Jaký Mikrotik na veřejnou IP ?

RB750G3 je dobra volba.

Vzhledem k tomu, že očekávás, že to zapnes a bude to fungovat, tak bych ti mikrotik nedoporučoval vůbec. Kup si radši něco víc user frindly jako třeba tplink.

Blbost. Mikrotik zapneš a funguješ. Před deseti lety to bylo jinak, ale dnes se dodávají plně předkonfigurované. Kromě hesla do administrace bude nejspíš nastavovat jenom port forwardy, když už bude mít tu veřejnou IP-adresu, ale ty by nastavoval na každém routeru.

V dnešní době, kdy na Mikrotik najdeš tak milion návodů, jak na youtube nebo kdekoliv jinde, tak si myslim, že by to problém být snad neměl.

Zvláštní že se to tady hemží dotazy na to jak nastavit mikrotik. A co se návodu týče - když nechápes co podle návodu nastavujes tak si to v případě že mu něco nepůjde těžko opravís.

Takže doporučuješ si nechat třeba ten Archer C7 co mám? Na který mě i ISP upozornil, že s takovym shitem to nemám pokoušet.

Já bych ti doporučil si ho nechat. Jsem ISP dělám to dvacet let a zavirovany bývají počítače, dvrka, špatně nastavený a neaktualizovany mikrotiky a ubnt, ale zavirovanej tplink jsem asi ještě neviděl.

Musím říct, že nastavení firewall je tam opravdu snadné, je tam možnost jen zapnuto/vypnuto.

Tak se pozna kvalitni firewall. Co bys tam nastavoval, staci jen zapnout/vypnout (ironie)

nechapem co riesis. Ak ti vsetko ide ako ma, tak nemas dovod ten archer menit, nieje to lacna 20€ sracka, je to klasicky tplink strednej triedy. Ak ti nieco v nastaveni chyba a tplink to nedokaze, tak rozmyslaj nad inym routrom, ja osobne pouzivam vo firmach edgerouter x, lacny, spolahlivy.

Ten ISP je blb. S každým běžným routerem můžeš mít normálně veřejnou IP. Já mám veřejnou IP hromadu let, nejdříve s Archer C20, teď s C6 a ještě před tím jsem míval veřejnou IP u O2 s nějakým ZyXelem.

v případě 1Gbit přípojky možná ISP myslí spíš problém s výkonem.. Nevím jestli to ten TPlink zvládne, ale většina obyčejnejch routerů má při takový rychlosti problém s výkonem.(bavit se o kvalitně firewallu samozřejmě nemá smysl...)

C7 mi routuje normalne600-800Mbit a ba 5GHz uplne vpohode 150Mbit. Zitra si vypnu QoS a uvidim kolik mi dá.

Nechtěl jsem říct, že ten Mikrotik není dobrý, ale ten důvod, co uvádí tazatel, je nesmyslný. Jinak samozřejmě Mikrotik z mnoha důvodů smysl má.

Ten C6 mám také jeden na chatě, má snad úplně stejné nastavení jako ten C7. Takže neřešit firewall a prostě jen přejít na veřejnou ip ? Ten firewall tam je fakt snad jen možnost zapnout a vypnout, tak nevim jak dobrej je a jaké má pravidla.

Je dostatečně dobrý na to, aby ses nemusel bát. Pokud nejsi atomový vědec a nepředpokládáš, že by na tebe cíleně útočili profesionální hackeři, tak ten TP-LINK má firewall zcela dostatečný.

Jestli to nebude tim, ze ho ma doma vic BFU. Objevuji se tu dotazy i na TP-Linky, zato jsem tu nevidel dotaz na router od Juniperu.Coz z Juniper routeru, dle vas logiky, dela uzasne BFU friendly zarizeni.

Juniper je docela user friendly A to nerikam ani tak jako clovek co ma na ne certifikaci

16MB flash vůbec neřeš, není to problém. Důležitý parametr je 256MB RAM a ten je naprosto v pořádku.

"ale další zase říkají že 16MB flash je málo."co to je za blábol.. kdo to říká ? RB750GR3 máme firmě kde je přes 200 zařízení (jeden rozsah přestává stačit), je tam celkem dost port forwardů a nějaký pravidla ve firewallu. Pravda je tam "jen" garantovanejch 100/100 ale ten router se ani nezadejchá a vytížení CPU je 5-15%.U tebe doma se takovej router bude asi dost nudit

Jako mikrotikar ti doporucim turrise/omnia/mox...jestli ti jde o bezpecnost a bezstarostnost...tplink je hracka pro babi internet..a ano,tplinky taky davam,protoze fungujou...

Jde mi o normální bezpečnost. Nějak moc nevím jaký rozdíl je mezi bezpečností firewallu mikrotiku a nějakého turrise. Já si jen úplně nemyslím, že je dobré používat ten co mám doma od ISP a to je Archer C7. Všichni říkají Mikrotik tak jsem moc jinou možnost nebral v potaz.

Když koukám na tu cenu toho turrise, tak se mi to úplně nezamlouvá. Ale hlavně to vůbec neznám, tak nemůžu moc soudit. Přesně proto jsem ještě nepřešel na veřejnou ip, protože se mi nelíbí představa řešit zabezpečení sítě. Nevim co je dobrý a co ne.

Pripojis Mikrotik v defaultni konfiguraci a vic resit nemusis. Jednou za par mesicu se na nej pripojis a nechas ho nainstalovat aktualizace, pokud ho to rovnou nenechas delat automaticky.Tim je veskera prace pro tvuj pripad skoncena.

Takže věci jako firewall budou už +- nastavené ? Já v podstatě ani nevim co v routeru nastavovat. Já tam dělal jen pár maličkostí jako je rezervování IP adres, změnil DNS na svou. Jediné co teda budu dělat navíc je port forwarding pro wireguard, HA a BlueIris. Jediné s čím jsem si v poslední době hrál byl fast roaming na OpenWrt, což ani nevim jestli nějak bude spolupracovat s Mikrotikem. Kdyby byla podpora na nějaký novější stroj, tak možná OpenWrt by byla dobrá alternativa Mikrotiku, že ?

je tam quick setup kde ty základní věci jednoduše nastavíš. Jinak to má netušené možnosti co a tím jde dělat - základní firewall je tam tuším zapnut - a samozřejmě aktualizovat - asi před tuším 2 lety přes nějakou díru napadli většinu mikrotiků . Otázka je jestli ti 5 portů stačí - ono je to plné hned

Ta dira se netykala Mikrotiku v defaultnim nastaveni. Pouze pokud nekdo explicitne povolil pristup k administraci z WAN, byl napadnutelny. Bohuzel tohle povoleni byla bezna vec u nekterych ISP, hlavne v Jizni Americe.

Tak já nevím co teď, já se v tom nevyznám. Nechat Archera, nebo koupit něco nového ? Popřípadě co koupit, přijde mi zbytečné kupovat router s AP, jelikož jediné co používám na wifi jsou mobilní zařízení, jinak vše kabelem.Třeba v komunitě HomeAssistant je drtivá většina lidí z US, veřejnou IP mají a nikdo neřeší, že maj místo routeru bramboru. Mám to teda nějak řešit, nebo nechat normální router ?

Verejna IP adresa neni vubec zadny problem - tu umi skutecne brambora s ethernet portem. Kvuli verejne IP nevidim ani moc duvod kupovat novy router, pokud ten stary umi to, co potrebujes.Osobne u tebe vidim jako limitujici gigabit. Ale pokud ti staci treba 500Mbps (mozna to ani u toho ISP rychleji nejede a gigabit je jen "marketingova lez"), tak pak si vystacis klidne s tou 750 (minimalne to bude kvalitni router s temer neomezenou moznosti nastaveni oproti tem proprietarnim krabickam ruznych pseudovyrobcu).

Musím říct, že pro mě bylo dlouhou dobu i 100/100 úplně dostačující. Ale jelikož můj ISP má pouze jeden balíček a to je gigabit, tak jsem měl prostě nutkání si jakejkoliv gigabit router koupit. Takže říkáš, že ten Archer C7 a jeho firewall by měl úplně v pohodě stačit?

Nerikam Tplink (nejsem si jisty, ale to je vyrobce toho Archeru C7, doufam) nepovazuju za kvalitniho vyrobce. Nepouzivam to a nevim, co v tom jde nastavit a co ne. Z meho pohledu je to krabicka typu "vic anten, vic adidas". Ale je mozne, ze umi nejak rozumne nastavovat firewall, ze samotny OS/FW v tom routeru a firewall v tom routeru nemaji zavazne chyby a, ze je to bezpecne a spolehlive. Ale ja temhle firmam neverim.Pokud bych si mel koupit router/firewall jako hotovou proprietarni krabicku od nejake firmy, tak to bude Mikrotik, Ubiquiti, Cisco, Juniper a ne nutne v tomhle poradi.

Dej do toho archeru openwrt a mas klid. Mtik jefajn, ale zde neni treba. Nebo kup mtik a archer použij jako apcko někde na posílení.

Trochu nechápu to s těmi 5 porty, mám za tím switch, doufám že to normálně bude furt fungovat. Teď mi jde z routeru pouze jeden ethernet do switche a druhý jde do optiky.

V pohode, 5 portu je az dost. Stejne se da predpokladat, ze mas doma jen jednu, maximalne dve LAN, takze vic portu nepotrebuje.jirikast jenom necetl dotaz a bere to jako bezny jouda - tj. nema switch a veskera zarizeni zapojuje do routeru. Pri pouziti switche takova vec odpada, ze bohate by ti stacili 2 porty (technicky lze mit router i jen na jednom portu, ale to je takova vyssi divci/prasarna )

děkuji ti náčelníku že jsi se mně zastal :) Jasně že 5 port stačí - já jen tuhle zjistil že se potřebuji píchnout přes kabel na mikrotik a ono najednou nebylo místo :) Já to psal spíš se zamyšlením do budoucna - zkušenost - né tady nikdy nebude víc jak 2 počítače a za půl roku kupovali další krabičku :)

A znovu opakuji "necetl" Ma switch. Kdyz nebude stacit, prida dalsi nebo vymeni za vetsi.Ano, bezni joudove/BFU (to neni nijak hodnotici) nemaji switch a tak vse rvou do routeru. A ano, vyrobci se prizpusobuji a i mimo enterprise segment* uz nabizeji viceportove routery pro BFU. All-in-one neni rozumne reseni, ale zjevne to nekdo kupuje, tak to vyrobci vyrabi.* i tam je cistokrevny router s 24 porty dost ojedinela zalezitost, mnohem beznejsi jsou L3 switche (a tam je pak jeste o to vic potreba zjistovat jak vykonny routing ve skutecnosti poskytuji)

S tím, "přidá další" když už o tom mluvíš, tak kam by se přidal ? Mám jeden 8 portovej switch pouze na POE zařízení a zbývá mi tam poslední volný místo. Kdybych chtěl přidat nějaké jiné zařízení, tak ten druhý switch píchnu do routeru? Asi switch pro switche není dobrá volba co :D ? Ale to snad nenastane.. Ale kdyby jo, tak by mi bylo líto ten POE switch vyměnit za větší, už kvůli tomu že třeba switch 8+8POE jsou docela drahý.

A proc ne? Teda pokud ten puvodni neni zrovna Tenda za 300 korun.Switchu muzes mit "za sebou" klidne nekolik - byt ano, nepredpoklada se uplne, ze by nekdo daval za sebou lowendovy 5 a 8 port switche z blesaku Ale na spouste mist mam nejaky 24-48 port hlavni switch a na nem pak 16-24 port PoE/nePoE podle situace a lokality - ty switche logicky nemusi fyzicky primo vedle sebe. Navic u takovy vetsich switchu (a managovatelnych pochopitelne) se daji propojit bud treba optikou nebo treba spojit vice portu dohromady a tak podobne.

"Jako mikrotikar ti doporucim turrise/omnia/mox...jestli ti jde o bezpecnost a bezstarostnost...tplink je hracka pro babi internet..a ano,tplinky taky davam,protoze fungujou"Jo mikrotikar.. to urcite.Jako ze tedy mikrotiku neveris a kdyz jde nekomu doma o "bezpecnost" tak doporucis Turris ? Ty si teda pripad Nebo rovnou TPlink co ? Jakym bezpecnostnim problemem trpi Mikrotik oproti Turrisu ? To by me vazne zajimalo (samozrejme vyhledem k predpokladanemu domacimu vyuziti laikem tak jak nastinil tazatel)

Tipuju, ze jde spis o obavu z rosahu a struktury nastaveni Mikrotiku. Ze zacatku jsem taky hledal nektere veci, ktere jsou IMHO "schovane" docela nelogicky. BFU chce vsechno na 1 click a tam chapu, ze Mikrotik neni prvni volba.

ale MT je z výroby dneska nastavenej tak že to jen zapojí a pojede to. V tom Quick nastavení je všechno základní co potřebuje.Nějakej NAT nebo pravidlo FW není problém s návodem nastavit i pro poučenýho laika. A nic jinýho doma nepotřebuje.

" Jakym bezpecnostnim problemem trpi Mikrotik oproti Turrisu"Hned mě napadá:- nechutně starý kernel- obrovské rozšíření, z toho plynoucí vysoká motivace hledat díry a také množství plošných útoků(Jsem taky "mikrotikář", co dlouho žil s prvním Turrisem, než ho vyměnil půl roku před koncem smlouvy za tehdy RB2011, protože potřeboval funkční router, ne dvakrát do měsíce špatně zaktualizovanou krabici...)

Pokud ti nekdo rekl, ze "zapnes firewall a da se o bezpecnost nemusis starat", tak to byl idiot. Navic u Mikrotik neni nic jako "zapnout firewall" - musis si tam napsat pravidla podle toho co chces aby delal, zvlast pokud se nechces schovavat za NATem nebo si portforwardovat neco na vnitrni pocitace.Pises, ze mas gigabit internet... Tak to by sis asi mel nastudovat tohle: https://mikrotik.com/product/RB750Gr3Obavam se, ze plnohodnotne pouziti na gigabitu RB750GR3 nestaci.

Docela mě překvapuje, že by neměl stačit, měl jsem Netis WF2780 odpad všech odpadů a jelo to slušně, v pohodě jsem tahal i něco kolem 700/700, teď Archer C7 dá i více když odpojim všechny zařízení. Proto by mě překvapilo, že by Mikrotik nebyl lepší než tyhle low-end řešení co mám já.

Tedy se nech prekvapit. To je mereni vyrobce a zjevne se na 1000/1000 bez vyrazneho omezeni (jen fastpath, jen velke packety) nedostanes. Ono je to takove, kdyz vyhazim z auta vsechno vcetne sedacek, tak pojede rychleji, no ale nebudu to delat - takze ano, ty lowend routery se obcas (a vicemene jen ve speedtestu) dostanou a velke rychlosti, ale v beznem nastaveni a pouziti je to bida s nouzi.On tenhle RB750GR3 je prave taky lowend. Osobne bych na gigabit sel asi s RB4011 a se zahmourenym okem s RB3011 a az se kouknes do ceniku uvidis jak ta cena najednou poskocila.

Popravdě musim říct, že v tom měření se nevyznám, nějak nevim jakej je rozdíl mezi jednotlyvejma configurations a 1518 byte a 512 byte... takže moc nechápu jakou rychlost bych mohl očekávat.Je pravda že v měření rychlosti ten Archer ukazuje šílený čísla, ale při stahování třeba ze steamu jsem se asi nikdy nedostal přes nějakých 75MB/s. RB4011, RB3011 a jejich ceny jsou teda krásný.. Pro můj studentskej budget nereálný a ještě k tomu bych potřeboval rack.

To jsou funkce - u tebe bych se koukal na radek "routing - 25 simple queues", to by mohlo zhruba odpovidat beznemu domacimu pouziti.To druhe velikost packetu (64 bytu je extrem, ktery te doma asi nepotka, 1518 je druhy extrem, ktery je uz pravdepodobnejsi - u speedtestu a treba pri kontinualnim stahovani velkych souboru, 512 je tak neco mezi - takovy realny provoz.Mimochodem, prumerna velikost packetu u me doma za posledni tyden je 578 bytu. A mimochodem podruhe, jak tam ma mikrotik radek "routing - 25 firewall rules", tak ja mam doma ve firewallu aktualne 448 pravidel (ale ja nejsou bezny uzivatel) - to uz by mi ta 750 jela asi zapornou rychlosti .

Děkuju za srozumitelné vysvětlení. To s těma pravidlama a zrovna spojení s tím Archerem, kde jde nastavit asi pouze Blokování DoS hosts, tak teda nevím nevím, jestli s ním pokračovat. Netuším co přesně se tam nastavuje a proto jsem se vždy veřejné ip vyhýbal velkým obloukem.

Jako na jednu stranu ja ty vyrobce chapu - komplexni nastaveni pravidel firewallu se v GUI dela desne blbe (a i reseni Mikrotiku i treba Ubiquiti je takove no nic moc, byt je to o 1000% lepsi nez ty hotove krabicky), navic jejich cilova skupina zakazniku nema zadne znalosti ani zadne valne potreby, takze skutecne je asi nejlepsi tlacitko "zapnout/vypnout" s tim, ze to ve vysledku za NATem asi ani nic nedela.Problem je pokud chce dany zakaznik neco vic nez je bezny prumer, pak ma proste u tech krabicek smulu a neni to jak udelat (a ne ze bych presne tohle nemohl napsat zrovna o Ubiquiti).Problematiku firewallu aspon teoreticky je dobre pochopit - verejna IPv4 adresa je prkotina, uvidis jak te pak casem prekvapi IPv6, kde bude mit kazde zarizeni ve tve siti nezavislou verejnou IP adresu a duveruj pak ruznym vyrobcum, ze tam nemaji diry, chyby a backdoory (zdravim timto Dlink)...

.. 448 pravidel v routeru / respektive ve Firewallu .. ???To už je docela extrém.. de facto šílenost, kterou si lze jen těžce představit.. Na Mikrotiku po použití Quick Set se ve Forewallu objeví něco jako základ a jen pouhé 4 pravidla.. Někdo tady v poradně kdysi v nedávné minulosti psal, že jsou základní pravidla ve Firewallu při použití Quick Set plně dostačující ...

No, 350 kdyz nepocitam pravidla kvuli statistikam. Ono to mas 2x WAN, 2x LAN, dualstack, filtrovani i provozu ven nejen dovnitr. Ale jelikoz ten firewall neni az tak hloupy, tak podle protokolu, interfacu a smeru se pri kazdem pruchodu packetu pouzije maximalne zhruba 30 pravidel.Se 4 pravidlama moc kouzel nenadelas. No vlastne zadna (budu hadat - vsechno dovnitr drop, vsechno ven accept, nashledanou), takze to je "dostacujici" jak noha. Ale co se mi treba u Mikrotiku libi ve firewallu je docela jednoduche reseni fail2ban (pomoci 2 pravidel je to docela elegantni).

Mimochodem, az ten mi doslo (ze skoly jsem uz nejakej patek)... Dostacujici zni jako dostatecny. To je za 4. Tak to jo, s tim souhlasim. Ja mam radsi veci co jsou aspon na urovni "chvalitebny"

Ano .. i takhle to lze pojmout.. dostatečný(za 4) - tedy alespoň něco, což je o něco lepší než vůbec nic .. Já takový základní firewall o 4 pravidlech nepoužívám.. jen Filter Rules -> 30 pravidel.. Počet pravidel může být u každého vlastníka routeru Mikrotik různý.. + aktuální verze Firmware

a nenapsal jsi zásadní údaj jakou máš rychlost od ISP - myslím že ta 750 pro tebe bude v pohodě a až zjistíš co to vše umí :)

Kurna chlape!Cituji: "Mám gigabitový internet a ... "

OK tak jsi napsal co máš za rychlost a ta 750 ti bude stačit :)

nech si ten tplink, u fw je to uplne jedno. kdybys mel doma i server, nereknu, ale takto? vyhozene penize. staci, ze budes za routerem

A proto si hodla poridit verejnou IP adresu, zaNATuje se a bude dal zit v tichem smradku domneleho bezpeci Jako jo, NATovat bude stejne, ale zjevne tam bude mit neco jako NVR/server, takze minimalne portforward. Jestli to umi ten tplink, tak at si ho klidne necha

S openwrt je kazdy tplink v klidu.

OpenWRT mám hodně rád, ale jeho podpora HW je poslední roky fakt mizerná. Myslím že zrovna můj Archer C7 je asi nejnovější tp-link co má podporu. Stačí mi, neříkám že ne, asi to za zkoušku stojí.

Ja na c6 i C7 používám wrt z důvodu OpenVPN. I celkové mam větší důvěru k fw nežli originálu. Treba podpora vlan, Sqm apod. A až bude umět MikroTik OpenVPN na UDP, tak uz budu jen mikrotiky davat.

OpenWrt můžeš dát i na mikrotik.

Vim. Ale routeros je porad lepsi. A ne na kazdy mtik to das. Ja mam jeden a ram mi to nevleze. Nedostatek paměti. Chtěl hsem to ve virtualu provozovat. Zatím ty tplinky C7 s wrt běži paradně. Nam i na C6 za 999,-

Dával jsem OpenWRT na oba, jak C7 tak C6 a zatim problém neměl, netuším jak moc ty pravidla firewallu zatěžují CPU. Možná fakt bude lepší teď dát OpenWRT a najít někde dobré nastavení firewallu a pak koupit nějaký pořádný Mikrotik v budoucnu.

Pripoj se pres SSH a příkaz top a zjistíš vytížení CPU.