sbulyigin Опубликовано 3 августа, 2023 (изменено) · Жалоба Добрый день, коллеги. Помогите с конфигом. Возможно подскажите как лучше все настроить, выстроить безопасность и найти проблему. Из последнего вчера несколько раз блокировал провайдер, говорит вижу петлю. На что я включил Loop Protect, но ничего сам не поймал и в логах не видел. Из слов провайдера, когда попросил комментарий, говорят вижу петлю между 2 точек. Из чего я начал делать выводы, что петля не в Офисе. А возможно она образуется между 2 портами провайдера, с моими настройками? А началось все в то время как 1 фаза пропала часть компов вышибло. Все выключили и ушли. После завершения работа, роутер перезагрузили и начались блокировки портов провайдера. Порты подняли, Loop Protect к этому включил, но повторения не было пока что. История: Есть микротик, Приходит в него 2 точки доступа ( одна интернет со статикой, вторая локальная сеть по городу в отдельном вилане для конечного оборудования ЛБ). На микротике есть 3 бриджа. Первый bridgeLocalOffice идет для офиса малая сеть на 254 адреса 192.168.1.0\24, объединяет eth2 и eth3 порты. Eth2 идет в хаб на и расходится на всех конечных пользователей. Eth3 идет сразу в сервер 192.168.1.254. Второй bridgeLanLift объединяет порты eth4 и eth5 100.1.0.0\21. Eth4 - большой сегмент сети, построен на мощностях провайдера, все конечные порты объеденные в 1 вилан и доходят до конечных точек ЛБ. Eth5 — выделенный порт для ПК диспетчера в сети bridgeLanLift имеет адрес 100.1.1.1. Третий WlanOffice для wifi в офисе имеет адрес 192.168.2.1\24. Из того, что настраивал: bridgeLanLift должен получать интернет от провайдера. В рамкам безопасности исключить все UDP\TCP порты, которые не нужны для работы оборудования, чтобы не смогли стучаться на сервер комплекса в GUI. bridgeLanLift должен иметь доступ по определенным портам к 100.1.1.1 UDP 46000-60000, остальные можно блокировать, тут установлен Диспетчерский комплекс. Оставить те TCP, которые требуется для доступа в интернет. Между bridgeLanLift и bridgeLocalOffice доступа быть не должно. ПК диспетчера 100.1.1.1 обменивается документами через шару на сервере oktell. Между ПК диспетчера 100.1.1.1 и сервером Oktell должен настроен nat по определенным UDP для SIP телефонии (https://wiki.oktell.ru/Порты,_используемые_системой) Порты для работы Sip должны не блокировать в bridgeLocalOffice. https://wiki.oktell.ru/Порты,_используемые_системой Во вне с заменой выброшен порт 54983 для доступа с мобильного приложения в диспетчерский комплекс. Доступ к микротику только локально. Хотелось бы выстроить правильную безопасность и в целом настройку. Из того что планирую в ближайшее время. ПК 100.1.1.1 с клиент-серверном комплексом разъединиться с диспетчером. Ему перестанет быть нужен доступ с bridgeLanLift и oktell. Диспетчер переедет в сеть bridgeLocalOffice. Доступ к 100.1.1.1 получит через тонкий клиент по открытию порта в nat в bridgeLocalOffice. Текущий конфиг ± отрабатывал, жалоб не было. Но вот появились проблемы с провайдером. Замечались проблемы со связью иногда линия диспетчера уходила на пере адресацию, типо не видит клиент на компе диспетчера, причину не нашел. Хотелось бы реально нормально настроить его и быть спокойным. Прикладываю свой конфиг и скриншоты. # aug/03/2023 09:48:56 by RouterOS 7.6 # software id = YELJ-7Z8A # # model = RB951G-2HnD # serial number = DE350DCC7AD3 /interface bridge add comment="\C1\F0\E8\E4\E6 \EB\EE\EA\E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8 \EE\F4\ \E8\F1\E0 wifi" name=WlanOffice add comment="\C1\F0\E8\E4\E6 \CB\EE\EA\E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8 \EB\E8\ \F4\F2\EE\E2" name=bridgeLanLift add admin-mac=08:55:31:EE:36:06 auto-mac=no comment="\C1\F0\E8\E4\E6 \EB\EE\EA\ \E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8 \EE\F4\E8\F1\E0" name=bridgeLocalOffice /interface ethernet set [ find default-name=ether1 ] comment="\CF\F0\EE\E2\E0\E9\E4\E5\F0" \ loop-protect=on name=ether1-WAN set [ find default-name=ether2 ] comment=\ "\CB\EE\EA\E0\EB\FC\ED\E0\FF \F1\E5\F2\FC \EE\F4\E8\F1\E0" loop-protect=\ on name=ether2-office set [ find default-name=ether3 ] comment="\CB\EE\EA\E0\EB\FC\ED\E0\FF \F1\E5\ \F2\FC \EE\F4\E8\F1\E0, \D1\E5\F0\E2\E5\F0 \EE\EA\F2\E5\EB\EB\E0" \ loop-protect=on name=ether3-office set [ find default-name=ether4 ] comment=\ "\CB\EE\EA\E0\EB\FC\ED\E0\FF \F1\E5\F2\FC \EB\E8\F4\F2\EE\E2" \ loop-protect=on name=ether4-lift set [ find default-name=ether5 ] comment="\CB\EE\EA\E0\EB\FC\ED\E0\FF \F1\E5\ \F2\FC \EE\F4\E8\F1\E0, \C4\E8\F1\EF\E5\F2\F7\E5\F0" loop-protect=on \ name=ether5-lift /interface pppoe-client add add-default-route=yes disabled=no interface=ether1-WAN name=pppoe-out \ use-peer-dns=yes user=astralift /interface list add name=WAN_list add name=LAN_list add name=WLAN_list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile1 \ supplicant-identity="" /interface wireless set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \ band=2ghz-b/g/n channel-width=20/40mhz-Ce comment=\ "\C1\E5\F1\EF\F0\EE\E2\EE\E4\ED\E0\FF \F1\E5\F2\FC \EE\F4\E8\F1\E0" \ country=russia3 disabled=no frequency-mode=manual-txpower \ hw-protection-mode=rts-cts installation=indoor mode=ap-bridge \ security-profile=profile1 ssid=AstrakhanLift tx-power-mode=\ all-rates-fixed wireless-protocol=802.11 wmm-support=enabled wps-mode=\ disabled /interface wireless manual-tx-power-table set wlan1 comment=\ "\C1\E5\F1\EF\F0\EE\E2\EE\E4\ED\E0\FF \F1\E5\F2\FC \EE\F4\E8\F1\E0" /interface wireless nstreme set wlan1 comment=\ "\C1\E5\F1\EF\F0\EE\E2\EE\E4\ED\E0\FF \F1\E5\F2\FC \EE\F4\E8\F1\E0" /ip pool add name=dhcp ranges=192.168.1.100-192.168.1.200 add name=dhcp_lan_lift_pool ranges=\ 100.1.0.1-100.1.0.254,100.1.1.255-100.1.7.254 add name=dhcp_wlan_office_pool ranges=192.168.2.10-192.168.2.254 /ip dhcp-server add address-pool=dhcp comment="DHCP \F1\E5\F0\E2\E5\F0 \EB\EE\EA\E0\EB\FC\ED\ \EE\E9 \F1\E5\F2\E8 \EE\F4\E8\F1\E0" interface=bridgeLocalOffice \ lease-time=5d10m name=dhcp_lan_office add address-pool=dhcp_lan_lift_pool comment="DHCP \F1\E5\F0\E2\E5\F0 \EB\EE\EA\ \E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8 \EB\E8\F4\F2\EE\E2" interface=\ bridgeLanLift lease-time=5d10m name=dhcp_lan_lift add address-pool=dhcp_wlan_office_pool comment="DHCP \F1\E5\F0\E2\E5\F0 \E1\E5\ \F1\EF\F0\EE\E2\EE\E4\ED\EE\E9 \F1\E5\F2\E8 \EE\F4\E8\F1\E0" interface=\ WlanOffice lease-time=5d10m name=dhcp_wlan_office /interface bridge port add bridge=bridgeLocalOffice comment=defconf interface=ether2-office add bridge=bridgeLocalOffice comment=defconf interface=ether3-office add bridge=bridgeLanLift comment=defconf interface=ether4-lift add bridge=bridgeLanLift comment=defconf interface=ether5-lift add bridge=WlanOffice comment=defconf interface=wlan1 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add interface=ether1-WAN list=WAN add interface=ether2-office list=LAN add interface=ether3-office list=LAN add interface=ether4-lift list=LAN add interface=ether5-lift list=LAN add interface=wlan1 list=WLAN_list add interface=pppoe-out list=WAN add interface=bridgeLocalOffice list=LAN /interface wireless access-list add interface=wlan1 mac-address=88:F5:6E:32:A3:82 vlan-mode=no-tag /interface wireless cap set bridge=bridgeLocalOffice discovery-interfaces=bridgeLocalOffice \ interfaces=wlan1 /ip address add address=192.168.1.1/24 comment=\ "\C0\E4\F0\E5\F1 \E8\ED\F2\E5\F0\F4\E5\E9\F1\E0 LAN" interface=\ bridgeLocalOffice network=192.168.1.0 add address=192.168.2.1/24 comment=\ "\C0\E4\F0\E5\F1 \E8\ED\F2\E5\F0\F4\E5\E9\F1\E0 Wlan" interface=\ WlanOffice network=192.168.2.0 add address=100.1.1.254/21 comment=\ "\C0\E4\F0\E5\F1 \E8\ED\F2\E5\F0\F4\E5\E9\F1\E0 LAN Lift" interface=\ bridgeLanLift network=100.1.0.0 /ip dhcp-client add comment=defconf disabled=yes interface=bridgeLocalOffice add disabled=yes interface=ether1-WAN /ip dhcp-server network add address=100.1.0.0/21 dns-server=192.168.1.1,8.8.8.8 gateway=100.1.1.254 add address=192.168.1.0/24 dns-server=192.168.1.1,8.8.8.8 gateway=192.168.1.1 add address=192.168.2.0/24 dns-server=192.168.1.1,8.8.8.8 gateway=192.168.2.1 /ip dns set allow-remote-requests=yes servers=192.168.1.1,8.8.8.8 /ip firewall address-list add address=192.168.1.0/24 list=admin /ip firewall filter add action=accept chain=input connection-state=established add action=accept chain=input connection-state=related add action=accept chain=forward comment="Established & related" \ connection-state=established,related add action=drop chain=forward comment=invalid connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN log=yes add action=accept chain=input protocol=icmp add action=accept chain=forward comment="Accept udp 46000-60000" dst-port=\ 46000-60000 in-interface=bridgeLanLift protocol=udp add action=accept chain=forward comment="Accept icmp" in-interface=\ bridgeLanLift protocol=icmp add action=accept chain=forward comment="accept any udp port" protocol=udp \ src-address=100.1.1.1 add action=accept chain=forward comment="accept any udp port" src-address=\ 192.168.1.254 add action=accept chain=forward comment="accept any tcp port" port="" \ protocol=tcp src-address=100.1.1.1 add action=accept chain=forward comment="accept any tcp port" protocol=tcp \ src-address=192.168.1.254 add action=reject chain=forward comment="Drop \E2\F1\E5, \EA\F0\EE\EC\E5 \E4\ \EE\F1\F2\F3\EF\E0 \E2 \E8\ED\F2\E5\F0\ED\E5\F2 \ED\E0 \CB\C1" dst-port=\ !80,81,443 in-interface=bridgeLanLift protocol=tcp reject-with=\ icmp-net-prohibited add action=drop chain=input in-interface-list=!LAN /ip firewall nat add action=masquerade chain=srcnat add action=netmap chain=dstnat comment="\CF\F0\FF\EC\E0\FF \F1\E2\FF\E7\FC \CB\ \E8\F4\F2\EE\E2\FB\F5 \E1\EB\EE\EA\EE\E2 \EF\EE \E8\ED\F2\E5\F0\ED\E5\F2\ \F3 \E8\EB\E8 \CB\C2\D1 \E4\EE \E4\E8\F1\EF\E5\F2\F7\E5\F0\E0\\" \ dst-port=55500-55501 protocol=udp to-addresses=100.1.1.1 add action=dst-nat chain=dstnat comment=\ "\CF\F0\FF\EC\E0\FF \F1\E2\FF\E7\FC \CB\C1 \E8 LKDSDomain\\" disabled=yes \ dst-port=55500-55501,49100 in-interface=ether1-WAN protocol=udp \ to-addresses=100.1.1.1 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=4050-4055 protocol=tcp to-addresses=192.168.1.254 to-ports=\ 4050-4055 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=5060 protocol=tcp to-addresses=192.168.1.254 to-ports=5060 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=5070 protocol=tcp to-addresses=192.168.1.254 to-ports=5070 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=4059 protocol=tcp to-addresses=192.168.1.254 to-ports=4059 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=4059-4066 protocol=tcp to-addresses=192.168.1.254 to-ports=\ 4059-4066 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=4086-4089 protocol=tcp to-addresses=192.168.1.254 to-ports=\ 4086-4089 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=5060 protocol=udp to-addresses=192.168.1.254 to-ports=5060 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=4003-4005 protocol=udp to-addresses=192.168.1.254 to-ports=\ 4003-4005 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ dst-port=9000-19000 protocol=udp to-addresses=192.168.1.254 to-ports=\ 9000-19000 add action=dst-nat chain=dstnat disabled=yes dst-port=55500 in-interface=\ ether1-WAN log=yes protocol=udp to-addresses=100.1.1.1 to-ports=55500 add action=dst-nat chain=dstnat disabled=yes dst-address=XX.XXX.XXX.XXX \ in-interface=ether1-WAN src-address=100.1.1.1 to-addresses=XX.XXX.XXX.XXX add action=dst-nat chain=dstnat comment=\ "web \E4\EE\F1\F2\F3\EF \EC\E5\F5\E0\ED\E8\EA\E0\EC" disabled=yes \ dst-address=XX.XXX.XXX.XXX dst-port=47383 protocol=tcp to-addresses=\ 100.1.1.1 to-ports=443 add action=dst-nat chain=dstnat dst-address=XX.XXX.XXX.XXX dst-port=54983 \ log=yes protocol=tcp to-addresses=100.1.1.1 to-ports=49100 add action=dst-nat chain=dstnat comment="udp client" dst-address=\ XX.XXX.XXX.XXX dst-port=54983 log=yes protocol=udp to-addresses=100.1.1.1 \ to-ports=49100 /ip service set telnet disabled=yes set ftp disabled=yes set www address=192.168.1.0/24 port=12345 set ssh disabled=yes set api disabled=yes set winbox address=192.168.1.0/24 /system clock set time-zone-name=Europe/Volgograd /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN Изменено 3 августа, 2023 пользователем sbulyigin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...