Организация локальной сети на Mikrotik

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
VGorbatov
Сообщения: 24
Зарегистрирован: 15 авг 2018, 10:26

Уважаемые форумчане, прошу помидорами сильно не закидывать, т.к. только во всём этом начинаю разбираться.
На текущий момент у нас имеется локальная сеть 10.10.20.0/24, DNS и DHCP поднят на Win2008R2 и есть два шлюза. Первый шлюз на локальном компе, второй на каком-то секретном координаторе. Практически весь диапазон IP-адресов, которые в большинстве статические, занят.
Т.к. у нас в планах было объединение двух филиалов посредством поднятия l2tp/ipsec, то приобрели пару Mikrotik RB750Gr3.
Поковырявшись для знакомства с одним из устройств несколько дней, решил попробовать поднять вторую локальную сеть в диапазоне 10.10.21.0/24, при том поднять хочется так, чтобы две сети видели друг друга.
Для решения своей задачи завел два bridge, к которым подключены порты 2 и 4, оба порта подключены к одному коммутатору.
(В порт 1 подключен кабель от провайдера, порт 5 используется как проходной, на нем подключаем компы, которым не нужна локальная сеть, но нужен интернет)
ether2 отвечает за 10.10.20.0/24
ether4 отвечает за 10.10.21.0/24
Прописал микротику адрес по-умолчанию 10.10.20.90
Попробовал поднять DHCP для 10.10.21.0/24, а также настроить правила
Далее подключил компьютер, завел ему адрес из сети 10.10.21.0/24 и шлюз 10.10.21.1, но пинг с этого компа никуда не ходит, ни на свой шлюз, ни внутри, ни наружу.
Также почему-то на нескольких компах из подсети 10.10.20.0 пропал интернет.

Конфиг прикладываю ниже, но в нем я все задизаблил, т.к. после отключения моих экспериментальных строк, интернет появился.

Вопрос в принципе один, как правильно организовать вторую подсеть, а то вероятно вообще двигаюсь не в том направлении...

# oct/01/2018 09:24:32 by RouterOS 6.43.1
# model = RouterBOARD 750G r3
/interface bridge
add name=bridge1
add arp=proxy-arp disabled=yes fast-forward=no name=bridge2
add arp=proxy-arp disabled=yes fast-forward=no name=bridge4
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
/interface list
add name=WAN
add name=LAN
/ip pool
add name=dhcp_pool0 ranges=10.10.21.2-10.10.21.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge4 lease-time=23h59m59s name=\
dhcp-21
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether5
add bridge=bridge2 interface=ether2
add bridge=bridge4 interface=ether4
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=10.10.20.1/24 comment="Podset I" disabled=yes interface=\
bridge2 network=10.10.20.0
add address=192.168.100.10/24 comment="WAN Rostelekom" interface=ether1 \
network=192.168.100.0
add address=10.10.21.1/24 comment="Podset II" disabled=yes interface=bridge4 \
network=10.10.21.0
/ip dhcp-client
add dhcp-options=hostname,clientid interface=bridge1
# DHCP client can not run on slave interface!
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=10.10.21.0/24 comment="Podset II" dns-server=10.10.21.1 gateway=\
10.10.21.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=10.10.20.6,10.10.20.5
/ip dns static
add address=10.10.20.90 name=router.lan
/ip firewall filter
# bridge2 not ready
# bridge4 not ready
add action=accept chain=forward in-interface=bridge2 out-interface=bridge4
# bridge4 not ready
# bridge2 not ready
add action=accept chain=forward in-interface=bridge4 out-interface=bridge2
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface=bridge4 \
src-address=10.10.21.0/24 src-address-list=10.10.21.1
add action=masquerade chain=srcnat disabled=yes out-interface=bridge2 \
src-address=10.10.20.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system resource irq rps
set ether1 disabled=no
set ether2 disabled=no
set ether3 disabled=no
set ether4 disabled=no
set ether5 disabled=no
/system routerboard settings
set silent-boot=no


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

В конфиге у вас неправильно почти всё, что вообще только может быть неправильно.

Но самая главная логическая ошибка скорее всего тут:
VGorbatov писал(а): 01 окт 2018, 05:55 Для решения своей задачи завел два bridge, к которым подключены порты 2 и 4, оба порта подключены к одному коммутатору.
Коммутатор об этом знает?
Вы его настраивали под работу с той логикой, которую вы хотите?

Дальше по конфигу уже собственно микротика:

1)
VGorbatov писал(а): 01 окт 2018, 05:55 /interface bridge
add name=bridge1
add arp=proxy-arp disabled=yes fast-forward=no name=bridge2
add arp=proxy-arp disabled=yes fast-forward=no name=bridge4
Как минимум - убрать proxy-arp на бриджах.
В идеале - убрать сами бриджи 2 и 4, у вас в них по одному порту в каждом и если так оно и будет в дальнейшем, то они не нужны.

2)
VGorbatov писал(а): 01 окт 2018, 05:55 /interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
Это не имеет никакого смысла пока у вас ether1 принадлежит bridge1.

3)
VGorbatov писал(а): 01 окт 2018, 05:55 /ip address
add address=192.168.100.10/24 comment="WAN Rostelekom" interface=ether1 \
network=192.168.100.0
Если у вас ether1 действительно является выходом в интернет, то его необходимо убрать из бриджа. Даже если бы оно теоретически могло заработать, то бриджевать свою сеть с сетью провайдера не надо ни вам, ни, соответсвенно, провайдеру.

4)
VGorbatov писал(а): 01 окт 2018, 05:55 /ip dhcp-client
add dhcp-options=hostname,clientid interface=bridge1
# DHCP client can not run on slave interface!
add dhcp-options=hostname,clientid disabled=no interface=ether1
Здесь вы пытаетесь повесить два DHCP-клиента на два интерфейса, которые являются частью друг друга. И роутер вам даже говорит, что это ошибка.

5)
VGorbatov писал(а): 01 окт 2018, 05:55 /ip firewall filter
# bridge2 not ready
# bridge4 not ready
add action=accept chain=forward in-interface=bridge2 out-interface=bridge4
# bridge4 not ready
# bridge2 not ready
add action=accept chain=forward in-interface=bridge4 out-interface=bridge2
Такой firewall не делает ничего: без нижнего запрещающего правила, все, что он описывает, разрешено и так.

6)
VGorbatov писал(а): 01 окт 2018, 05:55 /ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface=bridge4 \
src-address=10.10.21.0/24 src-address-list=10.10.21.1
add action=masquerade chain=srcnat disabled=yes out-interface=bridge2 \
src-address=10.10.20.0/24
Что у вас здесь я вообще не пойму, но скорее всего оно просто не делает ничего.
Маскарадинг нужен на out-interface-list=WAN, без всяких других условий.
Чтобы он работал, когда-то кто-то изнутри выходит в интернет.
Между внутренними подсетями никакой маскрадинг не нужен.

Что в итоге.
Как я уже написал, из пунктов 3-4-5 следует, что вам надо ether1 удалить из bridge1 (сам bridge1 тогда тоже перестает быть нужным и его тоже можно удалить) и тогда, если поправите NAT по пункту (6) и добавите на ether5 какую-нибудь адресацию - то интернет должен появится на ether5.

Для того, чтобы интернет появился на ether2 и ether4 нужно настраивать коммутатор, или, если он неуправляемый, то вешать два - по одному на каждый порт.


Telegram: @thexvo
Аватара пользователя
VGorbatov
Сообщения: 24
Зарегистрирован: 15 авг 2018, 10:26

Спасибо, начинаю исправлять конфигурацию.
Сейчас дошел до 3) и пока снова затык, попытаюсь пояснить и уточнить, как правильно.
От провайдера Ростелеком к нам входит кабель, на конце которого стоит Huawei 8245. Один из кабелей от этого модема выходил на тестовый стенд, на котором проверяли работу внешней сети. Я взял это кабель, воткнул в порт ether1 микротика, а от микротика из ether5 вывел другой кабель к стенду. IP прописал руками, т.к. huawei раздает адреса в этом диапазоне 192.168.100.0/24, а в бридж завел, чтобы с кабеля, который вывел я - связь была.
Сейчас, когда бриджи 2 и 4 грохнул, смотрю на ether1 ip-адрес автоматом присвоился, и на компьютере, который к ether5 подключен, тоже ip-адрес автоматом поднялся.
Вот теперь и уточнить попытаюсь, т.е. в вышеописанной комбинации для портов 1 и 5 бридж не нужен?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Так. Huawei у вас по всей видимости работает в режиме роутера (а не моста), значит на нем уде должен быть настроен NAT и какое-нибудь подобие firewall’а. Это несколько меняет дело.
1) Никакого маскарадинга на микротике тогда быть не должно. Пункт (6) моего предыдущего сообщения - удаляете вообще все.
2) ether1 и ether5 тогда можно оставить в бридже (этого достаточно для наличия интернета на ether5), если повесить на этот бридж dhcp-клиент, то микротик получит адрес от хуавея и интернет будет на самом микротике. Соответственно, компьютеры за ether5 будут получать адреса тоже от хуавея.
3) По поводу ether2 и ether4 - ничего не меняется.

Дальше.
Хорошо бы, если бы вы нарисовали схему того, что вы вообще хотите получить. А то может оказаться, что в вашем случае будет вполне целесообразно попробовать перевести хуавей в режим моста, и весь роутинг, dhcp, nat, firewall и т.д. осуществлять уже на микротике.


Telegram: @thexvo
Аватара пользователя
VGorbatov
Сообщения: 24
Зарегистрирован: 15 авг 2018, 10:26

Спасибо, за правильное направление, но у нас тут немного все переигралось :-( (вторую подсеть похоже буду поднимать позже)
Сейчас в приоритете стало - организация закрытого канала между филиалом и ДО.
Затык на уровне организации тестового стенда. Как VPN поднять, материал видел на этом же форуме, а вот со стендом пока беда...

Если я правильно понимаю, для организации VPN, мне нужны два внешних IP - один в филиале, второй в ДО. Стенд пытаюсь собрать по аналогии.

Первая точка Филиал, при этом моя тестовая настройка в дальнейшем станет и рабочей: сейчас имеется на входе провайдерский модем Huawei 8245, куда интернет подается в виде оптики. На этом модеме (тут поправьте пожалуйста меня специалисты, а том может так делать и не стоит), я поднял в переадресации DMZ. Одна сторона которой смотрит на WAN, а вторая на IP из диапазона, раздаваемого DHCP Huawei.
IP взял из не раздаваемого диапазона и прописал его на микротике в адресном листе (Huawei сразу унюхал mac-адрес моего микротика) Далее на микротике в таблице маршрутизации добавил адрес 0.0.0.0/0. Пинги у меня забегали, как с микротика, так и с компьютера, подключенного к ether5 микротика.

Но вот терзают смутные сомнения, как мне узнать, считает ли микротик, что ему подан внешний IP, как это проверить?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Важно, не как считает микротик, а как оно на самом деле. А на самом деле, это никакой не внешний ip, что бы там ему хуавей ни назначил.
Статический внешний ip выдается провайдером и обычно, как дополнительная услуга.

По факту для организации «какого-нибудь»
туннеля достаточно, чтобы только на одном конце был статический внешний адрес.


Telegram: @thexvo
Ответить