2011il-RM (+cap Lite), правильность понимания

[Vitamin]

1. Да, спасибо. Через ВинБокс и работаю, квиксетапом и вебом пользовался на стартах.
2. Про время понятно)
ЗЫ. Будем работать над собой и над ним тоже)

[Vitamin]

Доброго времени суток всем))
Незнаю, как принято в "Туле", то бишь на этом форуме, можно одну тему вести, или завести другой вопрос по теме
"Проблема с настройкой безопасности"
но суть вот в чем...
Захотелось потестить ограничение доступа. Сам роутер сейчас не со мной.
Соответсвенно, пока в него могу попасть через веб по ИПу, либо через ВинБокс, тоже по ИПу.
Связку заводскую логин-пароль сменил на свою, допустим, "вася-123".
Суть такова. Захотел отключить доступ к роутеру из ВАНа по веб.
Захожу в него удаленно ВинБоксом, иду в ИП-СЕРВИСЕС, там табличка. Ставлю www в "отключено", загорелось сереньким. Ага, типа деактивировал.
Выхожу из ВинБокса, запускаю хром, вбиваю свой ИП роутера, и хы...., страничка авторизации открывается, предлагает ввести логин-пароль. Хорошо. Ввожу "вася-123", а тут уже типа бла бла бла "ОШИБКА
Запрошенный URL не может быть получен".
Это и есть ограничение доступа из ВЕБа? Если честно, ожидал, что вообще не пустит на страницу, или еще лучше, "страницы не существует".
Я где то туплю?)) Или страница авторизации в любом случае выскакивать должна?) Тогда её лучше подменить в самом роутере на что то типа "404 нот фаунд", хоть так на дурака прокатит)

[Vlad-2]

Если у нас не будет диалога, то, сами понимаете, отвечать лишь мне на Ваши
вопросы будет не совсем интересно.

1) Хотите изучать роутер, держите его уже у себя, методом по 5-ть минут работать с ним - так не пойдёт.
Можно же и дома изучать,очищать, пробовать и тестировать.

2) Безопасность изучать, не умея и не понимая из чего она состоит и что первым делом
надо закрывать = тоже очень сомнительно. Надо разобраться, как Вы подключаетесь,
что Вы подключаете, какая адресация Вам даёт провайдер (где информация, где диалог)?
Давайте научитесь "писать" и уже потом будет делать сочинения.

3) Опять же очень негодую Вами, как сисадмин, ибо отключит WWW-службу и увидеть
закешированную страничку в браузере и не понять это = даже странно.
Поставьте сканер портов, "натравите" его на роутер и убедитесь, что отключая службу
WWW - сканер перестаёт видеть порт 80.

У меня в сервисах вообще всё отключено, кроме винбокса.
И выходить из винбокса, проверяя службы не надо.
Ну прошу Вас, включите инженерный подход, поставьте бесплатную версию в виртуалке,
и играйтесь. Или купите 931 роутер (3х портовый) и тестируйте.

[Vitamin]

Уважаемый Влад)
Во первых, спасибо за все подсказки выше по теме, по поводу построения конструкции)
Вчера почти всё получилось.
Приехал, снес настройки.
Повтыкал провода по новому, ЛАНы в 123, ВИФИ в 8, ВАН в 9. (ПОИ от точки посадил на свой адаптер и убрал с 10го порта)
Стал собирать конструкцию по Вашим рекомендациям.
Сделал два бриджа, ЛАН и ВИФИ, в ЛАН поставил 12345 (сам сидел на 5м), в ВИФИ поставил 8, 9й "назначил" ВАНом, прописал провайдера.
Сделал правила в файерволе. Немного там был затык (или у меня только по причине еще кривизны рук), почему то если маску вручную указывать, из терминала пинг наружу не шел, а как только в адресе через / указал маску 24, сразу запинговалось, и на ноуте появился интернет.
Соответственно, поднял два ДХЦП, 10.10.1.0 для лана и 192.168.0.0 для вифи.
Вообщем, наковырявшись до ночи, добился следующего.
На ЛАНах инет есть, хороший и быстрый. На ВИФИ инета нет. К точке цепляюсь быстро, получаю ДХЦП от микротика, но в интернет доступа нет. Сверял правила для лана и вифи, вроде всё одинаково, но где то ошибка наверное. Ведь для ВИФИ то нет ничего особенного, просто второй бридж.
Причем, если точку из 8го порта перетыкаю в любой лановый, то интернет появляется, соответсвенно, с адресацией от лана.
Время на дхцп поставил 10 минут, по Вашим рекомендациям.
Поеду туда сегодня тоже, допиливать)
Так что спасибо за все подсказки и ликбез)) В бриджах уже ничего не ругается, стал примерно понимать конструкцию))
И помимо косяка с получением интернета есть еще один затык, подозреваю, что они оба из "одной коробки"..., сидя ноутом в ЛАНовом порту, я могу попасть по винбоксу в микротик, а в точку не могу. Скорее всего стык между бриджами наверное должен быть какой то...
Может поэтому и на точку интернет не проходит... Но у меня сейчас бриджы и правила для них "равнозначные".
И вопрос еще вот какой... Правильно ли понимаю, что от точки никаких настроек, кроме ссида, безопасности, режима работы "бриджа" и получения ДХЦП больше никаких настроек, чтобы заработала?
То есть она авторизует клиента и пропускает в микротик? И вся ее задача?

[Vlad-2]

Уважаемый Влад)
Во первых, спасибо за все подсказки выше по теме, по поводу построения конструкции)
Вчера почти всё получилось.

Вот это уже радует. Может прозвучит пафосно, но мне нужно знать ответ,
знать как и что, для понимая в каком русле рассказывать и нести знания.

Приехал, снес настройки.
Повтыкал провода по новому, ЛАНы в 123, ВИФИ в 8, ВАН в 9. (ПОИ от точки посадил на свой адаптер и убрал с 10го порта)

С нуля это правильно. Советую щёлкнуть по порту10, и в свойствах порта10, найти вкладку РОЕ и там отключить питание.
Так, для надёжности. Точке будет проще удобнее и правильнее питаться со своего адаптера.

Стал собирать конструкцию по Вашим рекомендациям.
Сделал два бриджа, ЛАН и ВИФИ, в ЛАН поставил 12345 (сам сидел на 5м), в ВИФИ поставил 8, 9й "назначил" ВАНом, прописал провайдера.
Сделал правила в файерволе. Немного там был затык (или у меня только по причине еще кривизны рук), почему то если маску вручную указывать, из терминала пинг наружу не шел, а как только в адресе через / указал маску 24, сразу запинговалось, и на ноуте появился интернет.

Так яж давал совет, что все и вся адресация задаются сразу с маской!?

Соответственно, поднял два ДХЦП, 10.10.1.0 для лана и 192.168.0.0 для вифи.

Не люблю 10.ххх сети, а маски Вы какие сделали (для каждой сети) ? Расскажите?
Может ещё и за маску поругаю. Тут было такое, делают 10-ю сетку и маску /8 ставят
(подсказываю, маска /8 = это 16 миллионов компов в сети может быть, обычно
провайдеры тоже используют серые сети и пару раз тут были темы,
почему ничего не работает или глючит, а всё дело в маске, имейте ввиду).

Вообщем, наковырявшись до ночи, добился следующего.
На ЛАНах инет есть, хороший и быстрый. На ВИФИ инета нет. К точке цепляюсь быстро, получаю ДХЦП от микротика, но в интернет доступа нет. Сверял правила для лана и вифи, вроде всё одинаково, но где то ошибка наверное. Ведь для ВИФИ то нет ничего особенного, просто второй бридж.
Причем, если точку из 8го порта перетыкаю в любой лановый, то интернет появляется, соответсвенно, с адресацией от лана.
Время на дхцп поставил 10 минут, по Вашим рекомендациям.

Ну всё, теперь читаем 5-й пункт правил вверху, а попросту мне нужен конфиг Ваш, увидеть уже явно
что Вы создали и уже по конфигу буду Вас хвалить или ругать/подсказывать.

И помимо косяка с получением интернета есть еще один затык, подозреваю, что они оба из "одной коробки"..., сидя ноутом в ЛАНовом порту, я могу попасть по винбоксу в микротик, а в точку не могу. Скорее всего стык между бриджами наверное должен быть какой то...

Если Вы Винбоксом пытались подключиться по МАК-адресу, то всё верно, к точке не подключитесь,
МАК адрес доступен в L2-сети, а точка у Вас в другом бридже, это другая L2-сеть.
Вы должны к точке подключаться по её IP (второй бридж, там же своя сеть есть же) вот по сети к точке и подключайтесь.
Вообще, подключение по МАКу = считается временное/экстренное подключение, а так только по IP.
А будущем можно настроить службу RoMon = она позволяет через роутер подключаться к точке, но это позже.

И вопрос еще вот какой... Правильно ли понимаю, что от точки никаких настроек, кроме ссида, безопасности, режима работы "бриджа" и получения ДХЦП больше никаких настроек, чтобы заработала?
То есть она авторизует клиента и пропускает в микротик? И вся ее задача?

Я считаю что в Вашем случаи пока так и должно быть. Роутер занимается поддержкой сети, DHCP, защита, маршрутизация,
НАТ и прочее, а точка = пусть обслуживает клиентов.

[Vitamin]

Спасибо) Приятно общаться)
1. Никакого пафоса) всё в рамках рабочего процесса... Если не тут, я бы еще кого нибудь "доставал", пока не добьюсь нехватаемых мне знаний...
2. Порт целиком пока отключил. Хорошо, сейчас удаленкой его от питания рубану еще для надежности)
ЗЫ. Поставил в офф.
3. Точно, было, вспоминаю. Сорь. Знач тупанул)
4. Вроде /24 везде ставил...
5. Конфиг приаттачу... Забибикал там некоторые цифирки)) Чейта он маленький какой то.... На страничку уместился..
Там я это..., в конфиге... Порядок люблю в подписях...))) Майор связи...)), так что вроде понятно должно быть в обозначениях, что к чему привязывал...
6. Да, пробовал по маку. Но винбокс в поиске тоже не находит точку, если я сижу в ЛАНовом порту буком, а точка не в ЛАНовой сети...
7. Принято) Логично согласен)

 

# may/23/2019 16:25:42 by RouterOS 6.44.3
# software id = @@@@-@@@@
#
# model = 2011iL
# serial number = @@@@@@@@@@@
/interface bridge
add name=bridge1_LAN
add name=bridge2_WiFi
/interface ethernet
set [ find default-name=ether1 ] name=eth1_LAN
set [ find default-name=ether2 ] name=eth2_LAN
set [ find default-name=ether3 ] name=eth3_LAN
set [ find default-name=ether4 ] name=eth4_LAN
set [ find default-name=ether5 ] name=eth5_LAN
set [ find default-name=ether8 ] name=eth8_WiFi
set [ find default-name=ether9 ] name=eth9_WAN
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether10 ] disabled=yes
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool1_LAN ranges=10.10.1.10-10.10.1.250
add name=pool2_WiFi ranges=192.168.0.10-192.168.0.250
/ip dhcp-server
add address-pool=pool1_LAN disabled=no interface=bridge1_LAN name=dhcp1_LAN
add address-pool=pool2_WiFi disabled=no interface=bridge2_WiFi name=dhcp2_WiFi
/interface bridge port
add bridge=bridge1_LAN interface=eth1_LAN
add bridge=bridge1_LAN interface=eth2_LAN
add bridge=bridge1_LAN interface=eth3_LAN
add bridge=bridge1_LAN interface=eth4_LAN
add bridge=bridge1_LAN interface=eth5_LAN
add bridge=bridge2_WiFi interface=eth8_WiFi
/ip address
add address=@@@.@@@.@@4.38/24 interface=eth9_WAN network=@@@.@@@.@@4.0
add address=10.10.1.1/24 interface=bridge1_LAN network=10.10.1.0
add address=192.168.0.1/24 interface=bridge2_WiFi network=192.168.0.0
/ip dhcp-server network
add address=10.10.1.0/24 dns-server=10.10.1.1 gateway=10.10.1.1
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes servers=\
@@@.@@@.@@2.114,@@@.@@@.@@1.154,8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat src-address=10.10.1.0/24
add action=masquerade chain=srcnat src-address=192.168.0.0/24
/ip route
add distance=1 gateway=@@@.@@@.@@4.37
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
/system clock
set time-zone-name=Europe/Moscow

[Vlad-2]

6. Да, пробовал по маку. Но винбокс в поиске тоже не находит точку, если я сижу в ЛАНовом порту буком, а точка не в ЛАНовой сети...

Ещё раз, винбокс по поиску ищет в рамках своей сети/физики.
Надо подключаться по IP, когда Вы не в одном сегменте.

И у меня сразу вопрос, какой IP у точки доступа? Автоматом ей IP дан или руками?

[Vitamin]

У точки "авто" сейчас установлен. Потом хочу статику привязать.
Поэтому в обеих подсетках, для ЛАНа и ВИФИ есть резервные 10 адресов. (возможно придется чтото сажать с постоянным адресом)
Сразу статику в точку вписать? (из ВИФИшной подсети, какой нибудь 192.168.0.5) И пробовать по этому адресу винбоксом зайти из ЛАНа?

[Vlad-2]

У точки "авто" сейчас установлен. Потом хочу статику привязать.
Поэтому в обеих подсетках, для ЛАНа и ВИФИ есть резервные 10 адресов. (возможно придется чтото сажать с постоянным адресом)
Сразу статику в точку вписать? (из ВИФИшной подсети, какой нибудь 192.168.0.5) И пробовать по этому адресу винбоксом зайти из ЛАНа?

1) Если автоматом, то Вы должны её пинговать (точку) от себя и сразу винбоксом заходить по IP
2) Если ставить руками адрес (такое порой иногда надо и проще), надо не только прописать адрес,
надо руками задать шлюз на точке, и днсы. То есть то что делает DHCP - сделать руками.

И ещё, подключитесь к точке, проверьте какой адрес у Вас (должен из сети ВиФи),
и сделайте трассировку до 8.8.8.8 = покажите/расскажите какой результат.
Пока грубых и явных минусов не заметил, вторая сеть должна выходить в Интернет тоже.

[Vitamin]

Понял. Сейчас еду туда. На месте тесты сделаю.
Если точка была в 8м порту, то на устройствах я получал адресацию от 192.168, но в инет не выходило.
Перед отъездом просто переткнул точку в 4й порт, инет появился, и адресация сменилась на 10.10.
Сейчас переткну опять в 8, и ребутну всё. Как вариант, где то может быть какие то адреса залипли, пока на лету всё менял, тестировал уже перед отъездом вчера, вот и где то что то не пускало.
Доберусь туда, тесты проведу)
Спасибо за подсказки)