Какую модель выбрать?

[mr_dima]

Да в общем вроде можно и так оставить, только там в правилах firewall ошибки: там где единичные адреса должно быть src-address=, а не src-address-list=
И в правилах NAT'а, во втором варианте тоже лишние буковки закрались.

Понял. Поправил.
Правильно я понимаю, что правила фаирвола будут последовательно проверяться и, если какое-то выполнится, то по accept проверка цепочки остановится?
Таким образом, если первые три не сработают, то последнее правило отбросит пакет.
Или я не так что-то понял?

Код: Выделить всё

/ip address
add address=10.17.211.170 interface=ether1 network=255.255.255.128
add address=192.168.2.170 interface=ether2 network=255.255.255.0
add address=140.80.0.170 interface=ether3 network=255.255.255.0
add address=192.168.3.170 interface=ether4 network=255.255.255.0

/ip firewall nat
add chain=srcnat action=src-nat src-address=192.168.3.171 dst-addreess=10.17.211.160 to-address=10.17.211.170 
add chain=srcnat action=src-nat src-address=192.168.3.171 dst-addreess=192.168.2.1 to-address=192.168.2.170
add chain=srcnat action=src-nat src-address=192.168.3.171 dst-addreess=140.80.0.1 to-address=140.80.0.170

/ip firewall address-list
add address=10.17.211.160 list=addr_list_PLC
add address=192.168.2.1 list=addr_list_PLC
add address=140.80.0.1 list=addr_list_PLC
/ip firewall filter

/ip firewall filter
add action=accept chain=forward dst-address=192.168.3.171 src-address-list=addr_list_PLC
add action=accept chain=forward dst-address-list=addr_list_PLC src-address=192.168.3.171
add action=accept chain=forward protocol=icmp
add action=reject chain=forward reject-with=icmp-network-unreachable

[xvo]

Правильно я понимаю, что правила фаирвола будут последовательно проверяться и, если какое-то выполнится, то по accept проверка цепочки остановится?
Таким образом, если первые три не сработают, то последнее правило отбросит пакет.

Да, именно так.

[mr_dima]

Правильно я понимаю, что правила фаирвола будут последовательно проверяться и, если какое-то выполнится, то по accept проверка цепочки остановится?
Таким образом, если первые три не сработают, то последнее правило отбросит пакет.

Да, именно так.

Осталось купить роутер и убедиться, что проблем больше, чем кажется )
Все же, вот такая модель подойдет мне? Есть какие-то явные минусы у нее?
https://mikrotik.ru/katalog/katalog/har ... k_RBMRTGx4
На дин рейку должен стать вот так

[mr_dima]

Правильно я понимаю, что правила фаирвола будут последовательно проверяться и, если какое-то выполнится, то по accept проверка цепочки остановится?
Таким образом, если первые три не сработают, то последнее правило отбросит пакет.

Да, именно так.

Пришел ответ от поддержки Mikrotik )
Они говорят, что надо еще статические маршруты прописать.. типа
для доступа к PLC-3.2 маршрут будет следующий: dst adress 140.80.0.1/32 gateway eth3 pref.sourse 140.80.0.170

Надо ли?

[xvo]

Все же, вот такая модель подойдет мне? Есть какие-то явные минусы у нее?
https://mikrotik.ru/katalog/katalog/har ... k_RBMRTGx4

Кроме того, что дорого и крайне избыточно для ваших задач - никаких :)

Если надо на дин-рейку, я выше уже кидал ссылки на модели, которые из коробки крепятся:
https://mikrotik.ru/katalog/katalog/har ... owerBOX_r2
https://mikrotik.ru/katalog/katalog/har ... B960PGS-PB

Они конечно тоже избыточны, потому как их основная фишка - PoE.
Но все таки поближе к вашим требованиям.

[xvo]

Пришел ответ от поддержки Mikrotik )
Они говорят, что надо еще статические маршруты прописать.. типа
для доступа к PLC-3.2 маршрут будет следующий: dst adress 140.80.0.1/32 gateway eth3 pref.sourse 140.80.0.170

Надо ли?

Что-то я не вижу необходимости.

[mr_dima]

Все же, вот такая модель подойдет мне? Есть какие-то явные минусы у нее?
https://mikrotik.ru/katalog/katalog/har ... k_RBMRTGx4

Кроме того, что дорого и крайне избыточно для ваших задач - никаких :)

Если надо на дин-рейку, я выше уже кидал ссылки на модели, которые из коробки крепятся:
https://mikrotik.ru/katalog/katalog/har ... owerBOX_r2
https://mikrotik.ru/katalog/katalog/har ... B960PGS-PB

Они конечно тоже избыточны, потому как их основная фишка - PoE.
Но все таки поближе к вашим требованиям.

Не очень нравится, что пластиковый.. у нас там типа производство, помехи.
На одном заводе мы ставим это в сетевую стойку (шкаф), а в другом этой штуке придется встать прямо в силовой шкаф (на дин рейку), где есть 0.4 кВ недалеко.
Подумаю.

А можно вопрос не совсем по теме.. но по маршрутизации? )
Если в компьютере 2 сетевых интерфейса, на обоих выстален IP и шлюз.. при отправке пакета в чужую сеть, как компьютер определяет на какой интерфейс и шлюз отправлять запрос?

[xvo]

А можно вопрос не совсем по теме.. но по маршрутизации? )
Если в компьютере 2 сетевых интерфейса, на обоих выстален IP и шлюз.. при отправке пакета в чужую сеть, как компьютер определяет на какой интерфейс и шлюз отправлять запрос?

Все на основании таблицы маршрутизации решается - через какой шлюз дистанция у маршрута короче, через тот и отправит.
А уж на основании чего в неё разные маршруты добавляются с какими дистанциями, тут в разных ОС по разному может быть. В mac OS приоритет выставляется просто "перетягиванием" интерфейсов - какой выше, тот и приоритетнее.

[Vlad-2]

Если в компьютере 2 сетевых интерфейса, на обоих выстален IP и шлюз.. при отправке пакета в чужую сеть, как компьютер определяет на какой интерфейс и шлюз отправлять запрос?

Вам xvo правильно ответил, добавляю ещё, что Винда обычно ругается, когда пользователь
хочет задать второй шлюз. И это правильно, шлюз в целом должен быть один для
обычного компа, и в любой сети должен быть роутер, и роутер должен принять пакет
от компа(ов) и уже "разрулить" куда можно и через что можно дойти до другой сети.

Делать из обычного компа псевдо-роутер - моветон.

[mr_dima]

Если в компьютере 2 сетевых интерфейса, на обоих выстален IP и шлюз.. при отправке пакета в чужую сеть, как компьютер определяет на какой интерфейс и шлюз отправлять запрос?

Вам xvo правильно ответил, добавляю ещё, что Винда обычно ругается, когда пользователь
хочет задать второй шлюз. И это правильно, шлюз в целом должен быть один для
обычного компа, и в любой сети должен быть роутер, и роутер должен принять пакет
от компа(ов) и уже "разрулить" куда можно и через что можно дойти до другой сети.

Делать из обычного компа псевдо-роутер - моветон.

Понял, большое спасибо!
А по моей задаче, вот еще что.. сразу почему-то не подумал..
Все это надо подключить к некой корпоративной сети для отправки данных с Сервера наверх.

В итоге добавляю еще один интерфейс (5) на роутер. Его подключаю к некому корпоративному роутеру (R corp Net). Т.е. теперь сервер спрятан от корп сети за мой роутер.
Надо наш роутер настроить так, чтобы:
1. Трафик с Сервера на корпоративный роутер (и обратно) шел без ограничения.
2. Остальные сети должны остаться для внешней корп. сети недоступны.[/b]

Соединение с корп сетью предполагает в том числе установление соединения с моим сервером по нескольким портам (3389, 2200.. не важно).
Значит ли это, что мне придется делать проброс портов со своего сервера на интерфейс 5??
Не хотелось бы заморачиваться.. хотя, портов не так и много.

Можно просто засвичевать порты 4 и 5 на МикроТике ? Бридж? Повесить на него общий IP. Как это сделать?
Потом написать фильтры, чтобы трафик ни откуда кроме моего сервера не ходил в сети контроллеров. Можно так?