Comments 56
Мой микротик периодически теряет сим-карту, помогает либо ребут или обесточивание, либо вынимание и установка карты обратно.
Как это лечить?
Вроде как в версии RouterOS, начиная с 6.40 это пофиксили, если отваливается сам lte-интерфейс, то либо ждать фикс, над которым работают, либо рубить весь лишний udp-трафик, например DNS.
Прошивка вроде 6.40 (не помню точно), интерфейс не отваливается, он пишет — SIM not ready
SXT LTE поддерживает только два диапазона частот — 3 (1710-1785/1805-1880) и 7 (2500-2570/2620-2690). Операторы используют и другие диапазоны. Незнаю можно ли глянуть Status lte-интерфейса когда Sim not ready, если можно, то какая там частота?
А разве Zyxel LTE6100 не является тем же модемом и роутером в одной коробке? Так же позволяет использовать прям на нем VPN IPSec с тем же ZyWALL USG 20/300 с другой стороны. А так же ZyWALL USG 20 позволяет прям в него воткнуть LTE USB модем.
ZyWALL USG это боль и унижение у нас линейка ZyWALL USG 100 и 1000 дропала sip трафик и еще там очень криво работает ospf
а уж работает оспф на микроте, ежели хотя бы штук 5 зон, а лучше 20 и есть что отличное от микрота, тоже в оспф…
Он странно работал, даже просто как LTE-модем, навешивать на него ещё и задачи роутера страшно.
Ну мы же не будем вешать ZyWall на уличный столб)
В sxt не знаю, но сборка mikrotik+usb делается так /system routerboard usb power-reset duration=15s
Иногда от этого воркэраунда только хуже становится. Убедился на собственном опыте. Например — если питание порта вырубилось но не врубилось.
UFO landed and left these words here
Zywall. IPSEC железный где?
А толку нету эта адская железка загибалась постоянно в мониторинге при любой непонятной ситуации на Zywall проц в полку и как говориться SLA в топку, крайне не рекомендую данное железо лет 10 жизни оно у меня отняло пока на CCR не перешли…
UFO landed and left these words here

Судя по вопросу, имеется в виду какая-то специфичная нагрузка. Какая?
В целом, маршрутизации и аппаратные АйпиСеки всякие там на всех ядрах работают.

UFO landed and left these words here
дык у них так фаервол написан, маршрутизации (хотя ей и не надо) и ипсеки всякие тоже не сильно умеют параллелится, до 6.33 точно не моглось, не может оно один тоннель с одним соедининием в несколько процов. Но ежели убрать contrack и запилить stateless, то всё становиццо красиво, но неудобно :)
UFO landed and left these words here
Мкротик не простая «пластмастка». Она реально потрясает своим функционалом.
Далеко не каждый, кто хоть как-то обременен знаниями в области сетевых технологий, сделает простейшую «лабу» по его настройке.
Лично я столкнулся с:
1. Периодически переставали коннектиться l2tp клиенты с ipsec-ом. Заходишь в консоль или web, ребутаешь и какое-то время можно прицепиться удаленно по l2tp. Оказалось, что мешает связка UpNP в микротике и работающая с iCloud Time Capsule от Apple. Выключил UpNP и все заработало.
2. В один момент я его «потерял» и возвращал к завадским. Не знаю как, но я оказался одним из DDOS-еров с использованием DNS. Оказалось, что у него открылся DNS UDP/53 с внешнего интерфейса и на меня летели пакеты с «левого» IP (с адреса жертвы). В итоге, с меня шел поток примерно в 3Мбит/с в сторону жертвы.
3. Решил побороться с мультикастом в сети. Для этого купил switch от того же МТ. Настройка trunk/vlan заняла 3-и вечера. Повторюсь, что я не на столько зелен, чтобы столько времени на это убивать, но это уже было дело чести.
4. Миграция с 750gr2 на 750gr3 тоже оказалась не проста. Простой backup/restore не прошел. Почему-то на новой коробке все интерфейсы оказались перепутаны и многие команды/правила (особенно FW) залились криво (один из интерыейсов остался с дефолтным именем). В итоге, вливал партиями по категориям с полной выверкой всех параметров. На это тоже ушло 2-а вечера.
5. В последней пршивке после захода в графики (аналог mrtg) перестает работать web-морда. Почему не работает я пока не разобрался. Просто ребутаю коробку из ssh терминалки или питанием. Я даже пошил rc версией, но это тоде не помогло. Откат был с перезаливкой софта в рекавери мод и восстановлением из backup.
6. Еще обнаружил, что даже если на winbox (или как там называется эта приблуда) установить сеть откуда можно в нее стучаться, то ее порт (номер не помню) все равно отвечает с WAN интерфейса. Зайти, правда, не дает.

Несмотря на это, я все равно не вижу альтернативы для домашнего или малоофисного применения. Этот «пластик» не дает мозгам заржаветь.
Не верю в дешевую и безглючную Cisco…
MT RB750Gr3 (без wifi) стоит 3500—3700 рубликов. С AC-шным WiFi чуть более 7500. Функционала хватает с лихвой…
По поводу п.4 — на вики микротика вроде бы даже написано, что backup/restore предназначен для одного и того же устройства. А уж если говорить про разные устройства — то он не должен использоваться. Для этого используют export file=blablabla.
Ещё мне понравилось в SXT LTE наличие, простенького System — Health монитора, показывающий вольтаж и температуру.
В моих домашних RB951Ui-2HnD и hap Lite такого нет)

Правильно ли я понимаю, что вы в рабочую среду с белым адресом на LTE-интерфейсе установили роутер с девственно чистым фильтром файрвола (и единственный костыль добавили, когда роутер начали использовать для DNS Amplification) — и прилюдно рекомендуете так делать, удаляя правила, которые "случайно" находятся там по умолчанию, добавленные ничего не понимающим в этом производителем? Это и есть ваше "настроить самостоятельно"?


Надеюсь, хотя бы пароль поменяли не на 12345...

Ну не буду же я описывать логику всех 37 правил, котороые у меня фаерволе прописаны)
Если интересно, руководствовался правилом белых списков, всё что не разрешено — drop.
На самом деле, было бы неплохо её описать. Например, пояснить, как с белым списком осталась такая огромная дырень для Amplification-атак.
Если мне не изменяет память, там вроде если всё drop, но в настройках ДНС сервера стоит «Allow remote request», то 53 порт остаётся открытым. Сам проверить не могу, ибо у себя на микротиках ДНС не использую.
Не остается. Только что перепроверил, 53 порт закрыт. Это при дропе всех входящих соединений на внешний интерфейс.
Надеюсь у вас не холодно, эта замечательная железяка замерзает при -30, lte интерфейс пропадает и не появляется пока не отогреть.
микротик компания не понятная. хочет сделать всё в одном… но под капотом всё старое железо… неужели нельзя проц нормальный поставить… вон например mediatek… для графики может плохой а для роутера +LTE модем будет хорошим решением… ну конечно сколько этот проц проработает… ну альтарнатив много… или компания боится что не кто дорогую железку не будут брать? ну если хорошая качественная машина чтоб не взять…
«Маршрутизацию между подсетями Mikrotik добавит автоматически и будет осуществлять силами switch-чипа, тем самым не создавая нагрузку на процессор. »

Я всегда думал, что микротик осуществляет маршрутизацию за счёт цпу, а коммутацию за счёт switch чипа, ткните носом в документацию пожалуйста! В официальной Вики не нашел, либо я слепой…
Угадайте — сколько сетевых интерфейсов у SXT? Какой switch в железке с 1 интерфейсом?
Я читал все это, но тем не менее я не понимаю, как свитч модуль, который работает на уровне L2, будет обеспечивать маршрутизацию, которая на L3? Если трафик в пределах одной подсети — вопросов нет. Но тут несколько разных сетей и маршрутизация между ними.
Конфигурация с несколькими IP на одном интерфейсе, является слегка корявой.
Если она сейчас выполняет нужные функции, при развитии локальной инфраструктуры могут появиться сложности. Лучше бы все же дошли до варианта с VLANами, благо это стандарт, и не зря.

Минусы данной схемы:
1. Бродкаст от всех внутренних узлов на данный момент у вас получают все остальные. С каждым новым хостом количество паразитического трафика растет.
2. Потенциальный контроль трафика между сетями в данной схеме не может быть корректно осуществлен. Любой узел, взяв адресацию другой сети, имеет к ней доступ в обход гейтвея.
3. Та же проблема с любым мультикастом — каждый узел может получить доступ к любому мультикаст трафику на объекте.

Это что приходит на ум на лету, потенциально тут еще больше подводных камней. Лично мой совет разработать более корректный дизайн и при следующем планируемом отключении на объекте — осуществить.

P.S. Статья не плохая! Успехов с МикроТиками, они и вправду не имеют конкурентов в определенном сегменте, данная железка — один из таких!
Успех с микротиком вас не ждет. Я собаку съел на их использовании. Были и 3G и LTE установки. Это не продукт. Это брошенный по пути полуфабрикат-труп, вам ничего не гарантируется. И пример статьи это показывает. Отвалы, чувствительность по питанию, экономят на всём, на мой взгляд плохая электромагнитная совместимость в режиме клиента или репитера — попробуйте в частном доме использовать его как репитер. Микротик не умеет по умному управлять мощностью передачи, это очень критично когда меняется расстояние между приемником и излучателем — а такое может быть. Вай фай сейчас хотят везде, даже чтобы в кабине лифта работал. Латвийцы не умеют и не хотят уметь нормально тестировать, весь форум засран такими вот проблемами с обновлениями. Чего только стоит обсуждение 7 версии их ОС, которую не могут выпустить уже наверное года 3-4. VPN — у микротиков дохлый проц, скорость на виртуальных сетях с распространенными клиентами — это буквально 2-5 Мбит. Это нонсенс — такие скорости были лет 15 назад. Компания выпустила облачную версию ОС — тоже самое. Зачем в облаке нужны такие ущербные технологии, если банально берешь Linux и связка клиент-сервер в openVPN спокойно дает 20-50% ширины канала и упирается лишь в процессор.
А посоветуйте альтернативу, плз, в той же ценовой и аппаратной нише.
И,
Не могу сказать, что гуру в MikroTik, у меня их всего штук восемь на хозяйстве, но ИМХО, автор статьи слаб в сетях и системном подходе, ляп на ляпе, я бы не посоветовал данную статью как источник информации.
И,
По поводу производительности, буквально вчера гонял стенде два RB3011, порт в порт — IPSEC, на внутреннем генераторе трафика, UDP/TCP, packet size 1000, скорость в пределах 37Мб/сек в одном направлении, в двух ~22Мб, загрузка одного ядра — 100%, второе в простое, RouterOS 6.39.4
Спс за критику, но не могли бы уточнить в чём ляп, можно и в личку.
Я за саморазвитие, наверно как и большинство, обучался самостоятельно и методом проб/ошибок, буду очень рад конкретному, развернутому ответу.
Конечно. Сразу скажу, что мои рекомендации совершенно не претендуют на абсолютную истину. Всего лишь выжимка из опыта и знаний.
1.Не нужно ставить сразу новейшую прошивку. Исходя из разумной достаточности, нужно поставить последнюю предыдущую, ибо в ней уже пофиксены многие баги. У Микротика сейчас 6.40.1, значит берем 6.39.4.
2.Ставить на удаленную площадку не обкатанную железку — моветон. Ибо высока вероятность мучений на объекте. Также, вероятность отказа электронного оборудования (из моих знаний) распределяется следующим образом: первые 14 дней вероятность отказа высока (заводской брак), следующие 3-5 лет вероятность отказа низка, далее — вероятность отказа высока. Отсюда вывод — перед установка в продакшен обкатать хотя бы неделю на стенде.
3.Нехороших людей в сети много, поэтому, второе, что нужно сделать после запуска интерфесов и маршрутизации — прописать «жесткий» ACL, разрешить только явно нужное, остальное запретить. Из локальной сеть — reject, из публичной — drop.
Неплохо повесить на внешний интерфейс правила считающий кол-во SYN пакетов в единицу времени и добавляющие в некий список src ip. Следующим правилом дропать пакеты с src ip из созданного списка.
4.«Маршрутизацию между подсетями Mikrotik добавит автоматически и будет осуществлять силами switch-чипа, тем самым не создавая нагрузку на процессор» — с моей точки зрения — абсурд. Свитч — устройство второго уровня и маршрутизацией заниматься не умеет, его задача коммутировать кадры между портами на основании MAC адресов, у вас на уст-ве один сетевой интерфейс, поэтому речь про коммутацию идти как-бы не должна, ибо у Вас IP адреса, а это третий уровень. С моей точки зрения все пакеты пойдут в ядро. И как правильно замечено выше — перейти из сети в сеть не составит труда и каждая сеть будет флудить другую широковещательными пакетами. Если это Ваш конечный вариант, то правильнее, ИМХО, прописать на внутреннем интерфейсе правила форварда разрешающие пакеты только между внешним и внутренним инт., а пакеты из внутреннего инт. во внутрениий (т.е. остальные) — дропать.
Конечно, софт на Вашем уст-ве может выступать в роли маршрутизатора, но вешать на него несколько сетей нехорошо, если нужно реально разделить внутрение сети, то правильнее поставить после него коммутатор третьего уровня или много-портовый маршрутизатор. VLAN дело конечно хорошее, но в Ваших условиях, мне кажется лучше не станет, поскольку трафик из транка все одно придет в ядро и ему придется решать, что с ним делать (исключая широковещательный трафик, который останется в своем вилане.)
5. Ваше уст-во содержит направленную антену, не «омни». Если у Вас сота на расстоянии 100 метров, то это все, если же вы «пробиваете» километр и больше, то необходимо задуматься о точном выставлении на соту и о зонах Френеля. Об этом ни слова.
Пойдет снег, сильный дождь и качество канала просядет — нужно принять превентивные меры, что бы избежать «отказа в обслуживании».
7.Ничего не сказано про VPN. А это важно, в особенности при использовании радиоканала, который не очень хорошо «переносит» большие пакеты. Хотя если у вас просто доступ из локалки к сайтам, то это не нужно. MTU на внешнем инт. я бы «зажал», хотя бы до 1000. «Вялый» канал все же лучше, чем канал с «дропами».
8. И последнее — из Вашей статьи сложно почерпнуть, что то иное, кроме инструкции и ФАК'а на уст-во.
Спасибо за разъяснение.

По поводу 4 пункта, подразумевалась коммутация, писал под вечер на тяжёлую голову, вышла опечатка.
Мде, если вы микротик по мануалам не в состоянии настроить — бросайте это дело. Из личног оопыта скажу — покупал для клиентов с 10 SXT LTE — работают отлично видимо проблема в кривых руках. Скорости до 50-60 мегабит прокачивает на ура. Отвалов сим карты вообще ни разу не было ни на одном из 10 устройств. Прошивку всегда стараюсь ставить последнюю и читаю чейнджлоги, а не от балды. Там есть вотчдог который перезагрузит устройство в случае падаения LTE канала и прочее. На некоторых устройствах аптаймы иногда бывают с неделю а то и 2.

Проблема — поработав несколько часов без потребления интернета (ночью, когда никого нет), он перестает раздавать интернет (веб-интерфейс при этом доступен), помогает только перезагрузка.
Как вылечить? Ну или хотя бы сделать автоматическую перезагрузку каждые 5 часов.

Only those users with full accounts are able to leave comments. Log in, please.