Прошу помощи в настройке оборудования для небольшой конторы

Обсуждение оборудования и его настройки
Ответить
vottghern
Сообщения: 70
Зарегистрирован: 12 фев 2013, 11:19

26 апр 2013, 11:45

Здравствуйте!

Собственно, прошу помощи. Я сам в железках Mikrotik полный нуб, первый раз приобрел. Писал сюда, чтобы помогли подобрать. В итоге, приобретено:

1. 1100 AHx2 - в центральный офис.
2. 2011 UAS-IN - на удаленные точки.

Сейчас будет копипаст поста, который я писал, когда просил помочь с подбором оборудования:

На сегодняшний день ситуация такая:

- 1 провайдер, на выходе - Cisco. Она же смотрит в локалку, служа шлюзом и dhcp
- 3 управляемых свича D-Link, в которые воткнуты ВСЕ - и компьютеры самой организации и арендаторы.
- 1 сервер с Windows 2008, служит AD и DNS.
- ip-адресация одна для всех

полоса пропускания забита до невозможности, всем все можно.

Надо:

1. Разделить арендаторов и саму организацию в разные подсети, подсети арендаторов ограничить полосу пропускания, всех арендаторов можно сунуть в одну подсеть - не проблема. Туда же суется WiFi. В этой подсети пусть работает DHCP.

2. В самой организации тоже необходимо разделение на две подсети, потому как необходимо выделить те компы, на которых скорость интернет полосы должна быть максимальной, остальным зарезать. В обоих этих сегментах пусть будет статическая адресация.

3. Сервер Windows AD и компьютеры организации должны быть видны любому сегменту сети компьютеров организации, но не видны арендаторам.

4. Убрать с Cisco функции DHCP и прередать их, предположительно, железке MIKROTIK.

5. В данный момент Windows AD является для всех первым DNS (для домена это необходимо, но вот компьютеры арендаторов тоже к нему обращаются). Нужно на Mikrotik передать тоже функции DNS, чтоб арендаторы обращались только к нему, а организация обращалась к обоим DNS.

6. Нужна возможность давать/убирать доступ в интернет у пользователей организации.

7. Также нужна возможность разрешать/запрещать пользователям разный тип трафика, допустим, кому-то запретить торренты, а кому-то разрешить.

8. Нужна возможность мониторинга посещаемых ресурсов.

9. Есть небольшие удаленные подведомственные организации, их 9. Необходимо дать возможность бухгалтеру в такой организации прицепиться через Remote Desctop к Windows AD и работать там в 1С, которая на нем крутится.

10. Сейчас рассматривается вопрос внедрения системы электронного документооборота, который объединить Центральный офис и 9 подведомственных организаций. Нужна возможность организации защищенных VPN-каналов.

Рисунок проекта сети прилагаю.


Такого чувства собственной неполноценности я уже давно не испытывал. )))))) Зашел на 1100AHx2 и понял, что я не понимаю вообще ничего! ))))))

Понятное дело, что у таких железок нету LAN/WAN портов и что они, изначально, равнозначны. Но я даже элементарного сделать не могу ))))))) Вот на первом порту, по умолчанию, адрес 192.168.88.1, я туда зашел и попал в консоль администрирования, решил на 10 порту настроить WAN, дал порту адрес 192.168.10.10, воткнул этот порт в Циску, на Циске провайдер настроил мне интерфейс 192.168.10.1, чтоб этот порт имел связь с инетом, так я даже не могу найти где прописать 10 порту шлюз для выходы в инет и DNS Так что я в полной прострации - как мне настраивать то, что я задумал ))))

Прошу помощи хотя бы в описании укрупненных шагов, основанных на вышеизложенных пунктах. Детали уж как-нибудь через документацию попробую понять.
С чего там вообще начинать надо? Я пока только обновил ее до версии 5.24 )))))
Хотя бы типа: "Сначала настраиваешь этот момент, затем этот, потом этот......"

Заранее огромное спасибо!

С уважением, Алексей


vottghern
Сообщения: 70
Зарегистрирован: 12 фев 2013, 11:19

26 апр 2013, 11:52

Забыл схему сети:

Если не видно - http://img.leprosorium.com/1783354

Изображение


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

26 апр 2013, 12:10

Циску, на Циске провайдер настроил мне интерфейс 192.168.10.1, чтоб этот порт имел связь с инетом, так я даже не могу найти где прописать 10 порту шлюз для выходы в инет и DNS Так что я в полной прострации - как мне настраивать то, что я задумал ))))

#Добавляем дефолтный маршрут
/ip route add gateway=192.168.10.1
#Добавляем ДНС
/ip dns set allow-remote-requests=yes max-udp-packet-size=512 servers=192.168.10.1

http://slagovskiy.blogspot.ru/2009/06/mikrotik_23.html - почитайте


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

26 апр 2013, 12:10

Циску, на Циске провайдер настроил мне интерфейс 192.168.10.1, чтоб этот порт имел связь с инетом, так я даже не могу найти где прописать 10 порту шлюз для выходы в инет и DNS Так что я в полной прострации - как мне настраивать то, что я задумал ))))

#Добавляем дефолтный маршрут
/ip route add gateway=192.168.10.1
#Добавляем ДНС
/ip dns set allow-remote-requests=yes max-udp-packet-size=512 servers=192.168.10.1

http://slagovskiy.blogspot.ru/2009/06/mikrotik_23.html - почитайте


vottghern
Сообщения: 70
Зарегистрирован: 12 фев 2013, 11:19

26 апр 2013, 13:07

Спасибо за ссылку!

Основываясь на ней, в Интернет железку выпихну, думаю. А вот с остальным непонятно немного. Вернее, в этом-то примере как раз понятно. У меня получаются 3 подсети, причем, все 3 с разными скоростями, мало того, две из них (офисные) должны между собой сообщаться. Опять же принтеры стоят так, что получается в одной комнате несколько машин в 2-х разных сетках, а надо принтера общими сделать. Так что вот этот момент пока не ясен.

И еще, можно ли пока поднять все не как в ссылке описано с firewall, а временно без него? Тупо открыть каналы и все. Firewall потом настрою, как продумаю.

И еще вопрос - надо ли будет на свичах нарезать VLANы, чтобы физически изолировать подсети? Опять встает вопрос - как быть с дотупность. людей друг другу в двух рахных сегментах офисной сети?


vottghern
Сообщения: 70
Зарегистрирован: 12 фев 2013, 11:19

26 апр 2013, 13:46

Вот окончательный вариант, как будут выглядеть сетевые интерфейсы:
Изображение

порт 1 - адрес 192.168.10.2, это будущий внешний интерфейс, будет смотреть в Циску на шлюз с адресом 192.168.10.1
порт 2 - адрес 192.168.4.2, это будет офисная сеть с ограничением полосы пропускания 3 Мб/с
порт 3 - адрес 192.168.3.2 это будет офисная сеть без ограничения полосы
порт 4 - адрес 192.168.2.2 это буду арендаторы с ограничением полосы 2 Мб/с

надо чтобы все сети имели доступ в инет, надо чтобы сети 192.168.4.0 и 192.168.3.0 могли общаться между собой, сервер Win AD присутствует в обоих сетях


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

26 апр 2013, 14:04

И еще вопрос - надо ли будет на свичах нарезать VLANы, чтобы физически изолировать подсети? Опять встает вопрос - как быть с дотупность. людей друг другу в двух рахных сегментах офисной сети?


не обязательно, но для повышения безопастности желательно. иначе, ничего не будет мешать поменять адрес и вылезти через привелегированую сетку. а так разделите офис и арендаторов и еще кого нибудь.
с доступностью - это как бы маршрутизатор, если он будет знать маршруты к каждому человеку вашей сети, то значит каждый с каждым будет свободно общаться. так же и с принтерами. так же и со всем остальным. потом настроите фильтры и будете резать если что.

И еще, можно ли пока поднять все не как в ссылке описано с firewall, а временно без него? Тупо открыть каналы и все. Firewall потом настрою, как продумаю.

если речь о разделе filter rules - то да, если речь о nat - то надо знать как ваша киска отдаёт вам интернет. в обще случае, если циска даёт интернет адресу 192.168.10.2, то в нат нужно добавить что то вроде:

/ip firewall nat add chain=src-nar out-interface=ether1 action=masquerade


vottghern
Сообщения: 70
Зарегистрирован: 12 фев 2013, 11:19

26 апр 2013, 14:15

simpl3x писал(а):
/ip firewall nat add chain=src-nar out-interface=ether1 action=masquerade


А чем отличается конструкция ether1 от !ether1 ?

Сделал в web-интерфейсе, выглядит вот так:
Изображение

Так правильно?


Аватара пользователя
DeN_238
Сообщения: 255
Зарегистрирован: 19 фев 2012, 16:42
Откуда: Тольятти

26 апр 2013, 16:15

simpl3x писал(а):А чем отличается конструкция ether1 от !ether1 ?
Так правильно?
[/quote]
Один из них ether1, второй НЕ ether1 :) отрицание т.е.


2011UAS-2HnD-IN | v. 6.40.4 | FW 3.41
mAP 2n | v. 6.40.4 | FW 3.41
vottghern
Сообщения: 70
Зарегистрирован: 12 фев 2013, 11:19

26 апр 2013, 17:45

А таблица IP -> Firewall -> NAT, снимок которой дан выше, правильно сделана?


Ответить