Хороший подход, Роман, правильный: если вы четко не осознаете необходимость зачем вам надо обновление на 7, не обновляйтесь. Но вот лично меня заставили обновляться. Попытался сообщить о баге в версии винбокса 3.36. Поддержка со мной просто отказалась продолжать разговор (переписку по мылу), пока я не выполнил их "рекомендацию" (а фактически получается требование) обновиться. Как только обновился и прислал им supout, вопрос моментально сдвинулся с места, баг тут же признали, пообещали исправить. Разумеется после окончания общения, откатился обратно на 6 лонгтерм.
@@BalynOmavel Уже исправили в вышедшей 3.37. А баг заключался в невозможности внести изменения в настройки на закладках Advanced и TX Power у WiFi интерфейса. PS. Переписку не сохранил.
Еще обратная, связь: Часто в Ваших роликах не понятно что делается, почему те или иные параметры ставятся в настройки. Нехватает общей схемы. Если ролики создаются с целью - напомнить что-то тем, кто и так знает, то тогда о каком обучении идет речь - так и назовите канал "Микротик для тех, кто знает". Также любите сыпать аббревиатурами, не объясняя что это и зачем. Тема микротика мне очень интересна, но случается так, что подчерпнув что-то на вашем канале приходится учиться на других каналах. Например в этом ролике: я так и не понял как соотносятся адреса сетей и allowed address. Выслушивать "я тут подумал и придумал такие циферки" - как-то... ну Вы поняли (наверное).
По iperf, очень рекомендую, выделить микро ПК Raspberry pi версии 4 в качестве выделенного сервера iperf, достаточно минимально ОС, только CLI, стоит не дорого, у него полноценный гигабитный интерфейс, можно загрузить по сети или флешки или с usb накопителя, всегда готов к боевым задачам. Дополнительно можно навешать еще задач PXE/FTP/WEB/NFS/SMB ...
Hap lite ведёт себя интересно с routeros 7? Если можно назвать интересным тормоза, зависания, ребуты, прыгающее потребление процессора до 100%, то да hap lite ведёт себя интересно))
Настроена распределения сеть из 5-6 сегментов, связанная между собой openvpn. Решил накатить 7. Впн лёг, беглый поиск ничего не дал, вернул 6, тот же конфиг снова ожил. Сейчас предстоит на паре узлов ставить ах2, на котором вроде не бывает 6. Как буду бороться с впн, пока не представляю
ТС ТПУ занимается поиском сигнатур, нашла сигнутуру туннеля - и хлопнула пакет. VPN нужно делать в виде http - и гонять поверх него текст и картинки, внутри которых прятать инфу (сообщения)
Как сейчас обстоят дела с wg в России, он официально заблочен? Пытался поднять туннель микротик-андроид, как то плохо работает, с настройками вроде все верно.
Тема не раскрыта. Как подключить к одному маршрутизатору по WG несколько устройств, если интерфейс один? Пир тоже один, соответственно. Так как к одному интерфейсу не дает привязать несколько пиров. А вы в настройках указываете маску 32. Остальные IP клиентов добавлять тоже в тот пир отдельной записью? Или одной записью с другой маской?
Кстати, а можно стрим про WG поподробнее, и с другой стороны?)) Если правильно понял, у этого протокола проблемы с некоторыми типами NAT, хотя заявлено, что этот протокол пробивает любые наты. Приходится костыльничать со stun. У меня на предприятии, к примеру, доступ в инет через халявный вайфай, сетка там замороченная, и микротик через CPE к интернету подрублен. Так вот Wireguard туннель не создается никаким раком между микротом в этой сетке и микротом дома, а там белый IP. С телефоном, где интернет через симку, тем временем домашний микрот дружит, а на симке все-таки NAT. Как дружил он и с микротом CHR в амазоновском облаке. Там тоже был белый IP. В общем, на работе пытаюсь пока что выяснить конфигурацию NAT на халявном вайфае при помощи STUN, но с ним я пока еще не научился дружить)
OpenVPN. L2TP+ IPSec как хрустальный причиндал. Да и его привязка к стандартным портам мне не нравится. OpenVPN в продакшене крутится уже лет 8, сеть на tap(L2) и всё, вообще всё работает и без каких либо проблем. В период зверствования ковида у меня на одну точку приходило 200 клиентов по RDP. И это на 100Мбит канала. Ни одной жалобы я не услышал от сотрудников.
@@MikrotikTraining Честно признаться я пробовал tun, но он мне показался медленнее. Да и зажимать себя в L3 мне почему то тогда не захотелось. Ну мало ли какой трафик вдруг придётся там гонять. Для основного канала поднял tap. Правда потом я столкнулся с проблемой мобильных устройств, что совсем не хотели tap. Пришлось поднять ещё 2 экземпляра уже с tun под android и ios соответственно и всё взлетело. А вот способность OpenVPN поддерживать канал удивила. Когда канал сыпется, в логах апокалипсис, но в тоннеле лишь лёгкое недопонимание при вполне стабильной работе. Я полагаю количество строк кода там не просто так писано и мне кажется со временем wireguard так же ими обрастёт.
Есть ли возможность развернуть WireGuard через проброс портов? То есть публичный адрес висит на фаерволе, а он уже прокидывает определенный порт к микротику? Версия RouterOS 7.14. Заранее спасибо.
With all respect OpenVPN is old but reliable secure protocol proven for more than decade of use. WireGuard don't have such extensive "resume" yet. IMHO.
If openvpn was so great and reliable no one would even bother to write Wireguard. You obviously never dealt with multi site openvpn configs and its troubleshooting.
Изо всего что пролезает через DPI, это только SSTP. Работаем с другой страной, где запрещены VPN. Какие только пляски с бубном не устраивали, ни чего кроме sstp не заработало.
так и не понял, можно-ли сделать реальный тоннель между двумя серыми адресами, как на примере здесь? И как быть, если с одной стороны инет от мобильного оператора, через модем?
Может кто подсказать, как завернуть весь трафик на микротике-клиенте через впн wireguard? Имеется сервер на Ubuntu в качестве wireguard-сервера, mikrotik wireguard клиент соответственно. Но как мне сделать так, чтобы весь трафик с локальных устройств маскировался под WG?
@@MikrotikTraining тогда какие посоветуете недорогие модели микротика, способные справляться с передачей по wireguard 10-20 мбит/с? Или там нагрузка на процессор позволяет взять любое изделие серий 951-952?
@@MikrotikTraining , интересная тема SD WAN, но мой тест не удался в гостевой сети WiFi с изолированными пользователями. На сайте ZeroTier это тоже описано. Из многих ваших видео исходит, что вы ARM не уважаете. До сих пор железки глючат?
Подскажите, как сделать возможной связь клиентов между собой? У меня есть несколько клиентов, они имеют связь с сервером и наоборот. Как сделать так, чтобы клиенты пинговались между собой?
Дизлайк. Нельзя скакать с пятого на десятое, когда объясняете кому-то что-то для него новое. Это вы можете каждые 10 секунд менять тему и потом возвращаться. Потому что возвращаетесь к известному. А я через 5 минут совершенно запутался. Знать и объяснять - разные навыки. Хотите кого-то чему-то научить, читайте психологию восприятия.
Хороший подход, Роман, правильный: если вы четко не осознаете необходимость зачем вам надо обновление на 7, не обновляйтесь. Но вот лично меня заставили обновляться. Попытался сообщить о баге в версии винбокса 3.36. Поддержка со мной просто отказалась продолжать разговор (переписку по мылу), пока я не выполнил их "рекомендацию" (а фактически получается требование) обновиться. Как только обновился и прислал им supout, вопрос моментально сдвинулся с места, баг тут же признали, пообещали исправить. Разумеется после окончания общения, откатился обратно на 6 лонгтерм.
Это полнейшее свинство, если 6 версия все еще поддерживается.
Какой номер кейса?
@@BalynOmavel Уже исправили в вышедшей 3.37. А баг заключался в невозможности внести изменения в настройки на закладках Advanced и TX Power у WiFi интерфейса.
PS. Переписку не сохранил.
отдельное спасибо за таймкоды!!
Еще обратная, связь:
Часто в Ваших роликах не понятно что делается, почему те или иные параметры ставятся в настройки. Нехватает общей схемы.
Если ролики создаются с целью - напомнить что-то тем, кто и так знает, то тогда о каком обучении идет речь - так и назовите канал "Микротик для тех, кто знает".
Также любите сыпать аббревиатурами, не объясняя что это и зачем.
Тема микротика мне очень интересна, но случается так, что подчерпнув что-то на вашем канале приходится учиться на других каналах.
Например в этом ролике: я так и не понял как соотносятся адреса сетей и allowed address.
Выслушивать "я тут подумал и придумал такие циферки" - как-то... ну Вы поняли (наверное).
По iperf, очень рекомендую, выделить микро ПК Raspberry pi версии 4 в качестве выделенного сервера iperf, достаточно минимально ОС, только CLI, стоит не дорого, у него полноценный гигабитный интерфейс, можно загрузить по сети или флешки или с usb накопителя, всегда готов к боевым задачам. Дополнительно можно навешать еще задач PXE/FTP/WEB/NFS/SMB ...
Hap lite ведёт себя интересно с routeros 7?
Если можно назвать интересным тормоза, зависания, ребуты, прыгающее потребление процессора до 100%, то да hap lite ведёт себя интересно))
у WG есть возможность блокировки протокола по первым байтам. по читайте про блокировку в Египте
Настроена распределения сеть из 5-6 сегментов, связанная между собой openvpn. Решил накатить 7. Впн лёг, беглый поиск ничего не дал, вернул 6, тот же конфиг снова ожил. Сейчас предстоит на паре узлов ставить ах2, на котором вроде не бывает 6. Как буду бороться с впн, пока не представляю
продолжение
Более получаса мы записываем разные цифирки в разные поля и только потом узнаем, что мы пытаемся соединить два микротика каналом связи...
Котэ шикарен!!!
ТС ТПУ занимается поиском сигнатур, нашла сигнутуру туннеля - и хлопнула пакет.
VPN нужно делать в виде http - и гонять поверх него текст и картинки, внутри которых прятать инфу (сообщения)
Как сейчас обстоят дела с wg в России, он официально заблочен? Пытался поднять туннель микротик-андроид, как то плохо работает, с настройками вроде все верно.
Тема не раскрыта. Как подключить к одному маршрутизатору по WG несколько устройств, если интерфейс один? Пир тоже один, соответственно. Так как к одному интерфейсу не дает привязать несколько пиров. А вы в настройках указываете маску 32. Остальные IP клиентов добавлять тоже в тот пир отдельной записью? Или одной записью с другой маской?
/32 к одному peer именно таким образом wireguard процесс разбирает какому peer отдавать трафик. Повторите то что я делаю)
@@MikrotikTraining спасибо! Да, все получилось!
Кстати, а можно стрим про WG поподробнее, и с другой стороны?)) Если правильно понял, у этого протокола проблемы с некоторыми типами NAT, хотя заявлено, что этот протокол пробивает любые наты. Приходится костыльничать со stun. У меня на предприятии, к примеру, доступ в инет через халявный вайфай, сетка там замороченная, и микротик через CPE к интернету подрублен. Так вот Wireguard туннель не создается никаким раком между микротом в этой сетке и микротом дома, а там белый IP. С телефоном, где интернет через симку, тем временем домашний микрот дружит, а на симке все-таки NAT. Как дружил он и с микротом CHR в амазоновском облаке. Там тоже был белый IP.
В общем, на работе пытаюсь пока что выяснить конфигурацию NAT на халявном вайфае при помощи STUN, но с ним я пока еще не научился дружить)
Что-то непойму.
Это перезалив?
OpenVPN. L2TP+ IPSec как хрустальный причиндал. Да и его привязка к стандартным портам мне не нравится. OpenVPN в продакшене крутится уже лет 8, сеть на tap(L2) и всё, вообще всё работает и без каких либо проблем. В период зверствования ковида у меня на одну точку приходило 200 клиентов по RDP. И это на 100Мбит канала. Ни одной жалобы я не услышал от сотрудников.
Супер. У нас похожая история - только драйвер tun.
@@MikrotikTraining Честно признаться я пробовал tun, но он мне показался медленнее. Да и зажимать себя в L3 мне почему то тогда не захотелось. Ну мало ли какой трафик вдруг придётся там гонять. Для основного канала поднял tap. Правда потом я столкнулся с проблемой мобильных устройств, что совсем не хотели tap. Пришлось поднять ещё 2 экземпляра уже с tun под android и ios соответственно и всё взлетело. А вот способность OpenVPN поддерживать канал удивила. Когда канал сыпется, в логах апокалипсис, но в тоннеле лишь лёгкое недопонимание при вполне стабильной работе. Я полагаю количество строк кода там не просто так писано и мне кажется со временем wireguard так же ими обрастёт.
Смотря для чего.
Например для доступа чаще всего ovpn tcp. Ибо стабильный и безотказный..
Wg еще более безотказный из-за своей простоты. По мне именно Wg лучше всего заменяет в некоторых кейсах именно OpenVPN.
Есть ли возможность развернуть WireGuard через проброс портов? То есть публичный адрес висит на фаерволе, а он уже прокидывает определенный порт к микротику? Версия RouterOS 7.14. Заранее спасибо.
With all respect OpenVPN is old but reliable secure protocol proven for more than decade of use. WireGuard don't have such extensive "resume" yet. IMHO.
If openvpn was so great and reliable no one would even bother to write Wireguard. You obviously never dealt with multi site openvpn configs and its troubleshooting.
С месяц назад же публиковали, что с оригиналом стало?
То был лайв, а сейчас я так понимаю сделали таймлайн и... и все ) ВИдео с камеры как было мутью, так и осталось, голос тоже не слышно чтобы поправили.
@@vasyna007 спорить не буду. хотя у меня звук вроде норм, что тут что в оригинале
Роман, какой можно поиметь прикол с хап лайтом на 7 прошивке ?
Изо всего что пролезает через DPI, это только SSTP. Работаем с другой страной, где запрещены VPN. Какие только пляски с бубном не устраивали, ни чего кроме sstp не заработало.
так и не понял, можно-ли сделать реальный тоннель между двумя серыми адресами, как на примере здесь? И как быть, если с одной стороны инет от мобильного оператора, через модем?
паблик IP нужен хотябы с одной стороны. купите у провайдера паблик IP.
tailscale использует wireguard как транспорт...... ждем пока его реализуют в микротике как и zerotier.. zerotier фантастиески удобен....
Может кто подсказать, как завернуть весь трафик на микротике-клиенте через впн wireguard?
Имеется сервер на Ubuntu в качестве wireguard-сервера, mikrotik wireguard клиент соответственно. Но как мне сделать так, чтобы весь трафик с локальных устройств маскировался под WG?
@al спасибо за ответ. По итогу, да, нашел решение вопроса месяца 4 назад. Все как Вы сказали сделал
Эпучий ютуп все затер...
Как узнать, что там за алгоритм шифрования?
Хочу подобрать железки с аппаратным ускорением шифрования, но там по алгоритмам надо подбирать
Wireguard не поддерживает аппаратное шифрование. Алгоритмы можете посмотреть на сайте разработчика.
@@MikrotikTraining тогда какие посоветуете недорогие модели микротика, способные справляться с передачей по wireguard 10-20 мбит/с?
Или там нагрузка на процессор позволяет взять любое изделие серий 951-952?
A о Zerotier еще ничего не было слышно на момент трансляции?
Мне кажется нет. Да и в целом я его не воспринимаю серьезно. Работа только на arm, высокие задержки.
@@MikrotikTraining , интересная тема SD WAN, но мой тест не удался в гостевой сети WiFi с изолированными пользователями. На сайте ZeroTier это тоже описано. Из многих ваших видео исходит, что вы ARM не уважаете. До сих пор железки глючат?
Подскажите, как сделать возможной связь клиентов между собой?
У меня есть несколько клиентов, они имеют связь с сервером и наоборот. Как сделать так, чтобы клиенты пинговались между собой?
С такой-то матерью и с бубном. Должно сработать)))
КОТ!!!
Перезалив?
Он самый
это что перезалив ?
Сложно
Запись?
Да. Стрим я смотрел
Tor можно прикрутить?
Нет)
@@MikrotikTraining вот по этой причине я и прошил миркотик openwrt
Дизлайк. Нельзя скакать с пятого на десятое, когда объясняете кому-то что-то для него новое. Это вы можете каждые 10 секунд менять тему и потом возвращаться. Потому что возвращаетесь к известному. А я через 5 минут совершенно запутался. Знать и объяснять - разные навыки. Хотите кого-то чему-то научить, читайте психологию восприятия.
Читай текстовый вариант
МикроКотик и WireGuard
сети из говна и палок ))
так убийца или нет ? Ответьте в комментах да or нет