Страница 2 из 3

Re: Проброс 80 порта наружу, прошу помощи!

Добавлено: 30 окт 2013, 11:22
podarok66
Ой! :sh_ok: Глаза разбежались! Вы не сердитесь, я буду задавать глупые вопросы, в процессе беседы будем формировать понимание такого, не побоюсь этого слова, избыточно-странного конфига.
1. Вам действительно необходимо каждому интерфейсу создавать свой сервер? Я не знаю, что там у Вас за оборудование стоит, но скорее всего это 2011 серия. Данная серия имеет на борту два чипа для коммутации, один отвечает за ether1-ether5, второй за ether6-ether10. Кроме того есть программный мост "bridge", позволяющий всё объединить на уровне софта. Как это повлияет на ситуацию, пока не знаю, мне даже не очень хочется разбираться с такой путаницей интерфейсов. Например, согнав ether2-ether7 все в бридж, вместо такой громады:

Код: Выделить всё

/ip dhcp-server
add address-pool=hs bootp-support=dynamic disabled=no interface=ether2 \
    lease-time=3h name=dhcp1
add address-pool=hs bootp-support=dynamic disabled=no interface=ether3 \
    lease-time=3h name=dhcp2
add address-pool=hs bootp-support=dynamic disabled=no interface=ether4 \
    lease-time=3h name=dhcp3
add address-pool=hs bootp-support=dynamic disabled=no interface=ether5 \
    lease-time=3h name=dhcp4
add address-pool=hs disabled=no interface=ether6 lease-time=3h name=dhcp5
add address-pool=hs authoritative=after-10sec-delay disabled=no interface=\
    ether7 lease-time=3h name=dhcp6
add address-pool=hs disabled=no interface=ether8 lease-time=3h name=dhcp7
/interface pppoe-server server
add authentication=pap disabled=no interface=ether2 service-name=service1
add authentication=pap disabled=no interface=ether3 service-name=service2
add authentication=pap disabled=no interface=ether4 service-name=service3
add authentication=pap disabled=no interface=ether5 service-name=service4
add authentication=pap disabled=no interface=ether6 service-name=service5
add authentication=pap disabled=no interface=ether7 service-name=service6
add authentication=pap disabled=no interface=ether8 service-name=service7
/ip address
add address=192.168.0.1/24 interface=ether2
add address=192.168.0.1/24 interface=ether3
add address=192.168.0.1/24 interface=ether4
add address=192.168.0.1/24 interface=ether5
add address=192.168.0.1/24 interface=ether6
add address=192.168.0.1/24 interface=ether7
add address=192.168.0.1/24 interface=ether8

получаем вот такой блок

Код: Выделить всё

/ip dhcp-server add address-pool=hs bootp-support=dynamic disabled=no interface=bridge1 lease-time=3h name=dhcp1
/interface pppoe-server server
add authentication=pap disabled=no interface=bridge1 service-name=service1
/ip address add address=192.168.0.1/24 interface=bridge1

2. Что там у Вам на ether10, что за сеть? Служебную, что ли отдельно выделяете? И ее потом еще куда-то роутите? Может не стоит настолько заморачиваться? Задайте ограничения доступа к роутеру, например только с определенного адреса, по определенному протоколу, используйте нестандартный порт, и так далее.
Как только разберемся с этим пойдем дальше...

Re: Проброс 80 порта наружу, прошу помощи!

Добавлено: 30 окт 2013, 11:26
podarok66

Код: Выделить всё

/ip dns
set allow-remote-requests=yes cache-size=10048KiB servers=ВНЕШНИЙ IP,8.8.8.8

Эту строку вообще плохо понимаю. У Вас что, ВНЕШНИЙ IP выступает в роли DNS-сервера?

Re: Проброс 80 порта наружу, прошу помощи!

Добавлено: 31 окт 2013, 09:21
tester123
Нет мне нет необходимости создать каждому интерфейсу свой сервер, т.е если я уберу IP с Address List начиная с eth2 и заканчивая eth7 то вы говорите что конфиг останется полностью работоспособным?
Маршрутизатор rb1100, eth8 был по умолчанию для конфигурации http://www.technotrade.com.ua/Articles/mikrotik_router_setup.php я просто я его перенес на eth10.
Возможно у всех портов один ip для более простого доступа для конфигурации оборудования через win box/web browser?

podarok66 писал(а):

Код: Выделить всё

/ip dns
set allow-remote-requests=yes cache-size=10048KiB servers=ВНЕШНИЙ IP,8.8.8.8

Эту строку вообще плохо понимаю. У Вас что, ВНЕШНИЙ IP выступает в роли DNS-сервера?


Нет там dns провайдера, они очень похожи с моим внешним адресом, я просто ошибся и принял его за мой внешний ip.

Re: Проброс 80 порта наружу, прошу помощи!

Добавлено: 31 окт 2013, 17:16
podarok66
tester123 писал(а):Нет мне нет необходимости создать каждому интерфейсу свой сервер, т.е если я уберу IP с Address List начиная с eth2 и заканчивая eth7 то вы говорите что конфиг останется полностью работоспособным?

Если просто уберете, нет, работоспособным не будет. Всё по порядку надо делать. Создать бридж. Собрать в него 2-7 интерфейсы. Присвоить бриджу адрес. Создать ПППОЕ-сервер и повесить его на бридж. Задать ДХЦП-серверу задачу раздавать адреса в бридж. Это так на вскидочку.
Если простой оборудования критичен, лучше написать скрипт в редакторе и потом загрузить в момент техпаузы. Старую конфигурацию лучше сохранить для отката в случае неудачной настройки.
Постарайтесь понять сам принцип построения сетей с помощью оборудования Mikrotik, почитайте Wiki, особенно англоязычную ветку, она более обширна. Из русскоязычных стало уже стандартом рекомендовать статьи Лаговского. Мне нравятся так же статьи папы-админа, очень все коротенько и понятно.

Re: Проброс 80 порта наружу, прошу помощи!

Добавлено: 01 ноя 2013, 21:48
tester123
podarok66 писал(а):
tester123 писал(а):Нет мне нет необходимости создать каждому интерфейсу свой сервер, т.е если я уберу IP с Address List начиная с eth2 и заканчивая eth7 то вы говорите что конфиг останется полностью работоспособным?

Если просто уберете, нет, работоспособным не будет. Всё по порядку надо делать. Создать бридж. Собрать в него 2-7 интерфейсы. Присвоить бриджу адрес. Создать ПППОЕ-сервер и повесить его на бридж. Задать ДХЦП-серверу задачу раздавать адреса в бридж. Это так на вскидочку.
Если простой оборудования критичен, лучше написать скрипт в редакторе и потом загрузить в момент техпаузы. Старую конфигурацию лучше сохранить для отката в случае неудачной настройки.
Постарайтесь понять сам принцип построения сетей с помощью оборудования Mikrotik, почитайте Wiki, особенно англоязычную ветку, она более обширна. Из русскоязычных стало уже стандартом рекомендовать статьи Лаговского. Мне нравятся так же статьи папы-админа, очень все коротенько и понятно.


Убрал ip из Adress List, все работает. Меня интересует например вот этот момент
Создать бридж. Собрать в него интерфейсы, присвоить бриджу адрес. Создать ПППОЕ-сервер и повесить его на бридж.

Сейчас у меня к примеру dhcp и pppoe демоны слушают порты с eth2 по eth 7, сделав то что вы написали я вешаю все на бридж этим самым я оптимизирую работу маршрутизатора? или просто привожу свой конфиг к более короткому виду? что у меня в конфиге сейчас выглядит так критично прям не верно?


Ps: спасибо за ответы и помощь.

Re: Проброс 80 порта наружу, прошу помощи!

Добавлено: 02 ноя 2013, 07:21
vqd
Вы оптимизируете в этом случае ваш конфиг

Re: Проброс 80 порта наружу, прошу помощи!

Добавлено: 02 ноя 2013, 10:53
podarok66
tester123 писал(а):Убрал ip из Adress List, все работает. Меня интересует например вот этот момент

Сейчас у меня к примеру dhcp и pppoe демоны слушают порты с eth2 по eth 7, сделав то что вы написали я вешаю все на бридж этим самым я оптимизирую работу маршрутизатора? или просто привожу свой конфиг к более короткому виду? что у меня в конфиге сейчас выглядит так критично прям не верно?

Ну нравятся мне эти русские :-) Только русские способны по нескольку раз спрагивать одно и то же и делать всё равно по своему. Для поддержания традиций осталось упрекнуть модера, что он ничего не понимает ;;-)))
Вы бы всё-таки попытались почитать для упорядочения информации по настройке Mikrotik в частности и сетевых интерфейсов в целом. Я же вроде по шагам разложил Ваши действия. Неужели человек, работающий на настройке подобного оборудования нуждается с том, чтобы сторонний дядя писал ему скрипт настройки маршрутизатора? Я думаю, что нет. Я даже уверен в этом. Именно стиль подсказки является основным для этого форума. Важнее натолкнуть человека на мысль, указать ему путь решения, нежели сделать всё самому. Безусловно, есть случаи, когда приходится давать прямые указания, как сделать что-то. Но как правило это касается тех проблем, которые еще не решались на форуме. Или не имеют стандартного решения вообще.
Ваша проблема стандартна. Ответ на нее стандартен. Из нестандартного только Ваша конфигурация. Мы предложили Вам ее оптимизировать. Это должно помочь в упорядочении правил, снять лишнюю нагрузку с маршрутизатора, упростить решение возникающих проблем в процессе эксплуатации. Ну и наконец, просто легче будет разобраться с Вашими проблемами и попытаться помочь Вам. Согласитесь, выискивать мелкий косячек в более чем трехстах строчках кода - занятие не слишком-то увлекательное. Вместо помощи приходится просто пытаться понять, зачем это всё надо...

Re: Проброс 80 порта наружу, прошу помощи!

Добавлено: 02 ноя 2013, 12:03
vqd
Крик души? :-)

Re: Проброс 80 порта наружу, прошу помощи!

Добавлено: 02 ноя 2013, 19:07
podarok66
Да, пожалуй. :-) С утра я не очень адекватен ("сова" с вынужденным подъёмом в 6 утра),но стараюсь держать себя в рамках и вместо ругани получаются лекции.

Re: Проброс 80 порта наружу, прошу помощи!

Добавлено: 04 ноя 2013, 09:07
tester123
С этим ясно, я не пойму одного почему я у пользователя на роутере выбрал pppoe dual access вписал ip/маску, т.е по идеи у него должен быть статический Ip, на который я пробую сделать проброс, все сделал как написали но результат ноль.