RB1200 & Intervlan routing

Обсуждение ПО и его настройки
alexisgreen
Сообщения: 6
Зарегистрирован: 16 окт 2017, 17:46

День добрый.
Неожиданно получил "в наследство" в удаленном филиале RB1200 + управляемый DLINK DGS-3120 с парой downlink к простым управляемым свичам D-link . Настройка банальная - в eth1 Mikrotik воткнут едиственный аплинк от DGS, интерфейсу присвоен IP 192.168.1.1, в eth10 воткнут кабель от провайдера ( пусть будет) , интерфейсу присвоен реальный IP, вся 192.168.1.0/24 NATится через него.
В этот же офис "прям сейчас" переезжает народ из другого закрывшегося офиса в этом городе, рассаживаться будут хаотически, есть свои сервера, другое адресное пространство 192.168.2.0/24. Задача - оставить вторую сеть "как есть",
интернет использовать один и тот же, траффик между сетями 192.168.1.0 & 192.168.2.0 - только тот что разрешен.
Решение VLAN ( т.к. порты находятся на разных свичах, иначе их не изолировать) + Intervlan routing + firewall.
Что сделано: те компы что, были раньше на DLINK оставлены в 1 default vlan, создан (802.1q) vlan2 VID 2, нужные порты на свичах добавлены как нетегированные в этот влан, на порт который идет уплинком к микротику vlan 2 добавлен как тегированный.
На микротике - на eth1 добавлен интерфейс VLAN2 с VID 2 , ему присвоен адрес 192.168.2.1/32
В маршрутах видно, что такая сеть на микротике есть
DAC 192.168.1.0/24 ether1 reachable 0 192.168.1.1
DAC 192.168.2.0/24 VLAN2 reachable 0 192.168.2.1
С Микротика пингуются хосты в обоих сетках.
Проблема в том, что не работает роутинг между влан, с хостов 192.168.1.0/24 не пингуются хосты в 192.168.2.0 и наоборот.
Что я делаю не так? Я думал, что по аналогии с каталистом, интерфейс есть, маршрут есть - значит роутинг работает.
Попытка сделать бридж и засунуть туда ether1 & Vlan2 к успеху не привела..


carassin
Сообщения: 49
Зарегистрирован: 24 сен 2013, 16:24

alexisgreen писал(а):Что я делаю не так?


не показали нам конфиг


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

alexisgreen писал(а):День добрый.
другое адресное пространство 192.168.2.0/24.
На микротике - на eth1 добавлен интерфейс VLAN2 с VID 2 , ему присвоен адрес 192.168.2.1/32

Так всё же маска второй сети - /24 или /32?
И если маска сети /24, а роутеру Вы даёте маску /32, то
вопрос-аллегория: как можно увидеть закат солнца с комнаты, где нет ни одного окна? :du_ma_et:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
alexisgreen
Сообщения: 6
Зарегистрирован: 16 окт 2017, 17:46

Приветствую - конфиг ниже

Код: Выделить всё

# oct/17/2017 12:13:52 by RouterOS 6.40.4
# software id = CNRR-GWK7
#
# model = 1200
# serial number = 2CD4011D944B
/interface ethernet
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1
set [ find default-name=ether6 ] speed=100Mbps
set [ find default-name=ether9 ] speed=1Gbps
/interface vlan
add interface=ether1 name=VLAN2 vlan-id=2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=PlastPolymer
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/queue interface
set ether1 queue=ethernet-default
set ether2 queue=ethernet-default
set ether3 queue=ethernet-default
set ether4 queue=ethernet-default
set ether5 queue=ethernet-default
set ether6 queue=ethernet-default
set ether7 queue=ethernet-default
set ether8 queue=ethernet-default
set ether9 queue=ethernet-default
set ether10 queue=ethernet-default
/snmp community
set [ find default=yes ] name=DuHust
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
/interface l2tp-server server
set authentication=chap,mschap1,mschap2 default-profile=default max-mru=1400 max-mtu=1400
/interface pptp-server server
set max-mru=1460 max-mtu=1460
/ip address
add address=111.111.111.111/30 comment="\C8\ED\F2\E5\F0\ED\E5\F2" interface=ether10 network=81.23.97.164
add address=192.168.1.1/24 comment="\CB\C2\D1 \CE\C0\CE \"\CF\EB\E0\F1\F2\EF\EE\EB\E8\EC\E5\F0\"" interface=ether1 network=192.168.1.0
add address=192.168.2.1/24 interface=VLAN2 network=192.168.2.0
/ip dhcp-server lease
add address=192.168.1.254 mac-address=1C:7E:E5:68:C9:40 use-src-mac=yes
add address=192.168.1.253 mac-address=84:C9:B2:3D:AA:96 use-src-mac=yes
/ip dns
set allow-remote-requests=yes cache-size=10240KiB max-udp-packet-size=512 servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.0.0/16 list=no_nat_needed
add address=192.168.1.6 list=nat_allowed
add address=192.168.1.3 list=nat_allowed
add address=192.168.1.9 list=nat_allowed

add address=192.168.1.5 list=nat_allowed
add address=192.168.1.2 list=nat_allowed
add address=192.168.1.4 list=nat_allowed

/ip firewall filter
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp

/ip firewall nat
add action=src-nat chain=srcnat dst-address-list=!no_nat_needed src-address=192.168.1.0/24 src-address-list=nat_allowed to-addresses=111.111.111.111
add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=25 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111
add action=src-nat chain=srcnat disabled=yes dst-address-list=!no_nat_needed dst-port=80 protocol=tcp src-address=192.168.1.0/24 to-addresses=111.111.111.111
add action=src-nat chain=srcnat disabled=yes dst-address-list=!no_nat_needed dst-port=443 protocol=tcp src-address=192.168.1.0/24 to-addresses=111.111.111.111
add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=587 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111
add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=110 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111
add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=143 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111
add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=993 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111
add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=995 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111
add action=netmap chain=dstnat disabled=yes dst-address=111.111.111.111 dst-port=7071 protocol=tcp to-addresses=192.168.1.2 to-ports=7071

/ip proxy
set cache-path=web-proxy1 max-cache-size=none parent-proxy=0.0.0.0
/ip route
add distance=1 gateway=111.111.111.110
/ip service
set telnet address=192.168.1.0/24
set ftp disabled=yes
set www disabled=yes
set ssh address=192.168.1.0/24
set api disabled=yes
set winbox address=192.168.1.0/24
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system identity
set name=PlastPolymer
/system ntp client
set enabled=yes primary-ntp=80.240.216.155 secondary-ntp=93.180.6.3


alexisgreen
Сообщения: 6
Зарегистрирован: 16 окт 2017, 17:46

Vlad-2 писал(а):
alexisgreen писал(а):День добрый.
другое адресное пространство 192.168.2.0/24.
На микротике - на eth1 добавлен интерфейс VLAN2 с VID 2 , ему присвоен адрес 192.168.2.1/32

Так всё же маска второй сети - /24 или /32?
И если маска сети /24, а роутеру Вы даёте маску /32, то
вопрос-аллегория: как можно увидеть закат солнца с комнаты, где нет ни одного окна? :du_ma_et:


Приветствую, маска сети /24


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

alexisgreen писал(а):С Микротика пингуются хосты в обоих сетках.
Проблема в том, что не работает роутинг между влан, с хостов 192.168.1.0/24 не пингуются хосты в 192.168.2.0 и наоборот.

У компов из каждой сети шлюз точно указан адрес микротика своей сети?
Трассеровка с компа 1.ххх до компа 2.ххх как проходит? И также и наоборот?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
alexisgreen
Сообщения: 6
Зарегистрирован: 16 окт 2017, 17:46

Для сети 192.168.1.0/24 в качестве шлюза указан 192.168.1.1 - пинги до него есть
Для сети 192.168.2.0/24 в качестве шлюза 192.168.2.1 - пинги до него есть
между сетками пинга нет


alexisgreen
Сообщения: 6
Зарегистрирован: 16 окт 2017, 17:46

Трассировка маршрута к 192.168.2.100 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.1.1
2 192.168.1.1 сообщает: Заданный узел недоступен.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

по-умолчанию должен быть!
1) отключите всё (все правила) что находиться в Filter Rules и попробуйте
2) проверьте ещё раз как Вы настроили вилан2
3) на крайний случай, портов у Вас много, и если с виланом не получается,
заведите на какой то порт сетку 2.0/24 и работайте с ней обычно, без тегов.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
alexisgreen
Сообщения: 6
Зарегистрирован: 16 окт 2017, 17:46

Спасибо за ответы
1) Ок попробую.
2) Ну тестовый ноут воткнут в далекий dlink в vlan2 - раз он пингует без проблем соседей по сети в этом влане и адрес интерфейса VLAN2 на микротике, то с вланом все ок скорее всего
3) У меня нельзя выделить какой то порт в сетку 192.168.2.0/24 и воткнуть в неее аплинком свич , так как порты которые должны работать в нем хаотически разбросаны по разным портам коммутаторов, часть коммутаторов удалена от микротика


Ответить