noxcha Posted August 21, 2014 Posted August 21, 2014 (edited) Давненько тут не появлялся, но проблема снова привела меня сюда. Ситуация следующая. Имеем роутер Mikrotik RouterBOARD RB2011UiAS-2HnD-IN, столкнулся с ним впервые. Провайдер дает инет через РРРоE, оборудование стоит на проходной, далее по внутренним сетям приходит к нам, Vlan идущий к нам имеет номер 306. Я настроил роутер в качестве PPPoE клиента, порты LAN и Wlan объединил, все работает без проблем. За роутером стоит управляемый коммутатор Dlink, все работает без сбоев, но хотелось бы изменить схему работы. Сейчас в Mikrotik включено 2 провода, один что приходит ко мне с инетом, он включен в первый порт, который настроен wan портом, а второй патчкорд соединяет порт являющийся LAN портом с коммутатором Dlink, а далее инет идет в локалку. Что я хочу сделать: Провод идущий в wan порт переткнуть в коммутатор dlink прописать vlan, вторым патчкордом соединить один из портов коммутатора и Mikrotik, прописать vlan что б все (PPPoE и LAN) ходило через один порт, но как это сделать совсем непонятно. В инете куча инструкций, но в основном инет приходит в виде static ip. Собственно вопрос, можно ли через один порт при помощи vlan все это замутить? Если можно, то как? Все вопросы относятся именно к Mikrotik, потому как с коммутатором проблем нет, а как настроить Mikrotik и можно ли это сделать мне непонятно, столкнулся впервые. Спасибо. Edited August 21, 2014 by noxcha Вставить ник Quote
Saab95 Posted August 21, 2014 Posted August 21, 2014 Загоняете канал от оператора через коммутатор так же во влане 306 на микротик, на нем создаете влан, на нем PPPoE клиент. Соответственно интернет у вас есть. Далее на этом же порту (сетевом порту) вешаете IP адрес для локальной сети. Все заработает. Вставить ник Quote
noxcha Posted August 22, 2014 Author Posted August 22, 2014 Saab95 Спасибо за совет, принцип мне понятен, микротик вижу впервые, мне бы поподробнее. Коммутатор можно вообще опустить, а вот как на микротике разрулить, не совсем понятно. Как я понимаю создав vlan, я указываю этот интерфейс в качестве wan и при настройке pppoe, говорю ему, смотреть на интерфейс = vlan 306, когда я конфигурирую lan, я создаю еще один vlan, допустим 10 и говорю что lan интерфейс = vlan 10, потом оба vlan вешаю на один порт, так? Вставить ник Quote
Saab95 Posted August 22, 2014 Posted August 22, 2014 Saab95 Спасибо за совет, принцип мне понятен, микротик вижу впервые, мне бы поподробнее. Коммутатор можно вообще опустить, а вот как на микротике разрулить, не совсем понятно. Как я понимаю создав vlan, я указываю этот интерфейс в качестве wan и при настройке pppoe, говорю ему, смотреть на интерфейс = vlan 306, когда я конфигурирую lan, я создаю еще один vlan, допустим 10 и говорю что lan интерфейс = vlan 10, потом оба vlan вешаю на один порт, так? Не нужно вам создавать второй влан, например у вас ether1 сетевой порт, на нем создали влан 306 и повесили на него pppoe-client. Далее прямо на порт ether1 вешаете сетевой адрес и DHCP Server и все остальное при необходимости. Если хотите с коммутатора так же по влану раздать с микротика, то создаете второй влан с любым номером и на него вешаете IP и DHCP. Вставить ник Quote
AKim Posted September 1, 2014 Posted September 1, 2014 Ставьте УКТ-9000К Обязательно в связке с ПКДС-01-04 Вставить ник Quote
noxcha Posted October 3, 2014 Author Posted October 3, 2014 Saab95 Обязательно ли vlan 306 загонять через коммутатор? Это нужно если все соединять одним проводом, но сейчас задача поменялась. В будущем планируется объединение сетей с той организацией которая по vlan 306 отдает мне инет, поэтому у меня такой план. Провод от этой организации приходит на микротик с Vlan 306 внутри, на этот vlan я вешаю PPPoE клиента и у меня появляется инет, далее остается второй провод идущий в коммутатор из lan порта микротика, откуда раздается инет в конторе, где висит DHCP и тд. В будущем, как мне дают еще один vlan, допустим vlan 10, я создаю его на микротике и опять же отдаю в локалку через lan порт и имею доступ к сети второй организации из своей. Так правильно? Вставить ник Quote
Saab95 Posted October 3, 2014 Posted October 3, 2014 Да. Только если оба влана придут через один порт и он 100 мегабит, то эта скорость поделится на оба влана. Вставить ник Quote
noxcha Posted October 3, 2014 Author Posted October 3, 2014 Только если оба влана придут через один порт и он 100 мегабит, то эта скорость поделится на оба влана. Между железяками у меня гигабит, тут проблемы нет. Вот еще один человек советует сделать так: с точки зрения построения сети, то правильно(нужно) пропустить vlan через свой коммутатор, а потом уже его отдавать на mikrotik, таким образом у тебя свобода воли по дальнейшему развитию/модернизации сети, а также если что не так с миктротиком то ты его всегда сможешь его заменить, при этом не ломая всего что может пойти через него, плюс у тебя получается peer с патнером который отдаст тебе транковый порт (не знаю как у тебя а меня очень час), также если нужно будет что то протестировать на канале/vlan/порту это намного проще делать с порта коммутатора, не мучая микротик.Если обьединение сетей будет на L2 уровне и только по vlan без маршрутизации на микротике - то делать только через свич, зачем пускать петли коммутатор - микротик - коммутатор. Те мнения противоположные. Вставить ник Quote
Saab95 Posted October 3, 2014 Posted October 3, 2014 Лучше вообще все на L3 делать, без вланов. Вставить ник Quote
noxcha Posted October 3, 2014 Author Posted October 3, 2014 Нет L3, только L2, поэтому и сидим изобретаем велосипед. Вставить ник Quote
noxcha Posted October 4, 2014 Author Posted October 4, 2014 (edited) Saab95 Подскажи еще, что то не догоняю. В общем я все переделал, теперь у меня все выглядит так: от провайдера vlan 306 приходит на мой коммутатор, оттуда отправляется на микротик в первый порт, на микротике создан vlan 306, на нем висит РРРоЕ клиент, интернет на микротике есть. Далее создан vlan 10, ему присвоен ip локалки, собственно по этому vlan инет попадает в локалку через тот же первый порт, те у меня один кабель между микротиком и коммутатором (это то, о чем я спрашивал изначально при создании темы), тут проблем нет. На микротике поднят PPTP сервер, раньше я спокойно подключался по vpn к микротику, у меня было в firewall всего 2 правила (сейчас они отключены) /ip firewall filter add chain=input comment="VPN" connection-state=new disabled=yes \ dst-port=1723 in-interface=SZT protocol=tcp add chain=input disabled=yes protocol=gre Но после изменения настроек я могу без проблем подключится по vpn к нему изнутри, а снаружи никак. Пришлось пробросить порт 1723 снаружи на внутренний адрес микротика вот таким правилом /ip firewall nat add chain=dstnat comment="Port VPN" dst-port=1723 in-interface=SZT protocol=\ tcp to-addresses=ххх.ххх.ххх.ххх to-ports=1723 После применения последнего правила я могу подключится по vpn без проблем, а правила firewall о которых я говорил выше вообще перестали действовать, работает только правило нат. Вопрос такой, я где то накосячил или же это нормальное явление??? Edited October 4, 2014 by noxcha Вставить ник Quote
noxcha Posted October 4, 2014 Author Posted October 4, 2014 И еще хотел спросить, это что за море запросов и как с этим бороться? С моей стороны, там где не видно ip, 53 порт, понятно что это DNS, но непонятно великое множество запросов. http://forum.nag.ru/forum/uploads/monthly_10_2014/post-41420-092498100%201412460023_thumb.png Вставить ник Quote
Fumo Posted October 4, 2014 Posted October 4, 2014 И еще хотел спросить, это что за море запросов и как с этим бороться? С моей стороны, там где не видно ip, 53 порт, понятно что это DNS, но непонятно великое множество запросов. http://forum.nag.ru/forum/uploads/monthly_10_2014/post-41420-092498100%201412460023_thumb.png /ip firewall filter add chain=input dst-address=X.X.X.X protocol=udp dst-port=53 action=drop Вместо X.X.X.X написать свой внешний (белый) IP, выданый провайдером. Правило в фаирволе вытянуть наверх. Вставить ник Quote
noxcha Posted October 4, 2014 Author Posted October 4, 2014 Вместо X.X.X.X написать свой внешний (белый) IP, выданый провайдером. Правило в фаирволе вытянуть наверх. Спасибо, сделал, посмотрю как будет себя вести. Мне бы понять почему у меня фаер перестал работать относительно порта 1723, сначала перестал пускать, а теперь при пробросе порта пускает, но на фаер не реагирует. Вставить ник Quote
Fumo Posted October 4, 2014 Posted October 4, 2014 почему у меня фаер перестал работать относительно порта 1723, сначала перестал пускать, а теперь при пробросе порта пускает, но на фаер не реагирует. http://netflow.by/blog/item/131-mikrotik-nastroika-firewall Правила NAT применяются первыми, и это нужно помнить при создании правил файервола, так как оригинальные пакеты могли быть модифицированы в NAT. Вставить ник Quote
noxcha Posted October 4, 2014 Author Posted October 4, 2014 Если я проброс порта отключаю, то подключится я совсем не могу, хотя раньше без ната ходил. Думаю какая то мелочь, которую я забыл сделать даёт такой результат, а что забыл сделать не пойму. Вставить ник Quote
Saab95 Posted October 5, 2014 Posted October 5, 2014 Если я проброс порта отключаю, то подключится я совсем не могу, хотя раньше без ната ходил. Думаю какая то мелочь, которую я забыл сделать даёт такой результат, а что забыл сделать не пойму. Посмотрите не создали лишних маршрутов на 0.0.0.0/0 через локалку. Вставить ник Quote
noxcha Posted October 6, 2014 Author Posted October 6, 2014 (edited) Посмотрите не создали лишних маршрутов на 0.0.0.0/0 через локалку. Неа, такой маршрут только один, в интернет. Тут у меня еще возник вопрос. В субботу все сделал через vlan, а именно, по 306 vlan приходит инет, на нем PPPoE и уходит все это дело в локалку по 10 vlan, все работало без проблем. Сегодня решил повесить локалку на физический интерфейс, что успешно и сделал, теперь работает так, по 306 vlan приходит инет, на нем PPPoE и уходит все это дело в локалку через физический интерфейс eth1, куда и приходит vlan ами. Все опять же работает без проблем, за исключением одного НО. У меня на микротике 2 точки, физика и виртуалка, виртуалка работает без проблем, для нее dhcp на микротике, а вот физика не дает получить ip адрес, для нее dhcp это виртуальный сервак в локалке. Те аутенфикация проходит без проблем, а получение ip никак. Если включаю в бридж любой физический lan порт микротика, то все ОК, а вот с wi-fi беда. Что я сделал не так? Edited October 6, 2014 by noxcha Вставить ник Quote
noxcha Posted October 7, 2014 Author Posted October 7, 2014 (edited) По проблеме описанной выше. По проводам подключенным напрямую к микротику, в порт который я присоединил к своему бриджу получает ip от сервака, но ооочень долго, потом работает интернет, пингуется вся локалка, но доступа к сетевым дискам, компьютерам сети и тд нет совсем. Перетыкаю провод в коммутатор за микротиком, все начинает летать и открываться. Edited October 7, 2014 by noxcha Вставить ник Quote
noxcha Posted October 7, 2014 Author Posted October 7, 2014 Забыл написать, до того как я перевел локалку с vlan на физический интерфейс микротика, у меня было сделано vlan ами, так вот порт коммутатора куда был подключен микротик получал тегированный 10 vlan, но не был его участником, сейчас этот порт включен в 10 vlan, соответственно траффик от микротика идет туда нетегированный с физического eth1, на физический порт состоящий в 10 vlan. Может тут что не так? Вставить ник Quote
noxcha Posted October 8, 2014 Author Posted October 8, 2014 Какое из этих правил блокирует доступ к расшаренным ресурсам? http://netflow.by/blog/item/131-mikrotik-nastroika-firewall Вставить ник Quote
noxcha Posted October 8, 2014 Author Posted October 8, 2014 Со всеми вопросами сам разобрался, остался еще один. При сканировании портов из инета я вижу следующее Сканирование... Хост:внешний ip: порт :53 (domain) открыт Хост:внешний ip: порт :1723 (pptp) открыт Хост:внешний ip: порт :2000 (Unknown) открыт Хост:внешний ip: порт :8080 (Unknown) открыт Хост:внешний ip: порт :8291 (Unknown) открыт Однако мною открыт только один порт, 1723, все остальное видно снаружи, причем на порт 8080 (web морда роутера) и 8291 (winbox), подключится снаружи я не могу. Вот скрин правил нат. Вставить ник Quote
noxcha Posted October 9, 2014 Author Posted October 9, 2014 Отключил правило нат для 1723, отключил правила в firewall и.... спокойно подключаюсь по vpn к микротику. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.