Хороший подход, Роман, правильный: если вы четко не осознаете необходимость зачем вам надо обновление на 7, не обновляйтесь. Но вот лично меня заставили обновляться. Попытался сообщить о баге в версии винбокса 3.36. Поддержка со мной просто отказалась продолжать разговор (переписку по мылу), пока я не выполнил их "рекомендацию" (а фактически получается требование) обновиться. Как только обновился и прислал им supout, вопрос моментально сдвинулся с места, баг тут же признали, пообещали исправить. Разумеется после окончания общения, откатился обратно на 6 лонгтерм.
@@BalynOmavel Уже исправили в вышедшей 3.37. А баг заключался в невозможности внести изменения в настройки на закладках Advanced и TX Power у WiFi интерфейса. PS. Переписку не сохранил.
Изо всего что пролезает через DPI, это только SSTP. Работаем с другой страной, где запрещены VPN. Какие только пляски с бубном не устраивали, ни чего кроме sstp не заработало.
По iperf, очень рекомендую, выделить микро ПК Raspberry pi версии 4 в качестве выделенного сервера iperf, достаточно минимально ОС, только CLI, стоит не дорого, у него полноценный гигабитный интерфейс, можно загрузить по сети или флешки или с usb накопителя, всегда готов к боевым задачам. Дополнительно можно навешать еще задач PXE/FTP/WEB/NFS/SMB ...
Еще обратная, связь: Часто в Ваших роликах не понятно что делается, почему те или иные параметры ставятся в настройки. Нехватает общей схемы. Если ролики создаются с целью - напомнить что-то тем, кто и так знает, то тогда о каком обучении идет речь - так и назовите канал "Микротик для тех, кто знает". Также любите сыпать аббревиатурами, не объясняя что это и зачем. Тема микротика мне очень интересна, но случается так, что подчерпнув что-то на вашем канале приходится учиться на других каналах. Например в этом ролике: я так и не понял как соотносятся адреса сетей и allowed address. Выслушивать "я тут подумал и придумал такие циферки" - как-то... ну Вы поняли (наверное).
ТС ТПУ занимается поиском сигнатур, нашла сигнутуру туннеля - и хлопнула пакет. VPN нужно делать в виде http - и гонять поверх него текст и картинки, внутри которых прятать инфу (сообщения)
Тема не раскрыта. Как подключить к одному маршрутизатору по WG несколько устройств, если интерфейс один? Пир тоже один, соответственно. Так как к одному интерфейсу не дает привязать несколько пиров. А вы в настройках указываете маску 32. Остальные IP клиентов добавлять тоже в тот пир отдельной записью? Или одной записью с другой маской?
так и не понял, можно-ли сделать реальный тоннель между двумя серыми адресами, как на примере здесь? И как быть, если с одной стороны инет от мобильного оператора, через модем?
Hap lite ведёт себя интересно с routeros 7? Если можно назвать интересным тормоза, зависания, ребуты, прыгающее потребление процессора до 100%, то да hap lite ведёт себя интересно))
With all respect OpenVPN is old but reliable secure protocol proven for more than decade of use. WireGuard don't have such extensive "resume" yet. IMHO.
If openvpn was so great and reliable no one would even bother to write Wireguard. You obviously never dealt with multi site openvpn configs and its troubleshooting.
@@MikrotikTraining тогда какие посоветуете недорогие модели микротика, способные справляться с передачей по wireguard 10-20 мбит/с? Или там нагрузка на процессор позволяет взять любое изделие серий 951-952?
Как сейчас обстоят дела с wg в России, он официально заблочен? Пытался поднять туннель микротик-андроид, как то плохо работает, с настройками вроде все верно.
Настроена распределения сеть из 5-6 сегментов, связанная между собой openvpn. Решил накатить 7. Впн лёг, беглый поиск ничего не дал, вернул 6, тот же конфиг снова ожил. Сейчас предстоит на паре узлов ставить ах2, на котором вроде не бывает 6. Как буду бороться с впн, пока не представляю
@@Balamutick да, в тот момент была легкая паника и некогда было разбираться, место удаленное и ответственное, не до экспериментов, просто откатил на 6 и пока оставил так. Потом когда ставил ах2, с нуля на них все вручную развернул, всё работает. Просто на 7 очень много отличий в синтаксисе конфига. Это вам не циска, где при внедрении новых фич, старые еще лет по 20 работают.
Кстати, а можно стрим про WG поподробнее, и с другой стороны?)) Если правильно понял, у этого протокола проблемы с некоторыми типами NAT, хотя заявлено, что этот протокол пробивает любые наты. Приходится костыльничать со stun. У меня на предприятии, к примеру, доступ в инет через халявный вайфай, сетка там замороченная, и микротик через CPE к интернету подрублен. Так вот Wireguard туннель не создается никаким раком между микротом в этой сетке и микротом дома, а там белый IP. С телефоном, где интернет через симку, тем временем домашний микрот дружит, а на симке все-таки NAT. Как дружил он и с микротом CHR в амазоновском облаке. Там тоже был белый IP. В общем, на работе пытаюсь пока что выяснить конфигурацию NAT на халявном вайфае при помощи STUN, но с ним я пока еще не научился дружить)
@@MikrotikTraining , интересная тема SD WAN, но мой тест не удался в гостевой сети WiFi с изолированными пользователями. На сайте ZeroTier это тоже описано. Из многих ваших видео исходит, что вы ARM не уважаете. До сих пор железки глючат?
OpenVPN. L2TP+ IPSec как хрустальный причиндал. Да и его привязка к стандартным портам мне не нравится. OpenVPN в продакшене крутится уже лет 8, сеть на tap(L2) и всё, вообще всё работает и без каких либо проблем. В период зверствования ковида у меня на одну точку приходило 200 клиентов по RDP. И это на 100Мбит канала. Ни одной жалобы я не услышал от сотрудников.
@@MikrotikTraining Честно признаться я пробовал tun, но он мне показался медленнее. Да и зажимать себя в L3 мне почему то тогда не захотелось. Ну мало ли какой трафик вдруг придётся там гонять. Для основного канала поднял tap. Правда потом я столкнулся с проблемой мобильных устройств, что совсем не хотели tap. Пришлось поднять ещё 2 экземпляра уже с tun под android и ios соответственно и всё взлетело. А вот способность OpenVPN поддерживать канал удивила. Когда канал сыпется, в логах апокалипсис, но в тоннеле лишь лёгкое недопонимание при вполне стабильной работе. Я полагаю количество строк кода там не просто так писано и мне кажется со временем wireguard так же ими обрастёт.
Может кто подсказать, как завернуть весь трафик на микротике-клиенте через впн wireguard? Имеется сервер на Ubuntu в качестве wireguard-сервера, mikrotik wireguard клиент соответственно. Но как мне сделать так, чтобы весь трафик с локальных устройств маскировался под WG?
Подскажите, как сделать возможной связь клиентов между собой? У меня есть несколько клиентов, они имеют связь с сервером и наоборот. Как сделать так, чтобы клиенты пинговались между собой?
Дизлайк. Нельзя скакать с пятого на десятое, когда объясняете кому-то что-то для него новое. Это вы можете каждые 10 секунд менять тему и потом возвращаться. Потому что возвращаетесь к известному. А я через 5 минут совершенно запутался. Знать и объяснять - разные навыки. Хотите кого-то чему-то научить, читайте психологию восприятия.
Хороший подход, Роман, правильный: если вы четко не осознаете необходимость зачем вам надо обновление на 7, не обновляйтесь. Но вот лично меня заставили обновляться. Попытался сообщить о баге в версии винбокса 3.36. Поддержка со мной просто отказалась продолжать разговор (переписку по мылу), пока я не выполнил их "рекомендацию" (а фактически получается требование) обновиться. Как только обновился и прислал им supout, вопрос моментально сдвинулся с места, баг тут же признали, пообещали исправить. Разумеется после окончания общения, откатился обратно на 6 лонгтерм.
Это полнейшее свинство, если 6 версия все еще поддерживается.
Какой номер кейса?
@@BalynOmavel Уже исправили в вышедшей 3.37. А баг заключался в невозможности внести изменения в настройки на закладках Advanced и TX Power у WiFi интерфейса.
PS. Переписку не сохранил.
отдельное спасибо за таймкоды!!
продолжение
Более получаса мы записываем разные цифирки в разные поля и только потом узнаем, что мы пытаемся соединить два микротика каналом связи...
Изо всего что пролезает через DPI, это только SSTP. Работаем с другой страной, где запрещены VPN. Какие только пляски с бубном не устраивали, ни чего кроме sstp не заработало.
По iperf, очень рекомендую, выделить микро ПК Raspberry pi версии 4 в качестве выделенного сервера iperf, достаточно минимально ОС, только CLI, стоит не дорого, у него полноценный гигабитный интерфейс, можно загрузить по сети или флешки или с usb накопителя, всегда готов к боевым задачам. Дополнительно можно навешать еще задач PXE/FTP/WEB/NFS/SMB ...
Котэ шикарен!!!
Еще обратная, связь:
Часто в Ваших роликах не понятно что делается, почему те или иные параметры ставятся в настройки. Нехватает общей схемы.
Если ролики создаются с целью - напомнить что-то тем, кто и так знает, то тогда о каком обучении идет речь - так и назовите канал "Микротик для тех, кто знает".
Также любите сыпать аббревиатурами, не объясняя что это и зачем.
Тема микротика мне очень интересна, но случается так, что подчерпнув что-то на вашем канале приходится учиться на других каналах.
Например в этом ролике: я так и не понял как соотносятся адреса сетей и allowed address.
Выслушивать "я тут подумал и придумал такие циферки" - как-то... ну Вы поняли (наверное).
ТС ТПУ занимается поиском сигнатур, нашла сигнутуру туннеля - и хлопнула пакет.
VPN нужно делать в виде http - и гонять поверх него текст и картинки, внутри которых прятать инфу (сообщения)
у WG есть возможность блокировки протокола по первым байтам. по читайте про блокировку в Египте
Тема не раскрыта. Как подключить к одному маршрутизатору по WG несколько устройств, если интерфейс один? Пир тоже один, соответственно. Так как к одному интерфейсу не дает привязать несколько пиров. А вы в настройках указываете маску 32. Остальные IP клиентов добавлять тоже в тот пир отдельной записью? Или одной записью с другой маской?
/32 к одному peer именно таким образом wireguard процесс разбирает какому peer отдавать трафик. Повторите то что я делаю)
@@MikrotikTraining спасибо! Да, все получилось!
так и не понял, можно-ли сделать реальный тоннель между двумя серыми адресами, как на примере здесь? И как быть, если с одной стороны инет от мобильного оператора, через модем?
паблик IP нужен хотябы с одной стороны. купите у провайдера паблик IP.
Hap lite ведёт себя интересно с routeros 7?
Если можно назвать интересным тормоза, зависания, ребуты, прыгающее потребление процессора до 100%, то да hap lite ведёт себя интересно))
With all respect OpenVPN is old but reliable secure protocol proven for more than decade of use. WireGuard don't have such extensive "resume" yet. IMHO.
If openvpn was so great and reliable no one would even bother to write Wireguard. You obviously never dealt with multi site openvpn configs and its troubleshooting.
Как узнать, что там за алгоритм шифрования?
Хочу подобрать железки с аппаратным ускорением шифрования, но там по алгоритмам надо подбирать
Wireguard не поддерживает аппаратное шифрование. Алгоритмы можете посмотреть на сайте разработчика.
@@MikrotikTraining тогда какие посоветуете недорогие модели микротика, способные справляться с передачей по wireguard 10-20 мбит/с?
Или там нагрузка на процессор позволяет взять любое изделие серий 951-952?
Смотря для чего.
Например для доступа чаще всего ovpn tcp. Ибо стабильный и безотказный..
Wg еще более безотказный из-за своей простоты. По мне именно Wg лучше всего заменяет в некоторых кейсах именно OpenVPN.
Как сейчас обстоят дела с wg в России, он официально заблочен? Пытался поднять туннель микротик-андроид, как то плохо работает, с настройками вроде все верно.
По России пока нормально, наружу иногда блочат
Настроена распределения сеть из 5-6 сегментов, связанная между собой openvpn. Решил накатить 7. Впн лёг, беглый поиск ничего не дал, вернул 6, тот же конфиг снова ожил. Сейчас предстоит на паре узлов ставить ах2, на котором вроде не бывает 6. Как буду бороться с впн, пока не представляю
Разобрались ? В чем дело было
@@Balamutick да, в тот момент была легкая паника и некогда было разбираться, место удаленное и ответственное, не до экспериментов, просто откатил на 6 и пока оставил так. Потом когда ставил ах2, с нуля на них все вручную развернул, всё работает. Просто на 7 очень много отличий в синтаксисе конфига. Это вам не циска, где при внедрении новых фич, старые еще лет по 20 работают.
Кстати, а можно стрим про WG поподробнее, и с другой стороны?)) Если правильно понял, у этого протокола проблемы с некоторыми типами NAT, хотя заявлено, что этот протокол пробивает любые наты. Приходится костыльничать со stun. У меня на предприятии, к примеру, доступ в инет через халявный вайфай, сетка там замороченная, и микротик через CPE к интернету подрублен. Так вот Wireguard туннель не создается никаким раком между микротом в этой сетке и микротом дома, а там белый IP. С телефоном, где интернет через симку, тем временем домашний микрот дружит, а на симке все-таки NAT. Как дружил он и с микротом CHR в амазоновском облаке. Там тоже был белый IP.
В общем, на работе пытаюсь пока что выяснить конфигурацию NAT на халявном вайфае при помощи STUN, но с ним я пока еще не научился дружить)
С месяц назад же публиковали, что с оригиналом стало?
То был лайв, а сейчас я так понимаю сделали таймлайн и... и все ) ВИдео с камеры как было мутью, так и осталось, голос тоже не слышно чтобы поправили.
@@vasyna007 спорить не буду. хотя у меня звук вроде норм, что тут что в оригинале
Что-то непойму.
Это перезалив?
A о Zerotier еще ничего не было слышно на момент трансляции?
Мне кажется нет. Да и в целом я его не воспринимаю серьезно. Работа только на arm, высокие задержки.
@@MikrotikTraining , интересная тема SD WAN, но мой тест не удался в гостевой сети WiFi с изолированными пользователями. На сайте ZeroTier это тоже описано. Из многих ваших видео исходит, что вы ARM не уважаете. До сих пор железки глючат?
OpenVPN. L2TP+ IPSec как хрустальный причиндал. Да и его привязка к стандартным портам мне не нравится. OpenVPN в продакшене крутится уже лет 8, сеть на tap(L2) и всё, вообще всё работает и без каких либо проблем. В период зверствования ковида у меня на одну точку приходило 200 клиентов по RDP. И это на 100Мбит канала. Ни одной жалобы я не услышал от сотрудников.
Супер. У нас похожая история - только драйвер tun.
@@MikrotikTraining Честно признаться я пробовал tun, но он мне показался медленнее. Да и зажимать себя в L3 мне почему то тогда не захотелось. Ну мало ли какой трафик вдруг придётся там гонять. Для основного канала поднял tap. Правда потом я столкнулся с проблемой мобильных устройств, что совсем не хотели tap. Пришлось поднять ещё 2 экземпляра уже с tun под android и ios соответственно и всё взлетело. А вот способность OpenVPN поддерживать канал удивила. Когда канал сыпется, в логах апокалипсис, но в тоннеле лишь лёгкое недопонимание при вполне стабильной работе. Я полагаю количество строк кода там не просто так писано и мне кажется со временем wireguard так же ими обрастёт.
Может кто подсказать, как завернуть весь трафик на микротике-клиенте через впн wireguard?
Имеется сервер на Ubuntu в качестве wireguard-сервера, mikrotik wireguard клиент соответственно. Но как мне сделать так, чтобы весь трафик с локальных устройств маскировался под WG?
@al спасибо за ответ. По итогу, да, нашел решение вопроса месяца 4 назад. Все как Вы сказали сделал
Эпучий ютуп все затер...
Подскажите, как сделать возможной связь клиентов между собой?
У меня есть несколько клиентов, они имеют связь с сервером и наоборот. Как сделать так, чтобы клиенты пинговались между собой?
С такой-то матерью и с бубном. Должно сработать)))
Маршрутизацией
Tor можно прикрутить?
Нет)
@@MikrotikTraining вот по этой причине я и прошил миркотик openwrt
Роман, какой можно поиметь прикол с хап лайтом на 7 прошивке ?
Перезалив?
Он самый
Запись?
Да. Стрим я смотрел
КОТ!!!
это что перезалив ?
Слишком много местоимений и мало фактов.
Вот это вот - сюда, а это не сюда, а вот сюда - из таких объяснений НИЧЕГО не понято. Что ЭТО? Куда СЮДА?
Сложно
Дизлайк. Нельзя скакать с пятого на десятое, когда объясняете кому-то что-то для него новое. Это вы можете каждые 10 секунд менять тему и потом возвращаться. Потому что возвращаетесь к известному. А я через 5 минут совершенно запутался. Знать и объяснять - разные навыки. Хотите кого-то чему-то научить, читайте психологию восприятия.
Читай текстовый вариант
Он там ориентируется на IP заголовки, может, я, конечно, не прав.
Болтун.
Много лишней пустой болтовни.
МикроКотик и WireGuard
Для зрителей 2024 протокол «Вайлдгард» заблокирован на территории РФ, ищите более новые протоколы.😢
Не у всех пока.
@Listener-l2y все зависит от версии ТСПУ у провайдеров. Но они активно обновляют парк оборудования (((
сети из говна и палок ))