65465132152 Posted March 29, 2018 Добрый день. Помогите пожалуйста улучшить работу сети, знаний не хватает хоть и закончил успешно курс CCNA Маршрутизация и коммутация. Введение в сетевые технологии (маршрутизации в курсе нет) и продолжаю изучение сетевых технологий. Исходные данные вот какие: 1. Есть сеть 10.169.169.0/24 в 1 здании, сеть 10.169.185.0/24 во 2 здании. 2. К маршрутизатору в синем треугольничке у меня доступа нет, он опечатан в шкафу и принадлежит нашей вышестоящей организации, за ним есть кое какие сервисы, которые доступны только для сетей 10.169.169.0/24 и 10.169.185.0/24 3. Сеть 10.169.169.0/24 разрослась до такого размера что стало не хватать ip адресов. 4. Mikrotik CRS226-24G-2S+RM в данный момент работает как простой коммутатор, ip адрес ether1-master 10.169.169.211 5. Контроллер домена с ролями DHCP, DNS ip 10.169.169.50/24 6. Kerio Control 10.169.169.51 Вывел 24 порт из master, назначил ему адрес 192.168.10.1/24, настроил DHCP Server на этом порту с основным шлюзом 192.168.10.1 и днс 10.169.169.50 подключил к нему ноутбук адрес он получил. Пинг идет до 10.169.169.211 но до сервера 10.169.169.50, интернет шлюза 10.169.169.51 и шлюза 10.169.169.1 не идет. Вот думаю как настроить маршрутизацию. Или я не по тому пути иду? Знаю что надо нарезать сеть на под сети. Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 29, 2018 1 час назад, marat-209 сказал: до сервера 10.169.169.50, интернет шлюза 10.169.169.51 и шлюза 10.169.169.1 не идет Они ничего не знают о 192.168.10.0/24. Раз ничего с корпоративным шлюзом сделать не можете/хотите - на 10.169.169.51 добавляйте маршрут до 192.168.10.0, а в сторону 10.169.169.1 на CRS включайте NAT. Share this post Link to post Share on other sites More sharing options...
korsakik Posted March 29, 2018 и crs (коммутатор) благополучно помрёт от ната... Share this post Link to post Share on other sites More sharing options...
65465132152 Posted March 29, 2018 1 hour ago, DRiVen said: Они ничего не знают о 192.168.10.0/24. Раз ничего с корпоративным шлюзом сделать не можете/хотите - на 10.169.169.51 добавляйте маршрут до 192.168.10.0, а в сторону 10.169.169.1 на CRS включайте NAT. В принципе некоторым подсетям шлюз с интернетом не нужен. Нужен только шлюз 10.169.169.1 и ДНС 10.169.169.50 на котором я могу прописать маршрут в 192.168.10.0. Как я понял мне надо выделить свободный ip адрес из сети 10.169.169.0 например 10.169.169.254 и за ним разместить сеть 192.168.10.0? Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 29, 2018 @korsakik , во-первых CRS такой же коммутатор, как я архиерей, а во-вторых - уверены, что там серьезная нагрузка? Без файрвола он занатит пару сотен мегабит, для примера: у нас с подсети в >200 машин и полностью вынесенными в удаленный ЦОД серверами трафик не поднимается выше 50мбит. @marat-209 , да. Share this post Link to post Share on other sites More sharing options...
pingz Posted March 29, 2018 Либо делать роутинг т.е. есть прямой маршрут и обратный. У вас клиент из сети 192.168.10.0/24 знает о только маршут 0.0.0.0/0 но сети 10.169.169.0/24 и 10.169.185.0/24 не знают, что за 10.169.169.211 есть сеть 192.168.10.0/24. Есть 2 варианта либо на сервисах прописывать маршут 192.168.10.0/24 находится за 10.169.169.211 Либо на пограничном маршутизаторе который для этих сервисов является шлюзом по умолчанию прописывать маршут. Либо как писали выше использовать нат, но если вы включите нат, у вас весь трафик будет ходить через IP->Firewall->Connections Tracking(трансляции ната). Share this post Link to post Share on other sites More sharing options...
65465132152 Posted March 29, 2018 С натом тоже пока отдаленно знаком. Подскажите пожалуйста как его включить? Share this post Link to post Share on other sites More sharing options...
pingz Posted March 29, 2018 @marat-209 http://googleitfor.me/?q=Настройка%2Bнат%2Bmikrotik Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 29, 2018 @pingz , роутинг? Вы стартовый пост читали? 5 часов назад, marat-209 сказал: К маршрутизатору в синем треугольничке у меня доступа нет, он опечатан в шкафу и принадлежит нашей вышестоящей организации И с чего вдруг 1 час назад, pingz сказал: если вы включите нат, у вас весь трафик будет ходить через IP->Firewall->Connections Tracking(трансляции ната). ? Share this post Link to post Share on other sites More sharing options...
65465132152 Posted March 29, 2018 Спасибо. Завтра попробую Share this post Link to post Share on other sites More sharing options...
65465132152 Posted March 29, 2018 настроил нат ip firewall nat add chain=srcnat out-interface=ether24 action=masquerade пинги не идут до 10.169.169.1 команда ip route print 0 A S 0.0.0.0/0 10.169.169.1 1 1 ADC 10.169.169.0/24 10.169.169.211 ether1-master 0 2 ADC 192.168.10.0/24 192.168.10.1 ether24 0 Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 29, 2018 src-address=192.168.10.0/24 out-interface=ether1-master. Share this post Link to post Share on other sites More sharing options...
pingz Posted March 29, 2018 @DRiVen Я читал этот пост, у нас религия не позволяет написать служебную записку руководству, у них голова большая пусть думают. Если вы привыкли удалять гланды через ухо и это норма то извините. По поводу весь трафик будет ходить через нат. Если человек настроит нат то, то весь трафик и роуты в том числе у него буду ходить через конекшен трекинг, чем он загрузит железку. Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 29, 2018 1 час назад, pingz сказал: у нас религия не позволяет написать служебную записку руководству Судя по выбранной адресации вряд ли это согласованное подключение. 1 час назад, pingz сказал: Если человек настроит нат то, то весь трафик и роуты в том числе у него буду ходить через конекшен трекинг, чем он загрузит железку. Совсем не обязательно натить все. /ip firewall nat add action=src-nat chain=srcnat dst-address=[сети за 10.169.169.1] src-address=192.168.10.0/24 to-address 10.169.169.211 /ip route add distance=1 dst-address=[сети за 10.169.169.1] gateway=10.169.169.1 /ip route add distance=1 dst-address=0.0.0.0/0 gateway=10.169.169.51 ну и на Kerio маршрут до 192.168.10.0/24 и ее же в пул ната. Share this post Link to post Share on other sites More sharing options...
pingz Posted March 29, 2018 3 минуты назад, DRiVen сказал: Судя по выбранной адресации вряд ли это согласованное подключение. Совсем не обязательно натить все. /ip firewall nat add action=src-nat chain=srcnat dst-address=[сети за 10.169.169.1] src-address=192.168.10.0/24 to-address 10.169.169.211 /ip route add distance=1 dst-address=0.0.0.0/0 gateway=10.169.169.51 Если включаешь на микротике конекшен трекинг(он нужен для ната) нат трансляций и маршутизация записывается в эту таблицу. Если он будет гонять 50-100 мб\с то думаю, будет норм, но если больше? У человека уже есть пул, пул из серой сети. Я не вижу проблемы согласовать хоть 2-6 подсетей с маской /24 Городить нат это последнее дело особенно на коммутаторе. Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 29, 2018 33 минуты назад, pingz сказал: Я не вижу проблемы согласовать хоть 2-6 подсетей с маской /24. Городить нат это последнее дело особенно на коммутаторе. Я не знаю, что движет ТС, предположение о причине вы прочли. Исходя из опыта работы в очень крупной конторе скажу, что иной раз, как говорят дамы, "проще дать, чем объяснить почему нет", поскольку порой даже самый простой запрос встречает отказ из-за нежелания прямого начальства разбираться в необходимости и хоть на йоту отступить от принятой костной схемы. "Исполняться должно прямо сейчас, вы там как-нибудь извернитесь, но помогать мы ничем не будем, или возможно будем, но как-нибудь потом". Можно конечно итальянскую забастовку, но пользователи будут страдать. В итоге имеем окаменелые регламенты и костыли от исполнителей. P.S>Фактически это не коммутатор, как бы его не обозвал МТ, хотя костыля это конечно не отменяет. Share this post Link to post Share on other sites More sharing options...
pingz Posted March 30, 2018 9 часов назад, DRiVen сказал: Я не знаю, что движет ТС, предположение о причине вы прочли. Исходя из опыта работы в очень крупной конторе скажу, что иной раз, как говорят дамы, "проще дать, чем объяснить почему нет", поскольку порой даже самый простой запрос встречает отказ из-за нежелания прямого начальства разбираться в необходимости и хоть на йоту отступить от принятой костной схемы. "Исполняться должно прямо сейчас, вы там как-нибудь извернитесь, но помогать мы ничем не будем, или возможно будем, но как-нибудь потом". Можно конечно итальянскую забастовку, но пользователи будут страдать. В итоге имеем окаменелые регламенты и костыли от исполнителей. P.S>Фактически это не коммутатор, как бы его не обозвал МТ, хотя костыля это конечно не отменяет. Прям здесь и сейчас можно собрать нат, но всё же на будущее нужно, договариваться на более оптимальные схемы. Share this post Link to post Share on other sites More sharing options...
65465132152 Posted March 30, 2018 Правильно ли будет написать в выше стоящую контору и сказать - ребята выделите еще одно адресное пространство например 10.190.190.0/24 т.к. то что вы дали я израсходовал? Share this post Link to post Share on other sites More sharing options...
DRiVen Posted March 30, 2018 Несомненно. Share this post Link to post Share on other sites More sharing options...
korsakik Posted March 31, 2018 (edited) В 29.03.2018 в 22:50, DRiVen сказал: И с чего вдруг ? Любое правило ната и firewall включает connection tracking. В 29.03.2018 в 20:04, DRiVen сказал: @korsakik , во-первых CRS такой же коммутатор, как я архиерей @marat-209 а что это тогда, роутер или вафельница может быть?????? Цитата а во-вторых - уверены, что там серьезная нагрузка? Без файрвола он занатит пару сотен мегабит в роутерос с маршрутизацией и попутными примочками он умрёт и раньше 200 мбит, по крайней мере будет работать нестабильно. Нельзя использовать железку которая предназначена для другого в этих целях. И потом начинается бунД на тему "тик решето, тик говно" и подобное. В коммутаторе есть "железные функции", такие как vlan, lag и что-то ещё, вы всё это отсекаете прочь, включете роутерос и всё работает через слабый процессор предназначенный для банального управления железкой и некоторых функций коммутатора. И тут вы ещё хотите этот чип добить окончательно натом. Господи, позвоните и договоритесь по-нормальному с коллегой. Буквально вчера была схожая (по маразму) ситуация у коллеги с ржд, надо в отдел ВЧС сделать 40м от узла, говорю кинь витую, ему говорят "нет, только дсл и модемы zyxel по 12к за шт" почему? "если в кабель попадёт молния, то сгорят только модемы". Edited March 31, 2018 by korsakik Share this post Link to post Share on other sites More sharing options...
pingz Posted March 31, 2018 23 часа назад, korsakik сказал: Буквально вчера была схожая (по маразму) ситуация у коллеги с ржд, надо в отдел ВЧС сделать 40м от узла, говорю кинь витую, ему говорят "нет, только дсл и модемы zyxel по 12к за шт" почему? "если в кабель попадёт молния, то сгорят только модемы". Если в кабель попадет молния, могут сгореть модемы, все устройства подключенные к ним и компьютеры и экраны могут посинеть или позеленеть. Была как то сетка в школьном прошлом молния ударила в кабель выгорело почти всё, что не сгорело позже получалось и умерло. Share this post Link to post Share on other sites More sharing options...
DRiVen Posted April 1, 2018 В 31.03.2018 в 03:13, korsakik сказал: Любое правило ната и firewall включает connection tracking. И что? По вашему после этого железка умирает? ) В 31.03.2018 в 03:13, korsakik сказал: а что это тогда, роутер или вафельница может быть?????? Это фактически роутер с многопортовым коммутатором, на борту RouterOS, не SwitchOS В 31.03.2018 в 03:13, korsakik сказал: В коммутаторе есть "железные функции", такие как vlan, lag и что-то ещё, вы всё это отсекаете прочь, включете роутерос и всё работает через слабый процессор предназначенный для банального управления железкой и некоторых функций коммутатора. Для ТС не нужны vlan, вы стартовый пост вообще читали? В 31.03.2018 в 03:13, korsakik сказал: в роутерос с маршрутизацией и попутными примочками он умрёт и раньше 200 мбит Какими примочками? Железка внутри ЛКС стоит. И я уже писал о средней загрузке каналов, если все хосты не гоняют поголовно гигагбитные файлы - там не будет и сотки. В 01.04.2018 в 02:46, pingz сказал: Если в кабель попадет молния, могут сгореть модемы, все устройства подключенные к ним и компьютеры и экраны могут посинеть или позеленеть. Это происходит, даже если она попадает рядом. Удар в 50 метрах вывел из строя коммутатор и все, что с него подключено, кроме этого еще кучу бытовой электроники, просто включенной в силовую сеть. Но DSL менее чувствительна, в вот слаботочный Ethernet "летит" много чаще, даже от статики, не говоря уж о разряде. В обслуге имеется куча DSL на воздушках и выходы из строя нечасты, несмотря на довольно сильную атмосферную активность. ТС, простите за оффтоп. Share this post Link to post Share on other sites More sharing options...
McSea Posted April 1, 2018 On 3/31/2018 at 2:13 AM, korsakik said: Любое правило ната и firewall включает connection tracking. Можно убрать ненужные подсети из connection tracking прописав no track в RAW таблице. Share this post Link to post Share on other sites More sharing options...
65465132152 Posted April 3, 2018 Получил адресное пространство 10.169.99.0/24 шлюз 10.169.99.1 Присвоил 24 порту адрес 10.169.99.2/24, настроил DHCP на нем. Пинги не идут почему то. но 10.169.99.2 пингуется. В чем может быть проблема? Share this post Link to post Share on other sites More sharing options...
McSea Posted April 3, 2018 4 hours ago, marat-209 said: Получил адресное пространство 10.169.99.0/24 шлюз 10.169.99.1 Присвоил 24 порту адрес 10.169.99.2/24, настроил DHCP на нем. Пинги не идут почему то. но 10.169.99.2 пингуется. В чем может быть проблема? С микротика вашего шлюз 10.169.99.1 не пингается ? Share this post Link to post Share on other sites More sharing options...
