thảo luận Cộng đồng người dùng MikroTik Router

queenfrozen said:

video ấy xoá r bác ạ

link này em thử r nhưng ko đc ok lắm.

Click to expand...

/routing table
add disabled=no fib name=wan1
add disabled=no fib name=wan2
add disabled=no fib name=wan2

/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=pppoe-out1 \
    routing-table=wan1 suppress-hw-offload=no
add disabled=no dst-address=0.0.0.0/0 gateway=pppoe-out2 \
    routing-table=wan2 suppress-hw-offload=no
add disabled=no dst-address=0.0.0.0/0 gateway=pppoe-out3 \
    routing-table=wan3 suppress-hw-offload=no

/interface vrrp
add interface=bridgeLAN name=vrrp1 vrid=1
add interface=bridgeLAN name=vrrp2 vrid=2
add interface=bridgeLAN name=vrrp3 vrid=3

/ip address
add address=192.168.100.21 interface=vrrp1 network=192.168.100.21
add address=192.168.100.22 interface=vrrp2 network=192.168.100.22
add address=192.168.100.23 interface=vrrp3 network=192.168.100.23

/routing rule
add action=lookup disabled=no min-prefix=0 table=main
add action=lookup-only-in-table disabled=no interface=vrrp1 table=wan1
add action=lookup-only-in-table disabled=no interface=vrrp2 table=wan2
add action=lookup-only-in-table disabled=no interface=vrrp3 table=wan3

Verynoober said:

Cho hỏi : Mình dùng Pc router Os7.14.3 cài docker chạy cái pihole dùng bình thường tốt rồi. Giờ mùa đứt cáp nản FPT quá , đi xin được 1 đường Wireguard cài lên chạy ngon rồi nhưng lại bị lỗi pihole. Có cách nào cho chạy WG mà vẫn dùng pihole trên docker của Mik ko nhỉ ?
Hình test WG
View attachment 2509693

Click to expand...

wuhoatu said:

Pihole hay Adguard container liên quan gì đến WG đâu nhỉ, trừ khi thím đặt IP của verth khác vs dải local của Mik + routing ko chuẩn

Click to expand...

ppptran said:

Kiểu muốn xài dns local của adguard ấy mà, khi xài wireguard

Cái này mình cũng ko biết làm

Click to expand...

ppptran said:

Kiểu muốn xài dns local của adguard ấy mà, khi xài wireguard

Cái này mình cũng ko biết làm

Click to expand...

tanngle said:

DNS Server trong config bạn để như thế nào?

Click to expand...

Mikrotik Wireguard.docx

Mikrotik Wireguard Site-to-Site 1. Chuẩn bị 2 cặp Key Bạn cần chuẩn bị 2 cặp Key, mỗi cặp sẽ gồm Private key và Public key. Dễ nhất là dùng chính phần mềm Wireguard để tạo Key. Download Wireguard theo link dưới. https://www.wireguard.com/ Sau khi cài đặt, vào menu Tunels, nhấn Add empty tu...

docs.google.com

:local currentDNS [/ip dhcp-server network get [find gateway=192.168.1.1] dns-server]
:local adguardDNS "192.168.1.100"
:local publicDNS "8.8.8.8,8.20.247.20,129.250.35.250"
:local testDomain "www.google.com"

:if ($currentDNS = $adguardDNS) do={
    :do {
        :resolve $testDomain server $adguardDNS
    } on-error={
        /ip dhcp-server network set [find gateway=192.168.1.1] dns-server=$publicDNS;
    }
} else={
    :do {
        :resolve $testDomain server $adguardDNS
        /ip dhcp-server network set [find gateway=192.168.1.1] dns-server=$adguardDNS;
    } on-error={}
}

Verynoober said:

Cho hỏi : Mình dùng Pc router Os7.14.3 cài docker chạy cái pihole dùng bình thường tốt rồi. Giờ mùa đứt cáp nản FPT quá , đi xin được 1 đường Wireguard cài lên chạy ngon rồi nhưng lại bị lỗi pihole. Có cách nào cho chạy WG mà vẫn dùng pihole trên docker của Mik ko nhỉ ?
Hình test WG
View attachment 2509693

Click to expand...

jay . said:

Viettel cũng bị nhé bác. Nếu cúp điện thì phải đợi tầm 5p mới quay pppoe được. Còn nếu cục ONU không bị mất điện, chỉ reboot router thì quay phát được ngay

Click to expand...

CGGX_ANNX said:

Hướng dẫn ở cái link đó về các ý chính là ok, duy có chỗ cấp dải địa chỉ thì làm như họ lại không được như cái hình kia của bác. Nếu bác thích xem lại các bước bằng chữ, không có hình minh họa thì như này ạ:

Giả sử bác có sẵn 3 đường pppoe ra 3 isp, pppoe-out1, pppoe-out2, pppoe-out3.

* Giờ tạo 3 routing table mới, mỗi cái có 1 cái pppoe-out đó làm default gateway:

Code:

/routing table
add disabled=no fib name=wan1
add disabled=no fib name=wan2
add disabled=no fib name=wan2

/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=pppoe-out1 \
    routing-table=wan1 suppress-hw-offload=no
add disabled=no dst-address=0.0.0.0/0 gateway=pppoe-out2 \
    routing-table=wan2 suppress-hw-offload=no
add disabled=no dst-address=0.0.0.0/0 gateway=pppoe-out3 \
    routing-table=wan3 suppress-hw-offload=no

* Giả sử bridge chính của bác tên là bridgeLAN và có dải địa chỉ 192.168.100.0/24. Bây giờ bác tạo 3 interfaces VRRP trên cái bridgeLAN này:

Code:

/interface vrrp
add interface=bridgeLAN name=vrrp1 vrid=1
add interface=bridgeLAN name=vrrp2 vrid=2
add interface=bridgeLAN name=vrrp3 vrid=3

* Gán cho mỗi cái 1 địa chỉ IP trong dải của bridgeLAN. Cái này là khác cái hướng dẫn ở trang kia:

Code:

/ip address
add address=192.168.100.21 interface=vrrp1 network=192.168.100.21
add address=192.168.100.22 interface=vrrp2 network=192.168.100.22
add address=192.168.100.23 interface=vrrp3 network=192.168.100.23

Tất nhiên phải chọn địa chỉ không trùng với các thiết bị sẵn có cũng như không nằm trong pool của DHCP. Sau bước này các thiết bị trong 192.168.100.0/24 sẽ ping được 3 địa chỉ của 3 cái VRRP kia.

* Bước tiếp theo là cấu hình policy routing. Em cũng làm khác trang kia là em dùng routing rules, vì trong trường hợp này nó gọn nhẹ và ít tốn tài nguyên hơn là rules mangle. Nhưng mà như thế thì tốt nhất bảng mangle của bác nên đang không có gì cả. Còn bác đang có nhiều rule mangle làm nhiều thứ khác nhau thì bác chuyển sang dùng rule mangle (như trang kia hướng dẫn) và tích hợp với đống rule sẵn có của bác sao cho nó không bị xung đột. Nếu dùng routing rules thì chỉ cần bảng routing rules có thứ tự như này:

Code:

/routing rule
add action=lookup disabled=no min-prefix=0 table=main
add action=lookup-only-in-table disabled=no interface=vrrp1 table=wan1
add action=lookup-only-in-table disabled=no interface=vrrp2 table=wan2
add action=lookup-only-in-table disabled=no interface=vrrp3 table=wan3

Với wan1, wan2, wan3 là các bảng route đã tạo ở trên.

* Nếu trong bảng filter đang có rule fasttrack thì nên disable nó đi.

Vậy là xong. Các thiết bị trong mạng của bridgeLAN giờ nếu set bằng tay default gateway là 192.168.100.21 thì khi ra internet sẽ dùng pppoe-out1, 192.168.100.22 thì dùng pppoe-out2, 192.168.100.23 thì dùng pppoe-out3. Cái nào dùng gateway mặc định 192.168.100.1 thì như cấu hình cũ (chắc dùng bảng main nếu không có rule mangle nào xiên ngang).

Nếu interface lan của bác không phải là bridge (cái bridgeLAN ở trên) mà là vlan, hoặc 1 cổng etherX tách ra thì thay ở bước tạo interface VRRP thay vì tạo 3 interfaces VRRP bác tạo 3 interfaces MACVLAN (nằm trên vlan hay etherX đó), và sử dụng chúng thay vrrpX ở các bước còn lại. Các lệnh khác y hệt không thay đổi. MACVLAN tốn ít tài nguyên hơn nhưng (như em đã bị 1 vụ nhầm trên này mấy tháng trước) đáng tiếc là không hỗ trợ interface bridge bình thường. Với interface bridge bình thường thì phải tạo 3 cái interface VRRP.

Click to expand...

duyhaikg said:

Mình sử dụng mik 5009 có sfp thì chọn ethernet 2.5gbps base T hay base X vậy các bác, nếu để auto nó chỉ nhận 1gbps base X. Cảm ơn các bác nhiều. Ko bik nên để base T hay base X cái nào êm hơn

Click to expand...

CGGX_ANNX said:

Tức là router của bác đang chạy WireGuard, có cấu hình lái các kết nối sang bảng route, lấy thí dụ là "UseWG" có default route là đi qua interface WireGuard ạ? Giờ bác vẫn để cấu hình DNS cho các thiết bị là trỏ đến địa chỉ của pi-hole đâu đó trong LAN gốc của bác (veth trên router hay trên thiết bị nào khác trong LAN), nhưng nó không chạy vì cái default route nó lái hết qua interface WG kia đúng không ạ? Và bác vẫn muốn dùng pi-hole của bác làm DNS server, còn cái WG chỉ là để giải quyết vấn đề mạng chậm.

Nếu vậy giải pháp đơn giản là bác copy cái route entry tương ứng với cái dải của pi-hole từ bảng main sang bảng route "UseWG".

Thí dụ bác cài pi-hole trên docker, interface veth-pihole gì đó, địa chỉ IP 10.20.30.40, cho vào bridge ảo "containers" có dải 10.20.30.0/24 chẳng hạn. Lúc này bình thường sẽ có 1 dynamic route được tạo tự động trong bảng "main", destination 10.20.30.0/24, distance 0, Gateway "containers". Chính nhờ route này mà các thiết bị ở các dải LAN khác khi muốn nối vào 10.20.30.40 để phân giải tên miền thì router sẽ biết forward mọi thứ qua gateway là bridge "containers".

Giờ bác tạo 1 copy đúng như cái entry như này (destination 10.20.30.0/24 gateway "containers") sang bảng "UseWG" là đủ. Distance thì nó chỉ cho bác chọn là 1 thì đặt là 1 thôi. Route này có distance 1 và prefix length /24 nên sẽ được ưu tiên so với cái 0.0.0.0/0 gateway WireGuard của cùng bảng, nên các thiết bị dùng bảng này nhưng nối vào 10.20.30.40 sẽ được route đúng sang bridge "containers".

Cấu hình trên thiết bị vẫn giữ DNS server = 10.20.30.40.

Click to expand...

CGGX_ANNX said:

Hướng dẫn ở cái link đó về các ý chính là ok, duy có chỗ cấp dải địa chỉ thì làm như họ lại không được như cái hình kia của bác. Nếu bác thích xem lại các bước bằng chữ, không có hình minh họa thì như này ạ:

Giả sử bác có sẵn 3 đường pppoe ra 3 isp, pppoe-out1, pppoe-out2, pppoe-out3.

* Giờ tạo 3 routing table mới, mỗi cái có 1 cái pppoe-out đó làm default gateway:

Code:

/routing table
add disabled=no fib name=wan1
add disabled=no fib name=wan2
add disabled=no fib name=wan2

/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=pppoe-out1 \
    routing-table=wan1 suppress-hw-offload=no
add disabled=no dst-address=0.0.0.0/0 gateway=pppoe-out2 \
    routing-table=wan2 suppress-hw-offload=no
add disabled=no dst-address=0.0.0.0/0 gateway=pppoe-out3 \
    routing-table=wan3 suppress-hw-offload=no

* Giả sử bridge chính của bác tên là bridgeLAN và có dải địa chỉ 192.168.100.0/24. Bây giờ bác tạo 3 interfaces VRRP trên cái bridgeLAN này:

Code:

/interface vrrp
add interface=bridgeLAN name=vrrp1 vrid=1
add interface=bridgeLAN name=vrrp2 vrid=2
add interface=bridgeLAN name=vrrp3 vrid=3

* Gán cho mỗi cái 1 địa chỉ IP trong dải của bridgeLAN. Cái này là khác cái hướng dẫn ở trang kia:

Code:

/ip address
add address=192.168.100.21 interface=vrrp1 network=192.168.100.21
add address=192.168.100.22 interface=vrrp2 network=192.168.100.22
add address=192.168.100.23 interface=vrrp3 network=192.168.100.23

Tất nhiên phải chọn địa chỉ không trùng với các thiết bị sẵn có cũng như không nằm trong pool của DHCP. Sau bước này các thiết bị trong 192.168.100.0/24 sẽ ping được 3 địa chỉ của 3 cái VRRP kia.

* Bước tiếp theo là cấu hình policy routing. Em cũng làm khác trang kia là em dùng routing rules, vì trong trường hợp này nó gọn nhẹ và ít tốn tài nguyên hơn là rules mangle. Nhưng mà như thế thì tốt nhất bảng mangle của bác nên đang không có gì cả. Còn bác đang có nhiều rule mangle làm nhiều thứ khác nhau thì bác chuyển sang dùng rule mangle (như trang kia hướng dẫn) và tích hợp với đống rule sẵn có của bác sao cho nó không bị xung đột. Nếu dùng routing rules thì chỉ cần bảng routing rules có thứ tự như này:

Code:

/routing rule
add action=lookup disabled=no min-prefix=0 table=main
add action=lookup-only-in-table disabled=no interface=vrrp1 table=wan1
add action=lookup-only-in-table disabled=no interface=vrrp2 table=wan2
add action=lookup-only-in-table disabled=no interface=vrrp3 table=wan3

Với wan1, wan2, wan3 là các bảng route đã tạo ở trên.

* Nếu trong bảng filter đang có rule fasttrack thì nên disable nó đi.

Vậy là xong. Các thiết bị trong mạng của bridgeLAN giờ nếu set bằng tay default gateway là 192.168.100.21 thì khi ra internet sẽ dùng pppoe-out1, 192.168.100.22 thì dùng pppoe-out2, 192.168.100.23 thì dùng pppoe-out3. Cái nào dùng gateway mặc định 192.168.100.1 thì như cấu hình cũ (chắc dùng bảng main nếu không có rule mangle nào xiên ngang).

Nếu interface lan của bác không phải là bridge (cái bridgeLAN ở trên) mà là vlan, hoặc 1 cổng etherX tách ra thì thay ở bước tạo interface VRRP thay vì tạo 3 interfaces VRRP bác tạo 3 interfaces MACVLAN (nằm trên vlan hay etherX đó), và sử dụng chúng thay vrrpX ở các bước còn lại. Các lệnh khác y hệt không thay đổi. MACVLAN tốn ít tài nguyên hơn nhưng (như em đã bị 1 vụ nhầm trên này mấy tháng trước) đáng tiếc là không hỗ trợ interface bridge bình thường. Với interface bridge bình thường thì phải tạo 3 cái interface VRRP.

Click to expand...

queenfrozen said:

có cách nào mà để gateway như cách của bác là
192.168.100.1 là Loadbalacing
192.168.100.2 qua wan1
192.168.100.3 qua wan 2

Click to expand...

Le-Trinh said:

Các bác cho hỏi sử dụng ipv6 ổn định không ạ. Của mình cài Mikrotik x86 trên con d2550 ram 2G, cấu hình đã nhận ipv6 bình thường, nhưng khi tải file trên google drive tốc độ lên xuống thất thường từ 7M-30M (kiểu như lúc cao, lúc thấp). Nhưng khi tắt ipv6, tải file luôn ổn định 15-16M. Vậy có cách nào fix ipv6 ổn định không ạ, vì mình thấy ipv6 có lúc tốc độ nhanh gấp đôi ipv4. Cảm ơn ạ.

Click to expand...

duyhaikg said:

Tùy nhà mạng bác ơi,

Click to expand...

duyhaikg said:

Tùy nhà mạng bác ơi, có nhà mạng phải có IPV6 mới hoạt động dc, mình thì vnpt ko cần bật IPV6

Click to expand...