rb951g-2hnd

[SomewellS]

Добрый день!!!

имеется RB951G-2HnD

eth1 - провайдер(PPPoE)
eth2-4 LAN(пользователи)
eth2-4 - bridge1

eth5 выведен из bridge1 и прикручен ip(192.168.1.1) - сеть для ip камер

Код: Выделить всё

add address=192.168.1.1/24 interface=ether5 network=192.168.1.0

NAT для пользователей

Код: Выделить всё

add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-out1

подскажите плз как правильно нарисовать 2 nat для ip камер

[gmx]

Так ваше правило уже настолько общее, что занатит всех желающих.

[SomewellS]

подключаюсь на прямую в eth5 ноутбуком
локалка есть а инета нет

[gmx]

Нужен конфиг...

[SomewellS]

Нужен конфиг...

кинул в ЛС, хотя могу и сюда кинуть

Код: Выделить всё

export compact 
# sep/19/2018 12:35:11 by RouterOS 6.43.1
# software id = WDR2-MG7I
#
# model = 951G-2HnD
# serial number = 642E07CCF0FD
/interface bridge
add admin-mac=64:D1:54:75:33:E5 auto-mac=no comment=defconf fast-forward=no \
    name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    country=russia disabled=no distance=indoors frequency=auto mode=ap-bridge \
    ssid=Giglan_3 wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] name=ether2-master speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
/interface pppoe-client
add add-default-route=yes default-route-distance=0 disabled=no interface=ether1 \
    keepalive-timeout=60 name=pppoe-out1 password=7hhbi8 use-peer-dns=yes user=\
    BILL0000178
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=avegiglan \
    wpa2-pre-shared-key=avegiglan
/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des name=profile_1
/ip ipsec policy group
add name=group1
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn_pool ranges=192.168.99.1-192.168.99.20
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
    bridge name=defconf
/ppp profile
add change-tcp-mss=yes local-address=vpn_pool name=l2tp remote-address=vpn_pool
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes ipsec-secret=\
    secured use-ipsec=yes
/interface list member
add interface=ether2-master list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=wlan1 list=discover
add interface=bridge list=discover
add interface=pppoe-out1 list=discover
add interface=bridge list=mactel
add interface=bridge list=mac-winbox
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2-master network=\
    192.168.88.0
add address=192.168.1.1/24 interface=ether5 network=192.168.1.0
add address=192.168.101.1/24 interface=ether2-master network=192.168.101.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.88.102 always-broadcast=yes client-id=1:54:27:1e:1f:8e:b1 \
    mac-address=54:27:1E:1F:8E:B1 server=defconf
add address=192.168.88.65 client-id=1:b8:27:eb:b6:30:d mac-address=\
    B8:27:EB:B6:30:0D server=defconf
add address=192.168.88.219 always-broadcast=yes client-id=1:3c:52:82:26:86:65 \
    mac-address=3C:52:82:26:86:65 server=defconf
add address=192.168.88.110 client-id=1:b8:27:eb:e3:65:58 mac-address=\
    B8:27:EB:E3:65:58 server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.101.1 name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface=pppoe-out1
add action=accept chain=input port=1701,500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=91.214.212.164 dst-port=37698 \
    in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.81 to-ports=\
    37777
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
    pppoe-out1
add action=dst-nat chain=dstnat dst-address=91.214.212.166 dst-port=2222 \
    in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.88.110 to-ports=\
    22
/ip ipsec peer
add address=0.0.0.0/0 exchange-mode=main-l2tp passive=yes \
    policy-template-group=group1 profile=profile_1 secret=secured
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
/tool traffic-monitor
add interface=ether1 name=11111 threshold=0
[admin@MikroTik] > 

[gmx]

1. Выключить все правила фаерволла. Именно все.
2. Когда вы подключаетесь ноутбуком к 5 порту вы данные сети прописываете вручную? Шлюз прописываете? Он пингуется? Это микротик? Ресурсы других подсетей пингуются?

[SergeyZ]

Нууу....
для порта ether2 дважды назначен адрес.. Один дефолтный, второй - вручную добавленный..
DHCP-сервер только на bridge и только для дефолтной подсети...

Какой интернет вы хотите чтобы при этом был при подключенном ноутбуке без вручную вписанных в него настроек?

Удаляйте дефолтные адрес и DHCP-сервер на bridge, создавайте DHCP-сервер на портах ether2 и ether5.. А еще лучше, если вы DHCP-сервер создадите не на ether2, а на bridge и ip-адрес назначите не для ether2, а для bridge..
И будет вам интернет..

[SomewellS]

Когда вы подключаетесь ноутбуком к 5 порту вы данные сети прописываете вручную? Шлюз прописываете? Он пингуется? Это микротик? Ресурсы других подсетей пингуются?

да прописываю все вручную(вчера забыл прописать шлюз на ноутбуке - мой косяк)
как только прописал шлюз все пошло
начал пинговатся и шлюз и интернет
остальные сетки тоже видит!!!

браузер начал ходит в инет после того как прописал dns гугла

по конфигу скажу следующее:

рисовал это дело не я, да менять настройки не всегда получается так как он в работе!!!
да и схема сети тут у меня странная!!!! была куча петель, по чуть-чуть оптимизирую....
P.S вообще не понимаю как оно все работало .....

вопрос такой еще, как должно выглядеть правило запрета на firewall
сеть на eth5 не видела ничего кроме инета
а из остальных сетуй был доступ к сети eth5

[gmx]

да прописываю все вручную(вчера забыл прописать шлюз на ноутбуке - мой косяк)
как только прописал шлюз все пошло
начал пинговатся и шлюз и интернет
остальные сетки тоже видит!!!

Ну вообще-то очевидные вещи...

Как-то рано вам микротик.

По поводу запретов читайте здесь

viewtopic.php?f=15&t=6572