VLAN в мосту с физическим интерфейсом

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
dinosaur
Сообщения: 10
Зарегистрирован: 08 окт 2019, 12:57

11 окт 2019, 11:58

xvo писал(а):
11 окт 2019, 11:30

Код: Выделить всё

/interface bridge vlan
add bridge=bridge1 tagged=ether2,ether3,bridge1 vlan-ids=100
add bridge=bridge1 tagged=ether2,ether4,ether5,bridge1 vlan-ids=200
И все заработает. Без этого ваши vlan-интерфейсы действительно висят в воздухе, без всякого доступа в нужные vlan'ы.
Сделал так, результат тот же самый :(


xvo
Сообщения: 457
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

11 окт 2019, 12:09

Еще раз пересмотрел всю тему.
У вас же в исходном варианте на физических портах нетегированный трафик был, т.е. тогда так надо:

Код: Выделить всё

/interface bridge vlan
add bridge=bridge1 tagged=ether2,bridge1 untagged=ether3, vlan-ids=100
add bridge=bridge1 tagged=ether2,bridge1 untagged=ether4,ether5 vlan-ids=200


[CCR1009-7G-1C-1S+] [hEX] [wAP ac] [hAP ac²] [hAP ac lite] [hAP mini]
dinosaur
Сообщения: 10
Зарегистрирован: 08 окт 2019, 12:57

11 окт 2019, 12:48

xvo писал(а):
11 окт 2019, 12:09
Еще раз пересмотрел всю тему.
У вас же в исходном варианте на физических портах нетегированный трафик был, т.е. тогда так надо:

Код: Выделить всё

/interface bridge vlan
add bridge=bridge1 tagged=ether2,bridge1 untagged=ether3, vlan-ids=100
add bridge=bridge1 tagged=ether2,bridge1 untagged=ether4,ether5 vlan-ids=200
и опять безрезультатно :( Еще раз прилагаю конфиг после всех правок:

Код: Выделить всё

# oct/11/2019 19:48:58 by RouterOS 6.45.6
# software id = DEBE-Q8VG
#
# model = RouterBOARD 750 r2
# serial number = 63BD05919C88
/interface bridge
add name=bridge1 vlan-filtering=yes
/interface vlan
add interface=bridge1 name=VLAN100 vlan-id=100
add interface=bridge1 name=VLAN200 vlan-id=200
/ip pool
add name=pool100 ranges=10.10.100.2-10.10.100.254
add name=pool200 ranges=172.16.200.2-172.16.200.254
/ip dhcp-server
add add-arp=yes address-pool=pool100 bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=VLAN100 name=dhcp100
add add-arp=yes address-pool=pool200 bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=VLAN200 name=dhcp200
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/interface bridge vlan
add bridge=bridge1 tagged=ether2,bridge1 untagged=ether3 vlan-ids=100
add bridge=bridge1 tagged=ether2,bridge1 untagged=ether4,ether5 vlan-ids=200
/ip address
add address=10.10.100.1/24 interface=VLAN100 network=10.10.100.0
add address=172.16.200.1/24 interface=VLAN200 network=172.16.200.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=10.10.100.0/24 dns-server=10.10.100.1 domain=VLAN100 gateway=\
    10.10.100.1 netmask=24 ntp-server=10.10.100.1
add address=172.16.200.0/24 dns-server=172.16.200.1 domain=VLAN200 gateway=\
    172.16.200.1 netmask=24 ntp-server=172.16.200.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Vladivostok


xvo
Сообщения: 457
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

11 окт 2019, 12:53

Ооок.
Раз мы переделали порты на нетегированные, нам теперь надо PVID на них указать.
Вот эту часть подправьте:

Код: Выделить всё

/interface bridge port
add bridge=bridge1 interface=ether3 pvid=100
add bridge=bridge1 interface=ether4 pvid=200
add bridge=bridge1 interface=ether5 pvid=200


[CCR1009-7G-1C-1S+] [hEX] [wAP ac] [hAP ac²] [hAP ac lite] [hAP mini]
dinosaur
Сообщения: 10
Зарегистрирован: 08 окт 2019, 12:57

12 окт 2019, 08:58

Земной поклон Вам, все заработало как надо. По хорошему дополнить статью на wiki стоит, чтобы у таких как я глупых вопросов не возникало.


xvo
Сообщения: 457
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

12 окт 2019, 11:39

Рад помочь.
dinosaur писал(а):
12 окт 2019, 08:58
По хорошему дополнить статью на wiki стоит, чтобы у таких как я глупых вопросов не возникало.
Вообще это все на вики есть, хотя и не идеально изложено.
На официальном форуме один товарищ очень подробный пост по теме написал:
https://forum.mikrotik.com/viewtopic.php?f=2&t=138232

P.s.: и вот ещё одна очень полная тема с вариантами конфигураций:
https://forum.mikrotik.com/viewtopic.php?f=13&t=143620


[CCR1009-7G-1C-1S+] [hEX] [wAP ac] [hAP ac²] [hAP ac lite] [hAP mini]
dinosaur
Сообщения: 10
Зарегистрирован: 08 окт 2019, 12:57

13 окт 2019, 11:49

спасибо, пошел просвещаться.

Осмелюсь задать еще вопрос тут (дабы не плодить темы) - после перанастройки боевого роутера не могу получить доступ с машин из подсети 192.168.1.0/24 к устройствам в подсети 172.16.10.0/24, при этом машина с ip 192.168.1.8 видит 172.16.10.1 (пинг идет), но не видит 10.2 и 10.3, роутер 192.168.1.1 видит (пинг идет) все устройства 172.16.10.0/24. В конфиге вроде все нормально:

Код: Выделить всё

# oct/13/2019 18:05:07 by RouterOS 6.45.6
# software id = JIIE-BF5D
#
# model = RB750Gr3
# serial number = 8AFF095C6F83
/interface bridge
add arp=proxy-arp igmp-snooping=yes mtu=1500 name=bridge1 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] comment=MikWiFi name=ether2-LAN
set [ find default-name=ether3 ] comment=TV1 name=ether3-LAN
set [ find default-name=ether4 ] comment=TV2 name=ether4-LAN
set [ find default-name=ether5 ] comment=Switch name=ether5-LAN
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-WAN keepalive-timeout=\
    60 name=pppoe-redcom password=*** service-name=Redcom \
    use-peer-dns=yes user=***
/interface l2tp-server
add name=l2tp-in-sweethome user=l2tp_local
add name=l2tp-in-wtc user=l2tp_wtc
/interface ovpn-server
add name=ovpn-in-dad user=ovpn-dad
add name=ovpn-in-gam4 user=ovpn-gam4
add name=ovpn-in-gam8 user=ovpn-gam8
add name=ovpn-in-tanya user=ovpn-tanya
/interface eoip
add mac-address=02:D4:03:22:DA:9B name=eoip-tunnel-from-dad remote-address=\
    172.16.10.2 tunnel-id=10
/interface vlan
add comment=Untagged interface=bridge1 name=vlan1 vlan-id=1
add comment=WTC interface=bridge1 name=vlan10 vlan-id=10
add comment="DSS Server" interface=bridge1 name=vlan20 vlan-id=20
add comment=Twonky interface=bridge1 name=vlan30 vlan-id=30
add comment="Guest WiFi" interface=bridge1 name=vlan100 vlan-id=100
/interface list
add name=WAN
add name=LAN
add name=vLAN
add name=L2TP
add name=OVPN
add name=EoIP
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-192,aes-128,3des
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des
/ip pool
add name=pool_local ranges=192.168.1.11-192.168.1.30
add name=pool_guest ranges=172.16.100.2-172.16.100.20
add name=pool_twonky ranges=192.168.30.2-192.168.30.10
add name=pool_wtc ranges=192.168.10.2-192.168.10.10
add name=pool_local_vpn ranges=192.168.100.2-192.168.100.10
add name=pool_wtc_vpn ranges=192.168.110.2-192.168.110.10
/ip dhcp-server
add add-arp=yes address-pool=pool_local bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=vlan1 lease-time=8h name=\
    dhcp_local
add add-arp=yes address-pool=pool_guest bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=vlan100 lease-time=8h name=\
    dhcp_guest
add add-arp=yes address-pool=pool_twonky bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=vlan30 lease-time=8h name=\
    dhcp_twonky
add add-arp=yes address-pool=pool_wtc bootp-lease-time=lease-time \
    bootp-support=dynamic disabled=no interface=vlan10 lease-time=8h name=\
    dhcp_wtc
/ppp profile
add change-tcp-mss=yes local-address=192.168.10.1 name=l2tp_local \
    remote-address=pool_local_vpn use-encryption=yes
add change-tcp-mss=yes local-address=192.168.11.1 name=l2tp_wtc \
    remote-address=pool_wtc_vpn use-encryption=yes
add change-tcp-mss=yes local-address=172.16.10.1 name=ovpn_server \
    use-compression=no use-encryption=yes use-mpls=yes use-upnp=no
/queue tree
add max-limit=100M name=QoS_global parent=global priority=1
add comment="Priority 8 traffic" name=prio_4 packet-mark=prio_4 parent=\
    QoS_global
add comment="Priority 1 traffic" name=prio_1 packet-mark=prio_1 parent=\
    QoS_global priority=1 queue=ethernet-default
add comment="Priority 2 traffic" name=prio_2 packet-mark=prio_2 parent=\
    QoS_global priority=3 queue=ethernet-default
add comment="Priority 5 traffic" name=prio_3 packet-mark=no-mark parent=\
    QoS_global priority=5 queue=ethernet-default
/interface bridge filter
add action=drop chain=forward comment="deny dhcp requests to dad" dst-port=\
    67-68 ip-protocol=udp mac-protocol=ip out-interface-list=EoIP
/interface bridge port
add bridge=bridge1 interface=ether2-LAN
add bridge=bridge1 interface=ether4-LAN pvid=30
add bridge=bridge1 interface=ether5-LAN
add bridge=bridge1 interface=ether3-LAN pvid=30
add bridge=bridge1 interface=eoip-tunnel-from-dad pvid=30
/ip neighbor discovery-settings
set discover-interface-list=WAN
/interface bridge vlan
add bridge=bridge1 comment=Local tagged=bridge1 untagged=\
    ether5-LAN,ether2-LAN vlan-ids=1
add bridge=bridge1 comment=Twonky tagged=ether5-LAN,bridge1 untagged=\
    ether3-LAN,ether4-LAN vlan-ids=30
add bridge=bridge1 comment="Guest WiFi" tagged=bridge1,ether2-LAN vlan-ids=\
    100
add bridge=bridge1 comment=WTC tagged=bridge1,ether5-LAN vlan-ids=10
add bridge=bridge1 comment=DSS tagged=ether5-LAN,bridge1 vlan-ids=20
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=iO#5*bdMgG use-ipsec=\
    required
/interface list member
add interface=pppoe-redcom list=WAN
add interface=ether1-WAN list=WAN
add interface=l2tp-in-sweethome list=L2TP
add interface=l2tp-in-wtc list=L2TP
add interface=ovpn-in-dad list=OVPN
add interface=ovpn-in-gam4 list=OVPN
add interface=eoip-tunnel-from-dad list=EoIP
add interface=ovpn-in-gam8 list=OVPN
add interface=ovpn-in-tanya list=OVPN
/interface ovpn-server server
set certificate=OvpnServer.crt_0 cipher=blowfish128,aes128,aes192,aes256 \
    default-profile=ovpn_server enabled=yes keepalive-timeout=10 \
    require-client-certificate=yes
/ip address
add address=192.168.1.1/24 comment=Local interface=vlan1 network=192.168.1.0
add address=192.168.10.1/24 comment=WTC interface=vlan10 network=192.168.10.0
add address=192.168.20.1/24 comment=DSS_SERVER interface=vlan20 network=\
    192.168.20.0
add address=172.16.100.1/24 comment="Guest Wi-Fi" interface=vlan100 network=\
    172.16.100.0
add address=192.168.30.1/24 comment=TWONKY interface=vlan30 network=\
    192.168.30.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1-WAN
/ip dhcp-server lease
add address=192.168.1.3 client-id=1:0:15:5d:58:2f:12 mac-address=\
    00:15:5D:58:2F:12 server=dhcp_local
add address=192.168.1.9 client-id=1:0:0:0:0:5:9 mac-address=00:00:00:00:05:09 \
    server=dhcp_local
add address=192.168.1.5 client-id=1:0:c0:ee:ab:3e:c8 mac-address=\
    00:C0:EE:AB:3E:C8 server=dhcp_local
add address=192.168.1.2 client-id=1:94:18:82:16:ed:1a mac-address=\
    94:18:82:16:ED:1A server=dhcp_local
add address=192.168.30.2 client-id=1:0:15:5d:58:2f:14 mac-address=\
    00:15:5D:58:2F:14 server=dhcp_twonky
add address=192.168.10.2 client-id=1:0:15:5d:58:2f:5 mac-address=\
    00:15:5D:58:2F:05 server=dhcp_wtc
add address=192.168.1.8 client-id=1:d4:5d:df:13:79:6c mac-address=\
    D4:5D:DF:13:79:6C server=dhcp_local
add address=192.168.1.7 client-id=1:d4:5d:df:13:79:6d mac-address=\
    D4:5D:DF:13:79:6D server=dhcp_local
add address=192.168.1.10 client-id=1:cc:2d:e0:10:5f:72 mac-address=\
    CC:2D:E0:10:5F:72 server=dhcp_local
add address=192.168.20.2 client-id=1:0:15:5d:58:2f:17 mac-address=\
    00:15:5D:58:2F:17
/ip dhcp-server network
add address=172.16.100.0/24 dns-server=172.16.100.1 domain=WELCOME gateway=\
    172.16.100.1 netmask=24 ntp-server=172.16.100.1
add address=192.168.1.0/24 dns-server=192.168.1.1 domain=SWEET_HOME gateway=\
    192.168.1.1 netmask=24 ntp-server=192.168.1.1
add address=192.168.10.0/24 dns-server=192.168.10.1 domain=WTC gateway=\
    192.168.10.1 netmask=24 ntp-server=192.168.10.1
add address=192.168.30.0/24 dns-server=192.168.30.1 domain=TWONKY gateway=\
    192.168.30.1 netmask=24 ntp-server=192.168.30.1
add address=192.168.100.0/24 dns-server=192.168.100.1 domain=L2TP_SWEET_HOME \
    gateway=192.168.100.1 ntp-server=192.168.100.1
/ip dns
set allow-remote-requests=yes servers=176.103.130.130,176.103.130.131
/ip dns static
add address=192.168.1.2 name=HYPER-V
add address=192.168.20.2 name=DSS
add address=192.168.10.2 name=WTC
add address=192.168.1.3 name=TORRENT
add address=192.168.30.2 name=TWONKY
add address=192.168.1.182 name=iLo
add address=192.168.1.8 name=NUC
/ip firewall address-list
add address=192.168.1.0/24 list="allow to internet"
add address=192.168.10.0/24 list="allow to internet"
add address=192.168.20.0/24 list="allow to internet"
add address=192.168.30.1-192.168.30.10 list="allow to internet"
add address=192.168.100.0/24 list="allow to internet"
add address=172.16.100.0/24 list="allow to internet"
/ip firewall filter
add action=accept chain=input comment=\
    "allow related & esteblished connections" connection-state=\
    established,related
add action=drop chain=input comment="drop invalid connections" \
    connection-state=invalid
add action=drop chain=input comment="drop black list connections" \
    connection-state="" in-interface-list=WAN src-address-list=blacklist
add action=accept chain=input comment="allow local connections" \
    in-interface-list=!WAN log-prefix=allow
add action=accept chain=input comment="L2TP allow only with IPsec" dst-port=\
    1701 in-interface-list=WAN ipsec-policy=in,ipsec log=yes log-prefix=\
    "L2TP in - " protocol=udp src-address-list=whitelist
add action=accept chain=input comment="L2TP allow" dst-port=500,4500 \
    in-interface-list=WAN log=yes log-prefix="L2TP in - " protocol=udp \
    src-address-list=whitelist
add action=accept chain=input comment="allow ovpn connections" dst-port=1194 \
    in-interface-list=WAN log=yes log-prefix="OVPN in - " protocol=tcp
add action=accept chain=input comment="allow eoip connections" dst-address=\
    172.16.10.1 log=yes log-prefix="EOIP in - " src-address=172.16.10.0/24
add action=add-src-to-address-list address-list="knocking - stage1" \
    address-list-timeout=10s chain=input comment="port knocking-1" \
    connection-state="" dst-port=*** in-interface-list=WAN log-prefix=\
    "knocking - stage1" protocol=tcp
add action=add-src-to-address-list address-list="knocking - stage2" \
    address-list-timeout=10s chain=input comment="port knocking-2" \
    connection-state="" dst-port=*** in-interface-list=WAN log-prefix=\
    "knocking - stage2" protocol=tcp src-address-list="knocking - stage1"
add action=add-src-to-address-list address-list=whitelist \
    address-list-timeout=1m chain=input comment="port knocking-3" \
    connection-state="" dst-port=*** in-interface-list=WAN log-prefix=\
    "knocking - stage3" protocol=tcp src-address-list="knocking - stage2"
add action=add-src-to-address-list address-list=blacklist \
    address-list-timeout=1h chain=input comment=\
    "port scan - record to black list" connection-state="" dst-port=\
    !1194,***,***,***,*** in-interface-list=WAN log-prefix=\
    " --- TCP PORT SCAN ATTEMPT --- " protocol=tcp
add action=add-src-to-address-list address-list=blacklist \
    address-list-timeout=1h chain=input comment=\
    "port scan - record to black list" connection-state="" dst-port=\
    !17,***,1701,500,4500 in-interface-list=WAN log-prefix=\
    " --- UDP PORT SCAN ATTEMPT --- " protocol=udp
add action=accept chain=input comment="IPSec enable" in-interface-list=WAN \
    log=yes protocol=ipsec-esp
add action=accept chain=input comment="allow echo reply" icmp-options=0:0 \
    protocol=icmp
add action=accept chain=input comment="allow dss server connections" \
    dst-port=123 protocol=udp
add action=drop chain=input comment="drop everything else" log=yes \
    log-prefix="firewall input drop:"
add action=accept chain=forward comment=\
    "allow related & esteblished connections" connection-state=\
    established,related
add action=drop chain=forward comment="drop invalid connections" \
    connection-state=invalid
add action=accept chain=forward comment="allow echo reply" icmp-options=8:0 \
    protocol=icmp
add action=accept chain=forward comment="allow from local to internet" \
    in-interface-list=!WAN out-interface-list=WAN src-address-list=\
    "allow to internet"
add action=accept chain=forward comment="allow dss server connections" \
    dst-port=3021,3036,3080,10000-10050 in-interface=!vlan100 protocol=tcp
add action=accept chain=forward comment="allow dss server connections" \
    dst-port=123 in-interface=!vlan100 protocol=udp
add action=accept chain=forward comment="allow rdp connections WTC" \
    dst-address=192.168.10.2 in-interface=!vlan100 port=*** protocol=tcp
add action=accept chain=forward comment="allow rdp connections WTC" \
    dst-address=192.168.10.2 in-interface=!vlan100 port=*** protocol=udp
add action=accept chain=forward comment="allow rdp connections DSS" \
    dst-address=192.168.20.2 dst-port=3389 in-interface-list=!WAN protocol=\
    tcp
add action=accept chain=forward comment="allow rdp connections DSS" \
    dst-address=192.168.20.2 dst-port=3389 in-interface-list=!WAN protocol=\
    udp
add action=accept chain=forward comment=\
    "allow from local WinBox connections via ovpn" dst-address=172.16.10.0/24 \
    dst-port=8291 in-interface-list=!WAN protocol=tcp src-address=\
    192.168.1.0/24
add action=accept chain=forward comment="allow twonky DLNA connections" \
    dst-port=1025 in-interface=vlan30 out-interface=vlan30 protocol=udp
add action=accept chain=forward comment=\
    "allow from local to twonky connections" out-interface=vlan30 \
    src-address=192.168.1.0/24
add action=accept chain=forward comment=\
    "allow twonky server to local connections" dst-address=192.168.1.0/24 \
    in-interface-list=!WAN src-address=192.168.30.2
add action=accept chain=forward comment="allow server manager from local" \
    dst-port=135,445,5985,8530 in-interface-list=!WAN protocol=tcp \
    src-address=192.168.1.0/24
add action=accept chain=forward comment="allow torrents" dst-address=\
    192.168.1.3 dst-port="" in-interface-list=WAN port=45591 protocol=udp
add action=accept chain=forward comment="allow torrents" dst-address=\
    192.168.1.3 dst-port="" in-interface-list=WAN port=45591 protocol=tcp
add action=accept chain=forward comment="allow sweet_home_l2tp to sweet home" \
    in-interface-list=!WAN src-address=192.168.100.0/24
add action=drop chain=forward comment="drop everything else" log=yes \
    log-prefix="firewall forward drop:"
add action=accept chain=output comment="accept everything"
/ip firewall mangle
add action=route chain=prerouting comment="DSS Server from LAN" dst-port=\
    3036,3080,10000-10050,3021 passthrough=yes port="" protocol=tcp \
    route-dst=192.168.20.2 src-address=192.168.1.0/24 src-port=""
add action=mark-packet chain=prerouting comment="Prio1 - Whatsapp & Skype" \
    new-packet-mark=prio_1 passthrough=yes port=443,4244,5222,5223,5228,5242 \
    protocol=tcp
add action=mark-packet chain=prerouting comment="Prio1 - Whatsapp & Skype" \
    log-prefix=SKYPE- new-packet-mark=prio_1 passthrough=yes port=\
    3478-3481,45395 protocol=udp
add action=mark-packet chain=prerouting comment="Prio2 - ICMP" \
    new-packet-mark=prio_2 passthrough=yes protocol=icmp
add action=mark-packet chain=prerouting comment="Prio2 - DNS" \
    new-packet-mark=prio_2 passthrough=yes port=53 protocol=udp
add action=mark-packet chain=prerouting comment="Prio2 - RDP" \
    new-packet-mark=prio_2 passthrough=yes port=3389,*** protocol=udp
add action=mark-packet chain=prerouting comment="Prio2 - RDP" \
    new-packet-mark=prio_2 passthrough=yes port=3389,*** protocol=tcp
add action=mark-packet chain=prerouting comment="Prio2 - DSS" \
    new-packet-mark=prio_2 passthrough=yes port=3021,3036,3080,10000-10050 \
    protocol=tcp
add action=mark-packet chain=prerouting comment="Prio2 - small packets" \
    new-packet-mark=prio_2 packet-size=0-123 passthrough=yes protocol=tcp \
    tcp-flags=ack
add action=mark-packet chain=prerouting comment="Prio2 - http,https" \
    disabled=yes new-packet-mark=prio_2 passthrough=yes port=80,443 protocol=\
    tcp
add action=mark-packet chain=prerouting comment="Prio2 - pop2,smtp,imap" \
    disabled=yes new-packet-mark=prio_2 passthrough=yes port=\
    25,110,143,465,993,995 protocol=tcp
add action=mark-packet chain=prerouting comment="Prio4 - torrent" \
    new-packet-mark=prio_4 passthrough=yes port=45591 protocol=tcp
add action=mark-packet chain=prerouting comment="Prio4 - torrent" \
    new-packet-mark=prio_4 passthrough=yes port=45591 protocol=udp
add action=set-priority chain=prerouting comment=\
    "High prio - Whatsapp & Skype" new-priority=8 passthrough=yes port=\
    443,4244,5222,5223,5228,5242 protocol=tcp
add action=set-priority chain=prerouting comment=\
    "High prio - Whatsapp & Skype" new-priority=8 passthrough=yes port=\
    3478-3481,45395 protocol=udp
add action=set-priority chain=prerouting comment="High prio - ICMP" \
    new-priority=7 passthrough=yes protocol=icmp
add action=set-priority chain=prerouting comment="High prio - DNS" \
    new-priority=7 passthrough=yes port=53 protocol=tcp
add action=set-priority chain=prerouting comment="High prio - DNS" \
    new-priority=7 passthrough=yes port=53 protocol=udp
add action=set-priority chain=prerouting comment="High prio - small packets" \
    new-priority=7 packet-size=0-123 passthrough=yes protocol=tcp tcp-flags=\
    ack
add action=set-priority chain=prerouting comment="High prio - RDP" \
    new-priority=6 passthrough=yes port=3389,*** protocol=udp
add action=set-priority chain=prerouting comment="High prio - RDP" \
    new-priority=6 passthrough=yes port=3389,*** protocol=tcp
add action=set-priority chain=prerouting comment="High prio - DSS" \
    new-priority=5 passthrough=yes port=3021,3036,3080,10000-10050 protocol=\
    tcp
add action=set-priority chain=prerouting comment="Med prio - http,https" \
    new-priority=4 passthrough=yes port=80,443 protocol=tcp
add action=set-priority chain=prerouting comment="Med prio - pop2,smtp,imap" \
    new-priority=3 passthrough=yes port=25,110,143,465,993,995 protocol=tcp
add action=set-priority chain=prerouting comment="Low prio - torrent" \
    new-priority=1 passthrough=yes port=45591 protocol=tcp
add action=set-priority chain=prerouting comment="Low prio - torrent" \
    new-priority=1 passthrough=yes port=45591 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="allow local to internet" \
    out-interface-list=WAN src-address-list="allow to internet"
add action=netmap chain=dstnat comment="DSS Server from WAN" dst-port=123 \
    in-interface-list=WAN protocol=udp to-addresses=192.168.20.2
add action=netmap chain=dstnat comment="DSS Server from WAN" dst-port=\
    3021,3036,3080,10000-10050 in-interface-list=WAN port="" protocol=tcp \
    to-addresses=192.168.20.2
add action=netmap chain=dstnat comment="RDP WTC from WAN after knocking" \
    dst-address=94.125.52.12 dst-port=*** in-interface-list=WAN protocol=\
    tcp src-address-list=whitelist to-addresses=192.168.10.2
add action=netmap chain=dstnat comment="RDP WTC from WAN after knocking" \
    dst-address=94.125.52.12 dst-port=*** in-interface-list=WAN protocol=\
    udp src-address-list=whitelist to-addresses=192.168.10.2
add action=netmap chain=dstnat comment=Torrents dst-port=45591 \
    in-interface-list=WAN port="" protocol=tcp to-addresses=192.168.1.3
add action=netmap chain=dstnat comment=Torrents dst-port=45591 \
    in-interface-list=WAN protocol=udp to-addresses=192.168.1.3
/ip firewall raw
add action=drop chain=prerouting comment="drop dns food" dst-port=137-139 \
    in-interface-list=WAN log-prefix="RAW DROP - " protocol=udp
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip proxy
set max-fresh-time=1d serialize-connections=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24,192.168.100.0/24
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip upnp interfaces
add interface=pppoe-redcom type=external
add interface=bridge1 type=internal
/ppp secret
add name=l2tp_local password=*** profile=l2tp_local service=l2tp
add name=l2tp_wtc password=*** profile=l2tp_wtc service=l2tp
add name=ovpn-gam4 password="***" profile=ovpn_server \
    remote-address=172.16.10.3 service=ovpn
add disabled=yes name=ovpn-gam8 password="***" profile=ovpn_server \
    remote-address=172.16.10.4 service=ovpn
add name=ovpn-dad password=*** profile=ovpn_server remote-address=\
    172.16.10.2 service=ovpn
add disabled=yes name=ovpn-tanya password=*** profile=ovpn_server \
    remote-address=172.16.10.5 service=ovpn
/snmp
set contact=cd-mania@mail.ru location=SWEET_HOME trap-version=2
/system clock
set time-zone-name=Asia/Vladivostok
/system clock manual
set time-zone=+10:00
/system identity
set name=MikRouter
/system ntp client
set enabled=yes primary-ntp=89.109.251.21 secondary-ntp=192.43.244.18
/system ntp server
set enabled=yes multicast=yes
/tool mac-server
set allowed-interface-list=LAN
маршруты на роутере тоже построились:

Изображение

Ничего в голову не приходит, можете глянуть и подсказать куда копать (статические маршруты на компьютерах не хочется прописывать, как то неправильно это)?

P.S. Откат на старую конфигурацию роутера востанавливает доступ к сети 172.16.10.0/24, конфигурации просматривал, ничего не углядел что могло бы такой эффект дать.


mafijs
Сообщения: 221
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

13 окт 2019, 12:05

Думаю роутер тут не причём. Надо разрешить пинг на самых компютерах.


xvo
Сообщения: 457
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

13 окт 2019, 12:07

У вас достаточно много всего а firewall'е, так сходу логику не просто в голове представить.
Отключите последнее дропающее правило в цепочке forward - если это ситуацию изменит, ищите, где вы что забыли добавить.


[CCR1009-7G-1C-1S+] [hEX] [wAP ac] [hAP ac²] [hAP ac lite] [hAP mini]
dinosaur
Сообщения: 10
Зарегистрирован: 08 окт 2019, 12:57

13 окт 2019, 12:16

Сам спросил - сам отвечу: "дело было не в бобине - долб**б сидел в кабине". Адреса на роутере я то поменял, а с другой стороны их прописать не прописал. Спасибо уважаемому xvo за подробные ответы и терпение.


Ответить