Страница 2 из 3
Re: Mikrotik 951 mesh filters
Добавлено: 29 окт 2013, 10:41
Vlagilen
vqd писал(а):У меня нет под руков ВДС что бы опробовать фильтрацию трафика, в теории работать должно на практике надо смотреть торч.
Если вы вычитали где то что фильтрами фаервола это сделать не возможно, а в бридж добавить нет возможности так чего вы от нас хотите?
Там указано, что в mesh такая функция отсутствует впринципе, в отлии от bridge. Но есть еще фаервол, через который я надеюсь можно отфильтровать, но... инфы на эту тему нет, решил написать сюда, может кто знает. А вы пишите догадки. Я уже не первый день с подобными догадками сижу. Зачем вам wds, не в нем проблема, на нем лишь все начиналось строиться. Можно вместо бриджка использовать mesh.
Re: Mikrotik 951 mesh filters
Добавлено: 29 окт 2013, 10:48
vqd
ладно я пошел. Сидите дальше с вашими догадками
Re: Mikrotik 951 mesh filters
Добавлено: 29 окт 2013, 12:44
podarok66
Читал первый пост 4 раза. Так и не понял я, что там. То ли всё в Mesh, то ли в PPTP и EoIP. Как-то свалено всё в кучу.
Тут ведь как. Если первый вариант, то на всю MESH-сеть лучше один DHCP-сервер, потому как отказы у головной железки минимальны по определению, если она капризничает, либо настроена криво, либо поменять ее на другую (у Вас их несколько, проблем с заменой не будет).
Если второй вариант, то фильтр в бридже, ну Вы это сделали, наверное.
И гадать тут вроде бы нечего. А фильтрацию доступа из одного офиса в другой сделать на адрес-листах, если это необходимо.
А вообще, такие ситуёвины лучше со схемкой, чтобы говорить на одном языке.
Re: Mikrotik 951 mesh filters
Добавлено: 29 окт 2013, 14:52
Vlagilen
podarok66 писал(а):Читал первый пост 4 раза. Так и не понял я, что там. То ли всё в Mesh, то ли в PPTP и EoIP. Как-то свалено всё в кучу.
.
Все в mesh. Между офисами pptp(сервер - клиенты). Поверх pptp, eoip для netbios имен. Так сложилось. Скорее буду пробовать перекидывать все на bridge. Проблема в том что точки не в одном городе и вариант одного dhcp сервера отпадает, у каждого свой шлюз. А так как изначально они были в mesh(зона покрытия по офису и не было необходимости удаленно с чем то связывать), то и пытаюсь найти путь чтобы его оставить, но видимо не судьба.
Re: Mikrotik 951 mesh filters
Добавлено: 29 окт 2013, 15:02
vqd
Точки в разных городах + EoIP + mesh
Re: Mikrotik 951 mesh filters
Добавлено: 29 окт 2013, 15:16
podarok66
Тааааак. Изначально сложившееся, значит. Смотрите, мне видится следующая схема. Не знаю, подойдет ли Вам она.
Первый офис: Основной роутер - DHCP-server 192.168.10.1-192.168.10.100 , с ним два вспомогательных роутера в Mesh без всяких серверов.
Второй офис: Роутер - DHCP-server 192.168.10.101-192.168.10.150 , с основным по РРТР и EoIP
Третий офис: Роутер - DHCP-server 192.168.10.201-192.168.10.254 , с основным по РРТР и EoIP
Всё собрано в один бридж, везде на всех тиках прописано правило (насчет вспомогательных в основном офисе я сомневаюсь, надо проверять):
Код: Выделить всё
/interface bridge filter add action=drop chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip disabled=no comment="Drop all DHCP requests over EoIP bridge"
Локальная сеть 192.168.10.0/24, всё должно работать. Всё, что в Mesh будет получать адреса от основного тика, филиалы от своих.
Что Вам не так?
Re: Mikrotik 951 mesh filters
Добавлено: 29 окт 2013, 15:20
podarok66
vqd писал(а):Точки в разных городах + EoIP + mesh
Просто у ТС талант объяснять всё так, чтобы противник не понял наши планы.
Re: Mikrotik 951 mesh filters
Добавлено: 29 окт 2013, 15:24
vqd
Нет тут проблемам в другом.
В каждой точке своя сеть и свой дхцп, поднимаем ВПН, поднимаем динамическую маршрутизацию и радуемся жизни
Re: Mikrotik 951 mesh filters
Добавлено: 29 окт 2013, 15:37
podarok66
Да, без схемы трудно сообразить, кто точнее схему понял. Партизан, одним словом.
Re: Mikrotik 951 mesh filters
Добавлено: 29 окт 2013, 16:28
Vlagilen
Схему прикрепил.
Локальная сеть 192.168.0.0/20 (на схеме изображено только 3 офиса) Общая маска у всех "/20"
У каждого офиса свой dhcp. Железки которые работают в роли увелечения покрытия, с пустыми настройками, на них прописан толькко Mesh.
В каждом офисе по несколько железок объединенных между собой в Mesh
podarok66 писал(а):Тааааак. Изначально сложившееся, значит. Смотрите, мне видится следующая схема. Не знаю, подойдет ли Вам она.
Первый офис: Основной роутер - DHCP-server 192.168.10.1-192.168.10.100 , с ним два вспомогательных роутера в Mesh без всяких серверов.
Второй офис: Роутер - DHCP-server 192.168.10.101-192.168.10.150 , с основным по РРТР и EoIP
Третий офис: Роутер - DHCP-server 192.168.10.201-192.168.10.254 , с основным по РРТР и EoIP
Всё собрано в один бридж, везде на всех тиках прописано правило (насчет вспомогательных в основном офисе я сомневаюсь, надо проверять):
Код: Выделить всё
/interface bridge filter add action=drop chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip disabled=no comment="Drop all DHCP requests over EoIP bridge"
Локальная сеть 192.168.10.0/24, всё должно работать. Всё, что в Mesh будет получать адреса от основного тика, филиалы от своих.
Что Вам не так?
Вы все равно упоминаете о bridge. Как завязать все на bridge, знаю. Вопрос был в другом. Миксовать bridge и mesh не получается, конфликт и следствие не нормальной работы.(В вики об этом упоминается, хотя рассматривается как вариант).