Объединить две подсети с одним маршрутизатором

Обсуждение ПО и его настройки
AHTOH
Сообщения: 5
Зарегистрирован: 06 сен 2016, 13:56

Добрый день.
Вроде бы задача из первого класса, но не получается ее решить на Mikrotik.
Имеется домашняя сеть следующего типа:
Изображение

Маршрутизатор Mikrotik RB951Ui-2HnD.
Порт Ether1 смотрит в интернет и получает IP по DHCP.
Порт Ether2 имеет адрес 192.168.1.1 и настроен на работу с домашней сетью, в которой имеется сетевое хранилище NAS с адресом 192.168.1.2 и настроенным DLNA.
Порт Ether3 имеет адрес 192.168.2.1 и к нему подключен телевизор Smart TV Samsung с адресом 192.168.2.2
На порт Ether3 настроен IGMP Proxy для просмотра IPTV на телике.
Порты Ether2 и Ether3 специально НЕ объединены в Bridge и разделены на разные подсети, чтобы Multicast не лился на все порты в домашней сети.

Задача - нужно чтобы телевизор Smart TV из одной подсети имел доступ к NAS в другой подсети, для просмотра фильмов по DLNA.

Все устройства обеих подсетей имеют доступ в интернет, но почему то не видят друг друга. Маршруты между ними в список маршрутов попадают автоматически.
При помощи галочки "proxy ARP" на интерфейсах Ether2 и Ether3 удалось добиться чтобы телевизор через встроенный браузер смог зайти на адрес NAS 192.168.1.2, но там только настройки. В списке устройств DLNA этот NAS по-прежнему не отображается.
При подсоединении телевизора в подсеть 192.168.1.0/24, он прекрасно дружит с NAS и определяет его в списке удаленных жестких дисков и проигрывает видео с него.
Все правила Firewall на время проведения экспериментов были отключены.

Спасибо.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Предлагаю упростить немного задачу:
все объединить в одну подсеть и один бридж.
А ограничить мультикаст можно так, как описано здесь viewtopic.php?f=15&t=5972&start=10#p34609


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Блин. Что-то еще раз перечитал то, что написано по ссылке и не уверен, что это именно то, что нужно. Там фильтровать нужно по типу трафика. А я это пропустил в описании. Погляжу на реально действующем оборудовании.


evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

правила нат нужно смотреть


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да. Надо бы конфиг микротика увидеть.


AHTOH
Сообщения: 5
Зарегистрирован: 06 сен 2016, 13:56

gmx писал(а):Предлагаю упростить немного задачу:
все объединить в одну подсеть и один бридж.
А ограничить мультикаст можно так, как описано здесь viewtopic.php?f=15&t=5972&start=10#p34609

gmx писал(а):Блин. Что-то еще раз перечитал то, что написано по ссылке и не уверен, что это именно то, что нужно. Там фильтровать нужно по типу трафика. А я это пропустил в описании. Погляжу на реально действующем оборудовании.


А разве выполнив пункт 5 по этой ссылке мы не заблокируем полностью любое обращение ко всем портам кроме порта с IPTV?
Прописав это мы ведь даже зайти на роутер не сможем кроме как с порта на котором IPTV.


AHTOH
Сообщения: 5
Зарегистрирован: 06 сен 2016, 13:56

evgeniy7676 писал(а):правила нат нужно смотреть


Там ничего кроме как "masquerade" для цепочки "scrnat" на порт Ether1. В общем, все стандартно.


AHTOH
Сообщения: 5
Зарегистрирован: 06 сен 2016, 13:56

gmx писал(а):Да. Надо бы конфиг микротика увидеть.


Конфиг абсолютно стандартный и очень простой. Все правила Firewall отключены.
Единственное что накручено сверху, так это бесшовный роуминг на Capsman, но не думаю что это как-то может влиять на LAN.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

В правиле макарадинга уберите Ether1.


AHTOH
Сообщения: 5
Зарегистрирован: 06 сен 2016, 13:56

Уважаемый "gmx", спасибо Вам за наводку (не нашел как сказать "спасибо" на форуме). Действительно, гораздо проще и, как мне кажется, правильнее оказалось сделать как здесь:
viewtopic.php?f=15&t=5972&start=10#p34609

Т.е. все-таки объединяем порты Ether2 и Ether3 в Bridge и мультикаст начинает литься на все порты, но мы блокируем это при помощи Bridge - Filters.
Только в указанном выше примере, не хватает еще одного действия в пункте 5 - это указать packet-type=multicast, иначе эти правила будут блокировать отправку любых пакетов на все порты, кроме того, к которому подключено IPTV.

В итоге, правила Bridge - Filters для моего примера будут выглядеть так:
/interface bridge filter add chain=output out-interface=!ether3 action=drop mac-protocol=ip packet-type=multicast
где Ether3 это порт, к которому подключено IPTV (в моем случае телевизор Smart TV).
Таким образом мы блокируем все пакеты multicast на все порты бриджа кроме Ether3.

Еще одно замечание - обязательно должен быть поднят Bridge между этими двумя портами, а не организован Switch при помощи Master port, в ином случае эти правила не работают.

В итоге, телевизор находится в одной подсети со всей остальной домашней сетью, на нем просматривается IPTV, есть интернет и NAS с DLNA видится в списке устройств.


Ответить