HAP AC-SXT lte

Выкладываем здесь готовые конфигурации под определенные типовые задачи
itj
Сообщения: 7
Зарегистрирован: 07 янв 2019, 01:14

Доброго времени суток.Имеется HAP AC, SXT lte на eth5.И там и там поднят DCHP.
Планирую завести видеонаблюдение в отдельный VLAN подкюченый к HAP AC
Как избежать DCHP на SXT lte, DCHP-relay на HAP AC, верно ?

Какие вариации ?

export_HAP_AC
 
export
# jan/09/2019 13:06:12 by RouterOS 6.43.8
# software id = ***
#
# model = RouterBOARD 962UiGS-5HacT2HnT
# serial number = ***********
/interface bridge
add admin-mac=************* auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] disabled=yes speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] name=ether3-PC speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] name=ether5-LTE speed=100Mbps
set [ find default-name=sfp1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full disabled=yes
/interface wireless
set [ find default-name=wlan1 ] arp=reply-only band=2ghz-b/g/n channel-width=\
20/40mhz-Ce country=russia disabled=no frequency-mode=regulatory-domain \
hide-ssid=yes mac-address=*********** mode=ap-bridge ssid=*** \
wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
set [ find default-name=wlan2 ] arp=reply-only band=5ghz-a/n/ac channel-width=\
20/40/80mhz-Ceee country=russia disabled=no distance=indoors \
frequency-mode=regulatory-domain hide-ssid=yes mode=ap-bridge ssid=*** \
wireless-protocol=802.11 wps-mode=disabled
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=\
"********" wpa2-pre-shared-key="*********"
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=profile \
supplicant-identity=MikroTik wpa-pre-shared-key=******* \
wpa2-pre-shared-key=******
/interface wireless
add arp=disabled disabled=no mac-address=****** master-interface=\
wlan2 name=wlan3-guest security-profile=profile ssid=**** wps-mode=\
disabled
add arp=disabled disabled=no mac-address=******** master-interface=\
wlan1 name=wlan4-guest security-profile=profile ssid=***** wps-mode=\
disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp authoritative=after-2sec-delay disabled=no \
interface=bridge lease-time=1h10m name=DHCP
/snmp community
set [ find default=yes ] security=private
add addresses=192.168.88.0/24 authentication-password=*** \
authentication-protocol=SHA1 encryption-password=*** encryption-protocol=\
AES name=ip-cam security=private
/interface bridge filter
add action=drop chain=forward in-interface=wlan3-guest
add action=drop chain=forward out-interface=wlan3-guest
add action=drop chain=forward in-interface=wlan4-guest
add action=drop chain=forward out-interface=wlan4-guest
/interface bridge port
add bridge=bridge comment=defconf disabled=yes interface=ether2
add bridge=bridge comment=defconf interface=ether3-PC
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=wlan3-guest
add bridge=bridge interface=wlan4-guest
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set accept-redirects=no accept-router-advertisements=no forward=no
/interface detect-internet
set detect-interface-list=dynamic internet-interface-list=LAN \
lan-interface-list=LAN wan-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=ether5-LTE list=WAN
/interface wireless access-list
add interface=all mac-address=****
add mac-address=*****
add mac-address=*****
add mac-address=****
add mac-address=***
/interface wireless connect-list
add interface=wlan3-guest mac-address=*****
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip arp
add address=192.168.0.1 interface=ether5-LTE mac-address=*****
add address=192.168.88.243 interface=bridge mac-address=******
add address=192.168.88.248 interface=bridge mac-address=****
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
ether5-LTE use-peer-dns=no use-peer-ntp=no
/ip dhcp-relay
add dhcp-server=192.168.88.1 disabled=no interface=ether5-LTE local-address=\
192.168.0.1 name=relay1
/ip dhcp-server alert
add disabled=no interface=bridge
/ip dhcp-server lease
add address=192.168.88.248 comment=Guest-- mac-address=****** \
server=DHCP
add address=192.168.88.247 client-id=***** comment=Guest-- \
mac-address=***** server=DHCP
add address=192.168.88.244 mac-address=**** server=DHCP
add address=192.168.88.243 client-id=***** comment=4Mp \
mac-address=**** server=DHCP
add address=192.168.88.242 mac-address=****** server=DHCP
/ip dhcp-server network
add address=192.168.8.0/24 dns-server=91.217.137.37 gateway=192.168.8.1
add address=192.168.88.0/24 comment=defconf dns-server=91.217.137.37 gateway=\
192.168.88.1
/ip dns
set servers=91.217.137.37,1.1.1.1,156.154.70.22
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
/ip ipsec policy
set 0 disabled=yes
/ip route
add distance=1 gateway=192.168.0.1
/ip service
set telnet address=192.168.88.0/24 disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24
set ssh disabled=yes
set api address=192.168.88.0/24 disabled=yes
set winbox address=192.168.88.0/24
set api-ssl address=192.168.88.0/24 disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/16
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" \
src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" \
dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/snmp
set contact=*** enabled=yes location=RUS trap-community=ip-cam \
trap-generators="" trap-version=3
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=***
/system ntp client
set enabled=yes primary-ntp=88.147.254.235
/tool e-mail
set address=93.158.134.38 from=**** password=*** port=\
587 start-tls=yes user=****
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
export SXT lte
 

export
# jan/09/2019 13:23:13 by RouterOS 6.43.8
# software id = ****
#
# model = RouterBOARD SXT LTE 3-7
# serial number = ***
/interface bridge
add admin-mac=**** auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface lte
set [ find ] mac-address=****** name=lte1 network-mode=lte
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge lease-time=\
12h10m name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set accept-redirects=no accept-router-advertisements=no forward=no
/interface l2tp-server server
set ipsec-secret=**** use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=lte1 list=WAN
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.0.1/24 comment=defconf interface=ether1 network=192.168.0.0
/ip arp
add address=192.168.0.253 interface=bridge mac-address=*****
/ip dhcp-server network
add address=192.168.0.0/24 comment=defconf dns-server=91.217.137.37 gateway=\
192.168.0.1 netmask=24
/ip dns
set servers=91.217.137.37
/ip dns static
add address=192.168.0.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\
udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.89.0/24
/ip ipsec policy
set 0 disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=lte1 type=external
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/16
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" \
src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" \
dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=*2
/ppp secret
add name=vpn password=***
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[/quote]


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Раза 5 прочитал, сложно как-то задача оформлена!
itj писал(а): 11 янв 2019, 09:47 Доброго времени суток.Имеется HAP AC, SXT lte на eth5.И там и там поднят DCHP.
И это хорошо, только зачем DHCP на SXT lte
itj писал(а): 11 янв 2019, 09:47 Планирую завести видеонаблюдение в отдельный VLAN подкюченый к HAP AC
Отдельный вилан = вообще отлично
itj писал(а): 11 янв 2019, 09:47 Как избежать DCHP на SXT lte, DCHP-relay на HAP AC, верно ?
А зачем избегать, они итак не встретятся! DHCP у Вас в основном вилане(вилан1) бегает,
а в вилане для видеонаблюдения там или не будет DHCP или будет,но свой, главное что
вилан - это уже считается другая сеть, другая физика, пересекаться не будут.
И внутри микротиков трафик внутри вилана можно сразу с ним работать.
itj писал(а): 11 янв 2019, 09:47 Какие вариации ?
Вариаций с одной стороны масса, с другой всё равно основы = это разные подсети,
разделение по портам, и сегментация через виланы.
Поднимайте вилан для видеонаблюдения, делайте на HAP AC на этом вилане
адресацию, DHCP свой и этот вилан делайте ещё и на SXT lte = тогда сеть
видеонаблюдения будет и сама по себе и в неё доступ также будет со всех
микротиков.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
itj
Сообщения: 7
Зарегистрирован: 07 янв 2019, 01:14

Соррян, за сложность.
А зачем избегать, они итак не встретятся! DHCP у Вас в основном вилане(вилан1) бегает,
а в вилане для видеонаблюдения там или не будет DHCP или будет,но свой, главное что
вилан - это уже считается другая сеть, другая физика, пересекаться не будут.
И внутри микротиков трафик внутри вилана можно сразу с ним работать.
Сейчас подесть у HAP AC 192.168.88.1/24 в этой подсети видеонаблюдение по NFS ведёт запись.
Когда заведу видеонаблюдение в отдельный (пример. VLAN20) с отдельным DCHP(для уменьшения BROADCAST ...) , то NFS окажется в другой сети.
Нужно будет прокинуть порты до NFS в одну сторону и firewall ?
На HAP AC DHCP -relay поднять для SXT lte и в VLAN10 завернуть?
Верно я понимаю?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

itj писал(а): 11 янв 2019, 13:06 Сейчас подесть у HAP AC 192.168.88.1/24 в этой подсети видеонаблюдение по NFS ведёт запись.
Ясно. Сеть 192.168.88.0/24
itj писал(а): 11 янв 2019, 13:06 Когда заведу видеонаблюдение в отдельный (пример. VLAN20) с отдельным DCHP(для уменьшения BROADCAST ...) , то NFS окажется в другой сети.
Да, отдельная IP-сеть для видеонаблюдения. Скажем пусть будет сеть 192.168.89.0/24
itj писал(а): 11 янв 2019, 13:06 Нужно будет прокинуть порты до NFS в одну сторону и firewall ?
У микротиков по-умолчанию маршрутизация полная между IP-сетями, это
значит что две IP-сети (192.168.88.0/24 и 192.168.89.0/24) Вы будете
видеть на роутере прозрачно. В обычном случаи защиты тут нет,
и скорее наоборот, стараются сети между собой как-то ограничить.
Так что всё должно быть прозрачно и доступно сразу.
itj писал(а): 11 янв 2019, 13:06 На HAP AC DHCP -relay поднять для SXT lte и в VLAN10 завернуть?
Верно я понимаю?
Да я даже не помню когда я использовал Relay?
Да, трафик SXT lte Вы можете тоже отдельно выделить в отдельный вилан.
НО для чего второй (отдельный) DHCP на SXT lte ВЫ так и не пояснили.

P.S.
Где-то мне слегка кажется Вы пере-усложняете что-то.
Схемку бы от руки, и словами бы проговорить что куда как сделано и работает.... :ti_pa:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
itj
Сообщения: 7
Зарегистрирован: 07 янв 2019, 01:14

У микротиков по-умолчанию маршрутизация полная между IP-сетями, это
значит что две IP-сети (192.168.88.0/24 и 192.168.89.0/24) Вы будете
видеть на роутере прозрачно. В обычном случаи защиты тут нет,
и скорее наоборот, стараются сети между собой как-то ограничить.
Реализация не в ентерпрайз,а дома.Поэтому подойдёт.
НО для чего второй (отдельный) DHCP на SXT lte ВЫ так и не пояснили.
Наоборот, я б хотел что б SXT lte работал как флешка раздающая inet и только, а остальное было на плечах HAP AC.
Где-то мне слегка кажется Вы пере-усложняете что-то.
Переусложняю, возможно от не занания, сорри.

Как сейчас работает избыточная сеть с 2-мя NAT, как остаться с одним NAT?
HAP AC

WAN=eth5 DHCP-client
PC(NFS)=eth3
ip-cam=eth4
DHCP-192.168.88.0/24

SXT lte
WAN=eth1 (192.168.0.253)
DHCP-192.168.0.0/24


itj
Сообщения: 7
Зарегистрирован: 07 янв 2019, 01:14

по всей видимости не получится.В англ. не силён.
https://wiki.mikrotik.com/wiki/Manual:P ... lar_modems
По этой сссылке хотят тоже самое.
https://forum.mikrotik.com/viewtopic.ph ... lte+bridge
Последний раз редактировалось itj 11 янв 2019, 23:05, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

itj писал(а): 11 янв 2019, 22:17 Переусложняю, возможно от не занания, сорри.
Как сейчас работает избыточная сеть с 2-мя NAT, как остаться с одним NAT?

HAP AC
WAN=eth5 DHCP-client
PC(NFS)=eth3
ip-cam=eth4
DHCP-192.168.88.0/24

SXT lte
WAN=eth1 (192.168.0.253)
DHCP-192.168.0.0/24
Словами надо, прошу же, нет.....сжато и догадывайся.
Чтож, придётся мне всё делать, и задачу описывать и сразу и решения :-)

Имеете Вы:
два роутера, один LTE - который у Вас и является источником Интернета,
второй роутер - HAP-AC - держит локальную сеть и к нему подключены компьютер
и мобильные устройства по вифи, с ЛТЕ-провод выходит и подключается в порт5 НАР-АС,
НАР-АС получает адрес от ЛТЕ и этот адрес для него является шлюзом. Из-за этого,
Вы и держите DHCP на ЛТЕ (я правильно понял логику)?

Вообще имея интернет с ЛТЕ, можно поставить свитч, и вообще отказаться от НАР-АС,
ибо в Вашей схеме он простаивает, а НАТ и DHCP для небольшой сети и LTE-роутер потянет,
но это так, лишь комментарий.

Я бы наверно сделал так: (обобщённо-примерно).
Сделал бы роутерам следующие адреса (все роутеры должны быть в одной Локальной сети)
ЛТЕ -роутеру адрес 88.1, НАС-АС 88.2, DHCP основной настроил так (DHCP будет на НАС-АС),
что при выдаче адреса, шлюзом будет 88.1 (то есть компы будут сразу идти на ЛТЕ при попытке выйти в глобал).
А уже на ЛТЕ Вы и делаете один НАТ на внешний ЛТЕ-интерфейс (для Вашей всей сети 88.0/24).
На роутере НАР-АС уже делаете бридж, настраиваете порты, вифи если надо.
А всё что наружу - уйдёт на 88.1(на лте) и уже в глобал.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
itj
Сообщения: 7
Зарегистрирован: 07 янв 2019, 01:14

Словами надо, прошу же, нет.....сжато и догадывайся.
Чтож, придётся мне всё делать, и задачу описывать и сразу и решения :-)
Уф....Улыбнули ;;-)))
Спасибо добрый человек, буду пробовать реализовать данную схему как обдумаю.


itj
Сообщения: 7
Зарегистрирован: 07 янв 2019, 01:14

Я бы наверно сделал так: (обобщённо-примерно).
Сделал бы роутерам следующие адреса (все роутеры должны быть в одной Локальной сети)
ЛТЕ -роутеру адрес 88.1, НАС-АС 88.2, DHCP основной настроил так (DHCP будет на НАС-АС),
что при выдаче адреса, шлюзом будет 88.1 (то есть компы будут сразу идти на ЛТЕ при попытке выйти в глобал).
А уже на ЛТЕ Вы и делаете один НАТ на внешний ЛТЕ-интерфейс (для Вашей всей сети 88.0/24).
На роутере НАР-АС уже делаете бридж, настраиваете порты, вифи если надо.
А всё что наружу - уйдёт на 88.1(на лте) и уже в глобал.
Здравствуйте. Мой SXT LTE к сожалению, не поддерживает passthrough interface.
При такой реализации на HAP AC(когда все роутеры находятся в одной локальной сети), все порты в bridge, траффик между портами ходит насквозь. Как правильно ограничить доступ из вне?Firewall на SXT LTE или HAP AC? В настройках bridge ставить ли флажок у "Use IP Firewall" у обоих устройств? И гостевую сеть уже не поднять с другой адресацией т.к gateway в иной сети будет ?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

itj писал(а): 24 янв 2019, 16:52 Здравствуйте. Мой SXT LTE к сожалению, не поддерживает passthrough interface.
При такой реализации на HAP AC(когда все роутеры находятся в одной локальной сети), все порты в bridge, траффик между портами ходит насквозь. Как правильно ограничить доступ из вне?Firewall на SXT LTE или HAP AC? В настройках bridge ставить ли флажок у "Use IP Firewall" у обоих устройств? И гостевую сеть уже не поднять с другой адресацией т.к gateway в иной сети будет ?
СТОП

Где я написал, что Вы должны использовать passthrough interface ???

Я описал как бы я сделал, то есть не надо какой-то функционал юзать, а роутеры по локальной сети
объединить в общее IP-пространство. Один роутер будет Интернет давать, второй локальную
сеть поддерживать (DHCP тот же).

Если Интернет будет на SXT то файрвол от атак на нём.
Использовать флажок у "Use IP Firewall" - смотря зачем и куда, пока он(флажок) Вам не нужен на роутерах.
Гостевая сеть делается так же как и основная, берётся другая сеть, также делается DHCP
на основном роутере, а шлюзом будет SXT.
Сделайте основную сеть, поймёте как всё работает и уже потом гостевые сети, и другие прибамбасы внедрять.

Нарисуйте Вы схему, поймите как адреса делаются, как работают DHCP, вот честно,
прочитали одну фразу про "passthrough interface", мои слова интепритировали в этом направлении
и ничего не поняли, мой последний ответ и абзац не сделали на практике, и в итоге:
а) ничего не сделали.
б) остались у Вас вопросы лишь.


P.S.
Грубый(не точный) пример, у Вас два роутера будут как два удлинителя, один через другой работать,
вот и всё. Хотя точнее они будут как бы в параллель работать.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить