[Из песочницы] Подводные камни настройки Mikrotik SXT LTE21.08.2017 19:18

Комментарии 19

sopov
21 августа 2017 в 16:23

+1

Мой микротик периодически теряет сим-карту, помогает либо ребут или обесточивание, либо вынимание и установка карты обратно.
Как это лечить?
- AkaZLOY
  
  21 августа 2017 в 16:47
  
  –1
  
  Вроде как в версии RouterOS, начиная с 6.40 это пофиксили, если отваливается сам lte-интерфейс, то либо ждать фикс, над которым работают, либо рубить весь лишний udp-трафик, например DNS.
  - sopov
    21 августа 2017 в 16:52
    
    +1
    
    Прошивка вроде 6.40 (не помню точно), интерфейс не отваливается, он пишет — SIM not ready
    - AkaZLOY
      21 августа 2017 в 18:16
      
      –1
      
      SXT LTE поддерживает только два диапазона частот — 3 (1710–1785/1805–1880) и 7 (2500–2570/2620–2690). Операторы используют и другие диапазоны. Незнаю можно ли глянуть Status lte-интерфейса когда Sim not ready, если можно, то какая там частота?
SysCat
21 августа 2017 в 16:32

0

А разве Zyxel LTE6100 не является тем же модемом и роутером в одной коробке? Так же позволяет использовать прям на нем VPN IPSec с тем же ZyWALL USG 20/300 с другой стороны. А так же ZyWALL USG 20 позволяет прям в него воткнуть LTE USB модем.
- procfg
  21 августа 2017 в 16:35
  
  0
  
  ZyWALL USG это боль и унижение у нас линейка ZyWALL USG 100 и 1000 дропала sip трафик и еще там очень криво работает ospf
- AkaZLOY
  21 августа 2017 в 16:41
  
  0
  
  Он странно работал, даже просто как LTE-модем, навешивать на него ещё и задачи роутера страшно.
  Ну мы же не будем вешать ZyWall на уличный столб)
procfg
21 августа 2017 в 16:34

+1

В sxt не знаю, но сборка mikrotik+usb делается так /system routerboard usb power-reset duration=15s
DenMMM
21 августа 2017 в 16:41

0

Всего один раз ставил Zyall USG (20W VPN), но его недостатки не заметить было сложно…
И все же позанудствую:
— 2 в 1, заменял собой сразу 2 железки — роутер и lte-модем;

То что в Микрота каждая железка «типа рутер», не делает SXT заменой Zywall. IPSEC железный где? Они просто для разных задач.
- procfg
  21 августа 2017 в 16:48
  
  0
  
  Zywall. IPSEC железный где?
  А толку нету эта адская железка загибалась постоянно в мониторинге при любой непонятной ситуации на Zywall проц в полку и как говориться SLA в топку, крайне не рекомендую данное железо лет 10 жизни оно у меня отняло пока на CCR не перешли…
  - DenMMM
    
    21 августа 2017 в 17:09
    
    0
    
    Так и я не рекомендую. Одного хватило. :)
    А CCR научилось распределять нагрузку по всем своим ядрам?…
- AkaZLOY
  21 августа 2017 в 16:52
  
  0
  
  IPSec не был востребован. А так согласен назначения разное.
Expelliamus
21 августа 2017 в 16:50

+1

/ip dns set allow-remote-requests=no
На устройстве отключится DNS сервер. Для всех.
- procfg
  21 августа 2017 в 16:51
  
  0
  
  Или можно просто с внешки 53 порт закрыть
  - AcidVenom
    21 августа 2017 в 18:26
    
    0
    
    Или вообще все новые подключения закрыть, что гораздо лучше.
eov
21 августа 2017 в 18:14

–1

Мкротик не простая «пластмастка». Она реально потрясает своим функционалом.
Далеко не каждый, кто хоть как-то обременен знаниями в области сетевых технологий, сделает простейшую «лабу» по его настройке.
Лично я столкнулся с:
1. Периодически переставали коннектиться l2tp клиенты с ipsec-ом. Заходишь в консоль или web, ребутаешь и какое-то время можно прицепиться удаленно по l2tp. Оказалось, что мешает связка UpNP в микротике и работающая с iCloud Time Capsule от Apple. Выключил UpNP и все заработало.
2. В один момент я его «потерял» и возвращал к завадским. Не знаю как, но я оказался одним из DDOS-еров с использованием DNS. Оказалось, что у него открылся DNS UDP/53 с внешнего интерфейса и на меня летели пакеты с «левого» IP (с адреса жертвы). В итоге, с меня шел поток примерно в 3Мбит/с в сторону жертвы.
3. Решил побороться с мультикастом в сети. Для этого купил switch от того же МТ. Настройка trunk/vlan заняла 3-и вечера. Повторюсь, что я не на столько зелен, чтобы столько времени на это убивать, но это уже было дело чести.
4. Миграция с 750gr2 на 750gr3 тоже оказалась не проста. Простой backup/restore не прошел. Почему-то на новой коробке все интерфейсы оказались перепутаны и многие команды/правила (особенно FW) залились криво (один из интерыейсов остался с дефолтным именем). В итоге, вливал партиями по категориям с полной выверкой всех параметров. На это тоже ушло 2-а вечера.
5. В последней пршивке после захода в графики (аналог mrtg) перестает работать web-морда. Почему не работает я пока не разобрался. Просто ребутаю коробку из ssh терминалки или питанием. Я даже пошил rc версией, но это тоде не помогло. Откат был с перезаливкой софта в рекавери мод и восстановлением из backup.
6. Еще обнаружил, что даже если на winbox (или как там называется эта приблуда) установить сеть откуда можно в нее стучаться, то ее порт (номер не помню) все равно отвечает с WAN интерфейса. Зайти, правда, не дает.
Несмотря на это, я все равно не вижу альтернативы для домашнего или малоофисного применения. Этот «пластик» не дает мозгам заржаветь.
- Darka
  21 августа 2017 в 18:38
  
  0
  
  Cisco 8xx
  - eov
    21 августа 2017 в 18:54
    
    0
    
    Не верю в дешевую и безглючную Cisco…
    MT RB750Gr3 (без wifi) стоит 3500—3700 рубликов. С AC-шным WiFi чуть более 7500. Функционала хватает с лихвой…
AkaZLOY
21 августа 2017 в 18:22

0

Ещё мне понравилось в SXT LTE наличие, простенького System — Health монитора, показывающий вольтаж и температуру.
В моих домашних RB951Ui-2HnD и hap Lite такого нет)

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.