Добрый день.
Есть два здания с подсетями: 192.168.0.1 и 192.168.1.1. Между зданиями через провайдера проложен VLAN, тем самым оба здания объединены через подсетку 192.168.5.0/24. В каждый микротик приходится по 3 провода: интернет, влан, локалка. В скором времени на одном здании уберут интернет и оставят только vlan.
Как правильно пробросить интернет от одного микротика в другой по vlan?
Интернет через 2 микротик для всей подсети
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ну вариаций масса, но так как нюансов более детальных нет, да и думаю что это самый простой способ:vladimir.starodubtsev писал(а): ↑15 фев 2019, 05:16 Добрый день.
Есть два здания с подсетями: 192.168.0.1 и 192.168.1.1. Между зданиями через провайдера проложен VLAN, тем самым оба здания объединены через подсетку 192.168.5.0/24. В каждый микротик приходится по 3 провода: интернет, влан, локалка. В скором времени на одном здании уберут интернет и оставят только vlan.
Как правильно пробросить интернет от одного микротика в другой по vlan?
на микротике в том здании где уберут интернет, вот там, как только Интернет убирают, не будет
соответственно ни адреса, ни шлюза (интернетовских), значит Вы просто на этом роутере делаете
новый основной шлюз, ссылаясь на роутер1 (там где Интернет остался) и всё.
Во втором здании как работали так и работают, как хотят обращаться в сеть первого основного здания идут по вилану
туда, так же и с Интернетом, запросы по вилану уходят на основной шлюз, то есть все на роутер1(основной),
а там Вам лишь останется на основном роутере1 прописать НАТ для "новой" сети,
то есть пусть второе здание это будет 192.168.1.0/24. Вот этой сети уже позволяем работать именно в Интернете.
Вот и всё.
-
- Сообщения: 9
- Зарегистрирован: 15 фев 2019, 04:51
Здание с интернетом: 192.168.1.1 (влан 192.168.5.1)
Здание без интернета: 192.168.0.1 (влан 192.168.5.2)
На микротике в здании без интернета:
Попробовал в safemod отключить порт интернета, адрес лист для инета.
Сменил в route list шлюз интернета на шлюз влана
add distance=1 gateway=192.168.5.1 (Если писать 192.168.1.1, то в роуте пишет unreachable)
На роуте с интернетом тоже добавил нат:
/ip firewall nat add action=masquerade chain=srcnat dst-address-list=!local src-address=\ 192.168.0.0/24
Но не помогло. Интернет все равно не уходит через vlan.
Здание без интернета: 192.168.0.1 (влан 192.168.5.2)
На микротике в здании без интернета:
Попробовал в safemod отключить порт интернета, адрес лист для инета.
Сменил в route list шлюз интернета на шлюз влана
add distance=1 gateway=192.168.5.1 (Если писать 192.168.1.1, то в роуте пишет unreachable)
На роуте с интернетом тоже добавил нат:
/ip firewall nat add action=masquerade chain=srcnat dst-address-list=!local src-address=\ 192.168.0.0/24
Но не помогло. Интернет все равно не уходит через vlan.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
192.168.1.1 и 192.168.0.1 = это адреса, а сети скорее всего у Вас при обычныхvladimir.starodubtsev писал(а): ↑15 фев 2019, 09:41 Здание с интернетом: 192.168.1.1 (влан 192.168.5.1)
Здание без интернета: 192.168.0.1 (влан 192.168.5.2)
масках сетей = 192.168.1.0/24 и 192.168.0.0/24, ??
Имейте также ввиду, что адресация в микротиках задаётся с маской,
то есть надо при установке адреса писать 192.168.50.10/24
Не отключайте порт куда подключен Интернет. Он не мешает нам.vladimir.starodubtsev писал(а): ↑15 фев 2019, 09:41 На микротике в здании без интернета:
Попробовал в safemod отключить порт интернета, адрес лист для инета.
А тут схитрим, в текущем дефолтном шлюзе на провайдера сделаем дистанцию=2,vladimir.starodubtsev писал(а): ↑15 фев 2019, 09:41 Сменил в route list шлюз интернета на шлюз влана
и добавляете новый маршрут дефолтный на вилан (5.1) но дистанция у него будет 1 (и он будет
главный). Если маршрут не заработает сразу, главный сам сделается Интернетовский, с
дистанцией 2. На время тестов и перехода удобно будет.
Кстати, опишите как виланы к Вам попадают?vladimir.starodubtsev писал(а): ↑15 фев 2019, 09:41 add distance=1 gateway=192.168.5.1 (Если писать 192.168.1.1, то в роуте пишет unreachable)
Через какой порт? И как они на микротике оформлены?
Сложное правило, не проще в правиле использовать (указывать внешний интерфейс).vladimir.starodubtsev писал(а): ↑15 фев 2019, 09:41 На роуте с интернетом тоже добавил нат:
/ip firewall nat add action=masquerade chain=srcnat dst-address-list=!local src-address=\ 192.168.0.0/24
Но не помогло. Интернет все равно не уходит через vlan.
Но нам надо увидеть что сеть со второго здания (это по условию 192.168.0.0/24) дошло
до роутера, а уже потом делать правила НАТ. Так что с этим пока можно повременить.
-
- Сообщения: 9
- Зарегистрирован: 15 фев 2019, 04:51
Добрый день и хорошего начала недели!
Поставил в еще одно здание микротик, там только vlan сейчас есть.
От оборудования пройвадера идет провод, заходит в отдельный порт микротика ether3.
1) В address list адрес
2) В Route list маршрут
3) В Firewall nat правило
На микротике без интернета 192.168.3.0/24 (192.168.3.1):
От оборудования пройвадера идет провод, заходит в отдельный порт микротика ether1.
1) В address list адрес
2) В Route list маршрут
С данными настройками внутренняя сеть работает.
Пинг на ya.ru(87.250.250.242) в микротике остается с timeout.
Может все таки правило какое то нужно?
Поставил в еще одно здание микротик, там только vlan сейчас есть.
На микротике с интернетом 192.168.1.0/24 (192.168.1.1):
От оборудования пройвадера идет провод, заходит в отдельный порт микротика ether3.
1) В address list адрес
Код: Выделить всё
/ip address add address=192.168.5.1/24 interface=ether3 network=192.168.5.0
Код: Выделить всё
/ip service add distance=1 dst-address=192.168.3.0/24 gateway=192.168.5.4
Код: Выделить всё
/ip firewall nat add action=accept chain=srcnat comment=src_no_nat_lan dst-address=192.168.0.0/16 src-address=192.168.0.0/16
От оборудования пройвадера идет провод, заходит в отдельный порт микротика ether1.
1) В address list адрес
Код: Выделить всё
/ip address add address=192.168.5.4/24 interface=ether1 network=192.168.5.0
Код: Выделить всё
/ip service add distance=1 dst-address=192.168.1.0/24 gateway=192.168.5.1
Поробовал сделать так, без добавления правил в натVlad-2 писал(а): ↑15 фев 2019, 10:47 А тут схитрим, в текущем дефолтном шлюзе на провайдера сделаем дистанцию=2,
и добавляете новый маршрут дефолтный на вилан (5.1) но дистанция у него будет 1 (и он будет
главный). Если маршрут не заработает сразу, главный сам сделается Интернетовский, с
дистанцией 2. На время тестов и перехода удобно будет.
Код: Выделить всё
/ip route
add distance=1 gateway=192.168.5.1
add distance=2 gateway=192.168.1.1
add distance=1 dst-address=192.168.1.0/24 gateway=192.168.5.1 (маршрут влана)
Может все таки правило какое то нужно?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Я попросил не включать НАТ так как обычно НАТят сразу всё , и потом
трудно понять...проблема в маршрутизации или это из-за НАТа.
Поэтому я и попросил, пока Вы с маршуртами не разберётесь, НАТ не включать.
Если сеть со второго здания попадает (доходит) до роутера первого. Тогда включайте НАТ
и проверяйте.
По описанию я не понял, получилось у Вас с маршрутизацией или нет?
трудно понять...проблема в маршрутизации или это из-за НАТа.
Поэтому я и попросил, пока Вы с маршуртами не разберётесь, НАТ не включать.
Если сеть со второго здания попадает (доходит) до роутера первого. Тогда включайте НАТ
и проверяйте.
По описанию я не понял, получилось у Вас с маршрутизацией или нет?
-
- Сообщения: 9
- Зарегистрирован: 15 фев 2019, 04:51
Я просто указал НАТ, который был еще создан для самого влана давно (для опвн вроде).Vlad-2 писал(а): ↑18 фев 2019, 06:31 Я попросил не включать НАТ так как обычно НАТят сразу всё , и потом
трудно понять...проблема в маршрутизации или это из-за НАТа.
Поэтому я и попросил, пока Вы с маршуртами не разберётесь, НАТ не включать.
Если сеть со второго здания попадает (доходит) до роутера первого. Тогда включайте НАТ
и проверяйте.
По описанию я не понял, получилось у Вас с маршрутизацией или нет?
Но по вашей просьбе отправил все правила firewall в disable и ничего не поменялось, пинг в интернет не проходит.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) сделайте трассировку с компа второго офиса...как идёт?
2) трассировать ТОЛЬКО по IP (скажем 8.8.8.8)
2) трассировать ТОЛЬКО по IP (скажем 8.8.8.8)
-
- Сообщения: 9
- Зарегистрирован: 15 фев 2019, 04:51
Код: Выделить всё
C:\Users\Svoboda19>tracert 8.8.8.8
Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.3.1
2 1 ms 1 ms 1 ms 192.168.5.1
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 * * * Превышен интервал ожидания для запроса.
10 * * * Превышен интервал ожидания для запроса.
11 * * * Превышен интервал ожидания для запроса.
12 * * * Превышен интервал ожидания для запроса.
13 * * * Превышен интервал ожидания для запроса.
14 * * * Превышен интервал ожидания для запроса.
15 * * * Превышен интервал ожидания для запроса.
16 * * * Превышен интервал ожидания для запроса.
17 * * * Превышен интервал ожидания для запроса.
18 * * * Превышен интервал ожидания для запроса.
19 * * * Превышен интервал ожидания для запроса.
20 * * * Превышен интервал ожидания для запроса.
21 * * * Превышен интервал ожидания для запроса.
22 * * * Превышен интервал ожидания для запроса.
23 * * * Превышен интервал ожидания для запроса.
24 * * * Превышен интервал ожидания для запроса.
25 * * * Превышен интервал ожидания для запроса.
26 * * * Превышен интервал ожидания для запроса.
27 * * * Превышен интервал ожидания для запроса.
28 * * * Превышен интервал ожидания для запроса.
29 * * * Превышен интервал ожидания для запроса.
30 * * * Превышен интервал ожидания для запроса.
Трассировка завершена.
Код: Выделить всё
/tool traceroute
address: 8.8.8.8
# ADDRESS LOSS SENT LAST AVG
1 192.168.5.1 0% 1 1.1ms 1.1
2 100% 1 timeout
3 100% 1 timeout
4 100% 1 timeout
5 0% 1 0ms
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Вы трасерт видите, или мне их ещё переводить?
1) Вы с 3й сети попадаете на 5.1
2) при трасеровки с микротика также попадаете на 5.1
Теперь вопрос: на первом роутере интернет есть?
Задача не было что-то трогать на первом роутере, задача была сеть второго здания
направить в вилан, чтобы она попадала на роутер 1 и уже в Интернет.
Я вижу что сеть 3я по трасерту доходить...значит задача уже на 80% решена
Осталось:
Проверьте связь с Интернетом на главном роутере,
и включите правила НАТ(маскарада) также на первом роутере.
(или просто разрешить всем НАТ)
А Маршрут горит синим так как он не основной....так и должно быть на втором роутере,
я описывал это когда говорил про хитрость с дистанциями.
1) Вы с 3й сети попадаете на 5.1
2) при трасеровки с микротика также попадаете на 5.1
Теперь вопрос: на первом роутере интернет есть?
Задача не было что-то трогать на первом роутере, задача была сеть второго здания
направить в вилан, чтобы она попадала на роутер 1 и уже в Интернет.
Я вижу что сеть 3я по трасерту доходить...значит задача уже на 80% решена
Осталось:
Проверьте связь с Интернетом на главном роутере,
и включите правила НАТ(маскарада) также на первом роутере.
(или просто разрешить всем НАТ)
А Маршрут горит синим так как он не основной....так и должно быть на втором роутере,
я описывал это когда говорил про хитрость с дистанциями.