Простая задача

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Varrax
Сообщения: 22
Зарегистрирован: 19 ноя 2015, 13:30

04 мар 2019, 16:32

Здравствуйте!

Сразу скажу, что специалист я небольшой, поэтому прошу отнестись с пониманием: с утра 1016 настраиваешь, вечером на гармошке играешь, ибо некому...

CCR1016-12G 6.43.2

Bridge

Схема: Провайдер ether1 - Локалка 192.168.32.0/22 (свич) ether2

Все прекрасно работает.

Потребовалось подключить к интернету напрямую через ether7 1016 железку с адресацией 10.10.10.0/24

Прописал в портах Bridge ether7, адреса везде прописал, нефига не работает. Сижу туплю. Интернет на железку не идет.

Код: Выделить всё

# mar/04/2019 23:24:43 by RouterOS 6.43.2
# software id = NH44-CNJ9
#
# model = CCR1016-12G
# serial number = 
/interface bridge
add arp=reply-only fast-forward=no name=bridge1
/interface ethernet
set [ find default-name=ether1 ] loop-protect=off speed=100Mbps
set [ find default-name=ether2 ] loop-protect=off speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] speed=100Mbps
set [ find default-name=ether7 ] loop-protect=off speed=100Mbps
set [ find default-name=ether8 ] speed=100Mbps
set [ find default-name=ether9 ] speed=100Mbps
set [ find default-name=ether10 ] speed=100Mbps
set [ find default-name=ether11 ] speed=100Mbps
set [ find default-name=ether12 ] speed=100Mbps
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/queue simple
add max-limit=512k/512k name=speed512 target="192.168.32.8/32,192.168.32.19/32,1\
    92.168.32.10/32,192.168.32.62/32,192.168.32.67/32,192.168.32.128/32,192.168.\
    32.181/32,192.168.32.184/32,192.168.32.195/32,192.168.33.30/32,192.168.33.13\
    5/32,192.168.35.252/32,192.168.32.189/32,192.168.32.166/32"
add max-limit=2M/1M name=speed2048 target=\
    192.168.32.181/32,192.168.32.110/32,192.168.33.181/32,192.168.34.184/32
add max-limit=3M/5M name=3072 target=192.168.35.215/32
add max-limit=1M/2M name="\C7\EE\EB\EE\F2\EE\E2" target=192.168.35.203/32
add max-limit=1M/1M name=1024 target=192.168.32.120/32
add max-limit=0/40M name=queue1 target=192.168.32.7/32
/interface bridge port
add bridge=bridge1 hw=no interface=ether2
add bridge=bridge1 interface=ether7
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=175.331.88.89/29 comment=defconf interface=ether1 network=\
    175.331.88.88
add address=192.168.32.169/22 interface=ether2 network=192.168.32.0
add address=175.331.88.92/29 interface=ether1 network=175.331.88.88
add address=10.10.10.20/24 interface=ether7 network=10.10.10.0
/ip arp
add address=192.168.32.115 interface=bridge1 mac-address=90:2B:34:94:CE:2E
add address=192.168.32.7 comment=Usergate interface=bridge1 mac-address=\
    00:21:5E:3F:01:14
add address=192.168.32.6 comment="\D8\E5\F4" interface=bridge1 mac-address=\
    C4:6E:1F:07:3D:01
add address=192.168.32.8 comment=\
    "\C7\E0\E2\E0\F0\E8\F5\E8\ED\E0 \E0\E9\F4\EE\ED" interface=bridge1 \
    mac-address=98:00:C6:88:32:EF
add address=192.168.33.12 comment="\D0\EE\F3\F2\E5\F0 112" interface=bridge1 \
    mac-address=00:24:81:83:7A:E5
add address=192.168.32.19 comment="\CB\E8\F1\EE\E2\E0" interface=bridge1 \
    mac-address=30:F9:ED:C4:8E:A7
add address=192.168.32.62 comment="\CA\E8\F0\E8\EB\EE\E2" interface=bridge1 \
    mac-address=00:01:6C:B5:20:22
add address=192.168.32.64 comment="\D1\E8\EB\E0\ED\F2\FC\E5\E2" interface=\
    bridge1 mac-address=74:E6:E2:30:0B:AD
add address=192.168.32.67 comment="\D1\E8\EB\E0\ED\F2\FC\E5\E2 \E0\E9\F4\EE\ED" \
    interface=bridge1 mac-address=90:B9:31:3C:E2:0D
add address=192.168.32.106 comment=Web interface=bridge1 mac-address=\
    E4:1F:13:E2:AB:C0
add address=192.168.32.125 comment="\CC\E0\E3\E5\EB\EB\E0\ED" interface=bridge1 \
    mac-address=AC:1F:6B:1A:05:5C
add address=192.168.32.128 comment="\C7\E8\ED\F7\E5\ED\EA\EE" interface=bridge1 \
    mac-address=90:2B:34:89:C7:26
add address=192.168.32.131 comment="\C3\E0\F0\E0\ED\F2" interface=bridge1 \
    mac-address=34:40:B5:89:78:66
add address=192.168.32.167 comment="\C5\F4\E8\EC\EE\E2" interface=bridge1 \
    mac-address=E8:11:32:D6:90:26
add address=192.168.32.181 comment="\D0\EE\F3\F2\E5\F0 \EA\E0\E4\F0\FB" \
    interface=bridge1 mac-address=00:26:5A:B0:1D:97
add address=192.168.32.183 comment="\D0\EE\F3\F2\E5\F0 \D4\DD\CE" interface=\
    bridge1 mac-address=1C:7E:E5:8C:C1:A3
add address=192.168.32.184 comment="\D1\C1\C8\D1" interface=bridge1 \
    mac-address=FC:AA:14:D6:CF:30
add address=192.168.32.200 comment="\D4\E0\E9\EB\EE\EE\E1\EC\E5\ED\ED\E8\EA" \
    interface=bridge1 mac-address=00:08:9B:D6:A3:C6
add address=192.168.32.235 comment="\D1\E5\F0\E2\E5\F0 235" interface=bridge1 \
    mac-address=00:22:19:B3:79:DC
add address=192.168.33.30 comment="\CA\E8\F9\E5\ED\EA\EE\E2" interface=bridge1 \
    mac-address=4C:02:89:0F:7A:E6
add address=192.168.33.135 comment="\CA\E0\E4\E5\F2\FB" interface=bridge1 \
    mac-address=E0:3F:49:B0:5E:D8
add address=192.168.33.145 comment="\D1\C4\CE2" interface=bridge1 mac-address=\
    6C:92:BF:37:70:DE
add address=192.168.34.184 comment="\D4\CF\CA" interface=bridge1 mac-address=\
    E0:69:95:62:CF:35
add address=192.168.35.251 comment="\D1\E2\FF\E7\E8\F1\F2\FB" interface=bridge1 \
    mac-address=00:1C:F0:0C:E0:4B
add address=192.168.32.189 comment="\C3\E0\E2\F0\E8\EB\EE\E2" interface=bridge1 \
    mac-address=78:02:F8:FB:BE:FB
add address=192.168.33.181 comment="\CA\EE\EC\E5\ED\E4\E0\ED\F2\EE\E2" \
    interface=bridge1 mac-address=00:14:D1:14:8C:19
add address=192.168.32.4 comment=Im interface=bridge1 mac-address=\
    88:75:98:4F:AC:B3
add address=192.168.35.203 comment="\C7\EE\EB\EE\F2\EE\E2" interface=bridge1 \
    mac-address=64:70:02:06:58:CD
add address=192.168.35.215 comment="\C4\EC\E8\F2\F0\E8\E5\E2" interface=bridge1 \
    mac-address=00:25:AB:3C:40:FC
add address=192.168.34.172 comment="\CA\EB\E0\F1\F1 \D4\CF \E8 \CF\CA" \
    interface=bridge1 mac-address=E0:69:95:88:38:38
add address=192.168.32.166 comment="\F1\E5\F0\E2\E5\F0 \F6\F3\EA\F1" interface=\
    bridge1 mac-address=0C:C4:7A:18:54:E5
add address=192.168.32.54 comment="TPLINK \D3\CF\D7" interface=bridge1 \
    mac-address=B0:4E:26:5D:B2:2F
add address=192.168.32.110 comment="\D0\EE\EC\E0" interface=bridge1 \
    mac-address=00:E0:53:14:BA:74
add address=192.168.32.170 comment=Test interface=bridge1 mac-address=\
    E0:DB:55:D7:24:D6
add address=192.168.35.233 interface=bridge1 mac-address=E0:DB:55:D7:24:D6
add address=10.10.10.22 interface=bridge1 mac-address=AC:1F:6B:75:D2:D5
/ip dhcp-client
add dhcp-options=hostname,clientid interface=ether1
/ip dns
set allow-remote-requests=yes servers=37.255.238.35,37.255.238.35
/ip dns static
add address=192.168.32.106 name=teamviewer.com
add address=192.168.32.106 name=*.teamviewer.com
add address=192.168.32.106 name=www.teamviewer.com
add address=192.168.32.106 name=*.teamviewer.*
/ip firewall address-list
add address=77.111.247.0/24 comment=hidecomment list=blacklist
/ip firewall filter
add action=reject chain=forward comment=ok.ru content=ok.ru disabled=yes \
    protocol=tcp reject-with=tcp-reset src-address=192.168.32.7
add action=reject chain=forward comment=youtube.com content=youtube.com \
    disabled=yes protocol=tcp reject-with=tcp-reset src-address=192.168.32.7
add action=reject chain=forward comment=Vk.com content=vk.com disabled=yes \
    protocol=tcp reject-with=tcp-reset src-address=192.168.32.7
add action=drop chain=forward
/ip firewall nat
-
/ip firewall raw
add action=drop chain=prerouting comment=BlackList src-address=192.168.32.7 \
    src-address-list=blacklist
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
/ip route
add distance=1 gateway=175.331.88.94
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/lcd
set time-interval=hour
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=1016
/system routerboard settings
set silent-boot=no
[admin@1016] > 


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2493
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

04 мар 2019, 16:43

Varrax писал(а):
04 мар 2019, 16:32
Потребовалось подключить напрямую к 1016 железку с адресацией 10.10.10.0/24 через ether7
Прописал в портах Bridge ether7, адреса везде прописал, нефига не работает. Сижу туплю. Интернет на железку не идет.
Пока на скорую руку:
Вы взяли порт7 добавили в бридж, но при этом хотите чтобы Ваша сеть 192.168.32.0/24 и новая сеть
10.10.10.0/24 виделись? НО как они будут видеться, если Вы их на уровне физики замкнули?
То есть Вы не дали роутеру даже право поучастовать в этом :-)

1-й вариант,
это порт 7 вытащите из бриджа, ему давайте адресацию, и уже микротик будет знать где (на каком)
порту у него одна сеть, на каком порту другая сеть, и уже он их по-умолчанию будет маршрутизировать.

2-й вариант,
оставляйте так, но тогда Вы будете вынуждены руками на каждой машине описывать где искать
другую сеть. Естественно не правильный подход.

Конфиг толком не смотрел, позже возможно ещё отпишусь....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2493
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

04 мар 2019, 17:13

1) у Вас на бридже включено по ARP ограничение, зачем?
(этот параметр - add arp=reply-only )

2) Золотое правило:
если порт является сущностью бриджа (входит в бридж),
адрес задаётся уже на бридже, так как порт уже не является самостоятельным.
Так что предлагаю красиво и правильно делать.

bridge1 - переименовать скажем в bridge1-LAN-N32
и именно bridge1-LAN-N32 задать адрес ему 192.168.32.169/22
и в bridge1-LAN-N32 входит у нас порт2 (ether2)
(проверить всё)

ПОТОМ делаем такое и для новой сети:

Создаём bridge2-LAN-N10
и именно bridge2-LAN-N10 задать адрес 10.10.10.20/24
и в bridge2-LAN-N10 входит у нас порт3 (ether3)
именно в порт3 будет подключаться Ваша новая сетка/железка из новой сети.
(если принципиально - можете в этот бридж запихать порт7) :-)

Итак, у нас два бриджа, каждый со своей адресацией, на бриджах проще делать,
да и у CCR нету свитча, так что возможно в будущем логика на бриджах пригодиться.
Два бриджа, два сети, соответственно, компьютер (с отключённым файрволом и антивирусником)
из сети 192.168.32.ххх должен послать запрос на 10.10.10.ххх, запрос уйдёт на шлюз (для компа
из сети 192.168.32.ххх это 192.168.32.169, роутер знает где у него 10-я сетка, отдаст туда пакет,
пакет дойдёт до 10.10.10.125, и всё пойдёт в обратную сторону!
Главное чтобы оба компьютера не были прикрыты файрволами
ПРОШУ 2 раза проверить, постоянно из--за этого люди не понимают почему не работает.
Вот и всё что касается маршрутизации.

НАТ = просто, добавляете разрешение на НАТ или как-то иначе, правила НАТа Вы в конфиге не показали.
Возможно что сразу заработает...НО проверять надо.

И ещё, если у Вас провайдер даёт адрес статически, зачем в настройках DHCP-Client порт1 ждёт адреса?
Удалите эту настройку.

P.S.
Пока это минимум .....что надо сделать.
Ваши айпи в примерах писал гляда в конфиг, если ошибся, сами поправьте.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Varrax
Сообщения: 22
Зарегистрирован: 19 ноя 2015, 13:30

05 мар 2019, 12:11

Спасибо за ответ!

ARP ограничение - в ARP таблице прописаны машины, имеющие прямой доступ в интернет.

Переименовал, прописал ip на бриджах. Порт оставил седьмой. Почти все работает.

Точнее, на железку интернет не идет. Настраиваю так же ноутбук. Вынимаю провод из железки (идет из порт7 в железку), вставляю в ноут - все блин работает.
На железке - 10.10.10.21 На ноуте 10.10.10.22

Код: Выделить всё

add address=10.10.10.22 interface=bridge-n10 mac-address=\
    E0:DB:55:D7:24:D6
add address=10.10.10.21 interface=bridge-n10 mac-address=\
    AC:1F:6B:75:D2:D5
    
Изображение

С железки 10.10.10.20 (адрес на микротике) не пингуется, с ноута пингуется.

Что я не так сделал?)


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2493
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

05 мар 2019, 12:23

Varrax писал(а):
05 мар 2019, 12:11
Спасибо за ответ!
Не за что, только не удаляйте свои же сообщения.
А то я отвечал в рамках Вашего последнего ответа, и Вы его удалили...
ай=ай :men:
Varrax писал(а):
05 мар 2019, 12:11
ARP ограничение - в ARP таблице прописаны машины, имеющие прямой доступ в интернет.
Отключите пока эти ограничения. Хотя бы на тесты/временно/на 10 минут.

Думаю в этом (из-за ограничений в ARP) и проблема с железкой
(хотя я так и не понял опять о какой железке речь идёт)
в том, что роутер не знает об МАКе этой железки.

Опять же напомню, файрволы на железках тоже должны быть выключены.
Шлюз настроен(прописан) Обязательно!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Varrax
Сообщения: 22
Зарегистрирован: 19 ноя 2015, 13:30

05 мар 2019, 12:30

Я пытаюсь подключить к сети UTM IDECO.

Я написал Вам сообщение, но почти сразу удалил его, решив сначала попробовать.

Как правильно выключить ARP? На бридже ARP - disabled?

Все прописано, с этими же настройками и проводом на ноуте все работает.
Изображение

Доступ к фаерволу IDECO не имею, сначала нужно видимо активировать продукт... через Интернет;)
Написал в поддержку.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2493
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

05 мар 2019, 12:40

Varrax писал(а):
05 мар 2019, 12:30
Я пытаюсь подключить к сети UTM IDECO.
Я написал Вам сообщение, но почти сразу удалил его, решив сначала попробовать.
Как правильно выключить ARP? На бридже ARP - disabled?
1) Сделать как бы - enable
или
2) Создать (временно) бридж и посмотреть как сделано на новом бридже.
Ещё раз, совет = не трогать параметры которые досконально не понятны.
Это почти что золотое правило.
Varrax писал(а):
05 мар 2019, 12:30
Доступ к фаерволу IDECO не имею, сначала нужно видимо активировать продукт... через Интернет;)
Написал в поддержку.
Думаю это уже за рамки и темы и форума. Не работал с IDECO и всех тонкостей не знаю.
Но предполагаю, что у такой системы пинг по-умолчанию вообще выключен/запрещён.
Как и у многих других защитных систем, тот же VipNET - пинговать его
даже локальный адрес из-за защищённой сети = невозможно.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Varrax
Сообщения: 22
Зарегистрирован: 19 ноя 2015, 13:30

05 мар 2019, 12:48

Vlad-2 писал(а):
05 мар 2019, 12:40
1) Сделать как бы - enable
Счас так и есть. Результат тот же.
Vlad-2 писал(а):
05 мар 2019, 12:40
Думаю это уже за рамки и темы и форума. Не работал с IDECO и всех тонкостей не знаю.
Безусловно. Огромное вам спасибо. Напишу если что то потребуется от 1016 и не смогу сам;)


Ответить