Jump to content
Калькуляторы

Вопрос по настройке Микротика для сети предприятия

Есть RB2011UAS. Его нужно настроить в качестве основного шлюза в сети предприятия.

Интернет приходит по выделенной линии в интерфейс sfp1 (IP-параметры прописываются статически).

В порты с 1 по 5 подключены управляемые коммутаторы с тэгированным трафиком, в порты с 6 по 10 подключены компьютеры, wifi отключен.

В сети предприятия есть три VLAN: основная сеть (vlan10), IP-камеры системы видеонаблюдения (vlan11), IP-телефония (vlan12).

На коммутаторах на портах задан access vlan (соответствующий устройству, которое в этот порт подключено), аплинк в режиме trunk.

В порты с 6 по 10 подключены компьютеры пользователей, они должны попадать в vlan10.

 

Подскажите, как бы настроить мне этот маршрутизатор в соответствии с указанными требованиями?

 

1. Делаю полный сброс с No Default Configuration.

 

2. IP - Addresses: На интерфейсе sfp1 прописываю IP-адрес, предоставленный провайдером.

 

3. IP - Routes: Добавляю маршрут на 0.0.0.0 через интерфейс sfp1.

 

4. IP - DNS: Прописываю DNS-сервера провайдера, Allow Remote Requests не включаю.

 

5. Проверяю, Tools - Ping: Пинг на внешние узлы проходит.

 

6. Bridge - Bridge: Создаю бриджа bridge1.

 

7. Bridge - Ports: Добавляю в bridge1 все порты (с 1 по 10).

 

8. Или лучше использовать два бриджа, bridge1 для портов с 1 по 5 и bridge2 для портов с 6 по 10?

 

9. Interfaces - VLAN: создаю три VLAN, vlan10, vlan11, vlan12. Интерфейс во всех случаях bridge1.

 

10. IP - Pool: Создаю адресные пулы для VLAN; 192.168.10.0/24 для vlan10, 192.168.11.0/24 для vlan11, 192.168.12.0/24 для vlan12.

 

11. IP - Addresses: создаю vlan-интерфейсы, 192.168.10.250/24 для vlan10, 192.168.11.250/24 для vlan11, 192.168.12.250/24 для vlan12.

 

12. Switch - Port: настраиваю VLAN на портах. На портах с 1 по 5 ставлю VLAN Mode: Check и VLAN Header: leave. На портах с 6 по 10 ставлю VLAN Mode: Disabled, VLAN Header: strip, Default VID: 10. Switch 2 CPU настраиваю также, как порты 6-10. Тестовый компьютер подключен в порт 10.

 

13. По идее, если на компьютере прописать адрес из подсети 192.168.10.0/24, то уже должен пинговаться 192.168.10.250. Однако не пингуется. Что сделано не так?

Нужно ли включать опцию Switch All Ports в настройках свитчей? Нужно ли привязывать VLAN к портам (Switch - VLAN)? Я создавал Switch VLAN 10 для switch2, добавляя в него порты с 6 по 10, но ничего не изменилось.

 

14. IP - DHCP Server - DHCP: Настраиваю DHCP-сервера, создаю три сервера в каждом vlan-интерфейсе, назначая соответствующие пулы адресов.

 

15. IP - DHCP Server - Networks: Настраиваю IP-параметры (маска, шлюз, DNS).

 

16. Пробный компьютер IP-адреса по DHCP не получает.

 

Что не так?

Share this post


Link to post
Share on other sites

Применительно к 13. Если сделать только один бридж, добавить в него все порты и все vlan-интерфейсы, тогда пинг на тестовом компьютере проходит. Но IP-адреса по DHCP не назначаются.

Share this post


Link to post
Share on other sites

Микротик умеет удивлять.

Удалил DHCP-сервер с vlan-интерфейса, создал dhcp-сервер на bridge-интерфейсе.

Теперь работает.

Умеют в Латвии чудить.

 

Такой вопрос по фаерволу.

Я правильно понимаю, что цепочка input — это доступ к самому маршрутизатору, а цепочка forward — это транзитный трафик?

 

Допустим, в локальной сети есть WWW-сервер и почтовый сервер.

Мне правила для доступа к нему нужно прописывать в input или в forward?

Фаервол срабатывает после ната или перед ним (какие src и dst нужно использовать)?

Share this post


Link to post
Share on other sites

NAT, роутинг и фильтры - и всё это на 2011 - не боитесь упереться в производительность?

 

Вот неплохой ресурс по микротикам - (http://mikrotik.axiom-pro.ru/articles/articles.php).

И ещё где то на сайте микротика натыкался на схему прохождения пакетов по модулям - стоит ознакомиться.

По фильтрам - если маршрутизация то использовать ip/firewall/filter, а если трафик внутри влана но проходит через микротик то использовать bridge/filters.

По цепочкам - in/out это трафик к/от железки а forward это транзитный. Но, например, в случае dst-nat если пробросить 8080 внешний на 80 внутренний то в цепочке in с внешнего интерфейса дропать трафик на порт 8080 уже нельзя.

PS: Дома мучаю такой же микротик - больше 56мбит торрентом не грузится канал а на zyxel nbg-450(вроде так называется) до 95мбит грузил. Надо признать что меня дома это устраивает вполне - так как по лямке 100м ещё и IPTV приходит то ограничение в железке на интернет трафик не даёт убить IPTV, когда использовал zyxel в качестве роутера а железку от РТ в качестве коммутатора торрент без ограничения скорости укладывал IPTV на лопатки. В микротике загрузка проца интернет трафиком на прохождение трафика через бридж получается не влияет.

Edited by NikAlexAn

Share this post


Link to post
Share on other sites

NAT, роутинг и фильтры - и всё это на 2011 - не боитесь упереться в производительность?

А что там бояться?

На аплинке будет где-то 10 Мбит/с, думаю что такой трафик он легко вытянет.

 

По фильтрам - если маршрутизация то использовать ip/firewall/filter, а если трафик внутри влана но проходит через микротик то использовать bridge/filters.

Я правильно понял, пакеты между 192.168.10.0/24 и 192.168.11.0/24 в любом случае проходят через ip/firewall/filter, но пакеты внутри 192.168.10.0/24 (даже если хосты на разных портах) будут проходить через bridge/filters?

 

По цепочкам - in/out это трафик к/от железки а forward это транзитный.

То есть in/out это трафик, конечной (или начальной) точкой которого является сам маршрутизатор.

А forward это трафик транзитный.

Поэтому на input мне нужно разрешить доступ извне на порт 8291 и из локальной сети на порты 53, 68, 69, всо остальное блокировать.

А на цепочку forward будут навешены основные правила - доступ из локальной сети наружу (нат), доступ извне на опубликованные порты (нат), прохождение трафика между разными vlan-интерфейсами.

Все правильно?

Share this post


Link to post
Share on other sites

А что там бояться?

На аплинке будет где-то 10 Мбит/с, думаю что такой трафик он легко вытянет.

Трафик между вланами ещё приплюсуй.

Смотри PS.

 

Я правильно понял, пакеты между 192.168.10.0/24 и 192.168.11.0/24 в любом случае проходят через ip/firewall/filter ...

это правильно.

 

... но пакеты внутри 192.168.10.0/24 (даже если хосты на разных портах) будут проходить через bridge/filters?

Не "даже если" на разных портах а "если только на разных портах".

 

То есть in/out это трафик, конечной (или начальной) точкой которого является сам маршрутизатор.

А forward это трафик транзитный.

Да

 

Поэтому на input мне нужно разрешить доступ извне на порт 8291 и из локальной сети на порты 53, 68, 69, всо остальное блокировать.

В таком виде Вы заблокируете доступ до управления железкой из локалки.

Ещё есть telnet, ssh и web управление.

Доступ к сервисам можно ограничить в IP/Services поле "available from"

 

А на цепочку forward будут навешены основные правила - доступ из локальной сети наружу (нат), доступ извне на опубликованные порты (нат), прохождение трафика между разными vlan-интерфейсами.

Все правильно?

Правила трансляции - ip/firewall/nat цепочки srcnat и dstnat. Так как у вас несколько внутренних подсеток то правила srcnat надо будет составлять так чтоб трафик между подсетками не натился. Например для пакетов от 192.168.10.0/24 ещё указать и out interface=wan(ну или как он у вас будет называться) или дополнительно указать что dst address не равно 192.168.11.0/24 или списку локальных сеток.

Share this post


Link to post
Share on other sites
4. IP - DNS: Прописываю DNS-сервера провайдера, Allow Remote Requests не включаю.

Включать надо, но ещё добавлять в фаер плавило чтобы фильтровало днс запросы из внешки к мт.

Клиентам в дхцп естессно адрес тика внутренний.

Share this post


Link to post
Share on other sites

Так как у вас несколько внутренних подсеток то правила srcnat надо будет составлять так чтоб трафик между подсетками не натился.

У меня сделано так:

Chain: srcnat

Out Interface: sfp1

Src Address List: net-local (192.168.0.0/16)

Action: masquerade

 

Ничего не упустил?

 

Включать надо, но ещё добавлять в фаер плавило чтобы фильтровало днс запросы из внешки к мт.

Понятно.

Да, теперь внутренний DNS работает.

Снаружи зафильтрован.

Share this post


Link to post
Share on other sites

У меня сделано так:

Chain: srcnat

Out Interface: sfp1

Src Address List: net-local (192.168.0.0/16)

Action: masquerade

Ничего не упустил?

Да я не большой спец по микротикам то :)

Вроде так тоже можно - пробуйте.

Где то находил что рекомендуют не masquerade а srcnat использовать по возможности а у Вас как раз на внешнем интерфейсе статика.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this