Пользователь пока ничего не рассказал о себе

Достижения

Все достижения (1)

Наибольший вклад в теги

Все теги (13)

Лучшие ответы пользователя

Все ответы (15)
  • 2 WAN, 2 LAN разделение и переключение Mikrotik?

    @Obsession
    а не проще ли так:
    lan1 192.168.1.0/24
    lan2 192.168.88.0/24
    wan1 DHCP(не важно)
    wan2 DHCP(да не важно)
    для первой сети:
    ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.1.0/24

    для второй:
    ip firewall nat add action=masquerade chain=srcnat out-interface=ether5 src-address=192.168.88.0/24

    а без скриптов лучше не пытаться, со скриптами гораздо проще
    Ответ написан
  • Мониторинг сети и её топология, что выбрать?

    @Obsession Автор вопроса
    Решение нашлось, но весьма и весьма не тривиальное. Позвольте представить вам победителя в номинации "решение века" - NOC Project, так же его описание можно глянуть тута и здеся. Хотя исчерпывающей информации мало, дока сырая, а багтрекер толком не ответил ни на один мой вопрос, я нашел в этой штуке всё то что искал. Инструментов много, очень много, но надо настроить. В общем всем спасибо за советы.
    Ответ написан
  • Как завернуть запрос с внешнего интерфейса в тунель на внутренний Web сервер?

    @Obsession
    для начала надо будет прописать маршрут, что-бы первый микротик узнал о том что за L2TP интерфейсом есть какие-то адреса, ну и второе это правило в фаирволе - натом редиректить запрос на конечный хост.
    выйдет чот типа этого:
    ip route add dst-address=10.10.0.7 gateway=10.255.4.2
    ip firewall nat add chain=dstnat action=dst-nat protocol=tcp port=80 to-addresses=10.10.0.7 to-ports=80

    и да прибудет с вами счастье
    З.Ы.
    если специфично, то в правиле ната, укажите ещё интерфейс с которого всё приходит и адрес, обращения на который натировать.
    Ответ написан
  • Kак правинло делать фильтр Mikrotik BGP?

    @Obsession
    есть пир ISP1 и ISP2, значит следующие
    /routing bgp peer
    #создаём пиров согласно настройкам от провайдера
    #прописываем им чейны для фильтров
    set in-filter=ISP1-in numbers=#первый провайдер
    set out-filter=ISP1-out numbers=#первый провайдер
    set in-filter=ISP2-in numbers=#второй провайдер
    set out-filter=ISP2-out numbers=#второй провайдер
    #далее идем в фильтры
    /routing filter
    #и создаём фильтры отдельным чейнам
    add chain=ISP1-in prefix=#нужный префикс action=#что надо сделать

    фильтры создаются на каждого пира свой, не стоит объединять.
    допустим, имеем 3 провайдера и несколько условий по приватным сетям
    (10.0.0.0/8; 192.168.0.0/16; 172.16.0.0/12 - берем только эти)
    1 провайдеру мы не показываем приватные сети совсем
    2 провайдеру мы показываем только 192.168.0.0/16
    3 провайдеру мы показываем всё кроме 192.168.0.0/16
    значит фильтров 9
    isp1 - 10.0.0.0/8 disgard
    isp1 - 172.16.0.0/12 disgard
    isp1 - 192.168.0.0/16 disgard

    isp2 - 10.0.0.0/8 disgard
    isp2 - 172.16.0.0/12 disgard

    isp2 - 192.168.0.0/16 accept
    isp3 - 10.0.0.0/8 accept
    isp3 - 172.16.0.0/12 accept

    isp3 - 192.168.0.0/16 disgard
    можно усложнить правила, сделав их комбинироваными, но практика показала что лучше не стоит.
    З.Ы.
    правил со всеми богонами больше получится и лучше для каждого пира сделать свой набор, и документировать проще и управлять приятней - каждому своё правило.
    З.З.Ы
    исключительно по собственному опыту и собственное ИМХО, работает уже не в одной сети.
    Ответ написан
  • Как оптимально распределить функции между mikrotik'ами?

    @Obsession
    Очень понравился совет от Сёмка. самое правильное решение, причем зарезервировать их, для того чтоб в случае зависания/падения одного второй подлетал автоматом, конфиги можно скриптом сравнивать и периодически(раз в день, или неделю - зависит от того как часто меняются настройки) подтягивать. Аккаунтинг ВПНа я бы организовал по радиусу, с того же вынь-дос сервера, дабы не плодить строки конфига.
    Но! ежели у автора есть желание задействовать все железки и раскидать функционал, то я бы(ради по играться) сделал бы так:
    2011 - шлюз;DHCP;DNS
    951 - впн;CAP-server
    остальное на выбор. главное сильно не городить фаирвол на 2011, т.к. проц там так себе, собственно как и на 951-х
    Ответ написан

Лучшие вопросы пользователя

Все вопросы (3)