alibek Posted December 15, 2017 Posted December 15, 2017 Есть Mikrotik RB450G. На интерфейсе eth5 был настроен IP-адрес 192.168.0.250/24, на нем же работал DHCP-сервер и в подключенной к нему сети были устройства с IP-адресами 192.168.0.201-207 (прописаны статикой). Все работало. Потребовалось несколько поменять схему сети. С eth5 были убраны настройки, был создан мост bridge1, в мост добавлен интерфейс eth5, на мосту задан IP-адрес 172.16.1.250/24 и работает DHCP-сервер. Устройства 192.168.0.201-207 недоступны. Как мне на них достучаться? В идеале я бы хотел оставить за ним их нынешние IP-адреса. На традиционном оборудовании можно было бы добавить на интерфейс secondary-адрес и все бы работало. На Mikrotik добавляю на bridge1 адрес 192.168.0.250/24. ping 192.168.0.250 работает, ping 192.168.0.201 дает таймаут. Вставить ник Quote
LostSoul Posted December 15, 2017 Posted December 15, 2017 /export compat покажите Вставить ник Quote
alibek Posted December 15, 2017 Author Posted December 15, 2017 Надеюсь не весь? Он довольно объемный /interface ethernet set [ find default-name=ether5 ] name=eth5-wifi /interface bridge port add bridge=bridge-hotspot interface=eth5-wifi /ip address add address=172.16.1.250/24 interface=bridge-hotspot network=172.16.1.0 /ip address add address=192.168.0.250/24 interface=bridge-hotspot network=192.168.0.0 Вставить ник Quote
LostSoul Posted December 15, 2017 Posted December 15, 2017 3 часа назад, alibek сказал: ping 192.168.0.250 работает, ping 192.168.0.201 дает таймаут. а этот пинг откуда , с этого микротика? вы конфиг дали обрезанный может там какая схема с ip rule и балансировкой каналов? Вставить ник Quote
alibek Posted December 15, 2017 Author Posted December 15, 2017 Да, пинг с Микротика. Никакой балансировки нет - WAN (eth1) и три LAN (eth3-eth5). На eth5 мне нужно иметь две разные подсети в одном физическом сегменте. Вставить ник Quote
LostSoul Posted December 15, 2017 Posted December 15, 2017 всё работать должно так как настроено. но на всякий случай поглядите таблицу маршрутов например Вставить ник Quote
alibek Posted December 16, 2017 Author Posted December 16, 2017 connected в 192.168.0.0/24 есть. Но не пингуется. Вставить ник Quote
Saab95 Posted December 16, 2017 Posted December 16, 2017 Если сбросить все настройки микротика в ноль и указать только 2 адреса - все должно пинговаться. Если не пингуется, возможно на удаленных устройствах в ARP остались записи адреса микротика со старым мак адресом, поэтому пинги и не проходят. Вставить ник Quote
LostSoul Posted December 16, 2017 Posted December 16, 2017 8 часов назад, alibek сказал: connected в 192.168.0.0/24 есть. Но не пингуется. в соседней теме уже выяснили, что вы вместо того чтоб в одно действие поменять интерфейс привязки у имеющегося IP , зачем то создали второй одинаковый, не удалив первый. так действительно работать не будет. если вы добавили eth5 в бридж то и IP который висел на нем нужно ПЕРЕМЕСТИТЬ на bridge. а не создавать еще один такой же повторно. а вы сильно бы упростили жизнь себе и нам если бы по моей первой просьбе предоставили конфиг полностью. Вставить ник Quote
alibek Posted December 16, 2017 Author Posted December 16, 2017 Неверно. В соседней теме я уточнял, как не делать. Вставить ник Quote
LostSoul Posted December 16, 2017 Posted December 16, 2017 17 минут назад, alibek сказал: Неверно. В соседней теме я уточнял, как не делать. и все-таки дайте конфиг полностью. в рамках представленных вами выдержек все должно работать корректно. Вставить ник Quote
alibek Posted December 16, 2017 Author Posted December 16, 2017 Прикладываю полный конфиг. Спойлер # dec/16/2017 17:44:19 by RouterOS 6.40.5 # software id = *** # model = 450G # serial number = *** /interface bridge add fast-forward=no name=bridge-hotspot protocol-mode=none /interface ovpn-client add connect-to=***.wifisystem.ru disabled=yes mac-address=*** name=sup-ovpn password=*** port=21194 user=*** /interface ethernet set [ find default-name=ether1 ] name=eth1-uplink set [ find default-name=ether2 ] name=eth2-office set [ find default-name=ether3 ] name=eth3-ipcam set [ find default-name=ether4 ] name=eth4-svc set [ find default-name=ether5 ] name=eth5-wifi /interface pppoe-client add add-default-route=yes disabled=no interface=eth1-uplink keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe-rt password=*** use-peer-dns=yes user=*** /ip neighbor discovery set eth5-wifi discover=no set bridge-hotspot discover=no /ip dhcp-server add add-arp=yes disabled=no interface=eth3-ipcam lease-time=1d name=dhcp-ipcam /ip hotspot profile add hotspot-address=172.16.1.250 login-by=http-chap,https,http-pap name=wfspot1 use-radius=yes /ip hotspot user profile set [ find default=yes ] keepalive-timeout=4h shared-users=5 /ip pool add name=pool-office ranges=192.168.200.0/24 add name=pool-office-dhcp ranges=192.168.200.1-192.168.200.99 add name=pool-ipcam ranges=192.168.201.0/24 add name=pool-wifi ranges=192.168.0.0/24 add name=pool-wifi-dhcp ranges=192.168.0.1-192.168.0.199 add name=pool-test ranges=192.168.255.0/24 add name=pool-hotspot ranges=172.16.1.1-172.16.1.99 /ip dhcp-server add add-arp=yes address-pool=pool-office-dhcp authoritative=after-2sec-delay disabled=no interface=eth2-office lease-time=1d name=dhcp-office add add-arp=yes address-pool=pool-wifi-dhcp authoritative=after-2sec-delay interface=eth5-wifi name=dhcp-wifi add address-pool=pool-hotspot disabled=no interface=bridge-hotspot lease-time=4h name=dhcp-hotspot /ip hotspot add address-pool=pool-hotspot disabled=no interface=bridge-hotspot name=hotspot_1 profile=wfspot1 /tool user-manager customer set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw /interface bridge port add bridge=bridge-hotspot interface=eth5-wifi /ip address add address=192.168.200.250/24 interface=eth2-office network=192.168.200.0 add address=192.168.201.250/24 interface=eth3-ipcam network=192.168.201.0 add address=192.168.255.0/24 interface=eth4-svc network=192.168.255.0 add address=172.16.1.250/24 interface=bridge-hotspot network=172.16.1.0 add address=192.168.0.250/24 interface=bridge-hotspot network=192.168.0.0 /ip cloud set ddns-enabled=yes /ip dhcp-server lease add address=192.168.201.200 comment="POE Switch" mac-address=F8:F0:82:64:06:FC server=dhcp-ipcam add address=192.168.201.1 comment=CAM-01 mac-address=3C:EF:8C:84:6D:E0 server=dhcp-ipcam add address=192.168.201.11 comment=CAM-11 mac-address=00:50:C2:37:DB:0A server=dhcp-ipcam add address=192.168.201.12 comment=CAM-12 mac-address=00:50:C2:37:32:06 server=dhcp-ipcam add address=192.168.201.13 comment=CAM-13 mac-address=00:50:C2:48:13:5C server=dhcp-ipcam add address=192.168.201.14 comment=CAM-14 mac-address=00:50:C2:48:13:54 server=dhcp-ipcam add address=192.168.201.15 comment=CAM-15 mac-address=3C:EF:8C:84:6D:BF server=dhcp-ipcam add address=192.168.201.21 comment=CAM-21 mac-address=00:50:C2:37:31:DE server=dhcp-ipcam add address=192.168.201.31 comment=CAM-31 mac-address=00:50:C2:37:DA:F4 server=dhcp-ipcam add address=192.168.201.41 comment=CAM-41 mac-address=00:50:C2:35:D1:17 server=dhcp-ipcam add address=192.168.201.51 comment=CAM-51 mac-address=00:50:C2:38:98:57 server=dhcp-ipcam add address=192.168.201.91 comment=CAM-91 mac-address=4C:11:BF:CC:DA:2F server=dhcp-ipcam add address=192.168.201.92 comment=CAM-92 mac-address=4C:11:BF:CC:DA:65 server=dhcp-ipcam add address=192.168.201.93 comment=CAM-93 mac-address=3C:EF:8C:84:6D:E9 server=dhcp-ipcam /ip dhcp-server network add address=172.16.1.0/24 dns-server=172.16.1.250 gateway=172.16.1.250 netmask=24 add address=192.168.0.0/24 dns-server=192.168.0.250 gateway=192.168.0.250 netmask=24 ntp-server=192.168.0.250 add address=192.168.200.0/24 dns-server=192.168.200.250 gateway=192.168.200.250 netmask=24 ntp-server=192.168.200.250 add address=192.168.201.0/24 dns-server=192.168.201.250 gateway=192.168.201.250 netmask=24 ntp-server=192.168.201.250 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip firewall address-list add address=192.168.200.0/24 list=acl-office add address=**.**.124.41 list=net-service add address=**.**.127.95 list=net-service add address=**.**.124.80 list=net-service add address=172.16.0.0/24 list=acl-admin add address=**.**.124.0/24 list=acl-admin add address=192.168.200.0/24 list=acl-lan add address=172.16.0.0/16 list=acl-internal add address=172.16.1.0/24 list=acl-hotspot add address=172.28.0.0/24 list=acl-support add address=172.16.0.0/24 list=acl-monitor add address=**.**.124.0/24 list=acl-monitor add address=0.0.0.0/8 comment="source this" list=acl-bogon add address=10.0.0.0/8 comment="private network" list=acl-bogon add address=100.64.0.0/10 comment=CG-NAT list=acl-bogon add address=127.0.0.0/8 comment="loopback addresses" list=acl-bogon add address=169.254.0.0/16 comment="link-local subnet" list=acl-bogon add address=172.16.0.0/12 comment="private network" list=acl-bogon add address=192.0.0.0/24 comment=reserved list=acl-bogon add address=192.0.2.0/24 comment="test network" list=acl-bogon add address=192.42.172.0/24 comment=non-work list=acl-bogon add address=192.88.99.0/24 comment="anycast relay" list=acl-bogon add address=192.168.0.0/16 comment="private network" list=acl-bogon add address=198.18.0.0/15 comment="test inter-network" list=acl-bogon add address=198.51.100.0/24 comment="test network" list=acl-bogon add address=203.0.113.0/24 comment="test network" list=acl-bogon add address=224.0.0.0/4 comment=multicast list=acl-bogon add address=240.0.0.0/4 comment=reserved list=acl-bogon add address=0.0.0.0/8 list=acl-invalid add address=127.0.0.0/8 list=acl-invalid add address=192.168.0.0/16 list=acl-internal add address=192.168.201.0/24 list=acl-lan add address=192.168.0.0/24 list=acl-lan /ip firewall filter add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes add action=drop chain=input comment="Self Normalization: Drop Invalid" connection-state=invalid log=yes log-prefix="INVALID: " add action=accept chain=input comment="Self Normalization: Skip Established" connection-state=established,related add action=accept chain=input comment="Border: Allow ICMP" protocol=icmp add action=accept chain=input comment="Border: Allow DNS" protocol=udp src-address-list=acl-internal src-port=53 add action=accept chain=input comment="Border: Allow Remote" connection-state=new dst-port=8291 protocol=tcp src-address-list=acl-admin add action=accept chain=input comment="Border: Remote Support" src-address-list=acl-support add action=accept chain=input comment="Border: Graphs access" dst-port=80 in-interface=pppoe-rt protocol=tcp src-address-list=acl-monitor add action=accept chain=input comment="Border: Admin access" in-interface=pppoe-rt src-address-list=acl-admin add action=accept chain=input comment="Border: Service access" in-interface=pppoe-rt src-address-list=net-service add action=accept chain=input comment="Border: Allow LAN" connection-state=new src-address-list=acl-lan add action=drop chain=input comment="Border: Block not Hotspot" connection-state=new in-interface=!bridge-hotspot log=yes log-prefix="HOTSPOT: " add action=drop chain=input comment="Border: Default Policy" log=yes log-prefix="DEFAULT: " add action=drop chain=forward comment="Drop Invalid Src" log=yes log-prefix="INVALID: " src-address-list=acl-invalid add action=drop chain=forward comment="Drop Invalid Dst" dst-address-list=acl-invalid log=yes log-prefix="INVALID: " add action=drop chain=forward comment="Drop Invalid" connection-state=invalid log=yes log-prefix="INVALID: " add action=accept chain=forward comment="Skip Established" connection-state=established,related add action=jump chain=forward comment="Processing ICMP" jump-target=icmp protocol=icmp add action=drop chain=forward comment="Block not NAT" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-rt add action=accept chain=forward comment="Allow IN" in-interface=pppoe-rt add action=accept chain=forward comment="Allow OUT" out-interface=pppoe-rt add action=drop chain=forward comment="LAST RULE" log=yes log-prefix="LAST: " add action=accept chain=icmp comment="ICMP: echo reply" icmp-options=0:0 protocol=icmp add action=accept chain=icmp comment="ICMP: network unreachable" icmp-options=3:0 protocol=icmp add action=accept chain=icmp comment="ICMP: host unreachable" icmp-options=3:1 protocol=icmp add action=accept chain=icmp comment="ICMP: host unreachable fragmentation required" icmp-options=3:4 protocol=icmp add action=accept chain=icmp comment="ICMP: source quench" icmp-options=4:0 protocol=icmp add action=accept chain=icmp comment="ICMP: echo request" icmp-options=8:0 protocol=icmp add action=accept chain=icmp comment="ICMP: time exceed" icmp-options=11:0 protocol=icmp add action=accept chain=icmp comment="ICMP: parameter bad" icmp-options=12:0 protocol=icmp add action=drop chain=icmp comment="ICMP: drop other" log=yes log-prefix="ICMP: " add action=accept chain=output comment="Border: Limit outgoing UDP" limit=15,20:packet protocol=udp add action=drop chain=input comment="Self Normalization: Drop Bogons" in-interface=pppoe-rt log=yes log-prefix="BOGONS: " src-address-list=acl-bogon /ip firewall nat add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes add action=dst-nat chain=dstnat comment="CAM-01 RTSP" dst-port=60101 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.1 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-11 RTSP" dst-port=60111 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.11 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-12 RTSP" dst-port=60112 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.12 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-13 RTSP" dst-port=60113 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.13 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-14 RTSP" dst-port=60114 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.14 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-15 RTSP" dst-port=60115 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.15 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-21 RTSP" dst-port=60121 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.21 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-31 RTSP" dst-port=60131 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.31 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-41 RTSP" dst-port=60141 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.41 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-51 RTSP" dst-port=60151 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.51 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-91 RTSP" dst-port=60191 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.91 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-92 RTSP" dst-port=60192 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.92 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-93 RTSP" dst-port=60193 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.93 to-ports=554 add action=dst-nat chain=dstnat comment="MGMT POE (http)" dst-port=65100 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.200 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-01 (http)" dst-port=65101 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.1 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-11 (http)" dst-port=65111 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.11 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-12 (http)" dst-port=65112 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.12 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-13 (http)" dst-port=65113 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.13 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-14 (http)" dst-port=65114 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.14 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-15 (http)" dst-port=65115 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.15 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-21 (http)" dst-port=65121 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.21 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-31 (http)" dst-port=65131 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.31 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-41 (http)" dst-port=65141 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.41 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-51 (http)" dst-port=65151 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.51 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-91 (http)" dst-port=65191 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.91 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-92 (http)" dst-port=65192 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.92 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-93 (http)" dst-port=65193 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.93 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT AP-01 (http)" dst-port=65001 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.201 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT AP-02 (http)" dst-port=65002 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.202 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT AP-03 (http)" dst-port=65003 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.203 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT AP-04 (http)" dst-port=65004 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.204 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT AP-05 (http)" dst-port=65005 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.205 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT AP-06 (http)" dst-port=65006 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.206 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT AP-07 (http)" dst-port=65007 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.207 to-ports=80 add action=masquerade chain=srcnat comment="Hotspot Internet" out-interface=pppoe-rt src-address-list=acl-hotspot add action=masquerade chain=srcnat comment="Internal Internet" out-interface=pppoe-rt src-address-list=acl-internal /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set pptp disabled=yes /ip hotspot user add name=admin /ip hotspot walled-garden add comment="place hotspot rules here" disabled=yes add dst-host=*.wificp.ru add dst-host=*.paymaster.ru add dst-host=mc.yandex.ru add dst-host=esia.gosuslugi.ru /ip hotspot walled-garden ip add action=accept disabled=no dst-address=95.167.165.64/27 add action=accept disabled=no dst-address=195.14.118.0/23 add action=accept disabled=no dst-address=91.229.116.0/22 add action=accept disabled=no dst-address=213.59.200.64/28 add action=accept disabled=no dst-address=91.200.28.0/24 add action=accept disabled=no dst-address=91.227.52.0/24 add action=accept disabled=no dst-address=109.207.2.0/24 add action=accept disabled=no dst-address=10.0.0.0/8 add action=accept disabled=no dst-address=172.16.0.0/12 add action=accept disabled=no dst-address=192.168.0.0/16 /ip service set telnet disabled=yes set ftp disabled=yes set www address=**.**.124.0/22 set ssh disabled=yes set api disabled=yes set winbox address=**.**.124.0/22,172.28.0.0/26 set api-ssl disabled=yes /radius add address=**.**.118.42 secret=*** service=hotspot timeout=9s add address=**.**.165.93 secret=*** service=hotspot timeout=9s /system clock set time-zone-name=Europe/Moscow /system identity set name=hotspot_1 /system lcd set contrast=0 enabled=no port=parallel type=24x4 /system lcd page set time disabled=yes display-time=5s set resources disabled=yes display-time=5s set uptime disabled=yes display-time=5s set packets disabled=yes display-time=5s set bits disabled=yes display-time=5s set version disabled=yes display-time=5s set identity disabled=yes display-time=5s set sup-ovpn disabled=yes display-time=5s set bridge-hotspot disabled=yes display-time=5s set eth1-uplink disabled=yes display-time=5s set eth2-office disabled=yes display-time=5s set eth3-ipcam disabled=yes display-time=5s set eth4-svc disabled=yes display-time=5s set eth5-wifi disabled=yes display-time=5s set pppoe-rt disabled=yes display-time=5s /system ntp client set enabled=yes primary-ntp=95.104.192.10 secondary-ntp=85.21.78.8 /system ntp server set broadcast=yes enabled=yes /system scheduler add interval=15m name=service on-event="import file-name=hsfailover" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=jan/01/1970 start-time=01:20:30 add interval=1h name=up on-event="/tool fetch keep-result=no url=(\"http://auth.wificp.ru/status/\?mac=\".[/interface ethernet get 0 mac-address].\"&nasid=\".[/system identity get name].\"&os=mikrotik&load=\".[/system clock get time].\"%20up%20\".[/system resource get uptime].\",%20load%20average:%20\".[/system resource get cpu-load].\"&soft=\".[/system package get system version])" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=jan/01/1970 start-time=01:20:00 /tool graphing interface add allow-address=**.**.124.0/22 interface=eth1-uplink add allow-address=**.**.124.0/22 interface=eth2-office add allow-address=**.**.124.0/22 interface=eth3-ipcam add allow-address=**.**.124.0/22 interface=eth4-svc add allow-address=**.**.124.0/22 interface=eth5-wifi add allow-address=**.**.124.0/22 interface=pppoe-rt /tool graphing resource add allow-address=**.**.124.0/22 /tool sniffer set filter-interface=bridge-hotspot filter-ip-address=192.168.0.0/24 /tool user-manager database set db-path=user-manager Все работает, за исключением того, что недоступны узлы 192.168.0.20x (которые натятся на внешние порты 6500x). Впрочем они недоступны и с самого микротика, а не только снаружи. Вставить ник Quote
LostSoul Posted December 16, 2017 Posted December 16, 2017 26 минут назад, alibek сказал: Прикладываю полный конфиг. ну вот как раз серийные номера, хосты vpn-сервера и мак-адреса ( кроме последних 2 цифр ) могли бы и замаскировать. Вставить ник Quote
LostSoul Posted December 16, 2017 Posted December 16, 2017 Алибек, добавьте следующие записи /ip firewall filter add action=accept chain=forward comment="Allow IN 192.168.0.2XX" in-interface=bridge-hotspot src-address=192.168.0.0/24 place-before=1 add action=accept chain=forward comment="Allow OUT 192.168.0.2XX" out-interface=bridge-hotspot dst-address=192.168.0.0/24 place-before=1 Вставить ник Quote
mafijs Posted December 16, 2017 Posted December 16, 2017 Если камеры подключены в interface ethernet name=eth3-ipcam тогда между eth3-ipcam и eth5-wifi (bridge-hotspot) нет связи (прогараммно не связаны). По этому и пинги не проходит. Вставить ник Quote
LostSoul Posted December 16, 2017 Posted December 16, 2017 27 минут назад, mafijs сказал: По этому и пинги не проходит. в первом сообщении написано, что 192.168.0.201-207 остались на eth5. просто eth5 засунули в бридж Вставить ник Quote
mafijs Posted December 16, 2017 Posted December 16, 2017 Только что, LostSoul сказал: в первом сообщении написано, что 192.168.0.201-207 остались на eth5. просто eth5 засунули в бридж Не совсем это ясно, смотря конфиг. ТС должен это уточнить. Вставить ник Quote
LostSoul Posted December 16, 2017 Posted December 16, 2017 3 минуты назад, mafijs сказал: Не совсем это ясно, смотря конфиг. какие строки конфига натолкнули вас на мысль, что железки с eth5 переехали на eth3? Вставить ник Quote
mafijs Posted December 16, 2017 Posted December 16, 2017 Эти - /interface ethernet set [ find default-name=ether3 ] name=eth3-ipcam /ip address add address=192.168.201.250/24 interface=eth3-ipcam network=192.168.201.0 edit: хотя пинг с Микротика в любом случае должен проходить... Вставить ник Quote
alibek Posted December 16, 2017 Author Posted December 16, 2017 17 минут назад, mafijs сказал: 192.168.201.250/24 Я писал про 192.168.0.201-207. С 192.168.201.* все нормально. Вставить ник Quote
mafijs Posted December 16, 2017 Posted December 16, 2017 1 минуту назад, alibek сказал: Я писал про 192.168.0.201-207. Ясно, моя ошибка. А что ети за устойства 201-207 ? компютеры? Вставить ник Quote
alibek Posted December 16, 2017 Author Posted December 16, 2017 3 часа назад, LostSoul сказал: Алибек, добавьте следующие записи Подобную команду я уже делал. Тем не менее, сейчас ввел приведенные команды — ничего не поменялось. Команда ping 192.168.0.201, выполняемая со шлюза, вообще не должна зависеть от forward-цепочек в правилах. Тем не менее пинг со шлюза не проходит. И в ARP-таблице я вообще не вижу записей из 192.168.0.0/24, даже которые incomplete (без MAC-адреса). Хотя если попытаться выполнить пинг на несуществующие адреса в других подсетях (например 192.168.201.100), то в ARP-таблице для 192.168.201.100 тут же появляется запись без MAC-адреса. 5 минут назад, mafijs сказал: А что ети за устойства 201-207 ? компютеры? Точки доступа WiFi. Я забыл поменять на них IP-адрес перед сменой сети и теперь не могу на них попасть, а объект находится далеко. (кроме того, если secondary-адрес будет работать, я вообще не вижу смысла менять им адрес, они не предназначены для того, чтобы клиенты на них заходили) Вставить ник Quote
mafijs Posted December 16, 2017 Posted December 16, 2017 3 минуты назад, alibek сказал: Я забыл поменять на них IP-адрес перед сменой сети и теперь не могу на них попасть А так со шлюза - IP -> Neighbors -> MAC telnet ? Если ети точки там видны. Вставить ник Quote
alibek Posted December 16, 2017 Author Posted December 16, 2017 Вот сейчас бы мне очень пригодился такой «устаревший» инструмент, как tcpdump, вместо гламурных, но практически бесполезных, Torch и Packet Sniffer. 4 минуты назад, mafijs сказал: А так со шлюза - IP -> Neighbors -> MAC telnet ? Там не Микротики, MAC telnet неприменим. Но кстати, в neighbors на eth5 пусто, хотя там точки Ubiquiti со включенным Discovery, и ранее (до смены адресации) я их в окружении видел. Вставить ник Quote
LostSoul Posted December 16, 2017 Posted December 16, 2017 Ещё бы ему работать если у вас Дискавери выключен и на етх5 и на бридже Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.