Объединение 2-х lan портов с wan

Обсуждение ПО и его настройки
Ответить
EFR
Сообщения: 4
Зарегистрирован: 20 дек 2017, 16:54

Здравствуйте! Имеется hap ac lite. Настроен как роутер. На wan порт Ether1 приходит сигнал от офисной сети (Ip прописан статически вида 192.168.100.2). Необходимо объединить порты ether4 и ether5 с ван портом ether1, чтобы они получали ip адреса от dhcp сервера офисной сети. А порты ether2 и ether3 оставить локалкой микротика. Первым делом в настройках портов ether4 и ether5 отменил мастер порт ether2, поставив значение none. Я так понимаю,что нужно создать bridge с ether4 и ether5 объединив его с ether1. Но, как это сделать, не знаю. Помогите, пожалуйста!


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Код: Выделить всё

/interface bridge add comment=bridge-wan name=bridge-wan
/interface bridge port
add bridge=bridge-wan comment=WAN interface=ether1
add bridge=bridge-wan comment=ETHER4 interface=ether4
add bridge=bridge-wan comment=ETHER5 interface=ether5


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
EFR
Сообщения: 4
Зарегистрирован: 20 дек 2017, 16:54

Спасибо за ответ! Сделал, как вы подсказали ранее. На портах 4 и 5 появились адреса, раздаваемые офисной сетью. Но пропал интернет на портах 2 и 3. Я так понимаю, это из-за того, что ether1 исчез из бриджа с ether 2master и wlan. Скажите, пожалуйста, можно ли сделать, чтобы режим роутера работал на портах 2 и 3 и wlan?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну конечно, все настройки, которые относились к ether1 теперь надо переписать на bridge-wan. Полистайте конфиг, не стесняйтесь


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
EFR
Сообщения: 4
Зарегистрирован: 20 дек 2017, 16:54

Спасибо, вроде адреса стали раздаваться, как нужно. Но устройства из локалки микротика (с портов Ether2 и Ether3) видят компы в офисной сети. Как можно ограничить доступ? Что я делаю не так? Заранее спасибо!
# dec/21/2017 12:46:58 by RouterOS 6.40.5
# software id = J6BB-ZU05
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 6CBA06EC6A42
/interface bridge
add admin-mac=6C:3B:6B:1F:B0:22 auto-mac=no comment=defconf name=bridge
add comment=bridge-wan name=bridge-wan
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
MikroTik-1FB027 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
20/40/80mhz-Ceee disabled=no distance=indoors frequency=auto mode=\
ap-bridge ssid=MikroTik-1FB026 wireless-protocol=802.11
/ip neighbor discovery
set ether1 discover=no
set bridge-wan discover=no
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge-wan comment=WAN interface=ether1
add bridge=bridge-wan comment=ETHER4 interface=ether4
add bridge=bridge-wan comment=ETHER5 interface=ether5
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=detconf interface=bridge-wan list=WAN
add interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
ether1
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
bridge-wan
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

EFR писал(а):Спасибо, вроде адреса стали раздаваться, как нужно. Но устройства из локалки микротика (с портов Ether2 и Ether3)
видят компы в офисной сети. Как можно ограничить доступ? Что я делаю не так? Заранее спасибо!

Извините, но что Вы хотите в итоге?

Формально сейчас Вы из роутера сделали два "удлинителя":
3-и порта в офисную сеть смотрят
2-а порта в локальную сеть микротика.
А сейчас, Вы ещё хотите заблокировать из локальной сети микротика
доступ "выше". Зачем Вам роутер в этой схеме?

Формально у Вас локальная сеть на микротике, а офисная сеть для Вас является "внешней",
и соответственно изнутри наружу можно идти, поэтому компьютеры из локальной сети
могут видеть офисные. Наоборот нет.
Также и дома все роутеры работают, из локальной сети Интернет есть, с Интернета
во внутрь без настроек и адресов не попасть.

Надо ставить с начала и до конца задачу, а не частями.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
EFR
Сообщения: 4
Зарегистрирован: 20 дек 2017, 16:54

Извиняюсь, что не правильно сформировал задачу. 3 порта нужны как свитч офисной сети А на 2-х других должен быть только интернет и они должны видеть только друг друга.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

У Вас интернет идёт через сеть офисную, тут надо понимать что делать.

1) у Вас внутренняя сеть 88, возьмите и запретите всем из 88 сети обращаться на офисную сеть,
кроме конечно самого роутера.

2) или сделать умный НАТ, чтобы НАТились запросы из 88 сети на любую сеть, КРОМЕ сети офисной.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить