Не могу настроить IPTV Ростелеком

Обсуждение ПО и его настройки
pavel.tihomirov
Сообщения: 8
Зарегистрирован: 19 сен 2018, 11:26

Здравствуйте, начал настраивать IPTV Ростелеком по ссылке https://habr.com/ru/post/265387/, но приставка так и не показывает. Читал, что нужно изолировать порт от моста, через Master Port, но в новых прошивках не могу найти это. Плюс, при настройке файрвола ошибка (см. фото). Помогите, пожалуйста.

Код: Выделить всё

# may/08/2019 20:54:03 by RouterOS 6.44.3
# software id = ***
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = ***
/interface bridge
add admin-mac=*** auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=russia disabled=no distance=indoors frequency=auto mode=ap-bridge \
    ssid=WLAN_43 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX country=russia disabled=no distance=indoors frequency=\
    auto mode=ap-bridge ssid="WLAN_43 5G" wireless-protocol=802.11
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    password=*** use-peer-dns=yes user=***
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=*** \
    wpa2-pre-shared-key=***
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge filter
add action=drop chain=output out-interface=wlan1 packet-type=multicast
add action=drop chain=output out-interface=wlan2 packet-type=multicast
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge comment=defconf interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
    192.168.88.0
add address=1.0.0.1/30 interface=ether3 network=1.0.0.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
# in/out-interface matcher not possible when interface (ether3) is slave - use master instead (bridge)
add action=accept chain=forward in-interface=ether3 protocol=udp
# in/out-interface matcher not possible when interface (ether3) is slave - use master instead (bridge)
add action=accept chain=forward in-interface=ether3 protocol=igmp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip ssh
set forwarding-enabled=remote
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether3 upstream=yes
add
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) по ссылке (которую Вы дали) я вижу инструкцию как настроить Микротик, ничего по ссылке связанно с Ростелеком не узрел!
2) Да, Мастер порта нету, сейчас всё гибче и это уже давно.

Советы:
1) создаёте 2 бриджа, один бридж, это bridge0-WAN и второй, bridge1-LAN
2) в бридж bridge0-WAN помещаете туда порт1 (куда кабель от ростелекома вставляется),
и скажем порт4 (туда будет подключаться Ваша IPTV приставка).
3) в бридж bridge1-LAN добавляете все остальные порты, кроме выше указанных и уже используемых
в нулевом бридже, то есть в локальный бридж у нас будет порт2, порт3, порт5, и вифи (wlan1 и wlan2).

Вот и всё, разделили микротик, одна часть (в ней бегает внешний трафик и сервисы провайдера в том числе IPTV)
и вторая часть микротика = она локальная, для Вашей домашней сети.
Вот в таком уже ввиде, если выключить приставку IPTV и включить её, на 90% что она уже заработает,
но пока не работает у Вас Интернет.

4) чтобы заработал Интернет, надо зайти в настройки рррое-клиента и там в первой закладке
поменять ему работу (он раньше работал на порту1, а надо чтобы он работал на бридже bridge0-WAN)
После изменения настроек и нажатии кнопки ОК, через 2-15 сек, обычно рррое уже активен.

P.S.
У Вас уже грубо говоря год микротик, а Вы настраиваете микротик с участием пре-заводских настроек,
увы, печально.
Ну и второе, темы про Ростелеком тут есть, я в них описывал то, что Вам я выше описал, жаль,
что Вы их и не нашли, и не захотели даже поискать как правильно порты разрулить.

P.P.S.
Для ТС и для всех:
специально не стал затрагивать тему HW, думаю это оставить либо на потом,
либо для ТС как факультативное.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
pavel.tihomirov
Сообщения: 8
Зарегистрирован: 19 сен 2018, 11:26

Vlad-2 писал(а): 09 май 2019, 17:29 1) по ссылке (которую Вы дали) я вижу инструкцию как настроить Микротик, ничего по ссылке связанно с Ростелеком не узрел!
2) Да, Мастер порта нету, сейчас всё гибче и это уже давно.

Советы:
1) создаёте 2 бриджа, один бридж, это bridge0-WAN и второй, bridge1-LAN
2) в бридж bridge0-WAN помещаете туда порт1 (куда кабель от ростелекома вставляется),
и скажем порт4 (туда будет подключаться Ваша IPTV приставка).
3) в бридж bridge1-LAN добавляете все остальные порты, кроме выше указанных и уже используемых
в нулевом бридже, то есть в локальный бридж у нас будет порт2, порт3, порт5, и вифи (wlan1 и wlan2).

Вот и всё, разделили микротик, одна часть (в ней бегает внешний трафик и сервисы провайдера в том числе IPTV)
и вторая часть микротика = она локальная, для Вашей домашней сети.
Вот в таком уже ввиде, если выключить приставку IPTV и включить её, на 90% что она уже заработает,
но пока не работает у Вас Интернет.

4) чтобы заработал Интернет, надо зайти в настройки рррое-клиента и там в первой закладке
поменять ему работу (он раньше работал на порту1, а надо чтобы он работал на бридже bridge0-WAN)
После изменения настроек и нажатии кнопки ОК, через 2-15 сек, обычно рррое уже активен.

P.S.
У Вас уже грубо говоря год микротик, а Вы настраиваете микротик с участием пре-заводских настроек,
увы, печально.
Ну и второе, темы про Ростелеком тут есть, я в них описывал то, что Вам я выше описал, жаль,
что Вы их и не нашли, и не захотели даже поискать как правильно порты разрулить.

P.P.S.
Для ТС и для всех:
специально не стал затрагивать тему HW, думаю это оставить либо на потом,
либо для ТС как факультативное.
Как Вы и говорили - сделал два бриджа, только у меня приставка не может найти DNS сервер. Возможно, когда я пытался реализовать разные пути настройки, что-то и пошло не так...

Код: Выделить всё

# may/10/2019 21:25:49 by RouterOS 6.44.3
# software id = <***>
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = <***>
/interface bridge
add admin-mac=<***> auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=PC
set [ find default-name=ether3 ] comment=IPTV
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    comment="2.4 GHz" country=russia disabled=no distance=indoors frequency=\
    auto mode=ap-bridge ssid=WLAN_43 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX comment="5 GHz" country=russia disabled=no distance=\
    indoors frequency=auto mode=ap-bridge ssid="WLAN_43 5G" \
    wireless-protocol=802.11
/interface pppoe-client
add add-default-route=yes disabled=no interface=bridge-iptv name=pppoe-out1 \
    password=<***> use-peer-dns=yes user=<***>
/interface wireless nstreme
set wlan1 comment="2.4 GHz"
set wlan2 comment="5 GHz"
/interface wireless manual-tx-power-table
set wlan1 comment="2.4 GHz"
set wlan2 comment="5 GHz"
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=<***> \
    wpa2-pre-shared-key=<***>
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=iptv_pool ranges=192.168.80.10-192.168.80.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
add address-pool=iptv_pool disabled=no interface=bridge-iptv name=iptv_pool
/interface bridge filter
add action=drop chain=output out-interface=wlan1 packet-type=multicast
add action=drop chain=output out-interface=wlan2 packet-type=multicast
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge-iptv interface=ether3
add bridge=bridge-iptv interface=ether1
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.88.1/24 interface=ether2 network=192.168.88.0
add address=1.0.0.1/24 interface=ether1 network=1.0.0.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.80.0/24 dns-server=192.168.80.1 gateway=192.168.80.1 \
    netmask=24
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=1.0.0.1 name=router.lan
/ip firewall filter
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
# in/out-interface matcher not possible when interface (ether1) is slave - use master instead (bridge-iptv)
add action=accept chain=input in-interface=ether1 protocol=igmp
# in/out-interface matcher not possible when interface (ether1) is slave - use master instead (bridge-iptv)
add action=accept chain=forward dst-port=5000 in-interface=ether1 protocol=\
    udp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
/ip ssh
set forwarding-enabled=remote
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/routing igmp-proxy interface
add interface=bridge
add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 3 interface=wlan2
set 4 interface=wlan1
UPD.
Я понял свой косяк, в IP у меня был прописан адрес 1.0.0.1, а в Networks DHCP сервера 192.168.80.1, поставил везде 192.168.80.1 - заработало.

P.S.
Правда, однажды оно тоже заработало, но через несколько дней работать перестало (приставка), а дома меня не было в течение длительного времени. И члены семьи отложили в долгий ящик этот роутер.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Странно, я расписал как надо сделать, а Вы применили мой способ поверх Вашего.
Я даже в шоке, что оно работает.

1) Важное и осовное (ёщё раз):
Мы разделили один порт (убрали его из общего состава) (у Вас порт3 кажется) и сделали его
вместе с портом1. ЭТО на уровне физики почти. ЭТО как удлинитель, то есть порт3 сейчас и постоянно
будет смотреть в сторону провайдера (Ростелекома), никаких DHCP сервера на бридже IPTV
создавать и поднимать не надо, за это Ростелеком может Вас "отругать", и приставке это тоже не понравиться.
У Ростелекома приставка получает адрес сама, услуга IPTV автоматом всё делает, создаёт адрес приставке
(от провайдера) и прочее прочее, включая шлюзы, ДНСы.
Зачем Вы делаете то, чего не было указано с моей стороны?

2) Как подтверждение тому, что в первом пункте мы делаем всё правильно и такая схема рабочая,
могу привести примеры, что и в родном роутере от Ростелекома обычно порт IPTV выделен иным
цветом и в настройках также настраивается что он для IPTV (то есть их роутер работает по такому
же принципу, отделять порт отдельный и делать его в состав не локальной сети клиента, а
принадлежащий провайдеру).
2.1) И ещё, контрольный пример: у многих Длинков и КИнетиков = такая же логика есть в настройках,
можно указать какой порт будет вместе с портом WAN (то есть также создаётся логика,
что указанный порт, например порт3 в Кинетике будет вместе работать с тем же трафиком,
что приходить на порт WAN).
Всё это показывает наглядно, что надо лишь создать отдельный бридж, засунуть туда порты,
и всё.
Давать приставке адресацию от нашего роутера, поднимать сервисы (DHCP) - не надо!

3) Также по Вашему конфигу вижу что Вы ставили IGMP-прокси, да, этот пакет позволяет
обрабатывать и смотреть IPTV без приставки, программно, при этом он очень
сильно нагружает роутер, и его настройка с Ростелекомом не тривиальна и сложна.

NB:
Поэтому отключайте пакет IGMP, потом удаляйте, отключите на бридже IPTV DHCP сервер,
и уберите на нём адрес вообще.
И не совсем понял откуда у Вас IPv6 взялся на роутере ?

P.S.
Ну уже не раз говорю, но как-то мой совет не замечают, очистите роутер, и с нуля, без авто-мастера
настроек = настройке роутер. ВИДЕТЬ слово "defconf" уже у не начинающего = как-то ужасает.
Зачем WPA используете ? Сейчас уже и WPA2 стал не безопасен, а WPA давно не используют,
советую убрать данный вид аутентификации.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
pavel.tihomirov
Сообщения: 8
Зарегистрирован: 19 сен 2018, 11:26

Vlad-2 писал(а): 11 май 2019, 04:38 Странно, я расписал как надо сделать, а Вы применили мой способ поверх Вашего.
Я даже в шоке, что оно работает.
Спасибо, сегодня попробую сбросить все настройки, и без defconf всё настроить.


fortit
Сообщения: 8
Зарегистрирован: 17 авг 2018, 18:39

1
Последний раз редактировалось fortit 05 май 2020, 21:03, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

fortit писал(а): 16 апр 2020, 13:59 Хотел спросить...
По Вашей инструкции,на микротике сделал 2-а бриджа.
1й bridge-iptv для двух приставок Ростелеком. Туда поместил порты 1,2,3
2й bridge-lan для домашней сети.Порты 4,5
Получается при назначение IP адреса локальной сети нужно использовать только bridge-lan и дальнейшие настройки DHCP сервера используя его?
Да, всё верно.

1) создаёте локальный бридж, этому интерфейсу даёте ЛОКАЛЬНЫЙ адрес.
2) и уже в разделе DHCP Server создаёте настройки сервера, и работать будет (надо выбрать)
локальный бридж.
3) ну и конечно в локальный бридж добавить порты 4 и 5, и главное чтобы к ним было что-то подключено.
И всё в целом готово, всё что будет подключено в эти порты, будут относиться к локальной
адресации и локально получать от DHCP сервера адресацию.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
fortit
Сообщения: 8
Зарегистрирован: 17 авг 2018, 18:39

1
Последний раз редактировалось fortit 05 май 2020, 21:03, всего редактировалось 1 раз.


fortit
Сообщения: 8
Зарегистрирован: 17 авг 2018, 18:39

1
Последний раз редактировалось fortit 05 май 2020, 21:03, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

fortit писал(а): 17 апр 2020, 10:32 Vlad-2, а какие нужны будут основные правила firewall при такой конфигурации (с двумя мостами)?
Простите за вопросы.
На бридже bridge0-WAN = нет адреса, и файрвол не нужен ему.
Всё что вошло через порт(ы) одни, выйдет/войдёт в другие порты.
Главное этот бридж в локальную переменную не добавлять и всё. :-)

Для Вас внешний интерфейс = это рррое-out1 (обычно) и на нём адрес (когда внешний, когда как).
Вот защита и строиться от атак на этот/с этого/возле этого интерфейса.
То есть так или иначе надо делать защиту и использовать правила, в которых будет
фигурировать интерфейс рррое-out1.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить