Αναζήτηση:

Ευχαριστω ειχε ολα τα δικαιωματα οταν το εκανα.

Εχεις δωσει δικαιωματα και στον scheduler που τρεχει το script; Αν δεν εχει και ο scheduler δεν προκειτα να λειτουργησει.

Καλη χρονια σε ολους.

Και το σκριπτ ενημερωσης dyndns δεν παιζει.

Αλλαζουν κατι καθε φορα και δεν τους προλαβαινω.

Διαβασα οτι στην 7.14 beta παιζει.

Δεν εχω κουραγιο να κανω δοκιμη.

Δοκιμασε το script με +ftp στο policy.

*) fetch - require "ftp" user policy;

Επισης εσεις που αναβαθμισατε να τεσταρετε αν παιζει σωστα το wireguard.

σε εμενα παιζει κανονικα μεταξυ Hap ac3 <-> Hex 750gr3, αυτο που δεν μου δουλευει ειναι το no-ip script που ειχα πλεον...

Αν θελεις ντε και καλα σε nv2, σε nv2 nstreme το βγαζει κανονικα, μονο σε nv2 δεν το εμφανιζει για καποιο λογο, δοκιμασε και απο terminal μηπως ειναι του winbox.

Διαβαζω εδω και φοβαμαι οτι ειναι βαθυτερο και χωρις λυση το προβλημα...
Καποιοι βεβαια αναφερουν οτι το προβλημα βρισκεται στο bridge και στο ROS7 και οτι αν αλλαξεις το config χωρις bridge, πραγμα εφικτο στην περιπτωση μου, αυξανεται το throughput

Αυτο το παρατηρησα κι εγω ακομα και χωρις vlans, εβγαλα την κινηση ξεχωριστα στα port σε διαφορετικα subnet και το cpu usage επεσε παρα πολυ. Με bridge ειχα ~70-75% χρηση cpu χωρις το bridge επεσε στα 45-50% στα ιδια τεστ. Δεν χανεις τιποτα να δοκιμασεις χωρις bridge, ισως να εισαι και καλυτερα.

https://wiki.mikrotik.com/wiki/Manual:Reset

Δοκιμασε να το επαναφερεις στις εργοστασιακες ρυθμισεις με τον παραπανω οδηγο.
Resetting the RouterOS configuration
Hold this button until LED light starts flashing, release the button to reset RouterOS configuration to default.

Μετα απο το RTFD θα εχει IP 192.168.88.1, συνδεεις το pc σου στην ethernet 2 και κανεις τις ρυθμισεις που θελεις

Καλησπερα φιλε μου και σε ευχαριστω για την απαντηση.. θελω να ασχοληθω απο την αρχη για να μαθω σιγα σιγα, ειμαι τεχνικος υπολογιστων. Ναι το εβαλα στο poe 1 internet πηρε γραμμη απο το ρουτερ απευθειας κ μετα με ενα καλωδιο απο το 3 το εστειλα στο pc, το pc παιρνει internet Κανονικα απλα δεν μπορω να μπω στο interface του mikrotik για να παιξω απο εκει. Κ την default ip Που βαζω απευθειας κ με το windbox παλι δεν μπορω να συνδεθω. Με εχει τρελανει μηπως εχει καποιο προβλημα το box?

Δες σε πρωτο χρονο τι IP σου δινει στο PC, αν ειναι 192.168.88.x το λογικο ειναι να εχεις 192.168.88.1 στο mikrotik. Μπορεις να δεις απο το PC τι IP εχει στο gateway και να συνδεθεις σε αυτο, αν παιζει με δικο του dhcp.

Οποτε μιαν ωραιαν πρωιαν βλεπεις να μην εχεις τερματισμο της οπτικης επειδη απλα εβαλες το νεο ros.

Σε αυτο δεν εχεις αδικο deniSun, αλλα θα μπορουσε πχ να υπαρχει ενα sfp module πανω στο switch που δεν κανεις αναβαθμισεις τρεις την ωρα για τεστ, χωρις πολλα-πολλα και να παιζεις απο πισω με ros σε router.
Στο σπιτι που δεν εχω πολυ χωρο για καλωδια κλπ εμενα προσωπικα θα με βολευε αυτο.

Για fritz που ειναι AIO, οκ, αλλα σε αυτονομο ONT, πχ το Nokia, δεν βλεπω τον λογο για απαλλαγη, παρα μονο να θες να ελευθερωσεις μια πριζα ρευματος. Προσωπικα δεν εχω κανενα θεμα σχεδον ενα χρονο τωρα.

Ο λογος ειναι απλος τις περισσοτερες φορες... γιατι να εχεις αλλο ενα μηχανημα -εστω και μικρο- αν μπορεις να απαλαγεις απο αυτο; :D

Ενημερωνω οτι πλεον μπορουμε να ορισουμε mtu 1500 με cosmote και να απαλλαγουμε απο clamping κλπ.
Παιζει υπεροχα με ftth.
Το εχω δοκιμασει σε σελιδες οπου δεν επαιζαν χωρις clamping.
Οποτε το mtu στο wg το εχω πλεον στα 1432.
Ειχε αναφερθει και απο αλλον χρηστη σε αυτο το θεμα μεσα στο καλοκαιρι αλλα σημερα μου δοθηκε η δυνατοτητα να το δοκιμασω.
Ευχαριστιες και σε αυτον. Συγνωμη αλλα γραφω βιαστικα και δεν εχω χρονο αυτη την στιγμη να ψαξω για να τον αναφερω.

Ευχαριστιες στον @dpap76 που ξεκινησε το ολο θεμα.

@denisun Καπου ειχα δει πως οταν ειναι μονο IPv4 στο wg MTU ειναι -60 ενω με IPv6 -80 (λογω μεγαλυτερου overhead). Το δοκιμασα σε 2 συνδεσεις που ειχαν 1500 MTU/MRU και μου δουλεψε απροβληματιστα με 1440, αλλα ειχα προβλημα με αλλο peer που εχει 1492 MTU/MRU. Αν εχεις την ευκαιρια και την ευχερεια επιβεβαιωσε το κι εσυ.

Στην FTTH μου δουλεψε κι εμενα με 1500 απροβληματιστα. Σε 2η γραμμη vDSL απο την αλλη οχι, Cosmote και οι δυο. Οταν το δηλωνω 1500MTU/MRU (VLAN ειναι ηδη 1500) μου το ριχνει στα 1480 actual στην vdsl, αλλα δεν ειχα και χρονο για on-site δοκιμες μηπως φταιει σε κατι το modem που εχω bridged, οποτε αυτο μενει για την ωρα στα 1492.

Μονο wg μετα το Ros 7. Απο οταν βγηκε στην 7 δουλευει απροβληματιστα σε site-to-site +2 client (Κινητο και laptop).
Ok το στησιμο ηταν λιγο πιο ζορικο αλλα οπως ειπε και ο denisun σε επιβραβευει στην λειτουργια του.
Στημενο home assistant πανω απο wg vpn δεν εχει πεσει παρα μονο απο διακοπες ρευματος. Με Ovpn ειχα καποια θεματακια.

Το ONT της Huawei παντως εχει IP 192.168.100.1 αλλα δεν ασχοληθηκα περαιτερω για login κλπ λογω χρονου..

Ευχαριστω πολυ για τις απαντησεις, με διαφωτισατε πληρως. Απλα ειχα την εντυπωση οτι γινοταν και χωρις ξεχωριστο ΟΝΤ μιας κι εχω ακουσει για περιπτωσεις ρουτερ με ενσωματωμενο το ΟΝΤ (fritz!box κλπ).

Καλησπερα στην παρεα,

επειδη τελευταια σκεφτομαι την αναβαθμιση σε RB5009 για το δικτυο μου, σκεφτομουν αν θα μπορουσα να μειωσω και τον εξοπλισμο στο γραφειο μου βγαζοντας το GPON απο την μεση.. Εχει δοκιμασει κανενας υλοποιηση με SFP+ module απευθειας στο router; Και αν ναι ειναι εφικτο η θα χασω αδικα χρονο;

Ευχαριστω εκ των προτερων.

Και παλι σας ευχαριστω πολυ ...δουλεψε ...daltongr ακολουθησα το λινκ νασε καλα

:oneup:

Δες αυτο το ποστ, νομιζω θα σε βοηθησει σε αυτο που ψαχνεις:
https://www.adslgr.com/forum/threads/1189086-%CE%95%CF%81%CF%8E%CF%84%CE%B7%CF%83%CE%B7-%CE%B3%CE%B9%CE%B1-route

/ip firewall mangle
add action=mark-connection connection-mark=no-mark chain=prerouting src-address=192.138.10.208 comment="Mark matrix" new-connection-mark=matrix
Ευχαριστω πολυ

Καλημερα, αυτος ο κανονας το μονο που θα κανει ειναι να "μαρκαρει" τα πακετα για την συγκεκριμενη συνδεση. Αυτο που θελεις εσυ ειναι να τα δρομολογεις μεσω συγκεκριμενης. Αν δεν κανω λαθος υπαρχει ποστ στο φορουμ για load balancing, recursive routes κλπ αλλα νομιζω μπορεις να το κανεις και απο mangle με action=route ομως. Επειδη δεν εχω ασχοληθει καθολου με load balancing δοκιμασε το να κανει route σε συγκεκριμενο range πχ. 192.168.1.0/24 αν αυτο ειναι το subnet του wan που θελεις να βγαινει. Ενας αλλος τροπος ειναι να μαρκαρεις τα routes και να βαλεις σε μια συγκεκριμενη συνδεση να αποδεχεται τα συγκεκριμενα χονδρικα. Αν μπορεις να δεις το ποστ που προανεφερα ειχα διαβασει πολυ χρησιμες πληροφοριες πανω σε αυτο που χρειαζεσαι.

ναι ισχυει αρκει να το βαλεις μικρο range γιατι οταν ειχα βαλει 192.16.2.1.2-100 δεν ειχε δουλεψει .... Τωρα που εβαλα .2-50 δουλεψε...κανονικα !

- - - Updated - - -

Πραγματικα ειναι ακυρο αυτο που κανει γενικα το mikrotik ....Δεν καταλαβαινω το γιατι για την ιστορια αλλα τελος παντων ..ολα καλα !
Δεν εχει και σημασια να ασχοληθεις με το τι IP θα παρει ενα τερματικο απο την στιγμη που δεν το χρειαζεσαι σε συγκεκριμενη, παρα μονο αν σου επαρκει το range.

Σε εμενα παντως με range 2-254 μια χαρα δινει IPs απο το 2 προς τα πανω. Ισως επειδη εχω 3 range με τα 2 απο αυτα να δουλευουν 2-254 σε VLANs. Δεν το εχω δωσει και μεγαλη προσοχη μιας και τα μηχανηματα που θελω στατικη IP τα εχω δηλωσει να την περνουν.

Για να δημιουργησεις το queue και το queue type δινεις τις παρακατω εντολες απο terminal αλλαζοντας τις τιμες η τις αλλαζεις και μεσω winbox οπως σε βολευει.

queue/type/add name="pcq" kind=pcq
queue/simple/add name="IP Range Queue" target=192.168.1.0/24 max-limit=10M/1M queue=pcq/pcq

Για να το κανεις ανα IP θα πρεπει να βαλεις queues αναλογα με τον αριθμο των IP που δινεις. Ειδαλως μπορεις να κανεις ενα simple queue με pcq rate 0 και target το IP range που θελεις και να μοιραζεις το max bandwidth που θα ορισεις στο queue ισοποσα στις συνδεμενες IP.

Ενας ακομα τροπος ειναι να δημιουργησεις τα queue me script αλλαζοντας τις τιμες που θελεις.
:for x from 1 to 254 do={/queue simple add name="IP queue-$x" max-limit=10M/1M target="192.168.1.$x"}

Mπορεις να δηλωσεις το pool να εχει range 11-250 η οτι σε βολευει ωστε να εχεις τις συγκεκριμενες IP "ελευθερες".

Εστω οτι:
Bridge 1 IP Range: 192.168.1.1-254 Router IP: 192.168.1.1 DHCP IP: 192.168.1.10 (Windows Server)
Bridge 2 IP Range: 192.168.2.1-254 Router IP: 192.168.2.1 DHCP IP: 192.168.2.1

Πραγματι τα 2 bridges πραγματι δεν μιλανε.... Ομως το mikrotik δεν απανταει στο dns και στο 192.168.1.1 και στο 192.168.2.1 ..? Υποψην οτι το ip 192.168.2.1 ειναι το ip του bridge2... Δεν απανταει για dns σε οτι ips εχουν ολα τα ενεργα interfaces..?

- - - Updated - - -

Κατι χανω και δεν σας το λεω ωστοσο ......κατι δεν μου κολαει ....

Σε MS DNS Server υπαρχει ρυθμιση που του λεει να απανταει σε ολα τα ενεργα ips που εχει ο server .... οπου και αν ειναι .... Δεν ισχυει το ιδιο και εδω..?

Για να μην απανταει στο 192.168.2.1 κατι εχεις κανει με τους κανονες του fw και στο μπλοκαρει. Τωρα για το DNS αν ειναι στο 192.168.1.0 δικτυο πριν απο τα isolation rule θα πρεπει να βαλεις ενα κανονα που να του επιτρεπει να περναει τα dns πακετα πριν μπλοκαρει τα υπολοιπα πχ. αν το μπλοκαρεις μονο απο bridge2 -> bridge1, χρειαζεται να βαλεις τον παρακατω κανονα πριν απο αυτον που το μπλοκαρει ωστε να αφηνει το traffic για κλησεις DNS.

ip/firewall/filter/add action=accept chain=forward port=53 in-interface=bridge2 out-interface=bridge1

Το δοκιμασα και δεν μου επαιξε. Η λογικη να το κανει καποιος με VLAN ειναι σωστη. Ομως το ROS τα wlan3,4 που ειναι slave δεν τα θεωρει ισοτιμα interfaces. Οποτε δεν αφηνει ουτε κανονες στο firewall να βαλεις απο το ενα interface στο αλλο αλλα ουτε και ξεχωριστο DHCP σε αφηνει πανω στο slave interface. Μαλιστα στο fiorum του Μικροτικ οι experts λενε οτι ηταν bug που σε αφηνε να τρεχεις dhcp στο slave.... Οπως και να εχει η λυση με τα VLAN ειναι ποιο πολυπλοκη. Θελει διαφορετικα ip για καθε wlan και κανονες για να παρουν internet... Οποτε με το bridge to 2o θελει ενα ip range κανενα κανονα για internet και ενα rule για το isolation και στο μελλον αν χρειαστω επειδη το bridge το θεωρει master interface με αφηνει να κανω οτι θελω...

Οποτε θεωρω οτι ειναι καλυτερο !

- - - Updated - - -

Στο DHCP Server που εχω δημιουργησει στο Mikrotik για τα 2 slave wlan δεν μου κανει dns resolve requests.... Κανονικα δεν θα επρεπε να κανει forward στους resolvers dns που το εχω βαλει ..?

- - - Updated - - -

Εβαλα ενα Rule να στελνει τα πακετα του 53 port σε ενα dns server και λυθηκε το θεμα ...αλλα δεν καταλαβα ποτε γιατι το ιιδιο το Mikrotik δεν κανει resolve....αφου εχω ρυθμισει το DNS Settings...

Ερωτηση πειραζει που οι servers που εχω βαλει DNS Settings ειναι και πισω απο το ether2...? Εσωτερικοι δηλαδη...? Εχει ομως και τους εξωτερικους τον router δηλαδη....


Μπορει να γινει και με VLAN αλλα δεν εχει καμια διαφορα, κι ετσι ειναι λιγο πιο ευκολο νομιζω απο το να τον μπλεξουμε τον ανθρωπο.
Οσον αφορα τα DNS αν μπλοκαρεις το ενα bridge απο το αλλο κι εχεις στημενο DNS πανω του ειναι λογικο να το κοβει κι αυτο.

Bridge μπορεις να βαλεις οσα χρειαζεσαι (αρκει να μην το παρακανεις και χασεις την μπαλα), το internet interface δουλευει ξεχωριστα απο αυτα. Ειναι σαν να βαζεις εικονικα switch.

Μπορεις να δημιουργησεις ενα νεο bridge οπου θα βαλεις τα SSID που θελεις για guest αλλα θα δημιουργησεις κι ενα DHCP server γι αυτο το bridge. Για το isolation το μονο που χρειαζεται ειναι να βαλεις ενα κανονα στο firewall και να μπλοκαρεις την κινηση απο το ενα bridge στο αλλο.

+1 κι απο μενα. Το δοκιμασα και πηρα το ιδιο αποτελεσμα.

Γι αυτο ειναι καλο (και σωστοτερο) με το που παιρνουμε ενα ΜΤ να διαγραφουμε το def conf.
Η το πειραξες εσυ η υπηρχε στο def conf.

Γι αυτο το εθεσα και με αυτον τον τροπο γιατι κι εγω το βρηκα οταν πρωτοασχοληθηκα με τα ΜΤ και το μαθαινα με το default config. Δεν ηξερα ομως αν ο φιλος ειχε το εργοστασιακο η οχι.

Συγγνωμη αν ειναι λαθος αλλα σε δικη μου περιπτωση που δεν επαιρνε IPv6 ειχε να κανει με την επιλογη Autonomous στο ND που δεν ηταν τσεκαρισμενο. Μολις το τσεκαρα σαν autonomous ολα δουλευουν κανονικα.. παιρνει και το router και τα client IPv6.

Αν θυμαμαι καλα που το ειχα δοκιμασει πριν απο καιρο, το wifi mode επρεπε να ειναι station pseudobridge η station bridge η κατι τετοιο για να περασει τα ethernet frames. dhcp κλπ δεν χρειαζεται μιας και περνει απο το tp-link. Αυτο που θελει σιγουρα ειναι να δηλωσεις το ssid του wifi που θα συνδεεται για να παρει ip κλπ.


update:
ΥΓ. Mode station-bridge

This mode works only with RouterOS APs and provides support for transparent protocol-independent L2 bridging on the station device. RouterOS AP accepts clients in station-bridge mode when enabled using bridge-mode parameter. In this mode, the AP maintains a forwarding table with information on which MAC addresses are reachable over which station device.

This mode is MikroTik proprietary and cannot be used to connect to other brands of devices.

This mode is safe to use for L2 bridging and is the preferred mode unless there are specific reasons to use station-wds mode. With station-bridge mode, it is not possible to connect to CAPsMAN controlled CAP.

Mode station-pseudobridge

From the wireless connection point of view, this mode is the same as standard station mode. It has limited support for L2 bridging by means of some services implemented in station:

MAC address translation for IPv4 packets - station maintains IPv4-to-MAC mapping table and replaces source MAC address with its own address when sending frame to AP (in order to be able to use 3 address frame format), and replaces destination MAC address with address from mapping table for frames received from AP. IPv4-to-MAC mappings are built also for VLAN encapsulated frames.
single MAC address translation for the rest of protocols - station learns source MAC address from first forwarded non-IPv4 frame and uses it as default for reverse translation - this MAC address is used to replace destination MAC address for frames received from AP if IPv4-to-MAC mapping can not be performed (e.g. - non-IPv4 frame or missing mapping).

This mode is limited to complete L2 bridging of data to single device connected to station (by means of single MAC address translation) and some support for IPv4 frame bridging - bridging of non-IP protocols to more than one device will not work. Also MAC address translation limits access to station device from AP side to IPv4 based access - the rest of protocols will be translated by single MAC address translation and will not be received by station itself.

This mode is available for all protocols except nv2 and should be avoided when possible. The usage of this mode can only be justified if AP does not support better mode for L2 bridging (e.g. when non-RouterOS AP is used) or if only one end-user device must be connected to network by means of station device.
Mode station-bridge

This mode works only with RouterOS APs and provides support for transparent protocol-independent L2 bridging on the station device. RouterOS AP accepts clients in station-bridge mode when enabled using bridge-mode parameter. In this mode, the AP maintains a forwarding table with information on which MAC addresses are reachable over which station device.

This mode is MikroTik proprietary and cannot be used to connect to other brands of devices.

This mode is safe to use for L2 bridging and is the preferred mode unless there are specific reasons to use station-wds mode. With station-bridge mode, it is not possible to connect to CAPsMAN controlled CAP.

Οριστε και το link αν θελεις να ριξεις μια ματια παραπανω οσον αφορα το mode που θελεις να δουλεψεις το wifi: https://wiki.mikrotik.com/wiki/Manual:Wireless_Station_Modes#Mode_station-bridge

Προφανως και θα ανεβουν τα ms οταν εχεις full load.
Ειναι λογικο.
Αφου δεν εχεις bw, δημιουργουνται καθυστερησεις.
Το θεμα ειναι πως διαχειριζεται καθε ουρα τα πακετα ωστε να μην μενουν πολυ ωρα στην αναμονη και να σου δινουν την αισθηση οτι κατι τσουλαει.
πχ στις fifo ουρες θα εβλεπε καποιος να μην κουνιεται τιποτε.
Απλες οι ουρες τυπου sfq/codel/cake δεν αφηνουν τους χρονους να εκτοξευτουν στον ουρανο πχ >100ms (για ftth με 1ms στο πρωτο hop).

Αυτο εννοω κι εγω φιλε denisun, ενω ειναι σε full load η γραμμη, το latency παραμενει σε χαμηλα επιπεδα στο gaming και οι σελιδες ανοιγουν/αποκρινονται σαν να μην γινεται download. Με cake δεν ειχα αυτη την αποκριση.

Αν οντως το cake αποδιδει καλυτερα απο το fq_codel,
πραγματικα δεν ξερω πως θα πρεπει να το φανταστω.
Σημερα το ελιωσα με 5-6 tor και 15 dw ολα στο full
και δεν χαμπαριασε τιποτε.
Αψογη αποδοση στο page load.
Δεν θυμαμαι ξανα να ειχα τετοια αισθηση στο page load με full dw.

+1 κι απο εμενα στο fq_codel, δουλευει τελεια μεχρι στιγμης και δεν με βλεπω να το πειραζω απο εδω και περα.
εκανα καποιες δοκιμες με διαφορετικες τιμες σε interval, target κλπ αλλα αυτα που προτεινες denisun νομιζω δινουν τα καλυτερα αποτελεσματα, τουλαχιστον σε ftth 100αρα.
με κατεβασματα απο διαφορετικα pc, το ανοιγμα σελιδων και το gaming δεν επηρεαστηκαν ιδιαιτερα, μονο στα παιχνιδια ανεβηκε 5-10ms αλλα ειναι αμελητεο και μπορω να ζησω ανετα με αυτο.

Το δοκιμασα κι εγω με fq_codel και μου φαινεται λιγο καλυτερα απο cake οσον αφορα το cpu usage. Σε 110/11 μειωσε τη χρηση cpu κατα περιπου 5-7%.
Απο διαφορες σε σχεση με cake μικρες στο bufferbloat, 5ms αποκλιση ειχα μονο με τις ρυθμισεις σου deniSun. Σε dw/up καμια διαφορα. Αν και μου φαινεται να αποκρινεται καλυτερα με fq_codel οσον αφορα το browsing.

Δεν το εχουν ανεβασει ακομα στο dw.

What's new in v3.36:

*) do not set hidden field values as empty when adding new item;
*) fixed Graphing and Quickset graphs;
*) fixed default value for disabled wireless EAP methods field;
*) fixed issue with showing non-existing values;
*) fixed managed list category grouping when value is IP with port;
*) fixed missing icon for submenus that are hidden by skin;
*) fixed neighbour table filter "all" storage;
*) fixed saving and restoring of filter comboboxes;
*) fixed skin behavior for "Add" buttons with dropdown;
*) fixed value updating when it is changed and disabled;
*) fixed values with required "&" prefix;
*) fixed wifiwave2 frequency field;
*) show error when not enough space to complete file upload;

If you experience version related issues, then please report them to support@mikrotik.com.

Σε συνεχεια αυτου και αυτου των οδηγων παραθετω τις ρυθμισεις για IPv4 και IPv6 firewall.


/ipv6 firewall filter
add action=reject chain=forward comment="LAN - Drop everything else" connection-state=new disabled=no in-interface=pppoe-out1 reject-with=icmp-no-route

deniSun παρατηρησα οτι με το τελευταιο rule του ipv6 fw που κανει drop τα "καταλοιπα" ειχα θεμα με το prefix του ipv6. Με αυτον τον κανονα ενεργοποιημενο δεν επαιρνε καθολου ipv6 prefix. Δεν ξερω αν εχει συζητηθει ηδη κατι τετοιο η αν ειναι καποιο "τερτιπι" του ros. Αυτο μου το εκανε στο 7.2.1. Μολις τον εκανα disable/re-enable πηρε κανονικα prefix.

Καλησπερα, Χρονια πολλα, Χριστος Ανεστη,

αν εκανες τον κοπο να δεις τους οδηγους που εχει 2-3 θεματα πανω/κατω για firewall, qos κλπ θα ειχες βρει πολυ ευκολα τα λινκ για τους οδηγους που χρειαζεσαι. Παραταυτα ξεκινα με αυτον, ευγενικη προσπαθεια του φιλου συμφορουμιτη deniSun:
https://www.adslgr.com/forum/threads/858116-Mikrotik-%CF%83%CE%B5-%CF%81%CF%8C%CE%BB%CE%BF-PPPoE-client-%CE%BC%CE%B5-modem-%CF%83%CE%B5-bridge-mode

ΥΓ. Οταν φτασεις στο QoS, να εχεις στα υποψιν σου οτι δεν θα σου σηκωσει πολλα-πολλα το συγκεκριμενο ρουτερ. Μεινε στα simple queues και θα εισαι μια χαρα με του αντιστοιχου οδηγου.

Εκει που λεει:
add action=accept chain=prerouting comment="Accept all from WAN" \
in-interface-list=WAN
Το ειχα:
add action=accept chain=prerouting comment="Accept TCP from WAN" \
in-interface-list=WAN protocol=tcp
add action=accept chain=prerouting comment="Accept UDP from WAN" \
in-interface-list=WAN protocol=udp
add action=accept chain=prerouting comment="Accept ICMP from WAN" \
in-interface-list=WAN protocol=icmp
Τελικα κατεληξα (και παλι) στο αρχικο (ελπιζω για τελευταια φορα):

/ip firewall raw
add action=accept chain=prerouting comment="Accept DHCP discovery" \
dst-address=255.255.255.255 dst-port=67 in-interface-list=!WAN protocol=\
udp src-address=0.0.0.0 src-port=68
add action=drop chain=prerouting comment="Drop bad IP" src-address-list=BadIP
add action=drop chain=prerouting comment="Drop bad IP" dst-address-list=BadIP
add action=drop chain=prerouting comment="Drop bad src IP" src-address-list=\
BadSrcIP
add action=drop chain=prerouting comment="Drop bad dst IP" dst-address-list=\
BadDstIP
add action=drop chain=prerouting comment="Drop from non local IP" \
in-interface-list=!WAN src-address-list=!LANIP
add action=drop chain=prerouting comment="Drop to local IP" dst-address-list=\
LANIP in-interface-list=WAN
add action=drop chain=prerouting comment="Drop non global IP" \
in-interface-list=WAN src-address-list=NotGlobalIP
add action=drop chain=prerouting comment="Drop Black List" in-interface-list=\
WAN src-address-list=BlackList
add action=drop chain=prerouting comment="Drop Black List" dst-address-list=\
BlackList in-interface-list=!WAN
add action=drop chain=prerouting comment="Drop bad UDP" port=0 protocol=udp
add action=jump chain=prerouting comment="Check TCP SYN, ACK" \
in-interface-list=WAN jump-target=ddos protocol=tcp src-address-list=\
!BlockedDDoSAttacker tcp-flags=syn,ack
add action=return chain=ddos comment="______Check for SYN, SYN-ACK flood" \
dst-limit=64,64,src-and-dst-addresses/10s
add action=add-src-to-address-list address-list=BlockedDDoSAttacker \
address-list-timeout=10m chain=ddos comment="______Block DDoS attacker" \
log=yes
add action=drop chain=prerouting comment="Drop DDoS" in-interface-list=WAN \
src-address-list=BlockedDDoSAttacker
add action=jump chain=prerouting comment="Check TCP" in-interface-list=WAN \
jump-target=tcp protocol=tcp src-address-list=!BlockedAddress
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=10m chain=tcp comment="______Block port scan" log=\
yes protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=10m chain=tcp comment=\
"______Block NMAP FIN Stealth scan" log=yes protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=10m chain=tcp comment="______Block SYN/FIN scan" \
log=yes protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=10m chain=tcp comment="______Block SYN/RST scan" \
log=yes protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=10m chain=tcp comment="______Block FIN/PSH/URG scan" \
log=yes protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=10m chain=tcp comment="______Block ALL/ALL scan" \
log=yes protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=10m chain=tcp comment="______Block NMAP NULL scan" \
log=yes protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=10m chain=tcp comment="______Block bad TCP" port=0 \
protocol=tcp
add action=drop chain=prerouting comment="Drop Blocked Address" \
in-interface-list=WAN src-address-list=BlockedAddress
add action=accept chain=prerouting comment="Accept all from WAN" \
in-interface-list=WAN
add action=accept chain=prerouting comment="Accept all from LAN" \
in-interface-list=!WAN
add action=drop chain=prerouting comment="Drop all others"

/ip firewall filter
add action=accept chain=input comment=\
"Input accept established, related, untracked connections" \
connection-state=established,related,untracked
add action=drop chain=input comment="Input drop invalid connections" \
connection-state=invalid
add action=accept chain=input comment="Input accept ICMP" protocol=icmp
add action=accept chain=input comment="Input accept OpenVPN" dst-port=1194 \
protocol=udp src-address-list=IP2Location
add action=drop chain=input comment="Input drop all not from LAN" \
in-interface-list=WAN
add action=accept chain=forward comment=\
"Forward accept established, related, untracked connections" \
connection-state=established,related,untracked
add action=drop chain=forward comment="Forward drop invalid connections" \
connection-state=invalid
add action=drop chain=forward comment=\
"Forward drop all not DSTN not from LAN" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="Forward drop no forward IP" \
src-address-list=NoForwardIP
add action=drop chain=forward comment="Forward drop no forward IP" \
dst-address-list=NoForwardIP
add action=drop chain=forward comment="Forward drop all not from LAN" \
in-interface-list=WAN

deniSun ειναι καλυτερα απο αποψη πορων να τα "πιασεις" αυτα στο raw και οχι στο filter?

Ολα αυτα που συζηταμε για το bufferbloat Και αντιστοιχα στο firewall (στα τελευταια μηνυματα μου), καποιος μπορει να μην τα χρειαζεται.
Μπορει να μην τα συναντησει ποτε η μπορει να του τυχουν μια-δυο φορες και να μην τα θεωρει σημαντικα.
Δεν ειναι κατι global που αφορα ολους οπως πχ τα βασικα στοιχεια του fw για την προστασια του ΜΤ.

Αυτο ακριβως, συν το οτι εχω εναν πιτσιρικα 5 χρονων στο σπιτι που βλεπει βιντεακια στο ιντερνετ κι αν εκεινη τη στιγμη κατεβαζουμε και τπτ αντε να του εξηγησεις και να καταλαβει το bufferbloat και τα queues. Οπως και η γυναικα που ακομα παλευει να μαθει το "εξυπνο τηλεφωνο" της, να καταλαβει γιατι να σταματανε να παιζουν τα βιντεο. Για να μην αναφερω το κομματι gaming στο οποιο βρισκω ηρεμια τον ελευθερο χρονο μου, ουτε για την τηλεφωνια.

Περα απο την πλακα ομως, το bufferbloat ειναι ενα θεμα που εχω σε ολες σχεδον τις συνδεσεις στις μετα-thompson 585 εποχες, το οποιο 585 το διαχειριζοταν παρα πολυ καλα και στην v6 που ειχα αρχικα αλλα και στην v7 εν συνεχεια. Ακομα και με το Asus dsl-ac56u που χρησιμοποιουσα πριν το ΜΤ δεν μου απεφερε το ιδιο αποτελεσμα.

Μετα απο ολοημερο δοκιμων, μπορω να πω οτι φταιει το hex που δεν σηκωνει την κινηση με τα mangle rules κατα κυριο λογο. Τα 2 thread τερματιζουν με τα αλλα 2 να εχουν τρελα πανω-κατω οποτε θα περασω σε ac3 για την ωρα μιας και το wifi θα μου ελυνε λιγο τα χερια (εχω ενα asus dsl-ac56u σε ρολο AP που θα μπορουσε να μου αδειασει λιγο το γραφειο).

hex με 4011 συγκρινεις;

Οχι προς θεου φιλε μου, γνωριζω πολυ καλα οτι δεν συγκρινονται ανομοια πραγματα, το 4011 και το 5009 ειναι σε τελειως δικη τους κατηγορια. Εννοουσα συγκριση το ac2 με το ac3 αλλα απο οτι ειδα στα χαρακτηριστικα υλικου δεν εχουν μεγαλες διαφορες με λιγο καλυτερο wifi το ac3 στην ουσια.

Σεβομενος και την εμπειρια του φιλου BillyVan σε ac2 νομιζω το ac3 θα ειναι η καλυτερη επιλογη προς ωρας.


Παραθεση Αρχικο μηνυμα απο BillyVan Εμφανιση μηνυματων
Deni να εχει σχεση η οπτικη ενω σε μενα ο χαλκος?
Βαλε σε tree.
Εγω με simple δεν μπορεσα να παρω τα ιδια αποτελεσματα με tree.

ΥΓ. Σε simple κι εγω δεν ειχα καλα αποτελεσματα ασχετως mangles, επρεπε να κατεβασω τα limit για να διορθωθει το bufferbloat (104-105/10.5), κατι που με tree εγινε με κανονικες τιμες up/dw (110/11).

Τα ιδια περιπου αποτελεσματα σε μενα με 0.100 / 0.01 / 0.001 A+ παντου.

Η διαφορα που ειδα ειναι στη CPU που εφτασε 55% στις δοκιμες με 0.001 ενω με 0.1 παει μεχρι 40%

Αυτο με το ΝΑΤ θα το ρωτουσα κι εγω οπως και για το Diffserv που το εχω 8.

Πρεπει να τα βαζουμε ολα σε excel και να τα κραταμε για συγκρισεις αλλα παιζουν κι αλλα πραγματα ρολο γμτ μου.

Για το ac3 που ρωτησες ειναι ελαχιστα καλυτερο απ το ac2 και κυριως στη μνημη.

Αν ειναι για σπιτι παρτο αν αντεχεις παρε το 4011.

Δυστυχως οσο κι αν το παλεψω 200-250 ευρω δεν μπορω να τα μαζεψω για το 4011 η ακομα και το 5009. :(

update:
ΥΓ. Σε σχεση με το hex αξιζει την αγορα οσον αφορα τις επιδοσεις του η οχι;

Προφανως με 0 θα σου το ριξει τοσο πολυ.
Εγω ειχα πει για 0.1

Για αλλη μια φορα σε ευχαριστω. Βλεπω οτι με 0.1 καλυτερευει η κατασταση με το bufferbloat χωρις ομως να εξαλειφεται, αλλα τουλαχιστον δεν μου ριχνει το κατεβασμα. Νομιζω οτι μπορω να ζησω με 10-20ms παραπανω. Αν κι εχω ρωτησει ξανα στο παρελθον θα ρωτησω ακομα μια φορα.. Το hap ac3 αξιζει σαν αναβαθμιση σε σχεση με το υπαρχον; Για παραπανω δεν με παιρνει μιας και το budget μου για εξοπλισμο ειναι στα 100 ευρω περιπου.

Με bucket 0/0 το download πεφτει στα 60-70, με 0.01-0.1 ανεβαινει παλι 100+ αλλα το ιδιο και το bufferbloat

ΥΓ. Και στις 2 περιπτωσεις cpu ειναι στο 50% και φαινεται να κανει spikes στο τερμα.

Ακομα και με 2 mangle μονο το ιδιο αποτελεσμα, 60-70Mbps και πολλα πακετα να περιμενουν https://www.waveform.com/tools/bufferbloat?test-id=16989f32-82f6-46d2-8c49-969e5d7aa10d. Αρχιζω να πιστευω οτι δεν ειναι για πολλα το hex αλλα απο την αλλη μονο με 2 mangle και απλο tree να κολαει μου φαινεται υπερβολικο.

Εκανα πολλες δοκιμες οποτε γινεται ενας χαμος απο mangle, πολλα απο τα οποια ειναι disabled. qos και ουρες εχω απο τον οδηγο που ειχες γραψει εδω: https://www.adslgr.com/forum/threads/858118-Mikrotik-IPv4-IPv6-firewall, και στην πρωτη σελιδα αυτου του θεματος και τους προσαρμοσα σε simple/tree για τις δοκιμες. Ειτε με simple, ειτε με tree το αποτελεσμα ειναι το ιδιο στο download.
Να δοκιμασω reset με 2 mangle για up/down μονο και μετα τα περασω τα υπολοιπα καλυτερα; Δεν το εκανα μεχρι τωρα γιατι δεν εχω τον χρονο να ξαναπερασω ολα τα script/vpn κλπ. αλλα το bufferbloat ειναι ενα θεμα που προσπαθω να λυσω εδω και καιρο χωρις ιδιαιτερη επιτυχια.

Καλημερα και καλη εβδομαδα σε ολους,
δοκιμαζω αυτο που ανεφερες denisun με cake στα queues σε ενα RB750GR3 αλλα οταν ρυθμιζω τα queue tree το download απο 100+Mbit πεφτει στα 60-70Mbit. Cpu βλεπω ειναι περιπου στο 50% αλλα δεν μπορω να καταλαβω γιατι πεφτει τοσο. Το δοκιμασα και με simple queue κι εχω το ιδιο προβλημα. Παιζει να ειναι λογω που ειναι μικρο το ΜΤ;

Δηλαδη μπορει να ρυθμισει και ασυρματα δικτυα που βρισκονται σε αλλο subnet μεσω vpn;

Να κοιταξεις σε RB η ccr αν αντεχεις οικονομικα.

Ειχα σκεφτει εξαρχης το rb4011 με wifi αλλα δυστυχως τα οικονομικα μου δεν αντεχουν σε αυτο το επιπεδο, γι'αυτο σκεφτομαι τον συμβιβασμο με hap ac3.

Το capsman αφορα την διαχειριση του ασυρματου.
Οχι ολοκληρης της συσκευης του ΜΤ.

Εχεις δικιο, δεν το διατυπωσα σωστα, για την διαχειριση των ασυρματων εννοουσα μεσω vpn.

Πολυ ωραιο θεμα denisun, αν και δεν ειχα κανενα προβλημα στο στησιμο 2 cAP lite και ενος link με sxtsq 5ac που εχω, διαβαζοντας τον οδηγο σου ειχα την εξης απορια:

Μπορουμε με το capsman να διαχειριστουμε κεντρικα αλλα AP που βρισκονται σε αλλο δικτυο μεσω vpn ωστε η διαχειρηση να γινεται απο ενα router; Το δοκιμασα σε ενα AP αλλα προφανως εκανα καποια λαθος ρυθμιση και αντι να παρει IP απο το τοπικο του δικτυο (192.168.1.x), πηρε απο το δικτυο του capsman (192.168.2.x). Προφανως εκανα καποια βλακεια στις δηλωσεις του bridge αλλα ηταν ενα καλο εναυσμα να ξεκινησω το ψαξιμο για μενα που εχω ουσιαστικα 4 συσκευες και δεν μου αρεσει να ρυθμιζω την καθε μια ξεχωριστα. Δυστυχως δεν εχω χρονο να το κοιταξω περαιτερω σημερα μιας και πρεπει να φυγω για δουλεια, αλλα νομιζω ειναι ενδιαφερον.