alibek Posted December 15, 2017 · Report post Есть Mikrotik RB450G. На интерфейсе eth5 был настроен IP-адрес 192.168.0.250/24, на нем же работал DHCP-сервер и в подключенной к нему сети были устройства с IP-адресами 192.168.0.201-207 (прописаны статикой). Все работало. Потребовалось несколько поменять схему сети. С eth5 были убраны настройки, был создан мост bridge1, в мост добавлен интерфейс eth5, на мосту задан IP-адрес 172.16.1.250/24 и работает DHCP-сервер. Устройства 192.168.0.201-207 недоступны. Как мне на них достучаться? В идеале я бы хотел оставить за ним их нынешние IP-адреса. На традиционном оборудовании можно было бы добавить на интерфейс secondary-адрес и все бы работало. На Mikrotik добавляю на bridge1 адрес 192.168.0.250/24. ping 192.168.0.250 работает, ping 192.168.0.201 дает таймаут. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted December 15, 2017 · Report post /export compat покажите Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 15, 2017 · Report post Надеюсь не весь? Он довольно объемный /interface ethernet set [ find default-name=ether5 ] name=eth5-wifi /interface bridge port add bridge=bridge-hotspot interface=eth5-wifi /ip address add address=172.16.1.250/24 interface=bridge-hotspot network=172.16.1.0 /ip address add address=192.168.0.250/24 interface=bridge-hotspot network=192.168.0.0 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted December 15, 2017 · Report post 3 часа назад, alibek сказал: ping 192.168.0.250 работает, ping 192.168.0.201 дает таймаут. а этот пинг откуда , с этого микротика? вы конфиг дали обрезанный может там какая схема с ip rule и балансировкой каналов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 15, 2017 · Report post Да, пинг с Микротика. Никакой балансировки нет - WAN (eth1) и три LAN (eth3-eth5). На eth5 мне нужно иметь две разные подсети в одном физическом сегменте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted December 15, 2017 · Report post всё работать должно так как настроено. но на всякий случай поглядите таблицу маршрутов например Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 16, 2017 · Report post connected в 192.168.0.0/24 есть. Но не пингуется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted December 16, 2017 · Report post Если сбросить все настройки микротика в ноль и указать только 2 адреса - все должно пинговаться. Если не пингуется, возможно на удаленных устройствах в ARP остались записи адреса микротика со старым мак адресом, поэтому пинги и не проходят. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted December 16, 2017 · Report post 8 часов назад, alibek сказал: connected в 192.168.0.0/24 есть. Но не пингуется. в соседней теме уже выяснили, что вы вместо того чтоб в одно действие поменять интерфейс привязки у имеющегося IP , зачем то создали второй одинаковый, не удалив первый. так действительно работать не будет. если вы добавили eth5 в бридж то и IP который висел на нем нужно ПЕРЕМЕСТИТЬ на bridge. а не создавать еще один такой же повторно. а вы сильно бы упростили жизнь себе и нам если бы по моей первой просьбе предоставили конфиг полностью. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 16, 2017 · Report post Неверно. В соседней теме я уточнял, как не делать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted December 16, 2017 · Report post 17 минут назад, alibek сказал: Неверно. В соседней теме я уточнял, как не делать. и все-таки дайте конфиг полностью. в рамках представленных вами выдержек все должно работать корректно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 16, 2017 · Report post Прикладываю полный конфиг. Спойлер # dec/16/2017 17:44:19 by RouterOS 6.40.5 # software id = *** # model = 450G # serial number = *** /interface bridge add fast-forward=no name=bridge-hotspot protocol-mode=none /interface ovpn-client add connect-to=***.wifisystem.ru disabled=yes mac-address=*** name=sup-ovpn password=*** port=21194 user=*** /interface ethernet set [ find default-name=ether1 ] name=eth1-uplink set [ find default-name=ether2 ] name=eth2-office set [ find default-name=ether3 ] name=eth3-ipcam set [ find default-name=ether4 ] name=eth4-svc set [ find default-name=ether5 ] name=eth5-wifi /interface pppoe-client add add-default-route=yes disabled=no interface=eth1-uplink keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe-rt password=*** use-peer-dns=yes user=*** /ip neighbor discovery set eth5-wifi discover=no set bridge-hotspot discover=no /ip dhcp-server add add-arp=yes disabled=no interface=eth3-ipcam lease-time=1d name=dhcp-ipcam /ip hotspot profile add hotspot-address=172.16.1.250 login-by=http-chap,https,http-pap name=wfspot1 use-radius=yes /ip hotspot user profile set [ find default=yes ] keepalive-timeout=4h shared-users=5 /ip pool add name=pool-office ranges=192.168.200.0/24 add name=pool-office-dhcp ranges=192.168.200.1-192.168.200.99 add name=pool-ipcam ranges=192.168.201.0/24 add name=pool-wifi ranges=192.168.0.0/24 add name=pool-wifi-dhcp ranges=192.168.0.1-192.168.0.199 add name=pool-test ranges=192.168.255.0/24 add name=pool-hotspot ranges=172.16.1.1-172.16.1.99 /ip dhcp-server add add-arp=yes address-pool=pool-office-dhcp authoritative=after-2sec-delay disabled=no interface=eth2-office lease-time=1d name=dhcp-office add add-arp=yes address-pool=pool-wifi-dhcp authoritative=after-2sec-delay interface=eth5-wifi name=dhcp-wifi add address-pool=pool-hotspot disabled=no interface=bridge-hotspot lease-time=4h name=dhcp-hotspot /ip hotspot add address-pool=pool-hotspot disabled=no interface=bridge-hotspot name=hotspot_1 profile=wfspot1 /tool user-manager customer set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw /interface bridge port add bridge=bridge-hotspot interface=eth5-wifi /ip address add address=192.168.200.250/24 interface=eth2-office network=192.168.200.0 add address=192.168.201.250/24 interface=eth3-ipcam network=192.168.201.0 add address=192.168.255.0/24 interface=eth4-svc network=192.168.255.0 add address=172.16.1.250/24 interface=bridge-hotspot network=172.16.1.0 add address=192.168.0.250/24 interface=bridge-hotspot network=192.168.0.0 /ip cloud set ddns-enabled=yes /ip dhcp-server lease add address=192.168.201.200 comment="POE Switch" mac-address=F8:F0:82:64:06:FC server=dhcp-ipcam add address=192.168.201.1 comment=CAM-01 mac-address=3C:EF:8C:84:6D:E0 server=dhcp-ipcam add address=192.168.201.11 comment=CAM-11 mac-address=00:50:C2:37:DB:0A server=dhcp-ipcam add address=192.168.201.12 comment=CAM-12 mac-address=00:50:C2:37:32:06 server=dhcp-ipcam add address=192.168.201.13 comment=CAM-13 mac-address=00:50:C2:48:13:5C server=dhcp-ipcam add address=192.168.201.14 comment=CAM-14 mac-address=00:50:C2:48:13:54 server=dhcp-ipcam add address=192.168.201.15 comment=CAM-15 mac-address=3C:EF:8C:84:6D:BF server=dhcp-ipcam add address=192.168.201.21 comment=CAM-21 mac-address=00:50:C2:37:31:DE server=dhcp-ipcam add address=192.168.201.31 comment=CAM-31 mac-address=00:50:C2:37:DA:F4 server=dhcp-ipcam add address=192.168.201.41 comment=CAM-41 mac-address=00:50:C2:35:D1:17 server=dhcp-ipcam add address=192.168.201.51 comment=CAM-51 mac-address=00:50:C2:38:98:57 server=dhcp-ipcam add address=192.168.201.91 comment=CAM-91 mac-address=4C:11:BF:CC:DA:2F server=dhcp-ipcam add address=192.168.201.92 comment=CAM-92 mac-address=4C:11:BF:CC:DA:65 server=dhcp-ipcam add address=192.168.201.93 comment=CAM-93 mac-address=3C:EF:8C:84:6D:E9 server=dhcp-ipcam /ip dhcp-server network add address=172.16.1.0/24 dns-server=172.16.1.250 gateway=172.16.1.250 netmask=24 add address=192.168.0.0/24 dns-server=192.168.0.250 gateway=192.168.0.250 netmask=24 ntp-server=192.168.0.250 add address=192.168.200.0/24 dns-server=192.168.200.250 gateway=192.168.200.250 netmask=24 ntp-server=192.168.200.250 add address=192.168.201.0/24 dns-server=192.168.201.250 gateway=192.168.201.250 netmask=24 ntp-server=192.168.201.250 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip firewall address-list add address=192.168.200.0/24 list=acl-office add address=**.**.124.41 list=net-service add address=**.**.127.95 list=net-service add address=**.**.124.80 list=net-service add address=172.16.0.0/24 list=acl-admin add address=**.**.124.0/24 list=acl-admin add address=192.168.200.0/24 list=acl-lan add address=172.16.0.0/16 list=acl-internal add address=172.16.1.0/24 list=acl-hotspot add address=172.28.0.0/24 list=acl-support add address=172.16.0.0/24 list=acl-monitor add address=**.**.124.0/24 list=acl-monitor add address=0.0.0.0/8 comment="source this" list=acl-bogon add address=10.0.0.0/8 comment="private network" list=acl-bogon add address=100.64.0.0/10 comment=CG-NAT list=acl-bogon add address=127.0.0.0/8 comment="loopback addresses" list=acl-bogon add address=169.254.0.0/16 comment="link-local subnet" list=acl-bogon add address=172.16.0.0/12 comment="private network" list=acl-bogon add address=192.0.0.0/24 comment=reserved list=acl-bogon add address=192.0.2.0/24 comment="test network" list=acl-bogon add address=192.42.172.0/24 comment=non-work list=acl-bogon add address=192.88.99.0/24 comment="anycast relay" list=acl-bogon add address=192.168.0.0/16 comment="private network" list=acl-bogon add address=198.18.0.0/15 comment="test inter-network" list=acl-bogon add address=198.51.100.0/24 comment="test network" list=acl-bogon add address=203.0.113.0/24 comment="test network" list=acl-bogon add address=224.0.0.0/4 comment=multicast list=acl-bogon add address=240.0.0.0/4 comment=reserved list=acl-bogon add address=0.0.0.0/8 list=acl-invalid add address=127.0.0.0/8 list=acl-invalid add address=192.168.0.0/16 list=acl-internal add address=192.168.201.0/24 list=acl-lan add address=192.168.0.0/24 list=acl-lan /ip firewall filter add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes add action=drop chain=input comment="Self Normalization: Drop Invalid" connection-state=invalid log=yes log-prefix="INVALID: " add action=accept chain=input comment="Self Normalization: Skip Established" connection-state=established,related add action=accept chain=input comment="Border: Allow ICMP" protocol=icmp add action=accept chain=input comment="Border: Allow DNS" protocol=udp src-address-list=acl-internal src-port=53 add action=accept chain=input comment="Border: Allow Remote" connection-state=new dst-port=8291 protocol=tcp src-address-list=acl-admin add action=accept chain=input comment="Border: Remote Support" src-address-list=acl-support add action=accept chain=input comment="Border: Graphs access" dst-port=80 in-interface=pppoe-rt protocol=tcp src-address-list=acl-monitor add action=accept chain=input comment="Border: Admin access" in-interface=pppoe-rt src-address-list=acl-admin add action=accept chain=input comment="Border: Service access" in-interface=pppoe-rt src-address-list=net-service add action=accept chain=input comment="Border: Allow LAN" connection-state=new src-address-list=acl-lan add action=drop chain=input comment="Border: Block not Hotspot" connection-state=new in-interface=!bridge-hotspot log=yes log-prefix="HOTSPOT: " add action=drop chain=input comment="Border: Default Policy" log=yes log-prefix="DEFAULT: " add action=drop chain=forward comment="Drop Invalid Src" log=yes log-prefix="INVALID: " src-address-list=acl-invalid add action=drop chain=forward comment="Drop Invalid Dst" dst-address-list=acl-invalid log=yes log-prefix="INVALID: " add action=drop chain=forward comment="Drop Invalid" connection-state=invalid log=yes log-prefix="INVALID: " add action=accept chain=forward comment="Skip Established" connection-state=established,related add action=jump chain=forward comment="Processing ICMP" jump-target=icmp protocol=icmp add action=drop chain=forward comment="Block not NAT" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-rt add action=accept chain=forward comment="Allow IN" in-interface=pppoe-rt add action=accept chain=forward comment="Allow OUT" out-interface=pppoe-rt add action=drop chain=forward comment="LAST RULE" log=yes log-prefix="LAST: " add action=accept chain=icmp comment="ICMP: echo reply" icmp-options=0:0 protocol=icmp add action=accept chain=icmp comment="ICMP: network unreachable" icmp-options=3:0 protocol=icmp add action=accept chain=icmp comment="ICMP: host unreachable" icmp-options=3:1 protocol=icmp add action=accept chain=icmp comment="ICMP: host unreachable fragmentation required" icmp-options=3:4 protocol=icmp add action=accept chain=icmp comment="ICMP: source quench" icmp-options=4:0 protocol=icmp add action=accept chain=icmp comment="ICMP: echo request" icmp-options=8:0 protocol=icmp add action=accept chain=icmp comment="ICMP: time exceed" icmp-options=11:0 protocol=icmp add action=accept chain=icmp comment="ICMP: parameter bad" icmp-options=12:0 protocol=icmp add action=drop chain=icmp comment="ICMP: drop other" log=yes log-prefix="ICMP: " add action=accept chain=output comment="Border: Limit outgoing UDP" limit=15,20:packet protocol=udp add action=drop chain=input comment="Self Normalization: Drop Bogons" in-interface=pppoe-rt log=yes log-prefix="BOGONS: " src-address-list=acl-bogon /ip firewall nat add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes add action=dst-nat chain=dstnat comment="CAM-01 RTSP" dst-port=60101 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.1 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-11 RTSP" dst-port=60111 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.11 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-12 RTSP" dst-port=60112 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.12 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-13 RTSP" dst-port=60113 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.13 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-14 RTSP" dst-port=60114 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.14 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-15 RTSP" dst-port=60115 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.15 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-21 RTSP" dst-port=60121 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.21 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-31 RTSP" dst-port=60131 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.31 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-41 RTSP" dst-port=60141 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.41 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-51 RTSP" dst-port=60151 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.51 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-91 RTSP" dst-port=60191 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.91 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-92 RTSP" dst-port=60192 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.92 to-ports=554 add action=dst-nat chain=dstnat comment="CAM-93 RTSP" dst-port=60193 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.93 to-ports=554 add action=dst-nat chain=dstnat comment="MGMT POE (http)" dst-port=65100 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.200 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-01 (http)" dst-port=65101 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.1 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-11 (http)" dst-port=65111 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.11 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-12 (http)" dst-port=65112 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.12 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-13 (http)" dst-port=65113 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.13 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-14 (http)" dst-port=65114 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.14 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-15 (http)" dst-port=65115 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.15 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-21 (http)" dst-port=65121 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.21 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-31 (http)" dst-port=65131 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.31 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-41 (http)" dst-port=65141 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.41 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-51 (http)" dst-port=65151 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.51 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-91 (http)" dst-port=65191 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.91 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-92 (http)" dst-port=65192 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.92 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT CAM-93 (http)" dst-port=65193 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.201.93 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT AP-01 (http)" dst-port=65001 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.201 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT AP-02 (http)" dst-port=65002 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.202 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT AP-03 (http)" dst-port=65003 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.203 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT AP-04 (http)" dst-port=65004 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.204 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT AP-05 (http)" dst-port=65005 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.205 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT AP-06 (http)" dst-port=65006 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.206 to-ports=80 add action=dst-nat chain=dstnat comment="MGMT AP-07 (http)" dst-port=65007 in-interface=pppoe-rt protocol=tcp src-address-list=net-service to-addresses=192.168.0.207 to-ports=80 add action=masquerade chain=srcnat comment="Hotspot Internet" out-interface=pppoe-rt src-address-list=acl-hotspot add action=masquerade chain=srcnat comment="Internal Internet" out-interface=pppoe-rt src-address-list=acl-internal /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set pptp disabled=yes /ip hotspot user add name=admin /ip hotspot walled-garden add comment="place hotspot rules here" disabled=yes add dst-host=*.wificp.ru add dst-host=*.paymaster.ru add dst-host=mc.yandex.ru add dst-host=esia.gosuslugi.ru /ip hotspot walled-garden ip add action=accept disabled=no dst-address=95.167.165.64/27 add action=accept disabled=no dst-address=195.14.118.0/23 add action=accept disabled=no dst-address=91.229.116.0/22 add action=accept disabled=no dst-address=213.59.200.64/28 add action=accept disabled=no dst-address=91.200.28.0/24 add action=accept disabled=no dst-address=91.227.52.0/24 add action=accept disabled=no dst-address=109.207.2.0/24 add action=accept disabled=no dst-address=10.0.0.0/8 add action=accept disabled=no dst-address=172.16.0.0/12 add action=accept disabled=no dst-address=192.168.0.0/16 /ip service set telnet disabled=yes set ftp disabled=yes set www address=**.**.124.0/22 set ssh disabled=yes set api disabled=yes set winbox address=**.**.124.0/22,172.28.0.0/26 set api-ssl disabled=yes /radius add address=**.**.118.42 secret=*** service=hotspot timeout=9s add address=**.**.165.93 secret=*** service=hotspot timeout=9s /system clock set time-zone-name=Europe/Moscow /system identity set name=hotspot_1 /system lcd set contrast=0 enabled=no port=parallel type=24x4 /system lcd page set time disabled=yes display-time=5s set resources disabled=yes display-time=5s set uptime disabled=yes display-time=5s set packets disabled=yes display-time=5s set bits disabled=yes display-time=5s set version disabled=yes display-time=5s set identity disabled=yes display-time=5s set sup-ovpn disabled=yes display-time=5s set bridge-hotspot disabled=yes display-time=5s set eth1-uplink disabled=yes display-time=5s set eth2-office disabled=yes display-time=5s set eth3-ipcam disabled=yes display-time=5s set eth4-svc disabled=yes display-time=5s set eth5-wifi disabled=yes display-time=5s set pppoe-rt disabled=yes display-time=5s /system ntp client set enabled=yes primary-ntp=95.104.192.10 secondary-ntp=85.21.78.8 /system ntp server set broadcast=yes enabled=yes /system scheduler add interval=15m name=service on-event="import file-name=hsfailover" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=jan/01/1970 start-time=01:20:30 add interval=1h name=up on-event="/tool fetch keep-result=no url=(\"http://auth.wificp.ru/status/\?mac=\".[/interface ethernet get 0 mac-address].\"&nasid=\".[/system identity get name].\"&os=mikrotik&load=\".[/system clock get time].\"%20up%20\".[/system resource get uptime].\",%20load%20average:%20\".[/system resource get cpu-load].\"&soft=\".[/system package get system version])" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=jan/01/1970 start-time=01:20:00 /tool graphing interface add allow-address=**.**.124.0/22 interface=eth1-uplink add allow-address=**.**.124.0/22 interface=eth2-office add allow-address=**.**.124.0/22 interface=eth3-ipcam add allow-address=**.**.124.0/22 interface=eth4-svc add allow-address=**.**.124.0/22 interface=eth5-wifi add allow-address=**.**.124.0/22 interface=pppoe-rt /tool graphing resource add allow-address=**.**.124.0/22 /tool sniffer set filter-interface=bridge-hotspot filter-ip-address=192.168.0.0/24 /tool user-manager database set db-path=user-manager Все работает, за исключением того, что недоступны узлы 192.168.0.20x (которые натятся на внешние порты 6500x). Впрочем они недоступны и с самого микротика, а не только снаружи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted December 16, 2017 · Report post 26 минут назад, alibek сказал: Прикладываю полный конфиг. ну вот как раз серийные номера, хосты vpn-сервера и мак-адреса ( кроме последних 2 цифр ) могли бы и замаскировать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted December 16, 2017 · Report post Алибек, добавьте следующие записи /ip firewall filter add action=accept chain=forward comment="Allow IN 192.168.0.2XX" in-interface=bridge-hotspot src-address=192.168.0.0/24 place-before=1 add action=accept chain=forward comment="Allow OUT 192.168.0.2XX" out-interface=bridge-hotspot dst-address=192.168.0.0/24 place-before=1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mafijs Posted December 16, 2017 · Report post Если камеры подключены в interface ethernet name=eth3-ipcam тогда между eth3-ipcam и eth5-wifi (bridge-hotspot) нет связи (прогараммно не связаны). По этому и пинги не проходит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted December 16, 2017 · Report post 27 минут назад, mafijs сказал: По этому и пинги не проходит. в первом сообщении написано, что 192.168.0.201-207 остались на eth5. просто eth5 засунули в бридж Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mafijs Posted December 16, 2017 · Report post Только что, LostSoul сказал: в первом сообщении написано, что 192.168.0.201-207 остались на eth5. просто eth5 засунули в бридж Не совсем это ясно, смотря конфиг. ТС должен это уточнить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted December 16, 2017 · Report post 3 минуты назад, mafijs сказал: Не совсем это ясно, смотря конфиг. какие строки конфига натолкнули вас на мысль, что железки с eth5 переехали на eth3? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mafijs Posted December 16, 2017 · Report post Эти - /interface ethernet set [ find default-name=ether3 ] name=eth3-ipcam /ip address add address=192.168.201.250/24 interface=eth3-ipcam network=192.168.201.0 edit: хотя пинг с Микротика в любом случае должен проходить... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 16, 2017 · Report post 17 минут назад, mafijs сказал: 192.168.201.250/24 Я писал про 192.168.0.201-207. С 192.168.201.* все нормально. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mafijs Posted December 16, 2017 · Report post 1 минуту назад, alibek сказал: Я писал про 192.168.0.201-207. Ясно, моя ошибка. А что ети за устойства 201-207 ? компютеры? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 16, 2017 · Report post 3 часа назад, LostSoul сказал: Алибек, добавьте следующие записи Подобную команду я уже делал. Тем не менее, сейчас ввел приведенные команды — ничего не поменялось. Команда ping 192.168.0.201, выполняемая со шлюза, вообще не должна зависеть от forward-цепочек в правилах. Тем не менее пинг со шлюза не проходит. И в ARP-таблице я вообще не вижу записей из 192.168.0.0/24, даже которые incomplete (без MAC-адреса). Хотя если попытаться выполнить пинг на несуществующие адреса в других подсетях (например 192.168.201.100), то в ARP-таблице для 192.168.201.100 тут же появляется запись без MAC-адреса. 5 минут назад, mafijs сказал: А что ети за устойства 201-207 ? компютеры? Точки доступа WiFi. Я забыл поменять на них IP-адрес перед сменой сети и теперь не могу на них попасть, а объект находится далеко. (кроме того, если secondary-адрес будет работать, я вообще не вижу смысла менять им адрес, они не предназначены для того, чтобы клиенты на них заходили) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mafijs Posted December 16, 2017 · Report post 3 минуты назад, alibek сказал: Я забыл поменять на них IP-адрес перед сменой сети и теперь не могу на них попасть А так со шлюза - IP -> Neighbors -> MAC telnet ? Если ети точки там видны. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 16, 2017 · Report post Вот сейчас бы мне очень пригодился такой «устаревший» инструмент, как tcpdump, вместо гламурных, но практически бесполезных, Torch и Packet Sniffer. 4 минуты назад, mafijs сказал: А так со шлюза - IP -> Neighbors -> MAC telnet ? Там не Микротики, MAC telnet неприменим. Но кстати, в neighbors на eth5 пусто, хотя там точки Ubiquiti со включенным Discovery, и ранее (до смены адресации) я их в окружении видел. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted December 16, 2017 · Report post Ещё бы ему работать если у вас Дискавери выключен и на етх5 и на бридже Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...