thảo luận Cộng đồng người dùng MikroTik Router

dinh_hoai_1991 said:
con hexS của em đang cắm 1 line Viettel và 1 USB 4G. Em đang muốn 1 IP trong mạng lan kết nối internet qua con USB LTE còn các máy còn lại thì vào mạng qua line Viettel. Cấu hình hiện tại của em như này ạ. Nhờ các bác giúp ạ

/ip firewall filter
add action=accept chain=forward connection-nat-state=dstnat
/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.3.0/24 in-interface=local
add action=mark-connection chain=prerouting in-interface=pppoe-out1 new-connection-mark=Viettel passthrough=yes
add action=mark-connection chain=prerouting in-interface=lte1 new-connection-mark=LTE passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=!192.168.3.211
add action=masquerade chain=srcnat log=yes out-interface=lte1 src-address=192.168.3.211
add action=masquerade chain=srcnat comment="HAIRPIN NAT" dst-address=192.168.3.0/24 src-address=192.168.3.0/24
Click to expand...

Bảng mangle của bác hiện đang chỉ có 3 cái kia ạ? Có mark-connection mà không có thêm rules mark-routing ạ?

Thực ra nếu yêu cầu của bác chỉ có đúng như thế: mọi clients khác dùng bảng routing main chính đi qua Viettel, đúng 1 client 192.168.3.211 chẳng hạn đi qua đường LTE, thì bác chẳng cần rule mangles nào hết. Bác tạo 1 routing table mới, "lte" chẳng hạn. Add default route 0.0.0.0/0 trong bảng đó dùng kết nối LTE làm default gateway, rồi bác vào Routing - Rules, thêm 1 rules là xong

1711946683460.png


Bác có thể sửa chỗ action thành "lookup" không nếu bác muốn cho nó tự quay về dùng đường ở bảng "main" nếu đường "lte" bị down.

Bác không cần mấy cái ngoại lệ src-address ở hai cái rule masquerade bên dưới nữa.

Nếu sau này bác thêm vlan hay interface khác mà muốn địa chỉ này cũng vào được các dải địa chỉ của các interface khác kia (thí dụ 192.168.4.0/24) thì bác thêm rule vào đây để với src address 192.168.3.211/32 và Dst. Address là các dải kia thì nó look up trong bảng "main" để nó lấn áp cái rule này. Vì trong bản "lte" không có thông tin route đến các dải kia.

Còn nếu bác có dùng bảng mangle để lái routing kiểu PCC hay sửa route theo address list, thì bác thêm rule ở đó chứ không dùng cái Policy Routing Rule này nữa. Vì mangle rules có ưu tiên cao hơn policy routing rules nên để đỡ nhầm lẫn chỉ dùng 1 cái.

Policy Routing - RouterOS - MikroTik Documentation

help.mikrotik.com help.mikrotik.com

1711946853384.png


Ngoài ra thì routing rules nhanh hơn mangle rules nữa ạ.
 
Last edited:
CGGX_ANNX said:
À như vậy cái adapter nó có được nhận và hoạt động rồi. Bác add cái adapter vào cái bridge cũ ạ, bridge cũ của bác trước có 1 cổng đúng không ạ? Bác có thể paste output của cái lệnh này được không ạ?

Code: 
/interface bridge export
Click to expand...

Như mấy comment trước mình cũng có nói là đã add vào bridge rồi bác à. Nhưng các thông số trong cái ether4 này nó bị mờ mờ không thiết lập được. Hiện tại thì nó đang down nhưng mà lúc up cũng k chỉnh chọt được gì.
1711948348887.png

1711948322858.png


Đây là kq của lệnh, bác check giúp mình với
1711948213706.png
 
Koh Dong Jin said:
Như mấy comment trước mình cũng có nói là đã add vào bridge rồi bác à. Nhưng các thông số trong cái ether4 này nó bị mờ mờ không thiết lập được. Hiện tại thì nó đang down nhưng mà lúc up cũng k chỉnh chọt được gì.
View attachment 2415523
View attachment 2415522

Đây là kq của lệnh, bác check giúp mình với
View attachment 2415518
Click to expand...

Phần Status nó đang hiện auto negotiation incomplete với rate unknown. Bên tab ethernet nó có cho bác chỉnh sửa thì bác thử tắt Auto Negotiation, chọn rate 1G baseT full xem sao ạ? Nếu vẫn không được bác thử bật Auto Negotiation, nhưng ở cái list bên dưới gỡ hết mọi thứ (ấn mũi tên tam giác lên) chỉ để lại mỗi 1G baseT full xem sao ạ?

ether2 bác đang cắm vào managed switch ạ? bác thử cắm ether4 vào switch đó xem sao ạ?

Ngoài ra ở cái hình trước bác post này:

1711950595152.png


Thì có vẻ path cost mode của bác đang là short. Theo cái export trên của bác vừa paste thì nếu là bản RouterOS mới nó phải là long thì mới không hiện thêm tham số lúc export như kia. Bản RouterOS của bác nâng cấp lên bản mới nhất chưa ạ? Nếu là bản mới nhất mà export chỗ bridge và bridge port chỉ ra nội dung ngắn thế kia thì trong bảng này các path cost nó phải 20000 cho đường 1Gbps cơ ạ. 10 là giá trị default của RouterOS trước 7.13. Sau 7.13 mà nó vẫn hiện 10 trong bảng thì chỗ export nó sẽ phải có thêm tham số internal-path-cost=10. Nếu có thể bác nâng cấp lên 7.14.2 ạ.
 
CGGX_ANNX said:
Interface list bác phải cấu hình ạ. Bác tạo 1 list WAN 1 list LAN (trang kia nó cũng hướng dẫn ạ). Nên em mới bảo bác chạy cả lệnh /interface list export :p

View attachment 2415399

IPv6 nếu bác đã cấu hình đầy đủ chỗ /ipv6 address/ipv6 nd thì để chạy được với các rules filter kia cũng phải cho các bridge/vlan vào interface list LAN, nếu không nó block forwarding không ra ngoài internet được bác ạ.

Cái SFP bác muốn truy cập thì cũng phải cho nó vào list WAN (khi đó nó áp dụng rule srcnat masquerade).
Click to expand...
1. Có phải là các ether được thêm vào interface list là Lan mà bridge không được thêm vào suy ra block ạ?
P/s: Em đã thử do bị block bridge nên ipv6 không thông ạ. Done!
2. Sfp em đã cho vào interface list Wan, rule srcnat masquerade ý anh nói về mục Nat ra internet ạ? Nếu vậy em thêm vào rồi ạ mà vẫn chưa được! Không biết có phải bị firewall block không ạ? X86 không có firewall sẵn nên lúc làm theo kênh Youtube thành công và nếu em thêm firewall trước đó thì giống như bị block ạ!
3. Phần address trong mục IP "nếu phần address em đặt cùng lớp với sfp là (192.168.1.100 network em để là 192.168.1.1)"
 
Doraemon309 said:
1. Có phải là các ether được thêm vào interface list là Lan mà bridge không được thêm vào suy ra block ạ?
P/s: Em đã thử do bị block bridge nên ipv6 không thông ạ. Done!
2. Sfp em đã cho vào interface list Wan, rule srcnat masquerade ý anh nói về mục Nat ra internet ạ? Nếu vậy em thêm vào rồi ạ mà vẫn chưa được! Không biết có phải bị firewall block không ạ? X86 không có firewall sẵn nên lúc làm theo kênh Youtube thành công và nếu em thêm firewall trước đó thì giống như bị block ạ!
Click to expand...
Trong interface list LAN chỉ thêm đúng cái bridge thôi bác ạ (nếu có VLAN thì thêm các VLAN rồi). Các interface etherX mà nằm trong bridge thì bác không thêm vào interface list LAN làm gì cả, vì bọn nó là slave interface, không có địa chỉ IP riêng.

Cái interface sfp/sfp-sfpplus thì bác cho vào list WAN nó sẽ tự động được rule này áp dụng:

1711961533155.png


vì khi bác nối vào địa chỉ sau cái interface SFP đó (con module GPON) thì out-interface=spf, khi đó nếu interface nằm trong list WAN thì nó áp dụng được luôn vì điều kiện out-interface-list=WAN của rule masquerade kia. Bác cần masquerate (NAT ý ạ) khi nối từ máy trong LAN vào cái trang điều khiển của cái SFP.

Bác dùng interface list WAN thì không phải tạo nhiều rules masquerade trong tường lửa, chỉ cần 1 cái như kia rồi cho pppoe-out1, sfp-sfpplus1, v.v... vào list là xong, không cân sửa rule tường lửa mỗi khi có interface mới.

Hai cái rules ở trang web kia trong cấu hình defconf nó gộp lại thành 1 rule tương đương

Code: 
/ip firewall nat add chain=srcnat out-interface-list=WAN \
    ipsec-policy=out,none action=masquerade comment="defconf: masquerade"

Vì càng nhiều rules càng tốn CPU xử lý nên cấu hình defconf nó gộp lại thành 1. Còn trên trang web để dạy bác rõ ràng thì người tách ra làm 2.
 
CGGX_ANNX said:
Trong interface list LAN chỉ thêm đúng cái bridge thôi bác ạ (nếu có VLAN thì thêm các VLAN rồi). Các interface etherX mà nằm trong bridge thì bác không thêm vào interface list LAN làm gì cả, vì bọn nó là slave interface, không có địa chỉ IP riêng.

Cái interface sfp/sfp-sfpplus thì bác cho vào list WAN nó sẽ tự động được rule này áp dụng:

View attachment 2415934

vì khi bác nối vào địa chỉ sau cái interface SFP đó (con module GPON) thì out-interface=spf, khi đó nếu interface nằm trong list WAN thì nó áp dụng được luôn vì điều kiện out-interface-list=WAN của rule masquerade kia. Bác cần masquerate (NAT ý ạ) khi nối từ máy trong LAN vào cái trang điều khiển của cái SFP.

Bác dùng interface list WAN thì không phải tạo nhiều rules masquerade trong tường lửa, chỉ cần 1 cái như kia rồi cho pppoe-out1, sfp-sfpplus1, v.v... vào list là xong, không cân sửa rule tường lửa mỗi khi có interface mới.

Hai cái rules ở trang web kia trong cấu hình defconf nó gộp lại thành 1 rule tương đương

Code: 
/ip firewall nat add chain=srcnat out-interface-list=WAN \
    ipsec-policy=out,none action=masquerade comment="defconf: masquerade"

Vì càng nhiều rules càng tốn CPU xử lý nên cấu hình defconf nó gộp lại thành 1. Còn trên trang web để dạy bác rõ ràng thì người tách ra làm 2.
Click to expand...
Sao phần log của em để ipv6 local truy cập bị block ạ! Khi em truy cập sfp ạ!
Mà em không biết tại sao không thông ạ!
 
Doraemon309 said:
3. Phần address trong mục IP "nếu phần address em đặt cùng lớp với sfp là (192.168.1.100 network em để là 192.168.1.1)"
Click to expand...

Vâng bác vào IP - Address thêm địa chỉ 192.168.1.100/24 cho cái interface sfp1 (hoặc sfp-sfpplus1) là nó sẽ tự tạo route cần thiết cho destination 192.168.1.0/24 đi qua interface này.
 
CGGX_ANNX said:
Phần Status nó đang hiện auto negotiation incomplete với rate unknown. Bên tab ethernet nó có cho bác chỉnh sửa thì bác thử tắt Auto Negotiation, chọn rate 1G baseT full xem sao ạ? Nếu vẫn không được bác thử bật Auto Negotiation, nhưng ở cái list bên dưới gỡ hết mọi thứ (ấn mũi tên tam giác lên) chỉ để lại mỗi 1G baseT full xem sao ạ?

ether2 bác đang cắm vào managed switch ạ? bác thử cắm ether4 vào switch đó xem sao ạ?

Ngoài ra ở cái hình trước bác post này:

View attachment 2415568

Thì có vẻ path cost mode của bác đang là short. Theo cái export trên của bác vừa paste thì nếu là bản RouterOS mới nó phải là long thì mới không hiện thêm tham số lúc export như kia. Bản RouterOS của bác nâng cấp lên bản mới nhất chưa ạ? Nếu là bản mới nhất mà export chỗ bridge và bridge port chỉ ra nội dung ngắn thế kia thì trong bảng này các path cost nó phải 20000 cho đường 1Gbps cơ ạ. 10 là giá trị default của RouterOS trước 7.13. Sau 7.13 mà nó vẫn hiện 10 trong bảng thì chỗ export nó sẽ phải có thêm tham số internal-path-cost=10. Nếu có thể bác nâng cấp lên 7.14.2 ạ.
Click to expand...

Để tối về mình thử lại xem như nào. Hôm trc cũng đã chọn đúng cái 1G rồi. Không tích auto.
Ether2 là port của pc luôn, còn ether4 là Usb lan bác à. PC router mình có mỗi 2 port.
Nếu mà k được nữa chắc quẳng đi mua con 4 port chơi cho thích.
 
CGGX_ANNX said:
Vâng bác vào IP - Address thêm địa chỉ 192.168.1.100/24 cho cái interface sfp1 (hoặc sfp-sfpplus1) là nó sẽ tự tạo route cần thiết cho destination 192.168.1.0/24 đi qua interface này.
Click to expand...
1711962983936.png


Như vậy phải không anh?
Có cần reset all counters không ạ?
Vậy sfp là 192.168.1.1 truy cập được không ạ?
 
Doraemon309 said:
Sao phần log của em để ipv6 local truy cập bị block ạ! Khi em truy cập sfp ạ!
Mà em không biết tại sao không thông ạ!
Click to expand...

Tức là bác định dùng IPv6 vào quản lý cái module SFP-GPON ạ? Cái đó bình thường nó chỉ có địa chỉ IPv6 link-local thôi bác (bắc đầu bằng fe80:xxx). Địa chỉ đó chỉ dùng được khi bác chính là router muốn nối chuyện với cái trang của con SFP qua IPv6 vì 2 cái cùng chung layer 2 (link local) địa chỉ đó không route được nên bác ở mạng LAN là link layer khác thì không dùng được.
 
Doraemon309 said:
1711962983936.png


Như vậy phải không anh?
Có cần reset all counters không ạ?
Vậy sfp là 192.168.1.1 truy cập được không ạ?
Click to expand...
Vâng bác ạ, với cái interface bác cho trong list WAN và tường lửa bảng NAT có rule masquerade với out-interface-list WAN là OK. Tuy nhiên tùy module mà nó có địa chỉ IP trang quản lý khác nhau, không nhất thiết phải 192.168.1.1 đâu bác, con nhà em nó là đuôi .10.
 
CGGX_ANNX said:
Tức là bác định dùng IPv6 vào quản lý cái module SFP-GPON ạ? Cái đó bình thường nó chỉ có địa chỉ IPv6 link-local thôi bác (bắc đầu bằng fe80:xxx). Địa chỉ đó chỉ dùng được khi bác chính là router muốn nối chuyện với cái trang của con SFP qua IPv6 vì 2 cái cùng chung layer 2 (link local) địa chỉ đó không route được nên bác ở mạng LAN là link layer khác thì không dùng được.
Click to expand...
không ạ! Do log báo thế ạ! Truy cập ipv4 mà thấy log block ipv6 ạ!
 
CGGX_ANNX said:
Vâng bác ạ, với cái interface bác cho trong list WAN và tường lửa bảng NAT có rule masquerade với out-interface-list WAN là OK. Tuy nhiên tùy module mà nó có địa chỉ IP trang quản lý khác nhau, không nhất thiết phải 192.168.1.1 đâu bác, con nhà em nó là đuôi .10.
Click to expand...
em bị refused to connect ạ!
em đuôi 1 mà không thông ạ!
 
Trong WinBox router ping được 192.168.1.1, còn từ máy bác không ping được ạ? Ping từ máy bác nó timed out hay destination unreachable ạ?
 
Koh Dong Jin said:
Để tối về mình thử lại xem như nào. Hôm trc cũng đã chọn đúng cái 1G rồi. Không tích auto.
Ether2 là port của pc luôn, còn ether4 là Usb lan bác à. PC router mình có mỗi 2 port.
Nếu mà k được nữa chắc quẳng đi mua con 4 port chơi cho thích.
Click to expand...
Không ý em là bác đang cắm vào cái gì ạ. Vì cái cổng ether2 của bác nó ghi là root port, nên em hỏi có phải bác cắm dây từ nó vào managed switch không. Nếu có switch bên ngoài thì bác cắm thử dây từ cái adapter USB vào switch đó rồi từ switch vào máy bác.
 

Similar threads

D
thắc mắc Cắm dây Lan vào router wifi thì có làm các thiết bị bắt sóng wifi chậm hơn không ?
Replies
2
Views
232
con_sau_may_tinh
con_sau_may_tinh
T
SG Mikrotik 760igs
Replies
2
Views
177
Happy guy
Happy guy
zenky_201
thắc mắc Cách roaming wifi giữa router và repeater???
Replies
9
Views
347
Mê Gái
Mê Gái
H
thắc mắc Nhờ Mọi Người giúp đỡ về tốc độ Wifi
Replies
8
Views
405
hugo008
H
nnnghia1991
thắc mắc Thiết bị gộp 2 đường truyền mạng
2
Replies
24
Views
1K
nnnghia1991
nnnghia1991

Share this page

Back
Top