Provozujete někdo EoIP (je jedno, jestli čistý, nebo s ipsec) tunely a přes to mac-server nebo romon? Nějak mi totiž není jasné, kde může být chyba. Tedy asi je, ale chci si postěžovat a popovídat.
Na EoIP není nijak co zkazit. MTU 1500. Vše funguje. Neighbors i běžný IP provoz. IP adresám jsem se chtěl ovšem vyhnout, protože musím mít jinou síť než zbytek - a staré verze neumí v ip/services definovat víc než jednu. Čili by musel být výjimkovaný dohledový systém, který se o to stará ...
Mám testovací "agregátor" eoip tunelů a openvpn (6.42.5, CCR). Vše v jednom bridge. Cíl je dostat se přes openvpn pomocí mac-winboxu (nebo RoMONu) dál.
Mezi openvpn klientem a agregátorem je to v pořádku.
Je to v pořádku dokonce i mezi agregátorem a druhými konci eoip tunelů - ale to vyzkouším jen mac-telnet.
Ale mezi ovpn klientem a koncem eoip už mac-winbox funguje jak kdy - a především ne ve starších verzích, což je pěkně pitomé (nechtěl jsem se zbavovat funkčních trojkových verzí, nebo pětkových, zvlášť když to někdy ani nejde). Začne to fungovat až pokud je tam alespoň 6.30.4 (6.28 ještě ne, 6.29 jsem nezkoušel). Co tam kde zvoslili? Changelogy, ani google zatím nevysvětlil nic ...
Předpokládám, že to nevyřeším. Ty macservery prostě na pakety z eoip tunelu neodpovídají.
Takže pokud už potřebuji upgradovat úplně vše, tak proč nezkusit RoMON? Když je na to stavěný, že.
RoMON agentem je ten agregátor. Připojení na něj ok, vidím ostatní routery. Vlastní sranda nastane, když se tedy na nějaké "podřízené" zkusím připojit. Ono to jde - jenže v průměru za 4 vteřiny to spadne a winbox se odpojí. V logu samozřejmě nic, jen login, logout. Na verzích v podstatě nezáleží, 6.40.8 i 6.42.5 jedno jsou.
Přes opravdový ethernet (kabel mezi dvěma mikrotiky) RoMON funguje OK. Jenže to není řešení, úplně všechny mikrotiky se na síti po L2 nevidí.
Do teď jsem si myslel, že EoIP přenáší komplet ethernetové rámce. Asi jsem se mýlil.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
mac-server nebo RoMON přes EoIP tunnel
mac-server nebo RoMON přes EoIP tunnel
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Zdravím, když už tu padla zmínka o tom Neighbors-u, jak se to teď ve Winboxu v nových verzích ROSu nastavuje, aby info o klientech nelezlo i do internetu? Dřív to šlo nastavit po jednotlivých adaptérech. Dík, mpcz, 15.7.2018
0 x
interface-lists
Ale pojem "do internetu" je poměrně sporný. Viditelnost je jen mezi nejbližšími routery. A vědět, jaký MK mají klienti může být pro správce sítě (ve světle posledních bugů) dost důležitá informace.
Ale pojem "do internetu" je poměrně sporný. Viditelnost je jen mezi nejbližšími routery. A vědět, jaký MK mají klienti může být pro správce sítě (ve světle posledních bugů) dost důležitá informace.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Aha, tak to raději rozvedu. Do internetu je myšlena linka od dodavatele konektivity. O tu se jedná především. Dříve to šlo nastavit přímo ve Winboxu pro každý adaptér zvlášť. Bylo to jasné. Teď je to jaksi jinak a nerozumím tomu, jak to Sergej myslí. Dík, mpcz, 15.7.2018
0 x
No já ti rozumím. Ale ty nerozumíš mě ...
a) někteří "dodavatelé" se o své ovečky starají. Např. alespoň upozorňují na bugy. K tomu rádi znají verze toho, co tam ovečky mají ...
b) interface-lists. Otevři si okno Interfaces. Tam záložku Interface List. Pomocí čudlíku Lists si vytvoř vlastní seznam, třeba s názvem "neigborsallowed". A potom přes klasickou ikonku PLUS do toho listu zahrň rozhraní, které chceš někde použít ... Např. v nastavení co vidíš pod čudlíkem "Discovery settings" v ip/neighbors.
a) někteří "dodavatelé" se o své ovečky starají. Např. alespoň upozorňují na bugy. K tomu rádi znají verze toho, co tam ovečky mají ...
b) interface-lists. Otevři si okno Interfaces. Tam záložku Interface List. Pomocí čudlíku Lists si vytvoř vlastní seznam, třeba s názvem "neigborsallowed". A potom přes klasickou ikonku PLUS do toho listu zahrň rozhraní, které chceš někde použít ... Např. v nastavení co vidíš pod čudlíkem "Discovery settings" v ip/neighbors.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Dík za trpělivost, takto to mám nastavené a vidím klienty na síti dodavatele. Z toho usuzuji, že on vidí ty moje. Může to být ale i jednosměrné. Kde je pravda? Anebo je to rukama? mpcz, 15.7.2018
0 x
Pokud to nastavím tak, aby na některém portu nefungoval, tak tam neposlouchá, ani nic nevysílá. Ověřeno.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Tak jsem na to přišel. Nastavil jsem tam původně ano pro ETH2-5. Ty ale byly v bridge. Zajímavé, že ETH1 v listu nebyl a viděl jsem stroje na ETH1. Když jsem do listu dal jen Bridge1, tak už to funguje správně.
Existuje nastavení, že by to z ETH1 četlo, ale nic tan neposílalo?
Ten starý systém se mi zdá jednodušší a čitelnější. Snad si zvyknu.
Kromě toho, kdo bedlivě nesleduje changelogy, mohl by být překvapený, že se mu dostanou infa o klientech do (třeba) konkurenční sítě při upgrade ROSu. Děkuji. mpcz, 15.7.2018
Existuje nastavení, že by to z ETH1 četlo, ale nic tan neposílalo?
Ten starý systém se mi zdá jednodušší a čitelnější. Snad si zvyknu.
Kromě toho, kdo bedlivě nesleduje changelogy, mohl by být překvapený, že se mu dostanou infa o klientech do (třeba) konkurenční sítě při upgrade ROSu. Děkuji. mpcz, 15.7.2018
0 x
Nevím o tom. Ale asi by to šlo filtrovat na outputu.
Je možné, že pokud to bylo nějak nastaveno, že to upgrade převzal. Občas to programátory napadne ...
---
edit: tak filtrovat to nelze ... sakra proč? To by znamenalo, že to co vidíme ve firewallu není přesně to, co je ve skutečnosti v netfilteru.
mpcz píše:Existuje nastavení, že by to z ETH1 četlo, ale nic tan neposílalo?
Ten starý systém se mi zdá jednodušší a čitelnější. Snad si zvyknu.
Kromě toho, kdo bedlivě nesleduje changelogy, mohl by být překvapený, že se mu dostanou infa o klientech do (třeba) konkurenční sítě při upgrade ROSu. Děkuji. mpcz, 15.7.2018
Je možné, že pokud to bylo nějak nastaveno, že to upgrade převzal. Občas to programátory napadne ...
---
edit: tak filtrovat to nelze ... sakra proč? To by znamenalo, že to co vidíme ve firewallu není přesně to, co je ve skutečnosti v netfilteru.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Já jsem to nastaveno určitě měl ve "starém" ovládání tak, že do WANu nic neposílal (a ani z něj nečetl). Namátkou jsem se mrkl nyní na upgradované stroje a na cca polovičce je v novém systému nastaveno ip/neighbors - "všechno/všude". Nový systém mi přijde krkolomý, nečitelný a navíc jak vidno i značně záludný. Dík za pomoc. mpcz, 15.07.2018
0 x
ludvik píše:Nevím o tom. Ale asi by to šlo filtrovat na outputu.mpcz píše:Existuje nastavení, že by to z ETH1 četlo, ale nic tan neposílalo?
Ten starý systém se mi zdá jednodušší a čitelnější. Snad si zvyknu.
Kromě toho, kdo bedlivě nesleduje changelogy, mohl by být překvapený, že se mu dostanou infa o klientech do (třeba) konkurenční sítě při upgrade ROSu. Děkuji. mpcz, 15.7.2018
Je možné, že pokud to bylo nějak nastaveno, že to upgrade převzal. Občas to programátory napadne ...
---
edit: tak filtrovat to nelze ... sakra proč? To by znamenalo, že to co vidíme ve firewallu není přesně to, co je ve skutečnosti v netfilteru.
ale houby. Upgrady proběhly korektně a změna neighboru tam už nějaký pátek je. To že mpcz vůbec netuší co tam má nastavený je celkem běžný.
Jenom číst se to dá, nastavíš si na CDP drop směrem z routeru. Dovnitř dáš accept.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
MNDP je udp/5678, zkus si to dropnout na outputu ...
LLDP je EtherType #88CC. Zkus si to dropnout na outputu ... a ne na bridge.
CDP z hlavy nevím, ale myslím, že je to v základu jako LLDP.
Předveď se.
LLDP je EtherType #88CC. Zkus si to dropnout na outputu ... a ne na bridge.
CDP z hlavy nevím, ale myslím, že je to v základu jako LLDP.
Předveď se.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
