[ChargeSet]

Saab95

что-то вы как-то загнули сильно. WiFi мосты l2 прозрачные, разве поверх них OSPF не будет работать без этих... манипуляций?

 

как заставить видеть устройства друг друга из разных подсетей (192.168.0.0/16) встроенными в Windows средствами (я так думаю в микротике чего то не настроено)? Из одной подсети видно.

 

Через командную строку windows командой route add (параметры). Введите route /? и получите довольно подробную справку о маршрутизации средствами windows

[SOFTOLAB]

ChargeSet, мне бы средствами микротика по возможности, т.к. прописывать на каждый сетевой девайс довольно трудоемко :(

[ChargeSet]

ааа, вотоночо... вы следующий раз описывайте проблему чуть лучше, а то указали один диапазон всего. Кстати сейчас как раз тот момент, когда стоит добавить деталей. Что за вторая подсеть? Как настроены устройства? Есть ли свитчи? Роутеры? Как именно вы хотите, чтобы сети друг друга "видели"?

[Saab95]

Saab95, подскажите пожалуйста, как заставить видеть устройства друг друга из разных подсетей (192.168.0.0/16) встроенными в Windows средствами (я так думаю в микротике чего то не настроено)? Из одной подсети видно.

 

Ну так пропишите на компах в настройках сетевого адаптера шлюз в сторону микротика, тогда и доступ появится. На микротике при этом трогать ничего не нужно, главное в настройках НАТ указать, что делать его только тогда, когда dst.address = ! 192.168.0.0/16.

 

Еще хочу подцепить вторую квартиру к основной локалке по VPN, какой тип VPN'а лучше подойдет? (По большей части обмен файлами, игра по сети в игрушки, и обязательно шифрование).

 

Шифрование вам точно нужно? Потому что тогда и роутер понадобится менять, да и компьютеры с другой стороны могут не потянуть. Создаете сразу 3 сервера - PPTP, L2TP и SSTP - шифрование есть у первого и последнего. Если в обоих местах стоят микротики, лучше соединить по L2TP, тогда даже устройства с процессором 400 мегагерц прогонят 100 мегабит, с шифрованием не получите и 20.

 

И еще тоже самое хочу для мобильных устройств, что бы выходить в мир через VPN с домашней сетью, через открытые хотспоты.

 

У вас будет PPTP и SSTP для этих целей, можно подключаться со смартфонов и ноутбуков.

 

PS: Сильно нублю т.к. пока с VPN дел не имел :)

 

Да там не сложно, главное не забыть выделить адреса для удаленного доступа из уникальной сети, что бы с кабельной не пересекалась.

 

Еще хотел бы спросить, если скрипт DynDNS раз в минуту будет переписывать два файла на флешке роутера, то долго ли она проживет?

PS: Статику взять пока возможности нет.

 

По этому ничего не скажу, т.к. лучше где-то белый адрес иметь постоянный.

[Saab95]

Saab95

что-то вы как-то загнули сильно. WiFi мосты l2 прозрачные, разве поверх них OSPF не будет работать без этих... манипуляций?

 

Если вы просто сделаете всю сеть прозрачной, укажете транзитным роутерам по одному адресу, то они не смогут правильно обмениваться пакетами, потому что будут считать себя соседями, и трафик не будет идти по цепочке роутеров друг за другом. Поэтому нужно делать связи по уникальным адресам в сети. Конечно вы можете к одной БС подключить много клиентов, у которых поставите по роутеру с OSPF, но при этом трафик в радио нужно заблокировать, после чего связь с роутерами пропадет, т.к. они не смогут видеть себя через широковешательные запросы, потребуется сменить тип сети на ptmp и обмен трафиком между ними пойдет через БС или роутер за ней.

[SOFTOLAB]

ChargeSet, файлы по сети гонять что бы (поиграть иногда), в корне стоит RB450G, у него в 4 портах "тупые" свитчи, там уже машинки.

Доступ по IP есть, но в сетевом окружении компы из других сетей не отображаются.

 

Saab95,

Ну так пропишите на компах в настройках сетевого адаптера шлюз в сторону микротика, тогда и доступ появится.

Не совсем понял вас, сейчас прописан шлюз 192.168.1.1 .

 

Шифрование вам точно нужно? Потому что тогда и роутер понадобится менять, да и компьютеры с другой стороны могут не потянуть. Создаете сразу 3 сервера - PPTP, L2TP и SSTP - шифрование есть у первого и последнего. Если в обоих местах стоят микротики, лучше соединить по L2TP, тогда даже устройства с процессором 400 мегагерц прогонят 100 мегабит, с шифрованием не получите и 20.

Да, крайне желательно, т.к. по нему может что то и важное передаваться, не хотелось бы что бы кто непоподя смотрел чем я обмениваюсь.

На клиенте будет стоять RB951G-2HnD, на VPN сервере пока RB450G (но уже задумываюсь собрать полноценную машинку с пассивным охлаждением и RouterOS на борту).

OpenVPN больше скорости из железа не сможет выжать при шифровании?

 

У вас будет PPTP и SSTP для этих целей, можно подключаться со смартфонов и ноутбуков.

С андроида подключился по PPTP, скорость конечно не ахти, но зато трафик никто не сопрет с важными данными.

Единственное что смущает, дак это то что mschap v2 уже давно вроде как взломали.

Еще одна проблема, при подключении к домашнему wifi (wifi в бридже с домашней локалкой), VPN поднимается, но доступа к устройствам из локалки и к интернету уже со смарта нет, думаю идет зацикливание трафика, но куда копать?

 

По этому ничего не скажу, т.к. лучше где-то белый адрес иметь постоянный.

Если бы была возможность, я бы лучше белый взял, но её нет...

Изменено 5 января, 2014 пользователем SOFTOLAB

[Saab95]

Что бы был доступ к устройствам с локалки, должно на всех компах локалки настроено так, что бы шлюзом являлся микротик, IP адрес клиентам удаленного доступа выдавался вне этой подсети и не попадал под НАТ.

Если что-то сделать нельзя, тогда нужно включить proxy-ARP на интерфейсе локалки, клиенту PPP выдать один из свободных адресов из локальной подсети, тогда все увидят друг друга и без указания шлюза. Но так делать можно только в особых случаях, когда это действительно нужно.

[ChargeSet]

файлы по сети гонять что бы (поиграть иногда), в корне стоит RB450G, у него в 4 портах "тупые" свитчи, там уже машинки.

Доступ по IP есть, но в сетевом окружении компы из других сетей не отображаются.

так микротик ту и не при делах так-то. У всех компов должна быть одна workgroup, одинаковая домашняя группа, плюс семерка и ХР между собой подружиться без бубна не смогут.

[SOFTOLAB]

Saab95, машинки в сети или статические адреса имеют со шлюзом микротика все, или от DHCP все настройки получают (тут тоже шлюз микротика). Проблема в том что цепляю их в одной сети, все видят друг друга, между 192.168.1.0 и 192.168.2.0 они не видят друг друга. На смартфоне поднял PPTP как постоянную, и весь трафик должен идти через него, по локалке брожу в менеджере файлов через VPN, это видно по трафику его использования, впринцепе заработала локалка после того как для wifi убрал бридж, и выделил отдельную подсеть 192.168.5.0/24 (если по IP заходить, в сетевом окружении так же смартфон не видит их, т.к. подсети разные), а вот в интернет так и не пускает, такое ощущение что или DNS не работает, или трафик по кругу бегает.

PS: Проблему с интернетом решил, забыл маскарадинг сделать для сети 10.1.30.0/24 из которой адреса для PPTP выделяются.

PS2: Работать то заработал интернет, но скорость такая, что dial-ap сказкой покажется, страницы едва грузит, а может и вовсе не грузить, видимо что то все таки не так настроил. Мессенджеры работают нормально, но им много и не нужно.

 

ChargeSet, группа сама собой одинаковая.

Изменено 5 января, 2014 пользователем SOFTOLAB

[Saab95]

Если низкая скорость попробуйте пинг запустить без фрагментации и посмотрите, не теряются ли большие пакеты.

[SOFTOLAB]

Saab95, пакеты не теряются, но пинг прыгает аж до ~500 мс, т.е. то 3 мс, то 500.

Пинговал с ПК на смартфон.

Изменено 6 января, 2014 пользователем SOFTOLAB

[ChargeSet]

подсеть у вас /24? я бы сделал /16 и не парился. Третий октет же .2.0 и .1.0

либо прописывайте статические маршруты на самом роутере

[SOFTOLAB]

ChargeSet, не совсем вас понял...

[ChargeSet]

с чего бы начать...

Я понял так:

а) есть RB450G, 1 порт как WAN, 4 порта как LAN в свитч группе.

б) К LAN подключены свитчи неуправляемые, 4 шт.,

в) есть не менее 16 устройств, подключенных к сети посредством этих свитчей, скорее всего это компы, возможно WiFi AP, плюс ещё какая-нибудь дрянь :)

 

Компы видят друг друга по ICMP (пинги проходят), но компы не видят друг друга на прикладном уровне (не видят расшаренные папки, удаленные принтеры, etc)

 

Компы без проблем ходят в интернет.

 

Теперь разбираемся:

450G настроен в режиме SOHO router или как он там зовется в quick setup. В сети устройства с IP 192.168.1.0 и 192.168.2.0. Ожидается, что маска подсети /16. Это так?

Что раздает DHCP в роутере? Должен быть пул 192.168.x.x /16

Что в настройках сетевых карт компов? Если я ничего не путаю, должны быть включены "ответчик обнаружения...", клиент и сервер сетей микрософт

Как настроен фаерволл компов?

Какие правила, ограничения, блокировки настроены на микротике? Запреты портов, фаерволл?

 

Просто собирали похожие сетки с расшаренными папками, общими принтерами, коунтерстрайком и прочей шнягой, и таких лютых проблем никогда не ощущали. Правда там микротик другой был, хотя я хз как это может повлиять, роутерос то у них одинаковый

[SOFTOLAB]

ChargeSet, 4 порта не в свитче, каждый порт под свое дело. На каком то своя домашняя сеть висит, на каком то локалка некоторых моих "абонентов".

На каждом порте свой пул и свой DHCP, в фаерволе трафик между портами не резал.

 

Ситуацию правильно описали, пингуется, но расшаривания ресурсов нет, точней есть, но только если IP вручную вводить, что несколько геморойно.

 

Дефолтные настройки никогда не использую.

[ChargeSet]

А, вотоночо. Получается, сеть разбита на сегменты. В сторону WINS посмотрите, только тут микротик вам не может, нужен ПК с поднятой службой WINS и в настройка DHCP мелкотика нужно будет вписать IP wins сервера

[SOFTOLAB]

ChargeSet, а по какому протоколу сетевые устройства находят друг друга? Например в тех же окнах в сетевом окружении.

Может получиться как-нибудь нашаманить без WINS.

 

Saab95, по поводу громадных пингов на VPN не подскажете в какую сторону можно покопать?

[ChargeSet]

NetBIOS за это отвечает. Проблема в том, что у него не получается перелазить через маску подсети. Точнее, не стоит этого делать, иначе броадкасты netbios вылезут в интернет и начнут всем мешать жить:) Для обьединения нескольких сетей в одну оснастку сетевого окружения есть WINS от микрософта, либо Самбу. В каждой подсети должен быть сервер винс, и один сервер винс должен быть головным

[SOFTOLAB]

ChargeSet, тогда лучше по IP лазить, меньше проблем будет :)

[ChargeSet]

SOFTOLAB, лучше завести отдельный сервер под ваши хотелки и вебморду гостевую на него повесить

или не манать себе мозг и перевести всех в одну подсеть, а ресурсы своей локалки запаролить нафиг

[SOFTOLAB]

ChargeSet, зачем? У меня разные направления отделены, каждому направлению свой порт, все устраивает пока, единственное вот неудобно что в списке только со своей локалки показывает.

[Saab95]

Если страничка открывается прямо с микротика, нужно создать правило redirect на этот порт при запросах на веб.

[SOFTOLAB]

Saab95, вы мне написали?)

[Saab95]

ChargeSet, а по какому протоколу сетевые устройства находят друг друга? Например в тех же окнах в сетевом окружении.

Может получиться как-нибудь нашаманить без WINS.

 

Saab95, по поводу громадных пингов на VPN не подскажете в какую сторону можно покопать?

 

Начните с пинга между адресами микротиков, после запустите пинг по внутренним адресам туннеля. Если пинг маленькими пакетами колеблется, аналогично большим, то возможно в промежуточных точках пакеты идут по разным маршрутам, такое бывает. Проверить опять же можно, запустив пинг с интервалом в 100мс и понаблюдать на ttl, иногда он колеблется на 2-5 пунктов.

 

Если пинги все равно высокие, то запустить по очереди линки на PPTP, L2TP и SSTP туннелях, сравнить, везде ли такая проблема.

[lReceptoRl]

Доброго времени суток! С микротиками работаю сравнительно недавно и столкнулся со следующей проблемой:

имеется базовая станция Ubiquiti NanoStation M2, абоненты висят на AirGridах, стоит country code - Compliance Test и частота 2547. У человечка на руках Mikrotik SXT 2HnD и подружить его с базой не получается. Подскажите пожалуйста как можно решить эту проблему? =)