Проблемы с настройкой маршрутизации между несколькими сетями

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Jewe
Сообщения: 0
Зарегистрирован: 13 фев 2018, 14:25

нужно что-то примерно вот такое, не могу объединить офисную подсеть с подсеть точек mikrotik так как нужны будут правила по обрезке скорости для клиентов точки, офисной сети они касаться не должны, да и совмещать офисную сеть с клиентской не особо хочется
Изображение


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Вы ни конфиг не показали, ни написали что сделали и в чем проблема. С таким подходом Вам в Платные услуги :-):


Александр
Jewe
Сообщения: 0
Зарегистрирован: 13 фев 2018, 14:25

в первом же посте написано что в конфигах ничего нет, по рекомендации kt72ru были добавлены следующие правила

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward comment="Accept from 1 to 10 if established" dst-address=192.168.10.0/24 src-address=192.168.1.0/24 connection-state=established,related
add action=drop chain=forward dst-address=192.168.10.0/24 src-address=192.168.1.0/24
В результате получил то, что нужно - пинги ходят из 192.168.10.Х в 192.168.1.Х а обратно - нет. Открытым остается вопрос как поступить: оставить 5й порт с подсетью 192.168.Х.1 для тп-линков, а к примеру на 4ом порту поднять ещё одну подсеть конкретно для точек микротика или же удастся подключить всё через один. Хотелось бы конечно всё это организовать через один порт, чтобы не тянуть лишние кабеля, но как крайняя мера - кину ещё один конкретно для микротиковских точек.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Jewe писал(а): 15 фев 2018, 10:34 в первом же посте написано что в конфигах ничего нет
Извините, не внимательно посмотрел.


Александр
Jewe
Сообщения: 0
Зарегистрирован: 13 фев 2018, 14:25

Огромный плюс в карму товарищу kt72ru за совет с файрволом, все микротиковские точки подключились и прекрасно работают по CAPsMAN'у, так же свободно могу к ним подключиться по IP через winbox из другой подсети. В силу слабой осведомленности в данном вопросе нужен ещё один совет: как правильно зарезать всевозможный доступ к настройке данных точек из их же подсети, но оставить доступ из другой. Приведу пример дабы было понятно: пусть точка имеет IP 192.168.1.2и подключена к свичу, который в свою очередь подключен к 5му порту роутера, с которого и раздается эта подсеть. Если подключу к примеру ПК к этому же свичу, то я явно смогу зайти на точку через винбокс или браузер (понятно что на ней будет стоять пароль, но всё же хотелось бы даже попытки коннекта заглушить) одновременно с этим к 4му порту роутера тоже подключен компьютер, имеет IP к примеру 192.168.10.200 и на данный момент я спокойно могу с него подключиться к точке. В IP->Services можно указать с какой подсети разрешить доступ по тому или иному порту и если я там укажу available from 192.168.10.0/24 то не потеряю ли я к ней доступ из этой сети? Вопрос связан с тем, что я не понимаю микрготик маркирует трафик, если он идёт из сети 192.168.10.0, доходит до роутера, тот его направляет на нужную точку ( в данном случае 192.168.1.2), то эта самая точка будет уже считать его трафикам своей подсети( и соответственно не пропустит если я добавлю правило которое написал выше) или же всё тем же трафиком с 10й подсети ( и тогда раз в правиле явно написано давать доступ к портам этой подсети то всё будет работать)?
Получилось очень много букв, не уверен что меня правильно поймут, но надежда умирает последней) Как по другому изложить свой вопрос я увы не знаю...

P.S. если существую варианты более простого способа ограничить возможность доступа к морде точки рад буду их услышать.


Ответить