Última edição:
[TÓPICO DEDICADO] Mikrotik Rb750 - Experiencia no Ambiente Domestico
- Iniciador de Tópicos natanurso
- Data de Início
Instalei o adguard home no meu pi 4 e está ok.
Eu havia postado aqui neste comentário sobre uma configuração que estava testando, porém achei que havia funcionado mas não.
Atualmente estou entregando 2 DNS para o DHCP. O do PI e do MK.
Usando netwatch eu configurei para pingar o PI e se ele responder, usar o comando /ip dns set allow-remote-requests=no
Caso o PI não responda (caiu), liga o DNS do MK com o comando /ip dns set allow-remote-requests=yes
Até o momento está funcionando certinho, vamos ver depois.
Eu havia postado aqui neste comentário sobre uma configuração que estava testando, porém achei que havia funcionado mas não.
Atualmente estou entregando 2 DNS para o DHCP. O do PI e do MK.
Usando netwatch eu configurei para pingar o PI e se ele responder, usar o comando /ip dns set allow-remote-requests=no
Caso o PI não responda (caiu), liga o DNS do MK com o comando /ip dns set allow-remote-requests=yes
Até o momento está funcionando certinho, vamos ver depois.
Última edição:
Acabei de colocar o adguard home na raspberry pi 4 e fiz as seguintes configurações
DHCP da rede entregando ip DNS da raspberry somente.
Regra Redirect de NAT na porta 53 UDP pra "forçar" o MK como servidor DNS caso a raspberry caia.
Netwatch pingando ip da PI e caso caia, liga a regra de redirect. Se voltar a pingar a PI, desabilita a regra redirect de nat.
Testado e funcionando 100%.
Netwatch Down
/ip firewall nat set [/ip firewall nat find comment="CACHE UDP DNS REDIRECT"] disabled=no
Netwatch UP
/ip firewall nat set [/ip firewall nat find comment="CACHE UDP DNS REDIRECT"] disabled=yes
NAT
--- Post duplo é unido automaticamente: ---
Reparei em 1 problema que estou tentando resolver.
Eu tinha alguns DNS estático tipo raspberry.lan no MK e estou tentando descobrir como fazer isso no adguard, pois é uma mão na roda o DNS estático de dispositivos na rede.
--- Post duplo é unido automaticamente: ---
EDIT
Pesquisando no reddit, achei a solução.
Tem que ir no adguard home > filtros > filtros personalizados e digitar por exemplo
127.0.0.1 Nome
GitHub - anudeepND/whitelist: A simple tool to add commonly white listed domains to your Pi-Hole setup.
A simple tool to add commonly white listed domains to your Pi-Hole setup. - GitHub - anudeepND/whitelist: A simple tool to add commonly white listed domains to your Pi-Hole setup.
github.com
Tô usando a padrão do adguard. Até o momento tô achando ok.eu uso essa whitelist pra nao bloquear demais.
GitHub - anudeepND/whitelist: A simple tool to add commonly white listed domains to your Pi-Hole setup.
A simple tool to add commonly white listed domains to your Pi-Hole setup. - GitHub - anudeepND/whitelist: A simple tool to add commonly white listed domains to your Pi-Hole setup.
Único detalhe é que os anúncios no app do YouTube continuam aparecendo, mas acho que não deve ter como tirar mesmo.
Já tentou fazer o teste com L2TP/IPsec ?
Até tentaria mas a VPN que estou usando só suporta IKEv2, OpenVPN e o Wireguard proprietário deles, mas vou ver se consigo fazer um teste com OpenVPN, você deu uma boa ideia.
É mais ou menos isso que uso no meu MK hehe
Funciona perfeitinho.
Agora tá mais claro! haha
Acho que isso inputa um pouco mais de latência no processo, mas deve ser imperceptível
Boa!
Eu fiquei pensando exatamente nisso ontem.Agora tá mais claro! haha
Acho que isso inputa um pouco mais de latência no processo, mas deve ser imperceptível
Boa!
Fiz vários testes e realmente constatei que não existe isso de DNS prioritário, pois o Pc solicita aleatoriamente a algum dos 2 serviços. A única forma seria entregar 2 dhcp e desabilitar um sempre (acrescentando alguma latência) ou entregar somente DNS da Raspberry e de alguma forma, redirecionar o tráfego pelo NAT para o roteador, o que não consegui.
Até tem outra forma que seria trocar o DNS server no networks, mas teria que derrubar todos os clientes da rede para eles pegarem a nova configuração de DHCP.
Na realidade nem aumenta a latência, pois é um processo do sistema então dentro dos meus testes, não ouve nenhum aumento perceptível.Agora tá mais claro! haha
Acho que isso inputa um pouco mais de latência no processo, mas deve ser imperceptível
Boa!
--- Post duplo é unido automaticamente: ---
Se você programar o NetWatch pra entregar somente 1 IP dentro do DNS (IP > DNS) o PC não vai conseguir requisitar de outro local hehe
Tem essa possibilidade que eu havia pensado também. O problema é que o cliente só vai enxergar o novo IP de DNS caso ele desconecte e conecte novamente na rede.
Por isso que eu tenho uma regra de NAT para DNS autoritativo (você obriga a rede toda a consultar o IP que você definir na RB ainda que o cliente mude lá no computador)
E outra regra de firewall que bloqueia consultas externas ao seu DNS interno.
Em falar nisso e sua 4011? Já chegou?
Eu também tenho essa regra de nat autoritativo, porém desativei ela enquanto estou testando o failover de DNS.
A sua regra de dns autoritativo é assim: ?
Em relação a 4011, ela está num deposito dos correios perto da minha casa, mas é muito trampo conseguir buscar então vou aguardar a boa vontade deles me entregarem ela.
IKEv2 ja usei e funciona ok com NordVPN (pega uns 200Megabits full) na ultima versão longterm e stable. Wireguard na ultima beta do ROS7 eu n consegui configurar a NordVPN.
Chegou a 4011, boa d+.
To quase terminando todas as configurações, agora tá bem mais organizado.
Eu to com uma duvida em relação a pool de vpn. Aqui eu tenho o range dhcp 10.0.0.20-10.0.0.200 e uso o range 10.0.0.201-10.0.0.210 pra vpn l2tp.
Dessa forma, quando eu me conecto na vpn eu consigo pingar os demais clientes na rede, mas se eu usar o range 192.168.0.2-192.168.0.254 na vpn eu não consigo pingar nenhum pc da rede, embora eu consiga pingar o cliente da vpn de dentro da minha rede.
Por que disso?
No fim, eu acabo tendo que usar o range interno da rede para funcionar 100%.
Consegui também colocar o adguard home como servidor DNS da vpn, ficou muito bom.
To quase terminando todas as configurações, agora tá bem mais organizado.
Eu to com uma duvida em relação a pool de vpn. Aqui eu tenho o range dhcp 10.0.0.20-10.0.0.200 e uso o range 10.0.0.201-10.0.0.210 pra vpn l2tp.
Dessa forma, quando eu me conecto na vpn eu consigo pingar os demais clientes na rede, mas se eu usar o range 192.168.0.2-192.168.0.254 na vpn eu não consigo pingar nenhum pc da rede, embora eu consiga pingar o cliente da vpn de dentro da minha rede.
Por que disso?
No fim, eu acabo tendo que usar o range interno da rede para funcionar 100%.
Consegui também colocar o adguard home como servidor DNS da vpn, ficou muito bom.
É justamente a NordVPN que estou configurando mas não consigo mais de 120Mbps de forma alguma, o seu device é um hAP ac² também? Consegue compartilhar as configurações que usou pra chegar nos 200Mbps?
Quanto ao Wireguard eu acredito que não deva funcionar, a Nord customizou o Wireguard e criou um protocolo proprietário deles que eles chamam de Nordlynx logo acredito que não deva funcionar nos ROS se a Mikrotik não lançar uma versão com essas alterações em cima do Wireguard.
Nordlynx pelo que entendi é o Wireguard puro hahahaha.
RB750GR3. Segui esse https://forum.mikrotik.com/viewtopic.php?t=169273
E aí, agora que chegou a bixona, tu testou fazer aquele lance de colocar toda a banda na simple queue?
Sim. Inclusive eu descobri que estava comentando alguns erros na configuração do mangle e da que tree. Agora está funcionando perfeitamente o balanceamento de tudo.
Um detalhe interessante é que conexão PPPoE no MK é single thread, então não adianta ter cpu com monte de núcleo e baixo clock. O bom da 4011 é justamente o clock alto nós 4 nucleos
-------------
Como está funcionando o firewall ipv6 de vocês? Tem algumas coisas diferentes que eu não sei fazer
Eu ainda tô aprendendo como faz pra definir a mascara de rede ipv6 no DHCP client, e além disso também tô com dificuldade de definir um ipv6 público pro mikrotik e pra bridge entregando pra rede toda
Depois que fizer tudo isso, ainda tenho que fazer o firewall mangle e tals
Última edição:
Comecei a usar o banip.
Funciona bem bloqueando faixas de IP, países e ASN.
Funciona bem bloqueando faixas de IP, países e ASN.
Como assim mano? Aqui eu replico meu ipv6 pra toda rede, usando o dhcpv6 clientSim. Inclusive eu descobri que estava comentando alguns erros na configuração do mangle e da que tree. Agora está funcionando perfeitamente o balanceamento de tudo.
Um detalhe interessante é que conexão PPPoE no MK é single thread, então não adianta ter cpu com monte de núcleo e baixo clock. O bom da 4011 é justamente o clock alto nós 4 nucleos
-------------
Como está funcionando o firewall ipv6 de vocês? Tem algumas coisas diferentes que eu não sei fazer
Eu ainda tô aprendendo como faz pra definir a mascara de rede ipv6 no DHCP client, e além disso também tô com dificuldade de definir um ipv6 público pro mikrotik e pra bridge entregando pra rede toda
Depois que fizer tudo isso, ainda tenho que fazer o firewall mangle e tals
Tipo, pelo DHCP client o provedor me dá um prefixo /56, aí já começa a dúvida, não sei qual prefixo eu uso na pool ipv6. Alguns dizem pra usar /64, outros /72 e tals.
Depois disso eu tenho que alocar um IPv6 fixo pro roteador através do menu ipv6 > address. Fazendo isso eu consigo pingar meu roteador através da internet igual ipv4.
Depois disso eu aloco ipv6 pra bridge da minha rede, mas não sei também qual prefixo usar.
Mais tarde eu tento novamente.
Um dos links é PPPoE e o outro dhcp
Não lembro se vc está usando balance ou fail over.
Mas configurar IPv6 no PPPoE é bem simples. Basicamente em três passos tá tudo certinho... Se quiser, posso verificar com calma em casa e passar detalhadamente.
Recomendo você utilizar o /64 na bridge, da mesma forma que fiz aqui.
Infelizmente a Claro entrega também um /64 no dhcp client, aí já viu...