Домен AD + местная подсеть

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
sa_
Сообщения: 2
Зарегистрирован: 27 янв 2017, 09:50

Добрый день !
В Москве имеется Большой домен с Active Directory . Домен сам по себе, профили, Outlook и интернет там же
Нам в маленькое подразделение дали циску, сказали втыкайтесь туда, ничего не трогайте, больше нас ничто не касается.
У нас есть своя подсеть 192.168.30.0, в ней счетчики посетителей и видеонаблюдение и еще кой чего.

Задача чтоб целиком работать в домене с его DNS, DHCP и интернет там же, а при обращении к 30-й подсети попадать на свои местные ресурсы.

У себя воткнул 2 сетевые карты -работает. У пользователей ноутбуки- ничо не воткнешь. С микротиком знаком на уровне настройки домашней сети.


Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

sa_ писал(а):Задача чтоб
а если наша задача все за вас сделать, то вы не туда попали :a_g_a:


sa_
Сообщения: 2
Зарегистрирован: 27 янв 2017, 09:50

Я бы посоветовал администрации банить таких говнюков. Я и написал в ФАК оттого что мало опыта и прошу дать только ссылку где почитать. А в следующий раз пойду спрашивать в другое место, потомучто тут сидят одни великие гуру

Ещё одно оскорбление любого участника форума, и бан по подсети провайдера будет.
@ Dragon_Knight


Аватара пользователя
podarok66
Модератор
Сообщения: 4368
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

To TC: Вот не надо тут кидаться продуктами жизнедеятельность. Даже если очень хочется.
По маршрутизации посмотрите вот этот пост. Сразу признаюсь, что подобных задач не решал, потому и не решусь сам советы давать. На крайний случай спросите у vqd, он на мысль всегда натолкнет.
To Kato: Добрее надо быть, добрее. Вон у человека поди и так кипит на душе, потому как горит на работе по данному вопросу.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

podarok66
я и так добрый, добрее нет)
sa_
предлагаю начать, со схемы, и того, что вы там настроили (конфиг) и что не получается (ошибки)


sa_
Сообщения: 2
Зарегистрирован: 27 янв 2017, 09:50

Ок,
ether1 подключен к доменной сети 172.16.130.0/24. Адрес интерфейса 172.16.130.41, Получен DHCP клиентом микротика, получены адреса DNS серверов. Адрес доменного DHCP сервера 172.30.220.1, пингуется через терминал
ether2 -назовем подсеть видеонаблюдения 192.168.30.0/24. Адрес интерфейса статический 192.168.30.40

ether3,4,5 соединены в свитч (3-мастер) и к нему подключен комп.
Сначала хочу получить IP адрес компа - не знаю как пробросить DHCP-relay на ether1. Или ещё что то нужно ?

Ещё до кучи если вторая подсеть оказывается на порту доменной циски(через свитч), то циска отрубает этот порт


Аватара пользователя
podarok66
Модератор
Сообщения: 4368
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Код: Выделить всё

/ip dhcp-relay add name=LRelay interface=ether3 dhcp-server=172.30.220.1 local-address=172.16.130.41 disabled=no

А не так ли релей пробрасывается?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2527
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

sa_ писал(а):Ок,
ether1 подключен к доменной сети 172.16.130.0/24. Адрес интерфейса 172.16.130.41, Получен DHCP клиентом микротика, получены адреса DNS серверов. Адрес доменного DHCP сервера 172.30.220.1, пингуется через терминал
ether2 -назовем подсеть видеонаблюдения 192.168.30.0/24. Адрес интерфейса статический 192.168.30.40
ether3,4,5 соединены в свитч (3-мастер) и к нему подключен комп.
Сначала хочу получить IP адрес компа - не знаю как пробросить DHCP-relay на ether1. Или ещё что то нужно ?
Ещё до кучи если вторая подсеть оказывается на порту доменной циски(через свитч), то циска отрубает этот порт

Ну мой способ не идеален, много минусов содержит, но я отталкиваюсь от задачи описанной в первом посте.

1) не трогаем текущий мастер порт (дабы не ломать) и временно 5й порт отвязываем от мастер-порта 3
2) создаём бридж, и в настройках DHCP Client его указываем как получение адреса (адресацию условно переносим/получать будем с 1-ого порта на бридж)
3) в этот бридж засовываем 5й порт - порт куда воткнут комп...+ 1 порт конечно также обязателен в бридж
В итоге создали свитч логический, имеющий адрес + компьютер(ы) подключённые в этот бридж и через порт 5-й получать доменные настройки.
То есть мы попали в Актив-Директори со всеми правами.

Теперь камеры или вторая сеть:
увы, так как компы будут получать адресацию и все остальные параметры по DHCP от Актив Директори,
то тут чтобы попасть в сеть вторую два под-пути есть:
а) на каждом компе который у Вас (в Вашем филиале) прописываете шлюз, что искать 30-ю сетку,
через IP (айпи адрес бриджа на микротике)
б) попросить админа Актив Директори чтобы он прописал в DHCP сервере Актив Директори сетку 30 (где её искать,маршрут до неё),
и при получении автоматом адреса(ов), компьютер будет знать где искать 30ю сетку и как дойти до неё.

Естественно во всех вариантов есть минусы, может не хватит прав, и так далее, но в любом случаи
доступ к отдельной сети надо делать на уровне маршрутизации, так как на уровне L2 у Вас образуется петля...
(сделал выводы на основании отключении порта циской).

Всё выше описал лишь с той позиции как я понял задачу...если что...не бить!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить