Объединение офисов, печать

Базовая функциональность RouterOS
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Объединение офисов, печать

Сообщение chas99 »

Исходные данные
- офис1, белый статичный IP, Mikrotik VPN-server, Win-Server2008
- офис2, динамичный IP, Mikrotik VPN-Client, Рабочие места с МФУ HP М1132
сейчас, для пробы, на Микротиках поднят PPTP, с ПК в офисе подключение по RDP подключается к Win-Server2008.
К сожалению печать через EasyPrint с принтерами HP не работают :(

отсюда ВОПРОС - можно ли настроить, чтобы с сервера были видны ПК в офис2 и принтера подключенные к ним, чтобы сервер мог отправлять на печать документы на принтера в офис2 т.е. чтобы к серверу подключить "сетевой" принтер ?
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Объединение офисов, печать

Сообщение Chupaka »

PPTP поднят с BCP, или же трафик маршрутизируется и клиенты с сервером в разных подсетях?

Но в целом даже во втором варианте должно быть возможно зайти с сервера на клиент через \\ip.ad.dre.ss и там найти принтер и установить его...
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Объединение офисов, печать

Сообщение chas99 »

Нет, просто маршрутизируется... завтра проверю! спасибо!

а можно для экспериментов соединить два микротика напрямую без интернета, т.е. порт 1 в порт1 и указать адреса на Ether1 на одном 10.0.0.1 а на другом 10.0.0.2 ?
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Объединение офисов, печать

Сообщение Chupaka »

chas99 писал(а): 25 июл 2017, 11:22 а можно для экспериментов соединить два микротика напрямую без интернета, т.е. порт 1 в порт1 и указать адреса на Ether1 на одном 10.0.0.1 а на другом 10.0.0.2 ?
для чистоты эксперимента можно поверх этого поднять ещё и VPN-тоннель какой-нибудь :)
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Объединение офисов, печать

Сообщение chas99 »

Chupaka писал(а): 25 июл 2017, 08:12 PPTP поднят с BCP, или же трафик маршрутизируется и клиенты с сервером в разных подсетях?

Но в целом даже во втором варианте должно быть возможно зайти с сервера на клиент через \\ip.ad.dre.ss и там найти принтер и установить его...
попробовал разобраться с BCP :oops:
взял два роутера, сбросил настройки "без конфигурации по умолчанию"... сделал по описанию, но не заработало, думаю, что не хватает настроек... :cry:
я правильно понял, что в данном описании с BCP Ether1 - подключается к ПК, Ehter2 в качестве WAN ?
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Объединение офисов, печать

Сообщение Chupaka »

chas99 писал(а): 26 июл 2017, 11:10 я правильно понял, что в данном описании с BCP Ether1 - подключается к ПК, Ehter2 в качестве WAN ?
да
chas99 писал(а): 26 июл 2017, 11:10 взял два роутера, сбросил настройки "без конфигурации по умолчанию"... сделал по описанию, но не заработало, думаю, что не хватает настроек... :cry:
что не заработало? VPN не поднялся? поднялся, но в бридж не добавился? добавился, но пакеты не ходили? телепатов нет (с)
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Объединение офисов, печать

Сообщение chas99 »

Chupaka писал(а): 26 июл 2017, 11:39
что не заработало? VPN не поднялся? поднялся, но в бридж не добавился? добавился, но пакеты не ходили? телепатов нет (с)
рассказываю, хотел проверить настройки как в https://wiki.mikrotik.com/wiki/Manual:B ... ridging%29
1. оба роутера сбрасываю настройки без "по умолчанию"
2. на первом роутере выполняю

Код: Выделить всё

/interface bridge add name=bridge_local protocol-mode=rstp
/interface bridge port add bridge=bridge_local interface=ether1
/interface bridge set bridge_local admin-mac=6C:3B:6B:3E:90:71
/ip address add address=192.168.88.1/24 interface=bridge_local
/ip address add address=1.1.1.1/24 interface=ether2
/ppp profile add name=ppp_bridging bridge=bridge_local use-encryption=yes
/ppp secret add profile=ppp_bridging name=ppp1 password=ppp1    
/interface pptp-server server set enabled=yes mrru=1600
3. на втором роутере выполняю

Код: Выделить всё

/interface bridge add name=bridge_local protocol-mode=rstp
/interface bridge port add bridge=bridge_local interface=ether1
/interface bridge set bridge_local admin-mac=xx:xx:xx:xx:xx:xx
/ip address add address=192.168.88.254/24 interface=bridge_local
/ip address add address=2.2.2.2/24 interface=ether2
/ppp profile add name=ppp_bridging bridge=bridge_local use-encryption=yes
/interface pptp-client add profile=ppp_bridging mrru=1600 connect-to=1.1.1.1 user=ppp1 password=ppp1 disabled=no
начинаю проверять на первом роутере
- ping 2.2.2.2 нет ответа
- соединение PPTP не поднялся
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Объединение офисов, печать

Сообщение Chupaka »

chas99 писал(а): 28 июл 2017, 10:00 - соединение PPTP не поднялся
Поэтому и пинга нет. Вроде очевидно, что для связи должен подняться PPTP :)

А не поднимается он, подозреваю, потому, что второй роутер понятия не имеет, где находится 1.1.1.1 (у него ведь даже шлюза по умолчанию нет :) ). Если соединяете роутеры по ether2-ether2 - повесьте на них адреса из одной подсети, а не из разных (например, 1.1.1.1/24 и 1.1.1.2/24). Тогда и PPTP поднимется
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Объединение офисов, печать

Сообщение chas99 »

ОК, спасибо, завтра проверю...!
хотел попробовать один в один как в описании :oops:
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Объединение офисов, печать

Сообщение Chupaka »

В описании есть блок "Internet", который плохо эмулируется прямым соединительным проводом :D
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Объединение офисов, печать

Сообщение chas99 »

Изменил адрес на 2м роутере МТ2 :oops:

Код: Выделить всё

/ip address add address=1.1.1.2/24 interface=ether2
PPTP поднялся! смущает, что адресов нет LOCAL и REMOTE (мы ведь их не указывали), насколько это критично ?

пк2 192.168.88.25 подключенный к МТ2 пингует пк1 192.168.88.205 подключенный к МТ1 как по IP так и по имени !
также через "Сетевое окружение" тоже видны оба компьютера !
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Объединение офисов, печать

Сообщение chas99 »

to Chupaka

еще параллельный вопрос =) подскажите пожалуйста, есть такие настройки NAT

Код: Выделить всё

[test@MikroTik] > /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface=ether1 

 1 I  ;;; lte1 not ready
      chain=srcnat action=masquerade out-interface=*8 log=no log-prefix="" 

 2    chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=3389 protocol=tcp in-interface=ether1 dst-port=20702 log=yes log-prefix="RDP-" 

 3    chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=3389 protocol=tcp in-interface=<pptp-vpn1> dst-port=20702 log=yes log-prefix="RDP-" 
иногда в третьей строчке теряется in-interface=<pptp-vpn1> т.е. он в winboxe красный! подозреваю, что это происходит когда "рвется" VPN и после его поднятия данное правило не срабатывает, вот выключил PPTP и затем включил - ошибка ниже

Код: Выделить всё

 3 I  ;;; no interface
      chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=3389 protocol=tcp in-interface=*F00001 dst-port=20700 log=yes log-prefix="RDP-"
Вопрос как можно исправить эту ситуацию? т.е. чтобы при поднятии VPN это правило было бы корректным автоматом... а то сейчас приходится ручками править...
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Объединение офисов, печать

Сообщение Chupaka »

Это на стороне сервера?

Код: Выделить всё

/interface pptp-server add name=r2r-vpn user=vpn1
И использовать этот интерфейс в правилах. При подключении юзера vpn1 он будет становиться этим интерфейсом.
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Объединение офисов, печать

Сообщение chas99 »

Chupaka писал(а): 31 июл 2017, 09:09 Это на стороне сервера?

Код: Выделить всё

/interface pptp-server add name=r2r-vpn user=vpn1
И использовать этот интерфейс в правилах. При подключении юзера vpn1 он будет становиться этим интерфейсом.
да на стороне сервера, Спасибо! сделал, проверю...
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Объединение офисов, печать

Сообщение chas99 »

Chupaka писал(а): 31 июл 2017, 09:09

Код: Выделить всё

/interface pptp-server add name=r2r-vpn user=vpn1
И использовать этот интерфейс в правилах. При подключении юзера vpn1 он будет становиться этим интерфейсом.
Работает!!! Спасибо!!!
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Объединение офисов, печать

Сообщение chas99 »

to Chupaka
прокомментируйте пожалуйста http://forum.mikrotik.by/viewtopic.php? ... 1519#p1515

PPTP поднялся! смущает, что адресов нет LOCAL и REMOTE (мы ведь их не указывали), насколько это критично ?
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Объединение офисов, печать

Сообщение Chupaka »

Если работает - то адресов и не надо. Если надо зачем-то - то туда можно вписать всё, что угодно
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Объединение офисов, печать

Сообщение chas99 »

Отлично, Спасибо!
осталось только проверить данный механизм в реальных условиях :D

кстати я попробовал на этом тестовом стенде добавить правило в NAT и получил ошибку :oops:

Код: Выделить всё

/ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic 
 0 I  ;;;[b] in/out-interface matcher not possible when interface (pptp-in1) is slave - use master instead (bridge_local)[/b]
      chain=dstnat action=dst-nat to-addresses=192.168.0.206 to-ports=3389 protocol=tcp in-interface=pptp-in1 dst-port=20702 
      log=no log-prefix="" 
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Объединение офисов, печать

Сообщение Chupaka »

Всё правильно, если интерфейсы в бридже - надо указывать бридж в IP Firewall

В данной ситуации можно попробовать "in-interface=bridge_local in-bridge-port=pptp-in1"
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Объединение офисов, печать

Сообщение chas99 »

СПАСИБО!
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Объединение офисов, печать

Сообщение chas99 »

Chupaka
столкнулся со следующей проблемой ...
Server -> Mikrotik1 -> WAN - интернет - WAN -> Mikrotik2 -> ПК с Трафик Инспектором -> switch - PC1
получается с сервера нет доступа до PC1
ПК с ТИ не пропускает с WAN на LAN

какие предложения ?
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Объединение офисов, печать

Сообщение Chupaka »

Предложение самое правильное - настроить ТИ так, чтобы он пропускал нужный трафик :)
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Объединение офисов, печать

Сообщение chas99 »

Chupaka писал(а): 07 авг 2017, 12:39 Предложение самое правильное - настроить ТИ так, чтобы он пропускал нужный трафик :)
Отлично предложение =)

Подскажите в какую сторону копать? Я так понимаю firewall надо добавить правила... - разрешить всё для адресов с ip локальной сети и vpn?
Аватара пользователя
Chupaka
Сообщения: 4088
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Объединение офисов, печать

Сообщение Chupaka »

Тут немалую роль играют настройки TI. Делается ли там без необходимости NAT на интерфейсе, смотрящем в Мелкотик.

Также непонятно, поднят ли какой-то тоннель между Мелкотиками, какой там принцип работы (маршрутизация или коммутация/бридж).

Без деталей только телепаты помогут.