В общем, настроил всё на бриджах, как советовал Vlad-2.
Без бриджей, на голых интерфейсах портов - не осилил.
Получилось, наверное, не самое эффектикное решение, но зато - оно работает! 1 порт - 1 мост (бридж).
Ниже - конфигурация (
решение задачи).
(Ниже предназначено для чайников, вроде меня, чтобы не мучались сами и не не приходилось объяснять как мне в очередной раз. Если сделал ерунду и можно было намного лучше (с чем заведомо не спорю) - то, если не жалко, просто выложите свою понфигурацию.)
Порт 1 - WAN (т.к. в скорой перспективе владелец планирует взять пакет от провайдера со скоростью более 100 МБит).
Порты 2-9 - клиенты (сети 192.168.92.0/24..192.168.99.0/24); очередь (лимит) на мост для каждой подсети - 5Мбит/5Мбит в секунду
Порт 10 - сеть владельца/администрации, отсюда разрешено и администрирование устройства (по MAC-адресам интерфейсов, WinBox зайдёт с любого из портов); очередь (лимит) подсети - 10Мбит/10Мбит в секунду
К портам 2..10 планируется подключить рутеры, но возможны и свичи.
WAN: настроено как статика, адрес 192.168.11.200/24, основной шлюз (и далее - по тому же адресу DNS) - 192.168.11.1 (поменяйте эти адреса в конфигурации на соответствующие Ваши).
Если перед Микротиком рутер с DHCP, то можно настроить и по DHCP, закрепив за мак-адресом Микротика какой-либо адрес. Возможно, проще будет ограничить диапазон адресов (скажем, 192.168.11.2-192.168.11.199) и поменять тогда в конфигурации микротика 192.168.11.200 на любой адрес вне диапазона DHCP.
NB! Имя пользователя без изменений (после импорта - необходимо создать другого пользователя и задать ему пароль, а пользователя admin отключить или удалить).
Также, настроен фильтр в брандмауэре - блокировать новые соединения извне, и ряд других правил.
Намеренного ограничения обмена между внутренними подсетями (92-100) здесь не сделано. Не проверял пока, возможен-ли он (в таком случае, он позже будет ограничен).
Конфигурацию (скрипт) необходимо сохранить в файл, скажем, some_config.rsc, в утилите WinBox, после присоединения, открыть окно Files, и перетащить туда файл. Дажее - New Terminal -> /import some_config.rsc (жмём Ввод (Enter)).
Желательно перед этим сбросить в заводские настройки и после копирования файла, удалить конфигурацию.
Через несколько секунд терминал отсоединится и новая конфигурация вступит в силу.
Сама конфигурация:
Код: Выделить всё
# jul/14/2017 22:37:59 by RouterOS 6.39.2
# software id = TG79-1SFG
#
/interface bridge
add name=lan2-dmz
add name=lan3-dmz
add name=lan4-dmz
add name=lan5-dmz
add name=lan6-dmz
add name=lan7-dmz
add name=lan8-dmz
add name=lan9-dmz
add name=lan10-dmz
/ip pool
add name=dhcp_pool_02 ranges=192.168.92.2-192.168.92.254
add name=dhcp_pool_03 ranges=192.168.93.2-192.168.93.254
add name=dhcp_pool_04 ranges=192.168.94.2-192.168.94.254
add name=dhcp_pool_05 ranges=192.168.95.2-192.168.95.254
add name=dhcp_pool_06 ranges=192.168.96.2-192.168.96.254
add name=dhcp_pool_07 ranges=192.168.97.2-192.168.97.254
add name=dhcp_pool_08 ranges=192.168.98.2-192.168.98.254
add name=dhcp_pool_09 ranges=192.168.99.2-192.168.99.254
add name=dhcp_pool_10 ranges=192.168.100.2-192.168.100.254
/ip dhcp-server
add address-pool=dhcp_pool_02 disabled=no interface=lan2-dmz name=dhcp2
add address-pool=dhcp_pool_03 disabled=no interface=lan3-dmz name=dhcp3
add address-pool=dhcp_pool_04 disabled=no interface=lan4-dmz name=dhcp4
add address-pool=dhcp_pool_05 disabled=no interface=lan5-dmz name=dhcp5
add address-pool=dhcp_pool_06 disabled=no interface=lan6-dmz name=dhcp6
add address-pool=dhcp_pool_07 disabled=no interface=lan7-dmz name=dhcp7
add address-pool=dhcp_pool_08 disabled=no interface=lan8-dmz name=dhcp8
add address-pool=dhcp_pool_09 disabled=no interface=lan9-dmz name=dhcp9
add address-pool=dhcp_pool_10 disabled=no interface=lan10-dmz name=dhcp10
/queue simple
add max-limit=5M/5M name=queue2 target=lan2-dmz
add max-limit=5M/5M name=queue3 target=lan3-dmz
add max-limit=5M/5M name=queue4 target=lan4-dmz
add max-limit=5M/5M name=queue5 target=lan5-dmz
add max-limit=5M/5M name=queue6 target=lan6-dmz
add max-limit=5M/5M name=queue7 target=lan7-dmz
add max-limit=5M/5M name=queue8 target=lan8-dmz
add max-limit=5M/5M name=queue9 target=lan9-dmz
add max-limit=10M/10M name=queue10 target=lan10-dmz
/interface bridge port
add bridge=lan2-dmz interface=ether2
add bridge=lan3-dmz interface=ether3
add bridge=lan4-dmz interface=ether4
add bridge=lan5-dmz interface=ether5
add bridge=lan6-dmz interface=ether6
add bridge=lan7-dmz interface=ether7
add bridge=lan8-dmz interface=ether8
add bridge=lan9-dmz interface=ether9
add bridge=lan10-dmz interface=ether10
/ip address
add address=192.168.11.200/24 interface=ether1 network=192.168.11.0
add address=192.168.92.1/24 interface=lan2-dmz network=192.168.92.0
add address=192.168.93.1/24 interface=lan3-dmz network=192.168.93.0
add address=192.168.94.1/24 interface=lan4-dmz network=192.168.94.0
add address=192.168.95.1/24 interface=lan5-dmz network=192.168.95.0
add address=192.168.96.1/24 interface=lan6-dmz network=192.168.96.0
add address=192.168.97.1/24 interface=lan7-dmz network=192.168.97.0
add address=192.168.98.1/24 interface=lan8-dmz network=192.168.98.0
add address=192.168.99.1/24 interface=lan9-dmz network=192.168.99.0
add address=192.168.100.1/24 interface=lan10-dmz network=192.168.100.0
/ip dhcp-server network
add address=192.168.92.0/24 dns-server=192.168.11.1 gateway=192.168.92.1 \
netmask=24
add address=192.168.93.0/24 dns-server=192.168.11.1 gateway=192.168.93.1 \
netmask=24
add address=192.168.94.0/24 dns-server=192.168.11.1 gateway=192.168.94.1 \
netmask=24
add address=192.168.95.0/24 dns-server=192.168.11.1 gateway=192.168.95.1 \
netmask=24
add address=192.168.96.0/24 dns-server=192.168.11.1 gateway=192.168.96.1 \
netmask=24
add address=192.168.97.0/24 dns-server=192.168.11.1 gateway=192.168.97.1 \
netmask=24
add address=192.168.98.0/24 dns-server=192.168.11.1 gateway=192.168.98.1 \
netmask=24
add address=192.168.99.0/24 dns-server=192.168.11.1 gateway=192.168.99.1 \
netmask=24
add address=192.168.100.0/24 dns-server=192.168.11.1 gateway=192.168.100.1 \
netmask=24
/ip dns
set servers=192.168.11.1
/ip firewall filter
add chain=input protocol=icmp
add action=accept chain=input connection-state=new dst-port=80,8291,22 \
in-interface=!ether1 protocol=tcp src-address=192.168.0.0/16
add action=reject chain=input connection-mark=deny_in connection-state=new \
in-interface=ether1 reject-with=icmp-net-prohibited
add action=accept chain=input connection-mark=allow_in connection-state=new \
disabled=yes dst-port=80 in-interface=ether1 protocol=tcp
add action=accept chain=input connection-state=new dst-port=53,123 protocol=\
udp src-address=192.168.0.0/16
add chain=input connection-state=established,related
add chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new \
in-interface=!ether1 out-interface=ether1 src-address=192.168.0.0/16
add action=accept chain=forward connection-state=established,related \
in-interface=ether1 out-interface=!ether1
add action=accept chain=forward src-address=192.168.0.0/16
add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
192.168.0.0/16
/ip route
add check-gateway=ping distance=1 gateway=192.168.11.1
/ip service
set telnet address=192.168.100.0/24
set ftp address=192.168.100.0/24
set www address=192.168.100.0/24
set ssh address=192.168.100.0/24
set www-ssl address=192.168.100.0/24
set api address=192.168.100.0/24
set winbox address=192.168.100.0/24
set api-ssl address=192.168.100.0/24
/system clock
set time-zone-name=Europe/Tallinn
Ну и меняем часовой пояс на местный.
Большое спасибо Vlad-2, gmx, и всем, принявшим участие в этой теме.