Jump to content
Калькуляторы

Mikrotik конфигурация белой сети, proxy ARP

Всем добрый день, опыта у меня не слишком много, поэтому и и хотел бы услышать мнение (совет) специалиста более опытного.

 

Есть микротик (mipsbe 6.38.3), на нем несколько провайдеров, один из них выдает белую сеть адресов /27.

 

Часть клиентов идет при помощи обычного NAT через данный интерфейс в том числе, а вот части клиентам нужно выделить белые сети из вышеуказанного диапазона /30, /29 в отдельный vlan и маршрутизировать их (ограничение по скорости, приоритеты и т.д.).

Вроде бы ничего сложного, создаем VLAN интерфейс, в адресной книге присваиваем /29 белую сеть из диапазона выданного вышестоящим провайдером, далее делаем маршрут с маркировкой, который направляет трафик этого VLAN в нужный интерфейс, затем Mangle Prerouting для движения трафика выделенной сети по маркированному маршруту и далее NAT правило scrnat с указанием выходного интерфейса, action - accept. А теперь самое интересное, нам необходимо сделать так чтоб Mikrotik передавал ARP запросы в сеть провайдера как бы от себя (ну и в обратную сторону разумеется), в настройка интерфейса к которому подключен провайдер есть несколько режимов работы ARP (proxy-arp и local-proxy-arp, по умолчанию enable), при включении режима proxy-arp все работает, но как то странно, периодически начинаются проблемы, причем они затрагивают все интерфейсы которые имеют отношение к основному каналу. Понять в чем проблема не хватает знаний и опыта, увы. Отсюда несколько вопросов:

 

1. Имеет ли значение мас адрес на обоих интерфейсах (к микротику подключен управляемый коммутатор, в который подключен и провайдер и клиентская сеть, то есть мас адрес маршрутизатора и для провайдера и для клиентской сети - одинаковый)

2. Чем отличается режим proxy-arp от local-proxy-arp (второй не включал, так как он появился сравнительно недавно в свежих прошивках). Раньше данная схема отлично работала на фаерволах серии DFL D-Link, но в отличии от Микротика, там это реализовано проще (в маршруте VLAN сети указывается куда нужно передавать proxy-arp запросы, и указав интерфейс провайдера - все работало без проблем)

3. В Микротике можно выставить режим proxy-arp для интерфейса к которому подключен провайдер основной, соответственно данная опция будет применяться не только к выделенному VLAN (с белой сетью) но и к остальным интерфейсам, трафик которых идет через основной канал (как это вообще влияет на работу?, на собственном опыте разницы я не заметил)

4. Возможно есть более простые пути конфигурации данной задачи на Микротик.

 

Заранее благодарен за подсказки, советы.

Edited by iSasha

Share this post


Link to post
Share on other sites

Для раздачи белых IP при наличии более одного провайдера надо:

 

1. На интерфейсе этого провайдера включить режим proxy-ARP.

2. Создать статический маршрут на шлюз этого провайдера с маркировкой, например white_IP.

3. Создать в манглах правило, что если запрос пришел от белого IP, и идет не в локальную сеть, тогда промаркировать маршрут для него как white_ip.

 

Все, более ничего делать не надо для пропуска трафика, никаких НАТ по этим адресам тоже. Основные правила НАТ не должны обрабатывать трафик по белым адресам, и не должны работать по out-interface.

 

IP адреса нужно выдавать поштучно, а не маской, т.к. у вас их ограниченное количество, для этого создаете влан, и на него вешаете IP со следующими настройками:

 

IP address = хх.хх.хх.1 (первый адрес выданной вами подсети /27, вы берете ее как /24)

Network = xx.xx.xx.адрес который выдаете абоненту они начинаются от первого адреса вашей сети /27.

 

Если надо на этот влан выдать 2 и более адреса, повторяете все то же самое, только меняете адрес абонента, и если надо все адреса выдать на один влан, то у вас будет 32 копии таких настроек.

 

Со стороны абонентов они указывают в настройках IP = свой белый ип, Netmask 255.255.255.0, шлюз = xx.xx.xx.1.

 

Если будете настраивать там же DHCP сервер, то в его настройках нетворк указываете аналогичные действия.

 

Сбросьте начальную конфигурацию микротика, если еще не сбрасывали. Тогда все будет отлично работать.

Share this post


Link to post
Share on other sites

Большое спасибо, но кое что не понятно)

 

IP address = хх.хх.хх.1 (первый адрес выданной вами подсети /27, вы берете ее как /24)

 

Как мы можем из сети /27 выделить пул /24?? /27 - 32 адреса, /24 - 256 адресов.

/27 мы можем дробить на три по /29 (по 8 адресов), три по /30 (4 адреса) и один /28 (16 адресов), либо /30, /29, /28

 

При этом если сеть от провайдера (предположим) 24.24.24.192/27, адрес провайдерского шлюза 24.24.24.193, адреса для использования начиная с 194. В ближайший vlan, 8 адресов мы можем выделить 24.24.24.200/29, при этом адрес 24.24.24.201 микротику, а с 202 по 206 мы можем выдать клиенту.

 

По отсутствии необходимости нат правил - ясно

По режиму proxy-arp на интерфейсе тоже понятно.

 

Остаются еще вопросы:

1. Имеет ли значение мас адрес на обоих интерфейсах (к микротику подключен управляемый коммутатор, в который подключен и провайдер и клиентская сеть, то есть мас адрес маршрутизатора и для провайдера и для клиентской сети - одинаковый)

2. Чем отличается режим proxy-arp от local-proxy-arp (второй не включал, так как он появился сравнительно недавно в свежих прошивках). Р

3. В Микротике можно выставить режим proxy-arp для интерфейса к которому подключен провайдер основной, соответственно данная опция будет применяться не только к выделенному VLAN (с белой сетью) но и к остальным интерфейсам, трафик которых идет через основной канал (как это вообще влияет на работу?, на собственном опыте разницы я не заметил). То есть грубо говоря если не брать во внимание данную необходимость в выделении белой сети, а просто работать из серой сети через nat - какая разница между режимом ARP: enable и proxy-arp?

 

И еще один, не понятно:

 

Если надо на этот влан выдать 2 и более адреса, повторяете все то же самое, только меняете адрес абонента, и если надо все адреса выдать на один влан, то у вас будет 32 копии таких настроек

 

О каких правилах идет речь?

Edited by iSasha

Share this post


Link to post
Share on other sites

Как мы можем из сети /27 выделить пул /24?? /27 - 32 адреса, /24 - 256 адресов.

/27 мы можем дробить на три по /29 (по 8 адресов), три по /30 (4 адреса) и один /28 (16 адресов), либо /30, /29, /28

 

При этом если сеть от провайдера (предположим) 24.24.24.192/27, адрес провайдерского шлюза 24.24.24.193, адреса для использования начиная с 194. В ближайший vlan, 8 адресов мы можем выделить 24.24.24.200/29, при этом адрес 24.24.24.201 микротику, а с 202 по 206 мы можем выдать клиенту.

 

Если у вас сеть /27 выдал провайдер на порт, то 193 у него шлюз, 194 используете вы на микротике для доступа в интернет, а остальные свободны. Соответственно вы можете использовать остальные адреса поштучно, не дробя на маски.

 

Допустим вы берете адрес 195. Вешаете IP = 24.24.24.1, Network = 24.24.24.195 на нужным вам влан. При этом у микротика в IP-Routes появится запись, что адрес 24.24.24.195 находится на этом влане и микротик сможет передавать ему данные (он знает куда их отправлять).

Так же вы по такой схеме берете адрес 196 и настраиваете на второй влан по аналогии.

 

Абоненты этих вланов указывают в качестве шлюза 24.24.24.1, а в качестве IP 24.24.24.195 и 196. Маска 255.255.255.0. Тут в плюсах сразу привязка IP к порту, то есть абоненты не могут поменять себе руками адрес, никакой другой адрес работать у них не будет, т.к. если абонент первого влана с адресом 195 поставит себе адрес 196, то все запросы на этот адрес пойдут во влан второго абонента, и у первого ничего работать не будет. То есть такая схема очень безопасная.

 

Но тут есть и проблема, абонент 195 не сможет попасть на адрес 196, потому что будет отправлять на него данные широковещательными запросами в пределах своего кабеля. Что бы обеспечить им связь, на вланах этих абонентов так же нужно включить proxy-ARP, тогда на все запросы будет отвечать микротик и перенаправит данные куда следует.

 

Сами маски /27 и /24 не несут никакого смысла, они просто указывают клиенту какой адрес широковещательный а какой адрес сети. Если у вас на микротике указана сеть на влане /27, то абонент поставив у себя маску /24, указав правильный адрес шлюза сможет работать.

 

Вот пример настройки, на бридже создаются вланы. Сделано это так, что бы было удобно менять порт, на котором они работают, или добавлять туда другие порты. У вланов arp = reply only, и DHCP сервер сам статикой привязывает к маку при выдаче адреса, если у вас абоненты должны попадать друг на друга меняете на apr-proxy. Далее меняете последнюю цифру адреса вашей сети на первую, с которой начинаете выдавать адреса, и идете вверх до последнего адреса, так сможете раздать все адреса без потерь на маски, т.к. /30 теряет 2 адреса зря.

 

/interface bridge
add name=bridge_vlan protocol-mode=none
/interface vlan
add arp=reply-only interface=bridge_vlan name=vlan_2 vlan-id=2
add arp=reply-only interface=bridge_vlan name=vlan_3 vlan-id=3
add arp=reply-only interface=bridge_vlan name=vlan_4 vlan-id=4
add arp=reply-only interface=bridge_vlan name=vlan_5 vlan-id=5
add arp=reply-only interface=bridge_vlan name=vlan_6 vlan-id=6
add arp=reply-only interface=bridge_vlan name=vlan_7 vlan-id=7
add arp=reply-only interface=bridge_vlan name=vlan_8 vlan-id=8
add arp=reply-only interface=bridge_vlan name=vlan_9 vlan-id=9
add arp=reply-only interface=bridge_vlan name=vlan_10 vlan-id=10
/ip pool
add name=dhcp_pool_2 ranges=24.24.24.2
add name=dhcp_pool_3 ranges=24.24.24.3
add name=dhcp_pool_4 ranges=24.24.24.4
add name=dhcp_pool_5 ranges=24.24.24.5
add name=dhcp_pool_6 ranges=24.24.24.6
add name=dhcp_pool_7 ranges=24.24.24.7
add name=dhcp_pool_8 ranges=24.24.24.8
add name=dhcp_pool_9 ranges=24.24.24.9
add name=dhcp_pool_10 ranges=24.24.24.10
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool_2 disabled=no interface=vlan_2 lease-time=5m name=dhcp_2
add add-arp=yes address-pool=dhcp_pool_3 disabled=no interface=vlan_3 lease-time=5m name=dhcp_3
add add-arp=yes address-pool=dhcp_pool_4 disabled=no interface=vlan_4 lease-time=5m name=dhcp_4
add add-arp=yes address-pool=dhcp_pool_5 disabled=no interface=vlan_5 lease-time=5m name=dhcp_5
add add-arp=yes address-pool=dhcp_pool_6 disabled=no interface=vlan_6 lease-time=5m name=dhcp_6
add add-arp=yes address-pool=dhcp_pool_7 disabled=no interface=vlan_7 lease-time=5m name=dhcp_7
add add-arp=yes address-pool=dhcp_pool_8 disabled=no interface=vlan_8 lease-time=5m name=dhcp_8
add add-arp=yes address-pool=dhcp_pool_9 disabled=no interface=vlan_9 lease-time=5m name=dhcp_9
add add-arp=yes address-pool=dhcp_pool_10 disabled=no interface=vlan_10 lease-time=5m name=dhcp_10
/ip address
add address=24.24.24.1 interface=vlan_2 network=24.24.24.2
add address=24.24.24.1 interface=vlan_3 network=24.24.24.3
add address=24.24.24.1 interface=vlan_4 network=24.24.24.4
add address=24.24.24.1 interface=vlan_5 network=24.24.24.5
add address=24.24.24.1 interface=vlan_6 network=24.24.24.6
add address=24.24.24.1 interface=vlan_7 network=24.24.24.7
add address=24.24.24.1 interface=vlan_8 network=24.24.24.8
add address=24.24.24.1 interface=vlan_9 network=24.24.24.9
add address=24.24.24.1 interface=vlan_10 network=24.24.24.10
/ip dhcp-server network
add address=24.24.24.0/24 dns-server=8.8.8.8 gateway=24.24.24.1

Share this post


Link to post
Share on other sites

У меня похожая ситуация (CCR1016-12S-1S+, ROS-6.37.5), два провайдера и небольшая подсеть белых адресов.

Часть клиентов идет через NAT, а другой нужно выдать белые.

Вот экспериментирую:

- подсети как вы и писали, с маской /24

- прописал маркированный дефолтный маршрут

- включил proxy-arp на внешнем интерфейсе нужного провайдера, и одном из локальных (эксперимент пока без valn, на физическом порту)

- промаркировал трафик

 

И все работает, пока белые адреса попадают под общий nat, но как только выше прописываю правило scrnat с указанием src адреса, выходного интерфейса и action - accept, трафик ходить перестает.

 

От сюда вопрос, как правильно сделать обходной путь мимо общего NAT-a для нужных адресов или интерфейсов?

Share this post


Link to post
Share on other sites

но как только выше прописываю правило scrnat с указанием src адреса, выходного интерфейса и action - accept

зачем? Белый ип не подразумевает никакого ната.

Share this post


Link to post
Share on other sites

но как только выше прописываю правило scrnat с указанием src адреса, выходного интерфейса и action - accept

зачем? Белый ип не подразумевает никакого ната.

Белых адресов мало, подсеть /27, а активных подключений больше сотни, поэтому основная масса идет через nat.

Проблема в том, как трафик для нескольких белых адресов пропустить мимо общего nat-a.

Может я чего то не догоняю, но пока настроить желаемую схему у меня не получилось ((

Share this post


Link to post
Share on other sites

Настройте правила НАТа правильно, что бы весь трафик туда не попадал. Например запросы от серых адресов на НАТ идут по своим правилам. А если src-address уже внешний, то помимо ната.

Share this post


Link to post
Share on other sites

Добрый день.

Прошу прощения за возврат к устаревшей теме.

Уважаемый Saab95. 

У меня примерно такая-же задача, но уже есть одна подсеть от провайдера. /29 

На 2-3-4-5 порт -бридж. На нем PPPoE

Белые и серые IP Раздаются по PPPoE. Все прекрасно работает.

Пров выделил еще подсеть- /28. Необходимо раздать по vlan.  На каждый vlan - белый IP/

КАК лучше сдлелать

On 3/8/2017 at 4:58 PM, Saab95 said:

Для раздачи белых IP при наличии более одного провайдера надо:

 

1. На интерфейсе этого провайдера включить режим proxy-ARP.

2. Создать статический маршрут на шлюз этого провайдера с маркировкой, например white_IP.

3. Создать в манглах правило, что если запрос пришел от белого IP, и идет не в локальную сеть, тогда промаркировать маршрут для него как white_ip.

или на бридже поднять вланы и по dhcp

On 3/8/2017 at 9:43 PM, Saab95 said:

Вот пример настройки, на бридже создаются вланы. Сделано это так, что бы было удобно менять порт, на котором они работают, или добавлять туда другие порты. У вланов arp = reply only, и DHCP сервер сам статикой привязывает к маку при выдаче адреса, если у вас абоненты должны попадать друг на друга меняете на apr-proxy. Далее меняете последнюю цифру адреса вашей сети на первую, с которой начинаете выдавать адреса, и идете вверх до последнего адреса, так сможете раздать все адреса без потерь на маски, т.к. /30 теряет 2 адреса зря.

Спасибо.

Share this post


Link to post
Share on other sites

proxy-arp еще та дыра. 

 

Возможно будут кидаться тухлыми помидорами, но у меня работает. 

 

Есть ликовая сетка /31 если че микротик не умеет делать.(Хотя можно и ip unnumbered использовать) У выше стоящего оператора прописан роут на /24 сеть. 

Дальше на серых IP адресах через OSPF анонсятся маршруты. 

 

Конечным клиентам можно прописывать вот так: add address=x.x.x.1 interface=eth network=x.x.x.161 у клиента можно прописывать хоть /24 подсеть. Но если нужна связанность между клиентами, нужен опять proxy-arp ну или l2 

 

 

Share this post


Link to post
Share on other sites

On 3/8/2017 at 9:43 PM, Saab95 said:

Вот пример настройки, на бридже создаются вланы. Сделано это так, что бы было удобно менять порт, на котором они работают, или добавлять туда другие порты. У вланов arp = reply only, и DHCP сервер сам статикой привязывает к маку при выдаче адреса, если у вас абоненты должны попадать друг на друга меняете на apr-proxy. Далее меняете последнюю цифру адреса вашей сети на первую, с которой начинаете выдавать адреса, и идете вверх до последнего адреса, так сможете раздать все адреса без потерь на маски, т.к. /30 теряет 2 адреса зря.

По такой схеме делаю. На втором mikrotike на vlan поднимаю dhcp-client. Адрес не получает.

 

1 hour ago, pingz said:

Но если нужна связанность между клиентами, нужен опять proxy-arp ну или l2 

Связаноость м/у vlan не нужна.

Share this post


Link to post
Share on other sites

@siniy1388 ну тогда, либо линковая сеть с оператором на белых ip.  Либо договаривайся на серые ip работать будет. И маршрут с их стороны на твою подсеть. Либо ip unnumbered тогда будет 1 белый ip и маршрут на твою подсеть 

Share this post


Link to post
Share on other sites

Обе сети смаршрутизированы на мой 1 порт. Мне нужно пробросить белые IP на вланы. Без nat желательно.

Первая (/29) уже работает. Нужно пробросить вторую (/28). 

Share this post


Link to post
Share on other sites

@siniy1388 

 

Провайдер 192.168.1.1/29 <------> 192.168.1.2/29 клиент

 

Провайдер: 

ip route print 

 

DST-ADDRESS        PREF-SRC        GATEWAY            

192.168.1.0/29     192.168.1.1     sfp1

192.168.2.0/28                            192.168.1.2 

 

Клиент:

ip route print 

 

DST-ADDRESS        PREF-SRC        GATEWAY

0.0.0.0/0              192.168.1.1

192.168.1.0/29     192.168.1.2     sfp1

192.168.2.2/32     192.168.2.1     sfp1.vlan1

192.168.2.3/32     192.168.2.1     sfp1.vlan2

192.168.2.4/32     192.168.2.1     sfp1.vlan3

 

Обычная маршрутизация.

Я не знаю как вам еще написать эти элементарные вещи.  

 

Share this post


Link to post
Share on other sites

Вы не поверите. Я понимаю что это элементарные вещи. Но увы я программист а не сетевик. Не обучен. Но вот надо. Заказывал у трех человек написать конфиг. Взялись и ушли в туман).  Так что буду пытаться. Спасибо Вам за участие.

Share this post


Link to post
Share on other sites

Я прописываю адреса

 #   ADDRESS            NETWORK         INTERFACE                                                                                     
 0   192.168.1.2/24     192.168.1.0     bridge1                                                                                           
 1   xx.xxx.222.138/29  xx.xxx.222.136  ether1                -- /29     - рабочая

--/28 - новые

11   xx.xxx.217.1/32    xx.xxx.217.130  ether1.vlan101                                                                        12   xx.xxx.217.1/32    xx.xxx.217.131  ether1.vlan104                                                                        13   xx.xxx.217.1/32    xx.xxx.217.132  ether1.vlan105   

 

маршруты добавляются автоматом

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 1 A S  0.0.0.0/0                          xx.xxx.222.137            1

 8 ADC  xx.xxx.217.130/32  xx.xxx.217.1   ether1.vlan101                   0
 9 ADC  xx.xxx.217.131/32  xx.xxx.217.1    ether1.vlan104                   0
10 ADC  xx.xxx.217.132/32  xx.xxx.217.1    ether1.vlan105                   0

11 ADC  xx.xxx.222.136/29  xx.xxx.222.138  ether1                    0
12 ADC  xx.xxx.222.139/32  10.2.0.1        <pppoe-webs2>             0
13 ADC  xx.xxx.222.140/32  10.2.0.1        <pppoe-20340101...        0
14 ADC  192.168.1.0/24     192.168.1.2     bridge1                   0   

 

С моего оборудования шлюз xx.xxx.217.129 пингуется. Адреса xx.xxx.217.13х на вланах не доступны. Создаю  ether1.vlan105  на 2 mikrotike - клиенте. подключен ether1 к bridge1 на 1-м. Прописываю статикой ip

 #   ADDRESS            NETWORK         INTERFACE                                
 0   192.168.0.211/24   192.168.0.0     ether2                                   
 1   192.168.1.211/24   192.168.1.0     ether1                                   
 2   xx.xxx.217.1/32    xx.xxx.217.132  ether1.vlan105  

 

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          192.168.1.2                       5
 1 ADC  xx.xxx.217.132/32  xx.xxx.217.1    ether1.vlan105      0
 2 ADC  192.168.0.0/24     192.168.0.211   ether2                    0
 3 ADC  192.168.1.0/24     192.168.1.211   ether1                    0

шлюз xx.xxx.217.129 пингуется.

xx.xxx.217.132 не пингуется.

Что-то мне подсказывает, что я чего-то не дописал. 

Помогите плз.

Share this post


Link to post
Share on other sites

@siniy1388 Вам нужно договорится с оператором, что бы они вам отдавали вашу сеть /28 через линковую сеть  роутом. 

 

Сейчас у оператора:

add address=192.168.1.0/29 interface=sfp.1 network=192.168.1.1

add address=192.168.2.0/29 interface=sfp.1 network=192.168.2.1

 

DST-ADDRESS        PREF-SRC        GATEWAY            

192.168.1.0/29     192.168.1.1     sfp1

192.168.2.0/28     192.168.2.1     sfp1

 

 

Т.е. у него на интерфейсе sfp1 прописаны ip адреса 192.168.1.1 и 192.168.2.1

 

А нужно прописать маршрут 

/ip route
add disabled=yes distance=1 dst-address=192.168.2.0/28 gateway=192.168.1.2

/ip address

add address=192.168.1.0/29 interface=sfp.1 network=192.168.1.1

 

Получится вот так:

ip route print

DST-ADDRESS        PREF-SRC        GATEWAY

192.168.1.0/29     192.168.1.1     sfp1           

192.168.2.0/28                            192.168.1.2

 

А вы на своем маршрутизаторе уже: 

/ip address

add address=192.168.1.0/29 interface=sfp.1 network=192.168.1.2

add address=192.168.2.1 interface=eth.2 network=192.168.2.2

add address=192.168.2.1 interface=eth.3 network=192.168.2.3

add address=192.168.2.1 interface=eth.4 network=192.168.2.4

 

/ip route

add disabled=yes distance=1 gateway=192.168.1.1
 

 

Получится вот так:

ip route print

DST-ADDRESS        PREF-SRC        GATEWAY

0.0.0.0/0                                     192.168.1.1 

192.168.1.0/29     192.168.1.2     sfp1

192.168.2.2/32     192.168.2.1     eth.1

192.168.2.3/32     192.168.2.1     eth.2

192.168.2.4/32     192.168.2.1     eth.3

 

 

Выхлоп дай export 

Реальные IP затри x.x.x. и y.y.y. 

 

Share this post


Link to post
Share on other sites


[siniy1388_1@budka_troll_24_2] > export compact
# nov/12/2019 12:38:28 by RouterOS 6.43

#
# model = 750GL

/interface bridge
add fast-forward=no mtu=1500 name=bridge1 protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp  speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] rx-flow-control=on speed=100Mbps tx-flow-control=on
set [ find default-name=ether4 ] advertise=10M-half,10M-full,100M-half  rx-flow-control=on speed=100Mbps tx-flow-control=on
set [ find default-name=ether5 ] auto-negotiation=no speed=100Mbps
/interface vlan
add interface=ether1 name=vlan101 vlan-id=101
add interface=ether1 name=vlan104 vlan-id=104
add interface=ether1 name=vlan105 vlan-id=105
/interface ethernet switch port
set 0 default-vlan-id=0 vlan-mode=fallback
set 1 default-vlan-id=0 vlan-mode=fallback
set 2 default-vlan-id=0 vlan-mode=fallback
set 3 default-vlan-id=0 vlan-mode=fallback
set 5 default-vlan-id=0 vlan-mode=fallback
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ppp profile
add change-tcp-mss=yes local-address=10.2.0.1 name=Tariff_1/0.5 only-one=yes rate-limit=512k/1024k use-compression=no use-encryption=no use-mpls=no
add change-tcp-mss=yes local-address=10.2.0.1 name=Traff_2/1 only-one=yes rate-limit=1M/2M use-compression=no use-encryption=no use-mpls=no
add change-tcp-mss=yes local-address=10.2.0.1 name=Tarif_5/3 only-one=yes rate-limit=3M/5M use-compression=no use-encryption=no use-mpls=no
add change-tcp-mss=yes comment="Tarif_100/100 admin" local-address=10.2.0.1 name=Tarif_100/100 only-one=yes rate-limit=15M/15M use-compression=no \
    use-encryption=no use-mpls=no
add change-tcp-mss=yes local-address=10.2.0.1 name=Traff_3/2 only-one=yes rate-limit=2M/3M use-compression=no use-encryption=no use-mpls=no
add change-tcp-mss=yes comment=Tarif_5/5 local-address=10.2.0.1 name=Tarif_5/5 only-one=yes rate-limit=6M/6M use-compression=no use-encryption=no use-mpls=no
add change-tcp-mss=yes comment=Tarif_10. local-address=10.2.0.1 name=Tarif_10./10 only-one=yes rate-limit=10M/10M use-compression=no use-encryption=no \
    use-mpls=no
add change-tcp-mss=yes local-address=10.2.0.1 name=Tarif_6/3 only-one=yes rate-limit=3M/6M use-compression=no use-encryption=no use-mpls=no
add change-tcp-mss=yes local-address=10.2.0.1 name=Traff_0 only-one=yes rate-limit=0M/0M use-compression=no use-encryption=no use-mpls=no
add change-tcp-mss=yes comment=Tarif_15 local-address=10.2.0.1 name=Tarif_15./15 only-one=yes rate-limit=15M/15M use-compression=no use-encryption=no \
    use-mpls=no
add change-tcp-mss=yes comment=Tarif_20 local-address=10.2.0.1 name=Tarif_20./20 only-one=yes rate-limit=20M/20M use-compression=no use-encryption=no \
    use-mpls=no
/queue type
set 0 pfifo-limit=500
set 1 pfifo-limit=500
set 9 pfifo-limit=500
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/system logging action
set 0 memory-lines=10000
/interface bridge port
add bridge=bridge1 hw=no interface=ether3
add bridge=bridge1 hw=no interface=ether4
add bridge=bridge1 hw=no interface=ether2
add bridge=bridge1 hw=no interface=ether5
/interface pppoe-server server
add default-profile=Tariff_1/0.5 disabled=no interface=bridge1 keepalive-timeout=30 max-mru=1480 max-mtu=1480 one-session-per-host=yes service-name=service1
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 enabled=yes
/ip address
add address=192.168.1.2/24 interface=bridge1 network=192.168.1.0
add address=xxx.xxx.222.138/29 interface=ether1 network=xxx.xxx.222.136
add address=192.168.2.1/24 disabled=yes network=192.168.2.0
add address=xxx.xxx.217.130 disabled=yes interface=ether1 network=xxx.xxx.217.130
add address=xxx.xxx.217.1 interface=vlan101 network=xxx.xxx.217.130
add address=xxx.xxx.217.1 interface=vlan104 network=xxx.xxx.217.131
add address=xxx.xxx.217.1 interface=vlan105 network=xxx.xxx.217.132
/ip dhcp-client
add default-route-distance=2 dhcp-options=hostname,clientid interface=ether1
/ip dns
set servers=83.149.24.244,83.149.24.243

/ip firewall filter
add action=drop chain=input dst-port=445 in-interface=ether1 protocol=tcp
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=tcp
add action=drop chain=input dst-port=445 in-interface=ether1 protocol=udp

add action=drop chain=input comment=Dudiki src-address-list=Dudiki
add action=add-src-to-address-list address-list="" address-list-timeout=none-dynamic chain=input disabled=yes protocol=tcp
add action=drop chain=forward comment=spammer1 dst-port=25 protocol=tcp src-address-list=spammer
add action=add-dst-to-address-list address-list=spammer address-list-timeout=1d chain=forward comment=spaamer2 connection-limit=30,32 disabled=yes dst-port=\
    25 limit=50,5:packet protocol=tcp src-address-list=!spammer
add action=accept chain=forward comment="Access Internet From VLAN" disabled=yes src-address=xxx.xxx.217.0/24
/ip firewall nat
add action=accept chain=srcnat src-address=xxx.xxx.222.139
add action=accept chain=srcnat src-address=xxx.xxx.222.141
add action=accept chain=srcnat src-address=xxx.xxx.222.140
add action=accept chain=srcnat src-address=xxx.xxx.222.142
add action=accept chain=srcnat disabled=yes src-address=xxx.xxx.217.131
add action=accept chain=srcnat disabled=yes src-address=xxx.xxx.217.132
add action=accept chain=srcnat disabled=yes src-address=xxx.xxx.217.130
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat comment="Off Trooleyb  1.108" dst-port=8108 protocol=tcp to-addresses=192.168.1.108 to-ports=443
add action=dst-nat chain=dstnat comment="Off Trooleyb  1.109" dst-port=8109 protocol=tcp to-addresses=192.168.1.109 to-ports=443
add action=netmap chain=dstnat comment="AMD Vertikal" dst-port=3389 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3389
add action=netmap chain=dstnat comment="AMD BUH" dst-port=3390 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3390
add action=netmap chain=dstnat comment="AMD pallet" dst-port=3391 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3491
add action=netmap chain=dstnat comment=Metall dst-port=3392 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3392
add action=netmap chain=dstnat comment=14 dst-port=3397 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3397
add action=netmap chain=dstnat comment="my 7 043" dst-port=3398 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3398
add action=netmap chain=dstnat comment=temp1 dst-port=3396 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3396
add action=netmap chain=dstnat comment=09 dst-port=3393 in-interface=ether1 protocol=tcp to-addresses=192.168.1.42 to-ports=3393
add action=src-nat chain=srcnat comment="AP Troll-Off" dst-address=192.168.1.108 dst-port=443 protocol=tcp to-addresses=192.168.1.2
add action=src-nat chain=srcnat comment="AP Troll-Off 109" dst-address=192.168.1.109 dst-port=443 protocol=tcp to-addresses=192.168.1.2
add action=src-nat chain=srcnat comment="Router Buxx" dst-address=10.2.0.3 dst-port=80 protocol=tcp to-addresses=192.168.1.2

/ip proxy
set cache-path=web-proxy1 enabled=yes
/ip proxy access
add action=deny redirect-to="ui-company.ru/index.php\?option=com_content&view=article&id=89&catid=10"
/ip route
add disabled=yes distance=2 gateway=xxx.xxx.217.129 routing-mark=conn_29
add distance=1 gateway=xxx.xxx.222.137


set enabled=yes primary-ntp=79.165.63.245 secondary-ntp=91.206.16.3
/system routerboard settings
set silent-boot=no

 

1 minute ago, siniy1388 said:

/ip dhcp-client

отключен-удален

 

Share this post


Link to post
Share on other sites

@siniy1388

Варианты:

1. Через оператора как я писал выше. По мне самый простой и правильный. 

2. Два микротика. 

3. PBR + NAT

4. PBR + proxy-arp.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.