• Apparati e reti
  • Configurazione rete – Aggregazione WAN + Failover con Mikrotik + Firewall

gio79 non è comparabile a firewall ngfw

Non c'è niente di soho che abbia una "ngfw".
Ci si avvicina ubiquiti.. ma comunque non è un un "ngfw".

Draxen Firewall: Ho inserito dei MikroTik L009UIGS-RM per migliorare la sicurezza, ma ho ricevuto pareri discordanti sulla loro reale efficacia.

Hai inserito ?
Quanti ne hai messi ?

Draxen Firewall: alcuni dicono che gli switch Mikrotik non possono fare da firewall,

Uno switch fa lo switch, il firewall fa il firewall.
C'è una serie di switch che può fare anche da router... ma non lo farei.

  • Modificato

Draxen alcuni dicono che gli switch Mikrotik non possono fare da firewall, mentre altri sostengono il contrario. Voglio capire esattamente come stanno le cose.

In teoria lo fanno, nella pratica è un suicidio. Gli switch Mikrotik hanno CPU estremamente lente, adatte a gestire i comandi per le impostazioni e basta. Tutto quello che esce dalle funzioni del chip dello switch è praticamente inutilizzabile, infatti Mikrotik produce guarda a caso anche dei router.... Che al contrario hanno buone CPU per routing/firewall mentre le loro funzioni switch sono basilari. Ma pensa un po'!!
Con la maggior parte degli switch Mikrotik è già tanto che fai da router/firewall a una adsl 7 Mbps 🤣

  • Autore

Questa è la situazione odierna, a dire il vero il router mikrotik non è mai stato messo. sta facendo da ferma porte. se qualcuno volesse darmi consigli sono ben accetti. siate magnanimi.

https://www.canva.com/design/DAGh0_l_UI4/2PPZlmmiue_omtfbAB79BA/edit?utm_content=DAGh0_l_UI4&utm_campaign=designshare&utm_medium=link2&utm_source=sharebutton

    Draxen a dire il vero il router mikrotik non è mai stato messo. sta facendo da ferma porte.

    Ma lo sai configurare? Perché se bisogna guidarti nel fare tutto da zero diventa lunga.

    • Draxen ha risposto a questo messaggio

      Draxen Riesci a fare un disegno/schema della tua rete attuale?
      Perché così è piuttosto complicato capirla, va bene anche a mano o con app come https://app.diagrams.net/

      • Draxen ha risposto a questo messaggio
        • Autore

        Hadx purtroppo, ho pagato 50 € l’ora per provare a configurarlo.
        ma quanto pare adesso servono consulenti da 150 € l’ora, chiedevano rima tappare tutta la rete. Per poi trovare una soluzione. Quindi il fatto è chiedere a voi nel forum era per evitare di star lì a far uscire 20 volte i tecnici e trovare una soluzione meno onerosa. Ovviamente interpellando chi di dovere.

        gio79 lo so hai ragione.
        Adesso vedo di farla disegnare.

          Draxen purtroppo, ho pagato 50 € l’ora per provare a configurarlo.
          ma quanto pare adesso servono consulenti da 150 € l’ora,

          E chi hai chiamato ?

          • Draxen ha risposto a questo messaggio
            • Modificato

            Draxen purtroppo, ho pagato 50 € l’ora per provare a configurarlo.

            Da quello che hai scritto non è una configurazione con 200 router in vrrp, switch in mlag, con uno tuo ASN e ci metti pure bgp, vpn o robe astruse.
            sono 2 connessioni da collegare ad un router, configurarlo per stare sempre online in caso di caduta di una delle connessioni, poi è una normale lan (magari anche con le vlan), qualche AP, un paio di switch con pc, stampanti, pos ...
            Roba che un qualsiasi tecnico te lo fa in un meno di una giornata di lavoro e poi ti fa assistenza da remoto.

            Se vuoi stare su apparati Mikrotik potresti cercare qualche professionista certificato (chiedi a google elenco dei nomi). qui magari ti possiamo dare qualche dritta, consiglio, ma se sei in ambito professionale, mio parere, meglio essere seguiti da professionisti seri.

              gio79 Da quello che hai scritto non è una configurazione con 200 router in vrrp, switch in mlag, con uno tuo ASN e ci metti pure bgp, vpn o robe astruse.

              L'incognita è sempre il bonding però. Quello c'è rischio che glielo vendano a prezzo d'oro visto che è roba SD-WAN

              • gio79 ha risposto a questo messaggio
                • Autore

                Technetium un informatico del mio paese. di sarezzo provincia di Brescia

                  Draxen Spero che per 150€/h abbia le certificazioni di Cristo... 🙂

                    • Autore

                    Lui vuole 50 € l’ora.
                    Adesso dice che c’è un sistemista microtik che dovrebbe salire.
                    la cosa che mi dà fastidio. È che gli ho dato una mano per quattro weekend di fila ad ottobre. E adesso sembra che bisogna ripartire da capo. Ovvero riguardare tutta la rete per poi trovare una soluzione.
                    Capisco che bisogna fare un po’ di analisi però a cosa è servito il vecchio lavoro se poi adesso bisogna ripartire da capo?
                    Tutto qua

                      • Modificato

                      Lorenzo1635 L'incognita è sempre il bonding però. Quello c'è rischio che glielo vendano a prezzo d'oro visto che è roba SD-WAN

                      io direi niente bonding (i costi esplodono), ma un semplice fault tolerance.

                        gio79

                        Era per soddisfare il secondo requirement che ha imposto OP. Se fà LB o FT non lo rispetti

                        Draxen Ovvero riguardare tutta la rete per poi trovare una soluzione

                        Onestamente...
                        Se non hai bisogno di bonding ma solo di fare fault-tolerance una volta che hai fatto il diagramma di rete 3/4 della complessità (non del tempo) è andato

                        Draxen
                        Ma cosa vuoi fare ?
                        Failover è fattibile.
                        Load balancing su base "connessione" lo sconsiglio su connessioni così diverse. Funzionerebbe male... poi molti siti con sicurezza si piantano.

                        Lorenzo1635
                        Dipende dal lavoro, ma ho visto aziende chiedere quei soldi...

                        • Hadx ha messo mi piace.
                        • Modificato

                        Draxen
                        Schematizza la tua rete e posta qui, ma soprattutto pensa bene a quali siano le tue reali esigenze in modo che possiamo indirizzarti verso una soluzione adeguata.

                        Una connessione SD-WAN (Software-Defined Wide Area Network) utilizza principalmente load balancing a livello di rete e trasporto (L3/L4), con tecniche avanzate per ottimizzare la latenza, la perdita di pacchetti e la disponibilità delle connessioni; nel tuo caso sarebbe una versioneepiù "casalinga" usando Mikrotik.

                        Il bonding è un'aggregazione L2 e va utilizzata per aggregare le nic di un server ed avere maggior hroughput e failover (non è il caso in oggetto).

                        • Draxen ha risposto a questo messaggio

                          Draxen

                          Non è proprio una connessione di casa 😄

                          Mikrotik è imprescindibile? Perché con altre tipologie di OS / Hardware il load balancing / failover si fa facilmente anche da interfaccia grafica....

                          gio79
                          Openmptcp = openwrt
                          Che sarebbe quello che consiglierei anche io, ma dovrebbe buttare alle ortiche mikrotik e non so se può farlo....

                          • gio79 ha risposto a questo messaggio
                            • Autore

                            questa è la configurazione dello switch:# 2025-02-26 07:29:57 by RouterOS 7.16.1

                            software id = YDL8-8X9M

                            #

                            model = CRS326-24G-2S+

                            serial number = HGG09GF9XRB

                            /interface bridge
                            add name=bridge1
                            /interface ethernet
                            set [ find default-name=ether17 ] name="ether17 - Starlink"
                            set [ find default-name=ether18 ] name="ether18 - Intred"
                            set [ find default-name=ether24 ] name="ether24 - Gestione Rete"
                            /ip pool
                            add name=Pool-Chalet ranges=10.10.0.1-10.10.0.200
                            add name="Pool - Alcide" ranges=10.0.0.1-10.0.0.68,10.0.0.70-10.0.0.254
                            add name=dhcp_pool2 ranges=10.0.0.1-10.0.0.68,10.0.0.70-10.0.0.254
                            add name=dhcp_pool3 ranges=10.0.0.1-10.0.0.68,10.0.0.70-10.0.0.254
                            add name=dhcp_pool4 ranges=10.10.0.1-10.10.0.200
                            add name=dhcp_pool5 ranges=10.10.0.1-10.10.0.200
                            add name=dhcp_pool6 ranges=10.10.0.1-10.10.0.200
                            /ip dhcp-server
                            add address-pool=dhcp_pool6 interface=bridge1 lease-time=2h name=dhcp1
                            /port
                            set 0 name=serial0
                            /queue simple
                            add max-limit=15M/15M name="Limite Intred" target="ether18 - Intred"
                            add max-limit=15M/30M name="Limite Starlink" target="ether17 - Starlink"
                            /routing table
                            add disabled=no fib name=ISP1
                            add disabled=no fib name=ISP2
                            /interface bridge port
                            add bridge=bridge1 interface=ether1
                            add bridge=bridge1 interface=ether2
                            add bridge=bridge1 interface=ether3
                            add bridge=bridge1 interface=ether4
                            add bridge=bridge1 interface=ether5
                            add bridge=bridge1 interface=ether6
                            add bridge=bridge1 interface=ether7
                            add bridge=bridge1 interface=ether8
                            add bridge=bridge1 interface=ether9
                            add bridge=bridge1 interface=ether10
                            add bridge=bridge1 interface="ether24 - Gestione Rete"
                            add bridge=bridge1 interface=ether14
                            add bridge=bridge1 interface=ether11
                            add bridge=bridge1 interface=ether12
                            add bridge=bridge1 interface=ether13
                            add bridge=bridge1 interface=ether15
                            add bridge=bridge1 interface=ether16
                            add bridge=bridge1 interface=ether19
                            add bridge=bridge1 interface=ether20
                            add bridge=bridge1 interface=ether21
                            add bridge=bridge1 interface=ether22
                            add bridge=bridge1 interface=ether23
                            /ip address
                            add address=10.10.0.254/24 interface=bridge1 network=10.10.0.0
                            /ip cloud
                            set update-time=no
                            /ip dhcp-client
                            add interface="ether17 - Starlink"
                            add interface="ether18 - Intred"
                            /ip dhcp-server lease
                            add address=10.10.0.48 client-id=1:c8:5a:cf:ac:e5:8f mac-address=C8:5A:CF:AC:E5:8F server=dhcp1
                            add address=10.10.0.201 client-id=1:0:1a:e0:0:80:19 comment="Cassa 1" mac-address=00:1A:E0:00:80:19 server=dhcp1
                            add address=10.10.0.202 client-id=1:0:60:ef:20:da:55 comment="Cassa 2" mac-address=00:60:EF:20😃A:55 server=dhcp1
                            add address=10.10.0.203 client-id=1:50:af:73:31:42:6c comment="Cassa 3" mac-address=50:AF:73:31:42:6C server=dhcp1
                            add address=10.10.0.204 client-id=1:8c:4:ba:9d:14:8d comment="Cassa 4" mac-address=8C:04:BA:9D:14:8D server=dhcp1
                            add address=10.10.0.206 client-id=1:e8:6f:38:23:18:d3 mac-address=E8:6F:38:23:18😃3 server=dhcp1
                            /ip dhcp-server network
                            add address=10.10.0.0/24 dns-server=10.10.0.254 gateway=10.10.0.254
                            /ip dns
                            set allow-remote-requests=yes mdns-repeat-ifaces=lo
                            /ip firewall mangle
                            add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new in-interface="ether17 - Starlink" new-connection-mark=ISP1_Conn passthrough=yes
                            add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new in-interface="ether18 - Intred" new-connection-mark=ISP2_Conn passthrough=yes
                            add action=mark-routing chain=output connection-mark=ISP1_Conn new-routing-mark=ISP1 passthrough=yes
                            add action=mark-routing chain=output connection-mark=ISP2_Conn new-routing-mark=ISP2 passthrough=yes
                            add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new dst-address-type=!local in-interface="ether17 - Starlink" new-connection-mark=ISP1_Conn passthrough=yes per-connection-classifier=\
                            src-address-and-port:2/0
                            add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new dst-address-type=!local in-interface="ether18 - Intred" new-connection-mark=ISP2_Conn passthrough=yes per-connection-classifier=\
                            src-address-and-port:2/1
                            add action=mark-routing chain=prerouting connection-mark=ISP1_Conn in-interface=bridge1 new-routing-mark=ISP1 passthrough=yes
                            add action=mark-routing chain=prerouting connection-mark=ISP2_Conn in-interface=bridge1 new-routing-mark=ISP2 passthrough=yes
                            /ip firewall nat
                            add action=masquerade chain=srcnat
                            add action=dst-nat chain=dstnat dst-port=8080 in-interface="ether17 - Starlink" protocol=tcp to-addresses=10.10.0.203 to-ports=8080
                            add action=dst-nat chain=dstnat dst-port=8080 in-interface="ether18 - Intred" protocol=tcp to-addresses=10.10.0.203 to-ports=8080
                            add action=accept chain=input protocol=tcp src-port=8291
                            /ip hotspot profile
                            set [ find default=yes ] html-directory=hotspot
                            /system clock
                            set time-zone-autodetect=no time-zone-name=Europe/Rome
                            /system clock manual
                            set time-zone=+01:00
                            /system identity
                            set name=R10-Biglietteria
                            /system note
                            set show-at-login=no
                            /system ntp client
                            set enabled=yes
                            /system ntp client servers
                            add address=ntp1.inrim.it
                            add address=ntp2.inrim.it
                            add address=time.inrim.it
                            /system routerboard settings
                            set enter-setup-on=delete-key
                            /tool romon
                            set enabled=yes id=00:00:00:00:00:10

                            • wtf e gio79 hanno risposto a questo messaggio

                              Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                              P.I. IT16712091004 - info@fibraclick.it

                              ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile