Прошу помощи в настройке оборудования для небольшой конторы

Обсуждение оборудования и его настройки
Ответить
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

17 май 2013, 08:46

получения адреса выглядит примерно так:
Клиент --> Сервер = discover

Код: Выделить всё

77   May/17/2013 09:16:13   memory   dhcp, debug, packet   vlan4dhcp received discover with id 3565724399 from 0.0.0.0   
78   May/17/2013 09:16:13   memory   dhcp, debug, packet    secs = 7168   
79   May/17/2013 09:16:13   memory   dhcp, debug, packet    flags = broadcast   
80   May/17/2013 09:16:13   memory   dhcp, debug, packet    ciaddr = 0.0.0.0   
81   May/17/2013 09:16:13   memory   dhcp, debug, packet    chaddr = F4:6D:04:89:60:B0   
82   May/17/2013 09:16:13   memory   dhcp, debug, packet    Msg-Type = discover   
83   May/17/2013 09:16:13   memory   dhcp, debug, packet    Client-Id = 01-F4-6D-04-89-60-B0   
84   May/17/2013 09:16:13   memory   dhcp, debug, packet    Host-Name = "RUTOM"   
85   May/17/2013 09:16:13   memory   dhcp, debug, packet    Class-Id = "MSFT 5.0"   
86   May/17/2013 09:16:13   memory   dhcp, debug, packet    Parameter-List = Subnet-Mask,Domain-Name,Router,Domain-Server,NETBIOS-Name-Server,Unknown(46),Unknown(47),Unknown(31),Static-Route,Classless-Route,Unknown(249),Unknown(252),Vendor-Specific   


Клиент <-- Сервер = offer

Код: Выделить всё

87   May/17/2013 09:16:13   memory   dhcp, debug, packet   vlan4dhcp sending offer with id 3565724399 to 255.255.255.255   
88   May/17/2013 09:16:13   memory   dhcp, debug, packet    flags = broadcast   
89   May/17/2013 09:16:13   memory   dhcp, debug, packet    ciaddr = 0.0.0.0   
90   May/17/2013 09:16:13   memory   dhcp, debug, packet    yiaddr = 192.168.4.149   
91   May/17/2013 09:16:13   memory   dhcp, debug, packet    siaddr = 192.168.4.2   
92   May/17/2013 09:16:13   memory   dhcp, debug, packet    chaddr = F4:6D:04:89:60:B0   
93   May/17/2013 09:16:13   memory   dhcp, debug, packet    Msg-Type = offer   
94   May/17/2013 09:16:13   memory   dhcp, debug, packet    Server-Id = 192.168.4.2   
95   May/17/2013 09:16:13   memory   dhcp, debug, packet    Address-Time = 259200   
96   May/17/2013 09:16:13   memory   dhcp, debug, packet    Subnet-Mask = 255.255.255.0   
97   May/17/2013 09:16:13   memory   dhcp, debug, packet    Router = 192.168.4.2   
98   May/17/2013 09:16:13   memory   dhcp, debug, packet    Domain-Server = 192.168.4.2,85.236.160.1


Клиент --> Сервер = request
Клиент <-- Сервер = ack
Клиент --> Сервер = inform
Клиент <-- Сервер = ack

т.е. дальше по вашим логам должен быть ответ от клиента, но его нет, значит он либо не получил сообщение, либо ему что то не нравится, либо мтик не получил его ответ, потому что он продолжает по кругу.


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

17 май 2013, 09:05

Проблема успешно разрешена!

Суть:
У нас в здании встречаются разные арендаторы..... А дурак с инициативой, он хуже врага :D Одно время были проблемы в том, что в локалке иной раз появлялись левые DHCP-серверы и клали всю систему напрочь. Для борьбы с этим злом, провайдер на моих свичах поставил DHCP Screening на всех портах, кроме нужных.
Сейчас я с порта, куда воткнут Микротик, это убрал - и все отлично заработало! 8-)


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

17 май 2013, 12:04

У меня снова вопрос :?

На Микротике на интерфейсе ether2 порезана скороть до 2М и он смотрит во VLAN, где адресация 192.168.2.х, на интерфейсе ether3 ограничений по скорости нет, он смотрит во VLAN, где адресация 192.168.3.х.

Но бывает такая ситуация, что в одной и той же комнате есть сотрудники, которые относятся ко VLAN 192.168.2.х и сотрудники, которые относятся ко VLAN 192.168.3.х, а принтер один на всю комнату! Соответственно, часть сотрудников видит принтер, а часть - нет. Как я понимаю, надо что-то сделать с маршрутизацией на Микротике, чтобы он пропускал пакеты из одного VLAN в другой. VLANы сделаны свичами DLink DES-3552, на самом Микротике никаких настроек по VLAN нет.

Но вот как это сделать - я не знаю. Помогите, пожалуйста!


gmx
Сообщения: 2332
Зарегистрирован: 01 окт 2012, 14:48

17 май 2013, 13:33

Опаньки!!

А вот это уже никуда не годится. Не для этого VLAN заводили.
Объединить сети можно, но это как-то неправильно...

ИМХО два варианта:
1. поставить еще один принтер, чтобы их было два (самое правильное и очень простое)
2. организовать на микротике HotSpot и контролировать пользователей не VLAN и сегментами сетей, а непосредственно каждого.


ЗЫ. Кстати. Раз уж виланов в микротике нет. Посмотрите настройки вашего фаерволла на микротике. По-умолчанию, микротик все сам объединяет.


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

17 май 2013, 14:50

gmx писал(а):Опаньки!!

А вот это уже никуда не годится. Не для этого VLAN заводили.
Объединить сети можно, но это как-то неправильно...

ИМХО два варианта:
1. поставить еще один принтер, чтобы их было два (самое правильное и очень простое)
2. организовать на микротике HotSpot и контролировать пользователей не VLAN и сегментами сетей, а непосредственно каждого.


ЗЫ. Кстати. Раз уж виланов в микротике нет. Посмотрите настройки вашего фаерволла на микротике. По-умолчанию, микротик все сам объединяет.


К сожалению, ни один из этих вариантов не подойдет:
1. Никто не даст мне купить еще полтора десятка принтеров.
2. Я убьюсь контролировать каждого пользователя, да и не знаю я ничего про HotSpot

А почему бы все-таки не смаршрутизировать VLANы? Пользователям на местах доменными политиками запрещено менять айпишники, да и свичами они по VLANам разнесены.... Так что больших проблем из-за возможности подцепиться к принтеру в другом VLANе быть не должно.......

З.Ы. Файервол на микротике у меня пустой - порт, который на Микротике настроен как WAN, смотрит в провайдерскую Циску, файерволл работает там. Вернее, у меня есть одно правила в NAT - маскарадинг, чтоб в инет пользователи могли ходить, и все.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

17 май 2013, 16:52

вообще, если у вас на весь фаервол только одно правило маскарад, то он по идее должен пускать между подсетями.
а на принтере какие сетевые настройки? там забит только адрес и маска? или шлюз тоже указан?


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

20 май 2013, 07:50

simpl3x писал(а):вообще, если у вас на весь фаервол только одно правило маскарад, то он по идее должен пускать между подсетями.
а на принтере какие сетевые настройки? там забит только адрес и маска? или шлюз тоже указан?


Ну вот что-то не фига не пускает.... Пробовал с компа в сети 192.168.3.х пропинговать комп в сети 192.168.4.х - бесполезно.
А принтеры у меня очень простые - они не сетевые, подключены к компам.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

20 май 2013, 08:48

вы уверены, что у вас одно правило маскарад? в разделе ip - firewall - filter rules точно пусто?
показывайте /ip firewall export


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

20 май 2013, 09:01

Вот:

Код: Выделить всё

[admin@RouterOS] /ip firewall service-port> /ip firewall export
# may/20/2013 09:57:16 by RouterOS 5.24
# software id = MQS2-AHDN
#
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s \
    tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s \
    tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=ether1 to-addresses=0.0.0.0
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061 sip-direct-media=yes
set pptp disabled=no
[admin@RouterOS] /ip firewall service-port>


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

20 май 2013, 09:12

мистика. есть нет правил фильтра, и микротик является шлюзом для рабочих станций обеих сетей, то работать должно. у меня кончились догадки.


Ответить