Russian Users MikroTik | Форум пользователей MikroTik

Vlad-2 писал(а): ↑07 авг 2020, 02:16
Я Вас понял, хотя подход слегка странный. Если ко мне приходит подрядчик/суб-клиент или
ещё кто-то и говорит что будет делать/ставить в сети что-то, я с ним обсуждаю,
договариваемся, я сам выдаю ему адресацию, и с учётом специфики делаю (в рамках сети) какие-то
манипуляции. Просто если ляжет сеть, крайний буду я - а я этого не хочу.
Да и подрядчику приятно, что у него есть "страховка"

С вами абсолютно согласен..
Но тут непростая специфика проекта. Я не рассказываю все. Это небольшие производственные подсети. Местные тоже не все про них знают.
Они часто изолированы и зачастую настраивались поставщиком технологического оборудования. В проекте 7 заводов.
На одной площадке местные совсем не помогают. Мол, вы за все отвечаете, мы сюда лезть не хотим.
Вот и приходится разбираться.
На большинстве площадок, кстати, нужное нам оборудование уже находится в одной сети и задача такая не стоит )

Vlad-2 писал(а): ↑07 авг 2020, 02:16
Если принципиально надо чтобы оборудование было для сетевого шкафа, то тогда уже надо брать
модели РБ3011 или РБ4011. РБ3011-она уже стоечного форм-фактора, РБ4011 идёт с ушками для стойки.
А если надо слегка сэкономить (и места нету в шкафу), то есть "дешёво-домашнее" исполнение, тот же HEX S (RB760),
он РБ2011 "в два раза уложит", а стоит не дорого. Так что порой маленькие роутеры - она не всегда домашние.

И да, обязательно поиграйтесь на роутере, а лучше ещё скачать виртуальный роутер и на нём
все те команды что Вам показывает xvo проверить дома.
Нужен то компьютер, виртуализация, и как бы и всё.

По исполнению - если не в стойку (небольшой шкафчик навесной у нас там), то только на DIN рейку. Больше "положить" устройство совсем некуда.Поэтому, всякие настольные напольные не хотел бы рассматривать. Ну могу положить в шкаф.. но колхозно как-то.

А почему РБ2011 плох? Вроде недорог, уши есть.
Не понял, что такое ТС?
Где скачать виртуальный роутер?

Vlad-2 писал(а): ↑07 авг 2020, 02:16
Если принципиально надо чтобы оборудование было для сетевого шкафа, то тогда уже надо брать
модели РБ3011 или РБ4011. РБ3011-она уже стоечного форм-фактора, РБ4011 идёт с ушками для стойки.
А если надо слегка сэкономить (и места нету в шкафу), то есть "дешёво-домашнее" исполнение, тот же HEX S (RB760),
он РБ2011 "в два раза уложит", а стоит не дорого. Так что порой маленькие роутеры - она не всегда домашние.

И да, обязательно поиграйтесь на роутере, а лучше ещё скачать виртуальный роутер и на нём
все те команды что Вам показывает xvo проверить дома.
Нужен то компьютер, виртуализация, и как бы и всё.

Да.. всетаки пластик не подойдет нам. Всетаки это промзона.
Кстати, на одном заводе все же придется что-то маленькое брать. Типа RBMRTG.Т.к. наш сетевой шкаф находится далековато от места, где сходятся физически две сети. А тут только шкаф с дин-рейками.. и то места мало.
Как-то так.
Не вижу никаких приспособений для крепления устройств к дин-рейке. Чувствую придется либр колхозить, либо еще один сетевой шкаф ставить. Места правда мало в помещении.

mr_dima писал(а): ↑10 авг 2020, 12:01 А почему РБ2011 плох? Вроде недорог, уши есть.
Не понял, что такое ТС?
Где скачать виртуальный роутер?

ТС = Топик Стартер
Вы, то есть

Виртуальный роутер называется CHR, качается с микротиковского сайта, ставится в какую-нибудь среду виртуализации.

mr_dima писал(а): ↑10 авг 2020, 12:16 Не вижу никаких приспособений для крепления устройств к дин-рейке. Чувствую придется либр колхозить, либо еще один сетевой шкаф ставить. Места правда мало в помещении.

Вот модели с креплением на din-рейку:

https://mikrotik.com/product/RB750P-PBr2
https://mikrotik.com/product/RB960PGS-PB

mr_dima писал(а): ↑10 авг 2020, 12:16
Да.. всетаки пластик не подойдет нам. Всетаки это промзона.
Кстати, на одном заводе все же придется что-то маленькое брать.
...
А тут только шкаф с дин-рейками.. и то места мало.
....
Не вижу никаких приспособений для крепления устройств к дин-рейке.

Посмотрите в сторону платы RB450 и корпуса к ней СА 150 это как раз пром вариант.
А по поводу крепления картинки по запросу в Гугле "mikrotik din" помогут всё увидеть

Ca6ko писал(а): ↑10 авг 2020, 14:31
mr_dima писал(а): ↑10 авг 2020, 12:16
Да.. всетаки пластик не подойдет нам. Всетаки это промзона.
Кстати, на одном заводе все же придется что-то маленькое брать.
...
А тут только шкаф с дин-рейками.. и то места мало.
....
Не вижу никаких приспособений для крепления устройств к дин-рейке.
Посмотрите в сторону платы RB450 и корпуса к ней СА 150 это как раз пром вариант.
А по поводу крепления картинки по запросу в Гугле "mikrotik din" помогут всё увидеть

Спасибо.
По идее, это то же самое что и RBMRTGx4.
По дин-рейке мне вот это понравилось..
https://jauer.smugmug.com/NetworkLab/Mi ... -DIN-Rail/

xvo писал(а): ↑10 авг 2020, 12:19
mr_dima писал(а): ↑10 авг 2020, 12:01 А почему РБ2011 плох? Вроде недорог, уши есть.
Не понял, что такое ТС?
Где скачать виртуальный роутер?
ТС = Топик Стартер
Вы, то есть

Виртуальный роутер называется CHR, качается с микротиковского сайта, ставится в какую-нибудь среду виртуализации.

CHR то поставил..
Почему-то команда типа .. add chain=srcnat action=src-nat dst-addreess=140.80.0.1 to-addresses=140.80.0.170
сразу ругается на [add] - говорит - bad command name add

Так, ну и тут ведь особенно не поиграешься.. интерфейс всего один, тот по которому я подключен )

Это потому что целиком команда имеет вид:
/ip firewall nat add... и далее.

xvo писал(а): ↑10 авг 2020, 20:25 Это потому что целиком команда имеет вид:
/ip firewall nat add... и далее.

Да, понял не сразу )
Получается, моя задача решается так..
Вариант 1

Код: Выделить всё

/ip address
add address=10.17.211.170 interface=ether1 network=255.255.255.128
add address=192.168.2.170 interface=ether2 network=255.255.255.0
add address=140.80.0.170 interface=ether3 network=255.255.255.0
add address=192.168.3.170 interface=ether4 network=255.255.255.0

/interface list
add name=interface_list_PLC

/interface list member
add interface=ether1 list=interface_list_PLC
add interface=ether2 list=interface_list_PLC
add interface=ether3 list=interface_list_PLC

/ip firewall nat
add chain=srcnat action=masquerade src-address=192.168.3.171 out-interface-list=interface-list-PLC

Или вариант 2

Код: Выделить всё

/ip address
add address=10.17.211.170 interface=ether1 network=255.255.255.128
add address=192.168.2.170 interface=ether2 network=255.255.255.0
add address=140.80.0.170 interface=ether3 network=255.255.255.0
add address=192.168.3.170 interface=ether4 network=255.255.255.0

/ip firewall nat
add chain=srcnat action=src-nat src-address=192.168.3.171 dst-addreess=10.17.211.160 to-addresses=10.17.211.170 
add chain=srcnat action=src-nat src-address=192.168.3.171 dst-addreess=192.168.2.1 to-addresses=192.168.2.170
add chain=srcnat action=src-nat src-address=192.168.3.171 dst-addreess=140.80.0.1 to-addresses=140.80.0.170

А что будет с остальными запросами, которые не попадают под правило (src-address=192.168.3.171) ?
Скорее всего будут проходить как есть.
Надо как-то запретить трафик между сетями.

Код: Выделить всё

/ip firewall address-list
add address=10.17.211.160 list=addr_list_PLC
add address=192.168.2.1 list=addr_list_PLC
add address=140.80.0.1 list=addr_list_PLC
/ip firewall filter
add action=accept chain=forward dst-address-list=192.168.3.171 src-address-list=addr_list_PLC
add action=accept chain=forward dst-address-list=addr_list_PLC src-address-list=192.268.3.171
add action=reject chain=forward reject-with=icmp-network-unreachable

Что можно улучшить?

Да в общем вроде можно и так оставить, только там в правилах firewall ошибки: там где единичные адреса должно быть src-address=, а не src-address-list=
И в правилах NAT'а, во втором варианте тоже лишние буковки закрались.

Russian Users MikroTik | Форум пользователей MikroTik

Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?