Добрый день!
Появилась задача интегрировать Mikrotik CCR 1036 в существующую сеть предприятия. Прошлый админ заказывал, пока покупали он уволился и все повешали на меня.
Основа сети Коммутатор L3 Zyxel XGS - 4728F поднято 20+ Vlan почти каждый порт имеет уникальный Vlan. На конце каждого Vlan свой коммутатор L2. IP статика во всех подсетях.
Необходимо чтоб через mikrotik инет поступал от провайдера на определенные Vlan.
Как настроить Mikrotik так чтоб он видел Vlan c L3 коммутатора, и в Определенные Vlan давал интернет от провайдера?
Интеграция Microtik в сеть с коммутатором L3
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Если МТ не занимается межвиланной маршрутизацией а это делает зиксель, то все просто:
создаете отдельную подсеть /30 (например 10.0.0.0/30), один адрес на МТ (10.0.0.1), второй на зиксель (10.0.0.2). на Зикселе шлюз по умолчанию адрес МТ.
Сам МТ настраиваете на выход в интернет с маскарадиингом, и уже в правилах файервола говорите кому можно выход в интернет а кому нет.
Александр
-
algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Кстати, а как сейчас осуществляется выход в интернет ?
Может заместо этой железки и ставить МТ ?
Может заместо этой железки и ставить МТ ?
Александр
-
kostagen
- Сообщения: 7
- Зарегистрирован: 04 сен 2019, 07:44
Сейчас выходом в инет занимается Kerio. Но количество лицензий уже намного меньше чем пользователей. А новые покупать не хотят.
Да всей маршутизацией занимается Zyxel. От МТ требуется только раздача интернета по определенным Vlan без DHCP чисто статика.
Да всей маршутизацией занимается Zyxel. От МТ требуется только раздача интернета по определенным Vlan без DHCP чисто статика.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Да..с CCR1036 - он даже не то что, не вспотеет, даже не почувствует нагрузку.
Чисто Интернет/НАТ.
algerka правильно всё Вам подсказал,
хотя может в будущем частично что-то на CCR перевесить!?
(чтоб уж совсем не отдыхал?)
-
kostagen
- Сообщения: 7
- Зарегистрирован: 04 сен 2019, 07:44
Спасибо за помощь. Интерфейсы и ядро настроил. Трафик полетел через микротик. Подцепил прова, настроил NAT. Пинги во внешку идут, а вот браузер не хочет работать.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Вот тут уточните, что и как настроили НАТ,
и пинговали откуда? С роутера?
а с компа?
трассировку сделайте также с компьютера, как идёт?
Если настроили сеть (в целом), то комп (винда) могда файрвол включить,
проверьте и этот момент.
P.S.
чего гадать, показывайте Ваше творение, исполнив пункт 5
-
kostagen
- Сообщения: 7
- Зарегистрирован: 04 сен 2019, 07:44
Пинги и трассировка идут что с микротика, что с компа во вне.
/interface vlan
add interface=ether2 name=vlan88 vlan-id=88
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface list member
add interface=ether1 list=WAN
add interface=vlan88 list=LAN
add interface=ether2 list=LAN
/ip address
add address=192.168.88.1 interface=vlan88 network=192.168.88.0
add address=xxx.xxx.xxx.xxx interface=ether1 network=xxx.xxx.xxx.xxx
/ip dns
set allow-remote-requests=yes servers=77.88.8.8,8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input dst-port=80,8291,22 in-interface=vlan88 protocol=\
tcp src-address=192.168.88.0/24
add action=accept chain=input dst-port=80 in-interface=ether1 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
192.168.88.0/24
add action=redirect chain=dstnat dst-port=9999 in-interface=ether1 protocol=tcp \
to-ports=80
/ip route
add distance=1 gateway=xxx.xxx.xxx.xxx
add distance=1 dst-address=192.168.88.0/24 gateway=vlan88 pref-src=192.168.88.1
/ip service
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Krasnoyarsk
/interface vlan
add interface=ether2 name=vlan88 vlan-id=88
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface list member
add interface=ether1 list=WAN
add interface=vlan88 list=LAN
add interface=ether2 list=LAN
/ip address
add address=192.168.88.1 interface=vlan88 network=192.168.88.0
add address=xxx.xxx.xxx.xxx interface=ether1 network=xxx.xxx.xxx.xxx
/ip dns
set allow-remote-requests=yes servers=77.88.8.8,8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input dst-port=80,8291,22 in-interface=vlan88 protocol=\
tcp src-address=192.168.88.0/24
add action=accept chain=input dst-port=80 in-interface=ether1 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
192.168.88.0/24
add action=redirect chain=dstnat dst-port=9999 in-interface=ether1 protocol=tcp \
to-ports=80
/ip route
add distance=1 gateway=xxx.xxx.xxx.xxx
add distance=1 dst-address=192.168.88.0/24 gateway=vlan88 pref-src=192.168.88.1
/ip service
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Krasnoyarsk
-
kostagen
- Сообщения: 7
- Зарегистрирован: 04 сен 2019, 07:44
Дело где-то в ДНС...указав ДНС на сетевой карте ноута инет в браузер пошел.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
АДРЕСА в микротике задаются с масками сразу.
То есть на вилане должно быть 192.168.88.1/24
И на порту1 тоже сразу укажите (задайте) маску сети.