Страница 1 из 1
Объединение 2-х lan портов с wan
Добавлено: 20 дек 2017, 17:08
EFR
Здравствуйте! Имеется hap ac lite. Настроен как роутер. На wan порт Ether1 приходит сигнал от офисной сети (Ip прописан статически вида 192.168.100.2). Необходимо объединить порты ether4 и ether5 с ван портом ether1, чтобы они получали ip адреса от dhcp сервера офисной сети. А порты ether2 и ether3 оставить локалкой микротика. Первым делом в настройках портов ether4 и ether5 отменил мастер порт ether2, поставив значение none. Я так понимаю,что нужно создать bridge с ether4 и ether5 объединив его с ether1. Но, как это сделать, не знаю. Помогите, пожалуйста!
Re: Объединение 2-х lan портов с wan
Добавлено: 20 дек 2017, 19:37
podarok66
Код: Выделить всё
/interface bridge add comment=bridge-wan name=bridge-wan
/interface bridge port
add bridge=bridge-wan comment=WAN interface=ether1
add bridge=bridge-wan comment=ETHER4 interface=ether4
add bridge=bridge-wan comment=ETHER5 interface=ether5
Re: Объединение 2-х lan портов с wan
Добавлено: 20 дек 2017, 22:00
EFR
Спасибо за ответ! Сделал, как вы подсказали ранее. На портах 4 и 5 появились адреса, раздаваемые офисной сетью. Но пропал интернет на портах 2 и 3. Я так понимаю, это из-за того, что ether1 исчез из бриджа с ether 2master и wlan. Скажите, пожалуйста, можно ли сделать, чтобы режим роутера работал на портах 2 и 3 и wlan?
Re: Объединение 2-х lan портов с wan
Добавлено: 20 дек 2017, 22:49
podarok66
Ну конечно, все настройки, которые относились к ether1 теперь надо переписать на bridge-wan. Полистайте конфиг, не стесняйтесь
Re: Объединение 2-х lan портов с wan
Добавлено: 21 дек 2017, 12:53
EFR
Спасибо, вроде адреса стали раздаваться, как нужно. Но устройства из локалки микротика (с портов Ether2 и Ether3) видят компы в офисной сети. Как можно ограничить доступ? Что я делаю не так? Заранее спасибо!
# dec/21/2017 12:46:58 by RouterOS 6.40.5
# software id = J6BB-ZU05
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 6CBA06EC6A42
/interface bridge
add admin-mac=6C:3B:6B:1F:B0:22 auto-mac=no comment=defconf name=bridge
add comment=bridge-wan name=bridge-wan
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
MikroTik-1FB027 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
20/40/80mhz-Ceee disabled=no distance=indoors frequency=auto mode=\
ap-bridge ssid=MikroTik-1FB026 wireless-protocol=802.11
/ip neighbor discovery
set ether1 discover=no
set bridge-wan discover=no
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge-wan comment=WAN interface=ether1
add bridge=bridge-wan comment=ETHER4 interface=ether4
add bridge=bridge-wan comment=ETHER5 interface=ether5
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=detconf interface=bridge-wan list=WAN
add interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
ether1
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
bridge-wan
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge
Re: Объединение 2-х lan портов с wan
Добавлено: 21 дек 2017, 13:33
Vlad-2
EFR писал(а):Спасибо, вроде адреса стали раздаваться, как нужно. Но устройства из локалки микротика (с портов Ether2 и Ether3)
видят компы в офисной сети. Как можно ограничить доступ? Что я делаю не так? Заранее спасибо!
Извините, но что Вы хотите в итоге?Формально сейчас Вы из роутера сделали два "удлинителя":
3-и порта в офисную сеть смотрят
2-а порта в локальную сеть микротика.
А сейчас, Вы ещё хотите заблокировать из локальной сети микротика
доступ "выше". Зачем Вам роутер в этой схеме?
Формально у Вас локальная сеть на микротике, а офисная сеть для Вас является "внешней",
и соответственно изнутри наружу можно идти, поэтому компьютеры из локальной сети
могут видеть офисные. Наоборот нет.
Также и дома все роутеры работают, из локальной сети Интернет есть, с Интернета
во внутрь без настроек и адресов не попасть.
Надо ставить с начала и до конца задачу, а не частями.
Re: Объединение 2-х lan портов с wan
Добавлено: 21 дек 2017, 13:44
EFR
Извиняюсь, что не правильно сформировал задачу. 3 порта нужны как свитч офисной сети А на 2-х других должен быть только интернет и они должны видеть только друг друга.
Re: Объединение 2-х lan портов с wan
Добавлено: 21 дек 2017, 14:15
Vlad-2
У Вас интернет идёт через сеть офисную, тут надо понимать что делать.
1) у Вас внутренняя сеть 88, возьмите и запретите всем из 88 сети обращаться на офисную сеть,
кроме конечно самого роутера.
2) или сделать умный НАТ, чтобы НАТились запросы из 88 сети на любую сеть, КРОМЕ сети офисной.