chetkiyparen Опубликовано 26 июня, 2012 · Жалоба Добрый день! Имеется небольшая сеть 50-100 юзеров в несколько цепочек из тупых свичей... В качесте раздачи инета используется RB1100AH*2. В сети поднят DHCP 192.168.0.0/24 и рррое-сервер 10.10.1.0/24, т.е. выход в инет только после авторизации по логину и паролю.. Провайдер дает пару рррое-клиентов с разными тарифами, но сейчас используется пока один. Ду азла провайдера от микротика поднят лина на D-Link DWL-2100AP Р2Р, пинги без нагрузки 1-2мс, расстояние около 5-6км, скорость линк полудуплекс около 30Мбит/с. Все работало около года без нареканий, но последнее время на линке от микротика до провайдера начали пинги прыгать до 1000мс, причем не всегда, а в определенное и не всегда в часы пик.... думали на линк, подняли точно такой же в другом направлении, перевели на него, но ситуация повторилась аналогичная! Тут неожиданно обнаружилось, что если воткнуть шнурок в сеть и даже без авторизации можно пинговать и иметь доступ на 2100АР, что неприятно удивило! Т.о. создалось впечатление, что виной тому вирусня сетевая, которая ходит на NAT микротика, и которой рррое-сервер не преграда. Также из локалки можно подключится к внешнему айпишнику микротика без авторизации(без инета)! Как акрыть этот ненужный трафик и все гонять строго через рррое? И почему открыты подобные маршруты, если их не создавали и в Routs их нет, прописали только вручную айпишники на интерфейсах микротика, в том числе и на внешнем, чтобы иметь управление к 2100ААР с микротика. Причем нагрузка на линк до провайера в момент скачков пингов не доходит до 1000pps, и следовательно не может приводить к такому на вай-фае, т.к. аналогично в другом месте линк тянет и 1500pps без последствий! Как правильно сконфигурировать микротик, чтобы трафик от сети ходил только через рррое-сервер по маскардингу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 июня, 2012 · Жалоба Так вы в правиле маскардинга укажите для каких адресов его делать, и потом отдельным правилом запретите доступ всем, кому не требуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
koffin Опубликовано 27 июня, 2012 · Жалоба а как он у вас по умолчанию вообще что то пропускает? длинк и микротик имеют одно адресное пространство? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 24 июля, 2012 · Жалоба Вечер добрый, помогите разобраться так же используется RB1100AH*2 (настроены vlan+балансировка между провайдерами и т.д). через него (RB1100AH*2.) работают несколько разных сетей, задача изолировать сети друг от друга. Т.к к примеру сеть 192.168.1.0/24 пингует сеть 175.16.1.0/24 и т.д. Подскажите как реализовать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 июля, 2012 · Жалоба Добавьте правила фильтрации, где SRC Address 192.168.1.0/24 и DST Address 172.16.1.0/24 действие на вкладке Action - drop. Для надежности можете сделать это и в обратную сторону, поменяв адреса местами в новом плавиле=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 24 июля, 2012 · Жалоба Добавьте правила фильтрации, где SRC Address 192.168.1.0/24 и DST Address 172.16.1.0/24 действие на вкладке Action - drop. Для надежности можете сделать это и в обратную сторону, поменяв адреса местами в новом плавиле=) вы будете смеяться, но почему то, при создании данного правила я все так же продолжаю пинговать другие сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 июля, 2012 · Жалоба =) Тогда сделайте 2 отдельных правила маскагдинга, где SRC Address 192.168.1.0/24 , а DST Address ! 172.16.1.0/24 и наборот. Тогда клиенты уже никак не смогут друг на друга попасть без маршрутизации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 24 июля, 2012 · Жалоба Завтра попробую, так же есть второй вопрос (проблема) необходимо прописать на маршрутизаторе 4 маршрута к адресам: 192,168,10,2 179,22,40,3 10,90,3,3 x.x.x.x Маршруты должны быть прописаны в сторону интерфейса с адресом 172.16.1.100 пытался через dsnat с указанием порта, не выходит. Направьте на путь истинный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 июля, 2012 · Жалоба Маршруты прописываются в IP--+Routes. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 25 июля, 2012 (изменено) · Жалоба =) Тогда сделайте 2 отдельных правила маскагдинга, где SRC Address 192.168.1.0/24 , а DST Address ! 172.16.1.0/24 и наборот. Тогда клиенты уже никак не смогут друг на друга попасть без маршрутизации. вот это отработало на ура. но отсюда вопрос. А если у меня 7 сетей, мне что 49 правил надо сделать ? О_о Можно так же чуть чуть подробнее про route ? Изменено 25 июля, 2012 пользователем Smiley Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 июля, 2012 · Жалоба вот это отработало на ура. но отсюда вопрос. А если у меня 7 сетей, мне что 49 правил надо сделать ? О_о Если у вас 7 сетей, то можете всех под одну маску подогнать, тогда будет 7 правил. Поэтому и не нужно использовать сильно разную адресацию - загоните всех в 172.16.х.х и в правиле будет только DST Addres !172.16.0.0/16 Можно так же чуть чуть подробнее про route ? 0.0.0.0/0 это на любые адреса, если надо на всю подсеть к примеру, то 172.0.0.0/8 , 172.16.0.0/16 или 172.16.10.0/24 - или любые другие маски, вы указываете на какую подсеть расчитано правило. Gateway - адрес маршрутизатора, на который отправлять для доступа к этим сетям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rus123 Опубликовано 25 июля, 2012 (изменено) · Жалоба =) Тогда сделайте 2 отдельных правила маскагдинга, где SRC Address 192.168.1.0/24 , а DST Address ! 172.16.1.0/24 и наборот. Тогда клиенты уже никак не смогут друг на друга попасть без маршрутизации. вот это отработало на ура. но отсюда вопрос. А если у меня 7 сетей, мне что 49 правил надо сделать ? О_о Можно так же чуть чуть подробнее про route ? Можно проще,с макарадингом SRC 192.168.1.0/24, dst не трогаем, out interface - интерфейс провайдера внешнего мира. Правил получится число подсетей * число провайдеров. (если прова 2, то 7*2= 14) Ещё больше повезет, если сети, которые маскарадите идут по порядку, например 192.168.1.0/24,192.168.2.0/24 и т.д., то их можно дружно собрать под одну маску /22,/21 и т.д. Будет ещё меньше правил. Ах тыж шустрый saab :) чуть не успел. Изменено 25 июля, 2012 пользователем Rus123 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 25 июля, 2012 · Жалоба Можно так же чуть чуть подробнее про route ? 0.0.0.0/0 это на любые адреса, если надо на всю подсеть к примеру, то 172.0.0.0/8 , 172.16.0.0/16 или 172.16.10.0/24 - или любые другие маски, вы указываете на какую подсеть расчитано правило. Gateway - адрес маршрутизатора, на который отправлять для доступа к этим сетям. я извиняюсь но я запутался что то. =( 0.0.0.0 т.е получается что прописать на маршрутизаторе 4 маршрута к адресам: 192,168,10,2 179,22,40,3 10,90,3,3 x.x.x.x Маршруты должны быть прописаны в сторону интерфейса с адресом 172.16.1.100 необходимо сделать 4 правила по типу, но подскажите куда указать выше указанную пачку адресов, что бы при обращение на них их перекидывало на 172.16.1.100 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 июля, 2012 · Жалоба Так вам надо маршрутизацию сделать, или редирект всех на определенный адрес? Если у вас маршруты конечные, то есть адреса, тогда маска не нужна и вместо 0.0.0.0/0 напишите 192.168.10.2, а адрес маршрутизатора укажите 172.16.1.100. Создайте столько правил, сколько у вас адресов. Хотя для простоты лучше OSPF запустить, тогда не надо будет морочиться с маршрутизацией=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 25 июля, 2012 · Жалоба маршрутизацию, именно нужно маршрутизировать, но не все запросы а только при обращение из этой сети 172.16.1.0/24 на вот этот список адресов 192,168,10,2 179,22,40,3 10,90,3,3 x.x.x.x направлять их на 172.16.1.100. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rus123 Опубликовано 25 июля, 2012 · Жалоба маршрутизацию, именно нужно маршрутизировать, но не все запросы а только при обращение из этой сети 172.16.1.0/24 на вот этот список адресов 192,168,10,2 179,22,40,3 10,90,3,3 x.x.x.x направлять их на 172.16.1.100. Маршрутизация в классическом виде работает на основании DST адреса, не обращая внимания на SRC (172.16.1.0/24). Тут поможет только перенаправление трафика /ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-address=192.168.10.2 src-address=172.16.1.0/24 to-addresses=172.16.1.100 И пакет будет послан по маршруту ведущему к DST - 172.16.1.100. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 июля, 2012 · Жалоба Тут может помочь маркировка пакетов той подсети, с которых надо уходить на указанные адреса посредством Routing Mark. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 25 июля, 2012 · Жалоба Rus123То что вы предложили не помог. К сожалению. Saab95 маркировка мне даст наблюдения за пакетами. По средствам dsnat не вышло направить пакеты от данной сети через другой шлюз. Ума не привожу уже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rus123 Опубликовано 25 июля, 2012 · Жалоба Rus123То что вы предложили не помог. К сожалению. Saab95 маркировка мне даст наблюдения за пакетами. По средствам dsnat не вышло направить пакеты от данной сети через другой шлюз. Ума не привожу уже. Ага, так все таки не на другой адрес, а через другой шлюз. Йес. Тогда нат тут точно не причем. Если вы хотите пакеты с адресом источника 172.16.1.0/24 и адресом назначения 192,168,10,2 и т.д. направить через 172.16.1.100, то придется, как подсказал Saab95 менять им роутинг марк и делать policy routing. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 25 июля, 2012 · Жалоба Rus123 а можно по подробнее ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rus123 Опубликовано 25 июля, 2012 (изменено) · Жалоба Rus123 а можно по подробнее ? ну вообще любой гугловский запрос mikrotik policy routing даст инфу близкую к твоему случаю, а так что -то в духе: /ip firewall mangle add action=mark-routing chain=prerouting disabled=no src-address=172.16.1.0/24 dst-address=192.168.10.2 new-routing-mark=via172161100 passthrough=no /ip route add disabled=no distance=1 dst-address=192.168.10.2 gateway=172.16.1.100 routing-mark=via172161100 Пишу прям с листа, так что, если будут ошибки в пунктуации - уж извиняйте. Добавлю. Лучше ещё и правило сделать /ip route rule add src-address=172.16.1.0/24 dst-address=192.168.10.2 action=lookup table=via172161100 Изменено 25 июля, 2012 пользователем Rus123 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 26 июля, 2012 · Жалоба Спасибо большое. за направление на путь истинны, вчера решил проблему таким образом в /route 192.168.10.0/24 gateway 172.16.1.100 далее в firewall разрешил ходить по внутренним адресам и все. =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 июля, 2012 · Жалоба Как говорится - используйте OSPF для маршрутизации и PPPoE для подключения клиентов - и никаких проблем не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 27 июля, 2012 · Жалоба Saab95нет смысла, в PPPoE т.к всего 20 таких клиентов в данной сети, и количество приложений которые работают через свои каналы будет расти. А вот в сторону OSPF покурю. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
koffin Опубликовано 30 июля, 2012 · Жалоба если это сети на разнх устройствах можно еще VPN-технологией воспользоваться (ipip, ipsec и т.д.) я по ipip пять офисов связал - проблем никаких. в настройке оказалось проще всего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...