UWAGA! W 14:30 błędnie podałem, że trzeba włączyć Use IP firewall dla bridge. W rzeczywistości będzie działać bez tego, a włączenie tego znacząco spowolni forwardowanie na bridge. Zmylił mnie bardzo długi czas od dodania reguły, do kiedy zacznie ona działać i myśałem, że problem jest w braku włączonego firewalla na bridge. On jest potrzebny jedynie jak chcecie filtrować ruch bezpośredni pomiędzy urządzeniami podpiętymi do tego samego bridge albo stosować dla nich kolejki.

Super materiał. Materiały o Mikrotiku są fajne i ciekawe. Jestem za większą ilością materiałów o MT. Pozdrawiam.

Baaardzo brakowało takiego odcinka, dzięki! :)

Dzięki za materiał. Wspaniała robota a o mikrotiku nigdy dość.

super material

❤Więcej Mikrotika!! 😊

21:36 - lepiej zablokować na Firewallu. Bo to że wyłączymy NAT'a, - faktycznei odetnie internet -ale pakiety nadal będą wychodzić łączem internetowym niepotrzebnie zaśmiecając go pakietami :)

Super dzięki 😀

Dziękujemy.

Myślę, że warto też robić takie filmy. Wiadomo, że poradniki na co dzień są mniej ciekawe od zwykłych vlogów gdzie pokazujesz działanie sieci w praktyce, gdzieś na działce czy coś. Natomiast przyjdzie czas, że i z poradników nazbiera się wyświetleń, jak ktoś coś będzie potrzebował zrobić :)

Świetna robota!

Siemka ! Rub takie materiały. Jak najwięcej takie praktyczne dla mniejszych firm, domów. Bo jak słyszę cisco to krew mnie zalewa. Może warto jakąś ankietę zrobić

Kilka tygodni temu bawiłem się w GNS3 VLAN-ami na wirtualnych Mikrotikach. Zastanawiałem się czemu mogą się ze sobą komunikować choć na logikę nie powinny. Chyba dałeś mi na to odpowiedź. Dzięki

Dziękuję, kolejny fajny film! Moim zdaniem, lepiej robić taką konfigurację nie na bridge a VLAN'ach. Większość tanich mikrotików ma tylko jednego Switch Chip'a więc kiedy Tworzysz nowe bridge obsługuje je sam CPU a to powoduje, że po prostu mocno spada przepustowość sieci.

Super

Thanks!

Izolować użytkowników można na bardzo wielu poziomach. Mikrotik ma całkiem fajne narzędzia które pozwalają na odizolować klientów - jeden od drugiego ale nie wszystkie w filmie oczywiście wymieniłeś. Nie trzeba do tego używać VLANów - można użyć funkcjonalności przełącznika wbudowanego w większość Routerboardów - wchodzimy w Switch / Port Isolation. Tutaj możemy zdefiniować opcją Forward To - gdzie ruch z danego portu ma trafiać - dzieki temu możemy odizolować sobie warstwę 2 na przełączniku bez użycia VLANów. Oczywiście ma to swoje ograniczenia ale czasami się przydaje. Jeśli nasza konfiguracja jest bardziej skomplikowana to możemy używać izolacji pomiędzy portami już w samym mostku - po dodaniu portu do mostka ustawiamy wpis "Horizon" w celu odizolowania portów. Jeśli porty mają ten sam numer Horizon - nie będą się między sobą widzieć. Jest to przydatne przede wszystkim w nadmiarowych tunelach gdzie nie chcemy powodować pętli. Ważna rzecz i moim zdaniem błąd w twojej konfiguracji - jeśli tworzysz mostek to rozsądnie jest nie włączać bez potrzeby protokołu RSTP. Tak wiem - zabezpiecza to przed pętlą (choć nie do końca) - ale żeby to dobrze działało trzeba to robić pełną świadomością który przełącznik w naszej sieci będzie tzw. root-switchem. W przeciwnym wypadku kiedy nasz główny przełącznik nie będzie root-switchem mogą dziać się naprawdę dziwne rzeczy. To tak na marginesie. Spotkałem się z bardzo wieloma przypadkami gdzie włączony RSTP na routerze powodował konflikt z jakimś switchem lub urządzeniem. Opcją o większych możliwościach jest poszatkowanie sieci albo VLANami - ale tutaj też musimy zmierzyć się jak w każdym wypadku izolacją per-VLAN-routing już na wyższej warstwie - zamiast tony regułek dla sieci IOT (tak żeby nie miała dostępu do czegokolwiek - jest po prostu redystrybucja błędnej bramy lub jej nie ustawiania w serwerze DHCP).

Dziękujemy.

Czy uważasz że do niedużej firmy mikrotik (np ccr2004) jako urządzenie brzegowe jest dobrym wyborem? A może od razu lepiej iść w UTMy?

MImo tego , że temat jest o separacji sieci, to ja bym chciał zapytać czy jest możliwa integracja np. dwóch sieci Mikrotikowych (w tzw. sieć domową na potrzeby strumieniowania video Netflix itp). Czyli mamy dwie sieci w dwóch miejscach w kraju, rodzice i dzieci mieszkające osobno. Czy da się te sieci zintegrować (VPN, VLan-y), żeby od strony operatora było to widoczne ja jedna sieć. Te same SSID i co tam jeszcze trzeba).Nie chodzi wcale do zdalny dostęp z Internetu do domu, tylko cos bardziej wyrafinowanego. Chętnie postawie kawę prowadzącemu kanał TechGlobuz jeśli zrobi taka prezentację, albo przynajmniej okresli ramy techniczne tego co trzeba zrobić. Albo też powie, że tego sie nie da zrobić. Czekam na opinie.

Fajne filmiki. Mam 2 szt. AP które rozgłaszają sieć Wi-Fi domową i IoT. Pytanie teraz jak ustawić VLANy ? Nie mogę przypisać VLAN do portu na switchu, ale czy mogę przypisać sieć Wi-Fi do VLAN1, domową do VLAN2 i trunkiem puścić na port ETH do switcha i tam roztrunkować ?

Świetny materiał! Czy było gdzieś może wcześniej poruszane zagadnienie ograniczania dostępu, a dokładniej izolacji ruchu z różnych wirtualnych AP za pomocą VLAN?

Selekcjonowanie maskarady w ten sposób bez koegzystującej reguły fw skutkuje bezsensownymi pakietami po stronie ISP (pakiety z sieci iot będą routowane bez maskarady toteż trafią tam z ich wewnętrznymi adresami ip), ruch powinien być wycięty na firewallu.

Sieci zawsze robię na vlanach. Metoda " bridgowa" ma jakieś zalety w stosunku do vlanow.?

Hejka. Zastanawiałem się czy nie poprosić dostawcy o dodatkowe adresy IP do sieci i mam pytanie - jak wyroutowac na mikrotiku taką podsieć, żeby w sieci lokalnej urządzenia fizycznie miały zewnętrzne adresy?

Jak wykonać izolację klientów danej podsieci jeśli mam np. WiFI dla gości i nie chce aby się nawzajem widzieli?

czy jest mozliwosc żeby po wireguard dostac sie do sieci VLAN? mam jeden komputer zdalny i chciałbym przez tunel wg miec dostęp do niego.

thxs

please tell us how to connect multiple remote clients to the same wireguard server? I have several clients without a Dedicated address (they are all for the nat provider). Only one microtick has a real address. I want to connect several remote clients to it and have them see each other. how to do it?

Ja w zasadzie to oglądam głównie z powodu mikrotika

Świetny materiał. Link do kawy nie działa:(. Da się na mikrotiku zablokować dostęp do stron na FB dla jednego adresu?

14:30 to nie prawda, use ip firewall powoduje że zarzynasz tego mikrotika ponieważ cały ruch wewnątrz bridga leci wówczas przez firewall. Wyłącz sobie tę opcję i zobacz że same regułki w firewallu normalnie działają i filtrują ruch pomiędzy bridgami.

kawa postawiona ;)

A czy w mikrotik jest 802.1X ?

Tak jak poprzednicy , bardzo fajny merytoryczny materiał i cała seria o mikrotiku. Chciałbym również zaproponować temat na któryś z odcinków, mianowicie DDNS i dodatkowo z wersją za podwójnym NAT-em czyli wtedy gdy interfejs WAN nie posiada adresu zewnętrznego. Informacyjnie jeżeli ktoś szuka dobrego serwera do DDNS-a to proponuję OVH, wykupujemy domenę, i możemy w tej domenie zaparkować ile chcemy subdomen z możliwością automatycznej aktualizacji adresów IP, bez żadnych kosztów. Wszystko co musimy opłacać to roczny abonament za utrzymanie domeny.

Dziwi mnie to, że seria o mikrotiku słabo się ogląda, ale statystyki nie kłamią. Moim zdaniem te filmy są na prawdę ogromnym źródłem przydatnej wiedzy dla uczących się sys adminów jak i dla zwykłych użytkowników, którzy chcą być bardziej świadomi co się u nich w sieci dzieje. Sam jakiś czas temu miałem ogromne problemy aby zastosować znelezioną w internetach wiedzę gdyż przypadek był mocno specyficzny i zastosowanie prostych rozwiązań wiązało się z dużymi ograniczeniami. Po tym jak cały projekt udało się zamknąć Ty zacząłeś wrzucać te filmy :) pzdr ixi

świetny materiał -

Dziękujemy.