Не получается настроить маршрутизацию.

[new_admin]

Добрый день! Нужна помощь в настройке.
Прикладываю схему как все должно работать. Интернет приходит на mikrotik crs112-8g-4s-in из внутреннего лана через шлюз 192.168.10.127.
Есть VipNet Coordinator HW 1000, он уже настроен сторонней организацией и настройки менять нельзя, в нем две сетевые. eth0 - 172.16.2.6 255.255.255.252 172.16.2.5. eth1 - 192.168.66.1 255.255.255.0. Через него осуществляется доступ к адресу 172.16.0.2, и когда компам из лана 192.168.10.хх нужен будет доступ к этому сайту он должен обращаться к нему через 192.168.66.1. Сейчас я пингую все интерфейсы, но на нужный адрес не заходит, есть подозрение , что координатор не получает инет.

 

interface bridge
add name=bridge2
/interface vlan
add interface=ether1 name=vlan1 vlan-id=1
add interface=ether3 name=vlan10 vlan-id=1
add interface=ether4 name=vlan20 vlan-id=1
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=bridge2 interface=ether2
add bridge=bridge2 interface=ether3
add bridge=bridge2 interface=ether4
add bridge=bridge2 interface=ether5
add bridge=bridge2 interface=ether6
add bridge=bridge2 interface=ether7
add bridge=bridge2 interface=ether8
add bridge=bridge2 interface=sfp9
add bridge=bridge2 interface=sfp10
add bridge=bridge2 interface=sfp11
add bridge=bridge2 interface=sfp12
add bridge=bridge2 interface=ether1
/interface list member
add interface=ether1 list=WAN
add list=LAN
add interface=bridge2 list=LAN
/ip address
add address=192.168.10.5/24 interface=ether1 network=192.168.10.0
add address=172.16.2.5/30 interface=ether3 network=172.16.2.4
add address=192.168.66.2/24 interface=ether4 network=192.168.66.0
/ip dhcp-client
add interface=ether1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip route
add distance=1 gateway=192.168.10.127
add distance=1 dst-address=172.16.0.2/32 gateway=192.168.66.1
/system clock
set time-zone-name=Europe/Volgograd

[gmx]

1. Мало инфы. Не совсем ясно, как VipNet должен получить инет? Не может быть так, что его надо ставит в разыв между инетом и микротиком? Он так чаще всего и ставится.
2. Порты, которые смотрят в разные подсети лучши исключить из общего бриджа микротика.
3. Все подсети на микротике и на других вышестоящих устройствах смаршрутизированы напрямую?
Может випнет ничего не знает про подсеть192.168.16.0/24, может он знает только 192.168.16.2/32? Может требуется маскарадинг?
4. А випнет получает инет по 0 порту??? Я прав? Тут тоже, скорее всего маскарадинг нужно настраивать, вышестоящее оборудование ничего не знает про подсеть 172.16.2.0/24.
5. А кто рулит сетью випнета? Они пингует ваш випнет?
6. Я ничего не понял про VLAN? На схеме 1,20,30 - в конфиге вижe только VLAN 1 на всех портах? Это так и должно быть?

Иными словами очень много вопросов.
Чтобы сделать все правильно, то нужна схема того, КАК ДОЛЖНО БЫТЬ? Не так, как вы ее видите, а именно так, как это планировалось изначально, с указанием всех IP, MASK, GW, номеров портов и так далее.

[easyman]

ну так пингуйте с нужного интерфейса/адреса - чтоб убрать подозрения.
и да, верно, применяйте нат в нужных точках. випнеты понятия не имеют о ваших подсетях.

[new_admin]

То, что сделал я может и не верно. Может надо сделать совсем иначе, за этим я и здесь. Схему рисовал не я, но по ней все должно работать, она как рекомендация. Id vlan'ов я исправил. Я тогда поставлю вопрос подругому - как мне настроить так, чтобы все работало как на схеме?

[gmx]

VLAN настроили? Я правильно понял?
Порты 3 и 4 из бриджа удалили?


Пинги до випнета на оба IP адреса?
Випнет видят люди, которы рулят сетью випнетов???

И еще, а где у вас интерфейс WAN??? Это 192.168.10.2???

[new_admin]

 

/interface bridge
add name=bridge2
/interface vlan
add interface=ether1 name=vlan1 vlan-id=1
add interface=ether3 name=vlan10 vlan-id=10
add interface=ether4 name=vlan20 vlan-id=20
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=bridge2 interface=ether2
add bridge=bridge2 interface=ether5
add bridge=bridge2 interface=ether6
add bridge=bridge2 interface=ether7
add bridge=bridge2 interface=ether8
add bridge=bridge2 interface=sfp9
add bridge=bridge2 interface=sfp10
add bridge=bridge2 interface=sfp11
add bridge=bridge2 interface=sfp12
add bridge=bridge2 interface=ether1
/interface list member
add interface=ether1 list=WAN
add list=LAN
add interface=bridge2 list=LAN
/ip address
add address=192.168.10.5/24 interface=ether1 network=192.168.10.0
add address=172.16.2.5/30 interface=ether3 network=172.16.2.4
add address=192.168.66.2/24 interface=ether4 network=192.168.66.0
/ip dhcp-client
add interface=ether1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip route
add distance=1 gateway=192.168.10.127
add distance=1 dst-address=172.16.0.2/32 gateway=192.168.66.1

Вот новые логи. Пингую интерфейсы 192.168.66.2 и 172.16.2.5. Сам координатор нельзя пинговать, там экран какой-то настроен, я когда тестил напрямую через ноут, тоже не пинговался. С теми кто им рулит связи нет, они просто настроили его и отдали, учетки админа тоже нет, ничего менять нельзя.
На схеме 192.168.10.2 , но по факту этот адрес занят был, я взял 192.168.10.5. Сам микрот интернет получает через шлю 192.168.10.127.

[gmx]

Слишком много неизвестных.
Как можно проверить правильность настройки? Правильно, только командой PING. Вы пишите, что нельзя. Ну и как быть дальше???

[new_admin]

Правильная настройка будет, если появится возможность зайти на адрес 172.16.0.2 и он должен пинговаться. Пока не заходит. Может к нему какой-то маршрут надо прописать, хотя он уже прописан. Потому что я с 10-ой подсети захожу на 66.2 и попадаю на веб-интерфейс микрота.
Когда я тестил сам координатор, я делал так - через обычный роутер дал интернет на eth0, а eth1 подключил к роутеру в сеть с одним компом, который завел в 192.168.66.x подсеть, прописал ему шлюз 192.168.66.1 и все работало. Только координатор блокирует весь интернет в таком случае и оставляет доступ только к закрытому сайту 172.16.0.2. Мне нужно чтобы компы и любой подсети имели интернет, но когда им нужно будет зайти на закрытый сайт они ссылались на координатор.

[Erik_U]

Вы между випнетом и интернетом поставили маршрутизатор. А изменить дефолтный маршрут на випнете не можете.

Сделайте так.
1. Порт, кода подключен интернет и порт, куда подключен випнет соедините в бридж. Адрес микротику дайте на порт, который смотрит в интернет.
У вас в сторону интернета будуи смотреть 2 адреса - микротика, и преднастроенный випнета. При этом випнет будет видеть шлюз оператора напрямую, без промежуточных роутеров.

2. Для корректной работы с випнетом сделайте action = netmap с 192.168.10.х на 192.168.66.х.
А с интернетом обычный srcnat маскарад на интерфейс, смотрящий в интернет.
3. Дефолтный мапршрут микротику - на шлюз оператора. И добавить маршруты на все сети за випнетом.

[easyman]

На ether4 src-nat есть?