Вопросы нуба

[kantor]

Приветствую уважаемых форумчан.
Поставил себе такую задачу:
1. RB2011UiAS-2HnD как главный роутер.
В него в последствии зайдет по SFP "главный провайдер очень быстрый, белый".
eth1- для объединения с RB951Ui-2nd.
eth2- для доступа в RB2011, через RB951Ui-2nd (на eth3).
eth3- для сервера ip камер (к серверу доступ должен быть из инета и из локалки).
eth4- для локальной сети ip камер (доступ должен быть из инета и из локалки).
eth5- для локальной сети компов.
eth6- провайдер1 PPOE(серый).
eth7- провайдер2 PPOE(белый статика).
eth8- YOTA (c RB951Ui-2nd на eth4).
eth9- резерв.
eth10- для беспроводной точки доступа в локалку и инет.
2. RB951Ui-2nd как клиент YOTA (LTE свисток работает на нем с отвалом пару раз день, скрипт в netwatch справляется с перезагрузкой питания, все работает)- именно поэтому и появился этот RB))
eth1- для объединения с RB2011UiAS-2HnD.
eth2- для доступа в RB951Ui-2nd.
eth3- для доступа в RB2011.
eth4- для YOTA в RB2011.
eth5- для локалки, которая в RB2011 на eth3-5.
3. wlan1 на RB2011 и wlan1 на RB951Ui-2nd - как беспроводные точки доступа в локалку и инет.
Статей много по балансировке между провайдерами, попробую разобраться сам. Как порты пробрасывать для разного оборудования, вроде бы тоже много статей понятных. Помогите собрать мне мою схему, пожалуйста!

[podarok66]

Простите, немного непонятно, что вы от сообщества-то хотите? Нельзя ли чуть больше конкретики в вопросах?
Пока всё, что вы описали, вполне осуществимо.
Я бы, конечно, не оставлял по ethernet-порту для доступа в каждую подсеть. Что мешает организовать всё с одного порта?

[kantor]

podarok66, я элементарно не понимаю, как это настроить. Как LTE отправить по витой паре в другое устройство. Как объединить два устройства в одну сеть. Гуглоинфа бесполезна, т.к. примеры настроек явно не подходят к моим хотелкам, а учиться просто время не позволяет(( Просто прошу помощи в настройке, может быть, если это сложно, то, естесно, небескорыстно. Мне бы готовые конфигурации на оба устройства кто помог сделать, а дальше, когда все железно заработает, мне будет проще настроить под себя уже в процессе метода тыком, подбирая и читая материалы, сугубо относящиеся к теме: порты туда-сюда, этим можно, тем нет, балансировка и т.п...
"Я бы, конечно, не оставлял по ethernet-порту для доступа в каждую подсеть. Что мешает организовать всё с одного порта?"
Если выйдет из строя hAP, будет "физический" доступ к настройкам RB2011. Предполагается физический доступ к его настройкам через hAP. Просто было уже такое, что глюканул мой 750-й и зайти в настройки я смог только через eth2...
podarok66, благодаря Вашим статьям, я много лет назад настроил 750-й дома, он стоит с LU-150 в usb и проводным провайдером. После глюка, подняв историю, настроил до кучи самообновление и рассылку в смс и почту :) Отключается только, когда свет выключают, сам поднимается, сам балансируется. И все благодаря Вам :) Пару недель назад взял на работу 2011 и 951, решил все сам настроить, но понимаю, что моих скупых познаний для этого маловато... Я не IT-специалист, но за своими компами "ухаживаю" сам... Просто прошу помощи или пинка в материал от и до :)

[Kato]

Просто прошу помощи в настройке, может быть, если это сложно, то, естесно, небескорыстно. Мне бы готовые конфигурации на оба устройства кто помог сделать, а дальше, когда все железно заработает, мне будет проще настроить под себя уже в процессе метода тыком, подбирая и читая материалы, сугубо относящиеся к теме: порты туда-сюда, этим можно, тем нет, балансировка и т.п...

ну тогда вам нужно искать специалиста в своем городе/районе/крае.
это будет быстро и удобно

[kantor]

И сколько стоит специалист в моих хотелках во Владике?)

[Kato]

Владивосток? в свое время обращались. они берут по-часово. (точнее в нашем случае)
как сейчас и у кого не могу сказать Сколько сейчас не знаю.
но года два назад брали около 2тыч. в час.. Сколько точно уже не помню. нам хватило пары часов. помимо настройки могли спросить все что интересовало.
https://www.mikrotik.com/consultants/europe/russia тут можно специалистов и спросить)

[Vlad-2]

Приветствую уважаемых форумчан.
Поставил себе такую задачу:

Увы, задачу Вы поставили/поставите тому, кто попытается это сделать.
И увы (второй раз), как-то Вы слабовато знаете сеть и сетевые технологии.

1. RB2011UiAS-2HnD как главный роутер.
В него в последствии зайдет по SFP "главный провайдер очень быстрый, белый".

У данного роутера SFP порт работает исключительно в 1гбит/с режиме,
и если с другой стороны провайдер на физическом уровне не даст туже скорость,
ничего не заработает прям с уровня "физики".
Это фича данного роутера и есть официальные подтверждения на забугорном форуме.
Ну и честно сказать, для оптики данный роутер уже морально стар.

eth1- для объединения с RB951Ui-2nd.

И тут тоже не правильность подхода,
у Вас на РБ2011 1й порт - гигабитный, а у РБ951 - порты 100мбит,
возникает вопрос: зачем занимать гигабитный порт, когда с другой стороны сотка?
Поэтому связку устройств надо делать соразмерными портами при наличии и возможности конечно.

eth2- для доступа в RB2011, через RB951Ui-2nd (на eth3).

Тут я не понял что куда и как

eth3- для сервера ip камер (к серверу доступ должен быть из инета и из локалки).
eth4- для локальной сети ip камер (доступ должен быть из инета и из локалки).
eth5- для локальной сети компов.
eth6- провайдер1 PPOE(серый).
eth7- провайдер2 PPOE(белый статика).
eth8- YOTA (c RB951Ui-2nd на eth4).
eth9- резерв.
eth10- для беспроводной точки доступа в локалку и инет.

По отдельности описывать и расписывать не буду, при таком подходе, Вы точно заработаете петли в сети,
данный подход я считаю даже в теоретическом моменте не имеет право к реализации,
сеть надо планировать и делать по определённым стандартам. И по Вашим описаниям тут напрашивается
самая простая система - виланы(VLAN)
а) одним виланом делаете камеры
б) втором виланом можно выделить ВиФИ (сделать барьер от локальной сети и в отдельный сегмент)
в) на счёт серверов для камер - надо уточнить по документации как работает схема, и что она требует,
ибо видеонаблюдения - тоже отдельный сегмент, есть реализация где камеры и сервер и "пульт" охраны в
одном IP сегменте, а есть когда сервер имеет два сегмента, в одном камеры, в другом "пульт(ы)" для
охраников. Поэтому этот вопрос пролобировать (его надо знать) и без знаний даже хороший настройщик микротиков
Вам не настроит, без условий и значений как должно быть.
г) вилан служебный между микротиками (можно и виланом, а можно сделать маленький IP-сегмент, и т.д.), в будущем
между микротиками можно гонять какие то данные, создать туннели, и так далее...но в рамках сети общей (локальной)
они должны быть одинаковы, хотя я не до конца понял задачу второго роутера.
Ну и нативным виланом - сделать локальную сеть. Адресация, правильная маска сети, бридж, DHCP или статика.

3. wlan1 на RB2011 и wlan1 на RB951Ui-2nd - как беспроводные точки доступа в локалку и инет.
Статей много по балансировке между провайдерами, попробую разобраться сам. Как порты пробрасывать для разного оборудования, вроде бы тоже много статей понятных. Помогите собрать мне мою схему, пожалуйста!

К сожалению, по тому как Вы составили задачу, без схемы, без IP сетей, как Вы будете делать балансировку - даже и не знаю.
ВиФи надо делать в организации правильно и правильно - это повесить по 2-4 точки, создавая на их базе сеть (опять же есть масса тех или иных вариаций)

Итог: Ваши условия не в диковинку, но и не тривиальны, а если не знать подводных камней - то много нюансов.
И да, такая работа идёт как проект целый, тут направлениями не отделаться, плюс доработки, тестирования, интеграция в текущую
локальную сеть или создания новой(новых сетей). Нюансов масса, хотя некоторые я Вам выше их указал не мало, сделайте работу над ошибками!

[Vladimir22]

+ 1 , работа над ошибками нужна определенно . хотя бы в знаниях ;-)

Помогите собрать мне мою схему, пожалуйста!

а я читаю ........

[podarok66]

Я думаю, если разбить проект на несколько небольших задач, то вполне решаемо всё своими руками.
Например:
1. Решить с " SFP "главный провайдер очень быстрый, белый". " , очень часто может не работать с оборудованием провайдера. Если работает, идем дальше.
2. Затем "eth6- провайдер1 PPOE(серый). eth7- провайдер2 PPOE(белый статика)." Насчет номеров портов я не помню, где какие, но я бы поддержал мнение высказывавшихся выше о том, что провайдеров надо на 100 МБит порты подключать.
3. Настроить локалку, пока только для компов.
4. Попробовать с балансировкой. Я честно скажу, мне это не нужно, я этим не занимался. Там вроде как несколько способов реализации, и у всех свои плюсы и минусы. Выбирать вам.
Этого пока за глаза, чтобы несколько дней поковыряться. Если это получится, уже далее приниматься за плюшки.

[kantor]

1. Решить с " SFP "главный провайдер очень быстрый, белый".

- провайдер уверяет, что с модулем, который подходит в SFP 2011 у него проблем не возникнет. Проблемы пока у меня с провом, я пытаюсь договориться с ним о выделении помещения под оборудование, иначе негуманная стоимость подключения и месячный чек, т.к. мои помещения на юрика. Так что этот пров под вопросом. Не критично для настройки)

2. Затем "eth6- провайдер1 PPOE(серый). eth7- провайдер2 ... но я бы поддержал... надо на 100 МБит..

- в 2011 это как раз 100Мб.

3. Настроить локалку, пока только для компов.

- сейчас на 951-ом bridge1 (eth2(master)+eth3(rootport)+eth4+lte1+wlan1). На bridge1 поднят DHCP. На lte1 клиент (use DNS).
Настройки 951-го

 

[admin@MikroTik] > /export compact
# may/18/2017 11:28:31 by RouterOS 6.39.1
# software id = 0051-TCTL
#
/interface bridge
add admin-mac=6C:3B:6B:A3:3E:AE auto-mac=no name=bridge1
/interface lte
set [ find ] mac-address=00:09:3B:F0:1A:40 name=lte1
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=profile1 supplicant-identity="" \
wpa-pre-shared-key=CrkflYfpfhjd wpa2-pre-shared-key=CrkflYfpfhjd
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge \
security-profile=profile1 ssid=MikroTik-A33EB2 wireless-protocol=802.11 \
wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add add-arp=yes address-pool=default-dhcp always-broadcast=yes disabled=no \
interface=bridge1 name=bridge1
/interface bridge port
add bridge=bridge1 comment=defconf interface=ether2-master
add bridge=bridge1 comment=defconf interface=wlan1
add bridge=bridge1 comment=defconf interface=lte1
/interface l2tp-server server
set caller-id-type=ip-address
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge1 network=\
192.168.88.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=lte1
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
connection-state=established,related
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=lte1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Vladivostok
/system routerboard settings
set init-delay=0s
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge1
add interface=lte1
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge1
add interface=lte1
/tool netwatch
add down-script="/system routerboard usb power-reset duration=15s" host=8.8.8.8 \
interval=15s timeout=500ms

Настройки 2011

 

[admin@MikroTik] > /export compact
# jan/03/2002 00:10:32 by RouterOS 6.39.1
# software id = YLGY-FY4A
#
/interface bridge
add name=bridge1
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
mode=dynamic-keys wpa-pre-shared-key=CrkflYfpfhjd wpa2-pre-shared-key=\
CrkflYfpfhjd
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed mode=dynamic-keys name=profile1 \
supplicant-identity="" wpa-pre-shared-key=CrkflYfpfhjd \
wpa2-pre-shared-key=CrkflYfpfhjd
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no frequency=auto frequency-mode=superchannel security-profile=\
profile1 ssid=SKL tx-power=19 tx-power-mode=all-rates-fixed \
wireless-protocol=802.11 wmm-support=enabled
/ip pool
add name=dhcp_pool0 ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1 relay=\
192.168.88.1
/tool user-manager customer
set admin access=\
own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether2
/interface l2tp-server server
set caller-id-type=ip-address
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=8.8.8.8 gateway=192.168.88.1
/ip firewall filter
add action=accept chain=forward
/ip firewall nat
add action=masquerade chain=srcnat
/system lcd
set contrast=0 enabled=no port=parallel type=24x4
/system lcd page
set time disabled=yes display-time=5s
set resources disabled=yes display-time=5s
set uptime disabled=yes display-time=5s
set packets disabled=yes display-time=5s
set bits disabled=yes display-time=5s
set version disabled=yes display-time=5s
set identity disabled=yes display-time=5s
set bridge1 disabled=yes display-time=5s
set wlan1 disabled=yes display-time=5s
set sfp1 disabled=yes display-time=5s
set ether1 disabled=yes display-time=5s
set ether2 disabled=yes display-time=5s
set ether3 disabled=yes display-time=5s
set ether4 disabled=yes display-time=5s
set ether5 disabled=yes display-time=5s
set ether6 disabled=yes display-time=5s
set ether7 disabled=yes display-time=5s
set ether8 disabled=yes display-time=5s
set ether9 disabled=yes display-time=5s
set ether10 disabled=yes display-time=5s
/tool user-manager database
set db-path=user-manager
[admin@MikroTik] >

4. ...Если это получится, уже далее приниматься за плюшки.

Что нужно сделать, чтобы lte1 отправить в 2011?