Настройка локалки в локалке

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
MZhack
Сообщения: 1
Зарегистрирован: 08 июл 2019, 11:04

08 июл 2019, 11:55

Доброго времени суток форумчане! Работаю с CAS125-24G-1S-RM прошивка v6.45.1. Ситуация такова: внутри предприятия есть своя локальная сеть (192.168.0.0/16), шлюзом выступает 192.168.10.1 (тоже какойто микротик), на нём поднят DHCP который раздаёт адреса 192.168.10.0/24 (остальной пул локалки либо используеться статически, либо вообще не используется). Есть помещение из нескольких компьютеров которые подключены к моему микротику (192.168.88.1), на котором поднят DHCP (192.168.88.0/24) раздющийся всем компьютерам этого помещения динамику, за исключением сервера AD (WinServer 2008 R2 - 192.168.88.2) на котором разумеется статика. Мой мироктик (88.1) подключён через ether1 к локалке предприятия, он получает себе динамику (10.x) так как статика к сожалению в данном случае не вариант, а по помещению раздаёт ip на часть компьютеров 88.x, а на другую часть 10.x (!). Как сделать так, чтобы по помещению расходилась только 88.x? А ещё лучше заблокировать всем компьютерам помещения выход в локалку предприятия, за исключением сервера AD? С микротиком столкнулся впервые, постарался описать всё максимально детально, ниже прикладываю скины настройки microtik.
P.S. Забыл на скриншоте показать Interface List - ether1=WAN, bridge1=LAN, а NAT Action - маскарад.
Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 1957
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

09 июл 2019, 00:34

Описание так себе, вроде и полное, но непонятное.
MZhack писал(а):
08 июл 2019, 11:55
внутри предприятия есть своя локальная сеть (192.168.0.0/16),
Так у предприятия сеть вся используется (0.0/16) ? Или всё же используется 10.0/24 ?
Это важно!
MZhack писал(а):
08 июл 2019, 11:55
а по помещению раздаёт ip на часть компьютеров 88.x, а на другую часть 10.x (!).
Если роутер Ваш и в Вашей зоне ответственности, то Вы делаете только так как он должен
согласно Вашим представлениям работать.
У Вас свитч формально, значит либо Вам надо создать 2 бриджа, в которых будет
в одном доступна сеть предприятия, в другом только Ваша.
MZhack писал(а):
08 июл 2019, 11:55
А ещё лучше заблокировать всем компьютерам помещения выход в локалку предприятия, за исключением сервера AD?
Настраивайте и всё будет, у Вас сеть 88, сеть предприятия Вы знаете, делайте на файрволе правила,
что если идёт запрос с сети 88 в сеть 10.ххх (нам же часть сети 10.ххх всё же нужна), значит надо явно
описать на какие хосты из сети 10.ххх можно, а обращения на остальные хосты блокировать.
(это я пока ещё просто и обобщённо написал).
MZhack писал(а):
08 июл 2019, 11:55
С микротиком столкнулся впервые, постарался описать всё максимально детально, ниже прикладываю скины настройки microtik.
1) сделайте от руки схему, где предприятие, где Вы, где сервера.
2) в описании то нужен доступ, то не нужен. Нужно более детальное понимание, кому куда что нужно
3) у Вас программируемый свитч и роутер, Вы должны управляь портами, и логически их коммутировать,
то есть связать компы своей маленькой сети в единый бридж, а компы предприятия в другой бридж
и объединить с портом1 для связи с другой части сети предприятия, опять же, если так надо.
И доступы всё регламентируются.

Так что пока что у Вас ТехЗадание достаточно не явное (для меня уж), не явно описаны сети,
учтите, если на предприятии используется маска 0.0/16, и нужен доступ, а Вы сидите в сети
88.0/24 = то ряд моментов будет трудно сделать, так как 88.0/24 уже является сущностью 0.0/16
Опять же, зачем Вы используете у себя 88 сетку? Использовать служебную сетку = тоже плохая
идея, кроме роутеров, есть ещё ряд фирм (делают камеры) которые используют сетку 88.0/24,
а если подтвердиться, что в предприятии сеть 0.0/16, то Вам вообще придётся другой
класс сети использовать.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить