прошу помочь с Mikrotik CRS125-24G-1S-2HnD-IN

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Alex1988
Сообщения: 12
Зарегистрирован: 05 фев 2018, 10:03

KARaS'b писал(а): 07 фев 2018, 11:22 Вот теперь все стало намного понятней.
Вот теперь все стало действительно намного понятней.
Огромное спасибо за ваши разъяснения, сегодня наконец удалось проверить все на практике, настроил согласно мануалам но в итоге интернет не доступен на клиентах. поправьте меня если я где то ошибся, создав бридж и включив в него все порты кроме ether1, я назначил Микротику адрес текущего шлюза на сервере (если я правильно понимаю, то адрес шлюза это ip машины с серверной системой, именно этот ip прописан на клиентских машинах в настройках сетевого адаптера как основной шлюз и он же как предпочитаемый днс сервер -192.168.1.3 ...). Далее по мануалу Навастривал DNS сервер, не совсем понимаю какой именно адрес необходимо было вбивать, сначала поставил опять адрес 192.168.1.3, локальная работает, клиенты видят друг дуга, интернет пингуется только терминалом на микротике, сейчас днс настроил строго по мануалу с адресом 8.8.8.8
Далее в мануале идет настройка DHCP сервера, но в начале статьи было предупреждение - "Если есть устройства с IP, назначенными вручную, то нужно, чтобы пул адресов DHCP на Микротике с ними не пересекался". поэтому я dhcp настраивать не стал, вначале, но позже когда увидел что интернета нет, все таки попробовал с такими параметрами - adress spase 192.168.1.0/24 , gateway for dhcp network 192.168.1.3 , adress give out 192.168.1.1-192.168.1.2 ; 192.168.1.4-192.168.1.254 , dns server - 192.168.1.3
по итогу наличие или отсутствие настроенного dhcp не повлияло на доступ клиентов к инету.
далее все по мануалу, настроил pppoe и nat.

Подскажите пожалуйста, где я совершил ошибку :ne_vi_del:


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

В терминале микротика пишите "export" и копируете результат сюда под спойлер, заменяя все интимные моменты в виде паролей и т.д. звездочками.


Alex1988
Сообщения: 12
Зарегистрирован: 05 фев 2018, 10:03

KARaS'b писал(а): 07 мар 2018, 12:37 В терминале микротика пишите "export" и копируете результат сюда под спойлер, заменяя все интимные моменты в виде паролей и т.д. звездочками.

















MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK

MikroTik RouterOS 6.39.2 (c) 1999-2017 http://www.mikrotik.com/

[?] Gives the list of available commands
command [?] Gives help on the command and list of arguments

[Tab] Completes the command/word. If the input is ambiguous,
a second [Tab] gives possible options

/ Move up to base level
.. Move up one level
/command Use command at the base level
(81 messages not shown)
mar/07/2018 12:38:12 system,error,critical login failure for user root from 189.18.159.144 via telnet
mar/07/2018 12:38:14 system,error,critical login failure for user admin from 189.18.159.144 via telnet
mar/07/2018 12:38:16 system,error,critical login failure for user admin from 189.18.159.144 via telnet
mar/07/2018 12:38:20 system,error,critical login failure for user 666666 from 189.18.159.144 via telnet
mar/07/2018 12:38:22 system,error,critical login failure for user guest from 189.18.159.144 via telnet
mar/07/2018 12:38:24 system,error,critical login failure for user admin from 189.18.159.144 via telnet
mar/07/2018 12:38:28 system,error,critical login failure for user admin from 189.18.159.144 via telnet
mar/07/2018 12:38:30 system,error,critical login failure for user admin from 189.18.159.144 via telnet
[admin@MikroTik] > export
# mar/07/2018 12:42:08 by RouterOS 6.39.2
# software id = VGUX-DFCT
#
/interface bridge
add name=bridge1
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=********* user=9280721@pppoe
/ip pool
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.254
add name=dhcp_pool2 ranges=192.168.1.1-192.168.1.2,192.168.1.4-192.168.1.254
add name=dhcp_pool3 ranges=192.168.1.1-192.168.1.2,192.168.1.4-192.168.1.254
add name=dhcp_pool4 ranges=192.168.1.1-192.168.1.2,192.168.1.4-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool4 interface=bridge1 name=dhcp1 relay=192.168.1.3
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
add bridge=bridge1 interface=ether14
add bridge=bridge1 interface=ether15
add bridge=bridge1 interface=ether16
add bridge=bridge1 interface=ether17
add bridge=bridge1 interface=ether18
add bridge=bridge1 interface=ether19
add bridge=bridge1 interface=ether20
add bridge=bridge1 interface=ether21
add bridge=bridge1 interface=ether22
add bridge=bridge1 interface=ether23
add bridge=bridge1 interface=ether24
/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.3 gateway=192.168.1.3
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.1.0/24
/system clock
set time-zone-name=Europe/Moscow
[admin@MikroTik] >
12:42:50 echo: system,error,critical login failure for user 0101 from 5.188.10.176 via ssh
[admin@MikroTik] >


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Ну в конфиге вроде все норм, особо криминала нет.
У вашего контроллера адрес 192.168.1.1? После настройки микротика вы его отключали от сети?
Почему спрашиваю, потому что есть небольшой косяк с моей стороны, о котором не подумал, а именно, если у вас действительно развернуто AD и адрес сервера 192,168,1,1 и компы загнаны в домен, то у вас ничего не выйдет, или пока вы не смените адрес серверу, что крайне плохо, или пока не смените адрес микротику, что повлечет за собой смену шлюза каждому устройству в сети с вручную прописанными настройками сети.
Для проверки, в самом начале прямо из терминала микротика пропингуйте какой нибудь внешний ресурс, он должен пинговаться. Если да, то возьмите отдельно взятую машину (лучше что не доменную) и временно отделив микротик и эту машину от сети (что бы избежать коллизий связанных с одинаковыми адресами контроллера домена и вашего микротика) проверьте доступность инета с нее, скорее всего тут тоже все будет впорядке.
Если все прошло успешно, то дальше все что вам остается это изменить адрес микротику, если вы собираетесь оставить ваш AD сервер в сети и изменение настроек всех пк со статикой. Но раз вы это начнете проделывать и у вас нет веских причин для оставления компам статики, то под шумок можно поднять DHCP и не парится с дальнейшими настройками. Но все это только если вы уверены что компы можно переводить со статики на DHCP, после чего сами микротик выдаст вашим компам правильные настройки и вам не придется больше ломать над этим голову.
На данный момент с вероятность в 99% я уверен, что ваша проблема из-за того, что в сети остается и продолжает работать сервер, адрес которого теперь имеет еще и микротик, что и мешает работоспособности интернета.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Alex1988 писал(а): 07 мар 2018, 12:55 mar/07/2018 12:38:12 system,error,critical login failure for user root from 189.18.159.144 via telnet
# mar/07/2018 12:42:08 by RouterOS 6.39.2
Ваша конфигурация никуда не годится. Наймите специалиста.
несколько "наводок":
1. у вас коммутатор, но вы не используете чип-коммутации. лучше обновите на последнюю версию ROS
2. настройте правила файервола, а то он вообще не защищен
3. маскарад лучше использовать для интерфейса а не адресов
4. надеюсь понимаете для чего dhcp relay и gateway=192.168.1.3 присутствуют в вашей конфигурации


Александр
Alex1988
Сообщения: 12
Зарегистрирован: 05 фев 2018, 10:03

KARaS'b писал(а): 07 мар 2018, 15:21 У вашего контроллера адрес 192.168.1.1?
У контроллера адрес 192.168.1.3
Микротику назначал IP и 192.168.1.1 и 192.168.1.3 методом научного тыка и подбора пробовал по всякому, но сам сервер не отключал.

Вообщем подключил к чистой машине микротик, при попытке пропинговать сам микротик по адресу 192.168.1.1 с помощью командной строки, пингуется почему то адрес 192.168.88.1 и выдается сообщение заданная сеть недоступна. Назначаю IP ручками, 192.168.1.11 - начинает нормально пинговаться. Но интернета все же нет, командная строка на команду ping ya.ru сообщает - при проверке связи не удалось обнаружить узел ya.ru и т д, как и раньше при подключенных к домену машинах. Вот такие настройки сейчас.


mar/12/2018 10:17:24 system,error,critical login failure for user ubnt from 192.210.198.18 via ssh
[admin@MikroTik] > export
# mar/12/2018 10:28:20 by RouterOS 6.39.2
# software id = VGUX-DFCT
#
/interface bridge
add name=bridge1
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=***** user=*******
/ip pool
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.254
add name=dhcp_pool2 ranges=192.168.1.1-192.168.1.2,192.168.1.4-192.168.1.254
add name=dhcp_pool3 ranges=192.168.1.1-192.168.1.2,192.168.1.4-192.168.1.254
add name=dhcp_pool4 ranges=192.168.1.1-192.168.1.2,192.168.1.4-192.168.1.254
add name=dhcp_pool5 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool5 disabled=no interface=bridge1 name=dhcp2 relay=192.168.1.1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
add bridge=bridge1 interface=ether14
add bridge=bridge1 interface=ether15
add bridge=bridge1 interface=ether16
add bridge=bridge1 interface=ether17
add bridge=bridge1 interface=ether18
add bridge=bridge1 interface=ether19
add bridge=bridge1 interface=ether20
add bridge=bridge1 interface=ether21
add bridge=bridge1 interface=ether22
add bridge=bridge1 interface=ether23
add bridge=bridge1 interface=ether24
/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.1.0/24
/system clock
set time-zone-name=Europe/Moscow


Alex1988
Сообщения: 12
Зарегистрирован: 05 фев 2018, 10:03

algerka писал(а): 09 мар 2018, 20:53
Alex1988 писал(а): 07 мар 2018, 12:55 mar/07/2018 12:38:12 system,error,critical login failure for user root from 189.18.159.144 via telnet
# mar/07/2018 12:42:08 by RouterOS 6.39.2
Ваша конфигурация никуда не годится. Наймите специалиста.
несколько "наводок":
1. у вас коммутатор, но вы не используете чип-коммутации. лучше обновите на последнюю версию ROS
2. настройте правила файервола, а то он вообще не защищен
3. маскарад лучше использовать для интерфейса а не адресов
4. надеюсь понимаете для чего dhcp relay и gateway=192.168.1.3 присутствуют в вашей конфигурации
Спасибо за "наводки"_) к сожалению в моем населенном пункте проживает не более 2 тысяч человек и специалиста по сетевым коммуникациям здесь днем с огнем не сыскать, да и бюджет не позволяет воспользоваться услугами предлагаемыми в интернете фирмами. Я думаю с появлением такой умной штуки как микротик, я бы смог отказаться от использования этого виндовс сервера, перевести все машины из домена в простую рабочую группу а саму машину использовать как сетевую папку обмена информацией с обычной виндой. Но для начала мне нужно просто заставить ее раздавать интернет. после чего заняться файрволом и углубиться в литературу по использованию этой умной коробки.


Alex1988
Сообщения: 12
Зарегистрирован: 05 фев 2018, 10:03

В любом случае, спасибо огромное всем участникам, методом проб и ошибок, пользуясь вашими советами, таки удалось шайтан коробку под названием МИКРОТИК дать доступ в интернет клиентской машине (хоть и не подключенной к домену). Далее хочу пойти простым путем, убрать из сети сервер, переключить машины в рабочую группу и настроить грамотно файрвол. Буду читать читать и читать


Alex1988
Сообщения: 12
Зарегистрирован: 05 фев 2018, 10:03

KARaS'b писал(а): 07 мар 2018, 15:21 Ну в конфиге вроде все норм, особо криминала нет.
У вашего контроллера адрес 192.168.1.1? После настройки микротика вы его отключали от сети?
Почему спрашиваю, потому что есть небольшой косяк с моей стороны, о котором не подумал, а именно, если у вас действительно развернуто AD и адрес сервера 192,168,1,1 и компы загнаны в домен, то у вас ничего не выйдет, или пока вы не смените адрес серверу, что крайне плохо, или пока не смените адрес микротику, что повлечет за собой смену шлюза каждому устройству в сети с вручную прописанными настройками сети.
Для проверки, в самом начале прямо из терминала микротика пропингуйте какой нибудь внешний ресурс, он должен пинговаться. Если да, то возьмите отдельно взятую машину (лучше что не доменную) и временно отделив микротик и эту машину от сети (что бы избежать коллизий связанных с одинаковыми адресами контроллера домена и вашего микротика) проверьте доступность инета с нее, скорее всего тут тоже все будет впорядке.
Если все прошло успешно, то дальше все что вам остается это изменить адрес микротику, если вы собираетесь оставить ваш AD сервер в сети и изменение настроек всех пк со статикой. Но раз вы это начнете проделывать и у вас нет веских причин для оставления компам статики, то под шумок можно поднять DHCP и не парится с дальнейшими настройками. Но все это только если вы уверены что компы можно переводить со статики на DHCP, после чего сами микротик выдаст вашим компам правильные настройки и вам не придется больше ломать над этим голову.
На данный момент с вероятность в 99% я уверен, что ваша проблема из-за того, что в сети остается и продолжает работать сервер, адрес которого теперь имеет еще и микротик, что и мешает работоспособности интернета.
окончательно расхрабрившись, решил попробовать метод работы с сервером, и все стало хорошо работать, но не у всех. Некоторые машины клиентов без проблем, есть и интернет и сетевая папка для обмена видится. Но некоторые машины не хотят, не пингуется ни сервер, говорит - заданная сеть не доступна, ни интернет. Сначала грешил на виндовс 7, но впоследствии обнаружилось и на ХР. Причем машины коротые не видят сервер и интернет, друг друга видят прекрасно, словно они включены в другую сеть...


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Alex1988 писал(а): 13 мар 2018, 09:17
окончательно расхрабрившись, решил попробовать метод работы с сервером, и все стало хорошо работать, но не у всех. Некоторые машины клиентов без проблем, есть и интернет и сетевая папка для обмена видится. Но некоторые машины не хотят, не пингуется ни сервер, говорит - заданная сеть не доступна, ни интернет. Сначала грешил на виндовс 7, но впоследствии обнаружилось и на ХР. Причем машины коротые не видят сервер и интернет, друг друга видят прекрасно, словно они включены в другую сеть...
Сервер не пингуется по имени, или по адресу?
Если по имени, то:

Win XP нуждается в сервере WINS для работы с сетью.
WIN 7 - в сервере DNS, именно микрософтовской реализации.

Эти службы у вас подняты в сети?

DHCP сервер их адреса клиентам сообщает?


Ответить