netstriker 19 Опубліковано: 2018-10-16 17:52:52 Share Опубліковано: 2018-10-16 17:52:52 22 минуты назад, blogpatik сказал: ні, не має, дякую. Значить буду на 1 інтерфейс вішати все А какую вы задачу хотите решить разделяя на подсети? На один интерфейс вешайте хоть 100 подсетей но без vlan безопасности не будет, все будут видить всех, пусть не через сетевое окружение но по ip все будет в одной сети только с меньшей маской... Для это и используют vlan что бы разделить физически подсети. Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 601 Опубліковано: 2018-10-16 17:54:44 Share Опубліковано: 2018-10-16 17:54:44 (відредаговано) 43 минуты назад, blogpatik сказал: Для чого тоді vlan використовувати? Чтоб домены разделять. Широковещательные. С бородкаст штормом столкнетесь - поймёте. 31 минуту назад, WideAreaNetwork сказал: сервак HP Proliant , Там аппаратная плата с рейдом как бы.... Відредаговано 2018-10-16 17:56:49 Dimkers Ссылка на сообщение Поделиться на других сайтах
WideAreaNetwork 222 Опубліковано: 2018-10-16 18:33:04 Share Опубліковано: 2018-10-16 18:33:04 38 минут назад, netstriker сказал: Для это и используют vlan что бы разделить физически подсети. 36 минут назад, Dimkers сказал: Широковещательные. С бородкаст штормом столкнетесь - поймёте. и на тупариках оно поможет? 37 минут назад, Dimkers сказал: ам аппаратная плата с рейдом как бы точно, из-за него и не будет работать Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 601 Опубліковано: 2018-10-16 18:43:30 Share Опубліковано: 2018-10-16 18:43:30 (відредаговано) 12 минут назад, WideAreaNetwork сказал: на тупариках оно поможет? Так же как пхание кучи подсетей на бридж.... Я вообще смысла не понимаю в данном действе. Раз уж такая пьянка, то в ЦЦРе вроде как 12 портов. Лучше уж тогда каждый отдел в отдельный порт и на порт вешать свою сетку. Так пользы будет больше. А ваше ещё лучше поднять дхцп на каждом интерфейсе для отдела. Тогда не надо будет бегать и ипишки сочинять.... 12 минут назад, WideAreaNetwork сказал: точно, из-за него и не будет работать Работать не будет не из-за нее, а из-за того, что ядро в микроте древнючее до не могу и не имеет дров под этот рейд. С другой стороны можно поиграть с виртуалками. Накатить какой-нибудь прксмокс или подобное, а на нем уже микрот. Но это дичайший изврат. Відредаговано 2018-10-16 18:47:00 Dimkers Ссылка на сообщение Поделиться на других сайтах
blogpatik 0 Опубліковано: 2018-10-16 19:39:13 Автор Share Опубліковано: 2018-10-16 19:39:13 1 час назад, netstriker сказал: А какую вы задачу хотите решить разделяя на подсети? На один интерфейс вешайте хоть 100 подсетей но без vlan безопасности не будет, все будут видить всех, пусть не через сетевое окружение но по ip все будет в одной сети только с меньшей маской... Для это и используют vlan что бы разделить физически подсети. Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу. Ссылка на сообщение Поделиться на других сайтах
WideAreaNetwork 222 Опубліковано: 2018-10-16 19:55:30 Share Опубліковано: 2018-10-16 19:55:30 1 час назад, Dimkers сказал: ядро в микроте древнючее до не могу и не имеет дров под этот рейд. ну я и имел ввиду что рейд не поймет, правда не правильно выразился 1 час назад, Dimkers сказал: ЦЦРе вроде как 12 портов. Лучше уж тогда каждый отдел в отдельный порт и на порт вешать свою сетку. Так пользы будет больше. А ваше ещё лучше поднять дхцп на каждом интерфейсе для отдела. Тогда не надо будет бегать и ипишки сочинять +1 Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 601 Опубліковано: 2018-10-17 05:25:56 Share Опубліковано: 2018-10-17 05:25:56 9 часов назад, blogpatik сказал: Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу. Вы в кучку смешали Л2 и Л3. У Вас с порта(на котором подняты подсети) выходит кабель и идет в тупые свичи. Тупые свичи ничего не умеют кроме как трафик гонять с порта в порт на основе таблички соответствия порт-мак. Они не знают ничего о вланах. Поэтому любой дядя из отдела "А", пропишет ИП из отдела "Б" и на этом закончится вся ваша безопасность и сегментирование. 1 Ссылка на сообщение Поделиться на других сайтах
blogpatik 0 Опубліковано: 2018-10-17 05:29:11 Автор Share Опубліковано: 2018-10-17 05:29:11 1 минуту назад, Dimkers сказал: Вы в кучку смешали Л2 и Л3. У Вас с порта(на котором подняты подсети) выходит кабель и идет в тупые свичи. Тупые свичи ничего не умеют кроме как трафик гонять с порта в порт на основе таблички соответствия порт-мак. Они не знают ничего о вланах. Поэтому любой дядя из отдела "А", пропишет ИП из отдела "Б" и на этом закончится вся ваша безопасность и сегментирование. Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами. Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 601 Опубліковано: 2018-10-17 05:54:52 Share Опубліковано: 2018-10-17 05:54:52 24 минуты назад, blogpatik сказал: Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами. Пфффф... Этож децкий лепет. Вам еще мамкины хацкеры видать не попадались.... Ну да ладно. Вам видней. Делайте как хотите. Ссылка на сообщение Поделиться на других сайтах
netstriker 19 Опубліковано: 2018-10-17 06:26:49 Share Опубліковано: 2018-10-17 06:26:49 10 часов назад, blogpatik сказал: Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу. Вы так не разделите и не изолируете сеть от слова вообще. Вариант менять структуру сети, как выше сказали в CCR 12 портов, 1 порт на 1 тупарик, в 1 тупарике 1 отдел, я не думаю что у вас в перемешку сидят отделы. А еще как вариант купить управляемый свитч, с вашими задачами справятся самые дешевый модели, можно на локале по рублю за ведро б.у. взять. 47 минут назад, blogpatik сказал: Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами. Было бы желание, принес ноут или еще что, сколько кривого софта под винду который без админ прав корректно не работает. А на управляемом свиче вы сможете отключать не используемые порты, строить VLAN и т.д. Ссылка на сообщение Поделиться на других сайтах
tkapluk 908 Опубліковано: 2018-10-17 06:43:09 Share Опубліковано: 2018-10-17 06:43:09 Спорить бесполезно! Оно же и так работает зачем что-то докупать и менять? Про тот же вирус Петя уже многие забыли. Нужно, чтоб минимум раз в год подобный вирус появлялся, тогда может и задумаются... Ссылка на сообщение Поделиться на других сайтах
WideAreaNetwork 222 Опубліковано: 2018-10-17 07:08:16 Share Опубліковано: 2018-10-17 07:08:16 ТС, запомните одно, пока стоят тупарике все до лампочки, можно вообще бомжовские варианты сделать, купить что-то типа RB750 и в каждый порт отдельно тупарики, каждый тупарик это отдел, так хотя бы разделить сети сможете, дхцп настроить на каждый влан и т.д., если нет денег то делайте как задумали, но и будьте готовы бегать) Ссылка на сообщение Поделиться на других сайтах
WhiteScorp 2 Опубліковано: 2019-01-09 09:57:14 Share Опубліковано: 2019-01-09 09:57:14 (відредаговано) Предлагаю поднять вопрос обнаружения и блокирования "левых" dhcp-серверов. Кто, как борется с этой проблемой? Предполагается отсутствие тупых свичей в сети, но при этом есть другие роутерборды. В частности, больше интересует модель CRS326-24G-2S, так как эта модель дает возможность управлять свич-чипом, что в свою очередь не нагружает проц. Заинтересовала статья https://habr.com/post/310542/,но в свежих версиях router-os изменен синтаксис команд, поэтому скрипт не работает. Может у кого-то получится адаптировать этот скрипт под новые прошивки. Відредаговано 2019-01-09 09:58:18 WhiteScorp Ссылка на сообщение Поделиться на других сайтах
blogpatik 0 Опубліковано: 2019-02-07 06:16:41 Автор Share Опубліковано: 2019-02-07 06:16:41 (відредаговано) Можливо знає хтось... Що з DHCP твориться таке? Причому кожного разу інші адреси... Відредаговано 2019-02-07 06:20:25 blogpatik Ссылка на сообщение Поделиться на других сайтах
datakrava 46 Опубліковано: 2019-03-01 13:31:26 Share Опубліковано: 2019-03-01 13:31:26 (відредаговано) В 09.01.2019 в 11:57, WhiteScorp сказал: обнаружения и блокирования "левых" dhcp-серверов. для вас по моему то шо надо Valid Servers укажите трастовые маки Відредаговано 2019-03-01 13:58:11 datakrava Ссылка на сообщение Поделиться на других сайтах
H_U_L_K 281 Опубліковано: 2020-09-20 14:10:23 Share Опубліковано: 2020-09-20 14:10:23 Вопрос... Есть микротик, статический белый ип, есть доменное имя, есть проброшенный порт. Если захожу "из вне" по доменному имени - всё ок. Если внутри локалки - не работает. В правиле проброски порта chain - dstnat, dst.adress - белый ип, dst.port - внешний порт, protocol - tcp. Во вкладке action - внутреннтй адрес и порт. На старом микротике всё работало как надо, а тут вылетело с головы что нужно еще дописать. Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2020-09-20 14:32:47 Share Опубліковано: 2020-09-20 14:32:47 hairpin nat гуглите 1 Ссылка на сообщение Поделиться на других сайтах
H_U_L_K 281 Опубліковано: 2020-09-20 14:54:51 Share Опубліковано: 2020-09-20 14:54:51 21 минуту назад, Kiano сказал: hairpin nat гуглите Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта. 21 минуту назад, Kiano сказал: hairpin nat гуглите Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта. Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 601 Опубліковано: 2020-09-20 14:55:29 Share Опубліковано: 2020-09-20 14:55:29 Вы погуглите для начала Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2020-09-20 14:58:33 Share Опубліковано: 2020-09-20 14:58:33 3 минуты назад, H_U_L_K сказал: Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта. Нет, дело не в этом. Я точно помню что вопрос был в настройке проброски порта. Тогда out-interface в маскарадинге 1 Ссылка на сообщение Поделиться на других сайтах
H_U_L_K 281 Опубліковано: 2020-09-20 15:32:31 Share Опубліковано: 2020-09-20 15:32:31 33 минуты назад, Kiano сказал: Тогда out-interface в маскарадинге Точно. Буду вечером возле микротика - поправлю маскарадинг. 37 минут назад, Dimkers сказал: Вы погуглите для начала Гугл пишет про hairpin) Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2020-09-20 16:33:49 Share Опубліковано: 2020-09-20 16:33:49 1 час назад, H_U_L_K сказал: Точно. Буду вечером возле микротика - поправлю маскарадинг. Гугл пишет про hairpin) Опасность пустого out-interface в том, что с наружной сети можно будет налегке попасть в вашу внутреннюю сеть, т.к. роутер промаскарадит трафик и снаружи вовнутрь, вот Ссылка на сообщение Поделиться на других сайтах
H_U_L_K 281 Опубліковано: 2020-09-20 17:31:43 Share Опубліковано: 2020-09-20 17:31:43 54 минуты назад, Kiano сказал: Опасность пустого out-interface в том, что с наружной сети можно будет налегке попасть в вашу внутреннюю сеть, т.к. роутер промаскарадит трафик и снаружи вовнутрь, вот Ну получается что в маскарадинге нужно просто указать Out.Interface порт, в который подключен провайдер, так? Просто у меня в маскарадинге указано src-address=192.168.0.0/24 Вот тут - https://forum.mikrotik.com/viewtopic.php?t=25265 пишут что если указан out interface и есть правила dstnat то всё в куче может не работать правильно... Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2020-09-20 17:33:07 Share Опубліковано: 2020-09-20 17:33:07 (відредаговано) 1 минуту назад, H_U_L_K сказал: Ну получается что в маскарадинге нужно просто указать Out.Interface порт, в который подключен провайдер, так? Просто у меня в маскарадинге указано src-address=192.168.0.0/24 Вот тут - https://forum.mikrotik.com/viewtopic.php?t=25265 пишут что если указан out interface и есть правила dstnat то всё в куче может не работать правильно... Врут) аут интерфейс - это грубо говоря, куда натить Відредаговано 2020-09-20 17:33:18 Kiano Ссылка на сообщение Поделиться на других сайтах
H_U_L_K 281 Опубліковано: 2020-09-20 17:39:07 Share Опубліковано: 2020-09-20 17:39:07 3 минуты назад, Kiano сказал: Врут) аут интерфейс - это грубо говоря, куда натить Ну я тоже так понимаю что в out interface должен быть указан бридж локальных портов (в моем случае). Но если указываю так - интернет не работает. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас