Проблема маршрутизации

Обсуждение ПО и его настройки
Andrey5
Сообщения: 8
Зарегистрирован: 14 дек 2016, 14:23

У меня есть 2 офиса, в каждом стоит микротик и я поднял между ними тунель ipsec.
Проблема заключается в том, что в первом офисе у компьютеров настроен другой шлюз (не микротик) и из за это компьютеры не могут видеть друг друга.

Можно настроить маршрутизацию на микротике таким образом, чтобы компьютеры могли видеть друг друга?

Пример моей сети:
1 офис локальная сеть 1.1.1.0/24. Ip mikrotik 1.1.1.1, на всех компьютерах прописан шлюз 1.1.1.5
2 офис локальная сеть 2.2.2.0/24. Ip mikrotik 2.2.2.2, на всех компьютерах прописан шлюз 2.2.2.2

Для меня это нестандартная ситуация, ни как не могу найти решения.
Прошу помочь!
Последний раз редактировалось Andrey5 14 дек 2016, 17:18, всего редактировалось 1 раз.


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

A 1.1.1.5
Это кто ?!

как вариант прописать на компьютерах (или передать по DHCP) маршрут до удаленного офиса, где шлюз микротик.
Но это я считаю костыль


Andrey5
Сообщения: 8
Зарегистрирован: 14 дек 2016, 14:23

Компьютер, который должен оставаться шлюзом....
Я тоже так считаю, вот думаю возможно ли средствами микротика решить данный вопрос?


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Так пропишите на 1.1.1.5 маршрут до 2.2.2.0/24 через 1.1.1.1.


Andrey5
Сообщения: 8
Зарегистрирован: 14 дек 2016, 14:23

Это я уже сделал, но локальная сеть 2.2.2.0/24 не видит сеть 1.1.1.0/24
Вот эту проблему я не знаю как решить.


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Отлично, теперь на шлюзе 2.2.2.2 пропишите обратный маршрут в сеть 1.1.1.0/24 через 1.1.1.5.
Сразу не подумал, что обратный у вас не прописан...


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

]я не знаю как на микротике , и как в терминологии микротика это называется, но на Dlink DFL это называется Forward-Fast

 описание на пальцах
У вас возникала проблема из-за stafull, приведу пример для понимания "как это работает" на примере tcp handshake. ПК из сети 192.168.3.0/24 пытается получить доступ через DFL в 30 сесть. Первый пакет TCP SYN проходит через DFL (DFL его перенаправляет на шлюз), ответ же TCP SYN ACK согласно CIDR, идет напрямую на компьютер минуя DFL. Следующий пакет TCP ACK опять отправляет через DFL, а DFL его блокирует, потому что не видел пакета SYN ACK который не прошел через DFL. Как видите все логично, в таких случаях рекомендуем применять правило forward fast, которое не контролирует состояние и "тупо" пробрасывает трафик.


Andrey5
Сообщения: 8
Зарегистрирован: 14 дек 2016, 14:23

DmNuts, подскажи, как прописать на микротике (2.2.2.2) обратный маршрут на 1.1.1.5?


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Andrey5 писал(а):DmNuts, подскажи, как прописать на микротике (2.2.2.2) обратный маршрут на 1.1.1.5?

Так же, как и обычный:
/ip route add distance=1 dst-address=1.1.1.0/24 gateway=3.3.3.3
Вместо 3.3.3.3 подставьте IP адрес первого роутера, который виден второму через туннель.

Vladimir22 писал(а):]я не знаю как на микротике , и как в терминологии микротика это называется, но на Dlink DFL это называется Forward-Fast
 описание на пальцах
У вас возникала проблема из-за stafull, приведу пример для понимания "как это работает" на примере tcp handshake. ПК из сети 192.168.3.0/24 пытается получить доступ через DFL в 30 сесть. Первый пакет TCP SYN проходит через DFL (DFL его перенаправляет на шлюз), ответ же TCP SYN ACK согласно CIDR, идет напрямую на компьютер минуя DFL. Следующий пакет TCP ACK опять отправляет через DFL, а DFL его блокирует, потому что не видел пакета SYN ACK который не прошел через DFL. Как видите все логично, в таких случаях рекомендуем применять правило forward fast, которое не контролирует состояние и "тупо" пробрасывает трафик.

Занятно! Вживую не сталкивался, попробую смоделировать.


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

очень частый вопрос . и решается он только так


Ответить