Объединяем офисы с помощью Mikrotik

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
drpioneer
Сообщения: 142
Зарегистрирован: 30 май 2013, 10:20

Есть три Mikrotik'a. Все они имеют выход в инет. Два из них цепляются клиентами к L2TP серверу, поднятом на третьем. Поверх L2TP подняты EoIP туннели. На каждом Mikrotik'e прокинут мост между внутренним интерфейсом и EoIP (всё, как описано в http://wiki.mikrotik.com/wiki/Russian/% ... E_Mikrotik ). Таким образом все три роутера объединены в сеть. На каждом из роутеров поднят DHCP-сервер, который выдает адреса клиентам в своем диапазоне (первый - 192.168.235.0/24; второй - 192.168.236.0/24; третий - 192.168.237.0/24). Шлюзом в каждом случае выступает тот роутер, к которому подцепился клиент (для первого - 192.168.235.1; для второго - 192.168.236.1; для третьего - 192.168.237.1). На каждом из роутеров развернуты WLAN с одинаковыми настройками (в т.ч. одинаковыми Security Profile). И в принципе меня устраивает как работает эта схема, но есть одна проблема, которая меня напрягает...
Иногда возникает ситуация, когда клиентское устройство, после перемещения из зоны действия WLAN одного роутера в зону действия другого продолжает считать, что оно всё еще работает с первым роутером (т.е. использует IP-адрес и адрес шлюза, выданные предыдущим роутером). В принципе на работоспособность сети это не влияет, но есть понимание, что трафик начинает гоняться не оптимальными путями, а также Firewall Filter Rules начинают работать не так, как было задумано изначально, т.к. на каждом роутере для мобильных клиентов заданы свои правила...
Очень хочется исправить такое положение дел, т.е. после перемещения из зоны действия WLAN одного роутера в зону действия другого, клиентское устройство должно понять, что нужно сменить IP-адрес и адрес шлюза.
Какие варианты на Ваш взгляд возможны?

Заранее спасибо.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

L2 снесите ибо он вам не нужен, а если всё-таки нужен но вы об этом не написали то возьмите листочек и изобразите как вы понимаете процессы которые у вас сейчас происходят, а мы поправим


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
drpioneer
Сообщения: 142
Зарегистрирован: 30 май 2013, 10:20

Попытался изобразить актуальную схему сети: https://yadi.sk/d/DzOJqvTLTjjkV . От L2 отказываться не хочу по политическим соображениям.
Суть проблемы: ноутбук или планшет, работавший с RB2011, после подключения к любому из RB751 иногда продолжает иметь адрес из диапазона 192.168.235.0/24 и шлюзом для него продолжает являться RB2011, что не хорошо. Как можно поправить?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну так в вашей схеме L2 излишне.
вы либо все по L2 стройте, либо все на L3
А то "ни рыба, ни мясо"


Есть интересная задача и бюджет? http://mikrotik.site
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну а вообще если охота иметь такой бардак то на L2 фильтры по ДХЦП воткните (что бы у вас между точками ДХЦП запросы не бегали) и будет вам счастье


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
drpioneer
Сообщения: 142
Зарегистрирован: 30 май 2013, 10:20

Я не являюсь гуру в сетевых делах, поэтому у меня возникли вопросы по Вашим ответам...
1. Под фильтрами по ДХЦП что имеется ввиду? Добавление в Firewall Filter правила, которое дропает все пакеты, что проходят по 67/68 UDP ?
2. Почему такую схему Вы определяете, как бардак?
3. Почему на Ваш взгляд в этой схеме L2 лишнее?

Заранее спасибо.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

1. Ищите по форуму, уже мусолили и не однократно
2, 3. потому что бардак. У вас по сути 3 разных сети и для организации хождения трафика между сетями используется маршрутизация и трафик бегает по L2TP, в тоже время вы сверху запихиваете EoIP который в принципе у вас не работает а только мешает (судя по вашему описанию). Сейчас вы воткнете фильтры и EoIP будет использоваться только для хождения широковещательных пакетов.


Есть интересная задача и бюджет? http://mikrotik.site
wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

drpioneer писал(а):Я не являюсь гуру в сетевых делах, поэтому у меня возникли вопросы по Вашим ответам...
1. Под фильтрами по ДХЦП что имеется ввиду? Добавление в Firewall Filter правила, которое дропает все пакеты, что проходят по 67/68 UDP ?


Заранее спасибо.


Бог тебе в помощь
Решаем проблему раздачи адресов, пусть юзеры адреса получают только от своего DHCP-сервера:

/interface bridge filter add action=drop chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip disabled=no comment="Drop all DHCP requests over EoIP bridge"


Аватара пользователя
drpioneer
Сообщения: 142
Зарегистрирован: 30 май 2013, 10:20

Благодарствую.

Может быть тогда вот так правильнее:
/interface bridge filter add action=drop in-interface=eoip-xxx chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip disabled=no comment="Drop all DHCP requests over EoIP bridge" ???


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Фильтр у меня выглядел так:

Код: Выделить всё

/interface bridge filter add action=drop chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip disabled=no comment="Drop all DHCP requests over EoIP bridge"


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить