Перейти к содержимому
Калькуляторы

sbulyigin

Новичок
  • Публикации

    3
  • Зарегистрирован

  • Посещение

О sbulyigin

  • Звание
    Абитуриент
    Абитуриент

Посетители профиля

Блок посетителей профиля отключен и не будет отображаться другим пользователям

  1. Добрый день, коллеги. Помогите с конфигом. Возможно подскажите как лучше все настроить, выстроить безопасность и найти проблему. Из последнего вчера несколько раз блокировал провайдер, говорит вижу петлю. На что я включил Loop Protect, но ничего сам не поймал и в логах не видел. Из слов провайдера, когда попросил комментарий, говорят вижу петлю между 2 точек. Из чего я начал делать выводы, что петля не в Офисе. А возможно она образуется между 2 портами провайдера, с моими настройками? А началось все в то время как 1 фаза пропала часть компов вышибло. Все выключили и ушли. После завершения работа, роутер перезагрузили и начались блокировки портов провайдера. Порты подняли, Loop Protect к этому включил, но повторения не было пока что. История: Есть микротик, Приходит в него 2 точки доступа ( одна интернет со статикой, вторая локальная сеть по городу в отдельном вилане для конечного оборудования ЛБ). На микротике есть 3 бриджа. Первый bridgeLocalOffice идет для офиса малая сеть на 254 адреса 192.168.1.0\24, объединяет eth2 и eth3 порты. Eth2 идет в хаб на и расходится на всех конечных пользователей. Eth3 идет сразу в сервер 192.168.1.254. Второй bridgeLanLift объединяет порты eth4 и eth5 100.1.0.0\21. Eth4 - большой сегмент сети, построен на мощностях провайдера, все конечные порты объеденные в 1 вилан и доходят до конечных точек ЛБ. Eth5 — выделенный порт для ПК диспетчера в сети bridgeLanLift имеет адрес 100.1.1.1. Третий WlanOffice для wifi в офисе имеет адрес 192.168.2.1\24. Из того, что настраивал: bridgeLanLift должен получать интернет от провайдера. В рамкам безопасности исключить все UDP\TCP порты, которые не нужны для работы оборудования, чтобы не смогли стучаться на сервер комплекса в GUI. bridgeLanLift должен иметь доступ по определенным портам к 100.1.1.1 UDP 46000-60000, остальные можно блокировать, тут установлен Диспетчерский комплекс. Оставить те TCP, которые требуется для доступа в интернет. Между bridgeLanLift и bridgeLocalOffice доступа быть не должно. ПК диспетчера 100.1.1.1 обменивается документами через шару на сервере oktell. Между ПК диспетчера 100.1.1.1 и сервером Oktell должен настроен nat по определенным UDP для SIP телефонии (https://wiki.oktell.ru/Порты,_используемые_системой) Порты для работы Sip должны не блокировать в bridgeLocalOffice. https://wiki.oktell.ru/Порты,_используемые_системой Во вне с заменой выброшен порт 54983 для доступа с мобильного приложения в диспетчерский комплекс. Доступ к микротику только локально. Хотелось бы выстроить правильную безопасность и в целом настройку. Из того что планирую в ближайшее время. ПК 100.1.1.1 с клиент-серверном комплексом разъединиться с диспетчером. Ему перестанет быть нужен доступ с bridgeLanLift и oktell. Диспетчер переедет в сеть bridgeLocalOffice. Доступ к 100.1.1.1 получит через тонкий клиент по открытию порта в nat в bridgeLocalOffice. Текущий конфиг ± отрабатывал, жалоб не было. Но вот появились проблемы с провайдером. Замечались проблемы со связью иногда линия диспетчера уходила на пере адресацию, типо не видит клиент на компе диспетчера, причину не нашел. Хотелось бы реально нормально настроить его и быть спокойным. Прикладываю свой конфиг и скриншоты. # aug/03/2023 09:48:56 by RouterOS 7.6 # software id = YELJ-7Z8A # # model = RB951G-2HnD # serial number = DE350DCC7AD3 /interface bridge add comment="\C1\F0\E8\E4\E6 \EB\EE\EA\E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8 \EE\F4\ \E8\F1\E0 wifi" name=WlanOffice add comment="\C1\F0\E8\E4\E6 \CB\EE\EA\E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8 \EB\E8\ \F4\F2\EE\E2" name=bridgeLanLift add admin-mac=08:55:31:EE:36:06 auto-mac=no comment="\C1\F0\E8\E4\E6 \EB\EE\EA\ \E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8 \EE\F4\E8\F1\E0" name=bridgeLocalOffice /interface ethernet set [ find default-name=ether1 ] comment="\CF\F0\EE\E2\E0\E9\E4\E5\F0" \ loop-protect=on name=ether1-WAN set [ find default-name=ether2 ] comment=\ "\CB\EE\EA\E0\EB\FC\ED\E0\FF \F1\E5\F2\FC \EE\F4\E8\F1\E0" loop-protect=\ on name=ether2-office set [ find default-name=ether3 ] comment="\CB\EE\EA\E0\EB\FC\ED\E0\FF \F1\E5\ \F2\FC \EE\F4\E8\F1\E0, \D1\E5\F0\E2\E5\F0 \EE\EA\F2\E5\EB\EB\E0" \ loop-protect=on name=ether3-office set [ find default-name=ether4 ] comment=\ "\CB\EE\EA\E0\EB\FC\ED\E0\FF \F1\E5\F2\FC \EB\E8\F4\F2\EE\E2" \ loop-protect=on name=ether4-lift set [ find default-name=ether5 ] comment="\CB\EE\EA\E0\EB\FC\ED\E0\FF \F1\E5\ \F2\FC \EE\F4\E8\F1\E0, \C4\E8\F1\EF\E5\F2\F7\E5\F0" loop-protect=on \ name=ether5-lift /interface pppoe-client add add-default-route=yes disabled=no interface=ether1-WAN name=pppoe-out \ use-peer-dns=yes user=astralift /interface list add name=WAN_list add name=LAN_list add name=WLAN_list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile1 \ supplicant-identity="" /interface wireless set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \ band=2ghz-b/g/n channel-width=20/40mhz-Ce comment=\ "\C1\E5\F1\EF\F0\EE\E2\EE\E4\ED\E0\FF \F1\E5\F2\FC \EE\F4\E8\F1\E0" \ country=russia3 disabled=no frequency-mode=manual-txpower \ hw-protection-mode=rts-cts installation=indoor mode=ap-bridge \ security-profile=profile1 ssid=AstrakhanLift tx-power-mode=\ all-rates-fixed wireless-protocol=802.11 wmm-support=enabled wps-mode=\ disabled /interface wireless manual-tx-power-table set wlan1 comment=\ "\C1\E5\F1\EF\F0\EE\E2\EE\E4\ED\E0\FF \F1\E5\F2\FC \EE\F4\E8\F1\E0" /interface wireless nstreme set wlan1 comment=\ "\C1\E5\F1\EF\F0\EE\E2\EE\E4\ED\E0\FF \F1\E5\F2\FC \EE\F4\E8\F1\E0" /ip pool add name=dhcp ranges=192.168.1.100-192.168.1.200 add name=dhcp_lan_lift_pool ranges=\ 100.1.0.1-100.1.0.254,100.1.1.255-100.1.7.254 add name=dhcp_wlan_office_pool ranges=192.168.2.10-192.168.2.254 /ip dhcp-server add address-pool=dhcp comment="DHCP \F1\E5\F0\E2\E5\F0 \EB\EE\EA\E0\EB\FC\ED\ \EE\E9 \F1\E5\F2\E8 \EE\F4\E8\F1\E0" interface=bridgeLocalOffice \ lease-time=5d10m name=dhcp_lan_office add address-pool=dhcp_lan_lift_pool comment="DHCP \F1\E5\F0\E2\E5\F0 \EB\EE\EA\ \E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8 \EB\E8\F4\F2\EE\E2" interface=\ bridgeLanLift lease-time=5d10m name=dhcp_lan_lift add address-pool=dhcp_wlan_office_pool comment="DHCP \F1\E5\F0\E2\E5\F0 \E1\E5\ \F1\EF\F0\EE\E2\EE\E4\ED\EE\E9 \F1\E5\F2\E8 \EE\F4\E8\F1\E0" interface=\ WlanOffice lease-time=5d10m name=dhcp_wlan_office /interface bridge port add bridge=bridgeLocalOffice comment=defconf interface=ether2-office add bridge=bridgeLocalOffice comment=defconf interface=ether3-office add bridge=bridgeLanLift comment=defconf interface=ether4-lift add bridge=bridgeLanLift comment=defconf interface=ether5-lift add bridge=WlanOffice comment=defconf interface=wlan1 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add interface=ether1-WAN list=WAN add interface=ether2-office list=LAN add interface=ether3-office list=LAN add interface=ether4-lift list=LAN add interface=ether5-lift list=LAN add interface=wlan1 list=WLAN_list add interface=pppoe-out list=WAN add interface=bridgeLocalOffice list=LAN /interface wireless access-list add interface=wlan1 mac-address=88:F5:6E:32:A3:82 vlan-mode=no-tag /interface wireless cap set bridge=bridgeLocalOffice discovery-interfaces=bridgeLocalOffice \ interfaces=wlan1 /ip address add address=192.168.1.1/24 comment=\ "\C0\E4\F0\E5\F1 \E8\ED\F2\E5\F0\F4\E5\E9\F1\E0 LAN" interface=\ bridgeLocalOffice network=192.168.1.0 add address=192.168.2.1/24 comment=\ "\C0\E4\F0\E5\F1 \E8\ED\F2\E5\F0\F4\E5\E9\F1\E0 Wlan" interface=\ WlanOffice network=192.168.2.0 add address=100.1.1.254/21 comment=\ "\C0\E4\F0\E5\F1 \E8\ED\F2\E5\F0\F4\E5\E9\F1\E0 LAN Lift" interface=\ bridgeLanLift network=100.1.0.0 /ip dhcp-client add comment=defconf disabled=yes interface=bridgeLocalOffice add disabled=yes interface=ether1-WAN /ip dhcp-server network add address=100.1.0.0/21 dns-server=192.168.1.1,8.8.8.8 gateway=100.1.1.254 add address=192.168.1.0/24 dns-server=192.168.1.1,8.8.8.8 gateway=192.168.1.1 add address=192.168.2.0/24 dns-server=192.168.1.1,8.8.8.8 gateway=192.168.2.1 /ip dns set allow-remote-requests=yes servers=192.168.1.1,8.8.8.8 /ip firewall address-list add address=192.168.1.0/24 list=admin /ip firewall filter add action=accept chain=input connection-state=established add action=accept chain=input connection-state=related add action=accept chain=forward comment="Established & related" \ connection-state=established,related add action=drop chain=forward comment=invalid connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN log=yes add action=accept chain=input protocol=icmp add action=accept chain=forward comment="Accept udp 46000-60000" dst-port=\ 46000-60000 in-interface=bridgeLanLift protocol=udp add action=accept chain=forward comment="Accept icmp" in-interface=\ bridgeLanLift protocol=icmp add action=accept chain=forward comment="accept any udp port" protocol=udp \ src-address=100.1.1.1 add action=accept chain=forward comment="accept any udp port" src-address=\ 192.168.1.254 add action=accept chain=forward comment="accept any tcp port" port="" \ protocol=tcp src-address=100.1.1.1 add action=accept chain=forward comment="accept any tcp port" protocol=tcp \ src-address=192.168.1.254 add action=reject chain=forward comment="Drop \E2\F1\E5, \EA\F0\EE\EC\E5 \E4\ \EE\F1\F2\F3\EF\E0 \E2 \E8\ED\F2\E5\F0\ED\E5\F2 \ED\E0 \CB\C1" dst-port=\ !80,81,443 in-interface=bridgeLanLift protocol=tcp reject-with=\ icmp-net-prohibited add action=drop chain=input in-interface-list=!LAN /ip firewall nat add action=masquerade chain=srcnat add action=netmap chain=dstnat comment="\CF\F0\FF\EC\E0\FF \F1\E2\FF\E7\FC \CB\ \E8\F4\F2\EE\E2\FB\F5 \E1\EB\EE\EA\EE\E2 \EF\EE \E8\ED\F2\E5\F0\ED\E5\F2\ \F3 \E8\EB\E8 \CB\C2\D1 \E4\EE \E4\E8\F1\EF\E5\F2\F7\E5\F0\E0\\" \ dst-port=55500-55501 protocol=udp to-addresses=100.1.1.1 add action=dst-nat chain=dstnat comment=\ "\CF\F0\FF\EC\E0\FF \F1\E2\FF\E7\FC \CB\C1 \E8 LKDSDomain\\" disabled=yes \ dst-port=55500-55501,49100 in-interface=ether1-WAN protocol=udp \ to-addresses=100.1.1.1 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=4050-4055 protocol=tcp to-addresses=192.168.1.254 to-ports=\ 4050-4055 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=5060 protocol=tcp to-addresses=192.168.1.254 to-ports=5060 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=5070 protocol=tcp to-addresses=192.168.1.254 to-ports=5070 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=4059 protocol=tcp to-addresses=192.168.1.254 to-ports=4059 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=4059-4066 protocol=tcp to-addresses=192.168.1.254 to-ports=\ 4059-4066 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=4086-4089 protocol=tcp to-addresses=192.168.1.254 to-ports=\ 4086-4089 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=5060 protocol=udp to-addresses=192.168.1.254 to-ports=5060 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=4003-4005 protocol=udp to-addresses=192.168.1.254 to-ports=\ 4003-4005 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=9000-19000 protocol=udp to-addresses=192.168.1.254 to-ports=\ 9000-19000 add action=dst-nat chain=dstnat disabled=yes dst-port=55500 in-interface=\ ether1-WAN log=yes protocol=udp to-addresses=100.1.1.1 to-ports=55500 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ in-interface=ether1-WAN src-address=100.1.1.1 to-addresses=XX.XXX.XXX.XXX add action=dst-nat chain=dstnat comment=\ "web \E4\EE\F1\F2\F3\EF \EC\E5\F5\E0\ED\E8\EA\E0\EC" disabled=yes \ dst-address=XX.XXX.XXX.XXX dst-port=47383 protocol=tcp to-addresses=\ 100.1.1.1 to-ports=443 add action=dst-nat chain=dstnat dst-address=XX.XXX.XXX.XXX dst-port=54983 \ log=yes protocol=tcp to-addresses=100.1.1.1 to-ports=49100 add action=dst-nat chain=dstnat comment="udp client" dst-address=\ XX.XXX.XXX.XXX dst-port=54983 log=yes protocol=udp to-addresses=100.1.1.1 \ to-ports=49100 /ip service set telnet disabled=yes set ftp disabled=yes set www address=192.168.1.0/24 port=12345 set ssh disabled=yes set api disabled=yes set winbox address=192.168.1.0/24 /system clock set time-zone-name=Europe/Volgograd /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN
  2. Здравствуйте. Потерялся доступ к коммутатору. Измучался, не пойму как его сбросить? Кто знает, поделитесь, пожалуйста. Через CLI ничего не видно, кроме загрузки. Судя по всему по умолчанию пользователь выключен. Через кнопку ECO кроме как выключения подсветки, ничего не происходит.
  3. Здравствуйте. Директор купил данную железку (mikrotik 951g-2hnd), стоял обычный роутер. Понадобилось объединить 2 сети и назначить разные правила, которые обычный роутер не умел делать. Стоит последняя прошивка. Замучался с ним, столько раз перенастраивал и сбрасывал, сейчас стоит пустой. Прошу помощи, как настроить для корректной работы? Опишу что хотим: Порты: 1) WAN pppoe 2) Сеть офиса, провод в неуправляемый коммутатор на все ПК 3) Сеть офиса, сервер октелла 4) Сеть Лифтов, провод уходит в сеть провайдера (выделенная линия по городу, определенный вилан, в целом обычная сеть) 5) Сеть лифтов, компьютер диспетчера -------------- Серваков не раскинуто, AD нет, обычная рабочая группа. Сеть офиса 192.168.1.0\24, пул DHCP 192.168.1.100-192.168.1.200. Адрес интерфейса 192.168.1.1, dns тот же. 192.168.1.254 адрес октелла, вообще скорее нужно будет закрепление mac ip и выдача адреса по DHCP. Сеть лифтов 100.1.0.0\21. Компьютер диспетчера 100.1.1.1, адрес интерфейса 100.1.1.254. Сеть 100.1.1.0 (статика по DHCP не раздаем) остальное все по DHCP. ---------- Интернет нужен во всех сетях. это главная задача. у меня почему-то вечно не было инета. ----- Нужно чтобы из сети Лифтов в сеть офиса не попадали. Однако 1 Адресу нужно забирать данные и отчеты на 100.1.1.1. Так же на 100.1.1.1 надо пробросить октел, чтобы можно было звонить (можно пример порты знаю), а как путь указать нет. --- Вопрос в защите, как выставить корректную и надежную защиту в этом всем. ---- Wifi разрешить доступ только по доверенным mac. Примерно в таком виде.