کمک جهت کانفیگ میکرتیک برای سناریو سخت

**sahar_gol** · 2014-12-03, 12:22 AM

سلام و عرض خسته نباشید خدمت اساتید محترم انجمن.

بنده یک میکروتیک RB2011 2Hnd گرفتم و حالا شدیدا توش کانفیگش مشکل دارم خواستم در صورت امکان همکاری کنید.

دو تصویر اینجا میزارم اولی نقشه دقیق شبکه هست و دومی از وینباکس میکروتیک. سایر توضیحات هم بعد عکس ها مینویسم لطفا کمکم کنید.

کاری که نهایتا باید انجام شود :

1- تمامی کاربران وای فای جز رمز وای فای هیچ محدودیتی نداشته باشن و بتونن از همه چیز ( حتی اینترنت ) فقط با وصل شدن به وای فای روتر میکروتیک استفاده کنن.

2- تمامی کاربران شبکه لن بدون محدودیت به شبکه دولت و تمامی منابع داخلی ( فایل شیرینگ، اتوماسیون و ...) دسنرسی داشته باشن.

3- کاربران لن با داشتن یوزر و پسورد و اتصال به pptp ( با استفاده از کانکشن وی*پی*ان) دسترسی به اینترنت داشته باشن.

4- با روت مناسب ترافیک شبکه دولت به سمت روتر دولت و سایر ترافیک به سمت اینترنت برود.

کاری که تا کنون انجام شده :

1- کاربران لن با VPN به اینترنت و شبکه دولت دسترسی دارند. ( در صورت قطع VPN شبکه دولت هم دسترسی ندارند )

1- روتینگ بین شبکه ها انجام مبشود ( رفقط در صورت وصل بودن VPN کاربر)

مشکلات اساسی :

1- وای فای چگونه تنظیم شود که دسترسی کامل داشته باشد ؟

2- چگونه دسترسی به شبکه دولت بدون وصل شدن به کانکشن vpn داشته باشیم.

تشکر از الطاف تمامی اساتید گرامی.

موضوعات مشابه:

**sahar_gol** · 2014-12-03, 01:47 PM

جای دسترسی کامل توسط وای فای اگه بتونم مک های خاصی رو دسترسی کامل بدم ( چه کابلی چه بی سیم ) عالیه

**mojtaba461** · 2014-12-03, 11:41 PM

نیاز به سه رنج ip دارید:

1- Lan کابلی
2- Lan بیسیم
3- vpn

پس اینترفیس کابلی رو از بیسیم جدا کنید و دو رنج مختلف براشون در نظر بگیرید.

2- چگونه دسترسی به شبکه دولت بدون وصل شدن به کانکشن vpn داشته باشیم.

برای شبکه دولت که مشکلی نیست و نیاز به روت هم نیست چون ip /8 هست و همه هم باید دسترسی داشته باشن، پس فقط یک nat احتیاج دارید:

کد:

/ip firewall nat add chain=srcnat dst-address=10.0.0.0/8 action=netmap to-address=10.84.54.2

برای اینترنت هم که روتش برای 0.0.0.0/0 نوشته شده که گیتوی باید مودم باشه. پس فقط میمونه nat کردن که کدوم کاربران دسترسی داشته باشن.
چون نیازه کاربران vpn و wifi دسترسی داشته باشن (به جز کابلی) دو رنج ip اینها رو وارد یک آدرس لیست کنید. فرض کنیم برای vpn رنج 192.168.10.0/24 و برای wifi رنج 192.168.20.0/24 دارید. در اینصورت:

کد:

/ip firewall address-list add address=192.168.10.0/24 list=internet
/ip firewall address-list add address=192.168.20.0/24 list=internet

و در نهایت nat میکنیمشون روی 192.168.1.38 برای دسترسی به اینترنت:

کد:

/ip firewall nat add chain=srcnat src-address-list=internet dst-address=!10.0.0.0/8 action=netmap to-address=192.168.1.38

- - - ادامه - - -

نوشته اصلی توسط sahar_gol

جای دسترسی کامل توسط وای فای اگه بتونم مک های خاصی رو دسترسی کامل بدم ( چه کابلی چه بی سیم ) عالیه

از قسمت wireless > access list میتونید مک ها رو وارد کنید.

**sahar_gol** · 2014-12-04, 12:00 AM

ممنون از لطفتون خیلی کمک بزرگی به بنده کردید.
دوتا سوال دارم اگه اینم کمک کنید بزرگواری کردید.
فرمودین رنج وای فای جدا بشه.
یعنی یک pool جدید مخصوص وای فای تعریف کنم ؟
چجوری فقط به کاربران وای فای تخصیصش بدم ؟

سوال دیگه اینکه یک پورتال مالیاتی بهمون دادن که با شبکه دولت باز میشه و آدرسش 192.168.111.22 هست.
حالا برای من عجیبه این آدرس شبکه محلی کلاس c چجوری توی شبکه دولت باز میشه ولی گذشته از این مشکلی که دارم اینه که چجوری این آدرس از طریق شبکه دولت برای تمام کاربران باز بشه.
در حالت عادی وقتی تنها شبکه دولت به سیستم وصل کنم راحت باز میشه ولی وقتی میکروتیک بیاد توی شبکه با اینکه شبکه دولت باز میشه و پینگ داره اما این آدرس باز نمیشه.

تشکر و قدردانی از لطفتون

**znhost** · 2014-12-04, 11:03 AM

جای دسترسی کامل توسط وای فای اگه بتونم مک های خاصی رو دسترسی کامل بدم ( چه کابلی چه بی سیم ) عالیه

از ARP هم میتونی استفاده کنی . البته باید اتر را روی read only قرار بدی

**mojtaba461** · 2014-12-04, 12:40 PM

نوشته اصلی توسط sahar_gol

فرمودین رنج وای فای جدا بشه.
یعنی یک pool جدید مخصوص وای فای تعریف کنم ؟
چجوری فقط به کاربران وای فای تخصیصش بدم ؟

کاربران wifi رو به اینترفیس دیگه وصل کنید مثلا ether4

نوشته اصلی توسط sahar_gol

سوال دیگه اینکه یک پورتال مالیاتی بهمون دادن که با شبکه دولت باز میشه و آدرسش 192.168.111.22 هست.
حالا برای من عجیبه این آدرس شبکه محلی کلاس c چجوری توی شبکه دولت باز میشه ولی گذشته از این مشکلی که دارم اینه که چجوری این آدرس از طریق شبکه دولت برای تمام کاربران باز بشه.
در حالت عادی وقتی تنها شبکه دولت به سیستم وصل کنم راحت باز میشه ولی وقتی میکروتیک بیاد توی شبکه با اینکه شبکه دولت باز میشه و پینگ داره اما این آدرس باز نمیشه.

از شاهکارهای دولت

این آدرس رو روت کنید سمت سیسکو، اگر ip سیسکو 10.84.54.1 باشه:

کد:

/ip route add dst-address=192.168.111.22 gateway=10.84.54.1

بعد تمام کاربران رو nat کنید:

کد:

/ip firewall nat add chain=srcnat dst-address=192.168.111.22 action=netmap to-address=10.84.54.2

این nat رو بالاتر از دو nat قبلی قرار بدید.

**sahar_gol** · 2014-12-04, 06:07 PM

خیلی ممنون واقعا بزرگواری کردید.
میکروتیک من خودش آنتن داره اکسس پوینت جدا نیست که بتونم به پورت دیگه وصلش کنم.
توی خود وینباکس هم یه صفحه تب wireless داره که نمیدونم چجوری ازش استفاده کنم.
یه کتاب نسبتا کامل میکروتیک به زبان فارسی یا انگلیسی اگه سراغ دارید ممنون میشم اسمشو بگید.

**mojtaba461** · 2014-12-04, 07:01 PM

نوشته اصلی توسط sahar_gol

خیلی ممنون واقعا بزرگواری کردید.
میکروتیک من خودش آنتن داره اکسس پوینت جدا نیست که بتونم به پورت دیگه وصلش کنم.

خب پس اینترفیسشون جدا هست. ip شون هم طبیعتا باید جدا باشه از lan.

توی خود وینباکس هم یه صفحه تب wireless داره که نمیدونم چجوری ازش استفاده کنم.

پس الان کاربران wifi چطور دارن استفاده می کنن اگر کانفیگ نکردید؟

**sahar_gol** · 2014-12-04, 07:17 PM

وای فای هیچی انجام ندادم.
فقط یه رمز با ssid بهش دادم که کانکت میشه به شبکه . ولی حتی vpn هم کانکت نمیکنه.

**mojtaba461** · 2014-12-04, 07:49 PM

اینترفیس wlan هم مثل اینترفیس lan براش dhcp server نصب کنید یا ip قرار بدید منتها از رنج دیگه. روش کار هیچ فرقی با سایر اینترفیس ها نداره.

موضوع: کمک جهت کانفیگ میکرتیک برای سناریو سخت

پیوند

ابزارهای موضوع

نمایش

کمک جهت کانفیگ میکرتیک برای سناریو سخت

کلمات کلیدی در جستجوها:

afagh SSID

نرم افزار فایل شیرینگ شبکه داخلی

وصل شدن به مودم میکروتیک بدون vpn

برچسب برای این موضوع

مجوز های ارسال و ویرایش