jffulcrum Опубликовано 3 декабря, 2018 · Жалоба 42 минуты назад, Andrei сказал: /ip dhcp-server add address-pool=dhcp disabled=no interface="bridge - LAN" lease-time=30m name="my dhcp" relay=192.168.88.1 relay уберите Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 декабря, 2018 · Жалоба 4 минуты назад, jffulcrum сказал: relay уберите Убрал, заработало. Почему надо было убрать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 3 декабря, 2018 · Жалоба Потому что релей - это совсем другое. В одном широковещательном домене он не нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 декабря, 2018 · Жалоба Рано радовался. В качестве DNS клиенту выдается ip микротика, а он ничего не ресолвит. Если на микротике указать - выдавай в качестве DNS гуловый или яндексовский, то разумеется все работает. Но сам-то микротик тоже должен это уметь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 3 декабря, 2018 · Жалоба Так нужно это разрешить — включить опцию "Принимать DNS-запросы". Только перед этим на файрволе заблокировать все лишнее, чтобы dns-амплификацию не словить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
floop Опубликовано 3 декабря, 2018 · Жалоба @Andrei Наверное, /ip dns set allow-remote-requests=yes Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 декабря, 2018 · Жалоба 10 минут назад, alibek сказал: Так нужно это разрешить — включить опцию "Принимать DNS-запросы". Включил. Заработало. 10 минут назад, alibek сказал: Только перед этим на файрволе заблокировать все лишнее, чтобы dns-амплификацию не словить. Это хз где. IP - Firewall это понятно, но что там и как... Что такое dns-амплификация знаю. 8 минут назад, floop сказал: /ip dns set allow-remote-requests=yes Я все как-то больше через WinBox, не через терминальный режим Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 3 декабря, 2018 (изменено) · Жалоба 2 hours ago, Andrei said: IP - Firewall это понятно, но что там и как... Принцип нормально-закрытого файрвола везде одинаков - открыть нужное, закрыть все остальное. Вот стандартный микротиковский конфиг firewall filter: /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN log-prefix="INPUT DROP" add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN 10 правил всего, из них 4 - для трафика на сам роутер(chain=input), 6 - для транзитного трафика(chain forward). Кроме того, должны быть два интерфейс листа - LAN и WAN, какие интерфейсы туда включить понятно. Изнутри отрыто все везде. Снаружи: Для input: разрешен ICMP(пинг) на все интерфейсы. Все остальное закрыто со всех интерфейсов, кроме включенных в LAN интерфейс лист. Т.е. DNS запросы снаружи дропнутся, winbox/ssh доступа снаружи тоже нет. Разрешающие правила, нужные вам, добавляете после drop invalid(2-е правило). Желательно иметь white list с разрешенными IP для них. Для forward: правила 5-6 разрешают IPsec трафик по активным политикам, если IPsec в любых вариантах не используется, можно отключить/убрать; снаружи все закрыто (с WAN), кроме портов/протоколов, для которых созданы правила dst-nat. Аналогично как в input, разрешающие правила добавляйте после drop invalid(правило 9). Правила accept established, related, untracked в обеих цепочках разрешают ответный(только на инициированный изнутри) входящий трафик по тем же портам/протоколам, что и исходящий (established), или связанным портам(related), или IP/портам/протоколам, помеченным как "no track" (untracked) в Firewall/Raw. Изменено 3 декабря, 2018 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 3 декабря, 2018 (изменено) · Жалоба 3 часа назад, Andrei сказал: 3 часа назад, jffulcrum сказал: relay уберите Убрал, заработало. Почему надо было убрать? Потому, что это настройка на работу с релеем. У Вас же клиенты сами запросы формируют. Изменено 3 декабря, 2018 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 12 декабря, 2018 · Жалоба В 02.12.2018 в 18:46, Saab95 сказал: Да, на микротике можно сделать виртуальную точку доступа со своим отдельным SSID и шифрованием (таких точек можно сделать много), на каждую выдаете свои адреса, добавляете в свой бридж и всего делов. Если микротик двух-диапазонный (2,4 и 5 ГГц), то в обоих диапазонах можно создать по несколько сетей с разными SSID? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 12 декабря, 2018 · Жалоба Можно. А зачем? Два SSID ещё ладно, больше то зачем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 12 декабря, 2018 · Жалоба Применительно к теме топика: 1й SSID в 2,4 ГГц - для посетителей с авторизацией через СМС (по закону), 2й SSID в 2,4 ГГц - для своих сотрудников со служебным паролем 3й SSID в 5 ГГц - для ТВ-приставки для IP-TV. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 января, 2019 · Жалоба Можно все сделать. Только лучше установить несколько микротиков, т.к. клиенты повиснут на точке со слабыми сигналами и работа сети для сотрудников ухудшится. Можно взять самые дешевые микротики и их использовать, вместо одного многодиапазонного. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
