Distribuire connettivita con RB110

[bsd3000]

Salve a tutti

Sono nuovo di questo forum e di RouterOS nello specifico,
prima di postare ho cercato un po nel forum ma non ho colmato tutti i miei dubbi:


Ho una connettivita' internet di 100Mbit su ethernet che devo suddividere su diversi uffici di un palazzo (6 uffici)
di cui io devo gestire solo la parte di distrubuzione.

Ho a disposizione un RB1100.

sui 100Mbit ho una /27 pubblica

Ad ogni ufficio voglio fornire una /24 Privata (diversa per ogni ufficio).


posso utilizzare uno scenario del seguente tipo?
ether13 cavo sulla rete pubblica (wan)
ether1 cavo fino ad ufficio 1 con rete 10.0.1.0/24 in nat
ether2 cavo fino ad ufficio 2 con rete 10.0.2.0/24 in nat
ether3 cavo fino ad ufficio 3 con rete 10.0.3.0/24 in nat
ether4 cavo fino ad ufficio 4 con rete 10.0.4.0/24 in nat
...
...


il tutto senza usare VLAN?
(usando le vlan sono costretto a mettere in ogni ufficio
uno switch layer2 e configurarlo, ma non devo gestire io la parte interna agli uffici)

Grazie a chiunque possa darmi un help

[g.marocchio]

io farei le vlan.. ti semplificano la vita e hai meno cavi in giro....

[bsd3000]

io farei le vlan.. ti semplificano la vita e hai meno cavi in giro....

Ciao e grazie per la risposta

Ho il problema che la parte di rete di ogni ufficio non la gestisco io

io devo solo arrivargli in ogni ufficio con un cavo ethernet su cui c'e' una /24 nattata.

sai se e' possibile assegnare ad ogni porta dell'RB1100 una classe di ip
che poi viene nattata da alcuni ip pubblici su una determinata porta (wan)

Quello che non ho ben capito (tra tutte le cose) sono i 2 switch L2 che ha
l'rb1000

se assegno ad ogni porta una classe diversa, se un utente
di una di quelle porte si mette in promisquo puo' prendere
il traffico delle altre? (visto che e' sul medesimo switch nell'rb1000)

forse non mi sono spiegato o forse ho detto una cavolata...

Grazie per eventuali risposte

[g.marocchio]

Ciao, ok si lo puoi fare dando un ip di una classe diversa x ogni "sotto-ufficio" poi a seconda di come vuoi far si che le varie lan parlino tra di loro puoi configurare il firewall ( chain forward ) e il nat di uscita per ogni singola subnet ( es: se vuoi farle uscire con un ip pubblico diverso... )

inoltre con un po' di code PCQ puoi dividere la banda equamente tra i vari client dando anche un po' di qualità del servizio.


Cordiali saluti

[bsd3000]

Ciao, ok si lo puoi fare dando un ip di una classe diversa x ogni "sotto-ufficio" poi a seconda di come vuoi far si che le varie lan parlino tra di loro puoi configurare il firewall ( chain forward ) e il nat di uscita per ogni singola subnet ( es: se vuoi farle uscire con un ip pubblico diverso... )

inoltre con un po' di code PCQ puoi dividere la banda equamente tra i vari client dando anche un po' di qualità del servizio.


Cordiali saluti

Grazie!

domani provo!

[bsd3000]

Direi che *forse* ci sono,
inizio a capire come ragiona routerOS.

ora sono in questa situazione:

Codice: Seleziona tutto

[admin@baracchino1] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat action=masquerade src-address=172.16.15.0/24 out-interface=ether11


[admin@ baracchino1] > /ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic

[admin@ baracchino1] /ip address> print
Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         INTERFACE                                                                                                                                                   
0   172.16.10.6/24     172.16.10.0     ether1                                                                                                                                                       
1   172.16.15.1/24     172.16.15.0     ether2                                                                                                                                                       
2   192.168.0.254/24   192.168.0.0     ether3                                                                                                                                                       
3   88.xx.xx.196/27    88.xx.xx.192    ether11     


la 3 e' la wan

se mi connetto con un portatile alla porta2 mi viene dato correttamente l'ip (ho impostato il dhcp server)
ed default gw e' corretto (172.16.15.1)

La routerboard e' raggiungibile dall'esterno sull'ip 88.xx.xx.196 (quindi ha connettivita ed instrada correttametne traffico)

il problema e' che non mi natta/forward nel senso che se dall'ip 172.16.15.200 connesso alla ether2
provo a pingare 8.8.8.8 non esco.

devo impostare delle regole sul mangle per permettere ai pacchetti che entrano dalla ether2 di uscire dalla ether11 nattati?

mi manca questo ultimo scoglio

[g.marocchio]

è attivato il connection tracking??

[bsd3000]

se intendi in

ip -->firewall--> connection

si e' attivo e vedo che ci sono connessioni
da 172.16.15... a 8.8.8.8 di tipo icmp (i ping)

ma nella colonna stato non c'e' nulla

grazie di eventuali hint

[g.marocchio]

fai un ip firewall pr e un ip route pr

grazie!!

[bsd3000]

fai un ip firewall pr e un ip route pr

Questo l'output del nat

Codice: Seleziona tutto

[admin@baracchino1] /ip route> /ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          77.89.20.193       1       
1 ADC  88.xx.xx.192/27    88.xx.xx.xx.196    WAN                0       
2 ADC  172.16.10.0/24     172.16.10.6     ether1             0       
3 ADC  172.16.15.0/24     172.16.15.1     ether2             0       
4 ADC  192.168.0.0/24     192.168.0.254   ether3             0     


il print delle regole di mangle e' nel post precedente
P.s. sto usando RouterOS 5.2

grazie!!

Grazie a te per la pazienza!