Vladimir22 писал(а): а я читаю ........
...стараюсь...
Vladimir22 писал(а): а я читаю ........
Vlad-2 писал(а): У данного роутера SFP порт работает исключительно в 1гбит
Vlad-2 писал(а):И тут тоже не правильность подхода,
у Вас на РБ2011 1й порт - гигабитный, а у РБ951 - порты 100мбит,
возникает вопрос: зачем занимать гигабитный порт..
Vlad-2 писал(а):kantor писал(а):eth2- для доступа в RB2011, через RB951Ui-2nd (на eth3).
Тут я не понял что куда и как
Vlad-2 писал(а):..описывать и расписывать не буду.. Вы точно заработаете петли в сети,kantor писал(а): eth3-...eth10-
данный подход я считаю даже в теоретическом моменте не имеет право к реализации,
сеть надо планировать и делать по определённым стандартам.
Vlad-2 писал(а): И по Вашим описаниям тут напрашивается... (VLAN) а) б) в) г) вилан служебный между микротиками (можно и виланом, а можно сделать маленький IP-сегмент, и т.д.), в будущем
между микротиками можно гонять какие то данные, создать туннели, и так далее...но в рамках сети общей (локальной)
они должны быть одинаковы, хотя я не до конца понял задачу второго роутера.
Ну и нативным виланом - сделать локальную сеть. Адресация, правильная маска сети, бридж, DHCP или статика.
Vlad-2 писал(а):К сожалению, по тому как Вы составили задачу, без схемы, без IP сетей, как Вы будете делать балансировку - даже и не знаю. ВиФи надо делать в организации правильно и правильно - это повесить по 2-4 точки, создавая на их базе сеть (опять же есть масса тех или иных вариаций)
Vlad-2 писал(а):Мда....1) создавайте опорные "точки" или узлы..
2) по такому же принципу надо делать и логику адресную и логику при подключении
Vlad-2 писал(а):3) не понял также Вашего объяснения на счёт подключения к РБ2011 через РБ951...
Vlad-2 писал(а):На текущий момент Вы создаёте сеть, но Вы её не видите как таковую.
Нарисуйте схему, на схеме сеть Вашу нарисуйте облачком, внутри облачка подпишите сети,
скажем сеть локальная это 192.168.10.0/24, для ВиФИ пусть будет 192.168.20.0/24,
для камер - 192.168.30.0/24. То есть физика(провода) одинаковы,но IP-сегмент и если
ещё сделаете виланы = будут разные.
Vlad-2 писал(а):Просто хочу донести, если не сделать правильно фундаментальные моменты, потом будет хуже или
будет плохо в плане работы сети в целом. Многие проекты и более другие системы работают поверх
или на основе сетевых базисных моментов, поэтому без знаний, логики и создания сети, говорить о
распределении рановато.
Vlad-2 писал(а):Не работал с модемами на микротике, а разве на LTE интерфейсе не выдаётся провайдером адрес ?
Если выдаётся, то это условно внешнее подключение, то зачем Вы нарушаете даже принцип безопасности
и LTE интерфейс подключаете в локальный bridge1 ?
Плюс у Вас на бридже свой DHCP сервер, который может мешать модему и самому провайдеру !!?
kantor писал(а):Выдает. Если я свисток втыкаю в комп, автоматом появляется инет. Если в 951-ый, то инет появляется, например, по воздуху, только после того, как в бридж добавлю этот LTE1 и wlan1, добавлю в бридж eth4, например, появится на нем .Но все это при условии, если я на бридже делаю DHCP, тогда только появляется инет у всех участников бриджа... Другими словами, электронный мост раздает клиентам ip. Ну и правило в файрволе(акцепт) и нат(маскарад). Яж настройки выставил под спойлер.. По крайней мере все работает таким образом. Может я делаю не так? Поправьте пжлст..
Vlad-2 писал(а):а) Вы делаете не правильно.
Поэтому из бриджа убирайте лте, в бридже оставляйте локальные интерфейсы, вифи-адаптеры и проверьте работу DHCP (локального вашего DHCP, чтобы сеть,маску и шлюз отдавал он также).И уже этой адресации (которая будет у Ваших устройств) разрешите маскарадинг(оно же НАТ) через интерфейс ЛТЕ и всё.
Так правильно! И скорее всего будет ещё и быстрее работать.
kantor писал(а):Я понимаю, нужно рисовать, мне листочка не хватило :) Сделаю красивый рисунок, выставлю на рассмотрение.
kantor писал(а):Я знаю, что зайти в настройки можно как угодно в роутер, просто сталкивался с тем, что по воздуху, покопавшись в настройках и перезагрузившись, терял доступ. Поэтому витуха. Я ее смогу выдернуть и напрямую в комп воткнуть. Что 951, что 2011. Ну это больше перестраховка моя, нежели целесообразность. Если произойдет отказ в доступе, то телом придется сходить к роутеру, и сделать ребут. Может Вы и правы, нафиг это нужно...
kantor писал(а):В моей сети все витые пары будут сведены в одно помещение серверной. Естественно, если я не смогу зайти в настройки чего-либо, я пойду в это помещение и оттуда получу доступ.
kantor писал(а):Сеть планируется поставить на общий УПС (это касается только сетевого оборудования). При том, мне не потребуется большая мощность, хотя я ее не считал еще, но не думаю, что не больше 2-3Квт., УПСу поработать 5-10 минут, для запуска резервного генератора. Это уже все есть. Серверы и компы со своими бесперебойниками и своей генераторной сетью по питанию. Это уже все есть.
kantor писал(а):Имеете ввиду, что по одному проводу я смогу пропустить трафик, например, нескольких компов? Но в моем понимании: один провод=1 юзер? Я не могу сказать с уверенностью, сколько Мбайт будет пересылать 1 юзер, ну, естественно, не больше, чем 1Гбит (в локалке, имею ввиду, инет, понятно, дам ровно столько, сколько ему нужно, отрезав все, кроме работы). С локальной сетью понятно, она Гигабитная.
kantor писал(а):С сетью камер тоже очевидно: у свитча должен быть Гигабитный порт и порты на 4 камеры (я уже сегментировал их так, как удобно) потому что для камеры достаточно 100Мв порта. Осталось только подобрать оборудование, что достаточно сложно, т.к. свитчи должны быть управляемые, уметь не только давать РоЕ на каждый порт, но и перезагружать каждый порт (камера может зависнуть). Микротик не дает нужное РоЕ. Решения есть, но дорогое удовольствие.
kantor писал(а):В части, сеть одна, другая, третья, это я понимаю. Так же я понимаю, что смогу каждому юзеру из одной сети разрешить\запретить доступ в другую, и даже по определенным портам, и даже разные протоколы.
kantor писал(а):Вопрос, по сути, как с LTE1 отправить инет в RB2011? И тогда в 2011 я создам бридж, сделаю клиента Йоты, на бридже сервер, и отправлю инет обратно в 951(удалив при этом созданное ранее, яж как-то в форум писать должен :) ). 951-ый дурацкая прослойка между Йота, и по другому никак, 2011 не хочет Йоту, хоть убей, а главный консолидатор провайдеров все же предпочтительнее RB2011? На 2011 я умею поднять двух проводных провайдеров. Теперь не хватает третьего.
kantor писал(а):И тогда можно думать про либо балансировку, например. Либо одной сети, один провайдер, другой сети, другой провайдер, третий пров в резерв...Это что касается инета для локальной сети работников, например.
kantor писал(а):С камерами нужно поднимать свою сеть, я это понимаю. И она по своим проводам, со своими IP. То есть пойду этим же путем: создаю бридж, добавляю туда eth камер, поднимаю на нем свой сервер, он раздает адреса камерам. А вот дальше сложнее: эту сеть должен будет видеть сервер камер, архивный сервер, мой комп, избирательные юзеры из других локальных сетей и доступ извне по определенному протоколу через серого провайдера, через белого провайдера, через йоту невозможно. Извне нужно запрещать доступ по всем протоколам, кроме одного и одного порта (по которому работают камеры).
kantor писал(а):А еще есть 1С... И к некоторым компам отдельно нужно разрешать извне подключение настройщика системы (думаю делать это по его МАСу (а пусть не расслабляется, и таскает с собой ноут, я за че ему деньги плачу?).
kantor писал(а):А еще есть хранилище, на который должны падать бэкапы всех моих юзеров, сайта и файлопомойки, а инет в том месте, где находится это хранилище, серый, 4-го провайдера, и у меня его нет. И неизвестно, можно ли настроить туннели, провы стали хитрые, все запрещают, ну, эт разберемся. думаю... А в сеть камер вообще хочу заходить хоть с пиндостана, хоть с вьетнама...
Erik_U писал(а):Можно здесь продолжить задавать вопросы?
Если в разделе IP / SERVECES телнету установить параметр "Available From" на внутреннюю сеть 192.168.88.0/24, телнет станет недоступным на внешнем адресе роутера?