2 сети в одном бридже маршрутизация

Обсуждение ПО и его настройки
Ответить
Telecomd
Сообщения: 10
Зарегистрирован: 04 фев 2019, 17:33

Добрый день.
История такая:
Микротик RB1100x4 RouterOS 6.43.7.
Есть 2 сети в одном бридже. (бридж LAN физически это один интерфейс, НЕ РАЗНЫЕ)
192.168.20.0 - статические адреса
192.168.2.0 - поднят DHCP
Есть 2 провайдера Акадо и МГТС
Маркировкой сделана маршрутизация трафика из сети 20.0 в МГТС.
Сеть 2.0 ходит через акадо.
Все работает. Понадобилось сделать маршрутизацию между сетями 20.0 и 2.0, чтобы компы видели друг друга.
На данный момент:
Из 20 сети пингуется свой шлюз 20.1.
Из 2 сети пингуется свой шлюз 2.1 и !!!чужой!! шлюз 20.1, но не пингуются клиенты, далее этого шлюза.
Микротик пингует всех во 2 сети и в 20 без проблем.
При трассировке пути из 20 сети до клиента во 2 сети, видим что все пакеты идут через НАТ.
Добавление внутренней сети в исключения НАТ ничего не дает (точнее перестают ходить клиенты в МГТС)
Вопрос - Как сделать так, чтобы сети видели друг друга (в моем понимании они и так в бридже и должны видеть друг друга, но нет).

/interface bridge port
add bridge=akado hw=no interface=ether1
add bridge=akado hw=no interface=ether2
add bridge=akado hw=no interface=ether3
add bridge=akado hw=no interface=ether4
add bridge=akado hw=no interface=ether5
add bridge=lan hw=no interface=ether6
add bridge=lan hw=no interface=ether7
add bridge=lan hw=no interface=ether8
add bridge=lan hw=no interface=ether9
add bridge=lan hw=no interface=ether10
add bridge=mgts interface=ether11
/interface list member
add interface=akado list=WAN
add interface=mgts list=WAN
add interface=lan list=LAN
/ip address
add address=IPADRAKADO interface=akado network=IPADRAKADO
add address=192.168.2.1/24 comment="lan akado" interface=lan network=\
192.168.2.0
add address=192.168.20.1/24 comment="lan mgts" interface=lan network=\
192.168.20.0
add address=IPADRRMGTS interface=mgts network=IPADRRMGTS
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.1 gateway=192.168.2.1
/ip firewall address-list
add address=192.168.20.0/24 list=to_mgts
add address=192.168.2.0/24 list=to_akado
/ip firewall filter
Ничего запрещающего тут нет, но если надо я приведу этот блок
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=!to_mgts \
new-routing-mark=to_mgts passthrough=no src-address=192.168.20.0/24
add action=mark-connection chain=input dst-address=95.165.197.42 \
in-interface=mgts new-connection-mark=mgts_in passthrough=no
add action=mark-routing chain=output connection-mark=mgts_in \
new-routing-mark=to_mgts passthrough=no
ip firewall nat
add action=masquerade chain=srcnat out-interface=akado
add action=masquerade chain=srcnat out-interface=mgts
ip route
add check-gateway=arp distance=1 gateway=IPADRRMGTS routing-mark=to_mgts
add distance=1 gateway=IPADRAKADO
Тут есть еще динамические маршруты
в том числе :
192.168.2.0/24 192.168.2.1
192.168.20.0/24 192.168.20.1


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Telecomd писал(а): 04 фев 2019, 17:53 При трассировке пути из 20 сети до клиента во 2 сети, видим что все пакеты идут через НАТ.
Telecomd писал(а): 04 фев 2019, 17:53 Добавление внутренней сети в исключения НАТ ничего не дает (точнее перестают ходить клиенты в МГТС)
Telecomd писал(а): 04 фев 2019, 17:53 ip firewall nat
add action=masquerade chain=srcnat out-interface=akado
add action=masquerade chain=srcnat out-interface=mgts
Сильно не вникал, но на уровне рефлексов даже, и с учётом того, что я выше выделил
из Ваших слов - могу всё таки сделать заключение, что сети Вы между собой
НАТите, а исключение не всегда работает так как Вы хотите.

В любом случаи вот два правила, они должны быть выше правил основных НАТА.
Попробуйте, хуже не будет!!!
Вот примерно как-то так

Код: Выделить всё

ip firewall nat
add action=accept chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.20.0/24
add action=accept chain=srcnat dst-address=192.168.20.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat out-interface=akado
add action=masquerade chain=srcnat out-interface=mgts



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Telecomd
Сообщения: 10
Зарегистрирован: 04 фев 2019, 17:33

Добавил, да локальные запросы теперь не натятся, трассировка показывает что наружу они не разруливаются, но при этом и связи между сетями все равно нет.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Telecomd писал(а): 04 фев 2019, 19:31 Добавил, да локальные запросы теперь не натятся, трассировка показывает что наружу они не разруливаются, но при этом и связи между сетями все равно нет.
1) файрволы на компах ?
1.1) файрвол на микротике ?
2) антивирусники ?
3) ping / tracert ? (покажите)
4) !!! Надеюсь на компах 20 сети шлюз стоит 20.1, а в сети 2.0, на компах стоит шлюз 2.1
(шлюзом должен быть микротик)

P.S.
По-умолчанию, микротик сети все пропускает через себя,
если иное не сделано файрволом.
Да и винда не любит чужие сети и сразу блокирует...
Проверяйте всё...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Telecomd
Сообщения: 10
Зарегистрирован: 04 фев 2019, 17:33

1) файрволы на компах ?
1.1) файрвол на микротике ?
2) антивирусники ?
3) ping / tracert ? (покажите)
4) !!! Надеюсь на компах 20 сети шлюз стоит 20.1, а в сети 2.0, на компах стоит шлюз 2.1
(шлюзом должен быть микротик)


1)На компе файрволы проверены. Да и с микротика пинг этих хостов есть.
На микротике самом в правилах файрвола блокировок касающихся локальных сетей нет, да и я пробовал отключать правила.
Вывод прилагаю:

/ip firewall filter
add action=drop chain=input comment=invalid connection-state=invalid \
in-interface-list=WAN
add action=accept chain=input comment=PING in-interface-list=WAN protocol=\
icmp
add action=accept chain=input comment=WinBox dst-port=8291 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input comment=GRE in-interface-list=WAN protocol=gre
add action=accept chain=input comment=ipsec-es in-interface-list=WAN \
protocol=ipsec-esp
add action=accept chain=input dst-port=500 in-interface-list=WAN protocol=udp
add action=accept chain=input dst-port=4500 in-interface-list=WAN protocol=\
udp
add action=accept chain=input comment="allow related connections" \
connection-state=related
add action=accept chain=input comment="allow established connections" \
connection-state=established
add action=accept chain=input comment="allow untracked connections" \
connection-state=untracked
add action=drop chain=input comment="drop all" in-interface-list=WAN
add action=drop chain=forward comment=Invalid connection-state=invalid \
in-interface-list=WAN
add action=add-src-to-address-list address-list=Torrent-Conn \
address-list-timeout=5m chain=forward layer7-protocol=block-torrents \
src-address=192.168.2.0/24 src-address-list=!allow-bit
add action=add-src-to-address-list address-list=Torrent-Conn \
address-list-timeout=5m chain=forward layer7-protocol="\B5TP-1" \
src-address=192.168.2.0/24 src-address-list=!allow-bit
add action=add-src-to-address-list address-list=Torrent-Conn \
address-list-timeout=5m chain=forward layer7-protocol="\B5TP-2" \
src-address=192.168.2.0/24 src-address-list=!allow-bit
add action=add-src-to-address-list address-list=Torrent-Conn \
address-list-timeout=5m chain=forward layer7-protocol=DHT src-address=\
192.168.2.0/24 src-address-list=!allow-bit
add action=add-src-to-address-list address-list=Torrent-Conn \
address-list-timeout=5m chain=forward layer7-protocol=bittorrent \
src-address=192.168.2.0/24 src-address-list=!allow-bit
add action=add-src-to-address-list address-list=Torrent-Conn \
address-list-timeout=5m chain=forward layer7-protocol=block-torrents \
src-address=192.168.20.0/24 src-address-list=!allow-bit
add action=add-src-to-address-list address-list=Torrent-Conn \
address-list-timeout=5m chain=forward layer7-protocol="\B5TP-1" \
src-address=192.168.20.0/24 src-address-list=!allow-bit
add action=add-src-to-address-list address-list=Torrent-Conn \
address-list-timeout=5m chain=forward layer7-protocol="\B5TP-2" \
src-address=192.168.20.0/24 src-address-list=!allow-bit
add action=add-src-to-address-list address-list=Torrent-Conn \
address-list-timeout=5m chain=forward layer7-protocol=DHT src-address=\
192.168.20.0/24 src-address-list=!allow-bit
add action=add-src-to-address-list address-list=Torrent-Conn \
address-list-timeout=5m chain=forward layer7-protocol=bittorrent \
src-address=192.168.20.0/24 src-address-list=!allow-bit
add action=drop chain=forward dst-port=!0-1024 protocol=tcp src-address-list=\
Torrent-Conn
add action=drop chain=forward dst-port=!0-1024 protocol=udp src-address-list=\
Torrent-Conn
add action=accept chain=forward comment="allow related connections" \
connection-state=related
add action=accept chain=forward comment="allow established connections" \
connection-state=related
add action=accept chain=forward comment="allow untracked connections" \
connection-state=untracked
add action=accept chain=forward comment="allow new dstnat" \
connection-nat-state=dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="drop all" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN

2)Есть каспер на одной из машин, но опять же повторюсь, с самого микротика есть пинг до хостов.
3) Ping c микротика есть до обоих хостов - 192.168.2.115, 192.168.20.19
Ping c 20.19 есть до 20.1.
Ping c 2.115 есть до 2.1 и что странно до 20.1.
Трасерт до 192.168.2.115 показывает 1мс до 192.168.2.1 далее нет ответа 29 раз.
Трасерт до 192.168.20.19 показывает 1мс до 192.168.20.1 далее нет ответа 29 раз.
(можно и показать, но будет там ровно то, что я только что описал)
4) Да шлюзом стоит микротик в обоих сетях.
P.S.
По-умолчанию, микротик сети все пропускает через себя,
если иное не сделано файрволом.
Да и винда не любит чужие сети и сразу блокирует...
Проверяйте всё..


Вот поэтому то мне вся эта сутуация и не понятна. Это не первый мой микротик, но правда ранее в основном если маршрутизация и была, то она была на разные физические интерфейсы или на разные бриджи, тут же бридж один, да еще и на одном интерфейсе. К тому же еще и маркировка трафика для внешки. Мне кажется что где то тут собака порылась. 4 дня голову ломаю не могу сообразить.


Telecomd
Сообщения: 10
Зарегистрирован: 04 фев 2019, 17:33

Сам спросил, сам отвечу:
В мангл надо добавить строку :
add action=accept chain=prerouting dst-address=192.168.2.0/24 src-address=192.168.20.0/24
То есть целиком мангл выглядит так:
/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.2.0/24 src-address=192.168.20.0/24
add action=mark-routing chain=prerouting dst-address-list=!to_mgts new-routing-mark=to_mgts passthrough=no src-address=192.168.20.0/24
add action=mark-connection chain=input dst-address=95.165.197.42 in-interface=mgts new-connection-mark=mgts_in passthrough=no
add action=mark-routing chain=output connection-mark=mgts_in new-routing-mark=to_mgts passthrough=no


Ответить