Нужен маршрут

Обсуждение ПО и его настройки
Ответить
LEOLAINER
Сообщения: 18
Зарегистрирован: 03 янв 2017, 09:05

Имеется беспроводной мост на базе двух NanoBeam M5, оба устройства настроены в режиме bridge, ip адреса 192.168.88.235, 192.168.88.236. По мосту ходит Инет. Принимает Инет роутер Mikrotik x86, ip адрес внутренний 192.168.78.1, ip адрес внешний 192.168.88.6 на интерфейсе ether1(на нём висит Инет по PPPoE. Ping до устройств идёт, но только от самого микротика. На роутере настроено NAT masquerade, Firewall, есть ещё маркировка и балансировка, но она в данных момент отключена, только маркировка работает.
Задача состоит в следующем: нужен доступ на WEB управление NanoBeam M5, из внутренней сети 192.168.78.0/24. Знаю что надо прописать маршрут, но я уже прописывал, всё без толку. Некий динамический маршрут присутствует на микротике. Что интересно ставил обычный роутер Keenetic, прописал маршрут и всё работало, а на тике так не прокатывает. Люди! У кого какие соображения по этому поводу?
Все маршруты:
/ip route
add disabled=yes distance=1 gateway="(unknown)" routing-mark=to-isp1
add distance=1 gateway=ether2 routing-mark=to-isp2
add check-gateway=ping distance=1 gateway=109.200.00.23
add disabled=yes distance=1 gateway="(unknown),(unknown)"
add distance=1 dst-address=192.168.88.0/24 gateway=ether1


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Рисуйте схему.

Если на вскидку то,
add distance=1 dst-address=192.168.88.0/24 gateway=IP_адреса_шлюза_который_указан_в_NanoBeam

Проблема в том, на NanoBeam нужно прописывать обратный маршрут.

Есть еще вариант с подменой адреса источника...


LEOLAINER
Сообщения: 18
Зарегистрирован: 03 янв 2017, 09:05

Пожалуйста схема


LEOLAINER
Сообщения: 18
Зарегистрирован: 03 янв 2017, 09:05

Невозможно добавить картинку


LEOLAINER
Сообщения: 18
Зарегистрирован: 03 янв 2017, 09:05

gmx писал(а):Рисуйте схему.

Если на вскидку то,
add distance=1 dst-address=192.168.88.0/24 gateway=IP_адреса_шлюза_который_указан_в_NanoBeam

Проблема в том, на NanoBeam нужно прописывать обратный маршрут.

Есть еще вариант с подменой адреса источника...

дело мне кажется не в это, вообще изначально всё работало, из подсети 192.168.78, можно было выходить в подсеть 192.168.88 для мониторинга устройств. Но затем просто перестало и всё, причину найти не можем


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну да, и как вы сами-то думаете, здесь на форуме есть экстрасенсы??? Тем более, что "вам кажется, что дело не в этом"? :)

Как минимум схема и конфиги нужны.


LEOLAINER
Сообщения: 18
Зарегистрирован: 03 янв 2017, 09:05

Всё, проблема решена уважаемые камрады!
Перво наперво на входящем извне интерфейсе ether1, изменил адрес на 192.168.88.1, возможно не зря - в устройствах NanoBeam M5 этот адрес указан в качестве шлюза. Динамический маршрут существовал и ранее и было создано правило в фаервол
add chain=forward src-address=192.168.88.0/24
Затем, что интересно надо было поднять правило лишь выше правила add action=drop chain=forward dst-address=192.168.78.0/24. Внимание! Никаких статических маршрутов не добавлял
И всё заработало! Круто! Я в восторге! Всем спасибо уважаемые камрады!


LEOLAINER
Сообщения: 18
Зарегистрирован: 03 янв 2017, 09:05

Для тех кому интересно - фаервол до изменений:

Код: Выделить всё

ip firewall filter
add chain=input comment="access to winbox" dst-port=8291 in-interface=\
    pppoe-out1 protocol=tcp
add chain=input comment="access to ssh" dst-port=65345 in-interface=pppoe-out1 \
    protocol=tcp
add chain=input comment="access to web" dst-port=65346 in-interface=pppoe-out1 \
    protocol=tcp
add chain=forward comment="access to web2" dst-port=80 in-interface=ether1 \
    protocol=tcp
add chain=input protocol=icmp
add chain=forward protocol=icmp
add chain=input connection-state=established in-interface=pppoe-out1
add chain=input connection-state=related in-interface=pppoe-out1
add chain=input connection-state=related disabled=yes in-interface=ether2
add chain=input connection-state=established disabled=yes in-interface=ether2
add chain=input dst-port=1723 in-interface=pppoe-out1 protocol=tcp
add chain=input in-interface=pppoe-out1 protocol=gre
add action=drop chain=input in-interface=pppoe-out1
add action=drop chain=input disabled=yes in-interface=ether2
add chain=forward comment=erhov2 dst-address=192.168.78.13
add chain=forward comment=dvorecki dst-address=192.168.78.35
add action=drop chain=forward dst-address=192.168.78.0/24
add action=jump chain=forward in-interface=pppoe-out1 jump-target=customer
add action=jump chain=forward disabled=yes in-interface=ether2 jump-target=\
    customer
add chain=customer connection-state=established
add chain=customer connection-state=related
add action=drop chain=customer
add action=jump chain=forward disabled=yes in-interface=ether2 jump-target=\
    customer
add chain=customer connection-state=established
add chain=customer connection-state=related
add action=drop chain=customer


LEOLAINER
Сообщения: 18
Зарегистрирован: 03 янв 2017, 09:05

фаервол после, но только нижняя часть:

Код: Выделить всё

add chain=forward src-address=192.168.88.0/24
add action=drop chain=forward dst-address=192.168.78.0/24
add action=jump chain=forward in-interface=pppoe-out1 jump-target=customer
add action=jump chain=forward disabled=yes in-interface=ether2 jump-target=\
    customer
add chain=customer connection-state=established
add chain=customer connection-state=related
add action=drop chain=customer
add action=jump chain=forward disabled=yes in-interface=ether2 jump-target=\
    customer
add chain=customer connection-state=established
add chain=customer connection-state=related
add action=drop chain=customer


Ответить