Микротик маршрутизация

[tfron 0]

Всем привет, прошу помощи) Есть микротик(коробочка) центральный в которого заходят магистрали(адреса локальной сети 192.168.1.0/22). Сейчас он работает как тупой свич, мастер порт езернет2. Хочу разбить сеть на сегменты. Для примера беру 5 порт и подключаюсь к нему сам. Ставлю master port-none. В адрес листе назначаю ip адрес 5 порту 172.20.115.1. Далее в запускаю дхцп сервер на 5 порту в пуле 172.20.115.2-172.20.115.254. Как мне заставить увидеть сервер по адресу 192.168.1.1 и подключатся по pppoe к нему?

[Туйон 1,313]

26 минут назад, tfron сказал:

Хочу разбить сеть на сегменты.

Как именно вы понимаете "разбитие на сегменты"?

26 минут назад, tfron сказал:

Как мне заставить увидеть сервер по адресу 192.168.1.1 и подключатся по pppoe к нему?

PPPoE не маршрутизируется, это L2 протокол. Можно смаршрутизировать PPTP, например.

[Dimkers 1,615]

29 минут назад, tfron сказал:

Как мне заставить увидеть сервер по адресу 192.168.1.1 и подключатся по pppoe к нему?

Зачем? Если у Вас сетка на 172,20,115.*?

[tfron 0]

За микротиком серевер доступа с адресом 192.168.1.1 на котором крутится pppoe и сайт для на который тоже нужен доступ. Хочется на каждый порт миротика назначить разные подсети и тем самым изолировать к примеру абонентов на 5 порту от остальных... 

[Туйон 1,313]

Чтобы изолировать "порты" друг от друга, не обязательно создавать разные подсети и прочее.

Можно сделать L2 изоляцию.

Создать бридж и в него добавить все 5 портов.

Потом прописать правило:

/interface bridge filter
add action=drop chain=forward in-bridge=br0 in-interface=!ether1 out-bridge=br0 out-interface=!ether1

где ether1 - ваш "магистральный" порт, за которым "сервер"

br0 - название вашего бриджа

Данное правило будет работать так: все порты будут видеть порт ether1, но не будут видеть порты между друг другом.

На всех портах должен быть выключен Hardware Offload (если прошивка старше 6.41).

На 6.41 и ранее вместо Hardware Offload как раз и были мастеры и слейвы.

Если на микроте всего один бридж, то в правиле его упоминать, в теории, не надо. Лишь интерфейсы.

 

С другой стороны, даже если мы заблочим прямой трафик между портами, клиенты, подключившись по РРРоЕ, и имея низшую метрику на РРРоЕ интерфейс, вероятно, будут маршрутизироваться уже через сервер.

Но это уже другая история.

Edited 2018-07-04 09:20:46 by Туйон

[tfron 0]

Спасибо, буду пробовать. Подскажите, поднял бридж указал первым портом езернет1(combo port), добавил все порты. Но через сам бридж трафик не начал ходить. Потом удалил бридж на всех портах упала скорость в 0. Тееперь только когда бридж добавляю начинает ходить трафик по сети но не через сам бридж. Что я нахимичил?)

[Туйон 1,313]

Давайте для начала, какая модель микротика?

[superb 54]

del

Edited 2018-07-04 10:03:30 by superb

[tfron 0]

Модель crs106 прошивка 6.40.3

[ddd_kr 12]

Это же просто свитч, а не маршрутизатор - врядли он поможет Вам в реализации такой схемы.

[Туйон 1,313]

Так это свитч, а не роутер. Точнее, роутер там тоже есть, но проц хилый очень.

Можно сегментировать функциями свитча. Тут для новичка чуть сложнее, но почитайте:

https://wiki.mikrotik.com/wiki/Manual:CRS1xx/2xx_series_switches_examples#Port_Level_Isolation

 

Всё он может  

[ddd_kr 12]

1. учитывая наличие серых IP адресов - я так понимаю, подразумевается некий НАТ.

2. "...Есть микротик(коробочка) центральный в которого заходят магистрали..." - для меня это значит, что податся как минимум 100-200 мб трафика.

 

Нужно упрощать схему в любом случае - пропускать всех абонов через сервер. Судя по исходным данным задачи.

Edited 2018-07-04 10:19:01 by ddd_kr

[tfron 0]

Да, 200-300 мбит бегает. Ну вот почему он в режим свича не возвращается после удаления бриджа?)

[Туйон 1,313]

Потому, что бы он был "в режиме свитча", в данной прошивке (до 6.42) нужно либо чтобы был бридж, либо чтобы был мастер-порт и слейв-порты.

В прошивках от 6.42 используется только конфигурация "бридж", в том случае, когда необходимо использовать только аппаратные фунции свитча - ещё и включается Hardware Offload.

[tfron 0]

Я удаляю бридж и 1 порт(основной)masterport-none а остальные 4 master port-combo-master1. По логике должен трафик побежать и без бриджа, правильно? Настройки те же остались.

Знаю что на x86 если бридж добавляешь то в интерфейсах показывает сумарный трафик на иконке bridge. Здесь килобайты бегают и все. 

[Туйон 1,313]

Определитесь, чего Вы хотите.

Сделать L2 сегментацию между портами, чтобы абоненты из порта 2, например, не видели абонентов из порта 3, но видели порт 1?

Или включить тут NAT? Если второе, то проц тут слишком хилый.

Если первое, то это делается через вкладку Switch. Я ссылку выше давал.

 

Да и собственно, какова цель этого всего?

[tfron 0]

С удалением бриджа для себя просто интернесно...почему при его удалении трафик уже не бегает хотя мастеры и слейвы стоят. Уверен что собью настройки в дефолт, и будет как раньше без бриджа бегать трафик.

А по сегментации хотелось как то обезопасить сеть от флуда итд, что бы в другие порты не лился. А вот знаний и понимания как должно быть у меня маловато.

Edited 2018-07-04 10:51:02 by tfron

[Туйон 1,313]

2 минуты назад, tfron сказал:

А по сегментации хотелось как то обезопасить сеть от флуда итд, что бы в другие порты не лился. А вот знаний и понимания как должно быть у меня маловато.

Тогда обновляйте заодно прошивку до 6.42.5, и смотрите в сторону того, что я давал (сегментация), так же на портах снимайте галочку "Unknown Multicast Flood", а можете вообще в ACL порезать всё, кроме нужного. Возможностей там хватает, хоть и будут тут меня бить палками любители Длинков  

[blogpatik 0]

Можливо хтось підкаже:

є необхідність ізолювати мережі, з цим все вийшло, але як зробити щоб з мережі 10.103.30.0/28

було видно файловий сервер в іншій мережі, а саме 10.103.0.251.

[Dimkers 1,615]

Сделайте через иптаблес(ип-файрвол в микроте). Правила дени для подсетей из 1в2 и из 2в1+ над ними ассепт для серавка.

[blogpatik 0]

10 минут назад, Dimkers сказал:

Сделайте через иптаблес(ип-файрвол в микроте). Правила дени для подсетей из 1в2 и из 2в1+ над ними ассепт для серавка.

дякую, спробую!