В принципе можно 4 и 5 порты в бридж, и пусть и сервер и микротик будут клиентами в корп. сети.
Тогда надо на самом сервере прописать маршруты до сетей контроллеров через микротик.
А на микротике не разрешать никому кроме сервера туда ходить, даже если захотят.
А можно только микротик сделать клиентом в корп. сети.
Тогда на корп. роутере надо будет прописать маршрут до подсети, где сервер, через микротик. Ну и опять же firewall на микротике тоже доработать.
Какую модель выбрать?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Telegram: @thexvo
-
- Сообщения: 41
- Зарегистрирован: 05 авг 2020, 09:53
Так.. извините, все же я не сетевик, соображаю меленно..xvo писал(а): ↑12 авг 2020, 18:52 В принципе можно 4 и 5 порты в бридж, и пусть и сервер и микротик будут клиентами в корп. сети.
Тогда надо на самом сервере прописать маршруты до сетей контроллеров через микротик.
А на микротике не разрешать никому кроме сервера туда ходить, даже если захотят.
А можно только микротик сделать клиентом в корп. сети.
Тогда на корп. роутере надо будет прописать маршрут до подсети, где сервер, через микротик. Ну и опять же firewall на микротике тоже доработать.
1. Бридж это ведь то же самое что и switch? Только программный, через процесор?
2. Если вариант 1 (бридж), то проброс портов не надо ведь делать? Маршруты на роутере RCorp тоже никакие не надо ?
3. По варианту 2 ... Я вообще думал, что мой роутер, собственно, и будет прикидываться Сервером для всех тех, кто в корп. сети. Т.е. у моего роутера будет IP моего Сервера. (Что-то поменять в корп. сети очень сложно).
Но значит тогда придется порты пробрасывать. Так?
Вообще, я не очень понял, что значит маршрут прописать в роутере корп. сети. Т.е. надо указать, что если адрес назначения - это IP моего сервера, то дальше слать запрос на такой-то шлюз (роутер). Так? А сам маршрут не найдется? )
Мне кажется, вариант 1 попроще будет.
Если я что-то не то говорю, поправьте пожалуйста.
В данный момент заказываю роутер. Хочу для начала RBMRTG на одну площадку.. Но засада, что-то нет нигде (
А другой такой модели.. маленькой в железе тоже не вижу. Плату отдельно вижу и корпус. Может их возьму (видимо остатки какое-то) Так еще и блок питания же надо где-то искать ))
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
RBMRTG- это набор из: платы, корпуса и блока питания, которые придумал один российский дистрибьютор. Микротик их в сборе не производит поэтому берите плату и корпус и БП у любого поставщика, где Вам понравятся условия.
По поводу сетей, задача будет решатся в каждом отдельном случае по разному. Зависит от сетей к которым будете подключаться. Если в сети есть шлюз к корпоративной сети, то Вам придется пользоваться им, там где нет шлюза и подключения, там будите делать через свой роутер. В общем здесь проблемы придется решать по мере их поступления. Ну и маршрутизацию придется подучить. Хотя бы по "Сети для самых маленьких"
ЗЫ по рисунку если в сети 10.17.211.129 имеет выход в корпаративную сеть R-Corp то Вы создадите петлю.
По поводу сетей, задача будет решатся в каждом отдельном случае по разному. Зависит от сетей к которым будете подключаться. Если в сети есть шлюз к корпоративной сети, то Вам придется пользоваться им, там где нет шлюза и подключения, там будите делать через свой роутер. В общем здесь проблемы придется решать по мере их поступления. Ну и маршрутизацию придется подучить. Хотя бы по "Сети для самых маленьких"
ЗЫ по рисунку если в сети 10.17.211.129 имеет выход в корпаративную сеть R-Corp то Вы создадите петлю.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 41
- Зарегистрирован: 05 авг 2020, 09:53
Не не.. сети изолированы. Висят в воздухе. Там нет никаких выходов. Но вообще, надо проверить.Ca6ko писал(а): ↑12 авг 2020, 22:48 RBMRTG- это набор из: платы, корпуса и блока питания, которые придумал один российский дистрибьютор. Микротик их в сборе не производит поэтому берите плату и корпус и БП у любого поставщика, где Вам понравятся условия.
По поводу сетей, задача будет решатся в каждом отдельном случае по разному. Зависит от сетей к которым будете подключаться. Если в сети есть шлюз к корпоративной сети, то Вам придется пользоваться им, там где нет шлюза и подключения, там будите делать через свой роутер. В общем здесь проблемы придется решать по мере их поступления. Ну и маршрутизацию придется подучить. Хотя бы по "Сети для самых маленьких"
ЗЫ по рисунку если в сети 10.17.211.129 имеет выход в корпаративную сеть R-Corp то Вы создадите петлю.
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 41
- Зарегистрирован: 05 авг 2020, 09:53
Ясно про роутер.Ca6ko писал(а): ↑12 авг 2020, 22:48 RBMRTG- это набор из: платы, корпуса и блока питания, которые придумал один российский дистрибьютор. Микротик их в сборе не производит поэтому берите плату и корпус и БП у любого поставщика, где Вам понравятся условия.
По поводу сетей, задача будет решатся в каждом отдельном случае по разному. Зависит от сетей к которым будете подключаться. Если в сети есть шлюз к корпоративной сети, то Вам придется пользоваться им, там где нет шлюза и подключения, там будите делать через свой роутер. В общем здесь проблемы придется решать по мере их поступления. Ну и маршрутизацию придется подучить. Хотя бы по "Сети для самых маленьких"
Собственно, да, корп. шлюз я и изобразил в виде роутера R-Corp.
Так, но правда же надо как-то объяснить МикроТику как пакеты слать в корп сеть.
Если объединить в бридж 4 и 5 порты, тогда Сервер и роутер корп. сети (он же шлюз) будут в одной сети. Это хорошо. Но это не все.
На сервере шлюзом настроен сам МикроТик (192.168.100.170)
Теперь надо сказать МикроТику, что если пакет идет в корп. сеть, то используй интерфейс такой-то..
Корп сеть у меня такая - 11.206.40.0/24 Тогда маршрут надо прописать так?
Код: Выделить всё
add distance=1 dst-address=11.206.40.0/24 gateway=192.168.100.1
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ещё разок:
Вариант 1: бридж (=свитч). Каждый сам за себя. Корп. роутер будет видеть два устройства - микротик и сервер.
На сервере нужно будет настраивать маршруты до сетей контроллеров.
На микротике: firewall.
На корп. роутере: ничего
Вариант 2: роутинг. Сервер за микротиком. Корп. роутер видит микротик и знает, что за ним что-то есть.
На сервере: ничего.
На микротике: firewall.
На корп. роутере: маршрут до сети, в которой сервер.
Вариант 3: NAT. Сервер за микротиком. Корп. роутер видит только микротик, больше ничего не знает.
На сервере: ничего.
На микротике: firewall и NAT (проброс портов).
На корп. роутере: ничего.
Выбирайте, что больше по душе.
Вариант 1: бридж (=свитч). Каждый сам за себя. Корп. роутер будет видеть два устройства - микротик и сервер.
На сервере нужно будет настраивать маршруты до сетей контроллеров.
На микротике: firewall.
На корп. роутере: ничего
Вариант 2: роутинг. Сервер за микротиком. Корп. роутер видит микротик и знает, что за ним что-то есть.
На сервере: ничего.
На микротике: firewall.
На корп. роутере: маршрут до сети, в которой сервер.
Вариант 3: NAT. Сервер за микротиком. Корп. роутер видит только микротик, больше ничего не знает.
На сервере: ничего.
На микротике: firewall и NAT (проброс портов).
На корп. роутере: ничего.
Выбирайте, что больше по душе.
Telegram: @thexvo
-
- Сообщения: 41
- Зарегистрирован: 05 авг 2020, 09:53
Вариант 3 я понимаю...xvo писал(а): ↑12 авг 2020, 23:53 Ещё разок:
Вариант 1: бридж (=свитч). Каждый сам за себя. Корп. роутер будет видеть два устройства - микротик и сервер.
На сервере нужно будет настраивать маршруты до сетей контроллеров.
На микротике: firewall.
На корп. роутере: ничего
Вариант 2: роутинг. Сервер за микротиком. Корп. роутер видит микротик и знает, что за ним что-то есть.
На сервере: ничего.
На микротике: firewall.
На корп. роутере: маршрут до сети, в которой сервер.
Вариант 3: NAT. Сервер за микротиком. Корп. роутер видит только микротик, больше ничего не знает.
На сервере: ничего.
На микротике: firewall и NAT (проброс портов).
На корп. роутере: ничего.
Выбирайте, что больше по душе.
Вариант 2 не нравится тем, что надо трогать корп. роутер.
Вариант 1 я не очен понял. Заем настраивать маршруты какие-то на сервере? )
У нас же МикроТик должен понять, что на него кинули пакет для подсети контроллера.. он должен NAT сделать. Почему какие-то маршруты надо?
Вот может в МикроТике надо указать маршрут до корп. роутера (в коде последняя строка).
Или онт так не работает? )
Мне казалось, Сервер кидает все пакеты на МикроТик (шлюз по умолчанию) и тот разруливает что куда.
Код: Выделить всё
/interface bridge
add name=bridge4-5
/interface bridge port
add bridge=bridge4-5 interface=ether4
add bridge=bridge4-5 interface=ether5
/interface list
add name=interface_list_PLC
/ip firewall address-list
add address=10.17.211.160 list=addr_list_PLC
add address=192.168.2.1 list=addr_list_PLC
add address=140.80.0.1 list=addr_list_PLC
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.100.10 out-interface-list=interface_list_PLC
/ip firewall filter
add action=accept chain=forward dst-address=192.168.100.10 src-address-list=addr_list_PLC
add action=accept chain=forward dst-address-list=addr_list_PLC src-address=192.168.100.10
add action=accept chain=forward protocol=icmp
add action=reject chain=forward reject-with=icmp-network-unreachable
add distance=1 dst-address=11.206.40.0/24 gateway=192.168.100.1
На счет последнего не уверен..
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Если у нас и микротик и сервер в сети корп. роутера, то для них шлюзом по-умолчанию надо будет делать этот корп роутер, иначе ничего хорошего не получится.
Но корп. роутер ничего не знает про подсети контроллеров, так что тогда надо либо на нем эти маршруты прописывать, либо на самом сервере.
Telegram: @thexvo
-
- Сообщения: 41
- Зарегистрирован: 05 авг 2020, 09:53
1. что значит МикроТику поставить шлюз по умолчанию? это какие настройки?xvo писал(а): ↑13 авг 2020, 01:17Если у нас и микротик и сервер в сети корп. роутера, то для них шлюзом по-умолчанию надо будет делать этот корп роутер, иначе ничего хорошего не получится.
Но корп. роутер ничего не знает про подсети контроллеров, так что тогда надо либо на нем эти маршруты прописывать, либо на самом сервере.
2. ну серверу еще как-то можно понять, а МикроТику ставить шлюз по умолчанию на корп. роутер зачем? Он туда ничего маршрутизировать не обирается. А сервер с корп. роутером вроде бы засвичеваны.
Что-то проброс портов мне тепер уж не кажется таким сложным )) Не хочется какие-то руты настраивать на сервере. Шлюз на корп. роутер.
Может я и не прав.