svyaznoy

укажите, пожалуйста, где и как настраивается ACL? Чуточку развернуто плиз))

Доброго времени суток. Нужен совет. Есть 3 отдела (Отделы "A","B", и "C") со своими со своими компьютерами. Имеется следующая схема: Для каждого из отделов выделены свои vlanы (10, 20, 30). У клиентов в компах прописаны статические ip адреса с 30-й маской подсети (то есть, один ip-шник для компа, второй как шлюз прописан в RB1100), например, для: - отдела "A" : комп1 - 192.168.10.0/30, комп2 - 192.168.10.4/30 и так далее... - отдела "B" : комп1 - 192.168.20.0/30, комп2 - 192.168.20.4/30 и так далее... - отдела "C" : комп1 - 192.168.30.0/30, комп2 - 192.168.30.4/30 и так далее... Этим компам нужно организовать доступ к различным сервисам через роутер RB1100. Каждый сервис находится в отдельной сети и в отдельном vlane. Нужен совет с Вашей стороны: 1) как правильно настроить маршруты (где и как их настроить) именно в роутере RB1100 с подробным описанием?? Желательно через winbox. 2) как несколько сервисов из схемы объединить в группу по Vlanам, чтобы к этой группе сервисов привязать конкретный отдел? Просьба помочь. Заранее благодарю))

Спасибо большое, попробую ))

Можно ли указать в настройках pptp клиента тот же ip адрес который указан в сетевой карте компа клиента или это вызовет коллизию???

Спасибо за ответ. 1) Я так понял, что в caller id можно указать, для данной учетки, ip-адрес с которого разрешается доступ pptp серверу? Верно? 2) Дело в том, что у клиентов есть ip адреса, по статике прописаны в ПК . Можно ли дать разрешение к услугам по статик IP+MAC??? А на счет "ip dhcp-server lease" я понял.

это в моих воображениях)). VPN, в данном случае, это протокол pptp. Имеется в виду: можно ли привязать мак адрес компьютера к учетной записи pptp клиента (к логину и паролю) ??? НУ или хотя бы привязать мак адрес компьютера к статическому ip адресу?

Доброго времени суток. Нужна Ваша помощь в разрешении одной проблемки. Есть маршрутизатор микротик RB1100, к нему через множество коммутаторов подключены компьютеры пользователей. У клиентов в компах прописаны статические ip адреса, также доступ к сервисам осуществляется по VPN (pptp) через RB 1100 (микротик). Стоит задача привязки vpn+mac или ip+mac (мак адреса компьютеров). Нужен подробный совет по реализации данной задачи. Желательно через винбокс. Заранее благодарю)??

Спасибо, ситуацию разрешил. Была проблема связана с маршрутизацией на конечных устройствах)

Добрый день всем. Нужна Ваша помощь. Есть микротик RB1100. На нем есть локальная сеть, например 192.168.10.0/24 без vlan, которая в бридже. Бридж привязан ко второму порту. И есть другие сети, например 172.16.16.0/24 vlan10 и 10.10.10.0/24 vlan20, которые привязаны к ether1 c vlanами 10 и 20. У меня есть доступ из локальной сети 192.168.10.0/24 к сетям 172.16.16.0/24 vlan10 и 10.10.10.0/24. Но нет связи из сетей 172.16.16.0/24 и 10.10.10.0/24 к локальной сети 192.168.10.0/24. Может я не так прописываю статик маршрут? Помогите разрешить проблему. Опишите, что мне нужно сделать?

Насколько я понимаю, после этого pptp сервер не будет работать???Разве нет?

а на винбоксе как???

Добрый день всем. Появилась одна проблемка. В логах микротик проскакивают периодически вот такие строчки "pptp info tcp connection established from xx.xx.xx.xx" 1)Что это озночает??? 2)И как от данной атаки защититься??? Просьба описать подробно))).

1)Почему-то у меня не заработал, пробовал ранее 2)Если хорошо запаролить устройство то дети не тронут

Здравствуйте форумчане. Есть проблемка((. Есть микротик hap lite в качестве wi-fi роутера. Хочу дома организовать 2 точки доступа вай фай на одной железке с отдельными паролями и фильтрами для взрослых и детей отдельно. Настроил два бриджа. В первый бридж закинул wlan1 и ether1, во второй бридж - wlan2 и ether3, ether4 1)Не могу организовать два wi-fi канала с отдельными паролями с дхцп сервером для них. Когда проверяю - на первую точку захожу инет работает, а на вторую точку не пускает. 2)Также нужно привязать для каждого бриджа отдельные DNS (для бриджа1 - 8.8.8.8 для взрослых и для бриджа2 - 77.88.8.7 для детей) Как это правильно настроить??? Просьба помочь??? Вот конфиг: [@MikroTik] > export compact # may/04/2017 13:01:49 by RouterOS 6.38.5 # software id = 3QSP-PLYS # /interface bridge add name=bridge1 add name=bridge2 /interface ethernet set [ find default-name=ether1 ] mac-address=00:xx:xx:xx:xx:xx /interface pptp-client add connect-to=1.1.1.1 disabled=no name=pptp-client password=usert1 user=\ usert1 /ip neighbor discovery set ether1 discover=no /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk,wpa2-eap eap-methods="" \ wpa-pre-shared-key=1234567890 wpa2-pre-shared-key=1234567890 add authentication-types=wpa2-psk,wpa2-eap eap-methods="" \ management-protection=allowed mode=dynamic-keys name=00000000 \ supplicant-identity="" wpa2-pre-shared-key=00000000 add authentication-types=wpa2-psk,wpa2-eap management-protection=allowed mode=\ dynamic-keys name=11111111 supplicant-identity="" wpa2-pre-shared-key=\ 11111111 /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-eC \ disabled=no frequency=auto mode=ap-bridge security-profile=11111111 ssid=\ "\F2\EE\F7\EA\E01" wireless-protocol=802.11 wps-mode=disabled add disabled=no keepalive-frames=disabled mac-address=6E:3B:6B:A2:AA:AA \ master-interface=wlan1 mode=ap-bridge multicast-buffering=disabled name=\ wlan2 security-profile=00000000 ssid="\F2\EE\F7\EA\E02" wds-cost-range=0 \ wds-default-cost=0 wps-mode=disabled /ip firewall layer7-protocol add name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook\ |ok.ru|youtube.com).*\$" /ip pool add name=pool-1 ranges=192.168.10.11-192.168.10.100 add name=pool-2 ranges=192.168.10.130-192.168.10.250 /ip dhcp-server add add-arp=yes address-pool=pool-1 disabled=no interface=bridge1 name=\ DHCP-serv1 src-address=192.168.10.1 add add-arp=yes address-pool=pool-2 disabled=no interface=bridge2 name=\ DHCP-serv2 src-address=192.168.10.1 /interface bridge port add bridge=bridge1 interface=wlan1 add bridge=bridge1 interface=ether2 add bridge=bridge2 interface=wlan2 add bridge=bridge2 interface=ether3 add bridge=bridge2 interface=ether4 /ip address add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0 add address=192.168.10.1/24 interface=bridge2 network=192.168.10.0 /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \ interface=ether1 /ip dhcp-server network add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 /ip dns set allow-remote-requests=yes servers=77.88.8.7,8.8.8.8 /ip firewall address-list add address=192.168.10.130-192.168.10.250 list=local_list /ip firewall filter add action=reject chain=forward content=vk.com disabled=yes protocol=tcp \ reject-with=tcp-reset src-address=192.168.10.0/24 add action=reject chain=forward content=vkontakte disabled=yes protocol=tcp \ reject-with=tcp-reset src-address=192.168.10.0/24 add action=reject chain=forward content=odnoklassniki disabled=yes protocol=tcp \ reject-with=tcp-reset src-address=192.168.10.0/24 add action=reject chain=forward comment=youtube content=youtube disabled=yes \ protocol=tcp reject-with=tcp-reset src-address-list=local_list add action=reject chain=forward content=ok.ru disabled=yes protocol=tcp \ reject-with=tcp-reset src-address=192.168.10.0/24 add action=reject chain=forward content=ok.ru disabled=yes protocol=tcp \ reject-with=tcp-reset src-address-list=local_list add action=drop chain=forward content=ok.ru disabled=yes protocol=tcp \ src-address-list=local_list add action=reject chain=forward content=go.mail.ru disabled=yes protocol=tcp \ reject-with=tcp-reset src-address-list=local_list add action=reject chain=forward dst-port=80,443 layer7-protocol=social \ out-interface=bridge2 protocol=tcp reject-with=tcp-reset add action=reject chain=forward disabled=yes dst-port=80,443 layer7-protocol=\ social protocol=tcp reject-with=tcp-reset src-address-list=local_list /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 src-address=\ 192.168.10.0/24 /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /routing ospf network add area=backbone network=192.168.10.0/24 add area=backbone network=10.10.10.0/24 /system clock set time-zone-name=Europe/Moscow /tool mac-server set [ find default=yes ] disabled=yes

Блокировать можно через L7 фильтр, там в строке указываете доменное имя, и все пакеты, его содержащие, будут блокироваться. В том числе и те, которые явно туда не ссылаются, а например, кто-то в мессенджере ссылку на это доменное имя скинул=) Но это заберет много производительности. Да и порты надо указать 80 и 443. Благодарю, попробую сфильтровать))

Большое спасибо Saab95, заработал. И еще я сетку, оказывается, не добавил в бридж)) Можете посоветовать, как правильно блокировать сайты (типа odnoklassniki.ru, vk.com и т. д.) в микротик по доменному имени???

Теперь вместо rb750 стоит микротик hap lite. На нем планирую раздать инет по вайфай и по изернет по дхцп. Вот конфиг: MikroTik] > export compact # apr/27/2017 09:44:23 by RouterOS 6.38.5 # software id = 3QS-PLYS # /interface bridge add name=bridge_wi-fi /interface wireless set [ find default-name=wlan1 ] disabled=no /interface ethernet set [ find default-name=ether1 ] mac-address=00:XX:XX:XX:XX:XX /ip neighbor discovery set ether1 discover=no /ip pool add name=pool_wi-fi ranges=192.168.10.11-192.168.10.200 /ip dhcp-server add address-pool=pool_wi-fi disabled=no interface=bridge_wi-fi name=server1 \ src-address=192.168.10.1 /interface bridge port add bridge=bridge_wi-fi interface=ether2 add bridge=bridge_wi-fi interface=ether3 add bridge=bridge_wi-fi interface=ether4 add bridge=bridge_wi-fi interface=wlan1 /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \ interface=ether1 /ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 /ip dns set allow-remote-requests=yes servers=77.88.8.7 /ip firewall nat add action=masquerade chain=srcnat /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Europe/Moscow /tool mac-server set [ find default=yes ] disabled=yes

Добрый вечер форумчане... Есть одна проблемка??? имеются wi-fi роутер tp-link, микротик RB750, и мой комп. Схема инет->tp-link->RB750->комп или тел и т. д. 1)Через tp-link есть доступ в инет (через vpn/pppoe) и он же раздает инет взрослым юзерам по изернет и вайфай по dhcp. 2)Подключил к lan порту тп-линка свой RB750, предварительно настроив dhcp клиент. Таким образом инет на самом RB750 есть. Но есть проблема - когда настраиваю dhcp сервер на самом RB750, мой комп. по дхцп клиенту получает айпи от него, но в инет не могу выходить, хотя настройку NAT на RB750 тоже настроил. Хочу настроить инет на tp-link и RB750 c вай-фай раздачей инет по дхцп на обеих железках. Но нужно чтоб на RB750 можно было выходить в инет только через отдельный DNS (для блокировки не желательных сайтов для детей), а первую железку оставить взрослым)). Надеюсь Вы меня поняли))

Правильное делать разные подсети. Но и так как вы хотите можно сделать, для этого на первом микротике и на втором указываете одинаковый IP адрес 192.168.0.1/24 и включаете proxy-arp на интерфейсах. Осталось только сообщить роутерам, какие IP адреса находятся на каком роутере. Для этого можно либо создать маршруты, либо подсеть /24 не вешать, а указывать адреса поштучна вида адрес = 192.168.0.1 и нетворк = 192.168.0.2 (адрес абонента), и так для каждого адреса своя запись. Если основной роутер как бы главный, то на первом можно оставить сеть /24, но на втором она уже не нужна. Ну и естественно, включаете OSPF. Такой вопрос, а как правильно настроить OSPF, в данном случае??? Прошу ответить подробно, буду очень благодарен))!!! имеется в виду если разные подсети)

Правильное делать разные подсети. Но и так как вы хотите можно сделать, для этого на первом микротике и на втором указываете одинаковый IP адрес 192.168.0.1/24 и включаете proxy-arp на интерфейсах. Осталось только сообщить роутерам, какие IP адреса находятся на каком роутере. Для этого можно либо создать маршруты, либо подсеть /24 не вешать, а указывать адреса поштучна вида адрес = 192.168.0.1 и нетворк = 192.168.0.2 (адрес абонента), и так для каждого адреса своя запись. Если основной роутер как бы главный, то на первом можно оставить сеть /24, но на втором она уже не нужна. Ну и естественно, включаете OSPF. Такой вопрос, а как правильно настроить OSPF, в данном случае??? Прошу ответить подробно, буду очень благодарен))!!!

Благодарю, хотя запоздало)) Работает.

Добрый день Всем. Нужен Ваш совет. Есть роутер RB750, 2 switch (управляемые) и два клиента. Забегая вперед - нет пинга между клиентами. И так, по подробнее.... Схема: клиент 1 ->(п2)rb750(п1,вилан100)->(транк)switch1(транк)->(транк)switch2(аксес,вилан100)-> клиент2. На rb750 ко 2 порту подключен клиент 1 (комп 192.168.10.11) и к 2 порту (той же RB750) привязан айпи 192.168.10.1. Далее rb750 через 1 порт подключен к switch1 потом к switch2, затем через аксес вилан100 клиент2. Второй клиент находится на другом коммутаторе и работает в вилане 100 с адресом 192.168.10.12. Просьба описать подробно как сделать так, чтобы была связь между клиентами. Заранее спасибо!!!

1. Не понял вопроса. Они же у вас не в одной подсети, а связаны с 1100, каждый своим тоннелем. 2. А как 1100 узнает какая из 172.16.xxxx за каким тоннелем живет? На хрена ему ospf на полторы подсети? Зачем забивать ТС голову лишней информацией? Он и так не особо понимает что делает. На счет первого пункта: имеется в виду, например, за первой rb750 устройства с айпишками 192.168.0.1 и 192.168.0.2 и сеть соотв-но 192.168.0.0/24, а за второй rb750 устройства с айпишками 192.168.0.3 и 192.168.0.4 и сеть та же (192.168.0.0/24). Вопрос??? Так локальная сеть будет работать или обязательно они должны быть в разных подсетях???

Возникает несколько еще вопросов??? 1)Можно ли организовать локальную сеть (между двумя RB750 данной схемы), если они в одной подсети? а если нет, то почему? 2)После того как туннель pptp создан почему нужно прописывать статич. маршруты на RB1100, разве сеть не должна работать прямо по туннелю??