Нужна помощь в настройке двух сетей.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
kursy_po_it_ru
Сообщения: 37
Зарегистрирован: 24 ноя 2016, 11:52
Контактная информация:

Я не интересовался Вашим доходом. Я интересовался с какой целью Вы делаете настройку. Я вижу два варианта.
1. Для того, что бы научиться.
2. Это надо для того, что бы решить, какую-то рабочую задачу.

Возможно это прозвучит странно, но эта информация нужна для того, что бы Вам помочь.


===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
witalikS
Сообщения: 0
Зарегистрирован: 02 дек 2016, 13:37

kursy_po_it_ru писал(а):Я не интересовался Вашим доходом. Я интересовался с какой целью Вы делаете настройку. Я вижу два варианта.
1. Для того, что бы научиться.
2. Это надо для того, что бы решить, какую-то рабочую задачу.

Возможно это прозвучит странно, но эта информация нужна для того, что бы Вам помочь.

Месяца через 1,5-2 мне предстоит решить рабочую задачу. Часть предприятия переедет в новый офис и мне необходимо будет оба офиса соединить через интернет. В новый офис переедут все сервера, включая контролер домена. В старом планирую оставить только один сервак и поднять на нем RODC.Вот для этого и собираю такую тестовую схему. К ССR сейчас подключена рабочая сеть, за RB помещаю RODC. Поднимаю между mikrotik vpn (хочу протестить различные типы vpn и оборудование, что они позволят прокачать через себя). Хочу разобраться заранее,чтобы переезд прошел без ночевок на работе. А теперь давайте вернемся к нашим баранам.

Приехал на два часа раньше на работу и понеслось.
Отключил firewall и nat перезагрузил CCR -результат нулевой. Почесал репу, глянул на часы - полтора часа еще есть и перешел к радикальным действиям.
Экспортировал конфигурацию CCR в файл, сохранил на комп и сбросил mikrotik без сохранения заводских настроек. Добавил адреса и маршруты - все работает. Еще раз сбросил mikrotik и начал добавлять сохраненную конфигурацию. Вот так и нашел свой косяк.
После добавления строк
/ip ipsec policy
add dst-address=172.30.30.0/23 sa-dst-address=10.20.30.21 sa-src-address=\
10.20.30.20 src-address=172.30.40.0/21 tunnel=yes
пинг пропал. Два месяца назад разбиралcя с vpn, создал эту запись и забыл про нее.
Глубокоуважаемые kursy_po_it_ru и Vlad-2 спасибо Вам огромное за помощь. Извините, что из-за моего косяка потратили столько своего драгоценного времени.


Аватара пользователя
kursy_po_it_ru
Сообщения: 37
Зарегистрирован: 24 ноя 2016, 11:52
Контактная информация:

Поздравляю!

Дам Вам свои комментарии и практические советы.

Комментарий: Вы сказали, что Вы сделали экспорт конфигурации. На всякий случай уточню, что резервную копию можно делать двумя способами: экспорт и бэкап. При экспорте не сохраняются сертификаты. А я припоминаю, что у Вас где-то светился OpenVPN, которому обязательно нужны сертификаты.

Практические советы:
Тут у всех может быть свое мнение. Я выскажу свое, которое основано, на опыте подготовки людей на коммерческой основе (см. мою подпись), опыте подготовки сотрудников для своей фирмы и личном инженерном опыте.
1. Не тренеруйтесь на рабочем оборудовании. Разверните пару виртуалок и делайте все на них. Практически все лабы у МикроТика можно сделать в виртуальной среде. Исключение: обновление RouterBOOT, Wi-Fi и еще понемногу.
2. Вычистите свой конфиг от мусора. Он еще сильно сможет Вам аукнуться во время переезда. Рекомендую начать с NAT и Filter. В NAT правила masquerade чаще всего должны быть первыми. Сделайте правильные пробросы портов. В Filter у Вас вообще 80% мусора, который надо удалить. Ссылку на статью по лженастройкам файервола я уже приводил. Когда конфигурация придет в более культурный вид ее будет легче анализировать и Вам и другим, если Вы к кому-то будете обращаться.
3. Думайте головой. Учтите, что не все статьи из Интернета полезные, даже, если они и выглядят умными.


===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

witalikS писал(а):Глубокоуважаемые kursy_po_it_ru и Vlad-2 спасибо Вам огромное за помощь. Извините, что из-за моего косяка потратили столько своего драгоценного времени.

Вы молодцы, подошли сегодня правильно, серьёзно и основательно.
Дмитрий Вам советы дал, я тоже дам, но житейские и в рамках Ваших будущих задач (создания двух офисов и их объединение).

1) начните создавать канал между двумя офисами не сразу с тяжёлых протоколов, ибо у разных
провайдеров и у разных каналов свои требования, поднимите IPIP или GRE туннель, посмотрите,
они по себе просты и не требовательны, а потом уже можно прямо к ним добавить и уже IPSec,
а то многие сразу накручивают OpenVPN и L2TP и так далее....

2) придерживайтесь чтобы каждый роутер в своём офисе делал свою задачу, то есть держал
сет(и), интернет, ДНС/DHCP если требуется, но всё в рамках своего подразделения,
а уже по каналу(по туннелю) шла работа и шёл только полезный трафик рабочий.

3) Старайтесь работать между офисами в рамках маршрутизации, и не делать L2-туннель(зачем
бродкасты, штормы плодить и в другом офисе, при наличии таковых в одном.)

4) На счёт виртуалок соглашусь, возможно будет проще при переезде что-то временно оттестировать
на виртуальной среде, ибо при переезде много чего сразу не известно и может меняться,
а уже когда всё более менее устаканиться в другом офисе, сделать уже конфиг
и переехать на "железо"...но тут уже каждый сам решает как ему удобно.

Удачи в целом Вам!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
witalikS
Сообщения: 0
Зарегистрирован: 02 дек 2016, 13:37

Спасибо за полезные советы.


Ответить