Добрый день, Уважаемые форумчане.
Прошу помощи в настройке RB3011UiAS-RM, подсказать какие шаги в какой последовательности необходимо сделать.
Есть контора, 40 человек + по VPN подключаются пару бухов и юзают 1С RemoteApp + 3 человека арендаторы, в сети сетевые коммутаторы HP 1920-48G
Подскажите, в какой последовательности, пошагово, нужно настроить железку, если:
1. Первичную настройку выполнил, eth1 закоментировал как WAN, задал статику (от провайдера), 4 оставшиеся порта объединил под управлением мастер порта (eth2 master-port) в свич.
2. Хочу "отрезать" арендаторов, соответственно на свичах будут настроены port agregation+VLAN (допустим, Vlan10-моя сеть, Vlan20-арендаторы). Исходя из того, что коммутаторы будут соединяться друг с другом транковыми (ну не accessными же))) портами, как это реализовать на Микротике, как корректно настроить Vlan? Возможно ли настроить на Микротике аггрегирование канала (чтобы взять с объединенных портов 2Гбит/сек)? Вообще, целесообразно это на Микротике, объединить порты?
2.1. Если порты возможно объединить, может ли мастер-порт быть включен в такую группу?
3. Как корректно поднять VPN-сервер для указанных нужд (удаленные бухи).
4. Подскажите правила для вывода обеих Vlan в интернет.
Помощь в настройке RB3011UiAS-RM
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
1. Тут вроде вопросов у вас нет.
2. Основная тема по вопросу в целом - http://forummikrotik.ru/viewtopic.php?f=15&t=6572. А касаемо самого принципа, если 3011 у вас пограничный маршрутизатор и для вас и для арендаторов, то в принципе вланы на нем не нужны, вы можете со свича\чей забирать аксеспорты нужных вланов и пихать их в отдельные порты микротика. Главное в этом всем настройка и разграничение сетей и маршрутизации между ними, что вам понадобится даже если вы зачем то решите напихать вланов в свой мироктик, но все это описано в теме которую указал выше, либо по ссылкам данной в этой теме.
3. Самый простой вариант без заморочек, вбиваем в гугле - "mikrotik pptp сервер" и находим тучу манов по настройке pptp vpn. Если у вас планируется подключение именно машин, а не "филлиалов" ввиде других умных железок, то сразу есть два но - 1)Адреса в тунеле для таких клиентов лучше указывать из той же сети, что будет за вашим микротиком, что позволит не мучиться с маршрутизацией со стороны ваших "бухов" 2)На локальном бридже, а в вашем случае на "местер интерфейсе" опцию ARP, в настройках мастер интерфейса, надо выставить в положение proxy-arp.
4. В свете второго пункта, вам сначала надо изучить тему вланов, что бы не задавать вот таких вопросов.
2. Основная тема по вопросу в целом - http://forummikrotik.ru/viewtopic.php?f=15&t=6572. А касаемо самого принципа, если 3011 у вас пограничный маршрутизатор и для вас и для арендаторов, то в принципе вланы на нем не нужны, вы можете со свича\чей забирать аксеспорты нужных вланов и пихать их в отдельные порты микротика. Главное в этом всем настройка и разграничение сетей и маршрутизации между ними, что вам понадобится даже если вы зачем то решите напихать вланов в свой мироктик, но все это описано в теме которую указал выше, либо по ссылкам данной в этой теме.
3. Самый простой вариант без заморочек, вбиваем в гугле - "mikrotik pptp сервер" и находим тучу манов по настройке pptp vpn. Если у вас планируется подключение именно машин, а не "филлиалов" ввиде других умных железок, то сразу есть два но - 1)Адреса в тунеле для таких клиентов лучше указывать из той же сети, что будет за вашим микротиком, что позволит не мучиться с маршрутизацией со стороны ваших "бухов" 2)На локальном бридже, а в вашем случае на "местер интерфейсе" опцию ARP, в настройках мастер интерфейса, надо выставить в положение proxy-arp.
4. В свете второго пункта, вам сначала надо изучить тему вланов, что бы не задавать вот таких вопросов.
-
MadMax
- Сообщения: 5
- Зарегистрирован: 18 окт 2016, 16:34
KARaS'b писал(а):1. Тут вроде вопросов у вас нет.
2. Основная тема по вопросу в целом - http://forummikrotik.ru/viewtopic.php?f=15&t=6572. А касаемо самого принципа, если 3011 у вас пограничный маршрутизатор и для вас и для арендаторов, то в принципе вланы на нем не нужны, вы можете со свича\чей забирать аксеспорты нужных вланов и пихать их в отдельные порты микротика. Главное в этом всем настройка и разграничение сетей и маршрутизации между ними, что вам понадобится даже если вы зачем то решите напихать вланов в свой мироктик, но все это описано в теме которую указал выше, либо по ссылкам данной в этой теме.
3. Самый простой вариант без заморочек, вбиваем в гугле - "mikrotik pptp сервер" и находим тучу манов по настройке pptp vpn. Если у вас планируется подключение именно машин, а не "филлиалов" ввиде других умных железок, то сразу есть два но - 1)Адреса в тунеле для таких клиентов лучше указывать из той же сети, что будет за вашим микротиком, что позволит не мучиться с маршрутизацией со стороны ваших "бухов" 2)На локальном бридже, а в вашем случае на "местер интерфейсе" опцию ARP, в настройках мастер интерфейса, надо выставить в положение proxy-arp.
4. В свете второго пункта, вам сначала надо изучить тему вланов, что бы не задавать вот таких вопросов.
Спасибо за ответ!
3011й будет пограничным роутером и для меня и для арендатора, далее он будет смотреть уже HP 1920й. Если настраивать Vlan, как задать trunk или access? Маршрутизации между вланами не нужна, они должны быть изолированы, единственный вариант, это создать управляющий влан.
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Вы для начала с ссылкой ознакомьтесь поплотней.
Если у вас всего один "арендатор", то тем более смысла нет на микротике с вланами развлекаться. На уровне свичей делаете с ними что хотите, как угодно заворачиваете и рулите вланами, а уже к микротику выпустите нужный влан обычным аксеспортом и из этого порта заберете на микротик, на любой свободный интерфейс, интерфейсу присвоите адрес, DHCP, если нужно и ограничите доступ между сетями, и на этом в принципе все. Все это обсуждается по ссылке которую я дал, вы читайте лучше, а не спрашивайте сразу, тут вам никто готовую конфигурацию, или волшебную инструкцию, как сделать именно вам, не даст, мы тут подсказываем, а всю работу делаете вы. Но если вам хочется быстро, то либо называете цену и быть может кто то откликнется, либо внизу есть банер, там тоже помогают, но тоже за деньги.
Если у вас всего один "арендатор", то тем более смысла нет на микротике с вланами развлекаться. На уровне свичей делаете с ними что хотите, как угодно заворачиваете и рулите вланами, а уже к микротику выпустите нужный влан обычным аксеспортом и из этого порта заберете на микротик, на любой свободный интерфейс, интерфейсу присвоите адрес, DHCP, если нужно и ограничите доступ между сетями, и на этом в принципе все. Все это обсуждается по ссылке которую я дал, вы читайте лучше, а не спрашивайте сразу, тут вам никто готовую конфигурацию, или волшебную инструкцию, как сделать именно вам, не даст, мы тут подсказываем, а всю работу делаете вы. Но если вам хочется быстро, то либо называете цену и быть может кто то откликнется, либо внизу есть банер, там тоже помогают, но тоже за деньги.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
MadMax писал(а): как корректно настроить Vlan? Возможно ли настроить на Микротике аггрегирование канала (чтобы взять с объединенных портов 2Гбит/сек)? Вообще, целесообразно это на Микротике, объединить порты?
Вам дали правильные советы, я лишь их дополню:
1) Вланы на микротике - по первой не просто даются...тут надо их понять просто (на практике конечно)
2) Агрегация: тут лишь я от себя скажу...для меня агрегация имеет место быть и я её делаю на микротике. Она даёт плюсы не только в увеличении пропускной способности,
но я её использую ещё как один уровень прослойки/уровень абстракции при создании связей.
Поясняю: я создаю агрегацию, добавляю в агрегацию физ.порты и всё, а уже на этой агрегации(для примера: интерфейс bonding1-WAN), я поднимаю связи, виланы, линки, туннели, и даже если будет смещение или перестройка конфигурации, не надо много менять, то есть если меня заставят переехать по портам, я это меняю в настройках агрегации, это проще, чем служебные/рабочие виланы, туннели перемещать/менять в настройках и сдвигать каждый с одного порта на другой. Не знаю, донёс ли я смысл, но мне так работать удобнее.
!!! Хочу напомнить, что правильная агрегация всегда делается с двух сторон. !!!
-
MadMax
- Сообщения: 5
- Зарегистрирован: 18 окт 2016, 16:34
Vlad-2 писал(а):MadMax писал(а): как корректно настроить Vlan? Возможно ли настроить на Микротике аггрегирование канала (чтобы взять с объединенных портов 2Гбит/сек)? Вообще, целесообразно это на Микротике, объединить порты?
Вам дали правильные советы, я лишь их дополню:
1) Вланы на микротике - по первой не просто даются...тут надо их понять просто (на практике конечно)
2) Агрегация: тут лишь я от себя скажу...для меня агрегация имеет место быть и я её делаю на микротике. Она даёт плюсы не только в увеличении пропускной способности,
но я её использую ещё как один уровень прослойки/уровень абстракции при создании связей.
Поясняю: я создаю агрегацию, добавляю в агрегацию физ.порты и всё, а уже на этой агрегации(для примера: интерфейс bonding1-WAN), я поднимаю связи, виланы, линки, туннели, и даже если будет смещение или перестройка конфигурации, не надо много менять, то есть если меня заставят переехать по портам, я это меняю в настройках агрегации, это проще, чем служебные/рабочие виланы, туннели перемещать/менять в настройках и сдвигать каждый с одного порта на другой. Не знаю, донёс ли я смысл, но мне так работать удобнее.
!!! Хочу напомнить, что правильная агрегация всегда делается с двух сторон. !!!
Спасибо за комментарий, именно это я и хотел услышать в подтверждение своей, предполагаемой, теории по настройке...Я именно так и хочу сделать: объединить 2 физинтерфейса и на созданной агрегации завести 2-3 влана. Я правильно понял, что для объединения необходимо настраивать bonding? И еще: по поводу типа порта для передачи vlan (trank/access) так никто и не подсказал, есть такой параметр при конфигурировании или нет..
-
gmx
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Про VLAN в базовом варианте написано здесь viewtopic.php?f=15&t=5972#p31529
Что касается trank/access. Хочется ответить очень жестко по этому поводу, но... вы же свою схему сети знаете лучше, если VLAN должен проследовать дальше до следующего коммутатора, то, конечно, trank, а если его нужно отдать потребителям, то, разумеется, access.
Я бы не торопился ни с агрегацией, ни с VLAN. Все можно сделать подсетями и правилами в фаерволле, смежную тему вам посоветовали во втором посте.
Что касается trank/access. Хочется ответить очень жестко по этому поводу, но... вы же свою схему сети знаете лучше, если VLAN должен проследовать дальше до следующего коммутатора, то, конечно, trank, а если его нужно отдать потребителям, то, разумеется, access.
Я бы не торопился ни с агрегацией, ни с VLAN. Все можно сделать подсетями и правилами в фаерволле, смежную тему вам посоветовали во втором посте.
-
MadMax
- Сообщения: 5
- Зарегистрирован: 18 окт 2016, 16:34
gmx писал(а):Про VLAN в базовом варианте написано здесь viewtopic.php?f=15&t=5972#p31529
Что касается trank/access. Хочется ответить очень жестко по этому поводу, но... вы же свою схему сети знаете лучше, если VLAN должен проследовать дальше до следующего коммутатора, то, конечно, trank, а если его нужно отдать потребителям, то, разумеется, access.
Я бы не торопился ни с агрегацией, ни с VLAN. Все можно сделать подсетями и правилами в фаерволле, смежную тему вам посоветовали во втором посте.
Да знаю я что такое Vlan, и знаю отличия trunk от access...Меня другой вопрос интересует: где в микротике выбирается состояние порта, аксес или транк, есть ли вообще это?
-
MadMax
- Сообщения: 5
- Зарегистрирован: 18 окт 2016, 16:34
Все, ребятки, все спасибо...Агрегация работает, vlan настроены, буду пробовать настроить NAT, ну и далее VPN