iSasha Posted March 8, 2017 (edited) · Report post Всем добрый день, опыта у меня не слишком много, поэтому и и хотел бы услышать мнение (совет) специалиста более опытного. Есть микротик (mipsbe 6.38.3), на нем несколько провайдеров, один из них выдает белую сеть адресов /27. Часть клиентов идет при помощи обычного NAT через данный интерфейс в том числе, а вот части клиентам нужно выделить белые сети из вышеуказанного диапазона /30, /29 в отдельный vlan и маршрутизировать их (ограничение по скорости, приоритеты и т.д.). Вроде бы ничего сложного, создаем VLAN интерфейс, в адресной книге присваиваем /29 белую сеть из диапазона выданного вышестоящим провайдером, далее делаем маршрут с маркировкой, который направляет трафик этого VLAN в нужный интерфейс, затем Mangle Prerouting для движения трафика выделенной сети по маркированному маршруту и далее NAT правило scrnat с указанием выходного интерфейса, action - accept. А теперь самое интересное, нам необходимо сделать так чтоб Mikrotik передавал ARP запросы в сеть провайдера как бы от себя (ну и в обратную сторону разумеется), в настройка интерфейса к которому подключен провайдер есть несколько режимов работы ARP (proxy-arp и local-proxy-arp, по умолчанию enable), при включении режима proxy-arp все работает, но как то странно, периодически начинаются проблемы, причем они затрагивают все интерфейсы которые имеют отношение к основному каналу. Понять в чем проблема не хватает знаний и опыта, увы. Отсюда несколько вопросов: 1. Имеет ли значение мас адрес на обоих интерфейсах (к микротику подключен управляемый коммутатор, в который подключен и провайдер и клиентская сеть, то есть мас адрес маршрутизатора и для провайдера и для клиентской сети - одинаковый) 2. Чем отличается режим proxy-arp от local-proxy-arp (второй не включал, так как он появился сравнительно недавно в свежих прошивках). Раньше данная схема отлично работала на фаерволах серии DFL D-Link, но в отличии от Микротика, там это реализовано проще (в маршруте VLAN сети указывается куда нужно передавать proxy-arp запросы, и указав интерфейс провайдера - все работало без проблем) 3. В Микротике можно выставить режим proxy-arp для интерфейса к которому подключен провайдер основной, соответственно данная опция будет применяться не только к выделенному VLAN (с белой сетью) но и к остальным интерфейсам, трафик которых идет через основной канал (как это вообще влияет на работу?, на собственном опыте разницы я не заметил) 4. Возможно есть более простые пути конфигурации данной задачи на Микротик. Заранее благодарен за подсказки, советы. Edited March 8, 2017 by iSasha Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted March 8, 2017 · Report post Для раздачи белых IP при наличии более одного провайдера надо: 1. На интерфейсе этого провайдера включить режим proxy-ARP. 2. Создать статический маршрут на шлюз этого провайдера с маркировкой, например white_IP. 3. Создать в манглах правило, что если запрос пришел от белого IP, и идет не в локальную сеть, тогда промаркировать маршрут для него как white_ip. Все, более ничего делать не надо для пропуска трафика, никаких НАТ по этим адресам тоже. Основные правила НАТ не должны обрабатывать трафик по белым адресам, и не должны работать по out-interface. IP адреса нужно выдавать поштучно, а не маской, т.к. у вас их ограниченное количество, для этого создаете влан, и на него вешаете IP со следующими настройками: IP address = хх.хх.хх.1 (первый адрес выданной вами подсети /27, вы берете ее как /24) Network = xx.xx.xx.адрес который выдаете абоненту они начинаются от первого адреса вашей сети /27. Если надо на этот влан выдать 2 и более адреса, повторяете все то же самое, только меняете адрес абонента, и если надо все адреса выдать на один влан, то у вас будет 32 копии таких настроек. Со стороны абонентов они указывают в настройках IP = свой белый ип, Netmask 255.255.255.0, шлюз = xx.xx.xx.1. Если будете настраивать там же DHCP сервер, то в его настройках нетворк указываете аналогичные действия. Сбросьте начальную конфигурацию микротика, если еще не сбрасывали. Тогда все будет отлично работать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
iSasha Posted March 8, 2017 (edited) · Report post Большое спасибо, но кое что не понятно) IP address = хх.хх.хх.1 (первый адрес выданной вами подсети /27, вы берете ее как /24) Как мы можем из сети /27 выделить пул /24?? /27 - 32 адреса, /24 - 256 адресов. /27 мы можем дробить на три по /29 (по 8 адресов), три по /30 (4 адреса) и один /28 (16 адресов), либо /30, /29, /28 При этом если сеть от провайдера (предположим) 24.24.24.192/27, адрес провайдерского шлюза 24.24.24.193, адреса для использования начиная с 194. В ближайший vlan, 8 адресов мы можем выделить 24.24.24.200/29, при этом адрес 24.24.24.201 микротику, а с 202 по 206 мы можем выдать клиенту. По отсутствии необходимости нат правил - ясно По режиму proxy-arp на интерфейсе тоже понятно. Остаются еще вопросы: 1. Имеет ли значение мас адрес на обоих интерфейсах (к микротику подключен управляемый коммутатор, в который подключен и провайдер и клиентская сеть, то есть мас адрес маршрутизатора и для провайдера и для клиентской сети - одинаковый) 2. Чем отличается режим proxy-arp от local-proxy-arp (второй не включал, так как он появился сравнительно недавно в свежих прошивках). Р 3. В Микротике можно выставить режим proxy-arp для интерфейса к которому подключен провайдер основной, соответственно данная опция будет применяться не только к выделенному VLAN (с белой сетью) но и к остальным интерфейсам, трафик которых идет через основной канал (как это вообще влияет на работу?, на собственном опыте разницы я не заметил). То есть грубо говоря если не брать во внимание данную необходимость в выделении белой сети, а просто работать из серой сети через nat - какая разница между режимом ARP: enable и proxy-arp? И еще один, не понятно: Если надо на этот влан выдать 2 и более адреса, повторяете все то же самое, только меняете адрес абонента, и если надо все адреса выдать на один влан, то у вас будет 32 копии таких настроек О каких правилах идет речь? Edited March 8, 2017 by iSasha Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted March 8, 2017 · Report post Как мы можем из сети /27 выделить пул /24?? /27 - 32 адреса, /24 - 256 адресов. /27 мы можем дробить на три по /29 (по 8 адресов), три по /30 (4 адреса) и один /28 (16 адресов), либо /30, /29, /28 При этом если сеть от провайдера (предположим) 24.24.24.192/27, адрес провайдерского шлюза 24.24.24.193, адреса для использования начиная с 194. В ближайший vlan, 8 адресов мы можем выделить 24.24.24.200/29, при этом адрес 24.24.24.201 микротику, а с 202 по 206 мы можем выдать клиенту. Если у вас сеть /27 выдал провайдер на порт, то 193 у него шлюз, 194 используете вы на микротике для доступа в интернет, а остальные свободны. Соответственно вы можете использовать остальные адреса поштучно, не дробя на маски. Допустим вы берете адрес 195. Вешаете IP = 24.24.24.1, Network = 24.24.24.195 на нужным вам влан. При этом у микротика в IP-Routes появится запись, что адрес 24.24.24.195 находится на этом влане и микротик сможет передавать ему данные (он знает куда их отправлять). Так же вы по такой схеме берете адрес 196 и настраиваете на второй влан по аналогии. Абоненты этих вланов указывают в качестве шлюза 24.24.24.1, а в качестве IP 24.24.24.195 и 196. Маска 255.255.255.0. Тут в плюсах сразу привязка IP к порту, то есть абоненты не могут поменять себе руками адрес, никакой другой адрес работать у них не будет, т.к. если абонент первого влана с адресом 195 поставит себе адрес 196, то все запросы на этот адрес пойдут во влан второго абонента, и у первого ничего работать не будет. То есть такая схема очень безопасная. Но тут есть и проблема, абонент 195 не сможет попасть на адрес 196, потому что будет отправлять на него данные широковещательными запросами в пределах своего кабеля. Что бы обеспечить им связь, на вланах этих абонентов так же нужно включить proxy-ARP, тогда на все запросы будет отвечать микротик и перенаправит данные куда следует. Сами маски /27 и /24 не несут никакого смысла, они просто указывают клиенту какой адрес широковещательный а какой адрес сети. Если у вас на микротике указана сеть на влане /27, то абонент поставив у себя маску /24, указав правильный адрес шлюза сможет работать. Вот пример настройки, на бридже создаются вланы. Сделано это так, что бы было удобно менять порт, на котором они работают, или добавлять туда другие порты. У вланов arp = reply only, и DHCP сервер сам статикой привязывает к маку при выдаче адреса, если у вас абоненты должны попадать друг на друга меняете на apr-proxy. Далее меняете последнюю цифру адреса вашей сети на первую, с которой начинаете выдавать адреса, и идете вверх до последнего адреса, так сможете раздать все адреса без потерь на маски, т.к. /30 теряет 2 адреса зря. /interface bridge add name=bridge_vlan protocol-mode=none /interface vlan add arp=reply-only interface=bridge_vlan name=vlan_2 vlan-id=2 add arp=reply-only interface=bridge_vlan name=vlan_3 vlan-id=3 add arp=reply-only interface=bridge_vlan name=vlan_4 vlan-id=4 add arp=reply-only interface=bridge_vlan name=vlan_5 vlan-id=5 add arp=reply-only interface=bridge_vlan name=vlan_6 vlan-id=6 add arp=reply-only interface=bridge_vlan name=vlan_7 vlan-id=7 add arp=reply-only interface=bridge_vlan name=vlan_8 vlan-id=8 add arp=reply-only interface=bridge_vlan name=vlan_9 vlan-id=9 add arp=reply-only interface=bridge_vlan name=vlan_10 vlan-id=10 /ip pool add name=dhcp_pool_2 ranges=24.24.24.2 add name=dhcp_pool_3 ranges=24.24.24.3 add name=dhcp_pool_4 ranges=24.24.24.4 add name=dhcp_pool_5 ranges=24.24.24.5 add name=dhcp_pool_6 ranges=24.24.24.6 add name=dhcp_pool_7 ranges=24.24.24.7 add name=dhcp_pool_8 ranges=24.24.24.8 add name=dhcp_pool_9 ranges=24.24.24.9 add name=dhcp_pool_10 ranges=24.24.24.10 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool_2 disabled=no interface=vlan_2 lease-time=5m name=dhcp_2 add add-arp=yes address-pool=dhcp_pool_3 disabled=no interface=vlan_3 lease-time=5m name=dhcp_3 add add-arp=yes address-pool=dhcp_pool_4 disabled=no interface=vlan_4 lease-time=5m name=dhcp_4 add add-arp=yes address-pool=dhcp_pool_5 disabled=no interface=vlan_5 lease-time=5m name=dhcp_5 add add-arp=yes address-pool=dhcp_pool_6 disabled=no interface=vlan_6 lease-time=5m name=dhcp_6 add add-arp=yes address-pool=dhcp_pool_7 disabled=no interface=vlan_7 lease-time=5m name=dhcp_7 add add-arp=yes address-pool=dhcp_pool_8 disabled=no interface=vlan_8 lease-time=5m name=dhcp_8 add add-arp=yes address-pool=dhcp_pool_9 disabled=no interface=vlan_9 lease-time=5m name=dhcp_9 add add-arp=yes address-pool=dhcp_pool_10 disabled=no interface=vlan_10 lease-time=5m name=dhcp_10 /ip address add address=24.24.24.1 interface=vlan_2 network=24.24.24.2 add address=24.24.24.1 interface=vlan_3 network=24.24.24.3 add address=24.24.24.1 interface=vlan_4 network=24.24.24.4 add address=24.24.24.1 interface=vlan_5 network=24.24.24.5 add address=24.24.24.1 interface=vlan_6 network=24.24.24.6 add address=24.24.24.1 interface=vlan_7 network=24.24.24.7 add address=24.24.24.1 interface=vlan_8 network=24.24.24.8 add address=24.24.24.1 interface=vlan_9 network=24.24.24.9 add address=24.24.24.1 interface=vlan_10 network=24.24.24.10 /ip dhcp-server network add address=24.24.24.0/24 dns-server=8.8.8.8 gateway=24.24.24.1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dex Posted April 2, 2017 · Report post У меня похожая ситуация (CCR1016-12S-1S+, ROS-6.37.5), два провайдера и небольшая подсеть белых адресов. Часть клиентов идет через NAT, а другой нужно выдать белые. Вот экспериментирую: - подсети как вы и писали, с маской /24 - прописал маркированный дефолтный маршрут - включил proxy-arp на внешнем интерфейсе нужного провайдера, и одном из локальных (эксперимент пока без valn, на физическом порту) - промаркировал трафик И все работает, пока белые адреса попадают под общий nat, но как только выше прописываю правило scrnat с указанием src адреса, выходного интерфейса и action - accept, трафик ходить перестает. От сюда вопрос, как правильно сделать обходной путь мимо общего NAT-a для нужных адресов или интерфейсов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted April 2, 2017 · Report post но как только выше прописываю правило scrnat с указанием src адреса, выходного интерфейса и action - accept зачем? Белый ип не подразумевает никакого ната. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dex Posted April 2, 2017 · Report post но как только выше прописываю правило scrnat с указанием src адреса, выходного интерфейса и action - accept зачем? Белый ип не подразумевает никакого ната. Белых адресов мало, подсеть /27, а активных подключений больше сотни, поэтому основная масса идет через nat. Проблема в том, как трафик для нескольких белых адресов пропустить мимо общего nat-a. Может я чего то не догоняю, но пока настроить желаемую схему у меня не получилось (( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 2, 2017 · Report post Настройте правила НАТа правильно, что бы весь трафик туда не попадал. Например запросы от серых адресов на НАТ идут по своим правилам. А если src-address уже внешний, то помимо ната. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siniy1388 Posted November 11, 2019 · Report post Добрый день. Прошу прощения за возврат к устаревшей теме. Уважаемый Saab95. У меня примерно такая-же задача, но уже есть одна подсеть от провайдера. /29 На 2-3-4-5 порт -бридж. На нем PPPoE Белые и серые IP Раздаются по PPPoE. Все прекрасно работает. Пров выделил еще подсеть- /28. Необходимо раздать по vlan. На каждый vlan - белый IP/ КАК лучше сдлелать On 3/8/2017 at 4:58 PM, Saab95 said: Для раздачи белых IP при наличии более одного провайдера надо: 1. На интерфейсе этого провайдера включить режим proxy-ARP. 2. Создать статический маршрут на шлюз этого провайдера с маркировкой, например white_IP. 3. Создать в манглах правило, что если запрос пришел от белого IP, и идет не в локальную сеть, тогда промаркировать маршрут для него как white_ip. или на бридже поднять вланы и по dhcp On 3/8/2017 at 9:43 PM, Saab95 said: Вот пример настройки, на бридже создаются вланы. Сделано это так, что бы было удобно менять порт, на котором они работают, или добавлять туда другие порты. У вланов arp = reply only, и DHCP сервер сам статикой привязывает к маку при выдаче адреса, если у вас абоненты должны попадать друг на друга меняете на apr-proxy. Далее меняете последнюю цифру адреса вашей сети на первую, с которой начинаете выдавать адреса, и идете вверх до последнего адреса, так сможете раздать все адреса без потерь на маски, т.к. /30 теряет 2 адреса зря. Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted November 11, 2019 · Report post proxy-arp еще та дыра. Возможно будут кидаться тухлыми помидорами, но у меня работает. Есть ликовая сетка /31 если че микротик не умеет делать.(Хотя можно и ip unnumbered использовать) У выше стоящего оператора прописан роут на /24 сеть. Дальше на серых IP адресах через OSPF анонсятся маршруты. Конечным клиентам можно прописывать вот так: add address=x.x.x.1 interface=eth network=x.x.x.161 у клиента можно прописывать хоть /24 подсеть. Но если нужна связанность между клиентами, нужен опять proxy-arp ну или l2 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siniy1388 Posted November 11, 2019 · Report post On 3/8/2017 at 9:43 PM, Saab95 said: Вот пример настройки, на бридже создаются вланы. Сделано это так, что бы было удобно менять порт, на котором они работают, или добавлять туда другие порты. У вланов arp = reply only, и DHCP сервер сам статикой привязывает к маку при выдаче адреса, если у вас абоненты должны попадать друг на друга меняете на apr-proxy. Далее меняете последнюю цифру адреса вашей сети на первую, с которой начинаете выдавать адреса, и идете вверх до последнего адреса, так сможете раздать все адреса без потерь на маски, т.к. /30 теряет 2 адреса зря. По такой схеме делаю. На втором mikrotike на vlan поднимаю dhcp-client. Адрес не получает. 1 hour ago, pingz said: Но если нужна связанность между клиентами, нужен опять proxy-arp ну или l2 Связаноость м/у vlan не нужна. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted November 11, 2019 · Report post @siniy1388 ну тогда, либо линковая сеть с оператором на белых ip. Либо договаривайся на серые ip работать будет. И маршрут с их стороны на твою подсеть. Либо ip unnumbered тогда будет 1 белый ip и маршрут на твою подсеть Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siniy1388 Posted November 11, 2019 · Report post Обе сети смаршрутизированы на мой 1 порт. Мне нужно пробросить белые IP на вланы. Без nat желательно. Первая (/29) уже работает. Нужно пробросить вторую (/28). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted November 12, 2019 · Report post @siniy1388 Провайдер 192.168.1.1/29 <------> 192.168.1.2/29 клиент Провайдер: ip route print DST-ADDRESS PREF-SRC GATEWAY 192.168.1.0/29 192.168.1.1 sfp1 192.168.2.0/28 192.168.1.2 Клиент: ip route print DST-ADDRESS PREF-SRC GATEWAY 0.0.0.0/0 192.168.1.1 192.168.1.0/29 192.168.1.2 sfp1 192.168.2.2/32 192.168.2.1 sfp1.vlan1 192.168.2.3/32 192.168.2.1 sfp1.vlan2 192.168.2.4/32 192.168.2.1 sfp1.vlan3 Обычная маршрутизация. Я не знаю как вам еще написать эти элементарные вещи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siniy1388 Posted November 12, 2019 · Report post Вы не поверите. Я понимаю что это элементарные вещи. Но увы я программист а не сетевик. Не обучен. Но вот надо. Заказывал у трех человек написать конфиг. Взялись и ушли в туман). Так что буду пытаться. Спасибо Вам за участие. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siniy1388 Posted November 12, 2019 · Report post Я прописываю адреса # ADDRESS NETWORK INTERFACE 0 192.168.1.2/24 192.168.1.0 bridge1 1 xx.xxx.222.138/29 xx.xxx.222.136 ether1 -- /29 - рабочая --/28 - новые 11 xx.xxx.217.1/32 xx.xxx.217.130 ether1.vlan101 12 xx.xxx.217.1/32 xx.xxx.217.131 ether1.vlan104 13 xx.xxx.217.1/32 xx.xxx.217.132 ether1.vlan105 маршруты добавляются автоматом # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 1 A S 0.0.0.0/0 xx.xxx.222.137 1 8 ADC xx.xxx.217.130/32 xx.xxx.217.1 ether1.vlan101 0 9 ADC xx.xxx.217.131/32 xx.xxx.217.1 ether1.vlan104 0 10 ADC xx.xxx.217.132/32 xx.xxx.217.1 ether1.vlan105 0 11 ADC xx.xxx.222.136/29 xx.xxx.222.138 ether1 0 12 ADC xx.xxx.222.139/32 10.2.0.1 <pppoe-webs2> 0 13 ADC xx.xxx.222.140/32 10.2.0.1 <pppoe-20340101... 0 14 ADC 192.168.1.0/24 192.168.1.2 bridge1 0 С моего оборудования шлюз xx.xxx.217.129 пингуется. Адреса xx.xxx.217.13х на вланах не доступны. Создаю ether1.vlan105 на 2 mikrotike - клиенте. подключен ether1 к bridge1 на 1-м. Прописываю статикой ip # ADDRESS NETWORK INTERFACE 0 192.168.0.211/24 192.168.0.0 ether2 1 192.168.1.211/24 192.168.1.0 ether1 2 xx.xxx.217.1/32 xx.xxx.217.132 ether1.vlan105 # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 192.168.1.2 5 1 ADC xx.xxx.217.132/32 xx.xxx.217.1 ether1.vlan105 0 2 ADC 192.168.0.0/24 192.168.0.211 ether2 0 3 ADC 192.168.1.0/24 192.168.1.211 ether1 0 шлюз xx.xxx.217.129 пингуется. xx.xxx.217.132 не пингуется. Что-то мне подсказывает, что я чего-то не дописал. Помогите плз. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted November 12, 2019 · Report post @siniy1388 Вам нужно договорится с оператором, что бы они вам отдавали вашу сеть /28 через линковую сеть роутом. Сейчас у оператора: add address=192.168.1.0/29 interface=sfp.1 network=192.168.1.1 add address=192.168.2.0/29 interface=sfp.1 network=192.168.2.1 DST-ADDRESS PREF-SRC GATEWAY 192.168.1.0/29 192.168.1.1 sfp1 192.168.2.0/28 192.168.2.1 sfp1 Т.е. у него на интерфейсе sfp1 прописаны ip адреса 192.168.1.1 и 192.168.2.1 А нужно прописать маршрут /ip route add disabled=yes distance=1 dst-address=192.168.2.0/28 gateway=192.168.1.2 /ip address add address=192.168.1.0/29 interface=sfp.1 network=192.168.1.1 Получится вот так: ip route print DST-ADDRESS PREF-SRC GATEWAY 192.168.1.0/29 192.168.1.1 sfp1 192.168.2.0/28 192.168.1.2 А вы на своем маршрутизаторе уже: /ip address add address=192.168.1.0/29 interface=sfp.1 network=192.168.1.2 add address=192.168.2.1 interface=eth.2 network=192.168.2.2 add address=192.168.2.1 interface=eth.3 network=192.168.2.3 add address=192.168.2.1 interface=eth.4 network=192.168.2.4 /ip route add disabled=yes distance=1 gateway=192.168.1.1 Получится вот так: ip route print DST-ADDRESS PREF-SRC GATEWAY 0.0.0.0/0 192.168.1.1 192.168.1.0/29 192.168.1.2 sfp1 192.168.2.2/32 192.168.2.1 eth.1 192.168.2.3/32 192.168.2.1 eth.2 192.168.2.4/32 192.168.2.1 eth.3 Выхлоп дай export Реальные IP затри x.x.x. и y.y.y. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siniy1388 Posted November 12, 2019 · Report post [siniy1388_1@budka_troll_24_2] > export compact # nov/12/2019 12:38:28 by RouterOS 6.43 # # model = 750GL /interface bridge add fast-forward=no mtu=1500 name=bridge1 protocol-mode=none /interface ethernet set [ find default-name=ether1 ] arp=proxy-arp speed=100Mbps set [ find default-name=ether2 ] speed=100Mbps set [ find default-name=ether3 ] rx-flow-control=on speed=100Mbps tx-flow-control=on set [ find default-name=ether4 ] advertise=10M-half,10M-full,100M-half rx-flow-control=on speed=100Mbps tx-flow-control=on set [ find default-name=ether5 ] auto-negotiation=no speed=100Mbps /interface vlan add interface=ether1 name=vlan101 vlan-id=101 add interface=ether1 name=vlan104 vlan-id=104 add interface=ether1 name=vlan105 vlan-id=105 /interface ethernet switch port set 0 default-vlan-id=0 vlan-mode=fallback set 1 default-vlan-id=0 vlan-mode=fallback set 2 default-vlan-id=0 vlan-mode=fallback set 3 default-vlan-id=0 vlan-mode=fallback set 5 default-vlan-id=0 vlan-mode=fallback /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec proposal set [ find default=yes ] enc-algorithms=3des /ppp profile add change-tcp-mss=yes local-address=10.2.0.1 name=Tariff_1/0.5 only-one=yes rate-limit=512k/1024k use-compression=no use-encryption=no use-mpls=no add change-tcp-mss=yes local-address=10.2.0.1 name=Traff_2/1 only-one=yes rate-limit=1M/2M use-compression=no use-encryption=no use-mpls=no add change-tcp-mss=yes local-address=10.2.0.1 name=Tarif_5/3 only-one=yes rate-limit=3M/5M use-compression=no use-encryption=no use-mpls=no add change-tcp-mss=yes comment="Tarif_100/100 admin" local-address=10.2.0.1 name=Tarif_100/100 only-one=yes rate-limit=15M/15M use-compression=no \ use-encryption=no use-mpls=no add change-tcp-mss=yes local-address=10.2.0.1 name=Traff_3/2 only-one=yes rate-limit=2M/3M use-compression=no use-encryption=no use-mpls=no add change-tcp-mss=yes comment=Tarif_5/5 local-address=10.2.0.1 name=Tarif_5/5 only-one=yes rate-limit=6M/6M use-compression=no use-encryption=no use-mpls=no add change-tcp-mss=yes comment=Tarif_10. local-address=10.2.0.1 name=Tarif_10./10 only-one=yes rate-limit=10M/10M use-compression=no use-encryption=no \ use-mpls=no add change-tcp-mss=yes local-address=10.2.0.1 name=Tarif_6/3 only-one=yes rate-limit=3M/6M use-compression=no use-encryption=no use-mpls=no add change-tcp-mss=yes local-address=10.2.0.1 name=Traff_0 only-one=yes rate-limit=0M/0M use-compression=no use-encryption=no use-mpls=no add change-tcp-mss=yes comment=Tarif_15 local-address=10.2.0.1 name=Tarif_15./15 only-one=yes rate-limit=15M/15M use-compression=no use-encryption=no \ use-mpls=no add change-tcp-mss=yes comment=Tarif_20 local-address=10.2.0.1 name=Tarif_20./20 only-one=yes rate-limit=20M/20M use-compression=no use-encryption=no \ use-mpls=no /queue type set 0 pfifo-limit=500 set 1 pfifo-limit=500 set 9 pfifo-limit=500 /snmp community set [ find default=yes ] addresses=0.0.0.0/0 /system logging action set 0 memory-lines=10000 /interface bridge port add bridge=bridge1 hw=no interface=ether3 add bridge=bridge1 hw=no interface=ether4 add bridge=bridge1 hw=no interface=ether2 add bridge=bridge1 hw=no interface=ether5 /interface pppoe-server server add default-profile=Tariff_1/0.5 disabled=no interface=bridge1 keepalive-timeout=30 max-mru=1480 max-mtu=1480 one-session-per-host=yes service-name=service1 /interface pptp-server server set authentication=pap,chap,mschap1,mschap2 enabled=yes /ip address add address=192.168.1.2/24 interface=bridge1 network=192.168.1.0 add address=xxx.xxx.222.138/29 interface=ether1 network=xxx.xxx.222.136 add address=192.168.2.1/24 disabled=yes network=192.168.2.0 add address=xxx.xxx.217.130 disabled=yes interface=ether1 network=xxx.xxx.217.130 add address=xxx.xxx.217.1 interface=vlan101 network=xxx.xxx.217.130 add address=xxx.xxx.217.1 interface=vlan104 network=xxx.xxx.217.131 add address=xxx.xxx.217.1 interface=vlan105 network=xxx.xxx.217.132 /ip dhcp-client add default-route-distance=2 dhcp-options=hostname,clientid interface=ether1 /ip dns set servers=83.149.24.244,83.149.24.243 /ip firewall filter add action=drop chain=input dst-port=445 in-interface=ether1 protocol=tcp add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp add action=drop chain=input dst-port=53 in-interface=ether1 protocol=tcp add action=drop chain=input dst-port=445 in-interface=ether1 protocol=udp add action=drop chain=input comment=Dudiki src-address-list=Dudiki add action=add-src-to-address-list address-list="" address-list-timeout=none-dynamic chain=input disabled=yes protocol=tcp add action=drop chain=forward comment=spammer1 dst-port=25 protocol=tcp src-address-list=spammer add action=add-dst-to-address-list address-list=spammer address-list-timeout=1d chain=forward comment=spaamer2 connection-limit=30,32 disabled=yes dst-port=\ 25 limit=50,5:packet protocol=tcp src-address-list=!spammer add action=accept chain=forward comment="Access Internet From VLAN" disabled=yes src-address=xxx.xxx.217.0/24 /ip firewall nat add action=accept chain=srcnat src-address=xxx.xxx.222.139 add action=accept chain=srcnat src-address=xxx.xxx.222.141 add action=accept chain=srcnat src-address=xxx.xxx.222.140 add action=accept chain=srcnat src-address=xxx.xxx.222.142 add action=accept chain=srcnat disabled=yes src-address=xxx.xxx.217.131 add action=accept chain=srcnat disabled=yes src-address=xxx.xxx.217.132 add action=accept chain=srcnat disabled=yes src-address=xxx.xxx.217.130 add action=masquerade chain=srcnat add action=dst-nat chain=dstnat comment="Off Trooleyb 1.108" dst-port=8108 protocol=tcp to-addresses=192.168.1.108 to-ports=443 add action=dst-nat chain=dstnat comment="Off Trooleyb 1.109" dst-port=8109 protocol=tcp to-addresses=192.168.1.109 to-ports=443 add action=netmap chain=dstnat comment="AMD Vertikal" dst-port=3389 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3389 add action=netmap chain=dstnat comment="AMD BUH" dst-port=3390 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3390 add action=netmap chain=dstnat comment="AMD pallet" dst-port=3391 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3491 add action=netmap chain=dstnat comment=Metall dst-port=3392 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3392 add action=netmap chain=dstnat comment=14 dst-port=3397 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3397 add action=netmap chain=dstnat comment="my 7 043" dst-port=3398 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3398 add action=netmap chain=dstnat comment=temp1 dst-port=3396 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3396 add action=netmap chain=dstnat comment=09 dst-port=3393 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3393 add action=src-nat chain=srcnat comment="AP Troll-Off" dst-address=192.168.1.108 dst-port=443 protocol=tcp to-addresses=192.168.1.2 add action=src-nat chain=srcnat comment="AP Troll-Off 109" dst-address=192.168.1.109 dst-port=443 protocol=tcp to-addresses=192.168.1.2 add action=src-nat chain=srcnat comment="Router Buxx" dst-address=10.2.0.3 dst-port=80 protocol=tcp to-addresses=192.168.1.2 /ip proxy set cache-path=web-proxy1 enabled=yes /ip proxy access add action=deny redirect-to="ui-company.ru/index.php\?option=com_content&view=article&id=89&catid=10" /ip route add disabled=yes distance=2 gateway=xxx.xxx.217.129 routing-mark=conn_29 add distance=1 gateway=xxx.xxx.222.137 set enabled=yes primary-ntp=79.165.63.245 secondary-ntp=91.206.16.3 /system routerboard settings set silent-boot=no 1 minute ago, siniy1388 said: /ip dhcp-client отключен-удален Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted November 12, 2019 · Report post @siniy1388 Варианты: 1. Через оператора как я писал выше. По мне самый простой и правильный. 2. Два микротика. 3. PBR + NAT 4. PBR + proxy-arp. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...