svyaznoy
-
Публикации
52 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем svyaznoy
-
-
6 minutes ago, EugeneTV said:
Я имел ввиду физически. Отдел 1,2 и 3 подключены каждый к своим свичам, свичи в свою очередь к микротам, так?
да, физически к своим свичам, но и есть места где на одном свиче ПК разных отделов, пересекаются (такое тоже есть), но па разным виланам.
-
2 hours ago, EugeneTV said:
А RB1100(1)..(2)...(3) это отдельные физические интерфейсы микрота? Схема не очень понятна. Компы разнесены по виланам 10,20,30 в одной физической сети на управляемых свичах?
вроде все подробно на схеме и в описании. Да, отдельные рбшки 1100 для отделов (3 шт.), для каждого 1100 свои виланы и свичи между роутером и компьютерами управляемые. Сети разные, так как для каждого компа маска 30.
-
2 hours ago, VolanD666 said:
Предлагаю подебажить, а не менять МАКи
а как?
27 minutes ago, jffulcrum said:А мостов с proxy-arp не наделано на Микротике?
нет, мостов нету
-
Опубликовано · Изменено пользователем svyaznoy · Жалоба на ответ
Доброго времени суток. Нужен совет. Есть 3 больших отдела (Отделы "A","B", и "C") со своими со своими компьютерами. Имеется следующая схема:
Для каждого из отделов выделены свои vlanы (10, 20, 30) с отдельной железкой RB1100. У клиентов в компах прописаны статические ip адреса с 30-й маской подсети (то есть, один ip-шник для компа, второй как шлюз прописан в RB1100), например, для:
- отдела "A" : комп1 - 192.168.10.0/30, комп2 - 192.168.10.4/30 и так далее...
- отдела "B" : комп1 - 192.168.20.0/30, комп2 - 192.168.20.4/30 и так далее...
- отдела "C" : комп1 - 192.168.30.0/30, комп2 - 192.168.30.4/30 и так далее...
Сеть уже рабочая, больших катаклизмов нет. Но появились 2 проблемы:
1) в этой сети на некоторых ПК стали отваливаться , казалось бы без видимых причин, доступы к сервисам (в том числе и к интернету). Проблема устраняется лишь при смене на сетевом интерфейсе ПК клиента мак адреса. А до тех пор пока не заменю мак адрес на ПК - на прочь отказывает работать. Если меняю, то работает.
2) так как сеть с маской 30, то приходится доступы к принтерам (которые подключены к некоторым ПК непосредственно из этой сети) давать через firewall. Но доступ принтерам у некоторых иногда отваливается. В таких случаях помогает перезагрузка ПК, либо смена мак адреса сетевой карты (см. выше) и так далее, либо ничего не помогает.
Может кто посоветует, в каком направлении мне двигаться??? Буду весьма благодарен за дельный ответ))
-
Добрый день, форумчане. Есть проблема следующего характера. Имеется сервер видеонаблюдения с отдельной сетью и виланом. Доступ клиентов ПК к серверу и к видеокамерам осуществляется через микротик RB1100 (смотрите в схему). ПК клиентов находятся в отдельных сетях (с масками 30) с виланами. Доступ видеокамерам на клиентских ПК в есть и работают вроде нормально. Но проблема возникает в том случае, когда на один экран клиента выводятся несколько камер видеонаблюдения (например, от 4-х и более). При этом кадры периодически начинают тормозить на экране.
А вот если ПК клиента подключить на прямую в сеть сервера видеонаблюдения (10.10.10.0/24) с виланом 100 в обход RB1100, то подобная проблема с торможениями кадров не наблюдается.
Потому есть подозрение на настройку Микротика RB1100. Может проблема с натом, так как у меня настроен через общий маскарад?
Просьба дать чуть развернутый ответ.
-
On 29.06.2018 at 6:14 PM, DRiVen said:
С учетом того, что большая часть трафика переползла на https - никак. Ставьте squid, ну или можно попытаться продолжать затейливый секас с ACL. Здесь типа список "земляных" серверов.
Спасибо за перечень серверов. Можете подсказать также сервера для яндекс карт? Буду благодарен
-
люди добрые отзовитесь, ау ау ау!!!!!!!!!!!!!!
-
On 26.06.2018 at 4:22 PM, alibek said:
Глупая задача.
Без прокси-сервера нормально не решается.
На Микротиках есть http-прокси, но лучше изучить squid.
Задачу, конечно, не я ставил, а спустили сверху. Может из спецов посоветует как правильно, в моем случае, настроить http-прокси на микротике???
-
Опубликовано · Изменено пользователем svyaznoy · Жалоба на ответ
1 hour ago, alibek said:На Микротиках есть http-прокси
расскажите, как в моем случае его правильно настроить???
-
Добрый день, есть проблема одна. Нужно запретить доступ к интернету некоторым сотрудникам, за исключением нескольких сайтов. Доступ к парочку сайтам открыл и нормально работают и у этих сайтов лишь по одному внешнему ip адресу. Но что сделать, например, с приложением google earth через которую сотрудники стучатся на огромное кол-во внешних адресов и почему-то у меня через адрес листы не получается настроить на микротике RB1100. Если кто столкнулся с подобной задачей на микротик, то большая просьба помочь и расписать свой ответ чуточку развернуто.
-
1 hour ago, .None said:
в filter
chain=input in-interface=интерфейс-WAN connection-state=established,related action=accept
chain=input in-interface=интерфейс-WAN action=drop
спасибо брат
-
1 hour ago, .None said:
НАТ для интернета?
chain=srcnat out-interface=интерфейс-WAN action=masquerade
и еще не забудьте создать правила для обратного прохождения пакетов
я бы сделал так, добавил в список интерфейсов interfaces -> interfaces list все интерфейсы сервисов vlan101 vlan102 и т.д. и интерфейс WAN а потом в filters правило
action=accept chain=forward connection-state=established,related in-interface-list=имя_списка_интерфейсов
и двинуть это правило выше запрещающего, или в самый верх
Спасибо, пока работает как часы)). И еще, посоветуйте как защитить сам роутер RB, если на нем висит белый ip на внеш. интрефейсе (стоит также задача, чтобы именно на белый ip не было пинга с паблик сети). Интересно узнать Ваши рекомендации.
-
24 minutes ago, .None said:
НАТ для интернета?
chain=srcnat out-interface=интерфейс-WAN action=masquerade
и еще не забудьте создать правила для обратного прохождения пакетов
я бы сделал так, добавил в список интерфейсов interfaces -> interfaces list все интерфейсы сервисов vlan101 vlan102 и т.д. и интерфейс WAN а потом в filters правило
action=accept chain=forward connection-state=established,related in-interface-list=имя_списка_интерфейсов
и двинуть это правило выше запрещающего, или в самый верх
Большое спасибо. С ACL нормально заработал. А обратное правило для чего нужно указать в фильтрах с established,related???
-
34 minutes ago, .None said:
адреса клиентов
спасибо, попробую и напишу. А в нате как прописать правила? Тоже поделитесь пож.))
-
16 hours ago, .None said:
создаете адрес листы service1, service2, serviceN, internet и т.д., добавляете ip адреса в листы, далее в ip firewall filter создаете сначала разрешающие правила (action=accept) forward src address list = service1 out-interface=vlan101
в service1 какие адреса добавлены??? Адрес сервиса или адреса клиентов с маской/30??? Уточните пожалуйста
-
15 hours ago, .None said:
ПК в одном отделе не должны иметь доступ друг к другу?
Да вы правы, такое условие
-
Доброго времени суток. Посоветуйте как правильно настроить Firewall (filter rules и nat) для ниже указанной схемы, если пользователи привязаны к железке со статическими айпинишками с маской/30? Кстати, в состав департамента входят множество отделов в разных офисах. Каждый департамент заводится в отдельный маршрутизатор с отдельным vlanом. Также нужно уточнить, что для разных пользователей в пределах одного департамента нужны доступы к разным сервисам, а не нужные необходимо закрыть. Настроить нужно закрытый файрвол. Для некоторых пользователей нужен выход в инет. Необходимо чтобы клиентов и сервисы для них можно было дабавлять, переключать и удалять и так далее. Жду от вас более развернутого ответа. Заранее спасибо.
-
Опубликовано · Изменено пользователем svyaznoy · Жалоба на ответ
Посоветуйте как правильно настроить ACL (filter reles и nat) для ниже указанной схемы, если пользователи привязаны к железке со статическими айпинишками с маской/30? Кстати, в состав департамента входят множество отделов в разных офисах. Каждый департамент заводится в отдельный маршрутизатор с отдельным vlanом. Также нужно уточнить, что для разных пользователей в пределах одного департамента нужны доступы к разным сервисам, а не нужные необходимо закрыть. Настроить нужно закрытый файрвол. Для некоторых пользователей нужен выход в инет. Жду от вас более расширенного ответа или как минимум ссылку))
-
On 15.03.2018 at 5:19 PM, alibek said:
За Микротик не скажу, не знаю.
Обычно подобная функция называется "Изоляция портов".
спасибо)
-
19 minutes ago, DRiVen said:
Если каждый из компов включен в отдельный порт МТ - фильтрацией на бридже. Иначе только средствами коммутатора доступа, если таковые есть.
Спасибо за ответ.
-
Уважаемые спецы. Могли бы вы подсказать простой способ, как сделать так, чтобы пользователи одного отдела не видели друг друга в сети с маской/24 с средствами Микротик? Стоит такая задача. Нужно это, чтобы не создавать подсети для каждого пользователя с маской/30. Ответьте пожалуйста чуть развернуто???))
-
On 12.03.2018 at 4:12 PM, alibek said:
Но обычно чем проще, тем надежней. А проще — маску /24 и подсеть на отдел.
Могли бы вы подсказать простой способ, как сделать так, чтобы пользователи одного отдела не видели друг друга в сети с маской/24 с средствами Микротик? Поэтому я указал маску/30.
-
1 hour ago, DRiVen said:
По псевдостатическим ip все динамические записи аренды (литера D в IP->DHCP server->Leases) будут новыми/левыми, а с несанкционированной статикой видимо никак, но и пойти он сможет максимум по локалке. Какова конечная цель сего?
не совсем понял, что означает псевдостатический ip? Я так понял, что его реализовать можно лишь по динамическим айпишникам? Вот нашел одну ссылку https://forummikrotik.ru/viewtopic.php?f=1&t=7009
-
On 28.02.2018 at 4:09 PM, DRiVen said:
Если все в одном L2 то для статических адресов можете в ARP сделать запись вручную, а ARP на входном интерфейсе перевести в reply-only (в настройках dhcp-server должен быть задействован Add ARP For Leases).
Можно ли средствами микротика отслеживать появление новых или левых устройств?
Проблема с мак адресами в сети с микротик
в Mikrotik коммутаторы и маршрутизаторы
Опубликовано · Жалоба на ответ
snr