Правила для внешнего порта Mikrotik

[chetkiyparen]

Добрый день!

Имеется небольшая сеть 50-100 юзеров в несколько цепочек из тупых свичей...

В качесте раздачи инета используется RB1100AH*2.

В сети поднят DHCP 192.168.0.0/24 и рррое-сервер 10.10.1.0/24, т.е. выход в инет только после авторизации по логину и паролю..

 

Провайдер дает пару рррое-клиентов с разными тарифами, но сейчас используется пока один. Ду азла провайдера от микротика поднят лина на D-Link DWL-2100AP Р2Р, пинги без нагрузки 1-2мс, расстояние около 5-6км, скорость линк полудуплекс около 30Мбит/с.

Все работало около года без нареканий, но последнее время на линке от микротика до провайдера начали пинги прыгать до 1000мс, причем не всегда, а в определенное и не всегда в часы пик.... думали на линк, подняли точно такой же в другом направлении, перевели на него, но ситуация повторилась аналогичная!

 

Тут неожиданно обнаружилось, что если воткнуть шнурок в сеть и даже без авторизации можно пинговать и иметь доступ на 2100АР, что неприятно удивило!

Т.о. создалось впечатление, что виной тому вирусня сетевая, которая ходит на NAT микротика, и которой рррое-сервер не преграда. Также из локалки можно подключится к внешнему айпишнику микротика без авторизации(без инета)!

 

Как акрыть этот ненужный трафик и все гонять строго через рррое? И почему открыты подобные маршруты, если их не создавали и в Routs их нет, прописали только вручную айпишники на интерфейсах микротика, в том числе и на внешнем, чтобы иметь управление к 2100ААР с микротика.

 

Причем нагрузка на линк до провайера в момент скачков пингов не доходит до 1000pps, и следовательно не может приводить к такому на вай-фае, т.к. аналогично в другом месте линк тянет и 1500pps без последствий!

 

Как правильно сконфигурировать микротик, чтобы трафик от сети ходил только через рррое-сервер по маскардингу?

[Saab95]

Так вы в правиле маскардинга укажите для каких адресов его делать, и потом отдельным правилом запретите доступ всем, кому не требуется.

 

 

[koffin]

а как он у вас по умолчанию вообще что то пропускает?

длинк и микротик имеют одно адресное пространство?

[Smiley]

Вечер добрый, помогите разобраться так же используется RB1100AH*2 (настроены vlan+балансировка между провайдерами и т.д). через него (RB1100AH*2.) работают несколько разных сетей, задача изолировать сети друг от друга. Т.к к примеру сеть 192.168.1.0/24 пингует сеть 175.16.1.0/24 и т.д. Подскажите как реализовать ?

[Saab95]

Добавьте правила фильтрации, где SRC Address 192.168.1.0/24 и DST Address 172.16.1.0/24 действие на вкладке Action - drop.

 

Для надежности можете сделать это и в обратную сторону, поменяв адреса местами в новом плавиле=)

 

 

[Smiley]

Добавьте правила фильтрации, где SRC Address 192.168.1.0/24 и DST Address 172.16.1.0/24 действие на вкладке Action - drop.

 

Для надежности можете сделать это и в обратную сторону, поменяв адреса местами в новом плавиле=)

вы будете смеяться, но почему то, при создании данного правила я все так же продолжаю пинговать другие сети.

[Saab95]

=)

Тогда сделайте 2 отдельных правила маскагдинга, где SRC Address 192.168.1.0/24 , а DST Address ! 172.16.1.0/24 и наборот.

 

Тогда клиенты уже никак не смогут друг на друга попасть без маршрутизации.

 

 

[Smiley]

Завтра попробую, так же есть второй вопрос (проблема)

необходимо прописать на маршрутизаторе 4 маршрута к адресам:

 

192,168,10,2

179,22,40,3

10,90,3,3

x.x.x.x

Маршруты должны быть прописаны в сторону интерфейса с адресом 172.16.1.100

пытался через dsnat с указанием порта, не выходит.

Направьте на путь истинный.

[Saab95]

Маршруты прописываются в IP--+Routes.

 

 

[Smiley]

=)

Тогда сделайте 2 отдельных правила маскагдинга, где SRC Address 192.168.1.0/24 , а DST Address ! 172.16.1.0/24 и наборот.

 

Тогда клиенты уже никак не смогут друг на друга попасть без маршрутизации.

вот это отработало на ура. но отсюда вопрос. А если у меня 7 сетей, мне что 49 правил надо сделать ? О_о

 

Можно так же чуть чуть подробнее про route ?

Edited July 25, 2012 by Smiley

[Saab95]

вот это отработало на ура. но отсюда вопрос. А если у меня 7 сетей, мне что 49 правил надо сделать ? О_о

 

Если у вас 7 сетей, то можете всех под одну маску подогнать, тогда будет 7 правил. Поэтому и не нужно использовать сильно разную адресацию - загоните всех в 172.16.х.х и в правиле будет только DST Addres !172.16.0.0/16

 

Можно так же чуть чуть подробнее про route ?

 

0.0.0.0/0 это на любые адреса, если надо на всю подсеть к примеру, то 172.0.0.0/8 , 172.16.0.0/16 или 172.16.10.0/24 - или любые другие маски, вы указываете на какую подсеть расчитано правило.

Gateway - адрес маршрутизатора, на который отправлять для доступа к этим сетям.

[Rus123]

=)

Тогда сделайте 2 отдельных правила маскагдинга, где SRC Address 192.168.1.0/24 , а DST Address ! 172.16.1.0/24 и наборот.

 

Тогда клиенты уже никак не смогут друг на друга попасть без маршрутизации.

вот это отработало на ура. но отсюда вопрос. А если у меня 7 сетей, мне что 49 правил надо сделать ? О_о

 

Можно так же чуть чуть подробнее про route ?

 

Можно проще,с макарадингом SRC 192.168.1.0/24, dst не трогаем, out interface - интерфейс провайдера внешнего мира.

Правил получится число подсетей * число провайдеров. (если прова 2, то 7*2= 14)

 

Ещё больше повезет, если сети, которые маскарадите идут по порядку, например 192.168.1.0/24,192.168.2.0/24 и т.д., то их можно дружно собрать под одну маску /22,/21 и т.д. Будет ещё меньше правил.

 

 

Ах тыж шустрый saab :) чуть не успел.

Edited July 25, 2012 by Rus123

[Smiley]

Можно так же чуть чуть подробнее про route ?

 

0.0.0.0/0 это на любые адреса, если надо на всю подсеть к примеру, то 172.0.0.0/8 , 172.16.0.0/16 или 172.16.10.0/24 - или любые другие маски, вы указываете на какую подсеть расчитано правило.

Gateway - адрес маршрутизатора, на который отправлять для доступа к этим сетям.

 

я извиняюсь но я запутался что то. =( 0.0.0.0

т.е получается что прописать на маршрутизаторе 4 маршрута к адресам:

192,168,10,2

179,22,40,3

10,90,3,3

x.x.x.x

Маршруты должны быть прописаны в сторону интерфейса с адресом 172.16.1.100

необходимо сделать 4 правила по типу, но подскажите куда указать выше указанную пачку адресов, что бы при обращение на них их перекидывало на 172.16.1.100 ?

[Saab95]

Так вам надо маршрутизацию сделать, или редирект всех на определенный адрес?

 

Если у вас маршруты конечные, то есть адреса, тогда маска не нужна и вместо 0.0.0.0/0 напишите 192.168.10.2, а адрес маршрутизатора укажите 172.16.1.100.

 

Создайте столько правил, сколько у вас адресов.

 

Хотя для простоты лучше OSPF запустить, тогда не надо будет морочиться с маршрутизацией=)

[Smiley]

маршрутизацию, именно нужно маршрутизировать, но не все запросы а только при обращение из этой сети 172.16.1.0/24 на вот этот список адресов

192,168,10,2

179,22,40,3

10,90,3,3

x.x.x.x

направлять их на 172.16.1.100.

[Rus123]

маршрутизацию, именно нужно маршрутизировать, но не все запросы а только при обращение из этой сети 172.16.1.0/24 на вот этот список адресов

192,168,10,2

179,22,40,3

10,90,3,3

x.x.x.x

направлять их на 172.16.1.100.

 

 

Маршрутизация в классическом виде работает на основании DST адреса, не обращая внимания на SRC (172.16.1.0/24).

 

Тут поможет только перенаправление трафика

/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-address=192.168.10.2 src-address=172.16.1.0/24 to-addresses=172.16.1.100

 

И пакет будет послан по маршруту ведущему к DST - 172.16.1.100.

[Saab95]

Тут может помочь маркировка пакетов той подсети, с которых надо уходить на указанные адреса посредством Routing Mark.

 

 

[Smiley]

Rus123То что вы предложили не помог. К сожалению. Saab95 маркировка мне даст наблюдения за пакетами. По средствам dsnat не вышло направить пакеты от данной сети через другой шлюз. Ума не привожу уже.

[Rus123]

Rus123То что вы предложили не помог. К сожалению. Saab95 маркировка мне даст наблюдения за пакетами. По средствам dsnat не вышло направить пакеты от данной сети через другой шлюз. Ума не привожу уже.

 

Ага, так все таки не на другой адрес, а через другой шлюз. Йес.

Тогда нат тут точно не причем.

Если вы хотите пакеты с адресом источника 172.16.1.0/24 и адресом назначения 192,168,10,2 и т.д. направить через 172.16.1.100, то придется, как подсказал Saab95 менять им роутинг марк и делать policy routing.

[Smiley]

Rus123 а можно по подробнее ?

[Rus123]

Rus123 а можно по подробнее ?

ну вообще любой гугловский запрос mikrotik policy routing даст инфу близкую к твоему случаю, а так

что -то в духе:

/ip firewall mangle

add action=mark-routing chain=prerouting disabled=no src-address=172.16.1.0/24 dst-address=192.168.10.2 new-routing-mark=via172161100 passthrough=no

 

/ip route

add disabled=no distance=1 dst-address=192.168.10.2 gateway=172.16.1.100 routing-mark=via172161100

 

 

Пишу прям с листа, так что, если будут ошибки в пунктуации - уж извиняйте.

 

Добавлю.

Лучше ещё и правило сделать

/ip route rule add src-address=172.16.1.0/24 dst-address=192.168.10.2 action=lookup table=via172161100

Edited July 25, 2012 by Rus123

[Smiley]

Спасибо большое. за направление на путь истинны, вчера решил проблему таким образом в /route 192.168.10.0/24 gateway 172.16.1.100

далее в firewall разрешил ходить по внутренним адресам и все. =)

[Saab95]

Как говорится - используйте OSPF для маршрутизации и PPPoE для подключения клиентов - и никаких проблем не будет.

[Smiley]

Saab95нет смысла, в PPPoE т.к всего 20 таких клиентов в данной сети, и количество приложений которые работают через свои каналы будет расти. А вот в сторону OSPF покурю. Спасибо.

[koffin]

если это сети на разнх устройствах можно еще VPN-технологией воспользоваться (ipip, ipsec и т.д.)

я по ipip пять офисов связал - проблем никаких. в настройке оказалось проще всего.