Доступ к микротику за микротиком.

Тема в разделе "Вопросы начинающих", создана пользователем olpro, 19 авг 2016.

  1. olpro

    olpro Новый участник

    Конфигурация сети: Провайдер-Микротик1(шлюз)-Микротик2(ядро сети)-Свитч-Локалка
    Оба микротика соединены посредством VLAN. Поднят на 1-м микротике VPN. Доступ к нему по Winbox возможен как по "белому" ip, так и через VPN. Ко второму не достучаться.
    1.Значит ли это, что для доступа ко второму микротику нужно переназначать порт 8291? (но как тогда изменить порт в самой программе winbox?)
    2.Или воспользоваться доступом через другие сервисы (ssh, web...)
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Если не достучаться по VPN проверьте что на втором микротике указан правильный Default Gateway
    1. Порт переназначать не нужно, достаточно NAT прописать. Но если очень хочется порт переназначается через /ip services
    2. Тоже не при чем.
    На всякий случай сообщаю что еще есть romon. http://wiki.mikrotik.com/wiki/Manual:RoMON
     
  3. olpro

    olpro Новый участник

    Спасибо за оперативность. К чему я все это... В связи с реструктуризацией компании в сторону сокращения штата, рабочих мест поубавилось значительно. Структура изначально была следующей:
    net1.jpg
    Данная схема (осталась от предыдущего админа) слишком стала избыточной. Поддерживать ее - это буду завсегдатаем на форуме )).Решил оптимизировать:
    net2.jpg
    Появились вопросы и мысли:
    Всех пользователей и сервера загнать в раздельные вланы . Транком пустить на микротик, где уже на одном сетевом интерфейсе поймать вланы. Настроить маршрутизацию между ними, выход в инет... Все в режиме свитча.Вроде ничего сложного в теории. Но, читая мануалы по вланам, запутался в каком режиме все это использовать. Где-то объединяют в мост, где-то в свитч. По старой схеме сейчас настроено все в режиме свитча. Микротик с 2-мя свитч-группами. Используется только первая группа. Не хотелось бы "огород городить". Как правильно поступить?
     
    Последнее редактирование: 20 авг 2016
  4. Илья Князев

    Илья Князев Администратор Команда форума

    У вас все равно роутинг между vlan утыкается в CPU. Поэтому возиться со свитчем смысла нет.
    1 интерфейс, на него 2 vlan и дальше на dlink их разбираете.
     
  5. olpro

    olpro Новый участник

    Т.е. предлагается вариант разруливания вланов и всей внутренней маршрутизации сети на dlink? Микротик оставить в качестве шлюза для доступа в интернет? Замечу, что подсети разные и есть некоторые требования по доступу к внутренним ресурсам в сети.
    А если использовать микротик в качестве еще и маршрутизатора локальной сети? Понимаю, что весь трафик локалки пойдет через него . Насколько его ресурсов хватит и не просядет производительность сети?
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Все зависит от того, какой объем трафика и с какими правилам файрволла вы планируете через него протащить.
     
  7. olpro

    olpro Новый участник

    Спасибо за участие. Буду тестировать.
     
  8. olpro

    olpro Новый участник

    C Romon получилось, но все же остается вопрос с пробросом портов за микротиком. Например, пытаюсь пробросить порт 443 с заменой на 8843 (доступ к owa Exchange)
    На микротике -1(тот, что шлюз)
    /ip firewall nat
    chain=dstnat action=dst-nat to-addresses=193.1.0.1 to-ports=8843 protocol=tcp in-interface=WAN dst-port=8843

    /ip firewall filter
    chain=forward action=accept protocol=tcp in-interface=ether1-gateway dst-port=8843

    На микротике -2
    /ip firewall nat
    chain=dstnat action=dst-nat to-addresses=193.0.0.25 to-ports=443 protocol=tcp in-interface=vlan.gw dst-port=8843

    /ip firewall filter
    chain=forward action=accept connection-nat-state=dstnat protocol=tcp in-interface=vlan.gw dst-port=8843
    Все правила ставлю выше запрещающих. WAN адрес белый. Порт 443 на сервере открыт.
     
  9. Илья Князев

    Илья Князев Администратор Команда форума

    а на втором микротике вам при этом зачем NAT?
     
  10. olpro

    olpro Новый участник

    Первый используется как шлюз для второго. Второй уже маршрутизирует всю локальную сеть. По идее, делал по аналогии со старыми правилами, что сейчас работают.
    В ожидании ответа, игрался с правилами firewall. В итоге что-то получилось, нужно осмыслить что сделал и как с этим жить.
    Прописал в firewall правиле dst. address сервера на котором открыт порт.
     
    Последнее редактирование: 24 авг 2016
  11. Илья Князев

    Илья Князев Администратор Команда форума

    При этом NAT не нужен. Нужно чтобы на втором были маршруты на сети за первым и наоборот.
     
  12. olpro

    olpro Новый участник

    Да, спасибо. Чем дальше разбираюсь с правилами, тем яснее становится.
     
  13. olpro

    olpro Новый участник

    После поднятия vpn по l2tp+ipsec, в логах стали появляться посторонние:
    03:52:42 ipsec,error 31.135.41.125 phase1 negotiation failed.
    03:52:42 firewall,info input: WAN out:(none), src-mac d4:ca:6d:0b:1
    f:55, proto UDP, 31.135.41.125:500->193.1.0.1:500, len 340
    03:52:42 firewall,info input: WAN out:(none), src-mac d4:ca:6d:0b:1
    f:55, proto UDP, 31.135.41.125:500->193.1.0.1:500, len 408
    03:52:45 ipsec,error 31.135.41.125 failed to get valid proposal.
    03:52:45 ipsec,error 31.135.41.125 failed to pre-process ph1 packet (side: 1, status 1).
    Алгоритм защиты не подскажете? Думаю, применить стандартные правила: от брутфорса и сканирования портов.
     
  14. Илья Князев

    Илья Князев Администратор Команда форума

    Именно.
     
  15. arten

    arten Новый участник

    Здравствуйте.
    Не буду плодить темы.

    Проблема с RomMON. А именно, не видны устройства.

    В наличии rb3011 1шт и wAP AC 2 шт. Находятся в одной подсети. Прошивка везде 6.38.3
    На всех просто включен RoMON без паролей
    /tool romon print
    enabled: yes
    id: 00:00:00:00:00:00
    secrets:
    current-id: мак-адрес

    Через Winbox подключаюсь к роутеру, из этой же сети, или из внешней. Подключился и вижу, что в логе подключение произошло, но в списке RoMON Neighbors пусто.

    Вроде всё просто, настройка минимальная, но не пойму, почему не работает?
     
  16. Илья Князев

    Илья Князев Администратор Команда форума

    Подключаетесь к роутеру, или используете кнопку Connect To RoMon ?
     
  17. arten

    arten Новый участник

    Connect To RoMon. Параллельно смотрю логи через обычное подключение.
     
  18. Илья Князев

    Илья Князев Администратор Команда форума

    Попробуйте на 6.37.5 Bugfix откатиться
     
  19. arten

    arten Новый участник

    Откатился. Не помогло. Так же и на последней 6.38.5.
     
  20. Илья Князев

    Илья Князев Администратор Команда форума

    /ip neighbor discovery interfaces?