Интернет через 2 микротик для всей подсети

Обсуждение ПО и его настройки
vladimir.starodubtsev
Сообщения: 9
Зарегистрирован: 15 фев 2019, 04:51

Добрый день.
Есть два здания с подсетями: 192.168.0.1 и 192.168.1.1. Между зданиями через провайдера проложен VLAN, тем самым оба здания объединены через подсетку 192.168.5.0/24. В каждый микротик приходится по 3 провода: интернет, влан, локалка. В скором времени на одном здании уберут интернет и оставят только vlan.
Как правильно пробросить интернет от одного микротика в другой по vlan?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

vladimir.starodubtsev писал(а): 15 фев 2019, 05:16 Добрый день.
Есть два здания с подсетями: 192.168.0.1 и 192.168.1.1. Между зданиями через провайдера проложен VLAN, тем самым оба здания объединены через подсетку 192.168.5.0/24. В каждый микротик приходится по 3 провода: интернет, влан, локалка. В скором времени на одном здании уберут интернет и оставят только vlan.
Как правильно пробросить интернет от одного микротика в другой по vlan?
Ну вариаций масса, но так как нюансов более детальных нет, да и думаю что это самый простой способ:
на микротике в том здании где уберут интернет, вот там, как только Интернет убирают, не будет
соответственно ни адреса, ни шлюза (интернетовских), значит Вы просто на этом роутере делаете
новый основной шлюз, ссылаясь на роутер1 (там где Интернет остался) и всё.

Во втором здании как работали так и работают, как хотят обращаться в сеть первого основного здания идут по вилану
туда, так же и с Интернетом, запросы по вилану уходят на основной шлюз, то есть все на роутер1(основной),
а там Вам лишь останется на основном роутере1 прописать НАТ для "новой" сети,
то есть пусть второе здание это будет 192.168.1.0/24. Вот этой сети уже позволяем работать именно в Интернете.
Вот и всё.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
vladimir.starodubtsev
Сообщения: 9
Зарегистрирован: 15 фев 2019, 04:51

Здание с интернетом: 192.168.1.1 (влан 192.168.5.1)
Здание без интернета: 192.168.0.1 (влан 192.168.5.2)
На микротике в здании без интернета:
Попробовал в safemod отключить порт интернета, адрес лист для инета.
Сменил в route list шлюз интернета на шлюз влана
add distance=1 gateway=192.168.5.1 (Если писать 192.168.1.1, то в роуте пишет unreachable)
На роуте с интернетом тоже добавил нат:
/ip firewall nat add action=masquerade chain=srcnat dst-address-list=!local src-address=\ 192.168.0.0/24
Но не помогло. Интернет все равно не уходит через vlan.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

vladimir.starodubtsev писал(а): 15 фев 2019, 09:41 Здание с интернетом: 192.168.1.1 (влан 192.168.5.1)
Здание без интернета: 192.168.0.1 (влан 192.168.5.2)
192.168.1.1 и 192.168.0.1 = это адреса, а сети скорее всего у Вас при обычных
масках сетей = 192.168.1.0/24 и 192.168.0.0/24, ??
Имейте также ввиду, что адресация в микротиках задаётся с маской,
то есть надо при установке адреса писать 192.168.50.10/24
vladimir.starodubtsev писал(а): 15 фев 2019, 09:41 На микротике в здании без интернета:
Попробовал в safemod отключить порт интернета, адрес лист для инета.
Не отключайте порт куда подключен Интернет. Он не мешает нам.
vladimir.starodubtsev писал(а): 15 фев 2019, 09:41 Сменил в route list шлюз интернета на шлюз влана
А тут схитрим, в текущем дефолтном шлюзе на провайдера сделаем дистанцию=2,
и добавляете новый маршрут дефолтный на вилан (5.1) но дистанция у него будет 1 (и он будет
главный). Если маршрут не заработает сразу, главный сам сделается Интернетовский, с
дистанцией 2. На время тестов и перехода удобно будет.
vladimir.starodubtsev писал(а): 15 фев 2019, 09:41 add distance=1 gateway=192.168.5.1 (Если писать 192.168.1.1, то в роуте пишет unreachable)
Кстати, опишите как виланы к Вам попадают?
Через какой порт? И как они на микротике оформлены?
vladimir.starodubtsev писал(а): 15 фев 2019, 09:41 На роуте с интернетом тоже добавил нат:
/ip firewall nat add action=masquerade chain=srcnat dst-address-list=!local src-address=\ 192.168.0.0/24
Но не помогло. Интернет все равно не уходит через vlan.
Сложное правило, не проще в правиле использовать (указывать внешний интерфейс).
Но нам надо увидеть что сеть со второго здания (это по условию 192.168.0.0/24) дошло
до роутера, а уже потом делать правила НАТ. Так что с этим пока можно повременить.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
vladimir.starodubtsev
Сообщения: 9
Зарегистрирован: 15 фев 2019, 04:51

Добрый день и хорошего начала недели!
Поставил в еще одно здание микротик, там только vlan сейчас есть.
Vlad-2 писал(а): 15 фев 2019, 10:47 Кстати, опишите как виланы к Вам попадают?
Через какой порт? И как они на микротике оформлены?
На микротике с интернетом 192.168.1.0/24 (192.168.1.1):
От оборудования пройвадера идет провод, заходит в отдельный порт микротика ether3.
1) В address list адрес

Код: Выделить всё

/ip address add address=192.168.5.1/24 interface=ether3 network=192.168.5.0
2) В Route list маршрут

Код: Выделить всё

/ip service add distance=1 dst-address=192.168.3.0/24 gateway=192.168.5.4
3) В Firewall nat правило

Код: Выделить всё

/ip firewall nat add action=accept chain=srcnat comment=src_no_nat_lan dst-address=192.168.0.0/16 src-address=192.168.0.0/16
На микротике без интернета 192.168.3.0/24 (192.168.3.1):
От оборудования пройвадера идет провод, заходит в отдельный порт микротика ether1.
1) В address list адрес

Код: Выделить всё

/ip address add address=192.168.5.4/24 interface=ether1 network=192.168.5.0
2) В Route list маршрут

Код: Выделить всё

/ip service add distance=1 dst-address=192.168.1.0/24 gateway=192.168.5.1
С данными настройками внутренняя сеть работает.
Vlad-2 писал(а): 15 фев 2019, 10:47 А тут схитрим, в текущем дефолтном шлюзе на провайдера сделаем дистанцию=2,
и добавляете новый маршрут дефолтный на вилан (5.1) но дистанция у него будет 1 (и он будет
главный). Если маршрут не заработает сразу, главный сам сделается Интернетовский, с
дистанцией 2. На время тестов и перехода удобно будет.
Поробовал сделать так, без добавления правил в нат

Код: Выделить всё

/ip route
add distance=1 gateway=192.168.5.1
add distance=2 gateway=192.168.1.1
add distance=1 dst-address=192.168.1.0/24 gateway=192.168.5.1  (маршрут влана)
Пинг на ya.ru(87.250.250.242) в микротике остается с timeout.
Может все таки правило какое то нужно?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Я попросил не включать НАТ так как обычно НАТят сразу всё , и потом
трудно понять...проблема в маршрутизации или это из-за НАТа.
Поэтому я и попросил, пока Вы с маршуртами не разберётесь, НАТ не включать.

Если сеть со второго здания попадает (доходит) до роутера первого. Тогда включайте НАТ
и проверяйте.

По описанию я не понял, получилось у Вас с маршрутизацией или нет?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
vladimir.starodubtsev
Сообщения: 9
Зарегистрирован: 15 фев 2019, 04:51

Vlad-2 писал(а): 18 фев 2019, 06:31 Я попросил не включать НАТ так как обычно НАТят сразу всё , и потом
трудно понять...проблема в маршрутизации или это из-за НАТа.
Поэтому я и попросил, пока Вы с маршуртами не разберётесь, НАТ не включать.

Если сеть со второго здания попадает (доходит) до роутера первого. Тогда включайте НАТ
и проверяйте.

По описанию я не понял, получилось у Вас с маршрутизацией или нет?
Я просто указал НАТ, который был еще создан для самого влана давно (для опвн вроде).
Но по вашей просьбе отправил все правила firewall в disable и ничего не поменялось, пинг в интернет не проходит.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) сделайте трассировку с компа второго офиса...как идёт?
2) трассировать ТОЛЬКО по IP (скажем 8.8.8.8)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
vladimir.starodubtsev
Сообщения: 9
Зарегистрирован: 15 фев 2019, 04:51

Vlad-2 писал(а): 18 фев 2019, 10:20 1) сделайте трассировку с компа второго офиса...как идёт?
2) трассировать ТОЛЬКО по IP (скажем 8.8.8.8)

Код: Выделить всё

C:\Users\Svoboda19>tracert 8.8.8.8

Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  192.168.3.1
  2     1 ms     1 ms     1 ms  192.168.5.1
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     *        *        *     Превышен интервал ожидания для запроса.
  8     *        *        *     Превышен интервал ожидания для запроса.
  9     *        *        *     Превышен интервал ожидания для запроса.
 10     *        *        *     Превышен интервал ожидания для запроса.
 11     *        *        *     Превышен интервал ожидания для запроса.
 12     *        *        *     Превышен интервал ожидания для запроса.
 13     *        *        *     Превышен интервал ожидания для запроса.
 14     *        *        *     Превышен интервал ожидания для запроса.
 15     *        *        *     Превышен интервал ожидания для запроса.
 16     *        *        *     Превышен интервал ожидания для запроса.
 17     *        *        *     Превышен интервал ожидания для запроса.
 18     *        *        *     Превышен интервал ожидания для запроса.
 19     *        *        *     Превышен интервал ожидания для запроса.
 20     *        *        *     Превышен интервал ожидания для запроса.
 21     *        *        *     Превышен интервал ожидания для запроса.
 22     *        *        *     Превышен интервал ожидания для запроса.
 23     *        *        *     Превышен интервал ожидания для запроса.
 24     *        *        *     Превышен интервал ожидания для запроса.
 25     *        *        *     Превышен интервал ожидания для запроса.
 26     *        *        *     Превышен интервал ожидания для запроса.
 27     *        *        *     Превышен интервал ожидания для запроса.
 28     *        *        *     Превышен интервал ожидания для запроса.
 29     *        *        *     Превышен интервал ожидания для запроса.
 30     *        *        *     Превышен интервал ожидания для запроса.

Трассировка завершена.
С микротика traceroute

Код: Выделить всё

/tool traceroute
address: 8.8.8.8
 # ADDRESS                          LOSS SENT    LAST     AVG
 1 192.168.5.1                        0%    1   1.1ms     1.1
 2                                  100%    1 timeout        
 3                                  100%    1 timeout        
 4                                  100%    1 timeout        
 5                                    0%    1     0ms        
Еще маршрут в роут лист на 192.168.1.1 горит синем, выходит данные не проходят.

Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Вы трасерт видите, или мне их ещё переводить?
1) Вы с 3й сети попадаете на 5.1
2) при трасеровки с микротика также попадаете на 5.1

Теперь вопрос: на первом роутере интернет есть?

Задача не было что-то трогать на первом роутере, задача была сеть второго здания
направить в вилан, чтобы она попадала на роутер 1 и уже в Интернет.
Я вижу что сеть 3я по трасерту доходить...значит задача уже на 80% решена

Осталось:
Проверьте связь с Интернетом на главном роутере,
и включите правила НАТ(маскарада) также на первом роутере.
(или просто разрешить всем НАТ)

А Маршрут горит синим так как он не основной....так и должно быть на втором роутере,
я описывал это когда говорил про хитрость с дистанциями.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить