проблема с мостом из 2 RBLHG5nD

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
TauRus_tj
Сообщения: 0
Зарегистрирован: 08 ноя 2016, 07:30
Откуда: Tajikistan, Khujand
Контактная информация:

gmx писал(а):Пожалуйста, уберите ВСЕ из IP-Firewall-Filters.
Сюда нужно добавлять правила, которые действительно нужны, а не все подряд, что где-то увидели.

B шедулере очень длинный скрипт, он вам нужен???
Ограничения доступа к www, winbox - это тоже так нужно, или это все хвосты???
Графические интерфейсы тоже нужны???

По поводу стороны Б все верно, dhcp клиент можно не включать, все настройте вручную.


про фильтры, я не стал просто их удалять, т.к. ограничивал доступ к ресурсам из локалки, не стал заморачиваться на данный момент, уберу...
в планировщике 2 скрипта, 1 на бэкап, 2 на синхронизацию времени
не знаю с чем это связано, но никак не синхронизируются по NTP микротики с внешними адресами, пришлось скрипт использовать для синхронизации с cloud, как резервный вариант, а альтернативный NTP настроил на свой ноут, оба скрипта начинают работу также при ребуте (2 отдельные задачи)
ограничение доступа к ввв и винбокс тоже нужно, тут микротики пользуются большой популярностью, поэтому лучше ограничить. По мак-у только со стороны провайдера можно зайти... Графические интерфейсы убрал.
вот что получилось:
 
/interface ethernet
set [ find default-name=ether1 ] name=wan
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n channel-width=20/40mhz-Ce \
disabled=no frequency=**** mode=bridge nv2-preshared-key=******** \
nv2-security=enabled ssid=home_secure wireless-protocol=nv2 wps-mode=\
disabled
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=lan-dhcp ranges=192.168.11.100-192.168.11.253
/ip dhcp-server
add add-arp=yes address-pool=lan-dhcp always-broadcast=yes authoritative=yes \
disabled=no interface=wlan1 lease-time=1w name=default
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=default enabled=\
yes
/interface sstp-server server
set enabled=yes
/ip address
add address=**.***.87.250/16 interface=wan network=**.**.87.240
add address=192.168.11.1/24 interface=wlan1 network=192.168.11.0
/ip dhcp-server network
add address=192.168.11.0/24 dns-server=192.168.11.1 gateway=192.168.11.1
/ip dns
set allow-remote-requests=yes servers=**.***.86.9,**.***.80.9
/ip firewall address-list
add address=192.168.11.0/24 list=LAN
/ip firewall filter
add action=accept chain=input comment="Alow VPN port 1723" dst-address=\
**.***.87.250 dst-port=1723 in-interface=wan protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=forward comment="Allow access to internet - VPN" \
in-interface=all-ppp out-interface=wan
add action=accept chain=forward comment=" Allow access to local - VPN" \
connection-state="" in-interface=all-ppp out-interface=bridge-local
add action=accept chain=input comment="Accept WinBox - 8291" dst-port=8291 \
protocol=tcp
add action=accept chain=input comment="Allow Ping" protocol=icmp src-address=\
**.***.87.0/24
add action=drop chain=input comment="Drop Ping from others" protocol=icmp
add action=accept chain=input comment="Accept established connections" \
connection-state=established
add action=accept chain=forward connection-state=established
add action=accept chain=input comment="Accept related connections" \
connection-state=related
add action=accept chain=forward connection-state=related
add action=drop chain=input comment="Drop UDP Flood DNS" in-interface=ether1 \
protocol=udp src-port=53
add action=drop chain=input comment="Drop invalid connections" \
connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="Access to router only from LocalNET" \
src-address=192.168.11.0/24
add action=accept chain=input comment="Allow UDP" protocol=udp
add action=accept chain=forward protocol=udp
add action=accept chain=forward comment=\
"Access to Internet from local network" src-address=192.168.11.0/24
add action=drop chain=input comment="All other drop"
add action=drop chain=forward
/ip firewall nat
add action=masquerade chain=srcnat comment=MASQUERADE out-interface=wan
/ip route
add comment=isp distance=1 gateway=**.***.87.141
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=\
**.***.86.142/32,**.***.87.59/32,192.168.11.100/32,192.168.11.200/32
set api disabled=yes
set winbox address=\
**.***.86.142/32,**.***.87.59/32,192.168.11.100/32,192.168.11.200/32
set api-ssl disabled=yes
/ppp secret
add local-address=192.168.11.1 name=***** password=******** profile=\
default-encryption remote-address=192.168.11.200 service=pptp
/system clock
set time-zone-name=Asia/Dushanbe
/system identity
set name=InternetRouter
/system ntp client
set enabled=yes primary-ntp=**.***.87.59 secondary-ntp=**.***.86.142
/system ntp server
set broadcast=yes broadcast-addresses=**.***.87.250 enabled=yes multicast=yes
/system routerboard settings
set init-delay=0s
/system scheduler
add comment="BACKUP for sending by e-mail" interval=3d name=Backup on-event="{\
\r\
\n:log info \"Starting Backup Script...\";\r\
\n:local sysname [/system identity get name];\r\
\n:local sysver [/system package get system version];\r\
\n:log info \"Flushing DNS cache...\";\r\
\n/ip dns cache flush;\r\
\n:delay 2;\r\
\n:log info \"Deleting last Backups...\";\r\
\n:foreach i in=[/file find] do={:if ([:typeof [:find [/file get \$i name]\
\_\\\r\
\n\"\$sysname-backup-\"]]!=\"nil\") do={/file remove \$i}};\r\
\n:delay 2;\r\
\n:local smtpserv [:resolve \"smtp.yandex.ru\"];\r\
\n:local Eaccount \"*****@********.tj\";\r\
\n:local pass \"********\";\r\
\n:local backupfile (\"\$sysname-backup-\" . \\\r\
\n[:pick [/system clock get date] 7 11] . [:pick [/system \\\r\
\nclock get date] 0 3] . [:pick [/system clock get date] 4 6] . \".backup\
\");\r\
\n:log info \"Creating new Full Backup file...\";\r\
\n/system backup save name=\$backupfile;\r\
\n:delay 2;\r\
\n:log info \"Sending Full Backup file via E-mail...\";\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \
\\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes file=\$backupfile\
\_\\\r\
\nsubject=(\"\$sysname Full Backup (\" . [/system clock get date] . \")\")\
\_\\\r\
\nbody=(\"\$sysname full Backup file see in attachment.\\nRouterOS version\
: \\\r\
\n\$sysver\\nTime and Date stamp: \" . [/system clock get time] . \" \" . \
\\\r\
\n[/system clock get date]);\r\
\n:delay 5;\r\
\n:local exportfile (\"\$sysname-backup-\" . \\\r\
\n[:pick [/system clock get date] 7 11] . [:pick [/system \\\r\
\nclock get date] 0 3] . [:pick [/system clock get date] 4 6] . \".rsc\");\
\r\
\n:log info \"Creating new Setup Script file...\";\r\
\n/export verbose file=\$exportfile;\r\
\n:delay 2;\r\
\n:log info \"Sending Setup Script file via E-mail...\";\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \
\\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes file=\$exportfile\
\_\\\r\
\nsubject=(\"\$sysname Setup Script Backup (\" . [/system clock get date] \
. \\\r\
\n\")\") body=(\"\$sysname Setup Script file see in attachment.\\nRouterOS\
\_\\\r\
\nversion: \$sysver\\nTime and Date stamp: \" . [/system clock get time] .\
\_\" \\\r\
\n\" . [/system clock get date]);\r\
\n:delay 5;\r\
\n:log info \"All System Backups emailed successfully.\\nBackuping complet\
ed.\";\r\
\n}" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-time=startup
add comment="UPDATE time from Cloud every 2 hours" interval=2h name=\
"TIME UPDATE" on-event="{\r\
\n:log info \"Starting TIME UPDATE Script...\";\r\
\n/system ntp client set enable=no;\r\
\n:delay 5;\r\
\n:log info \"Updating time from cloud...\";\r\
\n/ip cloud force-update;\r\
\n:delay 20;\r\
\n/system ntp client set enable=yes;\r\
\n:log info \"Time updated.\";\r\
\n:delay 3;\r\
\nsystem ntp client set enable=no;\r\
\n:delay 3\r\
\nsystem ntp client set enable=yes\r\
\n}" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-time=startup
add comment="BACKUP after REBOOT" name="Backup (reboot)" on-event="{\r\
\n:delay 60;\r\
\n:log info \"Starting Backup Script...\";\r\
\n:local sysname [/system identity get name];\r\
\n:local sysver [/system package get system version];\r\
\n:log info \"Flushing DNS cache...\";\r\
\n/ip dns cache flush;\r\
\n:delay 2;\r\
\n:log info \"Deleting last Backups...\";\r\
\n:foreach i in=[/file find] do={:if ([:typeof [:find [/file get \$i name]\
\_\\\r\
\n\"\$sysname-backup-\"]]!=\"nil\") do={/file remove \$i}};\r\
\n:delay 2;\r\
\n:local smtpserv [:resolve \"smtp.yandex.ru\"];\r\
\n:local Eaccount \"*****@********\";\r\
\n:local pass \"********\";\r\
\n:local backupfile (\"\$sysname-backup-\" . \\\r\
\n[:pick [/system clock get date] 7 11] . [:pick [/system \\\r\
\nclock get date] 0 3] . [:pick [/system clock get date] 4 6] . \".backup\
\");\r\
\n:log info \"Creating new Full Backup file...\";\r\
\n/system backup save name=\$backupfile;\r\
\n:delay 2;\r\
\n:log info \"Sending Full Backup file via E-mail...\";\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \
\\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes file=\$backupfile\
\_\\\r\
\nsubject=(\"\$sysname Full Backup (\" . [/system clock get date] . \")\")\
\_\\\r\
\nbody=(\"\$sysname full Backup file see in attachment.\\nRouterOS version\
: \\\r\
\n\$sysver\\nTime and Date stamp: \" . [/system clock get time] . \" \" . \
\\\r\
\n[/system clock get date]);\r\
\n:delay 5;\r\
\n:local exportfile (\"\$sysname-backup-\" . \\\r\
\n[:pick [/system clock get date] 7 11] . [:pick [/system \\\r\
\nclock get date] 0 3] . [:pick [/system clock get date] 4 6] . \".rsc\");\
\r\
\n:log info \"Creating new Setup Script file...\";\r\
\n/export verbose file=\$exportfile;\r\
\n:delay 2;\r\
\n:log info \"Sending Setup Script file via E-mail...\";\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \
\\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes file=\$exportfile\
\_\\\r\
\nsubject=(\"\$sysname Setup Script Backup (\" . [/system clock get date] \
. \\\r\
\n\")\") body=(\"\$sysname Setup Script file see in attachment.\\nRouterOS\
\_\\\r\
\nversion: \$sysver\\nTime and Date stamp: \" . [/system clock get time] .\
\_\" \\\r\
\n\" . [/system clock get date]);\r\
\n:delay 5;\r\
\n:log info \"All System Backups emailed successfully.\\nBackuping complet\
ed.\";\r\
\n}" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-time=startup
add comment="UPDATE time from Cloud after REBOOT" name="Update (reboot)" \
on-event="{\r\
\n:delay 20;\r\
\n:log info \"Starting TIME UPDATE Script...\";\r\
\n/system ntp client set enable=no;\r\
\n:delay 5;\r\
\n:log info \"Updating time from cloud...\";\r\
\n/ip cloud force-update;\r\
\n:delay 20;\r\
\n/system ntp client set enable=yes;\r\
\n:log info \"Time updated.\";\r\
\n:delay 3;\r\
\nsystem ntp client set enable=no;\r\
\n:delay 3\r\
\nsystem ntp client set enable=yes\r\
\n}" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-time=startup
/tool romon port
add

Можно шить?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Шейте.
Самое главное две строчки: настройки IP адреса и настройки WiFi, все остальное можно будет потом настроить/поменять.


TauRus_tj
Сообщения: 0
Зарегистрирован: 08 ноя 2016, 07:30
Откуда: Tajikistan, Khujand
Контактная информация:

gmx писал(а):Шейте.
Самое главное две строчки: настройки IP адреса и настройки WiFi, все остальное можно будет потом настроить/поменять.

Ok, спасибо, о результате сообщу позже, насчет левых пакетов


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да пакеты-то никуда не денутся. И теперь проще заблокировать будет.


TauRus_tj
Сообщения: 0
Зарегистрирован: 08 ноя 2016, 07:30
Откуда: Tajikistan, Khujand
Контактная информация:

gmx писал(а):Да пакеты-то никуда не денутся. И теперь проще заблокировать будет.

При исполнения всего вышесказанного столкнулся с проблемой,
никак не получается законфигурировать сторону Б, чтобы она в сквозную дала коннект с ether1 к стороне А, голова уже взрывается, никак не догоню как это сделать, не могли бы помочь?
В данный момент настроил каскадом, но это вообще неудобно(т.е. сторона А является шлюзом - 192.168.11.1 - для стороны Б, сторона Б в свою очередь является шлюзом - 192.168.12.1 - для остальных подключенных к ether1)... Заранее спасибо.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Строну Б никак не надо настраивать.


Просто бридж между WLAN и LAN, ну и IP адрес, можно бриджу назначить.

Все!!!!


Тоже самое нужно сделать и с TP-Link. У него может быть режим точки доступа, но если его нет, то втыкайте кабель не порт WAN, а в любой LAN порт. Все!


DHCP на микротике А, он же шлюз всем устройствам в сети, он же DNS сервер.

В итоге, вы видите все устройства сети и все микротики с обычного компа в локальной сети. Доступ к ним только из локальной сети. Со стороны инета виден только один микрот (и то все это можно заблокировать).
Микротик А в таблице ARP знает о всех устройствах локальной сети. Торх показывает реальные адреса клиентов и так далее...


Профит!


TauRus_tj
Сообщения: 0
Зарегистрирован: 08 ноя 2016, 07:30
Откуда: Tajikistan, Khujand
Контактная информация:

gmx писал(а):Строну Б никак не надо настраивать.


Просто бридж между WLAN и LAN, ну и IP адрес, можно бриджу назначить.

Все!!!!


Тоже самое нужно сделать и с TP-Link. У него может быть режим точки доступа, но если его нет, то втыкайте кабель не порт WAN, а в любой LAN порт. Все!


DHCP на микротике А, он же шлюз всем устройствам в сети, он же DNS сервер.

В итоге, вы видите все устройства сети и все микротики с обычного компа в локальной сети. Доступ к ним только из локальной сети. Со стороны инета виден только один микрот (и то все это заблокировать).
Микротик А в таблице ARP знает о всех устройствах локальной сети. Торх показывает реальные адреса клиентов и так далее...


Профит!

на стороне Б была такая настройка, я его и не трогал, ничего не заработало, сейчас буду пытаться еще раз, сделаю полный ресет... Спасибо.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да, кстати.
По поводу IP-TV без мультикаста.

Даже есть у вас там такого нету, то есть, например, Katrina TV. Работает по всему миру. Мультикаст не требуется.
Ну и такого плана полно услуг в сети.


TauRus_tj
Сообщения: 0
Зарегистрирован: 08 ноя 2016, 07:30
Откуда: Tajikistan, Khujand
Контактная информация:

gmx писал(а):Да, кстати.
По поводу IP-TV без мультикаста.

Даже есть у вас там такого нету, то есть, например, Katrina TV. Работает по всему миру. Мультикаст не требуется.
Ну и такого плана полно услуг в сети.

IP TV раздает провайдер, наш, tv.ttl.tj

По поводу стороны Б, странно, сделал полный ресет, настроил wlan1, bridge1 - и все заработало) спасибо.
Я кажется понимаю, где косяк был, я пытался завязать шлюз к стороне Б, а он ругался что я на бридж привязываю, не понятно почему... Огромное спасибо.


TauRus_tj
Сообщения: 0
Зарегистрирован: 08 ноя 2016, 07:30
Откуда: Tajikistan, Khujand
Контактная информация:

gmx писал(а):Со стороны инета виден только один микрот (и то все это можно заблокировать).
!

Мне нужен был доступ с инета на оба микротика, поэтому на стороне Б поменял порт на "8292" и сделал проброску на стороне А, теперь с нета можно управлять обоими.


Ответить