Мост или не мост. Вот в чем вопрос

Обсуждение оборудования и его настройки
Ответить
DeLL
Сообщения: 74
Зарегистрирован: 05 июн 2014, 00:24

Возник вопрос - стоит ли использовать мост для подключения 10-го порта к интернету, соединяя мостом 10-ый порт и порты 1-5 (они соединены схемой коммутатора)
Конфиг такой:
 "Конфиг"
/interface bridge
add l2mtu=1598 name=Bridge_local_100mb
/interface ethernet
set [ find default-name=ether1 ]
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1
set [ find default-name=ether10 ]
set [ find default-name=sfp1 ]
/ip neighbor discovery
set ether1
set ether2
set ether3
set ether4
set ether10
set sfp1 discover=\
no
/ip pool
add name=dhcp_pool1 ranges=192.168.1.100-192.168.1.154
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=Bridge_local_100mb name=dhcp1
/port
set 0 name=serial0
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 default-route-distance=1 \
dial-on-demand=no disabled=no interface=sfp1 keepalive-timeout=60 max-mru=\
1480 max-mtu=1480 mrru=1600 name=pppoe-100mb password= profile=\
default service-name="" use-peer-dns=yes user=
/ip neighbor discovery
set pppoe-100mb discover=no
/interface bridge port
add bridge=Bridge_local_100mb interface=ether1
add bridge=Bridge_local_100mb interface=ether10
/ip address
add address=192.168.1.1/24 interface=ether1 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1,8.8.8.8,8.8.4.4 gateway=\
192.168.1.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add chain=forward comment="Accept established connections My Network" \
connection-state=established
add chain=input comment="Accept established connections Mikrotik" \
connection-state=established
add chain=forward comment="Accept related connections My Network" \
connection-state=related
add chain=input comment="Accept related connections Mikrotik" connection-state=\
related
add action=drop chain=input comment="Drop invalid connections Mikrotik" \
connection-state=invalid
add action=drop chain=forward comment="Drop invalid connections My Network" \
connection-state=invalid
add action=drop chain=input comment="Drop flood on port 53" dst-port=53 \
in-interface=pppoe-100mb protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-100mb
add action=dst-nat chain=dstnat comment=FTP-server dst-port=21,22,4000-5000 \
in-interface=pppoe-100mb protocol=tcp to-addresses=192.168.1.2
add action=dst-nat chain=dstnat comment="Camera 53" dst-port=15961 \
in-interface=pppoe-100mb protocol=tcp to-addresses=192.168.1.198 to-ports=\
15961
add action=dst-nat chain=dstnat comment="Camera 54" dst-port=15962 \
in-interface=pppoe-100mb protocol=tcp to-addresses=192.168.1.198 to-ports=\
15962
add action=dst-nat chain=dstnat comment="Camera 55" dst-port=15963 \
in-interface=pppoe-100mb protocol=tcp to-addresses=192.168.1.198 to-ports=\
15963
add action=dst-nat chain=dstnat comment=PPTP dst-port=1723 in-interface=\
pppoe-100mb protocol=tcp to-addresses=192.168.1.2 to-ports=1723
add action=dst-nat chain=dstnat comment=L2TP dst-port=1701 in-interface=\
pppoe-100mb protocol=udp to-addresses=192.168.1.2 to-ports=1701
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.0/24
set ssh address=192.168.1.0/24
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/ip upnp
set allow-disable-external-interface=no
/lcd
set backlight-timeout=never default-screen=informative-slideshow
/lcd interface
set sfp1 interface=sfp1
set ether1 interface=ether1
set ether2 interface=ether2
set ether3 interface=ether3
set ether4 interface=ether4
set ether5 interface=ether5
set ether6 interface=ether6
set ether7 interface=ether7
set ether8 interface=ether8
set ether9 interface=ether9
set ether10 interface=ether10
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=91.226.136.139 secondary-ntp=88.147.254.229
/system routerboard settings
set cpu-frequency=750MHz
/tool graphing interface
add allow-address=192.168.1.0/24
/tool graphing queue
add
/tool graphing resource
add

С 10-го порта нужен только интернет, общение с другими портами ненужно.
Если я удалю бридж, выдам другую подсеть для 10-го порта и просто настрою нат - нагрузка на проц станет немного меньше?


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Зачем вообще на WAN pppoe порт давать IP адрес?
А если добавите в мост, то сделаете вашу сеть уязвимой из вне..


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
DeLL
Сообщения: 74
Зарегистрирован: 05 июн 2014, 00:24

Я не понял, про какой адрес и на коком интерфейсе Вы говорите? Какая строчка из конфига?

Я возможно забыл сказать, что интернет приходит через SFP, подключение PPPoE, а на 10 порту у меня клиент)


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

DeLL писал(а):Возник вопрос - стоит ли использовать мост для подключения 10-го порта к интернету...

DeLL писал(а):Я возможно забыл сказать, что интернет приходит через SFP, подключение PPPoE, а на 10 порту у меня клиент)

Вы сначала определите что и как у вас, а потом вопросы задавайте :)

На порт, который смотрит к провайдеру и на котором весит PPPoE клиент, ничего настраивать не нужно, - не IP адрес, ни засовывать в бридж. Порт работает на втором уровне.
(Это в обычной схеме, но если требуется получить доступ к ресурсам провайдера, которые идут не через PPPoE интерфейс, то это сосем другая история)


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
DeLL
Сообщения: 74
Зарегистрирован: 05 июн 2014, 00:24

Так, начнем сначала) Или я неясно задал вопрос или Вы его неправильно поняли)

Железо стоит RB2011UiAS-RM
С интернетом у меня проблем нет, он висит на SFP1 через PPPoE. Порты 1-5 объединены через аппаратный свитч (когда 2-5 портам назначается один мастер-порт).
Мне потребовалось подключить еще клиента через беспроводной мост, поэтому был задействован 10 порт c подачей питания на наностейшн.
Возник вопрос как подать интернет на этот 10-ый порт.
1. Добавить в аппаратный свитч не получилось, так как он просто-напросто другой физически на плате, ну эт понятно)
2. Создать мост, добавив туда аппаратный свитч с портами 1-5 и порт № 10, что собственно и было сделано, в конфиге это видно
3. Повесить на 10-ый порт IP из другой подсети со своим DHCP-сервером и настроить для него NAT

Внимание, вопрос:
Какой вариант предпочтительнее, № 2 или № 3, чтобы нагрузка на проц была меньше, ну или по другим соображениям?
PS. Связь между портами 10 и 1-5 не нужна.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Если связь не нужна, третий вариант наиболее экономичен. С точки зрения эстетики второй вариант проще в восприятии, особенно после нескольких месяцев аптайма (легче понять, что я там к чему прикручивал). Выбирать Вам.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
DeLL
Сообщения: 74
Зарегистрирован: 05 июн 2014, 00:24

podarok66 спасибо!
PS. Читал Ваш жж - хорошая шпаргалка, настраивал по нему)


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

DeLL И Вам спасибо на добром слове))) У меня не очень с памятью, поэтому вот и родилась такая, как Вы верно подметили, шпаргалка. А так как информация часто востребована и не мной одним, решил оставить в открытом доступе.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить