Здравствуйте!
Пролог:
В наследство достался сервер, сейчас стоит, балкон обогревает.
Так же есть пару роутеров ASUS, но их возможностей не хватает для достижения желаемого результата.
Позавчера приобрел hAP ac lite (rb952ui-5ac2nd), по гайдам удалось настроить "для дома", одна подсеть, DHCP, фаерволл, и потыкал прилагающиеся настройки без дополнительных пакетов.
Завязка:
на текущий момент собираю полную сеть, с DMZ, административной и гостевой подсетями на чистой конфигурации.
Возникли следующие вопросы по настройке сервера dhcp на микротике:
I. Верны ли следующие утверждения ?
- для каждой подсети нужен свой собственный сервер DHCP.
- для каждой подсети в таблице Address List нужно указание микротика, как шлюза.
- шлюз должен быть в подсети, указанный в таблице DHCP server - Networks.
II. Как таблица Networks привязывается к DHCP серверу ?
На сколько понял, сервер раздает адреса из пула, и применяет правила для данного пула из таблицы Networks по данной подсети ?
И что случится, если для одного пула будет указано несколько записей в Networks?
III. При создании VPN сервера, для него будет отдельная подсеть - верно понимаю, что добавится интерфейс, и для него можно будет настроить шлюз в Address List ?
Эпилог:
нормальных гайдов нет нигде, все почти один в один как под копирку.
на данном нашел некоторые ответы на свои вопросы, но искать крайне трудно, по причине что каждый случай уникален и ключевые слова подобрать практически невозможно.
Как работает конфигурация подсетей в настройках DHCP сервера?
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Erik_U
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
- для каждой подсети нужен свой собственный сервер DHCP. - в самом простом случае да. DHCP севрер привязывается к интерфейсу микротика. На интерфейсе одна подсеть, именно из этой подсети DHCP и должен выдавать адреса.I. Верны ли следующие утверждения ?
- для каждой подсети в таблице Address List нужно указание микротика, как шлюза. - нет. В разделе IP/Address назначаются или отображаются назначенные автоматически адреса интерфейсов микротика и сети (подсети) в которых они находятся. По этой информации микротик знает о своих сетях на своих интерфейсах. Адреса шлюзов в этой таблице не указываются.
- шлюз должен быть в подсети, указанный в таблице DHCP server - Networks. - все шлюзы указываются в разделе IP/Routes. Шлюзы должны быть в подсетях, которые есть на интерфейсах микротика. В настройках DHCP сервера указывается шлюз, который будет настроен на клиенте, когда он поучит настройки IP от DHCP сервера. Шлюз должен быть в той же подсети, что и назначаемый адрес, иначе работать не будет. В качестве этого шлюза мржно использовать IP адрес микротика из той же подсети. Тогда клиент, получив настройку от DHCP сервера будет использовать ту маршрутизацию сетей, которую опишите в IP/Routes. Но можете указать в качестве шлюза адрес другого устройства, например одного из ваших ASUS, но тогда таблицу маршрутизации нужно вести на них.
На сколько понял, сервер раздает адреса из пула, и применяет правила для данного пула из таблицы Networks по данной подсети ? даII. Как таблица Networks привязывается к DHCP серверу ?
И что случится, если для одного пула будет указано несколько записей в Networks? - микротик не даст этого сделать, будет ошибка. Для одной подсети одна запись в Networks. Если вы попробуете создать пул, который будет шире, чем подсеть, то имейте в виду следующее. Кроме настроек микротика у вас есть и кабельная система. Которая задает физическую конфигурацию сети. Микротик ждет и получает DHCP запросы на определенном интерфейсе, которому назначена определенная IP подсеть. Другая IP подсеть, пусть даже с соседними адресами - на другом интерфейсе, и физические сегменты сети на разных интерфейсах не пересекаются. Если выдать клиенту, находящемуся в одном физическом сегменте адрес из другого сегмента, он просто не будет работать, потому, что в том сегменте, к которому он подключен нет необходимой инфраструктуры. Она вся в другом сегменте, который клиенту не доступен без грамотно назначенного IP адреса. Поэтому не делайте так. Даже если микротик не заметит вашу ошибку (он не всегда может ее заметить), не создавайте неработоспособных конфигураций. Планируйте сеть, прежде чем ее настраивать.
Я описываю самую простую ситуацию. Ее можно усложнять, на один интерфейс можно повесить несколько адресов из разных сетей, можно сделать его членом нескольких вилан, можно хоть черта лысого. Но сначала планируете сеть. Потом настраиваете. Простейшие принципы работают и в сложных случаях. Сложные случаи - они потому и сложные, что когда их конфигурируешь, нужно не забывать обеспечивать работоспособность простейших принципов.
Нет. В разделе IP/Address шлюзы не назначаются. VPN сервер и маршрутизация это очень большая тема. Она всегда начинается с вопроса "что необходимо?", и в каждом случае на это разные ответы.II. При создании VPN сервера, для него будет отдельная подсеть - верно понимаю, что добавится интерфейс, и для него можно будет настроить шлюз в Address List ?
И немного о путанице.
Как то так повелось, что разделы настроек микротика именуются не по надписи, которая в верху открывающегося окошка написана, а по пути до этой настройки в левом меню.
То, что вы называете "таблица Address List" доступно по пути IP/Address. Так это и называйте, бцдет понятно однозначно.
Потому, что Address List - это настройка файервола по пути ip/firewall/address list, и это совсем другое.
-
Erik_U
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
а в целом.
Есть у производителя такая документация по ROS
https://help.mikrotik.com/docs/
Если пониманию мешает отсутствие перевода, то онлайн-переводчик хрома, например, вполне сносно передает смысл.
Про DHCP.
DHCP запрос поступает от клиента, у которого нет еще IP адреса, и в качестве идентификатора для микротика есть только 2 параметра - мак-адрес клиента, и интерфейс, с которого этот запрос прилетел.
На основании этих 2-х критериев DHCP сервер адреса и выдает.
Поэтому, подсеть и DHCP сервер привязаны к интерфейсу, пул адресов и DHCP сервер к подсети, и конфигурация не должна содержать ошибок.
Если будут ошибки в конфигурации - будут ошибки и в работе.
Если есть удаленные сегменты сети, не подключенные к роутеру, на котором поднят DHCP сервер, то для этих сегментов либо настраивается DHCP на том роутере, к которому эти сегменты подключены, либо настраивается relay, но и в этой настройке соблюдается принцип однозначного соответствия интерфейс-подсеть-пул. Relay подписывается IP адресом удаленного маршрутизатора в том сегменте, для которого выдаются адреса, в на микротике с DHCP сервером для этого relay (с IP адресом удаленного роутера в сегменте, для которого выдаются адреса) создается отдельная подсеть, отдельный пул, отдельный DHCP сервер.
Есть у производителя такая документация по ROS
https://help.mikrotik.com/docs/
Если пониманию мешает отсутствие перевода, то онлайн-переводчик хрома, например, вполне сносно передает смысл.
Про DHCP.
DHCP запрос поступает от клиента, у которого нет еще IP адреса, и в качестве идентификатора для микротика есть только 2 параметра - мак-адрес клиента, и интерфейс, с которого этот запрос прилетел.
На основании этих 2-х критериев DHCP сервер адреса и выдает.
Поэтому, подсеть и DHCP сервер привязаны к интерфейсу, пул адресов и DHCP сервер к подсети, и конфигурация не должна содержать ошибок.
Если будут ошибки в конфигурации - будут ошибки и в работе.
Если есть удаленные сегменты сети, не подключенные к роутеру, на котором поднят DHCP сервер, то для этих сегментов либо настраивается DHCP на том роутере, к которому эти сегменты подключены, либо настраивается relay, но и в этой настройке соблюдается принцип однозначного соответствия интерфейс-подсеть-пул. Relay подписывается IP адресом удаленного маршрутизатора в том сегменте, для которого выдаются адреса, в на микротике с DHCP сервером для этого relay (с IP адресом удаленного роутера в сегменте, для которого выдаются адреса) создается отдельная подсеть, отдельный пул, отдельный DHCP сервер.
-
CastCat
- Сообщения: 2
- Зарегистрирован: 06 дек 2023, 14:15
Спасибо большое, все доступно объяснили!
Тему можно закрывать
Тему можно закрывать