правильно ли я понимаю, что есть какое-то количество машин, у части из них белые ипы, часть находится в локалке за роутером, и хочется безболезненно поместить первую группу рядом со второй, сохранив за ними возможность доступа к ним снаружи по их белым ипам. Так?

Ну назначайте внешние адреса прямо на машины, вытащив их в отдельный влан. И бриджуйте, например, этот влан с интерфейсом роутера, где провайдер.

если надо, чтобы две группы машин были в локалке (опять же принципиально ли, чтобы именно в одном домене коллизий или нет?), этот вариант может не подойти

если надо, чтобы две группы машин были в локалке (опять же принципиально ли, чтобы именно в одном домене коллизий или нет?), этот вариант может не подойти

А зачем может это быть настолько принципиально? Слабый роутер и большие потоки данных до этих машин из локалки с серых адресов?

ну не знаю, мало ли какие хотелки. Может там сеть микрософт и нет ни одной машины, которая могла бы выполнять роль сервера wins.

Wins в 2017-м???

правильно ли я понимаю, что есть какое-то количество машин, у части из них белые ипы, часть находится в локалке за роутером, и хочется безболезненно поместить первую группу рядом со второй, сохранив за ними возможность доступа к ним снаружи по их белым ипам. Так?

Не совсем

IP не белые

IP выдает внешний DNS

dhcp

Wins в 2017-м???

винда, сэр

Да, опенчатка

DHCP бежит в связке с DDNS

винда, сэр

Но зачем? DNS наше все

И люди извне хотят стучатсья по этим динамическим хостнеймам

а "внешний dhcp" кому подконтролен?

Причем им вапжно чтобы именно был каждый хост = отдельный IP

а "внешний dhcp" кому подконтролен?

Не мне

DHCP бежит в связке с DDNS

тогда предложенный мной вариант. Вытаскиваем машины, которые должны получать адреса у этого DHCP в отдельный VLAN, на роутере бриджуем этот влан с интерфейсом, откуда летит DHCP. Машины из локалки будут стучаться до них через маршрутизатор.

Машины получают адреса у внешнего DHCP, доступны по DDNS-имени и снаружи, и изнутри, и друг с друга.

тогда предложенный мной вариант. Вытаскиваем машины, которые должны получать адреса у этого DHCP в отдельный VLAN, на роутере бриджуем этот влан с интерфейсом, откуда летит DHCP. Машины из локалки будут стучаться до них через маршрутизатор.

Да, то что нужно. Спасибо.

смотря ещё, что от локалки нужно. Но для многих задач подойдёт.

Ну и не забывайте о фаерволах на машинах в этом отдельном VLAN.

смотря ещё, что от локалки нужно. Но для многих задач подойдёт.

Из особых хотелок разве что хотелось бы чтобы мультикасты ходили, но если не будут - то ничего особо страшного не случится - это не критично

надо чтобы на машинках с "внешними адресами" был прописан маршрут до внутренней сети через внешний адрес роутера. А на роутере надо будет придумать, как пропускать трафик внутрь только от нужных машин. Вероятно, придётся задействовать bridge filter.

НЕ примите за рекламу Нужна посильная помощь https://vk.com/lets_help_arsen?w=wall-155574778_12%2Fall

сомневаюсь что возможно. dhcp идентифицирует клиента по маку, а на роутере несколько маков на интерфейсе весьма нетривиальная задача.

vrrp наше всё - с его помощью можно в микротик присвоить одному ethernet несколько mac

но ведь vrrp для другого

Workaround)

Workaround)

Костыли

но ведь vrrp для другого

это костыль, с его помощью можно несколько мас на 1 интерфейс

vrrp наше всё - с его помощью можно в микротик присвоить одному ethernet несколько mac

А есть возможность поднять VRRP на интерфейсе с аплинком и каждый созданный VRRP интерфейс обучить гнать весь трафик к какому-то конкретному хосту (ну и чтобы хост трафик в интернет тоже гнал через этот интерфейс) ?

А есть возможность поднять VRRP на интерфейсе с аплинком и каждый созданный VRRP интерфейс обучить гнать весь трафик к какому-то конкретному хосту (ну и чтобы хост трафик в интернет тоже гнал через этот интерфейс) ?

Это вопрос к провайдеру, т.к. они большие и резервируют по другому

Это вопрос к провайдеру, т.к. они большие и резервируют по другому

Провайдер, увы, ничего на своей стороне делать не будет.

Настраивать можно только микротик работающий шлюзом и машины которые в него воткнуты

Настраивать можно только микротик работающий шлюзом и машины которые в него воткнуты

тогда это не vrrp

тогда это не vrrp

Теперь совсем перестал понимать. Выше в качестве альтернативы бриджированию влана и аплинка же предлагался вариант создать vrrp интерфейсы, прибить к ним mac и вывесить в мир их

побочная польза от vrrp это то, что на микротике можно повесить много интерфейсов через vrrp только на одном, без партнёра и повесить разные маки на них. по другому на микротике одному физическому интерфейсу нельзя повесить больше 1 мака. С точки зрения микротика это будет N независимых интерфейсов воткнутых а один бридж с физическим портом, НО с разными мак адресами

Ну чот такое, на каждую машину с "белым" адресом вешать отдельный интерфейс в микротике...

То есть с точки зрения провайдера все эти интерфейсы будут воткнуты в сеть, но при этом заставить машины из локалки ходить в интернет с этими адресами, или заставить микротик при обращении к этим адресам отправлять все пакеты нужной машине за натом я не смогу. Теперь понял.

У кого ссш на стандартном 22м и белый айпи - гляньте логи

У кого ссш на стандартном 22м и белый айпи - гляньте логи

Постоянно ломятся всякие пи... роботы

Ну чот такое, на каждую машину с "белым" адресом вешать отдельный интерфейс в микротике...

депутаты так же думают...

У кого ссш на стандартном 22м и белый айпи - гляньте логи

Чистые. Потому что ограничены адреса, откуда можно ломиться, локалкой, адресами впн-пула и парой впс с белыми адресами. Все.

У кого ссш на стандартном 22м и белый айпи - гляньте логи

Все чисто, сама ломлюсь со случайных айпишек

я починил озон!!!!

плять. объясните нубу почему так? у меня dhcp range был /8 дабы всяких левых убрать потценциальных поставил дефолтную /24 но это же локальная... не понимаю

куда пакеты то девались

короче все нормальни

вот я дибил.. я хотел поставиь маску /28, а поставил /8 от мелочь, а сразу не заметил

вот я дибил.. я хотел поставиь маску /28, а поставил /8 от мелочь, а сразу не заметил

жаль башорг умирает, а на лор не по профилю )

А зачем открывать ssh на микроте

https://pastebin.com/jUFh3R8p при условии такой настройки Firewall

А зачем открывать ssh на микроте

Ну… видимо ходить на него…

А зачем открывать ssh на микроте

Потому что винбокс нинужин.

Потому что винбокс нинужин.

Рили?

Угу.

граждане, находясь в терминале микрота через вебморду, можно-ли как-то вставить текст из буфера?

Потому что винбокс нинужин.

А по Winbow можно удалённо?

И чем он плох?

А по Winbow можно удалённо?

А почему нет?

И чем он плох?

Тем, что на маке его приходится пускать под wine'ом например

А почему нет?

Пока не знаю. Я только пытаюсь настроить.

Тем, что на маке его приходится пускать под wine'ом например

Я через Parallels…

ERROR: S client not available

Тем, что на маке его приходится пускать под wine'ом например

И всё?

А вебморда чем хуже этого Winbox?

нельзя много окошек. Но история про мак и параллелс с вайном - отличная

Ну как минимум ssh удобнее автоматизировать и контролировать, чем винбокс.

Подскажите пожалуйста в каком порядке тогда эти правила?

Опять же, старую дыру с data slow from winbox до сих пор не победили.

нельзя много окошек. Но история про мак и параллелс с вайном - отличная

Можно. Но ссш лично мне гораздо удобнее

Можно. Но ссш лично мне гораздо удобнее

Ты из командной строки работаешь?

А вебморда чем хуже этого Winbox?

По-моему, даже лучше.

Ты из командной строки работаешь?

А что вас в этом смущает?

А вебморда чем хуже этого Winbox?

Тем, что в винбоксе все раскидано по закладкам по теме, а в вебморде заходишь в пункт верхнеуровневого меню и вываливается вся портянка

Ты из командной строки работаешь?

Да, мне так удобнее и быстрее

А что вас в этом смущает?

Ничего. Хочу уточнить через Royal TX?

Да, мне так удобнее и быстрее

Через Royal TX?

Ничего. Хочу уточнить через Royal TX?

При чём тут он?

Любой ssh-client подойдёт же.

Опять же, старую дыру с data slow from winbox до сих пор не победили.

А что за дыра?

При чём тут он?

Вроди Александр его юзает.

Вроди Александр его юзает.

Отвечаете вы, на секундочку, мне.

Зато порт винбокса никто не обстукивает

Через Royal TX?

В том числе да

Отвечаете вы, на секундочку, мне.

В чём вопрос?

Можно. Но ссш лично мне гораздо удобнее

как через вебморду можно держать пару терминалов, не используя вкладки в браузере? Никто не спорит про удобство ссш.

Т.е. мне не узнать куда эти правила совать?

ssh лучше хотя бы потому, что я не знаю, сколько дыр наделали в Winbox латыши. А ssh везде один.

А что за дыра?

А древняя. Когда авторизуешься как винбокс и начинаешь тянуть плагины - затормаживаешь искусственно получение до 1-2 байт в секунду. И микротик падает в небольшую кому. Тупит адовейше.

ssh лучше хотя бы потому, что я не знаю, сколько дыр наделали в Winbox латыши. А ssh везде один.

Скоро и в нем найдут

регулярно находят

как через вебморду можно держать пару терминалов, не используя вкладки в браузере? Никто не спорит про удобство ссш.

А что мешает использовать вкладки браузера?

А может уже нашли, но молчат

Скоро и в нем найдут

Безусловно, как и в любом софте. Но давайте не будем сравнивать количество юзеров ssh и winbox и скорость латания дыр.

0 day