alibek Опубликовано 26 февраля, 2014 · Жалоба Есть RB2011UAS. Его нужно настроить в качестве основного шлюза в сети предприятия. Интернет приходит по выделенной линии в интерфейс sfp1 (IP-параметры прописываются статически). В порты с 1 по 5 подключены управляемые коммутаторы с тэгированным трафиком, в порты с 6 по 10 подключены компьютеры, wifi отключен. В сети предприятия есть три VLAN: основная сеть (vlan10), IP-камеры системы видеонаблюдения (vlan11), IP-телефония (vlan12). На коммутаторах на портах задан access vlan (соответствующий устройству, которое в этот порт подключено), аплинк в режиме trunk. В порты с 6 по 10 подключены компьютеры пользователей, они должны попадать в vlan10. Подскажите, как бы настроить мне этот маршрутизатор в соответствии с указанными требованиями? 1. Делаю полный сброс с No Default Configuration. 2. IP - Addresses: На интерфейсе sfp1 прописываю IP-адрес, предоставленный провайдером. 3. IP - Routes: Добавляю маршрут на 0.0.0.0 через интерфейс sfp1. 4. IP - DNS: Прописываю DNS-сервера провайдера, Allow Remote Requests не включаю. 5. Проверяю, Tools - Ping: Пинг на внешние узлы проходит. 6. Bridge - Bridge: Создаю бриджа bridge1. 7. Bridge - Ports: Добавляю в bridge1 все порты (с 1 по 10). 8. Или лучше использовать два бриджа, bridge1 для портов с 1 по 5 и bridge2 для портов с 6 по 10? 9. Interfaces - VLAN: создаю три VLAN, vlan10, vlan11, vlan12. Интерфейс во всех случаях bridge1. 10. IP - Pool: Создаю адресные пулы для VLAN; 192.168.10.0/24 для vlan10, 192.168.11.0/24 для vlan11, 192.168.12.0/24 для vlan12. 11. IP - Addresses: создаю vlan-интерфейсы, 192.168.10.250/24 для vlan10, 192.168.11.250/24 для vlan11, 192.168.12.250/24 для vlan12. 12. Switch - Port: настраиваю VLAN на портах. На портах с 1 по 5 ставлю VLAN Mode: Check и VLAN Header: leave. На портах с 6 по 10 ставлю VLAN Mode: Disabled, VLAN Header: strip, Default VID: 10. Switch 2 CPU настраиваю также, как порты 6-10. Тестовый компьютер подключен в порт 10. 13. По идее, если на компьютере прописать адрес из подсети 192.168.10.0/24, то уже должен пинговаться 192.168.10.250. Однако не пингуется. Что сделано не так? Нужно ли включать опцию Switch All Ports в настройках свитчей? Нужно ли привязывать VLAN к портам (Switch - VLAN)? Я создавал Switch VLAN 10 для switch2, добавляя в него порты с 6 по 10, но ничего не изменилось. 14. IP - DHCP Server - DHCP: Настраиваю DHCP-сервера, создаю три сервера в каждом vlan-интерфейсе, назначая соответствующие пулы адресов. 15. IP - DHCP Server - Networks: Настраиваю IP-параметры (маска, шлюз, DNS). 16. Пробный компьютер IP-адреса по DHCP не получает. Что не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 26 февраля, 2014 · Жалоба Применительно к 13. Если сделать только один бридж, добавить в него все порты и все vlan-интерфейсы, тогда пинг на тестовом компьютере проходит. Но IP-адреса по DHCP не назначаются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 26 февраля, 2014 · Жалоба Микротик умеет удивлять. Удалил DHCP-сервер с vlan-интерфейса, создал dhcp-сервер на bridge-интерфейсе. Теперь работает. Умеют в Латвии чудить. Такой вопрос по фаерволу. Я правильно понимаю, что цепочка input — это доступ к самому маршрутизатору, а цепочка forward — это транзитный трафик? Допустим, в локальной сети есть WWW-сервер и почтовый сервер. Мне правила для доступа к нему нужно прописывать в input или в forward? Фаервол срабатывает после ната или перед ним (какие src и dst нужно использовать)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 26 февраля, 2014 (изменено) · Жалоба NAT, роутинг и фильтры - и всё это на 2011 - не боитесь упереться в производительность? Вот неплохой ресурс по микротикам - (http://mikrotik.axiom-pro.ru/articles/articles.php). И ещё где то на сайте микротика натыкался на схему прохождения пакетов по модулям - стоит ознакомиться. По фильтрам - если маршрутизация то использовать ip/firewall/filter, а если трафик внутри влана но проходит через микротик то использовать bridge/filters. По цепочкам - in/out это трафик к/от железки а forward это транзитный. Но, например, в случае dst-nat если пробросить 8080 внешний на 80 внутренний то в цепочке in с внешнего интерфейса дропать трафик на порт 8080 уже нельзя. PS: Дома мучаю такой же микротик - больше 56мбит торрентом не грузится канал а на zyxel nbg-450(вроде так называется) до 95мбит грузил. Надо признать что меня дома это устраивает вполне - так как по лямке 100м ещё и IPTV приходит то ограничение в железке на интернет трафик не даёт убить IPTV, когда использовал zyxel в качестве роутера а железку от РТ в качестве коммутатора торрент без ограничения скорости укладывал IPTV на лопатки. В микротике загрузка проца интернет трафиком на прохождение трафика через бридж получается не влияет. Изменено 26 февраля, 2014 пользователем NikAlexAn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 26 февраля, 2014 · Жалоба NAT, роутинг и фильтры - и всё это на 2011 - не боитесь упереться в производительность? А что там бояться? На аплинке будет где-то 10 Мбит/с, думаю что такой трафик он легко вытянет. По фильтрам - если маршрутизация то использовать ip/firewall/filter, а если трафик внутри влана но проходит через микротик то использовать bridge/filters. Я правильно понял, пакеты между 192.168.10.0/24 и 192.168.11.0/24 в любом случае проходят через ip/firewall/filter, но пакеты внутри 192.168.10.0/24 (даже если хосты на разных портах) будут проходить через bridge/filters? По цепочкам - in/out это трафик к/от железки а forward это транзитный. То есть in/out это трафик, конечной (или начальной) точкой которого является сам маршрутизатор. А forward это трафик транзитный. Поэтому на input мне нужно разрешить доступ извне на порт 8291 и из локальной сети на порты 53, 68, 69, всо остальное блокировать. А на цепочку forward будут навешены основные правила - доступ из локальной сети наружу (нат), доступ извне на опубликованные порты (нат), прохождение трафика между разными vlan-интерфейсами. Все правильно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 26 февраля, 2014 · Жалоба А что там бояться? На аплинке будет где-то 10 Мбит/с, думаю что такой трафик он легко вытянет. Трафик между вланами ещё приплюсуй. Смотри PS. Я правильно понял, пакеты между 192.168.10.0/24 и 192.168.11.0/24 в любом случае проходят через ip/firewall/filter ... это правильно. ... но пакеты внутри 192.168.10.0/24 (даже если хосты на разных портах) будут проходить через bridge/filters? Не "даже если" на разных портах а "если только на разных портах". То есть in/out это трафик, конечной (или начальной) точкой которого является сам маршрутизатор. А forward это трафик транзитный. Да Поэтому на input мне нужно разрешить доступ извне на порт 8291 и из локальной сети на порты 53, 68, 69, всо остальное блокировать. В таком виде Вы заблокируете доступ до управления железкой из локалки. Ещё есть telnet, ssh и web управление. Доступ к сервисам можно ограничить в IP/Services поле "available from" А на цепочку forward будут навешены основные правила - доступ из локальной сети наружу (нат), доступ извне на опубликованные порты (нат), прохождение трафика между разными vlan-интерфейсами. Все правильно? Правила трансляции - ip/firewall/nat цепочки srcnat и dstnat. Так как у вас несколько внутренних подсеток то правила srcnat надо будет составлять так чтоб трафик между подсетками не натился. Например для пакетов от 192.168.10.0/24 ещё указать и out interface=wan(ну или как он у вас будет называться) или дополнительно указать что dst address не равно 192.168.11.0/24 или списку локальных сеток. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 26 февраля, 2014 · Жалоба 4. IP - DNS: Прописываю DNS-сервера провайдера, Allow Remote Requests не включаю. Включать надо, но ещё добавлять в фаер плавило чтобы фильтровало днс запросы из внешки к мт. Клиентам в дхцп естессно адрес тика внутренний. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 26 февраля, 2014 · Жалоба Так как у вас несколько внутренних подсеток то правила srcnat надо будет составлять так чтоб трафик между подсетками не натился. У меня сделано так: Chain: srcnat Out Interface: sfp1 Src Address List: net-local (192.168.0.0/16) Action: masquerade Ничего не упустил? Включать надо, но ещё добавлять в фаер плавило чтобы фильтровало днс запросы из внешки к мт. Понятно. Да, теперь внутренний DNS работает. Снаружи зафильтрован. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 27 февраля, 2014 · Жалоба У меня сделано так: Chain: srcnat Out Interface: sfp1 Src Address List: net-local (192.168.0.0/16) Action: masquerade Ничего не упустил? Да я не большой спец по микротикам то :) Вроде так тоже можно - пробуйте. Где то находил что рекомендуют не masquerade а srcnat использовать по возможности а у Вас как раз на внешнем интерфейсе статика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...