Пмогите разрулить - скилла не хватает

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
Volant
Сообщения: 77
Зарегистрирован: 26 фев 2018, 18:32
Контактная информация:

Приветствую!

Имеем - Микротик с двумя подсетями 100.0/24 и 1.0/24 клиенты получают адреса от dhcp и все это дело распихано по двум бриджам, доступ из подсетей друг к другу ограничен в route rule, клиенты обоих подсетей ходят в инет. Дальше - из порта в бридже с подсетью 100.0/24 выходит витая пара 2Х2 и идет в другое помещение, втыкается в тупой свич, в свиче воткнуто физическое оборудование работающее в подсети 100.0/24 - все хорошо, все работает.
Дальше встала необходимость в помещении, в котором стоит свич, дать доступ в интернет ви-фи клиентам, НО! без доступа в сеть 100.0/24
Воткнул в свич микротик, создал сетку 1.0/24, поднял dhcp, создал dhcp клиент на порту который воткнут в свич(типа wan порт)... что бы клиенты ходили в инет, нужно маскарадить wan порт... и тут засада - ограничить доступ клиентов подсети 1.0/24 в подсеть 100.0/24 ни в route rule, ни в firewall не получается, что логично, т.к адреса клиентов на выходе маскарадятся. Как разрулить? или каким другим способом дать доступ ви-фи клиентам в инет без доступа в подсеть 100.0/24?
Возможности прокинуть витую пару 4Х2 нет - это бы, конечно, решило вопрос сполна.


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Вам пора смотреть на VLAN.

Тупой свич и микротик в дальней комнате менять местами.

1.0/24 делать 1 виланом,
100.0/24 делать вторым виланом.

Порты, соединяющие микротики между собой делать транком.

И настроить 2 вилана на 1 микротике, по транковому порту на второй микротик, там 2 вилан только на порт для свича, а 1 вилан - на остальные порты и WiFi.


Аватара пользователя
Volant
Сообщения: 77
Зарегистрирован: 26 фев 2018, 18:32
Контактная информация:

что то подобное и предполагал.

Спасибо!

буду пробовать


evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

Код: Выделить всё

# sep/03/2019 10:59:23 by RouterOS 6.45.1

# model = 951Ui-2HnD

/interface bridge
add admin-mac=D4:CA:6D:D7:B0:1F auto-mac=no fast-forward=no name=bridge-local \
    protocol-mode=none
add name=bridge_free

/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
    band=2ghz-b/g/n disabled=no distance=indoors max-station-count=32 mode=\
    ap-bridge multicast-helper=disabled radio-name=Office ssid=TVRWL \
    tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=\
    enabled wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=\
    12345678 wpa2-pre-shared-key=12345678
add authentication-types=wpa-psk,wpa2-psk eap-methods="" name=profile1_free \
    supplicant-identity=""
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=D6:CA:6D:D7:B0:23 \
    master-interface=wlan1 multicast-buffering=disabled name=wlan2 \
    security-profile=profile1_free ssid=TVRDZ wds-cost-range=0 \
    wds-default-cost=0 wps-mode=disabled

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.100
add name=dhcp_pool1 ranges=172.16.0.2-172.16.0.254
/ip dhcp-server
add address-pool=default-dhcp authoritative=after-2sec-delay disabled=no \
    interface=bridge-local name=default
add address-pool=dhcp_pool1 disabled=no interface=bridge_free lease-time=5m \
    name=dhcp1

/interface bridge port
add bridge=bridge-local hw=no interface=ether2
add bridge=bridge-local interface=wlan1
add bridge=bridge-local hw=no interface=ether3
add bridge=bridge-local hw=no interface=ether4
add bridge=bridge-local hw=no interface=ether5
add bridge=bridge_free interface=wlan2

/ip address
add address=192.168.88.1/24 comment="default configuration" interface=\
    bridge-local network=192.168.88.0
add address=192.168.1.228/24 interface=ether1-gateway network=192.168.1.0
add address=172.16.0.1/24 interface=bridge_free network=172.16.0.0

/ip dhcp-server network
add address=172.16.0.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=172.16.0.1
add address=192.168.88.0/24 comment="default configuration" dns-server=\
    192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.243,192.168.1.244


/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-gateway src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-gateway src-address=172.16.0.0/24

/ip route
add distance=1 gateway=192.168.1.239
/ip route rule
add action=unreachable dst-address=192.168.5.0/24 src-address=172.16.0.0/24
add action=unreachable dst-address=172.16.0.0/24 src-address=192.168.5.0/24
add action=unreachable dst-address=192.168.1.0/24 src-address=172.16.0.0/24
add action=unreachable dst-address=172.16.0.0/24 src-address=192.168.1.0/24




Аватара пользователя
Volant
Сообщения: 77
Зарегистрирован: 26 фев 2018, 18:32
Контактная информация:

Erik_U, Благодарю за пинок в нужном направлении! все получилось, все отлично работает!


Аватара пользователя
Volant
Сообщения: 77
Зарегистрирован: 26 фев 2018, 18:32
Контактная информация:

Вопрос по безопасности имею - как правильно сконфигурировать с технической точки зрения?

Имеем МТ с vlan(в брижде) в этом же бридже wlan и тупой свич, в свиче физическое оборудование. Адреса в бридж раздает dhcp

Задача - ограничить возможность подключения левых клиентов именно к портам свича или к порту самого МТ в который воткнут свич(допускаю такую возможность теоретически, но все же)

Варианты решения:
1. тупо в bridge=>filters разрешить вход по определенным mac, все остальное дропать
2. сделать в dhcp server address pool=static only, в bridge сделать arp=reply only, а саму таблицу arp сделать static
3. другие варианты решения


Ответить