[РЕШЕНО] Прошу помощи в наведении порядка!!!!!!

[wan]

Всем добрый день/вечер.
Прошу коллективной помощи в наведении порядка.
Новое место работы, ни кто ничего не знает, как говорится "кинули на камни, выплывай как можешь".

Что имеем? Буду расписывать не совсем правильно, потому как тут "полный текст мысли вырезан цензурным агентством"

Есть микротик RB3011, заняты 6 портов, распишу попорядку:
Eth1 - Интернет от провайдера, пускай будет 33.33.33.90/29 (4 белых адреса в пользовании, зачем непонятно, не суть)
Eth2 - Local network 10.2.8.0/22
Eth3 - Local network 10.2.4.0/23
Eth4 - воткнут линк из VipNet Coordinator, порт без адреса, где-то внутри железки прописан 1 белый адрес от моего ISP
Eth5 - скросирован напрямую с каким-то компьютером для видеоконференций, порт без адреса
Eth6 - скросирован с сервером на котором крутится UserGate, порт без адреса

Правил на fw микротика всего 3 штуки:
ip fw chain=input protocol=udp action=allow
ip fw chain=input protocol=rdp action=allow
ip fw nat chain=srcnat out-interface=bridge action=masquerade

Плюс немного маршрутов по сетям.

На первый взгляд вроде бы ничего страшного.

Теперь самое интересное.
Имеем в ip-addresses всего 3 записи, Bridge - 33.33.33.90/29, Eth2 - 10.2.8.1/22 и Eth3 - 10.2.4.1/23.
Имеем 1 (ОДИН КАРЛ) BRIDGE в который собраны собраны ВСЕ порты кроме локалок, т.е. Eth1+Eth4+Eth5+Eth6=BRIDGE

---
а) Немного отступления, что бы понимать, доступа к VipNet Сoordinator НЕТ, настройки менять категорически cложно и через очень заранее звонком в другой город. Ростелеком итить.
б) Белый адрес от провайдера назначен не на порт eth1, а прям на весь bridge
---

Ну думаю ладно, не такие ямы выкапывали. Самое главное вытащить Eth1 с внешним адресом из бриджа, что бы закрыть правилами огромную дыру из инета. Простым nmap видно и домен и чуть ли не всё оборудование, в общем беда.

Достаю eth1 из бриджа, переназначаю внешний адрес на eth1 а не на бридж, немного манипуляций и вроде как все, инет есть, дырки позакрыты несколькими правилами, вроде как счастье наступать начинает прям на лицо, но не тут то было!
То самое важное, а именно VipNet Coordinator с его КСПД от министерства перестает работать. А это полный швах и ахтунг, даже на час пропажа - уже растрел.

Подскажите что с этим всем безобразием можно сделать достаточно безболезненно и с минимальными задержками по времени?
Хочется порядка и красоты, а не вот этого вот всего.
Понятное дело что буду связываться с управленцами недоступного железа и что-то думать, но это пока непонятно как затянется.

Всем мира и добра, с надеждой на коллективный разум, ваш Ванятка

[Chupaka]

Приветствую.

А что у вас с nmap видно-то?

Вроде нормальная схема собрана, при которой роутер и три устройства получают адреса напрямую от провайдера. А за роутером уже локалки всякие. Т.е. BRIDGE - это, по сути, WAN, перед которым стоит а-ля коммутатор, в который "подключены" устройства eth4,5,6. Вопрос у меня только к компу с видеоконференциями (eth5) - его бы, возможно, и стоило закрыть каким-нибудь файрволом. Но, возможно, ему нужны входящие соединения из интернета, тут уж надо глубже разбираться.

[wan]

Код: Выделить всё

PORT     STATE SERVICE
53/tcp   open  domain
80/tcp   open  http
443/tcp  open  https
2000/tcp open  cisco-sccp
8291/tcp open  unknown

это видно обычным сканированием, мне не нравится

Второе, я не могу делать пробросы.
Не работает нормально VPN через UserGate, постоянно отваливается.
Комп с ВКС да, там нужен инет, но он и так есть у всех без ограничений и всё что воткнуто в микротик вторыми концами по факту воткнуто в локалку. Я просто смысла не вижу никакого в этом всем.
Может я конечно чего-то не понимаю, но по-моему это неправильно и некрасиво как-то

[Chupaka]

это видно обычным сканированием, мне не нравится

Это при сканировании адреса самого роутера. И это естественно: у вас ведь ни одного запрещающего правила файрвола, а по умолчанию всё разрешено. Заблокируйте в chain=input то, что вам не надо.

Второе, я не могу делать пробросы.

Я не вижу причины, почему вы это не можете делать. Вы вообще пробовали-то?..

Не работает нормально VPN через UserGate, постоянно отваливается.

Ну, это явно вопрос либо к UserGate, либо к провайдеру: у вас микротик выступает простым неуправляемым коммутатором, как будто UserGate включен напрямую в провайдера.

Комп с ВКС да, там нужен инет, но он и так есть у всех без ограничений и всё что воткнуто в микротик вторыми концами по факту воткнуто в локалку. Я просто смысла не вижу никакого в этом всем.

Т.е. вы хотите спрятать этот комп в одну из локалок за микротик? Создайте для этой локалки новый бридж, добавьте в него порт локалки и ВКС, перенесите настройки с порта локалки на бридж. Вуаля.

Может я конечно чего-то не понимаю, но по-моему это неправильно и некрасиво как-то

Мне сложно комментировать ваши эмоции, неправильное тут разве что отсутствие файрвола на роутере как минимум для запросов к роутеру извне.

[wan]

Т.е. BRIDGE - это, по сути, WAN, перед которым стоит а-ля коммутатор, в который "подключены" устройства eth4,5,6.

Chupaka спасибо тебе за вот эту вот твою фразу..... прочитав её 3 раза вслух и со знаками препинания понял где я туплю
все отлично, и все дырки позакрывал