Nastaveni mikrotiku jako router atd.

benes

Dobrý ben, omlouvám se za možná triviální dotaz, ale proste si nejsem jist a potřebuji to nastavit bez velkého laborováni a tak se chci zeptat zkušenějších.

V areálu máme nějakou sít jak klasický LAN tak bezdrát s dvěma AP.

PC v této síti mají

IP 192.168.20.x

255.255.255.0

192.168.20.65

DNS 192.168.0.65

DNS 192.168.20.65

Jak je vidět tak pojeni na internet zajištuje router s IP 192.168.20.65 respektive 192.168.0.65 (ma to obě IP)

ke kteremu je cela tato sit připojena jednim radiem.

Je to z historických důvodu , kdy tu byla ještě sit s IP 192.168.0.x.

Router patři provideru a nema k němu přístup.

Ja ted celou tu sit potřebuji přepojit k novemu poskytovateli připojeni.

Od něj mam "drát" na který si připopjim RB411 a přes bezdrat připojim s druhým klientem v te nasi siti.

Tím se dostávám k otázce.

Potřebuji ten mikrotik nastvit tak, abych nemusel obcházet jednotlivé PC a přenastavovat je.

tedy , pokud to chápu musi fungovat jako Gate 192.168.20.65 a jako DNS 192.168.0.65 a 192.168.20.65

Zarovem by se mi šiklo, pokud by se na tomto mikrotiku dolo nastavovat rychlostní omezeni pro vybrane PC.

Poradite?

Druha otazka jak propojit ty dva mikrotiky, je vyhodnejsi je spojit jako AP a clinet, WDS nebo jak?

noxus28

Dobrý deň

Samozrejme sa dá mikrotik nastaviť na požadované adresy, záleží či vo vašej sieti používate DHCP - dynamické prideľovanie IP adries klientským zariadeniam, ak áno - nie je potrebné obiehať všetky pc a môžete si zvoliť adresáciu po novom.

Na riadenie rýchlostí je možné použiť Queue, ako na celé rozsahy tak aj na jednotivé IP : ak to nie je možné, použiť AP-station, pokiaľ to má byť jedna a tá istá sieť použiť AP bridge - station bridge.

Pokiaľ si nie ste úplne istý s čím pracujete možno by nebolo za škodu poprosiť nového providera čo Vám ten mikrotik dal aby Vám s konfiguráciou pomohol rsp niekoho na to osloviť... určite to nebude stáť horu peňazí a budete mať istotu

benes

Také říkám, že drát je drát a lepší než drát je už jen optika, ale je to 800m přes několik silnic a x domů, asi bych i sehnal tank kterým by se ten kabel dal položit, ale asi by to par lidí namíchlo, tak zůstanu u radia :-)

IP adresy na koncových PC nebo WIFI klientech jsou nastaveny natvrdo, kdyby tam bylo DHCP nemusel bych řešit stejné adresy brány a DNS.

Toho mikrotika si chci nastavtit sam, abych to tak nějak pochopil a uměl, jen potzřebuji nakopnout.

V tomto okamžiku to vidim asi takto, rekneme, že mikrotik bude klient bridge.

Je to tak, že na WLAN nastavim 192.168.20.65 a 192.168.0.65 Na LAN to co dodal novy provider a mezi tim nastavim NAT a routovoani?

Trochu nevim jak je to s DNS, musi na mikrotiku bežet DNS server, který bude od vnitřní sítě mit 192.168.20.65 + 192.168.0.65 a bude navazan na DSN dodne providerem nebo jak to je?

Na Queue kouknu, v podstatě mi stačí všem to omezit na 5Mbit a u pár vybraných na dvojnásobek.

Ideálni by byl odkaz na podobný vzorový příklad

noxus28

no...

nejak sa trošku musím zorientovať.

ISP ti dodal konektivitu na prvý RB1, ten ti to posiela rádiom k tebe na RB2, na ňom chceš znovu vysielať rádiom sieť 192.168.20.0/24 a ethernetom ešte 192.168.0.0/24

Ano DNS ti môže na mikrotiku bežať ako služba pre lokálne siete a dotazovať sa na preklad nadradeného DNS providera prípadne ešte nejakých iných serverov ako záloha

Vzorový príklad takéhoto queue ma momentálne nenapadá ale keďže to má byť pár rýchlejších medzi pomalými tak to bude musieť byť asi trošku so značkovaním packetov

the_max

@Benes:

Posílal jsem ti soukromou zprávu, ten adresní rozsah a adresa brány mi je povědomá. Pokud jsem se trefil, viz SZ, tak se ozvi.

benes

Pokusím se to zpřehlednit a aktualizovat podle stavu v tomto okamžiku.

1. ISP dodá konektivinu a svůj modem. Modem má na straně internetu veřejnou IP,modem ji pak NATuje na nějakou private sít , kterou si mohu v modemu nastavit.

2. Do modemu ISP bude přes Eth1 připojen můj RB433AH a ten pak přes WLAN1 připojen na AP (bridge) ,který je v naši siti,kteru takto připojujeme na internet.

3. Naše sit, která na pevne nastaveno 192.168.20.0\24 GW 192.168.20.65 DNS je někde 192.168.20.65 a někde 192.168.0.65.

Napadli mě dmě možné (domníávám se) cesty

a) Na modemu ISP nastavit sít 192.168.20.0/24 s GW 192.168.20.65. Pokud bude spoj transparentni tak by to snad mohlo fungovat, ale.

1. Problém nevim jak by se řešilo DNS

2. Na modemu musí (neptejte se proč) běžet DHCP a my vyloženě nechceme, aby DHCP fungoval v naší síti.

3. Nejsem si jist,zda v této konfiguraci půjde omezovat pero jednotlivé IP v našíá síti šířka pásma

b) Na modemu ISP nastavim třeba 192.168.1.0\24 GW 192.168.1.1 a ostatní bude řešit RB433, který je přes Eth1 v modemu ISP a přes WLAN připojena na AP v naší siti.

Požadavky jsou:

- zajisitt, aby na PC v naši siti šel internet , připominam PC jsou nastaveny 192.168.20.x GW 192.168.20.65 DNS 192.168.0.65 nebo 192.168.20.65

- moci omezit rychlost pro vybraní IP v naší síti

Toš jak to nejlépe pořešit?

V RB-433AH je poslední verze Mikrotiku 6.42.1

noxus28

najideálnejšie by bolo ak by ti ISP vedel tú verejnú IP cez modem pustiť transparentne. (možno sa tu aj našiel the.max?)

ak to možné nie je tak proste budeš mat 2xNAT za sebou

čiže medzi modemom a RB sprviť nejakú pracovnú LAN trebárs 10.1.1.0/24

RB nastaviť na eth WAN rozhranie s adresou z 10.1.1.0/24. na WLAN strane spraviť AP zadať adresy 192.168.20.65, 192.168.0.65, spustiť na ňom DNS resolver dotazujúci sa ďalej na DNS ISP alebo niečoho verjného (1.1.1.1, 8.8.8.8 atd)

Spraviť NAT pre oba rozsahy ..20.0/24 aj ..0.0/24

a v queues spraviť riešenie rýchlostí pre IP v sieťach

Potom u teba musí byť WLAN klient v móde bridge aby si to všetko dostal do siete

Ešte ideálnejšie by bolo mať u seba RB a rádiovým spojom posielať iba tú transportnú sieť 10.1.1.0/24 takto by ti nemusela cez wifi 2x chodiť komunikácia medzi vnútornými sieťami a obslužný balast

edit: keď to teraz prechádzam tak na sieti 192.168.0.0/24 už nie je nič iné len tá stará adresa DNS? žiadne iné zariadenia?

benes

keď to teraz prechádzam tak na sieti 192.168.0.0/24 už nie je nič iné len tá stará adresa DNS? žiadne iné zariadenia?

Ano celá sit 192.168.0.0/24 už přesla na optiku a nemá s tímhle historickým cirkusem nic společného. To DNS 192.168.0.65 řeším čistě protože část "PC" v siti 192.168.20.0/24 bude mit jako DNS jen 192.168.0.65.

Možná na okraj, sice hovořím o PC, ale vesmes to jsou prumyslová PC u strojů , mají nastavený přístup na internet, kvuli servisu od vzrobce, i u nich lze parametry připojení přestavit , ale je to strašlivý administrativní opruz, kdy o změně která je čistě interní musím podle smlouvy informavat centrálu výrobce kdesi ve Švýcarsku, protože když to neudělám tak porušiji servisní podminky.

noxus28

V tom prípade vôbec danú sieť nemusíš riešiť, ani IP 192.168.0.65

stačí ti na RB pridať pravidlo

ip firewall nat add chain=dstnat dst-address=192.168.0.65 protocol=udp dst-port=53 action=redirect to-ports=53

ktoré hovorí že ak príde požiadavka na UDP spojenie smerujúce na IP 192.168.0.65 port 53 (čiže DNS požiadavka) presmeruj ju na seba. Čiže router odpovie ak na ňom bude bežať DNS aj bez toho aby mal nastavenú zbytočne túto "starú" sieť

prednosta

Přemyšlel jsem o problému a přenesl ho do své sitě.

jeden obrázek za tisic slov.

https://www.imgup.cz/images/2018/05/10/moje-sit.png

Jak je vidět mám vnitřní sít 192.168.0.0/24, která má přístup na internet přes GW 192.168.0.1 (NATu je se to tam za veřejnou IP x.x.x.x)

ted k ní přes Mikrotik potřebuji připojit sít 192.168.1.0/24 tak, aby tato sít měla přístup na internet

Chci to resit takto:

add name=WAN

add name=LAN

add interface=wlan1 list=WAN

add list=LAN

/ip address

add address=192.168.0.10/24 interface=ether1 network=192.168.0.0

add address=192.168.1.253/24 interface=wlan1 network=192.168.1.0

REM Tim jsme oadresoval eth1 a wlan1

/ip route

add distance=1 gateway=192.168.0.1

REM tím jsem mikrotiku řekl, vše co není pro sít 192.168.0.0/24 směřovat na gateway 192.168.0.1

/ip dns

set servers=8.8.8.8, 8.8.4.4

REM Tim jsme nastavil DNS server ke kterým bude připojen DNS v Mikrotiku

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether1 src-address=\

192.168.1.0/24

add action=redirect chain=dstnat dst-port=53 protocol=tcp to-ports=53

add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53

REM první pravidlo je NAT pro překlad, cokoliv z sitě 192.168.1.0/24 přeadresuj do 192.168.0.10

Druhe dvě pravidla řeší DNS tedy pokud cokoliv z sitě 192.168.1.0/24 půjde na porty 53 tesdy na DNS pošli to na interní DNS mikrotiku a ten to pak šoupne na 8.8.8.8

Mám to správně a zajistí mi to pro PC v siti 192.168.1.0/24 s GW 192.168.1.253 přstup na internet?

Pokud ne co mám blbdě?

Bude pravitlo pro DNS fungovat tak jak předpokládm, tedy at bude mit PC v siti 192.168.1.0/24 jakékoliv DNS stejně to skončí na DNS v mikrotiku?

***************************************************************

To bychom měli zelené , tedy přístup na internet

Pak tu mám ještě jedno (oranžové)

V siti 192.168.0.0/24 mám PC 192.168.0.2 a na jeho port 21 mám povolen přístup z internetu, to zajistuje tušim se to jmenuje port forwarding na 192.168.0.1, který NATUje sit 192.168.0.0/24

na veřenou IP.

Ja potřebuji zajistit, aby na tento PC tedy jeho port 21 měli přístup i PC z sítě 192.168.1.0/24.

Tady se tak trochu ztrácím.

Nevím zda když na pC v 192.168.1.0/24 zkusím přístup na 192.168.0.2 zda to NAT pozna a nasměruje to tam kam má?

Nebo když to nepozná tak zda zafunguje dotaz na vlastní verejnou x.x.x.x, tedy zda se na 192.168.0.1 pozna že odesilaný dotaz je na něj a podle pravidel to přepošle zpět na 192.168.0.2?

Pokud nic z toho nezafuguje jak to pořešit směrovánim na mikrotiku?

noxus28

úvod máš správne, internet ti fungovať bude, ak je to potrebné treba pridať ešte DHCP server pre automatické prideľovanie IP pre PC

DNS pravidla budú fungovať tiež ale zadal by som tam aj src-address pre istotu aby sa to týkalo len prekladu z LAN (v budúcnosti sa tým môže predísť problémom)

add action=redirect chain=dstnat src-address=192.168.1.0/24 dst-port=53 protocol=tcp to-ports=53

add action=redirect chain=dstnat src-address=192.168.1.0/24 dst-port=53 protocol=udp to-ports=53

komunikácia na FTP cez IP 192.168.0.2 bude fungovať, dotaz od PC príde na Mikrotik, preloží sa pomocou SRCNAT masquerade a dorazí na ftpserver, on odpovie opačným smerom ale v jeho LOGu budeš vidieť len dotazy z IP mikrotiku.

ak tam chceš mať prístup aj po zadaní verejnej adresy tak by som to vyriešil pravidlom

add chain=dstnat src-address=192.168.1.0/24 dst-address=x.x.x.x dst-port=21 protocol=tcp action=dst-nat to-addresses= 192.168.0.2 to-ports=21

balu

Od včerejska si hraji s Mikrotikem a jsu y toho volalaky zmetěný.

Při hledani jsem našel toto tema , tak snad mi tu poradite

Přiklad

mejme sit 0 192.168.0.0/24 , která má přístup na internet přes GW 192.168.0.1 a v ni PC 192.168.0.10 GW 192.168.0.1

mejme druhou sit 1 192.168.1.0/24 a v ni PC 192.168.1.10

Mam mikrotik , který eth1 připojim do LAN0 a přes eth2 do LAN1

cilem je umožnit LAN1 přístup na internet přes 192.168.0.1 a yarovem umožnit přístup k PC v sili LAN0

Předpokládám, že na PC v LAN1 musím nastavit GW, kterou bude IP adresa přidelena eth2 v mikrotiku, řekněme 192.168.1.2

1. Nastavim eth1 IP 192.168.0.2

2. Nastavim eth2 IP 192.168.1.2

3 Nastavim GW 192.168.0.1 tedy statickou routu 0.0.0.0/0 192.168.0.1

4. Nastavim NAT, tedy scrnat na eth1

pokud tohle udelam a na C 192.168.1.10 GW 192.168.1.2

dám

ping 192.168.1.2 mám odpověd

ping 192.168.0.2 mám odpověd

ping 192.168.0.10 již odpověd nedostanu

Co dělám, blbě ?

Jak by se to řešilo, pokud bzch chtěl mit i přístup z LAN0 do LAN1?

zbojnik

Ahoj,

predpokladam z tvojho popisu ze mas branu 192.168.0.1, je to nejake dalsie zariadenie,

tato brana spada do rozsahu LAN0, tak isto aj pc s ip 192.168.0.10, otazka je aku branu ma nastavene toto pc?

ak 192.168.0.1 tak je logicke ze zo siete LAN1 z pc 192.168.1.10 nepingnes LAN0 PC 192.168.0.10, pretoze by si musal mat na tom pc routu pre siet 192.168.1.0/24, ty tam mas len default 192.168.0.1 a to zariadenie pravdepodobne netusi ze si si niekde vytvoril LAN1...

podla mna by bolo asi lepsie pouzit pre LAN0 iny rozsah a na PC nastavit

noxus28

pokiaľ máš na oboch PC nastavenú ako GW mikrotik (192.168.0.2 a 192.168.1.2) tak SRC-NAT medzi sieťami riešiť nemusíš. Len aby chodil internet tak SRC-NAT masquerade smerom na GW do internetu.

Skontroloval by som si zadané IP na mikrotiku, niekedy ľudia zabudnú zadať IP aj s prefixom, v tvojom prípade 192.168.0.2/24 a 192.168.1.2/24 aby bolo jasné o akú sieť sa jedná.

Treba skontrolovať pravidlá vo firewall filter - ak tam sú nejaké z defaultu alebo niečo iné treba na prvé miesto povoliť komunikáciu z 192.168.0.0/24 na 192.168.1.0/24 a opačne. Ďalšia vec ak pingáš PC medzi sebou môže sa do toho pliesť firewall v pc, pre kontrolu by som pingol pc priamo z mikrotiku, ak neodpovie hľadal problém na PC.