Какую модель выбрать?

[xvo]

1. что значит МикроТику поставить шлюз по умолчанию? это какие настройки?
2. ну серверу еще как-то можно понять, а МикроТику ставить шлюз по умолчанию на корп. роутер зачем? Он туда ничего маршрутизировать не обирается. А сервер с корп. роутером вроде бы засвичеваны.

Что-то проброс портов мне тепер уж не кажется таким сложным )) Не хочется какие-то руты настраивать на сервере. Шлюз на корп. роутер.
Может я и не прав.

1. Шлюз маршрута на 0.0.0.0/0
2. А как вы, если надо, будете на микротик удаленно заходить?
Микротик получит от корп.роутера адрес (по dhcp или статикой), и маршрут по умолчанию тоже будет через него. Других то никаких выходов "наружу" у него нет.

Нет, ну в теории то конечно можно вообще не давать ни микротику, ни серверу дефолтного маршрута. Но тогда доступ до них будет только из подсети корп. роутера.

[mr_dima]

1. что значит МикроТику поставить шлюз по умолчанию? это какие настройки?
2. ну серверу еще как-то можно понять, а МикроТику ставить шлюз по умолчанию на корп. роутер зачем? Он туда ничего маршрутизировать не обирается. А сервер с корп. роутером вроде бы засвичеваны.

Что-то проброс портов мне теперь уж не кажется таким сложным )) Не хочется какие-то руты настраивать на сервере. Шлюз на корп. роутер.
Может я и не прав.

1. Шлюз маршрута на 0.0.0.0/0
2. А как вы, если надо, будете на микротик удаленно заходить?
Микротик получит от корп.роутера адрес (по dhcp или статикой), и маршрут по умолчанию тоже будет через него. Других то никаких выходов "наружу" у него нет.

Нет, ну в теории то конечно можно вообще не давать ни микротику, ни серверу дефолтного маршрута. Но тогда доступ до них будет только из подсети корп. роутера.

Так, мне надо время, чтобы подумать про то, что вы написали.. А ночью думается плохо))
Но вижу, вы мыслите масштабно.. и понимаю, что теперь, предоставленных мной исходных данных, недостаточно.

Короче.. я, как подрядчик, хожу в корп сеть завода через VPN. Но, меня пускают только(!) на некий компьютер в корп сети, с которого я далее по RDP могу прыгнуть на свой сервер или получить доступ к контроллерам. Больше ни к чему доступа у меня нет. Тот компьютер поставлен специально для того, чтобы доступ в сети контроллеров осуществлял я только с этого компьютера. Т.е. я буду с этого компьютера по RDP заходить на сервер и только с него настраивать микротик. Сам сервер в корп сеть уже будет выкидывать данные по открытым в корп сети портам sql.. ну и ещё парочке.
Повторю, к микротику доступ только с сервера.
Вопрос снова.. Нужен ли микротику шлюз по умолчанию на корп роутер?

[добавил]
0.0.0.0/0 - означает, что для того чтобы идти в любые сети используй шлюз такой то? Так?
Чтобы этот маршрут задать, надо сделать примерно как ниже на картинке. Так? - (192.168.100.1)
Но я не понимаю.. как тогда тогда будет работать маршрутизация с сервера в подсети контроллеров.

[xvo]

Нужен ли микротику шлюз по умолчанию на корп роутер?

При указанных выше условиях не жизненно необходим.
Может жить и без дефолтного маршрута.
Но только при условии, что кто-то (тот же корп роутер) ему будет NTP отдавать.

[mr_dima]

Нужен ли микротику шлюз по умолчанию на корп роутер?

При указанных выше условиях не жизненно необходим.
Может жить и без дефолтного маршрута.
Но только при условии, что кто-то (тот же корп роутер) ему будет NTP отдавать.

Про NTP, ок... Микротик будет делать запрос времени.. , да, надо понимать куда это кидать. Понятно.
Но всетаки, если указать маршрут для 0.0.0.0/0 на корп роутер, как Микротик будет трафик с сервера отправлять на сети контроллеров?
В голове у меня что-то не складывается.

Мне как-то может помочь сейчас GNS3 (Graphical Network Simulator)? стоящая штука?

[xvo]

Но всетаки, если указать маршрут для 0.0.0.0/0 на корп роутер, как Микротик будет трафик с сервера отправлять на сети контроллеров?
В голове у меня что-то не складывается.

До сетей контроллеров у него же есть другие "более узкие" маршруты.
Наличие дефолтного тут никак не помешает.

[mr_dima]

Кстати, приехал заказанный роутер (плата и корпус). Пойду забирать.. собирать )
Вот будет сейчас с чем поиграться ))

[xvo]

Мне как-то может помочь сейчас GNS3 (Graphical Network Simulator)? стоящая штука?

Не пользовал, но вообще да, стоящая.

[mr_dima]

Кстати, приехал заказанный роутер (плата и корпус). Пойду забирать.. собирать )
Вот будет сейчас с чем поиграться ))

[mr_dima]

Ну, что же.. поигрался. Первое впечатление положительное. Что-то даже работает. Но вот на чем я заткнулся..
Ниже - сначала полная конфигурация.. потом по частям.

Код: Выделить всё

/interface ethernet
set [ find default-name=ether1 ] name=ether1-Krones
set [ find default-name=ether2 ] name=ether2-BMJ
set [ find default-name=ether3 ] name=ether3-CMS
set [ find default-name=ether4 ] name=ether4-SRV
set [ find default-name=ether5 ] name=ether5-CORP
/interface list
add name=interface-list-PLC
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface list member
add interface=ether1-Krones list=interface-list-PLC
add interface=ether2-BMJ list=interface-list-PLC
add interface=ether3-CMS list=interface-list-PLC
/ip address
add address=10.17.211.170/24 interface=ether1-Krones network=10.17.211.0
add address=192.168.2.170/24 interface=ether2-BMJ network=192.168.2.0
add address=140.80.0.170/24 interface=ether3-CMS network=140.80.0.0
add address=192.168.100.170/24 interface=ether4-SRV network=192.168.100.0
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface-list=interface-list-PLC

add action=src-nat chain=srcnat disabled=yes dst-address=10.17.211.160 src-address=192.168.100.10 to-addresses=10.17.211.170
add action=src-nat chain=srcnat disabled=yes dst-address=192.168.2.1 src-address=192.168.100.10 to-addresses=192.168.2.170
/ip route
add distance=1 dst-address=10.17.211.0/24 gateway=ether1-Krones pref-src=10.17.211.170
add distance=1 dst-address=140.80.0.0/24 gateway=ether3-CMS pref-src=140.80.0.170
add distance=1 dst-address=192.168.2.0/24 gateway=ether2-BMJ pref-src=192.168.2.170

Пробовал два варианта конфигурирования NAT
Сначала - через список интерфейсов и masquerade
Затем - напрямую через src-nat
Не смотрите, что задизаблено.. это я в WinBox уже игрался, переключал.

Код: Выделить всё

/ip firewall nat
(правило 1) add action=src-nat chain=srcnat disabled=yes dst-address=10.17.211.160 src-address=192.168.100.10 to-addresses=10.17.211.170 
(правило 1) add action=src-nat chain=srcnat disabled=yes dst-address=192.168.2.1 src-address=192.168.100.10 to-addresses=192.168.2.170 

Тестирую..
Делаю пинг с компьютера (ноутбук 192.168.100.10 на интерфейсе ether4-SRV ) на 10.17.211.160
При включении выключении правила, написанного через Interface-list все замечательно. Пинг то проходит, то не проходит.
А вот при использовании правил через src-nat имею просто очень странное поведение.

Когда включены правила 1 и 2, то выключение правила 1 НЕ приводит к остановке пинга на адрес 211.160 (!)
Только выключение следом правила 2 приводит к остановке пинга.
Далее включаю правила в обратной последовательности.. сначала включаю правило 2, пинга нет. Ок.
Включаю правило 1 - пинга снова нет (!!)
Выключаю оба и включаю теперь сначала 1 (правило 1 включено единолично, остальные отключены) - пинг пошел.
Только так и работает. Ощущение, что соседние правила мешают и включению и выключению правил.
И так постоянно.

Ну что это? Не понимаю, это глюк или фича?
Почему через интерфейс-лист решил не делать.. Где-то вычитал, что на это больше процессорного времени тратится.
Понимаю, что не так уж и много.. но уже дело принципа. Хочется понять, что не так происходит? Получается, правила глючат.

В остальном, обмен с контроллерами идет.
По взаимодействию с Corp сетью еще буду подумать.

[xvo]

Вы пинг то по новой запускаете после того как правила включаете/выключаете?