Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте!

Сразу скажу, что специалист я небольшой, поэтому прошу отнестись с пониманием: с утра 1016 настраиваешь, вечером на гармошке играешь, ибо некому...

CCR1016-12G 6.43.2

Bridge

Схема: Провайдер ether1 - Локалка 192.168.32.0/22 (свич) ether2

Все прекрасно работает.

Потребовалось подключить к интернету напрямую через ether7 1016 железку с адресацией 10.10.10.0/24

Прописал в портах Bridge ether7, адреса везде прописал, нефига не работает. Сижу туплю. Интернет на железку не идет.

Код: Выделить всё

# mar/04/2019 23:24:43 by RouterOS 6.43.2
# software id = NH44-CNJ9
#
# model = CCR1016-12G
# serial number = 
/interface bridge
add arp=reply-only fast-forward=no name=bridge1
/interface ethernet
set [ find default-name=ether1 ] loop-protect=off speed=100Mbps
set [ find default-name=ether2 ] loop-protect=off speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] speed=100Mbps
set [ find default-name=ether7 ] loop-protect=off speed=100Mbps
set [ find default-name=ether8 ] speed=100Mbps
set [ find default-name=ether9 ] speed=100Mbps
set [ find default-name=ether10 ] speed=100Mbps
set [ find default-name=ether11 ] speed=100Mbps
set [ find default-name=ether12 ] speed=100Mbps
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/queue simple
add max-limit=512k/512k name=speed512 target="192.168.32.8/32,192.168.32.19/32,1\
    92.168.32.10/32,192.168.32.62/32,192.168.32.67/32,192.168.32.128/32,192.168.\
    32.181/32,192.168.32.184/32,192.168.32.195/32,192.168.33.30/32,192.168.33.13\
    5/32,192.168.35.252/32,192.168.32.189/32,192.168.32.166/32"
add max-limit=2M/1M name=speed2048 target=\
    192.168.32.181/32,192.168.32.110/32,192.168.33.181/32,192.168.34.184/32
add max-limit=3M/5M name=3072 target=192.168.35.215/32
add max-limit=1M/2M name="\C7\EE\EB\EE\F2\EE\E2" target=192.168.35.203/32
add max-limit=1M/1M name=1024 target=192.168.32.120/32
add max-limit=0/40M name=queue1 target=192.168.32.7/32
/interface bridge port
add bridge=bridge1 hw=no interface=ether2
add bridge=bridge1 interface=ether7
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=175.331.88.89/29 comment=defconf interface=ether1 network=\
    175.331.88.88
add address=192.168.32.169/22 interface=ether2 network=192.168.32.0
add address=175.331.88.92/29 interface=ether1 network=175.331.88.88
add address=10.10.10.20/24 interface=ether7 network=10.10.10.0
/ip arp
add address=192.168.32.115 interface=bridge1 mac-address=90:2B:34:94:CE:2E
add address=192.168.32.7 comment=Usergate interface=bridge1 mac-address=\
    00:21:5E:3F:01:14
add address=192.168.32.6 comment="\D8\E5\F4" interface=bridge1 mac-address=\
    C4:6E:1F:07:3D:01
add address=192.168.32.8 comment=\
    "\C7\E0\E2\E0\F0\E8\F5\E8\ED\E0 \E0\E9\F4\EE\ED" interface=bridge1 \
    mac-address=98:00:C6:88:32:EF
add address=192.168.33.12 comment="\D0\EE\F3\F2\E5\F0 112" interface=bridge1 \
    mac-address=00:24:81:83:7A:E5
add address=192.168.32.19 comment="\CB\E8\F1\EE\E2\E0" interface=bridge1 \
    mac-address=30:F9:ED:C4:8E:A7
add address=192.168.32.62 comment="\CA\E8\F0\E8\EB\EE\E2" interface=bridge1 \
    mac-address=00:01:6C:B5:20:22
add address=192.168.32.64 comment="\D1\E8\EB\E0\ED\F2\FC\E5\E2" interface=\
    bridge1 mac-address=74:E6:E2:30:0B:AD
add address=192.168.32.67 comment="\D1\E8\EB\E0\ED\F2\FC\E5\E2 \E0\E9\F4\EE\ED" \
    interface=bridge1 mac-address=90:B9:31:3C:E2:0D
add address=192.168.32.106 comment=Web interface=bridge1 mac-address=\
    E4:1F:13:E2:AB:C0
add address=192.168.32.125 comment="\CC\E0\E3\E5\EB\EB\E0\ED" interface=bridge1 \
    mac-address=AC:1F:6B:1A:05:5C
add address=192.168.32.128 comment="\C7\E8\ED\F7\E5\ED\EA\EE" interface=bridge1 \
    mac-address=90:2B:34:89:C7:26
add address=192.168.32.131 comment="\C3\E0\F0\E0\ED\F2" interface=bridge1 \
    mac-address=34:40:B5:89:78:66
add address=192.168.32.167 comment="\C5\F4\E8\EC\EE\E2" interface=bridge1 \
    mac-address=E8:11:32:D6:90:26
add address=192.168.32.181 comment="\D0\EE\F3\F2\E5\F0 \EA\E0\E4\F0\FB" \
    interface=bridge1 mac-address=00:26:5A:B0:1D:97
add address=192.168.32.183 comment="\D0\EE\F3\F2\E5\F0 \D4\DD\CE" interface=\
    bridge1 mac-address=1C:7E:E5:8C:C1:A3
add address=192.168.32.184 comment="\D1\C1\C8\D1" interface=bridge1 \
    mac-address=FC:AA:14:D6:CF:30
add address=192.168.32.200 comment="\D4\E0\E9\EB\EE\EE\E1\EC\E5\ED\ED\E8\EA" \
    interface=bridge1 mac-address=00:08:9B:D6:A3:C6
add address=192.168.32.235 comment="\D1\E5\F0\E2\E5\F0 235" interface=bridge1 \
    mac-address=00:22:19:B3:79:DC
add address=192.168.33.30 comment="\CA\E8\F9\E5\ED\EA\EE\E2" interface=bridge1 \
    mac-address=4C:02:89:0F:7A:E6
add address=192.168.33.135 comment="\CA\E0\E4\E5\F2\FB" interface=bridge1 \
    mac-address=E0:3F:49:B0:5E:D8
add address=192.168.33.145 comment="\D1\C4\CE2" interface=bridge1 mac-address=\
    6C:92:BF:37:70:DE
add address=192.168.34.184 comment="\D4\CF\CA" interface=bridge1 mac-address=\
    E0:69:95:62:CF:35
add address=192.168.35.251 comment="\D1\E2\FF\E7\E8\F1\F2\FB" interface=bridge1 \
    mac-address=00:1C:F0:0C:E0:4B
add address=192.168.32.189 comment="\C3\E0\E2\F0\E8\EB\EE\E2" interface=bridge1 \
    mac-address=78:02:F8:FB:BE:FB
add address=192.168.33.181 comment="\CA\EE\EC\E5\ED\E4\E0\ED\F2\EE\E2" \
    interface=bridge1 mac-address=00:14:D1:14:8C:19
add address=192.168.32.4 comment=Im interface=bridge1 mac-address=\
    88:75:98:4F:AC:B3
add address=192.168.35.203 comment="\C7\EE\EB\EE\F2\EE\E2" interface=bridge1 \
    mac-address=64:70:02:06:58:CD
add address=192.168.35.215 comment="\C4\EC\E8\F2\F0\E8\E5\E2" interface=bridge1 \
    mac-address=00:25:AB:3C:40:FC
add address=192.168.34.172 comment="\CA\EB\E0\F1\F1 \D4\CF \E8 \CF\CA" \
    interface=bridge1 mac-address=E0:69:95:88:38:38
add address=192.168.32.166 comment="\F1\E5\F0\E2\E5\F0 \F6\F3\EA\F1" interface=\
    bridge1 mac-address=0C:C4:7A:18:54:E5
add address=192.168.32.54 comment="TPLINK \D3\CF\D7" interface=bridge1 \
    mac-address=B0:4E:26:5D:B2:2F
add address=192.168.32.110 comment="\D0\EE\EC\E0" interface=bridge1 \
    mac-address=00:E0:53:14:BA:74
add address=192.168.32.170 comment=Test interface=bridge1 mac-address=\
    E0:DB:55:D7:24:D6
add address=192.168.35.233 interface=bridge1 mac-address=E0:DB:55:D7:24:D6
add address=10.10.10.22 interface=bridge1 mac-address=AC:1F:6B:75:D2:D5
/ip dhcp-client
add dhcp-options=hostname,clientid interface=ether1
/ip dns
set allow-remote-requests=yes servers=37.255.238.35,37.255.238.35
/ip dns static
add address=192.168.32.106 name=teamviewer.com
add address=192.168.32.106 name=*.teamviewer.com
add address=192.168.32.106 name=www.teamviewer.com
add address=192.168.32.106 name=*.teamviewer.*
/ip firewall address-list
add address=77.111.247.0/24 comment=hidecomment list=blacklist
/ip firewall filter
add action=reject chain=forward comment=ok.ru content=ok.ru disabled=yes \
    protocol=tcp reject-with=tcp-reset src-address=192.168.32.7
add action=reject chain=forward comment=youtube.com content=youtube.com \
    disabled=yes protocol=tcp reject-with=tcp-reset src-address=192.168.32.7
add action=reject chain=forward comment=Vk.com content=vk.com disabled=yes \
    protocol=tcp reject-with=tcp-reset src-address=192.168.32.7
add action=drop chain=forward
/ip firewall nat
-
/ip firewall raw
add action=drop chain=prerouting comment=BlackList src-address=192.168.32.7 \
    src-address-list=blacklist
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
/ip route
add distance=1 gateway=175.331.88.94
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/lcd
set time-interval=hour
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=1016
/system routerboard settings
set silent-boot=no
[admin@1016] >

Varrax писал(а): ↑04 мар 2019, 16:32 Потребовалось подключить напрямую к 1016 железку с адресацией 10.10.10.0/24 через ether7
Прописал в портах Bridge ether7, адреса везде прописал, нефига не работает. Сижу туплю. Интернет на железку не идет.

Пока на скорую руку:
Вы взяли порт7 добавили в бридж, но при этом хотите чтобы Ваша сеть 192.168.32.0/24 и новая сеть
10.10.10.0/24 виделись? НО как они будут видеться, если Вы их на уровне физики замкнули?
То есть Вы не дали роутеру даже право поучастовать в этом

1-й вариант,
это порт 7 вытащите из бриджа, ему давайте адресацию, и уже микротик будет знать где (на каком)
порту у него одна сеть, на каком порту другая сеть, и уже он их по-умолчанию будет маршрутизировать.

2-й вариант,
оставляйте так, но тогда Вы будете вынуждены руками на каждой машине описывать где искать
другую сеть. Естественно не правильный подход.

Конфиг толком не смотрел, позже возможно ещё отпишусь....

1) у Вас на бридже включено по ARP ограничение, зачем?
(этот параметр - add arp=reply-only )

2) Золотое правило:
если порт является сущностью бриджа (входит в бридж),
адрес задаётся уже на бридже, так как порт уже не является самостоятельным.
Так что предлагаю красиво и правильно делать.

bridge1 - переименовать скажем в bridge1-LAN-N32
и именно bridge1-LAN-N32 задать адрес ему 192.168.32.169/22
и в bridge1-LAN-N32 входит у нас порт2 (ether2)
(проверить всё)

ПОТОМ делаем такое и для новой сети:

Создаём bridge2-LAN-N10
и именно bridge2-LAN-N10 задать адрес 10.10.10.20/24
и в bridge2-LAN-N10 входит у нас порт3 (ether3)
именно в порт3 будет подключаться Ваша новая сетка/железка из новой сети.
(если принципиально - можете в этот бридж запихать порт7)

Итак, у нас два бриджа, каждый со своей адресацией, на бриджах проще делать,
да и у CCR нету свитча, так что возможно в будущем логика на бриджах пригодиться.
Два бриджа, два сети, соответственно, компьютер (с отключённым файрволом и антивирусником)
из сети 192.168.32.ххх должен послать запрос на 10.10.10.ххх, запрос уйдёт на шлюз (для компа
из сети 192.168.32.ххх это 192.168.32.169, роутер знает где у него 10-я сетка, отдаст туда пакет,
пакет дойдёт до 10.10.10.125, и всё пойдёт в обратную сторону!
Главное чтобы оба компьютера не были прикрыты файрволами
ПРОШУ 2 раза проверить, постоянно из--за этого люди не понимают почему не работает.
Вот и всё что касается маршрутизации.

НАТ = просто, добавляете разрешение на НАТ или как-то иначе, правила НАТа Вы в конфиге не показали.
Возможно что сразу заработает...НО проверять надо.

И ещё, если у Вас провайдер даёт адрес статически, зачем в настройках DHCP-Client порт1 ждёт адреса?
Удалите эту настройку.

P.S.
Пока это минимум .....что надо сделать.
Ваши айпи в примерах писал гляда в конфиг, если ошибся, сами поправьте.

Спасибо за ответ!

ARP ограничение - в ARP таблице прописаны машины, имеющие прямой доступ в интернет.

Переименовал, прописал ip на бриджах. Порт оставил седьмой. Почти все работает.

Точнее, на железку интернет не идет. Настраиваю так же ноутбук. Вынимаю провод из железки (идет из порт7 в железку), вставляю в ноут - все блин работает.
На железке - 10.10.10.21 На ноуте 10.10.10.22

Код: Выделить всё

add address=10.10.10.22 interface=bridge-n10 mac-address=\
    E0:DB:55:D7:24:D6
add address=10.10.10.21 interface=bridge-n10 mac-address=\
    AC:1F:6B:75:D2:D5

С железки 10.10.10.20 (адрес на микротике) не пингуется, с ноута пингуется.

Что я не так сделал?)

Varrax писал(а): ↑05 мар 2019, 12:11 Спасибо за ответ!

Не за что, только не удаляйте свои же сообщения.
А то я отвечал в рамках Вашего последнего ответа, и Вы его удалили...
ай=ай

Varrax писал(а): ↑05 мар 2019, 12:11 ARP ограничение - в ARP таблице прописаны машины, имеющие прямой доступ в интернет.

Отключите пока эти ограничения. Хотя бы на тесты/временно/на 10 минут.

Думаю в этом (из-за ограничений в ARP) и проблема с железкой
(хотя я так и не понял опять о какой железке речь идёт)
в том, что роутер не знает об МАКе этой железки.

Опять же напомню, файрволы на железках тоже должны быть выключены.
Шлюз настроен(прописан) Обязательно!

Я пытаюсь подключить к сети UTM IDECO.

Я написал Вам сообщение, но почти сразу удалил его, решив сначала попробовать.

Как правильно выключить ARP? На бридже ARP - disabled?

Все прописано, с этими же настройками и проводом на ноуте все работает.

Доступ к фаерволу IDECO не имею, сначала нужно видимо активировать продукт... через Интернет;)
Написал в поддержку.

Varrax писал(а): ↑05 мар 2019, 12:30 Я пытаюсь подключить к сети UTM IDECO.
Я написал Вам сообщение, но почти сразу удалил его, решив сначала попробовать.
Как правильно выключить ARP? На бридже ARP - disabled?

1) Сделать как бы - enable
или
2) Создать (временно) бридж и посмотреть как сделано на новом бридже.
Ещё раз, совет = не трогать параметры которые досконально не понятны.
Это почти что золотое правило.

Varrax писал(а): ↑05 мар 2019, 12:30 Доступ к фаерволу IDECO не имею, сначала нужно видимо активировать продукт... через Интернет;)
Написал в поддержку.

Думаю это уже за рамки и темы и форума. Не работал с IDECO и всех тонкостей не знаю.
Но предполагаю, что у такой системы пинг по-умолчанию вообще выключен/запрещён.
Как и у многих других защитных систем, тот же VipNET - пинговать его
даже локальный адрес из-за защищённой сети = невозможно.

Vlad-2 писал(а): ↑05 мар 2019, 12:40 1) Сделать как бы - enable

Счас так и есть. Результат тот же.

Vlad-2 писал(а): ↑05 мар 2019, 12:40 Думаю это уже за рамки и темы и форума. Не работал с IDECO и всех тонкостей не знаю.

Безусловно. Огромное вам спасибо. Напишу если что то потребуется от 1016 и не смогу сам;)

Russian Users MikroTik | Форум пользователей MikroTik

Простая задача

Простая задача

Re: Простая задача

Re: Простая задача

Re: Простая задача

Re: Простая задача

Re: Простая задача

Re: Простая задача

Re: Простая задача