netstriker 19 Posted 2018-10-16 17:52:52 Share Posted 2018-10-16 17:52:52 22 минуты назад, blogpatik сказал: ні, не має, дякую. Значить буду на 1 інтерфейс вішати все А какую вы задачу хотите решить разделяя на подсети? На один интерфейс вешайте хоть 100 подсетей но без vlan безопасности не будет, все будут видить всех, пусть не через сетевое окружение но по ip все будет в одной сети только с меньшей маской... Для это и используют vlan что бы разделить физически подсети. Link to post Share on other sites
Dimkers 1,620 Posted 2018-10-16 17:54:44 Share Posted 2018-10-16 17:54:44 (edited) 43 минуты назад, blogpatik сказал: Для чого тоді vlan використовувати? Чтоб домены разделять. Широковещательные. С бородкаст штормом столкнетесь - поймёте. 31 минуту назад, WideAreaNetwork сказал: сервак HP Proliant , Там аппаратная плата с рейдом как бы.... Edited 2018-10-16 17:56:49 by Dimkers Link to post Share on other sites
WideAreaNetwork 222 Posted 2018-10-16 18:33:04 Share Posted 2018-10-16 18:33:04 38 минут назад, netstriker сказал: Для это и используют vlan что бы разделить физически подсети. 36 минут назад, Dimkers сказал: Широковещательные. С бородкаст штормом столкнетесь - поймёте. и на тупариках оно поможет? 37 минут назад, Dimkers сказал: ам аппаратная плата с рейдом как бы точно, из-за него и не будет работать Link to post Share on other sites
Dimkers 1,620 Posted 2018-10-16 18:43:30 Share Posted 2018-10-16 18:43:30 (edited) 12 минут назад, WideAreaNetwork сказал: на тупариках оно поможет? Так же как пхание кучи подсетей на бридж.... Я вообще смысла не понимаю в данном действе. Раз уж такая пьянка, то в ЦЦРе вроде как 12 портов. Лучше уж тогда каждый отдел в отдельный порт и на порт вешать свою сетку. Так пользы будет больше. А ваше ещё лучше поднять дхцп на каждом интерфейсе для отдела. Тогда не надо будет бегать и ипишки сочинять.... 12 минут назад, WideAreaNetwork сказал: точно, из-за него и не будет работать Работать не будет не из-за нее, а из-за того, что ядро в микроте древнючее до не могу и не имеет дров под этот рейд. С другой стороны можно поиграть с виртуалками. Накатить какой-нибудь прксмокс или подобное, а на нем уже микрот. Но это дичайший изврат. Edited 2018-10-16 18:47:00 by Dimkers Link to post Share on other sites
blogpatik 0 Posted 2018-10-16 19:39:13 Author Share Posted 2018-10-16 19:39:13 1 час назад, netstriker сказал: А какую вы задачу хотите решить разделяя на подсети? На один интерфейс вешайте хоть 100 подсетей но без vlan безопасности не будет, все будут видить всех, пусть не через сетевое окружение но по ip все будет в одной сети только с меньшей маской... Для это и используют vlan что бы разделить физически подсети. Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу. Link to post Share on other sites
WideAreaNetwork 222 Posted 2018-10-16 19:55:30 Share Posted 2018-10-16 19:55:30 1 час назад, Dimkers сказал: ядро в микроте древнючее до не могу и не имеет дров под этот рейд. ну я и имел ввиду что рейд не поймет, правда не правильно выразился 1 час назад, Dimkers сказал: ЦЦРе вроде как 12 портов. Лучше уж тогда каждый отдел в отдельный порт и на порт вешать свою сетку. Так пользы будет больше. А ваше ещё лучше поднять дхцп на каждом интерфейсе для отдела. Тогда не надо будет бегать и ипишки сочинять +1 Link to post Share on other sites
Dimkers 1,620 Posted 2018-10-17 05:25:56 Share Posted 2018-10-17 05:25:56 9 часов назад, blogpatik сказал: Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу. Вы в кучку смешали Л2 и Л3. У Вас с порта(на котором подняты подсети) выходит кабель и идет в тупые свичи. Тупые свичи ничего не умеют кроме как трафик гонять с порта в порт на основе таблички соответствия порт-мак. Они не знают ничего о вланах. Поэтому любой дядя из отдела "А", пропишет ИП из отдела "Б" и на этом закончится вся ваша безопасность и сегментирование. 1 Link to post Share on other sites
blogpatik 0 Posted 2018-10-17 05:29:11 Author Share Posted 2018-10-17 05:29:11 1 минуту назад, Dimkers сказал: Вы в кучку смешали Л2 и Л3. У Вас с порта(на котором подняты подсети) выходит кабель и идет в тупые свичи. Тупые свичи ничего не умеют кроме как трафик гонять с порта в порт на основе таблички соответствия порт-мак. Они не знают ничего о вланах. Поэтому любой дядя из отдела "А", пропишет ИП из отдела "Б" и на этом закончится вся ваша безопасность и сегментирование. Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами. Link to post Share on other sites
Dimkers 1,620 Posted 2018-10-17 05:54:52 Share Posted 2018-10-17 05:54:52 24 минуты назад, blogpatik сказал: Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами. Пфффф... Этож децкий лепет. Вам еще мамкины хацкеры видать не попадались.... Ну да ладно. Вам видней. Делайте как хотите. Link to post Share on other sites
netstriker 19 Posted 2018-10-17 06:26:49 Share Posted 2018-10-17 06:26:49 10 часов назад, blogpatik сказал: Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу. Вы так не разделите и не изолируете сеть от слова вообще. Вариант менять структуру сети, как выше сказали в CCR 12 портов, 1 порт на 1 тупарик, в 1 тупарике 1 отдел, я не думаю что у вас в перемешку сидят отделы. А еще как вариант купить управляемый свитч, с вашими задачами справятся самые дешевый модели, можно на локале по рублю за ведро б.у. взять. 47 минут назад, blogpatik сказал: Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами. Было бы желание, принес ноут или еще что, сколько кривого софта под винду который без админ прав корректно не работает. А на управляемом свиче вы сможете отключать не используемые порты, строить VLAN и т.д. Link to post Share on other sites
tkapluk 922 Posted 2018-10-17 06:43:09 Share Posted 2018-10-17 06:43:09 Спорить бесполезно! Оно же и так работает зачем что-то докупать и менять? Про тот же вирус Петя уже многие забыли. Нужно, чтоб минимум раз в год подобный вирус появлялся, тогда может и задумаются... Link to post Share on other sites
WideAreaNetwork 222 Posted 2018-10-17 07:08:16 Share Posted 2018-10-17 07:08:16 ТС, запомните одно, пока стоят тупарике все до лампочки, можно вообще бомжовские варианты сделать, купить что-то типа RB750 и в каждый порт отдельно тупарики, каждый тупарик это отдел, так хотя бы разделить сети сможете, дхцп настроить на каждый влан и т.д., если нет денег то делайте как задумали, но и будьте готовы бегать) Link to post Share on other sites
WhiteScorp 2 Posted 2019-01-09 09:57:14 Share Posted 2019-01-09 09:57:14 (edited) Предлагаю поднять вопрос обнаружения и блокирования "левых" dhcp-серверов. Кто, как борется с этой проблемой? Предполагается отсутствие тупых свичей в сети, но при этом есть другие роутерборды. В частности, больше интересует модель CRS326-24G-2S, так как эта модель дает возможность управлять свич-чипом, что в свою очередь не нагружает проц. Заинтересовала статья https://habr.com/post/310542/,но в свежих версиях router-os изменен синтаксис команд, поэтому скрипт не работает. Может у кого-то получится адаптировать этот скрипт под новые прошивки. Edited 2019-01-09 09:58:18 by WhiteScorp Link to post Share on other sites
blogpatik 0 Posted 2019-02-07 06:16:41 Author Share Posted 2019-02-07 06:16:41 (edited) Можливо знає хтось... Що з DHCP твориться таке? Причому кожного разу інші адреси... Edited 2019-02-07 06:20:25 by blogpatik Link to post Share on other sites
datakrava 53 Posted 2019-03-01 13:31:26 Share Posted 2019-03-01 13:31:26 (edited) В 09.01.2019 в 11:57, WhiteScorp сказал: обнаружения и блокирования "левых" dhcp-серверов. для вас по моему то шо надо Valid Servers укажите трастовые маки Edited 2019-03-01 13:58:11 by datakrava Link to post Share on other sites
H_U_L_K 285 Posted 2020-09-20 14:10:23 Share Posted 2020-09-20 14:10:23 Вопрос... Есть микротик, статический белый ип, есть доменное имя, есть проброшенный порт. Если захожу "из вне" по доменному имени - всё ок. Если внутри локалки - не работает. В правиле проброски порта chain - dstnat, dst.adress - белый ип, dst.port - внешний порт, protocol - tcp. Во вкладке action - внутреннтй адрес и порт. На старом микротике всё работало как надо, а тут вылетело с головы что нужно еще дописать. Link to post Share on other sites
Kiano 616 Posted 2020-09-20 14:32:47 Share Posted 2020-09-20 14:32:47 hairpin nat гуглите 1 Link to post Share on other sites
H_U_L_K 285 Posted 2020-09-20 14:54:51 Share Posted 2020-09-20 14:54:51 21 минуту назад, Kiano сказал: hairpin nat гуглите Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта. 21 минуту назад, Kiano сказал: hairpin nat гуглите Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта. Link to post Share on other sites
Dimkers 1,620 Posted 2020-09-20 14:55:29 Share Posted 2020-09-20 14:55:29 Вы погуглите для начала Link to post Share on other sites
Kiano 616 Posted 2020-09-20 14:58:33 Share Posted 2020-09-20 14:58:33 3 минуты назад, H_U_L_K сказал: Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта. Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта. Тогда out-interface в маскарадинге 1 Link to post Share on other sites
H_U_L_K 285 Posted 2020-09-20 15:32:31 Share Posted 2020-09-20 15:32:31 33 минуты назад, Kiano сказал: Тогда out-interface в маскарадинге Точно. Буду вечером возле микротика - поправлю маскарадинг. 37 минут назад, Dimkers сказал: Вы погуглите для начала Гугл пишет про hairpin) Link to post Share on other sites
Kiano 616 Posted 2020-09-20 16:33:49 Share Posted 2020-09-20 16:33:49 1 час назад, H_U_L_K сказал: Точно. Буду вечером возле микротика - поправлю маскарадинг. Гугл пишет про hairpin) Опасность пустого out-interface в том, что с наружной сети можно будет налегке попасть в вашу внутреннюю сеть, т.к. роутер промаскарадит трафик и снаружи вовнутрь, вот Link to post Share on other sites
H_U_L_K 285 Posted 2020-09-20 17:31:43 Share Posted 2020-09-20 17:31:43 54 минуты назад, Kiano сказал: Опасность пустого out-interface в том, что с наружной сети можно будет налегке попасть в вашу внутреннюю сеть, т.к. роутер промаскарадит трафик и снаружи вовнутрь, вот Ну получается что в маскарадинге нужно просто указать Out.Interface порт, в который подключен провайдер, так? Просто у меня в маскарадинге указано src-address=192.168.0.0/24 Вот тут - https://forum.mikrotik.com/viewtopic.php?t=25265 пишут что если указан out interface и есть правила dstnat то всё в куче может не работать правильно... Link to post Share on other sites
Kiano 616 Posted 2020-09-20 17:33:07 Share Posted 2020-09-20 17:33:07 (edited) 1 минуту назад, H_U_L_K сказал: Ну получается что в маскарадинге нужно просто указать Out.Interface порт, в который подключен провайдер, так? Просто у меня в маскарадинге указано src-address=192.168.0.0/24 Вот тут - https://forum.mikrotik.com/viewtopic.php?t=25265 пишут что если указан out interface и есть правила dstnat то всё в куче может не работать правильно... Врут) аут интерфейс - это грубо говоря, куда натить Edited 2020-09-20 17:33:18 by Kiano Link to post Share on other sites
H_U_L_K 285 Posted 2020-09-20 17:39:07 Share Posted 2020-09-20 17:39:07 3 минуты назад, Kiano сказал: Врут) аут интерфейс - это грубо говоря, куда натить Ну я тоже так понимаю что в out interface должен быть указан бридж локальных портов (в моем случае). Но если указываю так - интернет не работает. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now