Маршрутизация подсетей.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
lorddemon
Сообщения: 41
Зарегистрирован: 05 дек 2017, 12:01

KARaS'b писал(а): 06 апр 2019, 19:30
lorddemon писал(а): 06 апр 2019, 19:11 уверен
компы видят друг друга только внутри своей подсети
Как вы это проверяли? Пинг по имени и последующий отказ в доступе? Пинг по адресу проходит? На пингуемом и пингующем хосте в этот момент фаерволы часом не включены? Есть большая вероятность, что блокирует доступ не микротик, а непосредственно ваши хосты, видя что к ним обращаются из сети отличной от их.
Возьмите два хоста, отключите на них фаерволы и проверьте доступность по адресу, а не по имени.
я с микротика не могу пропинговать с порта 3 192.168.3.1


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

lorddemon писал(а): 06 апр 2019, 19:35 я с микротика не могу пропинговать с порта 3 192.168.3.1
Вот тут у меня пожалуй недостаточно знаний, но могу сказать, что это нормально, потому что у вас 3я сеть висит на 5м порту, у себя я точно так же не могу пропинговать нечто, что находится где-то за тоннелем, с внутреннего порта, так как за этим портом нет этого тоннеля, но доступ между сетями при этом есть. Почему так происходит, может нам обоим объяснят более просветленные товарищи, мне этот момент тоже интересен с токи зрения логики.
И на всякий случай проделайте то, что я просил, т.к. есть подозрение, что доступ между сетями у вас и так есть.


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

KARaS'b писал(а): 06 апр 2019, 19:34
Динамические маршруты, а таковыми будут маршруты при добавлении адреса с маской на интерфейс тика, через экспорт не выгружаются и имеют по умолчанию дистанс 0, который "перебьет" любой другой, созданный в ручную, маршрут.
Но если человек сейчас проделает то, что я попросил и результата\доступа не окажется, то я тоже склоняюсь к какому-то косяку в конфиге.
З.Ы. Да и косяков там больше, чего стоит только полностью разрезающее правило фаервола в цепочке форвард, после которого уже идет блокировка на инвалид в этой же цепочке.
динамические в таблицу "майн" добавляются.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

А я слегка о другом:

1) зачем в микротике все порты под каждую сеть сделали? (превратили микротик в какой-то
магистральный свитч)

2) опять же, если все виланы(или даже их часть) приходят/и-или/уходят на циски, зачем опять делать то,
что я описал в пункте 1, проще на одному порту сделать его транковым(на микротике и на циске),
и загнать на микротик все виланы по одному порту/кабелю, и схема проще была и логика.

3) для ТС - чтобы пинговать с микротика, но "чужое", выберите в утилите пинг тот интерфейс
который смотрит в сторону нужного Вам клиента (которого хотите попробовать пинговать),
и включите(галочку) ARP-ping и попробуйте.
Обычно пинг надо проверять не с роутера, а с других компов/клиентов. Так правильно
формируется откуда пакет пришёл (адрес источника с нужной сетью) и
куда надо (адрес назначения с нужной сетью).

Напоминаю, что по-умолчанию(чистый роутер), связь между сетями (не важно как они приходят на микротик,
через порт(ы) или через виланы), связь между ними (на уровне L3) есть.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Erik_U писал(а): 06 апр 2019, 19:51 динамические в таблицу "майн" добавляются.
Да, согласен, недодумал. Это кстати действительно блокирует доступ между сетями, поверил только что на собственной шкуре. И считаю, что это не правильно.
Исходя из этого, одним правилом топикстартеру не отделаться, нужно как-то конкретизировать маркировки, что бы они не маркировали межсетевой трафик. После уже заблокировать этот межсетевой трафик самому и разрешить то, что можно.


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

lorddemon писал(а): 06 апр 2019, 19:33
все VLAN транслируются на 2 cisco с 13 порта и все нормально работает
но вот как я выше говорил появилась необходимость поставить сервера в сеть *.*.3.0/24
и эти сервера должы быть доступны со всех сетей
но вы мне хотябы скажите как сделать доступ с сети *.*.1.0/24 в *.*.3.0/24
Если вы все виланы на циску приземляете, вы там и разрешайте взаимодействие между виланами.

Чтобы получился доступ пропишите в таблицу маргрутизации статикой динамические маршруты, которые создались на микротике до сетей на его интерфейсах, только для таблицы "MixUp1Up2"

Или уберите манглы, само заработает.


lorddemon
Сообщения: 41
Зарегистрирован: 05 дек 2017, 12:01

отвечу на все сразу по очереди
порт 1 и 2 это два провайдера т-е 2 выхода в инет
с 3 до 12 это разные подсети которые между собой не общаются
порт 13 это порт который ретранслирует вланы на 1 cisco и она в свою очередь на 2 cisco.

на данный момент у меня 19 подсетей которые между собой не общаются
я честно говоря уже не знаю как проверить еще так как проверял это на этапе разработки данной схемы.
не пингуются компы из разных сетей и не видят друг друга и нет тут речи о фаирволах.
на многих компах есть шара которая должна быть и присутствовать именно внутри этой подсети и не более.
препод должен видеть только класс в котором он работает а не все 8.
также администрация отделена и т д ....
вланы все нормально транслируются и работают.
принг с apr или без не проходит с одного порта на шлюз другого порта.
маркировка сделана для балансировка трафика на 2 выхода

чтоб все стала еще раз понятно все работает на данный момент отлично но вот появилась новая задача дать доступ всем подсетям в подсеть 192.168.3.0/24

именно поэтому я и пытался обрисовать схему проще дабы небыло необходимости комуто разбираться в моих конфигах.


lorddemon
Сообщения: 41
Зарегистрирован: 05 дек 2017, 12:01

 
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool1 ranges=192.168.1.2-192.168.1.254
add name=pool2 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=pool1 disabled=no interface=ether2 name=server1
add address-pool=pool2 disabled=no interface=ether3 name=server2
/ip address
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0
add address=192.168.2.1/24 interface=ether3 network=192.168.2.0
вот самая простая конфигурация
2 сети и обе имеют свой dhcp сервер с адресами. Компы получают IP на них фаирволы отключены. Должны они друг друга видеть? и пинговатся.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

lorddemon писал(а): 06 апр 2019, 22:25
 
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool1 ranges=192.168.1.2-192.168.1.254
add name=pool2 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=pool1 disabled=no interface=ether2 name=server1
add address-pool=pool2 disabled=no interface=ether3 name=server2
/ip address
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0
add address=192.168.2.1/24 interface=ether3 network=192.168.2.0
вот самая простая конфигурация
2 сети и обе имеют свой dhcp сервер с адресами. Компы получают IP на них фаирволы отключены. Должны они друг друга видеть? и пинговатся.
При таком конфиге компьютеры не получат ip адрес по dhcp. И не понимаю для чего вы wireless показали.
Последний раз редактировалось algerka 06 апр 2019, 22:38, всего редактировалось 1 раз.


Александр
lorddemon
Сообщения: 41
Зарегистрирован: 05 дек 2017, 12:01

algerka писал(а): 06 апр 2019, 22:36
lorddemon писал(а): 06 апр 2019, 22:25
 
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool1 ranges=192.168.1.2-192.168.1.254
add name=pool2 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=pool1 disabled=no interface=ether2 name=server1
add address-pool=pool2 disabled=no interface=ether3 name=server2
/ip address
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0
add address=192.168.2.1/24 interface=ether3 network=192.168.2.0
вот самая простая конфигурация
2 сети и обе имеют свой dhcp сервер с адресами. Компы получают IP на них фаирволы отключены. Должны они друг друга видеть? и пинговатся.
При таком конфиге компьютеры не получат ip адрес по dhcp.
у меня получают


Ответить