Ответы пользователя по тегу Mikrotik
  • Vlan, VOIP, grandstrem, mikrotik. Как же изолировать трафик?

    @d-stream
    Готовые решения - не подаю, но...
    на cisco знаю что реально и там все гениально и просто, а вот с микротиком че то все никак не могу разродиться...
    почти перефраз "прогуливайте в школе физику и для вас весь мир будет сказочным и волшебным")

    надо просто еще покурить и понять что же такое vlan и тогда все волшебство и колдунство посереет и станет обыденным примитивизмом...

    да, на микротике изолировать голосовой трафик, даже точнее всю телефонию от хомячков с вконтактиками и фотками просто, даже наверно с применением winbox окажется чуть побыстрее накликать чем строчить в cli циски… (по крайней мере для среднестатистического человека владеющего мышкой и печатающего не как профессиональная машинистка)
    Ответ написан
  • Как получить доступ из разных vlan к Active Directory?

    @d-stream
    Готовые решения - не подаю, но...
    DC/DNS должны знать что те другие сети - "свои".

    В том числе об этом должен быть извещен firewall

    p/s/ не совсем в тему, но: маршрутизация между vlan на маршрутизаторе - тяжеловатое дело и скорости будут не ахти... стоит смотреть на L3/L2+ коммутатор(ы) - которые умеют маршрутизировать пакеты со скоростью коммутации
    Ответ написан
  • Как настроить обнаружение принтера HP внутри хотспота Микротик?

    @d-stream
    Готовые решения - не подаю, но...
    https://support.hp.com/by-ru/document/c03375171 кусочки оттуда:

    "...HP использует Web Services Discovery, чтобы находить принтеры HP и устанавливать с ними связь. Другие части решения HP сообщаются с принтером по HTTPS (обычно порт 443 или 8443). В большинстве случаев брандмауэр разрешает такой трафик..."

    "При поиске списка принтеров WSD инициирует запрос с применением многоадресного вещания по UDP на IP-адрес 239.255.255.250 и порт 3702. После установки принтера перед какими-либо рабочими операциями (например, печати, сканирования или отправки факса) HP проверяет возможность связи. HP называет это действие "повторное определение". Для повторного определения WSD отправляет многоадресный UDP-пакет для разрешения IP-адреса принтера. При поиске принтера по IP-адресу WSD создает сокет TCP на порте 80. Это обычно делается при определенных обстоятельствах."

    А вот со специальными адресами типа - могут быть нюансики
    Ответ написан
    1 комментарий
  • Как практически организовать Wi-Fi мост?

    @d-stream
    Готовые решения - не подаю, но...
    Ну видимо придется сделать несколько итераций:
    - направить одну антенну на вторую точку "на глаз"
    - выставлять вторую антенну уже по измерению уровня сигнала
    - вернуться к первой антенне и уточнять ее положение уже по измерениям
    Ответ написан
    Комментировать
  • Как получить статистику падений интернета на Mikrotik?

    @d-stream
    Готовые решения - не подаю, но...
    Если хочется "прямо сейчас"+оповещения что связь пропала - то надо снаружи проверять доступность.
    А изнутри - либо узнавать во внешнем мире уже после того как восстановится связь либо использовать альтернативные каналы оповещения.
    Ответ написан
  • Как правильно блочить пользователей гостевой вафли на микротике?

    @d-stream
    Готовые решения - не подаю, но...
    "captive portal mikrotik" - первый десяток результатов в поисковике - практически готовые решения

    кстати по mac - можно нарваться с частью телефонов, которые рандомно меняют mac..
    Ответ написан
    Комментировать
  • Как получить доступ к хосту за VPN-клиентом?

    @d-stream
    Готовые решения - не подаю, но...
    https://wiki.mikrotik.com/wiki/Routing_through_rem...

    собственно главное помнить: система должна знать маршруты не только "как пакету туда добраться", но и "как ему вернуться обратно"...

    p/s/ больше двух сетей - стоит смотреть в сторону ospf
    Ответ написан
    Комментировать
  • Один белый IP адрес от провайдера редирект на mikrotik'е на 2 сервера?

    @d-stream
    Готовые решения - не подаю, но...
    1. доменное имя регистрируется не на адрес
    2. virtual host - это умеют большинство web серверов и не надо даже городить несколько компьютеров за nat - достаточно одного, который будет обслуживать хоть 100500 разных сайтов.
    Притом большинство web-серверов с давних времен заточены под это с хорошим разделением уровней полномочий.
    Ответ написан
    Комментировать
  • Как прокинуть порт?

    @d-stream
    Готовые решения - не подаю, но...
    Угадаю: проверка открытости порта идет из этой же сети)

    Тогда надо еще wiki.mikrotik.com/wiki/Hairpin_NAT
    Ответ написан
    1 комментарий
  • Какой маршрутизатор может маршрутизировать гигабит между подсетями?

    @d-stream
    Готовые решения - не подаю, но...
    Вообще для "быстро между подсетями" с некоторыми ограничениями в степени интеллекта - "маршрутизирующие коммутаторы" aka "L3/L2+ коммутаторы" - они умеют маршрутизировать со скоростью коммутации. Но как плата за это - простенькие правила и acl. Это будет самым быстрым вариантом например для файлового копирования между двумя компьютерами в разных подсетях и в общем-то идентичным копированию в рамках одной подсети.
    Ответ написан
    Комментировать
  • Правильно ли реализована изоляция подсетей?

    @d-stream
    Готовые решения - не подаю, но...
    Сеть управления != Сеть VIP (админов, которые видят все)

    А так - похоже на феншуй.

    Ну и пара моментов:
    1. видеть из vip сети другие сети - это не только пакет от vip к юзерским, но и обратно... со всеми вытекающими...
    2. при заметном трафике между сетями - маршрутизация на микротике будет тяжеловатой и более красивым вариантом будет применение L3(L2+) коммутаторов которые маршрутизируют пакеты между сетями со скоростью коммутации
    Ответ написан
  • Mikrotik DHCP server?

    @d-stream
    Готовые решения - не подаю, но...
    В энтерпрайзе IEEE 802.1X позволяет решить все проблемы. Дома\soho - не уверен что будет посильным по технико-финансовым соображениям.

    Тем более что стоит начинать с малого - организационных мер. Например, как уже отметили, с реализации организационной части в плане "не может юзер/клиент шалить с проводами и настройками оборудования".

    Ну и еще можно поиграться с каждый порт - отдельный vlan или столь любимому раньше (да и сейчас) провайдерами PPTP (выкатив серый пул 10.0.0.0/8) -)
    Ответ написан
    Комментировать
  • Как поднять несколько l2tp/ipsec туннелей через разные каналы связи?

    @d-stream
    Готовые решения - не подаю, но...
    Дык в чем именно проблема?
    l2tp/IPsec в общем-то умеют через NAT ходить, а каким путем они пойдут - это PBR укажет. Главное не забыть про тропинку назад.
    Ответ написан
  • Как пользователям WiFi через Mikrotik wAP (RBwAP2nD) давать адрес из под сети вышестоящего роутера?

    @d-stream
    Готовые решения - не подаю, но...
    Принципиального смысла все складывать в одну сеть - нет. От этого только вред. Более правильный вариант - разрешить доступы. Притом только те, что нужны и тогда злоумышленник не наворотит дел.

    Если на безопасность совсем наплевать можно из WAP сделать Access Point
    Ответ написан
    Комментировать
  • Разделить подсеть в серверной(VLAN? HNV Gateway)?

    @d-stream
    Готовые решения - не подаю, но...
    Еще добавлю свои 5 копеек:
    1. схема сети
    2. сегментирование сети тем или иным образом
    3. и ни в коем случае не вешать маршрутизацию между сетями на микротик!

    Последнее поясню: к примеру так получилось, что качается файл между маршрутизируемыми сетями, ну или на печать летит большой растр... маршрутизатору это надо будет переварить-маршрутизировать -> либо он будет загружен под завязку и говорить "эй, не так быстро" либо там надо будет ставить нечто быстрое и ценой с крыло от Боинга...
    Гораздо эффективнее использовать так называемые L2+ коммутаторы, которые умеют простенько маршрутизировать пакеты со скоростью коммутации. Естественно там не наворотить сложных правил, но что-нибудь простое - вполне.
    Ну а оставшиеся несколько процентов хитромудрого трафика - уже можно подумать на предмет маршрутизации микротиком.

    p/s/ Ну и так, по жизни, если вытащить принтеры в отдельный сегмент, полностью изолировав от юзерской сети - загрузка и расколбас существенно снижаются (любят многие срать мультикастом). Соответственно юзеры видят притсервер(ы), а принтсервер(ы) - видят принтеры. Ну и телефоны - само-собой, тем более большинство их изначально ориентированы на подобное.
    Ответ написан
  • Как настроить соединение между зданиями по wi-fi?

    @d-stream
    Готовые решения - не подаю, но...
    В зависимости от производителя - это может по-разному называться, но чаще это bridge mode - типа "режим моста".

    В итоге получается почти-почти как будто кинули прямой провод.
    Ответ написан
    Комментировать