Mikrotik_Делимся опытом, помогаем друг другу

[netstriker 19]

  В 16.10.2018 в 17:24, blogpatik сказав:

ні, не має, дякую. Значить буду на 1 інтерфейс вішати все

Expand  

А какую вы задачу хотите решить разделяя на подсети? На один интерфейс вешайте хоть 100 подсетей но без vlan безопасности не будет, все будут видить всех, пусть не через сетевое окружение но по ip все будет в одной сети только с меньшей маской...  Для это и используют vlan что бы разделить физически подсети.

[Dimkers 1 606]

  В 16.10.2018 в 17:12, blogpatik сказав:

Для чого тоді vlan використовувати? 

Expand  

Чтоб домены разделять. Широковещательные. С бородкаст штормом столкнетесь - поймёте.

 

 

 

  В 16.10.2018 в 17:25, WideAreaNetwork сказав:

сервак HP Proliant , 

Expand  

Там аппаратная плата с рейдом как бы....

Відредаговано 2018-10-16 17:56:49 Dimkers

[WideAreaNetwork 222]

  В 16.10.2018 в 17:52, netstriker сказав:

Для это и используют vlan что бы разделить физически подсети.

Expand  

 

  В 16.10.2018 в 17:54, Dimkers сказав:

Широковещательные. С бородкаст штормом столкнетесь - поймёте.

Expand  

и на тупариках оно поможет?

  В 16.10.2018 в 17:54, Dimkers сказав:

ам аппаратная плата с рейдом как бы

Expand  

точно, из-за него и не будет работать

[Dimkers 1 606]

  В 16.10.2018 в 18:33, WideAreaNetwork сказав:

на тупариках оно поможет? 

Expand  

Так же как пхание кучи подсетей на бридж.... Я вообще смысла не понимаю в данном действе.

Раз уж такая пьянка, то в ЦЦРе вроде как 12 портов. Лучше уж тогда каждый отдел в отдельный порт и на порт вешать свою сетку. Так пользы будет больше. А ваше ещё лучше поднять дхцп на каждом интерфейсе для отдела. Тогда не надо будет бегать и ипишки сочинять....

  В 16.10.2018 в 18:33, WideAreaNetwork сказав:

точно, из-за него и не будет работать

Expand  

Работать не будет не из-за нее, а из-за того, что ядро в микроте древнючее до не могу и не имеет дров под этот рейд.

С другой стороны можно поиграть с виртуалками. Накатить какой-нибудь прксмокс или подобное, а на нем уже микрот. Но это дичайший изврат.

Відредаговано 2018-10-16 18:47:00 Dimkers

[blogpatik 0]

  В 16.10.2018 в 17:52, netstriker сказав:

А какую вы задачу хотите решить разделяя на подсети? На один интерфейс вешайте хоть 100 подсетей но без vlan безопасности не будет, все будут видить всех, пусть не через сетевое окружение но по ip все будет в одной сети только с меньшей маской...  Для это и используют vlan что бы разделить физически подсети.

Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу.

Expand  

 

[WideAreaNetwork 222]

  В 16.10.2018 в 18:43, Dimkers сказав:

ядро в микроте древнючее до не могу и не имеет дров под этот рейд.

Expand  

ну я и имел ввиду что рейд не поймет, правда не правильно выразился

 

  В 16.10.2018 в 18:43, Dimkers сказав:

ЦЦРе вроде как 12 портов. Лучше уж тогда каждый отдел в отдельный порт и на порт вешать свою сетку. Так пользы будет больше. А ваше ещё лучше поднять дхцп на каждом интерфейсе для отдела. Тогда не надо будет бегать и ипишки сочинять

Expand  

+1

[Dimkers 1 606]

  В 16.10.2018 в 19:39, blogpatik сказав:

Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу.

Expand  

Вы в кучку смешали Л2 и Л3. У Вас с порта(на котором подняты подсети) выходит кабель и идет в тупые свичи. Тупые свичи ничего не умеют кроме как трафик гонять с порта в порт на основе таблички соответствия порт-мак. Они не знают ничего о вланах. Поэтому любой дядя из отдела "А", пропишет ИП из отдела "Б" и на этом закончится вся ваша безопасность и сегментирование.

[blogpatik 0]

  В 17.10.2018 в 05:25, Dimkers сказав:

Вы в кучку смешали Л2 и Л3. У Вас с порта(на котором подняты подсети) выходит кабель и идет в тупые свичи. Тупые свичи ничего не умеют кроме как трафик гонять с порта в порт на основе таблички соответствия порт-мак. Они не знают ничего о вланах. Поэтому любой дядя из отдела "А", пропишет ИП из отдела "Б" и на этом закончится вся ваша безопасность и сегментирование.

Expand  

Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами.

 

 

[Dimkers 1 606]

  В 17.10.2018 в 05:29, blogpatik сказав:

Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами.

Expand  

Пфффф... Этож децкий лепет. Вам еще мамкины хацкеры видать не попадались....

Ну да ладно. Вам видней. Делайте как хотите.

[netstriker 19]

 

  В 16.10.2018 в 19:39, blogpatik сказав:

Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу.

Expand  

Вы так не разделите и не изолируете сеть от слова вообще. Вариант менять структуру сети, как выше сказали в CCR 12 портов, 1 порт на 1 тупарик, в 1 тупарике 1 отдел, я не думаю что у вас в перемешку сидят отделы. А еще как вариант купить управляемый свитч, с вашими задачами справятся самые дешевый модели, можно на локале по рублю за ведро б.у. взять. 

  В 17.10.2018 в 05:29, blogpatik сказав:

Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами.

Expand  

Было бы желание, принес ноут или еще что, сколько кривого софта под винду который без админ прав корректно не работает. А на управляемом свиче вы сможете отключать не используемые порты, строить VLAN и т.д.

[tkapluk 912]

Спорить бесполезно! Оно же и так работает зачем что-то докупать и менять?

Про тот же вирус Петя уже многие забыли. Нужно, чтоб минимум раз в год подобный вирус появлялся, тогда может и задумаются... 

[WideAreaNetwork 222]

ТС, запомните одно, пока стоят тупарике все до лампочки, можно вообще бомжовские варианты сделать, купить что-то типа RB750 и в каждый порт отдельно тупарики, каждый тупарик это отдел, так хотя бы разделить сети сможете, дхцп настроить на каждый влан и т.д., если нет денег то делайте как задумали, но и будьте готовы бегать)

[WhiteScorp 2]

Предлагаю поднять вопрос обнаружения и блокирования "левых" dhcp-серверов. Кто, как борется с этой проблемой?

Предполагается отсутствие тупых свичей в сети, но при этом есть другие роутерборды.

В частности, больше интересует модель CRS326-24G-2S, так как эта модель дает возможность управлять свич-чипом, что в свою очередь не нагружает проц.

Заинтересовала статья https://habr.com/post/310542/,но в свежих версиях router-os изменен синтаксис команд, поэтому скрипт не работает. Может у кого-то получится адаптировать этот скрипт под новые прошивки.

Відредаговано 2019-01-09 09:58:18 WhiteScorp

[blogpatik 0]

Можливо знає хтось...

Що з DHCP твориться таке?

Причому кожного разу інші адреси...

 

 

Відредаговано 2019-02-07 06:20:25 blogpatik

[datakrava 48]

  В 09.01.2019 в 09:57, WhiteScorp сказав:

обнаружения и блокирования "левых" dhcp-серверов.

Expand  

для вас по моему то шо надо

Valid Servers укажите трастовые маки 

Відредаговано 2019-03-01 13:58:11 datakrava

[H_U_L_K 285]

Вопрос...

Есть микротик, статический белый ип, есть доменное имя, есть проброшенный порт.

 

Если захожу "из вне" по доменному имени - всё ок. 

Если внутри локалки - не работает.

В правиле проброски порта chain - dstnat, dst.adress - белый ип, dst.port - внешний порт, protocol - tcp.

Во вкладке action - внутреннтй адрес и порт.

 

На старом микротике всё работало как надо, а тут вылетело с головы что нужно еще дописать.

[Kiano 616]

hairpin nat гуглите

[H_U_L_K 285]

  В 20.09.2020 в 14:32, Kiano сказав:

hairpin nat гуглите

Expand  

Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта.

  В 20.09.2020 в 14:32, Kiano сказав:

hairpin nat гуглите

Expand  

Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта.

[Dimkers 1 606]

Вы погуглите для начала

[Kiano 616]

  В 20.09.2020 в 14:54, H_U_L_K сказав:

Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта.

Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта.

Expand  

Тогда out-interface в маскарадинге

[H_U_L_K 285]

  В 20.09.2020 в 14:58, Kiano сказав:

Тогда out-interface в маскарадинге

Expand  

Точно.

Буду вечером возле микротика - поправлю маскарадинг.

  В 20.09.2020 в 14:55, Dimkers сказав:

Вы погуглите для начала

Expand  

Гугл пишет про hairpin)

[Kiano 616]

  В 20.09.2020 в 15:32, H_U_L_K сказав:

Точно.

Буду вечером возле микротика - поправлю маскарадинг.

Гугл пишет про hairpin)

Expand  

Опасность пустого out-interface в том, что с наружной сети можно будет налегке попасть в вашу внутреннюю сеть, т.к. роутер промаскарадит трафик и снаружи вовнутрь, вот

[H_U_L_K 285]

  В 20.09.2020 в 16:33, Kiano сказав:

Опасность пустого out-interface в том, что с наружной сети можно будет налегке попасть в вашу внутреннюю сеть, т.к. роутер промаскарадит трафик и снаружи вовнутрь, вот

Expand  

Ну получается что в маскарадинге нужно просто указать Out.Interface порт, в который подключен провайдер, так?

Просто у меня в маскарадинге указано src-address=192.168.0.0/24

Вот тут - https://forum.mikrotik.com/viewtopic.php?t=25265 пишут что если указан out interface и есть правила dstnat то всё в куче может не работать правильно...

[Kiano 616]

  В 20.09.2020 в 17:31, H_U_L_K сказав:

Ну получается что в маскарадинге нужно просто указать Out.Interface порт, в который подключен провайдер, так?

Просто у меня в маскарадинге указано src-address=192.168.0.0/24

Вот тут - https://forum.mikrotik.com/viewtopic.php?t=25265 пишут что если указан out interface и есть правила dstnat то всё в куче может не работать правильно...

Expand  

Врут) аут интерфейс - это грубо говоря, куда натить

Відредаговано 2020-09-20 17:33:18 Kiano

[H_U_L_K 285]

  В 20.09.2020 в 17:33, Kiano сказав:

Врут) аут интерфейс - это грубо говоря, куда натить

Expand  

Ну я тоже так понимаю что в out interface должен быть указан бридж локальных портов (в моем случае).

Но если указываю так - интернет не работает.