Хочу поспрашивать гуру как правильно и лучше и умнее будет сделать в каждом из указаных вопросов. Понимаю что вопросы простые как дверь, но не хотелось бы делать все на условностях "лишь бы работало" и разных "костылях".
Итак. Есть Микротик 4011, конфиг дефолтный. В Ether2 к микротику подключен D-Link DGS-1100-24.
Первый вопрос.
Есть две подсети, первая 10.10.10.0/24(рабочии станции), с настроеным DHCP, вторая 10.10.20.0/24(видеонаблюдение,сервер RDP/SMB) также свой DHCP.
Как их правильно объединить силами возможностей Mikrotik чтобы Windows пк и сервер видели друг друга по SMB и пинговались? (Я понимаю что можно на каждой станции подправить правила фаервола чтобы он пропускал пинги не со своей сети и все сразу работает, но хотело бы избежать правок фаервола сервера и рабочих станций).
Варианты разместить все в одной подсети не предлагать.
Гугление привело меня к нескольким вариантам решения данного вопроса, но не очень уверен что это действительно правильно.
1)На бридж вешаю первую подсеть, а вторую создаю влан и вешаю на этот влан вторую подсеть.А на свиче делаю Access порты серваку и камерам свои а рабочим пк другие?
2)Все тоже самое но здесь обе подсети вешаю на разные вланы, вместо бриджа. И в Routes прописываю маршрут из влана 1 во влан 2 и наоборот? Этого будет достаточно?
3)Ваш вариант в комментариях???
Тоже самое интересует как быть если этот же микротик выступает в роли IKEv2 сервера, и при подключении из вне компьютеры также не видны и не пингуются? Здесь на хабре нашел решение что достаточно прописать в NAT правило маскарадинга для подсети которая служит пулом для VPN клиентов. И оно действительно помогло но некоторые люди пишут что это костыль. Возникает вопрос а как лучше сделать в таком случае?
Также столкнулся с такой же проблемой как здесь описано другим человеком на другом сайте.
spoilerНесколько портов RB3011 собраны в local-bridge
Для этого local-bridge включен Fast Forward, ARP - enabled.
Навешиваем на local-bridge 192.168.54.1/24
Теперь DHCP, пара десятков клиентов, маскарадинг - все как обычно.
Теперь, навешиваем на local-bridge 192.168.66.1/24
и подключаем в нашу локальную сеть видеорегистратор с вручную заданным адресом 192.168.66.101
Никаких проблем вроде нет, все пинги между подсетями без задержек, соединения между подсетями не NATятся, маршруты на месте (да и какие тут маршруты -то - просто Микротик говорит что и одно и другое reachable через local-bridge и distance = 0)
Но вот, блин, незадача - первоначальное открытие интерфейса видеорегистратора занимает 30 сек. Да и не все работает. Из браузера открывается, а из специального софта - нет, к примеру.
Ок, переводим любой компьютер в нашей сети в сегмент 192.168.66.0/24 - и сразу все нормализуется. Или - наоборот - переводим регистратор в сегмент 192.168.54.0/24 - и тоже все хорошо.
Вроде как логично, что проблемы создает сам видеорегистратор?
Но нет, если подключиться к нашему RB3011 из некоторой удаленной сети - то регистратор адекватно работает при размещении в любом сегменте.
Второй вопрос.
Столкнулся с проблемой что некоторые сайты не открываются или открываются очень долго. Гугление привело меня к тому что нужно добавить такое правило которое меняет MTU/MSS.
spoiler/ip firewall mangle
add chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp
Это решение помогает, сайты которые не открывались, теперь открываются, но в тоже время некоторые другие сайты начали прогружаться дольше, нежели без этого правила. Есть ли более лучшее решение данного вопроса?
Видел еще решение с Clear DF bit + правило выше.
Простой
