Как настроить 2011UiAS-RM

Обсуждение оборудования и его настройки
Ответить
Pablo
Сообщения: 15
Зарегистрирован: 16 дек 2016, 02:28

Имеется следующая сеть:
Свич (простейший, неуправляемый), в который заходит кабель провайдера, из которого идут 2 кабеля в телефонные шлюзы (настройка IP на стороне шлюзов), и 1 кабель в сервер (по сути шлюз), в сервере стоит вторая сетевая карта, которая смотрит в локалку. Раздача интернета, DHCP – посредством Kerio.
На сетевой сервера на входящей прописано 11.11.11.002 (здесь и далее вымышленные цифры, чтобы их определять потом), маска 255.255.255.248, gateway 11.11.11.001, прописаны гугловские днс.
В локалку смотрит сетевая карта с 192.168.0.1, через которую раздается инет и DHCP.
Полученный по DHCP адрес клиента имеет вид 192.168.0.10, маска 255.255.255.0, шлюз по умолчанию 192.168.0.1, днс сервер 192.168.0.1.

Хотел все это дело переделать, избавиться от компа-шлюза.
Оборудование:
Mikrotik RouterBOARD 2011UiAS-RM
Свич HPE 1920-48G

Хотел сделать так:
В 1 порт на Микротике заходит кабель провайдера.
Из 2 порта идет кабель в свич и раздает всем инет по DHCP (статика и аренда)
Из 3 порта идет кабель в один шлюз с адресом 11.11.11.003
Из 4 порта идет кабель в другой шлюз с адресом 11.11.11.004
При этом 002, 003, 004 не надо объединять в единую локальную сеть. На шлюзы можно через Web зайти по прямому IP.
По руководствам в инете пытался такое сделать – но ничего не получилось. Подскажите по шагам как такое сделать (если возможно).
Параметры локалки:
Микротик будет с адресом 192.168.11.1
DHCP раздает 192.168.11.2 - 192.168.11.100
ДНС для локальных компов – Микротик - 192.168.11.1

Пока что вижу только такой вариант:
Купить еще один свич (поновее, неуправляемый). В него заходит кабель от провайдера, из него 1 кабель идет в Микротик и там прописываю данные прова – 11.11.11.002, маска 255.255.255.248, gateway 11.11.11.001, гугловские днс, а на другом порте прописываю локалку 192.168.11.ХХ и раздаю инет на клиенты.
2 кабеля в телефонные шлюзы – соответственно прописывать ничего не надо на шлюзах, все прописано.
И по сути получается то же самое, что и сейчас, только вместо компа-шлюза будет Микротик.

Но хотелось бы реализовать все это посредством самого Микротика.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Несколько сумбурное описание задачи

Я так понял у вас есть некие войп шлюзы которые напрямую подключаются к сервисам на стороне вашего оператора связи и вам их собственно туда и надо выкинуть.

На микротике берете 3 порта, бриджуете их, собственно на брдж вешаете ваш адрес и выпускаете сеть за микротиком через него, ну а войп шлюзы сами по себе заработают


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

И по сути получается то же самое, что и сейчас, только вместо компа-шлюза будет Микротик.
Вот только Микротик не заменит Kerio.. :du_ma_et:


Pablo
Сообщения: 15
Зарегистрирован: 16 дек 2016, 02:28

Есть 1 кабель от провайдера, там сидят 3 разных IP, 2 идут на шлюзы (на самих шлюзах они прописаны), с ними ничего настраивать не надо - им нужен только канал. А 3 IP - статика для интернета в офисе. И не могу все это объединить чтобы все работало. Если сбриджевать и повесить статику от прова на интернет - шлюзы не работают.

Kato писал(а):
И по сути получается то же самое, что и сейчас, только вместо компа-шлюза будет Микротик.
Вот только Микротик не заменит Kerio.. :du_ma_et:

если учесть что Керио только раздает инет через статику и dhcp - то более чем заменит.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Pablo писал(а):Есть 1 кабель от провайдера, там сидят 3 разных IP, 2 идут на шлюзы (на самих шлюзах они прописаны), с ними ничего настраивать не надо - им нужен только канал. А 3 IP - статика для интернета в офисе. И не могу все это объединить чтобы все работало. Если сбриджевать и повесить статику от прова на интернет - шлюзы не работают.

На какие шлюзы Вы ставите статику?

Давайте по-порядку, наша задача на базе портов микротика сделать неуправляемый свитч, который у Вас ранее отдельно стоял, при этом сохранить работоспособность подключения:
1) берём порты 6-7-8 (можете взять любые в принципе), но так как у Вас роутер 2011, то лучше брать с 6 по 10, там они 100мбит, лучше их использовать для провайдера,шлюзов и т.д.,
а гигабитные уже для локальной сети задействовать для скорости.
2) создаём бридж, можно даже назвать его bridge-WAN
3) включаем туда эти порты (6, 7 и 8)
4) провайдера (провод) в 6й порт, Ваши шлюзы в 7 и 8 порты.
ВОТ именно сейчас, без всяких адресов - Вы получили неуправляемый свитч который у Вас был ранее, и сейчас всё должно работать (я про шлюзы, возможно, что шлюзам нужна перезагрузка после подключения кабеля?).

Теперь сам интернет, чтобы его получить теперь сам микротик как роутер должен тоже встать (подключиться в этом неуправляемый бридж),
но делать самому себе порт как то через чур, хотя и можно, Вы можете взять провод, и скажем с порта 9(который вы добавите в неуправляемый бридж)
воткнёте скажем в порт10 и уже на порту (порт 10 для Вас станет внешним) дадите адрес, но зачем терять сразу ещё два порта?????

ПОЭТОМУ делаем правильно!!!! даёте на этот неуправляемый бридж адрес ваш внешний интернетовский (адрес только бриджу, никаким портам адресацию не даёте, ни портам в которые воткнуты шлюзы,никому)
и уже в настройках NATа для локальной сети (в правиле) указываете что будет идти маскарадинг от (и выбираете исходящий интерфейс не порт, а bridge-WAN).
ВСЁ!

И чтобы убедить Вас, что такое решение работает, часто я так подключаю друзьям IPTV от ростелекома, то есть тупо приставки, которым нужен внешнее подключение,
тоже всё также, создаём бридж, и там они в своей "кухне" варятся.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Pablo
Сообщения: 15
Зарегистрирован: 16 дек 2016, 02:28

Обязательно попробую такую схему как буду около устройства и прогоню всех юзверей домой.

Как попробую - отпишусь.


Pablo
Сообщения: 15
Зарегистрирован: 16 дек 2016, 02:28

Bridge-WAN - порты 6,7,8
В 7,8 - шлюзы под телефоны.
Самому бриджу присвоен адрес от провайдера.

LAN - 1 интерфейс, локальная сеть с раздачей DHCP 192.168.111.0/24
адрес самого Микротика 192.168.111.1

Телефоны звонят, интернет есть.

Теперь по правилам Firewall.

Из локалки нужна почта, интернет, sip телефония от Манго, аськи, скайпы, ничего особо не ограничиваю.
Также нужны торренты (редко) на некоторых клиентах, и желательно заблокировать сканеры портов (ибо сканят рабочий IP периодически).
Как правильно и в каком месте прописать проброс портов торрента (пусть будет порт 37954) на машины 192.168.111.11 и 192.168.111.15,
и что прописать для блокировки сканеров портов?
В остальном вроде бы такого списка правил должно хватить под необходимые нужды?

Код: Выделить всё

/ip firewall filter

# INPUT
add chain=input connection-state=invalid action=drop comment="drop invalid connections"
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"

# EXT INPUT - разрешаем удаленное подключение Winbox
add chain=input protocol=tcp dst-port=8291 action=accept in-interface=Bridge-WAN comment="allow remote Winbox"

# Block DNS querry
add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=Bridge-WAN protocol=udp
add action=drop chain=input dst-port=53 in-interface=Bridge-WAN protocol=tcp

# local input
add chain=input src-address=192.168.111.0/24 action=accept in-interface=!Bridge-WAN

# drop all other input
add chain=input action=drop comment="drop everything else"

# OUTPUT
add chain=output action=accept out-interface=Bridge-WAN comment="accept everything to internet"
add chain=output action=accept out-interface=!Bridge-WAN comment="accept everything to non internet"
add chain=output action=accept comment="accept everything"

# FORWARD
add chain=forward connection-state=invalid action=drop comment="drop invalid connections"
add chain=forward connection-state=established action=accept comment="allow already established connections"
add chain=forward connection-state=related action=accept comment="allow related connections"
   
add chain=forward src-address=0.0.0.0/8 action=drop
add chain=forward dst-address=0.0.0.0/8 action=drop
add chain=forward src-address=127.0.0.0/8 action=drop
add chain=forward dst-address=127.0.0.0/8 action=drop
add chain=forward src-address=224.0.0.0/3 action=drop
add chain=forward dst-address=224.0.0.0/3 action=drop

# (1) jumping
add chain=forward protocol=tcp action=jump jump-target=tcp
add chain=forward protocol=udp action=jump jump-target=udp
add chain=forward protocol=icmp action=jump jump-target=icmp

# (3) accept forward from local to internet
add chain=forward action=accept in-interface=!Bridge-WAN out-interface=Bridge-WAN comment="accept from local to internet"

# (4) drop all other forward
add chain=forward action=drop comment="drop everything else"

# (2) deny some types common types
add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP"
add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT"
add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs"
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS"
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice"
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"

add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"

add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="echo reply"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="net unreachable"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="host unreachable"
add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="host unreachable fragmentation required"
add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="allow source quench"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow time exceed"
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow parameter bad"
add chain=icmp action=drop comment="deny all other types"

# (5) drop all other forward
add chain=forward action=drop comment="drop (2) everything else"


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Pablo писал(а):Bridge-WAN - порты 6,7,8
В 7,8 - шлюзы под телефоны.
Самому бриджу присвоен адрес от провайдера.
LAN - 1 интерфейс, локальная сеть с раздачей DHCP 192.168.111.0/24
адрес самого Микротика 192.168.111.1
Телефоны звонят, интернет есть.

Я Вас поздравляю, молодец!
Но всё же вопрос, почему сразу, совет данный vqd не применили?
(Просто его же ответ я для Вас подробно и по полочкам расписал....)

Pablo писал(а):Теперь по правилам Firewall.
Из локалки нужна почта, интернет, sip телефония от Манго, аськи, скайпы, ничего особо не ограничиваю.
Также нужны торренты (редко) на некоторых клиентах, и желательно заблокировать сканеры портов (ибо сканят рабочий IP периодически).
Как правильно и в каком месте прописать проброс портов торрента (пусть будет порт 37954) на машины 192.168.111.11 и 192.168.111.15,

У Вас один входящий внешний порт, а Вы хотите проброс торрента порта сделать сразу на 2 компа, такое вроде нельзя,
то есть берём порт 37954 и пусть прокидывается на адрес 11.11, а порт 37955 на адрес 111.15...микротик должен знать куда что слать.
Прокидывание портов делается в закладке NAT, через DSTNAT

На счёт защиты от сканингов - пока у меня руки не доходят что-то в этом роде тоже сделать....
Ну и в целом в Вашем файрволле очень много лишнего. Не знаю как другие отреагируют, но я не вижу смысла явно закрывать порт или блокировать его,
если его никто не слушает. Поэтому порты 69,135-139,445 и так далее я не фильтрую явно.
У меня кроме пару нужных служебный портов всё запрещено. А резать порты самбы, и других сервисов мне на роутере в целом не надо,
у меня роутер работает и как локальный маршрутизатор, обслуживает сети и там и фтп и самба ...всякое разное нужно.
Ну и главное правило - каждое правило отнимает ресурсы, поэтому старайтесь уложиться в 20-25 правил, и/или делать правила блоками и через JUMP к ними переходить.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить