Αναζήτηση:

Καλησπερα σας,
Αντιμετωπιζω το τελευταιο διαστημα ενα θεμα το οποιο δεν εχω καταλαβει ακομη αν ειναι προβλημα η οχι.

Σε κεντρο Yeastar S20 με Bri Module και δυο γραμμες ISDN απο την Cosmote με Oxygen Router εχω ενα δευτερολεπτο καθυστερηση κατα τις εισερχομενες/εξερχομενες κλησεις.

Το ενα ακρο λεει "ναι" και το αλλο ακρο το ακουει σε ενα δευτερολεπτο.

Οι εσωτερικες κλησεις λειτουργουν αστραπιαια.

Το Yeastar κεντρο αντικατεστησε παλιο κεντρο Samsung και το θεμα αυτο εγινε αντιληπτο κατευθειαν μετα την αλλαγη.

Προσπαθωντας να επιλυσω το θεμα εχω προβει στα παρακατω.

Ελεγχος Codec στα ipφωνα και στο κεντρο,
Απενεργοποιηση echo cancelation μηπως και ειναι καποιο θεμα πορων. Αλλαγη bri module εχοντας το ιδιο αποτελεσμα,
Σκαλισα λιγο τις ρυθμισεις στο Jitter αν και ειμαι σιγουρος πως δεν οφειλεται το προβλημα σε latency.
Με τηλεφωνο κατευθειαν πανω στα Oxygen φαινεται να ειναι καλυτερη η επικοινωνια.

Εχει καποιος καμια ιδεα;

Σας ευχαριστω πολυ.

Καλησπερα σας,

Αναφορικα με το OpenVPN σε ROS7 ποια η αποψη σας σχετικα με τις επεμβασεις που εχουν γινει μεχρι και την εκδοση 7.11;

Προσωπικα το χρησιμοποιω αρκετα χρονια για client to site vpn σε Ros6 παρα τον τοτε περιορισμο του tcp πρωτοκολλου.

Πλεον εχουν προστεθει σαν επιλογες ανωτερες κρυπτογραφησεις και η επιλογη για udp.

Εκπληξη επισης μου εκανε και το wizard για την εξαγωγη του .ovpn αρχειου.

Υπαρχει πλεον διαφορα στην ασφαλεια με εναν π.χ. openvpn server που τρεχει σε pfsense;

Ευχαριστω εκ των προτερων.

Καλησπερα σας,

Ευχαριστω για τις απαντησεις.
Οντως το παραπανω λειτουργει, το εχω δοκιμασει.
Το προβλημα ειναι οτι δεν παιζει καλα με PCC.

Στο ROS6 παιζει απροβληματιστα με τα παρακατω Routes

/ip route
add check-gateway=ping distance=1 gateway=8.8.8.8 routing-mark=to_WAN1 \
target-scope=30
add distance=2 gateway=192.168.12.1 routing-mark=to_WAN1
add check-gateway=ping distance=1 gateway=1.1.1.1 routing-mark=to_WAN2 \
target-scope=30
add distance=2 gateway=192.168.11.1 routing-mark=to_WAN2
add check-gateway=ping distance=1 gateway=8.8.8.8 target-scope=30
add check-gateway=ping distance=2 gateway=1.1.1.1 target-scope=30
add distance=250 gateway=192.168.11.1
add distance=251 gateway=192.168.12.1
add distance=1 dst-address=1.1.1.1/32 gateway=192.168.12.1
add distance=1 dst-address=8.8.8.8/32 gateway=192.168.11.1

Στο ROS7 δεν μου επιτρεπει να επιλεξω Routing Mark σε Public IP οπως παραπανω.

Καλησπερα σας,

Εχει καταφερει κανεις σωστο Failover με Laod Balancing PCC με την χρηση Recursive Routes σε RouterOS 7 ;
Χωρις την εφαρμογη του Load Balancing λειτουργει σωστα, αν και διαφερει η λογικη των Scopes σε σχεση με το RouterOS 6.

Οποιος εχει ιδεα ας ριξει τα φωτα του παρακαλω.

Ευχαριστω πολυ.

Ειχα ηδη δημιουργησει κανονα Masquerade στα VLANs διοτι ηταν ο μονος τροπος να τα βλεπω απομακρυσμενα,
με το που βρεθω στον φυσικο χωρο θα κανω τις απαραιτητες δοκιμες με την επιλογη set use-ip-firewall=yes.
Σε καθε περιπτωση εχω σκοπο να αφαιρεσω το Baridge Interface που οπως καταλαβαινω ειναι υπαιτιο, δεν ξερω λογο Switch Chip φανταζομαι (διορθωστε με αν κανω λαθος) και να ορισω τα VLANs να ειναι Tagged στην Eth3.
Να σημειωθει οτι απενεργοποιωντας τον Masquerade κανονα που ειχα δωσει ωστε να μπορω να βλεπω τα VLANs απομακρυσμενα με OpenVPN και ενεργοποιωντας set use-ip-firewall=yes μπορω και βλεπω κανονικα τα VLANs απομακρυσμενα.

Σας ευχαριστω πολυ για την πολυτιμη βοηθεια σας.

Ελπιζω αυτα να ειναι αρκετα να σημειωθει οτι Bridge Vlan Filtering ειναι απενεργοποιημενο και οι ρυθμισεις το Switch Menu ανεγγιχτες,
με HP Switch που δουλευω συνηθως δεν εχω τετοιο προβλημα.

220561
220562
220560

/interface bridge port
add bridge=MGMT interface=ether5
add bridge=MGMT interface=ether4
add bridge=MGMT interface=ether3

/interface vlan
add interface=MGMT name=vlan172 vlan-id=172
add interface=MGMT name="vlan192" vlan-id=192
add interface=MGMT name=vlan173 vlan-id=173
add interface=MGMT name="vlan193" vlan-id=193

/ip address
add address=10.254.8.1/24 interface=MGMT network=10.254.8.0
add address=10.88.8.1/24 interface="vlan192" network=10.88.8.0
add address=10.88.9.1/24 interface="vlan193" network=10.88.9.0
add address=172.16.8.1/24 interface=vlan172 network=172.16.8.0
add address=172.16.9.1/24 interface=vlan173network=172.16.9.0

Στο RouterOS (RB3011) δημιουργησα ενα bridge στο οποιο εχω προσθεσει τα τρια physical interfaces eth3,eth4,eth5, επειτα εφτιαξα τεσσερα VLANs με Master Inteface το Bridge.
Untagged και Tagged εχουν ρυθμιστει οι επιθυμητες πορτες των Switch's.
To intervlan routing φαινεται να παιζει διοτι απο καθε λογης VLAN μπορω και κανω Ping τον Gateway οποιουδηποτε αλλου VLAN σε αντιθεση με τους Hosts.

Καλησπερα σας,
Αντιμετωπιζω ενα προβλημα σε μια απο τις εγκαταστασεις μου στην οποια υπαρχει ενα Mikrotik RB3011 και τεσσερα Switch’s CSS326.
Ο Προγραμματισμος τους ειναι ως εξης, στο RB3011 εχω δημιουργησει ενα Bridge με τρια
Interface’s (Eth3,Eth4,Eth5), στο Bridge εχω φτιαξει τεσσερα VLAN’s τα οποια εχουν γινει Untagged και Tagged στις επιθυμητες θυρες.
Το προβλημα μου ειναι οτι το Lan δικτυο δεν επικοινωνει με κανεναν Ηost απο τα Vlans.
Ουτε μπορω να δω hosts και δικτυακες συσκευες των VLAN’s απο VPN.
Αν εχετε καποια ιδεα για το τι μπορει να φταιει θα ημουν ευγνωμων αν την κοινοποιουσατε,
Ευχαριστω πολυ.

Το OpenVPN σε στο PFSense παιζει και με UDP και TCP αλλα και με ανωτερα πρωτοκολλα κρυπτογραφησης ,
επισης προτιμω το PFSense Firewall γιατι θυμιζει δομη UTM-NGFW Firewall δεν ξερω πως τα αποκαλουν αυτη την εβδομαδα (αστειευομαι) σε αντιθεση με το Firewall στου RouterOS με Conection States και τα σχετικα.
Γενικοτερα ομως επιλεγω Mikrotik για την ευελιξια τους και τις απιστευτες λειτουργιες που παρεχουν.

Ακριβως, για την ιστορια πηγα στην λυση APU+PFSense.
Μεγαλο ρολο επαιξε το OpenVPN εναντι στο απαρχαιωμενο OpenVPN του RouterOS αν και κατι διαβασα για UDP υποστηριξη απο το RouterOS 7.
στην εγκατασταση υπαρχει ηδη ενα Mikrotik Rb260GSP για τις POE συσκευες και αγορασα ακομη ενα TP-Link SG108E με VLAN Support.
Τον αλλο μηνα θα το αλλαξω με ενα HP 1820 για να μην ασχοληθω ξανα.
Σας ευχαριστω πολυ και ιδιαιτερα τον astbox διοτι ημουν ελλιπως ενημερωμενος και θα πηγαινα στην πρωτη περιπτωση APU η οποια δεν ηταν Future Proof.

Ευχαριστω πολυ,

Διαβαζοντας τα παραπανω καταλαβαινω οτι το APU.1D4 οντως δεν ειναι πληρως συμβατο,
Λυσεις Barebone με πολλαπλα NICs βλεπω οτι ξεφευγουν.
Οποτε ειτε επιλεγω το παλιο καλο Mikrotik ειτε πηγαινω παλι σε PCEngines αλλα στο APU3C4 το οποιο υπαρχει στην Ελληνικη Αγορα.

Καλησπερα θα ηθελα την γνωμη σας,

Εχω ενα rb2011 το οποιο χαλασε, λογικα σφαλιαρα απο ρευμα και θελω να το αντικαταστησω με κατι ισχυροτερο,
Ειμαι αναμεσα λοιπον στο Mikrotik Rb3011 και στο APU.1D4 απο PCEngines στο οποιο και θα κανω εγκατασταση PFSense,
Υπαρχει εξοικειωση και με το RouteOS αλλα και με PFSense,
Το δικτυο εξυπηρετει 15-20 Host's, τι θα προτεινατε;

Σας ευχαριστω πολυ.

Σου εχω στειλει προσωπικο μηνυμα.
Ευχαριστω.

- - - Updated - - -

Ειχες δικιο, προσθεσα ενα κανονα στο mangle και επαιξε κανονικα. Σε ευχαριστω πολυ. /ip firewall mangle add action=accept chain=prerouting dst-address=REMOTE ROUTER LAN IP

Εκοψα ολα τα mangle rules αφησα την μια WAN αλλα και παλι το ιδιο.

Router 1
/caps-man channel
add band=2ghz-b/g/n control-channel-width=40mhz-turbo frequency=2437 name=\
channel1
add band=5ghz-onlyac control-channel-width=40mhz-turbo frequency=5180 name=\
channel2
/caps-man configuration
add channel=channel2 country=greece mode=ap name=cfg2 \
security.authentication-types=wpa-psk,wpa2-psk security.encryption=\
aes-ccm security.passphrase= ssid=
/interface bridge
add arp=proxy-arp name=LAN
/interface ethernet
set speed=100Mbps
set speed=100Mbps
set speed=100Mbps
set speed=100Mbps
set speed=100Mbps
set speed=100Mbps
set speed=100Mbps
set speed=100Mbps
set speed=100Mbps
set speed=100Mbps
set speed=100Mbps
set speed=100Mbps
set speed=100Mbps
/interface pppoe-client
add disabled=no interface=ether1 max-mru=1492 max-mtu=1492 name=WAN1 \
password= user=
add disabled=no interface=ether2 max-mru=1492 max-mtu=1492 name=WAN2 \
password= user=
/interface vlan
add interface=LAN name=Irish-staff vlan-id=100
add interface=LAN name=Irish-wifi vlan-id=200
add interface=LAN name="-kato orofos" vlan-id=300
/caps-man configuration
add channel=channel1 country=greece datapath.bridge=LAN name=cfg1 \
security.authentication-types=wpa-psk,wpa2-psk security.encryption=\
aes-ccm security.passphrase= ssid=
/interface list
add name="load balance"
/interface wireless security-profiles
set supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.1.10-192.168.1.254
add name=dhcp_pool1 ranges=10.20.0.2-10.20.15.254
add name=dhcp_pool2 ranges=192.168.0.10-192.168.0.254
add name=dhcp_pool3 ranges=172.20.0.2-172.20.0.62
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=LAN lease-time=5h name=\
dhcp1
add address-pool=dhcp_pool1 disabled=no interface=Irish-wifi lease-time=1h \
name=dhcp2
add address-pool=dhcp_pool2 disabled=no interface=Irish-staff lease-time=5h \
name=dhcp3
add address-pool=dhcp_pool3 disabled=no interface="Vagelis-kato orofos" \
lease-time=3h name=dhcp4
/ppp profile
add bridge=LAN dns-server=8.8.8.8 local-address=172.16.0.1 name=l2tp \
remote-address=172.16.0.2
/queue simple
add max-limit=9M/72M name="ALL Bandwidth" target=""
add limit-at=3M/0 max-limit=5M/38M name=Dvr parent="ALL Bandwidth" priority=\
1/1 target=192.168.0.6/32
add max-limit=9M/72M name=Private parent="ALL Bandwidth" priority=2/2 target=\
192.168.0.0/24
add max-limit=9M/72M name=LAN parent="ALL Bandwidth" priority=3/3 target=\
192.168.1.0/24
add max-limit=3M/72M name=Guest parent="ALL Bandwidth" target=10.20.0.0/20
/queue type
set 5 pcq-rate=1M
set 6 pcq-rate=2M
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1
add action=create-dynamic-enabled master-configuration=cfg2
/interface bridge port
add bridge=LAN interface=ether3
add bridge=LAN interface=ether4
add bridge=LAN interface=ether5
/interface l2tp-server server
set default-profile=l2tp enabled=yes ipsec-secret= use-ipsec=\
required
/interface list member
add interface=Irish-staff list="load balance"
add interface=Irish-wifi list="load balance"
add interface=LAN list="load balance"
/ip address
add address=192.168.1.1/24 interface=LAN network=192.168.1.0
add address=10.20.0.1/20 interface=Irish-wifi network=10.20.0.0
add address=192.168.0.1/24 interface=Irish-staff network=192.168.0.0
add address=172.20.0.1/26 interface="-kato orofos" network=172.20.0.0
/ip dhcp-server lease
add address=192.168.1.251 client-id=1:fc:ec:da:d1:af:e3 mac-address=\
FC:EC:DA:D1:AF:E3 server=dhcp1
add address=192.168.0.15 client-id=1:0:23:a7:41:e9:bb mac-address=\
00:23:A7:41:E9:BB server=dhcp3
add address=192.168.0.16 client-id=1:0:23:a7:cc:80:c7 mac-address=\
00:23:A7:CC:80:C7 server=dhcp3
add address=192.168.0.18 client-id=1:0:23:a7:41:eb:5d mac-address=\
00:23:A7:41:EB:5D server=dhcp3
add address=192.168.1.56 client-id=1:74:d4:35:b0:e1:66 mac-address=\
74:D4:35:B0:E1:66 server=dhcp1
add address=192.168.1.254 client-id=1:74:3e:2b:1a:d3:f0 mac-address=\
74:3E:2B:1A:D3:F0 server=dhcp1
/ip dhcp-server network
add address=10.20.0.0/20 dns-server=10.20.0.1 gateway=10.20.0.1
add address=172.20.0.0/26 dns-server=172.20.0.1 gateway=172.20.0.1
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.1.0/24 disabled=yes list=support
add address=192.168.0.0/24 disabled=yes list=support
add address=10.20.0.0/20 disabled=yes list=support
add address=172.20.0.0/26 disabled=yes list=support
add address=0.0.0.0/8 comment="Self-Identification " disabled=yes \
list=bogons
add address=10.0.0.0/8 comment="Private - CLASS A # Check if you nee\
d this subnet before enable it" disabled=yes list=bogons
add address=127.0.0.0/8 comment="Loopback " disabled=yes list=\
bogons
add address=169.254.0.0/16 comment="Link Local " disabled=yes list=\
bogons
add address=172.16.0.0/12 comment="Private - CLASS B # Check if you \
need this subnet before enable it" disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private - CLASS C # Check if you\
\_need this subnet before enable it" disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" disabled=yes \
list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast " disabled=\
yes list=bogons
add address=198.18.0.0/15 comment="NIDB Testing" disabled=yes list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" disabled=yes \
list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" disabled=yes \
list=bogons
add address=224.0.0.0/4 comment=\
"MC, Class D, IANA # Check if you need this subnet before enable it" \
disabled=yes list=bogons
add address=172.22.22.0/24 disabled=yes list=support
/ip firewall filter
add action=accept chain=input comment="allow L2TP VPN (ipsec-esp)" \
in-interface=WAN2 protocol=ipsec-esp
add action=accept chain=input comment="allow L2TP VPN (1701/udp)" dst-port=\
1701 in-interface=WAN2 protocol=udp
add action=accept chain=input comment="allow L2TP VPN (4500/udp)" dst-port=\
4500 in-interface=WAN2 protocol=udp
add action=accept chain=input comment="allow L2TP VPN (500/udp)" dst-port=500 \
in-interface=WAN2 protocol=udp
add action=add-src-to-address-list address-list=Syn_Flooder \
address-list-timeout=30m chain=input comment=\
"Add Syn Flood IP to the list" connection-limit=30,32 disabled=yes \
protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" disabled=yes \
src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner \
address-list-timeout=1w chain=input comment="Port Scanner Detect" \
disabled=yes protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" disabled=yes \
src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" disabled=yes \
jump-target=ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except t\
o support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUP\
PORT ADDRESS LIST" disabled=yes dst-port=8291 protocol=tcp \
src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" disabled=\
yes jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" disabled=yes \
dst-address-list=bogons
add action=add-src-to-address-list address-list=spammers \
address-list-timeout=3h chain=forward comment=\
"Add Spammers to the list for 3 hours" connection-limit=30,32 disabled=\
yes dst-port=25,587 limit=30/1m,0:packet protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" disabled=yes \
dst-port=25,587 protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" disabled=yes port=53 \
protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" disabled=yes port=53 \
protocol=tcp
add action=accept chain=input comment="Accept to established connections" \
connection-state=established disabled=yes
add action=accept chain=input comment="Accept to related connections" \
connection-state=related disabled=yes
add action=accept chain=input comment="Full access to SUPPORT address list" \
disabled=yes src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS \
RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED" disabled=yes
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" \
disabled=yes icmp-options=8:0 limit=1,5:packet protocol=icmp
add action=accept chain=ICMP comment="Echo reply" disabled=yes icmp-options=\
0:0 protocol=icmp
add action=accept chain=ICMP comment="Time Exceeded" disabled=yes \
icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" disabled=yes \
icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD disabled=yes icmp-options=3:4 \
protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" disabled=yes \
protocol=icmp
add action=jump chain=output comment="Jump for icmp output" disabled=yes \
jump-target=ICMP protocol=icmp
/ip firewall mangle
add action=mark-connection chain=input in-interface=WAN1 new-connection-mark=\
wan1_conn passthrough=yes
add action=mark-connection chain=input in-interface=WAN2 new-connection-mark=\
wan2_conn passthrough=yes
add action=mark-routing chain=output connection-mark=wan1_conn \
new-routing-mark=to_wan1 passthrough=yes
add action=mark-routing chain=output connection-mark=wan2_conn \
new-routing-mark=to_wan2 passthrough=yes
add action=mark-connection chain=prerouting dst-address-type=!local \
in-interface-list="load balance" new-connection-mark=wan1_conn \
passthrough=yes per-connection-classifier=both-addresses-and-ports:2/0
add action=mark-connection chain=prerouting dst-address-type=!local \
in-interface-list="load balance" new-connection-mark=wan2_conn \
passthrough=yes per-connection-classifier=both-addresses-and-ports:2/1
add action=mark-routing chain=prerouting connection-mark=wan1_conn \
in-interface-list="load balance" new-routing-mark=to_wan1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=wan2_conn \
in-interface-list="load balance" new-routing-mark=to_wan2 passthrough=yes
add action=accept chain=prerouting in-interface=WAN1
add action=accept chain=prerouting in-interface=WAN2
add action=mark-routing chain=prerouting new-routing-mark=to_wan2 \
passthrough=yes src-address=192.168.0.6
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.10.0/24 src-address=\
192.168.1.0/24
add action=masquerade chain=srcnat out-interface=WAN1
add action=masquerade chain=srcnat out-interface=WAN2
add action=dst-nat chain=dstnat dst-port=8001 protocol=tcp to-addresses=\
192.168.0.6 to-ports=8001
add action=dst-nat chain=dstnat dst-port=8080 protocol=tcp to-addresses=\
192.168.0.6 to-ports=8080
add action=dst-nat chain=dstnat dst-port=5555 protocol=tcp to-addresses=\
192.168.0.6 to-ports=5555
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.10.0/24 src-address=\
192.168.1.0/24
add action=accept chain=prerouting dst-address=192.168.1.0/24 src-address=\
192.168.10.0/24
/ip route
add check-gateway=ping distance=1 gateway=WAN1 routing-mark=to_wan1
add check-gateway=ping distance=1 gateway=WAN2 routing-mark=to_wan2
add check-gateway=ping distance=1 gateway=WAN1
add check-gateway=ping distance=2 gateway=WAN2
add distance=1 dst-address=192.168.10.0/24 gateway=172.16.0.2
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add name= password= profile=l2tp service=l2tp
/system clock
set time-zone-name=Europe/Athens


Router 2
/interface bridge
add arp=proxy-arp fast-forward=no name=LAN
/interface ethernet
set speed=100Mbps
set speed=100Mbps
set speed=100Mbps
set speed=100Mbps
set speed=100Mbps
set advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 max-mru=1492 max-mtu=\
1492 name=pppoe-out1 password= user=
/interface l2tp-client
add add-default-route=yes connect-to=router 1 wan ip disabled=no \
ipsec-secret= name=l2tp-out1 password= use-ipsec=yes \
user=
/interface wireless security-profiles
set supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.253
add name=dhcp_pool1 ranges=192.168.0.2-192.168.0.254
add name=dhcp_pool2 ranges=192.168.10.2-192.168.10.254
/ip dhcp-server
add address-pool=dhcp_pool2 disabled=no interface=LAN lease-time=3h name=\
dhcp1
/queue type
add kind=pcq name=PCQ_UPLOAD pcq-classifier=src-address \
pcq-dst-address6-mask=64 pcq-rate=3500k pcq-src-address6-mask=64
add kind=pcq name=PCQ_DOWNLAOD pcq-classifier=dst-address \
pcq-dst-address6-mask=64 pcq-rate=7M pcq-src-address6-mask=64
add kind=pcq name=IPTV_PCQ pcq-classifier=dst-address pcq-dst-address6-mask=\
64 pcq-limit=8000000KiB pcq-rate=9M pcq-src-address6-mask=64
set 8 pcq-rate=1M
set 9 pcq-rate=10M
/queue tree
add name=DOWNLOAD packet-mark=Client_Download parent=global queue=\
PCQ_DOWNLAOD
add name=UPLOAD packet-mark=Client_Upload parent=global queue=PCQ_UPLOAD
add disabled=yes name="NICK IPTV" packet-mark=IPTV_NICK parent=DOWNLOAD \
priority=1 queue=IPTV_PCQ
/interface bridge port
add bridge=LAN interface=ether2
add bridge=LAN interface=ether3
add bridge=LAN interface=ether4
add bridge=LAN interface=ether5
add bridge=LAN interface=ether6
add bridge=LAN interface=ether7
add bridge=LAN interface=ether8
add bridge=LAN interface=ether9
add bridge=LAN interface=ether10
/ip address
add address=192.168.10.1/24 interface=LAN network=192.168.10.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.1.2-192.168.1.254 disabled=yes list=allowed_to_router
add address=172.20.0.2-172.20.0.254 disabled=yes list=allowed_to_router
/ip firewall filter
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input comment="default configuration" \
connection-state=established,related disabled=yes
add action=accept chain=input disabled=yes src-address-list=allowed_to_router
add action=accept chain=input disabled=yes protocol=icmp
add action=drop chain=input disabled=yes
/ip firewall mangle
add action=mark-packet chain=prerouting comment="NIKOS IPTV" disabled=yes \
dst-port=5353-60000 new-packet-mark=IPTV_NICK passthrough=no protocol=tcp \
src-address=192.168.1.37
add action=mark-packet chain=prerouting in-interface=LAN new-packet-mark=\
Client_Upload passthrough=yes
add action=mark-packet chain=prerouting in-interface=pppoe-out1 \
new-packet-mark=Client_Download passthrough=yes
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\
192.168.10.0/24
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=dst-nat chain=dstnat dst-port=555 protocol=tcp to-addresses=\
192.168.1.100 to-ports=555
add action=dst-nat chain=dstnat dst-port=8000 protocol=tcp to-addresses=\
192.168.1.100 to-ports=8000
add action=dst-nat chain=dstnat dst-port=8080 protocol=tcp to-addresses=\
192.168.1.100 to-ports=8080
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.1.0/24 src-address=\
192.168.10.0/24
add action=accept chain=prerouting dst-address=192.168.10.0/24 src-address=\
192.168.1.0/24
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=172.16.0.1
/ip ssh
set allow-none-crypto=yes
/system clock
set time-zone-name=Europe/Athens
/system identity
set name="Pounta Router"

Ευχαριστω πολυ.

Καλαησπερα,

αντιμετωπιζω ενα θεμα με ενα vpn site to site που προσπαθω να στησω.
Το προβλημα ειναι οτι ενω το Mikrotik που εχει αναλαβει το ρολο του L2TP Server κανει Ping κανονικα το Mikrotik που παιζει σαν Client αλλα και τους Hosts του οι Hosts δεν επικοινωνουν μεταξυ τους.
Ειναι θεμα Firewall;
Χρειαζομαι κανονες στο NAT section;
Στο παρελθον με PPTP ειχε παιξει απροβληματιστα.

Ευχαριστω εκ των προτερων για το χρονο σας.

Σας ευχαριστω πολυ ολους.
Για να μην κανω πατεντες σε περιβαλλον εργασιας θα παω τελικα σε x86 με μια
Mini itx μητρικη Και θα το βαλω σε ενα ραφι στο Rack.

Δεν διαφωνω.
Αν ξαναδεις ομως το πρωτο post λεω οτι προσπαθω να αποφυγω την λυση asterisk σε x86 αρχιτεκτονικη, επισης επισημανα κατευθειαν τον αριθμο τον Iphones μολις μου προταθηκε το raspberry σαν λυση για τον προφανεστατο λογω των χαρακτηριστικων της συσκευης. Ξερω πολυ καλα την καταναλωση ενος μικρομεσαιου καταλυματος καθως τυγχανει να ειμαι και ο ιδιος στον κλαδο.

Δεν τιθεται θεμα προσβολης.
Την καταναλωση και τον χωρο συστηματος X86 ηθελα να αποφυγω.

Καλη λυση το raspberry με Asterisk δεν το σκεφτηκα.
Και οι δυνατοτητες του asterisk ειναι πολλες και μεγαλη υποστηριξη σε Ipφωνα και απο πλευρας καταναλωσης και χωρου καλυπτει τις αναγκες.

Ξεχασα να αναφερω οτι μιλα με για 17 ipφωνα.

Καλησπερα σε καταλυμα που θα περαστει δομημενη καλωδιωση περα απο παροχη WiFi μου ζητηθηκε και υπηρεσια Voip για ενδοεπικοινωνια.
Η επικοινωνια με Pstn γραμμη δεν ειναι τοσο σημαντικη, οποτε ερχεται σε δευτερη μοιρα.
Αυτο που θελω αν γινεται να αποφυγω ειναι το Pc με asterisk και ουτε λογος για Call manager.
Εχω δει κατι voip gateways της grandstream, εχει κανεις εμπειρια με τα παραπανω μηχανηματα η αλλον εξοπλισμο που μπορω να χρησιμοποιησω.
Ευχαριστω πολυ.

Δεν καταλαβα το πρωτο σκελος.
Οταν λες σε v4 τι εννοεις;

Τελικα το εγχειρημα επετευχθει παραθετω τους κανονες παρακατω.
Torrent Limiting

/ip firewall layer7-protocol
add name=L7-Torrent regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrap\
e\\\?info_hash=get /announce\\\?info_hash=|get /client/bitcomet/|GET /data\
\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)"

/queue tree
add limit-at=256k max-limit=256k name=Torrent-Download packet-mark=\
Torrent-Conn parent=global priority=5 queue=default

/ip firewall filter
add action=add-src-to-address-list address-list=Torrent-Add \
address-list-timeout=2m chain=forward layer7-protocol=L7-Torrent \
src-address=192.168.96.0/24
add action=add-src-to-address-list address-list=Torrent-Add \
address-list-timeout=2m chain=forward p2p=all-p2p src-address=\
192.168.96.0/24
add action=add-src-to-address-list address-list=Torrent-Add \
address-list-timeout=2m chain=forward p2p=bit-torrent src-address=\
192.168.96.0/24

/ip firewall mangle
add action=mark-connection chain=prerouting comment=Torrent-Conn dst-port=\
!0-1024,8291,5900,5800,3389,14147,5222,59905 new-connection-mark=\
Torrent-Conn protocol=tcp src-address-list=Torrent-Add
add action=mark-connection chain=prerouting dst-port=\
!0-1024,8291,5900,5800,3389,14147,5222,59905 new-connection-mark=\
Torrent-Conn protocol=udp src-address-list=Torrent-Add
add action=mark-connection chain=prerouting new-connection-mark=Torrent-Conn \
p2p=all-p2p src-address-list=Torrent-Add
add action=mark-connection chain=prerouting new-connection-mark=Torrent-Conn \
p2p=bit-torrent src-address-list=Torrent-Add
add action=mark-packet chain=prerouting connection-mark=Torrent-Conn \
new-packet-mark=Torrent-Conn passthrough=no

Youtube block απο τον φιλο Macro.
/ip firewall layer7-protocol
add name=youtube regexp=youtube.com

/ip firewall filter
add action=drop chain=forward layer7-protocol=youtube src-address=192.168.1.0/24

Περιορισμος με Qos γενικοτερα του Streaming
/ip firewall layer7-protocol
add name=Streaming regexp=videoplayback|video

/ip firewall mangle
add action=mark-packet chain=prerouting comment=streaming layer7-protocol=\
Streaming new-packet-mark=streaming passthrough=no

/queue tree
add max-limit=156k name=Streaming packet-mark=streaming parent=global queue=\
default

Και τελος Bandwidth Limit ανα HOST
/queue type
set 5 pcq-rate=1M
set 6 pcq-rate=1M
/queue simple
add name=queue1 queue=pcq-download-default/pcq-download-default target=\
192.168.0.0/24

Λοιπον οποτε με το που ερθει το ρουτερ αρχικα θα δωσω qos με pcq max 1M Per ip
Μετα θα εφαρμοσω το script του παραπανω φιλου που τον ευχαριστω πολυ κοβοντας ετσι ενα μεγαλο μερος του video streaming καθως μιλαμε για youtube και οτι ειναι embedded απο youtube, βρηκα και ενα script που κανει Mark την κινηση για το streaming και μετα δημιουργει κατι qos entries με μηδαμινο Rate και τελος θα ασχοληθω με τα Torrents.

Οτι δουλεψει θα το ποσταρω.

Ηταν ενα script που αρχικα δημιουργουσε layer 7 rules μετα εφτιαχνε κατι qos entries με ελαχιστο rate και τελος εκλεινε καποιες πορτες που δεν θυμαμαι αν το εκανε με layer 7 η με απλα firewall rules οπως και να εχει θα ποσταρω τα παντα

Προφανως με firewall rules

Σε ευχαριστω πολυ.
Καπως ετσι το ειχα κανει στο παρελθον με τα Torrents.
Αυριο θα ξεκινησω τις δοκιμες.

Τωρα παρηγγειλα την συσκευη.
Θα το δοκιμασω.
Ειδα και κατι scripts που κανουν Mark την κινηση για το streaming και μετα δημιουργουν qos entries και ετσι υπαρχει ενας ελεγχος του bandwidth που παει προς εκει.

- - - Updated - - -

Και για Torrent θα με ενδιεφερε καποια λυση.

Χρησιμο, ευχαριστω πολυ.

Καλησπερα μου εχει ζητηθει σε ενα δικτυο με Satelite Wan που το μεγιστο Traffic ανερχεται στα 100 GB τον μηνα να κοψω το Video streaming. Καταλαβαινω οτι σε ολο του το ευρος ειναι αδυνατο.
Mηπως εχει κανεις καποια ιδεα για το πως μπορει να υλοποιηθει κατι τετοιο.
Γενικα δουλευω περισσοτερο με Μikrotik και θελω να αποφυγω λυσεις με Squid και γενικα Proxy.
Ευχαριστω πολυ