Перейти до

Mikrotik_Делимся опытом, помогаем друг другу


Рекомендованные сообщения

22 минуты назад, blogpatik сказал:

ні, не має, дякую. Значить буду на 1 інтерфейс вішати все

А какую вы задачу хотите решить разделяя на подсети? На один интерфейс вешайте хоть 100 подсетей но без vlan безопасности не будет, все будут видить всех, пусть не через сетевое окружение но по ip все будет в одной сети только с меньшей маской...  Для это и используют vlan что бы разделить физически подсети.

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 216
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Потому-что через simple queues будет распределение по ядрам CPU.

У кого какую нагрузку держит CCR1036 ? У нас реально держит 500+ абонентов с нагрузкой в районе 1г. ,авторизация IPoE (hotspot), NAT, реальники через PPPoE, около 50 правил фаервола, у абонентов

Тем не менее с поставленной задачей справится без проблем.  Дальше там цены вообще в космос уходят для таких сетей...    ага, а 1072 уже убила циску ?

Posted Images

43 минуты назад, blogpatik сказал:

Для чого тоді vlan використовувати? 

Чтоб домены разделять. Широковещательные. С бородкаст штормом столкнетесь - поймёте.

 

 

 

31 минуту назад, WideAreaNetwork сказал:

сервак HP Proliant , 

Там аппаратная плата с рейдом как бы....

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
38 минут назад, netstriker сказал:

Для это и используют vlan что бы разделить физически подсети.

 

36 минут назад, Dimkers сказал:

Широковещательные. С бородкаст штормом столкнетесь - поймёте.

и на тупариках оно поможет?

37 минут назад, Dimkers сказал:

ам аппаратная плата с рейдом как бы

точно, из-за него и не будет работать :(

Ссылка на сообщение
Поделиться на других сайтах
12 минут назад, WideAreaNetwork сказал:

на тупариках оно поможет? 

Так же как пхание кучи подсетей на бридж.... Я вообще смысла не понимаю в данном действе.

Раз уж такая пьянка, то в ЦЦРе вроде как 12 портов. Лучше уж тогда каждый отдел в отдельный порт и на порт вешать свою сетку. Так пользы будет больше. А ваше ещё лучше поднять дхцп на каждом интерфейсе для отдела. Тогда не надо будет бегать и ипишки сочинять....

12 минут назад, WideAreaNetwork сказал:

точно, из-за него и не будет работать

Работать не будет не из-за нее, а из-за того, что ядро в микроте древнючее до не могу и не имеет дров под этот рейд.

С другой стороны можно поиграть с виртуалками. Накатить какой-нибудь прксмокс или подобное, а на нем уже микрот. Но это дичайший изврат.

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
1 час назад, netstriker сказал:

А какую вы задачу хотите решить разделяя на подсети? На один интерфейс вешайте хоть 100 подсетей но без vlan безопасности не будет, все будут видить всех, пусть не через сетевое окружение но по ip все будет в одной сети только с меньшей маской...  Для это и используют vlan что бы разделить физически подсети.

Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу.

 

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Dimkers сказал:

ядро в микроте древнючее до не могу и не имеет дров под этот рейд.

ну я и имел ввиду что рейд не поймет, правда не правильно выразился

 

1 час назад, Dimkers сказал:

ЦЦРе вроде как 12 портов. Лучше уж тогда каждый отдел в отдельный порт и на порт вешать свою сетку. Так пользы будет больше. А ваше ещё лучше поднять дхцп на каждом интерфейсе для отдела. Тогда не надо будет бегать и ипишки сочинять

+1

Ссылка на сообщение
Поделиться на других сайтах
9 часов назад, blogpatik сказал:

Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу.

Вы в кучку смешали Л2 и Л3. У Вас с порта(на котором подняты подсети) выходит кабель и идет в тупые свичи. Тупые свичи ничего не умеют кроме как трафик гонять с порта в порт на основе таблички соответствия порт-мак. Они не знают ничего о вланах. Поэтому любой дядя из отдела "А", пропишет ИП из отдела "Б" и на этом закончится вся ваша безопасность и сегментирование.

  • Thanks 1
Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, Dimkers сказал:

Вы в кучку смешали Л2 и Л3. У Вас с порта(на котором подняты подсети) выходит кабель и идет в тупые свичи. Тупые свичи ничего не умеют кроме как трафик гонять с порта в порт на основе таблички соответствия порт-мак. Они не знают ничего о вланах. Поэтому любой дядя из отдела "А", пропишет ИП из отдела "Б" и на этом закончится вся ваша безопасность и сегментирование.

Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами.

 

 

Ссылка на сообщение
Поделиться на других сайтах
24 минуты назад, blogpatik сказал:

Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами.

Пфффф... Этож децкий лепет. Вам еще мамкины хацкеры видать не попадались....

Ну да ладно. Вам видней. Делайте как хотите.

Ссылка на сообщение
Поделиться на других сайтах

 

10 часов назад, blogpatik сказал:

Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу.

Вы так не разделите и не изолируете сеть от слова вообще. Вариант менять структуру сети, как выше сказали в CCR 12 портов, 1 порт на 1 тупарик, в 1 тупарике 1 отдел, я не думаю что у вас в перемешку сидят отделы. А еще как вариант купить управляемый свитч, с вашими задачами справятся самые дешевый модели, можно на локале по рублю за ведро б.у. взять. 

47 минут назад, blogpatik сказал:

Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами.

Было бы желание, принес ноут или еще что, сколько кривого софта под винду который без админ прав корректно не работает. А на управляемом свиче вы сможете отключать не используемые порты, строить VLAN и т.д.

Ссылка на сообщение
Поделиться на других сайтах

i_tak_soydet_1_20062221-768x503.jpg

Спорить бесполезно! Оно же и так работает зачем что-то докупать и менять?

Про тот же вирус Петя уже многие забыли. Нужно, чтоб минимум раз в год подобный вирус появлялся, тогда может и задумаются... 

Ссылка на сообщение
Поделиться на других сайтах

ТС, запомните одно, пока стоят тупарике все до лампочки, можно вообще бомжовские варианты сделать, купить что-то типа RB750 и в каждый порт отдельно тупарики, каждый тупарик это отдел, так хотя бы разделить сети сможете, дхцп настроить на каждый влан и т.д., если нет денег то делайте как задумали, но и будьте готовы бегать)

Ссылка на сообщение
Поделиться на других сайтах
  • 2 months later...

Предлагаю поднять вопрос обнаружения и блокирования "левых" dhcp-серверов. Кто, как борется с этой проблемой?

Предполагается отсутствие тупых свичей в сети, но при этом есть другие роутерборды.scheme-1.jpg.2b5ba1485f7cd548fb5e7f153973d359.jpg

В частности, больше интересует модель CRS326-24G-2S, так как эта модель дает возможность управлять свич-чипом, что в свою очередь не нагружает проц.

Заинтересовала статья https://habr.com/post/310542/,но в свежих версиях router-os изменен синтаксис команд, поэтому скрипт не работает. Может у кого-то получится адаптировать этот скрипт под новые прошивки.

Відредаговано WhiteScorp
Ссылка на сообщение
Поделиться на других сайтах
  • 4 weeks later...
Опубліковано: (відредаговано)

Можливо знає хтось...

Що з DHCP твориться таке?

Причому кожного разу інші адреси...

 

dhcp.jpg

 

Відредаговано blogpatik
Ссылка на сообщение
Поделиться на других сайтах
  • 4 weeks later...
В 09.01.2019 в 11:57, WhiteScorp сказал:

обнаружения и блокирования "левых" dhcp-серверов.

для вас по моему то шо надо :)

Valid Servers укажите трастовые маки 

Screenshot_2.png

Відредаговано datakrava
Ссылка на сообщение
Поделиться на других сайтах
  • 1 year later...

Вопрос...

Есть микротик, статический белый ип, есть доменное имя, есть проброшенный порт.

 

Если захожу "из вне" по доменному имени - всё ок. 

Если внутри локалки - не работает.

В правиле проброски порта chain - dstnat, dst.adress - белый ип, dst.port - внешний порт, protocol - tcp.

Во вкладке action - внутреннтй адрес и порт.

 

На старом микротике всё работало как надо, а тут вылетело с головы что нужно еще дописать.

Ссылка на сообщение
Поделиться на других сайтах
21 минуту назад, Kiano сказал:

hairpin nat гуглите

Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта.

21 минуту назад, Kiano сказал:

hairpin nat гуглите

Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта.

Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, H_U_L_K сказал:

Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта.

Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта.

Тогда out-interface в маскарадинге

  • Thanks 1
Ссылка на сообщение
Поделиться на других сайтах
33 минуты назад, Kiano сказал:

Тогда out-interface в маскарадинге

Точно.

Буду вечером возле микротика - поправлю маскарадинг.

37 минут назад, Dimkers сказал:

Вы погуглите для начала :)

Гугл пишет про hairpin)

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, H_U_L_K сказал:

Точно.

Буду вечером возле микротика - поправлю маскарадинг.

Гугл пишет про hairpin)

Опасность пустого out-interface в том, что с наружной сети можно будет налегке попасть в вашу внутреннюю сеть, т.к. роутер промаскарадит трафик и снаружи вовнутрь, вот

Ссылка на сообщение
Поделиться на других сайтах
54 минуты назад, Kiano сказал:

Опасность пустого out-interface в том, что с наружной сети можно будет налегке попасть в вашу внутреннюю сеть, т.к. роутер промаскарадит трафик и снаружи вовнутрь, вот

Ну получается что в маскарадинге нужно просто указать Out.Interface порт, в который подключен провайдер, так?

Просто у меня в маскарадинге указано src-address=192.168.0.0/24

Вот тут - https://forum.mikrotik.com/viewtopic.php?t=25265 пишут что если указан out interface и есть правила dstnat то всё в куче может не работать правильно...

Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, H_U_L_K сказал:

Ну получается что в маскарадинге нужно просто указать Out.Interface порт, в который подключен провайдер, так?

Просто у меня в маскарадинге указано src-address=192.168.0.0/24

Вот тут - https://forum.mikrotik.com/viewtopic.php?t=25265 пишут что если указан out interface и есть правила dstnat то всё в куче может не работать правильно...

Врут) аут интерфейс - это грубо говоря, куда натить

Відредаговано Kiano
Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, Kiano сказал:

Врут) аут интерфейс - это грубо говоря, куда натить

Ну я тоже так понимаю что в out interface должен быть указан бридж локальных портов (в моем случае).

Но если указываю так - интернет не работает.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...