Jump to content
  • 0

Порт на отделна мрежа


meneldor

Въпрос

Искам да изкарам един от портовете на RB760iGS в изолирана мрежа и не съм сигурен по кой път да тръгна. 

В момента има един bridge и всички портове са slave, мисля че към ether2(както си идва борда по подразбиране). ether1 е WAN към интернет. 

Искам да изкарам eth2+eth3 в една мрежа(да си остане в бриджа), eth4 в отделна със собствен dhcp pool, а eth5 остава празен тъй като има PoE и може да потрябва в бъдеще. Всички мрежи трябва да имат достъп до WAN. 

1) Трябва ли да изкарам задължително eth4 от master-a? 

2) Трябва ли да правя bridge на eth4 след като ще е сам? 

3) Нужно ли е да правя VLAN-и за целта или е излишно усложнение? 

4) На eth2 в бриджа ще има NAS и в един момент втората мрежа трябва да може да вижда определени портове от него. Предполагам няма да е проблем? 

 

Благодаря! 

Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 1
  • Администратор

1во - щом си пренасочил портовете за Open VPN то тогава го спри този който е на борда , ако са два то смени порта/е/ на един от тях!

2ро -ползвай drop в raw секцията.

3то - ползвай различни портове за познатите сървиси.

Адрес на коментара
Сподели в други сайтове

  • 1
  • Администратор
Преди 3 часа, meneldor написа:

Под "2ро -ползвай drop в raw секцията." имаш в предвид да не ползвам reject ли? Не съм сигурен коя е raw секцията. 

Всичко що е дроп и рижект го премести с дроп в прерутинг веригата на raw секцията в стената

/ip firewall raw

Адрес на коментара
Сподели в други сайтове

  • 1
  • Администратор
преди 7 минути, meneldor написа:

/ip firewall raw add action=drop chain=prerouting comment="dropping port scanners" src-address-list=port_scanners add action=drop chain=prerouting comment=without-whitelist dst-port=53 protocol=udp src-address-list=!whitelist add action=drop chain=prerouting comment=without-whitelist dst-port=53,2000,2222,8291 protocol=tcp src-address-list=!whitelist

Защо просто не добавиш интерфейса за да си улесниш писането от де не трябва да идва трафик без подкана?
Даже с interface list всичко се описва за секунди.

Слагай си коментари на правилата, защото след някой месец ще има да се дивиш какво си творил.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Обнови до последната версия!
Tам няма да се бориш с Master Slave a а само с бриджа

4-ти порт ще е извън бриджа задаваш му адрес и дхцп настройки 
в зависимост от NAT правилото ще имаш нет и в двете мрежи, или ще трябва да направиш второ правило.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Версията ми е v6.43.2. Сега от eht3 и eth5 си взимам адрес по dhcp и всичко е ок(eth2 нянам връзка също), но на т4-ти няма никой. DHCP Server "1st floor" го дава Invalid.

Ето ми конфигурациите:

Interfaces

interfaces.png.ed9843546a594184e084e5aa2391dd60.png

 

Interface list

interface_list.png.21a2bab70fd0b9df8761d7f66a12423a.png

 

Addresses

addressess.png.cdb34e610c83b312a913a19ed3f2c8c6.png

DHCP Server

dhcp_server.png.6e0ab12451daa25c2597e8b05966a3b7.png

 

Pool

dhcp_pool.png.8f4795296a00827cb96d82ce9c8c6bce.png

 

Firewall:

Quote

#  /ip firewall filter print

Flags: X - disabled, I - invalid, D - dynamic
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough

 1    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked

 2    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid

 3    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp

 4    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN

 5    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec

 6    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec

 7    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related

 8    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked

 9    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid

10    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN

 

 

Редактирано от meneldor
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Използвай WINBOX. Това браузерно творение за нищо не става.

Порт 4 да не е добавен в някой от бридж макар и изключен.

/той и на снимката е изключен/

/ip firewall nat export

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

И аз си го помислих, че може да е останало в бридж, но не знаех къде да търся. Утре ще го погледна този нат. 

Мерси

Адрес на коментара
Сподели в други сайтове

  • 0
17 hours ago, 111111 said:

Използвай WINBOX. Това браузерно творение за нищо не става.

Порт 4 да не е добавен в някой от бридж макар и изключен.

/той и на снимката е изключен/


/ip firewall nat export

 

Това е резултата:

Quote

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

chain srcnat е празен обаче.

Сега ще подкарам Winbox да видя там дали нещо по-интересно ще покаже.

 

В интерфейс лист-а в Уинбокс някои портове са в italic шрифт. Това какво значи? Switch -> Switch All Ports ми е изключено, но мисля така трябва да бъде.

bridge.png

Редактирано от meneldor
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Италик значи спрян.

А там където си направил снимката, това са ти групите интерфейси и ако тие спряно както на снимката няма да текне нет

влез на Бридж>портове и там виж да не е объркано нещо.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Ами на бридж всички портове освен 3-ти ги дава disabled:

disabled_ports.thumb.png.e27481d9a0caefb9389d6edd66ae2a20.png

На снимката отворих 2-ри и му дадох Disable -> Enable, но продължава да седи така. Освен да ресетна рутера и да почна от начало ?

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

А кабели има ли закачени?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Няма, само един кабел имам, но както бях написал по-горе, като преместя кабела на другите портове нямам връзка с рутера даже и със статично ip. И с двете мрежи пробвах. 

Адрес на коментара
Сподели в други сайтове

  • 0

Още в Interface List се вижда, че имаш "R" -running на 1-ви и 3-ти порт т.е. имаш включени устройства само към тях. В Bridge виждаш същото - имаш символ "I" - inactive на портове 2, 5, sfp1, което пак показва, че нямаш включени устройства към въпросните портове. 

Адрес на коментара
Сподели в други сайтове

  • 0
13 minutes ago, naskonux said:

Още в Interface List се вижда, че имаш "R" -running на 1-ви и 3-ти порт т.е. имаш включени устройства само към тях. В Bridge виждаш същото - имаш символ "I" - inactive на портове 2, 5, sfp1, което пак показва, че нямаш включени устройства към въпросните портове. 

Да, на 1-ви ми е интернета, на 3-ти съм аз с Winbox. От тук натам където и да преместя (освен 3-ти и 5-ти) не работят. 2-ри е в същият бридж, но не става. 4-ти е изкаран от бриджа и му е сетната мрежа 192.168.50.0/24, но не мога да се вържа към тоя порт също.

Адрес на коментара
Сподели в други сайтове

  • 0

Втората мрежа се получи, но трябваше да добавя втори бридж, в който е само порт 4. Без бридж не става...

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.