• Как настроить доверительные отношения между доменами на ws2k8r2 и ws2k12r2 в одной подсети?

    regorov
    @regorov Автор вопроса
    Прямые и обратные зоны настроены, то есть оба днс сервера доменов имеют записи о друг друга в прямых записях и прописана PTR запись в обратной зоне
  • Как настроить доверительные отношения между доменами на ws2k8r2 и ws2k12r2 в одной подсети?

    regorov
    @regorov Автор вопроса
    Да пересылка настроена на обоих серверах у rogakopita.ru в пересылке указан ip адрес babruisk.ru и соответственно у babruisk.ru указан ip адрес rogakopita.ru
  • Как настроить доверительные отношения между доменами на ws2k8r2 и ws2k12r2 в одной подсети?

    regorov
    @regorov Автор вопроса
    yellowmew: rogakopita.ru и babruisk.ru - это домены с установленными и настроенными AD и DNS.
    Сетевые настройки Домен №1 - rogakopita.ru (старый домен), платформа ws2k8r2:
    ip: 192.168.128.1
    mask: 255.255.240.0/20
    GW: 192.168.128.3 - (шлюз с dhcp)
    primary dns: 192.168.128.1
    alternative dns: 192.168.128.2 - (babruisk.ru)

    Сетевые настройки Домен №2 - babruisk.ru (новый домен), платформа ws2k12r2:
    ip: 192.168.128.2
    mask: 255.255.240.0/20
    GW: 192.168.128.3 - (шлюз с dhcp)
    primary dns: 192.168.128.2
    alternative dns: 192.168.128.1 - (rogakopita.ru)
  • Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

    regorov
    @regorov Автор вопроса
    Vladimir Zhurkin: Да, Вы правы - частные сети, в мой анализ это не попало )))
    В режиме rp_filter no все работает (опять же с отключенным брандмауэром)
    В вирт машинах в основном и тестирую, просто у микротика есть свободные порты, да и всегда можно откатиться назад при наличии бэкапов.
    Во время решения этой проблемы прочел не мало про VLAN и он меня заинтересовал, тем более с тем кол-вом ip адресов на моей работе, что он мне просто не обходим.
    Сейчас начну копать в сторону маркировки пакетов и работой с ними, а так же с фильтрацией трафика в VLAN.

    С одной стороны, в оправдание себя:
    У меня уже был случай с нашим провайдером и VLAN на их стороне. У нас с провайдером очень тесные взаимосвязи, они нам предоставляют КПД между нашими филиалами по городу и даже по объекту. Осуществляют они это через VLAN внутри их сети.
    Так вот была ситуация, пинги ходят а DHCP (67, 68 UDP) и DNS (53 TCP/UDP) не ходят, канал был до дальнего помещения с одним рабочим компом, провайдер разводил руками и не понимал в чем проблема. Я вручную прописал настройки и все работало. Затем через пару месяцев я еще раз их попросил напречься и решить вопрос, в итоге все заработало, как и на остальных объектах.
    Суть в том что и в этот раз я начал грешить на VLAN и настройки с ним связанные.
  • Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

    regorov
    @regorov Автор вопроса
    Vladimir Zhurkin: Прикол в том что у меня есть две подсети /12 и /20, они видят друг друга через туннель GRE настроенный на 2-ух Микротиках, на всех машинах настроен и включен брандмауэр на некоторых с некоторыми изменениями. Но все они могут пинговаться из двух этих сетей, пинги по умолчанию в брандмауэре не блокируются. Видимо причина все же в VLAN в теггировании пакетов. Буду разбираться и проверять все протоколы.
    Еще раз спасибо за помощь! Вы один из немногих адекватных помощников )))
  • Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

    regorov
    @regorov Автор вопроса
    Vladimir Zhurkin: Как так? @#$% одни эмоции!!!
    Решение нашел - отключил брандмауэр на двух осях и все пинги пошли.
    Такое в широковещательном домене не нужно делать, пинги ходят и со включенным брандмауэре.
    *face_palm* вот я тупил ))) Буду разбираться с брандмауэром.
  • Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

    regorov
    @regorov Автор вопроса
    Vladimir Zhurkin: Владимир, заранее Благодарю за помощь!!! ))) Вы очень мне помогаете.
    Сейчас на виртуалке подниму 2 Debian(а) и посмотрю что получается. Сейчас на одном стоит Win10, а на другом WSrvStd2012r2.
  • Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

    regorov
    @regorov Автор вопроса
    Vladimir Zhurkin: Может и в правду проблема в Firewall filter:
    Flags: X - disabled, I - invalid, D - dynamic 
     0    ;;; TO_xxxxxx_WINBOX_from_HOME
          chain=input action=accept protocol=tcp src-address=x.x.x.x 
          in-interface=eth1-WAN dst-port=xxxx log=no log-prefix="" 
    
     1    ;;; TO_PDC
          chain=input action=accept protocol=tcp in-interface=eth1-WAN 
          dst-port=xxxxx log=no log-prefix="" 
    
     2    ;;; TO_MAIL_SSH
          chain=input action=accept protocol=tcp in-interface=eth1-WAN 
          dst-port=xxxxx log=no log-prefix="" 
    
     3    ;;; TO_WEB_SSH
          chain=input action=accept protocol=tcp in-interface=eth1-WAN 
          dst-port=xxxxx log=no log-prefix="" 
    
     4    ;;; TO_BASE_SSH
          chain=input action=accept protocol=tcp in-interface=eth1-WAN 
          dst-port=xxxxx log=no log-prefix="" 
    
     5    ;;; allow established connection
          chain=forward action=accept log=no log-prefix="" 
    
     6    ;;; allow established connection
          chain=forward action=accept connection-state=established log=no 
          log-prefix="" 
    
     7    ;;; allow related connection
          chain=forward action=accept connection-state=related log=no log-prefix="" 
    
     8    ;;; drop invalid connection
          chain=forward action=drop connection-state=invalid log=no log-prefix="" 
    
     9    ;;; DROP_TELNET_23
          chain=input action=drop protocol=tcp in-interface=eth1-WAN dst-port=23 
          log=no log-prefix="ddos" 
    
    10    ;;; DROP_WINBOX_8291
          chain=input action=drop protocol=tcp in-interface=eth1-WAN dst-port=8291 
          log=no log-prefix="ddos" 
    
    11    ;;; DROP_SSH_22
          chain=input action=drop protocol=tcp in-interface=eth1-WAN dst-port=22 
          log=no log-prefix="ddos" 
    
    12    ;;; Drop Blaster Worm
          chain=virus action=drop protocol=tcp dst-port=135-139 log=no 
          log-prefix="" 
    
    13    ;;; Drop Messenger Worm
          chain=virus action=drop protocol=udp dst-port=135-139 log=no 
          log-prefix="" 
    
    14    ;;; Drop Blaster Worm
          chain=virus action=drop protocol=tcp dst-port=445 log=no log-prefix="" 
    
    15    ;;; Drop Blaster Worm
          chain=virus action=drop protocol=udp dst-port=445 log=no log-prefix="" 
    
    16    ;;; ________
          chain=virus action=drop protocol=tcp dst-port=593 log=no log-prefix="" 
    
    17    ;;; ________
          chain=virus action=drop protocol=tcp dst-port=1024-1030 log=no 
          log-prefix="" 
    
    18    ;;; Drop MyDoom
          chain=virus action=drop protocol=tcp dst-port=1080 log=no log-prefix="" 
    
    19    ;;; ________
          chain=virus action=drop protocol=tcp dst-port=1214 log=no log-prefix="" 
    
    20    ;;; ndm requester
          chain=virus action=drop protocol=tcp dst-port=1363 log=no log-prefix="" 
    
    21    ;;; ndm server
          chain=virus action=drop protocol=tcp dst-port=1364 log=no log-prefix="" 
    
    22    ;;; screen cast
          chain=virus action=drop protocol=tcp dst-port=1368 log=no log-prefix="" 
    
    23    ;;; hromgrafx
          chain=virus action=drop protocol=tcp dst-port=1373 log=no log-prefix="" 
    
    24    ;;; cichlid
          chain=virus action=drop protocol=tcp dst-port=1377 log=no log-prefix="" 
    
    25    ;;; Worm
          chain=virus action=drop protocol=tcp dst-port=1433-1434 log=no 
          log-prefix="" 
    
    26    ;;; Bagle Virus
          chain=virus action=drop protocol=tcp dst-port=2745 log=no log-prefix="" 
    
    27    ;;; Drop Dumaru.Y
          chain=virus action=drop protocol=tcp dst-port=2283 log=no log-prefix="" 
    
    28    ;;; Drop Beagle
          chain=virus action=drop protocol=tcp dst-port=2535 log=no log-prefix="" 
    
    29    ;;; Drop Beagle.C-K
          chain=virus action=drop protocol=tcp dst-port=2745 log=no log-prefix="" 
    
    30    ;;; Drop MyDoom
          chain=virus action=drop protocol=tcp dst-port=3127-3128 log=no 
          log-prefix="" 
    
    31    ;;; Drop Backdoor OptixPro
          chain=virus action=drop protocol=tcp dst-port=3410 log=no log-prefix="" 
    
    32    ;;; Worm
          chain=virus action=drop protocol=tcp dst-port=4444 log=no log-prefix="" 
    
    33    ;;; Worm
          chain=virus action=drop protocol=udp dst-port=4444 log=no log-prefix="" 
    
    34    ;;; Drop Sasser
          chain=virus action=drop protocol=tcp dst-port=5554 log=no log-prefix="" 
    
    35    ;;; Drop Beagle.B
          chain=virus action=drop protocol=tcp dst-port=8866 log=no log-prefix="" 
    
    36    ;;; Drop Dabber.A-B
          chain=virus action=drop protocol=tcp dst-port=9898 log=no log-prefix="" 
    
    37    ;;; Drop Dumaru.Y
          chain=virus action=drop protocol=tcp dst-port=10000 log=no log-prefix="" 
    
    38    ;;; Drop MyDoom.B
          chain=virus action=drop protocol=tcp dst-port=10080 log=no log-prefix="" 
    
    39    ;;; Drop NetBus
          chain=virus action=drop protocol=tcp dst-port=12345 log=no log-prefix="" 
    
    40    ;;; Drop Kuang2
          chain=virus action=drop protocol=tcp dst-port=17300 log=no log-prefix="" 
    
    41    ;;; Drop SubSeven
          chain=virus action=drop protocol=tcp dst-port=27374 log=no log-prefix="" 
    
    42    ;;; Drop PhatBot, Agobot, Gaobot
          chain=virus action=drop protocol=tcp dst-port=65506 log=no log-prefix="" 
    
    43    ;;; jump to the virus chain
          chain=forward action=jump jump-target=virus log=no 
          log-prefix="jump to virus list"


    Если выключить все DROP и JUMP, а оставить только forwarding, то все равно не пингуется.
  • Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

    regorov
    @regorov Автор вопроса
    Vladimir Zhurkin: Настроил согласно мануалу. Wireshark установлен на OS2 получает данные с микротика при включенном снифере на Микротике. При этом OS2 пингует OS1 и вот что я выделил:
    493805	975.613960	192.168.69.200	192.168.100.198	ICMP	121	Echo (ping) request  id=0x0001, seq=311/14081, ttl=128 (no response found!)
  • Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

    regorov
    @regorov Автор вопроса
    О форвардинге отвечу позже.
    Почему не NAT? Что в замен IPv6 и Teredo или Socks?
    У меня в локалке стоит multidomain web-server, multidomain mail-server и т.п. и ко всему этому нужен доступ из вне по определенным портам.
  • Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

    regorov
    @regorov Автор вопроса
    Сделал
    rp-filter strict
    Оставил NAT для работающей подсети:
    ;;; -=МАСКАРАД=-
          chain=srcnat action=masquerade src-address=x.x.0.0/12 
          out-interface=eth1-WAN log=no log-prefix=""

    Почему не нужен? Я собираюсь все разделить на VLAN. Как же будет без NAT?
  • Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

    regorov
    @regorov Автор вопроса
    ip-forward: yes
    send-redirects: yes
    accept-source-route: no
    accept-redirects: no
    secure-redirects: yes
    rp-filter: no
    tcp-syncookies: no
    max-arp-entries: 8192
    arp-timeout: 30s
    icmp-rate-limit: 10
    icmp-rate-mask: 0x1818
    route-cache: yes
    allow-fast-path: yes
    ipv4-fast-path-active: no
    ipv4-fast-path-packets: 0
    ipv4-fast-path-bytes: 0
    ipv4-fasttrack-active: no
    ipv4-fasttrack-packets: 0
    ipv4-fasttrack-bytes: 0
  • Как переадресовать домен в nginx на другой локальный IP адрес?

    regorov
    @regorov Автор вопроса
    ldv: не использует. В первую очередь, хотел от всего отмахнуться, так и сделать ))) но это временный костыль, так как может 443 понадобится на web сервере или еще на каком
  • Как переадресовать домен в nginx на другой локальный IP адрес?

    regorov
    @regorov Автор вопроса
    ldv: Подмена идет таким образом, то есть если я лезу на mail.babruisk.ru снаружи, то в адресной строке mail.baruisk.ru меняется на 192.168.0.3
  • Как переадресовать домен в nginx на другой локальный IP адрес?

    regorov
    @regorov Автор вопроса
    в host прописанно. Через локальную сеть все проходит, как через ip адрес, так и через домен.
  • Как настроить DHCP server на MIKROTIK?

    regorov
    @regorov Автор вопроса
    "Как мне настроить ..." увы не нашел мануалы по корректной настройке на MIKROTIK двух DHCP, один для локальной сети, а другой для wi-fi сети, если Вы такими обладаете, то поделитесь, пожалуйста.