Маршрутизация между VLAN

[Despierto]

Здравствуйте, уважаемые форумчане! Вновь обращаюсь за помощью.
VLAN подсети я настроил на bridge интерфейсах на роутере R1, теперь пытаюсь наладить коммуникацию между ними.

Имеется VLAN10 для офиса, сеть 192.168.10.0/24 - у R1 адрес 192.168.10.1
и VLAN70 для серверов, сеть 192.168.70.0/24 - у R1 адрес 192.168.70.1
Задача - подключатся с компьютера из VLAN10 на RDP сервер 192.168.70.21 (прописаны подсеть 255.255.255.0 и шлюз 192.168.70.1).
Изоляция VLAN выполнена с помощью route rules с действием unreachable.

C самого R1 пинги на 192.168.70.21 идут.
А с компьютера на 192.168.10.199 - "Сеть недоступна", если отключаю route rules, то "Превышен интервал ожидания для запроса". На 192.168.70.1 пинг идет, хотя про трассировке этого не скажешь:

tracert:

Код: Выделить всё

Трассировка маршрута к 192.168.70.21 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  192.168.10.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  И так далее

Конфиг:

Код: Выделить всё

#RouterOS 6.44.1
# model = CRS125-24G-1S
/interface bridge
add comment=OFFICE fast-forward=no name=bridge-vlan10-office
add arp=reply-only comment=GUESTS fast-forward=no name=bridge-vlan30-guests
add comment=SERVERS fast-forward=no name=bridge-vlan70-servers
add comment=MANAGEMENT fast-forward=no name=bridge-vlan80-management
add comment="OLD NETWORK" name=bridge-vlan99-oldnetwork
/interface ethernet
set [ find default-name=ether1 ] comment=SERVERS name=ether1-servers
set [ find default-name=ether2 ] name=ether2-servers
set [ find default-name=ether3 ] name=ether3-servers
set [ find default-name=ether4 ] name=ether4-servers
set [ find default-name=ether5 ] name=ether5-servers
set [ find default-name=ether6 ] name=ether6-servers
set [ find default-name=ether7 ] name=ether7-servers
set [ find default-name=ether8 ] name=ether8-servers
set [ find default-name=ether9 ] comment=MANAGEMENT name=ether9-management
set [ find default-name=ether10 ] name=ether10-management
set [ find default-name=ether11 ] name=ether11-management
set [ find default-name=ether12 ] name=ether12-management
set [ find default-name=ether13 ] comment="OLD NETWORK" name=\
    ether13-oldnetwork-uplink
set [ find default-name=ether14 ] comment=NONUSED
set [ find default-name=ether17 ] comment=OFFICE name=ether17-office
set [ find default-name=ether18 ] comment=GUESTS name=ether18-guests
set [ find default-name=ether19 ] comment=TRUNK name=ether19-trunk
set [ find default-name=ether20 ] name=ether20-trunk
set [ find default-name=ether21 ] name=ether21-trunk
set [ find default-name=ether22 ] name=ether22-trunk
set [ find default-name=ether23 ] comment=NONUSED
set [ find default-name=ether24 ] comment=WAN name=ether24-uplink
set [ find default-name=sfp1 ] comment=NONUSED
/interface vlan
add interface=ether19-trunk name=vlan10-trunk-to-R2 vlan-id=10
add interface=ether19-trunk name=vlan30-trunk-to-R2 vlan-id=30
add interface=ether19-trunk name=vlan99-trunk-to-R3 vlan-id=99
/interface list
add name=WAN
add name=OFFICE
add name=MANAGEMENT
add include=OFFICE,MANAGEMENT name=LAN
/ip pool
add name=pool-vlan10-office ranges=192.168.10.100-192.168.10.200
add name=pool-vlan30-guests ranges=192.168.30.100-192.168.30.200
/ip dhcp-server
add address-pool=pool-vlan10-office disabled=no interface=\
    bridge-vlan10-office lease-time=3d name=dhcp-vlan10-office
add add-arp=yes address-pool=pool-vlan30-guests disabled=no interface=\
    bridge-vlan30-guests lease-time=3d name=dhcp-vlan30-guests
/interface bridge port
add bridge=bridge-vlan70-servers comment=SERVERS interface=ether1-servers
add bridge=bridge-vlan70-servers interface=ether2-servers
add bridge=bridge-vlan70-servers interface=ether3-servers
add bridge=bridge-vlan70-servers interface=ether4-servers
add bridge=bridge-vlan70-servers interface=ether5-servers
add bridge=bridge-vlan70-servers interface=ether6-servers
add bridge=bridge-vlan70-servers interface=ether7-servers
add bridge=bridge-vlan70-servers interface=ether8-servers
add bridge=bridge-vlan80-management comment=MANAGEMENT interface=\
    ether9-management
add bridge=bridge-vlan80-management interface=ether10-management
add bridge=bridge-vlan80-management interface=ether11-management
add bridge=bridge-vlan80-management interface=ether12-management
add bridge=bridge-vlan10-office comment=OFFICE interface=vlan10-trunk-to-R2
add bridge=bridge-vlan10-office interface=ether17-office
add bridge=bridge-vlan30-guests comment=GUESTS interface=vlan30-trunk-to-R2
add bridge=bridge-vlan30-guests interface=ether18-guests
add bridge=bridge-vlan99-oldnetwork comment="OLD NETWORK" interface=\
    ether13-oldnetwork-uplink
add bridge=bridge-vlan99-oldnetwork interface=vlan99-trunk-to-R3
/ip neighbor discovery-settings
set discover-interface-list=MANAGEMENT
/interface list member
add interface=bridge-vlan80-management list=MANAGEMENT
add interface=ether24-uplink list=WAN
add interface=bridge-vlan10-office list=OFFICE
add interface=bridge-vlan30-guests list=LAN
/ip address
add address=192.168.10.1/24 comment=OFFICE interface=bridge-vlan10-office \
    network=192.168.10.0
add address=192.168.30.1/24 comment=GUESTS interface=bridge-vlan30-guests \
    network=192.168.30.0
add address=192.168.70.1/24 comment=SERVERS interface=bridge-vlan70-servers \
    network=192.168.70.0
add address=192.168.80.1/24 comment=MANAGEMENT interface=\
    bridge-vlan80-management network=192.168.80.0
/ip dhcp-client
add dhcp-options=clientid,hostname disabled=no interface=ether24-uplink
/ip dhcp-server network
add address=192.168.10.0/24 comment=OFFICE dns-server=192.168.10.1 gateway=\
    192.168.10.1 netmask=24
add address=192.168.30.0/24 comment=GUESTS dns-server=192.168.30.1 gateway=\
    192.168.30.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked disabled=yes
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid disabled=yes
add action=accept chain=input comment="Allow DNS" disabled=yes \
    in-interface-list=all protocol=udp
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
    in-interface-list=LAN protocol=icmp
add action=drop chain=input comment="drop all not coming from MANAGEMENT - all\
    ow to manage R1 (this) only from management vlan" disabled=yes \
    in-interface-list=!MANAGEMENT
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new disabled=yes in-interface-list=WAN log=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip route rule
add action=unreachable disabled=yes dst-address=192.168.10.0/24 src-address=\
    192.168.30.0/24
add action=unreachable disabled=yes dst-address=192.168.10.0/24 src-address=\
    192.168.70.0/24
add action=unreachable disabled=yes dst-address=192.168.10.0/24 src-address=\
    192.168.80.0/24
add action=unreachable disabled=yes dst-address=192.168.30.0/24 src-address=\
    192.168.10.0/24
add action=unreachable disabled=yes dst-address=192.168.30.0/24 src-address=\
    192.168.70.0/24
add action=unreachable disabled=yes dst-address=192.168.30.0/24 src-address=\
    192.168.80.0/24
add action=unreachable disabled=yes dst-address=192.168.70.0/24 src-address=\
    192.168.10.0/24
add action=unreachable disabled=yes dst-address=192.168.70.0/24 src-address=\
    192.168.30.0/24
add action=unreachable disabled=yes dst-address=192.168.70.0/24 src-address=\
    192.168.80.0/24
add action=unreachable disabled=yes dst-address=192.168.80.0/24 src-address=\
    192.168.10.0/24
add action=unreachable disabled=yes dst-address=192.168.80.0/24 src-address=\
    192.168.30.0/24
add action=unreachable disabled=yes dst-address=192.168.80.0/24 src-address=\
    192.168.70.0/24
add action=unreachable comment="GUESTS CLIENT ISOLATION" disabled=yes \
    dst-address=192.168.30.0/24 src-address=192.168.30.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=R1
/tool mac-server
set allowed-interface-list=MANAGEMENT
/tool mac-server mac-winbox
set allowed-interface-list=MANAGEMENT

Маршруты:


Подскажите, что нужно добавить/изменить?

[algerka]

Изоляция VLAN выполнена с помощью route rules с действием unreachable.

Это уберите, и в forward добавьте разрешающие правила, перед запрещающим, под вашу задачу.

ЗЫ: еще ваша ошибка, что вы CRS настраиваете как CCR!

[Despierto]

Изоляция VLAN выполнена с помощью route rules с действием unreachable.

Это уберите, и в forward добавьте разрешающие правила, перед запрещающим, под вашу задачу.

Отключил route rules. Добавил правило в файрвол:
/ip firewall filter
add action=passthrough chain=forward dst-address=192.168.70.0/24 log=yes src-address=192.168.10.0/24
Связи все равно нет. Даже пробовал файрвол отключить. Может еще в NAT добавить masquerade?

В логе:

ЗЫ: еще ваша ошибка, что вы CRS настраиваете как CCR!

Как я понимаю, для CRS мне нужны эти инструкции:
https://wiki.mikrotik.com/wiki/Manual:S ... s_Ports.29
https://habr.com/ru/post/313248/
верно?

[algerka]

Отключил route rules. Добавил правило в файрвол:
/ip firewall filter
add action=passthrough chain=forward dst-address=192.168.70.0/24 log=yes src-address=192.168.10.0/24
Связи все равно нет.

А почему passthrough?
Идем на первоисточник https://wiki.mikrotik.com/wiki/Manual:I ... all/Filter и читаем:
"passthrough - if packet is matched by the rule, increase counter and go to next rule (useful for statistics)"
То что вы сделали то вы и получили. Ваша картинка это подтверждает.
Я вроде понятно написал "разрешающие правила"!

Не, ну серьезно, коллеги, так же нельзя.
Не хотите думать, а хотите чтобы за вас все сделали - тогда есть ветка под платные услуги viewforum.php?f=32

Как я понимаю, для CRS мне нужны эти инструкции:
https://wiki.mikrotik.com/wiki/Manual:S ... s_Ports.29

Нет. Опять не внимательно матчасть изучаете. Пропустили:
"Note: Cloud Router Switch (CRS) series devices have highly advanced switch chips built-in, they support wide variety of features. For more details about switch chip capabilities on CRS1xx/CRS2xx series devices check the CRS1xx/CRS2xx series switches manual, for CRS3xx series devices check the CRS3xx series switches manual."

[Despierto]

Я вроде понятно написал "разрешающие правила"!

Спасибо Вам большое за помощь, к сожалению мне не очень понятно. Пока я только разбираюсь в этих тонкостях.

Идем на первоисточник https://wiki.mikrotik.com/wiki/Manual:I ... all/Filter и читаем

Перечитал несколько раз. Понял, что мне подходит accept. Поменял в правиле, изменений не замечаю.

Не, ну серьезно, коллеги, так же нельзя.
Не хотите думать, а хотите чтобы за вас все сделали - тогда есть ветка под платные услуги

Думать я не отказываюсь, старательно изучаю ответы и материалы по ссылкам. Чтобы за меня все сделали, тоже не просил, скорее просил совета, как решать конкретную задачу, потому что самостоятельное изучение материалов в интернете в течении нескольких дней не дало результата.

[algerka]

Перечитал несколько раз. Понял, что мне подходит accept. Поменял в правиле, изменений не замечаю.

А вы уверены что они должны пинговаться ? В смысле на самих компьютерах разрешен ответ на пинг из других сетей?

[Despierto]

А вы уверены что они должны пинговаться ? В смысле на самих компьютерах разрешен ответ на пинг из других сетей?

Да, вот в этом все и дело. Файрвол на компьютере блокировал связь из другой сети. В общем все работает с отключенными route rules. И даже без этого правила, которое мы добавляли в файрвол. Оставляю все как есть, только route rules между 10 и 70 VLAN будут отключены.

Спасибо огромное!

[ViTaRga]

А вы уверены что они должны пинговаться ? В смысле на самих компьютерах разрешен ответ на пинг из других сетей?

Да, вот в этом все и дело. Файрвол на компьютере блокировал связь из другой сети. В общем все работает с отключенными route rules. И даже без этого правила, которое мы добавляли в файрвол. Оставляю все как есть, только route rules между 10 и 70 VLAN будут отключены.

Спасибо огромное!

Тоже на этом попался. Так как адрес сети изменился у другого хоста, то они перестали быть в одной подсети. Firewall Windows перестал пропускать, добавил в исключения нужную подсеть и всё заработало.