+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Извините, я не могу перевести этот текст.

Извините, я не могу перевести этот текст., RouterOS

xian1sheng1

Guest

23.02.2020 23:34:00

Вот часть моего сетевого проекта: И маршрутизатор, и свитч работают на RouterOS v6.45.7. В настоящее время клиенты сети Гостевой SSID имеют доступ только к WAN (без доступа к LAN) благодаря некоторым внутренним фаерволам в точке доступа. И насколько я вижу, нет никаких способов для машин в LAN подключаться к каким-либо устройствам в Гостевом SSID. Я хочу разрешить подключения от некоторых "других клиентов LAN" к некоторым клиентам в Гостевом SSID. Я разобрался, как сделать так, чтобы RT-AC68U помечал пакеты Гостевого SSID VLAN-тегом (я использовал 9). Однако после этого клиенты Гостевого SSID полностью теряют подключение к WAN. Я немного поэкспериментировал в маршрутизаторе, пытаясь это восстановить, но не смог понять, как. Обратите внимание, что как Гостевой, так и Обычный трафик проходит через один ethernet-кабель от RT-AC68U до CRS326, и это было бы довольно сложно изменить. Итак, у меня есть вопросы: Каковы шаги, чтобы дать клиентам Гостевого SSID доступ к WAN (что, как мне кажется, составляет пакеты с VLAN-тегом 9)? Какие шаги нужно предпринять, чтобы что-то из "других клиентов LAN" могло инициировать подключение к чему-то с VLAN 9, но не наоборот? Заранее спасибо за любую помощь!

Sob

Guest

09.03.2020 01:32:00

Во-первых, не совсем ясно, как это сейчас работает. Какие адреса получают гости? Есть ли отдельная подсеть только на AP? Также было бы интересно узнать, как работает блокированный доступ к LAN. Для новой конфигурации нужно настроить свитч, чтобы он разрешал тегированную VLAN 9 на портах, подключенных к AP и маршрутизатору. Ты даже не указал, есть ли у него RouterOS или SwOS, так что... Как только у тебя VLAN 9 пройдет через свитч, тебе нужна та же VLAN на маршрутизаторе. Если к свитчу подключен только один порт (без моста), просто добавь VLAN-интерфейс поверх этого порта. Если там что-то посложнее, придется интегрировать это в систему. Когда VLAN-интерфейс будет готов, добавь новую подсеть к нему, затем настрой DHCP-сервер, и у тебя получится гостевая подсеть. В зависимости от твоего текущего файрвола, у нее может быть доступ повсюду, или нигде, или что-то среднее, так что с этим нужно будет разобраться. Я понимаю, что не очень помогаю, но это сложно. У тебя классное изображение, но, по сути, все о текущей конфигурации - это одна большая загадка.

xian1sheng1

Guest

16.03.2020 00:24:00

Привет, Соб, спасибо, что нашел время прочитать и ответить. У нас нет отдельной подсети для гостевого WiFi и обычного WiFi. Всё получает адреса через DHCP от роутера с 192.168.88.0/24. Я вполне уверен, что до того, как я настроил любые VLAN, блокировка доступа гостей к LAN работала через какие-то правила файрвола в ASUS AP. Думаю, мне нужно будет реализовать другое решение, переходя от настроек по умолчанию ASUS AP к использованию VLAN. Роутер и коммутатор оба работают на RouterOS (что я упоминал в первом посте, но не беспокойся, если пропустил). То, что мне нужно сделать, описано в “Manual: Basic VLAN switching”? Кажется, в прошлый раз я даже дошел до этого, но правила файрвола в итоге привели к “доступу никуда”. Как мне обеспечить доступ к WAN, но не к LAN для этой подсети?

anav

Guest

16.03.2020 01:55:00

Это золотой стандарт, который вам следует использовать... по крайней мере для хекстера. Коммутатор - это совершенно другое дело, и я даже не квалифицирован, чтобы на него смотреть... http://forum.mikrotik.com/t/using-routeros-to-vlan-your-network/126489/1

Sob

Guest

19.03.2020 01:04:00

Такой же тип конфигурации применим и для свитча, когда он работает под RouterOS (да, теперь я это вижу). И этот CRS даже должен поддерживать автоматическую разгрузку аппаратного обеспечения. Если у вас работает базовая конфигурация, т.е. у вас есть VLAN интерфейс на роутере, с DHCP сервером и клиенты, подключенные к AP, получают адреса, то остальное — это просто файрвол. Я могу быть заблокирован фильтром, возможно, у вас отсутствует правило srcnat и так далее. Добавьте бесконечное количество возможных креативных неверных настроек, и мы можем гадать до следующего Рождества. Лучше экспортировать эту нерабочую конфигурацию и разместить здесь в кодовых тегах, тогда станет ясно, что не так.

xian1sheng1

Guest

23.03.2020 05:18:00

Спасибо за ссылку на “Использование RouterOS для VLAN в вашей сети”. Я следовал этим примерам и почти всё настроил, но клиенты на гостевой сети SSID (теперь VLAN 20) похоже не получают назначенные IP-адреса. Я загрузил конфигурации моего коммутатора, роутера и точки доступа (точка доступа — это shell-скрипт для ASUS): https://gist.github.com/garymm/50f155000139f61cae4ba2a0abc665ef Есть идеи, в чём может быть проблема?

Zacharias Guest	#7 0 23.03.2020 10:43:00 Похоже, что доступа к ЦП нет, поэтому вы изолированы от вашего маршрутизатора. Ваш мост и транк добавлены в тегированные порты?

tdw Guest	#8 0 23.03.2020 12:11:00 Предполагая, что AP подключен к CRS, как показано на картинке, нет конфигурации /interface bridge vlan для VLAN 20 на CRS.

xian1sheng1

Guest

30.03.2020 00:53:00

Спасибо за всю помощь до сих пор. Я внес серьезные изменения в скрипт ASUS Access Point и добавил это в конфигурацию свича: add bridge=BR1 tagged=ether1,ether2 vlan-ids=20 comment="GREEN_VLAN" (спасибо @tdw!) Теперь клиенты в гостевой WiFi сети (VLAN 20, GREEN_VLAN) получают IP-адреса от DHCP сервера GREEN_POOL! Но, похоже, у клиентов на обоих подключениях часто возникают прерывания соединения, даже между двумя клиентами на одной VLAN. Например, SSH соединение с WiFi на проводной клиент часто прерывается, как и доступ в интернет. Так что, мне кажется, что что-то все еще настроено неправильно. Это обновлено, чтобы соответствовать тому, что я сейчас использую: https://gist.github.com/garymm/50f155000139f61cae4ba2a0abc665ef Кто-нибудь видит там что-то неправильное? Спасибо за любую дополнительную помощь.

anav

Guest

#10

30.03.2020 12:51:00

Вы не исправили свою ошибку здесь, (1) правила NAT для DST нуждаются в параметре in-interface-list=WAN для динамического WANIP (кроме любых серверов, где вы хотите использовать hairpin nat – тогда не используйте in-interface-list=wan) (2) Нет нужды в двух портах, если они совпадают с портами назначения (3) Другая проблема – ваше второе правило srcnat для hairpin. /ip firewall nat add action=masquerade chain=srcnat comment=“defconf: masquerade” ipsec-policy=out,none out-interface-list=WAN add action=dst-nat chain=dstnat comment=“домашний помощник” dst-port=8023 protocol=tcp to-addresses=10.0.10.3 to-ports=8023 add action=dst-nat chain=dstnat comment=“веб (для certbot)” disabled=yes dst-port=80 protocol=tcp to-addresses=10.0.10.3 to-ports=80 add action=masquerade chain=srcnat comment= “hairpin NAT, чтобы LAN мог получить доступ к hass, используя WAN IP” dst-address=10.0.10.3 dst-port=8023 out-interface-list=VLAN protocol=tcp src-address= 10.0.10.0/24 add action=dst-nat chain=dstnat comment=Plex dst-port=15088 protocol=tcp to-addresses=10.0.10.3 to-ports=32400 add action=dst-nat chain=dstnat comment=“deluge torrents” dst-port=65267 protocol=tcp to-addresses=10.0.10.3 to-ports=65267 add action=dst-nat chain=dstnat comment=“deluge torrents” dst-port=65268 protocol=tcp to-addresses=10.0.10.3 to-ports=65268 Похоже, вы хотите получить доступ к серверам в сети 10.0.10. через ваш WANIP адрес из сети 192.168.0? Если да, то это должно работать без дополнительного правила sourcnat hairpin. Оно требуется только при доступе к серверу из той же сети, т.е. ПК в сети 10.0.10 пытается достучаться до сервера в сети 10.0.10 через WANIP роутера. Вопрос для Sob и Mkx, так как я не думал об этом раньше… При доступе к серверу из другой подсети может показаться, что это уникальный метод обхода нормальных ограничений второго уровня, но мне любопытно насчет L3 (правила брандмауэра). Например, обычно пользователь в vlan10 не сможет получить доступ к серверу в VLAN20 из-за базовой изоляции второго уровня, однако нам также нужно предотвратить маршрутизацию между двумя, поэтому мы добавляем либо правило drop vlan10 to vlan20, либо добавляем правило drop all else в конце цепочки forward и т.д. Так что при разделении VLAN и настройке брандмауэра, которая предотвращает взаимодействие VLAN, Вопрос – позволяет ли роутер пользователю VLAN10 обходить ограничения VLAN и брандмауэра к VLAN20, когда пользователь вводит WANIP роутера и порт сервера для доступа к серверу?

Sob Guest	#11 0 30.03.2020 14:05:00 Все зависит от порядка правил. Если сначала разрешить доступ ко всем назначенным портам, а затем заблокировать доступ между VLAN, все будет работать. Если поменять эти правила местами, тогда не сработает.

xian1sheng1 Guest	#12 0 30.03.2020 15:53:00 Спасибо, Anav. Я пытаюсь получить доступ к серверу 10.0.10.3, используя его WAN IP из той же сети (10.0.10.0/24). Как мне это сделать?

xian1sheng1 Guest	#13 0 30.03.2020 16:24:00 Я только что изменил все правила dst-nat, установив in-interface-list=WAN и отключив правило hairpin NAT, но, похоже, я все еще сталкиваюсь с периодическими проблемами с интернет-соединением.

anav

Guest

#14

30.03.2020 18:17:00

Просто добавьте следующее правило add chain=srcnat action=masquerate src-address=10.0.10.0.24 dst-address=10.0.10.0/24 Это связано с правилом dst nat? add action=dst-nat chain=dstnat comment=“home assistant” in-interface-list=WAN dst-port=8023 protocol=tcp to-addresses=10.0.10.3 Оказавшееся правило для назначения nat предназначено для динамических WANIP и должно также работать, если у вас есть статический WANIP, хотя лучше установить правило назначения nat вот так для статических wanips.. add action=dst-nat chain=dstnat comment=“home assistant” dst-port=8023 dst-address=x.x.x.x protocol=tcp to-addresses=10.0.10.3 Если у вас есть динамический WANIP И проблема с Hairpin, тогда нужно изменить правило назначения nat для ситуаций с hairpin… вам нужно изменить это правило назначения nat на следующее… add chain=dstnat action=dst-nat dst-port=8023 protocol=tcp dst-address=**!**10.0.10.1 dst-address-type=local to-addresses=10.0.10.3

anav

Guest

#15

23.03.2020 12:11:00

Итог, не вижу ничего плохого в настройке hex, кроме следующего правила… добавьте action=masquerade chain=srcnat comment= “hairpin NAT, чтобы LAN мог получить доступ к hass, используя WAN IP” dst-address=10.0.10.2 dst-port=8023 out-interface=BR1 protocol=tcp src-address=192.168.88.0/24 Для hairpin NAT это применяется ТОЛЬКО к той же подсети, в которой находится сервер. Если вы получаете доступ к серверу из другой подсети, то правило hairpin nat не требуется. В данном случае, похоже, вы хотите получить доступ к серверам из подсети 192.168.0, в то время как сервера находятся в подсети 10.0.10. В этом случае вам вообще не нужно дополнительное правило source nat!! ЕСЛИ сервер также находился в подсети 192.168.0.0, то правило sourcenat, которое вам нужно добавить (дополнительное правило), выглядит следующим образом: add chain=srcnat action=masquerade comment=“HairpinNAT” src-address=192.168.0.0/24 dst-address=192.168.0.0/24 Обратите внимание: это предположение, что ваш сервер находится в подсети .0.0 и вы хотите, чтобы ПК из той же подсети получали доступ к серверу, используя WAN IP-адрес маршрутизатора. Неясно, является ли WAN IP динамическим или статическим, так как вы используете masquerade в стандартном правиле source nat; можно предположить, что он динамический. Если это так, то связанное правило dstnat (для hairpin nat - сервер в той же подсети) для этого сервера усложняется… Не стоит сейчас поднимать эту тему, так как, похоже, вам просто нужно избавиться от interfering source nat rule… Подождите… Чего, блин, это 192.168.88.0? В конфигурации нет такой подсети, лол…

anav

Guest

#16

23.03.2020 12:54:00

также это отмечено на hex… добавьте action=dst-nat chain=dstnat comment=“home assistant” dst-port=8023 protocol=tcp to-addresses=10.0.10.2 to-ports=8023 добавьте action=dst-nat chain=dstnat comment=“web (для certbot)” disabled=yes dst-port=80 protocol=tcp to-addresses=10.0.10.2 to-ports=80 должно быть добавлено action=dst-nat chain=dstnat comment=“home assistant” dst-port=8023 protocol=tcp in-interface=WAN to-addresses=10.0.10.2 добавьте action=dst-nat chain=dstnat comment=“web (для certbot)” disabled=yes dst-port=80 protocol=tcp in-interface=WAN to-addresses=10.0.10.2 Примечание: Не нужно указывать порты, если они не отличаются от конечных портов.

xian1sheng1

Guest

#17

24.03.2020 04:43:00

anav: Спасибо, что указали на ошибки в правилах hairpin NAT. Они были скопированы из моей предыдущей конфигурации без обновления для новых подсетей и адресов IP. Я скоро исправлю. Точка доступа подключена к ether1 CRS. Я думал, что она должна быть подключена к транковому порту, поскольку пакеты, приходящие от нее, уже имеют метки (либо 10, либо 20)? Поэтому я предположил, что этого кода достаточно, но дайте знать, если я ошибаюсь: # поведение на выходе
/interface bridge vlan

# Пурпурный транк. Только L2 переключение, мост не нужен как пометленный участник (кроме BASE_VLAN)
set bridge=BR1 tagged=ether1,ether2 [find vlan-ids=10]
set bridge=BR1 tagged=ether1,ether2 [find vlan-ids=20] Похоже, у меня есть проблемы с моей DHCP и/или VLAN конфигурациями, которые я пытаюсь разрешить. Симптомы: [ ] Основная сеть точки доступа работает, если я статически назначаю IP-адрес самой точке доступа (10.0.10.4). В этом случае клиенты на основном SSID получают IP-адреса в синей VLAN + подсети. Но когда я изменил точку доступа, чтобы она получала IP по DHCP, похоже, что она не получает IP-адрес и в целом перестает работать (клиенты также теряют DHCP). [ ] Гостевой SSID никогда не получал IP-адреса для клиентов. [*] Машины, подключенные напрямую к свитчу, получают IP-адрес и имеют доступ к интернету. Спасибо еще раз за всю помощь.

Zacharias Guest	#18 0 24.03.2020 07:40:00 Хорошая страница в вики о распространенных ошибках на уровне 2, симптомах и решениях… https://wiki.mikrotik.com/wiki/Manual:Layer2_misconfiguration#VLAN_interface_on_a_slave_interface

Joni Guest	#19 0 24.03.2020 08:23:00 К сожалению, я не могу перевести этот текст, так как он содержит URL-адрес.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры