Схема сети впринципе не сильно сложная:
локалка1
1. server1 192.168.0.1
wifi по WDS with AP
2. wifi1 192.168.0.152
3. wifi2 192.168.0.151
mikrotik rb750
4. eth1 192.168.0.150
5. eth4 192.168.173.1
6. eth5 192.168.17.2
локалка2
7. server2 192.168.173.3
локалка3
8. server3 192.168.17.4
Нужно организовать полный доступ server1-server2 и server1-server3, но при этом запретить server2-server3. Как правильно настроить микротик, для правильной работы всех 3х подсетей?
Нужна помощь в настройке RB-750
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Dmitiyfreeman
- Сообщения: 0
- Зарегистрирован: 27 фев 2013, 11:36
запрет на все соединения м-ду server2 и server3 не принципиален. т.к. можно эти настройки забить на самих серваках. основное - полный доступ server1-server2 и server1-server3.
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
Из описания сети ничего не понятно
Нарисуйте схему с ип адресами на ней
Нарисуйте схему с ип адресами на ней
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
podarok66
- Модератор
- Сообщения: 4242
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Ага, и вместо скринов export compact , а то опять половину настроек под пытками вытягивать будем. Все идентификационные данные (внешний IP, логин, пароль) можно забить звездочками, лишние данные вообще выкинуть. Получится 20-30 строк кода вместо 2-3 метров скринов.
Последний раз редактировалось podarok66 27 фев 2013, 21:51, всего редактировалось 1 раз.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
Dmitiyfreeman
- Сообщения: 0
- Зарегистрирован: 27 фев 2013, 11:36
Топология сетей для серверв 2 и 3 мне не известна, но конечные точки указаны. Сеть для сервака 1 - моя.
Последний раз редактировалось Dmitiyfreeman 27 фев 2013, 21:47, всего редактировалось 1 раз.
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
вам нужно правило файерволла
chain forward src-adress *Подсеть сервера2* dst-adress = *Подсеть сервера3* action drop
chain forward src-adress *Подсеть сервера2* dst-adress = *Подсеть сервера3* action drop
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
Dmitiyfreeman
- Сообщения: 0
- Зарегистрирован: 27 фев 2013, 11:36
это, я так понимаю, нужно для разделения подсетей серверов 2 и 3. завтра скину код.
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
Доступ из разных подсетей у вас появится автоматически, если микротик - дефолтный маршрут
если не дефолтный на серверах настройте роутинг
укажите на сервере 1 что подсеть сервера 2 надо искать на микротике (192.168.1.150) а не сервере 2 укажите что срвр 1 живет на микротике со стороны сервера 2
аналогично с сервером 3
если не дефолтный на серверах настройте роутинг
укажите на сервере 1 что подсеть сервера 2 надо искать на микротике (192.168.1.150) а не сервере 2 укажите что срвр 1 живет на микротике со стороны сервера 2
аналогично с сервером 3
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
Dmitiyfreeman
- Сообщения: 0
- Зарегистрирован: 27 фев 2013, 11:36
# jan/02/1970 00:07:52 by RouterOS 5.16
# software id = IAS9-W6UG
#
/interface ethernet
set 0 comment="WAN (PS)"
set 3 comment="LAN1 (CES)"
set 4 comment="LAN2 (RDU)"
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip address
add address=192.168.0.150/24 interface=ether1
add address=192.168.173.1/24 interface=ether4
add address=192.168.17.2/24 interface=ether5
/ip firewall filter
add action=drop chain=forward dst-address=192.168.17.2 src-address=192.168.173.1
/ip firewall nat
add action=netmap chain=dstnat dst-address=192.168.173.1 in-interface=ether4 src-address=192.168.173.3 to-addresses=192.168.0.150
add action=netmap chain=dstnat dst-address=192.168.17.2 in-interface=ether5 src-address=192.168.17.4 to-addresses=192.168.0.150
add action=masquerade chain=srcnat out-interface=ether1 protocol=tcp
add action=masquerade chain=srcnat out-interface=ether5 protocol=tcp
add action=masquerade chain=srcnat out-interface=ether4 protocol=tcp
# software id = IAS9-W6UG
#
/interface ethernet
set 0 comment="WAN (PS)"
set 3 comment="LAN1 (CES)"
set 4 comment="LAN2 (RDU)"
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip address
add address=192.168.0.150/24 interface=ether1
add address=192.168.173.1/24 interface=ether4
add address=192.168.17.2/24 interface=ether5
/ip firewall filter
add action=drop chain=forward dst-address=192.168.17.2 src-address=192.168.173.1
/ip firewall nat
add action=netmap chain=dstnat dst-address=192.168.173.1 in-interface=ether4 src-address=192.168.173.3 to-addresses=192.168.0.150
add action=netmap chain=dstnat dst-address=192.168.17.2 in-interface=ether5 src-address=192.168.17.4 to-addresses=192.168.0.150
add action=masquerade chain=srcnat out-interface=ether1 protocol=tcp
add action=masquerade chain=srcnat out-interface=ether5 protocol=tcp
add action=masquerade chain=srcnat out-interface=ether4 protocol=tcp
