Страница 1 из 1
rb951g-2hnd
Добавлено: 19 сен 2018, 10:13
SomewellS
Добрый день!!!
имеется RB951G-2HnD
eth1 - провайдер(PPPoE)
eth2-4 LAN(пользователи)
eth2-4 - bridge1
eth5 выведен из bridge1 и прикручен ip(192.168.1.1) - сеть для ip камер
Код: Выделить всё
add address=192.168.1.1/24 interface=ether5 network=192.168.1.0
NAT для пользователей
Код: Выделить всё
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-out1
подскажите плз как правильно нарисовать 2 nat для ip камер
Re: rb951g-2hnd
Добавлено: 19 сен 2018, 10:15
gmx
Так ваше правило уже настолько общее, что занатит всех желающих.
Re: rb951g-2hnd
Добавлено: 19 сен 2018, 10:23
SomewellS
подключаюсь на прямую в eth5 ноутбуком
локалка есть а инета нет
Re: rb951g-2hnd
Добавлено: 19 сен 2018, 10:44
gmx
Нужен конфиг...
Re: rb951g-2hnd
Добавлено: 19 сен 2018, 12:36
SomewellS
gmx писал(а): ↑19 сен 2018, 10:44
Нужен конфиг...
кинул в ЛС, хотя могу и сюда кинуть
Код: Выделить всё
export compact
# sep/19/2018 12:35:11 by RouterOS 6.43.1
# software id = WDR2-MG7I
#
# model = 951G-2HnD
# serial number = 642E07CCF0FD
/interface bridge
add admin-mac=64:D1:54:75:33:E5 auto-mac=no comment=defconf fast-forward=no \
name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
country=russia disabled=no distance=indoors frequency=auto mode=ap-bridge \
ssid=Giglan_3 wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] name=ether2-master speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
/interface pppoe-client
add add-default-route=yes default-route-distance=0 disabled=no interface=ether1 \
keepalive-timeout=60 name=pppoe-out1 password=7hhbi8 use-peer-dns=yes user=\
BILL0000178
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=avegiglan \
wpa2-pre-shared-key=avegiglan
/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des name=profile_1
/ip ipsec policy group
add name=group1
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn_pool ranges=192.168.99.1-192.168.99.20
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
bridge name=defconf
/ppp profile
add change-tcp-mss=yes local-address=vpn_pool name=l2tp remote-address=vpn_pool
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes ipsec-secret=\
secured use-ipsec=yes
/interface list member
add interface=ether2-master list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=wlan1 list=discover
add interface=bridge list=discover
add interface=pppoe-out1 list=discover
add interface=bridge list=mactel
add interface=bridge list=mac-winbox
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2-master network=\
192.168.88.0
add address=192.168.1.1/24 interface=ether5 network=192.168.1.0
add address=192.168.101.1/24 interface=ether2-master network=192.168.101.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.88.102 always-broadcast=yes client-id=1:54:27:1e:1f:8e:b1 \
mac-address=54:27:1E:1F:8E:B1 server=defconf
add address=192.168.88.65 client-id=1:b8:27:eb:b6:30:d mac-address=\
B8:27:EB:B6:30:0D server=defconf
add address=192.168.88.219 always-broadcast=yes client-id=1:3c:52:82:26:86:65 \
mac-address=3C:52:82:26:86:65 server=defconf
add address=192.168.88.110 client-id=1:b8:27:eb:e3:65:58 mac-address=\
B8:27:EB:E3:65:58 server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.101.1 name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface=pppoe-out1
add action=accept chain=input port=1701,500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=91.214.212.164 dst-port=37698 \
in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.81 to-ports=\
37777
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
pppoe-out1
add action=dst-nat chain=dstnat dst-address=91.214.212.166 dst-port=2222 \
in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.88.110 to-ports=\
22
/ip ipsec peer
add address=0.0.0.0/0 exchange-mode=main-l2tp passive=yes \
policy-template-group=group1 profile=profile_1 secret=secured
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
/tool traffic-monitor
add interface=ether1 name=11111 threshold=0
[admin@MikroTik] >
Re: rb951g-2hnd
Добавлено: 19 сен 2018, 20:31
gmx
1. Выключить все правила фаерволла. Именно все.
2. Когда вы подключаетесь ноутбуком к 5 порту вы данные сети прописываете вручную? Шлюз прописываете? Он пингуется? Это микротик? Ресурсы других подсетей пингуются?
Re: rb951g-2hnd
Добавлено: 19 сен 2018, 23:43
SergeyZ
Нууу....
для порта ether2 дважды назначен адрес.. Один дефолтный, второй - вручную добавленный..
DHCP-сервер только на bridge и только для дефолтной подсети...
Какой интернет вы хотите чтобы при этом был при подключенном ноутбуке без вручную вписанных в него настроек?
Удаляйте дефолтные адрес и DHCP-сервер на bridge, создавайте DHCP-сервер на портах ether2 и ether5.. А еще лучше, если вы DHCP-сервер создадите не на ether2, а на bridge и ip-адрес назначите не для ether2, а для bridge..
И будет вам интернет..
Re: rb951g-2hnd
Добавлено: 20 сен 2018, 10:43
SomewellS
Когда вы подключаетесь ноутбуком к 5 порту вы данные сети прописываете вручную? Шлюз прописываете? Он пингуется? Это микротик? Ресурсы других подсетей пингуются?
да прописываю все вручную(вчера забыл прописать шлюз на ноутбуке - мой косяк)
как только прописал шлюз все пошло
начал пинговатся и шлюз и интернет
остальные сетки тоже видит!!!
браузер начал ходит в инет после того как прописал dns гугла
по конфигу скажу следующее:
рисовал это дело не я, да менять настройки не всегда получается так как он в работе!!!
да и схема сети тут у меня странная!!!! была куча петель, по чуть-чуть оптимизирую....
P.S вообще не понимаю как оно все работало .....
вопрос такой еще, как должно выглядеть правило запрета на firewall
сеть на eth5 не видела ничего кроме инета
а из остальных сетуй был доступ к сети eth5
Re: rb951g-2hnd
Добавлено: 20 сен 2018, 11:13
gmx
SomewellS писал(а): ↑20 сен 2018, 10:43
да прописываю все вручную(вчера забыл прописать шлюз на ноутбуке - мой косяк)
как только прописал шлюз все пошло
начал пинговатся и шлюз и интернет
остальные сетки тоже видит!!!
Ну вообще-то очевидные вещи...
Как-то рано вам микротик.
По поводу запретов читайте здесь
viewtopic.php?f=15&t=6572