не знаю как на работе, но дома смысла использовать микротик нет вообще. настройка переусложненная, при это микротик даже не пробудет софт сделать более дружелюбным. я пока пользовался asus, netgear, вообще даже не думал о srcnat, dstnat, masquarade. все настраивается двумя кликами. при этом были бы железки топовые, а нет. короче кому-то это наверное интересно, но могу дать свои три совета: 1. если не знаешь зачем микротик -- просто не бери его. 2. не советуй своим знакомым микротик, если не хочешь на них зарабатывать ( ну еслипросто хочешь им подгадить, или ты такой альтруист и времени у тебя вагон, чтобы им настраивать все бесплатно, то тогда ок) 3. не советуйте на формумах микротик, особенно если потом будете говорить, что просто ты его не умеешь настраивать.
@@МаксимДавыдов-л8ъ странные у вас друзья. у меня были 5 разных роутеров/точек доступа. от это какого то древнего асус, потом apple, потому netgear, потом mikrotik. в данный момент два микрота и netgear. вот ни у одного из них не было никаких проблем вообще, кроме сложностей настроек у микротов. ну иногда редко редко точка доступа микрот wapac подвисает, но некритично. поэтому не понимаю, если вы друзьям настраиваете сеть, то не все ли им равно? или у них принцип -- не микротик == отстой. ну тогда и не дружите с такими. если они готовы пожертвовать дружбой только из-за своих тараканов в голове. только не говорите мне, что я не умею настраивать микрот. да не умею и не хочу учиться.
Купил микрот. Сначала по видосам пытался настроить. Пока крутиться дома как коммутатор L3 без wan. Интернет не подключу пока не пойму полностью что нужно настроить и как( в плане безопастности). Эта штука помогла начать изучать сети. Правда сеть изучаю на примере сиськи и покет тресера.
vlan filtering не совместим с железами 1-2 CRS-ов, поэтому есть логика в том что под бриджом может находится манаджемент влан.А остальные в меню свич.А уже на 3-ей серии уже бесмысленно, там влан филтеринг с хардваре оффлоадом.
Видел в одной конторе как на микрот навешали всё что только можно было навешать и он молотил 80-95% 24 часа в сутки 7 дней в неделю. На нем висели пачка виланов, огромная портянка из фаервольных правил с не менее огромным списком адресов, маршруты, тонели, видеонаблюдение, весь трафик кучи филиалов, дхцп на на все виланы, днс, вообщем по моему всё что есть в микроте то и было, я говорю - а вы не боитесь так вот всё оставлять, он когда нибудь отключится и хана, железки запасной нет. Но вроде работают пока)
У меня вообе в типовом конфиге для оконечного оборудования порядка 300 строк в скрипте... При чём на брасе на ядре строк 150 от силы, а на оконечке фарш - пара аплинков, туннели до ядра (кстати не такой уж простой конфиг если 2 провайдера, туннели нужны по обоим одновременно и туннели стучатся по доменам), маршрутизация, фаервол, вайфай, dhcp, hotspot, местами даже mpls по туннелям чтобы vrf прокинуть... Но в принципе 750Gr3 всё пережёвывает и не умирает (разве что кто-нибудь из локалки мультикастом зафлудит, но это не каждый день).
C ACL на вайфай не соглашусь. Ну вы по уровню сигнала отстрелите клиента с точки доступа, но вовсе не факт, что он полезет на другую с лучшим сигналом. Он вполне вероятно продолжит попытки подключения к все той же AP-шке . И AP продолжит сбрасывать все его попытки подключения. И клиент, вместо хоть какого-то дохленького интернета на мобилке не получит вобще ничего.
про обновление - я на 9 из 10 видел что upgrade не делают. про wifi было интересно, не моя тема, но познавательно. про access-list мало информации в данном видео. есть в других видео на канале. sip на multiwan реально надо дропать скриптом, работает как часы. запилите про l7 и инспекцию трафика.
То сложное чувство, когда устыдился и покраснел на вланах в бридже, а к концу видео понял, что могло было быть гораздо, гораздо хуже. Но уже полез править конфиг.
4:56 "Минус маленький процент нагрузки..." За счет чего возникает дополнительная нагрузка при маскарадинге и каков конкретно этот процент? Если надо, для конкретики пусть это будет железка RB750Gr3
Касательно IP/Services, куда Кирилл настоятельно посоветовал прописывать Address List: при попытке так сделать WinBox выбрасывает ошибку, замечая, что ждёт сугубо «network address». Версия 6.46.7. Каким образом Кирилл смог туда впихнуть адресный список?
@@LexxChi В таком случае выступающий в видео человек, пожалуй, мог прямо так и сказать, а не фотошопить картинку с недопустимой настройкой сервиса. Видео обращено неопытным администраторам, и лучше показать нужное правило на инпут.
Конечно это некропостинг, но блин на каждую проблему - неплохо бы сразу объяснять на пальцах, что не так и как поправить. Иначе зачем это всё? Можно было просто прокликать слайды с картинками и всё
@@husi4499 в конечном итоге - меньше нагрузка на цпу. Если на примере конфет то это когда уже завернутые в фантик конфеты ты просишь еще раз завернуть, вместо того чтобы просто сказать дома - в желтой обертке - шоколадные, а в синей с орехом )))
Слушать интересно, но про вифи - печально. Имхо - пусть лучше будет скорость 36 чем не будет вифи вообще.... А если он еще и в локалке что-то хочет - очевидно что если его отрубит в локалку он вообще не попадет ..... Не надо так :)
Кирилл хороший спикер, интересно слушать
3 года прошло, но для меня это самое интересное видео.
Спасибо за информацию!
не знаю как на работе, но дома смысла использовать микротик нет вообще. настройка переусложненная, при это микротик даже не пробудет софт сделать более дружелюбным. я пока пользовался asus, netgear, вообще даже не думал о srcnat, dstnat, masquarade. все настраивается двумя кликами. при этом были бы железки топовые, а нет.
короче кому-то это наверное интересно, но могу дать свои три совета:
1. если не знаешь зачем микротик -- просто не бери его.
2. не советуй своим знакомым микротик, если не хочешь на них зарабатывать ( ну еслипросто хочешь им подгадить, или ты такой альтруист и времени у тебя вагон, чтобы им настраивать все бесплатно, то тогда ок)
3. не советуйте на формумах микротик, особенно если потом будете говорить, что просто ты его не умеешь настраивать.
Делал наоборот, растерял друзей
@@МаксимДавыдов-л8ъ странные у вас друзья. у меня были 5 разных роутеров/точек доступа. от это какого то древнего асус, потом apple, потому netgear, потом mikrotik. в данный момент два микрота и netgear. вот ни у одного из них не было никаких проблем вообще, кроме сложностей настроек у микротов. ну иногда редко редко точка доступа микрот wapac подвисает, но некритично. поэтому не понимаю, если вы друзьям настраиваете сеть, то не все ли им равно? или у них принцип -- не микротик == отстой. ну тогда и не дружите с такими. если они готовы пожертвовать дружбой только из-за своих тараканов в голове. только не говорите мне, что я не умею настраивать микрот. да не умею и не хочу учиться.
Очень позитивный автор! Делай еще контент
Купил микрот.
Сначала по видосам пытался настроить.
Пока крутиться дома как коммутатор L3 без wan.
Интернет не подключу пока не пойму полностью что нужно настроить и как( в плане безопастности).
Эта штука помогла начать изучать сети.
Правда сеть изучаю на примере сиськи и покет тресера.
vlan filtering не совместим с железами 1-2 CRS-ов, поэтому есть логика в том что под бриджом может находится манаджемент влан.А остальные в меню свич.А уже на 3-ей серии уже бесмысленно, там влан филтеринг с хардваре оффлоадом.
Видел в одной конторе как на микрот навешали всё что только можно было навешать и он молотил 80-95% 24 часа в сутки 7 дней в неделю. На нем висели пачка виланов, огромная портянка из фаервольных правил с не менее огромным списком адресов, маршруты, тонели, видеонаблюдение, весь трафик кучи филиалов, дхцп на на все виланы, днс, вообщем по моему всё что есть в микроте то и было, я говорю - а вы не боитесь так вот всё оставлять, он когда нибудь отключится и хана, железки запасной нет. Но вроде работают пока)
У меня вообе в типовом конфиге для оконечного оборудования порядка 300 строк в скрипте... При чём на брасе на ядре строк 150 от силы, а на оконечке фарш - пара аплинков, туннели до ядра (кстати не такой уж простой конфиг если 2 провайдера, туннели нужны по обоим одновременно и туннели стучатся по доменам), маршрутизация, фаервол, вайфай, dhcp, hotspot, местами даже mpls по туннелям чтобы vrf прокинуть...
Но в принципе 750Gr3 всё пережёвывает и не умирает (разве что кто-нибудь из локалки мультикастом зафлудит, но это не каждый день).
Доброе время суток, немного не понял про маскарад и сурс нат, где можно почитать?
C ACL на вайфай не соглашусь.
Ну вы по уровню сигнала отстрелите клиента с точки доступа, но вовсе не факт, что он полезет на другую с лучшим сигналом.
Он вполне вероятно продолжит попытки подключения к все той же AP-шке .
И AP продолжит сбрасывать все его попытки подключения.
И клиент, вместо хоть какого-то дохленького интернета на мобилке не получит вобще ничего.
про обновление - я на 9 из 10 видел что upgrade не делают. про wifi было интересно, не моя тема, но познавательно. про access-list мало информации в данном видео. есть в других видео на канале. sip на multiwan реально надо дропать скриптом, работает как часы. запилите про l7 и инспекцию трафика.
Да... позитивный парняга, видно что много по граблям ходил, НО! Профит = просто послушал сказки на ночь.....
То сложное чувство, когда устыдился и покраснел на вланах в бридже, а к концу видео понял, что могло было быть гораздо, гораздо хуже.
Но уже полез править конфиг.
про маскарад не понял вначале :(
4:56 "Минус маленький процент нагрузки..." За счет чего возникает дополнительная нагрузка при маскарадинге и каков конкретно этот процент? Если надо, для конкретики пусть это будет железка RB750Gr3
Большое количество ip в роутинг таблицу можно по bgp всасывать.
а ipsec если трогать, не работает потому что ( наверное) многие девайсы не умеют аутентифицироватся по никакому протоколу кроме SHA1
Касательно IP/Services, куда Кирилл настоятельно посоветовал прописывать Address List: при попытке так сделать WinBox выбрасывает ошибку, замечая, что ждёт сугубо «network address». Версия 6.46.7. Каким образом Кирилл смог туда впихнуть адресный список?
Я так понял, что призыв был вообще не юзать IP/Services, а ограничивать доступ сугубо через IP/Firewall используя адрес листы
@@LexxChi В таком случае выступающий в видео человек, пожалуй, мог прямо так и сказать, а не фотошопить картинку с недопустимой настройкой сервиса. Видео обращено неопытным администраторам, и лучше показать нужное правило на инпут.
Спасибо
Ну что, колимся у кого больше косяков по списку;)
У меня только капсмен без аксес-листов... (за то каков масштаб - минимум пара сотен вайфай зон...)
privet iz baku.umenya mikrotik 951 .vo vremya torrenta cpu zaqrujaetsya na 40 50 % .cto delat?spasibo za otvet.ewe kak zakrit torrent na mikrotike
Если речь о домашнем решении (без экзотики в фаерволе), то лучше всего настроить fasttrack - нагрузка от того же торрента снижается кратно.
@@ekerlostw согласен с вами, фасттрак поможет, но мне кажется что тут надо смотреть на настройку фильтров - загрузка с разницей в 50% это ненормально.
Конечно это некропостинг, но блин на каждую проблему - неплохо бы сразу объяснять на пальцах, что не так и как поправить. Иначе зачем это всё? Можно было просто прокликать слайды с картинками и всё
Vlan filtering ispolzivat ili net?
использовать. Это та же метка влана только в бридже
@@TheNaarzool spasibo za otvet.toqda vcem raznica etoy qalicke na vlan filtering?
@@husi4499 в конечном итоге - меньше нагрузка на цпу. Если на примере конфет то это когда уже завернутые в фантик конфеты ты просишь еще раз завернуть, вместо того чтобы просто сказать дома - в желтой обертке - шоколадные, а в синей с орехом )))
@@TheNaarzool Spasibo brat
у меня Кирил плачет но совсем совсем мало- 6.43.10 и 6.44.4 а так вобше должен быт 6.48 ))
Сервайсес режет ухо. А на дворе аж 2020 год. ))
для тех кто не патчит роутербоард отдельный котел в аду
У меня походу даже не один Кирилл плачет)))) Пришел на новую работу тут версия вообще 3.41)))))))))))))))))) ууухахахахахаахаааа
Чувак любуется собой, а что хочет сказать не всегда понятно. Короче, рассказчик плохой, да и знаний маловато, судя по некоторым ремаркам.
Он умный сам все сделает... Дефолтные правила не трогайте на то они и дефолтные))))
какака громкая запись! гугель режет не по детски..
Ну я поумничаю, но скажу. Не давайте доступ к микроту из интернета, даже через Access List, только через ВПН, отдельный для админов. Только так.
Обновишь, а потом косяк словишь.
Не пойму, зачем постоянно обновлять, если в текущей конфигурации все работает?
это психологические проблемы обнавляющих) они то думают что все летать начнет
дырки от хакеров закрывать плюс новый функционал
Слушать интересно, но про вифи - печально.
Имхо - пусть лучше будет скорость 36 чем не будет вифи вообще....
А если он еще и в локалке что-то хочет - очевидно что если его отрубит в локалку он вообще не попадет .....
Не надо так :)