Вопросы нуба

[kantor]

а я читаю ........

...стараюсь...

[kantor]

У данного роутера SFP порт работает исключительно в 1гбит

понял, использую его для CRS210-8G-2S+In в необозримом будущем :)

И тут тоже не правильность подхода,
у Вас на РБ2011 1й порт - гигабитный, а у РБ951 - порты 100мбит,
возникает вопрос: зачем занимать гигабитный порт..

пройдет пару лет, и 951-ый сменится на RB951G-2HnD (когда подешевеет:) ). Настройки останутся прежними.

eth2- для доступа в RB2011, через RB951Ui-2nd (на eth3).

Тут я не понял что куда и как

Сейчас такое соединение, я из 951(комп витой в eth2) захожу винбоксом в 2011 на тех настройках, что сейчас. Мне кажется, что "железное" соединение надежнее. И доступ моим телом к 951-му проще, он у меня под столом. 2011 находится на удалении от меня в почти ста метрах. Территория, на которой я пытаюсь построить хотелки около гектара. Сейчас полный бардак. Выделил помещение для серверной. свожу все туда. В разных местах этого гектара здания со своими компами, камерами и беспроводными клиентами. Бывает, начудишь в настройках, и нужно витой подцепиться в роутер. Яж учусь, староват для спорта :)

eth3-...eth10-

..описывать и расписывать не буду.. Вы точно заработаете петли в сети,
данный подход я считаю даже в теоретическом моменте не имеет право к реализации,
сеть надо планировать и делать по определённым стандартам.

Про стандарты не спорю. Я спланировал. как смог. Почему будут петли, и как от этого избавиться?

И по Вашим описаниям тут напрашивается... (VLAN) а) б) в) г) вилан служебный между микротиками (можно и виланом, а можно сделать маленький IP-сегмент, и т.д.), в будущем
между микротиками можно гонять какие то данные, создать туннели, и так далее...но в рамках сети общей (локальной)
они должны быть одинаковы, хотя я не до конца понял задачу второго роутера.
Ну и нативным виланом - сделать локальную сеть. Адресация, правильная маска сети, бридж, DHCP или статика.

Ясно, но ничего не понятно. Особенно про нативный вилан. 951-й стабильно держит YOTA на свистке. Поэтому он. Еще он раздает wifi в помещении, где я нахожусь. Три телефона, четыре компа. На нем будет CAPsMAN.

К сожалению, по тому как Вы составили задачу, без схемы, без IP сетей, как Вы будете делать балансировку - даже и не знаю. ВиФи надо делать в организации правильно и правильно - это повесить по 2-4 точки, создавая на их базе сеть (опять же есть масса тех или иных вариаций)

Планируется связать это: CRS210-8G-2S+In + CRS226-24G-2S+RM(2шт) + CRS125-24G-1S-RM(2шт) + RB2011UiAS-2HND-IN + RB951Ui-2HnD(2шт) + nanostation(4шт), где(RB2011UiAS-2HND-IN + RB951Ui-2HnD) выполняет роль совмещения, распределения и балансировки провайдеров. Сервер ipкамер это оч мощный комп с многотеррабайтным RAID на борту. Архив с камер сбрасывается на файлохранилище (серверное). Камер порядка 80шт. Онлайн удаленно смотреть хочу+охранник. Будет запущен собственный сервак с сайтом и магазином на борту. Офисная файлопомойка отдельная. Юзеров 6 штук без меня, каждый с телефоном. Это все в планах, и пока не до этого. Когда я услышал цифру за настройку всего этого, разделил ее на время, за которое мне пообещали сделать, я понял, что зарабатываю не тем :) Очень негуманно...
Начинаю с малого. Если я пойму, как провов соединить между собой, то соединить оборудование не составит проблем, как мне кажется. Времени на все не хватает, и надо еще толпу кормить на этом гектаре. Сделаю сам часть своей задумки, буду знать, где меня на@бывает "специалист", чтобы не превращаться в соску.

[Vlad-2]

Мда....

1) создавайте опорные "точки" или узлы на своих гектарах, то есть надо сделать пару узлов,
где будут стоять упса, свитч управляемый и туда будет приходить витая пара/оптика.
Задача Ваша создать физику на работе, поэтому создаёте узлы, 2-4 штук таких,
с каждого узла тянете витую пару или оптику до центрального узла (центральный узёл -
чисто условный может быть или какой что вам ближе по душе).
При таком раскладе у Вас сформируется топология сети, не будет петель, все узлы будут сходиться на/в один.

2) по такому же принципу надо делать и логику адресную и логику при подключении, не надо из микротиков
делать свитчи, они(микротики) похожи, но они роутеры, и если брать базисную концепцию, то роутер,
в простейшем понимании - это два порта (вход и выход).
Соответственно - пытаться занять все порты не надо. Также минус при задействовании всех портов, в том,
что между портами разных свитч-группы = трафик будет бегать через процессор микротика. То есть и тут надо
это рассчитать и предусмотреть по нагрузке.
(в этом абзаце я говорил именно о роутерах микротика, свитчи микротиковские = свитчами и остаются).

3) не понял также Вашего объяснения на счёт подключения к РБ2011 через РБ951. Вы с компьютера попадаете
в сеть свою, и не важно куда Вы будете подключаться, на один роутер или на другой, если есть связь = роутер(ы)
будут доступны, и нет разницы через или напрямую подключаться.

На текущий момент Вы создаёте сеть, но Вы её не видите как таковую.
Нарисуйте схему, на схеме сеть Вашу нарисуйте облачком, внутри облачка подпишите сети,
скажем сеть локальная это 192.168.10.0/24, для ВиФИ пусть будет 192.168.20.0/24,
для камер - 192.168.30.0/24. То есть физика(провода) одинаковы,но IP-сегмент и если
ещё сделаете виланы = будут разные.
На счёт виланов = почитайте что это, это очень интересно, и если это правильно понять и ещё и
реализовать, очень гибкая система. За счёт виланов можно подать разный тип трафика и разную
IP-адресацию в разные части сети (если там есть управляемое сетевое оборудование), при том, что
трафик в виланах не пересекается, это и есть большой плюс, что по одноми проводам можно пустить
различный трафик, который порой и смешивать нельзя, что позволяет моментально реализовать различные задачи.
Нативный вилан - это основной вилан или вилан номер1 или попросту нетегированный трафик (обычный трафик
в текущем Вашем представлении).

Просто хочу донести, если не сделать правильно фундаментальные моменты, потом будет хуже или
будет плохо в плане работы сети в целом. Многие проекты и более другие системы работают поверх
или на основе сетевых базисных моментов, поэтому без знаний, логики и создания сети, говорить о
распределении рановато.

P.S.
Не работал с модемами на микротике, а разве на LTE интерфейсе не выдаётся провайдером адрес ?
Если выдаётся, то это условно внешнее подключение, то зачем Вы нарушаете даже принцип безопасности
и LTE интерфейс подключаете в локальный bridge1 ?
Плюс у Вас на бридже свой DHCP сервер, который может мешать модему и самому провайдеру !!?

[kantor]

Мда....1) создавайте опорные "точки" или узлы..
2) по такому же принципу надо делать и логику адресную и логику при подключении

Я понимаю, нужно рисовать, мне листочка не хватило :) Сделаю красивый рисунок, выставлю на рассмотрение.

3) не понял также Вашего объяснения на счёт подключения к РБ2011 через РБ951...

Я знаю, что зайти в настройки можно как угодно в роутер, просто сталкивался с тем, что по воздуху, покопавшись в настройках и перезагрузившись, терял доступ. Поэтому витуха. Я ее смогу выдернуть и напрямую в комп воткнуть. Что 951, что 2011. Ну это больше перестраховка моя, нежели целесообразность. Если произойдет отказ в доступе, то телом придется сходить к роутеру, и сделать ребут. Может Вы и правы, нафиг это нужно... В моей сети все витые пары будут сведены в одно помещение серверной. Естественно, если я не смогу зайти в настройки чего-либо, я пойду в это помещение и оттуда получу доступ. Сеть планируется поставить на общий УПС (это касается только сетевого оборудования). При том, мне не потребуется большая мощность, хотя я ее не считал еще, но не думаю, что не больше 2-3Квт., УПСу поработать 5-10 минут, для запуска резервного генератора. Это уже все есть. Серверы и компы со своими бесперебойниками и своей генераторной сетью по питанию. Это уже все есть.

На текущий момент Вы создаёте сеть, но Вы её не видите как таковую.
Нарисуйте схему, на схеме сеть Вашу нарисуйте облачком, внутри облачка подпишите сети,
скажем сеть локальная это 192.168.10.0/24, для ВиФИ пусть будет 192.168.20.0/24,
для камер - 192.168.30.0/24. То есть физика(провода) одинаковы,но IP-сегмент и если
ещё сделаете виланы = будут разные.

Имеете ввиду, что по одному проводу я смогу пропустить трафик, например, нескольких компов? Но в моем понимании: один провод=1 юзер? Я не могу сказать с уверенностью, сколько Мбайт будет пересылать 1 юзер, ну, естественно, не больше, чем 1Гбит (в локалке, имею ввиду, инет, понятно, дам ровно столько, сколько ему нужно, отрезав все, кроме работы). С локальной сетью понятно, она Гигабитная. С сетью камер тоже очевидно: у свитча должен быть Гигабитный порт и порты на 4 камеры (я уже сегментировал их так, как удобно) потому что для камеры достаточно 100Мв порта. Осталось только подобрать оборудование, что достаточно сложно, т.к. свитчи должны быть управляемые, уметь не только давать РоЕ на каждый порт, но и перезагружать каждый порт (камера может зависнуть). Микротик не дает нужное РоЕ. Решения есть, но дорогое удовольствие. Все равно буду стремиться к этому.
В части, сеть одна, другая, третья, это я понимаю. Так же я понимаю, что смогу каждому юзеру из одной сети разрешить\запретить доступ в другую, и даже по определенным портам, и даже разные протоколы.

Просто хочу донести, если не сделать правильно фундаментальные моменты, потом будет хуже или
будет плохо в плане работы сети в целом. Многие проекты и более другие системы работают поверх
или на основе сетевых базисных моментов, поэтому без знаний, логики и создания сети, говорить о
распределении рановато.

Согласен.

Не работал с модемами на микротике, а разве на LTE интерфейсе не выдаётся провайдером адрес ?
Если выдаётся, то это условно внешнее подключение, то зачем Вы нарушаете даже принцип безопасности
и LTE интерфейс подключаете в локальный bridge1 ?
Плюс у Вас на бридже свой DHCP сервер, который может мешать модему и самому провайдеру !!?

Выдает. Если я свисток втыкаю в комп, автоматом появляется инет. Если в 951-ый, то инет появляется, например, по воздуху, только после того, как в бридж добавлю этот LTE1 и wlan1, добавлю в бридж eth4, например, появится на нем .Но все это при условии, если я на бридже делаю DHCP, тогда только появляется инет у всех участников бриджа... Другими словами, электронный мост раздает клиентам ip. Ну и правило в файрволе(акцепт) и нат(маскарад). Яж настройки выставил под спойлер.. По крайней мере все работает таким образом. Может я делаю не так? Поправьте пжлст..
Вопрос, по сути, как с LTE1 отправить инет в RB2011? И тогда в 2011 я создам бридж, сделаю клиента Йоты, на бридже сервер, и отправлю инет обратно в 951(удалив при этом созданное ранее, яж как-то в форум писать должен :) ). 951-ый дурацкая прослойка между Йота, и по другому никак, 2011 не хочет Йоту, хоть убей, а главный консолидатор провайдеров все же предпочтительнее RB2011? На 2011 я умею поднять двух проводных провайдеров. Теперь не хватает третьего. И тогда можно думать про либо балансировку, например. Либо одной сети, один провайдер, другой сети, другой провайдер, третий пров в резерв...Это что касается инета для локальной сети работников, например. С камерами нужно поднимать свою сеть, я это понимаю. И она по своим проводам, со своими IP. То есть пойду этим же путем: создаю бридж, добавляю туда eth камер, поднимаю на нем свой сервер, он раздает адреса камерам. А вот дальше сложнее: эту сеть должен будет видеть сервер камер, архивный сервер, мой комп, избирательные юзеры из других локальных сетей и доступ извне по определенному протоколу через серого провайдера, через белого провайдера, через йоту невозможно. Извне нужно запрещать доступ по всем протоколам, кроме одного и одного порта (по которому работают камеры).
А еще есть 1С... И к некоторым компам отдельно нужно разрешать извне подключение настройщика системы (думаю делать это по его МАСу (а пусть не расслабляется, и таскает с собой ноут, я за че ему деньги плачу?). А еще есть хранилище, на который должны падать бэкапы всех моих юзеров, сайта и файлопомойки, а инет в том месте, где находится это хранилище, серый, 4-го провайдера, и у меня его нет. И неизвестно, можно ли настроить туннели, провы стали хитрые, все запрещают, ну, эт разберемся. думаю... А в сеть камер вообще хочу заходить хоть с пиндостана, хоть с вьетнама...

[Vlad-2]

Я отвечу только по нижеоставленному моменту, остальные отвечу позже(завтра)

Выдает. Если я свисток втыкаю в комп, автоматом появляется инет. Если в 951-ый, то инет появляется, например, по воздуху, только после того, как в бридж добавлю этот LTE1 и wlan1, добавлю в бридж eth4, например, появится на нем .Но все это при условии, если я на бридже делаю DHCP, тогда только появляется инет у всех участников бриджа... Другими словами, электронный мост раздает клиентам ip. Ну и правило в файрволе(акцепт) и нат(маскарад). Яж настройки выставил под спойлер.. По крайней мере все работает таким образом. Может я делаю не так? Поправьте пжлст..

а) Вы делаете не правильно.
б) нельзя внешний канал соединять с локальной сетью через бридж.
в) на ЛТЕ интерфейсе Вы получаете айпишник(да я видел это по конфигу, но я уточнил, так как я был слегка в шоке увидев ещё лте и в локальном бридже),
адрес на ЛТЕ может быть любой, серый, белый, зависит от провайдера, нам это не важно - главное, что он для нас внешний айпи, а значит Вы
должны локальных клиентов (которые через бридж у вас приходит на роутер) проНАТить от интерфейса ЛТЕ.
Так как это делают все при настройки рррое или рртп или Л2ТР и так далее.

А сейчас у Вас бардак с тем, как это сделано.

Поэтому из бриджа убирайте лте, в бридже оставляйте локальные интерфейсы, вифи-адаптеры и проверьте работу DHCP (локального вашего DHCP, чтобы сеть,маску и шлюз отдавал он также).
И уже этой адресации (которая будет у Ваших устройств) разрешите маскарадинг(оно же НАТ) через интерфейс ЛТЕ и всё.
Так правильно! И скорее всего будет ещё и быстрее работать.

[kantor]

а) Вы делаете не правильно.
Поэтому из бриджа убирайте лте, в бридже оставляйте локальные интерфейсы, вифи-адаптеры и проверьте работу DHCP (локального вашего DHCP, чтобы сеть,маску и шлюз отдавал он также).И уже этой адресации (которая будет у Ваших устройств) разрешите маскарадинг(оно же НАТ) через интерфейс ЛТЕ и всё.
Так правильно! И скорее всего будет ещё и быстрее работать.

Действительно, инет быстрее стал :) Спасибо!

DHCP раздает:

 

I:\Windows\system32>ipconfig

Настройка протокола IP для Windows


Ethernet adapter Подключение по локальной сети 2:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Адаптер беспроводной локальной сети Беспроводное сетевое соединение 3:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Адаптер беспроводной локальной сети Беспроводное сетевое соединение 2:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Адаптер беспроводной локальной сети SKL:

DNS-суффикс подключения . . . . . :
Локальный IPv6-адрес канала . . . : fe80::185c:ce0a:7ce8:eec9%14
IPv4-адрес. . . . . . . . . . . . : 192.168.88.253
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.88.1

Ethernet adapter Сетевое подключение Bluetooth:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{C6F412BB-3659-4BDD-94EA-87833DAF0EDF}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{515475A5-1DB0-4B16-8FAE-4E603A72AB60}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{D580B993-AAC2-4737-B794-B621480636DF}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{190ED034-8EAB-437B-860E-004AC6CAA71D}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{DDE2E1E6-9FE1-4DC5-B344-5CD5EF20D478}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

DNS-суффикс подключения . . . . . :
IPv6-адрес. . . . . . . . . . . . : 2001:0:9d38:6ab8:2034:3e36:435d:1acf
Локальный IPv6-адрес канала . . . : fe80::2034:3e36:435d:1acf%21
Основной шлюз. . . . . . . . . : ::

[Vlad-2]

Я понимаю, нужно рисовать, мне листочка не хватило :) Сделаю красивый рисунок, выставлю на рассмотрение.

Рисуйте не красиво, главное чтобы было понять, а ещё лучше делать ещё так:
а) рисуете схему-логику (где просто объекты, узлы, и связь между ними)
б) и на отдельных схемах (отдельный объект-отдельная схема) рисуете каждый составной узел уже с указанием
его нюансов, логики,адресации и даже что на том узле есть (сервер,свитч, упса и так далее).
Так будет проще и легче и схемы менять/обновлять.
НО без схем - будет сложно Вам понимать работу.

Я знаю, что зайти в настройки можно как угодно в роутер, просто сталкивался с тем, что по воздуху, покопавшись в настройках и перезагрузившись, терял доступ. Поэтому витуха. Я ее смогу выдернуть и напрямую в комп воткнуть. Что 951, что 2011. Ну это больше перестраховка моя, нежели целесообразность. Если произойдет отказ в доступе, то телом придется сходить к роутеру, и сделать ребут. Может Вы и правы, нафиг это нужно...

Отказов не должно быть, роутеры у меня 1-2 раза зависали за всё моё время, и всё, обычно опасность есть при удалённом обновлении роутера и всё.
Если у Вас сеть по площади организации будет стабильная, то опасаться, и передёргивать провода - не надо будет.

В моей сети все витые пары будут сведены в одно помещение серверной. Естественно, если я не смогу зайти в настройки чего-либо, я пойду в это помещение и оттуда получу доступ.

Вы не должны ходить, задача сделать так чтобы всё было стабильно. Вы должны продумать подключение, знать кто куда заходит, какие порты используется,
то есть Вы должны знать какой узел у Вас отключился, и отключился ли или там узел работает, но "перебили" провод до узла?
То есть вот это всё делается красиво, с умом на свитчах и на роутерах, обязательно подписи, комментарии, и на схемах писать.
Узлам придать номера и названия, чтобы можно было явно и со смыслом понимать какой узел в аварии.

Сеть планируется поставить на общий УПС (это касается только сетевого оборудования). При том, мне не потребуется большая мощность, хотя я ее не считал еще, но не думаю, что не больше 2-3Квт., УПСу поработать 5-10 минут, для запуска резервного генератора. Это уже все есть. Серверы и компы со своими бесперебойниками и своей генераторной сетью по питанию. Это уже все есть.

Слово общий УПС меня пугает. Хочу дать понять и объяснить что в рамках одного узла, или даже в рамках одной стойки - делать разное питание нельзя.
Поэтому лучше подключение делать с одного УПС всю аппаратуру в рамках узла/единицы.
На одном объекте было так, что розетки слева и розетки справа были с разных фаз, при включении (благо включали через удлинитель-пилот) бахнуло хорошо,пилот почернел,
между фазами напоминаю почти 400вольт.
Поэтому питание свитчей,роутеров и даже серверов должно быть с одного источника.!
На счёт мощности, 5-10 минут и генератор хорошо, но запас всегда нужен, вдруг отключения 2-3 раза на день будут?
А мощность - роутер 50-60 ватт, свитчи среднее значение тоже 50-65ватт.

Имеете ввиду, что по одному проводу я смогу пропустить трафик, например, нескольких компов? Но в моем понимании: один провод=1 юзер? Я не могу сказать с уверенностью, сколько Мбайт будет пересылать 1 юзер, ну, естественно, не больше, чем 1Гбит (в локалке, имею ввиду, инет, понятно, дам ровно столько, сколько ему нужно, отрезав все, кроме работы). С локальной сетью понятно, она Гигабитная.

Что за новость, кабель это физика, по одному кабелю у Вас интернет ходит и могут сидеть в интернете и 10-20 человек, так что 1 юзер = 1 кабель != не правильный подход.
Поэтому можно ставить свитчи гигабитные юзерам, можно их по гигабиту подключать и этот свитч по гигабиту в сеть подключать, да при определённом стечении обстоятельств
больше гига не будет, но тормозов явных тоже не будет. Красиво делать можно, взять до свитча притянуть два провода (два магистральных, их называют ещё UpLink)
сделать агрегацию каналов и тогда будет уже красиво. НО это уже косметика и зависит от Ваших возможностей и от финансов.
В центральном узле/в стойке/ между свитчами, между роутерами и в рамках стойки/узла - я агрегацию использую (делаю по 2-4 порта в единый).

С сетью камер тоже очевидно: у свитча должен быть Гигабитный порт и порты на 4 камеры (я уже сегментировал их так, как удобно) потому что для камеры достаточно 100Мв порта. Осталось только подобрать оборудование, что достаточно сложно, т.к. свитчи должны быть управляемые, уметь не только давать РоЕ на каждый порт, но и перезагружать каждый порт (камера может зависнуть). Микротик не дает нужное РоЕ. Решения есть, но дорогое удовольствие.

К сожаление, но я впрямую не работаю с видео, но видя что происходит, могу сказать что управляемые РоЕ свитчи выходят из строя через полтора-два года. И те, что были в ящиках, и те, что были даже в помещении.
А стоят они в 2-2.5 раза дороже управляемых,но без РоЕ.
На счёт перегрузки по порту, хорошая идея, но почему то камеры у нас не так часто зависают, а если зависла, по питанию основательно проще. (РоЕ мы не везде используем, иногда проще через РоЕ адаптер запитать).

В части, сеть одна, другая, третья, это я понимаю. Так же я понимаю, что смогу каждому юзеру из одной сети разрешить\запретить доступ в другую, и даже по определенным портам, и даже разные протоколы.

Ну тут уж как сделаете, как спланируете сеть, как будете её контролировать и так далее...
Главное сделать ядро сети, основу основ.

Вопрос, по сути, как с LTE1 отправить инет в RB2011? И тогда в 2011 я создам бридж, сделаю клиента Йоты, на бридже сервер, и отправлю инет обратно в 951(удалив при этом созданное ранее, яж как-то в форум писать должен :) ). 951-ый дурацкая прослойка между Йота, и по другому никак, 2011 не хочет Йоту, хоть убей, а главный консолидатор провайдеров все же предпочтительнее RB2011? На 2011 я умею поднять двух проводных провайдеров. Теперь не хватает третьего.

Решить можно разными способами, я иногда придумывал один вариант, потом переделывал на другой.
Пока я бы сделал так, что 3й провайдер (для РБ2011) это был шлюз внутренний роутера 951. Вот и всё.
Или можно (как я писал ранее) сделать между роутерами маленьку сетку, и уже в рамках этой сети сделать доступы.
То есть на РБ2011 прописать 3й шлюз и он будет ссылаться на рб951, а на 951 вы выпускаете приходящие пакеты с рб2011 в интернет(натите) через ЛТЕ.
Пока и всё.

И тогда можно думать про либо балансировку, например. Либо одной сети, один провайдер, другой сети, другой провайдер, третий пров в резерв...Это что касается инета для локальной сети работников, например.

Я на ВиФи-сегменте так сделал, по-умолчанию у меня клиенты при подключении попадают всегда на основной канал, который всего то 3мегабита,
потом уже избранных переношу в другой локальный IP-диапазон, а этот диапазон у меня настроен работать через другого провайдера (для боссов так сделано, там уже 20мбит)
Направлять, балансировать можно на примитивно-простейшем уровне как угодно, тут уже предел только фантазий.

С камерами нужно поднимать свою сеть, я это понимаю. И она по своим проводам, со своими IP. То есть пойду этим же путем: создаю бридж, добавляю туда eth камер, поднимаю на нем свой сервер, он раздает адреса камерам. А вот дальше сложнее: эту сеть должен будет видеть сервер камер, архивный сервер, мой комп, избирательные юзеры из других локальных сетей и доступ извне по определенному протоколу через серого провайдера, через белого провайдера, через йоту невозможно. Извне нужно запрещать доступ по всем протоколам, кроме одного и одного порта (по которому работают камеры).

Я Вам уже писал, уточните по документации как система Ваша камер и видеонаблюдения работает. У нас система просит две сети, одна сеть изолированная, там находятся только камеры и только регистратор отдельной сетевой картой.
А второй сетевой картой я регистратор подключил к основной сети, там где у меня сервера, вебы и далее, и уже охрана заходит на видеорегистратор по адресу обычному. То есть заходит как на обычный сервер, ибо
в рамках сети всё описано. И другие сервера, насы всё видится. Поэтому уточняйте как должно быть сделано видео система и делайте как то требует руководство к ней, придумывать не надо, надо придумать сеть (IP, маску для камер)
ну и придумать адрес для регистратора внутри уже локальной сети.

А еще есть 1С... И к некоторым компам отдельно нужно разрешать извне подключение настройщика системы (думаю делать это по его МАСу (а пусть не расслабляется, и таскает с собой ноут, я за че ему деньги плачу?).

какой МАС адрес при удалённом подключении? Или я Вас не так понял или Вы не так понимаете.
МАС адрес существует (виден) клиента только в рамках L2-layer сети, при проходе через роутер - МАК клиента/админа/настройщика не виден.
Тем более Вы говорите о пробросе, обычно 1С нужно попасть на компьютер клиента или на сервер 1С (смотря куда поставили), поэтому
пробросы делаются по IP, МАК тут бесполезен.
Пробросы делать в микротике лучше через адрес-лист, делаете правила проброса, привязываете адрес-лист, в адрес-лист добавляете адреса (IP) мастеров 1С и всё.
Фирму поменяли, адреса IP сменили, правила трогать не надо.

А еще есть хранилище, на который должны падать бэкапы всех моих юзеров, сайта и файлопомойки, а инет в том месте, где находится это хранилище, серый, 4-го провайдера, и у меня его нет. И неизвестно, можно ли настроить туннели, провы стали хитрые, все запрещают, ну, эт разберемся. думаю... А в сеть камер вообще хочу заходить хоть с пиндостана, хоть с вьетнама...

Настроить и извратиться можно, но я бы сделал единую локальную сеть, с разными сегментами, может быть с разными адресами, скажем сеть для бухов и вообще для компов клиентов это одна сеть (как пример 192.168.10.0/24), фиви сеть тоже отдельную, а для серверов (не 1С), а для насов, бэкапов и так далее = я бы их держал в отдельной сети. По личной практике так удобнее.

Короче как-то так...

[Erik_U]

Можно здесь продолжить задавать вопросы?

Если в разделе IP / SERVECES телнету установить параметр "Available From" на внутреннюю сеть 192.168.88.0/24, телнет станет недоступным на внешнем адресе роутера?

[Vlad-2]

Можно здесь продолжить задавать вопросы?
Если в разделе IP / SERVECES телнету установить параметр "Available From" на внутреннюю сеть 192.168.88.0/24, телнет станет недоступным на внешнем адресе роутера?

НЕТ. Порт будет также открыт, просто будет применяться ограничения.
Чтобы порт закрыть - надо его закрывать в файрволле!

[Erik_U]

А что за ограничения? За что эта настройка отвечает?

в фаерволе закрыть телнет для внешних подклчений кроме подключенных по ВПН таким способом можно?

создать адрес лист для впн подклчений VPN_LAN 192.168.89.0/24 (можно в лист сеть добавить?)

и создать правило action=drop chain=inpit Protocol=TCP dst-port=23 in-interfaces=ether1 InInterfaceList=!VPN_LAN