<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><font face="Arial">Děkuji za pomoc</font><br>
</p>
<pre class="moz-signature" cols="72">Martin Záruba</pre>
<div class="moz-cite-prefix">Dne 20.6.2023 v 16:26 Tomáš Koželuh
napsal(a):<br>
</div>
<blockquote type="cite"
cite="mid:00d101d9a383$35cd71c0$a1685540$@ipq.cz">
<pre class="moz-quote-pre" wrap="">Ten Autoupgrade nejspíš nebude fungovat, musí se nastavit na nějaký server. Takže je potřeba stáhnout z webu Mikrotiku nový firmware pro správný typ CPU (Winbox ho píše hned nahoře v závorce), přes Files ho nahrát a Mikrotik restartovat. Ideální je pak ještě zvolit System - RouterBOARD a Upgrade a druhý restart.
Bridge se chová jako switch a to u spousty modelů včetně hw offload (provoz neběží přes CPU). Pro monitoring se to musí nastavit, ale taky to jde.
-----Original Message-----
From: Hw-list <a class="moz-txt-link-rfc2396E" href="mailto:hw-list-bounces@list.hw.cz"><hw-list-bounces@list.hw.cz></a> On Behalf Of Martin Záruba
Sent: Tuesday, June 20, 2023 2:58 PM
To: <a class="moz-txt-link-abbreviated" href="mailto:hw-list@list.hw.cz">hw-list@list.hw.cz</a>
Subject: Re: Mikrotik
Dík, už to funguje. Samozřejmě dělaly to zápisy v IP - Firewall. Pokud jsem to správně pochopil, mohl za to zápis
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
Ještě k té aktualizaci: stačí pouze v System Autoupgrade zvolit Download all? Vím, že je to asi jedno, ale u tohoto Mikrotiku nemohu moc pokazit a rád bych si na něm vyzkoušel víc věcí.
Třeba: Pokud to dobře chápu, tak všechny porty, které jsou v Bridge se chovají tak, že co se objeví na jednom je přeneseno na ostatní. Takže se chová jako HUB. Dalo by se ho naučit, aby se choval jako SWITCH, tedy aby komunikace běhala jen mezi porty, které chtějí komunikovat a na ostatní porty nešly pakety, které se jich netýkaji?
Martin Záruba
Dne 20.6.2023 v 14:29 Tomáš Koželuh napsal(a):
Chce to smazat úplně vše z IP – DHCP Server a IP – Firewall. Pak by to mělo fungovat. Jenom se na ten Mikrotik nepůjde dostat z jiné sítě než 192.168.15.0/24, pokud by to vadilo, pak je v IP – Router potřeba přidat 0.0.0.0/0 a jako bránu nastavit 192.168.15.1.
A taky bych doporučil aktualizaci firmware minimálně na 6.49, ale u tak jednoduché konfigurace nebude problém ani s nejnovější 7.10.
From: Hw-list <a class="moz-txt-link-rfc2396E" href="mailto:hw-list-bounces@list.hw.cz"><hw-list-bounces@list.hw.cz></a> <a class="moz-txt-link-rfc2396E" href="mailto:hw-list-bounces@list.hw.cz"><mailto:hw-list-bounces@list.hw.cz></a> On Behalf Of Martin Záruba
Sent: Tuesday, June 20, 2023 2:11 PM
To: <a class="moz-txt-link-abbreviated" href="mailto:hw-list@list.hw.cz">hw-list@list.hw.cz</a> <a class="moz-txt-link-rfc2396E" href="mailto:hw-list@list.hw.cz"><mailto:hw-list@list.hw.cz></a>
Subject: Re: Mikrotik
Dík. Posílám:
Chci od toho, aby přijímal z hlavního routeru přes WiFi a převáděl to na jeho 4 ethernet porty. Žádný nat. A to funguje. Asi tam je něco zbytečně navíc, ale raději jsem do toho šťoural co nejmíň.
Moc z toho protokolu chytrý nejsem, snažil jsem se třeba zakázat DHCP server, protože se používá ten z hlavního Mikrotiku, ale to, že je zakázaný tam nevidím.
# jun/19/2023 13:24:47 by RouterOS 6.43.12
# software id = FEU4-6SFZ
#
# model = RouterBOARD 941-2nD
# serial number = 661606017F4E
/interface bridge
add admin-mac=6C:3B:6B:C3:A9:75 auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=Ekovy \
supplicant-identity="" wpa-pre-shared-key=xxxx wpa2-pre-shared-key=\
xxxx
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=10 band=2ghz-b/g/n \
channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto \
installation=indoor mode=station-bridge name="P\F8ipojen\ED k ekovy" \
security-profile=Ekovy ssid=ekovy wireless-protocol=802.11
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface="P\F8ipojen\ED k ekovy"
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface="P\F8ipojen\ED k ekovy" list=WAN
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
/ip address
add address=192.168.15.8/24 interface=bridge network=192.168.15.0
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.15.7 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 gateway=192.168.15.1
/system clock
set time-zone-name=Europe/Prague
/system identity
set name=ekovy
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Martin Záruba
Dne 20.6.2023 v 13:48 Tomáš Koželuh napsal(a):
Důvodů může být hodně, předně bych překontroloval správnost zápisu té IP, má tam být něco jako 192.168.100.2/24 (pokud tam nebude ta 24, nebude samotná IP fungovat, to /24 znamená maska sítě 255.255.255.0), druhý důvod může být, že obvykle první ethernet je brán jako WAN a aplikují se na něho pravidla firewallu a to dokonce i na dvouportových AP, kdy ether 1 je PoE In. Další možnost je, že je tam nějaký konflikt IP nebo daný port není v bridge, všechny porty, které mají být ve stejné síti musí být v bridge a pokud je tam více bridge třeba z výchozí konfigurace, je třeba si ověřit, že všechny porty jsou v tom samém bridge. Zkuste spustit New Terminal a zadejte export file=nastaveni a v záložce Files si ten soubor lokálně uložte a zkuste sem dát obsah toho souboru. Jenom doporučuju odmazat hesla a případně veřejné IP. Pak bude vidět, kde je chyba.
_______________________________________________
HW-list mailing list - sponsored by <a class="moz-txt-link-abbreviated" href="http://www.HW.cz">www.HW.cz</a> <a class="moz-txt-link-rfc2396E" href="http://www.HW.cz"><http://www.HW.cz></a>
<a class="moz-txt-link-abbreviated" href="mailto:Hw-list@list.hw.cz">Hw-list@list.hw.cz</a> <a class="moz-txt-link-rfc2396E" href="mailto:Hw-list@list.hw.cz"><mailto:Hw-list@list.hw.cz></a>
<a class="moz-txt-link-freetext" href="http://list.hw.cz/mailman/listinfo/hw-list">http://list.hw.cz/mailman/listinfo/hw-list</a>
_______________________________________________
HW-list mailing list - sponsored by <a class="moz-txt-link-abbreviated" href="http://www.HW.cz">www.HW.cz</a>
<a class="moz-txt-link-abbreviated" href="mailto:Hw-list@list.hw.cz">Hw-list@list.hw.cz</a>
<a class="moz-txt-link-freetext" href="http://list.hw.cz/mailman/listinfo/hw-list">http://list.hw.cz/mailman/listinfo/hw-list</a>
</pre>
</blockquote>
</body>
</html>