Приветствую господа. Я тут запутал сам себя, прошу помощи :)
Имеется RB1100Ahx2, имеется аплинк до провайдера, нам с ним приходит несколько адресов одной подсети.
Я объединил порты 6-12 в бридж, воткнул аплинк в 10-й порт, назначил 2 адреса на бридж, оба адреса отвечают, подвергаются фильтрации и NAT, всё норм.
Дальше в порты 6, 7, 8, подключены ещё девайсы типа wi-fi роутеров и например цискороутер, на который лезут vpn-клиенты.
Вот этот цискороутер получает свой адрес, но входящие соединения отфильтровываются микротиком, вопрос: почему?
И как сделать так чтобы трафик до остальных девайсов не фильтровался микротом? Делать не бридж, а master-slave на самих портах? В принципе неплохо иметь подобный граничный фаирвол, но хотелось бы понять и видимо нехватает матчасти.
WAN bridge multiple IP
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ничего не понятно
У вас провайдер выдает белую сеть и вы хотите эту сеть раскидать по устройствам?
У вас провайдер выдает белую сеть и вы хотите эту сеть раскидать по устройствам?
Есть интересная задача и бюджет? http://mikrotik.site
-
DJGlooM
- Сообщения: 73
- Зарегистрирован: 27 ноя 2013, 14:05
vqd писал(а):Ничего не понятно
У вас провайдер выдает белую сеть и вы хотите эту сеть раскидать по устройствам?
Да, провайдер дает на несколько адресов из одного пула, типа 78.107.x.x, два адреса я назначаю на WAN bridge самому микроту, wan bridge у меня это порты с 6 по 12, я рассудил так, что сделав "свитч" бриджем я прокидываю дальше провайдерский аплинк до девайсов которые втыкаю например в 6,7,8 порты.
А ещё у меня включен маскарад для бриджа, может быть в этом дело?
Мне казалось просто этот маскарад будет касаться самих двух адресов которые назначены бриджу. но походу оно маскарадит вообще все что выходит с него :)
Как блин правильно разрулить это?
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Зачем так
Загоняете порты в бридж или свитч, один адрес бриджу или мастер порту, далее в ДХЦП прописываете остальную сеть и шлюзом назначаете шлюз провайдера. Только в фильтрах пропишите что ваш ДХЦП не обрабатывал запросы со стороны линка от провайдера
Никаких НАТ и прочего не надо
Загоняете порты в бридж или свитч, один адрес бриджу или мастер порту, далее в ДХЦП прописываете остальную сеть и шлюзом назначаете шлюз провайдера. Только в фильтрах пропишите что ваш ДХЦП не обрабатывал запросы со стороны линка от провайдера
Никаких НАТ и прочего не надо
Есть интересная задача и бюджет? http://mikrotik.site
-
DJGlooM
- Сообщения: 73
- Зарегистрирован: 27 ноя 2013, 14:05
vqd писал(а):Зачем так
Никаких НАТ и прочего не надо
Просто помимо всего сам микрот является шлюзом для серой подсети, поэтому маскарад таки нужен. И чтобы не указывать все возможные адреса серой подсети я пишу маскарад на исходящий интерфейс, то есть в данном случае это бридж.
Код: Выделить всё
chain=srcnat action=masquerade out-interface=WAN BRIDGE
Вот так вкратце по интерфейсам:
Код: Выделить всё
# ADDRESS NETWORK INTERFACE
0 ;;; LAN
192.168.50.5/24 192.168.50.0 ether1
1 ;;; WAN
78.107.X.X/28 78.107.X.0 WAN BRIDGE
2 78.107.X.X/28 78.107.X.0 WAN BRIDGE -
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
DJGlooM
- Сообщения: 73
- Зарегистрирован: 27 ноя 2013, 14:05
Конфиг интерфейсов? Вы если чего меня ругайте, а то я чайник и больше к винбоксу привыкший :)
# NAME TYPE MTU L2MTU MAX-L2MTU
0 R ;;; LAN
ether1 ether 1500 1598 9498
1 ether2 ether 1500 1598 9498
2 ether3 ether 1500 1598 9498
3 ether4 ether 1500 1598 9498
4 ether5 ether 1500 1598 9498
5 RS ;;; WAN BRIDGE
ether6 ether 1500 1598 9498
6 RS ;;; morozilka
ether7 ether 1500 1598 9498
7 RS ;;; Wi-fi secretary
ether8 ether 1500 1598 9498
8 RS ;;; W-fi dining room
ether9 ether 1500 1598 9498
9 RS ;;; UPLINK
ether10 ether 1500 1598 9498
10 X ether11 ether 1500 1600 9500
11 X ether12 ether 1500 1600 9116
12 X ether13 ether 1500 1600 9116
13 DR <l2tp-sstar> l2tp-in 1400
14 DR <l2tp-vpn-88> l2tp-in 1400
15 R WAN BRIDGE bridge 1500 1598
16 R dopof l2tp-in 1400
17 R shlang l2tp-in 1400
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
DJGlooM
- Сообщения: 73
- Зарегистрирован: 27 ноя 2013, 14:05
vqd писал(а):ВЕСЬ конфиг
/export compact
Спасибо :)
Отбросил ненужную нижнюю часть ну и подправил немного для паблика:
Код: Выделить всё
# jan/29/2014 18:58:56 by RouterOS 6.6
# software id = YM1H-X374
#
/interface bridge
add l2mtu=1598 name="WAN BRIDGE" protocol-mode=rstp
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp comment=LAN
set [ find default-name=ether6 ] comment="WAN BRIDGE"
set [ find default-name=ether7 ] comment=morozilka
set [ find default-name=ether8 ] comment="Wi-fi secretary"
set [ find default-name=ether9 ] comment="Wi-fi dining room"
set [ find default-name=ether10 ] comment=UPLINK
set [ find default-name=ether11 ] disabled=yes
set [ find default-name=ether12 ] disabled=yes
set [ find default-name=ether13 ] disabled=yes
/interface l2tp-server
add name=dopof user=dopof
add name=shlang user=vpuser
/ip neighbor discovery
set ether1 comment=LAN
set ether6 comment="WAN BRIDGE)"
set ether7 comment=morozilka
set ether8 comment="Wi-fi secretary"
set ether9 comment="W-fi dining room"
set ether10 comment=UPLINK
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=RouterOS
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] pfs-group=none
add enc-algorithms=aes-128 lifetime=0s name=aes128-prop pfs-group=none
/ip pool
add name=vpn-pool ranges=192.168.50.121-192.168.50.139
add name=sstar ranges=192.168.50.10-192.168.50.11
/port
set 0 name=serial0
set 1 name=serial1
/ppp profile
set 0 use-compression=yes use-encryption=required
add change-tcp-mss=yes local-address=192.168.99.1 name=shlang only-one=yes \
remote-address=192.168.99.2 use-compression=yes use-encryption=required \
use-mpls=yes use-vj-compression=yes
add change-tcp-mss=yes local-address=192.168.50.5 name=vpn-clients only-one=\
no remote-address=vpn-pool use-compression=yes use-encryption=required \
use-mpls=yes use-vj-compression=yes
set 3 only-one=no use-compression=yes use-encryption=required use-mpls=yes \
use-vj-compression=yes
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
/interface bridge port
add bridge="WAN BRIDGE" interface=ether8
add bridge="WAN BRIDGE" interface=ether9
add bridge="WAN BRIDGE" interface=ether10
add bridge="WAN BRIDGE" interface=ether7
add bridge="WAN BRIDGE" interface=ether6
/interface bridge settings
set use-ip-firewall=yes
/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=vpn-clients enabled=yes \
max-mru=1400 max-mtu=1400
/interface pptp-server server
set default-profile=default
/ip address
add address=192.168.50.5/24 comment=LAN interface=ether1 network=192.168.50.0
add address=78.107.X.4/28 interface="WAN BRIDGE" network=78.107.X.0
add address=78.107.X.3/28 comment=WAN interface="WAN BRIDGE" network=\
78.107.X.0
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall connection tracking
set enabled=yes
/ip firewall filter
add chain=input comment="ALLOW ICMP" protocol=icmp
add chain=forward protocol=icmp
add chain=forward comment="SMTP&POP3 ALLOW" dst-port=25,110 protocol=tcp
add chain=input comment="ALLOW WINBOX" dst-port=8291 protocol=tcp
add chain=forward comment="ALLOW ESTABLISHED" connection-state=established
add chain=input connection-state=established
add chain=forward comment="ALLOW RELATED" connection-state=related
add chain=input connection-state=related
add chain=forward comment="ALLOW WEB" dst-port=80 protocol=tcp
add chain=forward comment="TEMP ALLOW RULE" dst-address=\
78.107.X.5-78.107.X.14
add chain=forward src-address=78.107.X.5-78.107.X.14
add chain=forward comment="ALLOW FORWARDING & INPUT" src-address=\
192.168.50.0/23
add chain=input src-address=192.168.50.0/23
add chain=forward src-address=192.168.52.0/24
add chain=input src-address=192.168.52.0/24
add chain=forward src-address=192.168.99.0/24
add chain=input src-address=192.168.99.0/24
add chain=forward src-address=10.10.10.0/24
add chain=input src-address=10.10.10.0/24
add chain=forward comment=CRYPTOGATE src-address=172.16.90.14
add chain=forward comment=CLNTBNK dst-port=5030 protocol=tcp
add chain=input comment="L2TP INPUT" dst-port=500 protocol=udp
add chain=input dst-port=1701 protocol=udp
add chain=input dst-port=4500 protocol=udp
add chain=input protocol=ipsec-esp
add chain=input protocol=ipsec-ah
add chain=forward comment="L2TP FORWARD" dst-port=500 protocol=udp
add chain=forward dst-port=1701 protocol=udp
add chain=forward dst-port=4500 protocol=udp
add chain=forward protocol=ipsec-esp
add chain=forward protocol=ipsec-ah
add chain=forward comment="PPTP ALLOW" dst-port=1723 protocol=tcp
add chain=forward protocol=gre
add action=drop chain=input comment="DROP INVALID CONNECTIONS" \
connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment="DENY ALL"
add action=drop chain=forward
/ip firewall nat
add action=masquerade chain=srcnat comment="WAN MASQ" out-interface=\
"WAN BRIDGE"
add action=netmap chain=dstnat comment="POP&SMTP NAT" dst-address=78.107.X.4 \
dst-port=25 in-interface="WAN BRIDGE" protocol=tcp to-addresses=\
192.168.50.181 to-ports=25
add action=netmap chain=dstnat dst-address=78.107.X.4 dst-port=110 \
in-interface="WAN BRIDGE" protocol=tcp to-addresses=192.168.50.181 \
to-ports=110
add action=netmap chain=srcnat dst-address=192.168.50.181 dst-port=25,110 \
protocol=tcp to-addresses=192.168.50.5
add action=netmap chain=dstnat comment=CLNTBNK dst-address=78.107.X.3 \
dst-port=5030 in-interface="WAN BRIDGE" protocol=tcp to-addresses=\
192.168.51.215 to-ports=5030
add action=netmap chain=srcnat dst-address=192.168.51.215 dst-port=5030 \
protocol=tcp to-addresses=192.168.50.5
add action=netmap chain=dstnat comment=site.ru dst-address=\
78.107.X.4 dst-port=80 in-interface="WAN BRIDGE" protocol=tcp \
to-addresses=192.168.51.188 to-ports=80
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip ipsec peer
# Unsafe configuration, suggestion to use certificates
add enc-algorithm=aes-128 exchange-mode=aggressive hash-algorithm=sha1 \
nat-traversal=yes secret=X
add exchange-mode=main-l2tp generate-policy=port-override hash-algorithm=sha1 \
nat-traversal=yes secret=X
/ip ipsec policy
add dst-address=10.10.10.0/24 proposal=aes128-prop sa-dst-address=\
192.168.99.2 sa-src-address=192.168.99.1 src-address=192.168.50.0/23 \
tunnel=yes
add dst-address=10.10.10.0/24 proposal=aes128-prop sa-dst-address=\
192.168.99.2 sa-src-address=192.168.99.1 src-address=172.16.90.14/32 \
tunnel=yes
/ip route
add distance=1 gateway=78.107.X.1
add distance=1 dst-address=10.10.10.0/24 gateway=shlang
add distance=1 dst-address=172.16.90.14/32 gateway=192.168.50.8
add distance=1 dst-address=192.168.51.0/24 gateway=192.168.50.3
/ip service
set telnet disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
set
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
ух
Зачем так?
Зачем так?
Код: Выделить всё
add address=78.107.X.4/28 interface="WAN BRIDGE" network=78.107.X.0
add address=78.107.X.3/28 comment=WAN interface="WAN BRIDGE" network=\
78.107.X.0
Есть интересная задача и бюджет? http://mikrotik.site