Роли оборудования, проброс портов в vlan

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Despierto
Сообщения: 45
Зарегистрирован: 21 фев 2019, 16:35

Здравствуйте!

Изначально локальная сеть предприятия, которая насчитывает около 40 компьютеров, 7 серверов и дюжину сетевых МФУ, работает на неуправляемых коммутаторах.
Сейчас входным шлюзом поставлен RB1100AHx4 (R1), который используется как файрвол для защиты сети от внешнего мира(сейчас там 27 правил), планируется VPN Сервер для удаленных пользователей, Сервер Dude. На нем поднимается pppoe интерфейс до провайдера. Поднят DHCP сервер и раздается интернет.
После него будет CRS326-24G-2S+RM (R2) и на нем созданы и маршрутизируются vlan`ы. Получает адрес по DHCP. Интернет получает от R1 и отдает его в vlan`ы, раздавая там соответственно адреса по DHCP.

Как вы считаете, соответствуют ли выбранные роли оборудованию? Не будет ли Dude слишком нагружать R1? Допустим ли двойной NAT? если нет, как от него уйти в этой ситуации?

И еще вопрос - как при такой конфигурации делать проброс портов на сервера? Мне приходит в голову такое решение - сделать trunk между R2 и R1 (выбрав на R1 порт, не подключенный в bridge). То есть
на R2 порт ether21-trunk-to-R1 и с него уходят vlan70-servers, vlan10-office (с адресами 192.168.70.0/24 и 192.168.10.0/24 соответственно)
на R1 порт ether10-trunk-R2-uplink на который приходят эти vlan`ы сделать проброс порта как обычно:

Код: Выделить всё

add action=netmap chain=dstnat dst-port=4567 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.70.2 to-ports=3389
Нормальное ли это решение, будет ли это работать?


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Despierto писал(а): 22 апр 2019, 15:11 После него будет CRS326-24G-2S+RM (R2) и на нем созданы и маршрутизируются vlan`ы.
Как вы считаете, соответствуют ли выбранные роли оборудованию?
CRS это в первую очередь коммутатор. Оставьте на нем L2, а L3 перенесите на R1. Тем самым уйдете от двойного NAT, двойного проброса портов и упростите конфигурацию.
Despierto писал(а): 22 апр 2019, 15:11 Не будет ли Dude слишком нагружать R1?
Обычно нет, но зависит от ваших настроек.


Александр
Despierto
Сообщения: 45
Зарегистрирован: 21 фев 2019, 16:35

algerka писал(а): 23 апр 2019, 10:06 CRS это в первую очередь коммутатор. Оставьте на нем L2, а L3 перенесите на R1. Тем самым уйдете от двойного NAT, двойного проброса портов и упростите конфигурацию.
То есть, как я понимаю, Это конфигурация router on a stick. Что меня смутило в этом варианте - узкое место в линке между R1 и R2 - получается все взаимодействие между разными vlan в одногигабитном линке. Но и это еще не все, intervlan routing тогда будет происходить на CRS, верно? А это значит в процессоре, который и так уже нагружен ролью внешнего firewall, DUDE сервера, VPN сервера. Не станет ли это проблемой при высокой нагрузке на сеть?

Примечание: Типичные задачи внутренней сети -1С, RDP и файлообмен (документы в основном). Интернет - 30 Мб/с.

Другой вопрос. Если сделать, как Вы предлагаете, то в настройке CRS, значит просто нужно убрать все, что касается адресов и тогда vlan перестанут маршрутизироваться между собой. Это так?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Если вас сильно смущает гигабитный линк между свичем и шлюзом, то соберите 2 и более интерфейсов в бондинг, получите 2 и более гигабита между этими железками.
Ваши 30 мбит переварит даже ваш 326.
По хорошему схема должна выглядеть следующим образом 1100 как реальный маршрутизатор поднимает соединения до провайдера и является шлюзом для всех ваших вланов, которые создаются на интерфейсе смотрящем в сторону 326го, будь то просто одиночный порт, или же бондинг из 2 и более портов, на этих же вланах у вас создаются адреса, dhcp и т.д., а со стороны 326 эти вланы приходят на интерфейс\интерфейсы к которым подключен 1100 и уходят с портов, которые у вас сейчас и так настроены, по сути он становится тем, для чего его и делали - свичем, а всей маршрутизацией займется маршрутизатор.


Despierto
Сообщения: 45
Зарегистрирован: 21 фев 2019, 16:35

KARaS'b писал(а): 23 апр 2019, 13:59 Если вас сильно смущает гигабитный линк между свичем и шлюзом, то соберите 2 и более интерфейсов в бондинг, получите 2 и более гигабита между этими железками.
Ваши 30 мбит переварит даже ваш 326.
По хорошему схема должна выглядеть следующим образом 1100 как реальный маршрутизатор поднимает соединения до провайдера и является шлюзом для всех ваших вланов, которые создаются на интерфейсе смотрящем в сторону 326го, будь то просто одиночный порт, или же бондинг из 2 и более портов, на этих же вланах у вас создаются адреса, dhcp и т.д., а со стороны 326 эти вланы приходят на интерфейс\интерфейсы к которым подключен 1100 и уходят с портов, которые у вас сейчас и так настроены, по сути он становится тем, для чего его и делали - свичем, а всей маршрутизацией займется маршрутизатор.
Понял. Спасибо большое!


Despierto
Сообщения: 45
Зарегистрирован: 21 фев 2019, 16:35

KARaS'b писал(а): 23 апр 2019, 13:59 По хорошему схема должна выглядеть следующим образом 1100 как реальный маршрутизатор поднимает соединения до провайдера и является шлюзом для всех ваших вланов, которые создаются на интерфейсе смотрящем в сторону 326го, будь то просто одиночный порт, или же бондинг из 2 и более портов, на этих же вланах у вас создаются адреса, dhcp и т.д., а со стороны 326 эти вланы приходят на интерфейс\интерфейсы к которым подключен 1100 и уходят с портов, которые у вас сейчас и так настроены, по сути он становится тем, для чего его и делали - свичем, а всей маршрутизацией займется маршрутизатор.
Обдумал хорошенько. Да, так и буду делать.

А вот еще вопрос по 1100. В данной конфигурации возможности его свитч чипов (RTL8367) по обработке vlan как то будут полезны или вовсе не будут востребованы? То есть заморачиваться ли тем, в какие порты что подключать или это здесь неважно?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Despierto писал(а): 23 апр 2019, 15:47 А вот еще вопрос по 1100. В данной конфигурации возможности его свитч чипов (RTL8367) по обработке vlan как то будут полезны или вовсе не будут востребованы? То есть заморачиваться ли тем, в какие порты что подключать или это здесь неважно?
Выскажусь со своей позиции, если Вы будете делать Бондинг (а я советую его делать, работает хорошо, и лишним не будет),
а Бондинг это уже программная реализация, и Бондинг будет "ниже" виланов (раньше), значит получается, что
в таком случаи чип коммутации проще и правильнее наверно не использовать.

Если без Бондинга, и как-то подстраховаться по пропускной способности (правда надо аккуратно это всё сделать),
то тогда можно задействовать чип коммутации, но и разделить часть виланов, чтобы часть их приходила
на один порт роутера, а часть на другой порт роутера. Тем самым сделаете наподобие Бондинга.

(такая обобщённая моя позиция).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Despierto
Сообщения: 45
Зарегистрирован: 21 фев 2019, 16:35

Vlad-2 писал(а): 24 апр 2019, 00:34 Выскажусь со своей позиции, если Вы будете делать Бондинг (а я советую его делать, работает хорошо, и лишним не будет),
а Бондинг это уже программная реализация, и Бондинг будет "ниже" виланов (раньше), значит получается, что
в таком случаи чип коммутации проще и правильнее наверно не использовать.

Если без Бондинга, и как-то подстраховаться по пропускной способности (правда надо аккуратно это всё сделать),
то тогда можно задействовать чип коммутации, но и разделить часть виланов, чтобы часть их приходила
на один порт роутера, а часть на другой порт роутера. Тем самым сделаете наподобие Бондинга.

(такая обобщённая моя позиция).
Посмотрел внимательно как сейчас устроено и понял, что в целом работает по тому же принципу. В 1100 одним гигабитным линком подключена вся локальная сеть с пользователями и еще одним коммутатор с серверами. Все это преспокойно работает - загрузка в обычном режиме около 2%. Так что оставлю так, а по поводу Бондинга спасибо большое. Буду иметь ввиду, если нагрузка на сеть увеличится.


Ответить