Jak ustawić MikroTik'a podłączonego bezpośrednio do DSL'a aby jakiś kolejny MikroTik w sieci mógł mieć niezależne zewnętrzne IP z puli otrzymanej od TP SA ?

przykład:

DSL 15MB ---- Mikrotik (serwer) ---- WDS 5GHz ---- Mikrotik(1) ---- 2,4GHz ---- klient
---- WDS 5GHz ---- Mikrotik(2) ---- 2,4GHz ---- klient
---- WDS 5GHz ---- Mikrotik(3) ---- 2,4GHz ---- klient
---- WDS 5GHz ---- Mikrotik(4) ---- 2,4GHz ---- klient

przykładowa pula adresów IP z DSL

95.50.143.33
95.50.143.34
95.50.143.35
95.50.143.36
95.50.143.37
95.50.143.38
95.50.143.39
95.50.143.40

I tutaj nie chce przekierowywać z MikroTik'a serwera ip zewnętrznych na jakieś wewnętrzne zrobione na pozostałych
MikroTik'ach tylko chce pozostałym nadać adresy wolne ..

czyli MikroTik serwer będzie miał adresacje:

Address: 95.50.143.35/29
Network: 95.50.143.33
Droadcast: 95.50.143.40

Primary DNS: 194.204.159.1
Secondary DNS: 194.204.152.34

na MikroTik'ach klientach po WDS nie będzie żadnego NAT'a (czysty bridge)
jak je skonfigurować aby miały swoje własne pełne zewnętrzne IP ? oczywiście
nie potrzebuje ani nie chce aby klienci wychodzili przez te IP ..
klienci sprawdzając swoje IP w necie powinni widzieć IP MikroTik'a serwera
czyli w tym wypadku 95.50.143.35

Więc teraz zgodnie z wcześniejszymi ustawieniami na MikroTik'ach klientach
byłaby taka adresacja ustawiona:

Mikrotik(1)

Address: 95.50.143.36/29
Network: 95.50.143.33
Droadcast: 95.50.143.40

Mikrotik(2)

Address: 95.50.143.37/29
Network: 95.50.143.33
Droadcast: 95.50.143.40

Mikrotik(3)

Address: 95.50.143.38/29
Network: 95.50.143.33
Droadcast: 95.50.143.40

Mikrotik(4)

Address: 95.50.143.39/29
Network: 95.50.143.33
Droadcast: 95.50.143.40


Co zrobić aby to działało ? zakładam, że ustawić coś na MikroTik'u serwerze ;P

Witam,

Czy łącze ma przypisany adres z innej klasy? Jeśli tak to sprawa jest prosta - po stronie LAN ustawiamy adres IP z puli i po problemie.
Jeśli jednak adres przyłączeniówki jest z tej samej podsieci, co pozostałe, to najprostszym rozwiązaniem wydaje się zrobienie bridge'a pomiędzy
interfejsami WAN i lokalnymi i znowu adresacja publiczna po stronie LAN.


pozdrawiam

No tak ale samo przypisanie do Bridga adresu IP chyba nie spowoduje że
dany MikroTik będzie miał odrazu własne niezależne IP ?

powiedzmy MikroTik serwer będzie miał wpiętego DSL'a który oferuje 5 adresów publicznych dla klienta ..
95.50.143.35 do 95.50.143.39

Address: 95.50.143.35/29
Network: 95.50.143.33
Droadcast: 95.50.143.40

Primary DNS: 194.204.159.1
Secondary DNS: 194.204.152.34

to MikroTik klient serwera po WDS i w czystym bridge powinien mieć adresacje:

Address: 95.50.143.36/29
Network: 95.50.143.33
Droadcast: 95.50.143.40

Primary DNS: 194.204.159.1
Secondary DNS: 194.204.152.34

aby takie ustawienia chciały działać to wydaje mi się ze konfiguracja nie jest prawidłowa ..
logicznym minimum chyba powinno być przestawienie DNS'a dla MikroTik'a klienta na:

Primary DNS: 95.50.143.35
Secondary DNS: 194.204.159.1

no i następna sprawa - gdyby tak działał system to każdy w sieci mógłby sobie przypisać
zewnętrzne IP do karty sieciowej i teoretycznie powinien mieć zewnętrzne IP ..
dlatego według mnie MikroTik serwer powinien w jakiś sposób (np. po MAC) weryfikować które
urządzenie w sieci ma prawo mieć działające zewnętrzne IP ..

Jeszcze nie mam sprzetu który lada moment przyjdzie dlatego dla mnie to rozważania
teoretyczne w oparciu o wiedze fachowców ;P
Pisze takie pytania na forum zanim zaczne się bawić a net zacznie się sypać i klienci dzwonić ..

Witam,



Oczywiście, że nie. Na głównym routerze towrzysz bridge'a między WAN a interfejsem lokalnym i adresujesz go publicznie, potem nadajesz adres publiczny poszczególnym routerom.



A od czego jest statyczny ARP? Wystarczy dodać odpowiednie wpisy przestawić interfejs w reply only i po sprawie. Można też użyć radiusa czy co tam w sieci masz. Kwestia zabezpieczenia się to osobna sprawa.

Można się też pokusić o autoryzację routerów po pppoe. Problem z tym jest taki, że nie masz już wielkiego bridge'a tylko musiałbyś podzielić sieć na kilka podsieci i dynamicznie albo statycznie routować.

pozdrawiam

Masz jeszcze jedno rozwiazanie:

Edge Mikrotik(nazwijmy go MT1) ustawiasz z jednym IP na klasie /29 (np. 95.50.143.35/29 ), wlaczasz proxy-arp na tym interface.
Na MT1 wykonujesz:
/ip address add address=95.50.143.35/29 interface=WAN
/ip address add address=10.0.0.1/32 network=95.50.143.36 interface=LAN
/interface ethernet set WAN arp=proxy-arp

Nastepnie dodajesz jeden z publicznych adresow na wewnetrzny Mikrotik(MT2) w ten sposob:

/ip address add address=95.50.143.36/32 network=10.0.0.1
/ip route add dst-address=0.0.0.0/0 gateway=10.0.0.1

Wyglada to bynajmniej dziwnie ale jest to routowanie zgodne z RFC1812 ( http://www.faqs.org/rfcs/rfc1812.html )

Nastepne routery dodajesz tak samo, 10.0.0.1/32 moze byc dodane wielokrotnie na MT1 za kazdym razem z inna wartoscia w network.

Witam,

Może i dziwne ale i sprytne.

Dzięki!

Temat u mnie na razie z zewnętrznymi IP nadal otwarty ..
zmieniła się koncepcja sieci aczkolwiek niewiele ..

teraz jest 2x DSL z 5 adresami publicznymi dla każdego ..
za serwer robi RB1000 .. Eth1 - DSL1, Eth2 - DSL2, Eth4 - wyjście na świat
zaadresowane 3 adresami 192.168.0.x dla osób które nadal mają połączenie
z DHCP oraz 192.168.6.x i 192.168.8.x dla klientów połączonych przez PPPoE ..
z tym, że Eth4 – Lan w Address List zaadresowany jest tylko adresem 192.168.0.1/24
a w Firewall – NAT jest masquerade dla wszystkich trzech adresacji ..
Src. Address 192.168.0.0/24, 192.168.6.0/24 i 192.168.8.0/24
Eth3 pozostaje wolny w oczekiwaniu na kolejnego DSL'a

do Eth4 bezpośrednio jest podłączony switch a do niego między innymi RB600A
który ma 3 mPCI robiące za 3 AP - sektory w 5GHz połączone z 6 różnym
RB od 133 przez 333 po 433AH które połączone z RB600A są poprzez WDS ..
a same nadają w 2.4GHz ..
cała sieć to czysty bridge którego sercem jest RB1000 ..

teraz potrzebuje wszystkie MikroTik'i łącznie z RB600A zaadresować publicznie
IP'kami z obu DSL'i pozostawiając nienaruszoną koncepcje czystego bridga w sieci ..

Witam,



skąd przywiązanie do tej koncepcji? Na tym etapie to już więcej problemów niż pożytku BTW dyskusję znacznie uprościłby nawet najprostszy schemat sieci.


pozdrawiam
Bartek

W takim razie załączam schemat sieci - zrobiony w Paincie

generalnie w tej chwili RB1000 nie robi jeszcze za serwer bo nie jest skończony
jego konfig .. ale liczę, że po weekendzie zaczną się pierwsze testy na nowym sprzęcie ..

prawie cały sprzęt ze schematu zakupiony został w InterProjekt włącznie z RB1000


To niewielkie miasto liczące około 2200 mieszkańców ..
Jeszcze 4 MikroTik’i i będzie pokryte moją siecią w powiedzmy 97%
Przy czym brakuje mi tylko 2 punktów do takiego pokrycia bo 2 są z tych 4 ale nie na MikroTik’u jeszcze ..

Nie planuje zmiany koncepcji czystego bridga w sieci ponieważ podoba mi się sieć w której klient może się przemieszczać np. z laptopem pomiędzy nadajnikami czy przeprowadzić w inne miejsce a po podłączeniu do nadajnika bez problemu ma połączenie z Internetem .. np. idąc z laptopem na rynek itp. poza tym po to kupiłem RB1000 aby zarządzał całą siecią a nie jej kawałkiem ..

Wsadziłem w niego 2 GB RAM (niestety widzi póki co tylko 1,5 GB) i niech śmiga a bazy mają mieć jak najmniejszą konieczną konfiguracje – w razie awarii kilka kliknięć i nowa baza śmiga .. a na tym mi zależy bo sieć to bardziej hobby niż konkretna praca której mi nie brakuje w innym temacie (1,5 etatu) ;P

Witam,

Co do schematu szkoda, że nie ma adresacji. Jeśli chodzi o to dodatkowe łącze, to należałoby do niego podejść tak jak opisane było wcześniej + odpowiedni policy routing tak żeby odpowiednie adresy publiczne wychodziły odpowiednim łączem.

Podejście ma i wady i zalety - z doświadczenia wiem, że wcześniej czy później sieć rozrośnie się do takich rozmiarów, że bridge sprawi mnóstwo kłopotów a przejście na odpowiednio routowane podsieci będzie nie lada problemem. Roaming można też rozwiązać za pomocą systemu hot spot. Sieć routowana nie wyklucza też ostatniego zdania.

Tak czy inaczej byłem ciekaw


I nie zobaczy więcej. To maksymalny rozmiar pamięci jaki ta maszyna jest w stanie zaadresować.

Cóż nie będę się upierał, że moja koncepcja jest najlepsza ponieważ jak wspomniałem wcześniej dopiero zaczynam się bawić z sensownym sprzętem .. do tej pory miałem serwer z panelem:

http://demo.linuxrouter.pl/panel/login.php

i sieć opartą o dwa MikroTik’i w trybie bridge i jakieś rozwiązania typu BlackBox, Planet itp. ;P
jak dotąd wszystko działało ale sieć się rozrosła do +/- 170 użytkowników i stwierdziłem, że może warto zrobić coś sensownego .. siedzę i się uczę bo mam jeszcze trochę wolnego od mojej głównej pracy .. dodałem jedno łącze i myślę, że warto było by dołożyć jakiegoś małego symetryka w celu wyrwania publicznej puli adresów IP .. przy aktualnej liczbie klientów można by ich było przez PPPoE zaadresować wszystkich publiczną klasą adresów .. nie wiem jeszcze czy to dobry pomysł czy nie ale mi się wydaje sensowny ..

na dzień dzisiejszy jeśli chodzi o config mojego RB1000 który teraz ma robić za serwer planowałem aby zrobić mu taką konfigurację:

jedno łącze na połączenia www, poczta oraz VoIP, drugie na połączenia typu p2p, ściąganie po porcie tcp 80, strumienie audio youtube .. do tego wykorzystanie pozostałych IP zewnętrznych dla MikroTik'ów w sieci i na koniec kolejkowanie HTB ..

wydawało mi się to optymalnym configiem ale ostatnio usłyszałem, że jest to nierealna konfiguracja a nawet jeśli udało by się ją zrobić to i tak nie będzie działać poprawnie ..
moje pytanie więc czy to jest realne do zrobienia ? jeśli nie to jaką konfiguracje serwera zrobić aby to miało ręce i nogi ..

Witaj Turok

tak czytajac ten topic widze ze bardzo malo w nim retorycznych informacji.

To czego potrzebujesz u siebie to NAT 1:1 i moze i fizycznie nie bedziesz mial adresow IP wewnatrz sieci, ale logicznie bedzie to dzialac jakby faktycznie tak bylo.

Natomiast Jezeli potrzebujesz adresow IP wewnatrz sieci tylko do zarzadzania tymi urzadzeniami zdalnie to lepszym rozwiazaniem jest zapomniej o Public IP i skonfigurowanie serwera VPN na twoim RB1000


W razie problemow sluze pomoca

Pawel

Mikrotik Certified Trainer
WNCG AkademiaWIFI.pl

Dziękuje za pomoc Panu z AkademiaWIFI.pl za wyjaśnienie tego i owego
na GG a także telefonicznie .. (pomoc na bardzo wysokim poziomie) ..

Oczywiście pozostałe rady też bardzo dobre i nie jednemu się przydadzą kto będzie czytał ten topic jednak przekonałem się do adresowania MikroTik’ów adresacją wewnętrzną + VPN na serwerze .. to rozwiązanie ma ręce i nogi .. już się nie upieram przy zewnętrznym adresowaniu urządzeń .. nie tylko zostają wolne IP zewnętrzne ale można zaadresować dowolną ilość urządzeń i przy tym mieć zdalny dostęp z po za sieci .. bezpieczeństwo, wygoda i nieograniczona pula adresowa dla urządzeń w sieci .. ma ktoś jakieś uwagi do tego rozwiązania ? chętnie wysłucham negatywnych cech takiego rozwiązania jeśli takie są ..

No jest inne rozwiązanie :d

Ja tak mam i jestem z tego zadowolony.
Ale oczywiście potrzebny jest w sieci routing i Mt muszą mieć dostęp do neta.
Oczywiście VPN tez mam zrobione na wszelki wypadek.

Więc
Kazdy MT (bez względu na liczbę) jest pod jednym IP zew (wszystkie pod tym samym IP zew), i na głównym serwerze mam na każdego MT przekierowany osobny port.

I jak chce sie połączyć np z MT1, Mt2, Mt3 itd wpisuje w wibnboxie:
x.x.x.x:10001
x.x.x.x:10002
x.x.x.x:10003
i tak dalej. (x.x.x.x - to samo IP zew)

I bez względu gdzie jestem, czy mam możliwość przez VPN czy nie, wystarczy ze winboxie wpisze IP zew i odpowiedni port i mnie laczy z wybranym MT
I najlepsze jest to ze nie wykorzystuje żadnego dodatkowego IP zew, tylko to 1 które mam przypisane do interfejsu WAN, czyli do serwera, pozostałe przyznane przez ISP mozna rozdać ludziom itp.

Kiedyś też miałem tylko VPN, ale ta metoda jest bardziej użyteczna. Bo przy VPN jak masz taką samą adresacje w miejscu z którego sie łączysz to juz pozamiatane.

Pozdrawiam.

_Sheriff_
- konfiguracja i administracja sieciami opartymi na systemie MikroTik.

No to teraz mamy już chyba full opcje na zarządzanie zdalne MikroTik'ami w sieci

Musze tutaj podziękować InterProjekt za bardzo dobry support klienta ..
w innych firmach w których do tej pory kupowałem sprzęt mogłem usłyszeć tylko
"konfiguracją sprzedawanego sprzętu się nie zajmujemy .. dowidzenia"

ale polityka InterProjekt na szczęście jest inna i poza działem handlowym mają naprawdę
konkretnych fachowców na których pomoc można liczyć przy zakupie sprzętu ..