt, dann noch größerer FS.com Einkauf und nochma nen CSS326 ;)
 
Zuletzt bearbeitet:
Was könnt ihr empfehlen?
HEx S oder hap ac2? Oder Alternative?
 
Brauchst du den SFP port: HexS.
Brauchst du WLAN HAP ac2

Sonst ist es wahrscheinlich recht gleich, wobei ich persönlichen die qualcomm chipsets besser finde als die MT.
Selber habe ich aber den HexS
 
Was/wie nutzt ihr für VPN?
OpenVPN über MikroTik mit TCP oder lieber z.b. Ein RaspiPi OpenVPN mit UDP?
 
Wollte den Hex S erst nutzen, aber die Anleitungen die ich gefunden habe, haben nicht mehr funktioniert..daher nutze ich PiVPN mit Wireguard.Funtioniert auf dem iPhone ohne Probleme.
Und neben dem Wireguard läuft noch weng mehr auf dem Pi - der darf ruhig was zu tun haben ^^

Und die Wireguard App kann wenigstens von sich aus VPN on Demand - ohne wie bei OpenVPN erst Profile zu erstellen etc
 
Zwischen Standorten/Routern IPsec.
Von Windows Kisten und Handy aus SSTP.
 
Historisch gewachsen: OpenVPN in CentOS-VM.
 
Luckysh0t schrieb:
Wollte den Hex S erst nutzen, aber die Anleitungen die ich gefunden habe, haben nicht mehr funktioniert..daher nutze ich PiVPN mit Wireguard.Funtioniert auf dem iPhone ohne Probleme.
Und neben dem Wireguard läuft noch weng mehr auf dem Pi - der darf ruhig was zu tun haben ^^

Und die Wireguard App kann wenigstens von sich aus VPN on Demand - ohne wie bei OpenVPN erst Profile zu erstellen etc
Zum Vergrößern anklicken....

Hat Pivpn das wireguard schon drin? Oder hast das noch zusätzlich installiert?
du nutzt dann schon nur wireguard?
Hab gehört , dass es noch nicht so sicher ist?
 
@Swivel
www.wired.com

WireGuard Gives Linux a Faster, More Secure VPN

The virtual private network software from security researcher Jason Donenfeld wins fans with its simplicity and ease of auditing.
www.wired.com www.wired.com

Ich hoffe mal dass man es als "sicher" bezeichnen kann, wenn es in den Linux Kernel kommt ggf ist es dass schon.

Ja, ist in PiVPN als Auswahl dabei - wollte eigentlich OpenVPN installieren aber als ich sah dass WG auch dabei ist, dachte ich mir warum nicht.Habe bisher nur gutes gelesen - wenn das auch nichts heißen muss.

Ich nutze nur WG, allerdings auch nur privat und nur abundzu um vom iPhone nachhause zukommen, sei es wegen Pihole oder Filer zugriff.

Konfiguration des iOS Clients geht auch recht easy - QR Code aus der Shell scannen und gut.

Ich kann dir nur nicht sagen, wie eine einrichtung mit einem DynDNS Dienst ablaufen würde - nutze keinen und kann mich auch nicht an eine Abfrage dessen erinnern.
 
Swivel schrieb:
Was/wie nutzt ihr für VPN?
OpenVPN über MikroTik mit TCP oder lieber z.b. Ein RaspiPi OpenVPN mit UDP?
Zum Vergrößern anklicken....
Hab nen EtherVPN Container in Ubuntu installiert. Kann OpenVPN und IPSec in einem gerade bei Windows muss man nicht mal nen Client installieren und es geht ohne Probleme über Port 443 hat somit auch kein Problem mit irgendwelchen Firewalls extern.
 
Für Site-to-Site Verbindungen von daheim (mein Bruder, mein Cousin und primär ich) ins RZ per IPsec zwischen MikroTiks (im RZ virtuell als CHR).
Für unterwegs SSTP (Windows hat das im Bauch, war eine Initiative von Microsoft), läuft über SSL/443 und geht auch durch gute Firewalls solange im Unternehmensnetz keine SSL-Decryption praktiziert wird und diese SSTP ausschließt. Für Android und iOS gibt es Apps, ich nutze VPN Client pro.
Beitrag automatisch zusammengeführt:

DrAg0n141 schrieb:
Hab nen EtherVPN Container in Ubuntu installiert. Kann OpenVPN und IPSec in einem gerade bei Windows muss man nicht mal nen Client installieren und es geht ohne Probleme über Port 443 hat somit auch kein Problem mit irgendwelchen Firewalls extern.
Zum Vergrößern anklicken....
Das verstehe ich nicht so ganz. Weder IPsec noch OpenVPN sind SSL Traffic. Nutzen standardmäßig auch andere Ports. Nur weil man das über Port 443 leitet, wird es noch nicht zu SSL/https. Das sollten auch mindervermittelte Firewalls ohne Decryption bemerken.
Beitrag automatisch zusammengeführt:

Was ist eigentlich EtherVPN? Habe das gerade gegoogelt und alles was ich finde, ist Softether. Meinst Du das?
Beitrag automatisch zusammengeführt:

Eben mal SoftEther angesehen - vermutlich meinst Du das. Kann nämlich unter anderem auch SSTP.
Damit hätten wir wieder die Brücke zu MikroTik geschlagen, das kann wie fast jeder VPN AccessConcentrator nämlich auch mehrere Protokolle.
WireGuard ist auf Grund nicht stabiler Kernel-Unterstützung noch nicht dabei. Wird wahrscheinlich noch kommen, aber solange es separate Clients benötigt, entgeht mir der Mehrwert. Kann mir auch nicht vorstellen, dass es in Windows je kommen wird. Zumal es eben in Netzwerken mit eingeschränktem Zugriff detectable bleiben wird.
 
Zuletzt bearbeitet:
martingo schrieb:
Für Site-to-Site Verbindungen von daheim (mein Bruder, mein Cousin und primär ich) ins RZ per IPsec zwischen MikroTiks (im RZ virtuell als CHR).
Für unterwegs SSTP (Windows hat das im Bauch, war eine Initiative von Microsoft), läuft über SSL/443 und geht auch durch gute Firewalls solange im Unternehmensnetz keine SSL-Decryption praktiziert wird und diese SSTP ausschließt. Für Android und iOS gibt es Apps, ich nutze VPN Client pro.
Beitrag automatisch zusammengeführt:


Das verstehe ich nicht so ganz. Weder IPsec noch OpenVPN sind SSL Traffic. Nutzen standardmäßig auch andere Ports. Nur weil man das über Port 443 leitet, wird es noch nicht zu SSL/https. Das sollten auch mindervermittelte Firewalls ohne Decryption bemerken.
Beitrag automatisch zusammengeführt:

Was ist eigentlich EtherVPN? Habe das gerade gegoogelt und alles was ich finde, ist Softether. Meinst Du das?
Beitrag automatisch zusammengeführt:

Eben mal SoftEther angesehen - vermutlich meinst Du das. Kann nämlich unter anderem auch SSTP.
Damit hätten wir wieder die Brücke zu MikroTik geschlagen, das kann wie fast jeder VPN AccessConcentrator nämlich auch mehrere Protokolle.
WireGuard ist auf Grund nicht stabiler Kernel-Unterstützung noch nicht dabei. Wird wahrscheinlich noch kommen, aber solange es separate Clients benötigt, entgeht mir der Mehrwert. Kann mir auch nicht vorstellen, dass es in Windows je kommen wird. Zumal es eben in Netzwerken mit eingeschränktem Zugriff detectable bleiben wird.
Zum Vergrößern anklicken....

Ja meinte Softether VPN, ne ist nicht automatisch so aber mit einem SSL Zertifikate komme ich ohne Probleme durch eine Sophos Firewall. Konfiguration ist halt echt sehr Simpel und funktioniert ohne Probleme.
 
Ich habe Wireguard in einer Proxmox-LXC und einmal OpenVPN auf einem NanoPi Neo als Backup.
 
Ich hab schon angefangen mich mit wireguard zu beschäftigen. Sehr guter Tipp, werde ich auf jeden Fall auf die Beine stellen!

ich bräuchte noch einen Switch.
Könnt ihr mir die Unterschiede zwischen CRS309 Und CSS326 erklären?
Was ist auch der Stromunterschied? Für wen sollte man sich entscheiden? Gibt es alternativen?

grüße
 
Zwischen der CSS Schiene und der CRS Schiene ist der Hauptunterschied, dass CSS mit einem sehr abgespeckten Betriebssystem mit WebGUI läuft (SwitchOS). CRS kann sehr viel mächtigere RouterOS (und meist SwitchOS als alternative Boot Methode). Ich persönlich würde immer RouterOS den Vorzug geben.
Wenn man den Switch aber wirklich nur als Managed Switch einsetzen will und auch sonst keine MikroTik Hardware im Einsatz hat, taugt auch SwitchOS.

Die Gegenüberstellung von CRS309 und CSS326 verstehe ich aber nicht, das sind grundverschiedene Produkte. Meintest Du vielleicht CRS326 zu CSS326?
 
Ah sorry...meinte natürlich CRS326 zu CSS326🙈 aber danke für die Erklärung.
Hab bereits den hap ac2 als Router, deshalb die Ergänzung.

kann jemand was zum Verbrauch sagen?

Ich bring mal noch den CRS112-8G-4S-IN ins Spiel, da ich noch nicht so viele Ports benötige.

Kann man den CRS112 mit den CRS326 gleichsetzen? Oder kann der CRS112 kein. 10g?
 
Zuletzt bearbeitet:
Hat nur SFP, also nur 1.25 GBit. Kann man schon andere Bezeichnung erkennen: S statt S+
 
Der Sinn erschließt sich mir aber noch nicht was ich mit SFP und 1.25gbit soll....?

Könnte man also nehmen, wenn man eh kein 10g hat oder gibts noch mehr Nachteile?
 
Habe zwei CRS326-24G-2S+RM, beide werden über PoE-In per Strom versorgt, daher lässt sich der Stromverbrauch recht gut auswerten ;-)
Abhängig davon wie viele Geräte angeschossen sind, liegt dieser bei meinen beiden CRS326 bei ca. 10-13,5w.
In der Angehängten Grafik sind an ether2 und ether4 je ein CRS326 angeschlossen, ether3 ist ein CRS309-1G-8S+IN, der Rest sind verschiedene Mikrotiks als Access Point und ein Mikrotik WAP LTE.

Ein CRS112-8G-4S-IN hab ich auch in meiner Bastelecke, den benutze ich nur bei Bedarf, wenn da mal mehr als 1-2 Geräte angeschlossen, oder Ports in bestimmten VLANs gebruacht. Mal schnell das Strommessgerät rangehangen (nur 1x 1G SFP als Uplink aktiv) 4,5w, mit ein paar Ports mehr aktiv steigt da auch bestimmt an.

Zu den Unterschieden, der CRS112-8G-4S kann wie schon erwähnt kein SFP+/10G, kann alternativ nicht mit SwitchOS gebootet werden, bei den CRS1xx/CRS2xx Modellen allgemein, ist die VLAN Konfiguration noch etwas anders (gewöhnungsbedürftiger), falls man es nutzt. Einmal Eingerichtet läufts aber auch zuverlässig.
 

Anhänge

  • PoE-Powerusage.PNG
    PoE-Powerusage.PNG
    60,6 KB · Aufrufe: 192
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh