Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера". viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Gekko писал(а): ↑27 сен 2023, 15:41
Я это к тому, что такая схема не изолирует эту сеть от остальной в плане маршрутизации.
Маршрутизация вообще призвана не изолировать, а объединять сети, а точнее обеспечить хождение пакетов между разными сетями.
И если у вас пакеты из одной сети в другую ходят - значит да, маршрутизация работает.
Очень жаль. Моя задача - прямо противоположная.
Только вот arp-таблица к маршрутизации никакого отношения не имеет, это инструмент позволяющий наоборот спуститься от маршрутизации обратно к коммутации - от IP-адресов, к MAC-адресам.
В моем случае - имеет. При заполнении динамической арп-таблицы на корневом свиче он перестает маршрутизировать все адреса, которые не успели вписаться в эту таблицу. Ограничение - 254 адреса.
Ну давайте порассуждаем об этом Микротике: на нем существует VLAN104 в котором есть клиенты, которым нужно выходить в сеть через VLAN22. Поэтому у них стоит маршрут по умолчанию до шлюза - 172.16.22.254. Это значит что все эти клиенты так или иначе проходят и маршрутизируются на корневом свиче. Теперь я ЕЩЕ РАЗ задам вопрос - как сделать так, что бы они со своими адресами никак не фигурировали в арп-таблице корневого свича? То есть им и в интернет надо выходить и при этом не заполнять arp-таблицу. Как я понимаю - это можно сделать только через маскарадинг.
То, что arp, который не должен ходить из одного L2 сегмента в другой, все-таки ходит, намекает либо на проблемы с непосредственно с L2, либо с тем, что где-то настроен proxy-arp.
Наблюдаемые проблемы на L3 - это симптом, причиной они быть не могут.
Ок, давайте порассуждаем: вы когда со своего компа ломитесь на сайт гугла, у вас на роутере в arp-таблице не появляется запись для IP гугла, ровно как и для всех остальных IP, куда вы ломитесь, только для IP близжайшего маршрутизатора и для хостов вашей внутренней сети.
И это никак не зависит от того, есть ли где-то на пути NAT, или нет.
Почему?
Потому что arp не используется для маршрутизации. Он используется для того, чтобы маршрутизируемый IP-трафик можно было скомутировать между соседними узлами, т.е. в рамках одного L2-сегмента.
Провайдерский маршрутизатор пакует пришедшие из интернета IP-пакеты, предназначенные вам, в ethernet-кадры, и шлет на MAC вашего маршрутизатора, тот распаковывает, разбирается с NAT’ом, firewall’ом и т.д., решает, кому его надо переслать дальше, и снова пакует в ethernet.
Вот чтобы понять, на какой MAC отправлять и используется arp.
Ни провайдерскому роутеру не нужны MAC-адреса ваших хостов, ни вашему - MAC-адреса всего, что лежит за провайдерским роутером.
Вот и все рассуждения.
Обычно они описаны в одной из первых глав всяких пособий типа «сети для чайников».
Попытки рассуждать дальше я вам уже озвучил выше - ищите, почему у вас тот L2 сегмент, который вы хотели разбить на два, и перейти от коммутации к маршрутизации на этом участке, так по факту и остался единым.
xvo писал(а): ↑28 сен 2023, 15:21
Попытки рассуждать дальше я вам уже озвучил выше - ищите, почему у вас тот L2 сегмент, который вы хотели разбить на два, и перейти от коммутации к маршрутизации на этом участке, так по факту и остался единым.
Это не проблема. Это совершенно другой участок моей сети, который я привел в пример. И хосты из этого примера маршрутизируются на корневом свиче потому, что шлюз для этой сети лежит за этим свичом. Им не избежать прохождения через него.
А вот на участке, где я сейчас пытаюсь решить проблему, пока еще ничего не настроено. Но я понял ваш посыл - делаем маршрут между двумя VLAN и этого будет достаточно. Остается на моем микротике, повесить ip и использовать его как гейтвей для маршрута по умолчанию.
xvo писал(а): ↑28 сен 2023, 17:55
Что такое «маршрут между двумя vlan»?
Ну не между двумя, а из VLAN105 во VLAN101:
0 A S 0.0.0.0/0 172.16.101.111 1
Где 172.16.101.111 адрес интерфейса VLAN101 на "разграничевающем" микротике. Одна проблема - шлюз, через который из сети vlan105 пользователи должны будут в интернет ходить, тоже лежит за кор-свичом.
Gekko писал(а): ↑29 сен 2023, 09:50
Ну не между двумя, а из VLAN105 во VLAN101:
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 172.16.101.111 1
Где 172.16.101.111 адрес интерфейса VLAN101 на "разграничевающем" микротике.
Не бывает никаких маршрутов "из".
Таблица маршрутизации не оперирует информацией, о том, откуда пакет пришел.
И маршрутов "во VLAN" тоже не бывает.
VLAN (в данном контексте VLAN-интерфейс) не может быть назначением маршрута - устройству не нужен маршрут, чтобы отправить кадр в определнный интерфейс.
Иногда интерфейс может быть гейтвеем, но не в этом случае.
Маршруты бывают только до адресов.
И указанный выше маршрут, это маршрут "до любого адреса" через адрес 172.16.101.111.
Вот только если это адрес на самом микротике, то смысла в этом маршруте никакого - получается пакет надо отправить самому себе.
Gekko писал(а): ↑29 сен 2023, 09:50
Одна проблема - шлюз, через который из сети vlan105 пользователи должны будут в интернет ходить, тоже лежит за кор-свичом.
Gekko писал(а): ↑29 сен 2023, 09:50
Ну не между двумя, а из VLAN105 во VLAN101:
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 172.16.101.111 1
Где 172.16.101.111 адрес интерфейса VLAN101 на "разграничевающем" микротике.
И указанный выше маршрут, это маршрут "до любого адреса" через адрес 172.16.101.111.
Вот только если это адрес на самом микротике, то смысла в этом маршруте никакого - получается пакет надо отправить самому себе.
Иначе мне придется указывать в как раз адрес нашего интернет-шлюза, который лежит ЗА кор-свичем.
Gekko писал(а): ↑29 сен 2023, 09:50
Одна проблема - шлюз, через который из сети vlan105 пользователи должны будут в интернет ходить, тоже лежит за кор-свичом.
Почему это вдруг проблема?
Ну потому что в этом случае мы получим такую же ситуацию как в примере с тем микротиком, где для vlan104 назначен маршрут по умолчанию до шлюза 172.16.22.254 и в этом случае на кор-свиче таблица заполняется еще и адресами из vlan104.
Это что - патовая стуация? Либо указываешь в маршруте путь до шлюза через кор-свич, либо вникуда.
