Vlan между 2 mikrotik и выход в интернет

Обсуждение ПО и его настройки
Ответить
Ozonrus
Сообщения: 2
Зарегистрирован: 11 май 2019, 15:11

Всем привет!
Никак не соображу по элементарному вопросу, дайте пожалуйста подсказку или совет:

Есть 2 микротика:

1 - RB951G-2HnD
2 - RB951Ui-2HnD

У каждого из них на 5 порту 2vlan:
1 -105 для выхода в интернет, 200 для связи со вторым
2 -100 для выхода в интернет, 200 для связи с первым

1 выходит в интернет через pppoe которое по 105 vlan
2 выходит в интернет по dhcp который раздает 100 vlan

На обоих настроены на 200 vlan IP адреса из подсети 172.16.9.х/30 (собственно у 1 - 172.16.9.1, у 2 - 172.16.9.2) и маршрут через эти IP адреса ко внутренним подсетям. Бриджи на вланах не используются.

Вопрос:

Если я обращаюсь с компьютера в сети 2 микротика к компьютеру в сети 1 микротика - 1 микротик видит в firewall/connections не IP адреса внутренней подсети 2 микротика, а интерфейс vlan 2 микротика. Как сделать так, чтобы 1 микротик (или наоборот 2) видели в подключениях не IP адреса vlanов, а внутренние IP адреса чужих подсетей?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Ozonrus писал(а): 11 май 2019, 15:24 Всем привет!
Никак не соображу по элементарному вопросу, дайте пожалуйста подсказку или совет:

Вопрос:
Если я обращаюсь с компьютера в сети 2 микротика к компьютеру в сети 1 микротика - 1 микротик видит в firewall/connections не IP адреса внутренней подсети 2 микротика, а интерфейс vlan 2 микротика. Как сделать так, чтобы 1 микротик (или наоборот 2) видели в подключениях не IP адреса vlanов, а внутренние IP адреса чужих подсетей?
Сложно вопрос поставили, но если правильно понял, то Вам надо убрать/отключить/настроить микротик так,
чтобы между сетями(локальными), сети передавались как есть, а не НАТились. У Вас стоит скорее всего обобщённое правило НАТ,
и всё прячется (НАТиться) от исходящего адреса интерфейса, в данном случаи от IP адреса(ов) интерфейса вилана 200.

Поэтому Вам надо правило(а) НАТ сделать более точными, что если идёт запрос в глобал то НАТить,
а если сеть №1 обращается к сети №2 и наоборот = действие с пакетом не делать.
(это надо настраивать на обоих роутерах обязательно)

(это как не надо при переходе с одной комнаты в другую одевать верхнюю одежду,
но если надо выйти с квартиры, одеваться уже надо).

Настраивайте правила, делаете правильный работающий НАТ и всё будет работать прозрачно, гибко.
Тема не раз поднималась тут, всё это просто.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ozonrus
Сообщения: 2
Зарегистрирован: 11 май 2019, 15:11

Vlad-2 писал(а): 11 май 2019, 16:31 Сложно вопрос поставили, но если правильно понял, то Вам надо убрать/отключить/настроить микротик так,
чтобы между сетями(локальными), сети передавались как есть, а не НАТились. У Вас стоит скорее всего обобщённое правило НАТ,
и всё прячется (НАТиться) от исходящего адреса интерфейса, в данном случаи от IP адреса(ов) интерфейса вилана 200.

Поэтому Вам надо правило(а) НАТ сделать более точными, что если идёт запрос в глобал то НАТить,
а если сеть №1 обращается к сети №2 и наоборот = действие с пакетом не делать.
(это надо настраивать на обоих роутерах обязательно)

(это как не надо при переходе с одной комнаты в другую одевать верхнюю одежду,
но если надо выйти с квартиры, одеваться уже надо).

Настраивайте правила, делаете правильный работающий НАТ и всё будет работать прозрачно, гибко.
Тема не раз поднималась тут, всё это просто.

Да, всё верно. Понял куда смотреть, спасибо большое!


Ответить