Vladimir Zhurkin

Выбирайте нужные вам порты, выводите их из bridge.
Создавайте vlan на switch чипе.
У вас будет два vlan те по сути два широковещательных домена.
Естественно уже роутинг между сетями будет идти на уровне CPU.

Или поднимать wins сервер или весь l2 трафик заворачивать в vpn туннель.

Вам надо убрать порт из списка master-port.
По умолчанию кроме первого порта, все остальные порты (3,4,5) являются дочерними к eth2.
eth2 у вас master-port.



Поэтому вам надо убрать порт из списка master-port и делать на нем свою сеть.
Самое простое в вашем случаи, убрать из списка eth5.
Если вы начнете убирать eth2, то вам надо будет вначале убрать из списка eth 3,4,5.
Потом убрать master-port с eth2, затем назначить eth 3 новым master-port для 4,5.

Почему так сложно ? Ну вот так сделали mikrotik в свое время. Все , что работает на уровне master-port работает на уровне switch. Сейчас в новых прошивка они планируют поломать эту логику и сделать все логично через bridge. master-bridge все будет делать через switch, все остальные bridge будут выполнять через CPU.

Теперь вам надо будет сделать новый bridge, повесить на него свободный порт и настраивать DHCP/IP итд итп.

P.S. Как всегда бегло я читаю.

>Мастер-порт ни на одном интерфейсе не прописан, а в разделе Bridge все порты с 1 по 5 находятся в одном.

Видно у вас новая прошивка , да еще и бета. Если нет, то рекомендую сбросить настройки. Так как в этом случаи у вас все будет работать через CPU.

А так из bridge исключайте порт, делайте еще один новый bridge И добавляйте новый порт.

Для проброса портов дальше в сеть используется таблица в NAT.
Действия для этого лучше использовать netmap, хотя не кто не запрещает использовать dst-nat.

самый просто пример проброса RDP

add action=netmap chain=dstnat dst-port=3389 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.10 to-ports=3389

Все что попадет в input ether 1 на 3389 порт, будет выкинуто на 3389 порт машины 192.168.88.10

Да уж огород.

hap ac мы та и оставляет в качестве роутера.
wap можно вообще сбросить все настройки и не делать по умолчанию.
В итоге потом самому руками прописать получение ip по eth и создать bridge-local для
eth+wlan1+wlan2 если он там есть.

Тогда wap и все клиенты wifi будут получать ip по dhcp с роутера hap ac.
Потом на hap ac можно настроить capsman , что бы был бесшовный роуминг wifi. Почему бы и нет ?
Про capsman я писал тут - Как настроить CAPsMAN на устройстве Mikrotik RB2011UiAS-RM и двух Mikrotik RB cAP2n?
Только в вашем варианте, надо добавить еще и сам hap ac в capsman.

Теперь по поводу synology.
Самое простое наверно будет прописать маршруты двух сетей на роуторе провайдера и на роуторе hap ac.
Хотя конечно было бы лучшим вариантом прокинуть кабель от synology до hap ac.

Гигабитный POE свитч Mikrotik RB260GSP, в который, в свою очередь, подключены:

Вот тут я немного не понял. У вас все воткнуто в 260 ? те и роутер от провайдера ?
или только роутер от провайдера и уже потом в hap ac, а hap ac на ТД ?

Тогда я бы поменял местами hap ac и 260.

На текущий момент у вас в сети получается аж три nat :) Красота !

P.S. Если что , могу помочь удаленно все сделать. Делать на 15 минут не особо спешно :)

Для понимания.
Вам тут не совсем нужен vlan.
Вам достаточно исключить порт на Mikrotik который подключен к коммутатору из списка master-port.
Этот порт перестанет находится в bridge со всеми остальными портами.
Дальше все зависит от того, что вы хотите сделать.
Можете на этот порт настроить dhcp сервер, дать ему ip и у вас будет отдельная сеть.

P.S. Еще обратите внимание , что у вас на 2011 два switch порт и два master-port к каждому switch.

Имеем разнородные l2tp клиенты (винь, микрот) которые цепляются к серверу на микроте с реальником. Винь коннектится вторым ... потом через минуту отваливается микрот-клиент. Винь продолжает удерживает соединение. Когда серваком выступал керио ... такой мути не наблюдалось. В чем может быть причина?

А причина в реализации l2tp/ipsec у Mikrotik.
они это поправили относительно недавно в новых прошивках. В 6.40 точно все работает. До этого народ страдал, если несколько машин за одним NAT. Связанно если более детально с IKE1. Как вариант перейти на IKE2.

Вот тут обсуждали - https://habrahabr.ru/post/327152/#comment_10186576
forum.mikrotik.com/viewtopic.php?t=82980

Да в общем сложно ничего нет.

На 2011

Capsman>manager>enable

В Security cfg создаете новую конфигурацию.
WPA2PSK,aes ccm, Passphrase

В Datapaths
bridge-local,local Forwarding, Client to Client Forwarding

В Channels
Вот тут можно вообще забить весь список каналов и сделать, что каждая точка доступа выберет оптимальный канал.
Для 2.4 я обычно оставляю Width 20Mhz, Band g/n, Extension Channel отключаю.
Если в сети эфир свободный, можно и включить.

В Configuration собственно теперь создаем нужную нам конфигурацию.
mode - ap, указать SSID, рекомендую Protection mode rts cts, HT Tx/RX Chains
Там уже указываем нужный channel,datapath,Security.

Теперь остался Provisioning.
Часто везде пишут мол 00:00:00 итд и все будет ok.
В итоге все точки весят на одном канале. С одной стороны не страшно, с другой стороны зачем ? Поэтому я беру нужный RadioMac точки доступа и делаю для нее свою конфигурацию. Ну и указать там еще HW Supported Mode gn и g.
На этом ваш 2011 настроен.
Теперь ползем в строну ТД и там уже в Wireless выбираем CAP , включаем его. указываем для него Interface и Capsman Adresses (ваш 2011). Указываем Bridge.
Можно использовать и Discovery Interface. Тогда все ТД будут идентифицироваться по L2.

Буду вопросы , задавайте.

Есть сервер pptp на микротике

Рекомендую перейти на l2tp, так как банально pptp имеет дырки, что мы в общем и видим. Вас ddos-ят.
Второй момент настройки правила, которые будут отбрасывать такие соединение.
Вам вам на примере rdp

https://spw.ru/forum/threads/perebor-portov.548/

Защита от сканирования
https://wiki.mikrotik.com/wiki/Drop_port_scanners

Что это за D? откуда они берутся? Раньше не было.

Это означает, что есть попытка соединение. Это правило создается динамически, те не руками.
Так как там можно и руками создать.

НО если клиент подключается с настроенным вручную IP, dns И (!) gateway нацелен на адрес микротика (.7.99), то микротик должен стать полноценным гейтвеем для него.

Вы же понимаете, что у вас в одном шировищательном домене получается две сети ? Так делать мягко говоря не надо. Просьба нарисуйте схему и более подробно, что вы хотите в итоге.
Скорее всего все делается намного проще и без всяких маркировок.
Например через vlan или подключением в другой порт. Как вариант можно создать две wifi сети , которые будут разруливать в разные сети.

>

MikroTik-CRS125-24G-1S-RM

Не надо использовать Switch как роутер. Тем более слабый, тем более с bonding.
Все ресурсы у него будут уходить на CPU. Это Switch !!!
Посмотрите на его блог диаграмму. Вы уже не первый кого я встречаю, кто из 125 делает роутер.



Вот буквально в этом месяце в мерседес центре видел. При этом у них есть в наличие 2011.

Если у вас HP подключается в тупые switch то не как.
Вам можно вообще без vlan обойтись, убрав просто порт из master и создав отдельную сеть.
Правда это приведет к тому, что все запросы будут обрабатывать CPU.
Поэтому vlan лучше делать через switch чип.
Для понимания обработки через cpu и через vlan , хорошая заметка про трюк
https://habrahabr.ru/post/313702/

https://habrahabr.ru/post/313248/

В остальном хватает статей с wiki mikrotik

Пример как не надо делать:
it-mehanika.ru/index.php/2009-12-06-20-02-41/50-mi...

Если я правильно понял, то в dnsmasq укажите разрешение имен для вашего домена.
Те укажите dnsmasq что за доменом domain1.ru надо ползти к ДНС mikrotik.

server=/yourdomain.ru/ip_your_mikrotik

Опять же, если я вас правильно понял.

Мысль на размышление, кто пускает второе подключение, Mikrotik или NPS. Можно ли как то ограничить одного пользователя одним коннектом, как если бы пользователь был не в AD а в самом Mikrotik?

Второе подключение делает сам Mikrotik. Я посмотрел по настройкам, только у l2tp есть one session per host.
Да в профили linit only one. Но думаю эти настройки будут работать только на ppoe и pptp (именно это опция).
С таким вопросом лучше пойти на сайт самих mikrotik, ответят намного быстрее. Если устройство новое, вы можете такой вопрос прям в support написать, можно и по русски, отвечать будут только дольше.

P.S. С другой стороны, авторизация идет через радиос, там точно должна быть проверка, что пользователь активен и не пускать уже со стороны авторизации. Свойства сетевой политики:
https://technet.microsoft.com/ru-ru/library/cc7541...

Что бы не взяли за жопу, надо.

35.rkn.gov.ru/directions/p1401/p1407

Точки беспроводного радиодоступа, используемые владельцами радиоэлектронных средств для организации беспроводных сетей передачи данных, не являются оконечными устройствами и подлежат регистрации в органах Роскомнадзора.

https://help.zyxel.ru/hc/ru/articles/115000047149-...

Подлежат обязательной регистрации: устройства, содержащие беспроводные точки доступа стандарта IEEE 802.11b/g/n (точки доступа, мосты, репитеры), которые используется вне помещений, с радиусом дальнего действия (обычно имеют направленные антенны), а также в коммерческих или публичных целях (например, хот-споты).

Поэтому или ставить внутрь и колхозить незаметные антенны наружу или просто так и оставить все внутри.
150 метров по прямой вполне может добивать с двух сторон нормально. Другой момент, если плотный радио эфир, то надо отказаться от 20/40 и искать какой из 1,6,11 меньше всего нагружен и имеет меньше всего пересечений. Как вариант смотреть в 5gz , но там вроде по регистрации те же условия и минус, быстрее затухает сигнал.

Однозначна ждать 3011. Для ваших нужд его хватит. По поводу Ipsec, насколько я помню там разрабы говорили что:

https://forum.mikrotik.com/viewtopic.php?t=102453#...
IPsec accelerator support for RB3011 is still being worked on, the HW acceleration is not yet supported for this model. The CPU is much faster than RB2011 even without HW accelerator.
Q: But HW acceleration will be supported in the near future?
A: We are working on it, yes.

Когда это будет конечно не очень понятно.
В филиал , я бы все же как и poisons советовал бы ставить с аппаратным ipsec. Hap ac lite явно не очень подходят для этих целей. На текущий момент это модели:

RB1100AHx4
hEX v3 (RB750Gr3 model only)
All Cloud Core Router (CCR) series devices
RB1100AHx2
RB1000
RB850Gx2 (only starting 2016, serial numbers that begin with number 5)
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Har...

Самый доступный это hex v3.

3011 остается под вопросом , будет ли у него допилена эта возможность.

Сам такое делал очень давно и не на тиках.

Я бы честно говоря, задумался бы вообще уйти от ppoe И сделать авторизацию по ipoe.

Примерно будет так. Тиковский dhcp запрос от клиента или релай от других тиков
- может отправить запросы в Radius сервер ну или сразу в билинг, если билинг такое умеет.

Радиус получив запрос выдает нужный Ip и делает radius accept.

В общем это все относится и к pppoe

Вот есть примеры

https://wiki.mikrotik.com/wiki/Pppoe_with_external...
https://blog.ibill.io/mikrotik-radius-pppoe-server...
https://aacable.wordpress.com/2011/07/19/mikrotik-...

Бегло вроде по вашей теме.