thảo luận Cộng đồng người dùng MikroTik Router
- Thread starter tuanreb
- Start date
seneken
Senior Member
bro CGGX_ANNX có nói là 3011 nếu giá cực rẻ thì mua, chứ giờ trên 2tr mấy gần 3tr là không đáng để đầu tư á.
CGGX_ANNX
Senior Member
Vâng bác, em thấy giá cũ toàn trên 3 triệu gì đó thì không nên mua ạ. Giá đó mua hAP ax² mới (+ switch nếu cần thêm cổng) hoặc PC router như các bác ở trên post còn hơn.
wuhoatu
Senior Member
Thấy bác này bán barebone N4100, kiếm thêm 4G ram vs SSD Mik nữa là ngon.
TQ - Barebone PC router chip N4100, 4x Lan 2.5Gb New
Em có Barebone PC router chạy chip N4100, 4 cổng Lan 2.5Gb 2 slot ram 1 slot mSATA 1 slot SATA Đây là barebone chưa bao gồm RAM và SSD Hàng mới 100% chưa qua sử dụng các bác nhé Giá: 1tr500 Bảo hành: 30 ngày Hàng đã lên shopee giá xuống dưới 1m3 quá rẻ cho các bác Link group ae trao đổi: Zalo -...
voz.vn
Đang nghiên cứu thử dòng router này, các bạn cho mình hỏi đang định thay cho 4 chi nhánh.
Chi nhánh tổng: 200-300 thiết bị
Chi nhánh 1: 100 thiết bị
Chi nhánh 2: 50 thiết bị
Chi nhánh 3: 20 thiết bị
Đang có dư 2 con Draytek 2927 từ FPT , cho chi nhánh 2 và 3 thì ok. Nếu chơi hệ Draytek thì kiếm con 3910 cho chi nhánh tổng và con 2962 cho chi nhánh 1 chắc ổn.
Nhu cầu ko cần nhiều, ko có server nội bộ, chủ yếu thiết bị connect Wifi đi internet trực tiếp. VPN site to site IPSec hay Wireguard cho tất cả các chi nhánh liên kết với nhau (chi nhánh tổng có đường riêng tới server ở DC nước ngoài, chỉ tầm 2-3 người cần remote desktop tới DC ở mỗi chi nhánh)
Nếu hệ Mikrotik thì dùng con nào cho từng chi nhánh vậy các bạn?
Chi nhánh tổng cần 3 WAN. Các chi nhánh còn lại chỉ cần 2.
Cũng ngắm qua hệ RouterEdge do WIFI đang dùng Ubiquiti và đang có controller của nó luôn, mà thấy dòng này lâu rồi ko có update, Unifi nó đem con bỏ chợ dòng router này rồi hay sao á.
Chi nhánh tổng: 200-300 thiết bị
Chi nhánh 1: 100 thiết bị
Chi nhánh 2: 50 thiết bị
Chi nhánh 3: 20 thiết bị
Đang có dư 2 con Draytek 2927 từ FPT , cho chi nhánh 2 và 3 thì ok. Nếu chơi hệ Draytek thì kiếm con 3910 cho chi nhánh tổng và con 2962 cho chi nhánh 1 chắc ổn.
Nhu cầu ko cần nhiều, ko có server nội bộ, chủ yếu thiết bị connect Wifi đi internet trực tiếp. VPN site to site IPSec hay Wireguard cho tất cả các chi nhánh liên kết với nhau (chi nhánh tổng có đường riêng tới server ở DC nước ngoài, chỉ tầm 2-3 người cần remote desktop tới DC ở mỗi chi nhánh)
Nếu hệ Mikrotik thì dùng con nào cho từng chi nhánh vậy các bạn?
Chi nhánh tổng cần 3 WAN. Các chi nhánh còn lại chỉ cần 2.
Cũng ngắm qua hệ RouterEdge do WIFI đang dùng Ubiquiti và đang có controller của nó luôn, mà thấy dòng này lâu rồi ko có update, Unifi nó đem con bỏ chợ dòng router này rồi hay sao á.
queenfrozen
Đã tốn tiền
bán 2927 ko bác?
CGGX_ANNX
Senior Member
Nếu hiện đã quen sử dụng đồ của Draytek rồi và công ty không có nhân sự chuyên về quản lý mạng thì các bác tiếp tục dùng đồ bên đó cho đơn giản. Những cái bác yêu cầu (Load Balancing WAN, IPSec, WireGuard, v.v...) trên giao diện quản lý của router (Home | DrayTek (http://eu.draytek.com:13910/)) click vài nhát là xong, không nhiều cơ hội nhầm lẫn. Hàng Ubiquiti giao diện cũng đơn giản trực quan. Còn dùng đồ MikroTik thì bác hoặc ai đó trong công tư cần bỏ nhiều thời gian hơn để tìm hiểu, chứ nếu không setup IPSec cũng đã toát mồ hôi. Nếu không bỏ công nghiên cứu mà chỉ search trên mạng rồi copy & paste dòng lệnh một cách mù quáng thì e là không dễ đảm bảo có cấu hình bảo mật và hiệu quả, tận dụng được hết khả năng phần cứng. HĐH cũng hoàn toàn không có cái gì ngăn bác làm điều dại dột, cấu hình sai làm router què quặt cả. Bù lại thì RouterOS sẽ linh hoạt và đa năng hơn nhiều.
Nếu bác muốn tìm phần cứng tương đương con DrayTek 3910, dựa trên các thông số throughput NAT với IPSec bên DrayTek đưa, thì bên MikroTik có con CCR2004-16G-2S+ CCR2004-16G-2S+ | MikroTik (https://mikrotik.com/product/ccr2004_16g_2splus) (bản có quạt, có bản CCR2004 cũng 16 cổng GbE + 2 SFP+ không quạt nhỏ hơn nhưng vì vấn đề nhiệt nên CPU bị giới hạn tốc độ nên chậm hơn còn bằng 2/3), chắc con CCR2004 sẽ nhỉnh hơn con DrayTek. Con CCR2004 sẽ thừa sức tải 3 đường WAN 1 Gbps và số người dùng bác đưa.
Để thay con DrayTek 2962 thì bên MikroTik có con RB5009UG+S+IN RB5009UG+S+IN | MikroTik (https://mikrotik.com/product/rb5009ug_s_in) (có bản nữa tất cả các cổng có PoE out đắt hơn). Thực ra mà nói thì con RB5009UG+S+IN này ngon hơn con 2962 về mọi mặt mà lại rẻ hơn nhiều. Con RB5009 sẽ thoải mái dùng được 2 đường WAN 1 Gbps với 100 thiết bị của bác. Các thông số routing của nó tầm bằng 2/3 con CCR2004, tăng tốc IPSec thì bằng hơn 1/2.
Nếu 3 đường WAN của chi nhánh tổng của bác không phải 1 Gbps (thí dụ 500 Mbps thôi chẳng hạn), với bác có hệ thống switch ngon lành rồi, thì chắc con RB5009 cũng đủ làm nhiệm vụ NAT với routing ra internet (nó có cổng SPF+ 10 Gbps để bác đấu vào switch). Throughput WireGuard được > 800 Mbps (em đã đo thực tế, trên diễn đàn MikroTik các chú còn được > 900 Mbps), IPSec không bằng CCR2004 nhưng có tăng tốc phần cứng nên sẽ nhanh hơn WireGuard. Khác biệt nữa giữa CCR2004 và RB5009 là license, một cái level 6, một cái level 5 nhưng với số người dùng của bác thì không khác biệt RouterOS license keys - RouterOS - MikroTik Documentation (https://help.mikrotik.com/docs/display/ROS/RouterOS+license+keys).
Last edited:
Cảm ơn bạn đã tư vấn rất tận tâm, tôi qua công tác quản lý nên lâu rồi không đụng đến chuyên sâu kỹ thuật nên thấy Mikrotik coi mòi hơi khó. Để thảo luận với team xem nhân viên có nghiên cứu được không.
Doraemon309
Senior Member
Anh ơi cho em hỏi nếu em setting firewall hết phần Overview được không ạ? Có dòng nào dư thừa không ạ?
P/s: Em test thử thì các client không nhận ipv6 và truy cập sfp không được ạ!
Koh Dong Jin
Senior Member
Đúng là con 8153 ạ, con MikroTik bảo support từ 7.12 cho x86. Đúng là ở bản 7.11 chưa có file kernel module r8152.ko, và bản hiện tại thì có:
View attachment 2402078
Kernel module này từ file mã nguồn drivers/net/usb/r8152.c, đúng là driver cho RTL8153 ạ. Đây mà mã nguồn của file này của nhánh kernel 5.6.x mà RouterOS 7 đang sử dụng.
View attachment 2402079
Bác thử vào Tab Status của cái cửa sổ property của ether4 trong bảng Ethernet xem nó có negotiate được đúng tốc độ không ạ. Nếu không bác thử quay ra tab Ethernet tắt Auto Negotiation chọn 1 tốc độ cố định thí dụ "1G baseT full" xem sao ạ?
Phần cấp được IP động, là đúng địa chỉ IP dải DHCP thiết lập trên RouterOS đúng không ạ? Chứ không phải địa chỉ APIPA (Automatic Private IP Addressing) bắt đầu bằng 169.254.x.x?
Với ở trên em bảo bác thử torch là thử lúc nối WinBox vào Router bằng đường bình thường vẫn dùng hằng ngày (được có hoạt động ấy ạ) rồi nối thiết bị khác vào cổng ether4, rồi bật torch trên cổng đó ạ, chứ không phải thử từ WinBox chạy trên máy đang nối vào cổng ether4.
Status nó ok bác ạ. Hiển thị 1G.
Còn IP thì nhận đúng dải DHCP mà con Mik cấp phát, mỗi tội không vào được mạng và cũng không vào được winbox luôn,
crtung81
Junior Member
Chào các bác. Hiện e đang dùng pc router chạy mikrotik. Em có ổ cứng hdd ngoài. Có cách nào để e cắm ổ cứng hdd đó vào mikrotik rồi tải phim trực tiếp lưu luôn vào đó không ? Chứ mỗi lần e muốn xem phim bằng máy chiếu lại phải bật thêm máy tính nữa rất bất tiện
via theNEXTvoz for iPhone
via theNEXTvoz for iPhone
wuhoatu
Senior Member
Đơn giản nhất là cắm USB rồi bật SMB thôi
dinh_hoai_1991
Senior Member
con hexS của em đang cắm 1 line Viettel và 1 USB 4G. Em đang muốn 1 IP trong mạng lan kết nối internet qua con USB LTE còn các máy còn lại thì vào mạng qua line Viettel. Cấu hình hiện tại của em như này ạ. Nhờ các bác giúp ạ
/ip firewall filter
add action=accept chain=forward connection-nat-state=dstnat
/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.3.0/24 in-interface=local
add action=mark-connection chain=prerouting in-interface=pppoe-out1 new-connection-mark=Viettel passthrough=yes
add action=mark-connection chain=prerouting in-interface=lte1 new-connection-mark=LTE passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=!192.168.3.211
add action=masquerade chain=srcnat log=yes out-interface=lte1 src-address=192.168.3.211
add action=masquerade chain=srcnat comment="HAIRPIN NAT" dst-address=192.168.3.0/24 src-address=192.168.3.0/24
/ip firewall filter
add action=accept chain=forward connection-nat-state=dstnat
/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.3.0/24 in-interface=local
add action=mark-connection chain=prerouting in-interface=pppoe-out1 new-connection-mark=Viettel passthrough=yes
add action=mark-connection chain=prerouting in-interface=lte1 new-connection-mark=LTE passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=!192.168.3.211
add action=masquerade chain=srcnat log=yes out-interface=lte1 src-address=192.168.3.211
add action=masquerade chain=srcnat comment="HAIRPIN NAT" dst-address=192.168.3.0/24 src-address=192.168.3.0/24
wuhoatu
Senior Member
Theo mình thì scrnat cả đi, ko cần giới hạn src-address. Còn mangle, nếu Ko PPC thì cần gì mark-connection, cứ mark-routing cho src-address ra đường mình muốn thôi.
Last edited:
dinh_hoai_1991
Senior Member
chỗ mark connection thì em đang xem chỗ PPC nên đang khai dở như vậy. lúc đầu nat cả thì đường LTE ko có traffic luôn ạ
CGGX_ANNX
Senior Member
Vâng bác, nếu bác muốn thì làm ở phần trên phần RAW ở trang đó là được. Còn nếu bác muốn danh sách rules hiện thời thì em post lại cái output từ /system/default-configuration/print trong cái spoiler này:
Code:
/ip firewall nat add chain=srcnat out-interface-list=WAN ipsec-policy=out,none action=masquerade comment="defconf: masquerade"
/ip firewall filter {
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"
}
/ipv6 firewall {
address-list add list=bad_ipv6 address=::/128 comment="defconf: unspecified address"
address-list add list=bad_ipv6 address=::1 comment="defconf: lo"
address-list add list=bad_ipv6 address=fec0::/10 comment="defconf: site-local"
address-list add list=bad_ipv6 address=::ffff:0:0/96 comment="defconf: ipv4-mapped"
address-list add list=bad_ipv6 address=::/96 comment="defconf: ipv4 compat"
address-list add list=bad_ipv6 address=100::/64 comment="defconf: discard only "
address-list add list=bad_ipv6 address=2001:db8::/32 comment="defconf: documentation"
address-list add list=bad_ipv6 address=2001:10::/28 comment="defconf: ORCHID"
address-list add list=bad_ipv6 address=3ffe::/16 comment="defconf: 6bone"
filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
filter add chain=input action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
filter add chain=input action=accept protocol=udp dst-port=33434-33534 comment="defconf: accept UDP traceroute"
filter add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/10 comment="defconf: accept DHCPv6-Client prefix delegation."
filter add chain=input action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
filter add chain=input action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
filter add chain=input action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
filter add chain=input action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
filter add chain=forward action=drop src-address-list=bad_ipv6 comment="defconf: drop packets with bad src ipv6"
filter add chain=forward action=drop dst-address-list=bad_ipv6 comment="defconf: drop packets with bad dst ipv6"
filter add chain=forward action=drop protocol=icmpv6 hop-limit=equal:1 comment="defconf: rfc4890 drop hop-limit=1"
filter add chain=forward action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
filter add chain=forward action=accept protocol=139 comment="defconf: accept HIP"
filter add chain=forward action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
filter add chain=forward action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
filter add chain=forward action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
filter add chain=forward action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
}Mấy rules IKE/AH/ESP/HIP bên IPv6 bác có thể disable. Quan trọng là mấy cái interface lists nữa ạ.
Như post lần trước em đã nói tốt nhất bác export cấu hình firewall và interface list của bác lên đây ạ, output của 2 lệnh:
Code:
/interface list export
/ip firewall exportThêm /ipv6 firewall export nếu bác dùng cả IPv6. Nếu không khó đoán lý do nhà bác nó không chạy ạ.
Doraemon309
Senior Member
Em làm như post trên em gửi ấy ạ!
Interface x86 em không có đụng tới ạ
P/s: Theo như spoiler của anh thì các client không nhận ipv6 và truy cập vào sfp không được ạ!
Kể cả firewall post em vừa gửi ở trên ạ!
CGGX_ANNX
Senior Member
À như vậy cái adapter nó có được nhận và hoạt động rồi. Bác add cái adapter vào cái bridge cũ ạ, bridge cũ của bác trước có 1 cổng đúng không ạ? Bác có thể paste output của cái lệnh này được không ạ?
Code:
/interface bridge exportCGGX_ANNX
Senior Member
Interface list bác phải cấu hình ạ. Bác tạo 1 list WAN 1 list LAN (trang kia nó cũng hướng dẫn ạ). Nên em mới bảo bác chạy cả lệnh /interface list export
IPv6 nếu bác đã cấu hình đầy đủ chỗ /ipv6 address và /ipv6 nd thì để chạy được với các rules filter kia cũng phải cho các bridge/vlan vào interface list LAN, nếu không nó block forwarding không ra ngoài internet được bác ạ.
Cái SFP bác muốn truy cập thì cũng phải cho nó vào list WAN (khi đó nó áp dụng rule srcnat masquerade).
Similar threads
