Доступ в разные сети

Обсуждение ПО и его настройки
Ответить
Dunlop
Сообщения: 27
Зарегистрирован: 01 ноя 2019, 09:00

Здравствуйте. Появился вопрос.
На микроте выведено три сети

192.168.0.0/24 (Домашняя сеть)
192.168.1.0/24 (Гостевая сеть по проводу)
192.168.2.0/24 (FTP сервер)

Хочу расшарить папку на FTP сервере (который находится в сети 192.168.2.0/24) и подключиться к ней с компьютера, который находится в сети 192.168.0.0/24. Но компьютеры из разных сетей друг друга не видят. В Firewall'е блокирующих правил нет. Для пробы создал разрешающие правила, запустил пинг с одной сети в другую. Пакеты идут, но пинг не отображается.
Заранее спасибо.


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Ничего не понятно.
Вы даже и вопрос свой так и не написали.


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

Dunlop писал(а): 06 фев 2020, 09:54 Здравствуйте. Появился вопрос.
На микроте выведено три сети

192.168.0.0/24 (Домашняя сеть)
192.168.1.0/24 (Гостевая сеть по проводу)
192.168.2.0/24 (FTP сервер)

Хочу расшарить папку на FTP сервере (который находится в сети 192.168.2.0/24) и подключиться к ней с компьютера, который находится в сети 192.168.0.0/24. Но компьютеры из разных сетей друг друга не видят. В Firewall'е блокирующих правил нет. Для пробы создал разрешающие правила, запустил пинг с одной сети в другую. Пакеты идут, но пинг не отображается.
Заранее спасибо.
Конфиг приложите.


Dunlop
Сообщения: 27
Зарегистрирован: 01 ноя 2019, 09:00

Код: Выделить всё

# feb/06/2020 17:09:27 by RouterOS 6.46.2
# software id = ZG3A-IX2T
 model = RBD52G-5HacD2HnD
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz name=channel1
/interface wireless
# managed by CAPsMAN
# channel: 2442/20-Ce/gn(30dBm), SSID: NetLink, CAPsMAN forwarding
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=\
    20/40mhz-XX country=no_country_set distance=indoors frequency=auto \
    frequency-mode=manual-txpower installation=indoor mode=ap-bridge ssid=\
    NetLink wireless-protocol=802.11
set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-a/n/ac \
    channel-width=20/40/80mhz-XXXX country=no_country_set disabled=no \
    distance=indoors frequency=auto frequency-mode=manual-txpower \
    installation=indoor mode=ap-bridge ssid=NetLink5 wireless-protocol=802.11
/caps-man datapath
add bridge=bridge name=datapath1
/caps-man configuration
add channel=channel1 datapath=datapath1 mode=ap name=cfg1 rx-chains=0,1,2,3 \
    security=security1 ssid=NetLink tx-chains=0,1,2,3
/caps-man interface
add configuration=cfg1 disabled=no l2mtu=1600 mac-address=74:4D:28:B8:4A:BC \
    master-interface=none name=cap1 radio-mac=74:4D:28:B8:4A:BC radio-name=\
    744D28B84ABC
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.0.2-192.168.0.254
add name=FTP ranges=192.168.2.18-192.168.2.21
add name=Guest ranges=192.168.1.2-192.168.1.50
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
add address-pool=FTP disabled=no interface=ether5 name=FTP
add address-pool=Guest disabled=no interface=ether4 name=Guest
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge disabled=yes interface=ether5
add bridge=bridge disabled=yes interface=ether4
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=Internet list=WAN
/interface pptp-server server
set enabled=yes
/interface wireless cap
# 
set discovery-interfaces=bridge enabled=yes interfaces=wlan1
/ip address
add address=192.168.0.1/24 comment=defconf interface=ether2 network=\
    192.168.0.0
add address=192.168.1.1/24 interface=ether4 network=192.168.1.0
add address=192.168.2.1/24 interface=ether5 network=192.168.2.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.0.0/24 comment=defconf gateway=192.168.0.1 netmask=24
add address=192.168.1.0/24 gateway=192.168.1.1
add address=192.168.2.0/24 gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.0.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=forward dst-address=192.168.2.0/24 src-address=\
    192.168.0.0/24
add action=accept chain=forward dst-address=192.168.0.0/24 src-address=\
    192.168.2.0/24
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=\
    192.168.1.0/24
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=\
    192.168.0.0/24
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=\
    192.168.2.0/24
add action=drop chain=forward dst-address=192.168.2.0/24 src-address=\
    192.168.1.0/24
add action=drop chain=input comment=Bogon_Wan_Drop in-interface=Internet \
    src-address-list=BOGON
add action=drop chain=forward comment=Bogon_Wan_Drop in-interface=Internet \
    src-address-list=BOGON
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=dst-nat chain=dstnat comment="PORT 21 TO 192.168.2.20" \
    dst-address-type=local dst-port=21 protocol=tcp to-addresses=192.168.2.20 \
    to-ports=21
add action=masquerade chain=srcnat comment="PORT 21 TO 192.168.2.20" \
    dst-address=192.168.2.20 dst-port=21 protocol=tcp src-address=\
    192.168.2.0/24
add action=netmap chain=dstnat comment="PORT 2020 TO 192.168.2.20" \
    dst-address-type=local dst-port=2020 protocol=tcp to-addresses=\
    192.168.2.20 to-ports=2020
add action=masquerade chain=srcnat comment="PORT 2020 TO 192.168.2.20" \
    dst-address=192.168.2.20 dst-port=2020 protocol=tcp src-address=\
    192.168.2.0/24
add action=netmap chain=dstnat comment="PORT 3020 TO 192.168.0.3" dst-port=\
    3020 in-interface=Internet protocol=tcp to-addresses=192.168.0.3 \
    to-ports=3020
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="PORT 21 TO 192.168.2.20" \
    disabled=yes dst-address=192.168.2.20 dst-port=5500 protocol=tcp \
    src-address=192.168.2.0/24


Dunlop
Сообщения: 27
Зарегистрирован: 01 ноя 2019, 09:00

Erik_U писал(а): 06 фев 2020, 10:49 Ничего не понятно.
Вы даже и вопрос свой так и не написали.
На микротике есть 3 сети
192.168.0.0/24 (Домашняя сеть)
192.168.1.0/24 (Гостевая сеть по проводу)
192.168.2.0/24 (FTP сервер)

Первая сеть предназначена для домашних пользователей. Вторая для клиентского оборудования (ее не затрагиваем), в третьей сети находится FTP сервер.
Между первой и второй сетью обмен пакетами запрещен на уровне firewall'а. На FTP Сервере хочу расшарить папку, чтобы можно было зайти на нее с другого компьютера. Папку на сервере сделал общей. С компьютера, который находится в первой сети (192.168.0.0/24) пытаюсь подключиться на сервер. Ping до сервера не идет. В сетевом окружении компьютер не вижу. Папку хочу подключить как сетевой диск. На микротике в Firewall'е добавил разрешающее правило для обмена пакетами между сетями (192.168.0.0/24) и (192.168.2.0/24). Пакеты идут, но пинг не проходит.
Нужен доступ из первой сети в третью.


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Код: Выделить всё

/ip address
add address=192.168.0.1/24 comment=defconf interface=ether2 network=\
    192.168.0.0
Этот адрес на бридж повесьте.


Dunlop
Сообщения: 27
Зарегистрирован: 01 ноя 2019, 09:00

Erik_U писал(а): 06 фев 2020, 13:34

Код: Выделить всё

/ip address
add address=192.168.0.1/24 comment=defconf interface=ether2 network=\
    192.168.0.0
Этот адрес на бридж повесьте.

Код: Выделить всё

/ip address
add address=192.168.0.1/24 comment=defconf interface=bridge network=\
    192.168.0.0
add address=192.168.1.1/24 interface=ether4 network=192.168.1.0
add address=192.168.2.1/24 interface=ether5 network=192.168.2.0
Доступа нет.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Dunlop писал(а): 06 фев 2020, 13:23 Папку на сервере сделал общей. С компьютера, который находится в первой сети (192.168.0.0/24) пытаюсь подключиться на сервер. Ping до сервера не идет. В сетевом окружении компьютер не вижу. Папку хочу подключить как сетевой диск. На микротике в Firewall'е добавил разрешающее правило для обмена пакетами между сетями (192.168.0.0/24) и (192.168.2.0/24). Пакеты идут, но пинг не проходит.
Нужен доступ из первой сети в третью.
Вы же помните, что в Windows, по-умолчанию, ответ на пинг отключен?
А еще соединения на компьютерах режут антивирусы, фаерволлы и так далее.


1. Выключить все правила фаерволла на микротике. Временно, потом включите.
2. Проверить пинг нужных компьютеров с микротика. Во всех подсетях.
2 а. Добиться, чтобы микротик пинговал все нужные вам компьютеры. Включив ответ на пинг, отключив фаерволл и антивирус на компьютере. Микротик должен пинговать всех!
3. Проверить, чтобы компьютеры, которые должны быть доступны друг другу из разных подсетей, в сетевых настройках имели шлюз, и этот шлюз - микротик.


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Это отключите

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat comment="PORT 21 TO 192.168.2.20" \
    dst-address-type=local dst-port=21 protocol=tcp to-addresses=192.168.2.20 \
    to-ports=21
add action=masquerade chain=srcnat comment="PORT 21 TO 192.168.2.20" \
    dst-address=192.168.2.20 dst-port=21 protocol=tcp src-address=\
    192.168.2.0/24
add action=netmap chain=dstnat comment="PORT 2020 TO 192.168.2.20" \
    dst-address-type=local dst-port=2020 protocol=tcp to-addresses=\
    192.168.2.20 to-ports=2020
add action=masquerade chain=srcnat comment="PORT 2020 TO 192.168.2.20" \
    dst-address=192.168.2.20 dst-port=2020 protocol=tcp src-address=\
    192.168.2.0/24


Dunlop
Сообщения: 27
Зарегистрирован: 01 ноя 2019, 09:00

Вопрос был решен таким образом:

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface=Internet src-address=192.168.2.0/24
add action=masquerade chain=srcnat src-address=192.168.0.0/24

/ip firewall filter
add action=drop chain=forward connection-state=new dst-address=192.168.0.0/24 src-address=192.168.0.0/24 
Всем спасибо.


Ответить