Доступ к сайту через вторую подсеть

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
artpluss
Сообщения: 4
Зарегистрирован: 18 июн 2019, 19:51

Добрый день!

Мой первый пост. Прошу не судить строго. Понимаю все уже надоели с однотипными вопросами, но...
Начинаю свое знакомство с Microtik hEX Lite

Схема сети

Изображение

Нужно реализовать следующие задачи:

1. Поднять локальную сеть в организации 192.168.100.0/24
2. Настроить выход в интернет этой сети через PPPoE
3. Настроить "базовые" правила файервола (чтобы эту сеть снаружи не взломали)
4. Настроить 5 порт на Microtik так, чтобы через него пользователи сети 192.168.100.0/24 получали доступ к сайту 172.16.0.204

Из всего этого я сделал следующее
1. Объединил 2,3,4 порты в бридж и создал локальную сеть 192.168.100.0/24
Компьютеры видят друг друга, все работает как надо
2. На 1 порту создал PPPoE соединение и дал доступ 192.168.100.0/24 в интернет через это соединение
Компьютеры сети выходят в интернет. Все работает хорошо
3. Настроил "базовые" (в кавычках потому что как смог так и настроил) правила файервола.
все работает ни кто не жалуется

А вот с 4 пунктом у меня проблема.
Нужно, чтобы компьютеры сети 192.168.100.0/24 могли подключаться к сайту 172.16.0.204 через 5 порт.
В 5 порт подключен кабель из другой организации (как и что на конце этого провода не известно), но
5 порт по dhcp получает ip адрес 192.168.201.235

Изображение

Далее я в ip - routes добавил статический маршрут

Изображение

При таком раскладе пинги на адрес 172.16.0.204 идут из терминала Microtik, а из сети 192.168.100.0/24 не идут

Это пинги из терминала
Изображение

Это пинги компьютера из сети 192.168.100.0/24

Изображение

Что нужно еще сделать, чтобы сеть 192.168.100.0/24 имела возможность подключаться к 172.16.0.204 через 5 порт
И еще если можно то нужно сделать так, чтобы в обратную сторону из сетей 192.168.201.0/24 и 172.16.0.0/24 доступ к роутеру был закрыт.

Конфигурацию прикладываю

Код: Выделить всё

# jun/18/2019 22:22:22 by RouterOS 6.44.3
# software id = 0ES1-T5LU
#
# model = RouterBOARD 750 r2
# serial number = 67D207330015
/interface bridge
add name=LAN_IN1
/interface ethernet
set [ find default-name=ether1 ] comment=WAN_INTERNET
set [ find default-name=ether2 ] comment=LAN_IN1
set [ find default-name=ether5 ] comment=LAN_IN2
/interface pppoe-client
add add-default-route=yes comment=WAN_PPPOE disabled=no interface=ether1 \
    name=Interra password=password use-peer-dns=yes user=user
/interface list
add name=local
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool0 ranges=192.168.100.100-192.168.100.120
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=LAN_IN1 lease-time=1w1d \
    name=DHCP
/interface bridge port
add bridge=LAN_IN1 interface=ether2
add bridge=LAN_IN1 interface=ether3
add bridge=LAN_IN1 interface=ether4
/ip neighbor discovery-settings
set discover-interface-list=local
/interface list member
add interface=LAN_IN1 list=local
/ip address
add address=192.168.100.250/24 interface=LAN_IN1 network=192.168.100.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether5
/ip dhcp-server lease
add address=192.168.100.113 mac-address=14:DA:E9:BF:57:09 server=DHCP
/ip dhcp-server network
add address=192.168.100.0/24 dns-server=77.88.8.7,77.88.8.3 gateway=\
    192.168.100.250
/ip dns
set allow-remote-requests=yes servers=77.88.8.7,77.88.8.3
/ip firewall address-list
add address=192.168.100.0/24 list=DNS_FLOOD
/ip firewall filter
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC HTTP" \
    dst-port=80 in-interface=Interra protocol=tcp
add action=accept chain=input comment=\
    "\D0\E0\E7\F0\E5\F8\E0\E5\EC \E4\EE\F1\F2\F3\EF \E8\E7 LAN" in-interface=\
    LAN_IN1 src-address=192.168.100.0/24
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \E8\ED\E8\
    \F6\E8\E8\F0\EE\E2\E0\ED\ED\FB\E5 \E8 \F1\E2\FF\E7\E0\ED\ED\FB\E5 \F1\EE\
    \E5\E4\E8\ED\E5\ED\E8\FF" connection-state=established,related \
    in-interface=Interra
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \E8\ED\E8\
    \F6\E8\E8\F0\EE\E2\E0\ED\ED\FB\E5 \E8 \F1\E2\FF\E7\E0\ED\ED\FB\E5 \F1\EE\
    \E5\E4\E8\ED\E5\ED\E8\FF" connection-state=established,related \
    in-interface=Interra out-interface=LAN_IN1
add action=fasttrack-connection chain=forward comment=FASTTRACK in-interface=\
    Interra out-interface=LAN_IN1
add action=accept chain=input comment=\
    "\D0\E0\E7\F0\E5\F8\E0\E5\EC WAN WinBox" disabled=yes dst-port=8291 \
    in-interface=Interra protocol=tcp
add action=add-src-to-address-list address-list=DNS_FLOOD \
    address-list-timeout=none-dynamic chain=input comment="DNS FLOOD" \
    dst-port=53 in-interface=Interra protocol=udp
add action=drop chain=input dst-port=53 in-interface=Interra protocol=udp
add action=drop chain=input comment=\
    "\C7\E0\EF\F0\E5\F9\E0\E5\EC \E4\EE\F1\F2\F3\EF \E8\E7 WAN" in-interface=\
    Interra
add action=drop chain=forward comment=\
    "\C7\E0\EF\F0\E5\F9\E0\E5\EC WAN -> LAN" in-interface=Interra \
    out-interface=LAN_IN1
/ip firewall nat
add action=masquerade chain=srcnat comment=\
    "\C8\ED\F2\E5\F0\ED\E5\F2 LAN_IN1" out-interface=Interra src-address=\
    192.168.100.0/24
/ip route
add distance=1 gateway=192.168.0.250
add distance=1 dst-address=172.16.0.204/32 gateway=192.168.201.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh address=192.168.100.0/24 disabled=yes
set api disabled=yes
set winbox address=192.168.100.0/24
set api-ssl disabled=yes
/ip upnp
set allow-disable-external-interface=yes enabled=yes
/ip upnp interfaces
add interface=LAN_IN1 type=internal
add interface=ether1 type=external
add interface=Interra type=external
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Yekaterinburg
/system ntp client
set enabled=yes primary-ntp=193.171.23.163 secondary-ntp=85.114.26.194
/tool mac-server
set allowed-interface-list=local
/tool mac-server mac-winbox
set allowed-interface-list=local


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

P.S.
Поблагодарю, для первого сообщения = Ваш пост красиво и правильно оформлен

Теперь по делу:

1) Вы в настройках DHCP Client принимаете на 5-м порту адрес с чужой сети, ОК,
приняли, а скажите мне, а зачем Вы ещё и заставляете Ваш роутер после такой приёмки
адреса и шлюз принимать?
Формально, Вы конкурируете с Вашим рррое подключением, а это делать не надо.

У Вас задача:
а) получить адрес от "чужой" сети
б) указать для своих локальных клиентов, что адрес сайта доступен через "чужую" сеть.
И как бы всё.

ПОЭТОМУ:
(для пункта а)
в настройках получения адреса, в 3-й закладке посмотрите какие данные Вам
выдаёт та сеть, и поставьте для параметра "Add default route" - в значение NO

(для пункта б)
вы должны сделать маршрут, что сайт (его айпи) доступен через (и указываете
адрес шлюза удалённой чужой сети)
также Вы должны сделать (я так понимаю) НАТ ( то есть при выходе Вашей
локальной сети, Ваша сеть должна скрываться от адреса полученного Вам
от чужой сети, то есть прячем локальные запросы от адреса порта 5).

Вот как бы и всё. (это теоретически)


2) По данным:
Хочу поругать: пинги хорошо, НО Вы же делаете маршрут(изацию), а значит тут уместно
чаще команда трасерт, которая показывает как Вы идёте, не зная и не видя, что мои
советы, что Ваши описания = почти что ноль.

3) По конфигу:

3.1) ну первый порт подписывать что он WAN = не совсем точно, это порт подключения
к провайдеру, ведь адрес провайдер Вам даёт на рррое-подключении и уже этот
адрес является для Вашего роутера основным, НАТ делается на рррое интерфейсе.
Поэтому такой комментарий не совсем корректный

3.2) РРРОЕ - я советую начинающим не менять сути названия интерфейсов, а лишь добавлять
к ним названия удобные, вот у Вас рррое-подключение Вы назвали Interra, понимаю,
может Вам удобно, но проще и приятнее читать так pppoe-out1-Interra, так и Вам
и мне будет понять. Также советую делать и с бриджами и прочее, в корне названия
оставлять сущность понимания что это. Визуально это приятно и проще для ориентации.

3.3) DHCP + DNS = тут нюанс логический у Вас слегка не правильный:
Вы задали использовать встроенный DNS микротика (включили его set allow-remote-requests=yes),
но при этом клиентам по DHCP выдаёте внешние ДНС-сервера (dns-server=77.88.8.7,77.88.8.3)
ЭТО как открыть свой магазин, а продукты покупать у соседа.
Вы открыли порт 53, а каждый клиент делает запрос наружу, на Яндекс-ДНС, получает результат,
возвращается и снова идёт уже по данным результата.
Если Вы открыли ДНС в микротике, так укажите в настройках DHCP локальный адрес микротика
для клиентов... Зачем туда-сюда.
Либо если удобно чтобы клиенты использовали Яндекс ДНС...без проблем, тогда отключите не
использованный сервис на микротике (отключите ДНС на нём...если локальные клиенты его
не юзают).

3.4) Не совсем понял это:
/ip firewall address-list
add address=192.168.100.0/24 list=DNS_FLOOD
Это что, локальная сеть оформлена как Флудеры-ДНСов? Странно. Файрвол не разбирал, лениво.

3.5) протокол UPnP -
опять же, Выше я указал Вам, у Вас рррое = главный выход в Интернет, так что в настройках
UPnP, параметр external - должен быть не ether1, а рррое-подключение.
И вообще, UPnP - протокол опасный, для чего Вы его поднимали?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
artpluss
Сообщения: 4
Зарегистрирован: 18 июн 2019, 19:51

1. Подписи портов поменял на pppoe-out1-Interra и bridge_lan_in1
2. На 5 порту в DHCP Client поставил "Add default route" - в значение NO и еще убрал галки Use Peer DNS и Use Peer NTP

Изображение

3. В DHCP Server поправил DNS Servers на адрес микротика, т.е. клиенты будут использовать dns микротика, а микротик dns яндекса

Изображение

Изображение

4. Протокол UPnP был настроен так, чтобы автоматически открывать порты например для торрентов. Отключил его

Изображение

5. Маршрут к адресу 172.16.0.204 добавлен

Изображение

6. Трассировка 172.16.0.204 с микротика идет на ура

Изображение

а вот из сети 192.168.100.0/24 не трассировка не пинги не идут
В фаерволе пробовал все отключить

Ну и так еще на всякий случай. Если воткнуть кабель из 5 порта в любой компьютер сети 192.168.100.0/24 то этот компьютер подключается к 172.16.0.204 без проблем


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

artpluss писал(а): 19 июн 2019, 06:42 а вот из сети 192.168.100.0/24 не трассировка не пинги не идут
В фаерволе пробовал все отключить
Ну и так еще на всякий случай. Если воткнуть кабель из 5 порта в любой компьютер сети 192.168.100.0/24 то этот компьютер подключается к 172.16.0.204 без проблем
Что с НАТом в рамках Вашей сети и сети чужой?
(делаете или не делаете?)

P.S.
На компах антивирусники/файрволы отключены на время тестов?
Винда блокирует всё что не из её сетей.
Этот момент точно проверен?
Трассировка должна идти или как-то...

С ДНСом от чужой сети тоже есть но...но это уже потом...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Попробуйте так:

Добавить такое правило, оно должно быть "выше" (первее), чем правило НАТ для Интернета.

Правило читается так: что если локальная сеть 100.0/24 захочет обратиться на адрес 172.16.0.204,
то выпустить через порт5 и сделать Маскарайдинг (адрес подставит который на порту5 в данный момент)

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat dst-address=172.16.0.204 out-interface=ether5 src-address=192.168.100.0/24



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
artpluss
Сообщения: 4
Зарегистрирован: 18 июн 2019, 19:51

Спасибо теперь все получилось.

Добавил правило маскарадинга как Вы написали.
Я его и раньше добавлял но оно у меня было ниже чем маскарадинг интернета

Изображение

Еще остался один вопрос.

Правильно ли будет сделать вот такое правило фаервола для того, чтобы закрыть доступ из сети 192.168.201.0/24 в сеть 192.168.100.0/24?

Изображение

Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

artpluss писал(а): 19 июн 2019, 08:52 Спасибо теперь все получилось.
Это радует.
artpluss писал(а): 19 июн 2019, 08:52 Правильно ли будет сделать вот такое правило фаервола для того, чтобы закрыть доступ из сети 192.168.201.0/24 в сеть 192.168.100.0/24?
Уберите интерфейсы(порт и бридж), оставьте только адресации, и пробуйте. Так правило будет более общее и значит больше
вероятности сработает.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
artpluss
Сообщения: 4
Зарегистрирован: 18 июн 2019, 19:51

Спасибо за помощь.

Вопрос решен.


Ответить