Наконец то начальство выделило денег на Микротик и т.к. я не совсем системный администратор то возникли вопросы.
Сейчас схема подключения следующая ADSL modem (192.168.2.1) > RB951G-2HnD (192.168.2.1) > ПК с которого настраиваю (192.168.2.224)
1. На Микротике настроил DHCP и он выдает адреса. Так вот ПК с которого я настраиваю он выдает 192.168.2.224. Можно ли настроить так что бы он их выдавал последовательно т.е. для первого ПК он бы выдал 192.168.2.2 и т.д.?
2. Как можно достучаться до адсл модема который в бридже? У Микротика и у Адсл модема одинаковый IP получается и кстате верно ли это?
3. И самый пока сложный для меня вопрос который без Вашей помощи мне решить крайне сложно. Firewall & NAT.
3.1 NAT я настроил следующим образом /ip firewall nat add chain=srcnat action=masquerade out-interface=ADSL
Если я не чего не напутал то это правило дает то что все компьютеры из моей локальной сети будут за 1 IP? (т.е. как в обычных роутерах)
3.2 Firewall... все гайды начинаются с того что удаляют стандартные настройки и соответственно убиваются правила фаерволла. Я нашел несколько инструкций по настройке и буду очень благодарен если на них глянет разбирающийся в этом человек и подскажет их актуальность и целесообразность использования:
http://wiki.mikrotik.com/wiki/Basic_uni ... all_script
ссылка удалена согласно п.3.6 Правил форума
ссылка удалена согласно п.3.6 Правил форума
Так же нашел очень хорошую инструкцию - автор podarok66
http://podarok66.livejournal.com/10089.html
Гайд от Микротика отличается от других, он там релизует я так понимаю больше защиты, но я не очень понимаю тех правил по этому спрошу - а надо ли оно новичку который в придачу пока что не понимает что оно делает? и возможно стоит ограничиться базовой настройкой для начала.
Буду благодарен за любую помощь и намек в какую сторону лучше смотреть :)
Несколько вопросов новичка по RouterOS
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
gmx
- Модератор
- Сообщения: 3296
- Зарегистрирован: 01 окт 2012, 14:48
1. В DHCP есть вкладка Leases. Здесь для определенных MAC можно выдать определенный IP.
И закрепить это навсегда.
2. Никак. Лучше IP поменять, так более правильно, но работать будет и с одинаковыми IP.
3.1. Все верно.
3.2. Фаерволл следует использовать только тогда, когда это действительно нужно. И вы хорошо понимаете для чего это. Первое время без него можно обойтись.
И закрепить это навсегда.
2. Никак. Лучше IP поменять, так более правильно, но работать будет и с одинаковыми IP.
3.1. Все верно.
3.2. Фаерволл следует использовать только тогда, когда это действительно нужно. И вы хорошо понимаете для чего это. Первое время без него можно обойтись.
-
Digweed
- Сообщения: 0
- Зарегистрирован: 18 июн 2014, 19:11
1. Спасибо, разобрался.
2. Подскажите, а что на что менять и у кого? Они же должны быть в одной подсети что бы все работало, я имею ввиду АДСЛ модем и роутер. Т.е. например менять IP у адсл модема на 192.168.2.2 и оставлять у Микротика 192.168.2.1 (а дхцп сервер пусть раздает с 192.168.2.10+? или вообще как то по другому делать?
3.2 Хм ну тут как то не очень хорошо выйдет т.к. пока я настраивал там в логах уже появилось 2 записи о том что кто то ломиться. Да и хотелось бы например иметь настройки базовые (доступ к роутеру только с лана, отсекать не желательные пакеты и т.д.) мне просто толчок нужен на что смотреть и по этому привел несколько гайдов что бы те кто разбирается посоветовали с чего начинать, а дальше уже буду добавлять и убирать по мере понимания. Но без правил совсем это как то не безопасно.
2. Подскажите, а что на что менять и у кого? Они же должны быть в одной подсети что бы все работало, я имею ввиду АДСЛ модем и роутер. Т.е. например менять IP у адсл модема на 192.168.2.2 и оставлять у Микротика 192.168.2.1 (а дхцп сервер пусть раздает с 192.168.2.10+? или вообще как то по другому делать?
3.2 Хм ну тут как то не очень хорошо выйдет т.к. пока я настраивал там в логах уже появилось 2 записи о том что кто то ломиться. Да и хотелось бы например иметь настройки базовые (доступ к роутеру только с лана, отсекать не желательные пакеты и т.д.) мне просто толчок нужен на что смотреть и по этому привел несколько гайдов что бы те кто разбирается посоветовали с чего начинать, а дальше уже буду добавлять и убирать по мере понимания. Но без правил совсем это как то не безопасно.
-
gmx
- Модератор
- Сообщения: 3296
- Зарегистрирован: 01 окт 2012, 14:48
2. Нет. Модем в бридже и микротик могут не быть в одной подсети. Я обычно модемам ставлю 192.168.100.1
Доступа к модему из под сети микротика не будет. Да он и не нужен. :)
3. По поводу фаервола: я выключаю не нужные сервисы: ssh, telnet, web и тд. Оставляю WinBox, для пущей верности можете поменять порт. Особо никто не ломится. Никому я не нужен :)
Доступа к модему из под сети микротика не будет. Да он и не нужен. :)
3. По поводу фаервола: я выключаю не нужные сервисы: ssh, telnet, web и тд. Оставляю WinBox, для пущей верности можете поменять порт. Особо никто не ломится. Никому я не нужен :)
-
podarok66
- Модератор
- Сообщения: 4358
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Ну надо же, человек сам нашел мою статейку! 
. Спасибо на добром слове.
По поводу настройки фаервола, gmx дал Вам очень даже правильный совет. Поверьте, всё сказанное им - истинная правда. И совет тем более ценен, так как исходит от действующего специалиста, имеющего дело с большим количеством подобного оборудования.
Посидите, почитайте. Попробуйте облекать правила в осмысленные предложения. Это на первых порах помогает в понимании принципов составления правил. Затем, когда немного начнете разбираться, пробуйте писать правила. Главное помнить, что правила работают в том порядке, в котором они расположены в таблице. От первого к последнему по порядку.
Напишите список того, что Вам необходимо пропустить, список того, что Вы хотите однозначно запретить. Попробуйте создать набор правил для этого списка. Поверьте, абсолютного рецепта нет. Каждый суслик - агроном, каждый админ - создатель собственного свода правил.
. Спасибо на добром слове.По поводу настройки фаервола, gmx дал Вам очень даже правильный совет. Поверьте, всё сказанное им - истинная правда. И совет тем более ценен, так как исходит от действующего специалиста, имеющего дело с большим количеством подобного оборудования.
Посидите, почитайте. Попробуйте облекать правила в осмысленные предложения. Это на первых порах помогает в понимании принципов составления правил. Затем, когда немного начнете разбираться, пробуйте писать правила. Главное помнить, что правила работают в том порядке, в котором они расположены в таблице. От первого к последнему по порядку.
Напишите список того, что Вам необходимо пропустить, список того, что Вы хотите однозначно запретить. Попробуйте создать набор правил для этого списка. Поверьте, абсолютного рецепта нет. Каждый суслик - агроном, каждый админ - создатель собственного свода правил.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
Digweed
- Сообщения: 0
- Зарегистрирован: 18 июн 2014, 19:11
Значит последую совета. Пока отложил настройку стенки. Занялся остальным, вроде все ок работает, но есть затык с wireless.
Настраивал по http://habrahabr.ru/post/179149/ когда пытаюсь подключиться с ноута к роутеру то в логах появляется
wlan1 disconnected received disassoc sending station leaving (8)
Шифрование пытался менять. Что еще может быть и куда копать?
Настраивал по http://habrahabr.ru/post/179149/ когда пытаюсь подключиться с ноута к роутеру то в логах появляется
wlan1 disconnected received disassoc sending station leaving (8)
Шифрование пытался менять. Что еще может быть и куда копать?
-
gmx
- Модератор
- Сообщения: 3296
- Зарегистрирован: 01 окт 2012, 14:48
Да, несовместимости случаются.
Пробуйте другой ноут или адаптер.
Пробуйте другой ноут или адаптер.
-
Digweed
- Сообщения: 0
- Зарегистрирован: 18 июн 2014, 19:11
Я все же попытался решить эту проблему и вот как делал. Гляньте правильно ли мыслю и реализую это:
Есть WAN, LAN & WLAN
WAN - PPPOE (ADSL Modem в бридже 192.168.4.1) он подсоединен к rb951-2hnd (192.168.2.1)
Задача состоит в следующем. Что бы Микротик раздавал интернет и в лан и по WIFI и при этом из Lan я мог зайти на wlan клиент (ну вообщем что бы они видели друг друга).
Как я делал:
Создаю PPPOE, ether1 - wan, ether2-5 объединяю в свитч и мастером является порт ether2.
Далее самое замороченное для меня и я не уверен в правильности моей мысли и реализации.
Создаю bridge1. Далее создаю 2 порта к нему:
1. Интерфейс прикрепляю ether2
2. Интерфейс прикрепляю wlan
В адресс-лист выдаю 192.168.2.1/24 интерфейсу bridge1 (обычно же мы их даем ether2)
Ну все остальное стандартно нат, дхцп сервер и т.д.
Вроде интернет есть и на лане и на вайфае клиентах (когда я делал без бриджа вайфай вообще интернета не имел и очень туго конектился к роутеру). Видимость клиентов я еще правда не проверял.
Что скажите по поводу того что я намутил? верно ли это и может как то это переделать/оптимизировать?
Есть WAN, LAN & WLAN
WAN - PPPOE (ADSL Modem в бридже 192.168.4.1) он подсоединен к rb951-2hnd (192.168.2.1)
Задача состоит в следующем. Что бы Микротик раздавал интернет и в лан и по WIFI и при этом из Lan я мог зайти на wlan клиент (ну вообщем что бы они видели друг друга).
Как я делал:
Создаю PPPOE, ether1 - wan, ether2-5 объединяю в свитч и мастером является порт ether2.
Далее самое замороченное для меня и я не уверен в правильности моей мысли и реализации.
Создаю bridge1. Далее создаю 2 порта к нему:
1. Интерфейс прикрепляю ether2
2. Интерфейс прикрепляю wlan
В адресс-лист выдаю 192.168.2.1/24 интерфейсу bridge1 (обычно же мы их даем ether2)
Ну все остальное стандартно нат, дхцп сервер и т.д.
Вроде интернет есть и на лане и на вайфае клиентах (когда я делал без бриджа вайфай вообще интернета не имел и очень туго конектился к роутеру). Видимость клиентов я еще правда не проверял.
Что скажите по поводу того что я намутил? верно ли это и может как то это переделать/оптимизировать?
-
podarok66
- Модератор
- Сообщения: 4358
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Судя по описанию, все верно
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
Digweed
- Сообщения: 0
- Зарегистрирован: 18 июн 2014, 19:11
Новая странность вылезла :)
Уже 5 дней аптайма микротика и вот заметил следующее:
Если написать ipconfig /all или зайти в сам микротик в раздел DNS
То в параметрах DNS у меня написано:
ххх.ххх.ххх.134
ххх.ххх.ххх.135
ххх.ххх.ххх.135
ххх.ххх.ххх.136
ххх.ххх.ххх.134
ххх.ххх.ххх.135
Ну там где ххх там одинаковое. Что это за повторяемость?
Подскажите еще по такой опции как "allow remote requests" в разделе DNS. Я что то не пойму на что она влияет. Пишут что если отключен то интернета из локальной сети не будет, у меня же он что так что так есть. Возможно из за того что я не устанавливал DNS сервера в ручную? они берутся от провайдера динамически (возможно та проблема что описана выше из за этого?)
Уже 5 дней аптайма микротика и вот заметил следующее:
Если написать ipconfig /all или зайти в сам микротик в раздел DNS
То в параметрах DNS у меня написано:
ххх.ххх.ххх.134
ххх.ххх.ххх.135
ххх.ххх.ххх.135
ххх.ххх.ххх.136
ххх.ххх.ххх.134
ххх.ххх.ххх.135
Ну там где ххх там одинаковое. Что это за повторяемость?
Подскажите еще по такой опции как "allow remote requests" в разделе DNS. Я что то не пойму на что она влияет. Пишут что если отключен то интернета из локальной сети не будет, у меня же он что так что так есть. Возможно из за того что я не устанавливал DNS сервера в ручную? они берутся от провайдера динамически (возможно та проблема что описана выше из за этого?)