Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- private:poznamky:mikrotik:start [2024/12/20 19:13] – [Přihlášení pomocí OTP - User Manager] snemec
+++ private:poznamky:mikrotik:start [2025/05/14 10:19] (aktuální) – [cAP AX - WifiWave2] snemec
@@ Řádek 1: / Řádek 1: @@
+====== Mikrotik ======
+Srovnání nabízených routerů - firewallů
+https://www.i4wifi.cz/cs/novinky/539-porovnani-routerboardu-v-pomeru-cena-vykon
+http://wiki.hkfree.org/Routerboard
+Zajímavé návody - pro Mikrotik\\
+https://www.marthur.com/\\
+https://jcutrer.com/howto/networking/mikrotik\\
+http://blok.tydyt.cz/index.php/Mikrotik\\
+===== Úvodní nastavení =====
+==== Firewall ====
+https://www.marthur.com/networking/mikrotik-default-firewall-rules/370/
+https://wiki.mikrotik.com/wiki/Basic_universal_firewall_script
+Zajímavé návody - pro Mikrotik\\
+https://www.marthur.com/\\
+https://jcutrer.com/howto/networking/mikrotik\\
+http://blok.tydyt.cz/index.php/Mikrotik\\
+===== WIFI Guest =====
+https://jcutrer.com/howto/networking/mikrotik/mikrotik-rbcapl-2nd-example-config-home-ap
+https://www.marthur.com/networking/mikrotik-setup-guest-wifi/201\\
+Konfigurace DATAPATH musí být nastavena následovně:\\
+<code>
+[admin@MikroTik] > caps-man datapath print
+name="datapath-private" bridge=bridge-private local-forwarding=no
+name="datapath-guest" bridge=bridge-guest local-forwarding=no
+</code>
+Pokud je povolený ''local-forwarding'' tak se nepřidají cap interface(porty) do bridge(bridge-guest)
+''local-forwarding=no'' => the interface is part of bridge on the CAPsMAN, the interface shows as disabled on CAP\\
+''local-forwarding=yes'' => the interface stays as part of bridge on the CAP\\
+https://www.marthur.com/networking/mikrotik-setup-guest-vlan-wifi/2582/\\
+https://blog.ligos.net/2018-01-01/Mikrotik-WiFi-Access-Point-With-VLAN.html
+https://wiki.mikrotik.com/wiki/Manual:CAPsMAN_with_VLANs
+===== Factory reset - po zapnutí =====
+Zkratovat pomoci křížového šroubováku resetovací plošku.
+Držet při zapnutí cca 10 sec.
+http://mikrotik.tlupa.com/?p=247
+Defaultní IP adresa 192.168.88.1 je na WAN portu.
+Po resetu je nastaveno přihlašovací jméno **admin** bez hesla
+https://tikdis.com/mikrotik-routeros/hardware/factory-reset/
+==== Reset cAP ====
+Odpojte napájení, držte tl. ''Reset'', yapojte napájení a držte tl. cca 5s.\\
+Pak se pžipojte kabelem do portu ''Eth2'', zařázení by mělo být dostupné z Winboxu.
+===== Reset Password =====
+http://hodza.net/2008/02/13/mikrotik-password-recovery-aneb-zapomenute-heslo-zadny-problem/
+http://manio.skyboo.net/mikrotik/
+http://blog.vodkamelone.de/archives/148-Installing-OpenWrt-on-a-Microtik-Routerboard-RB433.html
+https://aacable.wordpress.com/2012/01/14/howto-recover-mikrotik-admin-account-forgotten-password/
+Konfigurace OpenVPN
+http://wiki.wladik.net/mikrotik\\
+===== Kompletní záloha - backup =====
+<code>
+system backup save name=02032019_backup dont-encrypt=yes
+</code>
+https://ispforum.cz/viewtopic.php?t=66\\
+Winbox funguje jako klasická okenní aplikace, takže pokud si ve winboxu otevřeš sekci "files", můžeš soubory z a do tohoto okna přetahovat myší z jakékoli složky ve woknech.
+Zálohovat můžeš i v sekci files pomocí tlačítka "Backup" soubor se objeví na stejném místě jako záloha pomocí terminálu. TJ ve složce files.
+Takže veškeré update soubory i zálohy dostanu na a z mikrotiku touto metodou. nepoužívám zádné FTP ani WinSCP, ale prosté přetahování.
+Funguje to i oproti vzdálenému mikrotiku, který nemáš připojen přímo, ale je třeba někde v síti v jiném městě. Takhle upgraduju routerOS a ještě jsem ani jednou nemusel nikam jet :)
+==== Export konfigurace ====
+  /export compact file=01052018_exportcfg
+Soubor s exportovanou konfigurací se pak nachází v menu Files
+===== Obnova =====
+==== Obnova z binárního souboru ====
+https://jcutrer.com/howto/networking/mikrotik/mikrotik-backup-and-restore
+==== Obnova z textového souboru ====
+**Warning:** Warning: If the device has a folder named "flash", then the confscript.rsc file must be stored in that folder to work with "run-after-reset" command. Everything outside this folder is stored on the RAM drive which contents are deleted on reboot or power cycle.
+https://jcutrer.com/howto/networking/mikrotik/mikrotik-backup-and-restore
+https://wiki.mikrotik.com/wiki/Manual:Configuration_Management#Importing_Configuration
+===== IPSEC =====
+==== Nastavení IPSEC Site to Site proti zařízení od FortiGate ====
+http://www.fastbit.ro/en/ipsec-site-to-site-vpn-between-fortigate-and-mikrotik/
+Při konfiguraci Mikrotiku byl místo NATu použitý forward.
+==== Road Warior - L2TP ====
+Registry, regedit, L2TP
+**Pokud je VPN za natem, je potřeba upravit registry.**
+Pro Windows klienta(W10) je potřeba upravit/vytvořit hodnotu registru HKLM:
+<code>
+HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
+AssumeUDPEncapsulationContextOnSendRule
+DWORD (32-bit) Value
+#cmd příkaz
+REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 2
+</code>
+Více o IPSec in Win and NAT-T:\\
+https://support.microsoft.com/en-us/kb/926179\\
+https://answers.microsoft.com/en-us/windows/forum/windows_10-networking/l2tp-registry-change-to-work-with-nat-t-not/f864ba86-a01b-42b5-93cd-e70c5fdf4fb3\\
+Nastavení pro koncové uživatele.
+PreshareKey\\
+https://mivilisnet.wordpress.com/2017/01/19/l2tpipsec-for-road-warriors\\
+https://jcutrer.com/howto/networking/mikrotik/l2tp-over-ipsec-troubleshooting
+Cert\\
+https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_using_IKEv2_with_RSA_authentication
+=== Certifikáty ===
+https://wiki.mikrotik.com/wiki/Manual:Create_Certificates
+==== Push remote route through ppp ====
+<wrap hi>Otestovat</wrap>
+https://forum.mikrotik.com/viewtopic.php?t=149241
+==== Nefunkční L2TP VPN po aktualizaci Windows ====
+{{:private:poznamky:mikrotik:pasted:20220113-081024.png}}
+Dostupná oprava [[https://www.catalog.update.microsoft.com/Search.aspx?q=KB5010793|KB5010793]]
+Chyba: **A Connection To The Remote Computer Could Not Be Established**\\
+==== Reinstalace WAN Miniport(ů) - nefunkční L2TP ====
+Chyba: The L2TP connection attemp failed because ...
+{{:private:poznamky:mikrotik:pasted:20230103-163806.png}}
+Odeberte všechny Wan miniporty a pak proveďtě aktualizaci HW
+{{:private:poznamky:mikrotik:pasted:20221129-143026.png}}
+{{:private:poznamky:mikrotik:pasted:20221129-143151.png}}
+https://thegeekpage.com/fix-vpn-error-a-connection-to-the-remote-computer-could-not-be-established-in-windows-10/
+==== Windows 11 - probl0m s VPN L2TP ====
+services.msc -> Routing and remote access(Směrování a vzdálený přístup) -> change "start type" to Automatic (Delayed start) and click "Start"
+{{:private:poznamky:mikrotik:pasted:20230910-215934.png}}
+===== CapsMan =====
+Capsman konfigurace
+https://mum.mikrotik.com/presentations/ME16/presentation_3989_1476689996.pdf
+https://mum.mikrotik.com/presentations/ME16/presentation_3187_1476712660.pdf
+https://mum.mikrotik.com/presentations/AU18/presentation_5299_1526854099.pdf
+https://radekvymazal.cz/capsman-od-firmy-mikrotik/
+https://mum.mikrotik.com/presentations/BR14/Uldis.pdf
+Nastavení quest wifi\\
+https://forum.mikrotik.com/viewtopic.php?t=131100
+Při konfuguraci guest wifi sítě přes CAPsMAN se automaticky generuje nové virtuální wireless rozhranní.\\
+V konfiguraci CAPsMAN v sekci Provisioning stačí přidat předem připravenou konfiguraci pro guest do políčka ''Slave Configuration''
+==== Frekvence - kanály ====
+https://en.wikipedia.org/wiki/List_of_WLAN_channels
+https://forum.mikrotik.com/viewtopic.php?t=131100
+Popsané přiřazení kanálů na interface + další info o extesnion-channel
+https://ispforum.cz/viewtopic.php?t=25039
+http://www.kvalitninavody.cz/zaklady-mikrotiku-7-module-5-wireless-wireless-standards-2-4ghz-channels-5ghz-channels-country-regulations-radio-name-wireless-chains-tx-power/
+https://ispforum.cz/viewtopic.php?t=16397
+==== Ruční konfigurace kanálů pro jednotlivá AP  ====
+https://www.reddit.com/r/mikrotik/comments/7z2nlw/is_the_auto_frequency_setting_useful_in_routeros/
+==== CapsMan - nastavení lokální WIFI ====
+[[https://forum.mikrotik.com/viewtopic.php?t=127517|CAPsMAN manager can't manage its own wireless]]
+===== Point to Point =====
+Mikrotik SXT Lite5
+https://wiki.mikrotik.com/wiki/Bridging_Networks_with_SXT
+https://www.cloudhosting.lv/eng/faq/MikroTik-configuration-for-point-to-point
+===== Recovery =====
+Instalace systému RouterOS pomocí programu netinstall.
+https://blog.ligos.net/2016-12-27/Recover-A-Broken-Mikroik-Device.html
+Obnovu jsem prováděl na MK v Precon-VM po neúspěšné aktualizaci zařízení(aktualizoval jsem na velmi starou verzi 5.16 aktuálním RoterOS 6.42.6)\\
+Nepodařilo se mi stáhnout původní verzi 5.16. Nahrál jsem do MK verzi 5.26. Při obnovč jsem ponechal původní konfiguraci - parametr v programu Netinstall.\\
+Po otestování funkčnosti jsem postupně(asi ve čtyřech krocích) aktualizoval na poslední dostupnou verzi.\\
+Vše proběhlo bez problémů.
+===== NTP =====
+https://blog.ligos.net/2018-01-29/NTP-Pool-And-Mikrotik.html
+===== Backup Error =====
+:29:07 echo: backup,critical error creating backup file: could not read all configuration files\\
+https://forum.mikrotik.com/viewtopic.php?t=133621
+Mělo by pomoc následující:\\
+<code>
+/ip ssh regenerate-host-key
+/system reboot
+</code>
+===== Switch CSS106 =====
+https://wiki.mikrotik.com/wiki/SwOS/CSS106#Example
+===== Clear DHCP leases =====
+Smazání všech dynamicky přidělených adres - Delete all dynamic leases
+https://forum.mikrotik.com/viewtopic.php?t=70106
+if you have only one DHCP-Server you can do the following:
+  /ip dhcp-server lease remove [find dynamic]
+if you have several servers, you have to add additional filter to filter by server.
+  /ip dhcp-server lease remove [find dynamic server=dhcp1]
+===== DHCP Alert =====
+https://www.manitonetworks.com/networking/2018/5/2/mikrotik-rogue-dhcp-server-alerting
+===== Automatický update =====
+https://www.dasm.cz/clanek/automatizace-upgrade-a-zalohy-mikrotiku
+===== SSH client =====
+''/system ssh 192.168.15.125 user=snemec''
+===== Failover =====
+V dokumentu jsou popsány tři možnosti jak řešit záložní linku na mikrotiku.
+  * konfigurace dvou defaultních bran, kde každá má jinou hodnotu parametru **Distance** - nevýhoda, že kontroluje jen dostupnost brány, ale nekontroluje se výpadek na lince za bránou
+  * kontrola linky pomoci Netwatch - ping na servery 8.8.8.8 a 8.8.4.4 - enable/disable route na základě komentáře ISP1/ISP2
+  * nastavení pomocí routovacích pravidel
+https://mum.mikrotik.com/presentations/TH18/presentation_5725_1534743837.pdf
+==== Failover LTE ====
+Záložní připojení pomocí USB LTE modemu
+https://blog.ligos.net/2018-03-01/Mikrotik-And-LTE-via-USB-and-Failover.html
+Testováno na hAP ac lite + LTE modem Huawei E3372h
+**kontrola připojení USB modemu**\\
+''System -> Resources -> USB''
+**Vytvoření PPP nebo LTE rozhranní**\\
+''Interfaces -> New -> PPP Client''
+''APN: internet'' pro Vodafone
+**Nastavení pravidel pro směrování**
+**Konfigurace DHCP klienta**
+Ve většině případů je možné DHCP klienta vypnout - musí být nastavena statická adresa na WAN rozhraní.
+===== Netwatch =====
+<code>
+/Tools/Netwatch
+</code>
+Nastavení kontroly pripojení. Pomocí UP a DOWN skriptu lze posílat maily s upozorněním.
+<code>
+/tool e-mail send to="nemec@emcc.cz" subject="FMP - vypadek pripojeni!" body="Nastal vypadek pripojeni do Internetu! Cas: $[/system clock get time] $[/system clock get date]   Interval ping 30s na IP: 8.8.8.8"
+</code>
+==== Monitoring multiple WAN links in PCC using BLACK-HOLE route approach! ====
+https://aacable.wordpress.com/2015/09/17/monitoring-multiple-wan-links-in-pcc-using-black-hole-route-approach/
+===== Nastavení emailové komunikace =====
+<code>
+/Tools/Email
+</code>
+**Server:** post.emcc.cz (81.2.210.132)\\
+**Port:** 25 nebo 465 (obcas poskytovatelé blokují port 25)\\
+**From:** odesílací adresa\\
+Na emailovém serveru se musí nastavit vyjímka (mynetworks) pro IP adresu odesílatele (WhatIsMyIP)
+{{:private:poznamky:mikrotik:mikrotik_email.png?400|}}
+===== Logging =====
+==== Export aktuálního logu do souboru ====
+<code>
+/log print file=log.txt
+</code>
+==== Export DHCP lease do souboru ====
+<code>
+ip dhcp-server lease print terse file=dhcp_leases
+</code>
+==== Umístění logů na disk - do souboru ====
+https://jcutrer.com/howto/networking/mikrotik/persistent-logging-to-disk
+==== Remote logging ====
+https://aacable.wordpress.com/2011/11/29/howto-save-mikrotik-logs-to-remote-syslog-server/
+https://aacable.wordpress.com/2017/11/10/centralized-syslog-ng-logging-to-mysql-db/
+==== Connection Logging ====
+https://forum.zima.cloud/t/track-connections-in-mikrotik/175
+==== Packet Sniffer ====
+https://wiki.mikrotik.com/wiki/Manual:Tools/Packet_Sniffer
+===== VLAN =====
+https://www.samuraj-cz.com/clanek/vlan-virtual-local-area-network/\\
+https://radekvymazal.cz/vlan-na-domacim-routeru/\\
+https://vaclavkrejci.cz/Mikrotik-nastaveni-VLAN-a-trunku\\
+https://vaclavkrejci.cz/mikrotik-vlan-mezi-mikrotiky\\
+https://systemzone.net/vlan-routing-configuration-between-mikrotik-routeros/\\
+https://serverfault.com/questions/832887/mikrotik-routing-and-vlans\\
+https://ispforum.cz/d/21340-Mikrotik-CR-switch-management-VLAN-doplneno\\
+https://forum.mikrotik.com/viewtopic.php?t=143620\\
+https://forum.mikrotik.com/viewtopic.php?t=186420\\
+https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features\\
+.1x\\
+https://www.sevecek.com/Lists/Posts/Post.aspx?ID=41
+SwOS - web management\\
+https://wiki.mikrotik.com/wiki/SwOS/RB250-RB260-VLAN-Example
+Bridge - VLAN\\
+Některá zařízení od Mikrotiku nepodporují VLANy na úrovni switche - záleží na použitém chipu ve switchi - více na https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features\\
+Pokud zařízení nepodporuje Vlany na úrovni switche, musí se nastavit VLAN na úrovni bridge - je to o dost pomalejší.
+https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_VLAN_Filtering
+===== GeoIP - blokování adres dle států =====
+Zatím nasazeno v Elprosu - povolen přístup jen z CZ rozsahu adres.
+Postup\\
+https://mrnonaki.net/mikrotik-free-country-ip-address-lists-daily-updates-cidr-7e654eb659c9\\
+{{:private:poznamky:mikrotik:pasted:20220225-204034.png}}
+<code>
+/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/CZ
+/import file-name=CZ
+</code>
+{{:private:poznamky:mikrotik:pasted:20220225-204336.png}}
+Pokud je nastaveno toto pravidlo, je blokován odchozí provoz z MK - podívat se na to\\
+https://forum.mikrotik.com/viewtopic.php?t=171385\\
+<code>
+chain=input action=drop src-address-list=!CZ in-interface=ether1 log=no log-prefix=""
+</code>
+Databáze IP rozsahů podle jednotlivých států - každý den aktualizovaná\\
+http://www.iwik.org/ipcountry/
+==== PPP klient pro správu MK u klientů ====
+{{:private:poznamky:mikrotik:pasted:20210811-080603.png}}
+Na fw KRAFWKA je potřeba nastavit přístupové údaje v souboru ''/etc/ppp/chap-secrets'' a změnit konfiguraci  na firewallu v souborech ''interfaces'' a ''masq''.
+==== Nastavení zařízení do režimu bridge ====
+Používám např. pro hAP umístěné ve vnitřní síti kde slouží jako WIFI AP a switch.
+  * všechny porty(Interface) do jednoho bridge
+  * zrušit defaultní IP
+  * povolit DHCP clienta na Interface bridge
+  * v Interface List zakázat List WAN
+{{:private:poznamky:mikrotik:pasted:20211122-200352.png}}
+==== Vypnutí a zapnutí LED kontrolek ====
+Na jednom MK(talíř) byl použit tento skript:
+<code>
+   :if ([system leds settings get all-leds-off] = "never") do={
+     /system leds settings set all-leds-off=immediate
+   } else={
+     /system leds settings set all-leds-off=never
+   }
+</code>
+Na MK nesvítily kontrolní LED. V terminálu stačilo nastavit ''all-leds-off=never'' a samozřejmě před tím smazat ten skript.
+==== Změna MAC adresy ====
+<code>
+/interface ethernet set ether1 mac-address=xxx
+</code>
+===== cAP AX - WifiWave2 =====
+wifiwave2 - wifi 6 - capsman2 capsman v2
+Pro většinu instalací použitý návod pro Wifiwave2 - VLAN\\
+https://help.mikrotik.com/docs/spaces/ROS/pages/224559120/WiFi#WiFi-WiFiCAPsMAN
+Defaultní konfigurace dle návodu na Mikrotiku výše.\\
+**Capsman**\\
+<code>
+/interface bridge
+add name=br vlan-filtering=yes
+/interface vlan
+add interface=br name=MAIN vlan-id=10
+add interface=br name=GUEST vlan-id=20
+/interface wifi datapath
+add bridge=br name=MAIN vlan-id=10
+add bridge=br name=GUEST vlan-id=20
+/interface wifi security
+add authentication-types=wpa2-psk,wpa3-psk ft=yes ft-over-ds=yes name=Security_MAIN passphrase=HaveAg00dDay
+add authentication-types=wpa2-psk,wpa3-psk ft=yes ft-over-ds=yes name=Security_GUEST passphrase=HaveAg00dDay
+/interface wifi configuration
+add datapath=MAIN name=MAIN security=Security_MAIN ssid=MAIN_Network
+add datapath=GUEST name=GUEST security=Security_GUEST ssid=GUEST_Network
+/ip pool
+add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
+add name=dhcp_pool1 ranges=192.168.10.2-192.168.10.254
+add name=dhcp_pool2 ranges=192.168.20.2-192.168.20.254
+/ip dhcp-server
+add address-pool=dhcp_pool0 disabled=yes interface=br name=dhcp1
+add address-pool=dhcp_pool1 interface=MAIN name=dhcp2
+add address-pool=dhcp_pool2 interface=GUEST name=dhcp3
+/interface bridge port
+add bridge=br interface=ether5
+add bridge=br interface=ether4
+add bridge=br interface=ether3
+add bridge=br interface=ether2
+/interface bridge vlan
+add bridge=br tagged=br,ether5,ether4,ether3,ether2 vlan-ids=20
+add bridge=br tagged=br,ether5,ether4,ether3,ether2 vlan-ids=10
+/interface wifi capsman
+set enabled=yes interfaces=br
+/interface wifi provisioning
+add action=create-dynamic-enabled master-configuration=MAIN slave-configurations=GUEST supported-bands=5ghz-ax
+add action=create-dynamic-enabled master-configuration=MAIN slave-configurations=GUEST supported-bands=2ghz-ax
+/ip address
+add address=192.168.1.1/24 interface=br network=192.168.1.0
+add address=192.168.10.1/24 interface=MAIN network=192.168.10.0
+add address=192.168.20.1/24 interface=GUEST network=192.168.20.0
+/ip dhcp-server network
+add address=192.168.1.0/24 gateway=192.168.1.1
+add address=192.168.10.0/24 gateway=192.168.10.1
+add address=192.168.20.0/24 gateway=192.168.20.1
+/system identity
+set name=cAP_Controller
+</code>
+**CAP**
+<code>
+/interface bridge
+add name=bridgeLocal
+/interface wifi datapath
+add bridge=bridgeLocal comment=defconf disabled=no name=capdp
+/interface wifi
+set [ find default-name=wifi1 ] configuration.manager=capsman datapath=capdp disabled=no
+set [ find default-name=wifi2 ] configuration.manager=capsman datapath=capdp disabled=no
+/interface bridge port
+add bridge=bridgeLocal comment=defconf interface=ether1
+add bridge=bridgeLocal comment=defconf interface=ether2
+add bridge=bridgeLocal comment=defconf interface=ether3
+add bridge=bridgeLocal comment=defconf interface=ether4
+add bridge=bridgeLocal comment=defconf interface=ether5
+/interface wifi cap
+set discovery-interfaces=bridgeLocal enabled=yes slaves-datapath=capdp
+/ip dhcp-client
+add interface=bridgeLocal disabled=no
+</code>
+https://telekomunikace.cz/d/41225-capsman-v3-wifiwave2-popis-konfigurace-jak-obejit-nefunkcnosti
+Pro konfiguraci CapsMan v.3 - management WifiWave2 je potřeba aktualizovat na RouterOS v7\\
+Do zařízení, které bude sloužit pro administraci je potřeba nainstalovat doplněk ''wifiwave2-7.XX-arm64''\\
+Doplněk je součástí ''Extra packages'' - https://mikrotik.com/download
+===== Mikrotik - konfigurační tipy =====
+Např. Safe mode\\
+https://vaclavkrejci.cz/Mikrotik-konfiguracni-tipy-1
+===== Site to Site VPN - L2TP =====
+např. Macom - propoj Domov - Hala
+Postupoval jsem podle návodu: \\
+https://vaclavkrejci.cz/mikrotik-l2tp-vpn-pobocka-centrala
+Ale bylo by možné použít i běžně používanou konfiguraci pro klienta - dynamicky vytvořený L2TP interface.\\
+<WRAP left round important 100%>
+Problém při konfiguraci VPN L2TP SITE to SITE
+</WRAP>
+Při konfiguraci jsem narazil na problém, tunel se vytvořil, ping fungoval, dostal jsem se přes SSH na server, ale jak jsem na serveru spustil nějaký příkaz, který generoval větší provoz(nap výpis adresářů fungoval, ale top ne) tak se spojení přerušilo i když ping na server stále běžel - bez výpadku.
+Nakonec stačilo na straně klienta změnit položku **Max MTU na 1400** - původně(defaultně) bylo nastaveno **Max MTU 1450**
+{{:private:poznamky:mikrotik:pasted:20231130-072431.png}}
+===== Přihlášení pomocí OTP - User Manager =====
+https://forum.mikrotik.com/viewtopic.php?t=183996
+https://forum.mikrotik.com/viewtopic.php?p=818662&hilit=user+manager+2fa#p818321
+https://emn178.github.io/online-tools/base32_encode.html
+<WRAP left round important 100%>
+Při resetu konfigurace se nemažou údaje z User Manageru.\\
+V konfiguraci firewallu přidat pravidlo input povolující přístup z rohraní "lo" - LoopBack.
+</WRAP>
+<code>
+# Test OTP
+/system/clock/set time-zone-name=Europe/Prague
+/system/ntp/client/servers/add address=tik.cesnet.cz
+/system/ntp/client/servers/add address=tak.cesnet.cz
+/system/ntp/client/set enabled=yes
+/interface bridge add name=br vlan-filtering=yes
+# Bridge
+/interface bridge port
+add bridge=br interface=ether5
+add bridge=br interface=ether4
+add bridge=br interface=ether3
+add bridge=br interface=ether2
+/ip/dhcp-client add interface=br
+#Radius
+/radius add address=127.0.0.1 service=login,ipsec,ppp secret=XXXXXXXXXXXXXXX
+/radius incoming set accept=yes
+#OTP secret - Pro Microsoft Authenticator lze pouzit i s "====", pro Google Authenticator bez "===="
+/user-manager user add name="snemec" password="wordpass" otp-secret="XXXXXXXXXXXXXXXXXXXXXX====" group=default shared-users=unlimited attributes=Mikrotik-Group:full
+/user-manager set certificate=*0 enabled=yes
+/user-manager router add address=127.0.0.1 name="Loopback" shared-secret=XXXXXXXXXXXXXXXXX
+/user aaa set use-radius=yes
+# Pristup pro admin jen z 127.0.0.1 - konzole
+#/user set [find name=admin] address=127.0.0.1
+/interface/l2tp-server/server/set enabled=yes use-ipsec=yes ipsec-secret=9KynAhBymZ6hajFWpX91 caller-id-type=ip-address authentication=mschap2
+/ppp aaa set use-radius=yes
+OTP secret: XXXXXXXXXXXXXXXXXXXXXXXXX
+Base32: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX====
+</code>