Есть RB3011UiAS. RouteOS 6.38.3
ethernet1 -WAN (PPoE)
ethernet3 - сеть 192.168.1.0/24, DHSP, DNS
1. Есть удаленная сеть 192.168.50.0/24, к ней идет подключение через шлюз с адресом 192.168.100.1
Сейчас на компьютерах (Windows), которым нужен доступ к удаленной сети, добавлен адрес из диапазона 192.168.100.0/24 и прописан статический маршрут
route add 192.168.50.2 mask 255.255.255.255 192.168.100.1
Как это можно реализовать посредством Mikrotik. Для подключения шлюза выделен ethernet5, которому присвоен адрес 192.168.100.2
2. В локальной сети есть прокси сервер (192.168.1.100 порт 3128), через который идет подключение к ресурсам других удаленных сетей (172.х.х.х, 10.х.х.х).
Сейчас обращение идет настройкой прокси в браузере. Что не очень удобно.
Как это можно реализовать посредством Mikrotik
Несколько вопросов по настройке
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
1) нужно прописать этот маршрут на микротике а на всех машинах его удалить, указав в качестве шлюза = адрес RB3011.
Только я не понял Ваш маршрут. У Вас маршрут до одного единственного адреса 192.168.50.2 через 192.168.100.1... На 192.168.50.2 настроен NAT?
Только я не понял Ваш маршрут. У Вас маршрут до одного единственного адреса 192.168.50.2 через 192.168.100.1... На 192.168.50.2 настроен NAT?
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
MikeDlg
- Сообщения: 0
- Зарегистрирован: 09 мар 2017, 12:55
Dragon_Knight писал(а):1) нужно прописать этот маршрут на микротике а на всех машинах его удалить, указав в качестве шлюза = адрес RB3011.
Только я не понял Ваш маршрут. У Вас маршрут до одного единственного адреса 192.168.50.2 через 192.168.100.1... На 192.168.50.2 настроен NAT?
Нет, один адрес указан для примера....
Вообще сейчас там порядка 5 адресов и на каждый пишу маршрут...
Маршрут прописать в ip-route?
Dst.Adress - 192.168.50.0/24
Gateway ethernet5
Все?
Да PPoE создал ко всем интерфейсам динамические маршруты - так и должно быть?
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
MikeDlg писал(а):Нет, один адрес указан для примера....
Вообще сейчас там порядка 5 адресов и на каждый пишу маршрут...
Зачем так делать? Опишите сразу сеть всю, зачем каждый отдельный адрес описывать?
MikeDlg писал(а):Маршрут прописать в ip-route?
Dst.Adress - 192.168.50.0/24
Gateway ethernet5
Все?
Если Вы делаете маршрутизацию, и описываете IP-адресацию, то и шлюз должен задаваться IP адресом, а не портом.
MikeDlg писал(а):Да PPoE создал ко всем интерфейсам динамические маршруты - так и должно быть?
А эта фраза меня напугала и реально...что за динамические маршруты?
Надеюсь у Вас Файрволл настроен на роутере?
-
MikeDlg
- Сообщения: 0
- Зарегистрирован: 09 мар 2017, 12:55
Vlad-2 писал(а):MikeDlg писал(а):Нет, один адрес указан для примера....
Вообще сейчас там порядка 5 адресов и на каждый пишу маршрут...
Зачем так делать? Опишите сразу сеть всю, зачем каждый отдельный адрес описывать?
Немного не понял, это по построению маршрута, или по тому что я привел один адрес в примере?
Vlad-2 писал(а):MikeDlg писал(а):Маршрут прописать в ip-route?
Dst.Adress - 192.168.50.0/24
Gateway ethernet5
Все?
Если Вы делаете маршрутизацию, и описываете IP-адресацию, то и шлюз должен задаваться IP адресом, а не портом.
Т.е. в Gateway пишу ip назначенный порту? - 192.168.100.2
Vlad-2 писал(а):MikeDlg писал(а):Да PPoE создал ко всем интерфейсам динамические маршруты - так и должно быть?
А эта фраза меня напугала и реально...что за динамические маршруты?
Надеюсь у Вас Файрволл настроен на роутере?
Роутер в данный момент подключен только к локальной сети. Настройки файрвола брал в одной из тем здесь на форуме.
В ip-route, первая закладка, после того как настроил PPoE (стоит флаг - Add Defoult Route) - появились маршруты по всем настроенным интерфейсам.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
MikeDlg писал(а):Немного не понял, это по построению маршрута, или по тому что я привел один адрес в примере?
Вы сказали что описываете каждый адрес, если у Вас есть IP-сеть, куда надо попадать,
зачем описывать каждый адрес, когда можно всю сеть с учётом её маски задать?
MikeDlg писал(а):Т.е. в Gateway пишу ip назначенный порту? - 192.168.100.2
Пишем IP адрес шлюза(удалённого для Вас шлюза), который знает о той сети, в которую Вы хотим попасть.
MikeDlg писал(а):Роутер в данный момент подключен только к локальной сети. Настройки файрвола брал в одной из тем здесь на форуме.
В ip-route, первая закладка, после того как настроил PPoE (стоит флаг - Add Defoult Route) - появились маршруты по всем настроенным интерфейсам.
Как понять ко всем интерфейсам? Да, там есть маршруты (все нужные), но если Вы РРРоЕ отключите (временно) то у Вас маршрут с РРРоЕ и пропадёт,
то есть не правильно говорить что при поднятии РРРоЕ создались маршруты ко всем интерфейсам.
Совет:
поищите темы тут (на форуме) как объединить 2 сети, нарисуйте схему от руки себе,но с учётом Ваших портов,адресации,
подключений и понимания, и уже соберите её на практике. В целом если есть две простые сети (два офиса,
два этажа, два кабинета, два отдела) то на уровне маршрутизаторов это решается за 5-10 минут.
-
MikeDlg
- Сообщения: 0
- Зарегистрирован: 09 мар 2017, 12:55
Vlad-2 писал(а):Вы сказали что описываете каждый адрес, если у Вас есть IP-сеть, куда надо попадать,
зачем описывать каждый адрес, когда можно всю сеть с учётом её маски задать?
Это сложилось так, вначале требовался один адрес с одного компьютера, потом начали добавляться еще адреса.... Потом потребовалось иметь доступ с нескольких компьютеров...
Есть еще одна сложность - сеть рабочая - я ее надолго переключать для проверки не могу... Хотелось настроить основные моменты - а там уж запустить в работу
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
MikeDlg писал(а):Есть еще одна сложность - сеть рабочая - я ее надолго переключать для проверки не могу... Хотелось настроить основные моменты - а там уж запустить в работу
Увы, мало что я понял под словом "переключать".
В любом случаи, обычно это делают вечером, делают настройки, проверяют и всё. Переключать не надо вовсе. Надо сделать один раз и правильно.
-
MikeDlg
- Сообщения: 0
- Зарегистрирован: 09 мар 2017, 12:55
Vlad-2 писал(а):MikeDlg писал(а):Есть еще одна сложность - сеть рабочая - я ее надолго переключать для проверки не могу... Хотелось настроить основные моменты - а там уж запустить в работу
Увы, мало что я понял под словом "переключать".
В любом случаи, обычно это делают вечером, делают настройки, проверяют и всё. Переключать не надо вовсе. Надо сделать один раз и правильно.
Вы правильно поняли, но вечером невозможно проверить все подключения (бухгалтерия да и другие не станут сидеть, а у них есть свои особенности)...
Вот и получается - включил - что-то проверил - работает хорошо, если где-то пойдет не так, приходится возвращаться на старый маршрутизатор (SOHO - d-link dir)...
-
MikeDlg
- Сообщения: 0
- Зарегистрирован: 09 мар 2017, 12:55
Первый вопрос решен, спасибо за ответы.
По маршруту через прокси, находящемся внутри сети, возможно сделать маршрут используя web-proxy или это надо делать правилами файрвола?
В статье по блокировке торрентов https://habrahabr.ru/sandbox/65236/ правила написаны так
Сокращения допускаются?
По маршруту через прокси, находящемся внутри сети, возможно сделать маршрут используя web-proxy или это надо делать правилами файрвола?
В статье по блокировке торрентов https://habrahabr.ru/sandbox/65236/ правила написаны так
Код: Выделить всё
/ip firewall filter
add ac=drop ch=forward p2p=a
add ac=drop ch=forward in-int=e2 pr=udp cont=«d1:ad2:id20:» dst-port=1025-65535 packet-s=95-190
add ac=drop ch=forward in-int=e2 pr=tcp cont=«info_hash=» dst-port=2710,80Сокращения допускаются?