Маршрутизация подсетей.

[algerka]

у меня получают

Чудес не бывает. Вы или не полный конфиг показали или у вас есть другие dhcp сервера.
Ну сами подумайте, от куда компьютеры узнают шлюз и сеть в которой они работают? в вашем конфиге эта информация отсутствует.

[algerka]

Проверьте настройки сети на хостах, проверьте трейс между хостами, и тогда поймете где затык.

[lorddemon]

[KARaS'b]

lorddemon если вы внимательно перечитаете тему, то увидите, что в конкретно вашем данном случае, вы "одним правилом" не отделаетесь. В данный момент вы маркируете трафик и на основе этой метки маршрутизируете, т.е. у вас есть две таблицы маршрутизации, стандартная - main (которая содержит все автоматически созданные маршруты и которая позволяла бы общаться сетям, если бы вы не маркировали трафик так, как делаете это сейчас) и та, которая создалась в результате маркировки - MixUp1Up2. В данный момент ваши сети не общаются между собой, не потому, что вы запретили им это делать, а потом что для таблицы MixUp1Up2 нет маршрутов между сетями, т.е. это побочное проявление вашей маркировки.
Выходов у вас всего два.
Первый - каким-то образом для таблицы MixUp1Up2 добавить маршруты ко всем сетям, что бы они начали общаться и уже потом или фаерволом, или в route rules заблокировать общение между всеми сетями кроме 3.0/24, что лично я считаю костылем.
Второй - начать маркировать трафик так, что бы межсетевое общение не подпадало под маркировку. т.е. как-то конкретизировать правила маркировки. Например создать один адрес лист который будет содержать все ваши подсети и вместо кучи ваших правил маркировки создать одно, которое будет выглядеть примерно вот так

Код: Выделить всё

/ip firewall address-list
add address=192.168.1.0/24 list=MixUp1Up2_list
add address=192.168.2.0/24 list=MixUp1Up2_list
etc...

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=!MixUp1Up2_list new-routing-mark=MixUp1Up2 passthrough=no src-address-list=MixUp1Up2_list

Одно это правило будет выполнять роль всех тех что вы "навертели" в мангле и при этом под него не будет подпадать межсетевой трафик, т.е. после того, как вы замените свое нагромождением этим, у вас сразу появится доступ между сетями и дальше, вам надо только их разграничить так, как надо, т.е. запретить общение всех со всеми кроме 3й подсети.

[lorddemon]

вам надо только их разграничить так, как надо, т.е. запретить общение всех со всеми кроме 3й подсети.

и как это сделать?

Они и так у меня адрес листе local есть смысл это еще раз делать?

 

/ip firewall address-list
add address=192.168.1.0/24 list=Local
add address=192.168.2.0/24 list=Local
add address=192.168.3.0/24 list=Local
add address=192.168.4.0/24 list=Local
add address=192.168.5.0/24 list=Local
add address=192.168.6.0/24 list=Local
add address=192.168.7.0/24 list=Local
add address=192.168.8.0/24 list=Local
add address=192.168.10.0/24 list=Local
add address=192.168.11.0/24 list=Local
add address=192.168.15.0/24 list=Local
add address=10.10.0.0/16 list=Local

Или сделать
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=!Local new-routing-mark=MixUp1Up2 passthrough=no src-address-list=Local

а остальные манглы убрать кроме ответа на входящий канал

[KARaS'b]

Да, можно на основе вашего адреслиста, если он содержит абсолютно все ваши подсети.
А по поводу блокировки и разрешений, вот шикарная тема - viewtopic.php?f=15&t=6572
Там на 5й странице от нашего многоуважаемого vqd шикарный пример, как использовать фаервол для вашей задачи.

[lorddemon]

Да, можно на основе вашего адреслиста, если он содержит абсолютно все ваши подсети.
А по поводу блокировки и разрешений, вот шикарная тема - viewtopic.php?f=15&t=6572
Там на 5й странице от нашего многоуважаемого vqd шикарный пример, как использовать фаервол для вашей задачи.

Спасибо за ваши старания вникнуть в проблему
буду завтра пробовать, отпишусь о результатах.

так понимаю что должно сработать (чтоб не писать много правил):

Код: Выделить всё

/ip firewall address-list
add address=192.168.3.0/24 list=No_Filter
/ip firewall filter
add action=drop chain=forward connection-state=new dst-address=192.168.0.0/16 src-address=192.168.0.0/16 src-address-list=!no_filterA dst-address-list=!no_filterB
add action=drop chain=forward connection-state=new dst-address=10.10.0.0/16 src-address=192.168.0.0/16 src-address-list=!no_filterA dst-address-list=!no_filterB
add action=drop chain=forward connection-state=new dst-address=192.168.0.0/16 src-address=10.10.0.0/16

хотя

ну или так (не совсем корректное решение)

Код: Выделить всё

add action=drop chain=forward dst-address=192.168.0.0/16 src-address=192.168.0.0/16

[KARaS'b]

По сути, все ваши хотелки касаемо блокировки и разрешения 3й подсети можно уместить всего в одно правило.

Код: Выделить всё

add action=drop chain=forward connection-state=new dst-address=!192.168.3.0/24 dst-address-list=Local src-address-list=Local

Но я напомню, тут у нас форум, а не платная поддержка, а это только примерный пример, я его проверил у себя и оно работало, но как оно поведет себя у вас и к чему приведет в дальнейшем сказать не могу, как говорится, все на свой страх и риск.
И главное не забывайте, очередность правил играет большую роль, говорю это потому что в вашем фаерволе вижу "ляпы" и из-за них возможно вам придется повозиться.

[lorddemon]

По сути, все ваши хотелки касаемо блокировки и разрешения 3й подсети можно уместить всего в одно правило.

Код: Выделить всё

add action=drop chain=forward connection-state=new dst-address=!192.168.3.0/24 dst-address-list=Local src-address-list=Local

Но я напомню, тут у нас форум, а не платная поддержка, а это только примерный пример, я его проверил у себя и оно работало, но как оно поведет себя у вас и к чему приведет в дальнейшем сказать не могу, как говорится, все на свой страх и риск.
И главное не забывайте, очередность правил играет большую роль, говорю это потому что в вашем фаерволе вижу "ляпы" и из-за них возможно вам придется повозиться.

Большое спасибо ВАМ за помощь, также всем кто также подключился к помощи.
Послушай всех и выбери свой вариант...

Вот как я в итоге решил вопрос

 

/interface list member
add interface=ether3-Clasa1 list=LAN
add interface=ether2-Up list=WAN
add interface=ether1-Up list=WAN
add interface=ether4-Clasa2 list=LAN
add interface=ether5-Clasa3 list=LAN
add interface=ether6-Clasa4 list=LAN
add interface=ether7-Clasa5 list=LAN
add interface=ether8-Clasa6 list=LAN
add interface=ether9-Clasa7 list=LAN
add interface=ether10-Clasa8 list=LAN
add interface=ether11-SRV list=LAN
add interface=ether12-Cam list=LAN
add interface=ether13-Admin list=LAN
add interface=vlanAdmin11 list=LAN
add interface=vlanBibl14 list=LAN
add interface=vlanCatedre13 list=LAN
add interface=vlanClase16 list=LAN
add interface=vlanCont12 list=LAN
add interface=vlanFirm15 list=LAN
add interface=bridgeAdmin list=LAN
add interface=bridge-WiFi list=LAN
add interface=ether11-SRV list=servers

/ip firewall filter
add action=accept chain=forward connection-state=new in-interface-list=LAN out-interface-list=servers
add action=accept chain=forward connection-state=new in-interface-list=servers out-interface-list=LAN
add action=drop chain=forward connection-state=new in-interface-list=LAN out-interface-list=LAN
add action=drop chain=forward connection-state=new in-interface-list=LAN out-interface-list=LAN

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=!Local new-routing-mark=MixUp1Up2 passthrough=no src-address-list=Local

[KARaS'b]

Как и что решать дело ваше, но вот в этом моменте вы не совсем правы

Код: Выделить всё

add action=drop chain=forward connection-state=new in-interface-list=LAN out-interface-list=LAN
add action=drop chain=forward connection-state=new in-interface-list=LAN out-interface-list=LAN

Достаточно оставить только одно правило, потому что второе бесполезно и не забывайте, чем больше правил фаервола, ната и мангла, тем сложнее вашей железке, она "переваривает" весь ваш трафик согласно спискам правил пока не наткнется на правило подходящее в данный конкретный момент или пока не пройдет весь список, если трафик не подпадает ни под одно из правил. В вашем случае будет дважды выполнено одно и то же действие, что бессмысленно. Ужаса не случится, но и хорошего тоже, т.к. правила абсолютно идентичны и не несут никакой смысловой и практической нагрузки и у второго правила скорее всего даже счетчик не будет "накручиваться" т.к. на себя все возьмет первое.