vuducdong
Senior Member
thế thì xem lại phần cài đặt trên router bạn ơi
thảo luận Cộng đồng người dùng MikroTik Router
- Thread starter tuanreb
- Start date
Sà bì chưởng
Junior Member
Mò mẫm bữa h trên con mik vẫn chưa ra bác à
neville1994
Senior Member
Các bác cho em hỏi, tự nhiên nay em check log thấy nó bắn liên tục lỗi này. Không biết do thằng nào gây ra nhỉ 
CGGX_ANNX
Senior Member
Code:https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall#BuildingAdvancedFirewall-IPv4RAWRules
Bên Phần RAW , có thím nào setup RAw chưa á, thấy gắn vô, nó tá lả âm binh luôn
Đợt trước em có cái post dài dòng về chủ đề này thảo luận - Cộng đồng người dùng MikroTik Router (https://voz.vn/t/cong-dong-nguoi-dung-mikrotik-router.50804/post-30737182). Theo em thì với nhu cầu bình thường không cần rule nào trong bảng RAW ạ.
Ngắn gọn thì đống rules RAW (có 2 ở chain prerouting và output, mấy mũi tên em vẽ thêm vào cái hình của MikroTik dưới đây cũng áp dụng cho chain output nhưng em lười vẽ thêm ạ)
cho bác quyết định:
* drop packet ngay lập tức (action=drop, mũi tên đỏ) trước khi packet được chạy qua connection tracking,
* hoặc bảo router bỏ qua bước connection tracking (action=notrack, mũi lên xanh da trời, khi này ở các bước sau của tường lửa trong hình packet sẽ được đối xử riêng lẻ, không gộp vào connection với các packet trước/sau đó, và không truy cập được vào các thuộc tính kiểu connection-state, connection-type, connection-mark, v.v... nữa),
* hoặc chuyển tiếp bình thường tới bước Connection tracking (mặc định nếu không có rule nào match hoặc với action=accept, mũi tên xanh lá cây).
(với mấy action add to address list nữa). Tóm lại là làm một số việc trước khi packet được cho xử lý connection tracking. Connection tracking tốn thời gian và tài nguyên. Nếu bác chắc action drop hoặc notrack của bác sẽ được thực hiện rất nhiều và lợi ích do bỏ qua được connection tracking lớn hơn công sức cần bỏ ra để xử lý rule RAW thì mới dùng bảng RAW thôi ạ. Thí dụ lúc cần đối phó với DDoS. Còn không, nếu với mạng của bác hầu hết các packet đều sớm muộn đi qua connection tracking cả, thì dùng bảng filter bình thường trong đa số trường hợp sẽ tốt hơn và tiết kiệm tài nguyên hơn ạ (ở post trên em nói dài hơn về khoản này).
nhutthanh22
Member
Không cần tới vài trăm ngàn dòng nhiều vậy đâu, vài chục ngàn là chặn hầu hết qc ở VN rồi. Project hostsVN hàng VN chất lượng cao, thím tham khảo GitHub - bigdargon/hostsVN: Hosts block ads of Vietnamese (https://github.com/bigdargon/hostsVN)
Em xin chào các anh
Em gửi bài nhờ các anh có kinh nghiệm món Mikrotik hỗ trợ giúp chút, em đang loay hoay ko biết nên làm thế nào. Cụ thể:
Em cám ơn các bác nhiều.
Em gửi bài nhờ các anh có kinh nghiệm món Mikrotik hỗ trợ giúp chút, em đang loay hoay ko biết nên làm thế nào. Cụ thể:
- Cấu hình mạng của nhà em: một con Mik 750gr3 quay PPPOE và cấp DHCP (lớp mạng 192.168.1.0/24), tiếp bên dưới là một con Mik 750 gr2 làm Bridge để cấp mạng internet cho 4 con aruab 225.
- Nhu cầu: giờ em muốn con Mik 750gr2 chuyển thành cấp DHCP cho riêng lớp mạng nối với aruba (cấp lớp mạng 192.168.10.1/24), giảm bớt tải cho con 750gr3.
Em cám ơn các bác nhiều.
CGGX_ANNX
Senior Member
Theo như bác mô tả thì chuyển con 750gr2 sang làm router sẽ không giảm tải được gì đáng kể cho con RB750Gr3 ạ, ngoài ra con gr2 khá yếu, chuyển như thế còn làm ảnh hưởng đến các thiết bị đằng sau nó ạ. Lý do:
Nhiệm vụ làm DHCP Server chẳng thấm gì ạ (bác đọc phần Operation ở trang này Dynamic Host Configuration Protocol - Wikipedia (https://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#Operation)). Mỗi khi một client nào đó hết lease, hoặc mới quay trở lại mạng, cần cấp (lại/mới) địa chỉ qua DHCP, thì coi như nó với router trao đổi với nhau vài packet UDP nhỏ xíu thôi ạ. Ngay cả để lease chỉ có 10 phút với có mấy trăm thiết bị cũng chẳng thấm thía gì. Ngoài ra DHCP Server cần lưu cái bảng chứa vài thông tin như mapping địa chỉ IP với số MAC/Client ID và vài thông tin như cổng, interface, accounting. Nói chung cùng lắm tốn thêm vài chục KB RAM với cả trăm hosts. Tương tự bảng ARP sẽ to tỉ lệ với số hosts nhưng vẫn chỉ tính bằng KB.
Áp lực tải lớn nhất mà router phải chịu là (không tính đến các tính năng bật thêm như VPN, DNS server):
* Quản lý và xử lý tường lửa, bao gồm connection tracking, NAT (src-nat/masquerade, cũng như port forwarding với dst-nat), các rules filter và mangle. Nếu bác chỉ có 1 LAN, không có VLAN, thì hầu như phần lớn tải ở phần này do các kết nối giữa LAN và WAN gây ra (chain input của router thường không đáng kể, chỉ có vài kết nối DNS với DHCP là cùng), vậy nên nếu bác có tống các thiết bị đằng sau con Gr2 vào LAN riêng của nó thì số kết nối ra internet vẫn như vậy, tức là con Gr3 vẫn sẽ phải xử lý lượng công việc y hệt ở chỗ tường lửa này, chỉ khác là trong bảng connection thì thay vì nhiều địa chỉ nguồn/đích của các thiết bị, sẽ chỉ có 1 địa chỉ là cái địa chỉ của con Gr2, còn số kết nối không thay đổi, số packet chạy qua chạy lại không thay đổi. Nếu chỉ có 1 LAN (bridge) thì thông thường các thiết bị nói chuyện trong LAN với nhau chỉ dùng tính năng switching của router và switch, không dùng đến tường lửa và tính năng routing.
* Xử lý routing. Như ở trên em viết, nếu trước đó có 1 LAN thì routing cần xử lý chỉ là traffic giữa LAN và WAN, nên khi cho Gr2 làm router traffic ra WAN vẫn vậy, con Gr3 sẽ không được giảm tải, vẫn phải route khi mọi thứ ra, vào internet.
* Xử lý cần cho kết nối PPPoE (đóng gói các packet IP vào trong packet PPPoE trước khi gửi ra cổng WAN, cũng như lấy nội dung packet IP ra khỏi packet PPPoE nhận được). Công việc này không thay đổi nếu bác cho Gr2 thành router, 100% traffic đi ra ngoài WAN vẫn phải do Gr3 xử lý PPPoE.
Trong khi đó biến Gr2 thành router thì sẽ mang lại điều bất lợi này:
* Hiện nay Gr2 đang hoạt động như smart switch (ở chế độ bridge), hoàn toàn được tăng tốc phần cứng, không cần lo xử lý NAT/firewall hay routing gì cả. Khi bác chuyển nó thành router với 1 cấp mạng LAN mới thêm vào, tự dưng con này sẽ phải làm nhiệm vụ routing và NAT, và các thiết bị sau nó còn bị double NAT nữa. Trong khi con này yếu hơn con Gr3 nhiều. Nên các thiết bị đằng sau nó giờ đi ra ngoài WAN thay vì bi dính 1 layer switching (với tốc độ wire speed) và 1 layer NAT ở Gr3, thành bị 1 layer NAT ở Gr2 và 1 layer NAT ở Gr3. Và cái bước NAT/routing ở Gr2 sẽ chậm hơn trước.
Biến Gr2 thành router chỉ giảm tải đáng kể cho Gr3 nếu như mạng của bác có nhiều subnets (VLAN) và các thiết bị giữa các VLAN này thường xuyên cần nói chuyện với nhau. VÌ traffic giữa các VLAN cần routing cũng như chạy qua tường lửa, nên nếu bác có một số VLAN chỉ nằm sau con Gr2, không nói chuyện với subnet chỗ con Gr3, thì biến Gr2 thành router sẽ giúp Gr3 không phải xử lý traffic giữa các VLAN này nữa. Còn nếu bác chỉ có 1 subnet với 1 bridge thì như em nói ở trên thì sau khi chuyển đổi sẽ chỉ giảm tải được mỗi mấy cái packet UDP cho DHCP.
Bác có thế sẽ nghĩ, hm, thế sao xưa nay người ta vẫn lắp các router kiểu các con Mik sau modem router nhà mạng để "giảm tải"?
Cái này thì giảm tải thực sự được tối đa khi con modem nhà mạng chuyển sang chế độ bridge, khi này mọi việc xử lý routing, tường lửa, pppoe (và tất nhiên cả DHCP) sẽ do con router đằng sau đảm nhiệm.
Còn trong trường hợp không bridge được, router mới phải làm DHCP client của con modem nhà mạng, thì cái "giảm tải" đạt được ở chỗ này là: Hoặc là bác có thể tắt firewall trên router nhà mạng, hoặc chuyển sang chế độ DMZ (với con router mới trong DMZ). Khi này modem router nhà mạng vẫn phải quay PPPoE và xử lý routing, nhưng phần tường lửa chỉ phải xử lý các rule đơn giản (chỉ còn làm việc NAT). Đồ nhà mạng thường vẫn làm được các việc này dễ dàng và thường có tăng tốc phần cứng. Còn những rule tường lửa phức tạp hơn, như forward cổng, block theo giờ, block dải địa chỉ này nọ nó không cần xử lý nữa mà chuyển qua con router mới.
Last edited:
Em cám ơn bác nhiều, em đã đọc kỹ bài của bác và bỏ ý định can thiệp tạo một lớp layout mới cho 750gr2, vì theo như bác phân tích thì cũng ko giảm tải đáng kể cho 750gr3. Cứ để nó làm smart switch sẽ đơn giản và hiệu quả hơn.
Vấn đề của em bao lâu nay cũng hỏi trên các diễn đàn là em bị tình trạng rất ức chế: đó là nhà em hiện dùng khá nhiều thiết bị smart home, và tình trạng con xem log của con 750gr3 nó liên tục báo cấp - hủy dhcp (ảnh em gửi kèm theo).
- Em đã thử làm các biện pháp: tạo Vlan trên 750gr3 sau đó đồng bộ vlan của aruba để dễ quản lý trong quá trình cấp phát ip cho các client. Nhưng sau vẫn bị tình trạng liên tục báo cấp phát ip từ các vlan;
- Tiếp theo em thử làm biện pháp chỉ cho aruba cấp phát ip cho các client (layout khác với 750gr3), thì mọi chuyện rất yên ổn, ko thấy xuất hiện trong log của 750gr3 tình trạng cấp - hủy dhcp. Nhưng mà khổ nỗi sau 3 ngày (hết thời hạn lease) thì toàn bộ client mất dần mạng internet.
- Tình trạng cấp - hủy dhcp trong file log của 750gr3 khá thường xuyên, trong vòng 3 ngày đã lên đến hơn 1000 dòng.
Attachments
ppptran
Senior Member
Smart home, smart IoT đa số xài band 2.4Ghz.
Trên aruba, thím tạo 1 ssid mới. Bấm expand option, chọn 2.4Ghz only.
Cho các thiết bị IoT kết nối vô band xài xem sao. Mấy con wifi của solar mình phải ép xài cách này và hạ mức phát sóng của band 2.4 xuống thấp nhất.
Hiện em đã tạo riêng các SSID 2.4 Ghz, để em thử hạ mức sóng xuống thấp nhất xem thế nào, chứ nhà em quây 4 con aruab 225 trên một sàn, có thể nó đang tranh nhau cấp phát cho các client khi tín hiệu suy giảm. Cơ bản là em cũng chưa tính đến tình trạng chồng lấn sóng wifi khi đặt ở các điểm.
em cám ơn bác nhiều.
ohyourgod
Senior Member
Nghiên cứu ảo hóa xem, nó sẽ tạo bridge trung gian từ card thật thành 1 card ảo mà mikrotik có driver. Chứ chạy trực tiếp thì no hope, nhất là card intelcó sếp nào dùng mini pc dùng router os mà cắm card wifi k ạnãy lục tủ thấy thừa con card wifi của intel hí hửng lắp vào mà k thấy hiện để cài wireless
có cách nào fix k ạ hay coi như chỉ dùng mạng lan thôi ạ
bruceware
Senior Member
Em lội page đến nản luôn, thấy có vài bác bị issue tương tự.
Em đang yên ổn ở ver 6.48.4 - khá là bình yên, nhưng rồi nỗi máu vọc vạch thích wireguard nên lặn lội upgrade lên ver 7.12.1
Lý do là e sài cheat code của bác mikrotik.tranducanh …
Và chuyện xảy ra như thế này
Em có 3 con mik : AC2, AC3, 750GR3
Cả 3 e em đều up lên 7.12.1 và reser config hết
Em đang yên ổn ở ver 6.48.4 - khá là bình yên, nhưng rồi nỗi máu vọc vạch thích wireguard nên lặn lội upgrade lên ver 7.12.1
Lý do là e sài cheat code của bác mikrotik.tranducanh …
Và chuyện xảy ra như thế này
Em có 3 con mik : AC2, AC3, 750GR3
Cả 3 e em đều up lên 7.12.1 và reser config hết
- Con AC3 : mọi thứ OK hết chạy mượt mà rất ngon, hiện tại ko bị j , cheat choác ok lun
- Con AC2 vs 750GR3 đều bị tình trạng chung : speed bị giảm kinh hồn, thậm chí 1 số web ko vô đc, đã thử vs cả 2 case cheat và ko cheat nhưng đều bị … mình có lội page thì thấy có 2,3 bác bị giống y vậy, ko biết là hiện tại có bác nào biết nguyên nhân vụ này ko nhỉ
- 2 con trên downgrade xuống lại thì lại chạy ngon … haizz
- Ah em dùng mạng Viettel
ohyourgod
Senior Member
Xem lại cụ thể xem script web đó tạo ra làm những gì, có thể bước nào đó gây ra lỗi
CGGX_ANNX
Senior Member
Em chưa dùng đồ Aruba bao giờ nên không rõ. Nhà em dùng AP UniFi thì có 1 con robot hút bụi nó bị tình trạng như của bác khi trên AP bật tính năng "Client Device Isolation" cho cái SSID mà con đó dùng, tắt đi thì không bị nữa. Có vẻ tính năng tương đương bên Aruba là cái này https://www.arubanetworks.com/techd...cess-points/cfg/networks/client-isolation.htm.
Còn nếu bị do nó roam liên tục giữa các AP thì ngoài việc giảm mức phát sóng như bác @ppptran bảo, bác xem mấy cái 802.11r/k/v bật hết chưa? https://www.arubanetworks.com/techd...tant_UG/WLAN_SSID_conf/Support for dot11r.htm Tuy nhiên nếu mấy IoT có thể nhiều cái không hỗ trợ các chuẩn này.
Cám ơn bác đã chia sẻ, đúng là nhà em có con robot khi cho nó làm việc chạy qua các điểm AP thì Mik lại có tình trạng hủy - cấp ip nhiều hơn các client khác.
Hiện tại hệ thống của em mặc định đã tắt tính năng "Client Device Isolation" và bật các chuẩn 802.11r/k/v.
Em đang nghi ngờ vấn đề do thiết bị, nhưng chưa khoanh vùng là còn Mik hay con aruba.
* Chắc đành chạy lại cấu hình mấy con để giảm tình trạng này, nhưng lại gặp tình trạng khác
em nhờ các bác giúp chút:
- Em quay lại cấu hình: để Aruba cấp hết dhcp cho tất cả thiết bị không dây (tạo local vlan, network: 192.168.10.0/24);
- Gán IP tĩnh cho các AP, Mik chỉ cấp dchp cho các AP (dải IP là 192.168.1.0/24); Ko tạo Vlan trên Mik.
- Hiện em đang dùng Home Assistant (HASS), dùng AdGuard home nên toàn bộ DNS server chạy qua IP AdGuard home.
- Tình trạng là một số thiết bị IoT ko thể liên lạc với HASS, (nếu setup qua local ip như máy in, cam yoosee), còn các thiết bị IoT setup qua cloud như Tuya, xiaomi thì vẫn có hiệu lực.
(Các bác thông cảm em toàn tự mày mò, em yêu khoa học nên câu từ kỹ thuật mạng ko chuẩn).
Attachments
Last edited:
Mình chả cheat choác gì nhưng cũng nâng con RB760igs lên bản mới nhất 7.14 gì đó. Kết quả là speed khi pppoe giờ chỉ max tầm 250Mbps. Nay chắc tìm cách hạ xuống v6 hoặc chuyển qua openwrt luôn
hetien
Senior Member
Xem lại mtu.
