• Как ограничить доступ из сети в сеть?

    @wizart23 Автор вопроса
    Denis Melnikov,
    Ничего такого нет(
    /ip firewall nat
    add action=dst-nat chain=dstnat comment=VOip disabled=yes dst-port=8796 \
    protocol=udp to-addresses=172.16.3.30 to-ports=5060
    add action=dst-nat chain=dstnat disabled=yes dst-port=10000-20000 protocol=udp \
    to-addresses=172.16.3.30 to-ports=10000-20000
    add action=dst-nat chain=dstnat comment=MOBIS disabled=yes dst-port=1234 \
    in-interface=pppoe-out1 protocol=tcp to-addresses=172.16.9.73 to-ports=1234
    add action=dst-nat chain=dstnat comment="Lift Dialain" dst-port=46000 \
    in-interface=pppoe-out1 log=yes protocol=udp to-addresses=172.16.1.29 \
    to-ports=46000
    add action=dst-nat chain=dstnat dst-port=46001 in-interface=pppoe-out1 log=yes \
    protocol=udp to-addresses=172.16.1.29 to-ports=46001
    add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
    disabled=yes
    add action=dst-nat chain=dstnat comment=ZABBIX dst-port=90 in-interface=ether6 \
    protocol=tcp to-addresses=172.16.3.9 to-ports=80
    add action=accept chain=srcnat comment=IPSEC_Base dst-address=10.8.0.0/24 \
    src-address=172.16.9.0/24
    add action=dst-nat chain=dstnat comment="Apache Server" dst-port=82 protocol=\
    tcp to-addresses=172.16.3.6 to-ports=81
    add action=dst-nat chain=dstnat comment="EDS Server" dst-port=80 in-interface=\
    pppoe-out1 protocol=tcp to-addresses=172.16.3.17 to-ports=80
    add action=dst-nat chain=dstnat dst-port=80 in-interface=ether6 protocol=tcp \
    to-addresses=172.16.3.17 to-ports=80
    add action=masquerade chain=srcnat comment=Nat out-interface=ether6
    add action=masquerade chain=srcnat out-interface=pppoe-out1
    Написано
  • Как ограничить доступ из сети в сеть?

    @wizart23 Автор вопроса
    Denis Melnikov,
    add action=drop chain=forward in-interface=Teh.PersonalVlan9 out-interface=\
    UnlimitedSpeedVlan7
    Такое правило делаю и не работает.
    Раньше когда я вешал vlan на eher1, то все работало, потом я решил сделать через bridge
    /interface bridge vlan
    add bridge=bridge_Local comment=MGMT tagged=ether1,ether3,bridge_Local vlan-ids=2
    add bridge=bridge_Local comment="Servers Network" tagged=bridge_Local,ether1,ether3 vlan-ids=3
    add bridge=bridge_Local comment=Personal tagged=ether1,bridge_Local untagged=ether2 vlan-ids=9
    add bridge=bridge_Local comment=VIP tagged=bridge_Local,ether1 vlan-ids=7
    add bridge=bridge_Local comment=Voip tagged=bridge_Local,ether3,ether1 vlan-ids=8
    add bridge=bridge_Local comment=DOMRU tagged=ether3,ether1,bridge_Local vlan-ids=3603
    то не получается ограничить.
    Написано
  • Как ограничить доступ из сети в сеть?

    @wizart23 Автор вопроса
    Можно по точнее , что там не так?
    Написано
  • Как ограничить доступ из сети в сеть?

    @wizart23 Автор вопроса
    /interface bridge
    add comment=" Guest DOMRU Network" name=bridge_DOM.RU
    add admin-mac=DE:A5:97:57:0F:B4 auto-mac=no comment="Local Network" name=\
    bridge_Local vlan-filtering=yes
    /interface ethernet
    set [ find default-name=ether1 ] comment=Local loop-protect=on
    set [ find default-name=ether2 ] comment="MGMT admin port" speed=100Mbps
    set [ find default-name=ether3 ] comment=UPLINK_Servers speed=100Mbps
    set [ find default-name=ether4 ] disabled=yes speed=100Mbps
    set [ find default-name=ether5 ] comment="Dom_RU_Corporate Network" speed=\
    100Mbps
    set [ find default-name=ether6 ] comment=Rostelekom speed=100Mbps
    set [ find default-name=ether7 ] comment="Guest network DOM.RU" loop-protect=\
    on speed=100Mbps
    set [ find default-name=ether8 ] disabled=yes loop-protect=on speed=100Mbps
    set [ find default-name=ether9 ] disabled=yes speed=100Mbps
    set [ find default-name=ether10 ] disabled=yes speed=100Mbps
    set [ find default-name=sfp1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full disabled=yes \
    loop-protect=on
    /interface list
    add exclude=dynamic name=discover
    add name=Wan
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    /interface bridge port
    add bridge=bridge_DOM.RU comment="Guest DOMRU Network" interface=vlan_Dom.Ru
    add bridge=bridge_Local comment="UPLINK to Switch Ring 52 Port" interface=\
    ether1 multicast-router=disabled
    add bridge=bridge_Local comment="UPLINK to Switch Hostel 25 Port" interface=\
    ether3 multicast-router=disabled
    add bridge=bridge_Local comment="MGMT admin port" interface=ether2 \
    multicast-router=disabled pvid=9
    /interface bridge settings
    set use-ip-firewall-for-vlan=yes
    /interface bridge vlan
    add bridge=bridge_Local comment=MGMT tagged=ether1,ether3,bridge_Local \
    vlan-ids=2
    add bridge=bridge_Local comment="Servers Network" tagged=\
    bridge_Local,ether1,ether3 vlan-ids=3
    add bridge=bridge_Local comment=Personal tagged=ether1,bridge_Local untagged=\
    ether2 vlan-ids=9
    add bridge=bridge_Local comment=VIP tagged=bridge_Local,ether1 vlan-ids=7
    add bridge=bridge_Local comment=Voip tagged=bridge_Local,ether3,ether1 \
    vlan-ids=8
    add bridge=bridge_Local comment=DOMRU tagged=ether3,ether1,bridge_Local \
    vlan-ids=3603
    /interface list member
    add interface=ether2 list=discover
    add interface=ManagementVlan2 list=discover
    add interface=ether6 list=Wan
    add interface=pppoe-out1 list=Wan
    /interface pptp-server server
    set default-profile=MyVPN enabled=yes
    Написано
  • Как ограничить доступ из сети в сеть?

    @wizart23 Автор вопроса
    Да я их на самый вверх кинул,
    /ip firewall filter
    add action=drop chain=forward dst-address=172.16.7.0/24 src-address=172.16.9.0/24
    add action=drop chain=forward dst-address=172.16.9.0/24 src-address=172.16.7.0/24
    add action=accept chain=forward comment=VoIP disabled=yes dst-port=5060,5061 protocol=udp
    add action=accept chain=forward disabled=yes dst-port=10000-20000 protocol=udp
    add action=accept chain=forward dst-address=192.168.1.0/24 src-address=172.16.5.0/24
    add action=accept chain=input comment=OSPF in-interface=all-ppp protocol=ospf
    add action=accept chain=input comment=PPP dst-port=1701 protocol=udp
    add action=accept chain=input dst-port=1723 protocol=udp
    add action=accept chain=forward dst-port=4000 protocol=tcp
    add action=drop chain=input comment="drop PPTP brute forcers" dst-port=1723 protocol=tcp src-address-list=PPTP_blacklist
    add action=reject chain=forward comment="drop PPTP brute downstream" dst-port=1723 protocol=tcp reject-with=icmp-network-unreachable src-address-list=PPTP_blacklist
    add action=add-src-to-address-list address-list=PPTP_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=\
    PPTP_stage3
    add action=add-src-to-address-list address-list=PPTP_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=\
    PPTP_stage2
    add action=add-src-to-address-list address-list=PPTP_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp src-address-list=\
    PPTP_stage1
    add action=add-src-to-address-list address-list=PPTP_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=1723 protocol=tcp
    add action=drop chain=output comment="GOOGLE PING DENY 8.8.4.4" dst-address=8.8.4.4 out-interface=ether6
    add action=add-src-to-address-list address-list=Winbox_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=\
    !Winbox_White
    add action=add-src-to-address-list address-list=Winbox_blacklist address-list-timeout=none-dynamic chain=input connection-state=new dst-port=8291 protocol=tcp \
    src-address-list=Winbox_stage1
    add action=reject chain=input comment="drop Winbox brute forcers" dst-port=8291 protocol=tcp reject-with=icmp-network-unreachable src-address-list=Winbox_blacklist
    add action=drop chain=forward comment="Printers Reseption hp laserJet 428" src-address=172.16.9.225
    add action=drop chain=forward comment="Printers hp 400 mfp" src-address=172.16.9.89
    add action=accept chain=input protocol=gre
    add action=drop chain=input comment="DNS ROSTELEKOM" dst-port=53 in-interface=ether6 protocol=udp
    add action=drop chain=input comment="DNS DOM.RU" dst-port=53 in-interface=pppoe-out1 protocol=udp
    add action=accept chain=input comment=Estabilished/Related connection-state=established,related
    add action=accept chain=forward connection-state=established,related
    add action=drop chain=forward comment=Invalid connection-state=invalid connection-type="" in-interface-list=Wan
    add action=drop chain=input connection-state=invalid in-interface-list=Wan
    add action=accept chain=forward comment=IpSec dst-port=500 protocol=udp
    add action=accept chain=forward dst-port=4500 protocol=udp
    add action=accept chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
    add action=accept chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
    add action=accept chain=input comment=WinBox dst-port=8291 protocol=tcp
    add action=accept chain=input comment="Allow ping" protocol=icmp
    add action=accept chain=forward comment="IIS Server" dst-port=80 protocol=tcp
    Написано
  • SID номер вместо имени входа в свойствах папки, как исправить?

    @wizart23 Автор вопроса
    Решил проблему путем сознания второго контроллера домена. После поднятия дк, все заработало как надо
    Написано
  • Почему становится не активным второй маршрут в mikrotik?

    @wizart23 Автор вопроса
    hint000, Не пофиг, и все я понимаю, с обновлением ПО роутера было в планах поменять. Удалите ваш коммент с ip адресами которые Вы указали
    Написано
  • Почему становится не активным второй маршрут в mikrotik?

    @wizart23 Автор вопроса
    hint000, поделу лучше бы написал а не палил бы адреса
    Написано
  • Как ввести второй сервер(контроллер) в домен?

    @wizart23 Автор вопроса
    Константин, В настройках первого
    1 днс это он сам а второй я не указывал днс.
    Написано
  • Как ввести второй сервер(контроллер) в домен?

    @wizart23 Автор вопроса
    Alexey Dmitriev, Новый сервер установил уже 2008r2, вместо 2012 . Он мне показывает таие ошибки как на этом форуме https://social.technet.microsoft.com/Forums/virtua... ADSL у меня конечно нет, но чуствую что проблема кроется в микротиках, что то они мудрят с каналом
    Написано
  • Как ввести второй сервер(контроллер) в домен?

    @wizart23 Автор вопроса
    Alexey Dmitriev,
    1.Отключил, проверил, не помогло
    2.В настройках ДНС второго ,ДНС первого
    5ffc69bddd6d6522961445.png
    3.Вывод команд со второго https://pastebin.com/DT4j3t8K
    Вывод команд с первого DC https://pastebin.com/hxUXTQem
    4. Вывод команд не могу показать , так как Powershell пишет ошибки
    5ffc6a5473abb376144626.png

    Первый DC это 2008 r2 сервер, в его домен я ввожу 2012 r2 и на стадии ввода я бы выбрал уровень леса 2008r2. Пробовал сервера 2019 оба версии одинаковые и такие же ошибки.
    Если не обращать внимания на ошибку , пару раз нажав кнопку далее, то мастер все таки меня пропускает на след.шаг , где надо выбрать сайт, уровень леса. Но когда выполняется установка, то все зависает на стадии обновление ЛЕСА, и никуда не двигается, зависло. Такая ситуация
    Написано
  • Как ввести второй сервер(контроллер) в домен?

    @wizart23 Автор вопроса
    1.Отключил, проверил, не помогло
    2.В настройках ДНС второго ,ДНС первого
    5ffc69bddd6d6522961445.png
    3.Вывод команд со второго https://pastebin.com/DT4j3t8K
    Вывод команд с первого DC https://pastebin.com/hxUXTQem
    4. Вывод команд не могу показать , так как Powershell пишет ошибки
    5ffc6a5473abb376144626.png

    Первый DC это 2008 r2 сервер, в его домен я ввожу 2012 r2 и на стадии ввода я бы выбрал уровень леса 2008r2. Пробовал сервера 2019 оба версии одинаковые и такие же ошибки.
    Если не обращать внимания на ошибку , пару раз нажав кнопку далее, то мастер все таки меня пропускает на след.шаг , где надо выбрать сайт, уровень леса. Но когда выполняется установка, то все зависает на стадии обновление ЛЕСА, и никуда не двигается, зависло. Такая ситуация
    Написано
  • Как ввести второй сервер(контроллер) в домен?

    @wizart23 Автор вопроса
    Alexey Dmitriev, смотри, если делать в пределах Лок сети , то все работает , все нормально
    Написано
  • Как ввести второй сервер(контроллер) в домен?

    @wizart23 Автор вопроса
    Alexey Dmitriev, Попробовал, но результат тот же.(
    Написано
  • Как ввести второй сервер(контроллер) в домен?

    @wizart23 Автор вопроса
    Alexey Dmitriev,
    Я это делаю на новых операционках, только что установленных. Одна на Hyper-V другая на WmWare Workstation , это я все делаю для собственного обучения. Но сколько не пробовал не получается решить эту проблему.
    Написано
  • Как ввести второй сервер(контроллер) в домен?

    @wizart23 Автор вопроса
    Alexey Dmitriev,
    Да, галка стоит, позже посмотрю что там в логах ДНС
    Написано
  • Как ввести второй сервер(контроллер) в домен?

    @wizart23 Автор вопроса
    Alexey Dmitriev, Почему при добавлении в домен второго сервера не создастся автоматически А запись? Я пробовал локально ввести второй сервер, в той же сети площадки А, все получается, а через VPN не получается, такое ощущение что проблема по сети, но что не так? Вроде пинг есть, порты открыты.
    Написано