Добрый день !
Имеем:
1. Сеть 192.168.0.0/23, c kerio control (192.168.0.160) в качестве межсетевого экрана.
2. Сеть 192.168.10.0/24 - основная сеть за Mikritik, 192.168.11.0/24 - сеть для видео наблюдения за Mikritik.
Что сделано:
1. Mikrotik первым портом (ether1-WAN) подключен в сеть 192.168.0.0/23 и имеет адрес 192.168.1.100
2. Порты со 2 по 4 в bridge1-LAN, имеет адрес 192.168.10.1/24, на этом порту поднят DHCP Server
3. Порт 5 для видеонаблюдения 192.168.11.1/24
4. NAT всего трафика из сети 192.168.10.0/24 за ether1-WAN.
5. Шлюз по умолчанию 192.168.0.160 (Kerio)
На Kerio маршрут прописан в сеть 192.168.10.0/24 c шлюзом 192.168.1.100 (микротик)
Как сделать так чтоб трафик между 192.168.0.0/23 и 192.168.10.0/24 ходил без NAT, чтоб правилами доступа рулить на Kerio а не на микротике.
Отключаю NAT доступ из 192.168.10.0/24 в 192.168.0.0/23 перестает работать, хотя в другую сторону все ок.
Объединение двух сетей
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Так на микротике тоже маршрут укажите, что если надо обратиться к сети
192.168.0.0/23, то шлюз 192.168.0.160 (айпи Керио, такой кажется), и естественно надо НАТ отключить.
А если у микротика других сетей и выходов нет, маршрут можно такой не создавать, а
сделать маршрут по-умолчанию (нули), где указать что
0,0,0,0,/0 через 192.168.0.160
и всё.
P.S.
А вообще 5 раз тут писал, при объединении сетей, рабочий инструмент
админа = это трассеровка.
Делайте трасерт с компов разных сетей и смотрите где затык, зачем гадать???
-
mic44
- Сообщения: 13
- Зарегистрирован: 07 май 2020, 14:27
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) отключить НАТ и подождать 2-5 минут
2) сделать трасерт скажем 192.168.0.160, а потом 192.168.0.150 и так далее,
возможно что когда Вы трассировали адрес (до выключения НАТ), сессия
это ещё в памяти, поэтому надо пробовать с другими адресами
2.1) а лучше отрассировать и отпинговать шлюзы, то есть 10.1 и 0.160 должны пинговаться точно.
3) (ГЛАВНОЕ правило): ни раз тут такое было, пишем пишем, и на 3-й странице темы
топикстартер вдруг говорит что у него файрвол мешал.
Поэтому пробовать с 2-3х разных компьютеров, на компе убрать отключить файрволы,
и советую (так как роутер идёт как просто шлюз) отключить на нём тоже на 5-10 мин
все правила в закладке Filter Rules
4) когда будете делать трасеровку, откройте файрвол, закладка Коннекшины, и там поищите,
Вашу трассировку, если минимум правильно всё настроено, то по протоколу ICMP Вы должны
увидеть адрес компа с кого запустили трассировку и адрес компа куда она идёт.
5) совет: я так понял, на микротике интернета нету (прямого)? Если так,
что советую порт1 оставить в резерве, он для интернета, подключить микротик
к основной сети по порту2 и через порт2 настраивать маршрутизацию
Порт1 оставить в резерве, и если вдруг чего, то потом просто поднимаете адрес на порту1
или поднимаете рррое сессию на порту1 и выходите на прямую, при этом связку между
сетями переделывать не придётся.
Так красиво и так логично правильно.
2) сделать трасерт скажем 192.168.0.160, а потом 192.168.0.150 и так далее,
возможно что когда Вы трассировали адрес (до выключения НАТ), сессия
это ещё в памяти, поэтому надо пробовать с другими адресами
2.1) а лучше отрассировать и отпинговать шлюзы, то есть 10.1 и 0.160 должны пинговаться точно.
3) (ГЛАВНОЕ правило): ни раз тут такое было, пишем пишем, и на 3-й странице темы
топикстартер вдруг говорит что у него файрвол мешал.
Поэтому пробовать с 2-3х разных компьютеров, на компе убрать отключить файрволы,
и советую (так как роутер идёт как просто шлюз) отключить на нём тоже на 5-10 мин
все правила в закладке Filter Rules
4) когда будете делать трасеровку, откройте файрвол, закладка Коннекшины, и там поищите,
Вашу трассировку, если минимум правильно всё настроено, то по протоколу ICMP Вы должны
увидеть адрес компа с кого запустили трассировку и адрес компа куда она идёт.
5) совет: я так понял, на микротике интернета нету (прямого)? Если так,
что советую порт1 оставить в резерве, он для интернета, подключить микротик
к основной сети по порту2 и через порт2 настраивать маршрутизацию
Порт1 оставить в резерве, и если вдруг чего, то потом просто поднимаете адрес на порту1
или поднимаете рррое сессию на порту1 и выходите на прямую, при этом связку между
сетями переделывать не придётся.
Так красиво и так логично правильно.
-
mic44
- Сообщения: 13
- Зарегистрирован: 07 май 2020, 14:27
Я кажется понял в чем проблема:
1. Сеть 192.168.0.0/23 со стороны микротика доступна только с интерфейса который соответственно смотрит в эту сеть.
2. В локальной сети за микротиком 192.168.10.0/24 поднят DHCP и шлюзом является интерфейс микротика 192.168.10.1, на нем и обрывается tracert.
3. Пакеты из сети 192.168.10.0/24 направленные в 192.168.0.0/23 передаются шлюзу 192.168.10.1 и на этом все.
Хотя по таблице маршрутизации они должны передаваться дальше в интерефейс, который смотрит в 192.168.0.0/23, т.е. 192.168.1.100
1. Сеть 192.168.0.0/23 со стороны микротика доступна только с интерфейса который соответственно смотрит в эту сеть.
2. В локальной сети за микротиком 192.168.10.0/24 поднят DHCP и шлюзом является интерфейс микротика 192.168.10.1, на нем и обрывается tracert.
3. Пакеты из сети 192.168.10.0/24 направленные в 192.168.0.0/23 передаются шлюзу 192.168.10.1 и на этом все.
Хотя по таблице маршрутизации они должны передаваться дальше в интерефейс, который смотрит в 192.168.0.0/23, т.е. 192.168.1.100
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Процитирую Вам мои же слова из первого сообщения:
(НЕ с роутера)
Берёте компьютер с отключенным файрволом, например 192.168.10.20
и берёте компьютер (тоже с отключенным файрволом) например 192.168.0.15
и между ними проверяете, с одного компьютера трасерт должен дойти до другова,
и наоборот.
После этого проверяете ещё и пингами, и если они работают, в целом задача
выполнена.
Что вверху написано ? Откуда делать трассерт? С КОМПОВ...!!!!!!!!
(НЕ с роутера)
Берёте компьютер с отключенным файрволом, например 192.168.10.20
и берёте компьютер (тоже с отключенным файрволом) например 192.168.0.15
и между ними проверяете, с одного компьютера трасерт должен дойти до другова,
и наоборот.
После этого проверяете ещё и пингами, и если они работают, в целом задача
выполнена.
-
mic44
- Сообщения: 13
- Зарегистрирован: 07 май 2020, 14:27
С сети 192.168.0.0/23 все проходит (пинг, трасерт) в сеть 192.168.10.0/24Vlad-2 писал(а): ↑12 май 2020, 10:20 Процитирую Вам мои же слова из первого сообщения:
Что вверху написано ? Откуда делать трассерт? С КОМПОВ...!!!!!!!!
(НЕ с роутера)
Берёте компьютер с отключенным файрволом, например 192.168.10.20
и берёте компьютер (тоже с отключенным файрволом) например 192.168.0.15
и между ними проверяете, с одного компьютера трасерт должен дойти до другова,
и наоборот.
После этого проверяете ещё и пингами, и если они работают, в целом задача
выполнена.
С сети 192.168.10.0/24 в сеть 192.168.0.0/23 пинг не идет, трасерт затыкается на 192.168.10.1 - т.е. на интерфейсе микротика, почему он его отдает интерфейсу который смотрит в сеть 192.168.0.0/23
Все делалось с компов
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) Файрвол на микротикеmic44 писал(а): ↑12 май 2020, 11:45 С сети 192.168.0.0/23 все проходит (пинг, трасерт) в сеть 192.168.10.0/24
С сети 192.168.10.0/24 в сеть 192.168.0.0/23 пинг не идет, трасерт затыкается на 192.168.10.1 - т.е. на интерфейсе микротика, почему он его отдает интерфейсу который смотрит в сеть 192.168.0.0/23
Все делалось с компов
2) Файрвол на Керио
3) Файрвол на компах (винда не любит чужие сети)
4) Ещё давал Вам совет - найти в закладке Коннекшионс (Файрвол) Вашу
трассировку и посмотреть адрес источника и адрес назначения.
Где-то что-то Вы не учли или забыли сделать.
-
mic44
- Сообщения: 13
- Зарегистрирован: 07 май 2020, 14:27
Микротик
КЕРИО
Connection микротика последняя строчка.
Я не могу понять одного почему когда включаешь NAT все работает.
КЕРИО
Connection микротика последняя строчка.
Я не могу понять одного почему когда включаешь NAT все работает.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Так НАТ надо отключать с обеих сторон.
То есть Вы не должны на КЕРИО натить чужую сеть, и на Микротике
натить чужую для него сеть.
Вы сети должны подружить, а Вы НАТите всё равно.