Jump to content
Калькуляторы

Как задать secondary адрес?

Есть Mikrotik RB450G.

На интерфейсе eth5 был настроен IP-адрес 192.168.0.250/24, на нем же работал DHCP-сервер и в подключенной к нему сети были устройства с IP-адресами 192.168.0.201-207 (прописаны статикой). Все работало.

Потребовалось несколько поменять схему сети. С eth5 были убраны настройки, был создан мост bridge1, в мост добавлен интерфейс eth5, на мосту задан IP-адрес 172.16.1.250/24 и работает DHCP-сервер. Устройства 192.168.0.201-207 недоступны.

Как мне на них достучаться? В идеале я бы хотел оставить за ним их нынешние IP-адреса.

На традиционном оборудовании можно было бы добавить на интерфейс secondary-адрес и все бы работало.

На Mikrotik добавляю на bridge1 адрес 192.168.0.250/24.

ping 192.168.0.250 работает, ping 192.168.0.201 дает таймаут.

Share this post


Link to post
Share on other sites

Надеюсь не весь? Он довольно объемный

/interface ethernet set [ find default-name=ether5 ] name=eth5-wifi
/interface bridge port add bridge=bridge-hotspot interface=eth5-wifi
/ip address add address=172.16.1.250/24 interface=bridge-hotspot network=172.16.1.0
/ip address add address=192.168.0.250/24 interface=bridge-hotspot network=192.168.0.0

 

Share this post


Link to post
Share on other sites

3 часа назад, alibek сказал:

ping 192.168.0.250 работает, ping 192.168.0.201 дает таймаут.

а этот пинг откуда , с этого микротика?

 

вы конфиг дали обрезанный

может там какая схема с ip rule и балансировкой каналов?

 

Share this post


Link to post
Share on other sites

Да, пинг с Микротика.

Никакой балансировки нет - WAN (eth1) и три LAN (eth3-eth5). На eth5 мне нужно иметь две разные подсети в одном физическом сегменте.

Share this post


Link to post
Share on other sites

Если сбросить все настройки микротика в ноль и указать только 2 адреса - все должно пинговаться. Если не пингуется, возможно на удаленных устройствах в ARP остались записи адреса микротика со старым мак адресом, поэтому пинги и не проходят.

Share this post


Link to post
Share on other sites

8 часов назад, alibek сказал:

connected в 192.168.0.0/24 есть.

Но не пингуется.

в соседней теме уже выяснили, что вы вместо того чтоб в одно действие поменять интерфейс привязки у имеющегося IP , зачем то создали второй одинаковый, не удалив первый.  так действительно работать не будет.

если вы добавили eth5 в бридж то и IP который висел на нем нужно ПЕРЕМЕСТИТЬ на bridge.  а не создавать еще один такой же повторно.

 

а вы сильно бы упростили жизнь себе и нам если бы по моей первой просьбе предоставили конфиг полностью.

 

Share this post


Link to post
Share on other sites

17 минут назад, alibek сказал:

Неверно. В соседней теме я уточнял, как не делать.

и все-таки дайте конфиг полностью.

в рамках представленных вами выдержек все должно работать корректно.

 

Share this post


Link to post
Share on other sites

Прикладываю полный конфиг.

Спойлер

# dec/16/2017 17:44:19 by RouterOS 6.40.5
# software id = ***
# model = 450G
# serial number = ***
/interface bridge
add fast-forward=no name=bridge-hotspot protocol-mode=none
/interface ovpn-client
add connect-to=***.wifisystem.ru disabled=yes mac-address=*** name=sup-ovpn password=*** port=21194 user=***
/interface ethernet
set [ find default-name=ether1 ] name=eth1-uplink
set [ find default-name=ether2 ] name=eth2-office
set [ find default-name=ether3 ] name=eth3-ipcam
set [ find default-name=ether4 ] name=eth4-svc
set [ find default-name=ether5 ] name=eth5-wifi
/interface pppoe-client
add add-default-route=yes disabled=no interface=eth1-uplink keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe-rt password=*** use-peer-dns=yes user=***
/ip neighbor discovery
set eth5-wifi discover=no
set bridge-hotspot discover=no
/ip dhcp-server
add add-arp=yes disabled=no interface=eth3-ipcam lease-time=1d name=dhcp-ipcam
/ip hotspot profile
add hotspot-address=172.16.1.250 login-by=http-chap,https,http-pap name=wfspot1 use-radius=yes
/ip hotspot user profile
set [ find default=yes ] keepalive-timeout=4h shared-users=5
/ip pool
add name=pool-office ranges=192.168.200.0/24
add name=pool-office-dhcp ranges=192.168.200.1-192.168.200.99
add name=pool-ipcam ranges=192.168.201.0/24
add name=pool-wifi ranges=192.168.0.0/24
add name=pool-wifi-dhcp ranges=192.168.0.1-192.168.0.199
add name=pool-test ranges=192.168.255.0/24
add name=pool-hotspot ranges=172.16.1.1-172.16.1.99
/ip dhcp-server
add add-arp=yes address-pool=pool-office-dhcp authoritative=after-2sec-delay disabled=no interface=eth2-office lease-time=1d name=dhcp-office
add add-arp=yes address-pool=pool-wifi-dhcp authoritative=after-2sec-delay interface=eth5-wifi name=dhcp-wifi
add address-pool=pool-hotspot disabled=no interface=bridge-hotspot lease-time=4h name=dhcp-hotspot
/ip hotspot
add address-pool=pool-hotspot disabled=no interface=bridge-hotspot name=hotspot_1 profile=wfspot1
/tool user-manager customer
set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=bridge-hotspot interface=eth5-wifi
/ip address
add address=192.168.200.250/24 interface=eth2-office network=192.168.200.0
add address=192.168.201.250/24 interface=eth3-ipcam network=192.168.201.0
add address=192.168.255.0/24 interface=eth4-svc network=192.168.255.0
add address=172.16.1.250/24 interface=bridge-hotspot network=172.16.1.0
add address=192.168.0.250/24 interface=bridge-hotspot network=192.168.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server lease
add address=192.168.201.200 comment="POE Switch" mac-address=F8:F0:82:64:06:FC server=dhcp-ipcam
add address=192.168.201.1 comment=CAM-01 mac-address=3C:EF:8C:84:6D:E0 server=dhcp-ipcam
add address=192.168.201.11 comment=CAM-11 mac-address=00:50:C2:37:DB:0A server=dhcp-ipcam
add address=192.168.201.12 comment=CAM-12 mac-address=00:50:C2:37:32:06 server=dhcp-ipcam
add address=192.168.201.13 comment=CAM-13 mac-address=00:50:C2:48:13:5C server=dhcp-ipcam
add address=192.168.201.14 comment=CAM-14 mac-address=00:50:C2:48:13:54 server=dhcp-ipcam
add address=192.168.201.15 comment=CAM-15 mac-address=3C:EF:8C:84:6D:BF server=dhcp-ipcam
add address=192.168.201.21 comment=CAM-21 mac-address=00:50:C2:37:31:DE server=dhcp-ipcam
add address=192.168.201.31 comment=CAM-31 mac-address=00:50:C2:37:DA:F4 server=dhcp-ipcam
add address=192.168.201.41 comment=CAM-41 mac-address=00:50:C2:35:D1:17 server=dhcp-ipcam
add address=192.168.201.51 comment=CAM-51 mac-address=00:50:C2:38:98:57 server=dhcp-ipcam
add address=192.168.201.91 comment=CAM-91 mac-address=4C:11:BF:CC:DA:2F server=dhcp-ipcam
add address=192.168.201.92 comment=CAM-92 mac-address=4C:11:BF:CC:DA:65 server=dhcp-ipcam
add address=192.168.201.93 comment=CAM-93 mac-address=3C:EF:8C:84:6D:E9 server=dhcp-ipcam
/ip dhcp-server network
add address=172.16.1.0/24 dns-server=172.16.1.250 gateway=172.16.1.250 netmask=24
add address=192.168.0.0/24 dns-server=192.168.0.250 gateway=192.168.0.250 netmask=24 ntp-server=192.168.0.250
add address=192.168.200.0/24 dns-server=192.168.200.250 gateway=192.168.200.250 netmask=24 ntp-server=192.168.200.250
add address=192.168.201.0/24 dns-server=192.168.201.250 gateway=192.168.201.250 netmask=24 ntp-server=192.168.201.250
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall address-list
add address=192.168.200.0/24 list=acl-office
add address=**.**.124.41 list=net-service
add address=**.**.127.95 list=net-service
add address=**.**.124.80 list=net-service
add address=172.16.0.0/24 list=acl-admin
add address=**.**.124.0/24 list=acl-admin
add address=192.168.200.0/24 list=acl-lan
add address=172.16.0.0/16 list=acl-internal
add address=172.16.1.0/24 list=acl-hotspot
add address=172.28.0.0/24 list=acl-support
add address=172.16.0.0/24 list=acl-monitor
add address=**.**.124.0/24 list=acl-monitor
add address=0.0.0.0/8 comment="source this" list=acl-bogon
add address=10.0.0.0/8 comment="private network" list=acl-bogon
add address=100.64.0.0/10 comment=CG-NAT list=acl-bogon
add address=127.0.0.0/8 comment="loopback addresses" list=acl-bogon
add address=169.254.0.0/16 comment="link-local subnet" list=acl-bogon
add address=172.16.0.0/12 comment="private network" list=acl-bogon
add address=192.0.0.0/24 comment=reserved list=acl-bogon
add address=192.0.2.0/24 comment="test network" list=acl-bogon
add address=192.42.172.0/24 comment=non-work list=acl-bogon
add address=192.88.99.0/24 comment="anycast relay" list=acl-bogon
add address=192.168.0.0/16 comment="private network" list=acl-bogon
add address=198.18.0.0/15 comment="test inter-network" list=acl-bogon
add address=198.51.100.0/24 comment="test network" list=acl-bogon
add address=203.0.113.0/24 comment="test network" list=acl-bogon
add address=224.0.0.0/4 comment=multicast list=acl-bogon
add address=240.0.0.0/4 comment=reserved list=acl-bogon
add address=0.0.0.0/8 list=acl-invalid
add address=127.0.0.0/8 list=acl-invalid
add address=192.168.0.0/16 list=acl-internal
add address=192.168.201.0/24 list=acl-lan
add address=192.168.0.0/24 list=acl-lan
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=drop chain=input comment="Self Normalization: Drop Invalid" connection-state=invalid log=yes log-prefix="INVALID: "
add action=accept chain=input comment="Self Normalization: Skip Established" connection-state=established,related
add action=accept chain=input comment="Border: Allow ICMP" protocol=icmp
add action=accept chain=input comment="Border: Allow DNS" protocol=udp src-address-list=acl-internal src-port=53
add action=accept chain=input comment="Border: Allow Remote" connection-state=new dst-port=8291 protocol=tcp src-address-list=acl-admin
add action=accept chain=input comment="Border: Remote Support" src-address-list=acl-support
add action=accept chain=input comment="Border: Graphs access" dst-port=80 in-interface=pppoe-rt protocol=tcp src-address-list=acl-monitor
add action=accept chain=input comment="Border: Admin access" in-interface=pppoe-rt src-address-list=acl-admin
add action=accept chain=input comment="Border: Service access" in-interface=pppoe-rt src-address-list=net-service
add action=accept chain=input comment="Border: Allow LAN" connection-state=new src-address-list=acl-lan
add action=drop chain=input comment="Border: Block not Hotspot" connection-state=new in-interface=!bridge-hotspot log=yes log-prefix="HOTSPOT: "
add action=drop chain=input comment="Border: Default Policy" log=yes log-prefix="DEFAULT: "
add action=drop chain=forward comment="Drop Invalid Src" log=yes log-prefix="INVALID: " src-address-list=acl-invalid
add action=drop chain=forward comment="Drop Invalid Dst" dst-address-list=acl-invalid log=yes log-prefix="INVALID: "
add action=drop chain=forward comment="Drop Invalid" connection-state=invalid log=yes log-prefix="INVALID: "
add action=accept chain=forward comment="Skip Established" connection-state=established,related
add action=jump chain=forward comment="Processing ICMP" jump-target=icmp protocol=icmp
add action=drop chain=forward comment="Block not NAT" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-rt
add action=accept chain=forward comment="Allow IN" in-interface=pppoe-rt
add action=accept chain=forward comment="Allow OUT" out-interface=pppoe-rt
add action=drop chain=forward comment="LAST RULE" log=yes log-prefix="LAST: "
add action=accept chain=icmp comment="ICMP: echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="ICMP: network unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="ICMP: host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="ICMP: host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="ICMP: source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="ICMP: echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="ICMP: time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="ICMP: parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="ICMP: drop other" log=yes log-prefix="ICMP: "
add action=accept chain=output comment="Border: Limit outgoing UDP" limit=15,20:packet protocol=udp
add action=drop chain=input comment="Self Normalization: Drop Bogons" in-interface=pppoe-rt log=yes log-prefix="BOGONS: " src-address-list=acl-bogon
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=dst-nat chain=dstnat comment="CAM-01 RTSP" dst-port=60101 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.1 to-ports=554
add action=dst-nat chain=dstnat comment="CAM-11 RTSP" dst-port=60111 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.11 to-ports=554
add action=dst-nat chain=dstnat comment="CAM-12 RTSP" dst-port=60112 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.12 to-ports=554
add action=dst-nat chain=dstnat comment="CAM-13 RTSP" dst-port=60113 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.13 to-ports=554
add action=dst-nat chain=dstnat comment="CAM-14 RTSP" dst-port=60114 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.14 to-ports=554
add action=dst-nat chain=dstnat comment="CAM-15 RTSP" dst-port=60115 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.15 to-ports=554
add action=dst-nat chain=dstnat comment="CAM-21 RTSP" dst-port=60121 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.21 to-ports=554
add action=dst-nat chain=dstnat comment="CAM-31 RTSP" dst-port=60131 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.31 to-ports=554
add action=dst-nat chain=dstnat comment="CAM-41 RTSP" dst-port=60141 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.41 to-ports=554
add action=dst-nat chain=dstnat comment="CAM-51 RTSP" dst-port=60151 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.51 to-ports=554
add action=dst-nat chain=dstnat comment="CAM-91 RTSP" dst-port=60191 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.91 to-ports=554
add action=dst-nat chain=dstnat comment="CAM-92 RTSP" dst-port=60192 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.92 to-ports=554
add action=dst-nat chain=dstnat comment="CAM-93 RTSP" dst-port=60193 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.93 to-ports=554
add action=dst-nat chain=dstnat comment="MGMT POE (http)" dst-port=65100 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.200 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT CAM-01 (http)" dst-port=65101 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.1 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT CAM-11 (http)" dst-port=65111 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.11 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT CAM-12 (http)" dst-port=65112 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.12 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT CAM-13 (http)" dst-port=65113 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.13 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT CAM-14 (http)" dst-port=65114 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.14 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT CAM-15 (http)" dst-port=65115 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.15 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT CAM-21 (http)" dst-port=65121 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.21 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT CAM-31 (http)" dst-port=65131 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.31 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT CAM-41 (http)" dst-port=65141 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.41 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT CAM-51 (http)" dst-port=65151 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.51 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT CAM-91 (http)" dst-port=65191 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.91 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT CAM-92 (http)" dst-port=65192 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.92 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT CAM-93 (http)" dst-port=65193 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.93 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT AP-01 (http)" dst-port=65001 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.201 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT AP-02 (http)" dst-port=65002 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.202 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT AP-03 (http)" dst-port=65003 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.203 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT AP-04 (http)" dst-port=65004 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.204 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT AP-05 (http)" dst-port=65005 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.205 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT AP-06 (http)" dst-port=65006 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.206 to-ports=80
add action=dst-nat chain=dstnat comment="MGMT AP-07 (http)" dst-port=65007 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.207 to-ports=80
add action=masquerade chain=srcnat comment="Hotspot Internet" out-interface=pppoe-rt src-address-list=acl-hotspot
add action=masquerade chain=srcnat comment="Internal Internet" out-interface=pppoe-rt src-address-list=acl-internal
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip hotspot user
add name=admin
/ip hotspot walled-garden
add comment="place hotspot rules here" disabled=yes
add dst-host=*.wificp.ru
add dst-host=*.paymaster.ru
add dst-host=mc.yandex.ru
add dst-host=esia.gosuslugi.ru
/ip hotspot walled-garden ip
add action=accept disabled=no dst-address=95.167.165.64/27
add action=accept disabled=no dst-address=195.14.118.0/23
add action=accept disabled=no dst-address=91.229.116.0/22
add action=accept disabled=no dst-address=213.59.200.64/28
add action=accept disabled=no dst-address=91.200.28.0/24
add action=accept disabled=no dst-address=91.227.52.0/24
add action=accept disabled=no dst-address=109.207.2.0/24
add action=accept disabled=no dst-address=10.0.0.0/8
add action=accept disabled=no dst-address=172.16.0.0/12
add action=accept disabled=no dst-address=192.168.0.0/16
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=**.**.124.0/22
set ssh disabled=yes
set api disabled=yes
set winbox address=**.**.124.0/22,172.28.0.0/26
set api-ssl disabled=yes
/radius
add address=**.**.118.42 secret=*** service=hotspot timeout=9s
add address=**.**.165.93 secret=*** service=hotspot timeout=9s
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=hotspot_1
/system lcd
set contrast=0 enabled=no port=parallel type=24x4
/system lcd page
set time disabled=yes display-time=5s
set resources disabled=yes display-time=5s
set uptime disabled=yes display-time=5s
set packets disabled=yes display-time=5s
set bits disabled=yes display-time=5s
set version disabled=yes display-time=5s
set identity disabled=yes display-time=5s
set sup-ovpn disabled=yes display-time=5s
set bridge-hotspot disabled=yes display-time=5s
set eth1-uplink disabled=yes display-time=5s
set eth2-office disabled=yes display-time=5s
set eth3-ipcam disabled=yes display-time=5s
set eth4-svc disabled=yes display-time=5s
set eth5-wifi disabled=yes display-time=5s
set pppoe-rt disabled=yes display-time=5s
/system ntp client
set enabled=yes primary-ntp=95.104.192.10 secondary-ntp=85.21.78.8
/system ntp server
set broadcast=yes enabled=yes
/system scheduler
add interval=15m name=service on-event="import file-name=hsfailover" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=jan/01/1970 start-time=01:20:30
add interval=1h name=up on-event="/tool fetch keep-result=no url=(\"http://auth.wificp.ru/status/\?mac=\".[/interface ethernet get 0 mac-address].\"&nasid=\".[/system identity get name].\"&os=mikrotik&load=\".[/system clock get time].\"%20up%20\".[/system resource get uptime].\",%20load%20average:%20\".[/system resource get cpu-load].\"&soft=\".[/system package get system version])" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=jan/01/1970 start-time=01:20:00
/tool graphing interface
add allow-address=**.**.124.0/22 interface=eth1-uplink
add allow-address=**.**.124.0/22 interface=eth2-office
add allow-address=**.**.124.0/22 interface=eth3-ipcam
add allow-address=**.**.124.0/22 interface=eth4-svc
add allow-address=**.**.124.0/22 interface=eth5-wifi
add allow-address=**.**.124.0/22 interface=pppoe-rt
/tool graphing resource
add allow-address=**.**.124.0/22
/tool sniffer
set filter-interface=bridge-hotspot filter-ip-address=192.168.0.0/24
/tool user-manager database
set db-path=user-manager

 

Все работает, за исключением того, что недоступны узлы 192.168.0.20x (которые натятся на внешние порты 6500x).

Впрочем они недоступны и с самого микротика, а не только снаружи.

Share this post


Link to post
Share on other sites

26 минут назад, alibek сказал:

Прикладываю полный конфиг.

ну вот как раз серийные номера,   хосты vpn-сервера и мак-адреса ( кроме последних 2 цифр ) могли бы и замаскировать.

 

Share this post


Link to post
Share on other sites

Алибек, добавьте следующие записи

/ip firewall filter
add action=accept chain=forward comment="Allow IN 192.168.0.2XX" in-interface=bridge-hotspot src-address=192.168.0.0/24 place-before=1
add action=accept chain=forward comment="Allow OUT 192.168.0.2XX" out-interface=bridge-hotspot dst-address=192.168.0.0/24 place-before=1

Share this post


Link to post
Share on other sites

Если камеры подключены в interface ethernet name=eth3-ipcam

тогда между eth3-ipcam и eth5-wifi (bridge-hotspot) нет связи (прогараммно не связаны).  По этому и пинги не проходит.

Share this post


Link to post
Share on other sites

27 минут назад, mafijs сказал:

По этому и пинги не проходит.

в первом сообщении написано, что 192.168.0.201-207  остались на eth5. просто eth5 засунули в бридж

 

Share this post


Link to post
Share on other sites

Только что, LostSoul сказал:

в первом сообщении написано, что 192.168.0.201-207  остались на eth5. просто eth5 засунули в бридж

Не совсем это ясно, смотря конфиг. ТС должен это уточнить.

Share this post


Link to post
Share on other sites

3 минуты назад, mafijs сказал:

Не совсем это ясно, смотря конфиг.

какие строки конфига натолкнули вас на мысль, что железки с eth5 переехали на eth3?

 

Share this post


Link to post
Share on other sites

Эти -

/interface ethernet
set [ find default-name=ether3 ] name=eth3-ipcam

/ip address
add address=192.168.201.250/24 interface=eth3-ipcam network=192.168.201.0

 

 

edit:

хотя пинг с Микротика в любом случае должен проходить...

Share this post


Link to post
Share on other sites

3 часа назад, LostSoul сказал:

Алибек, добавьте следующие записи

Подобную команду я уже делал.

Тем не менее, сейчас ввел приведенные команды — ничего не поменялось.

Команда ping 192.168.0.201, выполняемая со шлюза, вообще не должна зависеть от forward-цепочек в правилах.

Тем не менее пинг со шлюза не проходит. И в ARP-таблице я вообще не вижу записей из 192.168.0.0/24, даже которые incomplete (без MAC-адреса).

Хотя если попытаться выполнить пинг на несуществующие адреса в других подсетях (например 192.168.201.100), то в ARP-таблице для 192.168.201.100 тут же появляется запись без MAC-адреса.

 

5 минут назад, mafijs сказал:

А что ети за устойства 201-207 ? компютеры?

Точки доступа WiFi.

Я забыл поменять на них IP-адрес перед сменой сети и теперь не могу на них попасть, а объект находится далеко.

(кроме того, если secondary-адрес будет работать, я вообще не вижу смысла менять им адрес, они не предназначены для того, чтобы клиенты на них заходили)

Share this post


Link to post
Share on other sites

3 минуты назад, alibek сказал:

Я забыл поменять на них IP-адрес перед сменой сети и теперь не могу на них попасть

А так со шлюза - IP -> Neighbors  -> MAC telnet  ?

Если ети точки там видны.

Share this post


Link to post
Share on other sites

Вот сейчас бы мне очень пригодился такой «устаревший» инструмент, как tcpdump, вместо гламурных, но практически бесполезных, Torch и Packet Sniffer.

 

4 минуты назад, mafijs сказал:

А так со шлюза - IP -> Neighbors  -> MAC telnet  ?

Там не Микротики, MAC telnet неприменим.

Но кстати, в neighbors на eth5 пусто, хотя там точки Ubiquiti со включенным Discovery, и ранее (до смены адресации) я их в окружении видел.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.