wuhoatu
Senior Member
Passthrough các port ra, để lại 1 port bridge nếu bác muốn chạy thứ khác như Xpenology trên PVE
thảo luận Cộng đồng người dùng MikroTik Router
- Thread starter tuanreb
- Start date
badboy9x30
Junior Member
Port này chừa ra không passthrough xong rồi add vào linux brigde à bác.
wuhoatu
Senior Member
Vâng, card nào ko passthrough thì bác add Network device bình thường, các port khác passthrough thì add PCI device. VD mình đang chạy Mik trên PVE, PC có 1 cổng Intel i217 add PCI device vào VM Mik để quay PPPoE, còn 2 card Reltek Mik chạy ko ổn định thì vẫn add linux bridge như bình thường.
Last edited:
rockdien
Senior Member
Thanks bác, để tối về em thử lại
SoulEvilX
Senior Member
Mình đang chuẩn bị upgrade con 5009 lên con 2004 CCR2004-16G-2S+ | MikroTik (https://mikrotik.com/product/ccr2004_16g_2splus)
Không biết con này ổn không.
Xem qua con này Storage chỉ có 128MB trong khi con 5009 có 1GB lận.
Xài Container mà 128MB ít quá
Không biết con này ổn không.
Xem qua con này Storage chỉ có 128MB trong khi con 5009 có 1GB lận.
Xài Container mà 128MB ít quá
linkinpark0403
Junior Member
Con Hap Ax3 giá giờ nhiêu vậy mấy bác,e còn con Hap Ac2 đang định đổi gió lên Ax3
Doraemon309
Senior Member
vụ sfp em tìm ra giải pháp rồi ạ!* Vì không rõ bác nói rõ là cast đường nào, nên em cứ coi là không phải kiểu điện thoại và thiết bị smart TV cùng đang login vào một tài khoản YouTube, và dùng điện thoại điều khiển qua tài khoản nhé. Vì nếu vậy thì bác login tài khoản YouTube khác trên TV đi đã.
* Với cũng không phải là dùng wireless display qua Wi-Fi Direct. Nếu là cái này thì bác tắt hỗ trợ Wi-Fi Direct trên TV đi ạ. Nếu buộc cần dùng Wi-Fi Direct với các thiết bị khác thì bác chuyển tới phần block toàn bộ YouTube trên điện thoại bên dưới.
* Tóm lại là bác dùng biện pháp cast mà yêu cầu các thiết bị và TV nằm cùng trong LAN, kiểu Google Cast/AirPlay/Content Cast, và bác không muốn tắt toàn bộ tính năng cast này trên thiết lập của TV (vì có thiết bị cần dùng nó), hoặc do TV không cho tắt (thí dụ TV của em nó chỉ cho tắt AirPlay, không tắt được Google Cast). Còn nếu TV cho tắt và bác không cần dùng tính năng này trên thiết bị nào thì tắt luôn trên TV cho nhanh và gọn nhẹ -> done.
Hiệu quả nhất là bác tách được các thiết bị muốn chặn khỏi smart TV (và các thiết bị được quyền truy cập vào TV).
- Biện pháp đơn giản có thể thử là xem cái đống access point của bác nó có cho thiết lập guest SSID/Network không. Nếu có thì bật lên cho các thiết bị cần chặn vào đó. Các access point ở chế độ này thường sẽ chặn broadcast cũng như các packet có địa chỉ đích trong subnet của mạng LAN mà không phải địa chỉ của router -> done.
- Nếu AP không có cấu hình guest, nhưng lại cho phép tạo nhiều SSID ứng với các VLAN khác nhau, thường là với các dòng access point dính đến business kiểu Aruba, UniFi, TP-Link EAP, v.v... thì bác thiết lập VLAN riêng biệt trên router MikroTik, thêm rule firewall chặn từ VLAN này sang LAN chính, thiết lập SSID sử dụng VLAN này trên AP, cho thiết bị cần chặn vào -> done.
- Nếu AP không có mạng Guest lẫn hỗ trợ VLAN, mà bác có dư vài trăm K và vị trị router/đường dây thuận tiện, thì bác có thể xét phương án mua thêm 1 AP rẻ tiền về, cắm vào 1 cổng của router đã thiết lập là access port của 1 VLAN riêng (được chặn bằng firewall như ở trên). AP rẻ tiền này sẽ phát sóng cho cái VLAN guest mà bác tạo kia, và bác cho các thiết bị cần chặn dùng nó.
* Nếu tất cả các biện pháp trên đều không khả thi với bác, tức là bác không thể ngăn các thiết bị cần chặn nằm trong cùng mạng LAN với TV và nói chuyện trực tiếp được với TV, thì đành phải dùng giải pháp chắp vá là block hẳn YouTube trên các thiết bị này. Nói chung giải pháp này sẽ không đảm bảo hoạt động 100% vì nhiều lý do. Trên router bác sẽ chọn, hoặc là có danh sách các thiết bị được vào YouTube (bác cho vào address list YTDevices chẳng hạn), hoặc là có danh sách các thiết bị không được vào YouTube (bác cho vào list NoYTDevices như thí dụ bác post ở trên). Rồi sau đó tùy bác chọn whitelist hay blacklist mà trong các rules sẽ sử dụng src-address-list=xxx hay src-address-list=!xxx nhé.
Về vấn đền nhận dạng kết nối đến các site nhất định để block hay chuyển hướng chúng sang đường WAN khác em cũng có đề cập đến mấy ngày trước:
thảo luận - Cộng đồng người dùng MikroTik Router
CGGX_ANNX Bác cho em hỏi có cách nào để setup khi mình truy cập vào web nào thì sẽ đi theo đường wan hay vpn không bác. Như kiểu vô facebook.com thì nó tự động chuyển sang đi qua line wireguard á bác Cái vấn đề này thực ra trong topic này các bác đã post nhiều lần rồi, hình như trong trang đầu...voz.vn
Ở đó em có nói lý do vì sao nó không hiệu quả 100% (do DoH, DoT, ECH, HTTP/3, YouTube có sử dụng HTTP/3 ạ). Bài đó nói về việc đưa kết nối qua đường VPN nhưng bản chất vẫn vậy thôi ạ, khi có cái address list chứa các servers của YouTube thì bác drop forward với điều kiện dst-address-list=YT src-address-list=NoYTDevices (hoặc src-address-list=!YTDevices nếu là whitelist).
Ứng với các mục ở post đó thì giải pháp của bác @wuhoatu ở post thảo luận - Cộng đồng người dùng MikroTik Router (https://voz.vn/t/cong-dong-nguoi-dung-mikrotik-router.50804/post-31126653) là sử dụng danh sách các dải địa chỉ biết trước của YouTube cũng như thêm một số rule để lọc bằng cách đọc SNI lúc bắt đầu kết nối TLS. Ở post trước em có đề cập nếu áp dụng bác phải chú ý cập nhật danh sách dải IP thường xuyên cho nó up to date. Với vì YouTube giờ dùng HTTP/3 nên các lọc theo tls-host=xxx sẽ mất tác dụng nếu client sử dụng HTTP/3. Nếu danh sách địa chỉ IP cập nhật kịp thời và chính xác thì cách này sẽ hoạt động cả khi client sử dụng DNS qua DoH và DoT. Nếu có dùng IPv6 thì bác phải kiếm thêm danh sách server IPv6 hoặc tắt IPv6 nữa mới block được hết.
Giải pháp ở cái hình bác post ở trên là theo dõi các kết nối UDP và TCP tới cổng 53 (tức là theo dõi các kết nối query DNS không mã hóa, không DoT hay DoH) rồi nếu các query chứa các cụm từ như ở dòng thứ 2 thì chặn luôn. Nói cách khác là giải pháp đó block trả lời khi các thiết bị thuộc danh sách NoTYDevices thử tìm địa chỉ cho các tên miền chứa các cụm từ kia, như vậy nó cũng sẽ chỉ hoạt động nếu thiết bị client không sử dụng DoH và DoT bác nhé. Ngoài ra cái rule filter Layer 7 nó đọc đến 10 packets/2KB để xem có cụm từ nào trong các cụm liệt xuất hiện không, nên chưa hẳn đã đúng chính xác là cái domain cần chặn nhé bác. Thí dụ domain howtoblockyoutube.net cũng sẽ bị dính. Scan Layer 7 cũng khá ngốn CPU, tuy nhiên ở đây thì đã giới hạn cổng đích TCP/UDP 53 và src-address-list nên không bị ảnh hưởng đến tốc độ.
Nếu bác muốn chặn dynamic theo domain chính xác thì em vẫn thiên về việc add các domain vào list DNS static với FWD như ở post trước em viết hơn. Và thêm 2 rule srcnat action=redirect để ép các thiết bị sử dụng router làm DNS server. Tất nhiên cái này bó tay với DoH và DoT.
ohyourgod
Senior Member
nếu LAN 1Gbe thì tạo mỗi port một bridge trống, add vào VM, khi đó vào Mikrotik nó hiện đủ số port, cấu hình hết tại mikrotik cho gọn. Nếu gộp tất cả port vào 1 linux bridge thì trong mikrotik chỉ hiện 1 port thôi, untag vào đó = untag vào toàn bộ port đã gộp...
Nếu LAN 2.5 Gbe thì passthrough, nhưng khi passthrough thì cổng đó sẽ bị VM chiếm mất, máy thật sẽ không thể sử dụng nữa.
Tại node Virtual machine Mikrotik add lần lượt các bridge trên
kết quả tại mikrotik winbox:
Last edited:
jeremienguyen
Senior Member
TR-069 có sửa thì OMCI vẫn đổ được cấu hình bạn nhé, trừ khi bạn dùng cái ONT/converter khác ko chịu sự quản lí OLT (tụi nhà mạng hay dùng là Nokia, Huawei, ZTE, Alcatel-Lucent..) của hãng 3rd như Tp-Link... thì khác cấu hình mới ko đổ được thôi
wuhoatu
Senior Member
em nó 4 port 2.5 mà bác.
ohyourgod
Senior Member
xem thực tế sử dụng như thế nào chứ. port 2.5 nhưng toàn bộ thiết bị trong nhà max 1000 thì passthrough hay bridge hiệu năng cũng không khác biệt. Trong khi passthrough phải chỉnh bios và port đó bị VM chiếm dụng.
Với mình thì nếu phải bật passthrough thì thà cài mikrotik lên máy thật luôn cho ổn định, cài lên proxmox chủ yếu để tận dụng con PC vừa làm router, vừa làm torrent, samba file sharing, web, game server...
wuhoatu
Senior Member
ah, cài máy ảo đỡ phải mua SSD clone vs tận dụng cài thêm cái khác. Như mình cài trên con core i5-4570 4GB Ram nên tận dụng passthgouh 1 port để quay PPPoE, passthrough HDD để cài Xpenology.
CGGX_ANNX
Senior Member
Ôi tuyệt quá
! Nếu không có gì bí mật riêng tư thì bác chia xẻ với các anh chị em nguyên nhân và cách giải quyết được không ạ? Để em với mọi người thêm kinh nghiệm ạ.
CGGX_ANNX
Senior Member
Mình đang chuẩn bị upgrade con 5009 lên con 2004 CCR2004-16G-2S+ | MikroTik (https://mikrotik.com/product/ccr2004_16g_2splus)
Không biết con này ổn không.
Xem qua con này Storage chỉ có 128MB trong khi con 5009 có 1GB lận.
Xài Container mà 128MB ít quá
Dòng này trước năm ngoái còn có cổng USB bác ạ, khi đó storage 128MB không là vấn đề vì bác gắn thêm USB storage được. Nhưng từ đầu năm ngoái các chú MikroTik bảo vì lý do thiếu supply nên cắt mất cổng USB từ revision 2 trở đi rồi. Mà nhà bác nhiều thiết bị server chạy 24/24 như thế thì dùng container trên router làm cái gì ạ. Để router nó làm nhiệm vụ của router thôi ạ.
Ngoài ra bác có con switch Cambium rồi thì không nên mua bản này của con CCR2004 vì 16 cổng GbE này thừa bác chẳng dùng làm gì. Bác tìm mua bản có 12 cổng SFP+ với 2 cổng SFP28 này CCR2004-1G-12S+2XS | MikroTik (https://mikrotik.com/product/ccr2004_1g_12s_2xs) hay hơn, thông số routing của nó cũng tốt hơn bản cổng ethernet kia, và cũng ngon hơn con DrayTek 3910 của bác đang dùng. Tuy nhiên thiết lập cấu hình nó không đơn giản dễ dàng như con DrayTek của bác được.
SoulEvilX
Senior Member
Con mình tính mua có USB vậy chắc là hàng tồn năm ngoái. So với hàng new năm nay có oki hơn không ta ?
Con 5009 hay con CCR2004 sắp mua mục đích… nghịch thôi
Chứ router mình chủ trương xài Draytek 3910 . At least đến khi mình nắm tốt MikroTik mới tính chuyển.CCR2004 ( banr năm ngoais ) so với 3910 ok hơn hay bằng hay kém vayj sir
badboy9x30
Junior Member
Thank bác bảo sao e đang passthrough hết vào máy ảo xong cắm dây mạng vào cổng vật lý nó cứ chập cheng
badboy9x30
Junior Member
Mua shopee đi bác có 1tr6 ốp mã nữa tầm 1tr4 1tr5 thôi. Bác ý cũng có thớt trên voz luôn đấy.
seneken
Senior Member
bác cho mình xin nick bác đó nha
CGGX_ANNX
Senior Member
Con mình tính mua có USB vậy chắc là hàng tồn năm ngoái. So với hàng new năm nay có oki hơn không ta ?
Con 5009 hay con CCR2004 sắp mua mục đích… nghịch thôi
CCR2004 ( banr năm ngoais ) so với 3910 ok hơn hay bằng hay kém vayj sir
Có USB là ngon hơn rồi bác. Các bộ phận còn lại nó y nguyên bác ạ. CCR2004 bản 16 cổng GbE về lý thuyết (so với thông số throughput DrayTek công bố) tương tự nhau bác ạ. Nhưng CCR2004 bản 16 cổng GbE thua ở chỗ không có cổng ethernet 2.5G, chỉ có toàn 1G. Thế em mới bảo nếu bác có switch mấy chục cổng kia rồi thì sắm bản 14 cổng SFP kia rồi bác thích cắm module 2.5G, 5G, 10G, 25G (cái này có 2 cổng thôi). CPU của 2 bản CCR2004 này như nhau, RAM cũng thế (có một bản CCR2004 nữa không quạt nhỏ hơn CPU chậm hơn hẳn, mã có đuôi -PC passive cooling). Bản 16G-2S+ thì có 2 switch chip quản lý 16 cổng GbE còn bản 12S+2XS thì CPU quản lý tất bác ạ. Khác biệt thông số là do cái này với do việc bản 16G giới hạn mọi đường truyền lẻ tới CPU dưới 10Gbps ạ. Ở bảng thông số công bố này thì dòng "Routing 25 ip filter rules" mới phản ánh đúng throughput tối đa khi dùng nó làm router với NAT bác nhé. Các dòng bên trên chỉ tham khảo. Với cột 512 byte ở dòng này thường sẽ sát với thực tế nhận được khi bác có cấu hình tường lửa với load balancing này nọ.
CCR2004-1G-12S+2XS | MikroTik
The Connectivity Router - your best companion when it comes to SFP, SFP+ and SFP28 management! 1, 10 and 25 Gbps ports in a single device to make your life easier.
mikrotik.com
CCR2004-16G-2S+ | MikroTik
This powerful and affordable router crushes all previous CCR models in single-core performance. 16x Gigabit Ethernet ports, 2x10G SFP+ cages, active cooling and the best single-core performance per watt & best overall performance per watt among all the CCR devices.
mikrotik.com
Similar threads
