То, что данные попадают в 5.1, я понимаю. Но вот почему дальше тупик, это мне не понятно.
На главном микротике интернет есть, пинг идет на любой внешний адрес.
НАТ включил, даже виден какой-то обмен данными в НАТе на 3.0
Как я понимаю, данные доходят до роутера с интернетом, а дальше толпятся у дверей и не идут дальше. Видать нужно какое то правило роутере с интернетом.
Интернет через 2 микротик для всей подсети
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
-
- Сообщения: 9
- Зарегистрирован: 15 фев 2019, 04:51
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) прошу отключите файрволы на винде (где тестируете, трасерты и пинги делаете)
1.1) если на этой машине есть антивирусник - то тоже надо останоить.
2) ещё раз трассерт (на внешний узел 8.8.4.4) с компа удалённого здания....
3) НАТ должен быть включён...на роутере1 (отключите правила все другие и включите НАТ для всех).
Я отдачу хочу видеть ...где загвозка у Вас, а мне пока гадать приходиться....?
P.S.
Пришла в голову идея:
надеюсь НАТ на том роутере(№2), который у нас промежуточный, Вы
отключили НАТ? Его задача теперь простая...загонять трафик сети в вилан и на
первый роутер.
P.P.S.
На микротике №1 - нет случайно каких-то запрещающих правил (вдруг где-то явно описано
резать сети кроме.....)
P.P.P.S.
А микротик1 знает где та (удалённая) сеть? Вы обратный маршрут сделали то?
То есть с микротика1 он может (знает) что сеть второго здания = доступна по адресу 5.2(кажется)?
Просто завернуть трафик одной сети в другую сторону и потом выпустить её в Интернет,
ну это делается проще простого......
1.1) если на этой машине есть антивирусник - то тоже надо останоить.
2) ещё раз трассерт (на внешний узел 8.8.4.4) с компа удалённого здания....
3) НАТ должен быть включён...на роутере1 (отключите правила все другие и включите НАТ для всех).
Я отдачу хочу видеть ...где загвозка у Вас, а мне пока гадать приходиться....?
P.S.
Пришла в голову идея:
надеюсь НАТ на том роутере(№2), который у нас промежуточный, Вы
отключили НАТ? Его задача теперь простая...загонять трафик сети в вилан и на
первый роутер.
P.P.S.
На микротике №1 - нет случайно каких-то запрещающих правил (вдруг где-то явно описано
резать сети кроме.....)
P.P.P.S.
А микротик1 знает где та (удалённая) сеть? Вы обратный маршрут сделали то?
То есть с микротика1 он может (знает) что сеть второго здания = доступна по адресу 5.2(кажется)?
Просто завернуть трафик одной сети в другую сторону и потом выпустить её в Интернет,
ну это делается проще простого......
-
- Сообщения: 9
- Зарегистрирован: 15 фев 2019, 04:51
Да, проблема была на поверхности. На основном микротике изменил правило masquerade NAT на 192.168.0.0/16 и все заработало.
Спасибо за терпение и понимание =)
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Надо делать так, что если в поле src - адресация локальных сетей, а поле
назначения есть не локальная сеть то этот пакет выпускать через
внешний интерфейс и делать НАТ ему.
То есть правило НАТ должны быть не общего плана, а более уникальны.
Это как не проходить дома мимо кухни всегда, а пойти лишь туда и тогда,
когда захочется кушать.
Поэтому рекомендую с НАТ правилами привести их в порядок и сделать
более точечными и "строгими". Чтобы через них не бегал весь трафик,
а бегал тот, который чисто Интернетовский.
назначения есть не локальная сеть то этот пакет выпускать через
внешний интерфейс и делать НАТ ему.
То есть правило НАТ должны быть не общего плана, а более уникальны.
Это как не проходить дома мимо кухни всегда, а пойти лишь туда и тогда,
когда захочется кушать.
Поэтому рекомендую с НАТ правилами привести их в порядок и сделать
более точечными и "строгими". Чтобы через них не бегал весь трафик,
а бегал тот, который чисто Интернетовский.
-
- Сообщения: 9
- Зарегистрирован: 15 фев 2019, 04:51
add action=masquerade chain=srcnat dst-address-list=!local src-address=192.168.3.0/24
add action=masquerade chain=srcnat dst-address-list=!local src-address=192.168.1.0/24
Не работает, а
add action=masquerade chain=srcnat dst-address-list=!local src-address=192.168.0.0/16 работает.
Как сделать более узконаправленным в этом случае?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Включите для работающего правила (галочку) LOG и смотрите что в логе микротика пишется...vladimir.starodubtsev писал(а): ↑18 фев 2019, 13:20 Не работает, а
add action=masquerade chain=srcnat dst-address-list=!local src-address=192.168.0.0/16 работает.
Как сделать более узконаправленным в этом случае?
и сравните.....