Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   Предыдущие части темы: часть 1, часть 2, часть 3, часть 4 Официальный сайт: https://mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике   актуальные версии RouterOS: Stable: 7.14.2 Подробнее... Testing: 7.15b9 Stable: 6.49.14 Long-term: 6.49.13 актуальная версия SwitchOS: 2.17 актуальная версия WinBox: 3.40 32/64-bit Подробнее...   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: anton04, 10:54 08-04-2024

Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fly_indiz Там 2 разных интернета и разная функциональность потому 2 подсети.   Цитата:  - У 4011 на каждом bridge должен быть адрес из соответвующей подсети. В смысле у самого бриджа?   Цитата: - самое важное - выполняет ли 4011 роль роутера? Т.е. для девайсов обоих сеток - что является дефолтгейтвеем?   Для 192.168.0.75 и всей подсетки гейтвей - 192.168.0.1 - это керио контрол (на нем же дхцп той подсетки) Для IPTV box-а гейтвей 192.168.2.1 - это Eth2 порт на микротике То есть интернет (так же как и айпишники) микротик раздает только в подсетку 192.168.2/24 А для подсетки 192.168.0/24 5 его портов являются как бы хабом, куда с разных концов здания приходят кабеля. Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 19:50 06-02-2021

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Germanus Цитата: В смысле у самого бриджа? всмысле - каждый из 2-х бриджей - представляет собой ИНТЕРФЕЙС, который должен/может иметь подвешеный на него IP     Цитата: Для 192.168.0.75 и всей подсетки гейтвей - 192.168.0.1 - это керио контрол (на нем же дхцп той подсетки) Для IPTV box-а гейтвей 192.168.2.1 - это Eth2 порт на микротике То есть интернет (так же как и айпишники) микротик раздает только в подсетку 192.168.2/24 вооот. это важная инфа. керио-дхцп не помечены на схеме 192.168.0.1, и не указано на схеме что это дефолтгейтвей для сети 192.168.0.0/24   тут как раз и засада. машинка 192.168.0.75 для доступа к ЧУЖИМ (т.н. НЕ 192.168.0) сетям - по умолчанию использует дефолтгейтвей, т.е. НЕ микротик. Значит - надо просто на машине 192.168.0.75 добавить маршрут к сети 192.168.2.0/24 через ип-адрес микротика в сети 192.168.0.0/24 (который на схеме предусмотрительно не указан) Всего записей: 2618 | Зарегистр. 28-04-2006 | Отправлено: 20:17 06-02-2021

Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: (который на схеме предусмотрительно не указан) Просто не знал что и в каком объеме указывать. bridge1 имеет адрес 192.168.0.200 Цитата: керио-дхцп не помечены на схеме 192.168.0.1, и не указано на схеме что это дефолтгейтвей для сети 192.168.0.0/24 Ну я просто указал наверху DHCP Server, надеясь, что будет понятно, что это отдельная подсетка со своим DHCP. Цитата: Значит - надо просто на машине 192.168.0.75 добавить маршрут к сети 192.168.2.0/24 через ип-адрес микротика в сети 192.168.0.0/24 В этом случае, как я понимаю, я смогу достучаться до твбокса. а обратно? А разве не на самом микроте лучше поколдовать, чтобы эти два девайса увидели друг друга? Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 20:29 06-02-2021

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Ну я просто указал наверху DHCP Server не указав при этом что он же - гейтвей, а не микротик, а это самое важное.   машинке 192.168.0.75 нужно добавить отдельный маршрут в сеть 192.168.2.0/24 через 192.168.0.200   а наоборот, машинке 192.168.2.17 (равно как и всем другим машинам в сети 192.168.2.0/24) ничего делать не надо для отправки пакетов в сеть 192.168.0.0/24, т.к для них это делает ихний дефолтгейтвей, т.е. микротик. Всего записей: 2618 | Зарегистр. 28-04-2006 | Отправлено: 20:47 06-02-2021

Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: машинке 192.168.0.75 нужно добавить отдельный маршрут в сеть 192.168.2.0/24 через 192.168.0.200   Код: route -p ADD 192.168.2.17 MASK 255.255.255.255 192.168.0.200 Так? (в CMD на машине 192.168.0.75) Не работает. Или на микротике? Тогда как?   Добавлено: Цитата: не указав при этом что он же - гейтвей, а не микротик, а это самое важное Он (сервер с керио - гейтвей для 192.168.0/24) на интернет провайдере А Микротик - гейтвей для 192.168.2/24 на интернет провайдере Б Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 17:43 07-02-2021

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Так? (в CMD на машине 192.168.0.75) ага.   Цитата: Или на микротике? не, на тачке. Микротик и так имеет маршруты к каждой из 2х сетей, к которым непосредственно подключен.   Цитата: Не работает а вот тут стрянно..   мб файрвол (filter forward) микротика мешает.. или файрвол на конечных тачках.. Всего записей: 2618 | Зарегистр. 28-04-2006 | Отправлено: 20:19 07-02-2021

Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Микротик и так имеет маршруты к каждой из 2х сетей, к которым непосредственно подключен. Но ни одно устройство из одной подсети не видит и не имеет доступа к устройствам другой. Что, по моему, логично. Свитчи же разные. По моему на самом микротике нужно прописать, чтобы пакеты с указанного порта первой пятерки (первого свитча) проходили на указанный порт второй пятерки (второго свитча). А так, они же как 2 разных хаба в одном корпусе. Нет? Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 21:41 07-02-2021

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Germanus   Не совсем все так. Бридж (если он дефолтный) позволяет свободно ходить любому траффику между его портами на уровне L2 (иными словами - происходит коммутация кадров). Между бриджами траффик может идти только на уровне L3 (иными словами - происходит маршрутизация IP-пакетов). С точки зрения L3 - микротик оперирует интерфейсами: bridge1, bridge2 (но не оперирует портами бриджа, за них ответственен L2).   Отсюда вывод - для манипуляций траффиком между бриджами - оперируем инструментами L3: роутинг (маршруты к сетям обоих бриджей и так должны быть), файрвол (см ip firewall filter forward), на всякий случай проверить, что между сетями нет нат-а.   В идеале бы конфиг микрота скинуть поглядеть: /export terse hide-sensitive file=export.rsc Чтоб не в слепую разбирать.. Всего записей: 2618 | Зарегистр. 28-04-2006 | Отправлено: 07:10 08-02-2021

Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fly_indiz   Цитата: В идеале бы конфиг микрота скинуть поглядеть Да, конечно Меня в первую очередь интересует доступ с Tvbox-а на машину 192.168.0.75.   А его нет. SMB1 на машине включен. Папки необходимые расшарены. Цитата: а наоборот, машинке 192.168.2.17 (равно как и всем другим машинам в сети 192.168.2.0/24) ничего делать не надо для отправки пакетов в сеть 192.168.0.0/24, т.к для них это делает ихний дефолтгейтвей, т.е. микротик. Нет доступа.   Добавлено: На TVBoxe linux (COREElec) если это поможет делу. Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 12:47 08-02-2021

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Germanus Цитата: Да, конечно Ну давай попробуем разобраться.   По полученой доп-информации и первому взгляду на конфиг - дорисовал схемку:   1-ое что бросилось в глаза - отсутствие MAC-ов на созданых бриджах: Цитата: /interface bridge add admin-mac=00:00:00:00:00:00 auto-mac=no comment="6-8 Ether interfaces" name="Core1 bridge" /interface bridge add admin-mac=00:00:00:00:00:00 auto-mac=no comment="1-4 Ether interfaces" name="Core2 bridge" /interface bridge add admin-mac=00:00:00:00:00:00 auto-mac=no comment="WiFi interfaces only" name="WiFi Bridge" как оно вообще работает без них - непонятно... ну или ты в экспорте подчистил их (надеюсь), хотя в админ-маках ничего секретного нет...   2-ое - на бридже Core1 НЕ должен работать DHCP-сервер. Вообще. Цитата: /ip dhcp-server add add-arp=yes interface="Core1 bridge" lease-time=1d name="C1 dhcp" Ибо конфликт. дхцп-сервер в этой сети - на керио (192.168.0.1) и других быть не должно.   3-е - IP микротика в сети 192.168.2.0/24 должен висеть на интерфейсе бриджа, а не на интерфейсе-порте, входящем в бридж (это не принципиально, но неправильно). Цитата: /ip address add address=192.168.2.1/24 comment="Core2 bridge has address 192.168.2.1" interface="e2_Core2(USBLan)" network=192.168.2.0 (п.с. см. ведь адрес 192.168.0.200 - висит правильно - на бридже)   по поводу файра - изучать структуры месива цепочек сложновато... бест-практис чисто для визуального восприятия (к логике работы отношения не имеет) - не перемешивать правила разных цепочек, ну ок, растащил их в блокнотике по цепочкам чтоб хоть можно было изучать. п.с. правило: Цитата: /ip firewall filter add action=drop chain=forward connection-nat-state=!dstnat connection-state=new по своей сути бесполезно, т.к. ниже него идёт дефолтное правило: Цитата: /ip firewall filter add action=drop chain=forward comment="All other drop Forward" connection-nat-state=!dstnat которое НЕ дропает пакеты, если они проброшены через dstnat но вышеописаное - не относится к проблеме...   если по делу - то впринципе пока не вижу что может мешать хождению пакетов между этими 2-мя подсетями, должно пахать. роутинг по дефолту включен, сам микротик имеет connected-маршруты в обе сетки, фильтр форварда вроде как дропать не должен - есть правило разрешающее всё из обоих локалок. единственное - на тачке 192.168.0.75 должен быть вручную добавленый маршрут в 192.168.2.0/24   Еще подумаю...     как вариант - в сети 192.168.2.0/24 добавить еще другую машинку, и проверить - как на неё будет ли ходитьь трафик с 0.75   п.с. на конечных машинках - желательно отключить файрвол Всего записей: 2618 | Зарегистр. 28-04-2006 | Отправлено: 14:52 08-02-2021 | Исправлено: fly_indiz, 15:19 08-02-2021

Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fly_indiz Цитата: отсутствие MAC-ов на созданых бриджах: Я все маки обнулил перед отправкой.   Цитата: на бридже Core1 НЕ должен работать DHCP-сервер Он задисейблен. Не знаю, почему это не отразилось в принте. На самом деле так: это осталось ещё со времен царя гороха, когда была одна подсеть. По возможности (привычка) не удаляю, а отключаю.   Цитата: IP микротика в сети 192.168.2.0/24 должен висеть на интерфейсе бриджа, а не на интерфейсе-порте, входящем в бридж Да, спасибо. Я это знаю (уже). Осталось с незапамятных времен, когда только изучал микрот. А когда пробрасывал "нулевую" подсетку, уже знал это и правильно сделал. Но проблема в том, что как только пытаюсь поменять вторую и сделать правильно - отваливается микрот и зайти на него не уже не получается. Так что сброс с последующим восстановлением. И как сделать это - не знаю.   Цитата: не перемешивать правила разных цепочек А разве они не сверху вниз отрабатывают?   Цитата: по своей сути бесполезно, т.к. ниже него идёт дефолтное правило Спасибо, постараюсь осмыслить это. Я ведь, как говорится, только учусь   Цитата: добавить еще другую машинку, и проверить - как на неё будет ли ходитьь трафик с 0.75 Это можно. Чуть позже попробую. Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 17:22 08-02-2021

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Germanus Цитата: Но проблема в том, что как только пытаюсь поменять вторую и сделать правильно - отваливается микрот и зайти на него не уже не получается. достаточно зайти в адрес висящий на неправильном интерфейсе - и сменить в нём интерфейс. Ты отвалишся, но можно перезайти сразу - все будет работать. П.С. чтоб не отваливаться в этот момент - можно зайти на микрот winbox-ом по MAC-у, а не по IP-у.   Цитата: А разве они не сверху вниз отрабатывают? сначала пакет попадает в нужную цепочку (например в input или в forward), а попав в цепочку - начинает сверху вниз идти по правилам СВОЕЙ цепочки (игнорируя правила чужих цепочек). Наткнувшись на подходящее правило - над пакетом выполняется действие правила и обычно (смотря какое действие) по дальнейшим правилам пакет больше не идёт (кроме passthrough-действий типа действия "log" или действия "add-src-to-address-list") Всего записей: 2618 | Зарегистр. 28-04-2006 | Отправлено: 18:25 08-02-2021 | Исправлено: fly_indiz, 18:28 08-02-2021

Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fly_indiz Наэкспериментировался. Что имею доложить: 1. Подключив ноут к сети 192.168.2/24 (далее 2/64) и дав ему IP 192.168.2.74 отключил везде файрволы для начала и обнаружил, что 192.168.2.17 (TVbox) появился в сетевом окружении изначально требуемой машинки 192.168.0.75, однако оттуда недоступен с ошибкой 0х80070035 Ещё раз проверил, что везде включена SMB1. Пинги до Tvbox проходят, в сетевом окружении виден, но попасть на него невозможно с вышеуказанной ошибкой. 2. С вновь подключенного ноута 192.168.2.74 Tvbox в конце концов стал открываться (проблема была ещё в том, что он не понимает, хотя принимает, пароли с чем-то кроме букв и цифр латиницы). То есть со 192.168.2.74 на 192.168.2.17 мы попадаем, НО при этом его не видно в сетевом окружении 192.168.2.74. Если только набрать в проводнике непосредственно \\имя_ресурса\ то выскакивает окно ввода логина/пароля и далее все ОК. 3. С Tvbox-а на 192.168.0.75, как ты и говорил, мы попадаем и все ОК, единственно, что это произошло только после принудительного ввода адресов/папок/логинов/паролей в интерфейсе и соглашения с тем, что, дескать, конечного адреса не существует, но все равно создать? - ОК..., опосля чего все совершенно удачно открывается и заходит, Но это бажище оставим на бессовестной совести производителей и создателей . Уже большое достижение, что я все таки попал на 192.168.0.75! 4. А вот со 192.168.0.75 я попасть никуда не могу в подсетку 2/64. Ни на ....2.74 ни на ....2.17 Маршруты, при этом на 192.168.0.75 прописаны: Код: route -p add 192.168.2.17 mask 255.255.255.255 192.168.0.200 и так же для ...2.74 но... не работает. Видимо, все таки, на микроте что-то нужно дописать? Или как?     Добавлено: Цитата: достаточно зайти в адрес висящий на неправильном интерфейсе - и сменить в нём интерфейс. Да! Спасибо. Действительно, это было видимо, слишком просто и очевидно, чтобы быть испробованным и сделанным самому Цитата: сначала пакет попадает в нужную цепочку Спасибо. Информативно и познавательно. Потом попробую (когда, наконец, добьюсь результата) все сгруппировать правильно. Сейчас просто не хочу трогать, чтобы не нарушать чистоту эксперимента. Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 23:47 09-02-2021

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору EAKislov Приветствую.   Чтобы по событию, навскидку вспоминается Netwatch, он пингует.   Сложнее - можно сделать маленький Lease Time и по скрипту DHCP-сервера проверять, если пропала аренда адреса именно этой машины - пробовать её будить.   Но чем простой периодический WOL (хоть каждую минуту) неразумен - не очень понимаю. Роутер он не напрягает, так что чудеса оптимизации можно и не показывать. Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:38 11-02-2021

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору towarish Как настроите - так и будет. Можно даже на один канал повесить несколько SSID с разными паролями (через Virtual AP). Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:19 11-02-2021

Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fly_indiz Частично проблема решилась. В частности смог попасть с 192.168.0.75 на 192.168.2.17. Проблема была в файрволе машины источника. Здесь стоит Windows Firewall Control. Видимо при установке заблокировал по умолчанию что-то нужное. Во всяком случае, добавив правило в виндовый файрвол для хождения на ...2.17 и с него попадаю и туда и обратно.   Но вот что не понятно и что не работает: попадаю я только, если набираю в проводнике непосредственно \\192.168.2.17\. При этом в сетевом окружении видно наименование TVBox-а - COREElec. Однако при двойном щелчке по нему, получаю ошибку 0x80070035. Нажатие далее на "Диагностика" выдает: "Не удается найти компьютер или устройство с именем COREElec" Тут же, если опять набираю \\192.168.2.17\ - спокойно захожу!   Мониторил пакеты на микротике. При попытке доступа через значок в сетевом окружении, на бридже 1 (192.168.0.254) пакеты бегают (напомню, что на машине источнике прописан постоянный маршрут route -p ADD 192.168.2.17 MASK 255.255.255.255 192.168.0.254). А на бридже 2 (192.168.2.1) в то же самое время - нет, не бегают. Не поможешь понять эту шараду? Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 20:15 11-02-2021

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Germanus Я бы сказал, что более странно, что в Сетевом окружении видно что-то... Так-то оно работает на широковещательных пакетах, и между подсетями видимости вообще не должно быть %) Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 22:35 11-02-2021

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование