doorsman писал(а):Данный конфиг я собрал дома поэтому виланы выбрал на скорую руку.
На работе приехал MikroTik CCR1036-12G-4S.
Я для себя решил сделать следующее:
1. На первый порт приходит интернет по DHCP от провайдера, и на этот же порт я повешал 10 виланов (с 20 по 120).
Сразу уточнение: а зачем Вы на первом порту, первый порт у нас это WAN - зачем делать на нём
виланы (локальные)? Обычно делают виланы на WAN порту(ах) только в том случаи если надо принять/отправить
локальные сети дальше, через провайдера куда-то (скажем во второй-третий филиал).
А если филиала нету, то виланы на внешнем порту - это не правильно, всё равно что
что закрыть квартиру и ключ под коврик по класть.
Поэтому уточните мне пожалуйста этот момент.
doorsman писал(а):2. Попарно объединил 2й порт с 20м виланом 3й с 30 и так далее с помощью бриджей.
Тут тоже вопрос, может разделять сеть проще не виланами, а просто маршрутизацией.
Если конечно Вам виланы в будущем/сейчас не нужны. Если делать по Виланам, то делать
уже правильно и чтобы и другое сетевое оборудование виланы умела обрабатывать.
doorsman писал(а):6. Задача чтоб бухгалтера с сети 192.168.3.0 ходили по RDP на сервер с IP 192.168.2.250, а все остальные просто получали интернет.
ПО умолчанию, на микротике все сети приходящие в него не имеют ограничения(запретов), то есть если микротик
будет находиться в 3х-или даже в 5-ти разных сетях одновременно, он будет о них знать и через него
эти сети будут уже по-умолчанию доступны. Так что если Вы не перемудрили, то всё это прозрачно и
работает из коробки, то есть сразу.
doorsman писал(а):(Еще думаю про QoS, ограничение скорости по вланам, но пока с этим не разберался.)
Рано, пока логику, "физику" и понимание не придёт, рано!
doorsman писал(а):По поводу правела NAT скажу чесно нашел на просторах интернета и добавил после чего у меня поднялся интернет на всех портах.
НАТ штука хорошая, но опасная, если тупо включить НАТ для всего, и при обычной работе, например как дома,
там всё это работает идеально, всё что не для домашнего доступа, сразу в интернет, а значит НАТить, тут увы,
в офисе надо понимать, что если запрос идёт с одной локальной сети в другую локальную сеть и проходя
роутер, роутер должен понимать что этот запрос не требует подмены адреса источника и значит НАТ тут не нужен,
а если роутер не поймёт, подмена осуществиться, и Вы со своей сети в ту сеть попадёте, а вот наоборот - увы.
Да и ряд других программ, протоколов уже через НАТ не будут работать.
Поэтому правила НАТ требует пристального понимания, и также как и все правила в файрволле - важны по уровню расположения,
то есть порядок их важен.
doorsman писал(а):С микротиком работаю впервые, дома тренировался на старом RB750. По этому буду благодарен за любую помощь и критику. На работе схема пока не работает я могу менять как угодно пока не протестирую подключать не буду.
Есле можно посоветуйте свою схему буду очень признателен.
Спасибо!
Рад слышать что Вы схему собрали "на столе", а не как тут делают, не поняв основ и даже логики, сразу подключают офисы,
а потом помогите, спасите, но отключать мол ничего нельзя.
Ну и совет: надеюсь Вы новый роутер очистили, потом обновили, ну и потом и обновили загрузчик роутера!?
, заодно опыта набраться.
). Также в сети будет видео регистратор и Wi-Fi внутренняя и гостевая сеть. Голова кипит, но для меня это возможность научиться, набраться опыта и мне это интересно (так совпало что с сентября хожу на курсы Cisco CCNA и по программе через неделю VLAN'ы как раз закрепить теорию практикой или наоборот).
