Перейти к содержимому
Калькуляторы

Правила для внешнего порта Mikrotik

Добрый день!

Имеется небольшая сеть 50-100 юзеров в несколько цепочек из тупых свичей...

В качесте раздачи инета используется RB1100AH*2.

В сети поднят DHCP 192.168.0.0/24 и рррое-сервер 10.10.1.0/24, т.е. выход в инет только после авторизации по логину и паролю..

 

Провайдер дает пару рррое-клиентов с разными тарифами, но сейчас используется пока один. Ду азла провайдера от микротика поднят лина на D-Link DWL-2100AP Р2Р, пинги без нагрузки 1-2мс, расстояние около 5-6км, скорость линк полудуплекс около 30Мбит/с.

Все работало около года без нареканий, но последнее время на линке от микротика до провайдера начали пинги прыгать до 1000мс, причем не всегда, а в определенное и не всегда в часы пик.... думали на линк, подняли точно такой же в другом направлении, перевели на него, но ситуация повторилась аналогичная!

 

Тут неожиданно обнаружилось, что если воткнуть шнурок в сеть и даже без авторизации можно пинговать и иметь доступ на 2100АР, что неприятно удивило!

Т.о. создалось впечатление, что виной тому вирусня сетевая, которая ходит на NAT микротика, и которой рррое-сервер не преграда. Также из локалки можно подключится к внешнему айпишнику микротика без авторизации(без инета)!

 

Как акрыть этот ненужный трафик и все гонять строго через рррое? И почему открыты подобные маршруты, если их не создавали и в Routs их нет, прописали только вручную айпишники на интерфейсах микротика, в том числе и на внешнем, чтобы иметь управление к 2100ААР с микротика.

 

Причем нагрузка на линк до провайера в момент скачков пингов не доходит до 1000pps, и следовательно не может приводить к такому на вай-фае, т.к. аналогично в другом месте линк тянет и 1500pps без последствий!

 

Как правильно сконфигурировать микротик, чтобы трафик от сети ходил только через рррое-сервер по маскардингу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так вы в правиле маскардинга укажите для каких адресов его делать, и потом отдельным правилом запретите доступ всем, кому не требуется.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а как он у вас по умолчанию вообще что то пропускает?

длинк и микротик имеют одно адресное пространство?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вечер добрый, помогите разобраться так же используется RB1100AH*2 (настроены vlan+балансировка между провайдерами и т.д). через него (RB1100AH*2.) работают несколько разных сетей, задача изолировать сети друг от друга. Т.к к примеру сеть 192.168.1.0/24 пингует сеть 175.16.1.0/24 и т.д. Подскажите как реализовать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добавьте правила фильтрации, где SRC Address 192.168.1.0/24 и DST Address 172.16.1.0/24 действие на вкладке Action - drop.

 

Для надежности можете сделать это и в обратную сторону, поменяв адреса местами в новом плавиле=)

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добавьте правила фильтрации, где SRC Address 192.168.1.0/24 и DST Address 172.16.1.0/24 действие на вкладке Action - drop.

 

Для надежности можете сделать это и в обратную сторону, поменяв адреса местами в новом плавиле=)

вы будете смеяться, но почему то, при создании данного правила я все так же продолжаю пинговать другие сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

=)

Тогда сделайте 2 отдельных правила маскагдинга, где SRC Address 192.168.1.0/24 , а DST Address ! 172.16.1.0/24 и наборот.

 

Тогда клиенты уже никак не смогут друг на друга попасть без маршрутизации.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Завтра попробую, так же есть второй вопрос (проблема)

необходимо прописать на маршрутизаторе 4 маршрута к адресам:

 

192,168,10,2

179,22,40,3

10,90,3,3

x.x.x.x

Маршруты должны быть прописаны в сторону интерфейса с адресом 172.16.1.100

пытался через dsnat с указанием порта, не выходит.

Направьте на путь истинный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Маршруты прописываются в IP--+Routes.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

=)

Тогда сделайте 2 отдельных правила маскагдинга, где SRC Address 192.168.1.0/24 , а DST Address ! 172.16.1.0/24 и наборот.

 

Тогда клиенты уже никак не смогут друг на друга попасть без маршрутизации.

вот это отработало на ура. но отсюда вопрос. А если у меня 7 сетей, мне что 49 правил надо сделать ? О_о

 

Можно так же чуть чуть подробнее про route ?

post-104728-046553200 1343192028_thumb.jpg

Изменено пользователем Smiley

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот это отработало на ура. но отсюда вопрос. А если у меня 7 сетей, мне что 49 правил надо сделать ? О_о

 

Если у вас 7 сетей, то можете всех под одну маску подогнать, тогда будет 7 правил. Поэтому и не нужно использовать сильно разную адресацию - загоните всех в 172.16.х.х и в правиле будет только DST Addres !172.16.0.0/16

 

Можно так же чуть чуть подробнее про route ?

 

0.0.0.0/0 это на любые адреса, если надо на всю подсеть к примеру, то 172.0.0.0/8 , 172.16.0.0/16 или 172.16.10.0/24 - или любые другие маски, вы указываете на какую подсеть расчитано правило.

Gateway - адрес маршрутизатора, на который отправлять для доступа к этим сетям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

=)

Тогда сделайте 2 отдельных правила маскагдинга, где SRC Address 192.168.1.0/24 , а DST Address ! 172.16.1.0/24 и наборот.

 

Тогда клиенты уже никак не смогут друг на друга попасть без маршрутизации.

вот это отработало на ура. но отсюда вопрос. А если у меня 7 сетей, мне что 49 правил надо сделать ? О_о

 

Можно так же чуть чуть подробнее про route ?

 

Можно проще,с макарадингом SRC 192.168.1.0/24, dst не трогаем, out interface - интерфейс провайдера внешнего мира.

Правил получится число подсетей * число провайдеров. (если прова 2, то 7*2= 14)

 

Ещё больше повезет, если сети, которые маскарадите идут по порядку, например 192.168.1.0/24,192.168.2.0/24 и т.д., то их можно дружно собрать под одну маску /22,/21 и т.д. Будет ещё меньше правил.

 

 

Ах тыж шустрый saab :) чуть не успел.

Изменено пользователем Rus123

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно так же чуть чуть подробнее про route ?

 

0.0.0.0/0 это на любые адреса, если надо на всю подсеть к примеру, то 172.0.0.0/8 , 172.16.0.0/16 или 172.16.10.0/24 - или любые другие маски, вы указываете на какую подсеть расчитано правило.

Gateway - адрес маршрутизатора, на который отправлять для доступа к этим сетям.

 

я извиняюсь но я запутался что то. =( 0.0.0.0

т.е получается что прописать на маршрутизаторе 4 маршрута к адресам:

192,168,10,2

179,22,40,3

10,90,3,3

x.x.x.x

Маршруты должны быть прописаны в сторону интерфейса с адресом 172.16.1.100

необходимо сделать 4 правила по типу, но подскажите куда указать выше указанную пачку адресов, что бы при обращение на них их перекидывало на 172.16.1.100 ?

post-104728-080476500 1343200101_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так вам надо маршрутизацию сделать, или редирект всех на определенный адрес?

 

Если у вас маршруты конечные, то есть адреса, тогда маска не нужна и вместо 0.0.0.0/0 напишите 192.168.10.2, а адрес маршрутизатора укажите 172.16.1.100.

 

Создайте столько правил, сколько у вас адресов.

 

Хотя для простоты лучше OSPF запустить, тогда не надо будет морочиться с маршрутизацией=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

маршрутизацию, именно нужно маршрутизировать, но не все запросы а только при обращение из этой сети 172.16.1.0/24 на вот этот список адресов

192,168,10,2

179,22,40,3

10,90,3,3

x.x.x.x

направлять их на 172.16.1.100.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

маршрутизацию, именно нужно маршрутизировать, но не все запросы а только при обращение из этой сети 172.16.1.0/24 на вот этот список адресов

192,168,10,2

179,22,40,3

10,90,3,3

x.x.x.x

направлять их на 172.16.1.100.

 

 

Маршрутизация в классическом виде работает на основании DST адреса, не обращая внимания на SRC (172.16.1.0/24).

 

Тут поможет только перенаправление трафика

/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-address=192.168.10.2 src-address=172.16.1.0/24 to-addresses=172.16.1.100

 

И пакет будет послан по маршруту ведущему к DST - 172.16.1.100.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут может помочь маркировка пакетов той подсети, с которых надо уходить на указанные адреса посредством Routing Mark.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Rus123То что вы предложили не помог. К сожалению. Saab95 маркировка мне даст наблюдения за пакетами. По средствам dsnat не вышло направить пакеты от данной сети через другой шлюз. Ума не привожу уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Rus123То что вы предложили не помог. К сожалению. Saab95 маркировка мне даст наблюдения за пакетами. По средствам dsnat не вышло направить пакеты от данной сети через другой шлюз. Ума не привожу уже.

 

Ага, так все таки не на другой адрес, а через другой шлюз. Йес.

Тогда нат тут точно не причем.

Если вы хотите пакеты с адресом источника 172.16.1.0/24 и адресом назначения 192,168,10,2 и т.д. направить через 172.16.1.100, то придется, как подсказал Saab95 менять им роутинг марк и делать policy routing.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Rus123 а можно по подробнее ?

ну вообще любой гугловский запрос mikrotik policy routing даст инфу близкую к твоему случаю, а так

что -то в духе:

/ip firewall mangle

add action=mark-routing chain=prerouting disabled=no src-address=172.16.1.0/24 dst-address=192.168.10.2 new-routing-mark=via172161100 passthrough=no

 

/ip route

add disabled=no distance=1 dst-address=192.168.10.2 gateway=172.16.1.100 routing-mark=via172161100

 

 

Пишу прям с листа, так что, если будут ошибки в пунктуации - уж извиняйте.

 

Добавлю.

Лучше ещё и правило сделать

/ip route rule add src-address=172.16.1.0/24 dst-address=192.168.10.2 action=lookup table=via172161100

Изменено пользователем Rus123

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо большое. за направление на путь истинны, вчера решил проблему таким образом в /route 192.168.10.0/24 gateway 172.16.1.100

далее в firewall разрешил ходить по внутренним адресам и все. =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как говорится - используйте OSPF для маршрутизации и PPPoE для подключения клиентов - и никаких проблем не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95нет смысла, в PPPoE т.к всего 20 таких клиентов в данной сети, и количество приложений которые работают через свои каналы будет расти. А вот в сторону OSPF покурю. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если это сети на разнх устройствах можно еще VPN-технологией воспользоваться (ipip, ipsec и т.д.)

я по ipip пять офисов связал - проблем никаких. в настройке оказалось проще всего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.