Маршрутизация

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Zergvl
Сообщения: 0
Зарегистрирован: 21 ноя 2016, 10:20

add chain=input disabled=yes dst-port=80 protocol=tcp
отключенное правило в файрволе на 10.0.7.1 .. туда же хочешь попасть?

перечитал ..
на 10.0.7.88 по 80 порту?

правило в firewall nat (на микротике 10.0.7.1)
add chain=dstnat action=dst-nat to-adresses=10.0.7.88 protocol=tcp in-interface=ether1 dst-port=80
ну и форвард 80го порта через МТ
add chain=forward dst-port=80 protocol=tcp


"
/ip route
add distance=2 dst-address=10.0.7.0/24 gateway=172.16.100.7
"

да, это маршрут в сеть 10.0.7.0 с указанием внешнего адреса (gate) удалённого MT

P.S. сам не профи .. только учусь


Lipser
Сообщения: 1
Зарегистрирован: 28 мар 2016, 15:19

Включил, не помогло. Не могу зайти на телефонную (SIP) базу, хотя с микротика пингую ее


Zergvl
Сообщения: 0
Зарегистрирован: 21 ноя 2016, 10:20

логика такая . у тебя есть адрес в сети за микротиком . чтобы на это устройство попасть работают правила dst-nat . там ты указываешь адрес и порт устройства .
в файрволе, ты должен открыть этот порт для "прохождения" через роутер. ну и эти правила, в списке, должны быть выше запрещающих .. попробуй перетащить их в самый верх .

например ты сидишь дома, и хочешь по 80 порту попасть в сеть на комп у.у.у.10 .. который за микротиком со внешним адресом х.х.х.1
ты пишешь в браузере: х.х.х.1:80 .. и на микротике срабатывает правило firewall input (tcp 80 accept) и ты попадаешь на вебморду микротика, но надо же на у.у.у.10
тогда на микротике , ты должен сделать форвард любого другого порта.. например 65080 . и создать правило в nat . dst-nat на порт 65080 , транслировать в адрес у.у.у.10 порт 80
тогда, в браузере , по адресу х.х.х.1:65080 ты попадёшь на вебморду компа у.у.у.10
Последний раз редактировалось Zergvl 21 ноя 2016, 10:55, всего редактировалось 2 раза.


Lipser
Сообщения: 1
Зарегистрирован: 28 мар 2016, 15:19

Вот уточню: все что может мне мешать ходить куда либо в другие подсети будет запрещено на микротике удаленной подсети (здесь 10.0.7.1)? Не может так получиться, что правило должно быть прописано на центральном микротике 10.0.1.1, т.к. подсети между собой соединены через него ?


Zergvl
Сообщения: 0
Зарегистрирован: 21 ноя 2016, 10:20

Lipser писал(а):Вот уточню: все что может мне мешать ходить куда либо в другие подсети будет запрещено на микротике удаленной подсети (здесь 10.0.7.1)? Не может так получиться, что правило должно быть прописано на центральном микротике 10.0.1.1, т.к. подсети между собой соединены через него ?


ну, возможно да, должен быть форвард нужного порта, через центральный МТ ..
и, возможно, дст-нат, на микротик в нужной сети.


Zergvl
Сообщения: 0
Зарегистрирован: 21 ноя 2016, 10:20

кстати по маршрутам
..
add distance=2 dst-address=10.0.1.0/24 gateway=172.16.100.1
add distance=2 dst-address=10.0.2.0/24 gateway=172.16.100.2
add distance=2 dst-address=10.0.3.0/24 gateway=172.16.100.3
add distance=2 dst-address=10.0.5.0/24 gateway=172.16.100.5
add distance=2 dst-address=10.0.6.0/24 gateway=172.16.100.6
add distance=2 dst-address=10.0.7.0/24 gateway=172.16.100.7
add distance=2 dst-address=10.0.8.0/24 gateway=172.16.100.8
add distance=2 dst-address=10.0.9.0/24 gateway=172.16.100.9
add distance=2 dst-address=10.0.10.0/24 gateway=172.16.100.10
add distance=2 dst-address=10.0.11.0/24 gateway=172.16.100.11
add distance=2 dst-address=10.0.12.0/24 gateway=172.16.100.12
add distance=2 dst-address=10.0.13.0/24 gateway=172.16.100.13
add distance=2 dst-address=10.0.14.0/24 gateway=172.16.100.14
add distance=2 dst-address=10.0.15.0/24 gateway=172.16.100.15

вот это всё, на не-центральном маршрутизаторе можно заметить одним маршрутом
add distance=3 dst-address=10.0.1.0/20 gateway=172.16.100.1
т.е. приоритет маршрута =3 , адреса из сетей 10.0.1.0-10.0.15.255 шлюз - 172.16.100.1 (центральный)..
получается, что маршрут ко всем "внешним" локалкам знает центральный МТ .. а на нём, уже конкретные маршруты к сетям .
по приоритету - 3 потому, что выше должен быть маршрут к своей сети . с приоритетом 1 или 2 . дабы при запросах внутри сети, внутренний МТ не лез к центральному.


Zergvl
Сообщения: 0
Зарегистрирован: 21 ноя 2016, 10:20

Мост из 10.0.1.1
/interface bridge port
add bridge=bridge_lan interface=ether1
add bridge=bridge_lan interface=ether2
add bridge=bridge_lan interface=ether3
add bridge=bridge_lan interface=ether4
add bridge=bridge_lan interface=ether5
add bridge=bridge_lan interface=ether6
add bridge=bridge_lan interface=ether7
add bridge=bridge_lan interface=ether8
add bridge=bridge_lan interface=ether9
add bridge=bridge_lan interface=ether10

почему интерфейсы объединены в софтовый мост? ..
для уменьшения нагрузки на железо (CPU) рекомендуется включать свитч-чип .. т.е. один интерфейс главный, а остальные цепляются к нему (master port)


Ответить