Страница 1 из 2
Нужна помощь в настройке RB-750
Добавлено: 27 фев 2013, 12:03
Dmitiyfreeman
Схема сети впринципе не сильно сложная:
локалка1
1. server1 192.168.0.1
wifi по WDS with AP
2. wifi1 192.168.0.152
3. wifi2 192.168.0.151
mikrotik rb750
4. eth1 192.168.0.150
5. eth4 192.168.173.1
6. eth5 192.168.17.2
локалка2
7. server2 192.168.173.3
локалка3
8. server3 192.168.17.4
Нужно организовать полный доступ server1-server2 и server1-server3, но при этом запретить server2-server3. Как правильно настроить микротик, для правильной работы всех 3х подсетей?
Re: Нужна помощь в настройке RB-750
Добавлено: 27 фев 2013, 13:26
Dmitiyfreeman
запрет на все соединения м-ду server2 и server3 не принципиален. т.к. можно эти настройки забить на самих серваках. основное - полный доступ server1-server2 и server1-server3.
Re: Нужна помощь в настройке RB-750
Добавлено: 27 фев 2013, 20:55
iSupport
Из описания сети ничего не понятно
Нарисуйте схему с ип адресами на ней
Re: Нужна помощь в настройке RB-750
Добавлено: 27 фев 2013, 21:22
podarok66
Ага, и вместо скринов
export compact , а то опять половину настроек под пытками вытягивать будем. Все идентификационные данные (внешний IP, логин, пароль) можно забить звездочками, лишние данные вообще выкинуть. Получится 20-30 строк кода вместо 2-3 метров скринов.
Ну, например, такие данные дают общее представление настройках маршрутизатора, подключенных интерфейсах, настройках фаервола и т.п. , что позволит человеку, в этом ориентирующемуся, дать точный и короткий совет, не ломая голову над скринами, где одной прокрутки на пять экранов
Код: Выделить всё
[*********@MikroTik] > export compact
/interface bridge add name=bridge1
/interface wireless set 0 band=2ghz-b/g/ndisabled=no mode=ap-bridge name=Mikrotik ssid=Mikrotik
/interface pptp-server add name=pptp-in1 user=****
/interface eoip add mac-address=FE:2A:BE:12:26:22 name=eoiptunnel remote-address=192.168.10.2 tunnel-id=101
/ip pool
add name=Pool ranges="192.168.100.11-192.168.100.50"
/ip dhcp-server add address-pool=Pool disabled=no interface=bridge1 name=DHCP
/ppp profile
add name=Pasha1 only-one=yes use-compression=yes use-encryption=yes \
use-vj-compression=yes
/interface bridge filter
add action=drop chain=forward comment=\
"Drop all DHCP requests over EoIP bridge" dst-port=67 ip-protocol=udp \
mac-protocol=ip
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=eoiptunnel
add bridge=bridge1 interface=Mikrotik
/interface pptp-server server set enabled=yes
/ip address add address=192.168.100.10/24 interface=bridge1
/ip dhcp-client add default-route-distance=0 disabled=no interface=ether2
/ip dhcp-server network
add address=192.168.100.0/24 dns-server=192.168.100.10 domain=home gateway=192.168.100.10
/ip firewall filter
add action=drop chain=forward comment="Drop invalid connection packets" \
connection-state=invalid
add chain=forward comment="Allow established connections" connection-state=\
established
add chain=forward comment="Allow related connections" connection-state=\
related
add chain=forward comment="Allow UDP" protocol=udp
add chain=forward comment="Allow ICMP Ping" protocol=icmp
add chain=forward comment="Allow IPTV" in-interface=ether2 protocol=igmp
add chain=forward comment="Allow http" dst-address=192.168.100.0/24 protocol=\
tcp src-port=80
add chain=forward comment="Allow http" dst-port=80 protocol=tcp src-address=\
192.168.100.0/24
add chain=forward comment="Allow https" dst-address=192.168.100.0/24 \
dst-port="" protocol=tcp src-port=443
add chain=forward comment="Allow https" dst-port=443 protocol=tcp \
src-address=192.168.100.0/24
add chain=forward comment="Allow icq" dst-address=192.168.100.0/24 protocol=\
tcp src-port=5190
add chain=forward comment="Allow icq" dst-port=5190 protocol=tcp src-address=\
192.168.100.0/24
add chain=forward comment="Allow Radmin" dst-address=192.168.100.0/24 \
protocol=tcp src-port=4899
add chain=forward comment="Allow Radmin" dst-port=4899 protocol=tcp \
src-address=192.168.100.0/24
add action=drop chain=forward comment="Drop all others"
/ip firewall mangle
add chain=forward in-interface=ether2 protocol=tcp
add chain=forward out-interface=ether2 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.100.0/24 to-addresses=\
0.0.0.0
/ip route
add distance=1 gateway=192.168.100.10
add disabled=yes distance=1 gateway=192.168.100.10
/ppp secret
add local-address=192.168.10.1 name=**** password=******* profile=Pasha1 \
remote-address=192.168.10.2 service=pptp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 comment=Upstream interface=ether2 upstream=\
yes
add comment=Downstream interface=bridge1
/system clock manual
set time-zone=+04:00
/system ntp client
set enabled=yes primary-ntp=93.180.6.3 secondary-ntp=194.33.191.69
Схема ниже
Добавлено: 27 фев 2013, 21:45
Dmitiyfreeman
Топология сетей для серверв 2 и 3 мне не известна, но конечные точки указаны. Сеть для сервака 1 - моя.
Re: Нужна помощь в настройке RB-750
Добавлено: 27 фев 2013, 21:46
Dmitiyfreeman
Схема сети
Re: Нужна помощь в настройке RB-750
Добавлено: 27 фев 2013, 22:09
iSupport
вам нужно правило файерволла
chain forward src-adress *Подсеть сервера2* dst-adress = *Подсеть сервера3* action drop
Re: Нужна помощь в настройке RB-750
Добавлено: 27 фев 2013, 22:20
Dmitiyfreeman
это, я так понимаю, нужно для разделения подсетей серверов 2 и 3. завтра скину код.
Re: Нужна помощь в настройке RB-750
Добавлено: 27 фев 2013, 22:32
iSupport
Доступ из разных подсетей у вас появится автоматически, если микротик - дефолтный маршрут
если не дефолтный на серверах настройте роутинг
укажите на сервере 1 что подсеть сервера 2 надо искать на микротике (192.168.1.150) а не сервере 2 укажите что срвр 1 живет на микротике со стороны сервера 2
аналогично с сервером 3
вот собсно код
Добавлено: 28 фев 2013, 06:23
Dmitiyfreeman
# jan/02/1970 00:07:52 by RouterOS 5.16
# software id = IAS9-W6UG
#
/interface ethernet
set 0 comment="WAN (PS)"
set 3 comment="LAN1 (CES)"
set 4 comment="LAN2 (RDU)"
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip address
add address=192.168.0.150/24 interface=ether1
add address=192.168.173.1/24 interface=ether4
add address=192.168.17.2/24 interface=ether5
/ip firewall filter
add action=drop chain=forward dst-address=192.168.17.2 src-address=192.168.173.1
/ip firewall nat
add action=netmap chain=dstnat dst-address=192.168.173.1 in-interface=ether4 src-address=192.168.173.3 to-addresses=192.168.0.150
add action=netmap chain=dstnat dst-address=192.168.17.2 in-interface=ether5 src-address=192.168.17.4 to-addresses=192.168.0.150
add action=masquerade chain=srcnat out-interface=ether1 protocol=tcp
add action=masquerade chain=srcnat out-interface=ether5 protocol=tcp
add action=masquerade chain=srcnat out-interface=ether4 protocol=tcp