2011il-RM (+cap Lite), правильность понимания

[Vlad-2]

И если можно, ламерский вопрос про логику бриджей (не только микротика, а вообще, читаю мануалы и понимаю, что не понимаю...).
Что понимаю я:
Бридж- возможность объединения нужных портов в нужные "свичи".

Так, Бридж это Бридж, Свитч это свитч.
Свитчи пока рано к понимаю Вам.
Бридж = это логика объединения 2х и более интерфейсов в единую логическую структуру.

В моём случае...
9й - ВАН, 8й- ВиФи, 1,2,3 - ЛАНЫ.

Про WAN я говорил = это единственный у Вас порт, бридж делать тут нет смысла

Я так понимаю, (для меня логично), делается два бриджа.
Первый - объединяет порты 9,1,2,3 - этим я сделал ЛАН-сеть, создал ДХЦП и применил его к этому бриджу.

Плохо читаете, ну вот скажите, можно взять 220волт и соединить с 5вольтами и всё это вместе упаковать,
как считаете? Кто дал право 9й порт (WAN) в бридж засовывать?
Если Вы так сделаете, это всё равно что на домашних роутерах WAN порт кабелем соединить с LAN портом.
Ну где логика? У Нас роутер, у роутера есть вход и есть выход. А Вы хотите их замкнуть?
В бридж добавляют порты которые будут работать в одном логическом сегменте.

Второй- объединяет порты 9 и 8 - этим я отправил интернет траффик в точку ВиФи, создал еще один ДХЦП и применил его ко второму бриджу.

Не правильно. ПОРТ/Интерфейс может быть членом одного Бриджа лишь.
И конечно, 9й порт (WAN) также сюда пихать не надо.

Я вообще правильно логику понимаю?) На уровне табуретки?)

Увы, нет.
Вы создаёте бриджи, два локальных и уже между ними будет идти трафик.
Этот трафик можно контролировать.
На 9м порту у Вас будет адресация от провайдера, сеть бриджа1 и сеть бриджа2
будут при выходе в Интернет, прятаться за адресацией порта9 (маскарайдинг или НАТ)
и выходить в сторону провайдера. НО между сетями бриджа1 и бриджа2 - НАТА не должно быть.
(это логика, и она есть и в обычных роутерах).

Потому что, мануалы "создадим бридж", "бридж- объединение портов", а реально лезу их объединять, он или на ошибки ругается, или инет падает. А хочется понять, как работает, а не тупо по мануальным картинкам галочки расставлять..

Нужно читать, читать и ещё раз, потом играться.
Читать не хотите.

Скачайте хотя бы виртуальный микротик и поставьте под виртуальной машиной.
Легче будет.

[Vlad-2]

Простите, что влезаю в беседу.
Вам Vlad-2 все подробно опишет, но пока "вы торопитесь".
Нужно еще много читать...

Коллега, сочту за честь видеть от Вас любое сообщения,
тем более что разбавить тему будет даже очень не лишним.

Да и мне поможете не быстро "перегореть" объясняя основы.

[Vitamin]

Отож спасибо за ответы))
Одной фразой "что на домашних роутерах WAN порт кабелем соединить с LAN портом." Вы изволили приоткрыть мне дверь в мир Микротиков на чуточку шире...))
Уже понимаю, какая фигурка может быть в этом паззле..
Соответсвенно бридж-лан делаю из портов 12345, а бридж-вифи делаю из? одного порта?) а ван подцепится и туда и туда по умолчанию?)
Или опять ерунду сказал?)
А если не ерунду, по потом делаю два дхцп и раздаю их этим бриджам? Оба бриджа посадить за нат?
Я так понимаю, обе сетки (лан и вифи) будут равнозначные, пересекаться между собой не будут (ну если не разрешу явно), в лане компы будут видеть свои шары, в вифи тоже (если будут буки) тоже будут видеть свои шары? Вифишные шары (чтобы в вифи сети) не было видны, реализуемо? На будущее, конечно))

Господа, поймите меня правильно. Я спрашиваю азы для Вас, а для меня новый мир открывается. Что то понимаю, что то нет. Поэтому и пришел в фак для новичков. Я хочу разобраться сам. Мне иногда достаточно одной прочитанной фразы тут, чтобы потом докурить мануал толщиной в три сантиметра, только потом что я понимаю, что делаю. В мануале нет теории в том виде, которой мне не хватает. Мануал- какие кнопки за что отвечают. А тут я черпаю знания, а нужны ли мне эти кнопки, и что будет/произойдет, если я её нажму..
Мне не стыдно спрашивать эти дибильные вопросы, хоть и сам сисадмин, но не работал раньше с такой техникой по причине банальной отстутсвия необходимости ранее)
Уверяю Вас, по мере понимания, что я делаю, таких вопросов будет всё меньше))

[Vitamin]

Так. Прочитал своё опять.. Кажется мне, скосячил...
Про бридж-вифи. Получается же, один порт (для точки). Объединять не с чем. Тогда бридж-вифи не нужен?
ВАН сам проскочит на eth8 ? Куда будет точка подключена? Просто отдельный дхцп к этому порту (где точка) привязать и всё?
Или из одного порта тоже можно бридж делать??))
Если это так, блин, я тупил тогда всё это время))

[Atomic79]

Основы это такая вещь-я после зикселей, тплинков и длинков когда микротик в руки взял-не знал как подступится к нему-думал мозг вообще не справится))) За полгода и дома поменял железо и на работе...

[Vlad-2]

Мда, почитал я и засмеялся.... подняли настроение.

1) Повторюсь: разные сегменты бриджом можно "замкнуть", поэтому бридж, это наверно
как нож, от него может быть и польза, и опасность.
В бридж надо объединять то, что нужно/надо/логически надо объединить.

2) Бридж надо порой делать и для одного порта, то есть тот же порт8 будет
членом бриджа2-вифи, зачем так делать, ну я рекомендую чтобы Вы делали
так, особенно если Вы планируете задействовать DHCP - DHCP это сервис,
служба, и она должна работать, а работает она лишь когда интерфейс доступен,
если порт8 будет не подключён, то и служба не будет активна и будут ошибки и
красным светиться интерфейсы. Бридж = это логический интерфейс и он всегда
активен (если руками его не отключить), поэтому бридж с одним портом = и
норма и допустимо.

3) Да, обе сети локальные равнозначные, пересекаться (доступы) по умолчанию
у них между собой БУДУТ, я это уже писал, чтобы убрать/ограничить доступ,
тут уже надо прибегнуть или к файрволу (гибко) или сделать запрет между сетями (не гибко).
Поэтому чистый микротик сразу между собой сети объединяет (на уровне маршрутизации)
3.1) Если сети доступны между собой, то шары, доступы это уже всё будет работать
на базе устройств и систем тех устройств, главное понимать, что сетевое окружение
не маршрутизируется и соответственно в сетевом окружении другой сети Вы не увидите,
лишь по IP будет работать. Это ограничения протокола сделанного Microsoft.

4) На счёт "проскочит" WAN - извините, но от сисадмина не понимать как работает Интернет
не понимать что такое маршрутизация, что такое NAT/Маскарайдинг = вот тут очень расстроен
и негодую. Ничего проскакивать не будет и не надо. Задача любого роутера, и его главная задача
роутера = спрятать клиентов (их может быть и 5 и 55 в сети) за собой, и каждого клиента
при запросе в Интернет, спрятать от своего внешнего адреса и отправить пакет уже
на оборудование провайдера (на шлюз). При возврате ответа, сопоставить для кого этот ответ,
опять сделать подмену адреса и ответный пакет отдать тому компу.
Если Вы этих основ не знаете, тогда роутер(любой) Вам рано настраивать.

[Vitamin]

Негодование принимается) Посыпаю голову пеплом и приношу свои извинения за некорректно построенную фразу...
Под "проскочит" понимал не попадание ВАНа в етх8, а подключения ВАНа к этому етх со стороны интернета.. Иными словами, вопрос был, что "при создании бридж-вифи с одним 8м портом", привязав к этому бриджу свой дхцп, и став на этот порт точкой/компьютером, я получу интернет? То есть ВАН сам подтянется к этому бриджу-вифи?
Про работу НАТ понимаю, за что отругали)), но исключительно от неправильности моего выражения.
Вообщем, информации для меня пока уже много, завтра буду на объекте, попробую всё воплотить в жизнь, хотя бы на коленке. Допиливать и вылизывать буду потом, по факту)
По итогу я понял, что мне надо сделать следующее...
9 порт прописываю как ВАН, назначаю ему статику от провайдера.
Порты 1,2,3,4,5 делаю бридж-лан
Порт 8 делаю бридж-вифи
Делаю дхцп-лан, привязываю его к бридж-лан
Делаю дхцп-вифи, привязываю его к бридж-вифи
ВАН должен автоматически привязаться к обеим бриджам.
Проверка- став буком на порты 1,2,3,4,5 я должен получить локальные адреса от дхцп-лан и выходить в интернет, став на порт 8, я должен получить локальные адреса от дхцп-вифи и тоже выходить в интернет.
Потом подключив на 8й порт точку, настроенную "прозрачно", получить на ней вифи.
Правильно мыслю?

[Vlad-2]

По итогу я понял, что мне надо сделать следующее...
9 порт прописываю как ВАН, назначаю ему статику от провайдера.

И прописать также и шлюз по-умолчанию (должны быть данные вместе с адресом),
и прописать DNS'ы провайдерские (тоже также должны быть эти данные).
(проверить пинг 8.8.8.8 с консоли микротика)!

ВАН должен автоматически привязаться к обеим бриджам.

Хм....Вы должны разрешить НАТ для всех, тогда и Интернет будет везде.

Правильно мыслю?

НУ так себе.
Совет: при настройке DHCP сервера(ов) - время аренды адреса,
делайте минут 20-40, много не надо.

[Vitamin]

1. Это да, понятно.
2. Весьма ценное замечание. И я так понимаю, галочка "использовать НАТ" и есть факт "подлючения" ВАН-интерфейсов к созданным бриджам? Если это так, то конструкция с бриджами начинает для меня проясняться..
3. Время аренды из каких соображений выбирается? В принципе? И его примерно такое в двух дхцп делать? Или только вифишное? Потому как клиенты могут меняться, а для лана наоборот побольше?

[Vlad-2]

2. Весьма ценное замечание. И я так понимаю, галочка "использовать НАТ" и есть факт "подлючения" ВАН-интерфейсов к созданным бриджам? Если это так, то конструкция с бриджами начинает для меня проясняться..

Забыл добавить, не настраивать микротик через QuickSetup и через Web-админку.
Только руками, только чистый роутер, через Винбокс и с нуля.
Кто настраивает микротик через визарды = увы, остаются без помощи, ибо что делает
визард = мы админы, не знаем. Мы работаем с правильными настройками.

И подключения бриджей тут не причём. Задача в настройках роутера, а точнее в файрволе, в закладке
NAT = там добавить правило, (пока общее для всех) что всем можно выходить в Интернет.

3. Время аренды из каких соображений выбирается? В принципе? И его примерно такое в двух дхцп делать? Или только вифишное? Потому как клиенты могут меняться, а для лана наоборот побольше?

На время тестов, и пока Вы только делаете шаги, и предвидя другие проблемы,
аренду делать надо не сильно большую, но в целом и потом на будущее
4-6 часов = оптимально, а там уже сами решайте. НО не делайте 1 день или как
делают начинающие 3дня или 7 дней.
Компьютер получит адрес и новый адрес, в новом бридже не захочет получать.

Учите, читайте....