Pertama-tama, saya berasal dari situs pfsense / opnsense dan Mikrotik RouterOS masih sesuatu yang baru bagi saya.
JadiSaya membeli HeX Mikrotik sejak lama untuk mengenal sistem mereka sedikit,karena untuk banyak skenario "perangkat" pfsense / opnsense (kebanyakan buatan sendiri) agak berlebihan.
Dari firewall ini saya benar-benar digunakan untuk tidak menggunakan jembatan di atas beberapa port LAN, jika tidak bandwidth masuk cukup banyak ke ruang bawah tanah dan bagaimanapun selalu sakelar terkelola dengan vlan yang sesuai tergantung di belakangnya.
Sekarang saya telah mengoperasikannya, karena saat ini saya punya waktu:
Mikrotik secara otomatis menggunakan jembatan dalam konfigurasi "Start", dengan heX LAN2-5.Sekarang saya ingin mengatur konfigurasi tanpa jembatan dalam kebiasaan lama, tetapi saya menemukan selama pengujian bahwa jembatan tidak menyebabkan 👍 kerugian kinerja saya dapat menggunakan hilir garis Gigabit yang digunakan untuk pengujian 100% tanpa masalah.
Sekarang jembatan selalu digunakan dalam semua instruksi / tutorial, bahkan dengan yang dari Mikrotik itu sendiri.Pertanyaan saya di sini sekarang adalah, apakah ini filosofi Mikrotik atau apakah itu bahkan menyebabkan kerugian / masalah yang lebih besar jika Anda tidak menggunakan jembatan?
Alangkah baiknya jika seorang "ahli" bisa 😊 mencerahkan saya di sini#2
Jembatan pada Layer 3 juga hardware dipercepat, routing biasanya tidak. Komandan
Pencipta topik ini#3
Jadi. Bahwa saya memahami itu dengan benar.
Sebuah jembatan di heX berjalan perangkat keras-dipercepat, sehingga selalu bisa aktif.Apakah Anda membutuhkannya atau tidak.#4
Tentu saja, Anda hanya perlu jembatan jika antarmuka berada di jaringan yang sama. Anda dapat menetapkan antarmuka dengan cara ini. Tentu saja, ia bekerja dengan aturan perutean yang sesuai tanpa itu. Tergantung pada apa yang harus dicapai. Komandan
Pencipta topik ini#5
Inilah yang ingin saya uji:
ETH1 = WANETH2 = VLAN1 + VLAN2
Kemudian, tentu saja, aturan firewall yang biasa, etablished .... Terkait.... dan sebagainya.
Pada ETH2 (sebagai port bagasi) saya akan memasang sakelar terkelola lama, yang menyediakan VLAN1 Untagged dan VLAN2 Untagged masing-masing pada satu port.
Kemudian saya akan membuat aturan yang meninggalkan VLAN1 di VLAN2 dan VLAN2 tetapi tidak di VLAN1.Dan kemudian, jika perlu, bermain-main dengan Wireguard dll, tapi itu akan datang kemudian.
Pertama-tama, bagian ini tidak langsung tergantung di Internet, tetapi terletak di lingkungan Homelab saya.Berada dalam jaringan pengujiannya sendiri dan benar-benar terisolasi.#6
Satu jembatan per jaringan, DHCP mungkin satu per jembatan. Kemudian tetapkan antarmuka ke jembatan yang benar sesuai kebutuhan. Kemudian tetapkan aturan perutean yang sesuai antara 2 jembatan.Untuk port trunk di mana kedua tag VLAN harus jatuh, Anda dapat membuat antarmuka VLAN per VLAN pada antarmuka yang sesuai dan menetapkan bagian yang belum dijagokan dari jembatan yang sesuai.Berjalan seperti ini di CRS326 saya.#7
Sebuah jembatan di heX berjalan perangkat keras-dipercepat, sehingga selalu bisa aktif.
Itu tergantung pada hEX mana yang Anda miliki persis, lihat: Beralih Fitur Chip
Jembatan di Layer 3 juga dipercepat perangkat kerasnya.
Akselerasi perangkat keras pada layer 3 hanya tersedia dengan RouterOS 7 di MikroTik afaik.
Tentu saja, Anda hanya perlu jembatan jika antarmuka berada di jaringan yang sama.
Satu jembatan per jaringan, DHCP mungkin satu per jembatan.
Ini jelas tidak benar dengan RouterOS. Berikut adalah daftar kesalahan konfigurasi yang paling umum: Layer2 misconfigurationpolyphaseLt. Komandan
Pencipta topik ini#8
Jadi saya sekarang telah mengatur bagian sebagai berikut:Konfigurasi Default dimuatsemua port terbuka seperti .B Telnet ditutup (layanan dinonaktifkan)membuat pengguna lain dan menghapus adminjembatan default pada "Pemfilteran VLAN" diaktifkandi Jembatan Default yang dibuat VLAN2 (VLAN 1 sudah ada)membuat penugasan VLAN yang sesuai di jembatan untuk Tagged dan UntagedKumpulan alamat dan DHCP dibuat untuk VLAN2
Saya mengonfigurasi sakelar terkelola lama yang sesuai dengan VLAN,jadi 1 port bagasi + 1 accesport per VLAN.
Untuk tes pertama saya memasang notebook ke accesport masing-masing.IP ditetapkan dengan benar dan akses Internet berjalan!
Video ini di sini juga membantu (setidaknya sebagian):
Di sana juga dijelaskan bahwa Anda dapat / hanya harus sudut satu jembatan!!!Yang memiliki beberapa jembatan mungkin sangat umum dalam versi RouterOS lama, tetapi tidak lagi!(Tip mungkin berasal dari seseorang yang menggunakan router Mikrotik secara profesional dan secara teratur melatih dirinya di Mikrotik)
Selain itu, instruksi tentang Administartor.de mungkin tidak lagi benar, karena banyak yang telah berubah.#9
Saya hanya bisa merekomendasikan tetap berpegang pada dokumentasi resmi MikroTik atau setidaknya tinggal di forum MikroTik. Di situs lain dan di sebagian besar video Youtube tidak resmi, jumlah sampah yang tak ada habisnya tersebar. Ini biasanya meresahkan lebih dari yang membantu, tetapi Anda tampaknya berada di jalur yang benar. Komandan
Pencipta topik ini#10
Pengguna @0-8-15 Itulah yang saya lakukan!Saya hanya ingin menangkap "konfigurasi yang salah" dari @martinallnet, yang juga dijelaskan😉dalam video sebagai wrongpolyphaseLt. Komandan
Pencipta topik ini#11
Menurut pendapat saya, berikut ini menimbulkan risiko keamanan!Ether1 adalah antarmuka WAN.
Kode:tambahkan chain=input in-interface=ether1 protocol=icmp action=accept comment="allow ICMP";add chain=input in-interface=ether1 protocol=tcp port=8291 action=accept comment="allow Winbox";add chain=input in-interface=ether1 protocol=tcp port=22 action=accept comment="allow SSH";
https://help.mikrotik.com/docs/display/ROS/First+Time+Configuration